Governança de TI B Aula 02

Transcrição

1 Prof. Tiago Aguirre 1 Governança de TI B Aula 02 Objetivos da Aula Revisar e aprofundar os fatos motivadores e objetivos da Governança de TI Entender como atender as regulamentações de Compliance

2 Fatores Motivadores e Objetivos da Governança de TI Prof. Tiago Aguirre 2

3 Fatores Motivadores da Governança de TI Prof. Tiago Aguirre 3

4 Fatores Motivadores Como está o ambiente de negócios Competitividade, produtos, barganha, Integrações tecnológicas Aplicações de supply-chain e Internet, ERP x MRP, padronização de aplicações, Segurança da Informação Riscos de perda e vazamento de informações,... Dependência do negócio em relação a TI Operações chave: faturamento, produção,... Marcos de regulação SOX, Basiléia II: gestão de riscos e auditoria TI como prestadora de serviços Prof. Tiago Aguirre 4

5 Prof. Tiago Aguirre 5 Relembrando... O que é Governança de TI IT Governance Institute (2005) A governança de TI é de responsabilidade da alta administração, na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização Weill & Ross (2004) Consiste em ferramental para a especificação dos direitos de decisão e das responsabilidades, visando encorajar comportamentos desejáveis no uso da TI

6 Relembrando as questões estratégicas Prof. Tiago Aguirre 6

7 Prof. Tiago Aguirre 7 Ciclo da Governança de TI Alinhamento Estratégico e Compliance Decisão, Compromisso, Priorização e Alocação de Recursos Estrutura, Processos, Operações e Gestão Medição do Desempenho Fonte: Implantando a Governança de TI; Fernandes, Aguinaldo; Abreu, Wladimir

8 Prof. Tiago Aguirre 8 Alinhamento Estratégico e Compliance Alinhamento estratégico Princípios de TI Necessidades de Aplicações Arquitetura de TI Infra-estrutura de TI Objetivos de desempenho Capacidade de atendimento Estratégia de outsourcing Segurança da informação Competências Processos e organização Plano de TI

9 Prof. Tiago Aguirre 9 Decisão, Compromisso, Priorização e Alocação de Recursos Portfolio de TI Instrumento para a priorização dos investimentos Mecanismos de decisão Altos gerentes Especialistas TI Unidade de negócio (UN) Centro corporativo + UN's Grupo TI + outro grupo Princípios de TI Arquitetura de TI Infra-estrutura TI Necessidades de aplicação Investimentos em TI

10 Prof. Tiago Aguirre 10 Estrutura, processos, operação e gestão Operações de serviços Atendimento dos serviços de TI (suporte, infra,...) Relacionamento com usuários Como solicitar serviço Quem pode solicitar o serviço Como os serviços são avaliados... Relacionamento com fornecedores Como encaminhar solicitações Como fornecedor deve responder às solicitações Como desempenho do fornecedor é avaliado...

11 Prof. Tiago Aguirre 11 Medição do Desempenho Gestão do desempenho da TI Monitoramento dos objetivos Operações de serviços Entrega de serviços Segurança da informação, Acordo de nível de serviço.

12 Regulamentações de Compliance Prof. Tiago Aguirre 12

13 Prof. Tiago Aguirre 13 Atendendo a Regulamentações Dependendo do tipo do negócio, existem vários marcos reguladores No Brasil, existem agências reguladoras (ANATEL, ANEEL, ANVISA,...) que podem criar marcos reguladores, além do próprio legislativo Na maioria das organizações de capital aberto impactam o Sarbanes-Oxley Act e o Acordo da Basiléia II para as instituições financeiras

14 Sarbanes-Oxley Act (SOX ou SOA) Publicada em 2002 nos EUA Afetam TI as seções 302 e 404 Seção 302 Deve ser avaliada a efetividade do sistema de controle sobre a emissão de relatórios financeiros Seção 404 A administração tem a responsabilidade de estabelecer e manter uma estrutura adequada de controle interno e procedimentos para relatórios financeiros A administração deve avaliar a efetividade do sistema de controle interno sobre relatórios financeiros Deve ser realizada uma auditoria externa específica sobre a avaliação interna da efetividade do sistema de controle interno feita pela administração Prof. Tiago Aguirre 14

15 Prof. Tiago Aguirre 15 SOX / SOA Critérios para atender os requisitos Conteúdo da informação deve ser apropriado Informação deve estar disponível no momento em que for necessária Os dados e as informações estão corretos A informação é acessível aos usuários interessados Há um sistema de controle interno sobre relatórios financeiros que garante todos os demais itens anteriores

16 Basiléia II Estabelecido pelo Bank for International Settlements (BIS) TI é um dos principais elementos do risco operacional de um banco O Banco Central do Brasil vem auditando as áreas de TI dos bancos via CobiT Impactos Capacidade de armazenamento de dados Integridade das informações de transações Segurança das informações Contingências na operação Planejamento de capacidade e recuperação de desastres Integridade do processo de emissão dos relatórios do BIS Prof. Tiago Aguirre 16

17 Resolução 3380 do Banco Central do Brasil Publicada em junho de 2006, determina implementação de estrutura própria de gerenciamento de risco operacional Risco operacional é a possibilidade da ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Implicações para TI Identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais que afetam a instituição Desenvolver e implementar um Plano de Continuidade Gerenciar os riscos que seus fornecedores representam para a continuidade do negócio Prof. Tiago Aguirre 17