18/08/2015

Governança Corporativa

Gestão e Governança de TI A Governança Corporativa consiste:

No sistema pelo qual as sociedades são dirigidas, monitoradas

Governança Corporativa e e incentivadas, envolvendo o relacionamento entre
proprietários, Conselho de Administração, Diretoria e órgãos de
Regulamentações de Compliance controle interno. As boas práticas de governança corporativa
convertem princípios em recomendações objetivas alinhando
interesses com a finalidade de preservar e otimizar o valor da
organização, facilitando seu acesso ao capital e contribuindo
para a sua longevidade.
Prof. Marcel Santos Silva IBGC (Instituto Brasileiro de Governança Corporativa) 2009

Governança Corporativa Governança Corporativa

Conselho
Seus princípios são: de Família Governança

 Transparência: Obrigação e desejo de informar resultados e

Sócios
ações.
 Equidade: tratamento igual para todos os acionistas. Conselho de Administração
Auditoria Conselho Fiscal
Independente
 Prestação de contas: os agentes da governança corporativa
Comitê
prestam contas e são responsáveis pelos seus atos e omissões. de Comitês
Auditoria
 Responsabilidade corporativa: os agentes de governança devem Auditoria Interna

zelar pela sustentabilidade das organizações, visando a sua Diretor Presidente

longevidade, incorporando considerações de ordem social e
ambiental na definição dos negócios e operações. Diretores

IBGC (Instituto Brasileiro de Governança Corporativa) 2009 Administradores

Gestão
Adaptado de IBGC(2009)

Governança Corporativa Governança Corporativa

Para garantir esses princípios: 1992 – Publicação do Internal Control – Integrated Framework
 Vontade expressa. (Controle Interno – Um Modelo Integrado)

 Ou em face ao ambiente regulatório.

 As Organizações lançam de modelos de controle interno e gestão
de riscos.
 COSO (The Committee of Sponsoring Organizations of the
Treadway Commission) – Comitê das Organizações Patrocinadoras.
De acordo com COSO, o controle interno é um processo efetuado
pelo conselho de administração, executivos ou qualquer outro
funcionário de uma organização, com a finalidade de possibilitar o
máximo de garantia nas seguintes categorias de objetivos:
 Eficiência e eficácia das operações;
 Confiabilidade das demonstrações financeiras;
 Conformidade com as leis e regulamentos vigentes.

1
 18/08/2015

Governança Corporativa Governança Corporativa

 Eficiência e eficácia das operações:  2001 – iniciou-se o projeto “Modelo de Risco Corporativo”
Salvaguarda de seus ativos e prevenção e detecção de fraudes e  Enterprise Risk Management Framework – ampliando o alcance
erros. dos controles internos e definindo processos para o gerenciamento
de riscos corporativos.

 Confiabilidade das demonstrações financeiras:

 Esses sistemas de controle e risco e de direitos decisórios da
Exatidão, integridade e confiabilidade dos registros financeiros e Governança Corporativa criam as restrições de operação dos
contábeis. serviços e projetos de TI.
 Por exemplo: o sistema de controle aponta ser um risco não haver
 Conformidade com as leis e regulamentos vigentes: aderência um método de gerenciamento de projetos de TI.
às normas administrativas, às políticas da empresa e à legislação
à qual está subordinada.

Integração GC x GTI Governança Corporativa

Governança Corporativa
 Sarbanes-Oxley Act (SOX)
Comitês Sistema de Controle Sistema de Gestão
Corporativos Interno (Auditorias) de Riscos  Empresas de capital aberto e que têm ações nas bolsas de valores
norte americanas.

Decisões sobre Auditoria em Monitoramento dos

Acordo da Basileia II
Políticas e Controles de TI Riscos de TI
Investimentos em TI 
 Atinge instituições financeiras de uma forma geral.
GOVERNANÇA DE TI
 Patrocinada pelo Bank for International Settlements (BIS), com sede
em Basileia, na Suiça.

Controles de TI Processos de TI

AMBOS TEM FORTE IMPACTO NA ÁREA DE TI

Projetos de TI
Serviços de TI

Sarbanes-Oxley Act Requisitos do SOX que afetam a TI

Seção 302 do SOX especifica que:
O CEO e o CFO devem revisar os relatórios financeiros.
 Principais objetivos 
 Com base no conhecimento do CEO e do CFO:
 Os relatórios não contêm nenhuma declaração falsa de uma fato
Proteger os investidores do mercado de capitais americano de material ou omissão para fazer a declaração de resultados.
fraudes contábeis e financeiras de companhias abertas, assim como
 Outras informações financeiras incluídas representam
instituir uma série de penalidades contra crimes relacionados. Seu
corretamente, em todos os aspectos materiais, a condição
foco é “controles internos sobre relatórios financeiros”
financeira, resultados de operações e fluxos de caixa nos períodos
representados pelos relatórios.
 O CEO e o CFO são responsáveis por manter e estabelecer
controles e procedimentos sobre a emissão de relatórios
financeiros e controles internos sobre tais relatórios.

2
 18/08/2015

Requisitos do SOX que afetam a TI Requisitos do SOX que afetam a TI

Seção 302 do SOX especifica que: Seção 302 do SOX especifica que:
 Os sistemas de controle interno sobre a emissão de relatórios  Deve ser comunicada qualquer fraude que envolva a gerência ou
financeiros devem ser projetados sob a supervisão do CEO e do outros empregados que tenham um papel significante nos
CFO. registros do controle interno sobre relatórios financeiros.
 Deve ser avaliada a efetividade do sistema de controle sobre a
emissão de relatórios financeiros.
 Devem ser comunicadas mudanças nos controles internos sobre
relatórios financeiros, considerando o último ano fiscal.
 Devem ser comunicadas as deficiências dos sistemas de controle
interno que possam afetar a habilidade da empresa em registrar,
processar, sumarizar e comunicar informações financeiras.

Requisitos do SOX que afetam a TI Requisitos da qualidade da informação

Seção 404 do SOX especifica que: O conteúdo da informação deve ser apropriado.

 A administração tem a responsabilidade de estabelecer e manter Implicações do SOX

uma estrutura adequada de controle interno e procedimentos
para relatórios financeiros.
 A administração deve avaliar a efetividade do sistema de
controle interno sobre relatórios financeiros.
 Deve ser realizada uma auditoria externa específica sobre a
avaliação interna da efetividade do sistema de controle interno
feita pela administração.
 Processo de desenvolvimento de requisitos de software.
 Processo de gerenciamento de requisitos de software.
 Métodos de engenharia de software.
 Processos de verificação (teste).
 Processos de validação (aceitação pelos usuários).
 Processos de segurança da informação empregados nos aplicativos.
 Processos de aceitação de produtos de terceiros.
 Processo de gestão da mudança e da configuração.

Requisitos da qualidade da informação Requisitos da qualidade da informação

A informação deve estar disponível no momento em que for necessária. A informação é atual ou pelo menos a última disponível.

Implicações do SOX
Implicações do SOX
 Disponibilidade de aplicativos.
 Processos de gerenciamento de dados.
 Disponibilidade da infraestrutura.
 Gerenciamento de incidentes e problemas no ambiente de produção.
 Planejamento e gerenciamento da contingência e de desastres.
 Suporte aos usuários.  Segurança da informação na infraestrutura.
 Gestão de aplicativos e de ativos de TI.
 Processos de gerenciamento da infraestrutura.
 Segurança da infraestrutura.
 Gerenciamento da contingência.
 Gerenciamento de disponibilidade e desempenho.

3
 18/08/2015

Requisitos da qualidade da informação Requisitos da qualidade da informação

Os dados e as informações estão corretas. A informação é acessível aos usuários interessados.

Implicações do SOX Implicações do SOX

 Segurança da Informação em aplicativos.  Segurança da informação referente a controle de acessos e
 Segurança da infraestrutura de TI. privilégios.

 Teste de software.  Controle de autorizações.

 Controle da mudança e da configuração.

 Gerenciamento de dados.
 Gerenciamento de requisitos.

Requisitos da qualidade da informação Impacto do SOX na Governança de TI

Há um sistema de controle interno sobre relatórios financeiros  As questões relativas ao SOX devem ser tratadas no
que garante todos os demais itens anteriores. Plano de Tecnologia da Informação

Implicações do SOX  Novos controles (funcionalidades) em aplicações do

legado devem ser implantados.
 Avaliação de riscos de TI.
 Gestão da qualidade.  Novas aplicações devem ser implantadas.
 Planos de desastres e recuperação.
 Processos de TI existentes devem ser ajustados e
melhorados para mitigar riscos.

Impacto do SOX na Governança de TI Acordo da Basileia II

 Novos processos de TI devem ser projetados e Possui 3 pilares:
implantados.
1. Regras e procedimentos para cálculos de capital, tendo
 Ocorrência de prováveis mudanças na estrutura em vista os riscos de crédito e operacionais.
organizacional de TI em função dos processos ajustados
e também dos novos.  Risco de crédito: perda econômica sofrida pela
incapacidade voluntária ou involuntária do tomador de
 Novos indicadores de desempenho deverão ser crédito em atender às suas obrigações contratuais.
definidos e implantados.
 Risco operacional: risco de perdas financeiras diretas ou
 Os riscos de TI devem ser monitorados constantemente. indiretas resultantes de processos internos inadequadas,
de falhas em processos, pessoas e sistemas, ou mesmo
de eventos externos.

4

Acordo da Basileia II
Possui 3 pilares:
2. Regras para que os Bancos Centrais de cada País
executem auditorias nas instituições financeiras, visando:
 Avaliar a aplicação dos métodos de gestão de riscos.
 Avaliar e mitigar os riscos de crédito e operacionais.
 Emissão de informações para o mercado acerca da
exposição do risco da instituição.
Implicações do Acordo da Basileia II sobre a TI
No Brasil:
Os bancos estão em estágio extremamente avançado no
que diz respeito à integração, uso de tecnologias,
diversidade de canais e produtos, a questão “risco
operacional” de TI é primordial.
A TI é um dos principais elementos do risco operacional
de um banco, juntamente com pessoas e processos de
negócios.
Implicações do Acordo da Basileia II sobre a TI
No ponto de vista do risco de crédito:
 Segurança dessas informações.
 Contingências na operação.
 Planejamento de capacidade.
 Planejamento de desastre e recuperação.
 Integridade do processo de emissão de relatórios
requeridos pelo BIS.
18/08/2015
Acordo da Basileia II
Possui 3 pilares:
3. Regras para a comunicação para o mercado, dos
requisitos mínimos de capital, face aos riscos e aos
métodos e resultados de avaliações de riscos, conforme
estabelecido pelo primeiro pilar.
Implicações do Acordo da Basileia II sobre a TI
No ponto de vista do risco de crédito:
 Capacidade de armazenamento de dados em face da
granularidade de informações requeridas de cada
cliente.
 Integridade das informações acerca das transações do
banco.
 Integridade das informações armazenadas sobre os
clientes e operações de crédito.
Implicações do Acordo da Basileia II sobre a TI
O CIO ou equivalente deve:
 Inserir as questões do acordo em seu Plano de
Tecnologia da Informação.
 Implantar novos processos de TI.
 Ajustar ou melhorar processos existentes.
 Ajustar a estrutura organizacional de TI para acomodar
novos processos.
5
 18/08/2015

Implicações do Acordo da Basileia II sobre a TI SOX na Eletrobrás

O CIO ou equivalente deve:

 Definir e implantar novos indicadores de desempenho,

caso seja necessário.
http://www.dailymotion.com/video/x25qwiv_a-
 Tratar da gestão de riscos (planejamento e relacao-da-lei-sarbanes-oxley-com-o-dia-a-dia-da-
monitoramento) de TI como seu processo com eletrobras_tech
identidade própria na organização de TI.

Referências
Livros:

FERNANDES, A ARAGON; ABREU, V. Implantando a Governança de TI. Brasport, 2008.

MAGALHÃES, I. L.; PINHEIRO, W. Gerenciamento de Serviços de TI na Prática: Uma Abordagem com Base na ITIL. SP:
Novatec, 2007.

MANSUR, R. Governança Avançada de TI na Prática. Brasport, 2009.

Sites acessados

http://www.inf.pucrs.br/~fldotti/redes/aulas/atm.PDF Acessado em 14/10/2014.