SlideShare una empresa de Scribd logo

Compliance

Descargar como DOC, PDF
Willian Fellipe
Willian Fellipe

O documento discute conceitos relacionados à governança de TI como compliance, Sarbanes-Oxley, Acordo da Basiléia II, Resolução BACEN 3380 e Decreto 3505. Compliance refere-se a cumprir normas e políticas estabelecidas. Sarbanes-Oxley e Basiléia II estabelecem requisitos para empresas e bancos respectivamente. Resolução BACEN 3380 e Decreto 3505 tratam de segurança da informação no Brasil. Todos esses conceitos são importantes para a governança de TI nas organizações

1 de 10
SENAC SC Disciplina: Governança de TI Professor: Claudio Compliance Sarbanees-Oxley Acordo da Basiléia II Resolução BACEN 3380 Decreto 3505-Segurança da Informação Alunos: Jeferson, José, Willian, Luis, Thiago Jacques, Felipe Fontes Florianópolis, 18 de março de 2011
Compliance, o que é? Relação com Governança de TI. O termo Compliance define uma prática bastante difundida no âmbito corporativo e institucional. O conceito de compliance consiste em um conjunto de disciplinas para fazer cumprir todas as normas legais e regulamentações, ou seja, tem como objetivo fazer cumprir todas as diretrizes, políticas que foram previamente estabelecidas para o negócio e atividades desempenhadas pela organização, assim como também tem a função preventiva de evitar, detectar e corrigir todo e qualquer problema que caracterize uma inconformidade ou desvio que eventualmente venha a ocorrer. A origem da palavra vem do verbo em inglês “to comply”, que significa “cumprir”, “satisfazer”, “executar”. O conceito surgiu do mercado financeiro, tendo portanto se estendido para organizações privadas e governamentais. Segundo a Wikipédia (2011), compliance é: Através das atividades de Compliance, qualquer possível desvio em relação à política interna, é identificado e evitado. Assim, por exemplo no caso de sócios e investidores, estes têm a segurança de que suas aplicações e orientações serão geridas segundo as diretrizes por eles estabelecidas. Não existe compliance se não houver segregação de funções. Por exemplo, quem determina um investimento, não pode ser a mesma pessoa a fiscalizá-lo. Quem cria uma norma interna, não pode nomear a si próprio como fiscalizador desta norma. A partir de meados da década de 90, todas as organizações públicas e privadas passaram a adotar o Compliance como uma de suas regras mais primárias e fundamentais para a transparência de suas atividades. O oposto também é válido: As empresas ou órgãos públicos que não possuem uma área forte de Compliance, perdem
em credibilidade perante as partes relacionadas (stakeholders) e cada vez mais perdem oportunidades no mercado, principalmente no financeiro. As atividades de Compliance, para terem credibilidade, não devem ter em seus quadros jovens recém contratados, recém-formados ou estagiários. Só devem ocupar cargos de Compliance pessoas com larga e comprovada experiência não apenas no negócio em si, mas com forte experiência em cargos de liderança em empresas de médio ou grande porte. Devido à enorme responsabilidade dos executivos de Compliance, estes devem estar prontos para responder aos stakeholders e perante a lei por suas atividades. A aplicação do conceito compliance na governança de TI, se dá por meios de marcos de regulação que externos. É de extrema importância para a governança de TI pois alinhado junto a todos os princípios de TI, esta estabelece “regras que todos devem seguir, que subsidiam a tomada de decisão sobre aquisições, uso de padrões etc...” Sua aplicação é feita e relacionada com: princípios de TI; necessidades de aplicações; arquitetura de TI; infra-estrutura de TI e etc. Sarbanes-Oxley, o que é? Implicações na governança de TI. A Lei Sarbanes-Oxley é uma lei americana, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de Ohio).
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE (New York Stock Exchange), como a Petrobras, a GOL Linhas Aéreas, a Sabesp,a TAM Linhas Aéreas, a Brasil Telecom, Ultragaz, o Grupo Pão de Açúcar, Banco Itaú, TIM, Vale S.A., Vivo S.A., e a Natura Cosméticos S.A.. Como não é possível separar processos de negócios e tecnologia no panorama corporativo atual, uma avaliação da infra-estrutura operacional e pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato Sarbanes-Oxley é o principal foco de atenção das empresas neste particular, por trazer as determinações sobre os controles de processos internos e sistemas contábeis da empresa. Esta seção determina uma avaliação anual dos controles e processos internos para a realização de relatórios financeiros, com a obrigação de emissão de relatório a ser encaminhado à SEC (Security Exchange Comission - órgão regulador das empresas de capital aberto dos EUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) no Brasil, que ateste estes parâmetros. Com isso as empresas precisam ter uma ótima governança de TI para poder seguir estes parâmetros exigidos pela lei. O Acordo de Capital de Basiléia II, o que é? Relação com Governança de TI. O Acordo de Capital de Basiléia II, também conhecido como Basiléia II, foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para
substituir o acordo de Basiléia I, que tinha como objetivo fortalecer o sistema financeiro agindo como uma especie de manual de normas e relacionamento bancario uzado em varios paises para de criar uma maior estabilidade no sistema bancario internacional, com isso os bancos precisam respeitar exigências mínimas de capital com o objetivo de evitar a falência de empresas do ramo financeiro por causa da conseqüência que a falência destas empresas pode causar. Como o acordo basileia l ja não era auterado a mais de dez anos, foram levantadas novas proprostas visando principalmente a area de riscos, e em 2001 foi feito um novo acordo que foi chamado de Basiléia ll. O acordo de Basiléia ll, apoia-se em 3 pilares, que são: Capital minimo requerido: manteve sua definição do que é capital e o requerimento mínimo de 8% para os ativos ponderados pelo risco, mas sofreu alterações no método de analise e administração dos riscos Revisão no processo de supervisão: esse também foi um sistema que foi revisto, onde é descrita a importância dos administradores desenvolverem um plano de gerenciamento de riscos eficiente. Disciplina de mercado: estimula uma maior disciplina do mercado através do aumento da transparência dos bancos Se tratando da implicação desse acordo com a Governança de TI, apesar desse acordo ser feito com as praticas para a área financeira, esse acordo tem o mesmo objetivo da governança de TI que é criar diretrizes e normas de como os processos devem ser feitos dentro da área ou organização, para que os resultados sejam os melhores possíveis. Definições de Governança de TI: “A governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, mas estruturas organizacionais
e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização.” Outra definição é dada por Well & Ross (2004): “Consiste em um ferramental para especificações dos direitos de decisão e das responsabilidades, visando encorajar comportamento desejável no uso de TI”. Analisando essas duas definições, podemos facilmente concluir que governança de TI busca o compartilhamento das decisões de TI com os demais dirigentes da organização, assim como estabelece as regras, a organização e os processos que nortearão o uso da tecnologia da Informação pelos usuários, departamentos, divisões, negócios da organização, fornecedores e clientes, determinando como a TI deve prover os serviços para a empresa. Portanto, a Governança de TI não é somente a implantação de modelos de melhores práticas, tais como Cobit,ITIL, CMMI Etc. Ainda dentro dessa ótica, a governança de TI deve : Garantir o alinhamento da TI ao negocio (suas estratégias e objetivos), tanto no que diz respeito à aplicação como a infra-estrutura de serviços de TI; Garantir a continuidade do negocio contra interrupções e falhas (manter e gerir as aplicações e infra-estrutura de serviços); Garantir o alinhamento de TI a marcos de regulação externo como a Sarbanes Oxley (para empresas que possuem ações, títulos ou papéis sendo negociados em bolsa de valores norte americanas), Basiléia ll (no caso de bancos) e outras normas e resoluções. Entretanto, a visão de governança de TI que sugerimos vai além dessas definições e pode ser representada pelo que chamamos de “Ciclo da Governança de TI”, composto por 4 grandes etapas (1) alinhamento estratégico
e compliance,(2) decisão,(3) estrutura e processos,(4) medição do desempenho da TI. O alinhamento estratégico e compliance referem-se ao planejamento estratégico da tecnologia da informação, que leva em consideração as estratégias da empresa para seus vários produtos e segmentos de atuação, assim como os requisitos de compliance externos, tais como o Sarbanes-Oxley Act e o acordo Basiléia. A etapa da decisão, compromisso, priorização e alocação de recursos refere-se às responsabilidades pelas decisões relativas a TI, em termos de: arquitetura de TI, serviços de infra-estrutura, investimentos necessários de aplicações, etc, assim são realizadas essas decisões. Adicionalmente, trata da obtenção do envolvimento dos tomadores de decisão chaves da organização, assim como da definição de prioridades de projetos e serviços e da alocação efetiva de recursos monetários no contexto de um portfólio de TI. A etapa de estrutura, processos, operação e gestão referem-se à estrutura organizacional e funcional de TI, aos processos de gestão e operação dos produtos e serviços de TI, alinhados com as necessidades estratégicas e operacionais da empresa. Nesta fase são definidas ou redefinidas as operações de sistemas, infra-estrutura, suporte técnico, segurança da informação, o escritório do CIO, etc. A etapa de medição do desempenho refere-se à determinação, coleta e geração de indicadores de resultados dos processos, produtos e serviços de TI e á sua contribuição para as estratégias e objetivos do negócio. Resolução BACEN 3380, o que é? Relação com Governança de TI: A Resolução BACEN 3380 é a versão tupiniquim do acordo Basiléia II, que consiste em uma normatização dos serviços prestados pelos bancos, este acordo consiste em uma padronização por três pilares, que são eles:
1- Capital (guardar) 2- Supervisão (fiscalizar) 3- Transparência e Disciplina de Mercado (divulgação dos dados) A Resolução BACEN 3380 surgiu juntamente com a Basiléia II como resposta ao back de 2007 gerado por Bernard Madoff. Justificando o ocorrido em 2007 segue citação retirada do site: http://dinheirama.com/blog/2008/12/30/bernard-madoff-as-piramides- financeiras-e-seus-investimentos/ Bernard Madoff é acusado de ter formado uma gigantesca 'pirâmide' especulativa por meio de um fundo de investimentos. O esquema é um clássico da burla financeira: consiste em usar o dinheiro aplicado por novos investidores para remunerar os antigos. Quando a entrada de novas aplicações sofre diminuição brusca, o esquema vem abaixo. A trajetória de retornos na faixa de 1% ao mês atraiu vários bancos, fundos e investidores de diversos países, inclusive do Brasil. Muitos aplicadores acreditavam que o sucesso da carteira de investimento de Madoff estava atrelado ao segredo da estratégia de gestão. A 'caixa preta', na verdade, escondia uma fraude. As perdas são estimadas em US$ 50 bilhões. De acordo com esse ocorrido fez-se necessário a modificação das normas para que possa existir maior segurança, segundo a referência do site http://paulobeck.blogspot.com/2007/07/atendendo-resoluo-bacen-3380-em- 10.html não é só o BACEN 3380 que compõe as normas de melhores práticas Organizações internacionais como British Standard (BS7799), ISO (ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control Objectives for Related Information Technology), entre outras, há muito tempo vem motivando corporações a adequarem-se as normas e padrões de mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de Riscos e Continuidade de Negócios.
Decreto 3505 – Segurança da Informação, o que é? Implicações na governança de TI. O Decreto 3505, de 13 de Junho de 2000, por meio do qual foi instituída a Política de Segurança da Informação nos órgão da Administração Pública Federal tendo como objetivos a destacar (art. 3º):  Eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;  Promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;  Estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;  Promover as ações necessárias à implementação e manutenção da segurança da informação;  Assegurar a interoperabilidade entre os sistemas de segurança da informação. A publicação do Decreto 3.505 demonstra que assim como outros países a preocupação do governo nacional é assegurar a Política de Segurança de Informação nacional. Com isso o governo precisa investir em novas tecnologias de segurança para o país, e precisa ter uma boa equipe de governança de TI para analisar e armazenar as informações.
Bibliografia http://www.macmt.com.br/catolica/Sox%20na%20Governan%C3%A7a %20de%20TI.pdf http://www.webartigos.com/articles/52383/1/Leis-sobre-seguranca-da- Informacao--O-Brasil-comparado-ao-Resto-do-Mundo/pagina1.html http://pt.wikipedia.org/wiki/Compliance http://www.garcia.pro.br/governanca/Governanca%20de%20TI%20- %20parte%201%20-%20Introducao.pdf http://br.answers.yahoo.com/question/index? qid=20070816204910AAQYLc8 http://www.riskbank.com.br/anexo/basileia2.pdf http://amarinhoti.blogspot.com/p/o-que-e-governanca-de-ti.html

Recomendados

Compliance no Brasil
Compliance no BrasilCompliance no Brasil
Compliance no BrasilPriscila Stuani
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Alessandro Almeida
 
Função de Compliance
Função de ComplianceFunção de Compliance
Função de CompliancePriscila Stuani
 
Fundamentos de Governança de TI
Fundamentos de Governança de TI Fundamentos de Governança de TI
Fundamentos de Governança de TI Luiz Mauricio
 
Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1walterdaraujo
 
Função de Compliance
Função de Compliance Função de Compliance
Função de Compliance Priscila Stuani
 
Maturidade do Compliance no Brasil
Maturidade do Compliance no BrasilMaturidade do Compliance no Brasil
Maturidade do Compliance no BrasilEdgar Gonçalves
 

Recomendados

Compliance no Brasil
Compliance no BrasilCompliance no Brasil
Compliance no BrasilPriscila Stuani
 
Projeto Sox
Projeto SoxProjeto Sox
Projeto Soxedutaito
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Alessandro Almeida
 
Função de Compliance
Função de ComplianceFunção de Compliance
Função de CompliancePriscila Stuani
 
Fundamentos de Governança de TI
Fundamentos de Governança de TI Fundamentos de Governança de TI
Fundamentos de Governança de TI Luiz Mauricio
 
Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1Walter.D.Araujo Compliance Parte1
Walter.D.Araujo Compliance Parte1walterdaraujo
 
Função de Compliance
Função de Compliance Função de Compliance
Função de Compliance Priscila Stuani
 
Maturidade do Compliance no Brasil
Maturidade do Compliance no BrasilMaturidade do Compliance no Brasil
Maturidade do Compliance no BrasilEdgar Gonçalves
 
Tcc governança da ti
Tcc governança da tiTcc governança da ti
Tcc governança da tiFrancisco Fernandes
 
[Palestra] Governança de TI
[Palestra] Governança de TI[Palestra] Governança de TI
[Palestra] Governança de TIAlessandro Almeida
 
Etapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de complianceEtapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de complianceFernando S. Marcato
 
Compliance e Ética nas Organizações
Compliance e Ética nas OrganizaçõesCompliance e Ética nas Organizações
Compliance e Ética nas OrganizaçõesDaniel de Carvalho Luz
 
Compliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupçãoCompliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupçãoPriscila Stuani
 
Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)Alessandro Almeida
 
Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)Alessandro Almeida
 
Compliance e Desenvolvimento
Compliance e DesenvolvimentoCompliance e Desenvolvimento
Compliance e DesenvolvimentoFundação Dom Cabral - FDC
 
Compliance
ComplianceCompliance
CompliancePriscila Stuani
 
Governança de TI - Aula02 - Conceitos em Governanca corporativa
Governança de TI - Aula02 - Conceitos em Governanca corporativaGovernança de TI - Aula02 - Conceitos em Governanca corporativa
Governança de TI - Aula02 - Conceitos em Governanca corporativaCEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
Arranjos de Governança de TI
Arranjos de Governança de TIArranjos de Governança de TI
Arranjos de Governança de TIJose Ignacio Jaeger Neto, PMP, MSc
 
Compliance: principais benefícios e geração de valor para as empresas
Compliance: principais benefícios e geração de valor para as empresasCompliance: principais benefícios e geração de valor para as empresas
Compliance: principais benefícios e geração de valor para as empresasConselho Regional de Administração de São Paulo
 
Programa de Compliance - Visão Executiva
Programa de Compliance - Visão ExecutivaPrograma de Compliance - Visão Executiva
Programa de Compliance - Visão ExecutivaCompanyWeb
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e ÉticaSérgio Martins
 
Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)Alessandro Almeida
 
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TIOs Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TITI Infnet
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TIAlexandre Afonso
 
4ª Jornada de Ética nos Negócios - Ética e Startups
4ª Jornada de Ética nos Negócios - Ética e Startups4ª Jornada de Ética nos Negócios - Ética e Startups
4ª Jornada de Ética nos Negócios - Ética e StartupsConselho Regional de Administração de São Paulo
 
Final
FinalFinal
FinalMarcos Vinicius
 
Alinhamento Estratégico em TI
Alinhamento Estratégico em TIAlinhamento Estratégico em TI
Alinhamento Estratégico em TIMarcus Vinícius
 
Economia internacional, cambio e ied final
Economia internacional, cambio e ied finalEconomia internacional, cambio e ied final
Economia internacional, cambio e ied finalWillian Fellipe
 

Más contenido relacionado

La actualidad más candente

Etapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de complianceEtapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de complianceFernando S. Marcato
 
Compliance e Ética nas Organizações
Compliance e Ética nas OrganizaçõesCompliance e Ética nas Organizações
Compliance e Ética nas OrganizaçõesDaniel de Carvalho Luz
 
Compliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupçãoCompliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupçãoPriscila Stuani
 
Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)Alessandro Almeida
 
Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)Alessandro Almeida
 
Governança de TI
Governança de TIGovernança de TI
Governança de TIwendcosta
 
Programa de Compliance - Visão Executiva
Programa de Compliance - Visão ExecutivaPrograma de Compliance - Visão Executiva
Programa de Compliance - Visão ExecutivaCompanyWeb
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e ÉticaSérgio Martins
 
Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)Alessandro Almeida
 
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TIOs Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TITI Infnet
 

La actualidad más candente (20)

Tcc governança da ti
Tcc governança da tiTcc governança da ti
Tcc governança da ti
 
[Palestra] Governança de TI
[Palestra] Governança de TI[Palestra] Governança de TI
[Palestra] Governança de TI
 
Etapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de complianceEtapas para implantação de mecanismos de compliance
Etapas para implantação de mecanismos de compliance
 
Compliance e Ética nas Organizações
Compliance e Ética nas OrganizaçõesCompliance e Ética nas Organizações
Compliance e Ética nas Organizações
 
Compliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupçãoCompliance: mais eficiência e menos risco de corrupção
Compliance: mais eficiência e menos risco de corrupção
 
Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)Gestão da Tecnologia da Informação (05/03/2013)
Gestão da Tecnologia da Informação (05/03/2013)
 
Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)Gestão da Tecnologia da Informação (21/08/2013)
Gestão da Tecnologia da Informação (21/08/2013)
 
Compliance e Desenvolvimento
Compliance e DesenvolvimentoCompliance e Desenvolvimento
Compliance e Desenvolvimento
 
Compliance
ComplianceCompliance
Compliance
 
Governança de TI - Aula02 - Conceitos em Governanca corporativa
Governança de TI - Aula02 - Conceitos em Governanca corporativaGovernança de TI - Aula02 - Conceitos em Governanca corporativa
Governança de TI - Aula02 - Conceitos em Governanca corporativa
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Arranjos de Governança de TI
Arranjos de Governança de TIArranjos de Governança de TI
Arranjos de Governança de TI
 
Compliance: principais benefícios e geração de valor para as empresas
Compliance: principais benefícios e geração de valor para as empresasCompliance: principais benefícios e geração de valor para as empresas
Compliance: principais benefícios e geração de valor para as empresas
 
Programa de Compliance - Visão Executiva
Programa de Compliance - Visão ExecutivaPrograma de Compliance - Visão Executiva
Programa de Compliance - Visão Executiva
 
Treinamento Compliance e Ética
Treinamento Compliance e ÉticaTreinamento Compliance e Ética
Treinamento Compliance e Ética
 
Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)Gestão da Tecnologia da Informação (20/02/2014)
Gestão da Tecnologia da Informação (20/02/2014)
 
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TIOs Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
Os Impactos da Lei Sarbanes Oxley no Processo de Auditoria e Gestão de TI
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TI
 
4ª Jornada de Ética nos Negócios - Ética e Startups
4ª Jornada de Ética nos Negócios - Ética e Startups4ª Jornada de Ética nos Negócios - Ética e Startups
4ª Jornada de Ética nos Negócios - Ética e Startups
 
Final
FinalFinal
Final
 

Destacado

Alinhamento Estratégico em TI
Alinhamento Estratégico em TIAlinhamento Estratégico em TI
Alinhamento Estratégico em TIMarcus Vinícius
 
Economia internacional, cambio e ied final
Economia internacional, cambio e ied finalEconomia internacional, cambio e ied final
Economia internacional, cambio e ied finalWillian Fellipe
 
Position paper a invenção do consumo - mkt i
Position paper a invenção do consumo - mkt iPosition paper a invenção do consumo - mkt i
Position paper a invenção do consumo - mkt iWillian Fellipe
 
Qualidade osm - ministério público de santa catarina
Qualidade osm - ministério público de santa catarinaQualidade osm - ministério público de santa catarina
Qualidade osm - ministério público de santa catarinaWillian Fellipe
 
Liderança, poder e comportamento organizacional
Liderança, poder e comportamento organizacionalLiderança, poder e comportamento organizacional
Liderança, poder e comportamento organizacionalWillian Fellipe
 
Liderança e comportamento organizacional
Liderança e comportamento organizacionalLiderança e comportamento organizacional
Liderança e comportamento organizacionalRicardo Albuquerque
 
Resenha crítica sobre o artigo liderança, poder e comportamento organizacional
Resenha crítica sobre o artigo liderança, poder e comportamento organizacionalResenha crítica sobre o artigo liderança, poder e comportamento organizacional
Resenha crítica sobre o artigo liderança, poder e comportamento organizacionalWillian Fellipe
 
EXEMPLO DE RESENHA CRITICA
EXEMPLO DE RESENHA CRITICAEXEMPLO DE RESENHA CRITICA
EXEMPLO DE RESENHA CRITICALarissa Gomes
 

Destacado (10)

Alinhamento Estratégico em TI
Alinhamento Estratégico em TIAlinhamento Estratégico em TI
Alinhamento Estratégico em TI
 
Economia internacional, cambio e ied final
Economia internacional, cambio e ied finalEconomia internacional, cambio e ied final
Economia internacional, cambio e ied final
 
Governança itil cobit
Governança itil cobitGovernança itil cobit
Governança itil cobit
 
Position paper a invenção do consumo - mkt i
Position paper a invenção do consumo - mkt iPosition paper a invenção do consumo - mkt i
Position paper a invenção do consumo - mkt i
 
Qualidade osm - ministério público de santa catarina
Qualidade osm - ministério público de santa catarinaQualidade osm - ministério público de santa catarina
Qualidade osm - ministério público de santa catarina
 
Liderança, poder e comportamento organizacional
Liderança, poder e comportamento organizacionalLiderança, poder e comportamento organizacional
Liderança, poder e comportamento organizacional
 
Liderança e comportamento organizacional
Liderança e comportamento organizacionalLiderança e comportamento organizacional
Liderança e comportamento organizacional
 
Resenha crítica sobre o artigo liderança, poder e comportamento organizacional
Resenha crítica sobre o artigo liderança, poder e comportamento organizacionalResenha crítica sobre o artigo liderança, poder e comportamento organizacional
Resenha crítica sobre o artigo liderança, poder e comportamento organizacional
 
EXEMPLO DE RESENHA CRITICA
EXEMPLO DE RESENHA CRITICAEXEMPLO DE RESENHA CRITICA
EXEMPLO DE RESENHA CRITICA
 
AULA 08 - RESENHA CRÍTICA - PRONTA
AULA 08 - RESENHA CRÍTICA - PRONTAAULA 08 - RESENHA CRÍTICA - PRONTA
AULA 08 - RESENHA CRÍTICA - PRONTA
 

Compliance

  • 1. SENAC SC Disciplina: Governança de TI Professor: Claudio Compliance Sarbanees-Oxley Acordo da Basiléia II Resolução BACEN 3380 Decreto 3505-Segurança da Informação Alunos: Jeferson, José, Willian, Luis, Thiago Jacques, Felipe Fontes Florianópolis, 18 de março de 2011
  • 2. Compliance, o que é? Relação com Governança de TI. O termo Compliance define uma prática bastante difundida no âmbito corporativo e institucional. O conceito de compliance consiste em um conjunto de disciplinas para fazer cumprir todas as normas legais e regulamentações, ou seja, tem como objetivo fazer cumprir todas as diretrizes, políticas que foram previamente estabelecidas para o negócio e atividades desempenhadas pela organização, assim como também tem a função preventiva de evitar, detectar e corrigir todo e qualquer problema que caracterize uma inconformidade ou desvio que eventualmente venha a ocorrer. A origem da palavra vem do verbo em inglês “to comply”, que significa “cumprir”, “satisfazer”, “executar”. O conceito surgiu do mercado financeiro, tendo portanto se estendido para organizações privadas e governamentais. Segundo a Wikipédia (2011), compliance é: Através das atividades de Compliance, qualquer possível desvio em relação à política interna, é identificado e evitado. Assim, por exemplo no caso de sócios e investidores, estes têm a segurança de que suas aplicações e orientações serão geridas segundo as diretrizes por eles estabelecidas. Não existe compliance se não houver segregação de funções. Por exemplo, quem determina um investimento, não pode ser a mesma pessoa a fiscalizá-lo. Quem cria uma norma interna, não pode nomear a si próprio como fiscalizador desta norma. A partir de meados da década de 90, todas as organizações públicas e privadas passaram a adotar o Compliance como uma de suas regras mais primárias e fundamentais para a transparência de suas atividades. O oposto também é válido: As empresas ou órgãos públicos que não possuem uma área forte de Compliance, perdem
  • 3. em credibilidade perante as partes relacionadas (stakeholders) e cada vez mais perdem oportunidades no mercado, principalmente no financeiro. As atividades de Compliance, para terem credibilidade, não devem ter em seus quadros jovens recém contratados, recém-formados ou estagiários. Só devem ocupar cargos de Compliance pessoas com larga e comprovada experiência não apenas no negócio em si, mas com forte experiência em cargos de liderança em empresas de médio ou grande porte. Devido à enorme responsabilidade dos executivos de Compliance, estes devem estar prontos para responder aos stakeholders e perante a lei por suas atividades. A aplicação do conceito compliance na governança de TI, se dá por meios de marcos de regulação que externos. É de extrema importância para a governança de TI pois alinhado junto a todos os princípios de TI, esta estabelece “regras que todos devem seguir, que subsidiam a tomada de decisão sobre aquisições, uso de padrões etc...” Sua aplicação é feita e relacionada com: princípios de TI; necessidades de aplicações; arquitetura de TI; infra-estrutura de TI e etc. Sarbanes-Oxley, o que é? Implicações na governança de TI. A Lei Sarbanes-Oxley é uma lei americana, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de Ohio).
  • 4. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE (New York Stock Exchange), como a Petrobras, a GOL Linhas Aéreas, a Sabesp,a TAM Linhas Aéreas, a Brasil Telecom, Ultragaz, o Grupo Pão de Açúcar, Banco Itaú, TIM, Vale S.A., Vivo S.A., e a Natura Cosméticos S.A.. Como não é possível separar processos de negócios e tecnologia no panorama corporativo atual, uma avaliação da infra-estrutura operacional e pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato Sarbanes-Oxley é o principal foco de atenção das empresas neste particular, por trazer as determinações sobre os controles de processos internos e sistemas contábeis da empresa. Esta seção determina uma avaliação anual dos controles e processos internos para a realização de relatórios financeiros, com a obrigação de emissão de relatório a ser encaminhado à SEC (Security Exchange Comission - órgão regulador das empresas de capital aberto dos EUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) no Brasil, que ateste estes parâmetros. Com isso as empresas precisam ter uma ótima governança de TI para poder seguir estes parâmetros exigidos pela lei. O Acordo de Capital de Basiléia II, o que é? Relação com Governança de TI. O Acordo de Capital de Basiléia II, também conhecido como Basiléia II, foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para
  • 5. substituir o acordo de Basiléia I, que tinha como objetivo fortalecer o sistema financeiro agindo como uma especie de manual de normas e relacionamento bancario uzado em varios paises para de criar uma maior estabilidade no sistema bancario internacional, com isso os bancos precisam respeitar exigências mínimas de capital com o objetivo de evitar a falência de empresas do ramo financeiro por causa da conseqüência que a falência destas empresas pode causar. Como o acordo basileia l ja não era auterado a mais de dez anos, foram levantadas novas proprostas visando principalmente a area de riscos, e em 2001 foi feito um novo acordo que foi chamado de Basiléia ll. O acordo de Basiléia ll, apoia-se em 3 pilares, que são: Capital minimo requerido: manteve sua definição do que é capital e o requerimento mínimo de 8% para os ativos ponderados pelo risco, mas sofreu alterações no método de analise e administração dos riscos Revisão no processo de supervisão: esse também foi um sistema que foi revisto, onde é descrita a importância dos administradores desenvolverem um plano de gerenciamento de riscos eficiente. Disciplina de mercado: estimula uma maior disciplina do mercado através do aumento da transparência dos bancos Se tratando da implicação desse acordo com a Governança de TI, apesar desse acordo ser feito com as praticas para a área financeira, esse acordo tem o mesmo objetivo da governança de TI que é criar diretrizes e normas de como os processos devem ser feitos dentro da área ou organização, para que os resultados sejam os melhores possíveis. Definições de Governança de TI: “A governança de TI é de responsabilidade da alta administração (incluindo diretores e executivos), na liderança, mas estruturas organizacionais
  • 6. e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização.” Outra definição é dada por Well & Ross (2004): “Consiste em um ferramental para especificações dos direitos de decisão e das responsabilidades, visando encorajar comportamento desejável no uso de TI”. Analisando essas duas definições, podemos facilmente concluir que governança de TI busca o compartilhamento das decisões de TI com os demais dirigentes da organização, assim como estabelece as regras, a organização e os processos que nortearão o uso da tecnologia da Informação pelos usuários, departamentos, divisões, negócios da organização, fornecedores e clientes, determinando como a TI deve prover os serviços para a empresa. Portanto, a Governança de TI não é somente a implantação de modelos de melhores práticas, tais como Cobit,ITIL, CMMI Etc. Ainda dentro dessa ótica, a governança de TI deve : Garantir o alinhamento da TI ao negocio (suas estratégias e objetivos), tanto no que diz respeito à aplicação como a infra-estrutura de serviços de TI; Garantir a continuidade do negocio contra interrupções e falhas (manter e gerir as aplicações e infra-estrutura de serviços); Garantir o alinhamento de TI a marcos de regulação externo como a Sarbanes Oxley (para empresas que possuem ações, títulos ou papéis sendo negociados em bolsa de valores norte americanas), Basiléia ll (no caso de bancos) e outras normas e resoluções. Entretanto, a visão de governança de TI que sugerimos vai além dessas definições e pode ser representada pelo que chamamos de “Ciclo da Governança de TI”, composto por 4 grandes etapas (1) alinhamento estratégico
  • 7. e compliance,(2) decisão,(3) estrutura e processos,(4) medição do desempenho da TI. O alinhamento estratégico e compliance referem-se ao planejamento estratégico da tecnologia da informação, que leva em consideração as estratégias da empresa para seus vários produtos e segmentos de atuação, assim como os requisitos de compliance externos, tais como o Sarbanes-Oxley Act e o acordo Basiléia. A etapa da decisão, compromisso, priorização e alocação de recursos refere-se às responsabilidades pelas decisões relativas a TI, em termos de: arquitetura de TI, serviços de infra-estrutura, investimentos necessários de aplicações, etc, assim são realizadas essas decisões. Adicionalmente, trata da obtenção do envolvimento dos tomadores de decisão chaves da organização, assim como da definição de prioridades de projetos e serviços e da alocação efetiva de recursos monetários no contexto de um portfólio de TI. A etapa de estrutura, processos, operação e gestão referem-se à estrutura organizacional e funcional de TI, aos processos de gestão e operação dos produtos e serviços de TI, alinhados com as necessidades estratégicas e operacionais da empresa. Nesta fase são definidas ou redefinidas as operações de sistemas, infra-estrutura, suporte técnico, segurança da informação, o escritório do CIO, etc. A etapa de medição do desempenho refere-se à determinação, coleta e geração de indicadores de resultados dos processos, produtos e serviços de TI e á sua contribuição para as estratégias e objetivos do negócio. Resolução BACEN 3380, o que é? Relação com Governança de TI: A Resolução BACEN 3380 é a versão tupiniquim do acordo Basiléia II, que consiste em uma normatização dos serviços prestados pelos bancos, este acordo consiste em uma padronização por três pilares, que são eles:
  • 8. 1- Capital (guardar) 2- Supervisão (fiscalizar) 3- Transparência e Disciplina de Mercado (divulgação dos dados) A Resolução BACEN 3380 surgiu juntamente com a Basiléia II como resposta ao back de 2007 gerado por Bernard Madoff. Justificando o ocorrido em 2007 segue citação retirada do site: http://dinheirama.com/blog/2008/12/30/bernard-madoff-as-piramides- financeiras-e-seus-investimentos/ Bernard Madoff é acusado de ter formado uma gigantesca 'pirâmide' especulativa por meio de um fundo de investimentos. O esquema é um clássico da burla financeira: consiste em usar o dinheiro aplicado por novos investidores para remunerar os antigos. Quando a entrada de novas aplicações sofre diminuição brusca, o esquema vem abaixo. A trajetória de retornos na faixa de 1% ao mês atraiu vários bancos, fundos e investidores de diversos países, inclusive do Brasil. Muitos aplicadores acreditavam que o sucesso da carteira de investimento de Madoff estava atrelado ao segredo da estratégia de gestão. A 'caixa preta', na verdade, escondia uma fraude. As perdas são estimadas em US$ 50 bilhões. De acordo com esse ocorrido fez-se necessário a modificação das normas para que possa existir maior segurança, segundo a referência do site http://paulobeck.blogspot.com/2007/07/atendendo-resoluo-bacen-3380-em- 10.html não é só o BACEN 3380 que compõe as normas de melhores práticas Organizações internacionais como British Standard (BS7799), ISO (ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control Objectives for Related Information Technology), entre outras, há muito tempo vem motivando corporações a adequarem-se as normas e padrões de mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de Riscos e Continuidade de Negócios.
  • 9. Decreto 3505 – Segurança da Informação, o que é? Implicações na governança de TI. O Decreto 3505, de 13 de Junho de 2000, por meio do qual foi instituída a Política de Segurança da Informação nos órgão da Administração Pública Federal tendo como objetivos a destacar (art. 3º):  Eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;  Promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação;  Estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação;  Promover as ações necessárias à implementação e manutenção da segurança da informação;  Assegurar a interoperabilidade entre os sistemas de segurança da informação. A publicação do Decreto 3.505 demonstra que assim como outros países a preocupação do governo nacional é assegurar a Política de Segurança de Informação nacional. Com isso o governo precisa investir em novas tecnologias de segurança para o país, e precisa ter uma boa equipe de governança de TI para analisar e armazenar as informações.
  • 10. Bibliografia http://www.macmt.com.br/catolica/Sox%20na%20Governan%C3%A7a %20de%20TI.pdf http://www.webartigos.com/articles/52383/1/Leis-sobre-seguranca-da- Informacao--O-Brasil-comparado-ao-Resto-do-Mundo/pagina1.html http://pt.wikipedia.org/wiki/Compliance http://www.garcia.pro.br/governanca/Governanca%20de%20TI%20- %20parte%201%20-%20Introducao.pdf http://br.answers.yahoo.com/question/index? qid=20070816204910AAQYLc8 http://www.riskbank.com.br/anexo/basileia2.pdf http://amarinhoti.blogspot.com/p/o-que-e-governanca-de-ti.html