Compliance

2.180 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
2.180
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
43
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Compliance

  1. 1. SENAC SC Disciplina: Governança de TI Professor: Claudio Compliance Sarbanees-Oxley Acordo da Basiléia II Resolução BACEN 3380 Decreto 3505-Segurança da InformaçãoAlunos: Jeferson, José, Willian, Luis, Thiago Jacques, Felipe Fontes Florianópolis, 18 de março de 2011
  2. 2. Compliance, o que é? Relação com Governança de TI. O termo Compliance define uma prática bastante difundida no âmbitocorporativo e institucional. O conceito de compliance consiste em um conjuntode disciplinas para fazer cumprir todas as normas legais e regulamentações,ou seja, tem como objetivo fazer cumprir todas as diretrizes, políticas que forampreviamente estabelecidas para o negócio e atividades desempenhadas pelaorganização, assim como também tem a função preventiva de evitar, detectar ecorrigir todo e qualquer problema que caracterize uma inconformidade oudesvio que eventualmente venha a ocorrer. A origem da palavra vem do verbo em inglês “to comply”, quesignifica “cumprir”, “satisfazer”, “executar”. O conceito surgiu do mercadofinanceiro, tendo portanto se estendido para organizações privadas egovernamentais. Segundo a Wikipédia (2011), compliance é: Através das atividades de Compliance, qualquer possível desvio em relação à política interna, é identificado e evitado. Assim, por exemplo no caso de sócios e investidores, estes têm a segurança de que suas aplicações e orientações serão geridas segundo as diretrizes por eles estabelecidas. Não existe compliance se não houver segregação de funções. Por exemplo, quem determina um investimento, não pode ser a mesma pessoa a fiscalizá-lo. Quem cria uma norma interna, não pode nomear a si próprio como fiscalizador desta norma. A partir de meados da década de 90, todas as organizações públicas e privadas passaram a adotar o Compliance como uma de suas regras mais primárias e fundamentais para a transparência de suas atividades. O oposto também é válido: As empresas ou órgãos públicos que não possuem uma área forte de Compliance, perdem
  3. 3. em credibilidade perante as partes relacionadas (stakeholders) e cada vez mais perdem oportunidades no mercado, principalmente no financeiro. As atividades de Compliance, para terem credibilidade, não devem ter em seus quadros jovens recém contratados, recém-formados ou estagiários. Só devem ocupar cargos de Compliance pessoas com larga e comprovada experiência não apenas no negócio em si, mas com forte experiência em cargos de liderança em empresas de médio ou grande porte. Devido à enorme responsabilidade dos executivos de Compliance, estes devem estar prontos para responder aos stakeholders e perante a lei por suas atividades. A aplicação do conceito compliance na governança de TI, se dá por meios de marcos de regulação que externos. É de extrema importância para a governança de TI pois alinhado junto a todos os princípios de TI, esta estabelece “regras que todos devem seguir, que subsidiam a tomada de decisão sobre aquisições, uso de padrões etc...” Sua aplicação é feita e relacionada com: princípios de TI; necessidades de aplicações; arquitetura de TI; infra-estrutura de TI e etc. Sarbanes-Oxley, o que é? Implicações na governança de TI. A Lei Sarbanes-Oxley é uma lei americana, assinada em 30 de julho de2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputadoMichael Oxley (Republicano de Ohio).
  4. 4. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visagarantir a criação de mecanismos de auditoria e segurança confiáveis nasempresas, incluindo ainda regras para a criação de comitês encarregados desupervisionar suas atividades e operações, de modo a mitigar riscos aosnegócios, evitar a ocorrência de fraudes ou assegurar que haja meios deidentificá-las quando ocorrem, garantindo a transparência na gestão dasempresas. Atualmente grandes empresas com operações financeiras no exteriorseguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresasbrasileiras que mantém ADRs (American Depositary Receipts) negociadas naNYSE (New York Stock Exchange), como a Petrobras, a GOL Linhas Aéreas, aSabesp,a TAM Linhas Aéreas, a Brasil Telecom, Ultragaz, o Grupo Pão deAçúcar, Banco Itaú, TIM, Vale S.A., Vivo S.A., e a Natura Cosméticos S.A.. Como não é possível separar processos de negócios e tecnologia nopanorama corporativo atual, uma avaliação da infra-estrutura operacional epessoal de TI das empresas é igualmente requerida. A Seção 404 do AtoSarbanes-Oxley é o principal foco de atenção das empresas neste particular,por trazer as determinações sobre os controles de processos internos esistemas contábeis da empresa. Esta seção determina uma avaliação anualdos controles e processos internos para a realização de relatórios financeiros,com a obrigação de emissão de relatório a ser encaminhado à SEC (SecurityExchange Comission - órgão regulador das empresas de capital aberto dosEUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) noBrasil, que ateste estes parâmetros. Com isso as empresas precisam ter umaótima governança de TI para poder seguir estes parâmetros exigidos pela lei. O Acordo de Capital de Basiléia II, o que é? Relação comGovernança de TI. O Acordo de Capital de Basiléia II, também conhecido como Basiléia II,foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para
  5. 5. substituir o acordo de Basiléia I, que tinha como objetivo fortalecer o sistemafinanceiro agindo como uma especie de manual de normas e relacionamentobancario uzado em varios paises para de criar uma maior estabilidade nosistema bancario internacional, com isso os bancos precisam respeitarexigências mínimas de capital com o objetivo de evitar a falência de empresasdo ramo financeiro por causa da conseqüência que a falência destas empresaspode causar. Como o acordo basileia l ja não era auterado a mais de dez anos,foram levantadas novas proprostas visando principalmente a area de riscos, eem 2001 foi feito um novo acordo que foi chamado de Basiléia ll. O acordo deBasiléia ll, apoia-se em 3 pilares, que são: Capital minimo requerido: manteve sua definição do que é capital e orequerimento mínimo de 8% para os ativos ponderados pelo risco, mas sofreualterações no método de analise e administração dos riscos Revisão no processo de supervisão: esse também foi um sistema quefoi revisto, onde é descrita a importância dos administradores desenvolveremum plano de gerenciamento de riscos eficiente. Disciplina de mercado: estimula uma maior disciplina do mercadoatravés do aumento da transparência dos bancos Se tratando da implicação desse acordo com a Governança de TI,apesar desse acordo ser feito com as praticas para a área financeira, esseacordo tem o mesmo objetivo da governança de TI que é criar diretrizes enormas de como os processos devem ser feitos dentro da área ou organização,para que os resultados sejam os melhores possíveis. Definições de Governança de TI: “A governança de TI é de responsabilidade da alta administração(incluindo diretores e executivos), na liderança, mas estruturas organizacionais
  6. 6. e nos processos que garantem que a TI da empresa sustente e estenda asestratégias e objetivos da organização.” Outra definição é dada por Well & Ross (2004): “Consiste em um ferramental para especificações dos direitos dedecisão e das responsabilidades, visando encorajar comportamento desejávelno uso de TI”. Analisando essas duas definições, podemos facilmente concluir quegovernança de TI busca o compartilhamento das decisões de TI com osdemais dirigentes da organização, assim como estabelece as regras, aorganização e os processos que nortearão o uso da tecnologia da Informaçãopelos usuários, departamentos, divisões, negócios da organização,fornecedores e clientes, determinando como a TI deve prover os serviços paraa empresa. Portanto, a Governança de TI não é somente a implantação demodelos de melhores práticas, tais como Cobit,ITIL, CMMI Etc. Ainda dentro dessa ótica, a governança de TI deve : Garantir o alinhamento da TI ao negocio (suas estratégias e objetivos),tanto no que diz respeito à aplicação como a infra-estrutura de serviços de TI; Garantir a continuidade do negocio contra interrupções e falhas(manter e gerir as aplicações e infra-estrutura de serviços); Garantir o alinhamento de TI a marcos de regulação externo como aSarbanes Oxley (para empresas que possuem ações, títulos ou papéis sendonegociados em bolsa de valores norte americanas), Basiléia ll (no caso debancos) e outras normas e resoluções. Entretanto, a visão de governança de TI que sugerimos vai alémdessas definições e pode ser representada pelo que chamamos de “Ciclo daGovernança de TI”, composto por 4 grandes etapas (1) alinhamento estratégico
  7. 7. e compliance,(2) decisão,(3) estrutura e processos,(4) medição dodesempenho da TI. O alinhamento estratégico e compliance referem-se ao planejamentoestratégico da tecnologia da informação, que leva em consideração asestratégias da empresa para seus vários produtos e segmentos de atuação,assim como os requisitos de compliance externos, tais como o Sarbanes-OxleyAct e o acordo Basiléia. A etapa da decisão, compromisso, priorização e alocação de recursosrefere-se às responsabilidades pelas decisões relativas a TI, em termos de:arquitetura de TI, serviços de infra-estrutura, investimentos necessários deaplicações, etc, assim são realizadas essas decisões. Adicionalmente, trata da obtenção do envolvimento dos tomadores dedecisão chaves da organização, assim como da definição de prioridades deprojetos e serviços e da alocação efetiva de recursos monetários no contextode um portfólio de TI. A etapa de estrutura, processos, operação e gestão referem-se àestrutura organizacional e funcional de TI, aos processos de gestão e operaçãodos produtos e serviços de TI, alinhados com as necessidades estratégicas eoperacionais da empresa. Nesta fase são definidas ou redefinidas asoperações de sistemas, infra-estrutura, suporte técnico, segurança dainformação, o escritório do CIO, etc. A etapa de medição do desempenho refere-se à determinação, coleta egeração de indicadores de resultados dos processos, produtos e serviços de TIe á sua contribuição para as estratégias e objetivos do negócio. Resolução BACEN 3380, o que é? Relação com Governança de TI: A Resolução BACEN 3380 é a versão tupiniquim do acordo Basiléia II,que consiste em uma normatização dos serviços prestados pelos bancos, esteacordo consiste em uma padronização por três pilares, que são eles:
  8. 8. 1- Capital (guardar) 2- Supervisão (fiscalizar) 3- Transparência e Disciplina de Mercado (divulgação dos dados) A Resolução BACEN 3380 surgiu juntamente com a Basiléia II comoresposta ao back de 2007 gerado por Bernard Madoff. Justificando o ocorridoem 2007 segue citação retirada do site: http://dinheirama.com/blog/2008/12/30/bernard-madoff-as-piramides-financeiras-e-seus-investimentos/ Bernard Madoff é acusado de ter formado uma gigantesca pirâmideespeculativa por meio de um fundo de investimentos. O esquema é um clássicoda burla financeira: consiste em usar o dinheiro aplicado por novos investidorespara remunerar os antigos. Quando a entrada de novas aplicações sofrediminuição brusca, o esquema vem abaixo. A trajetória de retornos na faixa de 1% ao mês atraiu vários bancos,fundos e investidores de diversos países, inclusive do Brasil. Muitosaplicadores acreditavam que o sucesso da carteira de investimento de Madoffestava atrelado ao segredo da estratégia de gestão. A caixa preta, naverdade, escondia uma fraude. As perdas são estimadas em US$ 50 bilhões. De acordo com esse ocorrido fez-se necessário a modificação dasnormas para que possa existir maior segurança, segundo a referência do sitehttp://paulobeck.blogspot.com/2007/07/atendendo-resoluo-bacen-3380-em-10.html não é só o BACEN 3380 que compõe as normas de melhores práticas Organizações internacionais como British Standard (BS7799), ISO(ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (ControlObjectives for Related Information Technology), entre outras, há muito tempovem motivando corporações a adequarem-se as normas e padrões demercado, no que chamamos “Melhores Práticas” e “Governança Corporativa ede TI”, contemplando em suas seções as disciplinas de Segurança, Análise deRiscos e Continuidade de Negócios.
  9. 9. Decreto 3505 – Segurança da Informação, o que é? Implicações nagovernança de TI. O Decreto 3505, de 13 de Junho de 2000, por meio do qual foiinstituída a Política de Segurança da Informação nos órgão da AdministraçãoPública Federal tendo como objetivos a destacar (art. 3º):  Eliminar a dependência externa em relação a sistemas,equipamentos, dispositivos e atividades vinculadas à segurança dos sistemasde informação;  Promover a capacitação de recursos humanos para odesenvolvimento de competência científico-tecnológica em segurança dainformação;  Estabelecer normas jurídicas necessárias à efetiva implementaçãoda segurança da informação;  Promover as ações necessárias à implementação e manutenção dasegurança da informação;  Assegurar a interoperabilidade entre os sistemas de segurança dainformação. A publicação do Decreto 3.505 demonstra que assim como outrospaíses a preocupação do governo nacional é assegurar a Política deSegurança de Informação nacional. Com isso o governo precisa investir em novas tecnologias desegurança para o país, e precisa ter uma boa equipe de governança de TI paraanalisar e armazenar as informações.
  10. 10. Bibliografia http://www.macmt.com.br/catolica/Sox%20na%20Governan%C3%A7a%20de%20TI.pdf http://www.webartigos.com/articles/52383/1/Leis-sobre-seguranca-da-Informacao--O-Brasil-comparado-ao-Resto-do-Mundo/pagina1.html http://pt.wikipedia.org/wiki/Compliance http://www.garcia.pro.br/governanca/Governanca%20de%20TI%20-%20parte%201%20-%20Introducao.pdf http://br.answers.yahoo.com/question/index?qid=20070816204910AAQYLc8 http://www.riskbank.com.br/anexo/basileia2.pdf http://amarinhoti.blogspot.com/p/o-que-e-governanca-de-ti.html

×