Baixe o app para aproveitar ainda mais
Prévia do material em texto
Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX • Lei Sarbanes Oxley, ou simplesmente SOX, foi criada no ano de 2002, motivada pelos escândalos financeiros que aconteceram com empresas de capital aberta, casos como Enron. • Iniciativa dos congressistas americanos Paul Sarbanes e Michael Oxley Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Os objetivos principais desta lei são: • Proteger os investidores do mercado de capitais americano de fraudes contábeis e financeiras de companhias abertas; • Instituir uma série de penalidades contra crimes relacionados, em que seu foco está em controle interno sobre relatórios financeiros. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • O CEO e o CFO devem revisar os relatórios financeiros. • Os relatórios não podem conter nenhuma declaração falsa de um fato relevante ou omissão, para benefícios de resultados. • Os sistemas de controle interno sobre emissão de relatórios financeiros devem ser projetados sob a supervisão do CEO e CFO. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • Deve ser avaliada a efetividade do sistema de controle sobre a emissão de relatórios financeiros. • Devem ser comunicadas mudanças nos controles internos sobre relatórios financeiros, considerando ultimo ano fiscal. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • Devem ser comunicadas deficiências nos sistemas de controle interno que possam afetar a habilidade da empresa em registrar, processar, sumarizar e comunicar informações financeiras. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • Deve ser comunicada qualquer fraude que envolva a gerência ou outros empregados que tenha papel significante nos registros internos sobre relatórios financeiros. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • A administração tem a responsabilidade de estabelecer e manter uma estrutura adequada de controle interno e procedimento para relatório financeiro. • A administração deve avaliar a efetividade do sistema de controle interno sobre relatório financeiro. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • Deve ser realizada uma auditoria externa especifica sobre a avaliação interna da efetividade do sistema de controle interno feita pela administração. • O conteúdo da aplicação deve ser apropriado. • A informação deve estar disponível sempre que for necessária (disponibilidade). Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • A informação deve ser a atual ou pelo menos a última disponível (Integridade). • Os dados e as informações estão corretos (Integridade). Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância. • A informação é acessível aos usuários interessados (disponibilidade). • Há um sistema de controle interno sobre relatórios financeiros que garante todos os demais itens anteriores. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 SOX Requisitos da SOX que afetam TI: Para a TI, as seções 302 e 404 da SOX são de suma importância • Portanto, praticamente todos os sistemas transacionais de uma empresa, relativos a pagamento de pessoal, pagamento de benefício pessoal, transações com fornecedores (compras, aplicação de recursos financeiros) e clientes (vendas, captação de recursos financeiros), com acionistas, com o governo, gestão de recursos financeiros, logística de materiais, etc. devem ser considerados quando se pensa em atender a SOX. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II • Foi estabelecido pelo Bank International Settlements (BIS), sediado na cidade de Basileia (conhecido como o Banco Central dos Bancos Centrais). • Este acordo estipula requisitos de capital mínimo para instituições financeiras em função dos seus riscos de créditos operacionais. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II • Além disso, propõe um enfoque mais flexível para a exigência de capital e mais abrangente com relação ao fortalecimento da supervisão bancária e ao estímulo para maior transparência na divulgação das informações ao mercado, baseado em três grandes premissas (pilares): Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II Três grandes premissas (pilares) que visam: • Fortalecimento da estrutura de capitais das instituições. • Estímulo à adoção das melhores práticas de gestão de riscos. • Redução da assimetria de informação e favorecimento da disciplina de mercado. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II O acordo de Basileia possui três pilares: • Primeiro: • Estabelece regras e procedimentos para cálculos dos requisitos de capital, tendo em vista os riscos de créditos e operacionais, de acordo com a aplicação de abordagens distintas de avaliação e mitigação de riscos. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II O acordo de Basileia possui três pilares: • Segundo: • Estabelece regras para que os Bancos Centrais de cada país executem auditorias nas instituições financeiras, visando avaliar a aplicação dos métodos de gestão de risco e a avaliação e mitigação de riscos de crédito e operacionais, assim como a emissão de informações para o mercado acerca da exposição do risco da instituição. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 O Acordo de Basileia II O acordo de Basileia possui três pilares: • Terceiro: • Estabelece regras para a comunicação para o mercado dos requisitos mínimos de capital face aos riscos e aos métodos e resultados de avaliações de riscos, conforme estabelecido no primeiro pilar. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Implicações do Acordo de Basileia II em TI Atualmente o Banco Central do Brasil vem auditando as áreas de TI dos bancos através do instrumento (modelo- framework) denominado COBIT (Control objectives for information and related technology); Desenvolvido e Mantido pela Information Systems Audit and Control Association – ISACA. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Implicações do Acordo de Basileia II em TI Do ponto de vista do risco de crédito, o impacto recai sobre: • A capacidade de armazenamento de dados em face à granularidade de informações requeridas de cada cliente, visando avaliar riscos de forma mais consistentes. • A integridade das informações acerca de transações do banco. • A integridade das informações armazenadas sobre os clientes e operações de crédito. • A segurança dessas informações. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Implicações do Acordo de Basileia II em TI Do pontode vista do risco de crédito, o impacto recai sobre: • A contingência das operações. • O planejamento de capacidade. • O planejamento de recuperação de desastres. • A integridade do processo de emissão de relatórios requeridos pelo BIs. • Analogicamente ao que falamos no caso da SOX, em relação ao Acordo de Basileia, o CIO ou equivalente deve: • Inserir questões do Acordo de Basileia em seu plano de tecnologia da informação. • Implantar novos processos de TI. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Implicações do Acordo de Basileia II em TI Do ponto de vista do risco de crédito, o impacto recai sobre: • Ajustar ou melhorar os processos existentes. • Ajustar a estrutura organizacional de TI para acomodar novos processos. • Definir e implantar novos indicadores de desempenho, caso seja necessário. • Tratar a gestão de riscos (planejamento e monitoramento) de TI como um processo com identidade própria na organização de TI. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Impacto no Brasil - Resolução 3380 – BACEN • Em junho de 2006, foi publicada a Resolução 3380 do Banco Central do Brasil, que determina que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil implementem sua própria estrutura de gerenciamento de risco operacional. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Resolução 3380 – BACEN • Conforme definição na própria resolução, risco operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Impacto no Brasil - Resolução 3380 – BACEN • No que tange à Tecnologia da Informação, a resolução refere-se a falhas em sistemas como riscos operacionais. • Alguns riscos apontados, como interrupção de atividades da instituição e danos a ativos, também podem ser originadas pela TI. • De acordo com esta resolução, deve-se identificar, avaliar, monitorar, controlar e mitigar os riscos da instituição. Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Impacto no Brasil - Resolução 3380 – BACEN • As implicações desta resolução para a TI de uma instituição financeira são que ela deve: • Identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais que afetam a instituição (esta gestão de riscos deve ser permanentemente executada). Governança de TI Prof. Dr. Ivanir Costa – Agosto de 2014 Costa, I; Mollo Neto, M; Costa Neto, P. L. O.; Cardoso Júnior, J. L. Qualidade em Tecnologia da Informação. SP: Atlas, 2013. Fernandes, A. A; Abreu, V. F. Implantando a governança de TI. RJ: Brasport, 2012. Rezende, D. A. A Evolução da TI nos últimos 45 anos. Disponível em: http://www.joinville.udesc.br/portal/professores/pfitscher/materiais/Evolu__o_da_TI.pdf. Acesso em: 4 abr. 2013. Referências Bibliográficas
Compartilhar