Governana de Tecnologia da Informao

SOX

Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
MERCADO
OUTROS
PASES

Governana Corporativa
Resultados Financeiros
Controles
Auditoria

EMPRESA

Mercado

EMPRESA

MERCADO
USA

EMPRESA

EMPRESA
EMPRESA

Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Fraudes e Crimes Financeiros

Grande Stress no pas

Grande presena da mdia
Auditorias governamentais
Processo na Justia (envolvidos)
Srios problemas com as empresas envolvidas
Perdas para os acionistas
Desemprego
Descrdito geral do mercado (Bolsa e instituies)
Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Sarbanes e Oxley Senadores americanos
Desenvolveram e aprovaram uma lei no Senado (2002)

Define regras de governana corporativa

Define controles a serem implementados
Define responsabilidades nas empresas
Define critrios para auditorias
Define tipos e formas de punies
Abrangncia da Lei USA e suas filiais no mundo
Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Seo 302 - Diretores Executivos e Diretores financeiros so
explicitamente responsveis por estabelecer, avaliar
e monitorar a eficcia dos controles internos sobre
os relatrios e divulgaes financeiras.
Seo 404 Avaliao anual dos controles e procedimentos
internos para a emisso dos relatrios
financeiros (empresa). Um auditor independente
emitir um relatrio distinto que ateste a assero
da administrao sobre a eficcia dos controles e
procedimentos.
Seo 906 .... Multas de at US$ 5 Milhes e at 20 anos de
priso.
Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Committee of Sponsoring
Organizations of the
Treadway Commission

Ambiente de Controle

Tem um padro para controles que tem sido

recomendado.

Definiu o conceito de controles

5 componentes do COSO :
1. Ambiente de Controle
2. Avaliao de Risco
3. Atividades de Controle
4. Informaes e Comunicaes
5. Monitoramento
Prof Gislaine Stachissini

Integridade e Valores ticos

Compromisso com Competncia
Filosofia e Estilo Operacional
Estrutura Organizacional
Alocao de Autoridade e Responsabilidades
Diretrizes e Prticas de Recursos Humanos

Avaliao de Risco

Objetivos de toda a Entidade e de Atividades

Sistemas de Informtica (Sistemas de Gesto)
Gesto de Mudanas

Atividades de Controle

Diretrizes, Procedimentos, Prticas

Bens de Capital

Informaes e Comunicaes

Qualidade das Informaes

Formas de Comunicaes

Monitoramento

Monitoramento Contnuo
Avaliaes Individuais

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Enterprise Risk Management Integrated Framework

Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Enterprise Risk Management Integrated Framework

Risk Analysis
Risk
Assessment

Risk
Management

Risk
Monitoring

Identification

Control It

Process
Level

Measurement

Share or
Transfer It

Activity
Level

Prioritization

Diversify or
Avoid It

Entity Level

Prof Gislaine Stachissini

Governana de Tecnologia da Informao

Lei SarbanesSarbanes-Oxley
Roteiro para implementao da SOX:
Mapeamento dos processos chaves que impactam as Demonstraes
Financeiras.
Verificao dos controles existentes nos processos.
Verificao da suficincia dos controles.
Testes dos controles.
Documentao das evidencias dos testes.
Planos de ao de correo de deficincias.
Responsveis pelas aes corretivas.
Prof Gislaine Stachissini

Governana de Tecnologia da Informao

CMMI

Prof Gislaine Stachissini

10

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

SW-CMM (Software
SW(Software Capability Maturity Model
Model):
): este modelo provia informaes
para o aprimoramento de processos de desenvolvimento de software,
apresentando as prticas chave para que as empresas pudessem atingir um maior
nvel de maturidade.
SE-CMM (Systems
SE(Systems Engineering Capability Maturity Model
Model):
): este modelo provia
informaes sobre os elementos necessrios para a implantao de um adequado
processo de engenharia de sistemas nas empresas.
IPD-CMM (Integrated
IPD(Integrated Product Development Capability Maturity Model
Model):
): este
modelo provia informaes para o aprimoramento de processos de
desenvolvimento que exigem a integrao de mltiplas disciplinas ao longo do
ciclo de vida do produto, de forma a atender as necessidades do cliente.

Prof Gislaine Stachissini

11

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

No ano de 2001, estes trs modelos de maturidade descritos anteriormente
foram integrados em um modelo mais abrangente, denominado CMMI
(Capability Maturity Model Integration). A partir desta integrao, os trs
modelos deixaram de ser mantidos pelo SEI. (Software Engineering Institute)
5. Otimizado

Controle do
Processo
4. Gerencivel
Medio do
Processo

3. Definido
Definio do
Processo
2. Repetvel

1. Inicial

Prof Gislaine Stachissini

Controle Bsico
de
Gerenciamento

Nveis de
Maturidade
de Processo
12

Governana de Tecnologia da Informao

CMMI

Prof Gislaine Stachissini

13

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 1: Inicial
Organizaes que se encontram no nvel 1 do CMMI, esto no estgio Inicial,
onde os processos so caticos e definidos como ad hoc [1].
O ambiente de desenvolvimento instvel e apesar de geralmente obterem
o produto final desejado, parmetros como prazo e custo do projeto so
freqentemente maiores do que o esperado.

[1] Processos classificados como ad hoc so aqueles realizados sem planejamento

prvio, sem preparao.

Prof Gislaine Stachissini

14

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 2: Repetvel ou Gerenciado
Para prosseguir do nvel 1 para o nvel 2, Repetvel, a organizao deve
passar a utilizar processos bsicos de gerncia de projetos no sentido de
controlar basicamente os custos, prazos e funcionalidades do software
durante o processo de desenvolvimento ao longo do projeto.
As atividades a serem desenvolvidas no projeto so devidamente planejadas
e documentadas com o acompanhamento da execuo e das mtricas de
controle. O objetivo de se manter um processo controlado est em executar
as prticas planejadas inclusive nos momentos mais crticos do projeto. Alm
disso, os procedimentos planejados podem ser repetidos em outros projetos.

Prof Gislaine Stachissini

15

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 2: Repetvel
Gerncia de Requisitos

Planejamento de Projeto
Controle e Monitoramento de Projeto
Gerncia de Contrato de Fornecedores
Medio e Anlise
Garantia de Qualidade do Processo e do Produto
Gerncia de Configurao

Prof Gislaine Stachissini

16

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 3: Definido
Uma organizao classifica-se no nvel 3 de maturidade quando, alm de
desenvolver
todas
as
atividades
de
gerncia,
planejamento,
desenvolvimento, medio e controle contidos no nvel 2, os processos
passam a ser desenvolvidos com base em padres, procedimentos,
ferramentas e mtodos. Alm disso, no nvel Definido os processos so
estruturados de forma mais detalhada do que no nvel Repetvel anterior.
Os padres de processos estabelecidos neste nvel de maturidade so tanto
aplicveis para um determinado projeto de software, quanto para diferentes
projetos desenvolvidos em toda a organizao. O mesmo no ocorre em
organizaes no nvel Repetvel, onde os padres de processo estabelecidos
so geralmente particulares a um projeto.

Prof Gislaine Stachissini

17

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 3: Definido
Desenvolvimento de Requisitos
Soluo Tcnica
Integrao do Produto
Verificao

Validao
Foco do Processo Organizacional
Definio do Processo Organizacional
Treinamento Organizacional

Gerncia Integrada de Projeto

Gerncia de Riscos
Anlise de Deciso e Resoluo
Prof Gislaine Stachissini

18

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 4: Gerencivel ou gerenciado quantitativamente
Uma organizao classifica-se no nvel 4 de maturidade quando, alm de
desenvolver todas as atividades de padronizaes contidas no nvel 3, so
realizados controle quantitativos de qualidade e desempenho do processo.
Aplica-se uma gerncia mais detalhada de mtricas e estatsticas, de forma
que se estabelea uma base de controle quantitativo de todo o processo de
desenvolvimento de software.

Prof Gislaine Stachissini

19

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 4: Gerencivel
Desempenho do Processo Organizacional
Gerncia Quantitativa de Projeto

Prof Gislaine Stachissini

20

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 5: Otimizado
Uma organizao classifica-se no nvel 5 de maturidade quando, alm de
desenvolver controles quantitativos de qualidade e desempenho contidos no
nvel 4, promove o aperfeioamento do processo de desenvolvimento de
software a partir dos planos de qualidade e das mtricas obtidas em
avaliaes dos processos. As atividades desenvolvidas ao longo dos processos
so avaliadas de forma a prover dados significativos passveis de serem
analisados. A partir destas anlises identificam-se os pontos do processo que
podem ser aprimorados com base na experincia, nas lies aprendidas.
Diferentemente do nvel Gerencivel, onde a anlise quantitativa aplicada
para o aprimoramento de projetos individuais, no nvel Otimizado analisamse os resultados de diversos projetos e identificam-se melhorias a serem
introduzidas no processo geral da organizao, de forma que possam ser
aplicadas em qualquer projeto e no somente em um projeto especfico.
Prof Gislaine Stachissini

21

Governana de Tecnologia da Informao

CMMI - Capability Maturity Model Integration

Nvel 5: Otimizado
Inovao Organizacional e Implantao
Anlise Causal e Resoluo

Prof Gislaine Stachissini

22