O documento discute conceitos relacionados à governança de TI como compliance, Sarbanes-Oxley, Acordo da Basiléia II, Resolução BACEN 3380 e Decreto 3505. Compliance refere-se a cumprir normas e políticas estabelecidas. Sarbanes-Oxley e Basiléia II estabelecem requisitos para empresas e bancos respectivamente. Resolução BACEN 3380 e Decreto 3505 tratam de segurança da informação no Brasil. Todos esses conceitos são importantes para a governança de TI nas organizações
1. SENAC SC
Disciplina: Governança de TI
Professor: Claudio
Compliance
Sarbanees-Oxley
Acordo da Basiléia II
Resolução BACEN 3380
Decreto 3505-Segurança da Informação
Alunos: Jeferson, José, Willian, Luis, Thiago Jacques, Felipe Fontes
Florianópolis, 18 de março de 2011
2. Compliance, o que é? Relação com Governança de TI.
O termo Compliance define uma prática bastante difundida no âmbito
corporativo e institucional. O conceito de compliance consiste em um conjunto
de disciplinas para fazer cumprir todas as normas legais e regulamentações,
ou seja, tem como objetivo fazer cumprir todas as diretrizes, políticas que foram
previamente estabelecidas para o negócio e atividades desempenhadas pela
organização, assim como também tem a função preventiva de evitar, detectar e
corrigir todo e qualquer problema que caracterize uma inconformidade ou
desvio que eventualmente venha a ocorrer.
A origem da palavra vem do verbo em inglês “to comply”, que
significa “cumprir”, “satisfazer”, “executar”. O conceito surgiu do mercado
financeiro, tendo portanto se estendido para organizações privadas e
governamentais.
Segundo a Wikipédia (2011), compliance é:
Através das atividades de Compliance, qualquer
possível desvio em relação à política interna, é
identificado e evitado. Assim, por exemplo no caso de
sócios e investidores, estes têm a segurança de que suas
aplicações e orientações serão geridas segundo as
diretrizes por eles estabelecidas.
Não existe compliance se não houver segregação
de funções. Por exemplo, quem determina um
investimento, não pode ser a mesma pessoa a fiscalizá-lo.
Quem cria uma norma interna, não pode nomear a si
próprio como fiscalizador desta norma.
A partir de meados da década de 90, todas as
organizações públicas e privadas passaram a adotar o
Compliance como uma de suas regras mais primárias e
fundamentais para a transparência de suas atividades. O
oposto também é válido: As empresas ou órgãos públicos
que não possuem uma área forte de Compliance, perdem
3. em credibilidade perante as partes relacionadas
(stakeholders) e cada vez mais perdem oportunidades no
mercado, principalmente no financeiro.
As atividades de Compliance, para terem
credibilidade, não devem ter em seus quadros jovens
recém contratados, recém-formados ou estagiários. Só
devem ocupar cargos de Compliance pessoas com larga
e comprovada experiência não apenas no negócio em si,
mas com forte experiência em cargos de liderança em
empresas de médio ou grande porte.
Devido à enorme responsabilidade dos executivos
de Compliance, estes devem estar prontos para
responder aos stakeholders e perante a lei por suas
atividades.
A aplicação do conceito compliance na
governança de TI, se dá por meios de marcos de
regulação que externos. É de extrema importância para a
governança de TI pois alinhado junto a todos os princípios
de TI, esta estabelece “regras que todos devem seguir,
que subsidiam a tomada de decisão sobre aquisições, uso
de padrões etc...”
Sua aplicação é feita e relacionada com:
princípios de TI; necessidades de aplicações; arquitetura
de TI; infra-estrutura de TI e etc.
Sarbanes-Oxley, o que é? Implicações na governança de TI.
A Lei Sarbanes-Oxley é uma lei americana, assinada em 30 de julho de
2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado
Michael Oxley (Republicano de Ohio).
4. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa
garantir a criação de mecanismos de auditoria e segurança confiáveis nas
empresas, incluindo ainda regras para a criação de comitês encarregados de
supervisionar suas atividades e operações, de modo a mitigar riscos aos
negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de
identificá-las quando ocorrem, garantindo a transparência na gestão das
empresas.
Atualmente grandes empresas com operações financeiras no exterior
seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas
brasileiras que mantém ADRs (American Depositary Receipts) negociadas na
NYSE (New York Stock Exchange), como a Petrobras, a GOL Linhas Aéreas, a
Sabesp,a TAM Linhas Aéreas, a Brasil Telecom, Ultragaz, o Grupo Pão de
Açúcar, Banco Itaú, TIM, Vale S.A., Vivo S.A., e a Natura Cosméticos S.A..
Como não é possível separar processos de negócios e tecnologia no
panorama corporativo atual, uma avaliação da infra-estrutura operacional e
pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato
Sarbanes-Oxley é o principal foco de atenção das empresas neste particular,
por trazer as determinações sobre os controles de processos internos e
sistemas contábeis da empresa. Esta seção determina uma avaliação anual
dos controles e processos internos para a realização de relatórios financeiros,
com a obrigação de emissão de relatório a ser encaminhado à SEC (Security
Exchange Comission - órgão regulador das empresas de capital aberto dos
EUA), uma instituição equivalente à Comissão de Valores Mobilários (CVM) no
Brasil, que ateste estes parâmetros. Com isso as empresas precisam ter uma
ótima governança de TI para poder seguir estes parâmetros exigidos pela lei.
O Acordo de Capital de Basiléia II, o que é? Relação com
Governança de TI.
O Acordo de Capital de Basiléia II, também conhecido como Basiléia II,
foi um acordo assinado no âmbito do Comitê da Basiléia em 2004 para
5. substituir o acordo de Basiléia I, que tinha como objetivo fortalecer o sistema
financeiro agindo como uma especie de manual de normas e relacionamento
bancario uzado em varios paises para de criar uma maior estabilidade no
sistema bancario internacional, com isso os bancos precisam respeitar
exigências mínimas de capital com o objetivo de evitar a falência de empresas
do ramo financeiro por causa da conseqüência que a falência destas empresas
pode causar.
Como o acordo basileia l ja não era auterado a mais de dez anos,
foram levantadas novas proprostas visando principalmente a area de riscos, e
em 2001 foi feito um novo acordo que foi chamado de Basiléia ll. O acordo de
Basiléia ll, apoia-se em 3 pilares, que são:
Capital minimo requerido: manteve sua definição do que é capital e o
requerimento mínimo de 8% para os ativos ponderados pelo risco, mas sofreu
alterações no método de analise e administração dos riscos
Revisão no processo de supervisão: esse também foi um sistema que
foi revisto, onde é descrita a importância dos administradores desenvolverem
um plano de gerenciamento de riscos eficiente.
Disciplina de mercado: estimula uma maior disciplina do mercado
através do aumento da transparência dos bancos
Se tratando da implicação desse acordo com a Governança de TI,
apesar desse acordo ser feito com as praticas para a área financeira, esse
acordo tem o mesmo objetivo da governança de TI que é criar diretrizes e
normas de como os processos devem ser feitos dentro da área ou organização,
para que os resultados sejam os melhores possíveis.
Definições de Governança de TI:
“A governança de TI é de responsabilidade da alta administração
(incluindo diretores e executivos), na liderança, mas estruturas organizacionais
6. e nos processos que garantem que a TI da empresa sustente e estenda as
estratégias e objetivos da organização.”
Outra definição é dada por Well & Ross (2004):
“Consiste em um ferramental para especificações dos direitos de
decisão e das responsabilidades, visando encorajar comportamento desejável
no uso de TI”.
Analisando essas duas definições, podemos facilmente concluir que
governança de TI busca o compartilhamento das decisões de TI com os
demais dirigentes da organização, assim como estabelece as regras, a
organização e os processos que nortearão o uso da tecnologia da Informação
pelos usuários, departamentos, divisões, negócios da organização,
fornecedores e clientes, determinando como a TI deve prover os serviços para
a empresa.
Portanto, a Governança de TI não é somente a implantação de
modelos de melhores práticas, tais como Cobit,ITIL, CMMI Etc.
Ainda dentro dessa ótica, a governança de TI deve :
Garantir o alinhamento da TI ao negocio (suas estratégias e objetivos),
tanto no que diz respeito à aplicação como a infra-estrutura de serviços de TI;
Garantir a continuidade do negocio contra interrupções e falhas
(manter e gerir as aplicações e infra-estrutura de serviços);
Garantir o alinhamento de TI a marcos de regulação externo como a
Sarbanes Oxley (para empresas que possuem ações, títulos ou papéis sendo
negociados em bolsa de valores norte americanas), Basiléia ll (no caso de
bancos) e outras normas e resoluções.
Entretanto, a visão de governança de TI que sugerimos vai além
dessas definições e pode ser representada pelo que chamamos de “Ciclo da
Governança de TI”, composto por 4 grandes etapas (1) alinhamento estratégico
7. e compliance,(2) decisão,(3) estrutura e processos,(4) medição do
desempenho da TI.
O alinhamento estratégico e compliance referem-se ao planejamento
estratégico da tecnologia da informação, que leva em consideração as
estratégias da empresa para seus vários produtos e segmentos de atuação,
assim como os requisitos de compliance externos, tais como o Sarbanes-Oxley
Act e o acordo Basiléia.
A etapa da decisão, compromisso, priorização e alocação de recursos
refere-se às responsabilidades pelas decisões relativas a TI, em termos de:
arquitetura de TI, serviços de infra-estrutura, investimentos necessários de
aplicações, etc, assim são realizadas essas decisões.
Adicionalmente, trata da obtenção do envolvimento dos tomadores de
decisão chaves da organização, assim como da definição de prioridades de
projetos e serviços e da alocação efetiva de recursos monetários no contexto
de um portfólio de TI.
A etapa de estrutura, processos, operação e gestão referem-se à
estrutura organizacional e funcional de TI, aos processos de gestão e operação
dos produtos e serviços de TI, alinhados com as necessidades estratégicas e
operacionais da empresa. Nesta fase são definidas ou redefinidas as
operações de sistemas, infra-estrutura, suporte técnico, segurança da
informação, o escritório do CIO, etc.
A etapa de medição do desempenho refere-se à determinação, coleta e
geração de indicadores de resultados dos processos, produtos e serviços de TI
e á sua contribuição para as estratégias e objetivos do negócio.
Resolução BACEN 3380, o que é? Relação com Governança de TI:
A Resolução BACEN 3380 é a versão tupiniquim do acordo Basiléia II,
que consiste em uma normatização dos serviços prestados pelos bancos, este
acordo consiste em uma padronização por três pilares, que são eles:
8. 1- Capital (guardar)
2- Supervisão (fiscalizar)
3- Transparência e Disciplina de Mercado (divulgação dos dados)
A Resolução BACEN 3380 surgiu juntamente com a Basiléia II como
resposta ao back de 2007 gerado por Bernard Madoff. Justificando o ocorrido
em 2007 segue citação retirada do site:
http://dinheirama.com/blog/2008/12/30/bernard-madoff-as-piramides-
financeiras-e-seus-investimentos/
Bernard Madoff é acusado de ter formado uma gigantesca 'pirâmide'
especulativa por meio de um fundo de investimentos. O esquema é um clássico
da burla financeira: consiste em usar o dinheiro aplicado por novos investidores
para remunerar os antigos. Quando a entrada de novas aplicações sofre
diminuição brusca, o esquema vem abaixo.
A trajetória de retornos na faixa de 1% ao mês atraiu vários bancos,
fundos e investidores de diversos países, inclusive do Brasil. Muitos
aplicadores acreditavam que o sucesso da carteira de investimento de Madoff
estava atrelado ao segredo da estratégia de gestão. A 'caixa preta', na
verdade, escondia uma fraude. As perdas são estimadas em US$ 50 bilhões.
De acordo com esse ocorrido fez-se necessário a modificação das
normas para que possa existir maior segurança, segundo a referência do site
http://paulobeck.blogspot.com/2007/07/atendendo-resoluo-bacen-3380-em-
10.html não é só o BACEN 3380 que compõe as normas de melhores práticas
Organizações internacionais como British Standard (BS7799), ISO
(ISO17799 e ISO27000), ITIL (IT Infrastructure Library), e COBIT (Control
Objectives for Related Information Technology), entre outras, há muito tempo
vem motivando corporações a adequarem-se as normas e padrões de
mercado, no que chamamos “Melhores Práticas” e “Governança Corporativa e
de TI”, contemplando em suas seções as disciplinas de Segurança, Análise de
Riscos e Continuidade de Negócios.
9. Decreto 3505 – Segurança da Informação, o que é? Implicações na
governança de TI.
O Decreto 3505, de 13 de Junho de 2000, por meio do qual foi
instituída a Política de Segurança da Informação nos órgão da Administração
Pública Federal tendo como objetivos a destacar (art. 3º):
Eliminar a dependência externa em relação a sistemas,
equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas
de informação;
Promover a capacitação de recursos humanos para o
desenvolvimento de competência científico-tecnológica em segurança da
informação;
Estabelecer normas jurídicas necessárias à efetiva implementação
da segurança da informação;
Promover as ações necessárias à implementação e manutenção da
segurança da informação;
Assegurar a interoperabilidade entre os sistemas de segurança da
informação.
A publicação do Decreto 3.505 demonstra que assim como outros
países a preocupação do governo nacional é assegurar a Política de
Segurança de Informação nacional.
Com isso o governo precisa investir em novas tecnologias de
segurança para o país, e precisa ter uma boa equipe de governança de TI para
analisar e armazenar as informações.