Governança, Risco, Auditoria, Conformidade, Capacitação e

Segurança em TI e Processos Críticos de Negócios

GERENCIAMENTO E
GOVERNANÇA
DOS RISCOS COMO VANTAGEN
COMPETITIVA

ISO BASILÉIA COBIT AUDICONTROL COSO ITIL GOVERNANÇA GESTÃO DE RISCO

 A Audisis Latin America

 Quem é a Audisis
 Quem são os clientes da empresa
 Qual o portfólio de ofertas
 Sobre a AUDISIS LATAM
Sediada em São Paulo, a AUDISIS LATAM é uma empresa brasileira que atua na excelência da
gestão empresarial, com maior ênfase na prestação de serviços de consultoria, treinamento,
segurança, melhores práticas mundialmente aceitas, análise e gestão de riscos, auditoria e
governança corporativa em tecnologia da informação

Ligada à AUDISIS Colômbia, com sede em Bogotá, que atua há mais de 20 anos com alto grau de
excelência no que hoje considera sua principal competência: Projetos de consultoria e auditoria
em aplicações ERP, infra-estruturas e governança de TI com COBIT e ITIL

A empresa traz em sua origem trabalhos expressivos de consultoria e auditoria, sendo no país de
origem a mais antiga empresa desenvolvedora de softwares para análise de riscos e a primeira
empresa a auditar todo o processo eleitoral federal. A AUDISIS se orgulha de ter sido a
primeira empresa a desenvolver uma metodologia completa de análise de riscos de negócio e de
TI na Colômbia

A AUDISIS tem em seu portfólio clientes colombianos como: TCU, SEFAZ de Bogotá, Banco
Central da Colômbia, Ministério da Fazenda e Forças Armadas. No Brasil, os profissionais da
direção da empresa já atuaram em projetos como: TCU, Banco Central do Brasil, Banco do
Brasil, Banco Bradesco, Petrobras, Arcelor Mital, Cia Vale, ABIN, Brasil Telecom, Vivo,
Claro, Telefônica, entre outros.
 Clientes AUDISIS Latam na América Latina

FOPEP - Consórcio fundos aportados pelo Governo Colombiano

FISALUD - Consórcio – fundos para Saúde e Acidentes no Trabalho - Colômbia.
BANCO CAFETEIRO DE COLÔMBIA.
BANCO TEQUENDAMA.
BANCO MEGABANCO.
CONFINANCEIRA - Companhia de Financiamento Comercial.
FINCOMÉRCIO - Cooperativa Financiera de Poupanças e Créditos.
CONSTRUYECOOP.
FINANCIERA COMULTRASAN - Bucaramanga
MINISTÉRIO DA FAZENDA E CRÉDITO PÚBLICO na Colômbia
SECRETARIA DA FAZENDA de Bogotá.
CONTROLADORIA GERAL DA REPÚBLICA na Colômbia.
CONTRALORIA GERAL da República do Perú.
SUPERINTENDÊNCIA DE NOTARIADO E REGISTRO na Colômbia
COMISSÃO NACIONAL de TV na Colômbia
MINISTÉRIO DA JUSTIÇA, CONSELHO SUPERIOR DE JUDICIÁRIO na Colômbia
MINISTÉRIO DO TRANSPORTE, INSTITUTO NACIONAL DE VIAS – INVIAS de Colômbia
ARMADA NACIONAL na Colômbia
 Clientes AUDISIS Latam no Brasil
PriceWaterhouseCoopers Johnson & Johnson
Banco Central do Brasil Grupo Vicunha
Banco Bradesco Sony do Brasil
Banco do Brasil No Brasil, os profissionais da AUDISIS Unisys
Banco Itaú LATAM já atuaram em projetos de TI em Oracle
empresas renomadas de diversos setores de
Booz Allen Gerdau
atividades.
KPMG Indra
IBM Atuamos em serviços de auditoria, consultoria TAM
em segurança da TI e treinamentos em boas
EDS Tivit
práticas.
Vivo IPT
Claro Além disso também apoiamos a construção e HP
liderança de plano estratégico de Tecnologia da
Visanet TIM
Informação alinhado com o plano do negócio.
Petrobras ABIN
TCM São Paulo Banco Pine
Brasil Telecom Telefônica
Policia Militar SP Banco Unibanco
Fundação Banco do Brasil Prefeitura de São Sebastião
Tribunal de Contas da União Ministério do Trabalho e Emprego
Portfolio de serviços Audisis Latam
Portfolio de serviços Audisis Latam
Portfolio de cursos Audisis Latam
 Por que devemos nos preocupar com a
Gestão dos Riscos de TI

 Por que é importante

 Que modelos a Audisis está
habilitada a aplicar
 O RISCO de TI e o impacto nos Negócios

 A implantação malsucedida de uma software em uma indústria farmacêutica conduz à

falência da empresa

 O roubo de dados da CardSystems Solutions leva as duas maiores clientes da empresa,

a Visa e a Mastercard, a abandoná-la

 Erros em um sistema de gestão de créditos fiscais na Inland Revenue do Reino Unido

levam a organização a pagar mais de 2 bilhões de libras em créditos fiscais errôneos

 A Comair, uma subsidiária de US$ 780 milhões da Delta Air Lines, enfrentou um
incidente descontrolado de risco de TI em 24 de Dezembro de 2004, quando o sistema
CRÍTICO de escalação da tripulação da companhia falhou. Além do dano à imagem, o
prejuízo direto foi de US$ 20 milhões, quase o equivalente ao lucro do trimestre
anterior

Fonte: Harvard Business Scholl Press, O Risco de TI, 2008

 A Governança de TI de mãos dadas com o
Negócio
 Pesquisas do MTI revelam que empresas com governança superior de TI tem
lucros, no mínimo, 20% maiores do que as com má governança, chegando até a
40%, considerados os mesmos objetivos estratégicos

 Um estudo da McKinsey constatou que investidores se dispõem a pagar um

grande ágio para investir em empresas com altos padrões de governança. O ágio
varia de uma média de 13% na América do Norte e no oeste europeu, de 20% ou
25% na Ásia e América Latina

 Benefícios da Governança TI, segundo Quint Wellington, 2002:

 30% de redução de falhas, 50% de redução no tempo de solução das falhas

 15% de redução do excesso de capacidade
 10% a mais na disponibilidade dos sistemas críticos
 25% de redução no tempo de conclusão de mudanças planejadas
 50% menos de alterações urgentes e altamente dispendiosas
 10% de redução do custo total de propriedade (TCO TI)
 Gestão efetiva do RISCO de TI pela AUDISIS

A Audisis defende três disciplinas que as empresas devem dominar para administrar
efetivamente o risco de TI:

a) Um sólido alicerce de ativos, funcionários, processos e controle de apoio para

TI, que permitam aos executivos administrar os riscos corretos na ordem certa

b) Um processo de governança do risco bem projetado, incluindo a supervisão por

executivos de alto nível, o que permite às empresas identificar, priorizar e rastrear
riscos

c) Uma cultura de consciência do risco, vinda de cima, que afine as pessoas com
as causas e soluções para os riscos de TI e produza maior vigilância na
organização como um todo

Fonte: MIT – Sloam School of Management & Gartner

 Identificar o Valor de TI e mapear os Riscos

O ITGI identifica Value Delivery e

Risk Management como duas das
cinco áreas de foco da Governança
de TI.
Baseada nas melhores referências
internacionais a Audisis
desenvolveu uma metodologia que
permite identificar o Valor e
mapear os Riscos de TI. Foco da Governança de TI:
1. Alinhamento Estratégico
2. Entrega de Valor
3. Gerenciamento de Risco
4. Gerenciamento de Recursos
Audisis Latam é o parceiro ideal 5.Medição de Desempenho.
para diagnóstico do risco,
auditoria, execução do projeto e
monitoramento
 Val IT Framework
Foco no Valor e Suporte a Governança do Risco de TI

A questão do VALOR.
Nós temos:
A questão ESTRATÉGICA. Um claro e compartilhado entendimento
O investimento é: dos benefícios esperados?
Alinhado com nossa visão? Clara responsabilização pela prestação de
Consistente com nossos princípios de contas em relação a materialização dos
negócios? Estamos Estamos benefícios?
Contribuem para nossos objetivos fazendo as tendo os Métricas relevantes?
estratégicos? Um processo efetivo para a materialização
Provê ganho a um preço justo com um risco coisas benefícios? dos benefícios?
aceitável? certas?

Estamos Estamos A questão da ENTREGA.

A questão da ARQUITETURA. fazendo da fazendo Nós temos:
O investimento é: Efetivo e disciplinado gerenciamento do
Alinhado com nossa arquitetura?
maneira bem feito?
Processo de Gestão de Mudanças e
Consistente com nossos princípios estruturais? correta? Entregas?
Contribuem para a população da nossa Recursos Técnicos e de Negócios
arquitetura? competentes e disponíveis para entregar (I) a
Esta alinhado com outras iniciativas? capacidade requerida e
(II) as mudanças organizacionais
necessárias para garantir a capacidade?
 ISACA RISK IT
Modelo de Governança
do Risco
aplicado pela Audisis
Cultura de consciência e Gestão do Risco em TI
ITIL
Aplicado na construção do alicerce de TI
 Modelos para suporte para Governança de TI

COSO VALOR DE TI BALANCE SCORE CARD

O QUE
deve ser
COBIT feito

ISO 27000 RISK IT

PMO

ITIL

COMO
deve ser
feito

ABRANGÊNCIA
Software de gestão de riscos e desenho
de controles de processos e sistemas de
informação
Versão 2009
 Software Audicontrol

AUDICONTROL, versão 2009, é um software orientado ao usuário final projetado para

apoiar as atividades de desenho, implementação e Auditoria de Sistemas de Administração
de Riscos e Desenho de Controles em:

• Processos da cadeia de valor (estratégicos, missão e apoio ao negócio),

• Processos de tecnologia da informação (TI),
• Sistemas da informação automatizados e
• Projetos de Governança e conformidade.

A ferramenta tem enfoque operacional e é orientada por processos baseados nos modelos
internacionais de controle interno e gestão de riscos tais como COBIT, COSO ERM,
BASILEA II, ISO 17799, ISO 27001, ISO 9000, ISO 20000 e ITIL.

AUDICONTROL possui quatro módulos:

1. Gestão de Riscos e Desenho de Controles por processos ou sistemas de informação;
2. Consolidação de Perfil de Risco dos processos da organização (Inerente e Residual);
3. Registro de Eventos de Riscos Ocorridos;
4. Auditoria do Sistema de Gestão de Riscos por processos.
Avaliação de Ameaças e Riscos
 Registro de eventos de perdas

AUDICONTROL permite criar e manter atualizado um registro de eventos de perdas

por risco operativo ocorridos de acordo com as especificações do modelo Basiléia
II. Outros relatórios podem obter ser gerados como a utilização das provisões por
tipo de eventos de perda e por diferentes conceitos tais como linha de negocio, tipos
de evento de perda, categorias de risco e quantias entre outros.
Cubo de Riscos
Processos e Sistemas da Informação
Ameaças
(Causas de riscos)

Contabilidade

Custos Excessivos
Recursos Humanos
Sistemas

Legais
Sanções
Base de Dados

Atualizações

Fraude
Ingresso de

Reportes de
Actualização
Dados

Cenários de Riscos
(Atividades)
Governança, Risco, Auditoria, Conformidade, Capacitação e
Segurança em TI e Processos Críticos de Negócios

atendimento@audisislatam.com.br
Fone: 11 3101 0873
www.audisislatam.com.br