Benchmarking de Riscos e Controles da Tecnologia da ... - KPMG

80 downloads 227 Views 487KB Size Report
entendem a relação entre suas operações e os riscos de TI. Administrar bem esses riscos é importante para o desempenho das organizações. Os controles de ...
Benchmarking de Riscos e Controles da Tecnologia da Informação ADVISORY

O aumento da necessidade das boas práticas de governança corporativa tem exigido que os administradores entendam como seus processos internos são controlados. Apesar de muitas empresas apoiarem seus processos de negócio na Tecnologia da Informação, poucas realmente entendem a relação entre suas operações e os riscos de TI. Administrar bem esses riscos é importante para o desempenho das organizações.

Os controles de TI formam uma parte essencial da governança e da gestão da Tecnologia da Informação nas empresas. Entretanto, há um equilíbrio a ser alcançado entre redução de riscos e aumento de eficiência dos processos. A comparação da experiência da empresa com outras do mercado pode ajudar sua organização a obter maior benefício de seus controles e aumentar significativamente a eficiência de seus processos de TI.

A Quem são Endereçados os Serviços de Benchmarking? Todas as empresas estão expostas aos riscos inerentes a sua operação. Entretanto, apenas parte delas conhece como o mercado se comporta em relação a eles. A avaliação da infra-estrutura de TI das organizações, com base em padrões amplamente aceitos (COBIT e BS 7799), proporcionará a resposta a essa pergunta. Adicionalmente, é considerada como um dos primeiros passos de um processo de governança de TI.

© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

Como a KPMG Pode Ajudar? A utilização da tecnologia é hoje um dos principais diferenciadores das empresas no mercado, setor este em que a alta competitividade, a rapidez nas respostas e a capacidade de tolerar falhas fazem com que os processos de TI se tornem parte indissociável do negócio. O ITRMB (Information Technology Risk Management Benchmarking) proporciona uma comparação da organização com outras similares no mercado, sendo um comprovado instrumento para auxiliar a melhorar a qualidade e o desempenho das operações de TI. Com a execução do ITRMB são examinados os riscos e respectivos controles de TI do cliente, a partir de padrões internacionalmente reconhecidos (COBIT e BS 7799).

Um estudo utilizando a metodologia do ITRMB da KPMG cobrirá as seguintes áreas de risco e controle: Áreas de Controle

Controles

Dependência Habilidades e Confiabilidade na TI recursos de TI de TI

       

Envolvimento da alta gerência Planejamento de TI Gerenciamento de custos Gerenciamento de TI

Relatórios de gerência Gerência no nível de serviços Conformidade legal Organização de TI Computação de usuário final

Segurança Física

Controle de acesso físico Proteção ambiental Política de segurança

Segurança das informações

Administração da segurança Controle de acesso lógico Comunicações externas

           

3

Administração de mudanças

3 3 3 3 4

3

3

Administração de configurações

4

3

4

Administração operacional

2

3

Escore do Risco

Planejamento da continuidade

2

3



Administração de problemas

       

3



Continuidade do sistema

Escore dos Enfoque empresarial Controles

4

Auditoria Interna Auditoria de TI

Administração da capacidade

TI Externo

       

             

Backup de dados e sistemas

Alterações na TI

Processo de mudanças empresariais Administração de alterações técnicas Metodologia do desenvolvimento Administração de Projetos

Desenvolvimento Participação do usuário de sistemas Administração da qualidade Documentação

3 3 3 3 3 2

       

       

 

4

3

3

4 3 3 2 3 3 3



2

 Alto Impacto: O controle é menor do que o risco por dois ou mais escores  Médio impacto: O controle é menor do que o risco por um escore  Baixo impacto: O controle é igual ao risco

Nossa Abordagem A área de Risk Advisory Services (RAS) da KPMG oferece um serviço de avaliação de riscos e controles de Tecnologia da Informação e comunicação, apoiada em uma base de dados mundialmente estabelecida, chamada Benchmarking de Riscos e Controles de TI ou ITRMB (Information Technology Risk Management Benchmarking).

Como parte da metodologia, são feitas comparações com os controles utilizados por outras empresas do mercado, previamente avaliadas pela KPMG, presentes em nossa base de dados contendo milhares de avaliações.

Utilizando-se de um sistema para elaboração de questionários, o ITRMB proporciona um guia prático e uniforme, que auxilia a condução dos trabalhos e emissão de relatórios variados.

O ITRMB é uma ferramenta flexível e adaptada para atender a necessidades específicas dos clientes, podendo ser apresentado na forma de relatório ou, quando possível, disponibilizado para consulta constante na Intranet da organização.

© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

As áreas de foco do trabalho são: • Gerenciamento de TI • Segurança Física • Segurança das Informações • Continuidade dos Sistemas • Gerenciamento de Mudanças • Desenvolvimento de Sistemas • Auditoria Interna Um conjunto de gráficos e tabelas comparativas é produzido, tendo como principais vantagens para o cliente o conhecimento dos riscos de TI, a possibilidade de recorrência nas avaliações e a visualização rápida e fácil dos resultados alcançados.

Benefícios • avaliação da importância de TI para a sua empresa, considerando as características do seu negócio; • visão geral dos controles de TI; • comparação dos controles de TI utilizados, com os do mercado; • comparações históricas; • visualização e qualificação dos riscos e controles, utilizando gráficos, tabelas e sistema de cores de alto impacto visual; • recomendações para minimizar os riscos; e • enfoque em áreas-chave que necessitam de melhorias.

Visão Geral dos Controles de TI ������������� �� �� �

��������� �������





��������� ������

� �

��������������� �� ��������



��������� ��� ����������� �� ������� �� ������� �� �������

������������� �� ��������

Neste exemplo, a linha amarela representa o cliente, cujos escores estão acima da média geral. Nota-se ainda que o processo de auditoria interna do cliente está entre os melhores da comparação, enquanto o de segurança das informações está entre os piores.

������������ ��� ��������

�� ������� �������

O ITRMB permite que relatórios sejam rearranjados de acordo com esses padrões. No caso do COBIT, p.ex., para cada domínio, a KPMG combinou os processos (assinalados nos segmentos) com as áreas de controle do ITRMB (assinaladas na parte externa do círculo). Planejamento e Organização de COBIT

Por meio de sistema de escores que vai de um (sem controles) a cinco (controle otimizado e pró-ativo), o ITRMB avalia uma série de questões ligadas aos riscos e controles. O gráfico a seguir ilustra claramente as informações obtidas e inclui uma comparação do nível de maturidade com o de empresas semelhantes.

© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

kpmg.com.br

Contatos Sidney Ito Tel (11) 3067-3312 Ana Rosa Rios Tel (11) 3067-3316 [email protected] As informações contidas neste material podem não se aplicar a situações ou circunstâncias específicas. Apesar da KPMG buscar publicar informações precisas, não podemos garantir a exatidão em qualquer tempo. Não deverá ser feito uso das informações sem uma assessoria especializada.

© 2005 KPMG Risk Advisory Services Ltda., sociedade brasileira, membro da KPMG International, uma cooperativa suíça. Todos os direitos reservados.

O nome KPMG e o logotipo KPMG são marcas comerciais e registradas da KPMG International, uma cooperativa suíça.

Design & produção: Índice de Comunicação