Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Versão em Português COBIT 4.1 Tradução pelo ISACA - Trainning
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ME2<br />
Monitorar e Avaliar<br />
Monitorar e Avaliar os Controles Internos<br />
Modelo de Maturidade<br />
ME2 Monitorar e Avaliar os Controles Internos<br />
O gerenciamento do processo de “Monitorar e Avaliar os Controles Internos” que satisfaça ao requisito do negócio para a TI<br />
de “assegurar que os objetivos de TI sejam atingidos e assegurar a conformidade com as leis e os regulamentos relacionados<br />
a TI” é:<br />
0 Inexistente quando<br />
A organização não t<strong>em</strong> procedimentos para monitorar a eficácia dos controles internos. Não exist<strong>em</strong> métodos de relatórios gerenciais<br />
de controles internos. Há uma falta generalizada de conscientização sobre a garantia dos controles internos e a segurança<br />
operacional de TI. A administração e os funcionários têm uma completa falta de conscientização <strong>em</strong> relação a controles internos.<br />
1 Inicial/ Ad hoc quando<br />
A Direção reconhece a necessidade de gerenciamento e controle de TI. A adequação dos controles internos é avaliada de forma<br />
ad hoc com base <strong>em</strong> habilidades e experiências individuais. A Direção de TI não atribuiu formalmente a responsabilidade pela<br />
eficácia do monitoramento dos controles internos. Avaliações dos controles internos de TI são realizadas como parte das auditorias<br />
financeiras tradicionais, com um conjunto de metodologias e técnicas que não reflet<strong>em</strong> as necessidades da área de TI.<br />
2 Repetível porém Intuitivo quando<br />
A organização usa relatórios informais de controles para iniciar ações corretivas. A avaliação dos controles internos é dependente<br />
da competência técnica de pessoas-chave. A organização t<strong>em</strong> maior consciência do monitoramento dos controles internos. A<br />
Direção de TI monitora rotineiramente a eficácia do que ela considera ser os controles internos críticos. Ferramentas e metodologias<br />
para monitorar os controles internos estão começando a ser utilizadas, porém de forma não planejada. Os fatores de risco<br />
específicos do ambiente de TI são identificados com base nas habilidades das pessoas.<br />
3 Processo Definido quando<br />
A Direção apoia e t<strong>em</strong> institucionalizado o monitoramento dos controles internos. Políticas e procedimentos foram desenvolvidos<br />
para avaliar e relatar as atividades de monitoramento dos controles internos. Foi definido um programa de educação e treinamento<br />
para o monitoramento dos controles internos. Foi definido um processo de autoavaliações e revisões da garantia de eficácia dos<br />
controles internos, com os papéis claramente definidos para os gestores dos processos de negócios e os gestores de TI. Ferramentas<br />
estão sendo utilizadas, porém não necessariamente estão integradas a todos os processos. Políticas de avaliação de risco dos<br />
processos de TI estão sendo utilizadas nas estruturas de controle desenvolvidas especificamente para a organização de TI. Estão<br />
definidos riscos específicos dos processos e políticas de mitigação de risco.<br />
4 Gerenciado e Mensurável quando<br />
A Direção impl<strong>em</strong>entou uma estrutura para o monitoramento dos controles internos de TI. A organização estabeleceu limites de tolerância<br />
para o processo de monitoramento de controles internos. Foram impl<strong>em</strong>entadas ferramentas para padronizar as avaliações<br />
e detectar exceções de controle automaticamente. Existe uma área formal de controle interno de TI, com profissionais especializados<br />
e certificados que utilizam uma estrutura de controle formal endossada pela alta administração. Uma equipe de TI tecnicamente<br />
qualificada participa rotineiramente das avaliações dos controles internos. Existe uma base de conhecimento de métricas com<br />
informações históricas sobre o monitoramento dos controles internos. São feitas avaliações estruturadas do monitoramento dos<br />
controles internos.<br />
5 Otimizado quando<br />
A Direção estabeleceu um programa corporativo de melhoria contínua que leva <strong>em</strong> consideração as lições aprendidas e as melhores<br />
práticas de monitoramento dos controles internos. A organização utiliza ferramentas integradas e atualizadas quando apropriado,<br />
que permite a efetiva avaliação dos controles críticos de TI e a rápida detecção dos incidentes de monitoramento dos controles<br />
de TI. Está impl<strong>em</strong>entado o compartilhamento de conhecimento da área de TI. Comparação (benchmarking) com base nos padrões<br />
e nas melhores práticas de mercado é formalizada.<br />
162<br />
© 2007 IT Governance Institute. Todos os direitos reservados. www.itgi.org