Home > Gestão

Atitudes para o segundo ano de Sarbox – parte 3

A relação entre risco para o negócio e processos e controles de TI tem sido a base para o CIO abordar adequação pró-ativamente

Ben Worthen

01/11/2005 às 20h15

Foto:

O CIO tem uma oportunidade única de identificar riscos no processo de negócio. A natureza de TI e a função de suportar processos de negócio e fornecer informação para tomada de decisão possibilitam que o CIO tenha uma visão abrangente dos riscos dentro do negócio.
Além disso, os riscos específicos de gerenciar o ambiente de tecnologia incluem acesso e disponibilidade, entre muitos outros. O CIO pode ajudar a organização a entender e gerenciar estes riscos.
Avaliação e mitigação de riscos por meio de controles internos são conceitos importantes no framework COSO e na adequação a Sarbox. O CobiT Framework é uma visão padrão de riscos potenciais em toda a organização de TI. Em ambos os frameworks, o CIO é capaz de aplicar conhecimento do ambiente de TI na organização para determinar o nível de controles necessário para mitigar riscos potenciais.
A relação entre risco para o negócio e processos e controles de TI tem sido a base para o CIO abordar adequação pró-ativamente. No segundo ano, o CIO deve aprimorar esta articulação de riscos para lidar melhor com as demandas do auditor. Entretanto, enfocar a identificação de novos riscos e a operação consistente de controles a partir de indicadores de risco vitais fornece o mecanismo para o CIO extrair valor destas atividades.
O valor está na conscientização do CIO quanto à eficácia das atividades de TI de mitigar riscos, bem como na sua capacidade de implementar processos, ferramentas e atividades que gerenciam os riscos de maneira mais eficiente na organização.
Neste Playbook, o gerenciamento de mudança foi discutido como um GCC essencial que influencia a adequação a Sarbox. O processo eficaz e robusto de gerenciar mudanças no ambiente de TI, incluindo aplicações e infra-estrutura, é uma área de foco importante para o CIO.
É igualmente importante para o CIO reconhecer e monitorar ativamente mudanças na organização e no ambiente de TI que possam afetar a adequação a SOA. A avaliação pró-ativa do impacto de mudanças potenciais e planejadas, aliada a um processo eficaz e amadurecido para implementar mudanças, permitirá a manutenção eficiente e contínua de adequação regulatória.
Uma possível abordagem de reconhecimento pró-ativo de mudança é incorporar um gestor de projetos (PMO) à organização de TI. O PMO receberia pedidos de aprimoramentos, mudanças, acréscimos e remoções nos ambientes de TI e negócio. O rastreio desde o pedido até a implementação e a identificação do impacto da adequação regulatória possibilita que o CIO identifique mudanças que possam exigir que a organização esteja mais consciente quanto à adequação do negócio.
Além do mais, a manutenção de um único repositório para a documentação de controles e os resultados de testes permitirá ao PMO identificar melhor as mudanças no ambiente de controle.

Página seguinte ( 4 )
Páginas anteriores (
1 ) ( 2 )

Matérias relacionadas:

Processo contínuo
E quanto ao terceiro ano?
Os principais pontos fracos do controle de TI
Balanço da primeira rodada de auditoria

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail