Document details

Este trabalho propõe uma Framework para a Gestão da Compliance nos SI/TIC (Sistemas de Informação / Tecnologias de Informação e Comunicação), tendo sido verificada a sua aplicabilidade numa Entidade Gestora dos SI/TIC do BANCO que presta serviços a um dos maiores grupos do Sector Financeiro Português. A Compliance relaciona-se com a aderência das Organizações às exigências impostas pelos reguladores da sua actividade. As Organizações ao não atenderem a estas exigências incorrem no denominado Risco de Compliance. O desenvolvimento da framework resultou da sistematização das orientações e boas práticas identificadas e estudadas dos vários modelos propostos por vários autores e pelo ISACA, para a gestão da Compliance. O estudo de caso foi realizado em três fases: (i) Auditoria à Situação Inicial; (ii) Implementação da Framework para a Gestão da Compliance dos SI/TIC; (iii) Auditoria da Situação Pós Implementação. Através deste estudo de caso foi possível analisar a adequação da framework, para assegurar uma das exigências impostas pelo Banco de Portugal à Entidade Gestora dos SI/TIC do BANCO. Apesar de, durante o estudo de caso, não ter sido possível a recolha de indicadores para a medição da eficiência e eficácia da utilização da framework, foi entendimento dos vários colaboradores, nomeadamente pela administração da Entidade Gestora dos SI/TIC do BANCO, que a sua utilização permite uma melhoria para já qualitativa através da sistematização e normalização das várias actividades associadas à Gestão da Compliance nos SI/TIC.

This master thesis proposes a Framework for the IS/ICT Compliance Management, having been checked their applicability in the SI/TIC Bank Entity Management that provides services to one of the largest groups in the Portuguese financial sector. The Compliance is related to adherence of the organizations to the requirements imposed by regulators of their activity. Failing to meet these requirements, Organizations will incur the so-called Compliance Risk. The framework has been developed from the systematization of orientations and good practices of the IS/ICT Compliance Management identified and studied from the various models proposed by multiple authors and by ISACA. The case study was conducted in three phases: (i) the Initial Situation Audit, (ii) the Implementation of Framework for the IS/ICT Compliance Management, (iii) Post- Implementation Audit Status. Through this case study we could analyze the adequacy of the framework to ensure the requirements imposed by Bank of Portugal to the SI/TIC Bank Entity Management. Although during the case study, has not been possible the capture of indicators for the efficiency measuring and effectiveness of framework used, was understood by multiple collaborators, including top management of the SI/TIC Bank Entity Management that its use allows a qualitative improvement through the systematization and standardization of the various activities associated with the IS/ICT Compliance Management.