Gestão da Tecnologia da Informação - Página Inicial · 2000: 3ª edição – publicado pelo ITGI (IT Governance Institute - ), ... CMMI e ISO 17799 É uma estrutura (framework)

Gestão da Tecnologia da Gestão da Tecnologia da InformaçãoInformação

CobiTControl Objectives for Information

and Related Technology

Agenda

HistóricoConceitos ObjetivosPilares fundamentaisCaracterísticasEstrutura do ModeloProcessosProdutos/Publicações

Histórico

Criado em 1994 pelo ISACF (Information Systems Audit and Control Foundation), órgão ligado à ISACA (Information Systems Audit and

Control Association - www.isaca.org) contendo um conjunto inicial de objetivos de controle

1998: 2ª edição – revisão nos objetivos de controle de alto nível e inclusão de conjunto de ferramentas e padrões para implementação

2000: 3ª edição – publicado pelo ITGI (IT Governance Institute - www.itgi.org), órgão criado pela ISACA com o objetivo de promover um melhor entendimento e a adoção dos princípios de governança de TI

2005: 4ª edição – práticas e padrões mais maduros totalmente alinhados a outros modelos (COSO, ITIL, ISO/IEC 17799)

HistóricoHistórico ConceitosConceitos ObjetivosObjetivos PilaresPilares CaracterísticasCaracterísticas EstruturaEstrutura ProcessosProcessos

http://www.isaca.org/

http://www.itgi.org/

Histórico

Inicialmente baseado em objetivos de controle e atualmente incorpora padrões internacionais técnicos, profissionais,

regulatórios e específicos para processos de TIEm conformidade com as regulamentaçõesFoco mais acentuado na governança de TI

Usado para auditoria, controle, gerenciamento e governançaVersão mais atual: 4.1 (2007)


Conceitos: Modelos de Melhores Práticas

Modelos de Melhores práticas são maneiras mais eficientes e efetivas de realizar uma atividade, baseada na repetição de

processos comprovadamente de sucesso por um grande número de pessoas

Os modelos de melhores práticas auxiliam a implantação da Governança de TI, pois permitem controlar processos

relacionados à área da TI que influenciam diretamente nos processos de negócios de uma organização


COBIT

BS 7799

ITIL

SAS70

6 Sigma

BSC

CMMi

ISO

PMBOK

PRINCE2

eSCM

Conceitos: Governança de TI


Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os objetivos e as estratégias da organização

ITGI (Cobit 4.1)A governança de TI deve:

Garantir o alinhamento da TI ao negócioGarantir a continuidade do negócio contra interrupções e falhasGarantir o alinhamento da TI a marcos de regulação externos

Fernandes & Abreu

O que é o CobiT


Control Objectives for Information and Related TechnologyÉ um framework internacional que integra os principais objetivos dos padrões globais de TI, incluindo ITIL, CMMI e ISO 17799

É uma estrutura (framework) e não é uma metodologia

É um programa de pesquisa e cooperação entre especialistas em negócios e padrões de TI

É uma ferramenta para compliance da Sarbanes-Oaxley e outros padrões globais

Objetivos


The purpose of COBIT is to provide management and business process owners with an information technology (IT) governance model that helps in delivering value from IT and understanding and managing the risks associated with IT. COBIT helps bridge the gaps amongst business requirements, control needs and technical issues. It is a control model to meet the needs of IT governance and ensure the integrity of information and information systems

www.itgi.org

Objetivos


Contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execuçãoEstabelece relacionamentos com os requisitos do negócioOrganiza as atividades de TI em um modelo de processos genéricoIdentifica os principais recursos de TI, nos quais deve haver mais investimentoDefine os objetivos de controle que devem ser considerados para a gestão

Pilares Fundamentais


Alinhamento estratégicoAgregação de valorGerenciamento de riscosGerenciamento de recursosMedição do desempenho

Pilares Fundamentais HistóricoHistórico ConceitosConceitos ObjetivosObjetivos PilaresPilares CaracterísticasCaracterísticas EstruturaEstrutura ProcessosProcessos

Alinhamento EstratégicoGarantia da ligação entre os planos de negócios e de TIManutenção e validação da proposição de valor da TIAlinhamento das operações da empresa com as de TI

Pilares Fundamentais HistóricoHistórico ConceitosConceitos ObjetivosObjetivos PilaresPilares CaracterísticasCaracterísticas EstruturaEstrutura ProcessosProcessos

Agregação de ValorExecução da proposição de valor através do tempo, assegurando que a TI entregue os benefícios prometidos de acordo com a estratégiaOtimizar custos e em comprovar o valor intrínseco da TI



Gerenciamento de RiscosConhecimento dos riscos por parte da alta direçãoEntendimento claro dos requisitos de compliance e das tendências da empresa para os riscosIncorporação de responsabilidades para o gerenciamento dos riscos na organização



Gerenciamento de RecursosOtimização dos investimentos e da gestão adequada dos recursos críticos de TIRecursos: aplicações, informações, infra-estrutura e pessoas



Medição de DesempenhoAcompanhamento e monitoração da implementação da estratégia, do andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos serviçosUtilização de indicadores de desempenho que traduzem a estratégia em ações para atingir objetivos mensuráveis

Características Principais


Foco nos requisitos do negócioOrientação para abordagem de processosUtilização extensiva de mecanismos de controleDirecionamento para análise das medições e indicadores de desempenho

Outras Características Atende às exigências de diversas regulamentações (Sarbanes-Oaxley, Basiléia II, BACEN, BS 17799, ISO 17799, ISO 9001, etc.)Possui uma linguagem comum, ou seja, sua estrutura proporciona credibilidade e confiançaReferência para otimizar investimentos de TI, melhorando o retorno sobre investimento (ROI)Independe das plataformas de TI adotadas nas empresasÉ suportado pelas ferramentas e treinamentoÉ uma referência internacional mantido por uma organização de credibilidade (ISACA)


Foco nos negóciosO CobiT é um guia abrangente para: executivos, donos de processos de negócios, provedores de serviços, usuários e auditoresBaseado nos princípios da figura abaixo

NegóciosNegócios ProcessosProcessos ControlesControles MediçõesMedições


Foco nos negóciosPara satisfazer os objetivos de negócios, as informações precisam estar de acordo com os seguintes critérios:EficáciaEficiênciaConfidencialidadeIntegridadeDisponibilidadeConformidade (Compliance)Confiabilidade



Foco nos negócios

Critérios da InformaçãoEficácia: informação relevante e pertinente para o processo de negócio entregue corretamente no tempo e de forma “usável”Eficiência: informação é provida com o uso dos recursos de forma otimizada (mais produtiva e econômica possível) Confidencialidade: proteção de informações “sensíveis” para acesso não autorizadoIntegridade: informação completa, exata e validada de acordo com as expectativas e os “valores dos negócios” (informação correta)



Foco nos negócios

Critérios da InformaçãoDisponibilidade: informação disponível agora e no futuro quando requisitada pelos processos de negócio, assim como a proteção dos recursos necessários e capacidades associadas à disponibilidade das informaçõesConformidade (compliance): atendimento a leis, regulamentos e acordos contratuais relacionados aos processos de negócio Confiabilidade: provimento de informações apropriadas e confiáveis para o gerenciamento dos processos de negócio



Foco nos negócios



Objetivos de Negócios X Objetivos de TI

Foco nos negócios

Toda organização usa a TI para fazer funcionar as iniciativas de negócios e essas podem ser apresentadas como objetivos de negócios para a área de TINo documento “Cobit 4.1” o “Apêndice I – 015 - Tabelas relacionando os objetivos e processos” apresenta ama visão global de como os objetivos genéricos de negócios relacionam-se com os objetivos, processos e critérios de informação de TI



Objetivos de Negócios X Objetivos de TI

Foco nos negócios

Recursos necessários para criar uma adequada capacidade técnica que atenda a uma necessidade de negócios e o consequente atendimento a objetivos estabelecidosRecursos:

Pessoas: pessoas necessárias para planejar, organizar, adquirir, entregar, dar suporte, monitorar e avaliar sistemas de informação e serviços

Aplicações: sistemas automatizados e procedimentos manuais

Infraestrutura: tecnologias e recursos (hardware, redes, SGBDs, SOs, multimídia, etc.)

Informações: são os dados de entrada, processados e de saída tratados pelos sistemas de informação em todos os formatos requeridos pelo negócio



Recursos de TI

Foco nos negócios



O CobiT pode ser definido em função do princípio básico do framework: recursos de TI são gerenciados por processos de TI para atingir metas de TI, que por sua vez estão estreitamente ligadas aos requisitos do negócio.

Orientado a processosO CobiT identificou 34 processos de TI e os distribuiu entre quatro domínios, que espelham os agrupamentos usuais existentes em uma organização padrão de TIDomínios:

Planejamento e Organização (PO): provê direção para entrega de soluções (AI) e entrega de serviços (DS)Aquisição e Implementação (AI): provê soluções e as transfere para tornarem-se serviçosEntrega e Suporte (DS): recebe as soluções e as tornam passiveis de uso pelos usuários finaisMonitoração e Avaliação (ME): monitora todos os processos para garantir que a direção definida seja seguida



Orientado a processosIntegração entre os domínios



Orientado a processos



Cada um dos 34 processos agrupados nos 4 domínios (PO, AI, DS e ME), há:ligação com os objetivos de negócios e objetivos de TI suportados

a forma como os objetivos podem ser medidosas atividades-chaves a serem realizadasas principais entregaso responsável pelas entregas

Baseado em ControleControles são políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidosO CobiT define objetivos de controle para cada um dos processos e engloba todos os processos e controles de aplicativosUm objetivo de controle define um resultado desejado ou propósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica

Weill & Ross



Baseado em Controle

Os objetivos de controle constituem os requisitos mínimos para que se possam controlar os processos de TI de forma eficazFuncionamento: as informações de controle extraídas da operação de cada processo de TI são comparadas aos objetivos de controle, e ações corretivas ou preventivas são realizadas para a melhoria do processoObjetivos de Controle → Atividades3 tipos de controles: processos; negócios e de TI; e gerais de TI e controles de aplicativos



Baseado em ControleControles de Processos

Os objetivos de controles de processos são identificados por duas letras (domínio) + número do processo + sequencial (Ex. PO10.1)Controles efetivos reduzem riscos, aumentam a probabilidade de entrega de valor e aprimoram a eficiênciaAlém de avaliar quais controles são necessários, os proprietários dos processos devem entender quais são as entradas (oriundas de outros processos) e as saídas (que alimentarão outros processos)O entendimento de papéis e responsabilidades de cada processo é essencial para uma efetiva governança



Baseado em Controle

Controles de negócios e de TIOs sistemas de controles internos das organizações afetam a área de TI em três níveis:

No nível da Alta Direção: os objetivos de negócios e as políticas são definidos e decisões são tomadas em relação a como entregar e gerenciar os recursos da organização para executar a estratégiaNo nível dos processos de negócios: os controles são aplicados às atividades específicas dos negócios, onde a maioria dos processos de negócios é automatizada e alguns controles permanecem como procedimentos manuaisPara suportar os processos de negócios: a área de TI fornece serviços de TI e boa parte da infra-estrutura de TI é provida como um serviço comum (por exemplo, redes, bases de dados, sistemas operacionais e armazenamento).



Baseado em ControleControles gerais de TI e de aplicativos

Controles gerais de TI são controles inseridos nos processos de TI e serviços. Exemplos:

Desenvolvimento de sistemas

Gerenciamento de mudanças

Segurança

Operação de computadores

Os controles inseridos nos aplicativos de processos de negócios são chamados de controles de aplicativos. Exemplos:

TotalidadeVeracidadeValidadeAutorizaçãoSegregação de funções



Baseado em ControleNegóciosNegócios ProcessosProcessos ControlesControles MediçõesMedições


Controles de negócios, gerais e de aplicativos

Orientado por mediçõesO que deve ser avaliado e como? As organizações precisam avaliar onde elas estão e onde são requeridas melhorias, bem como implementar um conjunto de ferramentas de gerenciamento para atingir esse aprimoramentos

O CobiT fornece:

Modelos de maturidade (comparar e identificar os necessários aprimoramentos de capacidades)Objetivos de performance e métricas para os processos de TI (baseados nos princípios do balanced scorecard)Objetivos de atividades (habilitar o efetivo desempenho do processo)



Orientado por mediçõesObjetivos dos Modelos de Maturidade:

Mapear a situação atual da organizaçãoComparar com a situação das melhores organizações no segmento (benchmarking)Comparar com padrões internacionaisEstabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organizaçãoO modelo de maturidade padrão do CobiT foi derivado do SW-CMM (Capability Maturity Model para projetos de software – SEI – Software Engineering Institute)



Orientado por mediçõesO modelo de maturidade para o gerenciamento e controle dos processos de TI é baseado num método de avaliar a organização, permitindo que ela seja pontuada de um nível de maturidade não-existente (0) a otimizado (5)O modelo de maturidade permite identificar:

O estágio atual de performance da empresa (onde a empresa está hoje)O estágio atual do mercado (comparação)A meta de aprimoramento da empresa (onde a empresa quer estar)O caminho de crescimento entre o “como está” e “como será”



Orientado por medições



Níveis de Maturidade:0 - Gerenciamento de processos não

aplicado (inexistente)

1 - Processos não padronizados e desorganizados (inicial / ad hoc)

2 - Processos seguem um caminho padrão (repetitivo, mas intuitivo)

3 - Processos são documentados e comunicados (processo definido)

4 - Processos são monitorados e medidos (gerenciado e mensurável)

5 - Boas práticas são seguidas e automatizadas (otimizado)




Possível nível de maturidade de um processo de TI

Para cada processo de TI, é estabelecido um modelo de maturidade baseado em níveis




As 3 dimensões da maturidade




Medições de perfórmance em 3 níveis:Objetivos e métricas de TI que definem o que os negócios esperam de TI e como medir issoObjetivos e métricas dos processos que definem o que os processos de TI precisam entregar para suportar os objetivos de TI e como medir issoObjetivos e métricas de atividades que estabelecem o que precisa acontecer dentro do processo para atingir a requerida performance e como medir isso




Indicadores:Resultado: indicam se os objetivos foram atingidosmedidos somente após os fatoschamados de indicadores históricos (lag indicators)anteriormente chamados de indicadores-chaves de objetivos (KGIs)Perfórmance: indicam se os objetivos serão possivelmente atingidosmedidos antes que os resultados sejam claroschamados de indicadores futuros (lead indicators)anteriormente indicadores-chaves de performance (KPIs)




As medições de resultados (indicadores de resultados) em um determinado nível podem se tornar indicadores de desempenho para o nível superior




Possível medição de resultado para exemplo anterior







Para atingir as Metas de Negócio, é necessário definir:

o que o negócio espera da TI (Metas de TI)o que o processo de TI precisa entregar para suportar os objetivos da TI (Metas de Processos)o que precisa acontecer dentro do processo para que o desempenho requerido seja atingido (Metas de atividades)As metas de negócio devem determinar quantas e quais metas de TI irão suportá-las, e assim por diante


PP



Estrutura(framework)


Visão GeralVisão Geral CuboCubo FuncionamentoFuncionamentoVisão GeralVisão Geral CuboCubo FuncionamentoFuncionamento

Estrutura: Critérios de Informação


Visão GeralVisão Geral CuboCubo FuncionamentoFuncionamento

Estrutura: Recursos de TI




Estrutura: Domínios (processos)



Estrutura: Cubo CobiT


Estrutura: funcionamentoO conceito básico do framework CobiT é que o controle da TI é abordado focando a informação requerida para atendimento aos objetivos dos requisitos de negócios, sendo esta informação o resultado da combinação da aplicação dos recursos de TI e que precisam ser gerenciados por processos de TI




Estrutura: fucionamento


Processos: Componentes

ComponentesComponentes POPO A IA I DSDS MEME


Cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados:

Descrição do Processo (process description)Objetivos de controle detalhados (control objectives)Diretrizes para gerenciamento (management guidelines)Modelo de Maturidade utilizado

Descrição do Processo



Descrição geral do processo com a identificação dos objetivos de TI para atender aos requisitos de negócio, dos objetivos do processo, objetivos das atividades e métricas correspondentesIdentificação do domínioIdentificação e classificação (P/S) dos critérios de informaçãoIdentificação e classificação (P/S) dos pilares referenciadosRecursos de TI usados




Exemplo:PO1 – Definir um Plano Estratégico de TI




Exemplo:PO1 – Definir um Plano Estratégico de TIDescrição geral do processo




Exemplo:PO1 – Definir um Plano Estratégico de TIIdentificação e classificação dos critérios de informação




Exemplo:PO1 – Definir um Plano Estratégico de TIIdentificação do domínio




Exemplo:PO1 – Definir um Plano Estratégico de TIIdentificação e classificação (P/S) dos pilares referenciados



Exemplo:PO1 – Definir um Plano Estratégico de TIRecursos de TI usados

Objetivos de Controle Detalhados



Objetivos de Controle Detalhados



Exemplo:PO1 – Definir um Plano Estratégico de TIObjetivos de Controle Detalhados:

PO1.1: Gerenciamento de Valor de TIPO1.2: Alinhamento entre TI e negócioPO1.3: Avaliação da capacidade e desempenho correntesPO1.4: Plano Estratégico de TIPO1.5: Planos Táticos de TIPO1.6: Gerenciamento do Portfólio de TI

Diretrizes de Gerenciamento



Exemplo:PO1 – Definir um Plano Estratégico de TI

Processos: Planejamento e Organização (PO)



Define estratégias e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios.

O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas

Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento

Processos: Planejamento e Organização (PO)



Processos: Aquisição e Implementação (AI)



Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios.

Processos: Aquisição e Implementação (AI)




Entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais


Processos: Entrega e Suporte (DS)

Processos: Entrega e Suporte (DS)




Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle

Gerenciamento de performance, o monitoramento do controle interno e a aderência regulatória e a governança


Processos: Monitoração e Avaliação (ME)

Processos: Monitoração e Avaliação (ME)



Benefícios do CobiTResponsabilidades e protocolos de comunicação bastante clarosVisão clara acerta da situação atual dos processos de TI e de seus pontos de vulnerabilidadeRedução da exposição a riscosMaior solidez e assertividade no planejamento encadeado das ações de melhoriaAlta visibilidade, por parte de todos os níveis da organizaçãoRedução dos custos operacionais e de propriedade do acervo de TI (aplicativos e infra-estrutura)Melhoria da imagem perante os clientes, através do aumento do grau de satisfação e da confiabilidade em relação aos serviços de TI



Alinhamento do CobiT com outros modelos

Alinhamento do CobiT com outros modelos

Estudos de Casos

Estudos de Casos

Estudos de Casos

Estudos de Casos

Estudos de Casos

Estudos de Casos

Documents

Gestão da Tecnologia da Informação - Página Inicial · 2000: 3ª edição – publicado pelo ITGI (IT Governance Institute - ), ... CMMI e ISO 17799 É uma estrutura (framework)