Upload
josianeoliver
View
34
Download
4
Tags:
Embed Size (px)
Citation preview
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
1/44
Governana de TI
COBIT
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
2/44
Governana de TI - COBIT
Control Objectives for Information and related Technology
COBIT
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
3/44
Governana de TI - COBIT
uma estrutura de relacionamentos e processos para dirigir e
controlar a organizao no atingimento dos objetivos destaorganizao, adicionando valor, ao mesmo tempo queequilibra os riscos em relao ao retorno da TI e seusprocessos.
Definio
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
4/44
Governana de TI - COBIT
O que
Ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativasde TI;
Guia para a gesto de TI recomendado pelo ISACA
( Information System Control and Audit Association )
Independe das plataformas de TI
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
5/44
Governana de TI - COBIT
Projetado para auxiliar trs audincias distintas:
Gerentes que necessitam avaliar o risco e controlar os
investimentos de TI em uma organizao.
Usurios que precisam ter garantias de que os servios de TIque dependem os seus produtos e servios para os clientesinternos e externos esto sendo bem gerenciados.
Auditores que podem se apoiar nas recomendaes doCobiT para avaliar o nvel da gesto de TI e aconselhar ocontrole interno da organizao.
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
6/44
Governana de TI - COBIT
O que
COBIT um conjunto de controles que possibilitam aadequao da rea de tecnologia das empresasdentro do contexto corporativo, com o seucrescimento sustentado e planejado.
COBIT uma ferramenta que auxilia a empresa a definir e
alcanar os objetivos de maneira eficiente, ou seja,minimizando os riscos e ampliando a lucratividade
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
7/44
Governana de TI - COBIT
HISTRICO E EVOLUO
Primeira verso em 1996
Information System Control and Audit Foundation (ISACF)
Compilao de referncias sobre controle e auditoria de TI
Segunda verso em 1998Information System Control and Audit Association (ISACA)
Acrscimo e atualizao de referncias, kit de implantao
Terceira verso em 2000 (Cobit 3 Edio)
IT Governance InstituteCriao do Management Guidelines
Quarta verso em 2005 (Cobit 4.0)
Consolidao e detalhamento de instrumentos gerenciais
Refinamento em 2007 (Cobit 4.1)
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
8/44
Governana de TI - COBIT
PRINCPIOS BSICOS
Objetivos de negcios requerem informaes
Informaes devem atender aos critrios de qualidade, segurana econfiabilidade
Informaes so produzidas por recursos de TI
Dados, aplicaes, infra-estrutura e pessoas
Recursos de TI so gerenciados por processos
Definio de responsabilidades e metas
Processos devem ser controlados
Objetivos de controle, indicadores de desempenho e indicadores de resultados
(IT Governance Institute, 2007)
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
9/44
Governana de TI - COBIT
CARACTERSITICAS GERAIS
Foco no negcioAlinhamento das metas de TI a metas de negcio
Orientado a processosOrganizao das atividades de TI em um modelo de processos aplicvel de formageralIdentificao de responsabilidades pelos processos nas reas de negcio e TI
Baseado em controlesDefinio dos objetivos de controle a serem considerados pela gerncia
Dirigido por mtricasUso de indicadores e modelos de maturidade
(IT Governance Institute, 2007)
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
10/44
As organizaes requerem uma abordagem estruturada para estes e outros
desafios.
Isto garante que os objetivos traados por TI, bons controles gerenciais e umefetivo monitoramento de performance so mantidos na trilha e evitam situaesinesperadas .
A necessidade de Governana de TI
Manter TIoperacional
Segurana
Valor/Custo
Gerenciar
ambientecomplexo
Alinhamento
de TI como negcio
Atender argos reguladores
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
11/44
Governana Corporativa :
Conformidade
Aderente a legislao, polticas
internas, requisies de
auditoria, etc.
Performance
Melhoria nos resultados,
eficincia, eficcia, crescimento,
etc.
Governana Corporativa direciona Governana de TI
Governana Corporativa e Governana de TI requerem que obalano entre os objetivos de conformidade e performance
sejam ditados pelo Comit.
Performance
Conformidade
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
12/44
reas de Foco de Governana de TI
Agregao de Valor
Tem como foco garantir uma integrao do negcio com os planos de TI; nadefinio, manuteno e validao das proposies de valor para TI; e noalinhamento das operaes de TI com as operaes corporativas
sobre a execuo da proposio de valor atravs do ciclo de entrega, garantindoque os entregveis de TI cumpram os benefcios estabelecidos na estratgia,concentrando-se nos custos timos fixados
sobre a otimizao de investimento e do prprio gerenciamento dosrecursos crticos de TI, aplicaes, informaes, infraestrutura e pessoas. Oponto chave est relacionado a otimizao do conhecimento e deinfraestrutura.
Ateno aos Riscos requerida do Executivo Senior da corporao, um claroentendimento do apetite da corporao pelo risco, entendimento daconformidade (compliance) requerida, transparncia sobre o significado dorisco para a corporao, e a estrutura de responsabilidade pelogerenciamento dos riscos na corporao.
Trilha e monitora a implementao de estratgia, concluso de projetos, usode recursos, performance de processos e entrega de servios, usando, porexemplo, Balance ScoreCards para traduzir estratgias em aes, com vistasa atingir os objetivos mensurados via apontamento convencional.
Medio dePerformance
Gesto de Riscos
Gerenciamentode Recursos
AlinhamentoEstratgico
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
13/44
Partes Interessadas na Governana de TI
Gestor do Negcio
Define a direo de TI, monitora os resultados e insiste emmedidas corretivas.
Define as necessidades de negcio para TI e garante aagregao de valor e se os riscos so gerenciados.
Entrega e melhoria os servios de TI, de acordo com asrequisies do negcio.
Provem garantia independente para demonstrar que TIest entregando o que necessrio para a organizao.
Mede a conformidade com polticas e alertas para novosriscos.
Riscos eConformidade
Auditores de TI
Gestor de TI
Comit de Direo eComit Executivo
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
14/44
COBIT:
Inicia com os requisitos de negcio
orientado a processo, as atividades de TI da organizao
dentro de um modelo de processo geralmente aceito.
Identifica os maiores recursos de TI a serem estabilizados
Incorpora os maiores padres internacionais
Tem como foco o padro de fato para todos os controles deTI.
COBIT ajuda a estabelecer uma ponte entre os riscos do negcio, as necessidades decontrole e questes tcnicas. Prov as melhores prticas, atravs de um framework paradomnio e processos, e apresenta atividades em uma forma lgica e gerencivel.
Recursos de TI necessrios a serem gerenciados por um conjuntode processos naturalmente agrupados. COBIT prov um
framework que consegue este objetivo.
COBIT prove um Framework para Governana de TI
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
15/44
Organizaes consideram e usam uma variedade de modelos de TI, padres e melhoresprticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto,com o COBIT atuando como um consolidador.
COBIT
ISO 9000
ISO 17799
ITIL
COSO
O que Como
COBIT e outros Frameworks para TI
Escopo de Cobertura
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
16/44
PERFORMANCEObjetivos do Negcio
CONFORMIDADEBasel II, Sarbanes-
Oxley Act, etc.
Governana Corporativa
Governana de TI
ISO9001:2000
ISO17799
ISO20000Padres de Melhores Prticas
Procedimentos
QA
Processos e Procedimentos
Drivers
COBIT
COSO
Comisso Nacional sobre Fraudes em Relatrios Financeiros
Princpios de
SeguranaITIL
Balanced
Scorecard
Onde o Cobit se posiciona?
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
17/44
As ltimas atualizaes do COBIT, encontram-se em www.isaca.org/cobit.
Governana
COBIT 4
2005
COBIT 3
Gerenciamento
2000
COBIT 2
Controle
1998
COBIT 1
Auditoria
1996
Evoluo
COBIT: Um framework de Controle de TI
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
18/44
Componentes do COBIT
Uma organizao depende de dados confiveis e oportunos. Os componentes do COBIT provem umframework compreensvel para agregar valor, enquanto gerenciando riscos de dados e informaes.
Estratgia de Negcio
Critrios da
Informao
Recursos de TI
Processos de TI
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
19/44
COBIT: Vantagens
Algumas das vantagens em se adotar COBIT:
COBIT est alinhado com outros padres e melhores prticas e dever ser usado em conjuntocom eles.
O framework COBIT suporta e suportado pelas melhores prticas, provendo assim umambiente de TI bem gerenciado e flexvel, dentro da organizao.
COBIT prov um ambiente de controle que responsvel em garantir as necessidades denegcio e servir para funes de gerenciamento e auditoria, a partir de suas responsabilidadesde controle.
COBIT prov ferramentas para auxiliar no gerenciamento das atividades de TI.
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
20/44
COBIT: Premissas
O framework COBIT baseado na premissa de que TI necessita entregar informao auma corporao para que atinja os seus objetivos.
i
Recursos de TIe processos
Informao
Processos deNegcio
Objetivos deNegcio
prov
para
Obter
O framework COBIT ajuda a alinhar TI com o Negcio atravs do foco nos requisitos de informaode negcio e a organizao dos recursos de TI. COBIT prov um framework e um guia para
implementar a Governana de TI.
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
21/44
COBIT Framework
Estrutura do COBIT
4 Domnios
34 Processos
210 Objetivos de Controle
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
22/44
Governana de TI - COBIT
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
23/44
(IT Governance Institute, 2007)
DS1 definir e gerenciar nveis de servios
DS2 gerenciar servios de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos servios
DS5 garantir segurana dos sistemasDS6 identificar e alocar custos
DS7 educar e treinar usurios
DS8 gerenciar service desk e incidentes
DS9 gerenciar a configurao
DS10 gerenciar problemas
DS11 gerenciar dados
DS12 gerenciar o ambiente fsico
DS13 gerenciar a operao
ME1 monitorar e avaliar o desempenho da TI
ME2 monitorar e avaliar os controles internosME3 assegurar conformidade regulatria
ME4 prover governana de TI
PO1 definir um plano estratgico de TI
PO2 definir a arquitetura de informaoPO3 determinar a direo tecnolgica
PO4 definir processos, organizao e
relacionamentos da TI
PO5 gerenciar o investimento em TI
PO6 comunicar metas e diretivas gerenciais
PO7 gerenciar recursos humanos de TI
PO8 gerenciar qualidade
PO9 avaliar e gerenciar riscos
PO10 gerenciar projetos
AI1 identificar solues
AI2 adquirir e manter aplicaes
AI3 adquirir e manter infraestrutura tecnolgica
AI4 viabilizar operao e uso
AI5 adquirir recursos de TI
AI6 gerenciar mudanas
AI7 instalar e certificar sistemas e mudanas
PLANEJAMENTO EORGANIZAO
AQUISIO EIMPLEMENTAO
ENTREGA E
SUPORTE
MONITORAMENTOE AVALIAO
Domnios e processos
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
24/44
COBIT
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
25/44
COBIT - Domnios
Planejar e Organizar (PO)
Objetivos:
Formular estratgias e tticas
Identificar como TI pode melhor contribuir para obter os objetivos de Negcio
Planejar, comunicar e gerenciar a realiza da viso estratgica
Implementao organizacional e tecnolgica da Infraestrutura
Escopo:
Esto TI e Negcio estrategicamente alinhados?
Est a organizao obtendo uso timo de seus recursos?
Qualquer pesso na organizao entende os objetivos de TI?
Os riscos de TI so entendidos e adequadamente gerenciados? A qualidade dos sistemas de TI so apropriadas para as necessidades do Negcio?
TI e Negcio
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
26/44
PO1 Definir um plano estratgico de TI.
PO2 Definir a arquitetura da Informao.
PO3 Determinar a direo tecnolgica.
PO4 Definir os processos, organizao e
relacionamento de TI.
PO5 Gerenciar os investimentos em TI.
PO6 Auxiliar no Gerenciamento da
Comunicao e do Direcionamento.
PO7 Gerenciar os Recursos Humanos de TI.PO8 Gerenciar a Qualidade.
PO9 Avaliar e controlar os Riscos de TI.
PO10 Gerenciar Projetos.
Planejar e Organizar
Planejar e
Organizar
Entregar eSuportar
Adquirir e
Implementar
Monitorar eAvaliar
Processos de TI
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
27/44
Adquirir e Implementar (AI)
Objetivos:
Identificar, desenvolver ou adquirir, implementar e integrar solues de TI.
Mudanas e manuteno dos sistemas existentes
Escopo:
Esto os novos projetos aptos a entregar solues que reunem as necessidades deNegcio?
Esto os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?
Os novos sistemas trabalharo adequadamente quando implementados? As mudanas sero feitas sem afetar as operaes atuais do Negcio?
Novos projetos Organizao
?
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
28/44
Planejar eOrganizar
Entregar eSuportar
Adquirir eImplementar
Monitorar eAvaliar
Processos de TI
AI1 Identificar solues automticas.
AI2 Adquirir e manter software aplicativo.
AI3 Adquirir e manter tecnologicamente aInfraestrutura.
AI4 Habilitar Operao e Uso.
AI5 Procurar recursos de TI.
AI6 Gerenciar mudanas.
AI7 Instalar e certficar solues e mudanas
Adquirir e Implementar
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
29/44
Entregar e Suportar (DS)
Objetivos:
A atual entrega dos servios requeridos, incluindo o servio de entrega.
Gerenciamento da segurana, continuidade, dados e facilidades operacionais.
Servio de suporte a usurios estruturado. Escopo:
Esto os servios de TI alinhados com as prioridades de Negcio?
Esto os custos otimizados?
Est a fora de trabalho apta a usar os sistemas de TI de forma produtiva e com segurana?
So adequadas a confidencialidade, integridade e disponbilidade das informaes?
Servios de TI Prioridades de Negcio
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
30/44
DS1 Definir e gerenciar Nveis de Servios.
DS2 Gerenciar os Prestadores de Servios.
DS3 Gerenciar Disponibilidade e Capacidade.
DS4 Garantir a Continuidade dos Servios.
DS5 Garantir a Segurana dos Sistemas.
DS6 Identificar e alocar os Custos.
DS7 Educar e treinar Usurios.
DS8 Gerenciar a Central de Servios e Incidentes.
DS9 Gerenciar a Configurao.
DS10 Gerenciar Problemas.
DS11 Gerenciar Dados.DS12 Gerenciar o Ambiente Fsico.
DS13 Gerenciar Operaes.
Entregar e Suportar
Planejar eOrganizar
Entregar eSuportar
Adquirir eImplementar
Monitorar eAvaliar
Processos de TI
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
31/44
Monitorar e Avaliar (ME) Objetivos:
Gerenciamento de Performance
Monitoramento de Controles Internos
Conformidade com Agncias Reguladoras
Governana
Escopo:
A performance de TI mensurada para detectar problemas antes que eles aconteam?
Gerenciamento garante que Controles Internos so efetivos e eficazes?
Pode a disponibilidade de TI ser combinada aos objetivos de Negcio?
So Riscos, Controle, Conformidade e Performance medidos e reportados?
TI Performance
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
32/44
ME1 Monitorar e avaliar a Performance de TI.
ME2 Monitorar e avaliar Controles Internos.
ME3 Garantir conformidade com exigncias
externas.
ME4 Prover Governana de TI.
Monitorar e AvaliarPlanejar e
Organizar
Entregar eSuportar
Adquirir eImplementar
Monitorar eAvaliar
Processos de TI
COBIT - Domnios
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
33/44
(IT Governance Institute, 2007)
Modelo de maturidade
Os nveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelasorganizaes
Esses nveis no estabelecem patamares evolutivos, onde no se pode alcanar um nvel
superior sem antes passar pelos inferiores
A partir dos nveis de maturidade descritos para cada um dos 34 processos, possvel identificar
O desempenho real da organizao (onde estamos) A situao atual de organizaes similares (benchmarking) Os avanos possibilitados pelos padres e modelos disponveis no mercado
A meta para melhoria do processo da organizao (onde queremos esta)
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
34/44
Modelo de maturidade - COBIT
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
35/44
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 0Inexistente Ausncia de processos identificveis
A organizao no reconhece que existe uma questo a sertratada
Nvel 1Inicial/Ad-hoc
A organizao reconhece que existe uma questo a ser tratada
Abordagens improvisadas tendem a ser aplicadas a situaes
individuais
A gerncia do processo desorganizada
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
36/44
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 2Repetvel mas intuitivo
Os processos se desenvolveram de modo que procedimentossimilares so executados por pessoas diferentes que realizama mesma tarefa
No existe treinamento ou repasse formal de procedimentos,a responsabilidade deixada a cargo do indivduo
Existe alta dependncia do conhecimento individual, o quegera grande probabilidade de falhas
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
37/44
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 3Processo definido
Procedimentos padronizados, documentados e comunicadospor meio de treinamentos
Cabe ao indivduo seguir esses processos; pouco provvelque desvios sejam detectados
Os procedimentos no so sofisticados, mas apenasformalizao de prticas existentes
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
38/44
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 4Gerenciado e mensurvel
possvel monitorar e medir a conformidade deprocedimentos, para agir quando os processos no estiveremfuncionando de forma eficaz
Os processos sofrem melhorias constantes e estabelecem boasprticas
Ferramentas automatizadas so usadas de forma limitada oufragmentada
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
39/44
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 5Otimizado
Os processos foram refinados at alcanar as melhoresprticas, com base no resultado de melhoria contnua ecomparaes com outras organizaes
A TI usada para automatizar os fluxos de trabalho, provendoferramentas para aumentar a qualidade e efetividade dos
processos
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
40/44
Linha de tempo para maturidade
Maturidade
Hoje
2 a 5 anos
Tempo
Ad-Hoc, S fao
Quando preciso
- Reativo
Felicidade
Fase No sei
de nada
Fase Reativo,
Implementao
Fragmentada
Fase da
ConsolidaoFase da
Excelncia
Operacional
Acelerar projetosPara reagir as
solicitaes
Criar Inventrios
Para iniciativas deGovernana
Inicia um abordagem
Unificado de
Governana
Melhoria continua
do processo
Fonte: SAP Research
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
41/44
(IT Governance Institute, 2007)
Planejamento e organizao
PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao
PO3 Determinar a direo tecnolgica
PO4 Definir processos, organizao e relacionamentos
PO5 Gerenciar o investimento em TI
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar riscos
PO10 Gerenciar projetos
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
42/44
(IT Governance Institute, 2007)
Aquisio e implementao
AI1 Identificar solues AI2 Adquirir e manter aplicaes
AI3 Adquirir e manter infraestrutura tecnolgica
AI4 Viabilizar operao e uso
AI5 Adquirir recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e certificar sistemas e mudanas
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
43/44
(IT Governance Institute, 2007)
Entrega e suporte
DS1 Definir e gerenciar nveis de servios
DS2 Gerenciar servios de terceiros
DS3 Gerenciar performance e capacidade
DS4 Garantir continuidade dos servios
DS5 Garantir segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas DS11 Gerenciar dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar a operao
5/20/2018 Governan a de TI - COBIT - Facthus.pdf
44/44
Monitoramento e avaliao
ME1 Monitorar e avaliar o desempenho da TI ME2 Monitorar e avaliar os controles internos
ME3 Assegurar conformidade regulatria
ME4 Prover governana de TI