Governança de TI - COBIT - Facthus.pdf

5/20/2018 Governan a de TI - COBIT - Facthus.pdf

1/44

Governana de TI

COBIT


2/44

Governana de TI - COBIT

Control Objectives for Information and related Technology

COBIT


3/44


uma estrutura de relacionamentos e processos para dirigir e

controlar a organizao no atingimento dos objetivos destaorganizao, adicionando valor, ao mesmo tempo queequilibra os riscos em relao ao retorno da TI e seusprocessos.

Definio


4/44


O que

Ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativasde TI;

Guia para a gesto de TI recomendado pelo ISACA

( Information System Control and Audit Association )

Independe das plataformas de TI


5/44


Projetado para auxiliar trs audincias distintas:

Gerentes que necessitam avaliar o risco e controlar os

investimentos de TI em uma organizao.

Usurios que precisam ter garantias de que os servios de TIque dependem os seus produtos e servios para os clientesinternos e externos esto sendo bem gerenciados.

Auditores que podem se apoiar nas recomendaes doCobiT para avaliar o nvel da gesto de TI e aconselhar ocontrole interno da organizao.


6/44


O que

COBIT um conjunto de controles que possibilitam aadequao da rea de tecnologia das empresasdentro do contexto corporativo, com o seucrescimento sustentado e planejado.

COBIT uma ferramenta que auxilia a empresa a definir e

alcanar os objetivos de maneira eficiente, ou seja,minimizando os riscos e ampliando a lucratividade


7/44


HISTRICO E EVOLUO

Primeira verso em 1996

Information System Control and Audit Foundation (ISACF)

Compilao de referncias sobre controle e auditoria de TI

Segunda verso em 1998Information System Control and Audit Association (ISACA)

Acrscimo e atualizao de referncias, kit de implantao

Terceira verso em 2000 (Cobit 3 Edio)

IT Governance InstituteCriao do Management Guidelines

Quarta verso em 2005 (Cobit 4.0)

Consolidao e detalhamento de instrumentos gerenciais

Refinamento em 2007 (Cobit 4.1)


8/44


PRINCPIOS BSICOS

Objetivos de negcios requerem informaes

Informaes devem atender aos critrios de qualidade, segurana econfiabilidade

Informaes so produzidas por recursos de TI

Dados, aplicaes, infra-estrutura e pessoas

Recursos de TI so gerenciados por processos

Definio de responsabilidades e metas

Processos devem ser controlados

Objetivos de controle, indicadores de desempenho e indicadores de resultados

(IT Governance Institute, 2007)


9/44


CARACTERSITICAS GERAIS

Foco no negcioAlinhamento das metas de TI a metas de negcio

Orientado a processosOrganizao das atividades de TI em um modelo de processos aplicvel de formageralIdentificao de responsabilidades pelos processos nas reas de negcio e TI

Baseado em controlesDefinio dos objetivos de controle a serem considerados pela gerncia

Dirigido por mtricasUso de indicadores e modelos de maturidade



10/44

As organizaes requerem uma abordagem estruturada para estes e outros

desafios.

Isto garante que os objetivos traados por TI, bons controles gerenciais e umefetivo monitoramento de performance so mantidos na trilha e evitam situaesinesperadas .

A necessidade de Governana de TI

Manter TIoperacional

Segurana

Valor/Custo

Gerenciar

ambientecomplexo

Alinhamento

de TI como negcio

Atender argos reguladores


11/44

Governana Corporativa :

Conformidade

Aderente a legislao, polticas

internas, requisies de

auditoria, etc.

Performance

Melhoria nos resultados,

eficincia, eficcia, crescimento,

etc.

Governana Corporativa direciona Governana de TI

Governana Corporativa e Governana de TI requerem que obalano entre os objetivos de conformidade e performance

sejam ditados pelo Comit.

Performance

Conformidade


12/44

reas de Foco de Governana de TI

Agregao de Valor

Tem como foco garantir uma integrao do negcio com os planos de TI; nadefinio, manuteno e validao das proposies de valor para TI; e noalinhamento das operaes de TI com as operaes corporativas

sobre a execuo da proposio de valor atravs do ciclo de entrega, garantindoque os entregveis de TI cumpram os benefcios estabelecidos na estratgia,concentrando-se nos custos timos fixados

sobre a otimizao de investimento e do prprio gerenciamento dosrecursos crticos de TI, aplicaes, informaes, infraestrutura e pessoas. Oponto chave est relacionado a otimizao do conhecimento e deinfraestrutura.

Ateno aos Riscos requerida do Executivo Senior da corporao, um claroentendimento do apetite da corporao pelo risco, entendimento daconformidade (compliance) requerida, transparncia sobre o significado dorisco para a corporao, e a estrutura de responsabilidade pelogerenciamento dos riscos na corporao.

Trilha e monitora a implementao de estratgia, concluso de projetos, usode recursos, performance de processos e entrega de servios, usando, porexemplo, Balance ScoreCards para traduzir estratgias em aes, com vistasa atingir os objetivos mensurados via apontamento convencional.

Medio dePerformance

Gesto de Riscos

Gerenciamentode Recursos

AlinhamentoEstratgico


13/44

Partes Interessadas na Governana de TI

Gestor do Negcio

Define a direo de TI, monitora os resultados e insiste emmedidas corretivas.

Define as necessidades de negcio para TI e garante aagregao de valor e se os riscos so gerenciados.

Entrega e melhoria os servios de TI, de acordo com asrequisies do negcio.

Provem garantia independente para demonstrar que TIest entregando o que necessrio para a organizao.

Mede a conformidade com polticas e alertas para novosriscos.

Riscos eConformidade

Auditores de TI

Gestor de TI

Comit de Direo eComit Executivo


14/44

COBIT:

Inicia com os requisitos de negcio

orientado a processo, as atividades de TI da organizao

dentro de um modelo de processo geralmente aceito.

Identifica os maiores recursos de TI a serem estabilizados

Incorpora os maiores padres internacionais

Tem como foco o padro de fato para todos os controles deTI.

COBIT ajuda a estabelecer uma ponte entre os riscos do negcio, as necessidades decontrole e questes tcnicas. Prov as melhores prticas, atravs de um framework paradomnio e processos, e apresenta atividades em uma forma lgica e gerencivel.

Recursos de TI necessrios a serem gerenciados por um conjuntode processos naturalmente agrupados. COBIT prov um

framework que consegue este objetivo.

COBIT prove um Framework para Governana de TI


15/44

Organizaes consideram e usam uma variedade de modelos de TI, padres e melhoresprticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto,com o COBIT atuando como um consolidador.

COBIT

ISO 9000

ISO 17799

ITIL

COSO

O que Como

COBIT e outros Frameworks para TI

Escopo de Cobertura


16/44

PERFORMANCEObjetivos do Negcio

CONFORMIDADEBasel II, Sarbanes-

Oxley Act, etc.

Governana Corporativa

Governana de TI

ISO9001:2000

ISO17799

ISO20000Padres de Melhores Prticas

Procedimentos

QA

Processos e Procedimentos

Drivers

COBIT

COSO

Comisso Nacional sobre Fraudes em Relatrios Financeiros

Princpios de

SeguranaITIL

Balanced

Scorecard

Onde o Cobit se posiciona?


17/44

As ltimas atualizaes do COBIT, encontram-se em www.isaca.org/cobit.

Governana

COBIT 4

2005

COBIT 3

Gerenciamento

2000

COBIT 2

Controle

1998

COBIT 1

Auditoria

1996

Evoluo

COBIT: Um framework de Controle de TI


18/44

Componentes do COBIT

Uma organizao depende de dados confiveis e oportunos. Os componentes do COBIT provem umframework compreensvel para agregar valor, enquanto gerenciando riscos de dados e informaes.

Estratgia de Negcio

Critrios da

Informao

Recursos de TI

Processos de TI


19/44

COBIT: Vantagens

Algumas das vantagens em se adotar COBIT:

COBIT est alinhado com outros padres e melhores prticas e dever ser usado em conjuntocom eles.

O framework COBIT suporta e suportado pelas melhores prticas, provendo assim umambiente de TI bem gerenciado e flexvel, dentro da organizao.

COBIT prov um ambiente de controle que responsvel em garantir as necessidades denegcio e servir para funes de gerenciamento e auditoria, a partir de suas responsabilidadesde controle.

COBIT prov ferramentas para auxiliar no gerenciamento das atividades de TI.


20/44

COBIT: Premissas

O framework COBIT baseado na premissa de que TI necessita entregar informao auma corporao para que atinja os seus objetivos.

i

Recursos de TIe processos

Informao

Processos deNegcio

Objetivos deNegcio

prov

para

Obter

O framework COBIT ajuda a alinhar TI com o Negcio atravs do foco nos requisitos de informaode negcio e a organizao dos recursos de TI. COBIT prov um framework e um guia para

implementar a Governana de TI.


21/44

COBIT Framework

Estrutura do COBIT

4 Domnios

34 Processos

210 Objetivos de Controle


22/44



23/44


DS1 definir e gerenciar nveis de servios

DS2 gerenciar servios de terceiros

DS3 gerenciar performance e capacidade

DS4 garantir continuidade dos servios

DS5 garantir segurana dos sistemasDS6 identificar e alocar custos

DS7 educar e treinar usurios

DS8 gerenciar service desk e incidentes

DS9 gerenciar a configurao

DS10 gerenciar problemas

DS11 gerenciar dados

DS12 gerenciar o ambiente fsico

DS13 gerenciar a operao

ME1 monitorar e avaliar o desempenho da TI

ME2 monitorar e avaliar os controles internosME3 assegurar conformidade regulatria

ME4 prover governana de TI

PO1 definir um plano estratgico de TI

PO2 definir a arquitetura de informaoPO3 determinar a direo tecnolgica

PO4 definir processos, organizao e

relacionamentos da TI

PO5 gerenciar o investimento em TI

PO6 comunicar metas e diretivas gerenciais

PO7 gerenciar recursos humanos de TI

PO8 gerenciar qualidade

PO9 avaliar e gerenciar riscos

PO10 gerenciar projetos

AI1 identificar solues

AI2 adquirir e manter aplicaes

AI3 adquirir e manter infraestrutura tecnolgica

AI4 viabilizar operao e uso

AI5 adquirir recursos de TI

AI6 gerenciar mudanas

AI7 instalar e certificar sistemas e mudanas

PLANEJAMENTO EORGANIZAO

AQUISIO EIMPLEMENTAO

ENTREGA E

SUPORTE

MONITORAMENTOE AVALIAO

Domnios e processos


24/44

COBIT


25/44

COBIT - Domnios

Planejar e Organizar (PO)

Objetivos:

Formular estratgias e tticas

Identificar como TI pode melhor contribuir para obter os objetivos de Negcio

Planejar, comunicar e gerenciar a realiza da viso estratgica

Implementao organizacional e tecnolgica da Infraestrutura

Escopo:

Esto TI e Negcio estrategicamente alinhados?

Est a organizao obtendo uso timo de seus recursos?

Qualquer pesso na organizao entende os objetivos de TI?

Os riscos de TI so entendidos e adequadamente gerenciados? A qualidade dos sistemas de TI so apropriadas para as necessidades do Negcio?

TI e Negcio


26/44

PO1 Definir um plano estratgico de TI.

PO2 Definir a arquitetura da Informao.

PO3 Determinar a direo tecnolgica.

PO4 Definir os processos, organizao e

relacionamento de TI.

PO5 Gerenciar os investimentos em TI.

PO6 Auxiliar no Gerenciamento da

Comunicao e do Direcionamento.

PO7 Gerenciar os Recursos Humanos de TI.PO8 Gerenciar a Qualidade.

PO9 Avaliar e controlar os Riscos de TI.

PO10 Gerenciar Projetos.

Planejar e Organizar

Planejar e

Organizar

Entregar eSuportar

Adquirir e

Implementar

Monitorar eAvaliar

Processos de TI

COBIT - Domnios


27/44

Adquirir e Implementar (AI)

Objetivos:

Identificar, desenvolver ou adquirir, implementar e integrar solues de TI.

Mudanas e manuteno dos sistemas existentes

Escopo:

Esto os novos projetos aptos a entregar solues que reunem as necessidades deNegcio?

Esto os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?

Os novos sistemas trabalharo adequadamente quando implementados? As mudanas sero feitas sem afetar as operaes atuais do Negcio?

Novos projetos Organizao

?

COBIT - Domnios


28/44

Planejar eOrganizar

Entregar eSuportar

Adquirir eImplementar

Monitorar eAvaliar

Processos de TI

AI1 Identificar solues automticas.

AI2 Adquirir e manter software aplicativo.

AI3 Adquirir e manter tecnologicamente aInfraestrutura.

AI4 Habilitar Operao e Uso.

AI5 Procurar recursos de TI.

AI6 Gerenciar mudanas.

AI7 Instalar e certficar solues e mudanas

Adquirir e Implementar

COBIT - Domnios


29/44

Entregar e Suportar (DS)

Objetivos:

A atual entrega dos servios requeridos, incluindo o servio de entrega.

Gerenciamento da segurana, continuidade, dados e facilidades operacionais.

Servio de suporte a usurios estruturado. Escopo:

Esto os servios de TI alinhados com as prioridades de Negcio?

Esto os custos otimizados?

Est a fora de trabalho apta a usar os sistemas de TI de forma produtiva e com segurana?

So adequadas a confidencialidade, integridade e disponbilidade das informaes?

Servios de TI Prioridades de Negcio

COBIT - Domnios


30/44

DS1 Definir e gerenciar Nveis de Servios.

DS2 Gerenciar os Prestadores de Servios.

DS3 Gerenciar Disponibilidade e Capacidade.

DS4 Garantir a Continuidade dos Servios.

DS5 Garantir a Segurana dos Sistemas.

DS6 Identificar e alocar os Custos.

DS7 Educar e treinar Usurios.

DS8 Gerenciar a Central de Servios e Incidentes.

DS9 Gerenciar a Configurao.

DS10 Gerenciar Problemas.

DS11 Gerenciar Dados.DS12 Gerenciar o Ambiente Fsico.

DS13 Gerenciar Operaes.

Entregar e Suportar

Planejar eOrganizar

Entregar eSuportar


Monitorar eAvaliar

Processos de TI

COBIT - Domnios


31/44

Monitorar e Avaliar (ME) Objetivos:

Gerenciamento de Performance

Monitoramento de Controles Internos

Conformidade com Agncias Reguladoras

Governana

Escopo:

A performance de TI mensurada para detectar problemas antes que eles aconteam?

Gerenciamento garante que Controles Internos so efetivos e eficazes?

Pode a disponibilidade de TI ser combinada aos objetivos de Negcio?

So Riscos, Controle, Conformidade e Performance medidos e reportados?

TI Performance

COBIT - Domnios


32/44

ME1 Monitorar e avaliar a Performance de TI.

ME2 Monitorar e avaliar Controles Internos.

ME3 Garantir conformidade com exigncias

externas.

ME4 Prover Governana de TI.

Monitorar e AvaliarPlanejar e

Organizar

Entregar eSuportar


Monitorar eAvaliar

Processos de TI

COBIT - Domnios


33/44


Modelo de maturidade

Os nveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelasorganizaes

Esses nveis no estabelecem patamares evolutivos, onde no se pode alcanar um nvel

superior sem antes passar pelos inferiores

A partir dos nveis de maturidade descritos para cada um dos 34 processos, possvel identificar

O desempenho real da organizao (onde estamos) A situao atual de organizaes similares (benchmarking) Os avanos possibilitados pelos padres e modelos disponveis no mercado

A meta para melhoria do processo da organizao (onde queremos esta)


34/44

Modelo de maturidade - COBIT


35/44



Nvel 0Inexistente Ausncia de processos identificveis

A organizao no reconhece que existe uma questo a sertratada

Nvel 1Inicial/Ad-hoc

A organizao reconhece que existe uma questo a ser tratada

Abordagens improvisadas tendem a ser aplicadas a situaes

individuais

A gerncia do processo desorganizada


36/44



Nvel 2Repetvel mas intuitivo

Os processos se desenvolveram de modo que procedimentossimilares so executados por pessoas diferentes que realizama mesma tarefa

No existe treinamento ou repasse formal de procedimentos,a responsabilidade deixada a cargo do indivduo

Existe alta dependncia do conhecimento individual, o quegera grande probabilidade de falhas


37/44



Nvel 3Processo definido

Procedimentos padronizados, documentados e comunicadospor meio de treinamentos

Cabe ao indivduo seguir esses processos; pouco provvelque desvios sejam detectados

Os procedimentos no so sofisticados, mas apenasformalizao de prticas existentes


38/44



Nvel 4Gerenciado e mensurvel

possvel monitorar e medir a conformidade deprocedimentos, para agir quando os processos no estiveremfuncionando de forma eficaz

Os processos sofrem melhorias constantes e estabelecem boasprticas

Ferramentas automatizadas so usadas de forma limitada oufragmentada


39/44



Nvel 5Otimizado

Os processos foram refinados at alcanar as melhoresprticas, com base no resultado de melhoria contnua ecomparaes com outras organizaes

A TI usada para automatizar os fluxos de trabalho, provendoferramentas para aumentar a qualidade e efetividade dos

processos


40/44

Linha de tempo para maturidade

Maturidade

Hoje

2 a 5 anos

Tempo

Ad-Hoc, S fao

Quando preciso

- Reativo

Felicidade

Fase No sei

de nada

Fase Reativo,

Implementao

Fragmentada

Fase da

ConsolidaoFase da

Excelncia

Operacional

Acelerar projetosPara reagir as

solicitaes

Criar Inventrios

Para iniciativas deGovernana

Inicia um abordagem

Unificado de

Governana

Melhoria continua

do processo

Fonte: SAP Research


41/44


Planejamento e organizao

PO1 Definir um plano estratgico de TI PO2 Definir a arquitetura de informao

PO3 Determinar a direo tecnolgica

PO4 Definir processos, organizao e relacionamentos

PO5 Gerenciar o investimento em TI

PO6 Comunicar metas e diretivas gerenciais

PO7 Gerenciar recursos humanos de TI

PO8 Gerenciar qualidade

PO9 Avaliar e gerenciar riscos

PO10 Gerenciar projetos


42/44


Aquisio e implementao

AI1 Identificar solues AI2 Adquirir e manter aplicaes

AI3 Adquirir e manter infraestrutura tecnolgica

AI4 Viabilizar operao e uso

AI5 Adquirir recursos de TI

AI6 Gerenciar mudanas

AI7 Instalar e certificar sistemas e mudanas


43/44


Entrega e suporte

DS1 Definir e gerenciar nveis de servios

DS2 Gerenciar servios de terceiros

DS3 Gerenciar performance e capacidade

DS4 Garantir continuidade dos servios

DS5 Garantir segurana dos sistemas

DS6 Identificar e alocar custos

DS7 Educar e treinar usurios

DS8 Gerenciar service desk e incidentes

DS9 Gerenciar a configurao

DS10 Gerenciar problemas DS11 Gerenciar dados

DS12 Gerenciar o ambiente fsico

DS13 Gerenciar a operao


44/44

Monitoramento e avaliao

ME1 Monitorar e avaliar o desempenho da TI ME2 Monitorar e avaliar os controles internos

ME3 Assegurar conformidade regulatria

ME4 Prover governana de TI

Documents

Governança de TI - COBIT - Facthus.pdf