Governança de TI - lncc.brrogerio/GTI/Aula-04 - Cobit/Aula04-Cobit.pdf · Introdução Aula 04 Aula 04 --CCoo BBiiTT Tópicos Avançados em Tecnologia da Informação Governança

Introdução

Aula 04 Aula 04 -- CoCoBBiTiT

Tópicos Avançados em Tecnologia da InformaçãoTópicos Avançados em Tecnologia da Informação

Governança de TI

José Humberto CruvinelContato: [email protected]

Site: www.jhcruvinel.com

IntroduçãoAula 04

Agenda Agenda –– CoCoBBiTiT

Governança de TI 2

IntroduçãoAula 04

HistóricoHistórico

� O CoBiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF (www.isaca.org), a partir do seu conjunto inicial de objetivos de controle.

� Em 1998, foi publicada a sua 2a edição.

� A 3a edição foi publicada em 2000 pelo IT Governance � A 3a edição foi publicada em 2000 pelo IT Governance Institute (ITGI - www.itgi.org).

� O modelo evoluiu em 2005 para a versão 4.0 totalmente alinhados a modelos como COSO, ITIL e ISO/IEC 17799 e em conformidade com as regulamentações.

� Em 2007, houve uma atualização incremental (versão 4.1), cujo foco foi orientado a uma maior eficácia dos objetivos de controle e dos processos de verificação e divulgação de resultados. Governança de TI 3

IntroduçãoAula 04

Governança de TI 4

IntroduçãoAula 04

Objetivos do ModeloObjetivos do Modelo

� A definição de "Governança de TI" presente na versão 4.1 do COBIT ilustra a importância da TI dentro da organização: � “responsabilidade da alta direção (incluindo diretores e executivos),

consiste na liderança, nas estruturas organizacionais e nos processos que garantem que a tecnologia da informação da empresa sustente e estenda as estratégias e objetivos da organização".organização".

� O principal objetivo das práticas do COBIT é contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio com um foco mais acentuado no controle que na execução.

� Implantação da Governança de TI na Empresa!

Governança de TI 5

IntroduçãoAula 04


� De acordo com o ITGI o CoBiT:� Estabelece relacionamentos com os requisitos do negócio;

� Organiza as atividades de TI em um modelo de processos genérico;

� Identifica os principais recursos de TI, nos quais deve haver mais investimento;

Define os objetivos de controle que devem ser considerados para a � Define os objetivos de controle que devem ser considerados para a gestão.

� O modelo do COBIT é genérico o bastante para representar todos os processos normalmente encontrados nas funções da TI e compreensível tanto para a operação como para os gerentes de negócios, pois cria uma ponte entre o que o pessoal operacional precisa executar e a visão que os executivos desejam ter para governar.

Governança de TI 6

IntroduçãoAula 04


� Para o COBIT, os pilares fundamentais que sustentam o núcleo da Governança de TI podem ser representados por cinco áreas, conforme mostra a figura abaixo, cada qual com seu respectivo foco.

Governança de TI 7

IntroduçãoAula 04


� Alinhamento Estratégico:� Garantia da ligação entre os planos do negócio e de TI, manutenção

e validação da proposição de valor da TI, e alinhamento das operações da empresa com as de TI;

� Agregação de Valor:� Execução da proposição de valor através do tempo, assegurando � Execução da proposição de valor através do tempo, assegurando

que a TI entregue os benefícios prometidos de acordo com a estratégia, concentrando-se em otimizar custos e em comprovar o valor intrínseco da TI;

� Gerenciamento de Recursos:� Otimização dos investimentos e da gestão adequada dos recursos

críticos de TI (aplicações, informações, infra-estrutura e pessoas), essenciais para fornecer os subsídios de que a empresa necessita para cumprir os seus objetivos;

Governança de TI 8

IntroduçãoAula 04


� Gerenciamento de Riscos:� Conhecimento dos riscos por parte da alta direção, entendimento

claro dos requisitos de compliance e das tendências da empresa para os riscos, transparência acerca dos riscos significativos para a empresa e incorporação de responsabilidades para o gerenciamento dos riscos na organização;

Medição de Desempenho:� Medição de Desempenho:� Acompanhamento e monitoração da implementação da estratégia,

do andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos serviços, utilizando, além das medições convencionais, indicadores de desempenho (como, por exemplo, balanced scorecards) que traduzem a estratégia em ações para atingir objetivos mensuráveis.

Governança de TI 9

IntroduçãoAula 04

Estrutura do ModeloEstrutura do Modelo

� A estrutura (framework) do COBITfoi idealizada de forma a atender às necessidades de controle da organização relacionadas à Governança de TI, tendo como principais características:� o foco nos requisitos de negócio,

� a orientação para uma abordagem de processos,� a orientação para uma abordagem de processos,

� a utilização extensiva de mecanismos de controle e

� o direcionamento para a análise das medições e indicadores de desempenho obtidos ao longo do tempo.

Governança de TI 10

IntroduçãoAula 04

1. Foco no negócio1. Foco no negócio

� Segundo o COBIT, para fornecer a informação de que a empresa necessita para atingir as suas metas de negócio, é necessário associá-las às suas metas de TI, assim como gerenciar e controlar os recursos de TI utilizando um conjunto estruturado de processos para garantir a entrega dos serviços de TI requeridos.dos serviços de TI requeridos.

� O COBIT pressupõe ainda que as informações desejadas devem obedecer a alguns critérios de controle (requisitos de negócio), de forma que sua utilização seja proveitosa para os objetivos de negócio. Tais critérios compreendem: eficiência, eficácia, confidencialidade, integridade, disponibilidade, conformidade com regulações e confiabilidade.


IntroduçãoAula 04


� Esse processo envolve pessoas (habilidades, conhecimentos, índices de produtividade) e infra-estrutura(hardware, sistemas operacionais, bancos de dados, redes, facilidades etc.) para executar aplicações automatizadas e procedimentos manuais que manipulam e processam as informações de negócio. informações de negócio.

� O investimento em tais recursos visa criar capacitações técnicas (sistemas etc.) para suportar as capacitações desejadas para o negócio (melhorias nas funções de negócio), que serão refletidas nos resultados estratégicos da organização (melhoria no desempenho financeiro).

� O próximo slide ilustra a arquitetura empresarial para TI preconizada pelo princípio básico do COBIT.


IntroduçãoAula 04



IntroduçãoAula 04

2. Orientação para Processos2. Orientação para Processos

� O COBIT fornece um modelo padrão de referência e uma linguagem comum (processos padrões), permitindo que todos em uma organização sejam capazes de distinguir e gerenciar atividades no âmbito da TI.

� Neste sentido, utilizando como matriz o ciclo tradicional de melhoria contínua (planejar, construir, executar, monitorar), melhoria contínua (planejar, construir, executar, monitorar), o COBIT identificou 34 processos de TI e os distribuiu entre quatro domínios, que espelham os agrupamentos usuais existentes em uma organização padrão de TI.

� O próximo slide ilustra a interação entre estes domínios na estrutura do COBIT.


IntroduçãoAula 04



IntroduçãoAula 04


� Planejamento e Organização (PO):� Este domínio tem abrangência estratégica e tática e identifica as

formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas.


IntroduçãoAula 04


� Planejamento e Organização (PO):Questões Gerenciais Processos de TI

•A estratégia do negócio e a TI estão alinhadas?•A empresa está otimizando a utilização dos seus recursos?•Todos na organização compreendem as metas de TI?

•PO-1 -> Definir um plano estratégico para TI•PO-2 -> Definir a arquitetura da informação•PO-3 -> Determinar a direção tecnológica•PO-4 -> Definir a organização de TI, os seus processos e relacionamentos •PO-5 -> Gerenciar o investimento em TI


compreendem as metas de TI?•Os riscos relacionados à TI estão compreendidos e sendo gerenciados?•A qualidade dos sistemas de TI está adequada às necessidades do negócio?

•PO-5 -> Gerenciar o investimento em TI•PO-6 -> Comunicar objetivos e direcionamentos gerenciais•PO-7 ->Gerenciar os recursos humanos•PO-8 -> Gerenciar a qualidade•PO-9 -> Avaliar e gerenciar riscos de TI•PO-10 -> Gerenciar projetos

IntroduçãoAula 04


� Aquisição e Implementação (Al):� Este domínio cobre a identificação, desenvolvimento e/ou aquisição

de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções em sistemas existentes também estão cobertas por este domínio, para garantir a continuidade dos respectivos ciclos de vida.continuidade dos respectivos ciclos de vida.


IntroduçãoAula 04


� Aquisição e Implementação (Al):Questões Gerenciais Processos de TI

•Os novos projetos conseguem entregar soluções que atendem as necessidades do negócio? •Os novos projetos conseguem ser entregues dentro do prazo e orçamento planejados?

•AI-1 -> Identificar soluções automatizadas•AI-2 -> Adquirir e manter software aplicativo•AI-3 -> Adquirir e manter infra-estrutura tecnológica•AI-4 -> Viabilizar operação e utilização•AI-5 -> Adquirir recursos de TI


orçamento planejados? •Os novos sistemas funcionam adequadamente depois de implementados? •As mudanças são conduzidas com baixo impacto nas operações de negócio correntes?

•AI-5 -> Adquirir recursos de TI•AI-6 -> Gerenciar mudanças•AI-7 -> Instalar e aprovar soluções e mudanças

IntroduçãoAula 04


� Entrega e Suporte (PS):� Este domínio cobre a entrega propriamente dita dos serviços

requeridos, incluindo gerenciamento de segurança e continuidade, suporte aos serviços para os usuários, gestão dos dados e da infra-estrutura operacional.


IntroduçãoAula 04


� Entrega e Suporte (DS):Questões Gerenciais Processos de TI

•Os serviços de TI estão sendo entregues com alinhamento às prioridades do negócio? •Os custos de TI estão otimizados? •As equipes de trabalho são

•DS-1 -> Definir e gerenciar níveis de serviço•DS-2 -> Gerenciar serviços terceirizados•DS-3 -> Gerenciar desempenho e capacidade•DS-4 -> Garantir a continuidade dos serviços•DS-5 -> Garantir a segurança dos sistemas•DS-6 -> Identificar e alocar custos


•As equipes de trabalho são capazes de utilizar os sistemas de TI com segurança e produtividade? •Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada?

•DS-6 -> Identificar e alocar custos•DS-7 -> Educar e treinar usuários•DS-8 -> Gerenciar central de serviços e incidentes•DS-9 -> Gerenciar a configuração•DS-10 -> Gerenciar problemas•DS-11 -> Gerenciar dados•DS-12 -> Gerenciar o ambiente físico•DS-13 -> Gerenciar operações

IntroduçãoAula 04


� Monitoração e Avaliação (ME):� Este domínio visa assegurar a qualidade dos processos de TI, assim

como a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas.


IntroduçãoAula 04


� Monitoração e Avaliação (ME):Questões Gerenciais Processos de TI

•As medições de desempenho da TI detectam problemas antes que seja tarde demais? •Há garantias de que os controles internos sejam eficientes e eficazes?

•ME-1 -> Monitorar e avaliar o desempenho da TI•ME-2 -> Monitorar e avaliar os controles internos•ME-3 -> Assegurar conformidade com requisitos externos•ME-4 -> Fornecer governança para a TI


eficientes e eficazes? •É possível associar diretamente o desempenho de TI às metas de negócio estabelecidas anteriormente?•Existem controles para confidencialidade, integridade e disponibilidade adequados para garantir a segurança da informação?

IntroduçãoAula 04

3. Controle através de objetivos3. Controle através de objetivos

� O COBIT define como controle� "o conjunto de políticas, procedimentos, práticas e estruturas

organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que os eventos indesejáveis serão prevenidos ou mesmo detectados e corrigidos".

� Um objetivo de controle define um resultado desejado ou � Um objetivo de controle define um resultado desejado ou propósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica.

� O COBIT sustenta ainda que os seus objetivos de controle constituem os requisitos mínimos para que se possam controlar os processos de TI de forma eficaz.


IntroduçãoAula 04


� Cada processo de TI do COBIT tem uma descrição de processo e vários objetivos de controle detalhados. Há requisitos de controle genéricos, tais como:� Definição e divulgação de metas e objetivos específicos para cada

processo (mensuráveis, factíveis, realistas, orientados a resultados, eficientes e aderentes aos objetivos do negócio);

� Estabelecimento de um "dono" para o processo, com responsabilidades claras (criação, interação com outros processos, resultados finais, medição de desempenho, identificação de oportunidades de melhoria);

� Papéis e responsabilidades definidos sem ambiguidades (estabelecidas de acordo com uma matriz "RACI" - Responsável, Aprovador, Consultado, Informado);

� Definição e divulgação das políticas, procedimentos e planos relativos ao processo;


IntroduçãoAula 04


� Repetição, visando a geração dos resultados esperados de forma consistente;

� Desempenho do processo medido em relação às respectivas metas.

� Podem também existir controles específicos suportam os processos através de procedimentos relacionados a:� Autorização e criação de dados (preparação, autorização, coleta de � Autorização e criação de dados (preparação, autorização, coleta de

dados, tratamento de erros e retenção de fontes de dados);

� Entrada de dados (autorização, consistência e tratamento de erros);

� Processamento de dados (garantia de integridade, validação, edição e tratamento de erros);

� Saída de dados (tratamento e retenção, distribuição, balanceamento, reconciliação, tratamento de erros);

� Interfaces (autenticidade, integridade e proteção de informações importantes durante operações de transmissão e/ou transporte).


IntroduçãoAula 04

4. Direcionamento para Medições4. Direcionamento para Medições

� Talvez um dos maiores desafios das empresas seja visualizar o nível de profundidade que deve ser adotado pêlos mecanismos de controle e medições de desempenho.

� Em primeiro lugar, o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados.ser agregados.

� As empresas devem medir a situação atual, principalmente nos aspectos onde alguma ação de melhoria é necessária, e monitorar estas ações de forma sistemática.

� Finalmente, para decidir qual é o ponto certo, deve-se analisar a relação custo-benefício do controle.


IntroduçãoAula 04


� Modelos de Maturidade:� Para cada processo de TI, é estabelecido um modelo de maturidade

baseado em níveis, através do qual uma organização poderá ser avaliada como:

● Nível O (Inexistente): Processos de gestão não são aplicados;● Nível 1 (Inicial / Ad Hoc): Processos são esporádicos e desorganizados,

com abordagens de gestão aplicadas caso a caso;com abordagens de gestão aplicadas caso a caso;● Nível 2 (Repetitivo mas Intuitivo): Processos seguem um padrão de

regularidade, com alta dependência do conhecimento dos indivíduos;● Nível 3 (Definido): Processos são padronizados, documentados e

comunicados;● Nível 4 (Gerenciado e Mensurável): Processos são monitorados e

medidos quanto à conformidade com os procedimentos, e ações são tomadas quando os resultados não são efetivos;

● Nível 5 (Otimizado): Boas práticas são seguidas e automatizadas, com base em resultados de melhorias contínuas e de ações de modelagem de maturidade junto a outras empresas.


IntroduçãoAula 04


� Através destes modelos de maturidade, a gerência tem condições de:� Mapear a situação atual da organização;

� Comparar com a situação das melhores organizações no segmento (benchmarking)',

� Comparar com padrões internacionais;� Comparar com padrões internacionais;

� Estabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organização.


IntroduçãoAula 04


� Metas e Medições de Desempenho:� Demonstram, em três níveis o que o negócio espera da TI (metas

de TI), o que o processo de TI precisa entregar para suportar os objetivos da TI (metas de processo) e o que precisa acontecer dentro do processo para que o desempenho requerido seja atingido (metas de atividades). O COBIT usa dois tipos de indicadores:

Medições de Resultados (Outcome measures) � Medições de Resultados (Outcome measures) ● definem as medições que informam à gerência se um processo de TI

atingiu os objetivos de negócio - também denominadas “lag indicators";

� Indicadores de Desempenho (Performance Indicators) ● definem as medições que informam à gerência o quanto os processos

de TI estão sendo bem executados, no sentido de viabilizar o atendimento dos objetivos de negócio - também denominadas "lead indicators".


IntroduçãoAula 04

Visão integrada do modeloVisão integrada do modelo


IntroduçãoAula 04

Conteúdo dos processos de TIConteúdo dos processos de TI

� Como integrantes principais do núcleo do COBIT, os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos.

� Assim, cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados �de seus componentes inter-relacionados �


IntroduçãoAula 04

Conteúdo dos processos de TIConteúdo dos processos de TI


IntroduçãoAula 04

PublicaçõesPublicações� Board Briefing on IT Governance: Guia executivo que aborda o entendimento

da importância da Governança de TI e das suas principais características;

� ITAssurance Guide: Fornece diretrizes em alto nível para a condução de iniciativas de teste e validação, visando garantir que os objetivos de controle do COBIT estejam corretamente implementados,

� IT Governance Implementation Guide: Fornece um roteiro genérico para a implementação da Governança de TI, utilizando o framework do COBIT;

CoBiT Control Practices: Descreve, em maiores detalhes, as práticas de controle � CoBiT Control Practices: Descreve, em maiores detalhes, as práticas de controle relacionadas aos 34 objetivos de controle de alto nível;

� IT Control Objectives for Sarbanes-Oxley: Orienta sobre como garantir compliance com esta lei para o ambiente de TI, com base no CoBiT;

� IT Control Objectives for Baseline: Fornece diretrizes para o gerenciamento de riscos relacionados à informação no contexto do Acordo da Basileia II, com base no COBIT;

� CoBiT Ouickstart: Fornece uma base de controle para pequenas organizações e orienta empresas maiores a darem os primeiros passos na direção do controle dos seus processos.


IntroduçãoAula 04

Aplicabilidade do modeloAplicabilidade do modelo

� O COBIT cobre todo o conjunto de atividades de TI, concentrando-se mais em "o que" deve ser atingido em vez de "como" atingir, em termos de governança, gestão e controle.

� Neste sentido, recomenda-se que o COBIT seja utilizado no nivel estratégico, com o objetivo de delinear uma estrutura nivel estratégico, com o objetivo de delinear uma estrutura de controle e gestão baseada em um modelo de processos, que seja aplicável para toda a empresa.

� Exemplo de oportunidades ao se utilizar o COBIT:� Avaliação dos processos de TI: A grande abrangência do CoBiT e o

alto grau de padronização permite a sua utilização como um checklist para avaliar os pontos fortes e os pontos fracos dos seus processos, servindo como subsídio para a proposição de ações de melhoria;


IntroduçãoAula 04


� Auditoria dos riscos operacionais de TI: Os processos podem ser avaliados em conjunto ou isoladamente, e as suas discrepâncias em relação aos padrões;

� Implementação modular da Governança de TI: As práticas e padrões relativos a áreas e processos específicos podem ser mapeados para os processos do modelo;

Realização de benchmarking: A existência de modelos de � Realização de benchmarking: A existência de modelos de maturidade para cada processo de TI permite que uma organização possa montar uma estratégia baseada na sua situação atual em termos de Governança de TI, utilizando como parâmetros de comparação dados de outras empresas ou padrões internacionais;

� Qualificação de fornecedores de TI: Como já acontece com o mercado de desenvolvimento de software, os modelos de maturidade do COBIT também podem ser utilizados como qualificadores na contratação de serviços de TI, ou mesmo no estabelecimento de níveis de serviço dentro de uma organização.


IntroduçãoAula 04


� Como modelo de Governança de TI, o COBIT pode ser aplicado tanto em pequenas organizações como em grandes empresas de TI, desde que esteja consistente com os objetivos de negócio e com as suas estratégias relacionadas à TI.

� Em relação ao público-alvo dentro de uma organização, o � Em relação ao público-alvo dentro de uma organização, o COBIT é aplicável a usuários com diferentes focos:� Gestão Executiva: obtenção de retorno sobre os investimentos;

� Gestão do Negócio: garantias sobre o gerenciamento dos serviços de TI, prestados por colaboradores internos ou terceirizados;

� Gestão de TI: auxilia a prover os serviços de TI adequados para suportar a estratégia do negócio, de forma controlada e gerenciada;

� Auditores: Fornece embasamento para suas conclusões e orientação para a gestão dos controles internos.


IntroduçãoAula 04

Benefícios do modeloBenefícios do modelo

� A utilização sistemática do COBIT como um modelo de gestão poderá trazer vários benefícios, tais como:� Responsabilidades e protocolos de comunicação bastante claros;

� Visão clara acerca da situação atual dos processos de TI;

� Redução da exposição a riscos;

� Maior assertividade no planejamento encadeado das ações de melhoria, devido ao entendimento das dependências entre os processos e dos recursos necessários a serem envolvidos;

� Alta visibilidade, por parte de todos os níveis da organização, acerca do impacto dos esforços de melhoria nos processos de TI;

� Redução dos custos operacionais e de propriedade do acervo de TI;

� Melhoria da imagem perante os clientes, através do aumento do grau de satisfação e da confiabilidade em relação aos serviços de TI.


IntroduçãoAula 04

Certificações relacionadasCertificações relacionadas

� Existem dois programas avançados de certificação profissional, patrocinados pelo ISACA:� CISA (Certified Information Systems Auditor): Destinado a avaliar o

grau de proficiência e excelência nas disciplinas de auditoria, controle e segurança em TI, este exame tem sido considerado um dos mais eficazes instrumentos de certificação em âmbito global;

� CISM (Certified Information Security Manager): Destinado aos profissionais especialistas, que trabalham no planejamento, gerenciamento, acompanhamento e execução de atividades relacionadas à segurança da informação em uma organização.

� COBIT Foundation, um modelo de certificação profissional mais generalista, direcionado àqueles que querem se familiarizar com os conceitos e processos presentes no COBIT e também com os aspectos básicos da sua implementação na prática.


IntroduçãoAula 04

Agenda Agenda –– CoCoBBiTiT


Documents

Governança de TI - lncc.brrogerio/GTI/Aula-04 - Cobit/Aula04-Cobit.pdf · Introdução Aula 04 Aula 04 --CCoo BBiiTT Tópicos Avançados em Tecnologia da Informação Governança