Upload
internet
View
105
Download
0
Embed Size (px)
Citation preview
GTI- UMA ABORDAGEM CORRELACIONAL DOS MODELOS COBIT / ITIL
Mayara Benicio - Cleyllton Cursino
Introdução
O cenário atual das organizações demonstra que a tecnologia da informação está crescendo em utilização e importância
Há uma tendência para que as organizações busquem dar mais importância á governança de TI
a administração eficas dos recursos de TI tornou-se um fator impactatne para o desenvolvimento, fortalecimento e sucesso de uma organização no mercado
Introdução
Utilização de modelos CoBit E ITIL, que dão suporte á implatação da Governança de TI em organizações através de seus processos, no alcance dos principios de Governança Corporativa de TI apresentados na norma ISSO/IEC 38500.
Até que ponto, e como, os modeços CobiT e ITIL, através de seus precessos, cobrem os princípios da NBR ISO/IEC 38500?
Objetivos do estudo
Saber quais processos de cada modelo poderão ser utilizados para alcançar os objetivos do negócio
Apresentar o conceito de governança de TI; Estudar o modelo CobiT; Estudar a biblioteca ITIL; Estudar a norma ISO/IEC 38500; Analisar comparativamente o modelo CobiT, a
biblioteca ITIL e norma ISO/IEC 38500;
Fundamentação Teorica
Regulamentações de Compliance Os marcos de regulação externos foram
o ponto chave para a disseminação da idéia de Governança Corporativa.
Estes marcos reguladores diferem dependendo do negócio
Regulamentações de Compliance
Sabanes – Oxley Act
Acordo da Basiléia II
Sabanes – Oxley Act
A lei Sarbanes-Oxley ( Sarbanes-Oxley Act [SOA]) foi crianda em 2002 nos Estados Unidos.
Foi criada com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores
Regula as responsabilidades e práticas de auditoria em empresas abertas
Autoridade responsavel pela implantação do SOA é a Stock Exchange Comission (SEC) [equivalente no Brasil à Comissão de Valores Mobiliários (CVM).
Sabanes – Oxley Act
Seção 302 – requer que o CEO e CFO assumam responsabilidade por definir, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações da empresa.
Seção 404 – Avaliação dos controles e procedimentos internos deve ser formal e realizada anualmente por auditores externos
Acordo da Basiléia II
Fixa-se em 3 pilares e 25 principios basicos sobre contabilidade e supervisão bancária
1º pilar Capital – Estabelece regras e procedimentos para cálculo dos requisitos de capital, tendo em vista os riscos de Crédito e operacionais.
Acordo da Basiléia II
2º pilar Supervisão – Estabelece regras para que os bancos centrais de cada país executem auditorias na instituições financeira, visando avaliar a aplicação dos métodos de gestão e resico e a avaliação e mitigação de riscos de crédito e operacionais, assim como a emissão de informações para o mercado acerca da exposição dos risco da instituição
Acordo da Basiléia II
3º pilar Transparência e Disciplina de Mercado – estabele regras para a comunicação com o mercado, dos requisitos mínimos de capital, face aos riscos e aos métodos e resultados de avaliações de riscos, conforme estabelecido pelo primeiro pilar.
Acordo da Basiléia II
As implicações do Acordo da Basiléia II sobre TI ficam evidentes pois :
A TI é um dos principais elementos de risco operacional de um banco juntamente com pessoas e processos de negocios.
Governança Corporativa
ISO/IEC 38500 : O sistema pelo qual as organizações são dirigidas e controladas
La Porta : É o Conjunto de mecanismo que protegem os investidores externos da expropriação pelos internos(gestores e acionistas controladores)
Jensen : É a estrutura de controle de alto nível consistindo dos direitos de decisão do conselho de Administração e do diretor executivo, dos procedimentos para alterá-los, do tamanho e composição do conselho de Administração e da compensação e posse de ações dos gestores e conselheiros.
Governança de TI e Norma ISO 38500
Governança de TI : Weil & Ross: Consiste em um ferramental para a
especificação dos direitos de decisão e das responsabilidades, visando encorajar comportamentos desejáveis no uso da TI.
Peres : Governança de TI conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI.
ISO/IEC 38500 É o sistema pelo qual o uso, atual e futuro, da TI é dirigido e controlado, significando avaliar e direcionar o uso da TI para dar suporte à organização e monitorar seu uso para realizar os planos, incluindo estratégias e políticas de uso da TI dentro da organização.
Governança de TI e Norma ISO 38500
Governança de TI não é só a implantação de modelos de melhores praticas. Podemos dizer que são (segundo Fernando & Abreu) :
Garantir o alinhamento da TI ao negócio, tanto no que diz respeito a aplicações como á infra-estrutura de serviços de TI.
Garantir a continuidade do negócio contra interrupções e falhas (manter e gerir as aplicações e a infra-estrutura de serviços)
Garantir o alinhamento da TI a marcos de regulação externos como a Sarbanes-Oxley
Norma ISO/IEC 38500
É a norma brasileira ABNT NBR ISSO/IEC 38500:2009 de governança corporativa de TI que fornece uma estrutura de principios relacionados à avaliação gerenciamento e monitoramento do uso de TI nas organizações, é baseado no padrão australiano AS8015
Estrutura de Governança Corporativa de TI
A norma ISO/IEC 38500 estabele seis principios para governança de TI :
Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento Humano
Modelo de Governança de TI Consistem em 3 tarefas principais:
Avaliar Dirigir(Orientar) Monitorar
CobiT
Foi Criado em 1994 pela ISACF membro ligado à ISACA, com base em seu conjunto inicial de objetivos de controle e vem evoluindo atrabé da incorporação de padrões internacionais técnicos, profisionais, regulatórios e específicos para processos de TI.
CobiT
Historico : Sua 2ª versão foi publicada em 1998 contendo uma revisão detalhada nos objetivos de controle de alto nivel, e mais um conjunto de ferramenta e padrões para implementação.
Em 2005 o modelo evoluiu par a a versão 4.0, atravé de prática e padrões mai maduro e em conformidades com as regulamentações.
Em 2007 houve uma atualização incremental (versão 4.1) cujo foco foi orientado a uma maior eficácia dos objetivos de controle e dos proceo de verificação e divulgação de resultados.
CobiT
Objetivos do modelo : Tem como principal objetivo “Contribuir par ao
sucesso da entrega de produtos e serviços de TI” a partir das perspecitva das neceidade do negócio.
- Estabelece relacionamento com os requisitos do negócio
- Organiza as atividades de TI em um modelo de processos genérico
- Identifica os principai recurso de TI nos quais deve haver mais invetimento
Define os objetivos de contro que devem ser considerados para a getão
CobiT
Estrutura do modelo: foi idealizada de forma a atender as necessidades de controle da organização relacionadas à governança de TI tendo como principais caracteristicas o foco em :
No requisitos de negócio, orientaçao para uma abordagem de processos, utilização extensiva de mecanismo de controle, o direcionamento para a análise da mediçõe e indicadores d esempenho obtidos ao longo do tempo
CobiT
Foco no negócio : Os serviços que fornecem informações necessárias para que a organização atinja seus objetivos são diponibilizados através de um conjunto de procesos de TI que utilizam recursos de TI, o investimento em tais recurso visa criar capacitação técnicas para uportar as melhorias na funções de negócio, que serão refletidas nos resultados estratégicos da organização.
CobiT
Orientação para processos : Fornece um modelo padrão de referência e uma linguagem comum, permitindo que todos em uma organização sejam capaze de distinguir e gerenciar atividades no âmbito da TI. Utilizando como matriz o ciclo tradicional de melhoria continua
CobiT
Controle através de objetivos : O conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvida para da uma garantia razoábel de que os objetivos de negócio serão atingidos e de que o eventos indesejáveis erão prevenidos ou mesmo detectados e corrigidos.
CobiT
Direcionamento para medições : Através de modelo de maturidades, Para cada processo de IT é estabelecido um nodelo de maturidade baseado em niveis, atravé do qual uma organização poderá ser avaliada do NIVEL 0(inexistente) ao NIVEL 5(otimizado)
B) metas e medições de Desempenho : Em três niveis demonstram o que o negocio epera da TI, o que o processo de TI precisa entregar para suportar os objetivos da TI, e o que precisa acontecer dentro dos processos para que o desempenho seja atingido (metas de atividades)
CobiT
O CobiT usa dois indicadores : Medições de resultados: Definem as mediçõe
que informam à gerência se um processo de TI atingiu os objetivos de negócio.
Indicadores de Desempenho : Definem as medições que informam à gerencia o quanto os processos de TI estão sendo bem executados no sentido de viabilizar o atendifemtno dos objetivos de negócio.
CobiT
O CobiT pode ser definido em função do princípio básico do seu framework, os recursos de TI são gerenciados por processos de TI para alcançarem metas de TI que repondam a requiitos de negócio.
CobiT
Os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos.
ITIL
Gerenciamento de serviços e TI; Expansão pelos setores públicos e
organizações privadas, gerando uma indústria composta por treinamentos, certificações, consultorias e ferramentas de software;
ITIL
Versão 3 (2007): Organiza processos de gerenciamento de
serviços em uma estrutura de ciclo de vida de serviço;
Enfatiza conceitos como: integração da TI ao negócio, portfólio dinâmico de serviço e mensuração do valor de negócio.
Estrutura do Modelo ITIL
O núcleo da ITIL contém as orientações das melhores práticas aplicáveis a organizações que fornecem serviço para um negócio.
Orientação complementar : publicações destinadas a especializar a implementação e a utilização das práticas do núcleo
Núcleo da ITIL Operação e Serviço
Fase do ciclo de vida do gerenciamento de serviço;Estágio crítico, pode comprometer a disponibilidade do serviço;
Funções *Central de atendimento: ênfase no atendimento de um grande número de chamadas; *Help Desk: visa gerenciar, coordenar e resolver incidentes no menor tempo possível; *Central de Serviços: Abordagem global que permite integração dos processos de negócio á infra-estrutura de gerenciamento dos serviços de TI.
Estratégia de Serviço
Orienta sobre como as políticas e processos de gerenciamento de serviço podem ser desenhados, desenvolvidos e implementados como ativos estratégicos ao longo do ciclo de vida de serviço.
Etapas: Definir o mercadoDesenvolver as ofertasDesenvolver os ativos
estratégicosPreparar para a execução
Desenho de serviço
Desenho e desenvolvimento dos serviços e dos processos de gerenciamento de serviços
Transição de serviço
Orienta como efetivar a transição de serviços novos e modificados para operações implementadas.
Colocar no ambiente de produção, um serviço que acabou de sair do estágio de desenho de serviço, garantindo o cumprimento dos requisitos pré-estabelecidos de custo, qualidade e prazo.
Melhoria continuada
Princípios, práticas e métodos de gerenciamento de qualidade sobre como fazer sistematicamente melhorias incrementais e de larga escala na qualidade dos serviços e na eficiência operacional;
Medições: * Componentes: aspectos físicos e técnicos; *Serviço: aspectos funcionais e de relacionamento direto com o cliente; * Processos: serviços e medições de progresso; * Scorecards de serviços: visões periódicas de um serviço particular; * Dashboard de serviços: Contém as mesmas medidas dos scorecards de serviços, mas disponibilizadas em tempo real para a TI e para os negócios; * Scorecard de TI ou Balanced Scorecard: visões de alto nível com consolidações das medidas, visando refletir as metas e objetivos táticos e estratégicos.
Processos das Publicações
Processos da Estratégia de Serviço
Objetivos
Gerenciamento financeiro Prover a sustentação econômica necessária para a execução dos serviços da organização
Gerenciamento do portfólio de serviços
Governar os investimentos em gerenciamento de serviços na organização, e gerenciá-los para que adicionem valor ao negócio
Gerenciamento da demanda Gerenciar de forma síncrona os ciclos de produção e consumo de serviços.
Processos do desenho de serviços Objetivo
Gerenciamento do catálogo de serviços Garantir uma fonte única de informações sobre todos os serviços.
Gerenciamento do nível de serviço Elaborar e manter um plano de melhoria dos serviços, para manter e melhorar a qualidade dos serviços de TI
Gerenciamento da capacidade Assegurar que a capacidade da infra-estrutura de TI suporta as demandas do negócio de forma eficaz.
Gerenciamento da disponibilidade Assegurar que os serviços de TI atendam os níveis de disponibilidade e confiabilidade requeridos pelo negócio.
Gerenciamento da continuidade de serviço de TI
Assegurar a recuperação dos recursos técnicos e serviços de TI dentro de um tempo preestabelecido.
Gerenciamento de segurança da informação Gerenciar a segurança da informação durante todo o ciclo de vida do serviço. Alinhando a segurança da TI com a segurança de negócio.
Gerenciamento de fornecedor Gerenciar fornecedores para suportar os serviços por eles prestados, e prover um serviço de TI com qualidade transparente para o negócio.
Processos da transição de serviço Objetivo
Gerenciamento de mudança Assegurar o tratamento sistemático e padronizado de todas as mudanças no ambiente organizacional.
Gerenciamento da configuração e de ativo de serviço
Identificar, registrar, controlar e verificar os ativos de serviços e itens de configuração. Protegendo os mesmos contra mudanças não autorizadas.
Gerenciamento de liberação e implantação Criar um conjunto de componentes finais e implantá-los em bloco em um ambiente de produção, adicionando valor ao cliente, e em conformidade com os requisitos estabelecidos.
Validação e teste de serviço Garantir a qualidade de uma liberação, incluindo todos os seus componentes de serviços, serviços resultantes e capacitação do serviço.
Avaliação Criar meus padronizados e consistentes para avaliar o desempenho de uma mudança no contexto de uma infra-estrutura de TI e/ou serviços já existentes
Gerenciamento do conhecimento Garantir que a informação correta seja entregue no local apropriado, para as pessoas relacionadas.
Processos da operação de serviço Objetivo
Gerenciamento de evento Monitorar todos os eventos que ocorrem na infra-estrutura de TI e redirecionar as exceções resolução técnica.
Gerenciamento de incidente Restaurar a operação normal de um serviço no menor tempo possível no caso de um incidente.
Gerenciamento de problema Minimizar os impactos adversos de incidentes e problemas para o negócio, quando causados por falhas na infra-estrutura de TI.
Cumprimento de requisição Tratar requisições dos usuários que foram geradas por uma solicitação de serviço;
Gerenciamento de acesso Controlar o acesso de usuários ao direito de utilizar os serviços.
Processos da melhoria de serviço Objetivo
Relatório de serviço Compor relatórios de serviço a partir dos dados coletados e monitorados durante a entrega do serviço, identificando seu objetivo, público alvo e utilização planejada.
Medição de serviço Prover informações sobre o serviço de uma visão completa orientada á integração com o negócio
Processos e controles mapeados na correlação dos modelos CobiT, ITIL e a norma ISO/IEC 38500
Princípios ISO 38500 Cobertura CobiT
Responsabilidade
Avaliar: Delegação de responsabilidades e avaliação das competências.
PO-4 Definir a organização de TI, os seus processos e relacionamentos. PO-7 Gerenciar os recursos humanos
Dirigir: Informações que atendam as necessidades e compromissos e o cumprimento dos planos de acordo.
PO-4 Definir a organização de TI, os seus processos e relacionamentos. PO-6 Comunicar objetivos e direcionamentos gerenciaisPO-7 Gerenciar os recursos humanosPO-10 Gerenciar projetos
Monitorar: Governança de TI, reconhecimento das responsabilidades e do desempenho daqueles quem foram delegadas as responsabilidades.
PO-6 Comunicar objetivos e direcionamentos gerenciaisPO-7 Gerenciar os recursos humanosME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internos;
Estratégica
Avaliar: Desenvolvimentos de TI e dos processos de negócio.
PO-1 Definir um plano estratégico para TIPO-2 Definir a arquitetura da informaçãoPO-3 Determinar a direção tecnológica.PO-4 Definir a organização de TI, os seus processos e relacionamentos. ME-4 Fornecer governança para TI
Dirigir : Preparação e uso de planos e políticas para beneficiar-se da TI.
PO-1 Definir um plano estratégico para TIPO-3 Determinar a direção tecnológica.PO-4 Definir a organização de TI, os seus processos e relacionamentos. PO-5 Gerenciar o investimento em TIPO-7 Gerenciar os recursos humanosME-4 Fornecer governança para TI
Monitorar: Progresso das propostas de TI aprovadas.
PO-10 Gerenciar projetosME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internosME-4 Fornecer governança para TI
Aquisição
Avaliar : Fornecimento da TI para atingir os objetivos das propostas aprovadas.
PO-5 Gerenciar o investimento em TIAI-1 Identificar soluções automatizadasDS-2 Gerenciar serviços terceirizados
Dirigir : Ativos de TI adquiridos de forma adequada.
PO-8 Gerenciar a qualidadeAI-2 Adquirir e manter software aplicativoAI-3 Adquirir e manter infra-estrutura tecnológicaAI-4 Viabilizar operação e utilizaçãoAI-5 Adquirir recursos de TIAI-6 Gerenciar mudanças AI-7 Instalar e aprovar soluções e mudançasDS-2 Gerenciar serviços terceirizados
Monitorar: Investimento de TI e compreensão da organização ao fazer a aquisição de TI.
PO-5 Gerenciar o investimento em TIDS-2 Gerenciar serviços terceirizadosME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internosME-3 Assegurar conformidade com requisitos externos.
Desempenho
Avaliar: Proposições dos gerentes para assegurar que a TI apoiará os processos de negócio
PO-9 Avaliar e gerenciar riscos de TIDS-1 Definir e gerenciar níveis de serviçoDS-5 Garantir a segurança dos sistemasME-1 Monitorar e avaliar o desempenho da TI
Dirigir: Assegurar a alocação de recursos suficientes para atender ás necessidades da organização e orientação da manutenção de dados atualizados e protegidos.
PO-9 Avaliar e gerenciar riscos de TIPO-10 Gerenciar projetosDS-3 Gerenciar desempenho e capacidadeDS-5 Garantir a segurança dos sistemas
Monitorar: Até que ponto a TI dá suporte ao negócio, aos recursos e ao orçamento.
PO-5 Gerenciar o investimento em TIME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internos
Conformidade
Avaliar: TI cumpre com as obrigações. ME-2 Monitorar e avaliar os controles internosME-3 Assegurar conformidade com requisitos externos.
Dirigir: Garantir que o uso de TI está em conformidade com as exigências legais e com as normas e melhores práticas.
PO-7 Gerenciar os recursos humanosPO-8 Gerenciar qualidadeDS-1 Definir e gerenciar níveis de serviçoDS-2 Gerenciar serviços terceirizadosDS-3 Gerenciar desempenho e capacidadeDS-4 Garantir a continuidade dos serviçosDS-5 Garantir a segurança dos sistemasDS-6 Identificar e alocar custosDS-7 Educar e treinar usuáriosDS-8 Gerenciar central de serviços e incidentesDS-9 Gerenciar a configuraçãoDS-10 Gerenciar problemasDS-11 Gerenciar dadosDS-12 Gerenciar o ambiente físicoDS-13 Gerenciar operações
Monitorar: Cumprimento e conformidade da TI por relatos apropriados e práticas de auditorias.
PO-8 Gerenciar a qualidadeDS-3 Gerenciar desempenho e capacidadeME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internosME-3 Assegurar conformidade com requisitos externos.
Comportamento humano
Avaliar: Atividade de TI para garantir que os comportamentos humanos sejam identificáveis.
PO-7 Gerenciar os recursos humanosDS-7 Educar e treinar usuários
Dirigir: Exigir que as atividades de TI sejam compatíveis com as diferenças do comportamento humano.
PO-7 Gerenciar os recursos humanosDS-7 Educar e treinar usuários
Monitorar: Atividade de TI para garantir que o comportamento humano identificado permaneça relevante.
PO-7 Gerenciar os recursos humanosDS-7 Educar e treinar usuáriosME-1 Monitorar e avaliar o desempenho da TIME-2 Monitorar e avaliar os controles internos
Correlacionamento ISO/IEC 38500 X ITIL
Princípios ISO 38500 Cobertura ITIL
Responsabilidade
Avaliar Gerenciamento técnico
Dirigir Gerenciamento do catálogo de serviços
Monitorar Gerenciamento do catálogo de serviçosGerenciamento do nível de serviçoGerenciamento da capacidade
Estratégia
Avaliar Gerenciamento da capacidadeGerenciamento do conhecimentoGerenciamento do portfólio de serviçoMedição de serviço
Dirigir Gerenciamento do portfólio de serviçoGerenciamento de fornecedorGerenciamento técnico
Monitorar Gerenciamento do nível de serviçoGerenciamento do conhecimentoAvaliação Relatório de serviçoMedição de serviço
Aquisição
Avaliar Gerenciamento do portfólio de serviçoGerenciamento de fornecedorGerenciamento liberação e implantaçãoGerenciamento do nível de serviço
Dirigir Gerenciamento do nível de serviçoGerenciamento de liberação e implantaçãoGerenciamento da capacidadeGerenciamento aplicativoGerenciamento do portfólio de serviçosGerenciamento de mudançaGerenciamento de fornecedor
Monitorar Gerenciamento financeiroGerenciamento de fornecedorGerenciamento do nível de serviçoAvaliação Relatório de serviçoMedição de serviço
Desempenho
Avaliar Gerenciamento de disponibilidadeGerenciamento da continuidade de serviçoGerenciamento do nível de serviçoGerenciamento da capacidadeGerenciamento de segurança da informação
Dirigir Gerenciamento do nível de serviçoGerenciamento da capacidadeGerenciamento de disponibilidade
Monitorar Gerenciamento financeiro
Conformidade
Avaliar Nenhum processo
Dirigir Gerenciamento técnicoGerenciamento do nível de serviçoGerenciamento da capacidadeGerenciamento de disponibilidadeGerenciamento da continuidade de serviçoGerenciamento de segurança da informaçãoCentral de serviçosGerenciamento da configuração e de ativo de serviçoGerenciamento de problema
Monitorar Gerenciamento do nível de serviçoGerenciamento da capacidadeGerenciamento de disponibilidadeAvaliação Relatório de serviçoMedição de serviço
Comportamento humano
Avaliar Gerenciamento da demandaGerenciamento do portfólio de serviçosGerenciamento técnico
Dirigir Gerenciamento da demandaGerenciamento técnico
Monitorar Gerenciamento da demandaGerenciamento técnicoAvaliação Relatório de serviçoMedição de serviço
Considerações finais
CobiT Maior cobertura quanto ao controle dos
processos de TI Menor cobertura Comportamento humano
ITIL Maior cobertura Princípios de Aquisição,
desempenho e conformidade Menor cobertura Responsabilidade