Professional Documents
Culture Documents
1 INTRODUÇÃO..........................................................................................................4
2
4 COBIT: OBJETIVOS DE CONTROLE PARA TI ...........................................20
5 CONCLUSÃO..........................................................................................................30
REFERÊNCIAS BIBLIOGRÁFICAS......................................................................31
3
1 INTRODUÇÃO
1
Lei estadunidense que visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas .
2
Metodologia usada na gestão de negócios, do serviço e infra-estrutura.
3
Modelo de referência que contém práticas à maturidade de uma organização.
4
Voltado ao gerenciamento de projetos.
4
Um outro tema a ser debatido neste trabalho, será o SAS 70. Embora os termos aqui
debatidos não estejam diretamente relacionados, se utilizados em conjunto, tornam-se
verdadeiros aliados na hora de alcançar os objetivos da empresa.
5
2 SAS 70: A DECLARAÇÃO DE AUDITORIA
PADRÃO
5
Diretor administrativo de serviços de administração e operações da Eisner.
6
empresa Há partes neste relatório que são opcionais, como por exemplo, os testes que são
executados pelo revisor de contas. Já o relatório de tipo II, é bastante similar ao do tipo I. A
principal diferença é que neste, obrigatoriamente deve-se realizar testes sobre os controles
colocados em operação, esses testes verificarão a eficiência operacional da empresa, ou seja,
analisarão se os controles testados estavam operando com a eficiência necessária para
constatar que os objetivos de controle esperados foram atingidos durante o período de testes.
Segundo Vitor Albanese, muitas empresas-clientes estão solicitando de seus
prestadores de serviços o relatório de tipo II, pois este é exigido pelo governo com base no
desenvolvimento e implementação da Lei Sarbanes-Oxley.
Benefícios
Para a empresa prestadora de serviço, os benefícios vão além da necessidade dos
clientes. Com o SAS 70 a empresa obtém ganho por realizar um monitoramento contínuo de
seus próprios processos e cria um ambiente de negócios transparente que por sua vez favorece
a realização de novos negócios. Já para a empresa-cliente o maior ganho está relacionado à
qualidade do serviço contratado e a segurança de sua própria empresa.
7
3 ITIL: A BIBLIOTECA DE INFRA-ESTRUTURA
DA TI
6
Organização do governo do Reino Unido responsável por tarefas que aumentam a eficiência e efetividade de processos de
negócio do governo.
7
Empresa de capital privado com o objetivo de aprimorar a qualidade dos serviços de TI através da utilização de um conjunto
de melhores práticas, incluindo o ITIL.
8
Atualmente existem três organizações principais que regulam as práticas do ITIL:
OGC - Os direitos autorais do ITIL são de propriedade do governo britânico, visto que
o mesmo foi criado pela CCTA, este passou a fazer parte da OGC em 1º de abril de
2001.
3.1 ITIL v3
De meados da década de 80 até o final da década de 90, o ITIL seguiu sua versão
original com 40 livros. A versão 2.0, e mais conhecida, possui 10 livros. Em 2006 foi então
projetada a versão 3.0, reunindo o que havia de melhor nas versões anteriores, agregando os
domínios em 5 livros:
9
serviços: disponibilidade, capacidade, continuidade, gerenciamento de nível de
serviços e outsourcing. Também estão presentes informações sobre gerenciamento de
fornecedores e de segurança da informação.
Até a versão 2.0 o ITIL focava o alinhamento entre TI e negócios. Na versão 3.0 o
foco é a integração entre eles. Para obter essa integração, passou a ser utilizado nesta versão o
conceito de um ciclo de vida do serviço (Service LifeCycle), que trata do serviço desde a
identificação da sua necessidade até sua implementação.
Na versão 3.0, a tendência é que a TI passe a ser vista como tecnologia de negócios ao
invés de tecnologia da informação. Desse modo, deverá adicionar valor ao negócio ao invés
de apenas suportá-los.
10
Os principais passos previstos no Service Lifecycle são:
Identificação do serviço
Desenvolvimento do serviço
Posicionamento do serviço
Consumo do serviço
Gerenciamento do serviço
Cada um desses passos envolve papéis e responsabilidades diferentes, sendo assim são
necessários profissionais que sejam aptos a realizar a tarefa de cada área em específico. Sendo
estes, profissionais de solução, infra-estrutura, desenvolvedores de serviços, arquitetos de
enterprise, responsáveis pelo negócio, entre outros.
Cada um dos passos do ciclo de vida de um serviço, pode se sobrepor em momentos
de desenvolvimento, testes, homologação e uso em produção. Cada empresa pode aplicar
regras diferentes para o controle desses passos. Para gerenciar o ciclo de vida de um serviço
pode ser necessário e cômodo utilizar uma ferramenta de governança, como o Oracle
Enterprise Repository (OER), que auxilia a empresa em todo esse processo.
3.3 Governança
O ITIL possui sua governança baseada em duas camadas que compõe a estrutura de
suas gerências: Uma tática e a outra operacional. A figura a seguir ilustra como se relacionam
essas estruturas de gerência e controle mostrando, inclusive, o papel do GRC (gerência de
relacionamento com o cliente).
11
Fig 1: As gerências do ITIL e seus relacionamentos. Adaptado por Matheus Canto de:
http://governadeti.blogspot.com.
Custos
Continuidade
Disponibilidade
Desempenho
12
Flexibilidade
Estabilidade
13
3.1.1.4 Gerência de Disponibilidade
A central de serviços ou service desk, atua como uma linha de frente para os outros
departamentos de TI e é capaz de lidar com inúmeras dúvidas dos clientes sem precisar
contatar pessoas especializadas. Para os usuários, pode ser considerada como um ponto único
de contato com a empresa de TI, direcionando o usuário para área correta. Além disso, pode
ser atribuído à central de serviços a função de acompanhamento a chamadas originadas dentro
da própria organização de TI.
A central de serviços lida com atividades relacionadas a diversos processos básicos do
ITIL como o gerenciamento de incidentes, o gerenciamento de liberações e o gerenciamento
de mudanças.
14
3.1.1.6 Gerência de Incidentes
15
3.1.1.8 Gerência de Configuração
16
A gerência de liberações ou versões (ou releases), é responsável pelo controle de
licenças referentes a recursos de software e hardware pertencentes a TI, procura assegurar que
somente versões autorizadas estejam disponíveis para utilização. Também é responsável pelo
planejamento, desenho, construção, configuração, preparação e programação da liberação e
testes de hardware e software, assegurando desta forma, componentes necessários para que os
incidentes e instalações possam ser tratados rapidamente.
O ITIL pode ser independente quanto ao modelo de maturidade a ser utilizado. Para
cada uma das gerências, existe uma classificação dentro dos níveis de maturidade, com isso,
os níveis de maturidade apontam direções para a evolução de serviços, tarefas, processos e/ou
procedimentos.
Na adoção do ITIL, pode-se escolher como modelo de maturidade o PMF - Process
Maturity Framework (Modelo de Maturidade de Processos), que possui 5 níveis e é parte
integrante do próprio ITIL, ou pode-se utilizar também um dos modelos disponibilizados,
como o CMM, CobiT e ISO 15504.
Neste trabalho será abordada a maturidade segundo a visão do PMF.
Segundo Matheus Canto, o PMF pressupõe que está sendo utilizado “in loco” um
sistema de gestão de qualidade (QMS - Quality Management System), e que o objetivo é
melhorar um ou mais aspectos de eficiência, eficácia, economia ou a equidade dos processos.
O ITIL disponibiliza os modelos de QMS Deming, Juran, Baldridge, Crosby e outros,
enquanto o PMF do ITIL define várias dimensões que compreendem cada nível.
O PMF avalia a maturidade das gerências, de acordo com os seguintes fatores:
Visão e estratégia
Direcionamento (Steering)
Processos
Pessoas processos;
Tecnologia
Cultura
17
A Figura 2 detalha os cinco níveis básicos de maturidade abordados pelo PMF,
incluindo seus enfoques para uma melhor gestão.
Fig 2: Detalhamento dos níveis de maturidade. Adaptado por Matheus Canto de:
http://www.isdbrasil.com.br./
18
Redução no número de incidentes
Redução da dependência sobre as pessoas chaves
Riscos na infra-estrutura e dependências são facilmente identificáveis
19
4 COBIT: OBJETIVOS DE CONTROLE PARA
TI
8
Analista de Sistemas, com especialização em Gestão de Projetos, pela Unicamp. Gerente de Sistemas do Grupo Julio
Simões.
20
negócio (atendida pela metodologia COSO), a gestão de serviços em TI (ITIL) e a gestão da
segurança da informação (tratada pela BS7799 ou ISO/IEC 17799 - versão internacional).
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
21
4.1.1.1 Planejar e organizar
9
Dono e profissional atuante da Confidentia IT Solutions - Governança, Riscos, Conformidade .
22
OBJETIVOS DE CONTROLE DE ALTO NÍVEL
Adquirir e Implementar
Foca aspectos de entrega de TI, se preocupa com a entrega real dos serviços
solicitados, o que inclui o service delivery, o gerenciamento da segurança, o serviço de
suporte aos usuários, entre outros. Desta forma, cobre a execução de aplicações dentro do
sistema e seus resultados, assim como o suporte dos processos que habilitam a execução de
forma eficiente e efetiva. A seguir a tabela com os objetivos de controle de alto nível desse
domínio.
23
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar Operações
Fonte: http://pt.wikipedia.org/wiki/CobiT
M1 Monitorar os processos
M2 Assegurar avaliação dos controles internos
M3 Obter avaliação independente
M4 Prover auditoria independente
Fonte: http://pt.wikipedia.org/wiki/CobiT
Fatores Críticos de Sucesso – FCS (CSFs - Critical Success Factors) - São os pontos
chave que definem o sucesso ou o fracasso de um objetivo definido. Define o que há
24
de mais importante a ser feito para permitir que uma tarefa ou processo sejam
concluídos.
Indicadores de Meta - IdM (KGIs - Key Goal Indicators) - Permitem medir em que
grau os novos processos implementados responderam aos requisitos de negócio.
Utilizados para reconhecer se as metas definidas foram alcançadas.
25
Fig 3: Os componentes de um processo de TI. Adaptado por Matheus Canto de:
http://www.vhmartins.com/cobit2.htm
O modelo de maturidade é fornecido, como uma ferramenta distinta para cada um dos
34 processos do COBIT. A partir dos níveis de maturidade descritos para cada um desses
processos, é possível identificar:
27
utilizada como uma forma integrada para automatizar os fluxos dos procedimentos
(“workflow”), provendo ferramentas para melhorar a qualidade e a efetividade, tornando a
empresa ágil para adaptações.
11
Diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos mercados de geração e distribuição
de energia e na área de telecomunicações.
28
4.4 Desvantagens do CobiT
Apesar do CobiT ser aplicável a todos os setores da empresa, apresenta falhas quando
passamos a observar além dos processos. Analisando de uma maneira geral, é possível afirmar
que este deixa a desejar na parte operacional da empresa (a qual o ITIL cobre perfeitamente),
pois seu foco está ligado às áreas de nível estratégico e tático da mesma.
29
5 CONCLUSÃO
Além de ter abordado duas das principais metodologias da governança de TI, este
trabalho também deu uma breve descrição do relatório formal de auditoria para empresas
prestadoras de serviço, o SAS 70.
30
REFERÊNCIAS BIBLIOGRÁFICAS
31
FARINHA, Carla. Adoção de ITIL em grandes empresas. Disponível em:
http://student.dei.uc.pt/~cfarinha/scripts/CSI/GEs.pdf. Acesso realizado em:16/11/09
32