Governana de TI

COBIT






Governana de TI - COBIT
Control Objectives for Information and related Technology
COBIT
Governana de TI - COBIT
uma estrutura de relacionamentos e processos para dirigir e
controlar a organizao no atingimento dos objetivos desta
organizao, adicionando valor, ao mesmo tempo que
equilibra os riscos em relao ao retorno da TI e seus
processos.
Definio
Governana de TI - COBIT
O que
Ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas
de TI;

Guia para a gesto de TI recomendado pelo ISACA
( Information System Control and Audit Association )

Independe das plataformas de TI

Governana de TI - COBIT
Projetado para auxiliar trs audincias distintas:

Gerentes que necessitam avaliar o risco e controlar os
investimentos de TI em uma organizao.
Usurios que precisam ter garantias de que os servios de TI
que dependem os seus produtos e servios para os clientes
internos e externos esto sendo bem gerenciados.
Auditores que podem se apoiar nas recomendaes do
CobiT para avaliar o nvel da gesto de TI e aconselhar o
controle interno da organizao.

Governana de TI - COBIT
O que
COBIT um conjunto de controles que possibilitam a
adequao da rea de tecnologia das empresas
dentro do contexto corporativo, com o seu
crescimento sustentado e planejado.

COBIT uma ferramenta que auxilia a empresa a definir e
alcanar os objetivos de maneira eficiente, ou seja,
minimizando os riscos e ampliando a lucratividade
Governana de TI - COBIT
HISTRICO E EVOLUO
Primeira verso em 1996
Information System Control and Audit Foundation (ISACF)
Compilao de referncias sobre controle e auditoria de TI

Segunda verso em 1998
Information System Control and Audit Association (ISACA)
Acrscimo e atualizao de referncias, kit de implantao

Terceira verso em 2000 (Cobit 3 Edio)
IT Governance Institute
Criao do Management Guidelines

Quarta verso em 2005 (Cobit 4.0)
Consolidao e detalhamento de instrumentos gerenciais

Refinamento em 2007 (Cobit 4.1)

Governana de TI - COBIT
PRINCPIOS BSICOS

Objetivos de negcios requerem informaes
Informaes devem atender aos critrios de qualidade, segurana e
confiabilidade
Informaes so produzidas por recursos de TI
Dados, aplicaes, infra-estrutura e pessoas
Recursos de TI so gerenciados por processos
Definio de responsabilidades e metas
Processos devem ser controlados
Objetivos de controle, indicadores de desempenho e indicadores de resultados
(IT Governance Institute, 2007)
Governana de TI - COBIT
CARACTERSITICAS GERAIS

Foco no negcio
Alinhamento das metas de TI a metas de negcio

Orientado a processos
Organizao das atividades de TI em um modelo de processos aplicvel de forma
geral
Identificao de responsabilidades pelos processos nas reas de negcio e TI

Baseado em controles
Definio dos objetivos de controle a serem considerados pela gerncia

Dirigido por mtricas
Uso de indicadores e modelos de maturidade

(IT Governance Institute, 2007)

As organizaes requerem uma abordagem estruturada para estes e outros
desafios.

Isto garante que os objetivos traados por TI, bons controles gerenciais e um
efetivo monitoramento de performance so mantidos na trilha e evitam situaes
inesperadas .
A necessidade de Governana de TI
Manter TI
operacional
Segurana
Valor/Custo
Gerenciar
ambiente
complexo
Alinhamento
de TI com
o negcio
Atender a
rgos reguladores
Governana Corporativa :

Conformidade
Aderente a legislao, polticas
internas, requisies de
auditoria, etc.

Performance
Melhoria nos resultados,
eficincia, eficcia, crescimento,
etc.
Governana Corporativa direciona Governana de TI
Governana Corporativa e Governana de TI requerem que o
balano entre os objetivos de conformidade e performance
sejam ditados pelo Comit.

Performance
Conformidade
reas de Foco de Governana de TI
Agregao de Valor
Tem como foco garantir uma integrao do negcio com os planos de TI; na
definio, manuteno e validao das proposies de valor para TI; e no
alinhamento das operaes de TI com as operaes corporativas
sobre a execuo da proposio de valor atravs do ciclo de entrega, garantindo
que os entregveis de TI cumpram os benefcios estabelecidos na estratgia,
concentrando-se nos custos timos fixados
sobre a otimizao de investimento e do prprio gerenciamento dos
recursos crticos de TI, aplicaes, informaes, infraestrutura e pessoas. O
ponto chave est relacionado a otimizao do conhecimento e de
infraestrutura.
Ateno aos Riscos requerida do Executivo Senior da corporao, um claro
entendimento do apetite da corporao pelo risco, entendimento da
conformidade (compliance) requerida, transparncia sobre o significado do
risco para a corporao, e a estrutura de responsabilidade pelo
gerenciamento dos riscos na corporao.
Trilha e monitora a implementao de estratgia, concluso de projetos, uso
de recursos, performance de processos e entrega de servios, usando, por
exemplo, Balance ScoreCards para traduzir estratgias em aes, com vistas
a atingir os objetivos mensurados via apontamento convencional.
Medio de
Performance
Gesto de Riscos
Gerenciamento
de Recursos
Alinhamento
Estratgico
Partes Interessadas na Governana de TI
Gestor do Negcio
Define a direo de TI, monitora os resultados e insiste em
medidas corretivas.
Define as necessidades de negcio para TI e garante a
agregao de valor e se os riscos so gerenciados.
Entrega e melhoria os servios de TI, de acordo com as
requisies do negcio.
Provem garantia independente para demonstrar que TI
est entregando o que necessrio para a organizao.
Mede a conformidade com polticas e alertas para novos
riscos.
Riscos e
Conformidade

Auditores de TI
Gestor de TI
Comit de Direo e
Comit Executivo
COBIT:
Inicia com os requisitos de negcio
orientado a processo, as atividades de TI da organizao
dentro de um modelo de processo geralmente aceito.
Identifica os maiores recursos de TI a serem estabilizados
Incorpora os maiores padres internacionais
Tem como foco o padro de fato para todos os controles de
TI.
COBIT ajuda a estabelecer uma ponte entre os riscos do negcio, as necessidades de
controle e questes tcnicas. Prov as melhores prticas, atravs de um framework para
domnio e processos, e apresenta atividades em uma forma lgica e gerencivel.
Recursos de TI necessrios a serem gerenciados por um conjunto
de processos naturalmente agrupados. COBIT prov um
framework que consegue este objetivo.
COBIT prove um Framework para Governana de TI
Organizaes consideram e usam uma variedade de modelos de TI, padres e melhores
prticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto,
com o COBIT atuando como um consolidador.

COBIT
ISO 9000
ISO 17799
ITIL
COSO
O que Como
COBIT e outros Frameworks para TI
Escopo de Cobertura
PERFORMANCE
Objetivos do Negcio
CONFORMIDADE
Basel II, Sarbanes-
Oxley Act, etc.
Governana Corporativa
Governana de TI
ISO
9001:2000
ISO
17799
ISO
20000
Padres de Melhores Prticas
Procedimentos
QA

Processos e Procedimentos
Drivers
COBIT
COSO
Comisso Nacional sobre Fraudes em Relatrios Financeiros
Princpios de
Segurana
ITIL
Balanced
Scorecard
Onde o Cobit se posiciona?
As ltimas atualizaes do COBIT, encontram-se em www.isaca.org/cobit.
Governana
COBIT 4
2005
COBIT 3
Gerenciamento
2000
COBIT 2
Controle
1998
COBIT 1
Auditoria
1996
E
v
o
l
u

o

COBIT: Um framework de Controle de TI
Componentes do COBIT
Uma organizao depende de dados confiveis e oportunos. Os componentes do COBIT provem um
framework compreensvel para agregar valor, enquanto gerenciando riscos de dados e informaes.
Estratgia de Negcio
Critrios da
Informao
Recursos de TI
Processos de TI
COBIT: Vantagens
Algumas das vantagens em se adotar COBIT:
COBIT est alinhado com outros padres e melhores prticas e dever ser usado em conjunto
com eles.
O framework COBIT suporta e suportado pelas melhores prticas, provendo assim um
ambiente de TI bem gerenciado e flexvel, dentro da organizao.
COBIT prov um ambiente de controle que responsvel em garantir as necessidades de
negcio e servir para funes de gerenciamento e auditoria, a partir de suas responsabilidades
de controle.
COBIT prov ferramentas para auxiliar no gerenciamento das atividades de TI.
COBIT: Premissas
O framework COBIT baseado na premissa de que TI necessita entregar informao a
uma corporao para que atinja os seus objetivos.
i
Recursos de TI
e processos
Informao
Processos de
Negcio
Objetivos de
Negcio
prov
para
Obter
O framework COBIT ajuda a alinhar TI com o Negcio atravs do foco nos requisitos de informao
de negcio e a organizao dos recursos de TI. COBIT prov um framework e um guia para
implementar a Governana de TI.
COBIT Framework
Estrutura do COBIT
4 Domnios
34 Processos
210 Objetivos de Controle
Governana de TI - COBIT
(IT Governance Institute, 2007)
DS1 definir e gerenciar nveis de servios
DS2 gerenciar servios de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos servios
DS5 garantir segurana dos sistemas
DS6 identificar e alocar custos
DS7 educar e treinar usurios
DS8 gerenciar service desk e incidentes
DS9 gerenciar a configurao
DS10 gerenciar problemas
DS11 gerenciar dados
DS12 gerenciar o ambiente fsico
DS13 gerenciar a operao
ME1 monitorar e avaliar o desempenho da TI
ME2 monitorar e avaliar os controles internos
ME3 assegurar conformidade regulatria
ME4 prover governana de TI
PO1 definir um plano estratgico de TI
PO2 definir a arquitetura de informao
PO3 determinar a direo tecnolgica
PO4 definir processos, organizao e
relacionamentos da TI
PO5 gerenciar o investimento em TI
PO6 comunicar metas e diretivas gerenciais
PO7 gerenciar recursos humanos de TI
PO8 gerenciar qualidade
PO9 avaliar e gerenciar riscos
PO10 gerenciar projetos
AI1 identificar solues
AI2 adquirir e manter aplicaes
AI3 adquirir e manter infraestrutura tecnolgica
AI4 viabilizar operao e uso
AI5 adquirir recursos de TI
AI6 gerenciar mudanas
AI7 instalar e certificar sistemas e mudanas
PLANEJAMENTO E
ORGANIZAO
AQUISIO E
IMPLEMENTAO
ENTREGA E
SUPORTE
MONITORAMENTO
E AVALIAO
Domnios e processos
COBIT

COBIT - Domnios
Planejar e Organizar (PO)

Objetivos:
Formular estratgias e tticas
Identificar como TI pode melhor contribuir para obter os objetivos de Negcio
Planejar, comunicar e gerenciar a realiza da viso estratgica
Implementao organizacional e tecnolgica da Infraestrutura
Escopo:
Esto TI e Negcio estrategicamente alinhados?
Est a organizao obtendo uso timo de seus recursos?
Qualquer pesso na organizao entende os objetivos de TI?
Os riscos de TI so entendidos e adequadamente gerenciados?
A qualidade dos sistemas de TI so apropriadas para as necessidades do Negcio?
TI e Negcio

PO1 Definir um plano estratgico de TI.
PO2 Definir a arquitetura da Informao.
PO3 Determinar a direo tecnolgica.
PO4 Definir os processos, organizao e
relacionamento de TI.
PO5 Gerenciar os investimentos em TI.
PO6 Auxiliar no Gerenciamento da
Comunicao e do Direcionamento.
PO7 Gerenciar os Recursos Humanos de TI.
PO8 Gerenciar a Qualidade.
PO9 Avaliar e controlar os Riscos de TI.
PO10 Gerenciar Projetos.
Planejar e Organizar
Planejar e
Organizar
Entregar e
Suportar
Adquirir e
Implementar
Monitorar e
Avaliar
Processos de TI
COBIT - Domnios
Adquirir e Implementar (AI)

Objetivos:
Identificar, desenvolver ou adquirir, implementar e integrar solues de TI.
Mudanas e manuteno dos sistemas existentes

Escopo:
Esto os novos projetos aptos a entregar solues que reunem as necessidades de
Negcio?
Esto os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?
Os novos sistemas trabalharo adequadamente quando implementados?
As mudanas sero feitas sem afetar as operaes atuais do Negcio?
Novos projetos Organizao
?
COBIT - Domnios
Planejar e
Organizar
Entregar e
Suportar
Adquirir e
Implementar
Monitorar e
Avaliar
Processos de TI

AI1 Identificar solues automticas.
AI2 Adquirir e manter software aplicativo.
AI3 Adquirir e manter tecnologicamente a
Infraestrutura.
AI4 Habilitar Operao e Uso.
AI5 Procurar recursos de TI.
AI6 Gerenciar mudanas.
AI7 Instalar e certficar solues e mudanas

Adquirir e Implementar
COBIT - Domnios
Entregar e Suportar (DS)
Objetivos:
A atual entrega dos servios requeridos, incluindo o servio de entrega.
Gerenciamento da segurana, continuidade, dados e facilidades operacionais.
Servio de suporte a usurios estruturado.
Escopo:
Esto os servios de TI alinhados com as prioridades de Negcio?
Esto os custos otimizados?
Est a fora de trabalho apta a usar os sistemas de TI de forma produtiva e com segurana?
So adequadas a confidencialidade, integridade e disponbilidade das informaes?
Servios de TI
Prioridades de Negcio
COBIT - Domnios

DS1 Definir e gerenciar Nveis de Servios.
DS2 Gerenciar os Prestadores de Servios.
DS3 Gerenciar Disponibilidade e Capacidade.
DS4 Garantir a Continuidade dos Servios.
DS5 Garantir a Segurana dos Sistemas.
DS6 Identificar e alocar os Custos.
DS7 Educar e treinar Usurios.
DS8 Gerenciar a Central de Servios e Incidentes.
DS9 Gerenciar a Configurao.
DS10 Gerenciar Problemas.
DS11 Gerenciar Dados.
DS12 Gerenciar o Ambiente Fsico.
DS13 Gerenciar Operaes.

Entregar e Suportar
Planejar e
Organizar
Entregar e
Suportar
Adquirir e
Implementar
Monitorar e
Avaliar
Processos de TI
COBIT - Domnios
Monitorar e Avaliar (ME)
Objetivos:
Gerenciamento de Performance
Monitoramento de Controles Internos
Conformidade com Agncias Reguladoras
Governana
Escopo:
A performance de TI mensurada para detectar problemas antes que eles aconteam?
Gerenciamento garante que Controles Internos so efetivos e eficazes?
Pode a disponibilidade de TI ser combinada aos objetivos de Negcio?
So Riscos, Controle, Conformidade e Performance medidos e reportados?

TI
Performance
COBIT - Domnios

ME1 Monitorar e avaliar a Performance de TI.
ME2 Monitorar e avaliar Controles Internos.
ME3 Garantir conformidade com exigncias
externas.
ME4 Prover Governana de TI.
Monitorar e Avaliar
Planejar e
Organizar
Entregar e
Suportar
Adquirir e
Implementar
Monitorar e
Avaliar
Processos de TI
COBIT - Domnios
(IT Governance Institute, 2007)
Modelo de maturidade
Os nveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas
organizaes

Esses nveis no estabelecem patamares evolutivos, onde no se pode alcanar um nvel
superior sem antes passar pelos inferiores

A partir dos nveis de maturidade descritos para cada um dos 34 processos, possvel identificar

O desempenho real da organizao (onde estamos)
A situao atual de organizaes similares (benchmarking)
Os avanos possibilitados pelos padres e modelos disponveis no mercado
A meta para melhoria do processo da organizao (onde queremos esta)
Modelo de maturidade - COBIT
(IT Governance Institute, 2007)
Modelo de maturidade
Nvel 0 Inexistente
Ausncia de processos identificveis
A organizao no reconhece que existe uma questo a ser
tratada

Nvel 1 Inicial/Ad-hoc
A organizao reconhece que existe uma questo a ser tratada
Abordagens improvisadas tendem a ser aplicadas a situaes
individuais
A gerncia do processo desorganizada
(IT Governance Institute, 2007)
Modelo de maturidade


Nvel 2 Repetvel mas intuitivo

Os processos se desenvolveram de modo que procedimentos
similares so executados por pessoas diferentes que realizam
a mesma tarefa
No existe treinamento ou repasse formal de procedimentos,
a responsabilidade deixada a cargo do indivduo
Existe alta dependncia do conhecimento individual, o que
gera grande probabilidade de falhas
(IT Governance Institute, 2007)
Modelo de maturidade


Nvel 3 Processo definido

Procedimentos padronizados, documentados e comunicados
por meio de treinamentos
Cabe ao indivduo seguir esses processos; pouco provvel
que desvios sejam detectados
Os procedimentos no so sofisticados, mas apenas
formalizao de prticas existentes
(IT Governance Institute, 2007)
Modelo de maturidade


Nvel 4 Gerenciado e mensurvel

possvel monitorar e medir a conformidade de
procedimentos, para agir quando os processos no estiverem
funcionando de forma eficaz
Os processos sofrem melhorias constantes e estabelecem boas
prticas
Ferramentas automatizadas so usadas de forma limitada ou
fragmentada
(IT Governance Institute, 2007)
Modelo de maturidade


Nvel 5 Otimizado

Os processos foram refinados at alcanar as melhores
prticas, com base no resultado de melhoria contnua e
comparaes com outras organizaes
A TI usada para automatizar os fluxos de trabalho, provendo
ferramentas para aumentar a qualidade e efetividade dos
processos
Linha de tempo para maturidade
Maturidade
Hoje
2 a 5 anos
Tempo
Ad-Hoc, S fao
Quando preciso
- Reativo
Felicidade
Fase No sei
de nada
Fase Reativo,
Implementao
Fragmentada
Fase da
Consolidao
Fase da
Excelncia
Operacional
Acelerar projetos
Para reagir as
solicitaes
Criar Inventrios
Para iniciativas de
Governana
Inicia um abordagem
Unificado de
Governana
Melhoria continua
do processo
Fonte: SAP Research
(IT Governance Institute, 2007)
Planejamento e organizao
PO1 Definir um plano estratgico de TI
PO2 Definir a arquitetura de informao
PO3 Determinar a direo tecnolgica
PO4 Definir processos, organizao e relacionamentos
PO5 Gerenciar o investimento em TI
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar riscos
PO10 Gerenciar projetos
(IT Governance Institute, 2007)
Aquisio e implementao
AI1 Identificar solues
AI2 Adquirir e manter aplicaes
AI3 Adquirir e manter infraestrutura tecnolgica
AI4 Viabilizar operao e uso
AI5 Adquirir recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e certificar sistemas e mudanas
(IT Governance Institute, 2007)
Entrega e suporte
DS1 Definir e gerenciar nveis de servios
DS2 Gerenciar servios de terceiros
DS3 Gerenciar performance e capacidade
DS4 Garantir continuidade dos servios
DS5 Garantir segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar a operao
(IT Governance Institute, 2007)
Monitoramento e avaliao
ME1 Monitorar e avaliar o desempenho da TI
ME2 Monitorar e avaliar os controles internos
ME3 Assegurar conformidade regulatria
ME4 Prover governana de TI