COBIT

COBIT
Aspectos Gerais sobre Governana de TI

Paulo Meireles
Consultor Tcnico
1

A necessidade de Governana de TI

Segurana Alinhamento de TI com o negcio

Manter TI operacional Gerenciar ambiente complexo

Valor/Custo

Atender a rgos reguladores

As organizaes requerem uma abordagem estruturada para estes e outros desafios. Isto garante que os objetivos traados por TI, bons controles gerenciais e um efetivo monitoramento de performance so mantidos na trilha e evitam situaes inesperadas .
2

Partes Interessadas na Governana de TI

Comit Diretor e Comit Executivo Gestor do Negcio

Define a direo de TI, monitora os resultados e insiste em medidas corretivas.

Define as necessidades de negcio para a TI e garante a agregao de valor e se os riscos so gerenciados.

Entrega e melhoria os servios de TI, de acordo com as requisies do negcio. Proveem garantia independente para demonstrar que a TI est entregando o que necessrio para a organizao.

Gestor de TI
Auditores de TI Riscos e Conformidade

Mede a conformidade com polticas e alerta para novos riscos.

A necessidade de Governana de TI

Governana Corporativa um conjunto de

responsabilidades e prticas, exercido pelo Comit Diretivo ou Executivo, com o objetivo de: Prover direcionamento estratgico
GOVERNANA
www.itgi.org

Garantir que os objetivos so alcanados

Garantir que os riscos so apropriadamente gerenciados Verificar que os recursos corporativos so utilizados de forma responsvel

GESTO DE RECURSOS

Governana de TI, como definido pelo ITGI TI A necessidade de Governana de

Governana de TI :
Responsabilidade do Comit de Direcionamento e/ou Comit Executivo
GOVERNANA
www.itgi.org

Uma parte da Governana Corporativa, consistindo de liderana, estrutura organizacional e processos de forma a garantir que a organizao de TI sustentar e estender os objetivos e estratgias da Organizao.

GESTO DE RECURSOS

Governana Corporativa direciona Governana de TI

Governana Corporativa :
Conformidade Aderente a legislao, polticas internas, requisies de auditoria, etc.
Performance Melhoria nos resultados, eficincia, eficcia, crescimento, etc.
Performance

Conformidade

Governana Corporativa e Governana de TI requerem que o balano entre os objetivos de conformidade e performance sejam ditados pelo Comit Executivo / Diretor.

reas de Foco de Governana de TI

Alinhamento Estratgico Agregao de Valor Gerenciamento de Recursos Gesto de Riscos
Tem como foco garantir uma integrao do negcio com os planos de TI; na definio, manuteno e validao das proposies de valor para TI; e no alinhamento das operaes de TI com as operaes corporativas sobre a execuo da proposio de valor atravs do ciclo de entrega, garantindo que os entregveis de TI cumpram os benefcios estabelecidos na estratgia, concentrando-se nos custos timos fixados e provendo um valor intrnsico de TI. sobre a otimizao de investimento e do prprio gerenciamento dos recursos crticos de TI, aplicaes, informaes, infraestrutura e pessoas. O ponto chave est relacionado a otimizao do conhecimento e de infraestrutura. Ateno aos Riscos requerida do Executivo Snior da corporao, um claro entendimento do apetite da corporao pelo risco, entendimento da conformidade (compliance) requerida, transparncia sobre o significado do risco para a corporao, e a estrutura de responsabilidade pelo gerenciamento dos riscos na corporao. Trilha e monitora a implementao de estratgia, concluso de projetos, uso de recursos, performance de processos e entrega de servios, usando, por exemplo, Balance ScoreCards para traduzir estratgias em aes, com vistas a atingir os objetivos mensurados via apontamento convencional.

Medio de Performance

O COBIT

COBIT a inicial de Control Objectives for Information and related Technology.

um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficincias com respeito aos requisitos de controle, questes tcnicas e riscos de negcios, comunicando esse nvel de controle s partes interessadas. Foi criado com as seguintes caractersticas principais:

Focado em Negcios
Orientado a Processo Baseado em Controles Direcionado a Mtricas

Como o COBIT pode ajudar na implementao de uma Governana de TI efetiva?

O COBIT possibilita as seguintes vantagens quando utilizado na implementao de uma Governana de TI:
Mapeia os objetivos de TI com os objetivos do negcio e vice-versa Promove um melhor alinhamento baseado no foco em negcio Uma viso de que o que TI faz compreendida pelos executivos Uma diviso clara das responsabilidades baseada na orientao para processos Aceitao geral por terceiros e rgos reguladores Entendimento abrangente entre todas as partes interessadas, baseado em uma linguagem comum Cumprimento dos requisitos do COSO para controle do ambiente de TI.

Onde o COBIT se posiciona?

CONFORMIDADE Basel II, SarbanesOxley Act, etc.

Drivers

PERFORMANCE Objetivos do Negcio

Governana Corporativa

Balanced Scorecard

COSO
Comit das Organizaes Patrocinadoras da Comisso Treadway

Governana de TI

COBIT
ISO 9001:2000 ISO 27002 ISO 20000

Padres de Melhores Prticas

Processos e Procedimentos

Procedimentos QA PMBOK / PRINCE2

Princpios de Segurana

ITIL

10

10

COBIT: Um modelo de Controle para Governana de TI

Governana

Gerenciamento Evoluo

Controle

Auditoria

COBIT 1 1996

COBIT 2 1998

COBIT 3 2000

COBIT 4 2005

As ltimas atualizaes do COBIT encontram-se em www.isaca.org/cobit.

11 11

COBIT: Premissas

O framework COBIT baseado na premissa de que TI necessita entregar informao a uma corporao para que atinja os seus objetivos.

Obter

Objetivos de Negcio

i
Informao prov Recursos de TI e processos

para

Processos de Negcio

O framework COBIT ajuda a alinhar TI com o Negcio atravs do foco nos requisitos de informao de negcio e a organizao dos recursos de TI. COBIT prov um modelo e um guia para implementar a Governana de TI.

12

12

COBIT: Premissas
O princpio do framework COBIT o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O objetivo facilitar a Governana de TI para agregar valor TI, gerenciando os riscos da TI.

Recursos de TI

Estratgia de Negcio

Processos de TI

Critrio da Informao

13

13

O Modelo COBIT
Como um modelo para governana e controle de TI, COBIT foca duas reas chaves:

Prover as informaes requeridas para suportar os objetivos de negcio e seus requisitos; e Tratar informao como resultado da combinao de aplicaes e recursos de TI, que necessitam ser adequadamente gerenciados por processos de TI
Criteros da Informao Processos de TI Efetividade Eficincia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

Requisitos de Negcio

Abordagem de Controle
Recursos de TI

Processos de TI Dominios Consideraes .... Processos Atividades

Aplicaes Informaes Infraestrutura Pessoas

14

14

O Cubo COBIT
O framework COBIT descreve como os processos de TI entregam a informao que o Negcio necessita para atingir os seus objetivos. Para controlar esta entrega, COBIT prov trs componentes chaves, cada qual formando uma dimenso do cubo COBIT.

Exigncias de negcio para critrios da informao

Recursos de TI

Processos de TI

15

15

Cubo COBIT: Critrios da Informao

Para satisfazer os objetivos de Negcio, as informaes necessitam estar em conformidade com critrios especficos de controle, que o COBIT consulta como exigncia do Negcio para a informao.
Amplamente, os critrios so baseados nas seguintes exigncias: Qualidade

Fiduciria
Segurana
Exigncias de Qualidade Exigncias Fiduciria Exigncias de Segurana

Critrios da Informao

Recursos de TI Processos de TI

16

16

Cubo COBIT: Critrios da Informao

Eficcia
Lida com a relevncia da informao e pertinncia aos processos de negcio bem como a sua disponibilidade em prazo apropriado, de forma correta, precisa, consistente e em formado adequado para utilizao.
Exigncias de Qualidade Exigncias Fiduciria Exigncias de Segurana

Eficincia

Refere-se proviso da informao atravs da melhor (mais produtiva e econmica) forma de utilizao dos recursos.

Critrios da Informao

Confidencialidade

Refere-se proteo de informao considerada privilegiada contra divulgao no autorizada.

Recursos de TI Processos de TI

Integridade

Relaciona-se com a preciso e exatido da informao, bem como sua validade de acordo com os padres e expectativas de negcio estabelecidas. Relaciona-se a prover a informao no momento em que for requerida pelos processos de negcio, o que inclui tambm a salvaguarda dos recursos. Lida com o cumprimento das leis, regulamentos e clusulas contratuais aos quais um determinado processo de negcio est sujeito. (O foco est em atender regulamentaes externas). Relaciona-se ao fornecimento, por parte dos sistemas, de informaes apropriadas aos gerentes para a tomada de deciso, relatrios financeiros precisos e informaes adequadas aos rgos normatizadores sobre o cumprimento das leis.
17 17

Disponibilidade

Conformidade

Confiabilidade

Cubo COBIT: Recursos da TI

Processos de gerenciamento de recursos de TI para gerar, entregar e armazenar informaes que a organizao necessita para obter seus objetivos.
Os recursos de TI, segundo o COBIT podem ser definidos da seguinte maneira: Aplicaes so os sistemas automatizados do usurio e procedimentos manuais que processam informaes.

Informao o dado em todas suas formas de entrada, processamento e sada pelos sistemas de informao, seja qual for a maneira que seja usado pelo negcio.
Infraestrutura a tecnologia e facilidades (hardware, sistemas operacionais, sistemas de gerenciamento de bancos de dados, rede, multimidia, etc., e o ambiente que os contm e suporta) que possibilitam o processamento das aplicaes.

Pessoas so o pessoal necessrio para planejar, organizar, adquirir, implantar, entregar, suportar, monitorar e avaliar a informao, sistemas e servios. Podem ser internos, terceirizados ou contratados sob demanda.
Critrios da Informao Aplicaes Informaes Infraestrutura Pessoas Recursos de TI
18 18

Processos de TI

Cubo COBIT: Processos da TI

COBIT descreve o ciclo de vida de TI com o auxlio de quatro dominios:

Planejar e Organizar (PO Plan and Organise) Adquirir e Implementar (AI Acquire and Implement) Entregar e Suportar (DS Deliver and Support)

Monitorar e Avaliar (ME Monitor and Evaluate)

Processos so uma srie de atividades com controles de parada naturais. Existem no COBIT 34 processos divididos entre os quatro domnios. Estes processos especificam as necessidades de negcio necessrias para atingir seus objetivos. As entregas de informao controlada atravs dos 34 objetivos de controle de alto-nvel, um para cada processo. Atividade so aes ou um conjunto de tarefas que so necessrias para se obter resultados mensurveis. Alm disso, atividades tem seu prprio ciclo de vida e podem incluir uma srie de tarefas discretas.
Critrio da Informao

Dominio Processos Atividades Processos de TI

19

Recursos de Ti

19

Cubo COBIT: Domnios da TI

Planejar e Organizar (PO) Objetivos: Formular estratgias e tticas Identificar como TI pode melhor contribuir para obter os objetivos de Negcio Planejar, comunicar e gerenciar a realiza da viso estratgica Implementao organizacional e tecnolgica da Infraestrutura Escopo: Esto TI e Negcio estrategicamente alinhados? Est a organizao obtendo uso timo de seus recursos? Qualquer pesso na organizao entende os objetivos de TI? Os riscos de TI so entendidos e adequadamente gerenciados? A qualidade dos sistemas de TI so apropriadas para as necessidades do Negcio?

TI e Negcio
20 20

Cubo COBIT: Domnios da TI

Planejar e Organizar PO1 Definir um plano estratgico de TI. PO2 Definir a arquitetura da Informao. PO3 Determinar a direo tecnolgica. PO4 Definir os processos, organizao e relacionamento de TI. PO5 Gerenciar os investimentos em TI. PO6 Auxiliar no Gerenciamento da Comunicao e do Direcionamento. PO7 Gerenciar os Recursos Humanos de TI. PO8 Gerenciar a Qualidade. PO9 Avaliar e controlar os Riscos de TI. PO10 Gerenciar Projetos.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

21

21

Cubo COBIT: Domnios da TI

Adquirir e Implementar (AI)

Objetivos:

Identificar, desenvolver ou adquirir, implementar e integrar solues de TI.

Mudanas e manuteno dos sistemas existentes.

Escopo: Esto os novos projetos aptos a entregar solues que reunem as necessidades de Negcio? Esto os novos projetos aptos a serem entregues dentro dos custos e prazos definidos? Os novos sistemas trabalharo adequadamente quando implementados? As mudanas sero feitas sem afetar as operaes atuais do Negcio?

?
Novos projetos Organizao
22 22

Cubo COBIT: Domnios da TI

Adquirir e Implementar AI1 Identificar solues automticas. AI2 Adquirir e manter software aplicativo. AI3 Adquirir e manter tecnologicamente a Infraestrutura. AI4 Habilitar Operao e Uso. AI5 Procurar recursos de TI. AI6 Gerenciar mudanas. AI7 Instalar e certficar solues e mudanas

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

23

23

Cubo COBIT: Domnios da TI

Entregar e Suportar (DS)

Objetivos:

A atual entrega dos servios requeridos, incluindo o servio de entrega.

Gerenciamento da segurana, continuidade, dados e facilidades operacionais. Servio de suporte a usurios estruturado.

Escopo: Esto os servios de TI alinhados com as prioridades de Negcio? Esto os custos otimizados? Est a fora de trabalho apta a usar os sistemas de TI de forma produtiva e com segurana? So adequadas a confidencialidade, integridade e disponbilidade das informaes?

Servios de TI

Prioridades de Negcio

24

24

Cubo COBIT: Domnios da TI

Entregar e Suportar

DS1 Definir e gerenciar Nveis de Servios. DS2 Gerenciar os Prestadores de Servios. DS3 Gerenciar Disponibilidade e Capacidade. DS4 Garantir a Continuidade dos Servios. DS5 Garantir a Segurana dos Sistemas. DS6 Identificar e alocar os Custos. DS7 Educar e treinar Usurios. DS8 Gerenciar a Central de Servios e Incidentes. DS9 Gerenciar a Configurao. DS10 Gerenciar Problemas. DS11 Gerenciar Dados. DS12 Gerenciar o Ambiente Fsico. DS13 Gerenciar Operaes.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

25

25

Cubo COBIT: Domnios da TI

Monitorar e Avaliar (ME)

Objetivos:

Gerenciamento de Performance
Monitoramento de Controles Internos Conformidade com Agncias Reguladoras Governana

Escopo: A performance de TI mensurada para detectar problemas antes que eles aconteam? Gerenciamento garante que Controles Internos so efetivos e eficazes? Pode a disponibilidade de TI ser combinada aos objetivos de Negcio? So Riscos, Controle, Conformidade e Performance medidos e reportados?

TI
26

Performance
26

Cubo COBIT: Domnios da TI

Monitorar e Avaliar ME1 Monitorar e avaliar a Performance de TI. ME2 Monitorar e avaliar Controles Internos. ME3 Garantir conformidade com exigncias externas. ME4 Prover Governana de TI.

Planejar e Organizar Processos de TI

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

27

27

Dvidas? Obrigado!

Paulo Meireles Consultor Tcnico paulo.meireles@allen.com.br

28