aula 03 - capitulo 05 - cosi - aula 02.pdf

INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAÇÕES

COBIT 4.1 - Introdução

Docente: Camilo Amarcy

Email: [email protected]

Cell: +258823032445

BBM: 2095A1FA

mailto:[email protected]

Camilo Amarcy

Temas do Capítulo

• Características, foco principal, história,

evolução, premissas;

• Componentes-chave da estrutura;

• Domínios de processo de TI;

• Recursos de TI e critérios de informação;

• Vantagens ao adoptar o COBIT;

Camilo Amarcy

Características, Foco Principal, História, Evolução, Premissas

Necessidade de um Framework de Governança de TI – Parte 1

As organizações não conseguem atender a todas as expectativas do negócio e da

Governança de TI sem adoptar um framework (estrutura) de controle para TI

que:

• Faça o alinhamento entre a TI e os requisitos de negócio;

• Meça o desempenho contra os requisitos de forma transparente;

• Organize as actividades em um modelo de processos aceito pela maioria;

Camilo Amarcy


Framework aceito internacionalmente

Necessidade de um Framework de

Governança de TI – Parte 2

• Identifique os principais recursos de TI a

serem gerenciados;

• Seja orientado à entrega de valor e

gerenciamento de riscos;

• Estabeleça as responsabilidades entre as

partes envolvidas na Governança de TI

Camilo Amarcy


Principais características do COBIT 4.1

O COBIT ou Objectivos de Controle para Informação e Tecnologia

Relacionada é um modelo focado no negócio, orientado a processos, baseado

em controle e orientado por métricas

Camilo Amarcy


Focado no Negócio

• Olha para a TI a partir da

perspectiva do negócio;

• Vê os requisitos do negócio e

traduz isso para a TI;

• Em todos os processos existe um

link com as metas do negócio e as

metas de TI Baseado em Controles

• Para cada processo de TI há

objectivos de controle definidos;

• Estes controles são desenhados

para dizer o que poderia ser feito

para cada processo

Camilo Amarcy


Orientado a Processos

• Organiza as actividades de TI em

processos para facilitar o seu

gerencialmento

Orientado por Métricas

• Fornece um conjunto de

indicadores que permitem o gestor

medir o desempenho das

actividades, dos processos e o

desempenho da TI como um todo

Camilo Amarcy


Missão do COBIT 4.1

“Pesquisar, desenvolver, publicar e promover um

framework de controle para governança de TI que

seja embassado, actualizado, internacionalmente

aceito para a adoção pelas organizações e usado no

dia-a-dia pelos gerentes de negócio, profissionais de

TI e profissionais de auditoria”

Camilo Amarcy


Foco Primário

O COBIT foca mais em “o que precisa ser alcançado” do que em “como

alcançar”, isto é, mais no controle do que na execução;

Funciona como um guarda-chuva, fornecendo controles que mapeiam os

principais frameworks de TI.

Camilo Amarcy


COBIT como um Framework de Controle

O COBIT suporta os cinco requisitos que um framework de controle deve ter:

Camilo Amarcy


Origem do COBIT – Parte 1

• O COBIT foi desenvolvido do

Framework COSO, do controle de

objectivos original da ISACA, e de

mais de 50 padrões e práticas de

mercado utilizadas em TI.

• Em seguida as principais fontes do

COBIT:

• Padrões profissionais para

controle e auditoria interna,

como o COSO;

• Padrões técnicos;

Camilo Amarcy


Origem do COBIT – Parte 2

• Códigos de conduta;

• Critérios de qualificação para

sistemas e processos de TI, como a

ISO 9001;

• Práticas da indústria (alguns: ITIL,

PMBOK, PRINCE2, CMMi);

• Requisitos específicos de alguns

negócios emergentes, como bancos e

e-commerce

Camilo Amarcy


Camilo Amarcy


Aplicação do COBIT – Parte 1

O COBIT foi projectado para utilização por

distintos públicos:

Gestores Executivos

• Para auxiliá-los na ponderação entre risco

e investimento e no controle de ambientes

muitos vezes imprevisíveis, como o de TI;

Gestores de Negócio e Usuarios

• Para se certificarem da segurança e dos

controels dos serviços de TI fornecidos

internamente ou por terceiros;

Camilo Amarcy


Aplicação do COBIT – Parte 2

Gestores de TI

• Para saber como atender às

expectativas do negócio e medir o

desempenho dos processos e

actividades de TI;

Auditores de TI

• Para subsidiar suas opiniões e/ou

prover aconselhamento aos

administradores sobre controles

internos.

Camilo Amarcy


Perguntas que o COBIT pode

ajudar a responder – Parte 1

Aos gestores executivos (Board,

CEO, CIO, CFO, CTO, etc.)

• A TI está entregando valor e os

riscos estão sendo gerenciados

eficientemente?

• Os investimentos em TI estão

gerando valor enquanto os riscos

estão balanceados?

• Como nós estamos gerenciando a

nossa TI e onde estamos entre os

nossos concorrentes?

Camilo Amarcy




Aos gestores de negócio e usuários

(Gerentes das unidades de

negócio)

• Como definir os requisitos de

negócio para a TI?

• Os serviços de TI estão sendo

entregues de uma maneira

controlada?

• Como obter garantia na entrega de

serviços de TI?

Camilo Amarcy


Perguntas que o COBIT

pode ajudar a responder –

Parte 3

Aos gestores de TI

(Directores/Gerentes de TI)

• Como entender os requisitos de

negócio e suas expectativas?

• O que precisa ser feito para

atingir os resultados esperados

a partir da TI?

• Como medir o desempenho

dos processos e actividades de

TI?

Camilo Amarcy




Auditores de TI

• Como sabemos se os processos de

TI estão sendo controlados?

• Como substanciamos nossa

opinião sobre os controles em TI?

• Como aconselharemos sobre

melhorias nos processos de TI que

precisam ser implantadas para

melhor atender aos objectivos do

negócio?

Camilo Amarcy


Quem está por

trás

• O COBIT surgiu

em 1996 como um

guia para

controles da

Tecnologia da

Informação,

organizado por

processo.

• Foi desenvolvido

inicialmente pela

ISACA e hoje é

mantido pelo IT

Governance

Institute (ITGI).

Camilo Amarcy


Information Systems Audit and

Control Association

• Fundada em 1969, como EDP

Auditors Association;

• Em 1975 começou a desenvolver

pesquisas na área de Governança de

TI;

• É uma instituição sem fins lucrativos;

• Tem mais de 86 mil membros em mais

de 160 países e mais de 175 capítulos

ao redor do mundo todo.

Camilo Amarcy


IT Governance Institute

• Extensão da ISACA criada em

1998;

• Desenvolve estudos relacionados à

Governança de TI;

• Mantenedor actual do COBIT e

produtos relacionados

Camilo Amarcy


Evolução do COBIT

O COBIT evolui ao longo do tempo, atendendo às necessidades dos seus

públicos

Camilo Amarcy


Premissa do COBIT 4.1

O COBIT evolui ao longo do tempo, atendendo às necessidades dos seus

públicos

Camilo Amarcy


Princípios do COBIT 4.1

O princípio do COBIT 4.1 é derivado de um modelo que mostra a informação

com qualidade sendo produzida por processos de TI com apoio de recursos de

TI.

A empresa precisa investir em TI, mas também tem que gerenciar e controlar os

recursos de TI usando um conjunto estruturado de processos para fornecer

serviços que entreguem informações requisitadas pela empresa.

Camilo Amarcy


Processos de TI

Camilo Amarcy

Componentes-chave da estrutura

Framework do COBIT 4.1

O cubo abaixo representa os componentes-chave da estrutura do COBIT e

como eles são usados para entregar a informação que o negócio precisa para

alcançar seus objectivos.

Camilo Amarcy

Domínios de processo de TI

Modelo de Processos do COBIT 4.1 (34 processos)

Camilo Amarcy


Domínio Planear e Organizar (PO)

• Cobre estratégias e táticas e se

preocupa com a identificação da

forma como a TI pode contribuir para

alcançar os objectivos do negócio;

• A realização da visão estratégica

precisa ser planeada, comunicada e

gerenciada por diferentes perspectivas;

• Como a organização, assim como a

infraestrutura de TI devem ser

instaladas;

Camilo Amarcy


Questões a Serem Respondidas

sobre o PO

• A área de TI e a áreas de negócio têm

estratégias alinhadas?

• A empresa atinge um nível óptimo de

uso dos recursos de TI?

• Todos os funcionários da empresa

conhecem e entendem os objectivos

da TI?

• Os riscos de TI são entendidos e

gerenciados?

• A qualidade dos serviços de TI é

apropriada para as necessidades da

empresa?

Camilo Amarcy


PO – Planear e Organizar

PO-1 : Definir um plano estratégico de

TI

PO-2 : Definir a arquitectura de

informação

PO-3 : Determinar o direcionamento

tecnológico

PO-4 : Definir processos de Ti, a

organização e relacionamentos

PO-5 : Gerenciar o investimento em TI

PO-6 : Comunicar metas e directivas

gerenciais

PO-7 : Gerenciar os recursos humanos

PO-8 : Gerenciar a qualidade

PO-9 : Avaliar e gerenciar riscos de TI

PO-10 : Gerenciar projectos

Camilo Amarcy


Domínio Adquirir e

Implementar (AI)

• Para realizar a estratégia de TI,

soluções precisam ser

identificadas, desenvolvidas ou

adquiridas, assim como

implementadas com os

processos de negócio;

• Mudanças e manutenção dos

sistemas existentes são cobertas

por este domínio para garantir

que as soluções continuam

atendendo aos objectivos de

negócio.

Camilo Amarcy


Questões a Serem Respondidas

Sobre AI

• Os novos projectos de TI oferecem

soluções que atendem às

necessidades dos negócios?

• Os novos projectos de TI são

entregues dentro dos prazos e

orçamentos?

• Os novos sistemas funcionam

correctamente quando são

implantados?

• As mudanças realizadas no ambiente

de TI não causam impacto negativo

nos negócios?

Camilo Amarcy


AI - Adquirir e Implementar

AI-1 : Identificar as soluções

automatizadas

AI-2 : Adquirir e manter software

aplicativo

AI-3 : Adquirir e manter

infraestrutura de tecnologia

AI-4 : Permitir operação e uso

AI-5 : Adquirir recursos de TI

AI-6 : Gerenciar mudanças

AI-7 : Instalar e validade soluções e

mudanças

Camilo Amarcy


Domínio Entregar e Suportar (DS)

• Esse domínio se preocupa com as

entregas reais dos serviços necessários

que abrangem as operações

tradicionais sobre aspectos de

segurança e continuidade até

treinamento;

• Para poder entregar os serviços será

necessário criar processos de suporte;

• Este domínio também inclui o

processamento de dados pelos

sistemas de aplicações

Camilo Amarcy


Questões a Serem

Respondidas Sobre o DS

• Os serviços de TI estão

alinhados com as prioridades de

negócio?

• Os custos estão adaptados às

necessidades?

• As pessoas estão aptas a usar os

recursos de TI de forma

produtiva e segura?

• Os atributos de

confidencialidade, integridade e

disponibilidade dos dados estão

implementados de forma segura?

Camilo Amarcy


DS – Entregar e Suportar

DS-1 : Definir e gerenciar níveis de

serviços

DS-2 : Gerenciar serviços de terceiros

DS-3 : Gerenciar o desempenho e

capacidade

DS-4 : Garantir a continuidade dos

serviços

DS-5 : Garantir a segurança dos sistemas

DS-6 : Identificar e alocar custos

DS-7 : Educar e treinar usuários

DS-8 : Gerenciar central de serviços e

incidentes

DS-9 : Gerenciar a configuração

DS-10 : Gerenciar os problemas

DS-11 : Gerenciar os dados

DS-12 : Gerenciar o ambiente físico

DS-13 : Gerenciar as operações

Camilo Amarcy


Domínio Monitorar e Avaliar

(ME)

• Processos de TI precisam ser

avaliados regularmente nos

aspectos de qualidade e

conformidade com base nos

requisitos de controle;

• Este domínio endereça o

gerenciamento de desempenho,

monitoramento dos controles

internos, conformidade

regulatória e de governança.

Camilo Amarcy


Questões a Serem

Respondidas Sobre ME

• O desempenho d TI é

mensurado para detectar

problemas antes que eles

aconteçam?

• O gerenciamento garante que os

controles internos sejam

efectivos e eficazes?

• Pode o desempenho da TI ser

combinado com os objectivos do

negócio?

• Riscos, controles, conformidades

e desempenho são medidos e

reportados?

Camilo Amarcy

Recursos de TI e Critérios de Informação

Requisitos do Negócio

• O COBIT combina os princípios contidos em modelos existentes e

conhecidos, como COSO, SAC (System Auditability and Control Report) e SAS

(Regulamentação dos USA que complementa a SOX)

Camilo Amarcy


Requisitos de Negócio vs. Requisitos de Informação do COBIT

• Os requisitos de negócio das três categorias – Qualidade, Segurança e

Fiduciário são mapeados por 7 critérios de informação no COBIT

Camilo Amarcy


Critérios de Informação

Camilo Amarcy


Recursos de TI

• Os processos de TI gerenciam os recursos de TI. Juntos, eles são usados para

entregar a informação que o negócio precisa. Os recursos identificados no

COBIT são:

Camilo Amarcy


Framework do COBIT 4.1

Camilo Amarcy

Vantagens ao Adoptar o COBIT

Vantagens – Parte 1

• É aceito por terceiros e orgãos

reguladores;

• É compatível com outros

padrões, e deve ser usado

como apoio para projectos de

implantação de processos;

• As práticas sugeridas

representam um consenso dos

especialistas;

Camilo Amarcy

Vantagens ao Adoptar o COBIT

Vantagens – Parte 2

• Fornece uma abordagem para avaliar

se os serviços de TI e novas

iniciativas estão atendendo aos

requisitos do negócio e estão

entregando os benefícios esperados;

• Ajuda a desenvolver e documentar

estruturas, processos e ferramentas

para um gerenciamento efectivo da

TI;

• Possui uma estrutura de controles

que facilita auditorias internas e

externas.

Camilo Amarcy

Estamos a ver: COBIT 4.1

• http://pt.wikipedia.org/wiki/CobiT

COBIT 4.1

Control Objectives

for Information and

related Technology

48

http://pt.wikipedia.org/wiki/CobiT







aula 03 - capitulo 05 - cosi - aula 02.pdf

Documents