aula 04 - capitulo 05 - cosi - aula 03.pdf

7/29/2019 Aula 04 - Capitulo 05 - COSI - Aula 03.pdf

1/85

INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAES

COBIT 4.1

Estrutura do COBIT eObjectivos de Controle

Docente: Camilo Amarcy

Email:[email protected]

Cell:+258823032445

BBM:2095A1FA
mailto:[email protected]:[email protected]


2/85

Camilo Amarcy

Temas do Captulo

Estrutura do contedo do COBIT;

Reviso de conceitos relacionados a

processos;

Por que os processos precisam de

controles;

O que so objectivos de controle; Estrutura de navegao do COBIT;

Interpretao do PO10 GerenciarProjectos;

Viso geral dos 34 processos de TI;

Estudo de caso;


3/85


4/85

Camilo Amarcy

Estrutura do Contedo do COBIT

Contedo do COBIT

O contedo principal do COBIT distribudo da seguinte forma:


5/85

Camilo Amarcy


Negcio vs. Objectivos Controles de TI

Objectivos de controle de TI: so um cojunto de requisitos de alto nvel aserem considerados pela gesto para o efectivo controle de cada processo deTI.

Os objectivos de controle de TI ajudam a aumentar o valor ou reduzir o risco.

Cada processode TI precisa sercontrolado paraque possa atingir

seus objectivos,de alguma formacontribuindopara a realizaoda estratgia donegcio.


6/85

Camilo Amarcy


Reviso de Processo


7/85Camilo Amarcy


Componentes de um Processo


8/85Camilo Amarcy


Os processos precisam de controle

Para conseguir uma governana efectiva, necessrio a implantao doscontroles pelos gerentes de operaes dentro de uma estrutura de controledefinida para todos os processos de TI.


9/85Camilo Amarcy


Processos e Controles

4 Domnios;

34 Processos de TI;

Requisitos de ControleGenrico;

6 Controles paracada processo;

Objectivo de Controles

3 a 15 - Por

processo de TI;

Prticas de Controle

3 a 10 - Por objectivode controle


10/85Camilo Amarcy


Requisitos de Controle Genrico

Cada processo de COBIT tem 6 requisitos de controle genrico que so comunspara todos os processos. Eles devem ser considerados em conjunto com osobjectivos de controle do processo para que se possa ter uma viso completados requisitos de controle.


11/85Camilo Amarcy


Estrutura de Navegao do Framework

A representao abaixo mostra os vnculos entre os critrios de informao,processos e recursos.


12/85Camilo Amarcy


Medidas de Controle

As medidas de controle paracada processo de TI nosatisfazem todos os requisitosde negcio no mesmo grau. Aestrutura do COBIT define 3

graus de controle.


13/85Camilo Amarcy


PO10 Gerenciar Projectos Descriodo Processo Parte 1

Serve para criar uma estrutura de programa egerenciamento de projectos para ogerenciamento de todos os projectos de TIestabelecidos.

A estutura garante priorizao correcta ecoordenao de todos os projectos.

Esta estrutura inclui:

Plano mestre, alocao de recursos;definio de entregveis; aprovao pelos

usurios; abordagem por fases paraentrega; qualidade, plano de testes;reviso ps-implementao e testes apsa instalao para assegurar ogerenciamento de riscos e a entrega devalor para o negcio.


14/85Camilo Amarcy


PO10 Gerenciar Projectos Descrio do Processo Parte 2


15/85Camilo Amarcy


PO10 Gerenciar Projectos Parte 3


16/85Camilo Amarcy


PO10.1 Gerenciar Projectos Estrutura de Gesto de Programas

Manter o programa de projectos(relacionados ao portflio de programas de

investimentos em TI) identificando,definindo, avaliando, priorizando,

selecionando, iniciando, gerenciando econtrolando projectos.

Assegurando que os projectossustentem os objectivos dos programas.

Coordenar as actividades einterdependncias de mltiplosprojectos, gerenciar a contribuio detodos os projectos de um programa paraos resultados esperados e resolverrequisitos e conflitos de recursos.

d C d d CO T


17/85Camilo Amarcy


PO10.2 Gerenciar Projectos Estrutura de Gesto de

Projectos

Estabelecer e manter umaestrutura de gesto deprojectos que defina o escopo

e a abrangncia dos projectosgerenciados, bem como osmtodos a serem adoptados eaplicados a cada projectoiniciado.

A estrutura e as metodologiasde suporte devem serintegradas aos processos degerenciamento de programas.

E d C d d COBIT


18/85Camilo Amarcy


PO10.3 Gerenciar Projectos Abordagem de Gerenciamento de

Projectos

Estabelecer uma abordagem de gesto deprojectos adequada ao tamanho, complexidade eaos requisitos regulatrios de cada projecto.

A estrutura de governana de projecto deve incluiros papis, as responsabilidades e oacompanhamento dos resultados do patrocinadordo programa, patrocinador do projecto, comitdirector, coordenador e gerente do projecto e osmecanismos pelos quais eles podem cumprir com

essas responsabilidades (como relatrios e revises deestgios de projecto);

Assegurar que todos os projectos de TI tenhampatrocinadores com autoridade suficiente paraserem proprietrios entro do programa estratgico

geral.

E d C d d COBIT


19/85

Camilo Amarcy


PO10.4 Gerenciar Projectos Comprometimento das PartesInteressadas

Obter comprometimento e participao das partes interessadas afectadas nadefinio e na execuo do projecto dentro do contexto do programa deinvestimento geral de TI.

E d C d d COBIT


20/85

Camilo Amarcy


PO10.5 Gerenciar Projectos Declarao de Escopo do

Projecto

Definir e documentar a naturezae o escopo do projecto, visandoconfirmar e desenvolver um

entendimento comum do escopodo projecto com as partesinteressadas quanto aorelacionamento com outrosprojectos de um programa deinvestimento em TI;

A definia deve ser formalmenteaprovada pelo patrocinador doprograma e pelo patrocinador doprojecto antes do seu incio.

E d C d d COBIT


21/85

Camilo Amarcy


PO10.6 Gerenciar Projectos Fase deIncio do Projecto

Assegurar que a fase de incio do projectoseja formalmente aprovada e comunicada atodas partes interessadas. A aprovao dafase de incio deve ser baseada nas decises

da governana do programa; A aprovao das fases subsequentes deve ser

baseada na reviso e na aceitao dosresultados entregues da fase anterior e naaprovao de um estudo de caso actualizado

na prxima reviso geral do programa;

No caso de uma sobreposio de fases, deveser estabelecido um ponto de aprovaopelos patrocinadores do programa e doprojecto para autorizar a continuidade.

E t t d C t d d COBIT


22/85

Camilo Amarcy


PO10.7 Gerenciar Projectos PlanoIntegrado do Projecto

Estabelecer um plano integrado de projectoformalizado e aprovado (que abranjarecursos de negcio e de sistemas deinformao) para orientar a execuo e ocontrole em todas as etapas do projecto.

As actividades interdependcias demltiplos projectos dentro de um programadevem ser entendidas e documentadas;

O plano de projecto deve passar pormanuteno durante todas as etapas do

projecto;

O plano de projecto e as alteraes feitasnele devem ser aprovadas de acordo com aestrutura de governana do programa e do

projecto.

E t t d C t d d COBIT


23/85

Camilo Amarcy


PO10.8 Gerenciar Projectos Recursos do Projecto

Definir responsabilidades,relacionamentos, autoridades ecritrios de desempenho para osmembros da equipe de projecto e

especidicar a base de aquisio eatribuio de funcionrios e/ouprestadores de serviocompetentes para o projecto;

A contratao de produtos e

servios necessrios para cadaprojecto deve ser planeada egerenciada para atingir osobjectivos do projecto utilizadnoas prticas de contratao da

organizao.

E tr t r d C nt d d COBIT


24/85

Camilo Amarcy


PO10.9 Gerenciar Projectos Gesto de Risco do Projecto

Eliminar ou minimizar riscosespecficos associados a cadaprojecto atravs de um processosistemtico de planeamento ,

identificao, anlise, resposta,monitoramentoe controle dereas ou eventos com potencialpara causar mudanasindesejadas;

Os riscos identificados peloprocesso de gesto de projecto eos resultados esperados doprojecto devem serestabelecidos e centralmente

registados



25/85

Camilo Amarcy


PO10.10 Gerenciar Projectos Plano de Qualidade do

Projecto

Preparar um plano de gestode qualidade que descreva osistema de qualidade do

projecto e como serimplementado.

O plano deve ser formalmenterevisado e aceito por todas aspartes envolvidas e ento

incorporado ao planointegrado de projecto.



26/85

Camilo Amarcy


PO10.11 Gerenciar ProjectosControle de Mudanas do

Projecto

Estabelecer um sistema decontrole de mudanas paracada projecto, de forma que

todas as mudanas feitas noescopo original do projecto(como custo, cronograma, escopo e

qualidade) sejam devidamenterevisadas, aprovadas eincorporadas ao plano deprojecto integrado emalinhamento com a estruturade governana de programa eprojecto.



27/85

Camilo Amarcy


PO10.12 Gerenciar Projectos Planeamento de Mtodos de

Validao do Projecto

Identificar as actividadesnecessrias para suportar avalidao de novos sistemas (ou

suas modificaes) durante oplaneamento do projecto einclu-las no plano integrado doprojecto;

As tarefas devem assegurar que

os controles internos e aspectosde segurana atendam aosrequisitos definidos.



28/85

Camilo Amarcy


PO10.13 Gerenciar Projectos Medio de Desempenho,

Monitoramento e Reporte doProjecto

Avaliar o desempenho do projecto emcomparao com critrios-chave (comoescopo, cronograma, qualidade, custo e risco);

Identificar qualquer desvio do plano;

Avaliar o impacto dos desvios sobre oprojecto e o programa;

Reportar os resultados s principais partes

interessadas;

Recomendar, implementar e monitorar acescorrectivas quando necessrio, emalinhamento com a estrutura de governana eprograma.



29/85

Camilo Amarcy


PO10.14 Gerenciar Projectos Concluso do Projecto

Exigir que, ao final de cadaprojecto, as partes interessadasapurem se o projecto gerou osresultado e benefcios planeados;

Identificar e comunicar quaisqueractividades de destaquenecessrias para obter osresultados esperados do projectoe os benefcios do programa;

Identificar e documentar as liesaprendidas para us-las emprojectos e programas futuros.

(PO) Planear e Organizar


30/85

Camilo Amarcy



PO-1 : Definir um plano estratgico deTIPO-2 : Definir a arquitectura deinformaoPO-3 : Determinar o direcionamentotecnolgico

PO-4 : Definir processos de Ti, aorganizao e relacionamentosPO-5 : Gerenciar o investimento emTIPO-6 : Comunicar metas e directivas

gerenciaisPO-7 : Gerenciar os recursos humanosPO-8 : Gerenciar a qualidadePO-9 :Avaliar e gerenciar riscos de TIPO-10 : Gerenciar projectos

Importante: Aparece no Exame



31/85

Camilo Amarcy


PO1 Definir um PlanoEstratgico de TI

O planeamento estratgico necessrio para gerenciar edirecionar todos os recursos daTI de acordo com asestratgias e prioridades do

negcio;

O departamento de TI e osstakeholders do negcio soresponsveis por assegurar que

um valor optimizado sejarealizado atravs dosportflios de projectos eservios.



32/85

Camilo Amarcy


PO2 Definir a Arquitectura deInformao

A funo dos sistemas de informao devecriar e actualizar regularmente um modelo deinformao de negcio e definir os sistemasapropriados para optimizar o uso dainformao;

Isso inclui o desenvolvimento de umdicionrio corporativo de dados com asregras de sintaxe da organizao, esquema declassificao de dados e nveis de segurana;

Este processo melhora a qualidade dedecises feitas pelas gerncias e assegura queinforma confiveis e seguras so providas, eisso habilita a racionalizao de recursos desistemas de informao para atenderapropriadamente s estratgias de negcio.



33/85

Camilo Amarcy


PO3 Determinar aDireco Tecnolgica

A funo dos servios deinformao devedeterminar a direcotecnolgica para suportar onegcio;

Isso requer a criao de umplano de infraestruturatecnolgica e de um comitde arquitectura que fixa egerencia expectativas claras

e realistas sobre o que atecnologia pode oferecerem termos de produtos,servios e mecanismos deentrega;



34/85

Camilo Amarcy


PO4 Definir Processos de TI, aOrganizao e os Relacionamentos de

TI Uma organizao de TI precisa ser definida

considerando os requisitos para pessoas,habilidades, funes, responsabilidades,autoridade, papis e superviso;

Esta organizao deve estar embutida dentrode um framework de processos de TI queassegure transparncia e controle e quetambm envolva os executivos snior egerentes de negcio;

Um comit estratgico deve assegurar umaviso geral da TI e um ou mais comits dedireco, nos quais os participantes donegcio e da TI devem determinar apriorizao dos recursos da TI em linha com

as necessidades do negcio.



35/85

Camilo Amarcy


PO5 Gerenciar oInvestimento de TI

Estabelecer e manterum framework paragerenciar programasque habiliteminvestimentos em TI e

que abrangem custos,benefcios,priorizao nosoramentos, e umprocesso formal de

oramentos e degerenciamento emrelao a estes.



36/85

Camilo Amarcy


PO6 Comunicar Metas eDirectivas Gerenciais

A gesto deve desenvolverum framework de controleempresarial de TI e definir ecomunicar polticas;

Um programa contnuo decomunicao deve serimplementado para articulara misso, objectivos deservio, polticas e

procedimentos aprovados esuportados pelaadministrao;



37/85

Camilo Amarcy


PO7 Gerenciar RecursosHumanos de TI

Adquire, mantm e motiva umaforma de trabalho competente paracriar e entregar servios de TI para onegcio;

Isso atingido seguindo prticasdefinidas e acordadas que suportamrecrutamento, treinamento, avaliaode desempenho, promoo edemisso.



38/85

Camilo Amarcy

( ) e e g

PO8Gerenciar Qualidade

Um sistema de gerenciamento de

qualidade deve ser desenvolvido emantido, e deve incluir um processode desenvolvimento e aquisiocomprovado e padronizado;

Isso habilitado atravs deplaneamento, implementao emanuteno do sistema dequalidade que prov requisitosclaros de qualidade, procedimento e

polticas;

Requisitos de qualidade devem serdeterminados e comunicados, comindicadores quantificveis eatingveis.



39/85

Camilo Amarcy

( ) g

PO9 Avaliar e Gerenciar Riscos deTI

Criar e manter framework degerenciamento de riscos;

O framework documenta um nvel derisco de TI comum e acordado,

estratgias de mitigao e acordos sobreriscos residuais;

Qualquer impacto potencial sobre asmetas da organizao causado por

eventos no planeados, deve seridentificado, levantado e avaliado;

Estratgias de mitigao de riscos devemser adotadas para minimizar riscosresiduais a um nvel aceitvel.



40/85

Camilo Amarcy

( ) g

PO10 Gerenciar Projecto

Estabelecer um framework de gerenciamento de programas e projectos para

gerenciar todos os projectos

(AI) Adquirir e Implementar


41/85

Camilo Amarcy

( ) q p


AI-1 : Identificar as solues

automatizadas

AI-2 :Adquirir e manter softwareaplicativo

AI-3 :Adquirir e manter infraestruturade tecnologia

AI-4 : Permitir operao e uso

AI-5 :Adquirir recursos de TI

AI-6 : Gerenciar mudanas

AI-7 : Instalar e validade solues emudanas



42/85

Camilo Amarcy

( ) q p

AI1 Identificar as SoluesAutomatizadas

A necessidade para novas aplicaesou funes requer uma anlise antesda aquisio ou criao paraassegurar que os requisitos donegcio so satisfeitos numa

abordagem efectiva e eficiente;

Este processo cobre a definio dasnecessidades considerando fontesalternativas, reviso da viabilidade

tecnolgica e econmica, execuode anlise de risco, anlise decusto/benefcio e concluso de umadeciso final de fazer oucomprar.



43/85

Camilo Amarcy

( ) q p

AI2 Adquirir e ManterSoftware Aplicativo

Aplicaes devem estardisponveis de acordo com osrequisitos do negcio;

Este processo envolve

desenho de aplicaes,incluso apropriada decontroles de aplicao e derequisitos de segurana, almdo desenvolvimento e da

configurao conforme ospadres.



44/85

Camilo Amarcy

( ) q p

AI3Adquirir e Manter Infraestrutura de Tecnologia

Organizaes devem ter um processo para a aquisio, implementao e

actualizao da infraestrutura tecnolgica;

Isso requer uma abordagem planeada para a aquisio, manuteno eproteo da infraestrutura alinhada com as estratgias tecnolgicas acordadase com a proviso de ambientes de desenvolvimento e teste;



45/85

Camilo Amarcy

( ) q p

AI4Permitir Operao e Uso

Conhecer sobre novos sistemas necessita ser disponibilizado;

Ter processo requer a produo de documentao e manuais para usurio deTI, alm de treinamento que assegure o uso e a operao apropriados deaplicaes e infraestrutura;



46/85

Camilo Amarcy

( ) q p

AI5 Adquirir Recursos deTI

Recursos de TI, inclusivepessoas, hardware, software eservios, necessitam serobtidos;

Isso requer definio e sanode procedimentos de aquisio,seleco de fornecedores,realizao de arranjoscontratuaius e a aquisio em si;



47/85

Camilo Amarcy

( ) q p

AI6Gerenciar Mudanas

Todas as mudanas (inclusive mudanas emergenciais e correces)

relacionadas infraestrutura e aplicaes dentro de um ambiente deproduo precisam ser gerenciadas formalmente de maneira controlada.



48/85

Camilo Amarcy

q p

AI7 Instalar e ValidarSolues e Mudanas

Novos sistemas precisam estaroperacionais uma vez que odesenvolvimento estejacompleto;

Isso requer testes apropriadosem um ambiente dedicado comdados de teste relevantes,definio da introduo einstrues de migrao,

planeamento de liberaes erevises ps-implementao.

(DS) Entregar e Suportar


49/85

Camilo Amarcy

DSEntregar e Suportar

DS-1 : Definir e gerenciar nveis de

serviosDS-2 : Gerenciar servios de terceirosDS-3 : Gerenciar o desempenho ecapacidadeDS-4 : Garantir a continuidade dos

serviosDS-5 : Garantir a segurana dos sistemasDS-6 : Identificar e alocar custosDS-7 : Educar e treinar usuriosDS-8 : Gerenciar central de servios eincidentesDS-9 : Gerenciar a configuraoDS-10 : Gerenciar os problemasDS-11 : Gerenciar os dadosDS-12 : Gerenciar o ambiente fsicoDS-13 : Gerenciar as operaes



50/85

Camilo Amarcy

DS1Definir e Gerenciar Nveis de Servio

Comunicao efectiva entre a gerncia de TI e os clientes do negcio em

relao aos servios requeridos, habilitadas atravs de documenta e deacordos de nveis de servio de TI.



51/85

Camilo Amarcy

DS2 Gerenciar Servios de Terceiros

A necessidade de assegurar que servios providos por terceiros atendem aos

requisitos do negcio requer um processo efectivo de gerenciamento deterceiros.



52/85

Camilo Amarcy

DS3 Gerenciar o Desempenho e Capacidade

A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI

requer um processo para rever periodicamente o desempenho e a capacidadeactual dos recursos de TI;



53/85

Camilo Amarcy

DS4 Garantir a Continuidade dos Servios

A necessidade de prover servios contnuos de TI requer desenvolvimento,

manuteno e testes de planos de continuidade da TI, armazenamentoexterno de backup e treinamento peridico para o plano de continuidade.



54/85

Camilo Amarcy

DS5 Garantir Segurana dosSistemas

A necessidade de manter a integridade dainformao e proteger os activos da TIrequer um processo de gerenciamento desegurana;

Este processo inclui estabelecer e manterpapis e responsabilidades, polticas,padres e procedimentos de segurana deTI;

Gerenciamento da segurana tambminclui realizar monitoramento desegurana e testes peridicos, e aimplementao de aces correctivas paraidentificar fraquezas ou incidentes desegurana.



55/85

Camilo Amarcy

DS6 Identificar e AlocarCustos

A necessidade para um justo eimparcial sistema de alocaode custos para o negcio requera medio exacta de custos daTI e acordos com usurios de

negcio.

Este processo inclui criao eoperao de um sistema decaptura, alocao e reporte dos

custos de TI para os usuriosde servios.



56/85

Camilo Amarcy

DS7 Educar e Treinar Usurios

Educao efectiva de todos os usurios de sistemas de TI requer a

identificao das necessidades de treinamento de cada grupo de usurios.



57/85

Camilo Amarcy

DS8 Gerenciar Centralde Servios e Incidentes

Respostas efectivas e emtempo para as perguntas eproblemas dos usurios deTI requerem uma centralde servio bem desenhada

e implementada, assimcomo um processo degerenciamento deincidentes que incluia aimplementao da funo

da central de servios comregistro, escalao,tendncias, anlise decausas-raiz e resoluo deincidentes.



58/85

Camilo Amarcy

DS9 Gerenciar a Configurao

Assegurar a integridade da configurao de hardware e software requer

estabelecer e manter um preciso e completo repositrio da configurao.

Este processo inclui colecta inicial de informaes da configurao,estabelecimento de referncias, verifico e auditoria de informao daconfigurao e actualizao de repositrio da configurao quando

necessrio.



59/85

Camilo Amarcy

DS10 Gerenciar osProblemas

Um gerenciamentoefectivos de problemasrequer a identificao eclassificao de problemas,anlise de causas-raiz e

resoluo de problemas;

O processo degerenciamento deproblemas tambm inclui

identificao derecomendaes paramelhorar a manuteno deregistos de problemas erevisar o status de acescorrectivas.



60/85

Camilo Amarcy

DS11 Gerenciar osDados

O gerenciamento efectivode dados requer aidentificao de requisitospara dados;

Este processo incluiestabelecer procedimentosefectivos para gerenciarbiblioteca de mdias,backups e recuperao e

disponibilizao de mdiasapropriadas.



61/85

Camilo Amarcy

DS12 Gerenciar os AmbientesFsicos

A proteco para pessoal eequipamentos de computaorequer instalaes bem desenhadase gerenciadas;

Este processo inclui definir osrequisitos para um lugar fsico,seleco de instalaes apropriadase desenho efectivo dos processopara monitorar elementosambientais e gerenciar o acessofsico.



62/85

Camilo Amarcy

DS13 Gerenciar asOperaes

O processamento completo eexacto de dados requer ogerenciamento doprocessamento de dados e amanuteno de hardware;

Este processo inclui a definiode polticas e procedimentosoperacioinais para umgerenciamento efectivo daprogramao do processamento,proteco de output sensitivo,monitoramento da infraestruturae manuteno preventiva dehardware.

(ME) Monitorar e Avaliar


63/85

Camilo Amarcy

MEMonitorar e Avaliar

ME-1: Monitorar e avaliar o desempenho

de TI;ME-2 : Monitorar e avaliar os controlesinternos;ME-3 :Assegurar a conformidaderegulatria;

ME-4 : Fornecer Governana de TI



64/85

Camilo Amarcy

ME1 Monitorar e Avaliar oDesempenho de TI

Assegura que a gesto estabelea umframework geral de monitoramento euma abordagem que defina escopo,metodologia e processo a seremseguidos;

O monitoramento da TI contribui paraos resultados do gerenciamento deportflio empresarial e para os processode programas gerenciais processos queso especficos para entregarcompetncias e servios de TI;

O framework deve estar integrado comoum sistema de gerenciamento dedesempenho da companhia.



65/85

Camilo Amarcy

ME2Monitorar e Avaliar os Controles Internos

Estabelecer um programa de controle interno efectivo para a TI requer um processode monitoramento bem definido;

Este processo inclui monitoramento e reporte de excees de controle, resultados daauto-avaliao e reviso de fornecedores (terceiros);

Um benefcio principal do controle interno de monitoramento fornecer seguranarelacionada eficincia e eficcia operacionais e conformidade com leis eregulamentos.



66/85

Camilo Amarcy

ME3 Assegurar ConformidadeRegulatria

Uma vigilncia regulatria eficienterequer o estabelecimento de um processode reviso independente para garantir aconformidade com leis e regulamentos;

Este processo inclui definir auditorindependente, tica profissional, padres,planeamento, desempenho de trabalhode auditoria e reporte doacompanhamento das actividades deauditoria;

O propsico deste processo forneceruma garantia positiva relacionada conformidade da TI com leis eregulamentos.



67/85

Camilo Amarcy

ME4Fornecer Governana de TI

Estabelecer um framework efectivo de governana, incluindo definies de

estruturas organizacionais, processos, liderana, papis e responsabilidades,para assegurar que os investimentos em TI e as entregas estejam alinahdoscom as estratgias e objectivos empresariais.

Estudo de Caso - COOPERTI


68/85

Camilo Amarcy

Estudo de Caso

O presidente da cooperativa de crdito COPERTI contratou voc como

consultor para orient-los. A rea de TI est passando por alguns problemase precisa de uma opinio sobre como resolv-los.



69/85

Camilo Amarcy

Informaes Necessrias - 1

A Cooperativa de Crdito tem 20 anos de existncia, 4.500 scios e oferece

quase todos os servios que um banco normal oferece: conta corrente,cobrana, carto de crdito, aplicaes e funanciamentos;



70/85

Camilo Amarcy


A rea de Ti tem 25 funcionrios,

com vrioas sistemas legados e vriasbases de dados em diferentesplataformas.

Quase todos os sistemas forma

desenvolvidos internamente.

A equipe de TI bem experiente, econta com analistas, programadores ,especialistas em rede e segurana;



71/85

Camilo Amarcy


Actualmente o maior problema o home-banking que foi desenvolvido em

parceria com a TIWAY. O portal do home-banking j est disponvel aosassociados e alguns servios j esto sendo oferecidos, como consulta aoextrato bancrio e consulta a conta de investimentos. Entretanto, os serviosde TED, DOC e pagamento de contas no esto disponveis. O projecto foidividido em vrias etapas, sendo que a etapa de entrega dos mdulos de

TED e DOC e de pagamento de contas est atrasasdo em 5 meses.



72/85

Camilo Amarcy


Como se no bastasse o atraso no projecto, os clientes das contas bancrias

fizeram vrias reclamaes central de servios. Eles informaram que svezes o sistema muito lento, e tambm que no conseguem acess-lo emdeterminadas horas do dia. H tambm casos em que o extrato bancrioapresenta informaes desactializadas. Para tentar resolver os problemas, aTIWAY tem disponibilizado vrias actualizaes no portal, muitas delas em

carcter de urgncia.



73/85

Camilo Amarcy


O comit de gesto da cooperativa est preocupado com todos os

problemas, e muitos scios j expuseram estar descontentes com o portal.Alm disto, eles temem pela segurana de suas contas.



74/85

Camilo Amarcy


Recentemente o presidente da cooperativa , o gerente

de TI e o gerente de suporte fizeram uma reuniocom a TIWAY para tentar alinhar as expectativas esaber quando os problemas pendentes seroresolvidos. Alm disto, espera-se ter uma respostasobre quando os mdulos TED e DOC estariamdisponveis. Na reunio, o gerente de suporte exps

alguns problemas no relacionamento com a TIWAY: Muitos incidentes no esto sendo atendidos

em tempo hbil, leva-se muito tempo paraobter resposta;

A equipe de atendentes no conseguedominar a situao porque noi recebeunenhuma documentao ou trinamento deuso do sistema da TIWAY;

Muitos problemas tm aparecido logo depoisdas actualizaes, que ocorrem quase todosos dias.



75/85

Camilo Amarcy

Verso da TIWAY

Na reunio a TIWAY exps o seu lado da

histria, colocando as seguintes questes: Actualmente a TIWAY no consegue

focar no desenvolvimento dos mdulosque ainda faltam, pois aparecem muitoserros no sistema e toda a equipe estalocada na correco de bugs;

Muitos problemas esto relacionados infraestrutura da TI da cooperativa. Osservidores disponibilizados no estosuportando a carga de trabalho e istoest causando lentido e erros nosprocessos das transaes;

Alm disto, a TIWAY no consegueobter as especificaes da equipa deanalistas da COOPERTI para darcontinuidade aos mdulos que estofalando no portal.



76/85

Camilo Amarcy

Exerccio 1

Agora que voc sabe resumidamente dos problemas que esto acontecendo

na COOPERTI, identifique at 7 processos do COBIT que poderiam terevitado os problemas que voc identificou no estudo de caso. Justifique asescolhas dos processos.



77/85

Camilo Amarcy

RespostaParte 1

Os principais processos que poderiam ser

melhorados no primeiro momento so:

PO10 Gerenciar Projectos: Osproblemas aqui vo desde oescopo mal definido a a entrega

do produto do projecto;

DS2 Gerenciar Servios deTerceiros: Melhoraria a gesto defornecedores, estabelecendo e

monitorando os SLAsestabelecidos com osfornecedores;



78/85

Camilo Amarcy

RespostaParte 2

AI4 Permitir Operao e uso e DS7

Treinar Usurio: O pessoal do service-deskno recebeu documentao do sistema paraatender aos incidentes e tambm no foramtreinados adequadamente para prestar suporte aonovo sistema;

DS3

Gerenciar Desempenho eCapacidade: A capacidade no foidimensionada correctamente para o novo sistema;

AI6 Gerenciar Mudanas e AI-7

Instalar Mudanas: No tem um padro degerenciamento de mudanas e as novas liberaesno esto sendo homologadas e testadas antes deir para o ambiente de produo, por isto estacontecento tantos incidentes.



79/85

Camilo Amarcy

Resoluo 3380 do BACEN

Por ser uma instituio financeira, a

COOPERTI deve atender resoluo 3380 do BACEN, sobre aimplementao de uma estrutura degerenciamento de riscooperacional.

Veja em seguida o artigo referentes exigncias que a cooperativadeve cumprir.

http://gestao.files.wordpress.com/2009/05/resolucao_3380.pdf

http://gestao.files.wordpress.com/2009/05/resolucao_3380.pdfhttp://gestao.files.wordpress.com/2009/05/resolucao_3380.pdf


80/85

Camilo Amarcy

Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte 1

I Identificao, avaliao,monitoramento, controle e mitigao dorisco operacional;

II Documentao e armazenamentode informaes referentes s perdasassociadas ao risco operacional;

III Elaborao, com periodicidade

mnima anual, de relatrios quepermitam a identificao e correcotempestiva das deficincias de controle ede gerenciamento do risco operacional;



81/85

Camilo Amarcy

Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte

2

IV Realizao, com periodicidademnima anual, de testes de avaliaodos sistemas de controle de riscos

operacionais implementados;

V Elaborao e disseminao dapoltica de gerenciamento de riscooperacional ao pessoal da instituio,

em seus diversos nveis, estabelecendopapis e responsabilidades bem comoas dos prestadores de serviosterceirizados;



82/85

Camilo Amarcy

Artigo 3 : A Estrutura deGerenciamento do RiscoOperacional deve Prever Parte 3

VI Existncia de plano de contingnciacontendo as estratgias a serem adoptadaspara assegurar condies de continuidadedas actividades e para limitar graves

perdas decorrentes de risco operacional;

VII Implementao, manuteno edivulgao de processo estruturado decomunicao e informao;



83/85

Camilo Amarcy

Exerccio 2

Identifique os principais processos de TI deveriam ser implantados para que a

rea de TI da COOPERTI atenda aos seguintes requisitos da resoluo 3380 doBACEN:

Implantar uma gesto de riscos, identificando, avaliando , monitorando emitigando os riscos de TI que afectariam a cooperativa;

Identificar e gerenciar os riscos relacionados aos fornecedores de serviosque afectariam a cooperativa;

Desenvolver um plano de continuidade que apie a continuidade dacooperativa.


R l


84/85

Camilo Amarcy

Resoluo

Este regulamento refere-se a efectiva

implantao da estrutura de gerenciamentode risco operacional;

Para atender a este rgulamento, os processosDS4 Continuidade de Servios de TI eDS5 Segurana da Informao, sograndes alvos para os Objectivos deControle esperados pelo BACEN.

Alem destes dois processos poderia seradoptado outros processos de suporte, como

o PO4 Definir os processos e TI,Organizao e Relacionamentos, o processoPO9 Gerenciar e Avaliar os riscos TI e oprocesso ME3 Assegurar a Conformidadecom Regulamentos Externos.

Estamos a ver: COBIT 4.1


85/85

http://pt wikipedia org/wiki/CobiT

COBIT 4.1

Control Objectivesfor Information andrelated Technology
http://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiThttp://pt.wikipedia.org/wiki/CobiT

aula 04 - capitulo 05 - cosi - aula 03.pdf

Documents