cobit

Governança de TIutilizando o modelo do COBIT®

Curso e- Learning

O conteúdo deste curso contem marcas registradas de outras organizações nas quais as propriedades são citadas ao logo do curso sem infringir os direitos autorais de terceiros. A cópia ou redistribuição deste material sem permissão não é permita.

O COBIT® é uma marca registrada da ISACA. Site oficial www.isaca.org

Objetivos do CursoO propósito deste curso é apresentar os conceitos e definições da Governança de TI e a utilizar na prática os objetivos de controle propostos pelo COBIT® - Control Objectives for Information and Related Technology.

Durante este curso iremos aprender:

� A evolução da Função TI ao longo dos anos;

� A importância de TI e como as questões de TI afetam as organizações;

� Conceitos de Governança Corporativa e Governança de TI;

� A necessidade de controles para a Governança de TI;

� Como o COBIT® pode ajudar;

� Padrões e melhores práticas de mercado;

� Estrutura do COBIT® - Objetivos de Controle, Práticas de Controle, Diretrizes de Gerenciamento, Diretrizes de Auditoria;

� Os benefícios e desvantagens do uso de controles;

� Os produtos e suporte fornecido pelo ITGI (IT Governance Institute).

Conteúdo Programático

Gerenciamento, Scorecards, métricas, Indicadores de metas e de performance, maturidade de processo, análise de “gaps” e exercícios.

MÓDULO 7

Diretrizes de auditoria e exercíciosMÓDULO 8

Objetivos de controle e controles e exercíciosMÓDULO 6

Estrutura do COBIT® e exercíciosMÓDULO 5

O que é o COBIT®, aplicação, origens, evolução, princípios, filosofia, estrutura, família de produtos e exercícios

MÓDULO 4

Continuação “O que é governança de TI”, estruturas, domínios, responsabilidades, benefícios e exercícios

MÓDULO 3

Relacionamento entre os diversos padrões de mercado: COBIT®, ITIL®, ISO, COSO etc., o que é governança de TI e exercícios.

MÓDULO 2

Evolução da gestão e desafios atuais da TI, visão geral do Comitê da Basiléia, Sarbanes-Oxley, COBIT®, ISO 27001, 17799, 2000-1 e exercícios.

MÓDULO 1

Módulo 1Evolução da gestão e desafios atuais da TI, visão geral do Comitê da Basiléia, Sarbanes-Oxley, COBIT®, ISO 27001,

17799, 20000-1, etc. e exercícios

Evolução da Gestão de TI

Evolução da Função de TI dentro das organizações

Tempo

Maturidade da TI

Provedor de Tecnologia

Provedor de Serviço

ParceiroEstratégico

ITIM

ITSM

Governança de TI

ITIM = IT Infrastructure Management

ITSM = IT Service Management


� A TI busca o crescimento do negócio

� Os orçamentos são baseados na estratégia do negócio

� A TI é inseparável do negócio

� A TI é vista como um investimento a ser gerenciado

� Os gerentes de TI são solucionadores de problemas de negócio

� A TI busca eficiência

� Os orçamentos são baseados em benchmarks externos

� A TI atua independente do negócio

� A TI é vista como uma despesa a ser controlada

� Os gerentes de TI são técnicos

Parceiro EstratégicoProvedor de Serviços

TI NegócioTI Negócio


Evolução das metodologias para gerenciamento de TI

Tempo

Maturidade do Gerenciamento de TI

Idade Escura da TI

1970 1980 1990 2000 2005

IBM ISMAITIL

HP ITSM

BSI Code &OGC ITIL 2

BS 15.000ISO 20.000

IBM - ISMA Information Systems Management Architecture - Modelo de processo criado pela IBM em 1980 para gestão de computadores. HP - ITSM Information Technology Service Management - Framework da HP que foi baseado na ITIL para gestão de serviços da HP, para atender provedores de serviços e parceiros da HP. ITIL V2 - Versão 2 da ITIL lançada em 2000. BSI CODE= Código de Prática da BSI para o Gerenciamento de Serviços de TI antiga BS 15000


Com o aumento da sua importância para a organização TI passou a ter os seguintes desafios:

� Alinhar os serviços com as necessidades atuais e futuras do negócio;

� Conviver com ambientes cada vez mais complexos;

� O Negócio depender de TI;

� Reduzir custos e riscos;

� Justificar retorno sobre os investimentos em TI;

� Manter conformidade com leis e regulamentos;

� Garantir a segurança das informações; etc.

Infra-estrutura

ERPCRM

E-mail

Gestão dePedidoswww

Contabilidade

Serviços de TI

Evolução da Gestão de TI Alinhamento dos serviços de TI com o negócio

Razões pela falta de alinhamento da TI com o negócio:

� Falta de definição dos requisitos de negócio;

� Falta de definição de prioridades;

� Complexidade dos projetos;

� Falta de comprometimento da alta direção;

� Problemas de comunicação entre o negócio e a TI;

� Falta de recursos humanos e financeiros;

� Lideranças de TI ainda despreparadas para compreender seu papel e atuar estrategicamente.

Evolução da Gestão de TI Ambientes de TI cada vez mais complexos

Por que os ambientes de TI estão cada vez mais complexos?

� Número maior de sistemas para cada negócio da empresa;

� Novas tecnologias criando uma infra-estrutura de TImais complexa;

� Necessidade de treinamento contínuo para mantera equipe atualizada;

� Empresas globalizadas com várias filiais em diversos países, com infra-estrutura de TI para cada uma;

� Aumento da quantidade de prestadores de serviço, exigindomaior controle sobre os contratos; etc.

PrestadorServiço

PrestadorServiço

PrestadorServiço

TI

Evolução da Gestão de TI O Negócio dependendo de TI

TI parar pode, por exemplo, acarretar nos seguintes problemas:

� Redução de vendas e atraso nas entregas com a parada do sistema de emissão de pedidos e de notas fiscais;

� Produção que dependente de sistemas inoperante;

� Pessoal administrativo impossibilitado de executar suas tarefas;

� Clientes sem acesso a informações;

� Impacto negativo da imagem da empresa no mercado;

� Etc.

Evolução da Gestão de TI Redução de Custos e Riscos

Motivos que geram riscos as operações de TI:

� Falta gestão financeira, contabilização dos custos de TI e avaliação do retorno após os investimentos;

�Falta gestão de mudanças, avaliação de impactos e custos relacionados;

�Falta gestão de projetos, resultando em atrasos e custos não previstos;

�Falta gestão de contratos com fornecedores;

�Falta hardware e software adequados;

�Falta desenvolvimento das competências necessárias;

�Falta recursos humanos;

�Etc.

�E mesmo assim TI tem que fornecer os serviços necessários garantindo a redução de custos e riscos

Evolução da Gestão de TI Redução de Custos e Riscos

TI tem que conviver com uma difícil equação:

Custo + Qualidade + Risco + Agilidade

Evolução da Gestão de TI Redução de Custos e Riscos / ITIL e ISO 20000-1

A gestão de serviços de TI realizada de forma profissional e baseada nos princípios do ITIL e da ISO 20000-1 estão ajudando os processos de TI a melhorarem seu desempenho:

� O governo da Inglaterra lança a Biblioteca de Infra-Estrutura de TI (ITIL) em 1989;

� ITIL define as "melhores práticas" para processos e procedimentos;

� itSMF é criado em 1991 para desenvolver melhores práticas adicionais;

� itSMF aborda a BSI para desenvolver uma norma;

� A BS 15000 é publicada em 2000 como uma especificação (revisada em 2002);

� A ISO / IEC 20000 é publicada em 2005.

A ISO 20000-1 Especifica vários processos de gestão de serviços relacionados, identifica que relações existem entre estes processos, e que estas relações serão dependentes da sua aplicação dentro de uma organização, especifica objetivos e controles para permitir a uma organização a entrega de serviços gerenciados. Veja a direita os processos tratados pela 20000-1.

Processos de Entrega de Serviço

Processos deControle

Processo deLiberação Processo de

Resolução

Processo deRelacionamento

Evolução da Gestão de TI / Justificar o Retorno sobre os investimentos em TI

Principais problemas relacionados aos projetos de TI mal gerenciados :

� Falha na definição do escopo e requisitos do projeto devido ao não alinhamento com os envolvidos;

� Atraso na entrega devido ao mal dimensionamento de tempo e recursosnecessários;

� Falta de Gerenciamento de Projetos, planejamento inadequado.

Evolução da Gestão de TI Conformidade com leis e regulamentos � A implementação de uma governança de TI ajuda a

atender a governança corporativa em relação as leis e regulamentos que estão relacionados com a TI e a empresa.

� A Governança de TI deve ter como foco de atuação atender os requisitos destas leis e regulamentos aos quais a empresa está submissa.

Legislações: Basiléia II, Sarbanes-Oxley, IAS/IFRS -normas contábeis internacionais publicados e pelo IASB(International Accounting Standards Board).

Orgãos reguladores: SEC, BACEN, CVM;

Padrões: ISO 27001, ISO 17799, ISO 20000-1, ISO 9001;

Outros: leis, requerimentos de mercado etc.

Governança, ética e responsabilidade:

� Honestidade e correção traz lucros e benefícios para as empresas;

� O mercado exige responsabilidade social e cada vez menos os clientes farão negócios com empresas que tem desvios éticos e legais

Evolução da Gestão de TI / Conformidade com leis e regulamentos/ Orgãos reguladores

BACEN

O Banco Central do Brasil ou Bacen é autarquia federal integrante do Sistema Financeiro Nacional, sendo vinculado ao Ministério da Fazenda do Brasil. Assim como os outros bancos centrais do mundo, o brasileiro é a autoridade monetária principal do país, tendo recebido esta competência de três instituições diferentes: a Superintendência da Moeda e do Crédito (SUMOC), o Banco do Brasil e o Tesouro Nacional.

CVM

A Comissão de Valores Mobiliários (CVM) é uma autarquiavinculada ao Ministério da Fazenda do Brasil que juntamente com a Lei das Sociedades por Ações disciplinaram o funcionamento do mercado de valores mobiliários e a atuação de seus protagonistas.

SEC - US Securities and Exchange Commission é responsável por proteger investidores, facilitar a formação de capital, manter a estabilidade dos mercados etc.

Evolução da Gestão de TI Conformidade com leis e regulamentos Catástrofes financeiras:

1975 – Quebra dos bancos Herstaff da Alemanha e Frankling National de Nova York

1975 – Formação do Comitê da Basiléia

1993 – Bank of Credit and Commerce International faliu em meio a escândalos de fraude e lavagem de dinheiro

1995 – Barings faliu depois de 233 anos de existência

1997 – Comitê Basiléia edita os 25 princípios: Instituição de Controles Internos

1995/98 – Askin Capital, Orange County, Chemical Bank entre outros

1998 – Comitê da Basiléia edita mais 13 Princípios: Gestão de Riscos

1998 – Resolução Bacen 2.554 – Controles Internos e lei 9613 para prevenir lavagem de dinheiro

2001 – Enron – 7ª empresa dos EUA faliu e o WorldCom demitiu 20000 funcionários

2002 – SEC edita lei Sarbanes Oxley

2003 – Resolução 3081 – Bacen – responsabilidades dos administradores

Evolução da Gestão de TI / Leis e RegulamentosComitê da Basiléia

O Comitê de Supervisão Bancária da Basiléia (Basle Committee on Banking Supervision)

congrega autoridades de supervisão bancária e foi estabelecido pelos Presidentes dos bancos centrais dos países do Grupo dos Dez (G-10), em 1975.

Os Princípios Essenciais da Basiléia compreendem 25 Princípios básicos, indispensáveis para um sistema de supervisão realmente eficaz. Os Princípios referem-se a:

� Precondições para uma supervisão bancária eficaz - Princípio 1

� Autorizações e estrutura - Princípios 2 a 5

� Regulamentos e requisitos prudências - Princípios 6 a 15

� Métodos de supervisão bancária contínua - Princípios 16 a 20

Sob o enfoque da administração de risco mais rígido, o Acordo da Basiléia de1988 firma exigências mínimas de capital, que devem ser respeitadas porbancos comerciais, como precaução contra Risco de Crédito. Posteriormente, oacordo sofreu imposições de adequação de capital para riscos de mercado. Eos Bancos Centrais reconheceram que estes modelos administrativos de risco -utilizados pelos principais bancos eram superiores aos impostos por eles.

Evolução da Gestão de TI / Leis e Regulamentos O que é a Sarbanes-Oxley? Qual o papel de TI?� É uma lei que faz com que os executivos sejam responsáveis por estabelecer, avaliar e

monitorar a eficácia dos controles internos relacionados a relatórios financeiros.

� Os requerimentos da lei são rigorosos: as empresas devem estabelecer políticas, regras e procedimentos auditáveis para gerir e controlar seus processos e registros documentais e divulgar seus resultados, e os principais executivos devem, pessoalmente atestar que os relatórios financeiros sejam completos e precisos.

Para atender aos requisitos desta lei TI deverá atuar em duas frentes:

1) Estabelecer controles para o ambiente geral de TI que abranjam: desenvolvimento, mudanças, operações e controle de acesso;

2) Estabelecer processos de negócio críticos (contas significativas de balanço):

� Mapear os sistemas que suportam os dados financeiros e respectivos controles;

� Identificar os riscos de TI relacionados aos sistemas;

� Implementar e monitorar controles que mitiguem riscos;

� Documentar e testar os controles de TI;

� Assegurar que os controles de TI sejam atualizados e adequados para suportar as mudanças nos controles internos.

Evolução da Gestão de TI / Leis e Regulamentos Sarbanes Oxley

Com o resultado dos escândalos financeiros em grandes empresas em 2001, o Congresso americano decretou o Ato Sarbanes-Oxleyde 2002. Este ato afeta como as empresas de capital aberto irãoapresentar seus relatórios financeiros, e significativamente impacta a área de TI. A conformidade com a Sarbanes-Oxley requer mais do que documentação e estabelecimento de controles financeiros, ela tambem requer a avaliação da infra-estrutura de TI e suas operações e pessoal.

Principais Características da Sarbanes Oxley - Ato de 2002: � Estabelece novos padrões de responsabilidade contábil

corporativa, confiabilidade e transparência dos relatórios financeiros.

� Ênfase na transparência dos dados para análise e interpretação dos dados

� Ênfase no uso de um Framework de Controle para avaliação de controles internos.

� Penalidades rígidas no caso de danos – seja eles intencionais ou não

� Implementação de diretrizes do SEC (Securities and Exchange Commission )

Com mais de 300 seções, a SOX é provavelmente a legislação mais significante para os negócios nos EUA.

Evolução da Gestão de TI / Leis e Regulamentos Sarbanes Oxley� A conformidade com a SOX (Sarbanes Oxley) irá

impactar significativamente as organizações de TI na maioria das empresas de capital aberto.

� Para resolver este problema muitas empresas acabam adotando o COBIT®,

� O COBIT® é o único modelo de controle que écompatível com o COSO

� Assegurar que a TI está em conformidade com o COBIT fará com que a maioria dos requisitos de conformidades já tenham sido implementados.

Evolução da Gestão de TI / Leis e Regulamentos O que é o COBIT®?

1. Guia para gestão de TI recomendado pelo ISACF ( Information Systems Audit and ControlFoundation);

2. O COBIT inclui: sumário executivo, framework, controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um guia com técnicas de implementação;

3. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos em TI e fornecem métricas para avaliação dos resultados;

4. O COBIT independe das plataformas de TI adotadas pelas empresas;

5. O COBIT foi criado para atender a necessidade de um framework de controle de TI voltado para o negócio, compreensivo para gerência e auditores de TI:

1996 – primeira versão: ISACA lança um conjunto de objetivos de controle para as aplicações de negócio.

1998 – segunda versão: é incluída uma ferramenta de suporte à implementação e a especificação dos objetivos.

2000 – terceira versão: são incluídas normas e guias associadas a gestão.

2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.

Evolução da Gestão de TI / Leis e Regulamentos Em que o COBIT pode ajudar?O COBIT® possui processos que auxiliam a manter a conformidade com a Sarbanes:

� Adquirir e manter software aplicativo;

� Adquirir e manter arquitetura tecnológica;

� Desenvolver e manter procedimentos de TI;

� Instalar e certificar soluções e mudanças;

� Gerenciar mudanças;

� Definir e gerenciar níveis de serviço;

� Gerenciar serviços de terceiros;

� Assegurar a segurança dos sistemas;

� Gerenciar as configurações;

� Gerenciar problemas;

� Gerenciar dados;

� Gerenciar operações.

Em 2002 a aprovação da Sarbanes impulsionou a utilização do COBIT nas empresas americanas e em suas filiais em outros paises

Benefícios do COBIT®Vamos tentar resumir os principais benefícios do COBIT:

� O COBIT lida com todos os aspectos dos problemas relacionados com a Governança de TI;

� O COBIT foi criado por um grande número de especialistas;

� O ITGI ajudou com os seus 35 anos de experiência em segurança em TI no desenvolvimento do COBIT;

� O COBIT está em manutenção contínua. Periodicamente uma nova versão é publicada;

� Os patrocinadores do COBIT são organizações sem fins lucrativos, sua missão é ajudar seus clientes a alcançar seus objetivos principais;

� O COBIT pode ser aplicado em empresas de pequeno e grande porte;

� Usar o COBIT pode introduzir ordem e qualidade nos processos de TI;

� O COBIT é compatível com outros padrões e pode ser utilizado para gerenciar todos os processos de TI;

� O COBIT está em conformidade com os regulamentos como Sarbanes, Basileia , entre outros.

Evolução da Gestão de TI Manter segurança sobre as informações

Estes riscos têm aumentado devido ao seguintes fatores:

�A necessidade de publicar informações e acessar aplicações via web expõe o ambiente de TI.

�Ataque diários de hackers e entrada de novos vírus na rede.

�O acesso a internet pelos usuários facilita a entrada de vírus e expõe as informações da empresa.

Veja NBR ISO/IEC 27001 e 17799

Evolução da Gestão de TI Manter segurança sobre as informações� A ISO - “International Organization for Standardization” é uma

organização sediada em Genebra, na Suiça. Foi fundada em 1946. O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.

� Cerca de 111 países integram esta importante organização internacional, especializada em padronização, cujos membros são entidades normativas de âmbito nacional. O Brasil é representado pela Associação Brasileira de Normas Técnicas – ABNT.

� As Normas para segurança da informação foram adotadas e traduzidas pela ABNT recebendo a denominação de:

NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação -Requisitos e

NBR ISO/IEC 17799:2005 - Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Gestão de Segurança da Informação,

� A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão da informação devem ser implementados pela organização e a ISO 17799 é um guia que orienta a utilização de controles de segurança da informação. Estas normas são genéricas por natureza.

Exercícios

Indique se é verdadeiro ou falso:

1. ( ) Assegurar a segurança dos dados e da infra-estrutura é uma das metas básicas do gerenciamento de TI.

2. ( ) O COBIT é um conjunto de controles para garantir que a organização atenda a legislação.

3. ( ) O comitê da Basiléia foi formado em 1995.4. ( ) A Sarbanes é uma lei americana que faz com que os executivos sejam

responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos relacionados a relatórios financeiros.

5. ( ) As organizações são obrigadas até 2010 a implantar as normas ISO 27001, ISO 17799 e ISO 20000-1.

6. ( ) A maioria dos projetos de TI ainda são mal gerenciados e ultrapassam o orçamento inicial ou o prazo de entrega.

7. ( ) A gestão de TI tem que garantir o fornecimento dos sistemas para as organizações buscando sempre reduzir os custos e os riscos.

8. ( ) TI vem mudando de função, começou como provedor de tecnologia, tornou-se um provedor de serviços e hoje é um parceiro estratégico das organizações.

9. ( ) Hoje os gerentes de TI são solucionadores de problemas de negócio.10. ( ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a

integridade e a disponibilidade das informações.

Resposta dos exercíciosIndique se é verdadeiro ou falso:1. ( V ) Assegurar a segurança dos dados e da infra-estrutura é uma das metas básicas do

gerenciamento de TI.2. ( F ) O COBIT é um conjunto de controles para garantir que a organização atenda a

legislação.(O COBIT é um guia de gestão de TI e inclui: sumário executivo, framework, controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um guia com técnicas de implementação).

3. ( F ) O comitê da Basiléia foi formado em 1995. (1975)4. ( V ) A Sarbanes é uma lei americana que faz com que os executivos sejam responsáveis

por estabelecer, avaliar e monitorar a eficácia dos controles internos relacionados a relatórios financeiros.

5. ( F ) As organizações são obrigadas até 2010 a implantar as normas ISO 27001, ISO 17799 e ISO 20000-1. ( normas são padrões não obrigatórios a não ser que sejam exigidas pela lei, o que não é o caso).

6. ( V ) A maioria dos projetos de TI ainda são mal gerenciados e ultrapassam o orçamento inicial ou o prazo de entrega.

7. ( V ) A gestão de TI tem que garantir o fornecimento dos sistemas para as organizações buscando sempre reduzir os custos e os riscos.

8. ( V ) TI vem mudando de função, começou como provedor de tecnologia, tornou-se um provedor de serviços e hoje é um parceiro estratégico das organizações.

9. ( V ) Hoje os gerentes de TI são solucionadores de problemas de negócio.10. ( V ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a

integridade e a disponibilidade das informações.

Fim do Módulo 1

cobit

Documents