Download - Aula 03 - Capitulo 05 - COSI - Aula 02.pdf
INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAÇÕES
COBIT 4.1 - Introdução
Docente: Camilo Amarcy
Email: [email protected]
Cell: +258823032445
BBM: 2095A1FA
Camilo Amarcy
Temas do Capítulo
• Características, foco principal, história,
evolução, premissas;
• Componentes-chave da estrutura;
• Domínios de processo de TI;
• Recursos de TI e critérios de informação;
• Vantagens ao adoptar o COBIT;
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Necessidade de um Framework de Governança de TI – Parte 1
As organizações não conseguem atender a todas as expectativas do negócio e da
Governança de TI sem adoptar um framework (estrutura) de controle para TI
que:
• Faça o alinhamento entre a TI e os requisitos de negócio;
• Meça o desempenho contra os requisitos de forma transparente;
• Organize as actividades em um modelo de processos aceito pela maioria;
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Framework aceito internacionalmente
Necessidade de um Framework de
Governança de TI – Parte 2
• Identifique os principais recursos de TI a
serem gerenciados;
• Seja orientado à entrega de valor e
gerenciamento de riscos;
• Estabeleça as responsabilidades entre as
partes envolvidas na Governança de TI
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Principais características do COBIT 4.1
O COBIT ou Objectivos de Controle para Informação e Tecnologia
Relacionada é um modelo focado no negócio, orientado a processos, baseado
em controle e orientado por métricas
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Focado no Negócio
• Olha para a TI a partir da
perspectiva do negócio;
• Vê os requisitos do negócio e
traduz isso para a TI;
• Em todos os processos existe um
link com as metas do negócio e as
metas de TI Baseado em Controles
• Para cada processo de TI há
objectivos de controle definidos;
• Estes controles são desenhados
para dizer o que poderia ser feito
para cada processo
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Orientado a Processos
• Organiza as actividades de TI em
processos para facilitar o seu
gerencialmento
Orientado por Métricas
• Fornece um conjunto de
indicadores que permitem o gestor
medir o desempenho das
actividades, dos processos e o
desempenho da TI como um todo
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Missão do COBIT 4.1
“Pesquisar, desenvolver, publicar e promover um
framework de controle para governança de TI que
seja embassado, actualizado, internacionalmente
aceito para a adoção pelas organizações e usado no
dia-a-dia pelos gerentes de negócio, profissionais de
TI e profissionais de auditoria”
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Foco Primário
O COBIT foca mais em “o que precisa ser alcançado” do que em “como
alcançar”, isto é, mais no controle do que na execução;
Funciona como um guarda-chuva, fornecendo controles que mapeiam os
principais frameworks de TI.
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
COBIT como um Framework de Controle
O COBIT suporta os cinco requisitos que um framework de controle deve ter:
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Origem do COBIT – Parte 1
• O COBIT foi desenvolvido do
Framework COSO, do controle de
objectivos original da ISACA, e de
mais de 50 padrões e práticas de
mercado utilizadas em TI.
• Em seguida as principais fontes do
COBIT:
• Padrões profissionais para
controle e auditoria interna,
como o COSO;
• Padrões técnicos;
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Origem do COBIT – Parte 2
• Códigos de conduta;
• Critérios de qualificação para
sistemas e processos de TI, como a
ISO 9001;
• Práticas da indústria (alguns: ITIL,
PMBOK, PRINCE2, CMMi);
• Requisitos específicos de alguns
negócios emergentes, como bancos e
e-commerce
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Aplicação do COBIT – Parte 1
O COBIT foi projectado para utilização por
distintos públicos:
Gestores Executivos
• Para auxiliá-los na ponderação entre risco
e investimento e no controle de ambientes
muitos vezes imprevisíveis, como o de TI;
Gestores de Negócio e Usuarios
• Para se certificarem da segurança e dos
controels dos serviços de TI fornecidos
internamente ou por terceiros;
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Aplicação do COBIT – Parte 2
Gestores de TI
• Para saber como atender às
expectativas do negócio e medir o
desempenho dos processos e
actividades de TI;
Auditores de TI
• Para subsidiar suas opiniões e/ou
prover aconselhamento aos
administradores sobre controles
internos.
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Perguntas que o COBIT pode
ajudar a responder – Parte 1
Aos gestores executivos (Board,
CEO, CIO, CFO, CTO, etc.)
• A TI está entregando valor e os
riscos estão sendo gerenciados
eficientemente?
• Os investimentos em TI estão
gerando valor enquanto os riscos
estão balanceados?
• Como nós estamos gerenciando a
nossa TI e onde estamos entre os
nossos concorrentes?
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Perguntas que o COBIT pode
ajudar a responder – Parte 2
Aos gestores de negócio e usuários
(Gerentes das unidades de
negócio)
• Como definir os requisitos de
negócio para a TI?
• Os serviços de TI estão sendo
entregues de uma maneira
controlada?
• Como obter garantia na entrega de
serviços de TI?
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Perguntas que o COBIT
pode ajudar a responder –
Parte 3
Aos gestores de TI
(Directores/Gerentes de TI)
• Como entender os requisitos de
negócio e suas expectativas?
• O que precisa ser feito para
atingir os resultados esperados
a partir da TI?
• Como medir o desempenho
dos processos e actividades de
TI?
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Perguntas que o COBIT pode
ajudar a responder – Parte 4
Auditores de TI
• Como sabemos se os processos de
TI estão sendo controlados?
• Como substanciamos nossa
opinião sobre os controles em TI?
• Como aconselharemos sobre
melhorias nos processos de TI que
precisam ser implantadas para
melhor atender aos objectivos do
negócio?
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Quem está por
trás
• O COBIT surgiu
em 1996 como um
guia para
controles da
Tecnologia da
Informação,
organizado por
processo.
• Foi desenvolvido
inicialmente pela
ISACA e hoje é
mantido pelo IT
Governance
Institute (ITGI).
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Information Systems Audit and
Control Association
• Fundada em 1969, como EDP
Auditors Association;
• Em 1975 começou a desenvolver
pesquisas na área de Governança de
TI;
• É uma instituição sem fins lucrativos;
• Tem mais de 86 mil membros em mais
de 160 países e mais de 175 capítulos
ao redor do mundo todo.
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
IT Governance Institute
• Extensão da ISACA criada em
1998;
• Desenvolve estudos relacionados à
Governança de TI;
• Mantenedor actual do COBIT e
produtos relacionados
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Evolução do COBIT
O COBIT evolui ao longo do tempo, atendendo às necessidades dos seus
públicos
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Premissa do COBIT 4.1
O COBIT evolui ao longo do tempo, atendendo às necessidades dos seus
públicos
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Princípios do COBIT 4.1
O princípio do COBIT 4.1 é derivado de um modelo que mostra a informação
com qualidade sendo produzida por processos de TI com apoio de recursos de
TI.
A empresa precisa investir em TI, mas também tem que gerenciar e controlar os
recursos de TI usando um conjunto estruturado de processos para fornecer
serviços que entreguem informações requisitadas pela empresa.
Camilo Amarcy
Características, Foco Principal, História, Evolução, Premissas
Processos de TI
Camilo Amarcy
Componentes-chave da estrutura
Framework do COBIT 4.1
O cubo abaixo representa os componentes-chave da estrutura do COBIT e
como eles são usados para entregar a informação que o negócio precisa para
alcançar seus objectivos.
Camilo Amarcy
Domínios de processo de TI
Modelo de Processos do COBIT 4.1 (34 processos)
Camilo Amarcy
Domínios de processo de TI
Domínio Planear e Organizar (PO)
• Cobre estratégias e táticas e se
preocupa com a identificação da
forma como a TI pode contribuir para
alcançar os objectivos do negócio;
• A realização da visão estratégica
precisa ser planeada, comunicada e
gerenciada por diferentes perspectivas;
• Como a organização, assim como a
infraestrutura de TI devem ser
instaladas;
Camilo Amarcy
Domínios de processo de TI
Questões a Serem Respondidas
sobre o PO
• A área de TI e a áreas de negócio têm
estratégias alinhadas?
• A empresa atinge um nível óptimo de
uso dos recursos de TI?
• Todos os funcionários da empresa
conhecem e entendem os objectivos
da TI?
• Os riscos de TI são entendidos e
gerenciados?
• A qualidade dos serviços de TI é
apropriada para as necessidades da
empresa?
Camilo Amarcy
Domínios de processo de TI
PO – Planear e Organizar
PO-1 : Definir um plano estratégico de
TI
PO-2 : Definir a arquitectura de
informação
PO-3 : Determinar o direcionamento
tecnológico
PO-4 : Definir processos de Ti, a
organização e relacionamentos
PO-5 : Gerenciar o investimento em TI
PO-6 : Comunicar metas e directivas
gerenciais
PO-7 : Gerenciar os recursos humanos
PO-8 : Gerenciar a qualidade
PO-9 : Avaliar e gerenciar riscos de TI
PO-10 : Gerenciar projectos
Camilo Amarcy
Domínios de processo de TI
Domínio Adquirir e
Implementar (AI)
• Para realizar a estratégia de TI,
soluções precisam ser
identificadas, desenvolvidas ou
adquiridas, assim como
implementadas com os
processos de negócio;
• Mudanças e manutenção dos
sistemas existentes são cobertas
por este domínio para garantir
que as soluções continuam
atendendo aos objectivos de
negócio.
Camilo Amarcy
Domínios de processo de TI
Questões a Serem Respondidas
Sobre AI
• Os novos projectos de TI oferecem
soluções que atendem às
necessidades dos negócios?
• Os novos projectos de TI são
entregues dentro dos prazos e
orçamentos?
• Os novos sistemas funcionam
correctamente quando são
implantados?
• As mudanças realizadas no ambiente
de TI não causam impacto negativo
nos negócios?
Camilo Amarcy
Domínios de processo de TI
AI - Adquirir e Implementar
AI-1 : Identificar as soluções
automatizadas
AI-2 : Adquirir e manter software
aplicativo
AI-3 : Adquirir e manter
infraestrutura de tecnologia
AI-4 : Permitir operação e uso
AI-5 : Adquirir recursos de TI
AI-6 : Gerenciar mudanças
AI-7 : Instalar e validade soluções e
mudanças
Camilo Amarcy
Domínios de processo de TI
Domínio Entregar e Suportar (DS)
• Esse domínio se preocupa com as
entregas reais dos serviços necessários
que abrangem as operações
tradicionais sobre aspectos de
segurança e continuidade até
treinamento;
• Para poder entregar os serviços será
necessário criar processos de suporte;
• Este domínio também inclui o
processamento de dados pelos
sistemas de aplicações
Camilo Amarcy
Domínios de processo de TI
Questões a Serem
Respondidas Sobre o DS
• Os serviços de TI estão
alinhados com as prioridades de
negócio?
• Os custos estão adaptados às
necessidades?
• As pessoas estão aptas a usar os
recursos de TI de forma
produtiva e segura?
• Os atributos de
confidencialidade, integridade e
disponibilidade dos dados estão
implementados de forma segura?
Camilo Amarcy
Domínios de processo de TI
DS – Entregar e Suportar
DS-1 : Definir e gerenciar níveis de
serviços
DS-2 : Gerenciar serviços de terceiros
DS-3 : Gerenciar o desempenho e
capacidade
DS-4 : Garantir a continuidade dos
serviços
DS-5 : Garantir a segurança dos sistemas
DS-6 : Identificar e alocar custos
DS-7 : Educar e treinar usuários
DS-8 : Gerenciar central de serviços e
incidentes
DS-9 : Gerenciar a configuração
DS-10 : Gerenciar os problemas
DS-11 : Gerenciar os dados
DS-12 : Gerenciar o ambiente físico
DS-13 : Gerenciar as operações
Camilo Amarcy
Domínios de processo de TI
Domínio Monitorar e Avaliar
(ME)
• Processos de TI precisam ser
avaliados regularmente nos
aspectos de qualidade e
conformidade com base nos
requisitos de controle;
• Este domínio endereça o
gerenciamento de desempenho,
monitoramento dos controles
internos, conformidade
regulatória e de governança.
Camilo Amarcy
Domínios de processo de TI
Questões a Serem
Respondidas Sobre ME
• O desempenho d TI é
mensurado para detectar
problemas antes que eles
aconteçam?
• O gerenciamento garante que os
controles internos sejam
efectivos e eficazes?
• Pode o desempenho da TI ser
combinado com os objectivos do
negócio?
• Riscos, controles, conformidades
e desempenho são medidos e
reportados?
Camilo Amarcy
Recursos de TI e Critérios de Informação
Requisitos do Negócio
• O COBIT combina os princípios contidos em modelos existentes e
conhecidos, como COSO, SAC (System Auditability and Control Report) e SAS
(Regulamentação dos USA que complementa a SOX)
Camilo Amarcy
Recursos de TI e Critérios de Informação
Requisitos de Negócio vs. Requisitos de Informação do COBIT
• Os requisitos de negócio das três categorias – Qualidade, Segurança e
Fiduciário são mapeados por 7 critérios de informação no COBIT
Camilo Amarcy
Recursos de TI e Critérios de Informação
Critérios de Informação
Camilo Amarcy
Recursos de TI e Critérios de Informação
Recursos de TI
• Os processos de TI gerenciam os recursos de TI. Juntos, eles são usados para
entregar a informação que o negócio precisa. Os recursos identificados no
COBIT são:
Camilo Amarcy
Recursos de TI e Critérios de Informação
Framework do COBIT 4.1
Camilo Amarcy
Vantagens ao Adoptar o COBIT
Vantagens – Parte 1
• É aceito por terceiros e orgãos
reguladores;
• É compatível com outros
padrões, e deve ser usado
como apoio para projectos de
implantação de processos;
• As práticas sugeridas
representam um consenso dos
especialistas;
Camilo Amarcy
Vantagens ao Adoptar o COBIT
Vantagens – Parte 2
• Fornece uma abordagem para avaliar
se os serviços de TI e novas
iniciativas estão atendendo aos
requisitos do negócio e estão
entregando os benefícios esperados;
• Ajuda a desenvolver e documentar
estruturas, processos e ferramentas
para um gerenciamento efectivo da
TI;
• Possui uma estrutura de controles
que facilita auditorias internas e
externas.
Camilo Amarcy
Estamos a ver: COBIT 4.1
• http://pt.wikipedia.org/wiki/CobiT
COBIT 4.1
Control Objectives
for Information and
related Technology
48