governancati 110905200921-phpapp01-1

32
1 GOVERNANÇA DE TI CobiT Control Objectives for Information and related Technology SANDRO SERVINO

Upload: augusto-seixas

Post on 23-Jun-2015

437 views

Category:

Career


0 download

TRANSCRIPT

Page 1: Governancati 110905200921-phpapp01-1

1

GOVERNANÇA DE TI

CobiTControl Objectives for Information and

related Technology

SANDRO SERVINO

Page 2: Governancati 110905200921-phpapp01-1

Escopo da Governança de TIO escopo da Governança de TI pode ser classificado em cinco áreas.

Page 3: Governancati 110905200921-phpapp01-1

Alinhamento Estratégico

O alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio.

A questão chave é verificar se os investimentos da empresa em TI estão em harmonia com os objetivos estratégicos da empresa e, ainda, se está desenvolvendo as capacidades necessárias para entregar valor ao negócio.

Page 4: Governancati 110905200921-phpapp01-1

Entrega de Valor

Entrega do serviço/produto com uma qualidade apropriada, com prazo e custo aceitáveis, o qual deve atingir os benefícios que foram prometidos.

Para uma entrega de valor de TI efetiva ser alcançada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.

Page 5: Governancati 110905200921-phpapp01-1

Gerenciamento de Riscos

O Gerenciamento de Riscos se refere ao tratamento de incertezas.Enquanto o objetivo da entrega de serviços é criar valor, o gerenciamento de riscos busca preservar valor.

Page 6: Governancati 110905200921-phpapp01-1

Gerenciamento de Recursos

Assegurar que existe capacidade para suportar as atividades do negócio

Otimizar custos Otimizar o uso dos

recursos disponíveis Outsourcing

Page 7: Governancati 110905200921-phpapp01-1

Monitoração de DesempenhoSe não existir nenhuma forma de medir e monitorar as atividades de TI, não é possível governar a TI e assegurar o seu alinhamento, o valor entregue, o gerenciamento dos riscos nem o uso adequado dos recursos.

Se você não pode medir o processo, você não pode gerenciá-lo.

Page 8: Governancati 110905200921-phpapp01-1

O que é CobiT? O CobiT (Control Objectives for Information

and Related Tecnology) é um framework que fornece as melhores práticas para o controle e o gerenciamento de processos de TI.

Diz o que deve ser feito, mas não como fazer.

Foco no negócio Orientado a processos Padrão aceito Linguagem comum Requisitos regulatórios

Page 9: Governancati 110905200921-phpapp01-1

“COBIT são Boas Práticas com o foco maior no controle e não na execução. Essas práticas vão ajudar a otimizar investimentos em TI, assegurar a prestação de serviços e fornecer uma medida para identificar o que está sendo feito de errado nos processos envolvidos.” ISACA

A ISACA (Information Systems Audit and Control Association) é a entidade que criou COBIT juntamente com o ITGI (IT Governance Institute).

50.000 membros da ISACA / + 140 paises

Page 10: Governancati 110905200921-phpapp01-1

Evolução

1996Primeira Edição do CobiT

A ISACA (Information System Audit and Control Association - www.isaca.org) lança um conjunto de objetivos de controle para as aplicações de negócio.

1998Segunda Versão do CobiT

Inclui uma ferramenta de suporte à implementação e a especificação de objetivos de controle de alto nível e detalhados.

2000Terceira Versão do CobiT

Inclui normas e guias associadas à gestão. O ITGI (IT Governance Institute - www.itgi.org) torna-se o principal editor do framework.

2002 Sarbanes-Oxley Act

A lei Sarbanes-Oxley for aprovada. Este acontecimento teve um impacto significativo na adoção do CobiT nos EUA e nas empresas globais que lá atuam.

2005 Quarta Versão do CobiTMelhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.

Page 11: Governancati 110905200921-phpapp01-1

O Framework

Page 12: Governancati 110905200921-phpapp01-1

Componentes do CobiT

Em resumo, os recursos de TI são gerenciados pelos processos de TI para entregarem as informações para a área de negócios de acordo com os requerimentos do negócio. Este é o princípio básico do modelo CobiT.

Page 13: Governancati 110905200921-phpapp01-1

Recursos de TI Aplicações

São os sistemas automatizados e procedimentos manuais.

Informação É o dado, em todas as suas formas.

Infra-estrutura É tudo o que é necessário para o

funcionamento das aplicações. Pessoas

Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços.

Page 14: Governancati 110905200921-phpapp01-1

Processos de TI Domínios

Planejamento e Organização Aquisição e Implementação Entrega e Suporte Monitoramento e Avaliação

Processos 34 Processos

Atividades 210 Objetivos de Controle Detalhados

Page 15: Governancati 110905200921-phpapp01-1

Requisitos de NegócioPara satisfazer os objetivos de negócio, as informações precisam estar em conformidade com critérios chamados de requisitos de negócio (critérios de informação).

- Eficácia- Eficiência- Confidencialidade- Integridade- Disponibilidade- Conformidade- Confiabilidade

Page 16: Governancati 110905200921-phpapp01-1

Análise de GAPAuxilia os gestores de TI a identificar como estão posicionados os macrocontroles de TI da organização em relação aos padrões de mercado e/ou em relação às suas próprias expectativas.

Page 17: Governancati 110905200921-phpapp01-1

Relacionamento com outros padrões

O CobiT permite a integração desses modelos e conjuntos de melhores práticas de mercado

Page 18: Governancati 110905200921-phpapp01-1

Visão Geral

Page 19: Governancati 110905200921-phpapp01-1

Objetivos de Controle

“Definição de determinados objetivos ou resultados a serem obtidos ao se implementar procedimentos de controle em uma determinada atividade de TI.”

“Declaração do resultado que eu quero alcançar, pela implementação dos meus controles.”

Page 20: Governancati 110905200921-phpapp01-1

Domínio de Planejamento e OrganizaçãoEste domínio cobre estratégias e táticas, e se preocupa com a melhor forma com que a TI pode contribuir para atingir os objetivos do negócio. Além disto, a realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas.

Estratégias e Táticas Visão Estratégica Organização e

Infraestrutura

Page 21: Governancati 110905200921-phpapp01-1

Domínio de Aquisição e Implementação

Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas aos processos de negócio. O domínio de Aquisição e Implementação cobre também mudanças e manutenções nos sistemas existentes para assegurar que eles operem sem interrupções.

Soluções de TI Mudanças e Manutenções

Page 22: Governancati 110905200921-phpapp01-1

Domínio de Entrega e Suporte

Entrega de serviços solicitados

Configuração dos processos de suporte

Segurança

Esse domínio se preocupa com as entregas reais dos serviços requeridos, que abrangem também aspectos de segurança e continuidade, além de treinamento.

Page 23: Governancati 110905200921-phpapp01-1

Domínio de Monitoramento e Avaliação

Este é o domínio que controla os processos de TI que devem ser avaliados regularmente quanto a aspectos de qualidade e conformidade. Avaliação regular, entrega de garantias Controles Medição de Performance

Page 24: Governancati 110905200921-phpapp01-1

Processos – Planejamento e Organização

PO1 – Definir um Plano Estratégico de TI PO2 – Definir a Arquitetura da Informação PO3 – Determinar a Direção Tecnológica PO4 – Definir os Processos de TI,

Organização e Relacionamento PO5 – Gerenciar o Investimento de TI PO6 – Comunicar os Objetivos e a Direção

do Gerenciamento PO7 – Gerenciar os Recursos Humanos de TI PO8 – Controlar a Qualidade PO9 – Avaliar e Gerenciar os Riscos de TI PO10 – Gerenciar Projetos

Page 25: Governancati 110905200921-phpapp01-1

Processos – Aquisição e Implementação

AI1 – Identificar Soluções Automatizadas AI2 – Adquirir e Manter Softwares

Aplicativos AI3 – Adquirir e Manter Infraestrutura de

Tecnologia AI4 – Habilitar Operação e Uso AI5 – Adquirir Recursos de TI AI6 – Gerenciar Mudanças AI7 – Instalar e Validar Soluções e Mudanças

Page 26: Governancati 110905200921-phpapp01-1

Processos – Entrega e Suporte DS1 – Definir e Gerenciar Níveis de Serviços DS2 – Gerenciar Serviços Terceirizados DS3 – Gerenciar Desempenho e Capacidade DS4 – Assegurar Continuidade do Serviço DS5 – Garantir Segurança dos Sistemas DS6 – Identificar e Alocar Custos DS7 – Educar e Treinar Usuários DS8 – Gerenciar Central de Serviços e Incidentes DS9 – Gerenciar Configuração DS10 – Gerenciar Problemas DS11 – Gerenciar Dados DS12 – Gerenciar o Ambiente Físico DS13 – Gerenciar Operações

Page 27: Governancati 110905200921-phpapp01-1

Processos – Monitoramento e Avaliação

ME1 – Monitorar e Avaliar o Desempenho de TI

ME2 – Monitorar e Avaliar os Controles Internos

ME3 – Assegurar o Cumprimento de Normas Regulamentares

ME4 – Prover Governança de TI

Page 28: Governancati 110905200921-phpapp01-1

Atividades dos processos e tabela RACI

Responsible (Responsável) Accountable (Deve prestar contas) Consulted (Deve ser consultado) Informed (Deve ser informado)

Page 29: Governancati 110905200921-phpapp01-1

Modelo de Maturidade 0 - Inexistente — Não há um processo reconhecido. 1 - Inicial/Ad Hoc — Existe a evidência, porém não

há processo padrão. 2 – Repetido, mas intuitivo — Os mesmos

procedimentos são seguidos por diferentes pessoas, mas não há treinamento ou comunicação de processos padrões.

3 - Processo Definido — Processos são padronizados, documentados e comunicados através de treinamento.

4 - Gerenciado e Medido — Processos medidos e gerenciados. Ações são realizadas quando o processo não está sendo efetivo.

5 - Otimizado — Processos são refinados em nível de boas práticas. Baseia-se nos resultados de melhoria contínua e comparação de maturidade com outras empresas.

Page 30: Governancati 110905200921-phpapp01-1

Modelos de MaturidadeModelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as práticas da empresa com a indústria e padrões internacionais.

Page 31: Governancati 110905200921-phpapp01-1

Avaliando os Processos de TI

Page 32: Governancati 110905200921-phpapp01-1

Documento Relacionado com o CobiT

COBIT PORTUGUES http://www.isaca.org/Knowledge-C

enter/cobit/Documents/cobit41-portuguese.pdf

Certificações importantes para auditores (reconhecida mundialmente) :

Cobit Foundation e CISA - Certified Information Systems

Auditor