Governana de TI: O que COBIT ?

Agenda

Governana de TI Metodologia COBIT Relacionamento do COBIT com os modelos de melhores prticas Governana de TI em 2006 Estudo de Caso Referncias

Governana de TI

De acordo com o IT Governance Institute (2005) A governana de TI de responsabilidade de alta administrao (incluindo diretores e executivos), na liderana, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratgias e objetivos da organizao.

Governana de TI

Fatores motivadores da Governana de TI

Ambiente de Negcios Integrao Tecnolgica

Marcos de Regulao

Governana de TI

Segurana da Informao

Dependncia do Negcio em Relao TI

Governana de TI

Framework para Gerenciamento de TI

A Governana de TI, quando implementada de forma integrada:

Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnolgicos e suas informaes transformando-as em maximizao de benefcios, oportunidades de negcio e vantagem competitiva no mercado.

A estrutura do COBIT- Control Objectives for Information and Related Technology foi idealizada de forma a atender s necessidades de controle da organizao relacionadas Governana de TI.

Histrico do COBIT

O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado ISACA). Em 1998, foi publicada a sua 2 edio, contendo uma reviso nos objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para implementao. A 3 edio foi publicada em 2000 pelo IT Governance Institute ( ITGI).

Histrico do COBIT

O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de prticas e padres mais maduros. O COBIT est em conformidade com as regulamentaes, do foco mais acentuado na governana de TI, nos nveis mais elevados e da ampliao da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos, especialistas e auditores de TI). COBIT 4.1 -2007

Pblico Alvo do COBIT

Gesto Executiva

Gesto de Negcios
Gesto de TI Auditores

Objetivo do COBIT

Contribuir para o sucesso da entrega de produtos e servios de TI, a partir da perspectiva das necessidades do negcio, com um foco mais acentuado no controle que na execuo. Focos da Governana de TI, na viso do COBIT

Estrutura do COBIT

Consiste de um conjunto de 210 Controles, organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos sistemas e TI. Principais Caractersticas

Foco nos requisitos do negcio Orientao para uma abordagem de processos Utilizao de mecanismos de controles Direcionamento para a anlises das medies e indicadores de desempenho obtidos ao longo do tempo

Estrutura do COBIT

Foco no Negcio Recursos de TI Aplicaes, Informao, Infra-estrutura e Pessoas Critrios de Controle Eficincia,Eficcia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulaes( Compliance) e Confiabilidade.

Planejamento e Organizao

Aquisio e Implementao

Entrega e Suporte

Monitorao e Avaliao

Estrutura do COBIT

Controle atravs de objetivos

Os objetivos de controle do COBIT procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primria ou secundria cada requerimento do negcio em termos de informao, cobrindo todos os seus aspectos:

Primrio (P) Indica o nvel no qual o objetivo de controle definido tem impacto direto no critrio de informao. Secundrio (S) Indica o nvel no qual o objetivo de controle definido apenas satisfaz o critrio de informao, podendo ser em pouca extenso ou inclusive indiretamente. No Preenchimento Poderia ser aplicvel, todavia outro critrio de avaliao mais adequado a este processo.

Estrutura do COBIT

Controle atravs de objetivos

Objetivos de Controle PO9 Avaliar e Gerenciar os Riscos de TI

PO9 Avaliar e Gerenciar os Riscos de TI

Controle sobre o processo de TI de Avaliar e gerenciar os Riscos de Ti que satisfaa a exigncia do negcio de

Analisar e comunicar os riscos de TI e seu potencial impacto sobre os objetivos e processos do negcio
por focalizar um Desenvolvimento de um framework de gerenciamento de risco que est integrado ao negcio e o desenvolvimento de um framework de riscos operacionais, riscos de avaliao, mitigao de riscos e comunicao de riscos residuais.

Objetivos de Controle PO9 Avaliar e Gerenciar os Riscos de TI

atingido mediante Garantindo que o gerenciamento de risco est totalmente embutido no processo de gerenciamento, internamente e externamente, e consistentemente aplicado; Avaliao da performance dos riscos; Recomendao e comunicao dos planos de ao para correo dos riscos. e medido por Percentual de objetivos crticos de TI cobertos pela avaliao de riscos; Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos; Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.

Objetivos de Controle PO9 Avaliar e Gerenciar os Riscos de TI

Objetivos de Controles detalhados do PO9:

PO9.1 - Alinhamento do Gerenciamento de Riscos de Negcio e TI. PO9.2 - Estabelecimento do Contexto dos Riscos. PO9.3 - Identificao de eventos. PO9.4 - Aceitao de Riscos. PO9.5 - Resposta aos Riscos. PO9.6 - Manuteno e Monitorao do Plano de Ao de Riscos.

Estrutura do COBIT

Os processos de TI so organizados na documentao do modelo de forma a mostrar uma viso completa sobre como devem ser controlados, gerenciados e medidos. Cada um dos 34 processos de TI descrito atravs de seus componentes inter-relacionados Os componentes do COBIT so utilizados para fazer com que a TI seja orientada aos objetivos do negcio e cumpra seu papel na instituio

Estrutura do COBIT

Contedo dos processos de TI Objetivos de controle de alto nvel rea foco de governana, Requisitos de negcio( primrio, secundrio ou no aplicvel) Objetivos de controle detalhado Representando as atividades que os decompe Diretrizes para Gerenciamento Entradas e sada, Matriz de responsabilidades, Metas e Indicadores-chave de metas e desempenho. Modelo de Maturidade Utilizado para avaliar o processo em relao aos benchmarcks preestabelecidos.

COBIT- Componentes Inter-relacionados

Negcio requisitos informao Processos de TI Objetivos de Controle

Metas das Atividades

Diretrizes para Auditoria

Prticas de Controle

KPI

KGI

Modelos de Maturidade

Estrutura do COBIT

Modelos de Maturidade

Nvel 0 (Inexistente): Processos de gesto no so aplicados; Nvel 1 (Inicial): Processos so espordicos e desorganizados; Nvel 2 (Repetitivo): Processos seguem um padro de regularidade; Nvel 3 (Definido): Processos so documentados e comunicados; Nvel 4 (Gerenciado): Processos so monitorados e medidos; Nvel 5 (Otimizado): Boas prticas so seguidas e otimizadas.

Estrutura do COBIT

Metas e medies de desempenho Indicadores-Chave de Metas (KGIs)

Definem as medies que informam gerncia se um processo de TI atingiu os objetivos de negcio; Definem as medies que informam gerncia o quanto os processos de TI esto sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negcio.

Indicadores-Chave de Desempenho (KPIs)

Estrutura do COBIT

Fatores Crticos de Sucesso

Define as questes ou aes mais importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos de TI com o objetivo de negcio de suportar decises da administrao atravs do atingimento dos objetivos de TI e fazer frente s ameaas mediante a reduo da complexidade, o aumento da objetividade e a identificao de importantes fatores de deciso. 0 Inexistente A avaliao de risco para processos e decises de negcio no ocorre. A organizao no considera os impactos do negcio associados com as vulnerabilidades da segurana e com as incertezas do projeto do desenvolvimento. A gerncia de risco no foi identificada como relevante para adquirir solues de TI e entrega de servios de TI.

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

1 Inicial A organizao est ciente de suas responsabilidades e obrigaes legais e contratuais, mas considera os riscos de TI de uma maneira ad hoc, sem seguir processos ou polticas definidas. As avaliaes informais do projeto de risco ocorrem como determinado por cada projeto. As avaliaes de risco provavelmente no so identificadas especificamente dentro de um projeto planejado ou so atribudas aos gerentes especficos envolvidos no projeto.......

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

2 Repetvel mas Intuitivo H emergente compreendimento que riscos de TI so importantes e necessrios serem considerados. Alguma abordagem avaliao de risco existe, mas o processo ainda imaturo e em desenvolvimento. A avaliao est geralmente em um altonvel e tipicamente aplicada somente aos projetos principais.....

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

3 Processo Definido Uma ampla poltica de gesto de risco na organizao define quando e como conduzir as avaliaes de risco. A avaliao de risco segue um processo definido que est documentado e disponvel a toda a equipe de funcionrios treinada. As decises para seguir o processo e para receber o treinamento so deixadas discrio do indivduo.....

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

4 Gerenciado e Medido A avaliao do risco um procedimento padro e as excees para seguir o procedimento esto sendo observadas pela gerncia de TI. provvel que a gesto de risco de TI uma funo definida da gerncia com nvel de responsabilidade snior. O processo avanado e o risco avaliado no nvel do projeto individual e tambm regularmente no que diz respeito a operao de TI por toda a parte......

Diretrizes de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI

5 Otimizado A avaliao de risco foi desenvolvida ao estgio onde um amplo processo estruturado na organizao reforado, seguido regularmente e bem controlado. O brainstorming e a anlise de causas de risco, envolvendo os indivduos peritos, so aplicados atravs da organizao inteira. A captura, a anlise e relato de dados da gesto de risco so altamente automatizados......

Estrutura do Cubo COBIT

Recursos de TI so gerenciados por Processos de TI, para atingir Metas de TI, que por sua vez esto estreitamente ligadas aos Requisitos de Negcio.
Requisitos de Negcio

Processos de Ti KGI

KPI

Aplicaes Informao Infra-estrutura Pessoas

Implementando COBIT

Documentao Mapeamento dos processos de negcio Definio de polticas Identificao dos objetivos de controle Definio de diretrizes Implementao Divulgao Conscientizao Gesto dos processos Benchmarks das prticas de controle de TI (Modelo de Maturidade CMM) Fatores Crticos de Sucesso Indicadores de Objetivos Indicadores de Performance

Aplicabilidade do COBIT

Avaliao dos processos de TI Auditoria dos riscos operacionais de TI Implementao modular da Governana de TI Realizao de benchmarking Qualificao de fornecedores de TI

Relacionamento dos Modelos de Melhores Prticas

Nas duas ltimas dcadas vem surgindo e sendo elaborada uma srie de modelos de melhores prticas de TI Alguns desses modelos so originais e outros so derivados e/ou evoludos de outros modelos Exemplos:

CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCMSP, PMBOK, BSC, SAS-70

Agrupamento dos modelos das melhores prticas

Relacionamento do COBIT com os modelos de Servios de TI

Alguns processos do COBIT que possuem relao com servios de TI: PO9Avaliar e gerenciar riscos de TI: relacionado ao gerenciamento da continuidade dos servios e ao gerenciamento da segurana da informao; DS1Definir e gerenciar nveis de servio: relacionado a disciplina de gerenciamento de nveis de servio; DS3Gerenciar desempenho e capacidade: relacionado disciplina de gerenciamento de capacidade e disponibilidade;

Relacionamento do COBIT com modelos de Projetos

Alguns processos do COBIT que possuem relao com Projetos: AI2- Adquirir e manter software aplicativo: compreende o ciclo de vida de desenvolvimento de software que est representado no CMMI e na ISO/IEC 12207; AI5- Adquirir recursos de TI: todos os modelos abordam a questo de aquisio de recursos para os projetos;

Quando utilizar os modelos

A utilizao dos modelos, seja em carter total ou parcial, depender da estratgia de cada empresa - Preciso avaliar a TI de uma forma abrangente. Qual o modelo eu devo utilizar? Posso implantar o COBIT?

Governana de TI em 2006
Relatrio de Status Global da Governana de TI 2006

Relatrio de Status Global da Governana de TI

Fonte: IT Governance Global Status Report Pequisa publicada em 2006, efetuada em 2005 pela PwC sob orientao do ITGI / ISACA 695 entrevistados (nveis CEO e CIO) 623 escolhidos aleatoriamente 72 dentre os que adquiriram o COBIT

Principais Resultados

Cada vez mais TI mais crtico para o negcio

Para 87% dos participantes, IT muito importante para a execuo da estratgia corporativa. Para 63%, TI est regulamente ou sempre na agenda da mesa de reunio.

Administrao geral percebe a importncia de TI um pouco mais do que a prpria administrao de TI

Principais Resultados

Segurana no o problema mais importante de TI Staffing o problema de TI mais importante Outsourcing de IT est fora. Diferentes significados nos diversos setores existentes

Servios financeiros e de TI/Telecom apresentam melhor performance de Governana de TI Indstrias de manufaturas apresentam os piores resultados

Principais Resultados

Conhecimento do ISACA e ITGI tem aumentado

Triplicou em relao a pesquisa de 2003

Aumentou 50% em relao a pesquisa de 2003.

Conhecimento do COBIT tem aumentado.

Governana de TI (e COBIT) no facilmente implementado como originalmente estimado. COBIT est sendo utilizado por 10% da populao de TI

Cincia e Uso COBIT

Est voc pessoalmente ciente da existncia do COBIT?

Cincia e Uso COBIT

Se voc pessoalmente tem cincia da existncia do COBIT, voc pessoalmente um conhecedor do contedo do COBIT?

Cincia e Uso COBIT

Se voc pessoalmente um conhecedor do contedo do COBIT, ento que nvel de conhecimento voc possui do contedo?

Cincia e Uso COBIT

Sua organizao fez( em qualquer rea) uso corrente do COBIT?

Cincia e Uso COBIT

Que parte do COBIT sua organizao usa?

Cincia e Uso COBIT

O quo fcil ou difcil para voc implementar o framework COBIT ou parte do framework COBIT?

Cincia e Uso COBIT

Foi a lei Sarbanes-Oxley, ou outro lei relacionada ou regulao, a razo para introduzir o COBIT em sua organizao?

Estudo de Caso
Estudo de Caso: Accor Services Brasil

Perfil da Empresa

Accor Services- Grupo mundial de Hotelaria, Turismo e Servios com volume de negcios de R$ 7,0 bilhes em 2004. No Brasil, o Grupo Accor atua fortemente no ramo de hotelaria e servios diversificados, como os hotis Sofitel, Mercury, bis, Formule 1 e Parthenon Flats, e alinha de servios representada pelos produtos Ticket restaurante, Ticket alimentao

Histrico de TI

At 1999, a rea de TI apresentava a seguinte situao:

Cada aplicao focava um nico produto Os sistemas eram heterogneos e no estavam totalmente integrados A arquitetura de TI no atendia crescente necessidade de flexibilidade Altos custos de manuteno dos sistemas Infra-estrutura no estava totalmente alinhada com as necessidades do negcio Baixo valor agregado que TI fornecia ao negcio

Reformulao de TI

De 2000 a 2004, efetuada a implementao do ERP e CRM A rea de Infraestrutura de TI foi transferida para IBM em um contrato de full outsourcing e a parte de telecomunicaes com a Embratel As arquiteturas de TI passaram para a WEB, ao contrrio do cliente/servidor Foi criada uma rea de Segurana da Informao Em 2003, foi elaborado e implementado o BSC da rea de TI A partir de 2004, aes voltadas para Governana de Ti comearam a ser pensadas e implantadas

O Programa de Governana de Ti

O programa de desenvolveu em dois momentos. Em 2004, o primeiro momento consistiu nas seguintes aes: Reorganizao da gesto operacional de outsourcing Implantao do Escritrio de Projetos vinculado a diretoria de TI Implantao de ferramentas para a gesto de demandas e projetos Desenvolvimento da metodologia de gesto e de desenvolvimento de sistemas e processos

O Programa de Governana de Ti

O segundo momento aconteceu em 2005, com aes tais como:

Criao de um modelo de governana Gesto do Portfolio de Projetos pelo Escritrio de Projetos Forte capacitao dos recursos humanos em planejamento de projetos e em tecnologia

O Programa de Governana de Ti

Como a Governana de TI evoluiu ao longo do tempo, novas aes esto sendo planejadas para 2006:

Administrar a TI como se fosse uma empresa Implantar processos alinhados com a ITIL Mudar a forma de comunicao com o negcio

Resultados alcanados at o momento

O volume de negcio mais que duplicou nos ltimos cinco anos O custo de TI, proporcionalmente ao resultado, caiu em mais de 30% e com melhor nvel de servio A satisfao do usurio aumentou em mais de 50% de 2000 a 2004 O backlog diminuiu de 40% para 10%

Utilizao do COBIT- Exemplos

Banco Bradesco

Banco Nossa Caixa

Investimento de 1.2 bilhes no projeto Melhorias TI nos prximos 6 anos Em cerca de dez dias, depois de divulgado as prticas de Governana de TI, as aes da Nossa Caixa valorizaram mais de 4%, superando o Ibovespa, principal ndice de preos da bolsa, no mesmo perodo.

O Cobit tambm tem sido adotado pelas organizaes de TI de grandes bancos (Ita, Bradesco) e de grandes empresas (Grupo Votorantim, Petrobrs, Gerdau, Grupo Abril).

Referncias

IT Governance Global Status Report2006. http://www.itgi.org. Acessado em 09/10/2006. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferras. Implantando a Governana de TI - da Estratgia Gesto de Processos e Servios. Editora Brasport, 2006. WEILL, Peter; ROSS, Jeanne. Governana de Tecnologia da Informao. Editora M. Books, 2005. COBIT 4.0: Control Objectives, Management Guidelines and Maturity Models. Acessado em 09/10/2006.

Governana de TI

"Os computadores so incrivelmente rpidos, precisos e burros; os homens so incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da imaginao" Albert Einstein

Perguntas ?
Wamberg Oliveira

wamberg@gmail.com