Governança de TI

Tribunal de Contas da Unio
Secretaria de Tecnologia da Informao
Governana de Tecnologia da Informao:

conceitos, modelos e sua aplicao no TCU
Gledson Pompeu Corra da Costa
Misso da SETEC: Melhorar os resultados do TCU por meio da otimizao de

seus processos de trabalho e da participao nas aes de Controle Externo,
com aplicao de conhecimentos especializados em Tecnologia da Informao

Governana de TI
ITIL
Estrutura, conceitos e processos
CMMI, ISO 17799, PMBOK e outros modelos
Estrutura, conceitos e processos
COBIT
Conceitos e boas prticas
Viso geral
Integrao e aplicao dos modelos

Histrico e evoluo
Primeira verso em 1996
Information System Control and Audit Foundation (ISACF)
Compilao de referncias sobre controle e auditoria de TI
Segunda verso em 1998

Information System Control and Audit Association (ISACA)
Acrscimo e atualizao de referncias, kit de implantao
Terceira verso em 2000 (Cobit 3 Edio)

IT Governance Institute
Criao do Management Guidelines
Quarta verso em 2005 (Cobit 4.0)

Consolidao e detalhamento de instrumentos gerenciais
Refinamento em 2007 (Cobit 4.1)
Princpios bsicos
Objetivos de negcios requerem informaes
Informaes devem atender aos critrios de qualidade,
segurana e confiabilidade
Informaes so produzidas por recursos de TI

Dados, aplicaes, infra-estrutura e pessoas
Recursos de TI so gerenciados por processos

Definio de responsabilidades e metas
Processos devem ser controlados

Objetivos de controle, indicadores de desempenho e
indicadores de resultados
(IT Governance Institute, 2007)
Princpios bsicos
Caractersticas gerais
Foco no negcio
Alinhamento das metas de TI a metas de negcio
Orientado a processos
Organizao das atividades de TI em um modelo de
processos aplicvel de forma geral
Identificao de responsabilidades pelos processos nas
reas de negcio e TI
Baseado em controles
Definio dos objetivos de controle a serem
considerados pela gerncia
Dirigido por mtricas

Uso de indicadores e modelos de maturidade
Foco no negcio
Critrios da informao - Qualidade

Efetividade/Eficcia (Effectiveness)
A informao deve ser pertinente e relevante
para o processo de negcio
A informao deve ser entregue de forma
tempestiva, correta, consistente e em formato til
Eficincia
A informao deve ser provida por meio do uso
otimizado dos recursos
Critrios da informao - Segurana

Confidencialidade
A informao deve ser protegida contra acesso no
autorizado
Integridade
A informao deve ser precisa, completa, e vlida de
acordo com as expectativas e os valores do negcio
Disponibilidade
A informao deve estar disponvel quando requerido pelo
processo de negcio, agora e no futuro
Os recursos e capacidades associados informao
devem ser protegidos
Critrios da informao - Adequao

Conformidade
A informao obedece a leis, normas e contratos
aos quais o processo de negcio est sujeito, ou
seja, aos requisitos impostos ao negcio
Confiabilidade
A informao deve ser adequada para gerenciar
a operao do negcio e para a alta direo
exercer sua responsabilidade de gerao de
relatrios financeiros e de conformidade
Quais so os critrios mais

importantes para o TCU?
Recursos de TI
Aplicaes
Sistemas automatizados e procedimentos manuais que
processam informaes
Dados
Dados capturados, processados e gerados por sistemas de
informao, em qualquer formato usado pelo negcio
Infra-estrutura
Recursos tecnolgicos (hardware, sistemas operacionais,
sistemas de banco de dados, redes, etc.) e instalaes fsicas
que suportam o processamento das aplicaes
Pessoas
Equipe necessria para planejar, organizar, adquirir,
implementar, entregar, suportar, monitorar e avaliar sistemas de
informao e servios de TI
Orientado a processos
Domnios
Planejamento & Organizao
Trata dos aspectos estratgicos e tticos da organizao, e de
como a TI pode contribuir para os objetivos de negcios
Aquisio & Implementao

Relaciona as estratgias com os recursos e solues de TI, seu
desenvolvimento e aquisio
Entrega & Suporte

Trata da entrega dos servios requeridos, atentando para os
aspectos de segurana, treinamento e suporte
Monitoramento & Avaliao

Enderea aspectos de monitoramento do desempenho e de
avaliao de controles da TI.
Domnios e processos
ME1
ME2
ME3
ME4
PO1
PO2
PO3
PO4
monitorar e avaliar o desempenho da TI

monitorar e avaliar os controles internos
assegurar conformidade regulatria
prover governana de TI
PLANEJAMENTO E
ORGANIZAO
AQUISIO E
IMPLEMENTAO
MONITORAMENTO
E AVALIAO
DS1 definir e gerenciar nveis de servios
DS2 gerenciar servios de terceiros
DS3 gerenciar performance e capacidade
DS4 garantir continuidade dos servios
DS5 garantir segurana dos sistemas
DS6 identificar e alocar custos
DS7 educar e treinar usurios
DS8 gerenciar service desk e incidentes
DS9 gerenciar a configurao
DS10 gerenciar problemas
DS11 gerenciar dados
DS12 gerenciar o ambiente fsico
DS13 gerenciar a operao
definir um plano estratgico de TI

definir a arquitetura de informao
determinar a direo tecnolgica
definir processos, organizao e
relacionamentos da TI
PO5 gerenciar o investimento em TI
PO6 comunicar metas e diretivas gerenciais
PO7 gerenciar recursos humanos de TI
PO8 gerenciar qualidade
PO9 avaliar e gerenciar riscos
PO10 gerenciar projetos
ENTREGA E
SUPORTE
AI1
AI2
AI3
AI4
AI5
AI6
AI7
identificar solues
adquirir e manter aplicaes
adquirir e manter infraestrutura tecnolgica
viabilizar operao e uso
adquirir recursos de TI
gerenciar mudanas
instalar e certificar sistemas e mudanas
Baseado em controles
Polticas, procedimentos, prticas e estruturas
organizacionais para garantir que
Os objetivos de negcio sero alcanados
Os eventos indesejveis sero prevenidos, se
possvel, ou ento detectados e corrigidos
Alm de controles gerais, aplicveis a todos

os processos, cada processo possui seus
prprios objetivos de controle
Declaraes dos resultados desejados ou do
propsito a ser alcanado pela implementao de
controles sobre uma atividade
Controles gerais de processos
PC1 Process Owner

Cada processo deve ter um responsvel
PC2 Repeatability
Os processos devem ser executados de forma consistente
PC3 Goals and Objectives

Os processos devem ter objetivos e metas claras
PC4 Roles and Responsibilities

A responsabilidade pela execuo das atividades dos processos
deve ser atribuda a papis especficos
PC5 Process Performance

Os processos devem ter seu desempenho medido
PC6 Policy, Plans and Procedures

Polticas, planos e procedimentos associados aos processos devem
ser documentados, revisados, mantidos atualizados e comunicados
para os envolvidos
Controles gerais de aplicao
AC1 Source Data Preparation and Authorisation

Os documentos de origem devem ser preparados e aprovados segundo o
critrio de segregao de funes
AC2 Source Data Collection and Entry

Os dados devem ser almentados de forma tempestiva por pessoas
autorizadas, e eventuais correes no devem comprometer os nveis de
autorizao do sistema
AC3 Accuracy, Completeness and Authenticity Checks

Todas as transaes devem ser precisas, completas e vlidas
AC4 Processing Integrity and Validity

Os dados devem ser mantidos ntegros e vlidos durante todo o ciclo de
processamento
AC5 Output Review, Reconciliation and Error Handling

As sadas do sistema devem ser verificadas quanto preciso, protegidas
durante a transmisso, entregues aos destinatrios corretos e utilizadas
corretamente
AC6 Transaction Authentication and Integrity

Os dados passados entre aplicaes ou reas da organizao devem ser
verificados quanto autenticidade e integridade
Responsabilidade pelos
controles
Como esto nossos controles?

Controles de negcio
Controles de TI
Controles de aplicaes
Dirigido por mtricas

Modelos de maturidade
Possibilitam benchmarking e identificao das
necessidades de melhoria
Metas e indicadores de processos

Demonstram como os processos atendem s
metas de negcios e de TI, a partir da
mensurao de indicadores baseados no BSC
Metas de atividades
Direcionam o desempenho efetivo dos
processos
Modelo de maturidade
Os nveis de maturidade descrevem perfis de
processos de TI que possam ser reconhecidos
pelas organizaes
Esses nveis no estabelecem patamares evolutivos,
onde no se pode alcanar um nvel superior sem antes
passar pelos inferiores
A partir dos nveis de maturidade descritos para

cada um dos 34 processos, possvel identificar
O desempenho real da organizao (onde estamos)
A situao atual de organizaes similares
(benchmarking)
Os avanos possibilitados pelos padres e modelos
disponveis no mercado
A meta para melhoria do processo da organizao
(onde queremos estar)
Nvel 0 Inexistente
Ausncia de processos identificveis
A organizao no reconhece que existe uma
questo a ser tratada
Nvel 1 Inicial/Ad-hoc
A organizao reconhece que existe uma
questo a ser tratada
Abordagens improvisadas tendem a ser
aplicadas a situaes individuais
A gerncia do processo desorganizada
Nvel 2 Repetvel mas intuitivo

Os processos se desenvolveram de modo que procedimentos
similares so executados por pessoas diferentes que realizam
a mesma tarefa
No existe treinamento ou repasse formal de procedimentos,
a responsabilidade deixada a cargo do indivduo
Existe alta dependncia do conhecimento individual, o que
gera grande probabilidade de falhas
Nvel 3 Processo definido

Procedimentos padronizados, documentados e comunicados
por meio de treinamentos
Cabe ao indivduo seguir esses processos; pouco provvel
que desvios sejam detectados
Os procedimentos no so sofisticados, mas apenas
formalizao de prticas existentes
Nvel 4 Gerenciado e mensurvel
possvel monitorar e medir a conformidade de
procedimentos, para agir quando os processos no
estiverem funcionando de forma eficaz
Os processos sofrem melhorias constantes e
estabelecem boas prticas
Ferramentas automatizadas so usadas de forma
limitada ou fragmentada
Nvel 5 Otimizado
Os processos foram refinados at alcanar as melhores
prticas, com base no resultado de melhoria contnua e
comparaes com outras organizaes
A TI usada para automatizar os fluxos de trabalho,
provendo ferramentas para aumentar a qualidade e
efetividade dos processos
Onde queremos chegar?
Metas e indicadores
Metas e indicadores so definidos em trs nveis
Metas e indicadores de TI, que definem o que o
negcio espera da TI
Metas e indicadores de processos, que definem o que
cada processo de TI deve entregar para suportar as
metas de TI
Metas e indicadores de atividades, que definem o que
deve ser realizado no mbito de cada processo para
alcanar o desempenho esperado
So definidos dois tipos de indicadores

Mtricas de resultado (antigo KGI), que indicam se as
metas foram alcanadas
Indicadores de desempenho (antigo KPI), que indicam
se as metas podero ser alcanadas
Metas e indicadores
Metas e indicadores
Balanced Scorecard para TI

Precisamos de um?
Estamos prontos para isso?
H os insumos necessrios?
Estrutura conceitual bsica
COBIT e Governana de TI
Alinhamento
estratgico
Agregao
de valor
Gerncia de
riscos
Gerncia de
recursos
Medio de
desempenho
Metas
Indicadores
Prticas
Modelos de
maturidade
= Foco primrio
= Foco secundrio
= No se aplica
Viso geral do modelo
Detalhamento do contedo
Para cada processo, o
COBIT apresenta
Objetivos do processo
Critrios de informao
atendidos
Recursos de TI
gerenciados
reas de governana
afetadas
Metas de TI associadas
Metas do processo
Metas de atividades
Indicadores
Objetivos de controle
Relao entre processos
(entradas e sadas)
Matriz RACI (Responsible,
Accountable, Consulted,
Informed)
Metas e indicadores
Utilizao do contedo
As entradas indicam o que o dono do processo deve
requerer dos outros processos
Os objetivos de controle descrevem o que o dono do
processo precisa garantir que seja feito
A matriz RACI define o que deve ser delegado pelo dono
do processo e para quem
As sadas indicam quais produtos o dono do processo
deve entregar e para quais processos
As metas e indicadores mostram como o processo deve
ser monitorado e avaliado
O modelo de maturidade mostra o que pode ser feito
para melhorar o processo
Exemplo do contedo
Planejamento e Organizao
Definir um plano estratgico de TI
Domnios e processos
Planejamento e organizao
PO1 Definir um plano estratgico de TI

PO2 Definir a arquitetura de informao
PO3 Determinar a direo tecnolgica
PO4 Definir processos, organizao e relacionamentos
PO5 Gerenciar o investimento em TI
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar riscos
PO10 Gerenciar projetos
Aquisio e implementao
AI1
AI2
AI3
AI4
AI5
AI6
AI7
Identificar solues
Adquirir e manter aplicaes
Adquirir e manter infraestrutura tecnolgica
Viabilizar operao e uso
Adquirir recursos de TI
Gerenciar mudanas
Instalar e certificar sistemas e mudanas
Entrega e suporte
DS1 Definir e gerenciar nveis de servios

DS2 Gerenciar servios de terceiros
DS3 Gerenciar performance e capacidade
DS4 Garantir continuidade dos servios
DS5 Garantir segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar a operao
Monitoramento e avaliao
ME1
ME2
ME3
ME4
Monitorar e avaliar o desempenho da TI

Monitorar e avaliar os controles internos
Assegurar conformidade regulatria
Prover governana de TI
Cobit x Sarbanes-Oxley
AI2 Adquirir e manter aplicaes

AI3 Adquirir e manter infraestrutura tecnolgica
AI4 Viabilizar operao e uso
AI6 Gerenciar mudanas
AI7 Instalar e certificar sistemas e mudanas
DS1 Definir e gerenciar nveis de servios
DS2 Gerenciar servios de terceiros
DS5 Garantir segurana dos sistemas
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar o ambiente fsico
DS13 Gerenciar a operao
Quais processos so mais

importantes para o TCU?


Gledson Pompeu Corra da Costa
Misso da SETEC: Melhorar os resultados do TCU por meio da otimizao de

seus processos de trabalho e da participao nas aes de Controle Externo,
com aplicao de conhecimentos especializados em Tecnologia da Informao

Governança de TI

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Governança de TI

Enviado por

Direitos autorais:

Formatos disponíveis

Tribunal de Contas da Unio

Secretaria de Tecnologia da Informao

Governana de Tecnologia da Informao:

Misso da SETEC: Melhorar os resultados do TCU por meio da otimizao de

Governana de Tecnologia da Informao:

Estrutura, conceitos e processos

CMMI, ISO 17799, PMBOK e outros modelos

Estrutura, conceitos e processos

Conceitos e boas prticas

Integrao e aplicao dos modelos

Segunda verso em 1998

Terceira verso em 2000 (Cobit 3 Edio)

Quarta verso em 2005 (Cobit 4.0)

Refinamento em 2007 (Cobit 4.1)

Informaes so produzidas por recursos de TI

Recursos de TI so gerenciados por processos

Processos devem ser controlados

(IT Governance Institute, 2007)

(IT Governance Institute, 2007)

Dirigido por mtricas

(IT Governance Institute, 2007)

Critrios da informao - Qualidade

(IT Governance Institute, 2007)

Critrios da informao - Segurana

Critrios da informao - Adequao

Quais so os critrios mais

(IT Governance Institute, 2007)

Aquisio & Implementao

Entrega & Suporte

Monitoramento & Avaliao

monitorar e avaliar o desempenho da TI

definir um plano estratgico de TI

(IT Governance Institute, 2007)

Alm de controles gerais, aplicveis a todos

Controles gerais de processos

PC1 Process Owner

PC3 Goals and Objectives

PC4 Roles and Responsibilities

PC5 Process Performance

PC6 Policy, Plans and Procedures

Controles gerais de aplicao

AC1 Source Data Preparation and Authorisation

AC2 Source Data Collection and Entry

AC3 Accuracy, Completeness and Authenticity Checks

AC4 Processing Integrity and Validity

AC5 Output Review, Reconciliation and Error Handling

AC6 Transaction Authentication and Integrity

(IT Governance Institute, 2007)

Como esto nossos controles?

Dirigido por mtricas

Metas e indicadores de processos

A partir dos nveis de maturidade descritos para

(IT Governance Institute, 2007)

Nvel 2 Repetvel mas intuitivo

Nvel 3 Processo definido

Onde queremos chegar?

(IT Governance Institute, 2007)

So definidos dois tipos de indicadores

(IT Governance Institute, 2007)

(IT Governance Institute, 2007)

Balanced Scorecard para TI

Estrutura conceitual bsica

(IT Governance Institute, 2007)

Viso geral do modelo