Mdulo 2

Relacionamento entre os diversos padres de mercado:

COBIT, ITIL, ISO, COSO etc., o que governana de TI e
exerccios.

Modelo de Governana de TI
Modelos de Auditoria

Sarbanes

COSO

Oxley

US Securities &
Exchange
Commission

Sistema de Qualidade

Planejamento de TI

Gesto de Projetos

Segurana da Informao

ISO 20000

Desenvolvimento de
Aplicaes

ITIL

Gesto de Servios

COBIT
ISO

6 Sigma

Operaes da TI
CMM

ISO 27001

PMBOK (PMI)

BSC

Foco de atuao de cada padro

OOCOBIT
COBITest
estposicionado
posicionadono
nocentro
centro
ajudando
a
integrar
parte
tcnica,
ajudando a integrar parte tcnica,prticas
prticas

O que

especficas
especficascom
comoonegcio
negciode
deforma
formageral.
geral.

Por que usar

estruturas?
J existe

Estratgico

Estruturado

Controle
Processo

Melhores Prticas
Execuo
Processo
Instruo
Trabalho

Compartilhamento
de Conhecimento
Melhores prticas internas

Auditvel
Como

Domnios de TI

Benefcios dos padres

Existem vrias razes para adotar um padro j definido:
A roda j existe: tempo dinheiro! Por que gastar tempo e esforo para desenvolver uma
nova estrutura baseada na experincia limitada da empresa ao invs de adotar um padro
internacional j existente?
Estruturado: os modelos de estrutura fornecem uma excelente base para que as
organizaes possam seguir.
Melhores prticas: os padres foram desenvolvidos ao longo do tempo a avaliados por
centenas de pessoas e organizaes em todo o mundo. Os anos de experincia nos
modelos no so apenas de uma empresa.
Compartilhamento de Conhecimento: seguindo os padres, as pessoas podem
compartilhar as mesmas idias entre as organizaes atravs de grupos de usurios, sites,
revistas, livros e assim por diante.
Auditvel: sem padres se torna difcil para os auditores, especialmente para os auditores
que so terceirizados, avaliar os controles, portanto muito melhor que os auditores
possam seguir padres ao invs de utilizar prticas de auditorias ainda em fase inicial de
uso.

Relao com o COSO

O COSO declara que o controle interno um processo estabelecido pelo conselho, gerentes
e outros, desenhado para fornecer uma segurana razovel relacionada a realizao dos
objetivos declarados. uma estrutura aplicada para auditar processos em grandes
empresas e em qualquer atividade.
O COBIT apresenta controles de TI se
preocupando com a informao em geral
- no apenas informao financeira
que necessria para suportar os
requisitos de negcio e os recursos e
processos associados com TI.
Da mesma forma que COSO identifica
5 componentes de controle para alcanar
os objetivos de reporte financeiro, o
COBIT proporciona um guia detalhado
para TI.
A diferena maior que o COSO
genrico, pode ser utilizado em qualquer
atividade da empresa, enquanto que o
COBIT voltado somente para a rea de
TI.

Objetivos atendidos pelo COBIT

Relao com o ITIL

Tanto o ITIL como o COBIT so excelentes ferramentas para a TI aperfeioar processos
e alinhar as funes de TI com o negcio e requisitos regulatrios. Em cada processo deve
se utilizar as duas ferramentas juntas. Quando isto acontece, a empresa tem dois ganhos:
a curto prazo ter um esforo de trabalho nico e a longo prazo uma soluo de processo
e conformidade para TI.
Vejamos Principais caractersticas entre os dois:

O COBIT fornece uma estrutura que cobre todas as atividades de TI;

O ITIL mais focado no gerenciamento de Servios (domnio de Entrega e Suporte do
COBIT);

O ITIL mais detalhado e orientado a processos;

O COBIT ajuda a vincular as melhores prticas do ITIL aos os requisitos de negcio
e aos responsveis do processo de TI;

As mtricas do COBIT podem definir critrios de SLA (nveis de servio);

O COBIT e o ITIL no so mutuamente exclusivos e podem ser combinados para
uma boa Governana de TI, controle e melhores prticas para o gerenciamento de TI.

Relao com o ITIL

O diagrama abaixo apresenta os principais livros da biblioteca do ITIL e o relacionamento com os
objetivos de controle dos 4 domnios do COBIT. Em cada livro da biblioteca do ITIL existe Objetivos de
Controle do COBIT que so aplicveis aos processos do ITIL.

Melhoria Contnua em TI
A melhoria continua de TI exige uma seqncia de aes e os padres como COBIT,
COSO, ITIL, ISO 20000-1, ISO 27001/17799, CMM, PMI apiam a organizao nesta tarefa
ISO 27001, SOX,

Para onde
queremos ir?

Viso e Objetivos

Onde estamos

Avaliaes

Como
chegaremos l?

Desenho e Gesto
de TI

Como saberemos
se chegamos?

Mtricas

ISO 20000, ISO 9001

COBIT, COSO

ITIL, ISOs, PMI, CMM

ITIL, COBIT, ISOs

O que Governana de TI?

um conjunto de estruturas e processos que visa garantir que TI suporte e maximize
adequadamente os objetivos e estratgias de negcio da organizao, adicionando
valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI.
ESTRUTURA TPICA

Conselho
Presidncia

Superintendncia
Diretorias

Princpios bsicos:

Nvel Estratgico

Nvel Executivo

Responsabilidade corporativa:
pensar e agir pela perenidade
da organizao, com
responsabilidade social e
ambiental
Prestao de Contas: obrigao
de prestar contas
Equidade: tratamento justo e
igualitrio

Gerncia de TI e negcios

Nvel Gerencial

Transparncia: o desejo de
informar

Governana de TI faz parte da Governana Corporativa

O aumento da demanda por transparncia e conformidade faz com que Conselho
Administrativo e Executivos estendam a governana para a TI e forneam liderana,
estruturas organizacionais e processos que assegurem que as estratgicas de TI
sustentem e atendam as estratgias e objetivos da empresa. A Governana de TI no um
disciplina isolada, ela parte integral da governana corporativa.
As responsabilidades na Governana de TI
fazem parte da estrutura de governana
corporativa e devem fazer parte da agenda
de planejamento estratgico dos diretores da
empresa. De forma mais simples, devido a
operao do negcio depender de TI, a
governana deve ser efetiva, transparente e
responsvel. Desta forma possvel
assegurar que as expectativas sobre TI sejam
alcanadas e os riscos sobre TI sejam
gerenciados.

Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

Governana
Corporativa

Governana
de TI

Por que a Governana de TI importante?

Porque a estrutura em Governana de TI ir garantir que os objetivos acordados
para TI, controles de gesto e efetivo monitoramento do desempenho para manter
os resultados sobre controle e evitar resultados indesejados estejam implantados.

As organizaes requerem uma boa estrutura para gerenciar estes e outros
desafios como:

Segurana
Alinhar
TI com o negcio

Custo/benefcio

Manter a TI
funcionando
Gerenciar a
complexidade

Conformidade
com requisitos
regulatrios

Diferena entre Gerenciamento de TI e Governana de TI

A diferena entre o Gerenciamento de Servios em TI e a Governana de TI tem sido
assunto de confuso e mitos. O Gerenciamento de TI foca em fornecer servios de TI e
produtos de forma eficiente e eficaz, e o gerenciamento das operaes de TI, j a
Governana de TI se preocupa com as operaes e performance dos negcios,
transformando e posicionando a TI para alcanar os requisitos de negcio.
Orientao ao
Negcio
Externo

Governana
de TI
Interno

Gerenciamento
de TI
Presente

Futuro

Governana de TI e Gerenciamento de TI

Orientao ao
Tempo

Diferena entre Gerenciamento de TI e Governana de TI

Como introduzido anteriormente, uma das metas da Governana de TI se alinhar com os
objetivos de negcio definidos pela Governana Corporativa. Estas metas organizacionais
de alto nvel e objetivos so usados como entrada para gerar as metas, mtricas de
objetivos e performance necessrias para gerenciar a TI eficientemente. Ao mesmo tempo,
os processos de auditoria so implementados para medir e analisar a performance da
organizao e dos processos de TI.

Objetivos de Negcio

Governana de TI

Governa
e Audita

Gesto
do
Sistema
de TI

Servios
Gerencia
e
Controla

Infraestrutura

Questes a serem respondidas

Uma Governana de TI efetiva visa responder
adequadamente as questes a seguir.
 A TI est sendo bem gerenciada?

Ns estamos fazendo as coisas certas?

Ns estamos fazendo elas da melhor maneira?
Elas esto sendo bem feitas?
Ns estamos alcanando os benefcios
desejados?

 A TI est sendo controlada de forma apropriada

para manter os requisitos de integridade,
segurana e disponibilidade?

Exerccios
1) Como o COBIT pode auxiliar a manter a conformidade com a Sarbanes-Oxley?
2) O que a Sarbanes-Oxley?
Estes exerccios podem cair na prova de certificao para o COBIT, pense bastante antes de
ver a resposta na prxima pgina.

Resposta dos exerccios

1) O COBIT possui processos que auxiliam a manter a conformidade com a Sarbanes:

Adquirir e manter software aplicativo;

Adquirir e manter arquitetura tecnolgica;

Desenvolver e manter procedimentos de TI;

Instalar e certificar solues e mudanas;

Gerenciar mudanas;

Definir e gerenciar nveis de servio;

Gerenciar servios de terceiros;

Assegurar a segurana dos sistemas;

Gerenciar as configuraes;

Gerenciar problemas;

Gerenciar dados;

Gerenciar operaes.

2) A Sarbanes uma lei que faz com que os executivos sejam responsveis por estabelecer,
avaliar e monitorar a eficcia dos controles internos relacionados a relatrios financeiros.
Para muitas organizaes TI ser crucial para alcanar estes objetivos, sendo responsvel
por assegurar a qualidade e integridade das informaes geradas pelo sistema.

Famlia de Produtos do COBIT 4.0

Acesse o site www.isaca.org que
voc poder analisar em mais
detalhes o conjunto do material

Board briefing on IT
Governance, 2 Edition

Prticas e
responsabilidades
Conselho e executivos

Management

Medidas de desempenho

Guidelines

Objetivos de atividades
Modelos de maturidade

Gerncia
e negcios
Gestode
do TI
negcio
e da tecnologia
O que estrutura

Como garantir a estrutura

Como implementar

de controle de TI

de controle de TI

TI na organizao

Profissionais de governana, garantia, controle e segurana

COBIT Framework

Controle Objectives

Control Prtices

IT Assurence Guide

IT Control Objectives
for Sarbanes- Oxley

IT Governance
Implementation Guide
COBIT Quickstart

COBIT Security
Baseline

Famlia de produtos COBIT

COBIT Online

Prticas de
Controle

COBIT Quickstart

Guia de
Implementao
de Governana
de TI

COBIT Security
Baseline

COBIT Online
O COBIT online amplia as possibilidades de pesquisa e comparao para evitar riscos
empresariais, satisfazer necessidades de controle e obter informaes sobre aspectos
tcnicos. O COBIT online uma base de recursos na Internet, onde possvel baixar
diversos arquivos em PDF, postar dvidas na comunidade online, obter indicadores para os
objetivos de controles e realizar benchmark para avaliao de maturidade dos processos
com outras empresas do setor.
O COBIT Online est disponvel a partir do site www.isaca.org . Para obter acesso
necessrio ser membro do ISACA ou comprar uma inscrio de acesso.

COBIT Quickstart
O COBIT Quickstart possibilita voc adotar facilmente os elementos mais importantes do
COBIT. uma verso resumida dos recursos do COBIT, representa 20% do contedo. O
COBIT Quickstart foca nos Processos de TI, Objetivos de Controle e mtricas e ajuda os
usurios a ganhar rapidamente os benefcios do COBIT.

direcionado para empresas de pequeno e mdio porte onde TI no estratgica ou
absolutamente crtica para a sobrevivncia da empresa;

Fornece uma seleo dos itens bsicos do COBIT;

Fornece um fundamento das principais aes a executar;

Est disponvel a partir do COBIT online.

Guia de Implementao de Governana de TI

O Guia de Implementao de Governana de TI um roadmap para o Conselho de
Administrao, gerncia executiva, profissionais de TI e controle, profissionais de auditoria
em TI e gerentes de conformidade.
Este guia fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas
para implementar um ciclo de vida de Governana de TI contnuo usando o COBIT.
Este guia traz uma metodologia genrica nas seguintes reas:

Por que a Governana de TI importante e por que as
organizaes devem implement-la.

Como o COBIT est vinculado com a Governana de
TI e como o COBIT possibilita a implementao da
Governana de TI.

Partes Interessadas que tem interesse na Governana de TI.

Um roadmap para implementar a Governana de TI
usando o COBIT.

Cobit Security Baseline

O COBIT Security Baseline ajuda uma organizao a focar nos passos essenciais para
extrair as informaes mais importantes relacionadas a segurana da estrutura do COBIT.
Este documento uma destilao do COBIT para vrios grupos de usurios, sugerindo os
passos de controles mnimos para cada processo e objetivos de controle detalhados do
COBIT. Inclui tambm um mapa de controles relacionados com a ISO 17799.
um kit de sobrevivncia para os seguintes grupos de usurios:

Profissionais de TI

Diretores

Auditores

Gerentes

Kit de sobrevivncia

Prticas de Controle
As prticas de controle descrevem quase 1.600 Prticas de Controle, que estende a
hierarquia de Domnio-Processo-Objetivo de Controle. So mecanismos que do suporte
para alcanar os objetivos de controle, como preveno, deteco e correo de eventos
no desejados atravs do uso adequado dos recursos, gerenciamento de riscos apropriado
e alinhamento de TI com o negcio.
As prticas de controle detalham:

Como cada processo pode ajudar a controlar e a
gerenciar riscos;

Gerenciamento de riscos atravs da reduo da probabilidade
das conseqncias adversas das ameaas e vulnerabilidades;

Aumento dos benefcios atravs dos ganhos de eficincia e/ou
eficcia;

Indicadores de performance das Diretrizes de Gerenciamento
do COBIT;

Existem pelo menos duas prticas de controle detalhadas para
cada objetivo de controle.

Fim do Mdulo 2