Governana, Gesto, Risco, Conformidade e Valor - GGRCV

16 de Maro de 2012
Ian Lawrence Webster, CGEIT, CRISC Presidente ISACA Captulo Braslia

ISACA
A ISACA mundial constituda por pessoas em busca de uma fonte centralizada de informaes e orientaes no crescente campo de controles de auditoria de sistemas computacionais. Inicialmente conhecida como uma Associao de Auditoria e Controle de Sistemas de Informao (traduo de Sistema de Informao de Auditoria e Controle de Associao ISACA), atualmente sua sigla reflete um amplo leque de profissionais de governana de TI. Tem 95.000 membros, que vivem e trabalham em mais de 160 pases, sejam auditores, consultores, educadores, profissionais de segurana, reguladores, diretores de informao e auditores internos.

ISACA Braslia Chapter

Constitudo em novembro/2008, o Captulo Braslia, apesar de sua inata afiliao com a Associao internacional, uma entidade sem fins lucrativos e independente de qualquer outra associao, empresa ou entidade. Com foco nos campos inter-relacionados de Governana de TI, auditoria de sistemas de informao, segurana da informao, controle e conformidade, so objetivos do Captulo: Promover a educao e apoiar e expandir o conhecimento e as habilidades de seus membros; Encorajar o compartilhamento aberto de tcnicas, estratgias e resoluo de problemas; Promover comunicao adequada para manter os membros informados sobre eventos; Comunicar aos gerentes, auditores, universidades e profissionais de sistemas de informao a importncia de estabelecer controles necessrios para garantir a adequada governana de TI e a efetiva organizao e utilizao de recursos de TI; Promover certificaes profissionais da Associao e de Governana de TI.

COBIT: Agora, uma estrutura de negcios completo para a Governance of Enterprise IT (GEIT)

Governance of Enterprise IT

Evolution of scope

IT Governance Management Control Risk IT Audit

COBIT1 COBIT2 COBIT3
(2009)

Val IT 2.0
(2008)

COBIT4.0/4.1 COBIT 5

1996

1998

2000

2005/7

2012

2012 ISACA.

All rights reserved.

COBIT 5
O COBIT 5 um grande avano estratgico, atualizando a nova gerao de frameworks da ISACA no que diz respeito ao assunto Governana Corporativa de TI. Baseado em mais de 15 anos de uso prtico e aplicao do COBIT por muitas empresas e usurios de negcio, de TI, de segurana e comunidades de auditoria, o COBIT 5 est sendo projetado para atender as atuais necessidades dos dirigentes de negcio e permanecer alinhado com os atuais pensamentos em Governana Corporativa e as tcnicas de Gesto de TI.

Five COBIT 5 Principles

O Cincos Principios do COBIT: 1. Atender as Necessidades do Stakeholder 2. Cobrir ponto o ponto ao Negcio 3. Aplicar um Framework Integrado e singular 4. Facilitar uma abordagem Holistico 5. Separar Governana da Gesto

2012 ISACA.

All rights reserved.

COBIT 5 - Objetivos
COBIT 4.1 Control Objectives

Mapear

Val IT 2 Key Management Practices

Mapear

Prover a renovao e fortalecimento do framework de governana e gesto das informaes da organizao e tecnologia relacionada, aproveitando o framework COBIT j aceito mundialmente, linkando, reforando, integrando e consolidando todos os principais frameworks e guias da ISACA
COBIT 5 Management & Governance Practices

Risk IT Management Practices Business Model for Information Security BMIS Information Technology Assurance Framework - ITAF

Mapear

Taking Governance Forward Mapear Board Briefing

Mapear

Estrutura de Governana e Gesto

Um framework ponto-ao-ponto para todo o Negcio, endereando a governana e a gesto da informao das tecnologia relacionadas. O Framework, COBIT 5: Guia de Referencia de Processos e Guia de Implementao. Por essa razo, o framework do COBIT 5 deixa claro a distino entre governana e gesto. As duas disciplinas incluem os tipos de atividades que necessitam de diferentes estruturas organizacionais e servem a propsitos diferentes.

Governana e Gesto
O termo Governana derivado do verbo Grego Kuberno significando para dirigir. Governana refere-se a todas possibilidades e mecanismos que ajudam as mltiplas partes do ngocio a avaliar condies e opes; determinando tambm a direo; o monitorarmento , a conformidade, o desempenho e o progresso, alinhando, desta forma, os planos e os objetivos do ngocio, visando satisfazer as metas especficas da organizao.

Governana

A Gesto sempre diferenciada da governana , ou seja, h distino entre comprometido (governana) e envolvido (gesto). Gesto implica na utilizao criteriosa de meios (recursos, pessoas, processos, prticas) para alcanar um fim identificado. um meio ou instrumento pelo qual o rgo de administrao consegue um resultado ou objetivo. A Gesto atua sobre o planejamento, construo, organizao e controle das atividades operacionais e se alinha com a direo definida pelo rgo de administrao.

Gesto

Principios COBIT 5
Principio 1: Cobit 5 Integrator Framework -architecture Principios 2 e 3: Stakeholder Valuedriven and Business - focused Principio 4: Cobit 5 Enablers for Governance and Management Principio 5: Governance - and Management - structured
COBIT 5 um framework integrador porque: Reune a orientao da ISACA existente em matria de governana e gesto de empresas de TI Alinha as normas mais recentes com outras normas e estruturas Fornece uma arquitetura simples para a estruturao de materiais de orientao e produz um resultado consistente no produto final

COBIT 5 Familia de Produtos

2012 ISACA.

All rights reserved.

11

Arquitetura do COBIT 5
Stakeholder Needs
Governance Objectives: Value
(Benefits, Risk, Resource)

Existing ISACA Guidance

(COBIT, Val IT, Risk IT, BMIS, )

Other Standards and Frameworks

COBIT 5 Enablers
Processes Service Capabilities Culture, Ethics, Behaviour

Skills and Competencies

Organisational Structures

Principles and Policies

Information

COBIT 5 Knowledge Base Current guidance and contents Structure for future contents

Knowledge Base Content Filter

COBIT 5 Product Family

COBIT 5: The Framework COBIT 5 Enabler Guides
COBIT 5 : Process Reference Guide Other Enabler Guidance

COBIT 5 Practice Guides

COBIT 5 : Framework Implementation Guide Other Practice Guides

COBIT 5 for Security

COBIT 5 Online Collaborative Environment

Objetivos da Governana
Val IT, Risk IT, BMIS, ITAF, Board Briefing,Taking Governance Forward, ITIL, Padres ISO

Value Creation (Criao de valor) significa realizar benefcios otimizando custos, recursos e riscos.

Empresas existem para criar valor para seus stakeholders, de modo que o objetivo de governana para qualquer empresa comercial ou no- value creation.

Toda organizao atua em um contexto diferente; este contexto determinado por fatores externos (mercado, indstria, geopoltica, etc) e fatores internos (cultura, organizao, apetite pelo risco, etc), isso exige que cada organizao construa seu prprio sitema personalizado de governana e gesto. A estrutura do COBIT 5, o modelo de gesto e governana e os modelos Enablers (facilitador) se aplicam a todos os contextos e facilitam essa personalizao.

Governana em COBIT 5
Governance Enablers Governance enablers so os recursos organizacionais, tais como frameworks, princpios, estrutura, processos e prticas, para o qual ou atravs do qual ao dirigida e objetivos podem ser atingidos. Facilitadores tambm incluem recursos da empresa, por exemplo, capacidades de servio (infraestrutura de TI, aplicaes, etc), pessoas e informaes.

Governance Scope A Governana pode ser aplicada a toda a empresa, uma entidade, um ativo tangvel ou intangvel, etc Ou seja, possvel definir diferentes vises da empresa em que a governaa aplicada.

Atender as Necessidades do Stakeholder

Necessidades das partes interessadas tm de ser transformado em uma estratgia de recurso da negcio. Os 5 metas em cascata do COBIT traduz as necessidades das partes interessadas em metas especficas, acionveis e personalizadas dentro do contexto da empresa, relacionados os objetivos de TI e metas facilitadores.
2012 ISACA. All rights reserved. 15

Governana - Funo, Atividades e Relacionamentos

Os Papis, Atividades e Relacionamentos Um quarto elemento se refere aos papis, atividades e relacionamentos de governana. Esse elemento define quem est envolvido na governana, como eles esto envolvidos, o que eles fazem e como eles interagem no mbito de qualquer sistema de governo. Em COBIT 5, h diferenciao clara entre governana e gesto nos domnios da governana, bem como a diferenciao entre a interface entre eles e os atores envolvidos.

Cobrir ponto o ponto ao Negcio

Componentes chaves do sistema governana

2012 ISACA.

All rights reserved.

17

A proposta dos enablers

O objetivo do Enablers (facilitadores) promover a implementao de um modelo de desempenho e sistema de gesto da TI corporativa. Os Facilitadores so amplamente definidos como qualquer coisa que possa ajudar a alcanar os objetivos de governana das empresas. Isso inclui recursos, tais como informaes e pessoas. O Framework COBIT 5 enumera sete categorias de facilitadores: Processos Princpios e polticas Estruturas organizacionais Habilidades e competncias Cultura e comportamento Capacidades de Servio Informao

Enabler-based
COBIT 5 Enablers Modelo Sistemica com Interao dos Enablers COBIT 5 Enablers Facilitadores so aqueles elementos tangveis e intangveis que premitem o funcionamento de alguma coisa, neste caso, a governana e a gesto sobre a empresa de TI. Facilitadores so movidos pela cascata de objetivos descritos na seo 3: o alto nvel de TI relacionado com metas definem o que os diferentes facilitadores devem alcanar.

Descrio dos Enablers

Service capabilities Incluem a infra-estrutura, tecnologia e aplicativos que suprem a empresa com informaes e processamento de informaes e servios Skills and competences - Esto ligados as pessoas e so necessrios para a concluso bem sucedida de todas as atividades e para tomada de decises corretas Principles and policies So o veculo para traduzir o comportamento desejado em orientaes prticas para daytogesto do dia Processes - Descreve um conjunto organizado de prticas e atividades para atingir certos objetivos e produzir um conjunto de sadas que permita alcanar objetivos gerais de TI. Culture, ethics, behaviour - Dos indivduos e da organizao; muitas vezes subestimado como um fator de sucesso em arranjos de governana e gesto Organisational structures So a chave da tomada de deciso entidades em uma organizao Information - Permeia toda a organizao. A Informao necessria para manter a organizao funcionando e bem governada, mas no nvel operacional, a informao muitas vezes o produto chave da prpria empresa.

Enabler-based

Modelo Process Enabler

Goals and metrics Objetivos do processo so definidos como "uma Good practices declarao descrevendo o Processo interno de boas A processresultado desejado de um processo. activities that takes one or esto descritas nos is defined as a collection of prticas more kinds of input andUm resultado pode ser umthat is of value to the organisation. detalhe em creates an output artefato, nveis de uma mudana significativa de um cascata, ou seja, prticas, estado ou uma melhoria atividades e atividades significativa a capacidade de outros detalhadas. processos ".

Stakeholders Os processos tm partes internas e externas, cada uma com seus prprios papis. Partes interessadas e seus nveis de responsabilidade so documentadas em grficos RACI, que so um atributo do processo.

Life Cycle - Cada processo tem um ciclo de vida, ou seja, definido, criado, operado, monitorado e ajustado / atualizado ou aposentado. Prticas de processo genrico, tais como as definidas no modelo de avaliao de processos COBIT, com base na ISO / IEC 15504, podem ajudar a definir, executar, monitorar e otimizar processos.

Attributes H uma srie de atributos especficos do processo definido no modelo de processo COBIT 5. Estas incluem: Entradas e sadas, o nvel de capacidade do processo, grfico RACI, etc.

Guia de Referncia do Processo

A publicao separada que se expande sobre o modelo de processo Enabler (facilitador) Contm todos os detalhes dos processos COBIT em uma maneira similar a documentao do processo em COBIT 4.1

Modelo Process e Enabler

Facilitadores
Processo Informao
Estruturas Organizacionais

Habilidades e Competncias

Principios e Polticas

Cultura, tica e Comportamento

Capacidade de Servios

Partes Interessadas

Metas & Metricas

Ciclio de Vida

Melhores Praticas

Atributos

Componentes

A Seperao de Governana da Gesto

Processos de Governana e Gesto

O COBIT 5 modelo de referncia do processo divide os processos de alinham-se com as reas de governana e gesto de empresas de TI em duas principais reaspelo responsabilidade
Os quatro domnios de gesto planejamento,construo, execuo e monitoramento (PBRMuma evoluo do COBIT 4.1 O domnio GOVERNANA, contm domnios), proporciona uma cinco processos de governana; cobertura end-to-end de TI. Cada dentro de cada processo so domnio contm uma srie de definidas formas de avaliar, dirigir e processos, como no COBIT 4.1 e monitorar as prticas. verses anteriores. Embora, como descrito anteriormente a maioria dos processos requeiram "planejamento", "implementao", "execuo" e "monitorizao" atividades dentro do processo ou dentro da questo especfica a ser abordada (por exemplo, a Em COBIT 5, os processos tambm abrangem todaqualidade, segurana), eles so a gama de negcios e colocados em domnios e alinhados atividades relacionadas governana e gesto de empresas de TI, efetivando o com a rea mais relevante da modelo de processo em toda a empresa. atividade quando de TI em nvel corporativo.

Diferena entre COBIT 4.1e 5

COBIT 4.1 COBIT 5

PO Plan & Organise AI Arquire & Implement DS Deliver & Support ME Monitor & Evaluate Domnio

PO 1 PO 2

GOVERNANA

GERENCIAMENTO

rea Evaluate, Direct & Monitor EDM 5 Processos Align, Plan & Organise APO 12 Processos Build, Arquire & Implement - BA 8 Processos Deliver, Service & Support (Run) - DSS 8 Processos Processo Domnio Monitor, Evaluate & Assess - MEA 3 Processos

Diferena entre COBIT 4.1e 5

COBIT 4.1 PO10.1 PO10.2 PO10.3 PO10.4 PO10.5 PO10.6 PO10.7 PO10.8 PO10.9 PO10.10 PO10.11 PO10.12 PO10.13 PO10.14 Descrio Programme Management Framework Project Management Framework Project Management Approach Stakeholder Commitment Project Scope Statement Project Phase Initiation Integrated Project Plan Project Resources Project Risk Management Project Quality Plan Project Change Control Project Planning of Assurance Methods
Project Performance Measurement, Reporting and Monitoring

COBIT 5 BAI1.1 BAI1.1 BAI1.1 BAI1.3 BAI1.7 BAI1.7 BAI1.8 BAI1.8 BAI1.10 BAI1.9 BAI1.11 BAI1.8 BAI1.6; BAI1.11 BAI1.13

Project Closure

Diferena RACI Charts

2012 ISACA.

All rights reserved.

29

Modelo de Referencia dos Processos

2010 ISACA.

All rights reserved.

30

Estrutura de Processos COBIT 5

APO05 Manage Portfolio Process Description Process Purpose Statement The process supports the achievement of a set of IT--related goals, which support the achievement of a set of enterprise goals: IT--related Goal Process Goals and Metrics Process Goal RACI Chart Process Practices, Inputs/Outputs and Activities Practice Activities Inputs Outputs Related Metrics P/S Related Metrics
Area: Management Domain: Align, Plan and Organise

Exemplo Processo Governana

Exemplo Process Gesto

Objetivos do Negcio e da TI

Viso BSC Finanas, Cliente, Interna e Aprendizagem e crescimento

Viso BSC Finanas, Cliente, Interna e Aprendizagem e crescimento

Categorias de Habilidades

Guia de Implementao

Documento separado Com base na publicao atual de implementao e orientao

O Novo Processo do COBIT Capability Assessment

H uma srie de benefcios em faz-lo: Confirmar que um processo est prestes a atingir sua finalidade e seja possvel entregar seus resultados como esperado. COBIT 5 Simplificao do processo e avaliao do contedo de COBIT 4.1 apoio. Maturidade do Capacidade do Confiabilidade e repetibilidade de atividades do processo Processo Processo de capacidade de avaliao e substitudo por foi debates. Reduo das divergncias entre as partes interessadas Baseado na ISO sobre os resultados da avaliao. 15504 IEC e o Aumentou a usabilidade dos resultados do processo de Programa de avaliao das capacidades. A nova abordagem Avaliao do COBIT estabelece uma base para mais formal e avaliaes (CAP) rigorosas a serem executadas para fins internos e externos. Forte apoio para abordagem do processo de avaliao no mercado.

O Novo Processo do COBIT Capability Assessment

COBIT 4.1/5

2012 ISACA.

All rights reserved.

38

Modelo de Capacidade do Processo - Comparativo

COBIT 4.1 Maturity Model Levels
5. Optimised

COBIT 5 ISO/IEC 15504 Based Capability Levels

5. Optimised

Meaning of the COBIT 5 ISO/IEC 15504 Based Capability Levels

Context

Continuously improved to meet relevant current and projected enterprise goals. Enterprise view/ corporate knowledge

4. Managed and Measurable

4. Predictable

Operates within defined limits to achieve its process outcomes.

3. Defined

3. Established

Implemented using a defined process that is capable of achieving its process outcomes.

N/A

2. Managed

Implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained. Process achieves its process purpose. Not implemented or little or no evidence of any systematic achievement of the process purpose. Instance view/ individual knowledge

N/A 2. Repeatable 1. AdHoc 0. Nonexistent

1. Performed 0. Incomplete

Modelo de Capacidade do Processo

Comparitivo entre a Tabela dos Atributos de Maturidade (COBIT 4.1) e os Atributos dos Processos (COBIT 5)

COBIT 5 Produtos de Apoio Futuros

Practice Guides:
COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk

Enabler Guides:
COBIT 5: Enabling Information

COBIT Online Replacement COBIT Assessment Programme:

Process Assessment Model (PAM): Using COBIT 5 Assessor Guide : Using COBIT 5 Self-assessment Guide: Using COBIT 5
2012 ISACA. All rights reserved. 42

Muito obrigado!
Ian Lawrence Webster, CGEIT, CRISC presidente@isaca-brasilia.org www.isaca-brasilia.org.br