Você está na página 1de 85

INSTITUTO SUPERIOR DE TRANSPORTES E COMUNICAES

COBIT 4.1 Estrutura do COBIT e Objectivos de Controle

Docente: Camilo Amarcy

Email: Camilo@Amarcy.com Cell: +258823032445 BBM: 2095A1FA

Temas do Captulo Estrutura do contedo do COBIT; Reviso de conceitos relacionados a processos; Por que os processos precisam de controles; O que so objectivos de controle; Estrutura de navegao do COBIT;

Interpretao do PO10 Gerenciar Projectos;


Viso geral dos 34 processos de TI; Estudo de caso;

Camilo Amarcy

Estrutura do Contedo do COBIT

Contedo do COBIT
O contedo principal do COBIT distribudo da seguinte forma:

Camilo Amarcy

Estrutura do Contedo do COBIT Negcio vs. Objectivos Controles de TI


Objectivos de controle de TI: so um cojunto de requisitos de alto nvel a serem considerados pela gesto para o efectivo controle de cada processo de TI. Os objectivos de controle de TI ajudam a aumentar o valor ou reduzir o risco. Cada processo de TI precisa ser controlado para que possa atingir seus objectivos, de alguma forma contribuindo para a realizao da estratgia do negcio.
Camilo Amarcy

Estrutura do Contedo do COBIT

Reviso de Processo

Camilo Amarcy

Estrutura do Contedo do COBIT

Componentes de um Processo

Camilo Amarcy

Estrutura do Contedo do COBIT

Os processos precisam de controle


Para conseguir uma governana efectiva, necessrio a implantao dos controles pelos gerentes de operaes dentro de uma estrutura de controle definida para todos os processos de TI.

Camilo Amarcy

Estrutura do Contedo do COBIT

Processos e Controles
4 Domnios; 34 Processos de TI;

Requisitos Genrico;
cada processo;

de

Controle

6 Controles para

Objectivo de Controles
3 a 15 processo de TI; Por

Prticas de Controle 3 a 10 - Por objectivo


de controle
Camilo Amarcy

Estrutura do Contedo do COBIT Requisitos de Controle Genrico


Cada processo de COBIT tem 6 requisitos de controle genrico que so comuns para todos os processos. Eles devem ser considerados em conjunto com os objectivos de controle do processo para que se possa ter uma viso completa dos requisitos de controle.

Camilo Amarcy

Estrutura do Contedo do COBIT Estrutura de Navegao do Framework


A representao abaixo mostra os vnculos entre os critrios de informao, processos e recursos.

Camilo Amarcy

Estrutura do Contedo do COBIT Medidas de Controle


As medidas de controle para cada processo de TI no satisfazem todos os requisitos de negcio no mesmo grau. A estrutura do COBIT define 3 graus de controle.

Camilo Amarcy

Estrutura do Contedo do COBIT PO10 Gerenciar Projectos Descrio do Processo Parte 1


Serve para criar uma estrutura de programa e gerenciamento de projectos para o gerenciamento de todos os projectos de TI estabelecidos. A estutura garante priorizao correcta e coordenao de todos os projectos. Esta estrutura inclui:
Plano mestre, alocao de recursos; definio de entregveis; aprovao pelos usurios; abordagem por fases para entrega; qualidade, plano de testes; reviso ps-implementao e testes aps a instalao para assegurar o gerenciamento de riscos e a entrega de valor para o negcio.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10 Gerenciar Projectos Descrio do Processo Parte 2

Camilo Amarcy

Estrutura do Contedo do COBIT PO10 Gerenciar Projectos Parte 3

Camilo Amarcy

Estrutura do Contedo do COBIT PO10.1 Gerenciar Projectos Estrutura de Gesto de Programas


Manter o programa de projectos (relacionados ao portflio de programas de investimentos em TI) identificando, definindo, avaliando, priorizando, selecionando, iniciando, gerenciando e controlando projectos.
Assegurando que os projectos sustentem os objectivos dos programas. Coordenar as actividades e interdependncias de mltiplos projectos, gerenciar a contribuio de todos os projectos de um programa para os resultados esperados e resolver requisitos e conflitos de recursos.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.2 Gerenciar Projectos Estrutura de Gesto de Projectos


Estabelecer e manter uma estrutura de gesto de projectos que defina o escopo e a abrangncia dos projectos gerenciados, bem como os mtodos a serem adoptados e aplicados a cada projecto iniciado.

A estrutura e as metodologias de suporte devem ser integradas aos processos de gerenciamento de programas.

Camilo Amarcy

Estrutura do Contedo do COBIT PO10.3 Gerenciar Projectos Abordagem de Gerenciamento Projectos

de

Estabelecer uma abordagem de gesto de projectos adequada ao tamanho, complexidade e aos requisitos regulatrios de cada projecto. A estrutura de governana de projecto deve incluir os papis, as responsabilidades e o acompanhamento dos resultados do patrocinador do programa, patrocinador do projecto, comit director, coordenador e gerente do projecto e os mecanismos pelos quais eles podem cumprir com essas responsabilidades (como relatrios e revises de estgios de projecto); Assegurar que todos os projectos de TI tenham patrocinadores com autoridade suficiente para serem proprietrios entro do programa estratgico geral.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.4 Gerenciar Projectos Comprometimento das Partes Interessadas
Obter comprometimento e participao das partes interessadas afectadas na definio e na execuo do projecto dentro do contexto do programa de investimento geral de TI.

Camilo Amarcy

Estrutura do Contedo do COBIT PO10.5 Gerenciar Projectos Declarao de Escopo do Projecto


Definir e documentar a natureza e o escopo do projecto, visando confirmar e desenvolver um entendimento comum do escopo do projecto com as partes interessadas quanto ao relacionamento com outros projectos de um programa de investimento em TI; A definia deve ser formalmente aprovada pelo patrocinador do programa e pelo patrocinador do projecto antes do seu incio.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.6 Gerenciar Projectos Fase de Incio do Projecto


Assegurar que a fase de incio do projecto seja formalmente aprovada e comunicada a todas partes interessadas. A aprovao da fase de incio deve ser baseada nas decises da governana do programa;
A aprovao das fases subsequentes deve ser baseada na reviso e na aceitao dos resultados entregues da fase anterior e na aprovao de um estudo de caso actualizado na prxima reviso geral do programa; No caso de uma sobreposio de fases, deve ser estabelecido um ponto de aprovao pelos patrocinadores do programa e do projecto para autorizar a continuidade.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.7 Gerenciar Projectos Plano Integrado do Projecto


Estabelecer um plano integrado de projecto formalizado e aprovado (que abranja recursos de negcio e de sistemas de informao) para orientar a execuo e o controle em todas as etapas do projecto. As actividades interdependcias de mltiplos projectos dentro de um programa devem ser entendidas e documentadas;
O plano de projecto deve passar por manuteno durante todas as etapas do projecto; O plano de projecto e as alteraes feitas nele devem ser aprovadas de acordo com a estrutura de governana do programa e do projecto.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.8 Gerenciar Projectos Recursos do Projecto


Definir responsabilidades, relacionamentos, autoridades e critrios de desempenho para os membros da equipe de projecto e especidicar a base de aquisio e atribuio de funcionrios e/ou prestadores de servio competentes para o projecto;
A contratao de produtos e servios necessrios para cada projecto deve ser planeada e gerenciada para atingir os objectivos do projecto utilizadno as prticas de contratao da organizao.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.9 Gerenciar Projectos Gesto de Risco do Projecto


Eliminar ou minimizar riscos especficos associados a cada projecto atravs de um processo sistemtico de planeamento , identificao, anlise, resposta, monitoramentoe controle de reas ou eventos com potencial para causar mudanas indesejadas; Os riscos identificados pelo processo de gesto de projecto e os resultados esperados do projecto devem ser estabelecidos e centralmente registados
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.10 Gerenciar Projectos Plano de Qualidade do Projecto


Preparar um plano de gesto de qualidade que descreva o sistema de qualidade do projecto e como ser implementado. O plano deve ser formalmente revisado e aceito por todas as partes envolvidas e ento incorporado ao plano integrado de projecto.

Camilo Amarcy

Estrutura do Contedo do COBIT PO10.11 Gerenciar Projectos Controle de Mudanas do Projecto


Estabelecer um sistema de controle de mudanas para cada projecto, de forma que todas as mudanas feitas no escopo original do projecto (como custo, cronograma, escopo e qualidade) sejam devidamente revisadas, aprovadas e incorporadas ao plano de projecto integrado em alinhamento com a estrutura de governana de programa e projecto.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.12 Gerenciar Projectos Planeamento de Mtodos de Validao do Projecto
Identificar as actividades necessrias para suportar a validao de novos sistemas (ou suas modificaes) durante o planeamento do projecto e inclu-las no plano integrado do projecto; As tarefas devem assegurar que os controles internos e aspectos de segurana atendam aos requisitos definidos.

Camilo Amarcy

Estrutura do Contedo do COBIT PO10.13 Gerenciar Medio de Monitoramento e Projecto

Projectos Desempenho, Reporte do

Avaliar o desempenho do projecto em comparao com critrios-chave (como escopo, cronograma, qualidade, custo e risco); Identificar qualquer desvio do plano; Avaliar o impacto dos desvios sobre o projecto e o programa; Reportar os resultados s principais partes interessadas; Recomendar, implementar e monitorar aces correctivas quando necessrio, em alinhamento com a estrutura de governana e programa.
Camilo Amarcy

Estrutura do Contedo do COBIT PO10.14 Gerenciar Projectos Concluso do Projecto


Exigir que, ao final de cada projecto, as partes interessadas apurem se o projecto gerou os resultado e benefcios planeados;
Identificar e comunicar quaisquer actividades de destaque necessrias para obter os resultados esperados do projecto e os benefcios do programa;

Identificar e documentar as lies aprendidas para us-las em projectos e programas futuros.

Camilo Amarcy

(PO) Planear e Organizar (PO) Planear e Organizar


PO-1 : Definir um plano estratgico de TI PO-2 : Definir a arquitectura de informao PO-3 : Determinar o direcionamento tecnolgico PO-4 : Definir processos de Ti, a organizao e relacionamentos PO-5 : Gerenciar o investimento em TI PO-6 : Comunicar metas e directivas gerenciais PO-7 : Gerenciar os recursos humanos PO-8 : Gerenciar a qualidade PO-9 : Avaliar e gerenciar riscos de TI PO-10 : Gerenciar projectos

Importante: Aparece no Exame


Camilo Amarcy

(PO) Planear e Organizar PO1 Definir um Plano Estratgico de TI


O planeamento estratgico necessrio para gerenciar e direcionar todos os recursos da TI de acordo com as estratgias e prioridades do negcio;
O departamento de TI e os stakeholders do negcio so responsveis por assegurar que um valor optimizado seja realizado atravs dos portflios de projectos e servios.

Camilo Amarcy

(PO) Planear e Organizar

PO2 Definir a Arquitectura de Informao


A funo dos sistemas de informao deve criar e actualizar regularmente um modelo de informao de negcio e definir os sistemas apropriados para optimizar o uso da informao; Isso inclui o desenvolvimento de um dicionrio corporativo de dados com as regras de sintaxe da organizao, esquema de classificao de dados e nveis de segurana; Este processo melhora a qualidade de decises feitas pelas gerncias e assegura que informa confiveis e seguras so providas, e isso habilita a racionalizao de recursos de sistemas de informao para atender apropriadamente s estratgias de negcio.
Camilo Amarcy

(PO) Planear e Organizar PO3 Determinar Direco Tecnolgica a

A funo dos servios de informao deve determinar a direco tecnolgica para suportar o negcio; Isso requer a criao de um plano de infraestrutura tecnolgica e de um comit de arquitectura que fixa e gerencia expectativas claras e realistas sobre o que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega;
Camilo Amarcy

(PO) Planear e Organizar PO4 Definir Processos de TI, a Organizao e os Relacionamentos de TI


Uma organizao de TI precisa ser definida considerando os requisitos para pessoas, habilidades, funes, responsabilidades, autoridade, papis e superviso; Esta organizao deve estar embutida dentro de um framework de processos de TI que assegure transparncia e controle e que tambm envolva os executivos snior e gerentes de negcio; Um comit estratgico deve assegurar uma viso geral da TI e um ou mais comits de direco, nos quais os participantes do negcio e da TI devem determinar a priorizao dos recursos da TI em linha com as necessidades do negcio.
Camilo Amarcy

(PO) Planear e Organizar PO5 Gerenciar o Investimento de TI


Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, e um processo formal de oramentos e de gerenciamento em relao a estes.

Camilo Amarcy

(PO) Planear e Organizar PO6 Comunicar Metas e Directivas Gerenciais


A gesto deve desenvolver um framework de controle empresarial de TI e definir e comunicar polticas; Um programa contnuo de comunicao deve ser implementado para articular a misso, objectivos de servio, polticas e procedimentos aprovados e suportados pela administrao;

Camilo Amarcy

(PO) Planear e Organizar PO7 Gerenciar Humanos de TI Recursos

Adquire, mantm e motiva uma forma de trabalho competente para criar e entregar servios de TI para o negcio; Isso atingido seguindo prticas definidas e acordadas que suportam recrutamento, treinamento, avaliao de desempenho, promoo e demisso.

Camilo Amarcy

(PO) Planear e Organizar PO8 Gerenciar Qualidade


Um sistema de gerenciamento de qualidade deve ser desenvolvido e mantido, e deve incluir um processo de desenvolvimento e aquisio comprovado e padronizado; Isso habilitado atravs de planeamento, implementao e manuteno do sistema de qualidade que prov requisitos claros de qualidade, procedimento e polticas; Requisitos de qualidade devem ser determinados e comunicados, com indicadores quantificveis e atingveis.
Camilo Amarcy

(PO) Planear e Organizar PO9 Avaliar e Gerenciar Riscos de TI


Criar e manter framework gerenciamento de riscos; de

O framework documenta um nvel de risco de TI comum e acordado, estratgias de mitigao e acordos sobre riscos residuais; Qualquer impacto potencial sobre as metas da organizao causado por eventos no planeados, deve ser identificado, levantado e avaliado; Estratgias de mitigao de riscos devem ser adotadas para minimizar riscos residuais a um nvel aceitvel.
Camilo Amarcy

(PO) Planear e Organizar PO10 Gerenciar Projecto


Estabelecer um framework de gerenciamento de programas e projectos para gerenciar todos os projectos

Camilo Amarcy

(AI) Adquirir e Implementar (AI) Adquirir e Implementar


AI-1 : Identificar as solues automatizadas AI-2 : Adquirir e manter software aplicativo

AI-3 : Adquirir e manter infraestrutura de tecnologia


AI-4 : Permitir operao e uso

AI-5 : Adquirir recursos de TI


AI-6 : Gerenciar mudanas AI-7 : Instalar e validade solues e mudanas
Camilo Amarcy

(AI) Adquirir e Implementar AI1 Identificar as Solues Automatizadas


A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que os requisitos do negcio so satisfeitos numa abordagem efectiva e eficiente; Este processo cobre a definio das necessidades considerando fontes alternativas, reviso da viabilidade tecnolgica e econmica, execuo de anlise de risco, anlise de custo/benefcio e concluso de uma deciso final de fazer ou comprar.
Camilo Amarcy

(AI) Adquirir e Implementar AI2 Adquirir e Manter Software Aplicativo


Aplicaes devem estar disponveis de acordo com os requisitos do negcio; Este processo envolve desenho de aplicaes, incluso apropriada de controles de aplicao e de requisitos de segurana, alm do desenvolvimento e da configurao conforme os padres.

Camilo Amarcy

(AI) Adquirir e Implementar AI3 Adquirir e Manter Infraestrutura de Tecnologia


Organizaes devem ter um processo para a aquisio, implementao e actualizao da infraestrutura tecnolgica; Isso requer uma abordagem planeada para a aquisio, manuteno e proteo da infraestrutura alinhada com as estratgias tecnolgicas acordadas e com a proviso de ambientes de desenvolvimento e teste;

Camilo Amarcy

(AI) Adquirir e Implementar AI4 Permitir Operao e Uso


Conhecer sobre novos sistemas necessita ser disponibilizado;

Ter processo requer a produo de documentao e manuais para usurio de TI, alm de treinamento que assegure o uso e a operao apropriados de aplicaes e infraestrutura;

Camilo Amarcy

(AI) Adquirir e Implementar AI5 Adquirir Recursos de TI


Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos; Isso requer definio e sano de procedimentos de aquisio, seleco de fornecedores, realizao de arranjos contratuaius e a aquisio em si;

Camilo Amarcy

(AI) Adquirir e Implementar AI6 Gerenciar Mudanas


Todas as mudanas (inclusive mudanas emergenciais e correces) relacionadas infraestrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciadas formalmente de maneira controlada.

Camilo Amarcy

(AI) Adquirir e Implementar AI7 Instalar e Validar Solues e Mudanas


Novos sistemas precisam estar operacionais uma vez que o desenvolvimento esteja completo; Isso requer testes apropriados em um ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao, planeamento de liberaes e revises ps-implementao.

Camilo Amarcy

(DS) Entregar e Suportar DS Entregar e Suportar


DS-1 : Definir e gerenciar nveis de servios DS-2 : Gerenciar servios de terceiros DS-3 : Gerenciar o desempenho e capacidade DS-4 : Garantir a continuidade dos servios DS-5 : Garantir a segurana dos sistemas DS-6 : Identificar e alocar custos DS-7 : Educar e treinar usurios DS-8 : Gerenciar central de servios e incidentes DS-9 : Gerenciar a configurao DS-10 : Gerenciar os problemas DS-11 : Gerenciar os dados DS-12 : Gerenciar o ambiente fsico DS-13 : Gerenciar as operaes
Camilo Amarcy

(DS) Entregar e Suportar DS1 Definir e Gerenciar Nveis de Servio


Comunicao efectiva entre a gerncia de TI e os clientes do negcio em relao aos servios requeridos, habilitadas atravs de documenta e de acordos de nveis de servio de TI.

Camilo Amarcy

(DS) Entregar e Suportar DS2 Gerenciar Servios de Terceiros


A necessidade de assegurar que servios providos por terceiros atendem aos requisitos do negcio requer um processo efectivo de gerenciamento de terceiros.

Camilo Amarcy

(DS) Entregar e Suportar DS3 Gerenciar o Desempenho e Capacidade


A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo para rever periodicamente o desempenho e a capacidade actual dos recursos de TI;

Camilo Amarcy

(DS) Entregar e Suportar DS4 Garantir a Continuidade dos Servios


A necessidade de prover servios contnuos de TI requer desenvolvimento, manuteno e testes de planos de continuidade da TI, armazenamento externo de backup e treinamento peridico para o plano de continuidade.

Camilo Amarcy

(DS) Entregar e Suportar DS5 Garantir Sistemas Segurana dos

A necessidade de manter a integridade da informao e proteger os activos da TI requer um processo de gerenciamento de segurana; Este processo inclui estabelecer e manter papis e responsabilidades, polticas, padres e procedimentos de segurana de TI; Gerenciamento da segurana tambm inclui realizar monitoramento de segurana e testes peridicos, e a implementao de aces correctivas para identificar fraquezas ou incidentes de segurana.
Camilo Amarcy

(DS) Entregar e Suportar DS6 Identificar e Alocar Custos


A necessidade para um justo e imparcial sistema de alocao de custos para o negcio requer a medio exacta de custos da TI e acordos com usurios de negcio. Este processo inclui criao e operao de um sistema de captura, alocao e reporte dos custos de TI para os usurios de servios.

Camilo Amarcy

(DS) Entregar e Suportar DS7 Educar e Treinar Usurios


Educao efectiva de todos os usurios de sistemas de TI requer a identificao das necessidades de treinamento de cada grupo de usurios.

Camilo Amarcy

(DS) Entregar e Suportar DS8 Gerenciar Central de Servios e Incidentes


Respostas efectivas e em tempo para as perguntas e problemas dos usurios de TI requerem uma central de servio bem desenhada e implementada, assim como um processo de gerenciamento de incidentes que incluia a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas-raiz e resoluo de incidentes.
Camilo Amarcy

(DS) Entregar e Suportar DS9 Gerenciar a Configurao


Assegurar a integridade da configurao de hardware e software requer estabelecer e manter um preciso e completo repositrio da configurao. Este processo inclui colecta inicial de informaes da configurao, estabelecimento de referncias, verifico e auditoria de informao da configurao e actualizao de repositrio da configurao quando necessrio.

Camilo Amarcy

(DS) Entregar e Suportar DS10 Gerenciar Problemas os

Um gerenciamento efectivos de problemas requer a identificao e classificao de problemas, anlise de causas-raiz e resoluo de problemas; O processo de gerenciamento de problemas tambm inclui identificao de recomendaes para melhorar a manuteno de registos de problemas e revisar o status de aces correctivas.
Camilo Amarcy

(DS) Entregar e Suportar DS11 Dados Gerenciar os

O gerenciamento efectivo de dados requer a identificao de requisitos para dados; Este processo inclui estabelecer procedimentos efectivos para gerenciar biblioteca de mdias, backups e recuperao e disponibilizao de mdias apropriadas.

Camilo Amarcy

(DS) Entregar e Suportar DS12 Gerenciar os Ambientes Fsicos


A proteco para pessoal e equipamentos de computao requer instalaes bem desenhadas e gerenciadas; Este processo inclui definir os requisitos para um lugar fsico, seleco de instalaes apropriadas e desenho efectivo dos processo para monitorar elementos ambientais e gerenciar o acesso fsico.

Camilo Amarcy

(DS) Entregar e Suportar DS13 Operaes Gerenciar as

O processamento completo e exacto de dados requer o gerenciamento do processamento de dados e a manuteno de hardware; Este processo inclui a definio de polticas e procedimentos operacioinais para um gerenciamento efectivo da programao do processamento, proteco de output sensitivo, monitoramento da infraestrutura e manuteno preventiva de hardware.
Camilo Amarcy

(ME) Monitorar e Avaliar ME Monitorar e Avaliar


ME-1: Monitorar e avaliar o desempenho de TI; ME-2 : Monitorar e avaliar os controles internos; ME-3 : Assegurar a conformidade regulatria; ME-4 : Fornecer Governana de TI

Camilo Amarcy

(ME) Monitorar e Avaliar ME1 Monitorar e Avaliar o Desempenho de TI


Assegura que a gesto estabelea um framework geral de monitoramento e uma abordagem que defina escopo, metodologia e processo a serem seguidos; O monitoramento da TI contribui para os resultados do gerenciamento de portflio empresarial e para os processo de programas gerenciais processos que so especficos para entregar competncias e servios de TI; O framework deve estar integrado como um sistema de gerenciamento de desempenho da companhia.
Camilo Amarcy

(ME) Monitorar e Avaliar ME2 Monitorar e Avaliar os Controles Internos


Estabelecer um programa de controle interno efectivo para a TI requer um processo de monitoramento bem definido; Este processo inclui monitoramento e reporte de excees de controle, resultados da auto-avaliao e reviso de fornecedores (terceiros); Um benefcio principal do controle interno de monitoramento fornecer segurana relacionada eficincia e eficcia operacionais e conformidade com leis e regulamentos.

Camilo Amarcy

(ME) Monitorar e Avaliar ME3 Assegurar Conformidade Regulatria


Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para garantir a conformidade com leis e regulamentos; Este processo inclui definir auditor independente, tica profissional, padres, planeamento, desempenho de trabalho de auditoria e reporte do acompanhamento das actividades de auditoria; O propsico deste processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos.
Camilo Amarcy

(ME) Monitorar e Avaliar ME4 Fornecer Governana de TI


Estabelecer um framework efectivo de governana, incluindo definies de estruturas organizacionais, processos, liderana, papis e responsabilidades, para assegurar que os investimentos em TI e as entregas estejam alinahdos com as estratgias e objectivos empresariais.

Camilo Amarcy

Estudo de Caso - COOPERTI Estudo de Caso


O presidente da cooperativa de crdito COPERTI contratou voc como consultor para orient-los. A rea de TI est passando por alguns problemas e precisa de uma opinio sobre como resolv-los.

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 1


A Cooperativa de Crdito tem 20 anos de existncia, 4.500 scios e oferece quase todos os servios que um banco normal oferece: conta corrente, cobrana, carto de crdito, aplicaes e funanciamentos;

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 2


A rea de Ti tem 25 funcionrios, com vrioas sistemas legados e vrias bases de dados em diferentes plataformas. Quase todos os sistemas forma desenvolvidos internamente. A equipe de TI bem experiente, e conta com analistas, programadores , especialistas em rede e segurana;

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 3


Actualmente o maior problema o home-banking que foi desenvolvido em parceria com a TIWAY. O portal do home-banking j est disponvel aos associados e alguns servios j esto sendo oferecidos, como consulta ao extrato bancrio e consulta a conta de investimentos. Entretanto, os servios de TED, DOC e pagamento de contas no esto disponveis. O projecto foi dividido em vrias etapas, sendo que a etapa de entrega dos mdulos de TED e DOC e de pagamento de contas est atrasasdo em 5 meses.

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 4


Como se no bastasse o atraso no projecto, os clientes das contas bancrias fizeram vrias reclamaes central de servios. Eles informaram que s vezes o sistema muito lento, e tambm que no conseguem acess-lo em determinadas horas do dia. H tambm casos em que o extrato bancrio apresenta informaes desactializadas. Para tentar resolver os problemas, a TIWAY tem disponibilizado vrias actualizaes no portal, muitas delas em carcter de urgncia.

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 5


O comit de gesto da cooperativa est preocupado com todos os problemas, e muitos scios j expuseram estar descontentes com o portal. Alm disto, eles temem pela segurana de suas contas.

Camilo Amarcy

Estudo de Caso - COOPERTI Informaes Necessrias - 6


Recentemente o presidente da cooperativa , o gerente de TI e o gerente de suporte fizeram uma reunio com a TIWAY para tentar alinhar as expectativas e saber quando os problemas pendentes sero resolvidos. Alm disto, espera-se ter uma resposta sobre quando os mdulos TED e DOC estariam disponveis. Na reunio, o gerente de suporte exps alguns problemas no relacionamento com a TIWAY: Muitos incidentes no esto sendo atendidos em tempo hbil, leva-se muito tempo para obter resposta; A equipe de atendentes no consegue dominar a situao porque noi recebeu nenhuma documentao ou trinamento de uso do sistema da TIWAY; Muitos problemas tm aparecido logo depois das actualizaes, que ocorrem quase todos os dias.
Camilo Amarcy

Estudo de Caso - COOPERTI Verso da TIWAY


Na reunio a TIWAY exps o seu lado da histria, colocando as seguintes questes: Actualmente a TIWAY no consegue focar no desenvolvimento dos mdulos que ainda faltam, pois aparecem muitos erros no sistema e toda a equipe est alocada na correco de bugs; Muitos problemas esto relacionados infraestrutura da TI da cooperativa. Os servidores disponibilizados no esto suportando a carga de trabalho e isto est causando lentido e erros nos processos das transaes; Alm disto, a TIWAY no consegue obter as especificaes da equipa de analistas da COOPERTI para dar continuidade aos mdulos que esto falando no portal.
Camilo Amarcy

Estudo de Caso - COOPERTI Exerccio 1


Agora que voc sabe resumidamente dos problemas que esto acontecendo na COOPERTI, identifique at 7 processos do COBIT que poderiam ter evitado os problemas que voc identificou no estudo de caso. Justifique as escolhas dos processos.

Camilo Amarcy

Estudo de Caso - COOPERTI Resposta Parte 1


Os principais processos que poderiam ser melhorados no primeiro momento so: PO10 Gerenciar Projectos: Os problemas aqui vo desde o escopo mal definido a a entrega do produto do projecto; DS2 Gerenciar Servios de Terceiros: Melhoraria a gesto de fornecedores, estabelecendo e monitorando os SLAs estabelecidos com os fornecedores;

Camilo Amarcy

Estudo de Caso - COOPERTI Resposta Parte 2


AI4 Permitir Operao e uso e DS7 Treinar Usurio: O pessoal do service-desk
no recebeu documentao do sistema para atender aos incidentes e tambm no foram treinados adequadamente para prestar suporte ao novo sistema;

DS3 Gerenciar Desempenho e Capacidade: A capacidade no foi


dimensionada correctamente para o novo sistema;

AI6 Gerenciar Mudanas e AI-7 Instalar Mudanas: No tem um padro de


gerenciamento de mudanas e as novas liberaes no esto sendo homologadas e testadas antes de ir para o ambiente de produo, por isto est acontecento tantos incidentes.
Camilo Amarcy

Estudo de Caso - COOPERTI Resoluo 3380 do BACEN


Por ser uma instituio financeira, a COOPERTI deve atender resoluo 3380 do BACEN, sobre a implementao de uma estrutura de gerenciamento de risco operacional. Veja em seguida o artigo referente s exigncias que a cooperativa deve cumprir.

http://gestao.files.wordpress.com/2009/05/resolucao_3380.pdf
Camilo Amarcy

Estudo de Caso - COOPERTI Artigo 3 : A Estrutura de Gerenciamento do Risco Operacional deve Prever Parte 1
I Identificao, avaliao, monitoramento, controle e mitigao do risco operacional;

II Documentao e armazenamento de informaes referentes s perdas associadas ao risco operacional;


III Elaborao, com periodicidade mnima anual, de relatrios que permitam a identificao e correco tempestiva das deficincias de controle e de gerenciamento do risco operacional;
Camilo Amarcy

Estudo de Caso - COOPERTI Artigo 3 : A Estrutura de Gerenciamento do Risco Operacional deve Prever Parte 2
IV Realizao, com periodicidade mnima anual, de testes de avaliao dos sistemas de controle de riscos operacionais implementados; V Elaborao e disseminao da poltica de gerenciamento de risco operacional ao pessoal da instituio, em seus diversos nveis, estabelecendo papis e responsabilidades bem como as dos prestadores de servios terceirizados;
Camilo Amarcy

Estudo de Caso - COOPERTI Artigo 3 : A Estrutura de Gerenciamento do Risco Operacional deve Prever Parte 3
VI Existncia de plano de contingncia contendo as estratgias a serem adoptadas para assegurar condies de continuidade das actividades e para limitar graves perdas decorrentes de risco operacional; VII Implementao, manuteno e divulgao de processo estruturado de comunicao e informao;

Camilo Amarcy

Estudo de Caso - COOPERTI Exerccio 2


Identifique os principais processos de TI deveriam ser implantados para que a rea de TI da COOPERTI atenda aos seguintes requisitos da resoluo 3380 do BACEN: Implantar uma gesto de riscos, identificando, avaliando , monitorando e mitigando os riscos de TI que afectariam a cooperativa; Identificar e gerenciar os riscos relacionados aos fornecedores de servios que afectariam a cooperativa; Desenvolver um plano de continuidade que apie a continuidade da cooperativa.

Camilo Amarcy

Estudo de Caso - COOPERTI Resoluo


Este regulamento refere-se a efectiva implantao da estrutura de gerenciamento de risco operacional; Para atender a este rgulamento, os processos DS4 Continuidade de Servios de TI e DS5 Segurana da Informao, so grandes alvos para os Objectivos de Controle esperados pelo BACEN. Alem destes dois processos poderia ser adoptado outros processos de suporte, como o PO4 Definir os processos e TI, Organizao e Relacionamentos, o processo PO9 Gerenciar e Avaliar os riscos TI e o processo ME3 Assegurar a Conformidade com Regulamentos Externos.
Camilo Amarcy

Estamos a ver: COBIT 4.1

COBIT 4.1 Control Objectives for Information and related Technology

http://pt.wikipedia.org/wiki/CobiT

85

Camilo Amarcy