CobiT: Viso Geral e domnio Monitorar e Avaliar

Daniel Baptista Dias Ernando Eduardo da Silva Leandro Kaoru Sakamoto Paolo Victor Leite e Posso

CobiT O que ?
Um framework contendo boas prticas para a

auditoria e governana da tecnologia da informao em organizaes.

Visa atender: Requisitos de negcios; Requisitos regulatrios (como a Sarbanes-Oxley e a Basilia II); Gerenciamento de riscos Etc

CobiT - Bases
O CobiT baseado em 4 pilares:

Foco em negcios Orientao a processos Base em controles Orientao por medies

CobiT Foco em negcios

Para se focar em negcios o

CobiT baseia-se nos seguintes princpios:

Prover a informao de que

a organizao precisa para atingir os seus objetivos, as necessidades para investir, gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prover os servios que disponibilizam as informaes necessrias para a organizao.

CobiT Foco em negcios

Para assegurar o alinhamento com os objetivos de

negcio, definimos critrios de informao:

Efetividade: lidar com informaes pertinentes ao

negcio entregando-as de maneira correta, consistente e utilizvel Eficincia: entrega da informao atravs do melhor uso dos recursos Confidencialidade: proteo das informaes confidenciais para evitar divulgao indevida

CobiT Foco em negcios

Critrios da Informao: Integridade: fidefignidade e totalidade da informao de acordo com valores de negcio e expectativas Disponibilidade: disponibilidade da informao quando exigida pelo processo de negcio hoje e no futuro Conformidade: aderncia a leis, regulamentos e obrigaes ao quais os processos de negcio esto sujeitos Confiabilidade: entrega de informao apropriada para os executivos administrarem a organizao

CobiT Foco em negcios

Objetivos de negcios e objetivos de TI Uma vez definidos os objetivos de negcios, precisamos traduzir esses objetivos em objetivos de TI, de forma a entregarmos um servio que d suporte ao processo de negcio. Exemplo:

Objetivo de negcio: Vendas via Internet devem ser viabilizar a captao de mais clientes Objetivos de TI: Melhorias na implementao do site da empresa; Compra de novos servidores para suportar novos acessos ao site; Etc

CobiT Foco em negcios

Objetivos de negcios e objetivos de TI

CobiT Orientao a processos

O CobiT define as atividades de TI em um modelo

de processos com quatro domnios:

CobiT Orientao a processos

Domnios de processo: Planejar e Organizar: prov direo para entrega de solues e entrega de servios; Adquirir e Implementar: prov as solues e as transfere para tornarem-se servios Entregar e Suportar: recebe as solues e as torna passveis de uso pelos usurios finais Monitorar e Avaliar: monitora todos os processos para garantir que a direo definida seja seguida

CobiT Base em controles

Controle: polticas,

procedimentos e estruturas organizacionais criadas para garantir que os objetivos de negcio sero atingidos.
Com os objetivos de

controle orientamos os processos de TI a atingirem seus objetivos de uma maneira eficaz.

CobiT Base em controles

Cada processo do CobiT tem os seus objetivos de controle,

dividido em:
Controles de Negcios: mediam os processos de negcio, podendo

estar integrados aos aplicativos de TI (como um controle de fluxo de caixa, onde o usurio informado via email sobre determinado evento), ou ser um controle manual (como uma aprovao de um gestor para o processo ir para a prxima etapa). Controles Gerais de TI: mediam os processos da rea de TI para a execuo das tarefas, como a gesto do desenvolvimento de sistemas, do gerenciamento de mudanas, a segurana da infraestrutura, etc. Controles de Aplicativos: mediam o controle automatizado dos aplicativos, de como eles lidam com as informaes segundo os critrios de informao definidos junto as reas de negcio.

CobiT Base em controles

CobiT Orientao por medies

Necessidade bsica para toda organizao:

entender qual a situao atual dos seus prprios sistemas de TI. Quo distantes devemos ir e ser que o custo justificado pelo benefcio?
No fcil saber essa resposta.

CobiT Orientao por medies

As organizaes precisam saber em que ponto elas

esto e onde precisam melhorar (como atingir esse objetivo). O CobiT oferece:
Modelos de maturidade;
Objetivos de performance e mtricas para os

processos de TI (mensurao atravs do Balanced Scorecard).

CobiT Modelos de Maturidade

Paradigma: Onde estamos? Para onde vamos?

Como progredimos em relao s metas?

Modelo de maturidade para o gerenciamento e

controle dos processos de TI, mtodo para avaliar uma organizao. O nvel de maturidade pode ir de 0 (no-existente) a 5 (otimizado).

CobiT Modelos de Maturidade

Enfoque derivado do modelo de maturidade do SEI

(Software Engineering Institute), para Engenharia de Software, embora difira consideravelmente do mesmo; O modelo proposto pelo CobiT no tem o intuito de certificar que um determinado nvel foi atingido.

CobiT Modelos de Maturidade

Possvel nvel de maturidade de um processo de TI: uma implementao pode estar em andamento em diferentes nveis de maturidade, mesmo que no de maneira completa.

CobiT Modelos de Maturidade

Escala de Maturidade: aplicada a cada um dos 34 processos de TI do CobiT, a gerncia pode ter respostas para o Onde estamos? Para onde vamos? Como progredimos em relao s metas?.

CobiT Modelos de Maturidade

As trs dimenses da maturidade: capacidade, cobertura e controle (um ambiente corretamente configurado deve considerar esses aspectos).

CobiT Modelos de Maturidade

Atributos adicionados de maneira crescente atravs

dos nveis de maturidade:

Conscincia e comunicao; Polticas, planos e procedimentos;

Ferramentas e automao;
Habilidades e especializao; Responsabilidade e responsabilizao;

Definio de objetivos e medio.

CobiT Modelos de Maturidade

A melhora da maturidade de um processo significa: Reduo de custos; Maior eficincia; Processos mais previsveis; Uso eficiente dos recursos.

CobiT Medio de Performance

Objetivos e mtricas definidos em trs nveis: Em TI, representando o que os negcios esperam de TI e como medir isso; Em processos, representando o que os processos de TI precisam entregar para suportar os objetivos de TI e como medir isso; Em atividades, para estabelecer o que precisa ser feito dentro do processo para atingir a performance requirida e como medir isso.

CobiT Medio de Performance

Exemplo: Objetivos de negcios determinam os vrios objetivos de TI que iro suport-los. Objetivos de TI influenciam diferentes objetivos de processos. Cada objetivo de processo exige um determinado nmero de atividades, estabelecendo os objetivos da atividade.

CobiT Medio de Performance

VERSES ANTERIORES DO COBIT KGIs (Indicadores-chaves de objetivos). COBIT 4.1 DESCRIO Medidas de Indicam se os resultados (sadas). objetivos FORAM atingidos; indicadores histricos.

KPIs (Indicadores-chaves de performance).

Indicadores de performance.

Indicam se os objetivos SERO atingidos; indicadores futuros.

CobiT Medio de Performance

As medidas de resultados no menor nvel se tornam indicadores de performance para o nvel acima.

CobiT Medio de Performance

Os medidores de resultados de TI s vezes so

expressos em termos de:

Disponibilidade da informao requerida para suportar

as necessidades de negcios; Ausncia de riscos de integridade e confidencialidade; Eficincia de custos de processos e operao; Confirmao de fidedignidade, efetividade e conformidade.

Vises distintas: um servio entregue por TI um

objetivo para TI. Porm, para negcios, esse servio um indicador de performance e capacidade.

CobiT Medio de Performance

Relacionamento entre processos, objetivos e mtricas.

CobiT Medio de Performance

Apresentao dos objetivos e mtricas para cada processo de TI no CobiT (fcil para mensurar sem confundir com metas).

CobiT Estrutura do modelo

Gerenciamento, Controle, Alinhamento e Monitoramento do CobiT.

CobiT Estrutura do modelo

Princpio bsico do modelo CobiT: os recursos de TI so gerenciados pelos processos de TI para atingir os objetivos de TI que correspondem aos requisitos de negcios.

Viso Geral do modelo CobiT: 4 domnios e 34 processos.

CobiT Aceitabilidade Geral

Recomendvel a utilizao em um alto nvel, para

prover uma metodologia geral com base em um modelo de processos de TI que deve servir genericamente para toda empresa.
O CobiT foi desenhado para ser complementar e

utilizado com outros padres e boas prticas (ITIL, CMM, ISSO 17799, PMBOK).

CobiT Aceitabilidade Geral

A implementao de boas prticas deve ser

consistente com a governana e o ambiente de controle da organizao;

A gerncia e os funcionrios devem entender o que

fazer, como fazer e porque isso importante.

CobiT Aceitabilidade Geral

Diferentes usurios so influenciados: Alta direo; Executivos de negcios; Executivos de TI; Auditores. O CobiT foi desenvolvido e mantido por um

instituto de pesquisa independente e sem fins lucrativos; seu contedo baseia-se em contnua pesquisa.

CobiT Aceitabilidade Geral

Modelo CobiT e as reas foco da governana de TI (o CobiT orientado para os objetivos e escopo da governana de TI).

CobiT Descrio dos processos

1 seo para cada processo do CobiT: Contm uma descrio do processo, que resume os objetivos do mesmo, apresentada no formado de cascata Demonstra o mapeamento dos critrios (a letra P indica um relacionamento primrio e a letra S um relacionamento secundrio).

Exemplo da 1 seo de um processo no CobiT.

CobiT Descrio dos processos

2 seo apresenta os objetivos de controle do

processo. 3 seo:
Processos de entrada e sada; Tabela RACI (distribuindo responsabilidades para o

CEO, CFO, Executivo de Negcio, CIO, ...); Objetivos e mtricas.

4 seo apresenta o modelo de

maturidade do processo.

CobiT Descrio dos processos

Outro modo de visualizar a performance do processo

avaliar se:
As entradas do processo so as esperadas; A descrio dos objetivos de controle do processo

define o que deve ser feito; As sadas do processo so aquelas que realmente devem ser entregues;

CobiT Descrio dos processos

Os objetivos e mtricas demonstram como o processo

deve ser medido; A tabela RACI define o que precisa ser delegado e para quem; O modelo de maturidade demonstra o que precisa ser feito para o aprimoramento.

Domnios do CobiT
Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar

Domnio Monitorar e Avaliar

ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos

Externos
ME4 Prover Governana de TI

ME1 Monitorar e Avaliar o Desempenho de TI

Transparncia e entendimento de custos Benefcios Estratgia Polticas e Nveis de servio de TI

ME1 Monitorar e Avaliar o Desempenho de TI

ME1.1 Abordagem de Monitoramento
Estrutura de monitoramento geral

ME1.2 Definio e Coleta dos Dados de Monitoramento

Definir comparativos (Benchmarks)

ME1.3 Mtodo de Monitoramento

Apresentar um viso ampla do desempenho da TI

ME1 Monitorar e Avaliar o Desempenho de TI

ME1.4 Avaliao de Desempenho
Analisar o desempenho com base nas metas

ME1.5 Relatrios para a Alta Direo

Desenvolver informes sobre a contribuio da TI

ME1.6 Aes Corretivas

Baseadas no monitoramento, avaliao e relatrios de desempenho

ME1 Monitorar e Avaliar o Desempenho de TI

0 Inexistente
Processo de monitoramento no implementado

1 Inicial
Reconhecimento da necessidade de coletar informaes sobre o processo de monitoramento

2 Repetvel
Identificao das mtricas a serem monitoradas

ME1 Monitorar e Avaliar o Desempenho de TI

3 Processo Definido
Oficializao dos processos padro de monitoramento

4 Gerenciado e Mensurvel
Definio das regras sobre as quais o processo deve operar

5 Otimizado
Incorporar melhores prticas

ME2 Monitorar e Avaliar os Controles Internos

Assegurar que os objetivos de TI sejam atingidos Assegurar a conformidade comas leis e os

regulamentos relacionados TI

ME2 Monitorar e Avaliar os Controles Internos

ME2.1 Monitoramento da estrutura de Controles Internos
Monitorar o ambiente e a estrutura de TI

ME2.2 Reviso Gerencial

Eficincia e Eficcia das revises gerenciais

ME2.3 Excees aos Controles

Anlise Crtica das Causas-Raiz

ME2.4 Auto Avaliao dos Controles

Grau de Abrangncia e efetividade dos controles internos

ME2 Monitorar e Avaliar os Controles Internos

ME2.5 Garantia dos Controles Internos
Avaliaes de terceiros

ME2.6 Controles Internos Aplicados a Terceiros

Certificar-se de que fornecedores externos cumpram suas

obrigaes

ME2.7 Aes Corretivas

Baseadas nas avaliaes e nos relatrios de controle

ME2 Monitorar e Avaliar os Controles Internos

0 Inexistente
Sem procedimentos a eficcia dos controles internos

1 Inicial
Reconhecimento da necessidade e gerenciamento de TI

2 Repetvel
Uso de relatrios informais

ME2 Monitorar e Avaliar os Controles Internos

3 Processo Definido
Apoio e institucionalizao dos controles internos

4 Gerenciado e Mensurvel
Implementao de estrutura para monitoramento dos

controles internos
5 Otimizvel
Programa corporativo de melhoria contnua

ME3 Assegurar a Conformidade com Requisitos Externos

ME3.1 Identificao Requisitos de conformidade com leis,

regulamentaes e contratos externos

Identificar continuamente exigncias de leis, regulamentos e

contratos locais e internacionais que devem ser atendidos.

ME3.2 Otimizao da resposta aos requisitos externos Revisar e ajustar polticas, padres, procedimentos e metodologias de TI para garantir o atendimento e comunicao dos requisitos legais e regulatrios.

ME3 Assegurar a Conformidade com Requisitos Externos

ME3.3 Avaliao da conformidade com requisitos externos Confirmar a conformidade de polticas, padres, procedimentos e metodologias de TI com os requisitos legais e regulatrios. ME3.4 Assegurar a conformidade Confirmar tomada de aes corretivas de maneira oportuna para resolver qualquer desvio no cumprimento das conformidades. ME3.5 Informes Integrados Integrao de informes de TI sobre requisitos legais, regulatrios e contratuais a informes similares pertencentes a outras funes do negcio.

ME3 Assegurar a Conformidade com Requisitos Externos

O gerenciamento do processo pode ser: 0 Inexistente Pouca consistncia sobre requisitos externos.
1 Inicial / Ad hoc
H consistncia. So adotados processos informais para manter a

conformidade, porm apenas quando h necessidade em novos projetos, reposta a auditorias ou anlises crticas.

ME3 Assegurar a Conformidade com Requisitos Externos

2 Repetvel, porm indutivo
Entendimento da necessidade de adeso.
No h abordagem padronizada: probabilidade de erros.

3 Processo Definido
Foram desenvolvidos e documentados processos. Existncia de treinamentos sobre requisitos.

Nem sempre podem ser cumpridos integralmente e podem

estar desatualizados ou ser inviveis. Pouco monitoramento.

ME3 Assegurar a Conformidade com Requisitos Externos

4 Gerenciado e Mensurvel
Completo entendimento da necessidade de assegurar a

conformidade. Esquema de treinamento formal. Reviso do ambiente para identificar requisitos externos e mudanas constantes.

5 Otimizado
Processo bem organizado, eficaz e obrigatrio. Funo central e nica que fornece coordenao para toda a

organizao. Vasto conhecimento dos requisitos externos aplicveis, tendncias futuras e mudanas previstas.

ME4 Prover Governana de TI

ME4.1 Estabelecimento de uma estrutura de governana de TI
Definio, estabelecimento e alinhamento da estrutura de governana de TI com a governana organizacional e o ambiente de controle. Estruturar conforme processos e modelos adequados e implementar prticas e responsabilidades claras para evitar falhas de controle interno e superviso. Gerao de relatrios sobre status da governana de TI e questes relacionadas.

ME4 Prover Governana de TI

ME4.2 Alinhamento estratgico A alta direo deve ser habilitada no entendimento das questes estratgicas de TI. Certificar-se de que h entendimento compartilhado entre o negcio e a TI. Comit de estratgia de TI, trabalhando com conselho do diretor, definindo e implementando.

ME4 Prover Governana de TI

ME4.3 Entrega de Valor Gerenciamento dos investimentos para assegurar maior valor possvel no suporte aos objetivos e estratgia do negcio. Abordagem disciplinada de gerenciamento de portflio, programas e projetos. Responsabilidades sobre investimento de TI.

ME4 Prover Governana de TI

ME4.4 Gerenciamento de Recursos Superviso de investimentos, uso e alocao de recursos de TI. Avaliaes peridicas visando assegurar a suficincia de recursos.
ME4.5 Gesto de Riscos Definir o apetite corporativo em conformidade com o diretor, obtendo assim segurana sobre a adequao das prticas de gerenciamento de TI. Assegurar que os riscos de TI no excedem o apetite de risco da alta direo.

ME4 Prover Governana de TI

ME4.6 Medio de Desempenho Confirmar os objetivos acordados de TI para verificar se foram atingidos ou excedidos e se seu progresso atende s expectativas. Reportar para a Alta Direo os portflios, programas e desempenho de TI relevantes.
ME4.7 Avaliao Independente Obter avaliao sobre a conformidade de TI com leis e regulamentos relevantes, polticas, padres e procedimentos organizacionais.

ME4 Prover Governana de TI

Gerenciamento do processo:
0 Inexistente No existe processo identificvel de governana de TI, nem comunicao sobre o assunto. 1 Inicial / Ad Hoc H reconhecimento sobre a necessidade, a direo tem apenas uma informao aproximada sobre o assunto. S existem comunicaes inconsistente e espordicas sobre as questes.

ME4 Prover Governana de TI

2 Repetvel, porm indutivo H conscientizao das questes de governana de TI. A diretoria tem conhecimento de tcnicas de avaliao e medio, mas no tem sido adotado na organizao. Pouca experincia com as funcionalidades.
3 Processo Definido compreendida a importncia da governana de TI. estabelecido treinamento. H monitoramento, porm podem existir desvios no detectados pela direo.

ME4 Prover Governana de TI

4 Gerenciado e Mensurvel Completo entendimento em todos os nveis. Responsabilidades claras e propriedade dos processos estabelecida. Integrao e alinhamento dos processos e da governana de TI. Definio de tolerncias sob as quais os processos devem operar. Monitoramento de indicadores de desempenho, gerando aprimoramentos para toda a empresa.

ME4 Prover Governana de TI

5 Otimizado Entendimento avanado apontando para o futuro. So utilizadas formas mais avanadas para treinamento e comunicao. Qualquer problema ou desvio tem sua causa-raiz analisada, e so identificadas e tomadas aes eficientes de maneira sistemtica. As atividades de governana de TI so integradas ao processo de governana corporativa.

Referncias
IT GOVERNANCE INSTITUTE (ITGI). CobiT framework. Ilinois: IT

Governance Institute, 2007.

TERZIAN, Franoise. Todo poder ao Cobit. Info CORPORATE, 2008.

Disponvel em: <http://info.abril.com.br/corporate/aplicacoes-degestao/todo-poder-ao-cobit.shtml>. Acesso em: 17 mai. 2010.