Você está na página 1de 24

Mdulo 2

Relacionamento entre os diversos padres de mercado:


COBIT, ITIL, ISO, COSO etc., o que governana de TI e
exerccios.
Modelo de Governana de TI
Modelos de Auditoria
COSO
COBIT
Sarbanes
Oxley
US Securities &
Exchange
Commission
S
i
s
t
e
m
a

d
e

Q
u
a
l
i
d
a
d
e
P
l
a
n
e
j
a
m
e
n
t
o

d
e

T
I
G
e
s
t

o

d
e

P
r
o
j
e
t
o
s
S
e
g
u
r
a
n

a

d
a

I
n
f
o
r
m
a

o
D
e
s
e
n
v
o
l
v
i
m
e
n
t
o

d
e

A
p
l
i
c
a

e
s
G
e
s
t

o

d
e

S
e
r
v
i

o
s
ISO
6 Sigma
Operaes da TI
BSC
PMBOK (PMI)
ISO 27001
CMM
ITIL
ISO 20000
Foco de atuao de cada padro
Estratgico
Controle
Processo
Execuo
Processo
Instruo
Trabalho
Domnios de TI
O que
Como
Melhores prticas internas
Por que usar
estruturas?
J existe
Estruturado
Melhores Prticas
Compartilhamento
de Conhecimento
Auditvel
O COBIT est posicionado no centro
ajudando a integrar parte tcnica, prticas
especficas com o negcio de forma geral.
O COBIT est posicionado no centro
ajudando a integrar parte tcnica, prticas
especficas com o negcio de forma geral.
Benefcios dos padres
Existem vrias razes para adotar um padro j definido:
A roda j existe: tempo dinheiro! Por que gastar tempo e esforo para desenvolver uma
nova estrutura baseada na experincia limitada da empresa ao invs de adotar um padro
internacional j existente?
Estruturado: os modelos de estrutura fornecem uma excelente base para que as
organizaes possam seguir.
Melhores prticas: os padres foram desenvolvidos ao longo do tempo a avaliados por
centenas de pessoas e organizaes em todo o mundo. Os anos de experincia nos
modelos no so apenas de uma empresa.
Compartilhamento de Conhecimento: seguindo os padres, as pessoas podem
compartilhar as mesmas idias entre as organizaes atravs de grupos de usurios, sites,
revistas, livros e assim por diante.
Auditvel: sem padres se torna difcil para os auditores, especialmente para os auditores
que so terceirizados, avaliar os controles, portanto muito melhor que os auditores
possam seguir padres ao invs de utilizar prticas de auditorias ainda em fase inicial de
uso.
O COSO declara que o controle interno um processo estabelecido pelo conselho, gerentes
e outros, desenhado para fornecer uma segurana razovel relacionada a realizao dos
objetivos declarados. uma estrutura aplicada para auditar processos em grandes
empresas e em qualquer atividade.
Relao com o COSO
O COBIT apresenta controles de TI se
preocupando com a informao em geral
- no apenas informao financeira
que necessria para suportar os
requisitos de negcio e os recursos e
processos associados com TI.
Da mesma forma que COSO identifica
5 componentes de controle para alcanar
os objetivos de reporte financeiro, o
COBIT proporciona um guia detalhado
para TI.
A diferena maior que o COSO
genrico, pode ser utilizado em qualquer
atividade da empresa, enquanto que o
COBIT voltado somente para a rea de
TI.
Objetivos atendidos pelo COBIT
Relao com o ITIL
O COBIT fornece uma estrutura que cobre todas as atividades de TI;
O ITIL mais focado no gerenciamento de Servios (domnio de Entrega e Suporte do
COBIT);
O ITIL mais detalhado e orientado a processos;
O COBIT ajuda a vincular as melhores prticas do ITIL aos os requisitos de negcio
e aos responsveis do processo de TI;
As mtricas do COBIT podem definir critrios de SLA (nveis de servio);
O COBIT e o ITIL no so mutuamente exclusivos e podem ser combinados para
uma boa Governana de TI, controle e melhores prticas para o gerenciamento de TI.
Tanto o ITIL como o COBIT so excelentes ferramentas para a TI aperfeioar processos
e alinhar as funes de TI com o negcio e requisitos regulatrios. Em cada processo deve
se utilizar as duas ferramentas juntas. Quando isto acontece, a empresa tem dois ganhos:
a curto prazo ter um esforo de trabalho nico e a longo prazo uma soluo de processo
e conformidade para TI.
Vejamos Principais caractersticas entre os dois:
Relao com o ITIL
O diagrama abaixo apresenta os principais livros da biblioteca do ITIL e o relacionamento com os
objetivos de controle dos 4 domnios do COBIT. Em cada livro da biblioteca do ITIL existe Objetivos de
Controle do COBIT que so aplicveis aos processos do ITIL.
Melhoria Contnua em TI
Para onde
queremos ir?
Onde estamos
Como
chegaremos l?
Como saberemos
se chegamos?
Viso e Objetivos
Avaliaes
Desenho e Gesto
de TI
Mtricas
A melhoria continua de TI exige uma seqncia de aes e os padres como COBIT,
COSO, ITIL, ISO 20000-1, ISO 27001/17799, CMM, PMI apiam a organizao nesta tarefa
ITIL, ISOs, PMI, CMM
COBIT, COSO
ISO 27001, SOX,
ISO 20000, ISO 9001
ITIL, COBIT, ISOs
O que Governana de TI?
um conjunto de estruturas e processos que visa garantir que TI suporte e maximize
adequadamente os objetivos e estratgias de negcio da organizao, adicionando
valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI.
Gerncia de TI e negcios
Superintendncia
Diretorias
Conselho
Presidncia
N N vel Estrat vel Estrat gico gico
N N vel Executivo vel Executivo
N N vel Gerencial vel Gerencial
Princpios bsicos:
Responsabilidade corporativa:
pensar e agir pela perenidade
da organizao, com
responsabilidade social e
ambiental
Prestao de Contas: obrigao
de prestar contas
Equidade: tratamento justo e
igualitrio
Transparncia: o desejo de
informar
ESTRUTURA TPICA
Governana de TI faz parte da Governana Corporativa
O aumento da demanda por transparncia e conformidade faz com que Conselho
Administrativo e Executivos estendam a governana para a TI e forneam liderana,
estruturas organizacionais e processos que assegurem que as estratgicas de TI
sustentem e atendam as estratgias e objetivos da empresa. A Governana de TI no um
disciplina isolada, ela parte integral da governana corporativa.
Governana
de TI
Governana
Corporativa
As responsabilidades na Governana de TI
fazem parte da estrutura de governana
corporativa e devem fazer parte da agenda
de planejamento estratgico dos diretores da
empresa. De forma mais simples, devido a
operao do negcio depender de TI, a
governana deve ser efetiva, transparente e
responsvel. Desta forma possvel
assegurar que as expectativas sobre TI sejam
alcanadas e os riscos sobre TI sejam
gerenciados.
Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed
Por que a Governana de TI importante?
Manter a TI
funcionando Segurana
Custo/benefcio
Gerenciar a
complexidade
Alinhar
TI com o negcio
Conformidade
com requisitos
regulatrios
Porque a estrutura em Governana de TI ir garantir que os objetivos acordados
para TI, controles de gesto e efetivo monitoramento do desempenho para manter
os resultados sobre controle e evitar resultados indesejados estejam implantados.
As organizaes requerem uma boa estrutura para gerenciar estes e outros
desafios como:
Diferena entre Gerenciamento de TI e Governana de TI
A diferena entre o Gerenciamento de Servios em TI e a Governana de TI tem sido
assunto de confuso e mitos. O Gerenciamento de TI foca em fornecer servios de TI e
produtos de forma eficiente e eficaz, e o gerenciamento das operaes de TI, j a
Governana de TI se preocupa com as operaes e performance dos negcios,
transformando e posicionando a TI para alcanar os requisitos de negcio.
Governana de TI e Gerenciamento de TI
Orientao ao
Tempo
Orientao ao
Negcio
Interno
Externo
Presente Futuro
Governana
de TI
Gerenciamento
de TI
Diferena entre Gerenciamento de TI e Governana de TI
Como introduzido anteriormente, uma das metas da Governana de TI se alinhar com os
objetivos de negcio definidos pela Governana Corporativa. Estas metas organizacionais
de alto nvel e objetivos so usados como entrada para gerar as metas, mtricas de
objetivos e performance necessrias para gerenciar a TI eficientemente. Ao mesmo tempo,
os processos de auditoria so implementados para medir e analisar a performance da
organizao e dos processos de TI.
Gesto
do
Sistema
de TI
Servios
Infra-
estrutura
Gerencia
e
Controla
Governana de TI
Governa
e Audita
Objetivos de Negcio
Questes a serem respondidas
Uma Governana de TI efetiva visa responder
adequadamente as questes a seguir.
A TI est sendo bem gerenciada?
Ns estamos fazendo as coisas certas?
Ns estamos fazendo elas da melhor maneira?
Elas esto sendo bem feitas?
Ns estamos alcanando os benefcios
desejados?
A TI est sendo controlada de forma apropriada
para manter os requisitos de integridade,
segurana e disponibilidade?
Exerccios
1) Como o COBIT pode auxiliar a manter a conformidade com a Sarbanes-Oxley?
2) O que a Sarbanes-Oxley?
Estes exerccios podem cair na prova de certificao para o COBIT, pense bastante antes de
ver a resposta na prxima pgina.
Resposta dos exerccios
1) O COBIT possui processos que auxiliam a manter a conformidade com a Sarbanes:
Adquirir e manter software aplicativo;
Adquirir e manter arquitetura tecnolgica;
Desenvolver e manter procedimentos de TI;
Instalar e certificar solues e mudanas;
Gerenciar mudanas;
Definir e gerenciar nveis de servio;
Gerenciar servios de terceiros;
Assegurar a segurana dos sistemas;
Gerenciar as configuraes;
Gerenciar problemas;
Gerenciar dados;
Gerenciar operaes.
2) A Sarbanes uma lei que faz com que os executivos sejam responsveis por estabelecer,
avaliar e monitorar a eficcia dos controles internos relacionados a relatrios financeiros.
Para muitas organizaes TI ser crucial para alcanar estes objetivos, sendo responsvel
por assegurar a qualidade e integridade das informaes geradas pelo sistema.
Famlia de Produtos do COBIT 4.0
Gerncia de TI e negcios
Prticas e
responsabilidades
Conselho e executivos
Medidas de desempenho
Objetivos de atividades
Modelos de maturidade
Gesto do negcio e da tecnologia
O que estrutura
de controle de TI
Como implementar
TI na organizao
Como garantir a estrutura
de controle de TI
Profissionais de governana, garantia, controle e segurana
Board briefing on IT
Governance, 2 Edition
Management
Guidelines
Control Prtices
Controle Objectives
COBIT Framework
IT Control Objectives
for Sarbanes- Oxley
IT Assurence Guide
COBIT Security
Baseline
COBIT Quickstart
IT Governance
Implementation Guide
Acesse o site www.isaca.org que
voc poder analisar em mais
detalhes o conjunto do material
Famlia de produtos COBIT
COBIT Online COBIT Quickstart
Guia de
Implementao
de Governana
de TI
COBIT Security
Baseline
Prticas de
Controle
COBIT Online
O COBIT online amplia as possibilidades de pesquisa e comparao para evitar riscos
empresariais, satisfazer necessidades de controle e obter informaes sobre aspectos
tcnicos. O COBIT online uma base de recursos na Internet, onde possvel baixar
diversos arquivos em PDF, postar dvidas na comunidade online, obter indicadores para os
objetivos de controles e realizar benchmark para avaliao de maturidade dos processos
com outras empresas do setor.
O COBIT Online est disponvel a partir do site www.isaca.org . Para obter acesso
necessrio ser membro do ISACA ou comprar uma inscrio de acesso.
COBIT Quickstart
O COBIT Quickstart possibilita voc adotar facilmente os elementos mais importantes do
COBIT. uma verso resumida dos recursos do COBIT, representa 20% do contedo. O
COBIT Quickstart foca nos Processos de TI, Objetivos de Controle e mtricas e ajuda os
usurios a ganhar rapidamente os benefcios do COBIT.
direcionado para empresas de pequeno e mdio porte onde TI no estratgica ou
absolutamente crtica para a sobrevivncia da empresa;
Fornece uma seleo dos itens bsicos do COBIT;
Fornece um fundamento das principais aes a executar;
Est disponvel a partir do COBIT online.
Guia de Implementao de Governana de TI
O Guia de Implementao de Governana de TI um roadmap para o Conselho de
Administrao, gerncia executiva, profissionais de TI e controle, profissionais de auditoria
em TI e gerentes de conformidade.
Este guia fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas
para implementar um ciclo de vida de Governana de TI contnuo usando o COBIT.
Este guia traz uma metodologia genrica nas seguintes reas:
Por que a Governana de TI importante e por que as
organizaes devem implement-la.
Como o COBIT est vinculado com a Governana de
TI e como o COBIT possibilita a implementao da
Governana de TI.
Partes Interessadas que tem interesse na Governana de TI.
Um roadmap para implementar a Governana de TI
usando o COBIT.
Cobit Security Baseline
O COBIT Security Baseline ajuda uma organizao a focar nos passos essenciais para
extrair as informaes mais importantes relacionadas a segurana da estrutura do COBIT.
Este documento uma destilao do COBIT para vrios grupos de usurios, sugerindo os
passos de controles mnimos para cada processo e objetivos de controle detalhados do
COBIT. Inclui tambm um mapa de controles relacionados com a ISO 17799.
um kit de sobrevivncia para os seguintes grupos de usurios:
Kit de sobrevivncia
Profissionais de TI
Auditores
Diretores
Gerentes
Prticas de Controle
As prticas de controle descrevem quase 1.600 Prticas de Controle, que estende a
hierarquia de Domnio-Processo-Objetivo de Controle. So mecanismos que do suporte
para alcanar os objetivos de controle, como preveno, deteco e correo de eventos
no desejados atravs do uso adequado dos recursos, gerenciamento de riscos apropriado
e alinhamento de TI com o negcio.
As prticas de controle detalham:
Como cada processo pode ajudar a controlar e a
gerenciar riscos;
Gerenciamento de riscos atravs da reduo da probabilidade
das conseqncias adversas das ameaas e vulnerabilidades;
Aumento dos benefcios atravs dos ganhos de eficincia e/ou
eficcia;
Indicadores de performance das Diretrizes de Gerenciamento
do COBIT;
Existem pelo menos duas prticas de controle detalhadas para
cada objetivo de controle.
Fim do Mdulo 2

Você também pode gostar