Você está na página 1de 18

COBIT 4.

1

Abordagem sobre governana de TI com base no modelo Cobit 4.1

- COSO -> Governana Corporativa -> Governana de TI.
- Governana: Poder, necessrio controle para conduzir de forma adequada:
- mecanismos para verificar que a empresa segue o fluxo correto;
- Necessrio controle sobre as operaes, desempenho mesmo com o tamanho (relatrios, etc.);
- TI importante e precisa de um timo controle pois as informaes precisam ser geradas com mxima confiana;
- Atravs da Ti que medido o desempenho, relatrios entre outras mtricas so geradas pela TI;
- COBIT -> no governana de TI, framework para governana de TI (Ferramenta de mercado j consolidada);
- IBGC - Instituto Brasileiro de Governana Corporativa:
- www.ibgc.org.br.
- Definies para Governana corporativa:
- Sistemas pelas quais sociedades so dirigidas e monitoradas, envolvendo relacionamento entre acionistas;
- Exemplo auditoria - interesse de controle;
- aumenta o valor da sociedade quando tem governana coorporativa (mais confiavel para os acionistas);
- Vista atender alguns interessados (Prestao de contas, Direo e controle, responsabilizao): investidos (principal alvo, geralmente o dono),
comunidade (exemplo caso empresa quebra desemprego), clientes (podem no receber o comprado), funcionrios, fornecedores, rgos reguladores, mdia.
- Governana de TI: faz parte da governana corporativa
- Estrutura e processos que garanta e at maximize os objetivos do negcio, estrutura que sustente o negcio;
- atua com gestor de negcios;
- deve ter seus objetivos organizacionais usados como input para gerar mtricas e metas de performance;
- prioriza ti conforme o negcio, devem atuar em conjunto para que ambos atinjam seus objetivos;
- Entre os objetivos do negcio e traar seu objetivo alinhando ao negcio!
- Benefcios: agilidade das informaes, integrao dos dados, mais ROI (se investe e faz o que precisa tem retorno), colabora para crescimento da
empresa, satisfao cliente (exemplo Itau Bankline), credibilidade, Valor agregado, uso otimizado de recursos (pessoas, sistemas, infraestrutura - quando a TI est alinhada
com o negcio - mesmo objetivo);
- Valor agregado aos produtos da organizao;
- agrega valor efetivamente.
- Uso otimizado de recursos;
- Contempla 5 reas de Foco:
- Alinhamento estratgico: garantia da ligao entre os planos de negcio e da TI:
- Foco alinhar a prioridade: no basta na viso de governana trabalhar muito, o mais importante definir prioridades e entregar
resultados;
- Entrega com Valor - entrega dos benefcios prometidos, atender o negcio;
- Gerenciamento de Riscos - Conscientizao do alto escalo sobre os riscos, entendimento de grau de risco:
- Necessrio entender qual "apetite" de risco da organizao;
- Transparncia sobre os ricos significativos para empresa e incorporao de responsabilidades;
- Mostrar os impactos para organizao;
- Deixar o negcio decidir ser tomara ao de redundncia sobre os riscos.
- Gerenciamento de Recursos: PAII (Pessoas, aplicaes, informaes e infraestrutura) gerencia adequada para entrega do servio:
- Evitar, Mitigar, Aceitar e Transferir;
- Gesto do Desempenho: monitorao da implementao da estratgia:
- a empresa est utilizando os recursos adequadamente, processos e entrega de servios;
- A gesto efetiva do desempenho necessita de indicadores definidos e aprovados pelas partes interessadas (StakeHolders);
- KPI - indicadores, relatrios gerenciais para apresentar a organizao se est no caminho correto.
- Benefcios indiretos como: atendimento a leis e regulamentao (exemplo banco, etc.);
- Maior transparncia
- Servios de TI mais confiveis;
- Aumento do ROI.
- Colabora na adoo de padres: ISO9001, ISO 20000, ISO27001, etc.
-mais controle (o que pregam as normas).
- Caractersticas de um framework (estrutura qualquer de controle, exemplo COBIT) de controle:
- Linguagem comum;
- Linguagem que o negcio, fornecedor, cliente e a TI tambm;
- Atendimento a requisitos regulatrios;
- Atender a questes de governo, bancos centrais, etc.
- Geralmente aceito;
- Orientao a processos;
- Foco no negcio;

- COBIT - Control Objectives for information and Related Technology - Framework para governana (Objetivos de controle para informaes e tecnologia relacionais):
- No procedimento e sim *Objetivo de controle para TI*;
- Qual a vantagem primaria de adotar o COBIT? - Alinhamento dos frameworks;
- O que melhor para o negcio, o que o negcio demanda (orquestra os frameworks);
- Estrutura para governana e controle de TI;
- Desenvolvido a partir do COSO*(Comitee Sponsoring Organizations of the Treadway
Comission, Comit de organizaes patrocinadoras - controles internos dentro da prpria organizao, entendimento atravs de relatrios gerados via TI) e prticas de
mercado em TI -
www.coso.org;
- Atende os requisitos de um framework de controle;
- independente de plataformas de TI, ou tipo de negcio;
- Focado no negcio;
- Misso: "...modelo de controle para governana de TI atualizado e internacionalmente reconhecido..."
- Mantido pela ISACA (Information System Audit and Control Association).
- COBIT 5 2012;
- ISACA - Information System Audit and Control Association;
- ITGI -organizao criada pela ISACA
- Organizao focada no COBIT
- Publicaes criadas para documentao focada em COBIT.
- Desafios da TI:
- Manter a Ti em funcionamento;
- Gerenciar fornecedores;
- Gerenciar a alta complexidade;
- Alinhar TI aos negcios;
- Atender leis e regulamentos;
- Permitir a continuidade do negcio;
- Agilizar as mudanas.
- Por que os projetos de TI falham?
- Falta de envolvimento/no comprometimento dos Stakeholders;
- Cliente as vezes no foca e no auxilia seu projeto, etc.;
- Requisitos incompletos dos usurios;
- Geralmente no sabe geralmente o que quer;
- Se os requisitos forem incompletos comprometem o projeto, etc.
- Falta de recursos;
- suporte gerencia;
- mudana de escopo, etc.
- Expectativas no realistas;
- Falta de suporte executivo;
-Mudanas de escopo.

- A estrutura em 4 domnios;
- Baseia-se na premissa que a TI deve entregar a informao que o negcio precisa para atingir seu objetivo;
- Recursos de TI (gerenciados pelos processo de TI): pessoas aplicaes e Infra;
- Critrios da informao:
- Eficcia, Eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade;
- Requisitos de qualidade:
- Eficcia e;
- Eficincia das operaes.
- Requerimentos de segurana:
- Confidencialidade;
- Integridade;
- Disponibilidade.
- Requerimentos Fiducirios (COSO):
- Conformidade com leis e regulamentos;
- Confiabilidade dos relatrios.
- So 34 processos agrupados em 4 domnios (PO, AI, DS, ME), tem 210 objetivos de controle:
- Domnio PO (Planejar e Organizar): Foca nos aspectos estratgicos de forma que a TI contribua para que os objetivos do negcio possam ser atingidos:
- PO1 Definir um plano estratgico de TI;
- Alinhar efetivamente um processo.
- PO2 Definir a arquitetura de informao;
- PO3 Determinar as diretrizes de tecnologia;
- PO4 Definir os processos, a organizao e os relacionamentos de TI:
- estrutura/organograma de TI alinhado com negcio;
- PO5 Gerenciar os investimentos de TI:
- Processo para cuidar do dinheiro recebido.
- PO6 Comunicar Metas e Diretrizes Gerenciais
- Padro para comunicao;
- PO7 Gerenciar os recursos humanos de TI;
- PO8 Gerenciar a qualidade (QMS);
- PO9 Avaliar e gerenciar os riscos de TI;
- PO10 Gerenciar os projetos. (Cai na prova)
- Domnio AI (Adquirir e Implementar): Realizar a estratgia de TI a partir da identificao, desenvolvimento ou aquisio de solues de TI. Este domnio
tambm cobre as mudanas dos sistemas (novos ou existentes) para garantir que estes operem sem interrupes - se faz com Gerenciamento de mudanas de forma
transparente -:
- AI1 Identificar solues automatizadas;
- AI2 Adquirir e manter software aplicativo;
- AI3 Adquirir e manter infraestrutura de tecnologia;
- AI4 Habilitar operaes e Uso; (cai na prova)
- AI5 Adquiri recursos de TI;
- AI6 Gerenciar Mudanas; (cai na prova)
- AI7 Instalar e Homologar Solues e mudanas;
- Domnio DS (Delivery and Suport - Entregar e Suportar): Foca na entrega atual de servios, gerenciamento da segurana e continuidade, suporte a usurios
e gerenciamento de dados e facilidades operacionais:
- DS1 Definir e gerenciar nveis de servio;
- DS2 Gerenciar servios Terceirizados; (cai na prova)
- DS3 Gerenciar o desempenho e capacidade;
- DS4 Assegurar a continuidade dos servios;
- DS5 Garantir a segurana dos sistemas;
- DS6 Identificar e alocar custos;
- DS7 Educar e treinar os usurios;
- DS8 Gerenciar a central de servios e os incidentes;
- DS9 Gerenciar a configurao;
- DS10 Gerenciar problemas;
- DS11 Gerenciar os dados;
- DS12 Gerenciar o ambiente fsico;
- DS13 Gerenciar Operaes.
- Domnio ME (Monitorar e Avaliar): enderea o gerenciamento da performance, monitorao de controles internos, conformidade e governana.
- ME1 Monitorar e avaliar a performance da TI; (cai na prova)
- Consolidao e gerao de relatrios gerenciais;
- Definies de padres de relatrios;
- Definir padres de armazenamentos dos relatrios.
- ME2 Monitorar e avaliar os controles internos;
- ME3 Assegurar a conformidade com requisitos externos;
- ME4 Prover governana de TI.
- Diretrizes de Gerenciamento (bonita software - Open Source - Desenho de Processos):
- Tabela RACI (Necessrio para definir papeis, quem ser responsvel pelo o que, torna transparente e define quem ser cobrado pelo o que):
- Responsible: Quem ser cobrado pela execuo da tarefa;
- Accountable: Quem tem propriedade sobre a atividade e presta contas (Gerente);
- Consulted: Pessoa envolvida na orientao em determinadas atividades;
- Informed: Quem deve ser atualizado sobre o progresso de uma tarefa.
- OM e PI:
- OM - OutCome Measure ou Key Goal Indicator (KGI):
- Indica se um processo de Ti alcanou sua meta a nvel de critrios de informao. Este tipo de indicador usado aps a execuo do
processo, no durante o processo.
- Medida de resultado;
- implementaes para melhoria;
- Parcial ou final.
- PI - Performance Indicator ou Key Performance Indicator (KPI):
- Determina quanto o processo de TI conseguiu atingir em relao aos objetivos. So indicadores que podem avaliar o processo enquanto
ele est em execuo, desta forma permite tomar aes corretivas durante o processo;
- medidas parciais em execuo;
- Aes corretivas;
- Avaliaes do profissional, etc.
- Modelo de maturidade (dica contratar profissional de Letras para criar procedimentos e padres):
- Avaliar como estamos em relao aos processos (por processo):
- 0 - no praticamos gerenciamento de processos;
- 1 -Processos so ad hoc;
- cada caso um caso - inicial (ex: um departamento prtica outro no), por falta de padronizao e boa gesto;
- falta de instruo, conhecimento, capacitao;
- 2 - Processos seguem um caminho padro;
- repetitivo/intuitivo;
- processo seguido porm informal, seguido por replicao de pessoas sem documentao.
- 3 - Processo so documentados e comunicados;
- Processo definido;
- Procedimentos/Padres;
- documentao;
- treinamento;
- biblioteca como repositrio de informao;
- ferramentas;
- capacitao.
- 4 - Processos so monitorados e medidos;
- Gerenciado e medido;
- monitorao;
- indicadores;
- 5 - Boas prticas so seguidas.
- Otimizado;
- Melhoria continua.

- Produtos do ITGI (IT Governance Institute) - Diviso do ISACA focada no COBIT (publicaes):
- Cobit Online:
- Cobit na Web:
- O mais atualizado;
- download dos arquivos;
- Benchmarking (avaliao dos seus processos com outras empresas);
- Comunidade para troca de informaes experincias;
- Usurios podem personalizar verses do COBIT.
- QuickStart:
- Verso compacta do COBIT, direcionada a empresas de mdia e pequeno porte;
- Pode ser utilizado em empresas grandes como primeiros passos;
- Incio rpido;
- 56 objetivos de controle.

- COBIT Implementation GUIDE (Guia para implementao da governana):
- Prov uma metodologia, um Road Map detalhado e um tollset para implementar a governana de TI utilizando COBIT.
- Assurance Guide: Guia para atividades de garantia
- Tem um Roadmap de 3 estgios:
- Planejamento:
- Definiao do universo da garantia;
- o que visa garanta com o controle.
- Escopo:
- Garantir os recursos necessrios.
- Execuo:
- Nos diz sobre a etapa de testes:
- Testes de eficacia do controle;
- Homologao, avaliar se o controle eficaz na organizao;
- Se o mesmo funciona.
- Testes do resultado do controle:
- Verificar evidencias;
- Porque? Para auditoria;
- Comprovar que est fazendo corretamente (exemplo registro de mudana).
- Segurity Baseline: Informaes sobre segurana em linguagem simples para executivos, gerentes, usurios e domsticos:
- Serve como nontechinical security guide e um quickstart para os objetivos de segurana.

- Val IT Enterprise Value Governance of IT Investments (Framework no incluso no COBIT 4.1, porm incluso no 5):
- Criado por ISACA, ITGI e outros contribuintes como Ernest Young;
- Framework para investimento em TI;
- foca decises de investimentos e realizao dos benefcios;
- Controle no dinheiro que entra em TI;
- Questes VAL IT (Four R's - Are):
(Treinamento Gratuito online FGV)
- Estratgica: Estamos(Are) fazendo as coisas certas?
- "O investimento est em linha com nossa viso...?";
- Arquitetura: Estamos(Are) fazendo de forma certa?
-"O investimento est em linha com nossa arquitetura...?";
- Entrega: Estamos(Are) conseguindo faz-las bem?
-"Temos recursos disponveis para entregar capacidades requeridas?";
- Valor: Estamos(Are) conseguindo benefcios?
-"Temos compreenso dos benefcios esperados, entrega de benefcios, mtricas relevantes...?";





COBIT 4.1 - Continuao

- Governana de TI de responsabilidade dos executivos e alta direo, constitui aspectos de liderana, estrutura organizacional e processos que garantam que a rea
de TI da organizao suporte e aprimore os objetivos e as estratgias da organizao;
- Fortemente focadas mais nos controles e menos na execuo;
- Alinhamento estratgico: Foco em ligao do plano de negcio e TI;
- Entrega de Valor: Garantia de entregar o que foi prometido;
- Gesto de recursos: PAII;
- Gesto de Riscos: Entendimento claro do Apetite;
- Mensurao e Apetite: monitorar a implementao da estratgia;

- COSO: Controle interno para corporaes
- COBIT: modelo de controles internos geralmente aceitos para rea de TI;
- Board Briefing: Resumo para o alto escalo da empresa (Executivos, etc.);

- Misso: Modelo de controle para governana de TI atualizado e internacionalmente reconhecido.
- Critrios de informao:
- Efetividade:
- Em tempo;
- Eficincia:
- Melhor uso dos recursos;
- Confidencialidade:
- Proteo de informaes;
- Integridade:
- Acurcia (exatido);
- Fidedignidade;
- Totalidade.
- Disponibilidade:
- Salvaguarda.
- Conformidade:
- Aderncia a leis;
- Regulamentos;
- Obrigaes.
- Confiabilidade:
- Fiducirias.
- Recursos de TI:
- Aplicativos;
- Informaes:
- Dados dos processos;
- Procedimentos.
- Infraestrutura:
- Tecnologias e recursos (hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimdias e os ambientes que
abrigam e do suporte a eles).
- Pessoas:
- profissionais da TI.
- Modelos de maturidade:
- Para que serve?
- Saber: Onde voc est (estgio atual da empresa);
- Saber: Mdia do mercado;
- Saber: Meta da empresa.
- 0: Inexistente (No existe o processo);
- 1: ad hoc (aplicados individualmente ou caso-a-caso);
- 2: caminho padro (procedimentos similares so seguidos por diferentes pessoas);
- 3: documentos e comunicados (Procedimentos foram padronizados, documentados e comunicados atravs de treinamento);
- 4: monitorados e medidos ();
- 5: boas prticas (continuo aprimoramento).
- Manter a reputao da empresa depende dos objetivos do negcio e TI;
- grande parte das empresas o objetivo da TI apenas o andamento para o negcio.
- Performance do processo:
- Tem Entradas;
- As descries dos objetivos de controle do processo;
- As sadas;
- Objetivos e mtricas;
- Tabela RACI;
- Modelo de maturidade.
- Planejar e Organizar (todos os processos tem entradas e sadas porm no necessariamente do em outro processo)
- PO10: Gerenciar Projetos (Alinhamento estratgico)
- Reviso ps-implementao;
- Que satisfaa os requisitos:
-Tempo;
- Oramento;
- Qualidade;
- Com Foco em:
- aplicaes;
- infraestrutura;
- pessoas.
- PO10.1 Estrutura de gesto de programas
- programa com estrutura de projetos.
- PO10.4 Comprometimento das partes interessadas
- Garantir entregas.
- PO10.8 Recursos do Projeto
- Definir Responsabilidades;
- Contratao de produtos e servios necessrios para cada projeto e planejado;
- Categorizar;
- gerencia para atingir objetivos do projeto.
- PO10.11 Controle de mudanas de projeto
- Mudana de escopo
- formalizar alteraes
- sem perda de foco
-PO10.14 Concluso do projeto
- Relatrios;
- Finalizar o projeto formalmente.

-Tabela RACI:
- R (Responsvel) = 1 a N;
- A (Responsabilizado) = 1 a 1;
- C (Consultado) = 0 a N;
- I (Informado) = 0 a N.

- Certificaes pouco importam as certificaes PMP, entre outros o que interessa ao negcio o Resultado (Tempo, oramento, qualidade, etc.);
- Adquirir e Implementar:
-AI4 Habilitar Operao e Uso (Entrega de Valor)
- Documentao;
- Manuais;
- Treinamentos;
- Transferncia de conhecimento;
- Uso bem sucedido do sistema.
-AI6 Gerenciar Mudanas (Entrega de Valor)
- Incluso de manuteno e correes emergenciais;
- Formalmente gerenciadas;
- De maneira controlada.
- atender requisitos de negcio em alinhamento com estratgia da organizao;
- Controlar avaliao de impacto.

- Descrio de Processo
-DS2 Gerenciar Servios terceirizados (Entrega de valor, Gesto de Riscos)
- Bons Contratos;
- Bons Fornecedores;
- Gerenciar servios terceirizados;
- Fornece servios terceirizados satisfatrios, transparentes referente a custo e riscos;
- Estabelecer relacionamentos e responsabilidades bilaterais.

- Monitorar e Avaliar
- ME1 Monitorar e avaliar o desempenho de TI (Mensurao de desempenho
- Monitoramento;
- indicadores de desempenho relevantes;
- monitoramento necessrio para assegurar que as atividades corretas estejam sendo feitas;
- Transparncia e entendimento de custos;
- benefcios;
- estratgia;
- polticas e nveis de servios de TI;
- conformidade com os requisitos de governana.