Você está na página 1de 11

COBIT FOUNDATION - APOSTILA DE RESUMO

GOVERNANA DE TI
O QUE GOVERNANA DE TI
um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize
adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos
servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI.
O Conselho de Administrao e os Executivos so responsveis pela Governana de TI.
STAKEHOLDER GOVERNANA DE TI
So pessoas ou elementos relacionados com as operaes de TI:

Fornecedores
Usurios
rgos pblicos
Governo
Acionistas
Diretores/ Executivos / Gerentes

ALINHAMENTO DA TI COM O NEGCIO


Verifica se os investimentos da empresa em TI esto em harmonia com objetivos estratgicos da
empresa.
Benefcios do Alinhamento Estratgico:
Valor agregado aos produtos e servios da empresa
Ajuda no posicionamento competitivo da empresa
Uso otimizado dos recursos
Custos eficincia administrativa aperfeioada
GERENCIAMENTO DE RISCOS
Os riscos so gerenciados de quatro formas:

Mitigao de Riscos:
Implementao de controles que protejam contra riscos, por exemplo, implementao de
um firewall de segurana.
Transferncia de Riscos:
Compartilhar riscos com parceiros ou contratar seguro apropriado.
Aceitao de Riscos:
Confirmao e monitorao de riscos, e ter um plano de resposta ao risco pronto.
Evitando os Riscos:
Adotar uma opo diferente que evite completamente o risco.

CARACTERSTICAS DE UM FRAMEWORK DE CONTROLE


Um Framework de Controle de TI deve conter as seguintes caractersticas:
Foco no negcio
Orientada a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
BENEFCIOS DA GOVERNANA DE TI

Confiana da Alta administrao


TI mais comprometida com o Negcio
Retorno sobre o Investimento (ROI) maior
Servios mais confiveis
Mais transparncia

INTRODUO AO COBIT
CONCEITOS BSICOS

COBIT = Control Objectives for Information and related Technology


O COBIT um framework e uma base de conhecimento para os processos de TI e seu
gerenciamento.
O COBIT no um padro definitivo, tem que ser adaptado para cada empresa
um framework de controle que tem o propsito de assegurar que os recursos de TI
estaro alinhados com os objetivos da organizao.
baseado na premissa que a TI precisa entregar informao que a empresa necessita
para atingir seus objetivos.
O princpio do framework do COBIT vincular as expectativas dos gestores de TI com as
responsabilidades dos gestores de TI.
Faz com que a TI seja mais responsiva ao negcio

FAMLIA DE PRODUTOS DO COBIT


Existe um mtodo

Como implementar
O mtodo ...

Como medir sua


performance

Os controles mnimos
so...

Como
auditar

MISSO DO COBIT
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia
que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de
negcio e auditores
O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE

Define uma linguagem comum para a rea de TI e negcio


Ajuda a atender os requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos de negcio

COMPONENTES DO COBIT

PROCESSOS DE TI
4 Domnios e 34 Processos de TI:
1.
2.
3.
4.

Planejamento e Organizao
Aquisio e Implementao
Entrega e suporte
Monitorao e avaliao

CRITRIOS DE INFORMAO
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os
critrios chamados requisitos de negcio

Requisitos de Qualidade
Qualidade
Custo
Entrega
Requisitos Fiducirios (Relatrio do COSO)
Eficcia e eficincia das Operaes
Confiabilidade das Informaes
Conformidade com Leis e Regulamentos
Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade

Eficcia: est ligado com a relevncia, utilidade da informao.


Eficincia: est ligado com a otimizao dos recursos.
Confiabilidade: est ligado com a informao correta.
Conformidade: relacionado com conformidades a leis, regulamentos.
Confidencialidade: proteo, segurana da informao.
Integridade: exatido, validez da Informao
Disponibilidade: informao disponibilizada quando requerida

RECURSOS DE TI

Aplicaes: sistemas automatizados e procedimentos manuais para processar


informaes
Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos
sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio.
Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados,
rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes.
Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar
suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos
ou terceirizados.

KEY GOL INDICATORS (KGI)


Indica se um processo de TI alcanou a sua meta em nvel de critrios de informao. Este tipo
de indicador usado aps a execuo do processo, no durante o processo.
KEY PERFOMANCE INDICATOR (KPI)
Determinam quanto o processo de TI conseguiu atingir em relao aos objetivos. So indicadores
que podem avaliar o processo enquanto ele est em execuo, desta forma permiti tomar aes
corretivas durante o processo.
GRFICOS RACI
Apresenta quem responsvel por cada atividade
COBIT X OUTROS PADRES

O COBIT compatvel com outros padres, um benefcio da sua adoo


O COBIT est em um nvel mais genrico, por isto pode ser utilizado para avaliar outros
processos implementados por outros frameworks como ITIL e ISO 17799
O COBIT pode ser aplicado depois que outros padres a nvel mais operacional j estejam
aplicados, j que o COBIT vai servir para auditar estes processos.
O COSO um framework para controle de interno, no somente de TI, pode ser utilizado
em qualquer rea de negcio. J o COBIT especfico para a TI, mas est alinhado com o
COSO.
O COBIT cobre todos os processos do ITIL, entretanto o ITIL mais detalhado.
O COBIT um framework que diz o que tem ser feito, no se preocupa em como fazer.
O COBIT atende os requisitos regulatrios nos quais a empresa est submetida. Por isto
pode ser utilizado para cumprir a conformidade com a SARBANES OXLEY.

OBJETIVOS DE CONTROLE
Como o Framework de Controle o COBIT tem 2 focos:
1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio.
2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que
precisam ser gerenciados por processos de TI.
MODELO DE PROCESSO DO COBIT

RESUMO DOS PROCESSOS MAIS IMPORTANTES


Domnio
PO

Processo
PO9 Assess and Manage IT Risks

PO10 Manage Projects


AI

AI4 Enable Operation and Use

AI6 Manage Changes


DS

DS1 Define and Manage Service Levels

DS2 Manage Third-party Services

Descrio
Cria e mantm um framework de gerenciamento de
riscos de TI. Todos os assuntos relacionados a
riscos esto envolvidos neste processo.
Envolve-se com todos os assuntos relacionados ao
gerenciamento de projetos de TI.
Preocupa-se em disponibilizar o conhecimento sobre
os novos sistemas. Este processo requer a produo
da documentao e manuais para usurios e TI, e
fornece treinamento aos usurios.
Incluem todas as mudanas, inclusive as mudanas
emergenciais, relacionadas com a infra-estrutura
Define os nveis de servios requeridos junto com os
cliente e monitora e emite relatrios para os
stakeholders.
Assegura os servios fornecidos por terceiros para
que estes satisfaam as necessidades do negcio.
Envolve-se com regras, responsabilidades e acordos
com terceiros.

DIRETRIZES DE GERENCIAMENTO E AUDITORIA


DIRETRIZES DE GERENCIAMENTO
As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs (Key Gol
Indicadors) e medidas de performance em forma de KPIs (Key Performance Indicators).

As Diretrizes de Gerenciamento do COBIT sugerem utilizar Balanced Business Scorecards, os


quais fornecem mtricas para alcanar as metas de TI. O scorecard tem 4 dimenses que
mapeiam as metas e indicadores de performance:

Para cada processo de alto-nvel sugerido um Grfico RACI com os responsveis por cada
atividade

MODELOS DE MATURIDADE
Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua
maturidade para um certo processo de inexistente (0) a otimizado (5). Os modelos de maturidades
fazem parte das diretrizes de Gerenciamento, e podem ser utilizados para fazer comparaes de
maturidade com outras empresas.

Inexistente
0

Inicial

Reptivel

Definido Gerenciado
3

Legenda para os Smbolos


Enterprise current
status
International standard
guidelines
Industry best
practice
Enterprise
strategy

Otimizado

Legendas para o Ranking


0
1
2
3
4
5

Processos de Gerenciamento no so aplicados a todos.


Os processos so desorganizados.
Os processos seguem um padro regular.
Os processos so documentados e comunicados.
Os processos so monitorados e medidos.
As melhores prticas so seguidas e automatizadas.

Modelo de Maturidade Genrico


0 Inexistente No existem controles
1 Inicial

J existem processos, s que no tem documentos, no existe padres.

2 Repetvel

Processos padronizados, s que falta documentao, comunicao

3 Definido

Os processos so formalizados, existe documentao, treinamento, comunicao


definida.

4 Gerenciado

Processos em aperfeioamentos, j fornecem as boas prticas. Mas faltam ferramentas


de automao,

5 Otimizado

Os processos j esto refinados a partir das melhores prticas identificadas. J existe


institucionalizao das melhores prticas.

DIRETRIZES DE AUTORIA
Fornece um guia de passos para ajudar os auditores internos e externos a avaliarem a
performance da organizao.
A estrutura do processo de auditoria geralmente aceita e compreende 4 estgios:

Um processo de TI auditado atravs da:

Obteno do entendimento dos riscos relacionados com os requisitos de negcio e


medidas de controle relevantes.

Avaliao dos controles determinados, avaliando se estes so apropriados.

Avaliao de conformidade atravs de testes que verifiquem se o controle


determinado est funcionando como previsto, de forma consistente e
contnua.

Substanciao dos riscos dos objetivos de controle que no esto


sendo atingidos atravs de anlises tcnicas ou consultando outras
fontes alternativas.

PRTICAS DE CONTROLE
As prticas de controle de TI fornecem mais detalhes de como e porque so necessrias para a
administrao, provedores de servios, usurios finais e profissionais de controle, para
implementar controles especficos baseados na anlise de operaes e riscos de TI.

PRODUTOS DO ITGI
COBIT ONLINE
Apresenta informaes do COBIT na web. Ele possibilita que vrios usurios naveguem,
pesquisem, compartilhem e utilizem a base de conhecimento. uma rea restrita aos assinantes.
Principais recursos do COBIT Online:

Download de arquivos PDF


Benchmarking para avaliar sua empresa com outras
Questionrios de avaliao
Comunidade para trocar idias com outros usurios

COBIT QUICKSTART
uma verso compacta do COBIT para que a empresa consiga se beneficiar deste. direcionado
para empresas de pequeno mdio porte.
GUIA DE IMPLEMENTAO DE GOV. DE TI
um roadmap para o Conselho de Administrao, gerncia executiva, profissionais de TI e
controle, profissionais de auditoria em TI e gerentes de conformidade.
COBIT SECURITY BASELINE
O COBIT Security Baseline fornece informaes sobre a segurana de uma maneira simples.
um kit de sobrevivncia para os Diretores, Executivos, Gerentes, Usurios profissionais e
domsticos.

Você também pode gostar