Governana de TI: O que

COBIT ?
 Agenda
Governana de TI
Metodologia COBIT
Relacionamento do COBIT com os
modelos de melhores prticas
Governana de TI em 2006
Estudo de Caso
Referncias
 Governana de TI
De acordo com o IT Governance
Institute (2005)
A governana de TI de responsabilidade
de alta administrao (incluindo diretores
e executivos), na liderana, nas estruturas
organizacionais e nos processos que
garantem que a TI da empresa sustente e
estenda as estratgias e objetivos da
organizao.
 Governana de TI
Fatores motivadores da Governana de TI
Ambiente de Integrao
Negcios Tecnolgica

Governana
de TI Segurana da
Marcos de Informao
Regulao

Dependncia do
Negcio em
Relao TI
 Governana de TI
Framework para Gerenciamento de TI
A Governana de TI, quando implementada de forma
integrada:
Permite que a empresa gerencie de forma eficiente seus
investimentos em recursos tecnolgicos e suas informaes
transformando-as em maximizao de benefcios,
oportunidades de negcio e vantagem competitiva no
mercado.
A estrutura do COBIT- Control Objectives for
Information and Related Technology foi idealizada
de forma a atender s necessidades de controle da
organizao relacionadas Governana de TI.
 Histrico do COBIT
O COBIT foi criado em 1994 pela ISASFC (
Information Systems Audit and Control Foundation,
ligado ISACA).
Em 1998, foi publicada a sua 2 edio, contendo
uma reviso nos objetivos de controle de alto nvel
e detalhados, e mais um conjunto de ferramentas
e padres para implementao.
A 3 edio foi publicada em 2000 pelo IT
Governance Institute ( ITGI).
 Histrico do COBIT
O modelo evoluiu novamente em 2005 para
a verso 4.0, atravs de prticas e padres
mais maduros.
O COBIT est em conformidade com as
regulamentaes, do foco mais acentuado na
governana de TI, nos nveis mais elevados e
da ampliao da sua abrangncia para um
pblico mais heterogneo (gestores,
tcnicos, especialistas e auditores de TI).
COBIT 4.1 -2007
 Pblico Alvo do COBIT

Gesto Executiva

Gesto de Negcios

Gesto de TI

Auditores
 Objetivo do COBIT
Contribuir para o sucesso da entrega de produtos e
servios de TI, a partir da perspectiva das necessidades
do negcio, com um foco mais acentuado no controle
que na execuo.
Focos da Governana de TI, na viso do COBIT
 Estrutura do COBIT
Consiste de um conjunto de 210 Controles,
organizados em 34 Processos que so
agrupados em 4 Domnios, aplicveis aos
sistemas e TI.
Principais Caractersticas
Foco nos requisitos do negcio
Orientao para uma abordagem de processos
Utilizao de mecanismos de controles
Direcionamento para a anlises das medies e
indicadores de desempenho obtidos ao longo do
tempo
 Estrutura do COBIT
Foco no Negcio
Recursos de TI

Aplicaes, Informao, Infra-estrutura

e Pessoas
Critrios de Controle

Eficincia,Eficcia, Confidencialidade,

Integridade, Disponibilidade,
Conformidade com regulaes(
Compliance) e Confiabilidade.
 Estrutura do COBIT
Controle atravs de objetivos
Os objetivos de controle do COBIT procuram atestar
como cada processo faz uso dos recursos de TI para
atender de forma primria ou secundria cada
requerimento do negcio em termos de informao,
cobrindo todos os seus aspectos:

Primrio (P) Indica o nvel no qual o objetivo de controle

definido tem impacto direto no critrio de informao.
Secundrio (S) Indica o nvel no qual o objetivo de controle
definido apenas satisfaz o critrio de informao, podendo ser
em pouca extenso ou inclusive indiretamente.
No Preenchimento Poderia ser aplicvel, todavia outro
critrio de avaliao mais adequado a este processo.
 Estrutura do COBIT
Controle atravs de objetivos
 Objetivos de Controle
PO9 Avaliar e Gerenciar os Riscos de TI

atingido mediante
Garantindo que o gerenciamento de risco est totalmente embutido no processo de
gerenciamento, internamente e externamente, e consistentemente aplicado;
Avaliao da performance dos riscos;
Recomendao e comunicao dos planos de ao para correo dos riscos.

e medido por
Percentual de objetivos crticos de TI cobertos pela avaliao de riscos;
Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos;
Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.
COBIT- Componentes Inter-relacionados
Negcio

requisitos informao

Processos
de TI

Objetivos de
Controle

Diretrizes
Metas das Prticas de
Atividades
para
Controle
Auditoria

Modelos de
KPI KGI
Maturidade
 Estrutura do COBIT
Modelos de Maturidade
Nvel 0 (Inexistente): Processos de gesto no so
aplicados;
Nvel 1 (Inicial): Processos so espordicos e
desorganizados;
Nvel 2 (Repetitivo): Processos seguem um padro de
regularidade;
Nvel 3 (Definido): Processos so documentados e
comunicados;
Nvel 4 (Gerenciado): Processos so monitorados e
medidos;
Nvel 5 (Otimizado): Boas prticas so seguidas e
otimizadas.
 Estrutura do COBIT
Metas e medies de desempenho
Indicadores-Chave de Metas (KGIs)

Definem as medies que informam gerncia

se um processo de TI atingiu os objetivos de
negcio;
Indicadores-Chave de Desempenho (KPIs)
Definem as medies que informam gerncia
o quanto os processos de TI esto sendo bem
executados no sentido de viabilizar o
atendimento dos objetivos de negcio.
 Estrutura do COBIT
Fatores Crticos de Sucesso
Define as questes ou aes mais
importantes para obter o controle sobre os
processos de TI, estrategicamente,
tecnicamente e em termos organizacionais
ou procedurais.
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI
Modelo de Maturidade: Controle sobre o processo de TI
de Avaliar e Gerenciar Riscos de TI com o objetivo de
negcio de suportar decises da administrao atravs do
atingimento dos objetivos de TI e fazer frente s ameaas
mediante a reduo da complexidade, o aumento da
objetividade e a identificao de importantes fatores de
deciso.
0 Inexistente A avaliao de risco para processos e

decises de negcio no ocorre. A organizao no

considera os impactos do negcio associados com as
vulnerabilidades da segurana e com as incertezas do
projeto do desenvolvimento. A gerncia de risco no foi
identificada como relevante para adquirir solues de TI
e entrega de servios de TI.
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI
1 Inicial A organizao est ciente de suas
responsabilidades e obrigaes legais e
contratuais, mas considera os riscos de TI de
uma maneira ad hoc, sem seguir processos ou
polticas definidas. As avaliaes informais do
projeto de risco ocorrem como determinado por
cada projeto. As avaliaes de risco
provavelmente no so identificadas
especificamente dentro de um projeto planejado
ou so atribudas aos gerentes especficos
envolvidos no projeto.......
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI
2 Repetvel mas Intuitivo H
emergente compreendimento que riscos
de TI so importantes e necessrios
serem considerados. Alguma abordagem
avaliao de risco existe, mas o processo
ainda imaturo e em desenvolvimento. A
avaliao est geralmente em um alto-
nvel e tipicamente aplicada somente
aos projetos principais.....
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

3 Processo Definido Uma ampla poltica

de gesto de risco na organizao define
quando e como conduzir as avaliaes de
risco. A avaliao de risco segue um
processo definido que est documentado e
disponvel a toda a equipe de funcionrios
treinada. As decises para seguir o processo
e para receber o treinamento so deixadas
discrio do indivduo.....
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI
4 Gerenciado e Medido A avaliao do risco
um procedimento padro e as excees para seguir
o procedimento esto sendo observadas pela
gerncia de TI. provvel que a gesto de risco de
TI uma funo definida da gerncia com nvel de
responsabilidade snior. O processo avanado e o
risco avaliado no nvel do projeto individual e
tambm regularmente no que diz respeito a
operao de TI por toda a parte......
 Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

5 Otimizado A avaliao de risco foi

desenvolvida ao estgio onde um amplo
processo estruturado na organizao
reforado, seguido regularmente e bem
controlado. O brainstorming e a anlise de
causas de risco, envolvendo os indivduos
peritos, so aplicados atravs da organizao
inteira. A captura, a anlise e relato de dados
da gesto de risco so altamente
automatizados......
 Estrutura do Cubo COBIT
Recursos de TI so gerenciados por Processos de TI,
para atingir Metas de TI, que por sua vez esto
estreitamente ligadas aos Requisitos de Negcio.
Requisitos de Negcio
Processos de Ti KGI

Infra-estrutura
Pessoas
Informao
Aplicaes
KPI
 Implementando COBIT
Documentao
Mapeamento dos processos de negcio

Definio de polticas

Identificao dos objetivos de controle

Definio de diretrizes

Implementao
Divulgao

Conscientizao

Gesto dos processos

Benchmarks das prticas de controle de TI
(Modelo de Maturidade CMM)
Fatores Crticos de Sucesso

Indicadores de Objetivos

Indicadores de Performance
 Aplicabilidade do COBIT
Avaliao dos processos de TI
Auditoria dos riscos operacionais de TI
Implementao modular da Governana
de TI
Realizao de benchmarking
Qualificao de fornecedores de TI
 Relacionamento dos Modelos de
Melhores Prticas

Nas duas ltimas dcadas vem surgindo e

sendo elaborada uma srie de modelos de
melhores prticas de TI
Alguns desses modelos so originais e
outros so derivados e/ou evoludos de
outros modelos
Exemplos:
CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCM-
SP, PMBOK, BSC, SAS-70
Estudo de Caso

Estudo de Caso:
Accor Services Brasil
 Perfil da Empresa
Accor Services- Grupo mundial de
Hotelaria, Turismo e Servios com
volume de negcios de R$ 7,0 bilhes em
2004.
No Brasil, o Grupo Accor atua fortemente
no ramo de hotelaria e servios
diversificados, como os hotis Sofitel,
Mercury, bis, Formule 1 e Parthenon
Flats, e alinha de servios representada
pelos produtos Ticket restaurante, Ticket
alimentao
 Histrico de TI
At 1999, a rea de TI apresentava a seguinte
situao:
Cada aplicao focava um nico produto
Os sistemas eram heterogneos e no estavam
totalmente integrados
A arquitetura de TI no atendia crescente
necessidade de flexibilidade
Altos custos de manuteno dos sistemas
Infra-estrutura no estava totalmente alinhada com as
necessidades do negcio
Baixo valor agregado que TI fornecia ao negcio
 Reformulao de TI
De 2000 a 2004, efetuada a implementao do
ERP e CRM
A rea de Infraestrutura de TI foi transferida para
IBM em um contrato de full outsourcing e a parte
de telecomunicaes com a Embratel
As arquiteturas de TI passaram para a WEB, ao
contrrio do cliente/servidor
Foi criada uma rea de Segurana da Informao
Em 2003, foi elaborado e implementado o BSC da
rea de TI
A partir de 2004, aes voltadas para Governana
de Ti comearam a ser pensadas e implantadas
 O Programa de Governana de Ti
O programa de desenvolveu em dois momentos.
Em 2004, o primeiro momento consistiu nas
seguintes aes:
Reorganizao da gesto operacional de
outsourcing
Implantao do Escritrio de Projetos vinculado a
diretoria de TI
Implantao de ferramentas para a gesto de
demandas e projetos
Desenvolvimento da metodologia de gesto e de
desenvolvimento de sistemas e processos
 O Programa de Governana de Ti

O segundo momento aconteceu em 2005,

com aes tais como:
Criao de um modelo de governana
Gesto do Portfolio de Projetos pelo Escritrio
de Projetos
Forte capacitao dos recursos humanos em
planejamento de projetos e em tecnologia
 O Programa de Governana de Ti

Como a Governana de TI evoluiu ao

longo do tempo, novas aes esto sendo
planejadas para 2006:
Administrar a TI como se fosse uma empresa
Implantar processos alinhados com a ITIL
Mudar a forma de comunicao com o negcio
 Resultados alcanados at o momento
O volume de negcio mais que duplicou
nos ltimos cinco anos
O custo de TI, proporcionalmente ao
resultado, caiu em mais de 30% e com
melhor nvel de servio
A satisfao do usurio aumentou em
mais de 50% de 2000 a 2004
O backlog diminuiu de 40% para 10%
 Utilizao do COBIT- Exemplos
Banco Bradesco
Investimento de 1.2 bilhes no projeto Melhorias TI
nos prximos 6 anos
Banco Nossa Caixa
Em cerca de dez dias, depois de divulgado as prticas
de Governana de TI, as aes da Nossa Caixa
valorizaram mais de 4%, superando o Ibovespa,
principal ndice de preos da bolsa, no mesmo perodo.
O Cobit tambm tem sido adotado pelas
organizaes de TI de grandes bancos (Ita,
Bradesco) e de grandes empresas (Grupo
Votorantim, Petrobrs, Gerdau, Grupo Abril).