Escolar Documentos
Profissional Documentos
Cultura Documentos
1 Foundation
Aspectos Gerais sobre Governança de TI
1
Evolução da TI
2
Papel da TI
3
Desafios da TI
4
Desafios da TI
5
Perguntas a serem respondidas
Governança de TI
6
O que é governança?
7
A necessidade de Governança de TI
Segurança Manter TI
operacional
Alinhamento Gerenciar
de TI com ambiente
o negócio complexo
Atender a
Valor/Custo
Órgãos reguladores
Isto garante que os objetivos traçados por TI, bons controles gerenciais e um
efetivo monitoramento de performance são mantidos na trilha e evitam
situações inesperadas .
8
A necessidade de Governança de TI
9
Governança de TI, como definido pelo ITGI
Governança de TI é:
• Responsabilidade do Comitê de Direcionamento
e/ou Comitê Executivo
• Uma parte da Governança Corporativa,
consistindo de liderança, estrutura organizacional
e processos de forma a garantir que a
organização de TI sustentará e extenderá os
objetivos e estratégias da Organização.
www.itgi.org
www.itgi.org
Fonte: Surveys by PwC for the IT Governance Institute Sep-Oct 2003 a Sep-Oct 2010
10
Governança Corporativa direciona Governança de TI
Governança Corporativa é:
Conformidade
• Aderente a legislação, políticas internas,
requisições de auditoria, etc.
Performance Performance
• Melhoria nos resultados, eficiência, eficácia,
crescimento, etc.
Conformidade
11
Áreas de Foco de Governança de TI
Alinhamento Tem como foco garantir uma integração do negócio com os planos de TI; na
definição, manutenção e validação das proposições de valor para TI; e no
Estratégico alinhamento das operações de TI com as operações corporativas
12
Partes Interessadas na Governança de TI
13
Trabalhando Governança de TI
14
COBIT prove um Framework para Governança de TI
COBIT:
Inicia com os requisitos de negócio
É orientado a processo, as atividades de TI da organização
dentro de um modelo de processo geralmente aceito.
Identifica os maiores recursos de TI a serem estabilizados
Incorpora os maiores padrões internacionais
Tem como foco o padrâo “de fato” para todos os controles de
TI.
15
Como o COBIT pode ajudar na implementação de uma efetiva
Governança de TI?
16
COBIT e outros Frameworks para TI
COSO
COBIT
ISO 17799
ISO 9000
Escopo de Cobertura
17
Onde o Cobit se posiciona?
CONFORMIDADE
Drivers PERFORMANCE
Basel II, Sarbanes-
Objetivos do Negócio Oxley Act, etc.
Balanced
Governança Corporativa COSO
Scorecard
Comissão Nacional sobre Fraudes em Relatórios Financeiros
Governança de TI COBIT
18
COBIT Framework
19
COBIT: Um framework de Controle de TI
Governança
Gerenciamento
Evolução
Controle
Auditoria
20
Componentes do COBIT
Recursos de TI
Estratégia de Negócio
Processos de TI
Critérios da
Informação
21
COBIT: Vantagens
22
COBIT: Princípios
Recursos de TI
Estratégia de Negócio
Processos de TI
Critério da
Informação
23
Revisão - COBIT e Governança de TI
Garante Auxilia na
Control
orientação Framework obtenção dos
Requisitos
a processo regulatórios
Tem aceitação
geral pelas
organizações
24
COBIT e Governança de TI (Cont.)
Foco em Negócio
► COBIT busca foco estrito no
Provê
Negócio através do alinhamento Define uma
dos objetivos de TI com os mais foco
linguagem
objetivos de Negócio. no negócio
comum
► A medição de performance de TI
deverá ter foco na contribuição
de TI para habilitar e extender Garante Auxilia na
as estratégias de Negócio. orientação
Control obtenção dos
Framework
► COBIT, é suportado por Requisitos
a processo
regulatórios
apropriadas métricas com foco
no Negócio, que garentem que o
Tem aceitação
foco primário é a agregação de
geral pelas
valor e não a excelência técnica
como um fim em si mesmo. organizações
25
COBIT e Governança de TI (Cont.)
Orientado a Processo
► Quando a organização
Provê
implementa COBIT, seu foco é Define uma
mais foco
orientado a processo. linguagem
no negócio
► Incidentes e Problemas não comum
desviam a atenção dos processos.
► Exceções podem ser claramente
definidas como parte de Garante Auxilia na
Control obtenção dos
processos padrões. orientação
Framework
Requisitos
a processo
► Com o “dono” do processo regulatórios
definido, indicado e aceito, a
organização manterá um melhor Tem aceitação
controle quando de períodos de geral pelas
rápidas mudanças ou crises organizações
organizacionais.
26
COBIT e Governança de TI (Cont.)
Aceitação Geral
► COBIT provê um padrão
Provê
globalmente aceito como forma Define uma
mais foco
de aumentar a contribuição de linguagem
TI para o sucesso da no negócio
comum
organização.
►O framework continua sendo
continuamente melhorado e Garante Auxilia na
desenvolvido, com vistas a Control obtenção dos
orientação
Framework
manter-se alinhado com as Requisitos
a processo
“melhores práticas” de mercado. regulatórios
27
COBIT e Governança de TI (Cont.)
Requisitos Regulatórios
► Os recentes escandalos
Provê
corporativos aumentaram a Define uma
pressão regulatória sobre o mais foco
linguagem
corpo diretivo (direção) no no negócio
comum
sentido de reafirmar o seu status
e garantir que os controles
internos são adequados. Estas
Garante Auxilia na
pressões também focam a área Control
orientação obtenção dos
de TI. Framework
Requisitos
a processo
► Organizações constantemente regulatórios
necessitam melhorar a
performance de TI e demonstrar Tem aceitação
controles adequados sobre suas geral pelas
atividades. organizações
► Muitos gerentes de TI,
consultores e auditores estão
tornando o COBIT como a
resposta “de fato” aos requisitos
regulatórios de TI.
©2007 IT Governance Institute. All rights reserved. 30
28
COBIT e Governança de TI (Cont.)
Linguagem comum
► Um framework auxilia todos a
Provê
utilizarem o mesmo conjunto de Define uma
termos críticos e também provê mais foco
linguagem
um glossário de termos e no negócio
comum
expressões.
► A coordenação interna e externa
das equipes de projeto e da Garante Auxilia na
organização, pode ter um papel orientação
Control obtenção dos
Framework
chave no sucesso de qualquer Requisitos
a processo
projeto. regulatórios
29
Premissa do COBIT
Obter
Objetivos de
Negócio
i para
Processos de
Negócio
Informação
provê
Recursos de TI
e processos
30
Componentes do COBIT
33
31
Processos de TI
32
COBIT Framework
Como um framework para governança e controle de TI, COBIT foca duas áreas chaves:
► Prover as informações requeridas para suportar os objetivos de negócio e seus requisitos; e
► Tratar informação como resultado da combinação de aplicações e recursos de TI, que necessitam
ser adequadamente gerenciados por processos de TI
Criteríos da Informação
Efetividade
Processos de TI Eficiência
Confidencialidade
Integridade
Disponibilidade
Requisitos de Negócio Conformidade
Confiabilidade
Abordagem de Controle
Recursos de TI
Processos de TI Aplicações
Dominios
Considerações Informações
Processos
• ……………………………
Atividades Infraestrutura
• ……………………………
• ……………………..…….. Pessoas
33
Framework do COBIT
34
Modelo de processos do COBIT (34 processos)
35
Domínios de TI
TI e Negócio
36
Domínios de TI
Vamos ver o modelo de processo do COBIT, que consiste de 34 processos definidos dentro dos quatro
Domínios.
Planejar e Organizar
37
Domínios de TI
?
Novos projetos Organização
38
Domínios de TI
Adquirir e Implementar
39
Domínios de TI
40
Domínios de TI
Entregar e Suportar
41
Domínios de TI
TI Performance
42
Domínios de TI
43
Requisitos do negócio
50
44
Requisitos de negócio x Requisitos de informação do COBIT
51
45
COBIT Cube
Recursos de TI
Processos de TI
46
COBIT Cube: Processos de TI
Dominio Recursos de Ti
Processos
Atividades
Processos de TI
47
COBIT Cube: Recursos de TI
48
COBIT Cube: Critérios da Informação
Exigências Fiduciária
Exigências de Segurança
Critérios da Informação
Recursos de TI
Processos de TI
49
COBIT Cube: Critérios da Informação
Lida com o cumprimento das leis, regulamentos e cláusulas contratuais aos quais um
Conformidade determinado processo de negócio está sujeito. (O foco está em atender regulamentações
externas).
Relaciona-se ao fornecimento, por parte dos sistemas, de informaçôes apropriadas aos gerentes
Confiabilidade
para a tomada de decisão, relatórios financeiros precisos e informações adequadas aos órgãos
normatizadores sobre o cumprimento das leis.
50
Estrutura do COBIT
51
COBIT: Valores e Limitações
COBIT:
► Tem aceitação internacional de “melhores práticas”
► É orientado a gerenciamento
► É suportado por ferramentas e treinamento
► É “free download”
► Permite que o conhecimento de especialistas-voluntários, seja compartilhado e difundido
► Continuamente em desenvolvimento
► É mantido por uma organização sem fins lucrativos (ISACA)
► Mapeia 100% do COSO
► Mapeia fortemente todos os maiores padrões de mercado
► É uma referência, não uma solução pronta
52
Verdadeiro ou Falso?
1. (F) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros
• Focado em negócio
• Orientado a Processos
• Baseado em controles
• Orientado por métricas
53
Verdadeiro ou Falso?
6. (V) Cada objetivo de controle dentro dos processos do COBIT contém práticas de
controle específicas
54
©2007 IT Governance Institute. All rights reserved. 61
55
Estrutura do conteúdo do COBIT®
56
Negócio x Objetivos Controles de TI
63
57
Os processos precisam de controle
64
58
Processos e controles
§ 4 domínios
§ 34 processos de TI
§ Requisitos de controle genérico
• 6 controles para cada processo
§ Objetivos de controle
• 3 a 15 por processo de TI
§Práticas de controle
à 5 a 10 por objetivo de controle
Ex:Pag. 29 e 30
65
59
Requisitos de controle genérico
Cada processo do COBIT tem 6 requisitos de controle genérico que são comuns para
todos os processos. Eles devem ser considerados em conjunto com os objetivos de
controle do processo para que se possa ter uma visão completa dos requisitos de
controle.
Pag. 14
66
60
Estrutura de navegação do framework
Criterios de avaliação
Dominios
Recursos
Areas de foco
Pag. 27
67
61
Medidas de controle
62
Critérios de informação
Gerenciar Projetos
©2007 IT Governance Institute. All rights reserved. 69
63
PO10 Gerenciar Projetos
Descrição do processo
Serve para criar uma estrutura de programa e gerenciamento de projetos para o gerenciamento de
todos os projetos de TI estabelecidos. A estrutura garante priorização correta e coordenação de todos
os projetos.Esta estrutura inclui plano mestre, alocação de recursos, definição de entregáveis,
aprovação pelos usuários, abordagem por fases para entrega, qualidade, plano de testes, revisão pós
implementação e testes após a instalação para assegurar o gerenciamento de riscos e a entrega de
valor para o negócio.
64
PO10 Gerenciar Projetos
65
PO10 Gerenciar Projetos – Objetivos de controle
66
-
PO10 Gerenciar Projetos Objetivos de controle
Aprovar o início de cada fase principal do projeto e comunicálo a todos os stakeholders. Basear a
aprovação da fase inicial em decisões da governança de programa. A aprovação de fases seguintes
deve ser baseada na análise e na aceitação dos entregáveis da fase anterior e na aprovação de um
business case atualizado na próxima revisão do programa. Em caso de sobreposição de fases do
projeto, um ponto de aprovação deve ser estabelecido pelos patrocinadores do programa e do projeto,
para autorizar seu andamento.
PO10.7 Plano Integrado do Projeto
Estabelecer um plano integrado de projeto, formal e aprovado (que cubra recursos de negócio e de
sistemas de informação), para guiar e controlar a execução do projeto através de seu ciclo de vida. As
atividades e interdependências de múltipos projetos dentro de um programa devem ser entendidas e
documentadas. O plano do projeto deve ser mantido durante seu ciclo de vida. O plano de projeto e
suas alterações devem ser aprovados em conformidade com o programa e com o framework de
governança de projeto.
73
67
PO10 Gerenciar Projetos - Objetivos de controle
Estabelecer um sistema de controle de mudança para cada projeto, para que todas as alterações
feitas à linha de base(como custo, cronograma, escopo, qualidade) sejam
devidamente revisadas, aprovadas e incorporadas ao plano integrado do projeto de acordo com o
programa e com o framework de governança de projeto.
74
68
PO10 Gerenciar Projetos - Objetivos de controle
Requerer que, no final de cada projeto, os stakeholders confirmem se o projeto entregou os resultados
e benefícios planejados. Identificar e comunicar quaisquer atividades extraordinárias necessárias para
alcançar os resultados do projeto e os benefícios do programa planejados, e identificar e documentar
lições aprendidas para uso em futuros projetos e programas.
75
69
(PO) Planejar e Organizar
os relacionamentos de TI
PO5 Gerenciar o investimento de TI
Implementar
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar recursos humanos de TI
70
(PO) Planejar e Organizar
71
(PO) Planejar e Organizar
72
(AI) Adquirir e Implementar
73
(AI) Adquirir e Implementar
A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou
criação para assegurar que os requisitos do negócio são
satisfeitos numa abordagem efetiva e
eficiente. Este processo cobre a definição das necessidades considerando fontes alternativas,
revisão da viabilidade tecnológica e econômica, execução de análise de risco,
análise de custo/ benefício e a conclusão de uma decisão final de “fazer” ou “comprar”.
Conhecimento sobre novos sistemas necessita ser disponibilizado. Este processo requer a
produção de documentação e manuais para usuários de TI, além de treinamento
que assegure o uso e a operação apropriados de aplicações e infraestrutura.
80
74
(AI) Adquirir e Implementar
81
75
(DS) Entregar e Suportar
82
76
(DS) Entregar e Suportar
77
(DS) Entregar e Suportar
DS9Gerenciar a configuração
78
(DS) Entregar e Suportar
79
(ME) Monitorar e Avaliar
80
(ME) Monitorar e Avaliar
Assegura que a gestão estabeleça um framework geral de monitoramento e uma abordagem que defin
a escopo, metodologia e processos a serem seguidos. O monitoramento da TI contribui para os
resultados do gerenciamento do portfólio empresarial e para os processos de programas gerenciais -
processos que são específicos para entregar competências e serviços de TI. O framework deve estar
integrado com o sistema de gerenciamento de desempenho da companhia.
ME2 Monitorar e avaliar os controles internos
Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoramento
bem definido. Este processo inclui monitoramento e reporte de exceções de controle, resultados da au
to avaliação e revisão de fornecedores (terceiros). Um benefício principal do controle interno de
monitoração é fornecer segurança relacionada à eficiência e à eficácia operacionais e à conformidade
com leis e regulamentos.
ME3 Assegurar conformidade regulatória
Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão independente
para garantir a conformidade com leis e regulamentos. Este processo inclui definir auditor independen
te, ética profissional, padrões, planejamento, desempenho do trabalho de auditoria e reporte do
acompanhamento das atividades de auditoria. O propósito deste processo é fornecer uma garantia
positiva relacionada à conformidade da TI com leis e regulamentos.
ME4 Fornecer Governança de TI
Estabelecer um framework efetivo de governança, incluindo definição de estruturas organizacionais
,
processos, liderança, papéis e responsabilidades, para assegurar que os investimentos em TI e as
entregas estejam alinhados com as estratégias e objetivos empresariais.
81
Exercício 1
82
Estudo de caso
83
Estudo de caso
COOPERTI (continuação) Como se não bastasse o atraso no projeto, os clientes das contas bancárias fizeram
várias reclamações à central de serviços. Eles informaram que às vezes o sistema é muito lento, e também que
não conseguem acessálo em determinadas horas do dia. Há também casos em que o extrato bancário apresenta
informações desatualizadas. Para tentar resolver os problemas, a TIWAY tem
disponibilizado várias atualizações no portal, muitas delas em caráter de urgência.
Recentemente o presidente da cooperativa, o gerente de TI e o gerente de suporte fizeram uma reunião com a
TIWAY para tentar alinhar as expectativas e saber quando os problemas pendentes serão resolvidos. A
lém disto, esperase ter uma resposta sobre quando os módulos de TED e
DOC estariam disponíveis. Na reunião, o gerente de suporte expôs alguns problemas no relacionamento com a TIWAY:
Muitos incidentes não estão sendo atendidos em tempo hábil, levase muito tempo para obter resposta.
à A equipe de atendentes não consegue dominar a situação porque não recebeu
nenhuma documentação ou treinamento de uso do sistema da TIWAY.
à Muitos problemas têm aparecido logo depois das atualizações, que ocorrem quase
todos os dias.
84
Estudo de caso
85
Exercício 2
Agora que você sabe resumidamente dos problemas que estão acontecendo
na COOPERTI, identifique até 7 processos de ITIL/COBIT que poderiam ter evitado os
problemas que você identificou no estudo de caso.
Justifique as escolhas dos processos.
92
86
Exercício 2
Resposta
Os principais processos que poderiam ser melhorados no primeiro momento são:
87
Usando o Balanced Scorecard para priorizar os processos de TI
94
88
Alinhamento estratégico TI e negócio
95
89
O que as empresas querem?
Aumentar o faturamento
§
§ Aumentar a participação no mercado (mais clientes)
§ Mais produtividade
§ Maior lucratividade
§ Menos custos
§ Menos desperdício e retrabalho
§ Menos riscos
§ Menos problemas
90
BSC: Traduzindo a missão em resultados
91
Perspectivas do BSC
98
92
BSC: Mapa estratégico corporativo
99
93
Exemplo: Mapa da estratégia de uma companhia aérea
100
94
BSC Corporativo x BSC de TI
95
Balanced Scorecard de TI
96
Exemplo: mapa da estratégia de TI
103
97
Orientação ao negócio do COBIT
104
98
BSC do negócio - Metas do negócio para TI
105
99
Metas de TI e processos do COBIT (1)
106
100
Metas de TI e processos do COBIT (2)
107
101
Selecionando métricas para o BSC de TI
108
102
Selecionando indicadores para o BSC de TI
109
103
Softwares de Apoio
Existem alguns softwares que podem ser utilizados para criação de painéis de
indicadores(dashboard):
www.projectmanager.com
§ www.edecision.com.br
§ www.softexpert.com.br
§ www.datasecsoft.com
§ www.methodware.co.nz
§ www.metricus.com
110
104
111
105
Diretrizes de gerenciamento
Metas e métricas
• Medidas de resultado (outcome measures)
• Indicadores de desempenho (performance indicators)
Recursos
• Entradas e saídas para cada processo
• Gráfico RACI (matriz de responsabilidades)
112
106
Governando a TI
113
107
Relacionamentos com
outros processos
Métricas
114
108
Entradas e saídas
115
109
Metas e métricas
116
110
Métricas do COBIT
117
111
Métricas
118
112
Indicadores de performance (PI Performance Indicators)
119
113
Medidas de resultado (OM Outcome Measures)
120
114
Gráfico RACI
122
115
Gráfico RACI - Hierarquia padrão
CEO
CFO
123
116
Modelos de maturidade
124
117
Modelo genérico do COBIT
125
118
Características de cada nível de maturidade
126
119
Modelo de maturidade
para o PO10
127
120
Avaliação dos processos / Assessment
128
121
Análise de gap
129
122
Relacionamento entre os componentes do COBIT
130
123
Produtos do ITGI que
IT ASSURANCE COBIT
GUIDE QUICKSTART
suportam o COBIT®
Val IT
COBIT
ONLINE
131
124
Principais produtos relacionados com o COBIT
Obtenha em:
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/COBIT_Publications/COBIT_Products.htm
132
125
COBIT Quickstart
133
126
Práticas de controle
134
http://www.isaca.org/Template.cfm?Section=Search&template=/Ecommerce/ProductDisplay.cfm&ProductID=768
©2007 IT Governance Institute. All rights reserved. 134
127
PO10 Gerenciar Projetos - Práticas de controle
135
128
Guia de Validação (IT Assurance Guide)
136
129
Execução do roadmap de validação
137
130
COBIT Online
138
131
Security Baseline
139
132
Guia de Implantação Gov TI (IT Governance Implementation Guide)
140
133
IT Governance Implementation Guide - Roadmap
141
134
Framework do VAL IT™
142
135
Princípios do VAL IT
143
136
Os 4 “Ares”
144
137
8 Visão geral de outros
modelos que suportam a
Governança de TI
145
138
Quais padrões e modelos podem ajudar?
146
139
Qual o modelo mais adotado para operações de TI?
147
140
ISO/IEC 38500 - Novo padrão para Governança de TI
Avaliar
Dirigir
Monitorar 148
141
COBIT Mappings
149
142
ITIL V3 (IT Infrastructure Library)
150
143
Comparando conteúdos ITIL V3 x COBIT
151
144
ISO/IEC 20000 - Sistema de Gestão de Serviços de TI
152
145
ISO/IEC 27001 - Sistema de Gestão da Segurança da Informação
153
146
BS 25777 -Continuidade do Serviços de TI
154
147
PMBOK - Project Management Body of Knowledge
148
Processos do PMBOK Quarta Edição
156
149
PRINCE2 - Projects In Controlled Enviroments
- 2nd Edition
157
150
CMMI (Capacity Maturity Model Integration) for Development
158
151
M_o_R (Management of Risk)
159
152
©2007 IT Governance Institute. All rights reserved. 160
153
Outros padrões
161
154
Exame Cobit 4.1 Foundation
162
155
Modelo do certificado
163
156
Escopo do Exame
164
157
Escopo do exame
158
Escopo do exame
159
Onde comprar o exame
http://education2.certification-partners.com/ISACA/store/comersus_viewItem.asp?idProduct=42
167
160
©2007 IT Governance Institute. All rights reserved. 168
161