Curso e- Learning

Governança de TI
utilizando o modelo do COBIT®

O conteúdo deste curso contem marcas registradas de outras organizações nas quais as
propriedades são citadas ao logo do curso sem infringir os direitos autorais de terceiros. A cópia ou
redistribuição deste material sem permissão não é permita.

O COBIT® é uma marca registrada da ISACA. Site oficial www.isaca.org

Objetivos do Curso
O propósito deste curso é apresentar os conceitos e definições da Governança de TI e a
utilizar na prática os objetivos de controle propostos pelo COBIT® - Control Objectives for
Information and Related Technology.

Durante este curso iremos aprender:

A evolução da Função TI ao longo dos anos;

A importância de TI e como as questões de TI afetam as organizações;

Conceitos de Governança Corporativa e Governança de TI;

A necessidade de controles para a Governança de TI;

Como o COBIT® pode ajudar;

Padrões e melhores práticas de mercado;

Estrutura do COBIT® - Objetivos de Controle, Práticas de Controle, Diretrizes de
Gerenciamento, Diretrizes de Auditoria;

Os benefícios e desvantagens do uso de controles;

Os produtos e suporte fornecido pelo ITGI (IT Governance Institute).
Conteúdo Programático

MÓDULO 1 Evolução da gestão e desafios atuais da TI, visão geral do Comitê da Basiléia,
Sarbanes-Oxley, COBIT®, ISO 27001, 17799, 2000-1 e exercícios.
MÓDULO 2 Relacionamento entre os diversos padrões de mercado: COBIT®, ITIL®, ISO, COSO
etc., o que é governança de TI e exercícios.
MÓDULO 3 Continuação “O que é governança de TI”, estruturas, domínios, responsabilidades,
benefícios e exercícios
MÓDULO 4 O que é o COBIT®, aplicação, origens, evolução, princípios, filosofia, estrutura, família
de produtos e exercícios
MÓDULO 5 Estrutura do COBIT® e exercícios

MÓDULO 6 Objetivos de controle e controles e exercícios

MÓDULO 7 Gerenciamento, Scorecards, métricas, Indicadores de metas e de performance,

maturidade de processo, análise de “gaps” e exercícios.
MÓDULO 8 Diretrizes de auditoria e exercícios
 Módulo 1
Evolução da gestão e desafios atuais da TI, visão geral do
Comitê da Basiléia, Sarbanes-Oxley, COBIT®, ISO 27001,
17799, 20000-1, etc. e exercícios
Evolução da Gestão de TI

Evolução da Função de TI dentro das organizações

Maturidade da TI

Parceiro Governança de TI
Estratégico

Provedor ITSM
de Serviço
ITIM

Provedor
de Tecnologia

Tempo
ITIM = IT Infrastructure Management
ITSM = IT Service Management
Evolução da Gestão de TI
Provedor de Serviços

A TI busca eficiência

Os orçamentos são baseados em
benchmarks externos

A TI atua independente do negócio

A TI é vista como uma despesa a ser
controlada

Os gerentes de TI são técnicos
TI Negócio
Parceiro Estratégico

A TI busca o crescimento do negócio

Os orçamentos são baseados na
estratégia do negócio

A TI é inseparável do negócio

A TI é vista como um investimento a ser
gerenciado

Os gerentes de TI são solucionadores de
problemas de negócio
TI Negócio
Evolução da Gestão de TI
Maturidade do
Gerenciamento de TI

ISO 20.000
BS 15.000
BSI Code &
OGC ITIL 2
HP ITSM
ITIL
IBM ISMA
Idade
Escura da TI

Tempo
1970 1980 1990 2000 2005

Evolução das metodologias para gerenciamento de TI

IBM - ISMA Information Systems Management Architecture - Modelo de processo criado pela IBM em 1980
para gestão de computadores.
HP - ITSM Information Technology Service Management - Framework da HP que foi baseado na ITIL para
gestão de serviços da HP, para atender provedores de serviços e parceiros da HP.
ITIL V2 - Versão 2 da ITIL lançada em 2000.
BSI CODE= Código de Prática da BSI para o Gerenciamento de Serviços de TI antiga BS 15000
 Evolução da Gestão de TI
Serviços de TI
Com o aumento da sua importância para a organização
TI passou a ter os seguintes desafios:
Contabilidade Gestão
Ped de www
ido
Alinhar os serviços com as necessidades atuais e
s
futuras do negócio;
E-m
ERP CRM
ail
Conviver com ambientes cada vez mais complexos;

O Negócio depender de TI;
Infra-estrutura

Reduzir custos e riscos;

Justificar retorno sobre os investimentos em TI;

Manter conformidade com leis e regulamentos;

Garantir a segurança das informações; etc.
Evolução da Gestão de TI
Alinhamento dos serviços de TI com o negócio

Razões pela falta de alinhamento da TI com o negócio:

Falta de definição dos requisitos de negócio;

Falta de definição de prioridades;

Complexidade dos projetos;

Falta de comprometimento da alta direção;

Problemas de comunicação entre o negócio e a TI;

Falta de recursos humanos e financeiros;

Lideranças de TI ainda despreparadas para compreender seu papel e atuar
estrategicamente.
Evolução da Gestão de TI
Ambientes de TI cada vez mais complexos

Por que os ambientes de TI estão cada vez mais complexos?

Número maior de sistemas para cada negócio da empresa;

Novas tecnologias criando uma infra-estrutura de TI Prestador
mais complexa; Prestador Serviço
Serviço

Necessidade de treinamento contínuo para manter
a equipe atualizada;

Empresas globalizadas com várias filiais em diversos países,
com infra-estrutura de TI para cada uma;

Aumento da quantidade de prestadores de serviço, exigindo TI
maior controle sobre os contratos; etc.

Prestador
Serviço
Evolução da Gestão de TI
O Negócio dependendo de TI

TI parar pode, por exemplo, acarretar nos seguintes problemas:

Redução de vendas e atraso nas entregas com a parada do sistema de emissão de

pedidos e de notas fiscais;

Produção que dependente de sistemas inoperante;

Pessoal administrativo impossibilitado de executar suas tarefas;

Clientes sem acesso a informações;

Impacto negativo da imagem da empresa no mercado;

Etc.
Evolução da Gestão de TI
Redução de Custos e Riscos
Motivos que geram riscos as operações de TI:

Falta gestão financeira, contabilização dos custos de TI e

avaliação do retorno após os investimentos;

Falta gestão de mudanças, avaliação de
impactos e custos relacionados;

Falta gestão de projetos, resultando em atrasos e custos não
previstos;

Falta gestão de contratos com fornecedores;

Falta hardware e software adequados;

Falta desenvolvimento das competências necessárias;

Falta recursos humanos;

Etc.

E mesmo assim TI tem que fornecer os serviços necessários
garantindo a redução de custos e riscos
Evolução da Gestão de TI
Redução de Custos e Riscos
TI tem que conviver com uma difícil equação:

Custo + Qualidade + Risco + Agilidade

 Evolução da Gestão de TI
Redução de Custos e Riscos / ITIL e ISO 20000-1
A gestão de serviços de TI realizada de forma profissional e baseada nos princípios do
ITIL e da ISO 20000-1 estão ajudando os processos de TI a melhorarem seu
desempenho:

O governo da Inglaterra lança a Biblioteca de Infra-Estrutura de TI (ITIL) em 1989;

ITIL define as "melhores práticas" para processos e procedimentos;

itSMF é criado em 1991 para desenvolver melhores práticas adicionais;

itSMF aborda a BSI para desenvolver uma norma;

A BS 15000 é publicada em 2000 como uma especificação (revisada em 2002);

A ISO / IEC 20000 é publicada em 2005.

Processos de Entrega de Serviço

A ISO 20000-1 Especifica vários processos
de gestão de serviços relacionados,
identifica que relações existem entre estes
processos, e que estas relações serão Processos de
dependentes da sua aplicação dentro de Controle
uma organização, especifica objetivos e
Processo de Processo de
controles para permitir a uma organização Liberação Relacionamento
a entrega de serviços gerenciados. Veja a Processo de
Resolução
direita os processos tratados pela 20000-1.
Evolução da Gestão de TI / Justificar o Retorno
sobre os investimentos em TI

Principais problemas relacionados aos projetos de TI mal gerenciados :

Falha na definição do escopo e requisitos do

projeto devido ao não alinhamento
com os envolvidos;

Atraso na entrega devido ao mal
dimensionamento de tempo e recursos
necessários;

Falta de Gerenciamento de Projetos,
planejamento inadequado.
Evolução da Gestão de TI
Conformidade com leis e regulamentos

A implementação de uma governança de TI ajuda a
atender a governança corporativa em relação as leis
e regulamentos que estão relacionados com a TI e a
empresa.

A Governança de TI deve ter como foco de atuação
atender os requisitos destas leis e regulamentos aos
quais a empresa está submissa.

Legislações: Basiléia II, Sarbanes-Oxley, IAS/IFRS -

normas contábeis internacionais publicados e pelo IASB
(International Accounting Standards Board). Governança, ética e
responsabilidade:
Orgãos reguladores: SEC, BACEN, CVM;

Honestidade e correção traz
Padrões: ISO 27001, ISO 17799, ISO 20000-1, ISO 9001; lucros e benefícios para as
Outros: leis, requerimentos de mercado etc. empresas;

O mercado exige
responsabilidade social e
cada vez menos os clientes
farão negócios com
empresas que tem desvios
éticos e legais
Evolução da Gestão de TI / Conformidade com
leis e regulamentos/ Orgãos reguladores
BACEN
O Banco Central do Brasil ou Bacen é autarquia federal
integrante do Sistema Financeiro Nacional, sendo vinculado ao
Ministério da Fazenda do Brasil. Assim como os outros bancos
centrais do mundo, o brasileiro é a autoridade monetária principal
do país, tendo recebido esta competência de três instituições
diferentes: a Superintendência da Moeda e do Crédito (SUMOC),
o Banco do Brasil e o Tesouro Nacional.
CVM
A Comissão de Valores Mobiliários (CVM) é uma autarquia
vinculada ao Ministério da Fazenda do Brasil que juntamente com
a Lei das Sociedades por Ações disciplinaram o funcionamento do
mercado de valores mobiliários e a atuação de seus
protagonistas.

SEC - US Securities and Exchange Commission é responsável por

proteger investidores, facilitar a formação de capital, manter a
estabilidade dos mercados etc.
Evolução da Gestão de TI
Conformidade com leis e regulamentos
Catástrofes financeiras:
1975 – Quebra dos bancos Herstaff da Alemanha e Frankling National de Nova York
1975 – Formação do Comitê da Basiléia
1993 – Bank of Credit and Commerce International faliu em meio a escândalos de fraude e
lavagem de dinheiro
1995 – Barings faliu depois de 233 anos de existência
1997 – Comitê Basiléia edita os 25 princípios: Instituição de Controles Internos
1995/98 – Askin Capital, Orange County, Chemical Bank entre outros
1998 – Comitê da Basiléia edita mais 13 Princípios: Gestão de Riscos
1998 – Resolução Bacen 2.554 – Controles Internos e lei 9613 para prevenir lavagem de
dinheiro
2001 – Enron – 7ª empresa dos EUA faliu e o WorldCom demitiu 20000 funcionários
2002 – SEC edita lei Sarbanes Oxley
2003 – Resolução 3081 – Bacen – responsabilidades dos administradores
Evolução da Gestão de TI / Leis e Regulamentos
Comitê da Basiléia
O Comitê de Supervisão Bancária da Basiléia (Basle Committee on Banking Supervision)
congrega autoridades de supervisão bancária e foi estabelecido pelos Presidentes dos
bancos centrais dos países do Grupo dos Dez (G-10), em 1975.
Os Princípios Essenciais da Basiléia compreendem 25 Princípios básicos,
indispensáveis para um sistema de supervisão realmente eficaz. Os Princípios referem-
se a:

Precondições para uma supervisão bancária eficaz - Princípio 1

Autorizações e estrutura - Princípios 2 a 5

Regulamentos e requisitos prudências - Princípios 6 a 15

Métodos de supervisão bancária contínua - Princípios 16 a 20
Sob o enfoque da administração de risco mais rígido, o Acordo da Basiléia de
1988 firma exigências mínimas de capital, que devem ser respeitadas por
bancos comerciais, como precaução contra Risco de Crédito. Posteriormente, o
acordo sofreu imposições de adequação de capital para riscos de mercado. E
os Bancos Centrais reconheceram que estes modelos administrativos de risco -
utilizados pelos principais bancos eram superiores aos impostos por eles.
Evolução da Gestão de TI / Leis e Regulamentos
O que é a Sarbanes-Oxley? Qual o papel de TI?

É uma lei que faz com que os executivos sejam responsáveis por estabelecer, avaliar e
monitorar a eficácia dos controles internos relacionados a relatórios financeiros.

Os requerimentos da lei são rigorosos: as empresas devem estabelecer políticas,
regras e procedimentos auditáveis para gerir e controlar seus processos e registros
documentais e divulgar seus resultados, e os principais executivos devem,
pessoalmente atestar que os relatórios financeiros sejam completos e precisos.
Para atender aos requisitos desta lei TI deverá atuar em duas frentes:
1) Estabelecer controles para o ambiente geral de TI que abranjam: desenvolvimento,
mudanças, operações e controle de acesso;
2) Estabelecer processos de negócio críticos (contas significativas de balanço):

Mapear os sistemas que suportam os dados financeiros e respectivos controles;

Identificar os riscos de TI relacionados aos sistemas;

Implementar e monitorar controles que mitiguem riscos;

Documentar e testar os controles de TI;

Assegurar que os controles de TI sejam atualizados e adequados para suportar as
mudanças nos controles internos.
Evolução da Gestão de TI / Leis e Regulamentos
Sarbanes Oxley
Com o resultado dos escândalos financeiros em grandes empresas
em 2001, o Congresso americano decretou o Ato Sarbanes-Oxley
de 2002. Este ato afeta como as empresas de capital aberto irão
apresentar seus relatórios financeiros, e significativamente impacta
a área de TI. A conformidade com a Sarbanes-Oxley requer mais do
que documentação e estabelecimento de controles financeiros, ela
tambem requer a avaliação da infra-estrutura de TI e suas
operações e pessoal.
Principais Características da Sarbanes Oxley - Ato de 2002:

Estabelece novos padrões de responsabilidade contábil
corporativa, confiabilidade e transparência dos relatórios
financeiros.

Ênfase na transparência dos dados para análise e
interpretação dos dados

Ênfase no uso de um Framework de Controle para avaliação
de controles internos.

Penalidades rígidas no caso de danos – seja eles intencionais
ou não

Implementação de diretrizes do SEC (Securities and Exchange
Commission )
Com mais de 300 seções, a SOX é provavelmente a legislação
mais significante para os negócios nos EUA.
Evolução da Gestão de TI / Leis e Regulamentos
Sarbanes Oxley

A conformidade com a SOX (Sarbanes Oxley) irá
impactar significativamente as organizações de TI
na maioria das empresas de capital aberto.

Para resolver este problema muitas empresas
acabam adotando o COBIT®,

O COBIT® é o único modelo de controle que é
compatível com o COSO

Assegurar que a TI está em conformidade com o
COBIT fará com que a maioria dos requisitos de
conformidades já tenham sido implementados.
 Evolução da Gestão de TI / Leis e Regulamentos
O que é o COBIT®?
1. Guia para gestão de TI recomendado pelo ISACF ( Information Systems Audit and Control
Foundation);
2. O COBIT inclui: sumário executivo, framework, controle de objetivos, indicadores de
desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um
guia com técnicas de implementação;
3. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que
ajudam a otimizar os investimentos em TI e fornecem métricas para avaliação dos
resultados;
4. O COBIT independe das plataformas de TI adotadas pelas empresas;
5. O COBIT foi criado para atender a necessidade de um framework de controle de TI voltado
para o negócio, compreensivo para gerência e auditores de TI:
1996 – primeira versão: ISACA lança um conjunto de objetivos de controle para as
aplicações de negócio.
1998 – segunda versão: é incluída uma ferramenta de suporte à implementação e a
especificação dos objetivos.
2000 – terceira versão: são incluídas normas e guias associadas a gestão.
2005 – quarta versão: melhoria dos controles para assegurar a segurança e a disponibilidade
dos ativos de TI na organização.
Evolução da Gestão de TI / Leis e Regulamentos
Em que o COBIT pode ajudar?
O COBIT® possui processos que auxiliam a manter a conformidade com a Sarbanes:

Adquirir e manter software aplicativo;

Adquirir e manter arquitetura tecnológica;

Desenvolver e manter procedimentos de TI;

Instalar e certificar soluções e mudanças;

Gerenciar mudanças;

Definir e gerenciar níveis de serviço;

Gerenciar serviços de terceiros;

Assegurar a segurança dos sistemas;

Gerenciar as configurações;

Gerenciar problemas;

Gerenciar dados;

Gerenciar operações.

Em 2002 a aprovação da Sarbanes impulsionou a utilização do COBIT nas

empresas americanas e em suas filiais em outros paises
Benefícios do COBIT®
Vamos tentar resumir os principais benefícios do COBIT:

O COBIT lida com todos os aspectos dos problemas relacionados com a

Governança de TI;

O COBIT foi criado por um grande número de especialistas;

O ITGI ajudou com os seus 35 anos de experiência em segurança em TI no
desenvolvimento do COBIT;

O COBIT está em manutenção contínua. Periodicamente uma nova versão é publicada;

Os patrocinadores do COBIT são organizações sem fins lucrativos, sua missão é ajudar
seus clientes a alcançar seus objetivos principais;

O COBIT pode ser aplicado em empresas de pequeno e grande porte;

Usar o COBIT pode introduzir ordem e qualidade nos processos de TI;

O COBIT é compatível com outros padrões e pode ser utilizado para gerenciar todos os
processos de TI;

O COBIT está em conformidade com os regulamentos como Sarbanes, Basileia , entre
outros.
Evolução da Gestão de TI
Manter segurança sobre as informações
Estes riscos têm aumentado devido ao seguintes fatores:

A necessidade de publicar informações e acessar

aplicações via web expõe o ambiente de TI.

Ataque diários de hackers e entrada de novos vírus na
rede.

O acesso a internet pelos usuários facilita a entrada de
vírus e expõe as informações da empresa.

Veja NBR ISO/IEC 27001 e 17799

 Evolução da Gestão de TI
Manter segurança sobre as informações

A ISO - “International Organization for Standardization” é uma
organização sediada em Genebra, na Suiça. Foi fundada em 1946. O
propósito da ISO é desenvolver e promover normas que possam ser
utilizadas igualmente por todos os países do mundo.

Cerca de 111 países integram esta importante organização
internacional, especializada em padronização, cujos membros são
entidades normativas de âmbito nacional. O Brasil é representado pela
Associação Brasileira de Normas Técnicas – ABNT.

As Normas para segurança da informação foram adotadas e traduzidas
pela ABNT recebendo a denominação de:
NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas
de Segurança – Sistema de Gestão de Segurança da Informação -
Requisitos e
NBR ISO/IEC 17799:2005 - Tecnologia da Informação – Técnicas de
Segurança – Código de Prática para Gestão de Segurança da
Informação,

A norma ISO 27001 refere-se à quais requisitos de sistemas de gestão
da informação devem ser implementados pela organização e a ISO
17799 é um guia que orienta a utilização de controles de segurança da
informação. Estas normas são genéricas por natureza.
Exercícios
Indique se é verdadeiro ou falso:

1. ( ) Assegurar a segurança dos dados e da infra-estrutura é uma das metas básicas do

gerenciamento de TI.
2. ( ) O COBIT é um conjunto de controles para garantir que a organização atenda a
legislação.
3. ( ) O comitê da Basiléia foi formado em 1995.
4. ( ) A Sarbanes é uma lei americana que faz com que os executivos sejam
responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos
relacionados a relatórios financeiros.
5. ( ) As organizações são obrigadas até 2010 a implantar as normas ISO 27001, ISO
17799 e ISO 20000-1.
6. ( ) A maioria dos projetos de TI ainda são mal gerenciados e ultrapassam o orçamento
inicial ou o prazo de entrega.
7. ( ) A gestão de TI tem que garantir o fornecimento dos sistemas para as organizações
buscando sempre reduzir os custos e os riscos.
8. ( ) TI vem mudando de função, começou como provedor de tecnologia, tornou-se um
provedor de serviços e hoje é um parceiro estratégico das organizações.
9. ( ) Hoje os gerentes de TI são solucionadores de problemas de negócio.
10. ( ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a
integridade e a disponibilidade das informações.
 Resposta dos exercícios
Indique se é verdadeiro ou falso:
1. ( V ) Assegurar a segurança dos dados e da infra-estrutura é uma das metas básicas do
gerenciamento de TI.
2. ( F ) O COBIT é um conjunto de controles para garantir que a organização atenda a
legislação.(O COBIT é um guia de gestão de TI e inclui: sumário executivo, framework,
controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de
ferramentas de implementação e um guia com técnicas de implementação).
3. ( F ) O comitê da Basiléia foi formado em 1995. (1975)
4. ( V ) A Sarbanes é uma lei americana que faz com que os executivos sejam responsáveis
por estabelecer, avaliar e monitorar a eficácia dos controles internos relacionados a
relatórios financeiros.
5. ( F ) As organizações são obrigadas até 2010 a implantar as normas ISO 27001, ISO 17799
e ISO 20000-1. ( normas são padrões não obrigatórios a não ser que sejam exigidas pela
lei, o que não é o caso).
6. ( V ) A maioria dos projetos de TI ainda são mal gerenciados e ultrapassam o orçamento
inicial ou o prazo de entrega.
7. ( V ) A gestão de TI tem que garantir o fornecimento dos sistemas para as organizações
buscando sempre reduzir os custos e os riscos.
8. ( V ) TI vem mudando de função, começou como provedor de tecnologia, tornou-se um
provedor de serviços e hoje é um parceiro estratégico das organizações.
9. ( V ) Hoje os gerentes de TI são solucionadores de problemas de negócio.
10. ( V ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a
integridade e a disponibilidade das informações.
Fim do Módulo 1