Melhores Práticas para Governança de TI

{aula #2} Parte 2
Governança de TI
Governança de TI com COBIT®, ITIL® e BSC
com melhores práticas COBIT®, ITIL® e BSC®
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/
Versão 9 Set 2010 | RFS rildo.santos@etecnologia.com.br Todos os direitos reservados e protegidos © 2006 e 2010
Governança de TI com COBIT®, ITIL® e BSC Objetivo:
Apresentação da aula # 2 do “Workshop Governança de TI Com COBIT®, ITIL® e

BSC®”.
Objetivo do Workshop:
Compartilhar conhecimento, trocar experiência e prover aprendizado sobre Governança de
TI com COBIT®, ITIL® e BSC® além de demonstrar como utilizar as melhores práticas,
técnicas e ferramentas.
Objetivo dessa aula:

Explorar a Governança de TI as ferramentas de apoio a Governança e TI, nessa parte vamos
apresentar e discutir a ITIL, BSC e COSO (parte 2 da aula 2).
Pré-requisito:
Conhecimentos básicos de COBIT® ITIL® de BSC e de gestão de Tecnologia da
Informação (TI).
Versão 9 Set 2010 | RFS rildo.santos@etecnologia.com.br Todos os direitos reservados e protegidos © 2006 e 2010 2
Governança de TI com COBIT®, ITIL® e BSC O Conteúdo do workshop:
2
1 3
Melhores
Fundamentos Estudo de Caso
Práticas
1 – Fundamentos da Governança de TI:

Explorar a Governança de TI e sua motivação, definição, conceitos,
modelo e benefícios.
2 - Melhores práticas para Governança de TI:

- Apresentar e discutir as melhores práticas para a Governança de
TI: Cobit, ITIL e BSC.
3 – Estudo de Caso:
Demonstrar como implantar a Governança de TI com base no Cobit
Melhores Práticas para
Governança de TI
Cobit COSO ITIL BSC

Objetivo desta parte:
É apresentar as melhores práticas para Governança
de TI e como alinhar com as ferramentas de gestão
do negócio.
Parte 2
A parte 2 apresenta a BSC, ITIL e COSO.
Governança de TI com COBIT®, ITIL® e BSC Introdução:
Na primeira parte dessa Aula, foi apresentado o Cobit, que é considerado como as melhores práticas para
Governança de TI.
Agora, na parte 2, vamos apresentar o BSC, COSO e a ITIL.
Gestão Estratégica
com BSC
O BSC (mapa estratégico) apresenta as metas de negócios, essas metas devem ser desdobradas para
as Metas de TI e depois alinhadas aos processos do Cobit.
Metas de Negócios Metas de TI e alinhamento com os Processos
Governança de TI com COBIT®, ITIL® e BSC BSC
O que é BSC ?
O BSC (Balanced Scorecard) é um sistema de Gestão Estratégica Integrado que ajuda a

empresa estabelecer e a visão de longo prazo, a missão e valores. E também possibilita a
medição de desempenho.
Surgimento:
Desenvolvido por Robert Kaplan e David Norton de
Havard, o Balanced Scorecard é um método pratico e
inovador de gestão do desempenho das empresas.
O objetivo da sua implementação é permitir uma gestão
eficaz do desempenho baseando-se na visão
estratégica da empresa e traduzindo-a em indicadores
de desempenho.
É uma abordagem estratégica de longo prazo,
sustentada por sistema de gestão, comunicação e
medição do desempenho, cuja implementação permite
criar um visão compartilhada dos objetivos em todos os
níveis da organização
Harvard Business Review, 1992

“The Balanced Scorecard Measures that Drive Performance”.
O sistema é balanceado através de perspectivas de valor, são elas:
As perspectivas de valor
Para alcançarmos nossa visão, Para alcançarmos nossa
que resultados devemos visão, que valor percebido
gerar para nossos acionistas e
demais stakeholders ?
Financeira devemos gerar para os
clientes ?
Processos Estratégia
(Visão e Missão) Clientes
Internos
Para satisfazermos
nossos acionistas e clientes,
em que processo de negócio Aprendizagem Para alcançarmos nossa visão,
que novos conhecimentos,
deveremos alcançar
excelência operacional ?
e crescimento competências e talentos
deveremos desenvolver ?
Exemplo de declarações de Visão, Missão e Valores:
Visão:
SER LÍDER NAS ÁREAS DE
CONHECIMENTO ESTRATÉGICO
PARA O DESENVOLVIMENTO DO
NEGÓCIO DAS EMPRESAS PT
Missão:
PROMOVER O PROCESSO DE
INOVAÇÃO AO NÍVEL DOS
SERVIÇOS, TECNOLOGIAS E
OPERAÇÕES
Valores:
- Criatividade e Inovação
- Saber e Fazer
- Espírito de Equipe
- Dedicação
- Orientação para o Cliente
Fonte: http://www.ptinovacao.pt/empresa/v_missao.htm
Governança de TI com COBIT®, ITIL® e BSC BSC: Objetivos Estratégicos
Os objetivos estratégicos são desdobrados da Visão e da Missão da Organização:
Financeira
Visão
Cliente
Objetivos Estratégicos
Processos Internos
Missão
Aprendizagem e Crescimento
Exemplos de Objetivos Estratégicos:
Perspectiva Valor de Mercado

Retorno Total da Empresa Valor para o
Financeira do Negócio Acionista
Valor da Retenção
Perspectiva Valor percebido
Valor do cliente
do Cliente pelo cliente
Valor da Marca
Perspectiva Inovação
dos Processos Valor dos Processos Produção e
Operações
Internos Gestão de cliente
Perspectiva de Valor do Colaborador Aprendizagem

Aprendizagem Comportamento e Gestão do
Conhecimento
e Crescimento Empreendedor Reter Talentos
O mapa estratégico tem a estrutura causa-efeito

BSC: Mapa Estratégico
O mapa estratégico também conhecido como diagrama de desdobramento da estratégia –
“... deve incluir os objetivos, indicador, meta e a iniciativa que deve ser tomada para atingir
a meta.
Exemplo de Mapa Estratégico:
Perspectiva Objetivo Indicador Meta Iniciativa
Elevar vendas Vendas para Aumentar em Criar ações
Financeira clientes mais
para clientes 12% as vendas direcionadas
mais lucrativos lucrativos / para os clientes de Marketing
Vendas totais mais lucrativos
Cliente Atrair e reter Número de Conquistar 20% Implementar
mais clientes novos clientes de novos clientes o programa de
nos segmentos por segmento fidelização dos
estratégicos clientes
Processos Reduzir de cinco

Reduzir a data Data Entrega – Rever e aperfeiçoar
para três dias
Internos de entrega de Data do Pedido
nos produtos
o processo de
produtos distribuição de
chaves
produtos
Aprendizagem Desenvolver Profissionais 60 % dos Criar programa de

e competências certificados / profissionais Treinamento e
Crescimento estratégicas Quantidade de certificados Desenvolvimento
profissionais
Governança de TI com COBIT®, ITIL® e BSC BSC: Metas de Negócios para TI
Prover um bom retorno de investimento nos negócios capacitados por TI
Perspectiva Financeira Gerenciar os riscos de TI relacionados aos negócios

Melhorar a governança corporativa e a transparência.
Metas de Negócios
Melhorar a orientação ao cliente e serviços.

Oferecer produtos e serviços competitivos.
Garantir a disponibilidade e a continuidade dos serviços.
Perspectiva do Cliente Demonstrar agilidade quando responder a mudanças de requisitos de

negócios
Garantir a otimização dos custos de entrega de serviço.
Obter informações confiáveis e úteis para a tomada de decisão.

Melhorar e manter as funcionalidades dos processos de negócios.
Diminuir os custos de processo.
Perspectiva de Processo Garantir a conformidade com leis, contratos e regras externas.
Interno Garantir a conformidade com as políticas internas.

Gerenciar mudanças de negócios
Melhorar e manter a produtividade operacional e da equipe.
Demonstrar a inovação de produto/negócios.
Perspectiva de Aprendizado
e Crescimento Obter e manter pessoal capacitado e motivado
Governança de TI com COBIT®, ITIL® e BSC BSC: Mapeando as Metas de Negócios e para Metas de TI
Metas de Negócios
Requisitos Requisitos
de de
Negócios Governança
Requer Serviços de Influência
Informação
Implica
Critérios de
Informação
Metas de TI
Processos de TI
Entrega
Informação
executa
IT
Processos Aplicações
de TI
Infra-estrutura
Precisa de e pessoas
Governança de TI com COBIT®, ITIL® e BSC BSC: Alinhando as Metas de TI e os processos do Cobit
Critérios de
Informação
Metas de Negócios Metas de TI
Critérios de
Informação
Metas de Negócios Processos
Mapeando as
Metas de
Negócios para as
Metas de TI
Processos de TI
Mapeando as Metas
Entrega
de TI para os Informação
Processos do COBIT
Processos executa
Aplicações
de TI
Infra-estrutura
Precisa de e pessoas
Você precisa do Manual do Cobit. Vá a página 171 (apêndice 1)
Relacionamento dos Objetivos de Negócio aos Objetivos de TI
1 – Selecione um objetivo de negócio e veja qual é o número que esta relacionado com
o objetivos de TI.
2 – Vá para a segunda tabela (próximo slide)
Apresenta uma visão global de como os objetivos de negócios gerais relacionam-se com os objetivos
de TI, os processos de TI e critérios de informação. Existem três tabelas:
1. A primeira tabela mapeia os objetivos de negócios, organizados de acordo com o balanced
scorecard, com os objetivos de TI e critérios de informação. Isso ajuda a mostrar para um determinado
objetivo de negócio quais os objetivos de TI que normalmente suportam este objetivo. O conjunto de
17 objetivos de negócios não deve ser considerado como uma lista completa de todos os possíveis
objetivos de negócios; é uma seleção de objetivos de negócios relevantes que podem ter um claro
impacto em TI (objetivos de negócios relacionados a TI)
Você precisa do Manual do Cobit. Vá a página 172 (Apêndice 1)
Relacionamento dos Objetivos de TI aos Objetivos de Processos
3 – Procure pelo número (24) e veja quais são os processos.
2. A segunda tabela mapeia os objetivos de TI com os processos de TI do CobiT e com critérios de

informação nos quais os objetivos de TI são baseados.
Gestão de Serviços
de TI
Na primeira parte dessa Aula, foi apresentado o Cobit, que é considerado como as melhores práticas para
Governança de TI. Cobit diz: “o quê fazer” e a ITIL diz: “como fazer”.
O quê fazer
Como
fazer
Governança de TI com COBIT®, ITIL® e BSC Sobre a ITIL:
Sobre a ITIL:
ITIL
O governo da Inglaterra buscava fazer redução de custos e de risco
relacionados com área de TI. Pesquisas mostravam, porém, que mais de
80% do custo dos Serviços de TI estavam ligados ao dia-a-dia de
sua operação e apenas 20% ao processo de desenvolvimento de
software.
Por esse motivo, foi criada a Biblioteca de Infra-estrutura de TI pelo
CCTA (atual OGC). O ITIL (Information Technology Infrastructure
Library) é uma abordagem para Gestão de Serviços de TI (Service
Management)
Biblioteca composta Abordagem para Gestão

OCG – Office of Government
Commerce (antigo CCTA) : por 5(v3) ou 7(v2) livros de Serviços TI (ITSM)
- Proprietário do ITIL
- Comitê Gestor
TSO – The Stationery Office

- Publicações da ITIL Foco: Ciclo de vida dos Serviços
ITIL
itSMF – IT Service Mngt Conjunto de melhores
Forum Padrão Aberto que tornou
práticas para Gestão
Gerenciamento de Serviços padrão de fato
de TI de Serviços de TI
www.itsmf.com.br
ISO 20000
EXIN e ISEB
- Certificações
® ITIL é uma marca registrada em nome do OGC
Governança de TI com COBIT®, ITIL® e BSC Sobre a Gestão de Serviços de TI:
Sobre a Gestão de Serviços de TI (ITSM – IT Service Management)

ITIL
Definição:
Um conjunto de processos e práticas para aumentar a eficácia e a eficiência dos
Serviços de TI
Objetivos:
- Reduzir custos
- Gerenciar e mitigar os riscos
- Aumento da satisfação do usuário através da
melhoria dos serviços
- Facilitar o alinhamento de TI e negócio
- Manter transparência nas operações e
contabilidade dos serviços
Governança de TI com COBIT®, ITIL® e BSC Os livros da Biblioteca (versão 2):
ITIL
T
O Planejamento para Gerenciamento de Serviços
E
N Gerenciamento de Serviços C
E Perspectiva Suporte N
a Serviço ICT
de Gerenciamento
G Negócio O
de
O Infra-estrutura
Entrega L
de Serviço
C O
Gerenciamento
I de G
Segurança
Gerenciamento de Aplicação
O I
Governança de TI com COBIT®, ITIL® e BSC Visão da Função e dos Processos (versão 2):
ITIL
Relacionamento com Negócio
Entrega de Serviços
Gerenciamento do Nível de Serviço
Gerenciamento de Segurança
Gerenciamento Gerenciamento Gerenciamento
Gerenciamento
de Financeiro de de Continuidade
de Capacidade
Disponibilidade Serviços de TI de Serviços de TI
Gerenciamento de Mudança
Suporte aos Serviços
Usuários
Central de Gerenciamento Gerenciamento Gerenciamento

Serviços de de de Liberação
(função da Gestão de Incidentes Problemas
Serviços de TI)
Gerenciamento de Configuração
Governança de TI com COBIT®, ITIL® e BSC Visão de Resultado da Função e dos Processos (versão 2):
ITIL
Relacionamento com Negócio
Entrega de Serviços
Gerenciamento
Gestão do Níveldo
de Nível
Serviço
de Serviço
Gerenciamento de Segurança
Gerenciamento Gerenciamento
Gestão Gerenciamento
Gestão de
Gerenciamento
Gestão de Gestão
deCapacidade
Capacidade de de Financeiro
Financeirade
de deContinuidade
Continuidade
Disponibilidade
Disponibilidade Serviços
Serviçosde
deTI
TI de Serviços de TI
Gerenciamento de Mudança
Usuários
Central de Gerenciamento
Gestão de Gestão de
Gerenciamento Gestão
Gerenciamento
Serviços Incidentes
de Problemas
de de Liberação
de Liberação
(porta) Incidentes Problemas
Gerenciamento
Gestão de Configuração
de Configuração
Governança de TI com COBIT®, ITIL® e BSC Visão da Gestão Serviços de TI com as práticas da ITIL:
ITIL
Registro do
Incidente
Incidentes Configuração
Usuários Service
Desk
Ciclo PDCA
Planejar Executar
Plan DO Entrega dos Serviços Gestão de
Agir Verificar Problema
SLA Monitoramento
Act Check
RFC
Mudança Liberação
Gestão SLM/SLA
Clientes Continuidade Disponibilidade
(negócios)
Gestão de Gestão de Base de
Financeiro Capacidade Conhecimento
Governança de TI com COBIT®, ITIL® e BSC Visão dos Serviços da ITIL (versão 3):
ITIL v3
Core
O foco da ITIL v3 é Ciclo de Vida dos Serviços

Governança de TI com COBIT®, ITIL® e BSC Os livros da Biblioteca (versão 3):
ITIL v3
Os Livros:
Na nova versão (terceira), o conteúdo da biblioteca ITIL é apresentado em
5 livros: (Service Stategy, Service Design, Service Transition, Service
Operations e Continual Service Improvement)
Governança de TI com COBIT®, ITIL® e BSC Visão das Funções, Processos e Serviços (versão 3):
ITIL v3
Adaptado do original de David Pultorak
Implementação de um SLA ITIL v3
OK ANS
?
1 Estratégia do Serviço ? 2 Desenho do Serviço OK --------
--------
--------
--------
--------
O SLA é um acordo entre o negócio e a TI, O entendimento entre as partes é celebrado

sobre os níveis de qualidade dos serviços através de documento formal chamado de
providos pela TI. A negociação é onde os clientes ANS (Acordo de Nível de Serviço).
especificam quais são os requisitos de negócio Este documento especifica os detalhes
para cada serviço. dos níveis serviço.
Transição de
3 Serviço
Operação de Os usuários chamam os serviços que
4 Serviço estão no Catalogo de Serviços.
Para cada serviço do Catálogo pode
Catalogo de Serviços
existir um ANS.
Financeiro/Contábil
O monitoramento faz o acompanhamento

- Contas a pagar
- Faturamento para identificar possíveis desvios nos
níveis de serviços acordados.
Infra-estrutura -------- Os desvios devem sofrer ajustes para

de TI necessária --------
para manter o
--------
--------
--------
--------
que não haja quebra no nível de serviço
serviço
--------
--------
-------- (perda de confiabilidade, por exemplo)
--------
Acordo de Nível
Monitoramento de Serviço 5 Melhoria continua
Governança de TI com COBIT®, ITIL® e BSC Resultado
Benefícios gerados pela boa implantação das melhores práticas da Gestão de
Serviços de TI com base na ITIL:
ITIL v3
Redução dos
custos dos serviços e
dos Riscos operacionais Maior eficiência
Conformidade com
regulamentações no uso dos
SOX, ANS, Bacen... recursos
Alinhamento
Gestão de Aumento da
com o negócio Serviços disponibilidade dos
serviços de TI
de TI
Gestão baseada Aumento da

em processos Satisfação dos
Melhoria no Desempenho usuários
e na qualidade dos
serviços de TI
Resultado
Resultados globais de empresas que estão utilizando as práticas ITIL na Gestão de
Serviços de TI:
Alguns Resultados:
- Aumento: 12% da disponibilidade

do ambiente de TI
- Redução: 10% no TCO
- Redução: 30% Falhas nas
Operacionais (aumento de
Resultados confiabilidade dos serviços)
- Redução: 50% no tempo de
obtidos com a
atendimento (respostas aos
adoção das incidentes)
Melhores - Redução: 25% no tempo de
Práticas da ITIL execução das mudanças
Governança de TI com COBIT®, ITIL® e BSC Fazendo o “link” entre o COBIT e a ITIL
Cobit é um framework que tem um conjunto de componentes que
representam as melhores práticas para Governança de TI, Cobit
Controle, Auditoria de TI e Compliance com regulamentação (SOX,
por exemplo).
Domínio: Entregar e Suportar
Processo: Gerenciar Central de Serviços e Incidentes DS8
Descrição do Processo
A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI requer uma
Central de Serviço e processos de gerenciamento de incidentes bem projetados e implementados.
Esse processo inclui a implementação de uma Central de Serviços capacitada para o tratamento de
incidentes, incluindo registro, encaminhamento, análise de tendências, análise de causa-raiz e
resolução. Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida
dos chamados dos usuários. Complementarmente, as áreas de negócio podem tratar as causas-raiz
(como treinamento deficiente de usuário), através de relatórios efetivos..
Aqui entra a ITIL

Critérios de Avaliação: Área de Governança Recursos:
Legenda: P - Primário e S - Secundário

Controle Interno
com COSO
O COSO é framework de controle interno para o negócio, já o COBIT é framework de controle interno
para a área de TI que está alinhado com o COSO.
Controle Interno para o negócio
Controle Interno para o negócio
Governança de TI com COBIT®, ITIL® e BSC COSO 1, Introdução:
O processo regulatório referente a controle internos tem um marco importante nos Estados
Unidos por ocasião da lei aprovada pelo Congresso Americano, em dezembro de 1987,
COSO
chamada de Foreign Corrupt Practices Act (FCPA). Essa lei restringe-se a sociedades
anônimas por ações.
As empresas sob FCPA, são obrigadas a criar, implementar e manter sistemas de controle que
ofereçam garantias de que as transações serão registradas em conformidade com os princípios
contábeis.
Os auditores independentes através do AICPA, em SAS (Declaração Padrão de Auditoria) 55, pregam
que a administração deve estabelecer uma estrutura de controle interna composta por 3 elementos:
Ambiente de controle; Sistema Contábil e Procedimento de Controle.
Após estudo feito pela Treadway Commission, criou-se o COSO, Comitê das Organizações
Patrocinadoras.
COSO 1 foi o modelo apresentado pela Comitê das

Organizações Patrocinadoras em 1992 e atualizado em 1994.
COSO 1 é um Framework Integrado de Controle Interno que
definiu o processo de controle interno e elaborou critérios para a
avaliação de sistemas.
O COSO 1 responsabiliza pelo processo de Controle Interno o

Conselho Diretor (Board), a Administração (Directors) e os
funcionários da entidade.
Governança de TI com COBIT®, ITIL® e BSC COSO 1, Controle Interno:
O que é Controle Interno ? COSO
É um processo efetuado pelo conselho, administração ou qualquer outro funcionário de
uma empresa, desenhado para fornecer garantia razoável em relação à realização
dos objetivos nas seguintes categorias:
- Eficácia e eficiência das operações. O objetivo dos controles internos é salvaguardar
- Confiabilidade dos relatórios financeiros. os ativos, verificar a adequação e confiabilidade de
- Conformidade com leis e regulamentos aplicáveis seus dados contábeis, promover a eficiência
operacional e estimular o respeito e obediência às
políticas administrativas fixadas pela gestão.
O que são Controles Gerais ?
São políticas e procedimentos que contribuem para assegurar uma operação continuada e adequada
dos sistemas de informática.
Incluem os controles sobre o gerenciamento da tecnologia de informações, a infraestrutura da
tecnologia da informação, a administração da segurança e aquisição, o desenvolvimento e a
manutenção de software.
O que é Sistema de Controle Interno (SCI) ?

O sistema de controle interno compreende um conjunto de políticas e procedimentos estabelecidos
pela administração de um organização para ajudar a alcançar as metas e os objetivos propostas e
garantir, enquanto for praticável, o desenvolvimento ordenado e eficiente das operações, incluindo a
adesão às políticas e procedimentos administrativos, a salvaguarda dos ativos, a prevenção e
identificação de fraudes e erros, o registro completo e correto das transações.
O COSO 1 é um framework de melhores práticas para controle internos. Foi largamente adotado para
atender os requisitos da SOX (Lei americana para empresas que tem ações na bolsa de Nova York) no
Brasil é recomendado por exemplo pelo TCU (Tribunal de Contas da União).
Governança de TI com COBIT®, ITIL® e BSC COSO 1
Ele estabelece o processo como garantidor para a realização de objetivos
das seguintes categorias:
COSO
- Eficácia e eficiência de operações;
- confiabilidade dos relatórios financeiros
- cumprimento das leis e regulamentos pertinentes.
O COSO 1 sugere também que a avaliação do processo

de controle interno deva ser pontual ao longo do tempo
(exemplo: trimestral, anual...).
O modelo define ainda que um sistema de controle

interno deve ter 5 componentes relacionados:
1 – Ambiente de Controle (com foco na estrutura
organizacional e as relações com o ambiente
externo);
2 – Avaliação de Risco;
3 – Atividade de Controle (políticas e
procedimentos);
4 – informações e Comunicação;
5 – Monitoramento.
Governança de TI com COBIT®, ITIL® e BSC COSO 1 – Os Componentes:
Ambiente de Controle: COSO

É a base para todos os demais componentes. Diz respeito a fatores
como ética, integridade, formas de conduta, políticas de recursos humanos,
estrutura da organização, forma de atuação e atenção do Conselho de
Administração e da alta administração quanto à cultura de controle, atribuição
adequada de autoridade e responsabilidade e alocação de recursos
Avaliação de Risco:
Consiste da identificação e análise de risco (interno e externo) que são
significantes ao alcance dos objetivos da empresa. Esta avaliação deve levar
em consideração a severidade do risco, a frequência com que estes ocorrem e
seu impacto. Definição de como a empresa administrará tais riscos.
Atividade de Controle:
São as políticas e procedimentos que garantem que os planos e diretrizes indicados pela administração são
atingidos e ocorrem por toda a empresa, em todos os níveis, incluindo todas as funções, inclusive aspectos de
segurança física e lógica.
Informação e Comunicação:
Os sistemas de informação produzem relatórios contendo informações operacionais, financeiras e de
compliance (conformidade) que tornam possível a condução e controle do negócio.
Tratam de informações geradas tanto interna com externamente e que serão publicadas internamente e/ou
externamente. Os sistemas de informação devem permitir o fluxo de informações por toda a organização, dos
níveis hierárquicos inferiores para os superiores e vice-versa e com órgãos externos.
Monitoramento:
É monitoramento continuo sob a realização das operações, atividades regulares de gerenciamento e
supervisão de outras atividades decorrentes de execução de tarefas pelas pessoas. As deficiências
encontradas ao longo do monitoramento devem ser comunicadas ao gerente responsável e quando
necessário ser comunicadas a alta administração.
Governança de TI com COBIT®, ITIL® e BSC COSO 1
Após o COSO , o AICPA emitiu o SAS (Statement of Auditing Stardard - Declaração
Padrão de Auditoria) 78 que adere ao COSO 1, tornou um padrão para as firmas de COSO
Auditorias.
A Fundação de Auditoria e Controle de Sistemas de Informações (ISAF) criou um padrão chamado

COBIT (Objetivo de Controle de Informações e Tecnologias Relacionadas), publicado em 1995
(primeira versão). O COBIT partiu do modelo COSO 1.
O COBIT é focado nos processos de tecnologia de informação e seus relacionamentos com o

controle interno.
Esses documentos, COSO 1, SAS 78 e COBIT, enfatizam que a administração é responsável por
estabelecer, manter e monitorar o sistema de controle interno de uma empresa.
Governança de TI com COBIT®, ITIL® e BSC COSO 2 (ERM) – Gerenciamento de Riscos Corporativo:
Em 2001, o COSO propõem uma revisão técnica, chamada de ERM (Enterprise Risk
Management Framework), conhecida como COSO 2.
COSO
O COSO 2 é um estudo complementar ao framework do „COSO‟, chamado Gerenciamento de Riscos

Corporativo (ERM - Enterprise Risk Management) que representa, um próximo passo para aquelas
empresas que estão preocupadas em, além de atender às demandas regulatórias, preservar a geração
de valor de suas empresas.
COSO 2, o framework (conjunto de melhores práticas de

gerenciamento de risco corporativos). Foi largamente
adotado para atender os requisitos do Acordo Basileia 2.
Governança de TI com COBIT®, ITIL® e BSC COSO. Resumo:
O COSO é um “framework” (Guia de referência) de controles internos para organização.
O CobiT é um modelo de controles internos com o foco na área de TI.
COSO
O modelo apresentado pelo COSO em 1992 e atualizado em 1994 (Internal Control – Integrated
Framework), conhecido como COSO 1, definiu o controle interno e elaborou critérios para a avaliação
de sistemas.
O COSO 1 responsabiliza pelo processo de Controle Interno o Conselho Diretor (Board), a
Administração (Directors) e os funcionários da entidade.
O COSO 1 é um framework de melhores práticas de controles internos das organização.

COBIT é framework de melhores práticas para a Governança de TI, Auditoria e Controle. O COBIT
pode ser utilizado para implementação dos Controles internos na área de TI
Segurança da
Informação
No contexto da Segurança da Informação o Cobit diz: “o quê fazer” e a Norma 17799 diz: “como
fazer”.
O quê fazer
Como
fazer
Cenário de ameaças e complexidade crescentes:
Os incidentes de segurança da informação vêm aumentando consideravelmente

ao longo dos últimos anos e assumem as formas mais variadas, como, por
exemplo: infecção por vírus, acesso não autorizado, ataques negação de serviço
(DoS) contra redes e sistemas, furto de informação, invasão de sistemas, fraudes
internas e externas. Isso causa uma enorme dor de cabeça ao gestores de TI.
A questão é: Como lidar com este cenário ?
Uma nova abordagem:
O impacto direto de incidentes de segurança nos resultados dos negócios, as

crescentes e mais complexas ameaças, a expansão constante das fronteiras da
segurança impulsionada pela tecnologia, além da necessidade de adequação a
requisitos regulatórios, delineiam um novo cenário que está modificando as
perspectivas tradicionais da segurança da informação. A evolução da segurança,
como uma disciplina integrada, participante dos contextos operacionais e
organizacionais, depende de abordagens e soluções que levam em consideração
o novo modelo de organização dinâmica, distribuída e cada vez mais complexa.
SGSI (Sistema de Gestão de Segurança da Informação) é conjunto de
práticas que ajudam a lidar com este cenário.
Governança de TI com COBIT®, ITIL® e BSC Sobre a Segurança da Informação:
A ISO / IEC 27000-série é composto por informações de segurança normas editadas em conjunto pela
Organização Internacional de Normalização (ISO) e a International Electrotechnical Commission (IEC).
A série oferece as melhores práticas recomendações sobre segurança da informação, gestão de
riscos e controles dentro do contexto de uma abordagem global do Sistema de Gestão de
Segurança da Informação (SGSI).
A série é deliberadamente abrangente, cobrindo mais do que apenas a privacidade, confidencialidade e

de TI ou questões técnicas de segurança. É aplicável a organizações de todos os tamanhos e portes.
As organizações são incentivados a avaliar os seus riscos de segurança da informação, em seguida,

implementar controles apropriados de acordo com suas necessidades, seguindo as orientações e
sugestões quando pertinente.
Dada a natureza dinâmica da segurança da informação, o conceito SGSI incorpora feedback contínuo e
atividades de melhoria, resumidas por Deming, ciclo PDCA (“Planejar-Fazer-Verificar-Agir“), que procura
abordar as mudanças nas ameaças, vulnerabilidades e impactos dos incidentes de segurança da
informação.
Normas publicadas:
ISO / IEC 27000 - Sistema de Gestão da Segurança da Informação - Visão geral e vocabulário
ISO / IEC 27001 - Sistema de Gestão da Segurança da Informação - Requisitos
ISO / IEC 27002 - Código de prática para a Gestão da Segurança da Informação (originalmente publicada
como ISO / IEC 17799:2005).
ISO / IEC 27003 - Gestão da Segurança da Informação da orientação de implementação do sistema
ISO / IEC 27004 - Gestão de Segurança da Informação - Medição
ISO / IEC 27005 - “Information Security Risk Management”
ISO / IEC 27006 - Requisitos para organismos de auditoria e certificação do Sistema de Gestão da Segurança da
informação
ISO 27799 - Gerenciamento da Segurança da Informação em saúde utilizando ISO / IEC 27002 [padrão
produzidos pelo grupo Infomatics Saúde no âmbito da ISO, independentemente da norma ISO / IEC JTC1/SC27]
Governança de TI com COBIT®, ITIL® e BSC Norma ISO/IEC 17799, Gestão da Segurança da Informação:
ISO 17799
Apresentaremos uma Visão Geral da Norma ISO/IEC 17799 – que é código de prática para a Gestão
da Segurança da Informação.
A ISO/IEC 17799 é uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A
versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-
1:1999.
O padrão é um conjunto, de recomendações para práticas na gestão de Segurança da Informação. Ideal
para aqueles que querem criar, implementar e manter um sistema.
A ISO/IEC-17799 tem como objetivos confidencialidade, integridade e disponibilidade das informações,
os quais são fatores muito importantes para a segurança da informação.
Escopo:
“Este padrão faz recomendações para a gestão da segurança de informações para uso
daqueles que são responsáveis por iniciar, implementar ou manter a segurança em
suas organizações. Intenciona fornecer uma base comum para o desenvolvimento de
padrões de segurança organizacional e práticas eficazes de gestão de segurança de
informações e fornecer confiança nos intercâmbios inter-organizacionais. As
recomendações deste padrão devem ser selecionadas e usadas de acordo com as leis e
regulamentos aplicáveis”
Governança de TI com COBIT®, ITIL® e BSC Norma ISO/IEC 17799, Gestão da Segurança da Informação:
Apresentaremos uma Visão Geral da Norma ISO/IEC 17799 – que é código de
práticas para a implementação do Sistema de Gestão da Segurança da
ISO 17799
Informação:
Principais Componentes:
Disponibilidade – Acesso contínuo e ininterrupto. A informação deve estar disponível para

a pessoa certa e no momento em que ela precisar.
Integridade – Proteger a informação contra qualquer tipo de alteração sem a autorização

explícita do autor da mesma
Confidencialidade – Visa manter o sigilo, o segredo ou a privacidade das informações,

evitando que pessoas, entidades ou programas não autorizados tenham acesso às
mesmas.
Autenticidade - garante ao receptor da informação a origem informada. Assegura que o

acesso à informação não possa ser realizado por terceiros em nome do receptor ou que se
utilizem do nome do originador para enviar informações.
Objetivos:
• Reduzir a probabilidade de ocorrência de incidentes.
• Minimizar os danos / perdas causados à Organização.
• Recuperação dos danos em caso de incidente.
Governança de TI com COBIT®, ITIL® e BSC Fazendo o “link” entre o COBIT e a ITIL
Cobit é um framework que tem um conjunto de componentes que
representam as melhores praticas para Governança de TI, Controle, Cobit
Auditoria de TI e Compliance com regulamentação (SOX, por exemplo).
Domínio: Entregar e Suportar

Processo: Garantir a Segurança dos Sistemas DS5
Descrição do Processo:
Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um
processo de gestão de segurança.
Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas,
padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste
periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A
gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de
vulnerabilidades e incidentes de segurança.
Aqui entra a ISO 17799

Critérios de Avaliação: Área de Governança Recursos:
Legenda: P - Primário e S - Secundário

Governança de TI com COBIT®, ITIL® e BSC Exercício
Responda as questões:
1 – Como CMMi/Mps.br fazem link com o Cobit ?
2 – e-SCM-SP faz link com o Cobit ?
Governança de TI com COBIT®, ITIL® e BSC Exercício:
3 - Atualizar visão que é mostrada na figura abaixo, que é baseada na versão 2, da ITIL
para uma visão que seja aderente a versão 3.
{aula #2} Parte 2
Governança de TI
com melhores práticas COBIT®, ITIL® e BSC®
www.etcnologia.com.br
Rildo F Santos
rildo.santos@etecnologia.com.br
twitter: @rildosan
(11) 9123-5358 skype: rildo.f.santos
(11) 9962-4260 http://rildosan.blogspot.com/

Melhores Práticas para Governança de TI

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Melhores Práticas para Governança de TI

Enviado por

Direitos autorais:

Formatos disponíveis

{aula #2} Parte 2

com melhores práticas COBIT®, ITIL® e BSC®

Apresentação da aula # 2 do “Workshop Governança de TI Com COBIT®, ITIL® e

Objetivo dessa aula:

1 – Fundamentos da Governança de TI:

2 - Melhores práticas para Governança de TI:

Cobit COSO ITIL BSC

Metas de Negócios Metas de TI e alinhamento com os Processos

O BSC (Balanced Scorecard) é um sistema de Gestão Estratégica Integrado que ajuda a

Harvard Business Review, 1992

Exemplos de Objetivos Estratégicos:

Perspectiva Valor de Mercado

Perspectiva de Valor do Colaborador Aprendizagem

O mapa estratégico tem a estrutura causa-efeito

Processos Reduzir de cinco

Aprendizagem Desenvolver Profissionais 60 % dos Criar programa de

Prover um bom retorno de investimento nos negócios capacitados por TI

Perspectiva Financeira Gerenciar os riscos de TI relacionados aos negócios

Melhorar a orientação ao cliente e serviços.

Perspectiva do Cliente Demonstrar agilidade quando responder a mudanças de requisitos de

Garantir a otimização dos custos de entrega de serviço.

Obter informações confiáveis e úteis para a tomada de decisão.

Perspectiva de Processo Garantir a conformidade com leis, contratos e regras externas.

Interno Garantir a conformidade com as políticas internas.

2. A segunda tabela mapeia os objetivos de TI com os processos de TI do CobiT e com critérios de

Biblioteca composta Abordagem para Gestão

TSO – The Stationery Office

® ITIL é uma marca registrada em nome do OGC

Sobre a Gestão de Serviços de TI (ITSM – IT Service Management)

Gerenciamento do Nível de Serviço

Central de Gerenciamento Gerenciamento Gerenciamento

O foco da ITIL v3 é Ciclo de Vida dos Serviços

Adaptado do original de David Pultorak

O SLA é um acordo entre o negócio e a TI, O entendimento entre as partes é celebrado

O monitoramento faz o acompanhamento

Infra-estrutura -------- Os desvios devem sofrer ajustes para

Gestão baseada Aumento da

- Aumento: 12% da disponibilidade

Aqui entra a ITIL

Legenda: P - Primário e S - Secundário

COSO 1 foi o modelo apresentado pela Comitê das

O COSO 1 responsabiliza pelo processo de Controle Interno o

O que é Sistema de Controle Interno (SCI) ?

O COSO 1 sugere também que a avaliação do processo

O modelo define ainda que um sistema de controle

Ambiente de Controle: COSO

A Fundação de Auditoria e Controle de Sistemas de Informações (ISAF) criou um padrão chamado

O COBIT é focado nos processos de tecnologia de informação e seus relacionamentos com o

O COSO 2 é um estudo complementar ao framework do „COSO‟, chamado Gerenciamento de Riscos

COSO 2, o framework (conjunto de melhores práticas de

O COSO 1 é um framework de melhores práticas de controles internos das organização.

Cenário de ameaças e complexidade crescentes:

Os incidentes de segurança da informação vêm aumentando consideravelmente

Uma nova abordagem:

O impacto direto de incidentes de segurança nos resultados dos negócios, as

A série é deliberadamente abrangente, cobrindo mais do que apenas a privacidade, confidencialidade e

As organizações são incentivados a avaliar os seus riscos de segurança da informação, em seguida,

Disponibilidade – Acesso contínuo e ininterrupto. A informação deve estar disponível para

Integridade – Proteger a informação contra qualquer tipo de alteração sem a autorização

Confidencialidade – Visa manter o sigilo, o segredo ou a privacidade das informações,

Autenticidade - garante ao receptor da informação a origem informada. Assegura que o

Domínio: Entregar e Suportar

Aqui entra a ISO 17799