Governana de TI: O

que COBIT ?

Agenda

Governana de TI
Metodologia COBIT
Relacionamento do COBIT com os
modelos de melhores prticas
Governana de TI em 2006
Estudo de Caso
Referncias

Governana de TI

De acordo com o IT Governance

Institute (2005)
A
governana
de
TI

de
responsabilidade
de
alta
administrao (incluindo diretores e
executivos),
na
liderana,
nas
estruturas organizacionais e nos
processos que garantem que a TI da
empresa sustente e estenda as
estratgias
e
objetivos
da
organizao.

Governana de TI

Fatores motivadores da Governana de TI

Integrao
Tecnolgica

Ambiente de
Negcios

Marcos de
Regulao

Governana
de TI

Dependncia do
Negcio em
Relao TI

Segurana da
Informao

Governana de TI

Framework para Gerenciamento de TI

A Governana de TI, quando implementada de

forma integrada:

Permite que a empresa gerencie de forma eficiente

seus investimentos em recursos tecnolgicos e suas
informaes transformando-as em maximizao de
benefcios, oportunidades de negcio e vantagem
competitiva no mercado.

A estrutura do COBIT- Control Objectives for

Information and Related Technology foi
idealizada de forma a atender s necessidades
de controle da organizao relacionadas
Governana de TI.

Histrico do
COBIT
O COBIT foi criado em 1994 pela ISASFC
( Information Systems Audit and Control
Foundation, ligado ISACA).
Em 1998, foi publicada a sua 2 edio,
contendo uma reviso nos objetivos de
controle de alto nvel e detalhados, e mais
um conjunto de ferramentas e padres para
implementao.
A 3 edio foi publicada em 2000 pelo IT
Governance Institute ( ITGI).

Histrico do
COBIT
O modelo
evoluiu novamente em 2005
para a verso 4.0, atravs de prticas e
padres mais maduros.
O COBIT est em conformidade com as
regulamentaes, do foco mais acentuado
na governana de TI, nos nveis mais
elevados e da ampliao da sua
abrangncia para um pblico mais
heterogneo (gestores, tcnicos,
especialistas e auditores de TI).
COBIT 4.1 -2007

Pblico Alvo do
COBIT

Gesto Executiva

Gesto de Negcios

Gesto de TI

Auditores

Objetivo do COBIT

Contribuir para o sucesso da entrega de

produtos e servios de TI, a partir da perspectiva
das necessidades do negcio, com um foco mais
acentuado no controle que na execuo.
Focos da Governana de TI, na viso do COBIT

Estrutura do COBIT

Consiste de um conjunto de 210 Controles,

organizados em 34 Processos que so
agrupados em 4 Domnios, aplicveis aos
sistemas e TI.
Principais Caractersticas

Foco nos requisitos do negcio

Orientao para uma abordagem de processos
Utilizao de mecanismos de controles
Direcionamento para a anlises das medies
e indicadores de desempenho obtidos ao longo
do tempo

Estrutura do COBIT

Foco no Negcio
Recursos de TI

Aplicaes, Informao, Infraestrutura e Pessoas

Critrios de Controle
Eficincia,Eficcia,
Confidencialidade, Integridade,
Disponibilidade, Conformidade com
regulaes( Compliance) e
Confiabilidade.

Planejamento e
Organizao

Aquisio e
Implementao

Entrega e Suporte

Monitorao e
Avaliao

Estrutura do
COBIT
Controle
atravs de objetivos

Os objetivos de controle do COBIT procuram atestar

como cada processo faz uso dos recursos de TI para
atender de forma primria ou secundria cada
requerimento do negcio em termos de informao,
cobrindo todos os seus aspectos:

Primrio (P) Indica o nvel no qual o objetivo de controle

definido tem impacto direto no critrio de informao.
Secundrio (S) Indica o nvel no qual o objetivo de
controle definido apenas satisfaz o critrio de informao,
podendo ser em pouca extenso ou inclusive
indiretamente.
No Preenchimento Poderia ser aplicvel, todavia outro
critrio de avaliao mais adequado a este processo.

Estrutura do
Controle atravs de objetivos
COBIT

Objetivos de Controle
PO9 Avaliar e Gerenciar os Riscos
de TI

PO9 Avaliar e Gerenciar os Riscos de TI

Controle sobre o processo de TI de

Avaliar e gerenciar os Riscos de Ti
que satisfaa a exigncia do negcio de
Analisar e comunicar os riscos de TI e seu potencial impacto sobre os objetivos e
processos do negcio
por focalizar um
Desenvolvimento de um framework de gerenciamento de risco que est integrado
ao negcio e o desenvolvimento de um framework de riscos operacionais, riscos
de avaliao, mitigao de riscos e comunicao de riscos residuais.

Objetivos de Controle
PO9 Avaliar e Gerenciar os Riscos
de TI
atingido mediante
Garantindo que o gerenciamento de risco est totalmente embutido no processo
de gerenciamento, internamente e externamente, e consistentemente aplicado;
Avaliao da performance dos riscos;
Recomendao e comunicao dos planos de ao para correo dos riscos.
e medido por
Percentual de objetivos crticos de TI cobertos pela avaliao de riscos;
Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos;
Percentual de plano de ao de gerenciamento de riscos aprovados para
implementao.

Objetivos de Controle
PO9 Avaliar e Gerenciar os Riscos
de TI

Objetivos de Controles detalhados do

PO9:

PO9.1 - Alinhamento do Gerenciamento de

Riscos de Negcio e TI.
PO9.2 - Estabelecimento do Contexto dos
Riscos.
PO9.3 - Identificao de eventos.
PO9.4 - Aceitao de Riscos.
PO9.5 - Resposta aos Riscos.
PO9.6 - Manuteno e Monitorao do Plano
de Ao de Riscos.

Estrutura do COBIT

Os processos de TI so organizados na
documentao do modelo de forma a mostrar
uma viso completa sobre como devem ser
controlados, gerenciados e medidos.
Cada um dos 34 processos de TI descrito
atravs de seus componentes interrelacionados
Os componentes do COBIT so utilizados para
fazer com que a TI seja orientada aos
objetivos do negcio e cumpra seu papel na
instituio

Estrutura do COBIT

Contedo dos processos de TI

Objetivos de controle de alto nvel
rea foco de governana, Requisitos de negcio(
primrio, secundrio ou no aplicvel)
Objetivos de controle detalhado
Representando as atividades que os decompe
Diretrizes para Gerenciamento
Entradas e sada, Matriz de responsabilidades,
Metas e Indicadores-chave de metas e
desempenho.
Modelo de Maturidade
Utilizado para avaliar o processo em relao aos
benchmarcks preestabelecidos.

COBIT- Componentes Interrelacionados

Negcio
requisitos

informao
Processos
de TI

r
po
s
as

M
ed
id
o

i
ur
at
de
da

focos nas sad

Modelos de
Maturidade

ta
do

at
r

av

de

por

os
id
z
du
a
Tr

Diretrizes
para
Auditoria

Objetivos de
Controle
ra
pa

ado

na

KGI

Metas das
Atividades

co

KPI

em

em

fo

o
oc

s
de

nh
pe

ud
i

lados

nt
me
ple m
Im
co

es
ficaz
see
ente
efici
e
vs d
atra

Contr
o

Prticas de
Controle

Estrutura do COBIT

Modelos de Maturidade

Nvel 0 (Inexistente): Processos de gesto no so

aplicados;
Nvel 1 (Inicial): Processos so espordicos e
desorganizados;
Nvel 2 (Repetitivo): Processos seguem um padro
de regularidade;
Nvel 3 (Definido): Processos so documentados e
comunicados;
Nvel 4 (Gerenciado): Processos so monitorados e
medidos;
Nvel 5 (Otimizado): Boas prticas so seguidas e
otimizadas.

Estrutura do COBIT

Metas e medies de desempenho

Indicadores-Chave de Metas (KGIs)

Definem as medies que informam

gerncia se um processo de TI atingiu os
objetivos de negcio;

Indicadores-Chave de Desempenho
(KPIs)

Definem as medies que informam

gerncia o quanto os processos de TI esto
sendo bem executados no sentido de
viabilizar o atendimento dos objetivos de
negcio.

Estrutura do COBIT

Fatores Crticos de Sucesso

Define as questes ou aes mais

importantes para obter o controle
sobre os processos de TI,
estrategicamente, tecnicamente e em
termos organizacionais ou
procedurais.

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de
TI

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

Modelo de Maturidade: Controle sobre o processo de

TI de Avaliar e Gerenciar Riscos de TI com o
objetivo de negcio de suportar decises da
administrao atravs do atingimento dos objetivos de
TI e fazer frente s ameaas mediante a reduo da
complexidade, o aumento da objetividade e a
identificao de importantes fatores de deciso.
0 Inexistente A avaliao de risco para processos e
decises de negcio no ocorre. A organizao no
considera os impactos do negcio associados com as
vulnerabilidades da segurana e com as incertezas
do projeto do desenvolvimento. A gerncia de risco
no foi identificada como relevante para adquirir
solues de TI e entrega de servios de TI.

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

1 Inicial A organizao est ciente de

suas responsabilidades e obrigaes legais
e contratuais, mas considera os riscos de
TI de uma maneira ad hoc, sem seguir
processos ou polticas definidas. As
avaliaes informais do projeto de risco
ocorrem como determinado por cada
projeto.
As
avaliaes
de
risco
provavelmente no so identificadas
especificamente dentro de um projeto
planejado ou so atribudas aos gerentes
especficos envolvidos no projeto.......

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI
2 Repetvel mas Intuitivo H
emergente compreendimento que
riscos de TI so importantes e
necessrios
serem
considerados.
Alguma abordagem avaliao de
risco existe, mas o processo ainda
imaturo e em desenvolvimento. A
avaliao est geralmente em um
alto-nvel e tipicamente aplicada
somente aos projetos principais.....

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

3 Processo Definido Uma ampla poltica

de gesto de risco na organizao define
quando e como conduzir as avaliaes de
risco. A avaliao de risco segue um
processo definido que est documentado e
disponvel a toda a equipe de funcionrios
treinada. As decises para seguir o
processo e para receber o treinamento so
deixadas discrio do indivduo.....

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI

4 Gerenciado e Medido A avaliao do risco

um procedimento padro e as excees
para seguir o procedimento esto sendo
observadas pela gerncia de TI. provvel
que a gesto de risco de TI uma funo
definida da gerncia com nvel de
responsabilidade snior. O processo
avanado e o risco avaliado no nvel do
projeto individual e tambm regularmente no
que diz respeito a operao de TI por toda a
parte......

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos
de TI
5 Otimizado A avaliao de risco foi
desenvolvida ao estgio onde um amplo
processo estruturado na organizao
reforado, seguido regularmente e bem
controlado. O brainstorming e a anlise
de causas de risco, envolvendo os
indivduos peritos, so aplicados atravs
da organizao inteira. A captura, a
anlise e relato de dados da gesto de
risco so altamente automatizados......

de TI, para atingir Metas de TI, que por sua vez

esto estreitamente ligadas aos Requisitos de
Requisitos de Negcio
Negcio.

Aplicaes
Informao
Infra-estrutura
Pessoas

Processos de Ti KGI

de
ee
cia
a
d
n
d
a
i

l
i
ilid ade
cia ade
Efic
b
n
i
e
e
n
o bilid
fid grid
cia
p
n

s
o
e
c
i
t
C
D onfia
Efi
e In
C

KPI

Estrutura do Cubo
COBIT
Recursos
de TI so gerenciados por Processos

os
s
ur
c
Re

de

TI

Implementando COBIT

Documentao
Mapeamento dos processos de negcio
Definio de polticas
Identificao dos objetivos de controle
Definio de diretrizes
Implementao
Divulgao
Conscientizao
Gesto dos processos
Benchmarks das prticas de controle de TI (Modelo de
Maturidade CMM)
Fatores Crticos de Sucesso
Indicadores de Objetivos
Indicadores de Performance

Aplicabilidade do COBIT

Avaliao dos processos de TI

Auditoria dos riscos operacionais
de TI
Implementao modular da
Governana de TI
Realizao de benchmarking
Qualificao de fornecedores de TI

Relacionamento dos Modelos

de Melhores Prticas

Nas duas ltimas dcadas vem

surgindo e sendo elaborada uma srie
de modelos de melhores prticas de TI
Alguns desses modelos so originais e
outros so derivados e/ou evoludos de
outros modelos
Exemplos:

CMMI, ITIL, BS 7799, ISO/IEC 27001,

eSCM-SP, PMBOK, BSC, SAS-70

Agrupamento dos modelos

das melhores prticas

Relacionamento do COBIT com

os modelos de Servios de TI

Alguns processos do COBIT que possuem relao

com servios de TI:
PO9Avaliar e gerenciar riscos de TI:
relacionado
ao
gerenciamento
da
continuidade
dos
servios
e
ao
gerenciamento
da
segurana
da
informao;
DS1- Definir e gerenciar nveis
de servio:
relacionado a disciplina de gerenciamento
de nveis de servio;
DS3Gerenciar desempenho e capacidade:
relacionado disciplina de gerenciamento
de capacidade e disponibilidade;

Relacionamento do COBIT com

modelos de Projetos

Alguns processos do COBIT que possuem

relao com Projetos:
AI2- Adquirir e manter software aplicativo:
compreende o ciclo de vida de
desenvolvimento de software que est
representado no CMMI e na ISO/IEC
12207;
AI5- Adquirir recursos de TI: todos os
modelos abordam a questo de
aquisio de recursos para os
projetos;

Quando utilizar os
modelos

A utilizao dos modelos, seja em

carter total ou parcial, depender
da estratgia de cada empresa
- Preciso avaliar a TI de uma forma
abrangente. Qual o modelo eu devo
utilizar?
Posso implantar o COBIT?

Governana de TI em 2006
Relatrio de Status Global da
Governana de TI 2006

Relatrio de Status Global

da Governana de TI

Fonte: IT Governance Global Status

Report
Pequisa publicada em 2006,
efetuada em 2005 pela PwC sob
orientao do ITGI / ISACA
695 entrevistados (nveis CEO e CIO)
623 escolhidos aleatoriamente
72 dentre os que adquiriram o
COBIT

Principais Resultados

Cada vez mais TI mais crtico para o

negcio

Para 87% dos participantes, IT muito

importante para a execuo da
estratgia corporativa.
Para 63%, TI est regulamente ou
sempre na agenda da mesa de reunio.

Administrao geral percebe a

importncia de TI um pouco mais do
que a prpria administrao de TI

Principais
Resultados

Segurana no o problema mais

importante de TI
Staffing o problema de TI mais importante
Outsourcing de IT est fora.
Diferentes significados nos diversos setores
existentes

Servios financeiros e de TI/Telecom apresentam

melhor performance de Governana de TI
Indstrias de manufaturas apresentam os piores
resultados

Principais
Resultados

Conhecimento do ISACA e ITGI tem

aumentado

Conhecimento do COBIT tem aumentado.

Triplicou em relao a pesquisa de 2003

Aumentou 50% em relao a pesquisa de
2003.

Governana de TI (e COBIT) no
facilmente implementado como
originalmente estimado.
COBIT est sendo utilizado por 10% da
populao de TI

Cincia e Uso COBIT

Est voc pessoalmente ciente da

existncia do COBIT?

Cincia e Uso COBIT

Se voc pessoalmente tem cincia da

existncia do COBIT, voc
pessoalmente um conhecedor do
contedo do COBIT?

Cincia e Uso COBIT

Se voc pessoalmente um conhecedor do

contedo do COBIT, ento que nvel de
conhecimento voc possui do contedo?

Cincia e Uso COBIT

Sua organizao fez( em qualquer rea)

uso corrente do COBIT?

Cincia e Uso COBIT

Que parte do COBIT sua organizao usa?

Cincia e Uso COBIT

O quo fcil ou difcil para voc

implementar o framework COBIT ou parte
do framework COBIT?

Cincia e Uso COBIT

Foi a lei Sarbanes-Oxley, ou outro lei

relacionada ou regulao, a razo para
introduzir o COBIT em sua organizao?

Estudo de Caso

Estudo de Caso:
Accor Services Brasil

Perfil da Empresa

Accor Services- Grupo mundial de

Hotelaria, Turismo e Servios com
volume de negcios de R$ 7,0 bilhes
em 2004.
No Brasil, o Grupo Accor atua
fortemente no ramo de hotelaria e
servios diversificados, como os
hotis Sofitel, Mercury, bis, Formule 1
e Parthenon Flats, e alinha de
servios representada pelos produtos
Ticket restaurante, Ticket alimentao

Histrico de TI

At 1999, a rea de TI apresentava a

seguinte situao:

Cada aplicao focava um nico produto

Os sistemas eram heterogneos e no estavam
totalmente integrados
A arquitetura de TI no atendia crescente
necessidade de flexibilidade
Altos custos de manuteno dos sistemas
Infra-estrutura no estava totalmente alinhada
com as necessidades do negcio
Baixo valor agregado que TI fornecia ao negcio

Reformulao de TI

De 2000 a 2004, efetuada a implementao do

ERP e CRM
A rea de Infraestrutura de TI foi transferida
para IBM em um contrato de full outsourcing e
a parte de telecomunicaes com a Embratel
As arquiteturas de TI passaram para a WEB, ao
contrrio do cliente/servidor
Foi criada uma rea de Segurana da
Informao
Em 2003, foi elaborado e implementado o BSC
da rea de TI
A partir de 2004, aes voltadas para
Governana de Ti comearam a ser pensadas e
implantadas

O Programa de Governana
de
Ti
O programa de desenvolveu em dois momentos.
Em 2004, o primeiro momento consistiu nas
seguintes aes:
Reorganizao da gesto operacional de
outsourcing
Implantao do Escritrio de Projetos
vinculado a diretoria de TI
Implantao de ferramentas para a gesto de
demandas e projetos
Desenvolvimento da metodologia de gesto e
de desenvolvimento de sistemas e processos

O Programa de Governana
de Ti

O segundo momento aconteceu em

2005, com aes tais como:

Criao de um modelo de governana

Gesto do Portfolio de Projetos pelo
Escritrio de Projetos
Forte capacitao dos recursos humanos
em planejamento de projetos e em
tecnologia

O Programa de Governana de Ti

Como a Governana de TI evoluiu ao

longo do tempo, novas aes esto
sendo planejadas para 2006:

Administrar a TI como se fosse uma

empresa
Implantar processos alinhados com a
ITIL
Mudar a forma de comunicao com o
negcio

Resultados alcanados at o
momento

O volume de negcio mais que

duplicou nos ltimos cinco anos
O custo de TI, proporcionalmente ao
resultado, caiu em mais de 30% e
com melhor nvel de servio
A satisfao do usurio aumentou
em mais de 50% de 2000 a 2004
O backlog diminuiu de 40% para
10%

Utilizao do COBITExemplos

Banco Bradesco

Banco Nossa Caixa

Investimento de 1.2 bilhes no projeto Melhorias

TI nos prximos 6 anos
Em cerca de dez dias, depois de divulgado as
prticas de Governana de TI, as aes da Nossa
Caixa valorizaram mais de 4%, superando o
Ibovespa, principal ndice de preos da bolsa, no
mesmo perodo.

O Cobit tambm tem sido adotado pelas

organizaes de TI de grandes bancos (Ita,
Bradesco) e de grandes empresas (Grupo
Votorantim, Petrobrs, Gerdau, Grupo Abril).

Referncias

IT Governance Global Status Report2006.

http://www.itgi.org. Acessado em
09/10/2006.
FERNANDES, Aguinaldo Aragon; ABREU,
Vladimir Ferras. Implantando a Governana
de TI - da Estratgia Gesto de Processos
e Servios. Editora Brasport, 2006.
WEILL, Peter; ROSS, Jeanne. Governana de
Tecnologia da Informao. Editora M. Books,
2005.
COBIT 4.0: Control Objectives, Management
Guidelines and Maturity Models. Acessado
em 09/10/2006.

Governana de TI

"Os computadores so incrivelmente rpidos, precisos e burros;

os homens so incrivelmente lentos, imprecisos e brilhantes;
juntos, seu poder ultrapassa os limites da imaginao"
Albert Einstein

Perguntas ?
Wamberg Oliveira
wamberg@gmail.com