COBIT

Profa. Priscila Facciolli

Qualidade e Teste de Software 1

Contedo
Governana de TI; Introduo ao COBIT; Objetivos de Controle; Diretrizes de Gerenciamento; Produtos do ITGI; Exerccios; Bibliografia
Qualidade e Teste de Software 2

Governana deTI
PRINCIPAIS DESAFIOS DA TI Promover alinhamento entre TI e negcio; Reduzir os custos da TI; Gerenciar a complexidade da TI; Proporcionar segurana da informao; Aumentar a qualidade dos servios; Gerenciar fornecedores externos;

Estar em conformidade com leis e regulamentos

Qualidade e Teste de Software 3

Governana deTI
O QUE GOVERNANA DE TI?
um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI. O conselho de administrao e os executivos so responsveis pela Governana de TI.
Qualidade e Teste de Software 4

Governana deTI
STAKEHOLDERS NA GOVERNANA DE TI
So pessoas ou elementos relacionados com as operaes de TI, como: Fornecedores; Usurios; rgos pblicos; Governo; Acionistas; Diretores/executivos/gerentes.
Qualidade e Teste de Software 5

Governana deTI
REAS DE FOCO DA GOVERNANA DE TI 1. Alinhamento Estratgico: Alinhando TI com o negcio e fornecendo solues colaborativas. 2. Entrega de Valor: Executando a proposio de valor atravs do ciclo de entrega. 3. Gerenciamento de Riscos: Gerenciando riscos de TI, impactos das mudanas, segurana,conformidade. 4. Gerenciamento de Recursos: Otimizando o desenvolvimento e o uso de recursos disponveis. 5.Monitoramento do Desempenho: Monitoramento dos recursos para ao corretiva.
Qualidade e Teste de Software 6

Governana deTI
GERENCIAMENTO DE RISCOS Os riscos so gerenciados de quatro formas: Mitigando riscos: Implementar controles que protejam contra riscos. Ex: Implementao de um firewall de segurana. Transferindo riscos: Compartilhar riscos parceiros ou contratar seguro apropriado. com

Aceitando riscos: Confirmar e monitorar riscos, e ter pronto um plano de resposta ao risco. Evitando riscos: Adotar uma opo diferente que evite completamente o risco.
Qualidade e Teste de Software 7

Governana deTI
CARACTERSTICAS NECESSRIAS EM UM FRAMEWORK DE CONTROLE

Um framework de controle de TI deve conter as seguintes caractersticas:

Foco no negcio;

Orientao a processo;
Padro aceito; Linguagem comum;

Requisitos regulatrios.
Qualidade e Teste de Software 8

Governana deTI
BENEFCIOS DA GOVERNANA DE TI Confiana da alta administrao; TI mais comprometida com o negcio;

Maior ROI (Retorno sobre o Investimento);

Servios mais confiveis; Mais transparncia.

Qualidade e Teste de Software

Introduo ao COBIT
COBIT= Control Objectives for Information and related Technology (Controle de Objetivos para Informaes relativas Tecnologia) um framework e uma base de conhecimento para os processos de TI e seu gerenciamento; No um padro definitivo deve ser adaptado para cada empresa; um framework de controle que tem o propsito de assegurar que os recursos de TI estaro alinhados com os objetivos da organizao; baseado na premissa de que a TI precisa entregar informao que a empresa necessita para atingir seus objetivos; O princpio do framework COBIT o de prover um link entre as expectativas e as responsabilidades de gerenciamento de TI, com o objetivo de facilitar que a Governana de TI agregue valor TI enquanto gerencia riscos; Faz com que a TI seja mais e Teste de Software negcio . Qualidade responsiva ao 10

Introduo ao COBIT

MISSO DO COBIT Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para uso no dia-a-dia de gerentes de negcio e auditores.

Qualidade e Teste de Software

11

Introduo ao COBIT
O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE

Define uma linguagem comum para TI e negcio;

Ajuda a atender aos requisitos regulatrios; um padro aceito entre empresas; orientado a processos; focado nos requisitos de negcio ;
Qualidade e Teste de Software 12

Introduo ao COBIT
COMPONENTES DO COBIT

PROCESSOS DE TI So 4 Domnios Processos de TI: e 34

1- Planejamento e Organizao; 2- Aquisio e Implementao; 3 Entrega e Suporte; 4- Monitorao e Avaliao

Qualidade e Teste de Software

13

Introduo ao COBIT
CRITRIOS DE INFORMAO Para satisfazer os objetivos de negcio as informaes precisam estar em conformidade com os critrios chamados Requisitos de Negcio. So eles:
Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das operaes Confiabilidade das informaes Conformidade com leis e regulamentos Requisitos de Segurana Confidencialidade , Integridade , Disponibilidade.
Qualidade e Teste de Software 14

Introduo ao COBIT
O COBIT mapeia os requisitos de negcio para informao em CRITRIOS DE INFORMAO:

Qualidade e Teste de Software

15

Introduo ao COBIT
Eficcia: ligado com relevncia e utilidade da informao.

Eficincia: ligado com otimizao de recursos.

Confiabilidade: ligado com informao correta. Conformidade: relacionado com conformidades a leis e regulamentos.

Confidencialidade: relacionado com proteo e segurana da informao. Integridade: relacionado com validez da informao. Disponibilidade: informao disponibilizada quando requerida.

Qualidade e Teste de Software

16

Introduo ao COBIT
RECURSOS DE TI Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes. Informao: dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio usado pelo negcio.

Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que seja necessrio para o funcionamento das aplicaes.
Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Elas podem ser internas ou terceirizadas.
Qualidade e Teste de Software 17

Introduo ao COBIT
O COBIT compatvel com outros padres este um benefcio da sua adoo; O COBIT est em um nvel mais genrico, portanto pode ser utilizado para avaliar outros processos implementados por outros frameworks como ITIL e ISO 17799; O COBIT pode ser aplicado depois que outros padres de nvel mais operacional j estejam aplicados, j que o COBIT vai servir para auditar estes processos; O COSO um framework para controle de interno e no somente de TI: pode ser utilizado em qualquer rea de negcio. J o COBIT especfico para TI mas est alinhado com o COSO ; O COBIT cobre todos os processos da ITIL, entretanto a ITIL mais detalhada; O COBIT um framework que diz o que tem ser feito e no se preocupa em como fazer; O COBIT atende aos requisitos regulatrios aos quais a empresa est submetida, por isto pode ser utilizado para cumprir a conformidade com a Sarbanes-Oxley;
Qualidade e Teste de Software 18

COBIT X OUTROS PADRES

Objetivos de Controle
Como framework de controle, o COBIT tem 2 focos:

1- Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio; 2- Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que precisam ser gerenciados por processos de TI;

Qualidade e Teste de Software

19

Objetivos de Controle
MODELO DE PROCESSO DO COBIT

Qualidade e Teste de Software

20

Objetivos de Controle
Planejar e Organizar: (PO) Usado para que a empresa atinja seus objetivos com o planejamento e organizao da infraestrutura de TI. Possui 10 Objetivos de Controle de Alto Nvel. Adquirir e Implementar: (AI) Faz com que a empresa adquira tecnologia dentro dos processos da empresa. Foca no Plano de Manuteno, para prolongar a vida dos sistemas de TI. Possui 7 Objetivos de Controle de Alto Nvel. entregar e Dar Suporte: (DS) Prov a entrega de TI para a organizao. Executa as tarefas de TI e d suporte execuo. Incluem segurana e treinamento em suas atividades. Possui 13 Objetivos de Controle de Alto Nvel. Monitorar e Avaliar: (ME) Monitora e avalia se as estratgias da companhia perante a TI e se essa atende os objetivos da empresa, utiliza auditores internos e externos. Possui 4 objetivos de Controle de Alto Nvel.
Qualidade e Teste de Software 21

Objetivos de Controle
RESUMO DOS PROCESSOS MAIS IMPORTANTES
Domnio PO Processo PO9 Assess and Manage IT Risks Avaliar e gerenciar riscos de TI PO10 Manage Projects Gerir Projetos AI AI4 Enable Operation and Use Operao Capacitar e Uso Descrio Cria e mantm um framework de gerenciamento de riscos de TI. Todos os assuntos relacionados a riscos esto envolvidos neste processo. Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI. Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produo de documentao e manuais para usurios e TI, e fornece treinamento aos usurios.

AI6 Manage Changes Gerenciar mudanas

DS DS1 Define and Manage Service Levels Definir e Gerenciar Nveis de Servio DS2 Manage Third-party Services Gerenciar Servios de Terceiros

Inclui todas as mudanas, inclusive as mudanas emergenciais relacionadas com a infraestrutura.

Define os nveis de servios requeridos junto com os clientes, e monitora e emite relatrios para os stakeholders.

Assegura os servios fornecidos por terceiros para que estes satisfaam as necessidades do negcio. Envolve-se com regras, responsabilidades e acordos com terceiros.

Qualidade e Teste de Software

22

Diretrizes de Gerenciamento
As diretrizes de gerenciamento fornecem ferramentas para medir e comparar a capacidade para cada processo de TI. Metas e mtricas: Medidas de resultado (outcome measures) ; Indicadores de desempenho (performance indicators); Recursos: Entradas e sadas para cada processo; Grfico RACI (matriz de responsabilidades);
Qualidade e Teste de Software 23

Diretrizes de Gerenciamento
MTRICAS As diretrizes de gerenciamento especificam medidas de resultado em forma de OMs (Outcome Measures) e medidas de performance em forma de PIs (Performance Indicators). Indicadores de performance (performance indicators) Medidas de resultado (outcome measures)

Medem como voc est fazendo. Tambm conhecidos como indicadores de tendncia.

Medem o que voc tem feito. Tambm conhecidas como indicadores de lag pelo fato de medirem somente aps o fato ocorrido.
Qualidade e Teste de Software 24

Diretrizes de Gerenciamento
As diretrizes de gerenciamento do COBIT sugerem utilizar balanced business scorecards, os quais fornecem mtricas para alcanar as metas de TI.
Um scorecard tem 4 dimenses que mapeiam metas e indicadores de performance:

Qualidade e Teste de Software

25

Diretrizes de Gerenciamento
GRFICO RACI Para cada processo sugerido um grfico RACI com os responsveis por atividade: R-Responsvel, A-Encarregado, C-Consultor, I-Informado

Qualidade e Teste de Software

26

Diretrizes de Gerenciamento
MODELOS DE MATURIDADE

Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para determinado processo. A classificao vai de inexistente (0) a otimizado (5). Os modelos de maturidades fazem parte das diretrizes de gerenciamento e podem ser utilizados para fazer comparaes de maturidade com outras Inicial Reptivel Definido Gerenciado Otimizado Inexistente empresas.
0 1 2 3 4 5

Legenda para os smbolos

Enterprise current status International standard guidelines Industry best practice Enterprise strategy

Legendas para o ranking 0 Processos de gerenciamento no so aplicados a todos 1 Processos so desorganizados 2 Processos seguem um padro regular 3 Processos so documentados e comunicados 4 Processos so monitorados e medidos 5 Melhores prticas so seguidas e Testeautomatizadas de Software

Qualidade e

27

Diretrizes de Gerenciamento
Modelo genrico de maturidade
0 Inexistente 1 Inicial 2 Repetvel 3 Definido 4 Gerenciado No existem controles. J existem processos, mas no h documentos nem padres. Processos padronizados, mas falta documentao e comunicao. Os processos so formalizados. Existe documentao, treinamento e comunicao definida.

Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de automao.

Os processos j esto refinados a partir das melhores prticas identificadas. Existe institucionalizao das melhores prticas.

5 Otimizado

Qualidade e Teste de Software

28

Diretrizes de Gerenciamento
RELACIONAMENTO ENTRE OS RECURSOS DO COBIT
Esta figura mostra como os componentes do COBIT se inter-relacionam, fornecendo recursos para suportar governana, gesto e controle.
Informao Metas de negcio

Requisitos

Metas TI
Decomposto em Processos de TI Controlado por

Medido por Atividadeschave Auditada por

Testes dos resultados dos controles

Objetivos de controle Derivado de

Auditado com Pelo desempenho Executada pelo Pelo resultado Baseado em Pela maturidade Testes de desenho do controle

Implantados com

Prticas de controle

Grfico RACI

Indicador de desempenho

Indicador de resultado

Modelo de maturidade

Qualidade e Teste de Software

29

Produtos do ITGI
ITGI( IT Governace Institute) PRTICAS DE CONTROLE:
As prticas de controle de TI fornecem detalhamento sobre como implementar objetivos de controle.

COBIT ONLINE:

Apresenta informaes do COBIT na web. Ele possibilita que vrios usurios naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. uma rea restrita aos assinantes. Principais recursos do COBIT Online: Download de arquivos PDF Benchmarking (para comparar sua empresa com outras) Questionrios de avaliao Comunidade para trocar idias com outros usurios

IT ASSURANCE GUIDE:

um guia de validao para profissionais que precisam de orientaes para garantir o funcionamento dos controles internos e melhoria de processos. Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle, assegurando que os controles so suficientes e ajudando a documentar seus pontos fracos. Qualidade e Teste de Software 30

Produtos do ITGI
O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validao composta por trs estgios: Planejamento, Definio de Escopo e Execuo.

Qualidade e Teste de Software

31

Produtos do ITGI
O estgio de execuo subdivide-se em 6 etapas:

Qualidade e Teste de Software

32

Produtos do ITGI
COBIT QUICKSTART uma verso compacta do COBIT para que a empresa consiga beneficiar-se de seu uso. direcionado para empresas de pequeno mdio porte. IT IMPLEMENTATION GUIDE um roadmap para o conselho de administrao, a gerncia executiva, os profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de conformidade.

Qualidade e Teste de Software

33

Produtos do ITGI
COBIT SECURITY BASELINE
O COBIT Security Baseline fornece informaes sobre a segurana de uma maneira simples. um kit de sobrevivncia para diretores, executivos, gerentes e usurios profissionais e domsticos. Portanto, no guia tcnico para especialistas em segurana da informao.

VAL IT

O framework do VAL IT baseado no COBIT. Seus princpios incluem governana de valor, gerenciamento de portflio e gerenciamento de investimentos.

Princpios do VAL IT:

Os investimentos habilitados pela TI sero administrados como um portflio de investimentos Os investimentos habilitados pela TI incluiro um escopo completo de atividades que so necessrias para gerar valor ao negcio Os investimentos habilitados pela TI sero administrados atravs de todo o seu ciclo de vida econmico As prticas de entrega de valor reconhecero que existem diferentes categorias de investimentos, que sero avaliadas e administradas de maneiras diferentes As prticas de entrega de valor iro definir e monitorar mtricas-chave e respondero rapidamente a quaisquer mudanas ou divergncias As prticas de entrega de valor devem engajar todos os stakeholders e definir uma prestao de contas apropriada sobre a entrega de capacidades e obteno de benefcios de negcio As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas

Qualidade e Teste de Software

34

Exerccios
1- O que significa a sigla COBIT?

2- O que Governana de TI?

3- Quais so as reas de foco da Governana de TI? 4- Quais so os componentes do COBIT? 5- O que Requisitos de Negcio para o COBIT e quais seus critrios de informao? 6- Disserte sobre os 3 critrios de informao relacionados Segurana da Informao. 7- O COBIT trabalha com nveis de maturidade. Relacione quais so e suas responsabilidades. 8- O que fala o processo AI4 Enable Operation and Use : a) b) c) d) Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI. Define os nveis de servios requeridos junto com os clientes, e monitora e emite relatrios para os stakeholders. Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produo de documentao e manuais para usurios e TI, e fornece treinamento aos usurios. Define os nveis de servios requeridos junto com os clientes, e monitora e emite relatrios para os stakeholders.

9- Quais so as mtricas utilizadas pelo COBIT? 10-Quais so so produtos COBIT?

Qualidade e Teste de Software

35

Bibliografia
www.itgovernance.org www.isaca.org Implantando a Governana de TI Editora Brasport

Qualidade e Teste de Software

36