COBIT

COBIT
Aspectos Gerais sobre Governança de TI

Paulo Meireles
Consultor Técnico
1

A necessidade de Governança de TI

Segurança Alinhamento de TI com o negócio

Manter TI operacional Gerenciar ambiente complexo

Valor/Custo

Atender a Órgãos reguladores

As organizações requerem uma abordagem estruturada para estes e outros desafios. Isto garante que os objetivos traçados por TI, bons controles gerenciais e um efetivo monitoramento de performance são mantidos na trilha e evitam situações inesperadas .
2

2

3 3 . monitora os resultados e insiste em medidas corretivas. Entrega e melhoria os serviços de TI. de acordo com as requisições do negócio. Define as necessidades de negócio para a TI e garante a agregação de valor e se os riscos são gerenciados.Partes Interessadas na Governança de TI Comitê Diretor e Comitê Executivo Gestor do Negócio Define a direção de TI. Proveem garantia independente para demonstrar que a TI está entregando o que é necessário para a organização. Gestor de TI Auditores de TI Riscos e Conformidade Mede a conformidade com políticas e alerta para novos riscos.

itgi.A necessidade de Governança de TI Governança Corporativa é um conjunto de responsabilidades e práticas.org • Garantir que os objetivos são alcançados • Garantir que os riscos são apropriadamente gerenciados • Verificar que os recursos corporativos são utilizados de forma responsável GESTÃO DE RECURSOS 4 4 . exercido pelo Comitê Diretivo ou Executivo. com o objetivo de: • Prover direcionamento estratégico GOVERNANÇA www.

itgi. estrutura organizacional e processos de forma a garantir que a organização de TI sustentará e estenderá os objetivos e estratégias da Organização. GESTÃO DE RECURSOS 5 5 . como definido pelo ITGI TI A necessidade de Governança de Governança de TI é: • Responsabilidade do Comitê de Direcionamento e/ou Comitê Executivo GOVERNANÇA www.org • Uma parte da Governança Corporativa.Governança de TI. consistindo de liderança.

Performance Conformidade Governança Corporativa e Governança de TI requerem que o balanço entre os objetivos de conformidade e performance sejam ditados pelo Comitê Executivo / Diretor.  Performance • Melhoria nos resultados. crescimento. eficiência. 6 6 . eficácia. requisições de auditoria.Governança Corporativa direciona Governança de TI Governança Corporativa é:  Conformidade • Aderente a legislação. etc. etc. políticas internas.

Medição de Performance 7 7 . transparência sobre o significado do risco para a corporação. informações. e no alinhamento das operações de TI com as operações corporativas É sobre a execução da proposição de valor através do ciclo de entrega. um claro entendimento do apetite da corporação pelo risco. performance de processos e entrega de serviços. É sobre a otimização de investimento e do próprio gerenciamento dos recursos críticos de TI. Balance ScoreCards para traduzir estratégias em ações. Atenção aos Riscos é requerida do Executivo Sênior da corporação.Áreas de Foco de Governança de TI Alinhamento Estratégico Agregação de Valor Gerenciamento de Recursos Gestão de Riscos Tem como foco garantir uma integração do negócio com os planos de TI. uso de recursos. conclusão de projetos. O ponto chave está relacionado a otimização do conhecimento e de infraestrutura. aplicações. manutenção e validação das proposições de valor para TI. Trilha e monitora a implementação de estratégia. garantindo que os entregáveis de TI cumpram os benefícios estabelecidos na estratégia. entendimento da conformidade (compliance) requerida. concentrando-se nos custos ótimos fixados e provendo um valor intrínsico de TI. na definição. infraestrutura e pessoas. por exemplo. com vistas a atingir os objetivos mensurados via apontamento convencional. e a estrutura de responsabilidade pelo gerenciamento dos riscos na corporação. usando.

comunicando esse nível de controle às partes interessadas. questões técnicas e riscos de negócios. Foi criado com as seguintes características principais: ►  Focado em Negócios  Orientado a Processo  Baseado em Controles  Direcionado a Métricas 8 8 .O COBIT ► ► COBIT é a inicial de Control Objectives for Information and related Technology. É um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle.

baseado em uma linguagem comum  Cumprimento dos requisitos do COSO para controle do ambiente de TI. 9 9 .Como o COBIT pode ajudar na implementação de uma Governança de TI efetiva? O COBIT possibilita as seguintes vantagens quando utilizado na implementação de uma Governança de TI:  Mapeia os objetivos de TI com os objetivos do negócio e vice-versa  Promove um melhor alinhamento baseado no foco em negócio  Uma visão de que o que TI faz é compreendida pelos executivos  Uma divisão clara das responsabilidades baseada na orientação para processos  Aceitação geral por terceiros e órgãos reguladores  Entendimento abrangente entre todas as partes interessadas.

etc. SarbanesOxley Act. Drivers PERFORMANCE Objetivos do Negócio Governança Corporativa Balanced Scorecard COSO Comitê das Organizações Patrocinadoras da Comissão Treadway Governança de TI COBIT ISO 9001:2000 ISO 27002 ISO 20000 Padrões de Melhores Práticas Processos e Procedimentos Procedimentos QA PMBOK / PRINCE2 Princípios de Segurança ITIL 10 10 .Onde o COBIT se posiciona? CONFORMIDADE Basel II.

isaca.COBIT: Um modelo de Controle para Governança de TI Governança Gerenciamento Evolução Controle Auditoria COBIT 1 1996 COBIT 2 1998 COBIT 3 2000 COBIT 4 2005 As últimas atualizações do COBIT encontram-se em www. 11 11 .org/cobit.

12 12 .COBIT: Premissas ► O framework COBIT é baseado na premissa de que TI necessita entregar informação a uma corporação para que atinja os seus objetivos. COBIT provê um modelo e um guia para implementar a Governança de TI. Obter Objetivos de Negócio i Informação provê Recursos de TI e processos ► para Processos de Negócio O framework COBIT ajuda a alinhar TI com o Negócio através do foco nos requisitos de informação de negócio e a organização dos recursos de TI.

Recursos de TI Estratégia de Negócio Processos de TI Critério da Informação 13 13 . gerenciando os riscos da TI.COBIT: Premissas O princípio do framework COBIT é o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O objetivo é facilitar a Governança de TI para agregar valor à TI.

. COBIT foca duas áreas chaves: ► ► Prover as informações requeridas para suportar os objetivos de negócio e seus requisitos.. Processos Atividades Aplicações Informações Infraestrutura Pessoas 14 14 . que necessitam ser adequadamente gerenciados por processos de TI Criteríos da Informação Processos de TI Efetividade Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade Requisitos de Negócio Abordagem de Controle Recursos de TI Processos de TI Dominios Considerações • …………………………… • …………………………… • ……………………. e Tratar informação como resultado da combinação de aplicações e recursos de TI.O Modelo COBIT Como um modelo para governança e controle de TI.…….

Para controlar esta entrega. COBIT provê três componentes chaves.O Cubo COBIT O framework COBIT descreve como os processos de TI entregam a informação que o Negócio necessita para atingir os seus objetivos. Exigências de negócio para critérios da informação Recursos de TI Processos de TI 15 15 . cada qual formando uma dimensão do cubo COBIT.

Amplamente. as informações necessitam estar em conformidade com critérios específicos de controle. os critérios são baseados nas seguintes exigências:  Qualidade ►  Fiduciária  Segurança Exigências de Qualidade Exigências Fiduciária Exigências de Segurança Critérios da Informação Recursos de TI Processos de TI 16 16 . que o COBIT consulta como exigência do Negócio para a informação.Cubo COBIT: Critérios da Informação ► Para satisfazer os objetivos de Negócio.

de forma correta. regulamentos e cláusulas contratuais aos quais um determinado processo de negócio está sujeito.Cubo COBIT: Critérios da Informação Eficácia Lida com a relevância da informação e pertinência aos processos de negócio bem como a sua disponibilidade em prazo apropriado. Lida com o cumprimento das leis. Recursos de TI Processos de TI Integridade Relaciona-se com a precisão e exatidão da informação. 17 17 Disponibilidade Conformidade Confiabilidade . Critérios da Informação Confidencialidade Refere-se à proteção de informação considerada privilegiada contra divulgação não autorizada. (O foco está em atender regulamentações externas). bem como sua validade de acordo com os padrões e expectativas de negócio estabelecidas. relatórios financeiros precisos e informações adequadas aos órgãos normatizadores sobre o cumprimento das leis. precisa. Relaciona-se ao fornecimento. consistente e em formado adequado para utilização. por parte dos sistemas. de informações apropriadas aos gerentes para a tomada de decisão. Exigências de Qualidade Exigências Fiduciária Exigências de Segurança Eficiência Refere-se à provisão da informação através da melhor (mais produtiva e econômica) forma de utilização dos recursos. Relaciona-se a prover a informação no momento em que for requerida pelos processos de negócio. o que inclui também a salvaguarda dos recursos.

implantar. sistemas de gerenciamento de bancos de dados. Critérios da Informação Aplicações Informações Infraestrutura Pessoas Recursos de TI 18 18 Processos de TI . entregar e armazenar informações que a organização necessita para obter seus objetivos.  Infraestrutura é a tecnologia e facilidades (hardware. terceirizados ou contratados sob demanda. e o ambiente que os contém e suporta) que possibilitam o processamento das aplicações.  Pessoas são o pessoal necessário para planejar. sistemas e serviços. Podem ser internos. sistemas operacionais. processamento e saída pelos sistemas de informação. multimidia.  Informação é o dado em todas suas formas de entrada. etc. segundo o COBIT podem ser definidos da seguinte maneira:  Aplicações são os sistemas automatizados do usuário e procedimentos manuais que processam informações. Os recursos de TI. entregar. adquirir. suportar.. rede. seja qual for a maneira que seja usado pelo negócio. monitorar e avaliar a informação. organizar.Cubo COBIT: Recursos da TI ► ► Processos de gerenciamento de recursos de TI para gerar.

Além disso. Atividade são ações ou um conjunto de tarefas que são necessárias para se obter resultados mensuráveis. Existem no COBIT 34 processos divididos entre os quatro domínios. Estes processos especificam as necessidades de negócio necessárias para atingir seus objetivos. Critério da Informação ► Dominio Processos Atividades Processos de TI 19 Recursos de Ti 19 .Cubo COBIT: Processos da TI ► COBIT descreve o ciclo de vida de TI com o auxílio de quatro dominios:  Planejar e Organizar (PO – Plan and Organise)  Adquirir e Implementar (AI – Acquire and Implement)  Entregar e Suportar (DS – Deliver and Support)  Monitorar e Avaliar (ME – Monitor and Evaluate) ► Processos são uma série de atividades com controles de parada naturais. atividades tem seu próprio ciclo de vida e podem incluir uma série de tarefas discretas. As entregas de informação é controlada através dos 34 objetivos de controle de alto-nível. um para cada processo.

comunicar e gerenciar a realizaçã da visão estratégica  Implementação organizacional e tecnológica da Infraestrutura ► Escopo:  Estão TI e Negócio estrategicamente alinhados?  Está a organização obtendo uso ótimo de seus recursos?  Qualquer pesso na organização entende os objetivos de TI?  Os riscos de TI são entendidos e adequadamente gerenciados?  A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio? TI e Negócio 20 20 .Cubo COBIT: Domínios da TI Planejar e Organizar (PO) ► Objetivos:  Formular estratégias e táticas  Identificar como TI pode melhor contribuir para obter os objetivos de Negócio  Planejar.

organização e relacionamento de TI. PO10 Gerenciar Projetos. PO7 Gerenciar os Recursos Humanos de TI. PO4 Definir os processos. PO3 Determinar a direção tecnológica. PO6 Auxiliar no Gerenciamento da Comunicação e do Direcionamento. PO8 Gerenciar a Qualidade.Cubo COBIT: Domínios da TI Planejar e Organizar PO1 Definir um plano estratégico de TI. PO5 Gerenciar os investimentos em TI. PO9 Avaliar e controlar os Riscos de TI. Planejar e Organizar Processos de TI Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar 21 21 . PO2 Definir a arquitetura da Informação.

implementar e integrar soluções de TI.  Mudanças e manutenção dos sistemas existentes. desenvolver ou adquirir.Cubo COBIT: Domínios da TI Adquirir e Implementar (AI) ► Objetivos:  Identificar. ► Escopo:  Estão os novos projetos aptos a entregar soluções que reunem as necessidades de Negócio?  Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?  Os novos sistemas trabalharão adequadamente quando implementados?  As mudanças serão feitas sem afetar as operações atuais do Negócio? ? Novos projetos Organização 22 22 .

AI4 Habilitar Operação e Uso. AI2 Adquirir e manter software aplicativo. AI5 Procurar recursos de TI. AI6 Gerenciar mudanças. AI3 Adquirir e manter tecnologicamente a Infraestrutura.Cubo COBIT: Domínios da TI Adquirir e Implementar AI1 Identificar soluções automáticas. AI7 Instalar e certficar soluções e mudanças Planejar e Organizar Processos de TI Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar 23 23 .

dados e facilidades operacionais.Cubo COBIT: Domínios da TI Entregar e Suportar (DS) ► Objetivos:  A atual entrega dos serviços requeridos. continuidade.  Gerenciamento da segurança. ► Escopo:  Estão os serviços de TI alinhados com as prioridades de Negócio?  Estão os custos otimizados?  Está a força de trabalho apta a usar os sistemas de TI de forma produtiva e com segurança?  São adequadas a confidencialidade.  Serviço de suporte a usuários estruturado. incluindo o serviço de entrega. integridade e disponbilidade das informações? Serviços de TI Prioridades de Negócio 24 24 .

DS4 Garantir a Continuidade dos Serviços. DS5 Garantir a Segurança dos Sistemas. DS10 Gerenciar Problemas. DS3 Gerenciar Disponibilidade e Capacidade. DS8 Gerenciar a Central de Serviços e Incidentes. DS2 Gerenciar os Prestadores de Serviços. DS12 Gerenciar o Ambiente Físico. Planejar e Organizar Processos de TI Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar 25 25 . DS7 Educar e treinar Usuários. DS13 Gerenciar Operações.Cubo COBIT: Domínios da TI Entregar e Suportar DS1 Definir e gerenciar Níveis de Serviços. DS9 Gerenciar a Configuração. DS6 Identificar e alocar os Custos. DS11 Gerenciar Dados.

Cubo COBIT: Domínios da TI Monitorar e Avaliar (ME) ► Objetivos:  Gerenciamento de Performance  Monitoramento de Controles Internos  Conformidade com Agências Reguladoras  Governança ► Escopo:  A performance de TI é mensurada para detectar problemas antes que eles aconteçam?  Gerenciamento garante que Controles Internos são efetivos e eficazes?  Pode a disponibilidade de TI ser combinada aos objetivos de Negócio?  São Riscos. Conformidade e Performance medidos e reportados? TI 26 Performance 26 . Controle.

Planejar e Organizar Processos de TI Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar 27 27 . ME2 Monitorar e avaliar Controles Internos.Cubo COBIT: Domínios da TI Monitorar e Avaliar ME1 Monitorar e avaliar a Performance de TI. ME3 Garantir conformidade com exigências externas. ME4 Prover Governança de TI.

br 28 .meireles@allen.Dúvidas? Obrigado! Paulo Meireles Consultor Técnico paulo.com.

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.