Introduo a Governana de TI
Introduo a Governana de TI Introduo ao COBIT Objetivos de Controle Diretrizes de Gerenciamento e Auditoria Produtos e Suporte do ITGI
Sobre o Curso
Ao final deste curso voc ir aprender: Sobre Evoluo da Funo da TI ao longo dos anos A importncia da TI e como as questes de TI afetam as organizaes; Conceitos de Governana Corporativa e Governana de TI; A necessidade de um framework de controle para a Governana de TI; Como o COBIT atende os requisitos de um framework de Governana de TI; O relacionamento do COBIT com outros padres e melhores prticas de mercado; Estrutura do COBIT em detalhes( Objetivos de Controle, Prticas de Controle, Diretrizes de Gerenciamento, Diretrizes de Auditoria) ; Os benefcios e desvantagens do uso do COBIT Os produtos e suporte fornecido pelo ITGI (IT Governance Institute)
Evoluo da TI
Evoluo da TI
A TI tem atuado como um provedor de tecnologia ajudando o negcio a realizar suas atividades de forma mais eficiente desde o seu surgimento. Durante anos a TI tem se tornado uma retaguarda para o negcio, chegando no ponto de realizar algumas funes que at ento seriam impossveis sem a sua ajuda. A TI hoje um elemento essencial para a organizao.
Maturidade da TI
ITIM = IT Infrastructure Management
Parceiro Estratgico
Governana de TI
Provedor de Servio
ITSM ITIM
Provedor de Tecnologia
Tempo
Evoluo da TI
A evoluo da TI parte da atuao como Provedor de Tecnologia para um Parceiro Estratgico. A partir do momento em que a atuao da TI comea a se envolver com o gerenciamento de valor para o negcio, implementando Governana de TI, ela comea a se transformar em um parceiro de negcio, possibilitando novas oportunidades de negcios. Neste estgio, os processos de TI so integrados com o processos do ciclo de vida do negcio, melhora a qualidade do servio e agilidade no negcio. A tabela abaixo ilustra a contribuio da TI para o negcio
Provedor de Servios A TI busca eficincia Os oramentos so baseados em benchmarks externos A TI atua independente do negcio A TI vista como uma despesa a ser controlada Os gerentes de TI so tcnicos Parceiro Estratgico A TI busca o crescimento do negcio Os oramentos so baseados na estratgia do negcio A TI inseparvel do negcio A TI vista como um investimento a ser gerenciado Os gerentes de TI so solucionadores de problemas de negcio
Evoluo do Gerenciamento de TI
Para ajudar as organizaes a se moverem ao longo do caminho de transio, vrias metodologias tem sido definidas durante anos. A figura abaixo mostra a evoluo destas metodologias e seus nveis de maturidade em termos de Gerenciamento de Servios.
Maturidade do Gerenciamento de TI
ISO 20.000 BSI 15000 BSI Code & OGC ITIL 2 HP ITSM ITIL
Idade Escura da TI
IBM ISMA
Tempo
1970
1980
1990
2000
2005
Desafios da TI
Desafios da TI
Por muitos anos, algumas organizaes puderam continuar seus negcios, ainda que tivessem pouco apoio da TI. Hoje a realidade diferente, a Tecnologia da Informao um fator crtico de sucesso para a organizao. Com o aumento do peso de importncia dentro da organizao, a TI passou a ter os seguintes desafios: Manter os servios de TI disponveis Gerar valor nos projetos de TI Reduo de Custos e Riscos Crescimento da complexidade dos ambientes de TI Aumento da presso para alavancar tecnologia nas estratgias de negcio Conformidade com normas regulatrias Manter segurana sobre as informaes
Prestador Servio
TI
empresa TI
Alinhamento estratgico
Introduo a Governana de TI
Quais sos os princpios da Governana de TI? Como a Governana de TI pode ajudar a gerenciar as questes de gerenciamento de TI? Quem responsvel pela Governana de TI? Quais so os benefcios da Governana de TI?
Nvel Estratgico
Nvel Gerencial
Gerncia de TI e negcios
Nvel Operacional
Governana Corporativa
Governana de TI
A figura ao lado mostra o posicionamento do Gerenciamento de TI e a Governana de TI em duas dimenses: Orientao ao Negcio e Orientao ao Tempo.
Externo
Governana de TI
Interno
Gerenciamento de TI
Presente Futuro
Orientao ao Tempo
Governana de TI e Gerenciamento de TI
Fonte: Peterson(2003) Information Strategies Tactis for Information Technology Governance
Objetivos de Negcio
Governana de TI
Governa e Audita
Servios
Gerencia e Controla
ITSM
Infra-estrutura
Princpios bsicos para a TI Arquitetura de TI Estratgias para a Infra-estrutura de TI Necessidades das aplicaes aos negcios
Declaraes de alto nvel sobre como a TI deve ser usada na organizao Escolhas tcnicas, polticas, regras, planos de migrao (inclui dados, tecnologias e aplicaes) Estratgias para os recursos e competncias de TI compartilhadas na organizao (pessoal, rede, dados, help desk, etc.) Especificar necessidades de negcio para comprar ou desenvolver aplicaes de TI Decises sobre quanto e onde investir em TI.
Estruturas de Governana de TI
A Governana de TI pode ter 4 tipos de estrutura de decises dentro de uma organizao, vejamos abaixo quais so:
Monarquia de Negcios Monarquia de TI Os diretores seniores tomam as decises de TI afetando toda a organizao Os profissionais de TI podem tomar as decises As unidades de negcios podem tomar decises para as reas de responsabilidade Deciso coordenada envolvendo a organizao e os departamentos Acordo bilateral entre executivos de TI e um outro grupo
Modelos de Governana
Cada um dos modelos tem seu prprio benefcio. A escolha mais popular o federalismo, na qual combina decises centralizadas e descentralizadas. A deciso por qual estrutura utilizar vai depender muito do contexto da organizao.
Princpios de Governana de TI
O Conselho de Administrao e os Executivos so responsveis pela Governana de TI. Ela envolve estrutura e processos que dirigem a organizao para alcanar seus objetivos. Vamos agora discutir sobre os princpios da Governana de TI.
Direo e Controle
Responsabilidade
Prestao de Contas
Atividades
Princpios de Governana de TI
Direo e Controle
Direo e Controle so dois conceitos chaves da Governana de TI. Direo: O Diretor fornece direo para implementar uma mudana. Para fornecer uma direo efetiva, o Diretor precisa entender a mudana pretendida. O Diretor dirige outra pessoa executar a mudana. Controle: O Controle assegura que o objetivo alcanado e que nenhum incidente indesejado ocorra.
Direo
Controle
Compara
Relatrios
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Princpios de Governana de TI
Responsabilidade
O CEO normalmente o responsvel pelo controle interno. Os diretores seniores determinam a responsabilidade para o estabelecimento de um controle interno especfico ao pessoal responsvel pelas unidades funcionais (departamentos). O Controle interno de responsabilidade de todos em uma organizao e pode ser uma funo explcita ou implcita.
Direo Responsabilidade Controle
Compara
Relatrios
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Princpios de Governana de TI
Prestao de Contas
Os colaboradores tem a obrigao de prestar contas, fornecer relatrios ou explicar suas aes sobre o uso de recursos que lhe so transmitidos. Os executivos prestam contas ao Conselho Administrativo os quais fornecem governana, direo e monitorao. Para cada um essencial conhecer como suas aes contribuem para alcanar os objetivos da organizao.
Direo Controle Prestao de Contas
Compara
Relatrios
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Princpios de Governana de TI
Atividades
As atividades de TI so eficientes quando existe uma boa Governana de TI. Normalmente os Departamentos de TI nas empresas funcionam como se fossem o motor de um automvel, onde trabalham conforme aes realizadas pelo motorista, que neste caso se equivale ao Conselho Administrativo.
Controle Prestao de Contas
Direo Responsabilidade
Compara
Relatrios
Gerncia de TI e negcios
Executa as Atividades
Mtricas
Relatrios
Stakeholders de Governana de TI
Um elemento que pode ter responsabilidade relacionada a TI ou usufrui de algum servio gerado pela funo de TI na empresa considerado um stakeholder na Governana de TI da empresa.
Escopo da Governana de TI
Ns j discutimos sobre os princpios e stakeholders de Governana de TI. Vamos agora discutir sobre o escopo de Governana de TI. O Escopo de Governana de TI pode ser classificado em cinco reas, conforme apresentado abaixo:
Gerenciam. Recursos
Alinhamento Estratgico
O alinhamento estratgico se refere a alinhar a TI com as estratgias do negcio. A questo chave verificar se os investimentos da empresa em TI esto em harmonia com objetivos estratgicos da empresa e ainda est desenvolvendo capacidades necessrias para entregar valor ao negcio. Objetivos Estratgicos Especificar os objetivos Desenvolver estratgias para alcanar os objetivos especificados Desenhar planos de aes para implementar as estratgias
Alinhamento Estratgico
A TI ainda considerada um mal necessrio, mas considerada estrategicamente ela pode fornecer a empresa vrios benefcios:
Benefcios do Alinhamento Estratgico Valor agregado aos produtos e servios da empresa Ajuda no posicionamento competitivo da empresa Uso otimizado dos recursos Custos eficincia administrativa aperfeioada Alinhando TI com o Negcio
Entrega de Valor
Um outro domnio chave da Governana de TI a Entrega de Valor.
Gerenciam. Recursos
Entrega de Valor
Os princpios bsicos do valor de TI est na entrega de qualidade apropriada dentro do prazo e custo, a qual deve atingir os benefcios que foram prometidos. Em termos de negcio isto pode ser traduzido como: vantagem competitiva, tempo necessrio para o preenchimento de um pedido/servio, satisfao do cliente, tempo de espera do cliente, produtividade dos funcionrios e lucro. Para uma entrega de valor TI efetivada ser alcanada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.
Conselho Administrativo
Gerncia de TI e negcios Governana de TI A Governana de TI procura estabelecer um modelo de medida de valor entregue pela TI ao negcio antes de embarcar em grandes projetos.
Gerenciamento de Riscos
O Gerenciamento de Riscos de refere ao tratamento das incertezas.
Gerenciam. Recursos
Gerenciamento de Riscos
O gerenciamento de riscos est diretamente ligado boa governana e envolve, entre outras coisas, a identificao de riscos sistmicos, tecnolgicos e da informao, a fim de dar maior proteo aos ativos de TI. Enquanto o objetivo da entrega de servios criar valor, orientado pelo alinhamento, o gerenciamento de riscos busca preservar valor.
O Gerenciamento de Riscos envolve as seguintes atividades: Entendimento sobre os riscos ou atitudes da organizao que levam aos riscos. Definio do impacto e a probabilidade de um risco. Aprovao do plano de ao do Gerenciamento de Riscos.
Gerenciamento de Recursos
Gerenciar e otimizar recursos de TI uma outra rea de foco da Governana de TI.
Gerenciam. Recursos
Gerenciamento de Recursos
Um item chave para a performance de TI ter sucesso o investimento otimizado, uso e alocao de recursos de TI (pessoas, aplicaes, tecnologia e informao) para atender as necessidades da organizao. Muitas empresas falham ao maximizar a eficincia dos seus ativos de TI e a otimizao dos custos relacionados a estes. Ainda relacionado com o Gerenciamento de Recursos est os servios terceirizados, onde se deve considerar onde e como terceirizar estes servios de forma que eles gerem o valor prometido a um preo aceitvel.
Pontos de Otimizao de Recursos Assegurar que existe capacidade suficiente para dar suporte s atividades crticas do negcio Otimizao de custos Outsourcing
Conselho Administrativo Gerncia Executiva (CEO, CIO, CFO...)
Monitorao de Performance
Esta rea envolve a medio e monitorao das atividades da TI.
Gerenciam. Recursos
Monitorao de Performance
Se voc no poder medir o processo, voc no poder gerenci-lo. Se no existir nenhuma forma de medir e monitorar as atividades de TI, no possvel governar a TI e assegurar o seu alinhamento, valor entregue, gerenciamento de riscos, e o uso adequado dos recursos.
Para a monitorao de performance ter sucesso, mtricas eficientes devem ser definidas e aprovadas pelos stakeholders. Estas mtricas podem ser acompanhadas usando scorecards de performance (pontos de performance).
Monitorao de Performance
Para ajudar na monitorao de performance poder ser utilizado a tcnica do Balanced Scorecard. BSC(Balanced Scorecard) uma sigla que, traduzida, significa Indicadores Balanceados de Desempenho. Este o nome de uma metodologia voltada gesto estratgica de empresas que foi criado pelos professores Robert Kaplan e David Norton em1992. Balanced Scorecard uma abordagem que permite a operacionalizao da estratgia, facilitando a comunicao e a compreenso dos objetivos estratgicos aos vrios nveis organizacionais. Atravs do Balanced Scorecard a direo das empresas dispe de uma viso integrada do negcio e de um processo contnuo de monitoramento do desempenho. Integra-se com facilidade a outras metodologias como CobiT e ITIL.
Framework de Controle
Vamos entender as caractersticas de um framework de controle e discutir cada uma delas em detalhes. Caractersticas: Foco no negcio Orientada a processo Padro aceito Linguagem comum Requisitos regulatrios
Orientado a processos
Foco no negcio
Padro aceito
Requisitos regulatrios
Linguagem Comum
Benefcios da Governana de TI
Benefcios da Governana de TI
At agora voc aprendeu sobre os vrios domnios da Governana de TI. Vamos agora discutir sobre os seus benefcios. Principais Benefcios que iremos ver: Confiana da Alta administrao TI mais comprometida com o Negcio Retorno sobre o Investimento (ROI) maior Servios mais confiveis Mais transparncia
Benefcios da Governana de TI
Confiana da Alta administrao
A TI como sendo um assunto tcnico ela difcil de ser entendia pelos diretores de negcio. Uma Governana de TI eficiente pode ajudar a estabelecer uma comunicao clara para todos. A linguagem comum tornar os mecanismos de tomada de deciso mais claros, e facilitar a transparncia e preciso das informaes gerenciais.
Conselho Administrativo
Gerncia de TI e negcios
Benefcios da Governana de TI
TI mais comprometida com o negcio
A TI ser mais focada nas necessidades do negcio. Agilidade, flexibilidade e comprometimento so atributos vitais para a funo de TI no suporte ao desenvolvimento das necessidades do negcio. Uma Governana de TI eficiente assegurar que as decises sejam tomadas com mais fundamento e clareza, reduzindo os riscos nos investimentos.
Custo
Recursos
Benefcios da Governana de TI
Maior Retorno sobre o Investimento (ROI)
A Governana de TI permite a organizao a aumentar o seu retorno sobre os investimentos em tecnologias, assegurando que : Os investimentos sejam baseados nos benefcios para o negcio Previso de custos, benefcios e riscos dos investimento de forma mais precisa Reao mais rpida e antecipada diante de problemas e riscos antecipados Os requisitos so comunicados de forma eficiente evitando que a entrega dos resultados dos projetos no atendam as expectativas
Benefcios da Governana de TI
O valor entregue pela TI pode ser gerenciado em 3 camadas:
Alinhamento Estratgico
Eficcia
Eficincia
Benefcios da Governana de TI
Servios mais confiveis
A Governana de TI assegura que os processos crticos e os servios de TI sejam monitorados, e qualquer incidente ou falha de alta prioridade seja encaminhada e resolvida. O servios requerem que nveis mais alto de confiana sejam implementados para minimizar a probabilidade de uma falha ou interrupo de um servio. A Governana de TI assegura riscos menores, melhor qualidade dos servios e aumento da satisfao do cliente.
empresa TI
Alinhamento estratgico
Benefcios da Governana de TI
Mais transparncia
Uma boa governana de TI ir trazer transparncia das atividades de TI, gastos relacionados com os recursos e servios de TI, com um claro conhecimento como a TI entrega valor para o negcio da organizao. A transparncia ir fornecer oportunidade para refinar os processos de TI para gerar valor ao negcio. Sem saber a verdade, as organizaes jamais vo conseguir otimizar a forma que elas operam e como podero gerar valor a partir dos seus investimentos.
Conselho Administrativo
Gerncia de TI e negcios
Mdulo 2
Introduo ao COBIT
Objetivos
Este mdulo ir apresentar os conceitos relacionados ao COBIT, estrutura, aplicaes e benefcios. Durante este mdulo iremos:
Entender o que o COBIT e quais suas aplicaes Entender como o COBIT est estruturado Entender como o COBIT atende os requisitos para um framework de controle Entender como o COBIT est relacionado com os requisitos regulatrios Descrever como o COBIT ajuda os administradores do negcio e auditores em uma organizao
Princpios do Framework
Framework do COBIT
O acrnimo COBIT significa Control Objectives for Information and related Technology - Objetivos de Controle para Informaes e Tecnologias relacionadas. O COBIT um framework de governana e controle, que foca no que precisa ser alado ao invs de se preocupar em como alcanar. Critrios de Informao
Processos TI
u ec
s o rs
TI
O que o COBIT?
O COBIT um framework que fornece as melhores prticas para o gerenciamento de processos de TI, estruturados de uma forma gerencivel e lgica, atendendo as vrias necessidades de gesto da organizao, tratando os riscos de negcio, questes tcnicas, necessidades de controle e mtricas de desempenho. O COBIT no um padro definitivo, ele serve como apoio para a implementao de controles na Governana de TI.
COBIT
Framework
Base de Conhecimento
Sumrio Executivo para Executivos Seniores (CEO, COO, CFO, CIO) Framework para Gerncia Operacional Seniores (Diretores de Segurana da Informao e Auditoria) Objetivos de Controle para a Gerncia Intermediria (Gerentes de Controle e auditoria intermedirio) Diretrizes de Auditoria para gerentes de linha e especialistas (gerentes de aplicaes e operaes) Conjunto de Ferramentas de Implementao para qualquer um acima Diretrizes de Gerenciamento para a Gerncia e Auditores em geral
Como um modelo de controle, o COBIT deve adaptado para empresa, plataforma de TI e padres de sistemas
Misso do COBIT
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negcio e auditores
Aplicao do COBIT
O COBIT foi projetado para utilizao por trs distintos pblicos: Administradores: para auxili-los na ponderao entre risco e investimento e controle de ambientes muitas vezes imprevisveis como o de TI; Usurios: para se certificarem da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros; Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre controles internos.
Evoluo do COBIT
O COBIT foi criado para atender a necessidade de um framework de controle de TI compreensivo para o negcio, gerncia de TI, auditores, e eliminar as disparidades de controles e guias de avaliao.
Primeira edio do CobiT A segunda verso do CobiT A terceira verso do CobiT Sarbanes-Oxley Act A quarta verso do COBIT
ISACA (Information Systems Audit and Control Association www.isaca.org) lana um conjunto de objetivos de controle para as aplicaes de negcio Inclui uma ferramenta de suporte implementao e a especificao de objetivos de alto nvel e de detalhe Inclui normas e guias associadas gesto. O ITGI (IT Governance Institute www.itgi.org) torna-se o principal editor do framework O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoo do COBIT nos Estados Unidos e empresas globais que atuam nos EUA Melhoria dos controles para assegurar a segurana e disponibilidade dos ativos de TI na organizao
Origens do COBIT
O COBIT foi desenvolvido a partir do Committee of Sponsoring Organizations of the Treadway Commission-Internal Control Integrated Framework (COSO), o Controle de Objetivos original do ISACA, e mais de 50 padres e prticas de mercado em TI. O COBIT preenche a lacuna entre os modelos de controle de negcio e as melhores prticas em TI e oferece um modelo para a Governana de TI. Veja abaixo as
principais fontes do COBIT:
Padres Profissionais para o controle e auditoria interna (COSO, IFAC, AICPA, IIA, etc) Padres Tcnicos (ISSO, EDIFACT, etc) Cdigos de Conduta Critrios de Qualificao para os sistemas e processos de TI (ISSO 9000, ITSEC, TCSEC, etc) Prticas da Indstria Requisitos especficos de alguns negcios emergentes como bancos e e-commerce.
Evoluo do COBIT
A 3. Edio do COBIT liberada em 2000 teve o desenvolvimento das diretrizes de gerenciamento e a atualizao da segunda edio baseada em novas e revisadas referncias internacionais. Ainda, o Framework do COBIT foi revisado e aprimorado para suportar uma necessidade de controle maior, introduzir o gerenciamento da performance e ajudar na implementao da Governana de TI.
O framework do COBIT ajuda a alinhar a TI com o negcio, focando nas necessidades de informao que o negcio precisa e organizando os recursos de TI. O COBIT fornece um framework e serve como guia para implementar a Governana de TI.
Informao
Eficcia Eficincia
Critrios de Informao
de e a d a e d a e i i de l a d d d c i i a a a l a id c cin nci rid ibi id l i c i m ab i n e g Ef or Ef id nte spo fi f f n n I n i D Co Co Co
Informao
Procesos de TI
Aplicaes
Dominios
Infra-estrutura
Processos Atividades
Re
r u c
s o s
de
Pessoas
TI
Processos de TI
Processos TI
Dominios Processos
Estes processos agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos de TI para atender as necessidades do negcio. Os processos de TI so definidos e classificado em 4 domnios, contendo 34 processos de TI. Estes processos sero desmembrados e definidos em atividades e tarefas na organizao.
Atividades
Domnios
Os processos do COBIT so agrupados em 4 domnios:
Processos
Definir um Plano Estratgico de TI. Definir a arquitetura de informao. Determinar a direo tecnolgica. Definir a organizao e os relacionamentos da TI. Gerenciar os investimentos da TI. Comunicar as metas e os direcionamentos gerenciais Gerenciar os recursos humanos. Garantir a conformidade com os requisitos externos. Avaliar os riscos. Gerenciar os projetos. Gerenciar a qualidade.
Planejamento e Organizao
Os 4 domnios possuem 34 Processos. Estes processos especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 34 objetivos de controle de alto nvel, um para cada processo.
Aquisio e Implementao
Identificar solues automatizadas (solues de TI). Prover e manter aplicaes de software. Prover e manter a infra-estrutura tecnolgica. Prover e manter a documentao. Instalar e certificar os sistemas. Gerenciar as mudanas.
Entrega e Suporte
Definir e manter os nveis de servio. Gerenciar os servios de terceiros. Gerenciar o desempenho e a capacidade. Garantir o servio ininterrupto. Garantir a segurana dos sistemas. Identificar e alocar os custos. Treinar os usurios. Auxiliar e orientar os clientes. Gerenciar a configurao. Gerenciar os problemas e incidentes. Gerenciar os dados. Gerenciar as instalaes. Gerenciar as operaes.
Monitorao
Monitorar os processos. Avaliar a adequao do controle interno. Obter garantia independente. Prover auditoria independente
Atividades
Existem aes que so necessrias para alcanar resultados mensurveis. As atividades tem ciclos de vida, mas as tarefas no.
Dominios Processos
Atividades
Critrios de Informao
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade Critrios de Informao
Recursos de TI
Os recursos de TI so gerenciados pelos processos de TI para fornecer informao que a organizao precisa para alcanar seus objetivos. Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
os s r cu TI
e R
Entradas e sadas de processos Atividades dos Processos e grficos RACI Objetivos de Negcio, TI, processo, e atividades Mtricas indicadores de meta Mtricas - indicadores de desempenho Modelos de Maturidade
Cliente
Processo
Nvel de Entrega de
Disponibilidade do
Informao
Servio Satisfao do cliente Nmero de novos clientes Nmero de novos canais de servio
Aprendizado Produtividade da Equipe Nmero de pessoas
treinadas em uma nova tecnologia Valor entregue por funcionrio Aumento da disponibilidade do conhecimento
processo e do sistema Desenvolvimento dentro do prazo e no custo Tempos de respostas Quantidade de erros e retrabalho
Modelos de Maturidade
Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro: Onde a organizao est hoje O atual estgio de desenvolvimento da indstria (fazendo uma comparao da empresa com outras) O atual estgio dos padres internacionais Aonde a organizao quer chegar e como ela planeja isto Modelos de Maturidade
Modelos de Maturidade
A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do balanceamento do risco e retorno do investimento podem ser classificados, seguindo o modelo do CMM (Capability Maturity Model), da seguinte forma:
Orientado ao negcio
Orientao ao negcio um dos temas principais do COBIT. Ele foi criado para no ser empregado apenas pelos provedores de servio de TI, usurios e auditores, mas tambm, e mais importante, como um guia para os responsveis pela gesto e negcios da empresa. O COBIT ajuda a implementar um sistema de controle de gerenciamento, isto porque o COBIT atua abaixo da tecnologia utilizada pela empresa, tendo um foco maior sobre o negcio. O COBIT foca em dizer o que precisa ser feito, no se preocupando em como fazer. O COBIT ir trabalhar com padres e melhores prticas na rea de TI como questes ligadas a segurana, gerenciamento de projetos, e assim por diante.
Padro de facto
O COBIT um framework nico, no tendo outro similar, pois ele acomoda os padres internacionais mais importantes e reconhecido como um padro de facto para o controle de TI. O COBIT est sendo atualizado constantemente para contemplar os novos cenrios nos negcios.
O ITIL uma biblioteca das melhores prticas para o gerenciamento de servios de TI. Ele focado em como deve ser os servios e os processos de TI.
Fornece recomendaes para gesto da segurana da informao, direcionado para quem responsvel pela introduo, implantao ou manuteno da segurana em suas organizaes.
O SEI(Software Engineering Institute) a organizao que desenhou o Capability Maturity Model (CMM). Este modelo ajuda as empresas a melhorem seus processos de entrega de software e controle de processos.
O Framework COSO uma padro aceito para estabelecer controles internos na empresa e determinar sua eficcia, pode ser aplicado a TI como tambm a qualquer rea da empresa.
O PMBOK, mantido pelo PMI, uma coleo de processos e reas de conhecimento geralmente aceitas com melhores prticas para o gerenciamento de projetos.
ITIL
ISO 17799
CMM
COSO
PMBOK
Faz com que o ambiente de TI se torne mais responsivo s necessidades do negcio, fornecendo mais controle sobre suas responsabilidades.
Estratgico
Controle Processo
Compartilhamento De Conhecimento
Melhores prticas internas
Auditvel Como
Domnios de TI
Especfico
TCO ITIL CMMi COBIT 6 sigma ISO 9000 Malcolm Baldrige Award Scorecards PMoK
Relevncia para a TI
Holstico
Geral
Melhoria Contnua em TI
A melhoria continua de TI exige um ciclo de aes
Viso e Objetivos
Onde estamos
Avaliaes
Alinhamento Conformidade com o COBIT Segurana ISO17799 Benchmark de custos Pesquisas de satisfao ITIL ISO17799 COBIT
Como chegamos l?
Desenho de TI
Mtricas
Componentes do COSO
Funes e Componentes
Sarbanes Oxley
Com o resultado dos escndalos financeiros em grandes empresas em 2001, o Congresso americano decretou o Ato Sarbanes-Oxley de 2002. Este ato afeta como as empresas de capital aberto iro apresentar seus relatrios financeiros, e significativamente impacta a rea de TI. A conformidade com a Sarbanes-Oxley requer mais do que documentao e estabelecimento de controles financeiros, ela tambem requer a avaliao da infra-estrutura de TI e suas operaes e pessoal. Principais Caractersticas da Sarbanes Oxley - Ato de 2002: Estabelece novos padres de responsabilidade contbil corporativa, confiabilidade e transparncia dos relatrios financeiros. nfase na transparncia dos dados para anlise e interpretao dos dados nfase no uso de um Framework de Controle para avaliao de controles internos. Penalidades rgidas no caso de danos seja eles intencionais ou no Implementao de diretrizes do SEC (Securities and Exchange Commission )
Com mais de 300 sees, a SOX provavelmente a legislao mais significante para os negcios nos EUA.
Sarbanes Oxley
A conformidade com a SOX (Sarbanes Oxley) ir impactar significativamente as organizaes de TI na maioria das empresas de capital aberto. Entretanto, existe um grande problema: no existe nenhuma meno especfica nas sees da SOX voltada para a TI, e mais importante ainda, no existe nenhuma especificao de quais controles precisam ser estabelecidos dentro da TI para estar em conformidade com a SOX. Para resolver este problema muitas empresas acabam adotando o COBIT, pelo fato dele definir quais os objetivos de controle que precisam ser implementados na TI. Alm disto, o COBIT um modelo independente de plataforma, independe de tecnologia, podendo ser adotado em qualquer organizao de TI. O COBIT est sintonizado com os requisitos legais destas leis. O COBIT o nico modelo de controle que compatvel com o COSO, cobre todas as atividades de TI e aceito geralmente pela comunidade de auditores. Assegurando que a TI est em conformidade com o COBIT far com que a maioria dos requisitos de conformidades j tenham sido implementados. Usando o COBIT far com que a organizao esteja atendendo a maioria dos requisitos das leis da SOX.
Benefcios do COBIT
Vamos tentar resumir os principais benefcios do COBIT: O COBIT lida com todos os aspectos dos problemas relacionados com a Governana de TI O COBIT foi criado por um grande nmero de especialistas e experts qualificados O ITGI ajudou com os seus 35 anos de experincia em segurana em TI no desenvolvimento do COBIT O COBIT est em manuteno contnua. Periodicamente uma nova verso publicada. Os patrocinadores do COBIT so organizaes sem fins lucrativos, sua misso ajudar seus clientes a alcanar seus objetivos principais. O COBIT pode ser aplicado em empresas de pequeno e grande porte. Usando o COBIT pode ser introduzido ordem e qualidade em uma poltica de TI
Mdulo 3
Objetivos de Controle
Objetivos
Este mdulo descreve os componentes do Framework do COBIT e os objetivos de controle. No final deste mdulo voc conseguir:
Identificar as funes do Framework do COBIT. Identificar as caractersticas dos 4 domnios de TI. Descrever as funes dos Processos de TI. Descrever os 7 critrios de informao. Descrever como o COBIT define os recursos em um ambiente de TI. Descrever os Objetivos de Controle do COBIT.
Framework do COBIT
Framework do COBIT
O Framework do COBIT fornece informaes necessrias para suportar os objetivos de negcio e seus requisitos. O Framework explica como os Processos de TI entregam informaes que o negcio necessita para alcanar seus objetivos. A entrega de informao acontece atravs de 34 objetivos de controle, um para cada processo de TI dos 4 domnios j vistos.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Para resultados
reas de foco
Como um framework de controle e governana de TI, o COBIT foca 2 reas chaves: 1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio. 2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que precisam ser gerenciados por processos de TI. O Framework do COBIT descreve como os processos de TI entregam informaes que o negcio precisa para alcanar seus objetivos. Esta entrega controlada atravs de 34 objetivos de controle, um para cada processo dos 4 domnios. O Framework do COBIT tem 3 componentes chaves.
Funes TI
Funes TI
Atividades Independentes
Atividade inter-relacionadas
O COBIT promove a organizao das atividades de TI ao entorno dos processos e fornece um modelo para as organizaes adotarem e adaptarem conforme necessrio. Aps os processos estarem definidos, eles podem ser alocados a indivduos e gerentes que so responsveis e devero prestar contas por cada processo. Com esta estrutura implementada, as atividades de TI podem ser melhor entendidas, organizadas, e mais fceis de controlar.
Processos de TI
Para comear, iremos aprender mais sobre os Processos de TI em detalhes.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Requisitos de Segurana Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas
Processos de TI
O Framework contem 34 processos de TI, os quais so organizados por domnios.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Requisitos de Segurana Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas
Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitorao e Avaliao Processos 34 Processos de TI
Controles de Aplicaes
AC1 Transao de Entrada de Dados e Autorizao A transao de entrada de dados dentro das aplicaes de negcio devem ser preparadas corretamente por pessoas seguindo polticas internas ou contratos externos incluindo a preveno e deteco de erros. AC2 Coleo de Documentos de Origem e Entrada de Dados A Entrada de dados realizada na hora certa pelos membros autorizados da equipe. AC3 Exatido, Integridade e Verificao de Autorizao durante o Processamento Os dados que so entrados no processamento (sejam eles gerados por pessoas ou por sistemas), devem ser verificados quanto a sua exatido, integridade e validade. AC4 Integridade e Validade do Processamento de Dados Verifica se os controles de processamento esto sendo executados corretamente. Executa a validao, autenticao e edio o mais prximo possvel do ponto de origem dos dados. AC5 Reviso de Sada, Reconciliao e Gerenciamento de Erros A exatido e integridade do processamento de dados podem ser verificados atravs de relatrios que podem fornecer informaes relevantes e identificao de possveis erros. AC6 Autenticao e Integridade da Transao Assegura que exista um processo para identificao de transaes no autenticadas.
empresa TI
Alinhamento estratgico
?
Novos Projetos Empresa
Servios de TI
Prioridades do Negcio
TI
Performance
PLANEJAMENTO E ORGANIZAO
PO3 Determinar a Direo Tecnolgica PO4 Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos
MONITORAO E AVALIAO
DS1 Definir nveis de Servios DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Performance e Capacidade DS4 Garantir Continuidade dos Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar usurios DS8 Gerenciar Service Desk e Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar os Ambientes Fsicos DS13 Gerenciar Operaes
AQUISIO E IMPLEMENTAO
AI1 Identificar solues AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter arquitetura tecnolgica AI4 Desenvolver e manter procedimentos de TI AI5 Obter Recursos de TI AI6 Gerenciar mudanas AI7 Instalar e certificar Solues e Mudanas
ENTREGA E SUPORTE
Medidas de Controle
As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcio no mesmo grau. O Framework do COBIT define 3 graus de controle.
Primrio
Secundrio
Satisfaz parcialmente ou indiretamente o critrio de informao a que se refere. Pode ser aplicvel; entretanto, os requisitos so satisfeitos de forma mais apropriada por um outro critrio neste processo e/ou ainda por outro processo.
Em Branco
Medidas de Controle
A tabela abaixo fornece uma indicao por processo de TI e domnio, informando qual critrio de informao impactado (P = Primrio, S = Secundrio) por um objetivo controle de alto nvel e quais recursos de TI so aplicveis.
Recursos de TI
Vamos agora aprender sobre o segundo componente do framework do COBIT, Recursos de TI.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Requisitos de Segurana Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas
Recursos de TI
Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
e R
rs u c
os
TI
Informao
Eficcia Eficincia
Para assegurar que os requisitos de negcio em relao a informao sejam alcanados, medidas de controle adequadas precisam ser definidas, implementadas e monitoradas para estes recursos. Apenas um framework de Controle de Objetivos de TI poderia assegurar que as organizaes recebam informaes que satisfaam seus objetivos.
Critrios de Informao
Vamos agora aprender sobre o prximo componente do framework do COBIT, Critrios de Informao.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas Requisitos de Segurana
Critrios de Informao
Para satisfazer os objetivos de negcio, a informaes precisam estar em conformidade com um critrio especfico. No COBIT estes critrios so chamados de requisitos de negcio para informao. Para estabelecer a lista de requisitos, o COBIT combina os princpios embutidos nos modelos de referncias existentes e conhecidos. Estes 3 requisitos so: Requisitos de Qualidade, Requisitos de Segurana e Requisitos de Fiducirios. Requisitos de Qualidade
Qualidade Entrega Custo
Requisitos de Segurana
Confidencialidade Integridade Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO) Eficcia e Eficincia nas operaes Conformidade com as leis e regulamentaes Confiabilidade das demonstraes financeiras
Requisitos de Qualidade
Os requisitos de Qualidade asseguram que o sistema est preparado para o seu propsito e que o processo ir ocorrer com o mnimo de erros possvel. Os requisitos de qualidade incluem: qualidade, entrega e custo. Requisitos de Qualidade
Qualidade Entrega Custo
Requisitos de Segurana
Confidencialidade Integridade Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO) Eficcia e Eficincia nas operaes Conformidade com as leis e regulamentaes Confiabilidade das demonstraes financeiras
Requisitos de Segurana
Os requisitos de Segurana incluem: confidencialidade, integridade e disponibilidade.
Requisitos de Qualidade
Qualidade Entrega Custo
Requisitos de Segurana
Confidencialidade Integridade Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO) Eficcia e Eficincia nas operaes Conformidade com as leis e regulamentaes Confiabilidade das demonstraes financeiras
Requisitos Fiducirios
Os requisitos Fiducirios so focados em satisfazer os requisitos corporativos, do setor pblico, legal e regulatrios. Os requisitos Fiducirios incluem eficincia e eficcia das operaes, conformidades com leis e regulamentos, confiabilidade dos relatrios financeiros. Para satisfazer os requisitos regulatrios o COBIT se baseia nas definies do COSO. Entretanto, o COBIT expandiu o escopo para incluir todas informaes, no somente informaes financeiras.
Requisitos de Qualidade
Qualidade Entrega Custo
Requisitos de Segurana
Confidencialidade Integridade Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO) Eficcia e Eficincia nas operaes Conformidade com as leis e regulamentaes Confiabilidade das demonstraes financeiras
Categorias
Os 3 requisitos Qualidade, Segurana e Fiducirio so divididos em 7 categorias distintas que podem se sobrepor. Eficcia: a capacidade de alar metas e resultados propostos. Trata da informao que est sendo relevante e pertinente ao processo de negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til. Eficincia: Capacidade de Produzir o mximo nos resultados com o mnimo de recursos. Diz respeito proviso da informao atravs do uso otimizado (mais produtivo e econmico) dos recursos. Tem foco na otimizao de custos. Confiabilidade: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e finanas . Conformidade: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito. Confidencialidade: Diz respeito proteo da informao sigilosa contra a revelao no autorizada Integridade: Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio Disponibilidade: Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Tem foco na Entrega de servios
Objetivos de Controle
Objetivos de Controle
Entendido o framework do COBIT, vamos estudar os conceitos dos objetivos de controle.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Para resultados
Definies
Definio de Controle Controle envolve as polticas, procedimentos, prticas e estruturas organizacionais projetadas para fornecer segurana para que os objetivos do negcio sejam alcanados e eventos no desejados sejam prevenidos ou detectados e corrigidos. Definio de Objetivos de Controle Definio de determinados objetivos ou resultados a serem obtidos ao implementar procedimentos de controle em uma determinada atividade de TI
Compara
Processo
Controle de Informao
Planejamento e Organizao
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura de Informao PO3 Determinar a Direo Tecnolgica PO4 Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos
Objetivos de Controle Detalhados Objetivo de Controle de Alto Nvel
Consiste em 4 domnios
PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos PO10 Gerenciar Projetos
Um objetivo de controle de alto nvel uma declarao de um resultado desejado a ser alcanado atravs da implementao de procedimentos de controle dentro de uma atividade de TI especfica.
Objetivos de controle detalhados se baseiam em objetivos de controle de alto nvel, focando no controle de tarefas chaves e atividades que esto relacionadas com os processos de TI.
Objetivos de Controle
Objetivos de controle de alto-nvel 1 por processo Objetivos de controle detalhado 3 a 15 por processo Prticas de Controle 5 a 10 por objetivo de controle
Planejamento e Organizao
Objetivos de controle alto-nvel: PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura de Informao PO3 Determinar a Direo Tecnolgica PO4 Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos PO10 Gerenciar Projetos
Aquisio e Implementao
Objetivos de controle de alto-nvel: AI1 Identificar solues AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter arquitetura tecnolgica AI4 Desenvolver e manter procedimentos de TI AI5 Obter Recursos de TI AI6 Gerenciar mudanas AI7 Instalar e certificar Solues e Mudanas
Entrega e Suporte
Objetivos de controle de alto-nvel: DS1 Definir nveis de Servios DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Performance e Capacidade DS4 Garantir Continuidade dos Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar usurios DS8 Gerenciar Service Desk e Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar os Ambientes Fsicos DS13 Gerenciar Operaes
Monitorao e Avaliao
Objetivos de controle de alto-nvel: ME1 Monitorar e Avaliar a Performance de TI ME2 Monitorar e Avaliar Controle Interno ME3 Assegurar Conformidade Regulatria ME4 Fornecer Governana de TI
Prticas de Controle
Traduz os objetivos de controle do COBIT em prticas detalhadas, implementveis e fornece uma argumentao de negcio para a implementao, a partir de uma perspectiva de valor e risco. Prticas de controle so mecanismos chaves que suportam: A realizao dos objetivos de controle Preveno, deteco e correo de eventos no desejados Prticas de controle so alcanadas atravs de: Uso responsvel dos recursos Gerenciamento de riscos apropriado Alinhamento da TI com o negcio
Planejamento & Organizao Aquisio & Implementao Entrega & Suporte Monitorao
Processos de TI
O qual satisfaz
Requisitos de Negcio
realizado atravs
Declaraes de Controle
E Considera
Prticas de Controle
Descrio do Processo
Domnios de TI & Indicadores de Informao Metas de TI Metas do Processo Prticas Chaves Mtricas Chaves
Indicadores de Recursos de TI
Domnios de TI
Planejamento e Organizao
Objetivos de Controle
PO10 Gerenciar Projetos AI4 Desenv. e Manter Procedimentos DS2 Gerenciar Servios de Terceiros ME1 Monitorar e Avaliar a Performance de TI
Processos TI
Vamos ver adiante estes objetivos de controle em detalhes em cada domnio. Vale lembrar que a Prova do COBIT Foundation vai ter questes do processo PO10 e DS2.
Planejamento e Organizao
que satisfaz os
Requisitos de Negcio
alcanado por
Controles Chaves
Indicadores para avaliar a performance dos projetos em relao a prazo, custo e qualidade.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Mantem o programa de projetos relacionado ao portflio de programas de investimentos de TI atravs de identificao, definio, avaliao, priorizao e controle dos projetos. Assegura que os projetos esto atendendo os objetivos do programa. Coordena as atividades dos mltiplos projetos, gerencia a contribuio de todos os projetos dentro programa para o resultado esperado, resolve necessidades de recursos e conflitos.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Estabelece e mantem um framework de gerenciamento de projetos que defina o escopo e fronteiras do gerenciamento de projetos, bem como metodologias a serem adotadas e aplicadas em cada projeto.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Estabelece um gerenciamento de projetos apropriado ao tamanho, complexidade, requisitos regulatrios para cada projeto. A estrutura de governana de projetos pode incluir funes, responsabilidades, prestao de contas ao patrocinador, patrocinadores do projetos, comit de avaliao, escritrio de projetos e gerente projetos, e os mecanismos para que estes possam executar suas responsabilidades, tais como relatrios e estgios de reviso.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Obter comprometimento e participao dos stakeholders afetados na definio e execuo do projeto dentro do contexto do programa de investimentos de TI.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Define e documenta a natureza e escopo do projeto para confirmar e desenvolver entre os stakeholders um entendimento comum do escopo do projeto e como ele se relaciona com outros projetos dentro do programa de investimentos de TI.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Assegura que a iniciao das fases mais importantes do projetos estejam aprovadas formalmente e comunicadas para todos os stakeholders.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Estabelece um plano de projeto integrado aprovado e formal. Este plano de projeto integrado deve gerenciar os sistemas de informao e de negcio para dirigir a execuo do projeto e controle do projeto durante o ciclo de vida do projeto.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Define as responsabilidades, relacionamentos, autoridades, critrios de performance do projeto e especifica bases para contratao e alocao dos membros da equipe e/ou contratados para o projeto.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Elimina ou minimiza os riscos especficos associados com determinado projetos atravs de um processo sistemtico de planejamento, identificao, anlise, monitorao e controle das reas ou eventos que possam causar uma possvel mudana no desejada.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Prepara o plano de gerenciamento de qualidade que ir descrever o sistema de qualidade do projeto e como ele ir ser implementado.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Estabelece um sistema de controle de mudanas para cada projeto, desta forma todas as mudanas na baseline do projeto, como por exemplo, custo, prazo, escopo e qualidade, so revisadas a aprovadas de forma apropriada dentro de um plano de projeto integrado.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Identifica as tarefas de segurana necessrias para segurar o credenciamento de sistemas novos ou modificados durante o planejamento do projeto e inclui estes no plano de projeto integrado.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Medidas de performance do projeto em relao a critrios chaves do projeto, como por exemplo, escopo, prazo, qualidade, custo e riscos para identificar qualquer desvio do plano do projeto.
Planejamento e Organizao
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
No final de cada projeto, requer que os stakeholders certifiquem os resultados entregues pelo projeto e os seus benefcios. Identifica e documenta as lies aprendidas para o uso em projetos e programas futuros.
Aquisio e Implementao
Satisfaz os requisitos de negcio e usurios finais atravs de Nveis de Servios e integrao das aplicaes com o negcio
que satisfaz os
Prov manuais operacionais e de treinamento ao usurios para o uso correto dos sistemas
Requisitos de Negcio
alcanado por
Controles Chaves
Aquisio e Implementao
Aquisio e Implementao
Planejamento para Solues Operacionais Transferncia de Conhecimento para a Gerncia de Negcio Transferncia de Conhecimento para os Usurios Finais Transferncia de Conhecimento para as Operaes e Equipe de Suporte
Desenvolve um plano para identificar e documentar todos os aspectos tcnicos, capacidade operacional e nveis de servios requeridos, sendo assim, todos os stakeholders podem tomar a responsabilidade na hora certa para os procedimentos operacionais.
Aquisio e Implementao
Planejamento para Solues Operacionais Transferncia de Conhecimento para a Gerncia de Negcio Transferncia de Conhecimento para os Usurios Finais Transferncia de Conhecimento para as Operaes e Equipe de Suporte
Transfere o conhecimento para a gerncia de negcio permitindo que estes assumam a propriedade do sistema e da informao e exeram a responsabilidade pela entrega de servio e qualidade, controle interno e processos de administrao de aplicao.
Aquisio e Implementao
Planejamento para Solues Operacionais Transferncia de Conhecimento para a Gerncia de Negcio Transferncia de Conhecimento para os Usurios Finais Transferncia de Conhecimento para as Operaes e Equipe de Suporte
Transfere o conhecimento e habilidades para os permitir os usurios finais a usar as aplicaes de um modo eficiente para suportar os processos do negcio.
Aquisio e Implementao
Planejamento para Solues Operacionais Transferncia de Conhecimento para a Gerncia de Negcio Transferncia de Conhecimento para os Usurios Finais Transferncia de Conhecimento para as Operaes e Equipe de Suporte
Transfere o conhecimento e habilidades para possibilitar a equipe de suporte tcnico e de operaes a entregar, dar suporte e manter os sistemas de aplicaes e infra-estrutura associados de acordo com os nveis de servio requeridos.
Entrega e Suporte
Os servios de terceiros devem satisfazer os requisitos de negcio para TI em relao a benefcios, custos e riscos.
que satisfaz os
Requisitos de Negcio
alcanado por
Indicadores para avaliar a performance dos prestadores de servio.
Controles Chaves
Entrega e Suporte
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Entrega e Suporte
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Identifica todos os servios dos fornecedores e os categoriza de acordo com o tipo de fornecedor, importncia, criticidade. Mantem uma documentao formal dos relacionamentos tcnicos e organizacionais, cobrindo funes, responsabilidades, metas, resultados esperados e nomes dos contatos destes fornecedores.
Entrega e Suporte
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Formaliza o processo de gerenciamento de relacionamento com cada fornecedor. Os responsveis pelo relacionamento precisam ligar as questes do cliente com o fornecedor e assegurar a qualidade do relacionamento baseada na verdade e transparncia, por exemplo, atravs de Acordos de Nvel de Servio.
Entrega e Suporte
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Identifica e mitiga os riscos relacionados com a habilidade do fornecedor para continuar a entrega de servio efetiva de uma maneira eficiente e segura. Assegurar que os contratos estejam em conformidade com padres de negcios universais de acordo com requisitos legais e regulatrios.
Entrega e Suporte
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Estabelece um processo para monitorar a entrega de servio assegurando que o fornecedores esto atendendo os requisitos do negcio e esto atendendo os nveis de servio acordados em contrato, e que a performance competitiva com fornecedores alternativos com a mesma condio no mercado.
Monitorao e Avaliao
Satisfaz os requisitos de negcio para TI como transparncia e entendimento dos custos de TI, benefcios, estratgia, nveis de servio.
que satisfaz os
Requisitos de Negcio
alcanado por
Avalia quais processos esto sendo monitorados, aes tomadas.
Controles Chaves
Monitorao e Avaliao
Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Assegura que a administrao estabelea um framework de monitorao, e defina o escopo, metodologia e processo para ser seguido para monitorar a contribuio de TI para o resultado da empresa.
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Define indicadores de performance, medidas, targets e bechmarks que sejam relevantes para os stakeholders.
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Assegura que o processo de monitorao desenvolva um mtodo como um balanced scorecard que fornea uma viso sucinta da performance de TI e esteja adequado com o sistema de monitorao corporativo.
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Reviso peridica da performance em relao s metas, realiza a anlise de causa raiz, inicia aes corretivas para eliminar as causas.
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Fornece relatrios gerenciais para a reviso da administrao sobre as metas, performance do portflio de projetos relacionados a TI, contribuio da TI para o negcio.
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Mdulo 4
Objetivos
Este mdulo descreve as diretrizes de gerenciamento e de auditoria. Ao final deste mdulo voc conseguir:
Entender a Estrutura das Diretrizes de Gerenciamento Descrever as entradas e sadas dos processos, atividades e grficos RACI, mtricas e metas e modelos de maturidade. Entender a Estrutura das Diretrizes de Auditoria Entender como os Processos de TI do COBIT so auditados Entender o que so Prticas de Controles
Diretrizes de Gerenciamento
Objetivos
Ns j aprendemos sobre os objetivos de controle. Agora vamos aprender sobre os conceitos de diretrizes de gerenciamento.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Para resultados
Diretrizes de Gerenciamento
Existem muitas questes sendo levantadas pela administrao, como as que temos abaixo. Estas questes sero respondidas durante este mdulo.
Como os gerentes responsveis iro manter O navio em curso?
DASHBOARD
Indicadores
Como conseguir resultados que sejam satisfatrios para o segmento dos nossos stakeholders ? Como adaptar a organizao rapidamente para as tendncias do seu ambiente ?
SCORECARDS
Mtricas
BENCHMARKING
Comparaes
Diretrizes de Gerenciamento
As Diretrizes de Gerenciamento do COBIT possibilitam os administradores da organizao a lidar de forma eficiente com as necessidades e requisitos da governana de TI. As diretrizes so orientadas a aes e genricas e fornecem apoio para obter informaes sobre a organizao e processos relacionados sob controle, para monitorar o cumprimento das metas da organizao e para monitorar o desempenho em cada processo de TI e realizar bechmarking (comparao) com outras empresas do mesmo setor. As diretrizes de Gerenciamento iro responder aos seguintes tipos de questes: quanto tempo mais vamos levar, e qual o custo justificado para o benefcio? Quais so os indicadores de performance ideais? Quais so os riscos de no alcanar nossos objetivos? O que os outros esto fazendo? Como ns medimos e comparamos?
Scorecards e Mtricas
As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs (Key Gol Indicadors) e medidas de performance em forma de KPIs (Key Performance Indicators ). Estas medidas de performance podem ser usadas para medir e monitorar o progresso em direo ao resultado esperado. As Diretrizes de Gerenciamento do COBIT sugerem utilizar Balanced Business Scorecards, os quais fornecem mtricas para alcanar as metas de TI. O scorecard tem 4 dimenses que mapeiam as metas e indicadores de performance:
Para sermos bem sucedidos financeiramente como devemos ser vistos pelos nossos acionistas
Para alcanarmos nossa viso, como sustentaremos nossa capacidade de mudar e melhorar?
Para alcanarmos nossa viso, como deveramos ser vistos pelos nossos clientes?
Para satisfazermos nossos acionistas e clientes, em que processos de negcios devemos alcanar a excelncia?
Descrio do Processo
The control of
TI process
which satisfy
Business Requirements
is enabled by
Control Statements
and considers
Control Practices
Metas, Mtricas h h h
Modelos de Maturidade
0 - Processos de Gerenciamento no so aplicados a todos. 1 Os processos so desorganizados. 2 Os processos seguem um padro regular. 3 - Os processos so documentados e comunicados. 4 Os processos so monitorados e medidos. 5 As melhores prticas so seguidas e automatizadas
Sadas
Relatrios de Performance do Projeto Plano de Gerenciamento de Riscos do Projeto Diretrizes de Gerenciamento de Projetos Planos de Projetos detalhados Portfolio de Projetos atualizados
Para
ME1 PO9 AI1.... PO8 PO1 ...AI7 AI1.... PO5 ...AI7 DS
Tipos de Mtricas
O COBIT usa 2 tipos de mtricas: indicadores de meta e indicadores de performance. Os indicadores de meta do nvel mais baixo tornam os indicadores de performance para o nvel mais alto. Os quadros abaixo apresentam as mtricas para o PO10 Gerenciar Projetos.
Modelos de Maturidade
Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as prticas da empresa em relao a indstria e padres e diretrizes internacionais. Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para um certo processo de inexistente (0) otimizado (5).
Inexistente 0
Inicial 1
Reptivel 2
Definido 3
Gerenciado Otimizado 4 5
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
Modelos de Maturidade
O modelo de maturidade fornecido pelas Diretrizes de Gerenciamento do COBIT para os 34 processos de TI est se tornando uma ferramenta cada vez mais popular para gerenciar questes tpicas de balanceamento de riscos e controle de forma a levar em considerao o custo-efetivo. Uma caracterstica fundamental do modelo de maturidade que ele permite uma organizao medir o nvel de maturidade e definir quais nveis de maturidade quer chegar e quais brechas nos processos quer eliminar. Como resultado, uma organizao pode descobrir aperfeioamentos prticos para o sistema de controles internos de TI.
Planejamento e Organizao
0
Inexistente
O planejamento estratgico de TI no realizado O planejamento estratgico prtica padro e as excees seriam notadas pela administrao. O planejamento estratgico de TI entendido pela administrao de TI, mas no documentado. Uma poltica define quando e como fazer um planejamento estratgico de TI. O planejamento estratgico prtica padro e as excees seriam notadas pela administrao. o planejamento estratgico um processo documentado e vivo, continuamente considerado no estabelecimento das metas da organizao e resulta em valores compreensveis de negcio atravs de investimentos em TI.
1
Inicial
2
Reptivel
3
Definido
4
Gerenciado
5
Otimizado
Anlise de GAP
A Anlise de GAP auxilia os gestores de TI a identificar como esto posicionados os macro controles de TI da organizao em relao aos padres esperados de mercado e/ou s suas prprias expectativas. Podemos utilizar a mesma tcnica para os processos de TI aplicados pelo COBIT. Veja abaixo um exemplo de mapeamento de maturidade dos processos do domnio de Planejamento e Organizao.
Legenda
Expectativa Situao atual do processo Mdia
Diretrizes de Auditoria
Diretrizes de Auditoria
Tendo entendido os objetivos de controle e diretrizes de gerenciamento, vamos agora ver os conceitos de diretrizes de auditoria.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Para resultados
Objetivos da Auditoria
A administrao precisa assegurar que as metas e objetivos de TI esto sendo alcanados e os controles chaves esto sendo aplicados. As diretrizes de gerenciamento descrevem e sugerem atividades de avaliao para serem executadas para cada um dos 34 objetivos de controle de alto nvel. Entre os principais objetivos temos: Fornecer gerenciamento com segurana razovel de que os objetivos de controle estejam sendo alcanados Onde exister pontos fracos de controle significantes, ser verificado os riscos resultantes Aconselhar a administrao em aes corretivas
Diretrizes de Auditoria
O COBIT permite os auditores internos e externos a confrontar processos de TI especficos com os Objetivos de Controle do COBIT para determinar onde os controles so suficientes ou aconselhar melhor gerenciamento onde os processos precisam ser melhorados. O propsito das Diretrizes de Auditoria fornecer uma estrutura simples para controles de auditoria e avaliao baseados em prticas de auditoria geralmente aceitas, que sejam compatveis com o esquema de processos do COBIT.
Auditores externos
Auditores internos
Diretrizes de Auditoria
Antes de vermos os componentes das Diretrizes de Auditoria, vamos ver como as Diretrizes de Auditoria esto vinculadas com os outros componentes do framework do COBIT.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Para resultados
Identificao e Documentao
Avaliao
Testes de Conformidade
Testes Substantivos
Obtm um entendimento dos riscos relacionados aos requisitos de negcio e medidas de controle relevantes
Avaliao da conformidade testando se os controles determinados esto funcionando como prescritos, consistentemente e continuamente
Verificando os riscos dos objetivos de controle que no esto sendo alcanados atravs de tcnicas analticas e/ou consultando fontes alternativas
Auditoria de Processos de TI
Um processo de TI auditado atravs da:
Avaliao dos controles determinados, avaliando se estes so apropriados. Avaliao de conformidade atravs de testes que verifiquem se o
controle determinado est funcionando como previsto, de forma consistente e contnua.
Documentar o processo relacionado com os recursos de TI que afetam particularmente o processo sob anlise. Confirmar o entendimento do processo sob anlise.
Planejamento e Organizao
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura de Informao PO3 Determinar a Direo Tecnolgica PO4 Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos PO10 Gerenciar Projetos
Diretrizes de Auditoria Objetivo de Controle de Alto Nvel
Planejamento e Organizao
Objetivos de Controle
Planejamento e Organizao
Planejamento e Organizao
Planejamento e Organizao
Obteno de Entendimento
Coleta informaes de fundamento para identificar pontos chaves do negcio, riscos, infra-estrutura, etc
Avaliao de Controles
Analisa os Objetivos de Controle para verificar se estes so apropriados para a empresa e atendem as necessidades da administrao
Avaliao de Conformidade
Analisa os Objetivos de Controle para testar e/ou medir se existem controles presentes para suportar os objetivos de controle e se estes esto operando de forma satisfatria
Anlise de Riscos
Analisa as falhas nos objetivos do negcio, perdas, etc, devido a ausncia de controle adequado
M ed id o
Au di ta do
Objetivos de Controle
ado ent lem Imp Com
em
po r
po r
T
o id z du ra
ra Pa
rm fo r pe
Para resultad o
ce an
Diretrizes de Auditoria
Prticas de Controle
ra pa a ur at m
Modelos de Maturidade
= levados em considerao
Prticas de Controle
Prticas de Controle
As Prticas de Controle estende a capacidade do COBIT, fornecendo aos usurios um nvel adicional de detalhes. Os processos de TI do COBIT, requisitos de negcios e objetivos de controle definem o que precisa ser feito para implementar uma estrutura de controle efetiva. As prticas de controle de TI fornece mais detalhes de como e porque so necessrias para a administrao, provedores de servios, usurios finais e profissionais de controle, para implementar controles especficos baseados na analise de operaes e riscos de TI.
Prticas de Controle
A figura abaixo fornece um exemplo de prtica de controle para o processo AI6 Gerenciar Mudanas:
Mdulo 5
Objetivos
Este mdulo descreve os vrios produtos e servios fornecidos pelo ISACA e ITGI para suportar o COBIT. Durante este mdulo iremos descrever os vrios documentos relacionados com o COBIT, tais como o COBIT online, COBIT QuickStart, COBIT Security Baseline, Guia de Implementao de Governana de TI e Prticas de Controle.
Recursos do COBIT
Sumrio Executivo
Medidas de Performance Fatores crticos de sucesso Modelos de Maturidade Gerencia de Negcio e Tecnologia
Diretrizes de Gerenciamento
Diretrizes de Gerenciamento
COBIT Online
COBIT Quickstart
Prticas de Controle
COBIT Online
O COBIT online amplia as possibilidades de pesquisa e comparao para evitar riscos empresariais, satisfazer necessidades de controle e obter informaes sobre aspectos tcnicos. O COBIT online uma base de recursos na Internet, onde possvel baixar diversos arquivos em PDF, postar dvidas na comunidade online, obter indicadores para os objetivos de controles e realizar benchmark para avaliao de maturidade dos processos com outras empresas do setor. O COBIT Online est disponvel a partir do site www.isaca.org . Para obter acesso necessrio ser membro do ISACA ou comprar uma inscrio de acesso.
COBIT Quickstart
O COBIT QuickStart possibilita voc adotar facilmente os elementos mais importantes do COBIT. uma verso resumida dos recursos do COBIT, representa 20% do contedo. O COBIT QuickStart foca nos Processos de TI, Objetivos de Controle e mtricas, e ajuda os usurios a ganhar rapidamente os benefcios do COBIT. direcionado para empresas de pequeno e mdio porte onde a TI no estratgica ou absolutamente crtica para a sobrevivncia da empresa Fornece uma seleo dos itens bsicos do COBIT Fornece um fundamento das principais aes a executar Est disponvel a partir do COBIT online
Diretores
Gerentes
Executivos Seniores
Usurios Profissionais
Usurios Domsticos
Prticas de Controle
As prticas de controle descrevem quase 1.600 Prticas de Controle, que estende a hierarquia de Domnio-Processo-Objetivo de Controle. So mecanismos que do suporte para alcanar os objetivos de controle, como preveno, deteco e correo de eventos no desejados atravs do uso adequado dos recursos, gerenciamento de riscos apropriado e alinhamento de TI com o negcio. As prticas de controle detalham: Como cada processo pode ajudar a controlar e a gerenciar riscos Gerenciamento de riscos atravs da reduo da probabilidade das conseqncias adversas das ameaas e vulnerabilidades Aumento dos benefcios atravs dos ganhos de eficincia e/ou eficcia Indicadores de performance das Diretrizes de Gerenciamento do COBIT Existem pelo menos duas prticas de controle detalhadas para cada objetivo de controle