Introduo ao COBIT e COBIT Gap Analysis

Outubro 2006

Mair Affonso Rangel Calvo

Scio/Diretor

Sumrio
Apresentao
Histrico O COBIT Hoje

COBIT Gap Analysis (Metodologia MADAH)

Conceitos e Estruturao do COBIT

Apresentao
cada vez mais importante, para o sucesso e sobrevivncia de uma organizao na nossa sociedade global de informao, o gerenciamento efetivo da informao e da respectiva tecnologia de informao (TI), considerando:

Apresentao (cont.)
a crescente dependncia da informao e dos sistemas que a fornecem;
as crescentes vulnerabilidades e um amplo espectro de ameaas como cyber-ameaas e guerra de informaes;

Apresentao (cont.)
o montante e o custo de investimentos atuais e futuros em informaes e sistemas de informao; e
o potencial de tecnologias em mudar dramaticamente as organizaes e prticas comerciais, criando novas oportunidades e reduzindo custos.

Histrico
(um pouco de Arqueologia... :)

DNA do COBIT
(+ de 40 fontes...)

O COBIT hoje:

Relatrio de Status Global da Governana de TI 2004

Relatrio de Status Global da Governana de TI

Fonte: IT Governance Global Status Report Excerpt Pequisa publicada em 2004, efetuada em 2003 pela PwC sob orientao do ITGI / ISACA 335 entrevistados (nveis CEO e CIO)
276 escolhidos aleatoriamente 56 dentre os que adquiriram o COBIT

Principais Resultados
Mais de 93% reconhecem que a TI importante para a estratgia da organizao
As organizaes padecem de problemas operacionais de TI Os CIOs reconhecem a necessidade de melhorar a governana de TI

Principais Resultados
Mais de 93% reconhecem que a TI importante para a estratgia da organizao
As organizaes padecem de problemas operacionais de TI Os CIOs reconhecem a necessidade de melhorar a governana de TI

Principais Resultados
Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI

Principais Resultados
Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI

Principais Resultados
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos

Principais Resultados
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos

Mais de 93% reconhecem que a TI importante para a estratgia da organizao

H consenso mundial sobre a importncia da TI na consecuo da estratgia global das organizaes, o que se observa na maioria dos segmentos Paradoxalmente, a administrao geral percebe a importncia de TI um pouco mais do que a prpria administrao de TI

Mais de 93% reconhecem que a TI importante para a estratgia da organizao

H consenso mundial sobre a importncia da TI na consecuo da estratgia global das organizaes, o que se observa na maioria dos segmentos Paradoxalmente, a administrao geral percebe a importncia de TI um pouco mais do que a prpria administrao de TI

As organizaes padecem de problemas operacionais de TI

Apenas 7% dos entrevistados no tiveram problemas com TI no ano passado Falhas e incidentes operacionais e viso inadequada da performance de TI so frequentes, e mencionadas por cerca de 40% dos entrevistados

As organizaes padecem de problemas operacionais de TI

Apenas 7% dos entrevistados no tiveram problemas com TI no ano passado Falhas e incidentes operacionais e viso inadequada da performance de TI so frequentes, e mencionadas por cerca de 40% dos entrevistados

Os CIOs reconhecem a necessidade de melhorar a governana de TI 75% da comunidade de TI est ciente de que a TI tem problemas a serem sanados Mais de 80% reconhece que necessria governana de TI para san-los Apenas 40% responderam que pretendem adotar ou planejar medidas de governana de TI

Os CIOs reconhecem a necessidade de melhorar a governana de TI 75% da comunidade de TI est ciente de que a TI tem problemas a serem sanados Mais de 80% reconhece que necessria governana de TI para san-los Apenas 40% responderam que pretendem adotar ou planejar medidas de governana de TI

Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI

57% utilizam padres (frameworks) para alinhar as estratgias de TI e da organizao

53% os utilizam para gerenciar os riscos operacionais de TI

Padres conhecidos ou usados: Solues internas ou de provedores ISO 9000 COBIT

Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI

57% utilizam padres (frameworks) para alinhar as estratgias de TI e da organizao

53% os utilizam para gerenciar os riscos operacionais de TI

Padres conhecidos ou usados: Solues internas ou de provedores ISO 9000 COBIT

Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI

O COBIT percebido como um importante padro para a governana de TI por aqueles que esto familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)

Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI

O COBIT percebido como um importante padro para a governana de TI por aqueles que esto familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)

Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos 18% dos entrevistados conhecem o COBIT
30% das organizaes que o conhecem efetivamente o utilizam

5% das organizaes entrevistadas usam o COBIT

43% dos usurios entendem como de fcil implementao 25% entendem como algo difcil

Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos 18% dos entrevistados conhecem o COBIT
30% das organizaes que o conhecem efetivamente o utilizam

5% das organizaes entrevistadas usam o COBIT

43% dos usurios entendem como de fcil implementao 25% entendem como algo difcil

O COBIT hoje:

Pesquisa de Mercado IPM Maro / 2005

Realizada em 100 dentre as 2000 maiores empresas do Brasil

1,05 %

Conceitos e Estruturao do COBIT

Benefcios da TI X Riscos
Muitas organizaes reconhecem os benefcios potenciais que a tecnologia pode propiciar. Entretanto, somente as organizaes de sucesso compreendem e gerenciam os riscos associados com a implementao de novas tecnologias.

Qual o papel do COBIT ?

Auxiliar a associao entre os riscos do negcio, as necessidades de controle e os aspectos tecnolgicos.
Propiciar boas prticas atravs de uma matriz de domnios e processos estruturados de forma lgica e gerencivel.

Boas prticas
Consenso de especialistas, tendo sido pesquisadas e consolidadas pela ISACF Information Systems Audit and Control Foundation
Fonte educacional para profissionais de controle

Boas prticas (cont.)

Padro geralmente aceito e aplicvel para boas prticas de controle e segurana de Tecnologia de Informao
Objetiva ser equivalente aos Princpios Contbeis Geralmente Aceitos

Misso do COBIT
Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informao, para uso cotidiano por administradores e auditores

Pblico alvo
Administradores: para os auxiliar na ponderao entre risco e investimentos em controles de TI; Usurios: para se certificarem da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros; e

Pblico alvo (cont.)

Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre controles internos

Definies
Controle : polticas, procedimentos, prticas e estruturas organizacionais projetados para prover razovel segurana de que os objetivos do negcio sero atingidos e de que eventos indesejados sero prevenidos ou detectados e corrigidos.

Definies (cont.)
Objetivo de Controle de TI : uma declarao do resultado desejado, ou propsito a ser atingido, pela implementao de procedimentos de controle numa atividade de Tecnologia de Informao em particular.

Documentos do COBIT
Executive Summary Framework CONTROL OBJECTIVES Audit Guidelines

Implementation Tool Set

Management Guidelines

Padro aberto Exclusivo para Associados

Estrutura do COBIT
4 Domnios 34 Macro-Objetivos ou Processos 318 Objetivos Detalhados

COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMNIOS

OBJETIVOS DO NEGCIO
PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade

COBIT
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente

INFORMAES
eficcia eficincia confidencialidade integridade disponibilidade compliance confiabilidade

MONITORAO

PLANEJAMENTO E ORGANIZAO

RECURSOS DE TI
pessoas sistemas aplicativos tecnologia instalaes dados

DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao

PRODUO E SUPORTE

AQUISIO E IMPLEMENTAO

AI1 AI2 AI3 AI4 AI5 AI6

identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas

Escala do Modelo de Maturidade (EMM)

Inexistente 0 Inicial 1 Repetitivo 2 Definido Administrado 3 4 Otimizado 5

Situao atual da organizao Padro de mercado

Melhores prticas Estratgia da organizao

COBIT Gap Analysis (Metodologia MADAH)

Gap Analysis
Objetiva auxiliar os responsveis pela TI a identificar, de forma abrangente, rpida e econmica, como os macro controles de TI da Instituio esto posicionados em relao aos padres esperados do mercado e/ou da prpria Instituio Metodologia baseada no COBIT Framework 3rd Edition, 2000 e no COBIT Management Guidelines, 2000

Etapas do Gap Analysis

Workshop com os gestores de TI para levantamento da situao atual dos controles Entrevistas individuais com os gestores de TI para detalhamento da situao atual dos controles

Tabulao e Anlise dos Aspectos Considerados

Opcional: Validao dos Resultados

Elaborao do Relatrio
Workshop para Anlise dos Resultados

Etapas do Cobit Gap Analysis (Metodologia MADAH)

1

Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM) Base: Control Objectives e/ou Management Guidelines (318 Objetivos Detalhados e/ou 204 Descries Especficas da EMM + coleta de evidncias)

2 Validao

Situao SE OptouAtual = Sim = MENOR (Resultado1, Resultado2) Delta = | Resultado1 (-) Resultado2 | SE Delta =< 20 % Situao Atual = MAIOR (Resultado1, Resultado2) SENO Executar Validao ( Resultado3 ) Situao Atual = Resultado3

Etapas obrigatrias

Etapa opcional

Exemplo de aplicao do Cobit Gap Analysis

1
Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM

Obteno das avaliaes mediante workshop com os responsveis (em conjunto)

COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMNIOS

OBJETIVOS DO NEGCIO
PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade

COBIT
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente

INFORMAES
eficcia eficincia confidencialidade integridade disponibilidade compliance confiabilidade

MONITORAO

PLANEJAMENTO E ORGANIZAO

RECURSOS DE TI
pessoas sistemas aplicativos tecnologia instalaes dados

DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao

PRODUO E SUPORTE

AQUISIO E IMPLEMENTAO

AI1 AI2 AI3 AI4 AI5 AI6

identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas

Macro Objetivos

Macro Objetivo

Quesitos da Informao

Recursos de TI

PO01 Definir um plano estratgico de TI

Controle sobre o processo de TI de que satisfaa a exigncia do negcio de

P eficcia S eficincia confidencialidade integridade disponibilidade compliance confiabilidade

pessoas aplicativos tecnologia instalaes dados

definir um plano estratgico de TI

alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento

atingido mediante

um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo
e leva em considerao

a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao

Ponderao dos Macro Objetivos

Estgio

PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10 PO11 AI01 AI02

Descrio Definir um plano estratgico de TI Definir a arquitetura de informao Determinar a direo tecnolgica Definir a organizao e relacionamentos da TI Gerenciar o investimento em TI Comunicar objetivos e diretrizes da administrao Gerenciar recursos humanos Garantia do cumprimento de exigncias externas Avaliao de riscos Gerenciar projetos Gerenciar qualidade Identificar solues Adquirir e manter software aplicativo

S S S S S S S S S S S S S

X X X X X X X X X X X X X

2 4 4 4 4 4 4 4 4 4 1 4 2

RESULTADO 1

Administrado

Inexistente

Aplicvel?

Repetitivo

Otimizado

Macro Objetivo

Definido

Inicial

Exemplo de aplicao do Cobit Gap Analysis

1

Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM)

Obteno das avaliaes mediante entrevistas com os responsveis (individuais)

Framework: Aspectos Considerados

Macro Objetivo
Quesitos da Informao Recursos de TI

PO01 Definir um plano estratgico de TI

Controle sobre o processo de TI de que satisfaa a exigncia do negcio de

P eficcia S eficincia confidencialidade integridade disponibilidade compliance confiabilidade

pessoas aplicativos tecnologia instalaes dados

definir um plano estratgico de TI

alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento

atingido mediante

um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo
e leva em considerao

a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao

Ponderao dos Aspectos Considerados

Estgio

Administrado

Inexistente

Repetitivo

Descrio PO01 Definir um plano estratgico de TI PO01 alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento PO01 um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo PO01 a estratgia de negcios da empresa PO01 definio de como a TI suporta os objetivos do negcio PO01 inventrio de solues tecnolgicas e infraestrutura atual PO01 monitorao dos mercados de tecnologia PO01 estudos de viabilidade tempestivos e conferncia de seu realismo PO01 avaliaes dos sistemas existentes PO01 posio da empresa no tocante a riscos, time-to-market e qualidade PO01 necessidade de patrocnio, suporte e reviso crtica da alta administrao

Otimizado

Definido

Inicial

S S S S S S S S

X X X X X X X X

PONTUAO
2 0 1 2 3 2 2 3 2

Aplicvel?

Macro Objetivo

Exemplo de aplicao do Cobit Gap Analysis

1

Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM)

Apenas as etapas obrigatrias (neste exemplo) A seguir, alguns modelos das sadas (resultados)

PO - PLANEJAMENTO E ORGANIZAO

PO01 5 PO11 4 3 PO10 2 1 0 PO09 PO04 PO03 PO02

Quesitos da Informao
PO08 PO05

Recursos de TI

eficcia eficincia confidencialidade integridade disponibilidade compliance confiabilidade

instalaes

aplicativos

tecnologia

pessoas

Padro Instituio

PO07

PO06

PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10 PO11

Definir um plano estratgico de TI Definir a arquitetura de informao Determinar a direo tecnolgica Definir a organizao e relacionamentos da TI Gerenciar o investimento em TI Comunicar Objetivos e Diretrizes da Administrao Gerenciar recursos humanos Garantia do cumprimento de exigncias externas Avaliao de riscos Gerenciar projetos Gerenciar qualidade

P P P P P P P P P P P

S S S S S S P S P

P S S P P P S S P P P S

dados

PO01 - Definir um Plano Estratgico de TI

Macro Objetivo
Quesitos da Informao Recursos de TI

PO01 Definir um plano estratgico de TI

Controle sobre o processo de TI de que satisfaa a exigncia do negcio de

P eficcia S eficincia confidencialidade integridade disponibilidade compliance confiabilidade

pessoas aplicativos tecnologia instalaes dados

definir um plano estratgico de TI

alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento

atingido mediante

um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo

Estgio
Administrado Inexistente Repetitivo Otimizado PONTUAO Aplicvel?

Descrio

a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao

S S S S S S S S

X X X X X X X X

Definido

Inicial

0 1 2 3 2 2 3 2

PO11 - Gerenciar a Qualidade

Macro Objetivo
Quesitos da Informao Recursos de TI

PO11 Gerenciar qualidade

Controle sobre o processo de TI de que satisfaa a exigncia do negcio de

P eficcia P eficincia confidencialidade P integridade disponibilidade

pessoas aplicativos tecnologia instalaes dados

gerenciar a qualidade

atender as especificaes do usurio de TI

atingido mediante

compliance S confiabilidade

planejamento, implementao e manuteno de padres e sistemas de gerenciamento da qualidade pela organizao, que deve adotar e aplicar uma metodologia que fornea distintas fases de desenvolvimento bem como produtos e servios ("entregveis") claramente definidos, explicitando responsabilidades

Estgio

Administrado

Inexistente

Repetitivo

Descrio estabelecimento de uma cultura da qualidade plano de qualidade responsabilidades pela garantia da qualidade prticas de controle de qualidade metodologia de ciclo de vida do desenvolvimento de sistemas teste e documentao de programas e sistemas revises e relatrios de garantia de qualidade treinamento e envolvimento do usurio final e do pessoal de garantia da qualidade desenvolvimento de uma base de conhecimentos de qualidade "benchmarking" contra padres de mercado

S S S S S S S S S S

X X X X X X X X X X

Otimizado

Definido

Inicial

PONTUAO
1 0 0 1 2 2 0 1 2 2

Aplicvel?

PO - PLANEJAMENTO E ORGANIZAO

AI - AQUISIO E IMPLEMENTAO

PO01 5 PO11 4 PO02

AI01 5 4 3

3 PO10 2 1 0 PO09 PO04 PO03

AI06 2 1 0

AI02

COBIT GAP ANALYSIS Avaliao Geral

AI05 AI03

M3
PO08 PO05

M4

PO01 5 4 3 2 1

PO02

PO03 PO04 PO05 PO06 PO07 PO08 PO09

AI04 Padro Instituio

M2 M1

Padro Instituio

PO07

PO06

DS13 DS12 DS11 DS10

0
DS - PRODUO E SUPORTE

M - MONITORAO

DS09 DS08
DS02

PO10 PO11 AI01 AI02 AI03 AI04 DS03 DS02 DS01 AI06 AI05 Padro Instituio
M4 1 0 M2 M1 5 4 3 2

DS01 5 DS13 4

DS07 DS06

DS12

3 2 1

DS03

DS05 DS04
DS04 0

DS11

DS10

DS05

DS09

DS06

Padro Instituio

DS08

DS07

M3

Padro Instituio

Workshop para Anlise dos Resultados

Validao e obteno de consenso sobre os resultados obtidos
Identificao e atribuio de prioridades Elaborao de sumrio executivo para apresentao Alta Administrao, com eventual sugesto de projetos de melhoria

Prximos Passos
Aps o Gap Analysis:
Avaliao de Custo/Benefcio dos eventuais Projetos de Melhoria Aprovao dos Projetos Desenvolvimento e Implementao Certificao Independente

Agradecemos sua ateno!

Mair Affonso Rangel Calvo

mair@madah.com.br

0xx11-3262-0688