COBIT (Control Objectives for Information and Related ... · Mestrado em Gestão estratégicas de...

Mestrado em Gestão estratégicas de OrganizaçõesDisciplina: Sistemas de Informação e Novas Tecnologias Organizacionais

Professor: M.Sc. Carlos Oberdan Rolim

COBIT (Control Objectives for

Information and Related Tecnology)

*** Créditos do material: Portal GSI (www.portalgsti.com.br) – Instrutor Fernando Palma

Provedor de

Tecnologia

Maturidade de TI

Provedor de

Serviços

Parceiro Estratégico

Tempo

GIETI

GSTI

Governança TI

GIETI: Gerenciamento de Infra-estrutura TIGSTI: Gerenciamento de Serviços de TI

Provedor de Tecnologia

.Busca Eficiência

.Independente do Negocio

.TI nível operacional

Provedor de serviços. Pessoas, processos e produtos. TI tática


.Busca crescimento doNegócio

.TI é integrada ao negócio

.TI Estratégica 3

A Importância do Setor de TI

A importância do setor de TI nas empresas

O que o setor de TI representa para a empresa?Re: depende da visão e necessidade que a empresa tem sob TI

TI TI

TI

TI

TI

TI

Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico

Área de atuação de TI dentro da empresa


Alinhamento entre TI e área de Negócio


Provedor de Serviços


TI Negócio

TI Negócio

NegócioTI


•TI é vista apenas como uma sustentação da operação da Empresa•O setor é visto como um custo•Orçamentos são produzidos em comparação com o mercado•Gerentes são técnicos e têm visão interna

Provedor de Serviços

•TI é vista como um serviço prestado•Os processos de TI devem responder a processos de negócio•Busca eficiência dos processos, através de cumprimento de metas•Orçamentos são baseados nas metas estabelecidas para o setor


•TI é vista como oportunidade de crescimento•O setor é visto como investimento•Busca crescimento do negócio e orçamentos são baseados e seus objetivos•Diretores de TI ou CIO´s são solucionadores de problemas do negócio


http://www.portalgsti.com.br/2009/09/principais-desafios-da-ti-iii.html

http://www.portalgsti.com.br/2009/10/qual-diferenca-entre-eficiencia-e.html

Alguns possíveis impactos da ineficiência de TI

Perda de Oportunidades de Crescimento

Perda de Credibilidade

Multas contratuais

Perda de Lucros

Fim da empresa


Os desafios da TI

Alinhar os objetivos de TI aos objetivos de Negócio

Entregar valor

Demonstrar o Retorno de Investimento (ROI)

Diminuir Custos

Gerenciar Segurança da Informação

http://www.portalgsti.com.br/web/20140531062413/http:/www.portalgsti.com.br/www.portalgsti.com.br?cx=partner-pub-3730161773455629:4360237103&cof=FORID:10&ie=UTF-8&q=Seguran%C3%A7a+da+Informa%C3%A7%C3%A3o&sa=Pesquisar

Os desafios da TI

Gerenciar a complexidade da Infra Estrutura de TI

Entregar projetos dentro do custo, tempo e qualidade

Gerenciar fornecedores externos

Manter a disponibilidade dos serviços

Estar em conformidade com regulamentos

http://www.portalgsti.com.br/web/20140531062413/http:/www.portalgsti.com.br/www.portalgsti.com.br?cx=partner-pub-3730161773455629:4360237103&cof=FORID:10&ie=UTF-8&q=fornecedores+&sa=Pesquisar

Os desafios da TI

Para conviver com estes desafios o setor de TI precisa:

Definir metas alinhadas com as metas de negócio

Priorizar recursos e projetos de TI

Dirigir e controlar processos para alcançar metas

Definir papéis e responsabilidades

Manter conhecimento técnico e de boas práticas de gestão

O que é Governança de TI

Consiste de liderança, estruturas organizacionais e processos que garantam que a organização de TI suporte e amplie as estratégias e objetivos da empresa

A Governança de TI é de responsabilidade da alta administração da empresa

Faz parte da Governança Empresarial, que por sua vez subdivide-se em Governança de Negócios e Governança Coorporativa

A Governança de TI deve estar alinhada tanto a Governança de Negócios (metas de performance) quanto a Governança Coorporativa (requisitos obrigatórios e geração de valor)


Tipos de Governança

Governança Empresarial

Governança Coorporativa

Governança de Negócios

Governança de TI


Tipos de GovernançaGovernança de Negócios

•Visa cumprir as metas de performance do negócio da empresa•Preocupa-se com Geração de Valor•Busca crescimento da empresa


•Visa o cumprimento de requisitos obrigatórios•Preocupa-se com a conformidade em relação a legislação e regulamentos internos e externos•Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos

Governança de TI

•Preocupa-se em atender todos os objetivos empresariais•Preocupa-se com conformidade e performance•É parte da Governança Empresarial, mas pode ser também mencionada como parteDa Governança Coorporativa

Tipos de Governança

COSO

BSC


Modelos e frameworks utilizados


Governança de Negócios

Governança de TI


Princípios da Governança de TI (Segundo o framework do COBIT)

Direção

Controle

Responsabilidade

Prestação de contas

Alinhamento das atividades de TI

Motivação do COBIT

Meados de 2001, ocorreram escândalos coorporativos:

Enron – maior empresa de energia dos EUA no ramo energético;

• Série de denuncias fraudes fiscais, ocasionando no fechamento da empresa com dívida de 13 bilhões;• Muitas empresas e investidores faliram junto;

Worldcom – 20 mil demitidos• A empresa declarou como investimento o que era na realidade uma despesa, distorcendo os ganhos financeiros da empresa para atrair investidores;


O senador americano Paul Sarbanes e o deputado Michael Oxley decretam decretaram o ato Sarbanes-Oxley (2002);

A lei se aplica a qualquer empresa americana de capital aberto (ações negociadas na bolsa de valores);

A lei responsabiliza criminalmente os Executivos das empresas;

Obriga as empresas a exercer controles financeiros e portanto aplicar uma estrutura de Governança Coorporativa;

O framework recomendado para cumprir os requisitos, através de uma governança coorporativa é o COSO

Sarbanes-Oxley


Para manter os controles efetivos sob a informação financeira a organização precisa garantir requisitos da informação, tais como:

EficáciaEficiênciaIntegridadeDisponibilidadeConfiabilidade

Sarbanes-Oxley Governança de TI

Não é possível manter os requisitos da informação sem exercer controles sob a tecnologia da informação : sistemas, infra-estrutura, bancos de dados ;

Áreas de foco da Governança de TI

Áreas de foco da Governança de TI, segundo o COBIT:

Gerenciamentode recursos

DomíniosGovernança

de TI





de TI

Consiste em alinhar os objetivos de TI aos objetivos de Negócio;

Para tanto, é preciso que o Plano Estratégico de TI seja baseado no Plano Estratégico de Negócio;

Foco em soluções que contribuam para o crescimento da empresa ou cumprimento de requisitos;

Pode ser utilizado o BSC para desdobrar a estratégia da organização;

http://www.portalgsti.com.br/web/20140531062413/http:/www.portalgsti.com.br/www.portalgsti.com.br?cx=partner-pub-3730161773455629:4360237103&cof=FORID:10&ie=UTF-8&q=Plano+Estrat%C3%A9gico+de+TI&sa=Pesquisar

http://www.portalgsti.com.br/2014/03/governanca-bsc-cobit-itl.html





de TI

Foca na otimização de custos para fornecer maior valor;

Busca a compreensão dos níveis de serviço necessários para entregar valor a área de negócio;





de TI

Requer Conscientização dos gestores da empresa e compreensão clara do apetite para riscos;

Foco nos planos de recuperação para manter continuidade do negócio;

Exige transparência, avaliação e conscientização contínua;





de TI

Foca na otimização da alocação de recursos;

Maximização da eficiência dos recursos;

Inclui preocupações com treinamentos;

Engloba ainda controle de serviços terceirizados;





de TI

Acompanha e monitora a implantação da estratégia, condução dos projetos, uso dos recursos e desempenho dos processos;

Pode ser utilizado um BSC de TI para definir e acompanhar metas;

Inclui realização de auditorias;

O que é COBIT

COBIT Significa Control Objectives for Information and Related Tecnology

Traduzindo: Objetivos de Controle para a Informação e Tecnologia Relacionada

É baseado em práticas utilizadas por organizações que foram reunidas e desenvolvidas em um framework baseado em controles, pela ITGI (antes ISACA)

ITGI: IT Governance Institute

ISACA: Information Systems Audit and Control Association

O que é COBIT

Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org

Adotado mundialmente

Inicialmente era um modelo voltado para auditoria, hoje é considerado um modelo de boas práticas apresentado como um framework de Governança de TI

O COBIT pode ser utilizado para alinhar os objetivos de negócio (obtidos através de planejamento estratégico) aos objetivos de TI

Fornece apoio a Governança de TI, Gerenciamento de projetos de TI e de Serviços de TI

Pode ser utilizado para qualquer empresa, qualquer tamanho

http://www.isaca.org/

O que NÃO é o COBIT

Não é uma norma

Não é considerado um modelo de auditoria

O que é COBIT

“Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI

atualizado e internacionalmentereconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios,

profissionais de TI e profissionaisde avaliação."

Missão do COBIT (ITGI)

O que é COBIT

Benefícios

É aceito por órgãos reguladoresÉ compatível com outros modelos e frameworks de qualidade e governança de TI e coorporativaFacilita auditorias internas e externasPode ser utilizado como passo inicial para a aplicação de projetos de governança de TIBaseado em praticas vividas, experimentadas e documentadas por especialistas

O que é COBIT

Benefícios

Especialistas em gestão e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).

Características

Principais Características do COBIT:

Focado no Negócio

Orientado a Processos

Baseado em Controles

Orientado por Métricas

Características

O COBIT deve ser utilizado “de fora para dentro”, ou seja, da área de Negócio para a área de TI;

Deve ser baseado em objetivos de Negócio da empresa

Os Objetivos de negócio incluem: requisitos obrigatórios e requisitos de negócio (regulamentos e performance)

Os processos buscam traduzir os objetivos de processo em objetivos de TI

Focado no Negócio




Características

O COBIT divide os objetivos de controle em 34 processos;

Os processos estão distribuídos em 04 domínios

Os domínios são: 1. Organização e Planejamento2. Aquisição e Implementação3. Entrega e Suporte4. Monitoração e Avaliação

Focado no Negócio




Características

Para cada processo de TI, existem objetivos de controle definidos

São ao todo 210 objetivos de controle

Cada objetivo de controle contém, ainda, práticas de controle para auxiliar sua utilização

Focado no Negócio




Características

Sugere um conjunto de indicadores que permitem medir o desempenho das atividades

São Indicadores de Performance e Indicadores e Meta (eficiência e eficácia)

Focado no Negócio




CMMI

Características

Foco do COBIT

O COBIT foca em “O que precisa ser alcançado” em vez de “Como alcançar”. Para complementar o COBIT, existem outros padrões de

gestão e boas práticas que podem ser utilizados.

ISO 20.000

ITILBS

25999

PMBOK

ISO 9001

PRINCE2

COBITO QUÊ?

COMO?ISO

27002

Características

Framework de Controle

O COBIT suporta os 05 requisitos que um framework de controle deve ter

Focado no Negócio


Linguagem em comum

Requisitos Regulatórios

Aceitabilidade Geral

Características

Foi projetado para ser utilizado por

Gestores Executivos:

para garantia de cumprimento de requisitos, gestão de risco e controle da performance de TI

Gestores de Negócio e Usuários:

para obterem transparência e certificarem dos controles fornecidos pelo setor de TI

Gestores de TI:

para demonstrar que os serviços de TI atendem as expectativas de Negócio

Auditores de TI:

para contribuir com modelos de auditoria e subsidiar opiniões

Características

Premissa do COBIT

COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo

de negócio com o fim de atingir-se os objetivos do negócio

Recursos de TI

Processos de TI Processos de Negócio

Informação

Metas

Gerenciadospor

Fornecem

Para

Para atingir

Estrutura do COBIT

Os componentes chave da estrutura do COBIT

Critérios da Informação

Pro

cess

os

de

TI

Re

curs

os

de

TI

Domínios

Processos

Atividades

Ap

licaç

õe

s

Info

rmaç

ão

Infr

aest

rutu

ra

Pess

oas

Estrutura do COBIT

Os Processos de TI

Planejar e Organizar

Adquirir e Implementar

Monitorar e Avaliar

Entregar e Suportar

Os quatro Domínios do

COBIT

Estrutura do COBIT

É o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI


É o domínio onde deve ser desenvolvido o Plano Estratégico de TI, alinhado ao Plano Estratégico de Negócio

Garante que toda a organização conheça as metas estratégicas

Estrutura do COBIT

Processos:Planejar e Organizar

PO1 Definir um Plano Estratégico de TIP02 Definir a Arquitetura da InformaçãoPO3 Determinar o Direcionamento TecnológicoPO4 Definir os Processos, Organização e osRelacionamentos de TIPO5 Gerenciar o Investimento de TIPO6 Comunicar as Diretrizes e Expectativas da DiretoriaPO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a QualidadePO9 Avaliar e Gerenciar os Riscos de TIPO10 Gerenciar Projetos

Estrutura do COBIT

Os Processos de TI



Monitorar e Avaliar

Entregar e Suportar


COBIT

Estrutura do COBIT

É o domínio que tem o foco no desenvolvimento ou aquisição da solução


Garante que mudanças necessárias em sistemas serão tratadas

Cobre também a validação das soluções implantadas e modificações

http://www.portalgsti.com.br/web/20140531062413/http:/www.portalgsti.com.br/www.portalgsti.com.br?cx=partner-pub-3730161773455629:4360237103&cof=FORID:10&ie=UTF-8&q=mudan%C3%A7as&sa=Pesquisar

Estrutura do COBIT

Processos:Adquirir e Implementar

AI1 Identificar Solução AutomatizadasAI2 Adquirir e Manter Software AplicativoAI3 Adquirir e Manter Infraestrutura de TecnologiaAI4 Habilitar Operação e UsoAI5 Adquirir Recursos de TIAI6 Gerenciar MudançasAI7 Instalar e Homologar Soluções e Mudanças

Estrutura do COBIT

Os Processos de TI



Monitorar e Avaliar

Entregar e Suportar


COBIT

Estrutura do COBIT

É o domínio que mantém foco na operação, comunicação e funcionamento dos serviços

Entregar e Suportar

Deve garantir que os serviços de TI estão alinhados ao negócio conforme planejado e desenvolvido nos domínios anteriores

Deve trabalhar de forma a otimizar custos, treinar equipe e manter a estabilidade e qualidade dos serviços

Estrutura do COBIT

Processos:Entregar e Suportar

DS1 Definir e Gerenciar Níveis de ServiçosDS2 Gerenciar Serviços de TerceirosDS3 Gerenciar Capacidade e DesempenhoDS4 Assegurar Continuidade de ServiçosDS5 Assegurar a Segurança dos ServiçosDS6 Identificar e Alocar CustosDS7 Educar e Treinar os UsuáriosDS8 Gerenciar a Central de Serviço e os IncidentesDS9 Gerenciar a ConfiguraçãoDS10 Gerenciar os ProblemasDS11 Gerenciar os DadosDS12 Gerenciar o Ambiente FísicoDS13 Gerenciar as Operações

Estrutura do COBIT

Os Processos de TI



Monitorar e Avaliar

Entregar e Suportar


COBIT

Estrutura do COBIT

É o domínio que mantém foco na avaliação constante dos processos de TI

Monitorar e Avaliar

Este domínio endereça o gerenciamento de desempenho e Governança de TI

Responsável por monitorar os controles internos

Estrutura do COBIT

Processos:Monitorar e Avaliar

ME1 Monitorar e Avaliar o DesempenhoME2 Monitorar e Avaliar os Controles InternosME3 Assegurar a Conformidade com Requisitos ExternosME4 Prover a Governança de TI

Estrutura do COBIT



Pro

cess

os

de

TI

Re

curs

os

de

TI

Domínios

Processos

Atividades

Ap

licaç

õe

s

Info

rmaç

ão

Infr

aest

rutu

ra

Pess

oas

Estrutura do COBIT

Os recursos de TI precisam ser gerenciados por processos para gerar informação aos processos de negócio que buscam atingir aos objetivos

Aplicativos

•Sistemas de Informação para processar as informações

Informações

•Dados que são processados por todos os sistemas de informação

Infraestrutura

•Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede

Pessoas

•Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os serviços

Estrutura do COBIT



Pro

cess

os

de

TI

Re

curs

os

de

TI

Domínios

Processos

Atividades

Ap

licaç

õe

s

Info

rmaç

ão

Infr

aest

rutu

ra

Pess

oas

Estrutura do COBIT

Requisitos do Negócio para a informação

• Qualidade (relacionado a SLA)

• Entrega (relacionado a tempo)

• Custo

Requisitos da Qualidade

• Eficácia e Eficiência operacional

• Confiabilidade da Informação

• Cumprimento de regulamentos

Requisitos Fiduciários

• Confidencialidade

• Integridade

• Disponibilidade

Requisitos de Segurança

Estrutura do COBIT

Critérios da Informação do COBIT para atender ao negócio

• Eficácia

• EficiênciaRequisitos da

Qualidade

• Conformidade

• ConfiabilidadeRequisitos Fiduciários

• Confidencialidade

• Integridade

• Disponibilidade


Estrutura do COBIT

Requisitos de Qualidade

• Eficácia está relacionado com atingir ao objetivo.

• Informação eficaz é aquela que é entregue de um modo correto, consistente e útil

Eficácia

• Capacidade de atingir o objetivo com a melhor performance possível

• Pode estar relacionado com menor tempo ou custo e esforço (recursos)

Eficiência

Estrutura do COBIT

Requisitos Fiduciários

• Disponibilizar informações que comprovem o cumprimento dos regulamentos

Conformidade

• Informação confiável é a informação livre de falhas

• Informação apropriadaConfiabilidade

Estrutura do COBIT


• Informação disponível apenas a quem tem direito

Confidencialidade

• Exatidão da informaçãoIntegridade

• Capacidade da informação de estar disponível no momento que requisitadaDisponibilidade

COBIT (Control Objectives for Information and Related ... · Mestrado em Gestão estratégicas de...

Documents

Transcript of COBIT (Control Objectives for Information and Related ... · Mestrado em Gestão estratégicas de...