Madah 2006 10 Cobit Intro e Gap[1]

Introdução ao COBITIntrodução ao COBITe e COBIT Gap AnalysisCOBIT Gap Analysis

Outubro 2006

Mair Affonso Rangel CalvoSócio/Diretor

Sumário

Apresentação– Histórico– O COBIT Hoje

Conceitos e Estruturação do COBIT

COBIT Gap Analysis (Metodologia

MADAH)

Apresentação

É cada vez mais importante, para o sucesso e sobrevivência de uma organização na nossa sociedade global de informação, o gerenciamento efetivo da informação e da respectiva tecnologia de informação (TI), considerando:

Apresentação (cont.)

a crescente dependência da informação e dos sistemas que a fornecem;

as crescentes vulnerabilidades e um amplo espectro de ameaças como “cyber-ameaças” e guerra de informações;

Apresentação (cont.)

o montante e o custo de investimentos atuais e futuros em informações e sistemas de informação; e

o potencial de tecnologias em mudar dramaticamente as organizações e práticas comerciais, criando novas oportunidades e reduzindo custos.

Histórico (um pouco de

Arqueologia... :)

“DNA” do

COBIT(+ de 40fontes...)

O COBIT hoje:O COBIT hoje:

Relatório de Status Relatório de Status GlobalGlobal

dadaGovernança de TIGovernança de TI

20042004

Relatório de Status Global da Governança de TI

Fonte: IT Governance Global Status Report - Excerpt

Pequisa publicada em 2004, efetuada em 2003 pela PwC sob orientação do ITGI / ISACA

335 entrevistados (níveis CEO e CIO)– 276 escolhidos aleatoriamente– 56 dentre os que adquiriram o COBIT

Principais Resultados

Mais de 93% reconhecem que a TI é importante para a estratégia da organização

As organizações padecem de problemas operacionais de TI

Os CIOs reconhecem a necessidade de melhorar a governança de TI


Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais de TI

Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar governança efetiva de TI


Os usuários do COBIT, embora não sejam numerosos, estão bastante satisfeitos

Mais de 93% reconhecem que a TI é importante para a estratégia da

organização

Há consenso mundial sobre a importância da TI na consecução da estratégia global das organizações, o que se observa na maioria dos segmentos

Paradoxalmente, a administração geral percebe a importância de TI um pouco mais do que a própria administração de TI

As organizações padecem de problemas operacionais de TI

Apenas 7% dos entrevistados não tiveram problemas com TI no ano passado

Falhas e incidentes operacionais e visão inadequada da performance de TI são frequentes, e mencionadas por cerca de 40% dos entrevistados

Os CIOs reconhecem a necessidade de melhorar a governança de TI

75% da comunidade de TI está ciente de que a TI tem problemas a serem sanados

Mais de 80% reconhece que é necessária governança de TI para saná-los

Apenas 40% responderam que pretendem adotar ou planejar medidas de governança de TI

Padrões de governança de TI são usados para alinhar a estratégia de TI e gerenciar os riscos operacionais

de TI

57% utilizam padrões (“frameworks”) para alinhar as estratégias de TI e da organização

53% os utilizam para gerenciar os riscos operacionais de TI

Padrões conhecidos ou usados:– Soluções internas ou de provedores– ISO 9000– COBIT

Boa governança de TI ajuda as organizações a agregar valor de TI e gerenciar os riscos de TI. O COBIT é a forma preferida para implementar

governança efetiva de TI

O COBIT é percebido como um importante padrão para a governança de TI por aqueles que estão familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)

Os usuários do COBIT, embora não sejam numerosos, estão bastante

satisfeitos

18% dos entrevistados conhecem o COBIT

30% das organizações que o conhecem efetivamente o utilizam

5% das organizações entrevistadas usam o COBIT

43% dos usuários entendem como de fácil implementação

25% entendem como algo difícil

O COBIT hoje:O COBIT hoje:

Pesquisa de Mercado Pesquisa de Mercado IPMIPM

Março / 2005Março / 2005

Realizada em 100 dentre as 2000 maiores empresas do Brasil

1,05 %

Conceitos e Conceitos e EstruturaçãoEstruturação

dodoCOBITCOBIT

Benefícios da TI X Riscos

Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar.

Entretanto, somente as organizações de sucesso

compreendem e gerenciam os riscos associados com a implementação de novas tecnologias.

Qual o papel do COBIT ?

Auxiliar a associação entre os riscos do negócio, as necessidades de controle e os aspectos tecnológicos.

Propiciar boas práticas através de uma matriz de domínios e processos estruturados de forma lógica e gerenciável.

Boas práticas

Consenso de especialistas, tendo sido pesquisadas e consolidadas pela ISACF – Information Systems Audit and Control Foundation

Fonte educacional para profissionais de controle

Boas práticas (cont.)

Padrão geralmente aceito e aplicável para boas práticas de controle e segurança de Tecnologia de Informação

Objetiva ser equivalente aos Princípios Contábeis Geralmente Aceitos

Missão do COBIT

Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informação, para uso cotidiano por administradores e auditores

Público alvo

Administradores: para os auxiliar na ponderação entre risco e investimentos em controles de TI;

Usuários: para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros; e

Público alvo (cont.)

Auditores de Sistemas: para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre controles internos

Definições

Controle : políticas, procedimentos, práticas e estruturas organizacionais projetados para prover razoável segurança de que os objetivos do negócio serão atingidos e de que eventos indesejados serão prevenidos ou detectados e corrigidos.

Definições (cont.)

Objetivo de Controle de TI : uma declaração do resultado desejado, ou propósito a ser atingido, pela implementação de procedimentos de controle numa atividade de Tecnologia de Informação em particular.

Documentos do COBIT

CONTROLOBJECTIVES

FrameworkExecutiveSummary

Implemen-tation

Tool Set

ManagementGuidelines

AuditGuidelines

Padrão aberto

Exclusivo para Associados

Estrutura do COBIT

4 Domínios 34 Macro-Objetivos ou

Processos 318 Objetivos Detalhados

M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente

DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação

AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças

PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade

• eficácia• eficiência• confidencialidade• integridade• disponibilidade• compliance• confiabilidade

• pessoas• sistemas aplicativos• tecnologia• instalações• dados

INFORMAÇÕES

PLANEJAMENTO EORGANIZAÇÃO

MONITORAÇÃO

AQUISIÇÃO EIMPLEMENTAÇÃO

OBJETIVOS DO NEGÓCIO

RECURSOS DE TI

PRODUÇÃO E SUPORTE

CCOBIOBITT

COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMÍNIOS

543210

Inexistente Inicial Repetitivo Definido Administrado Otimizado

Situação atual da organização

Padrão de mercado

Melhores práticas

Estratégia da organização

Escala do Modelo de Maturidade (EMM)

COBIT Gap AnalysisCOBIT Gap Analysis

(Metodologia MADAH)(Metodologia MADAH)

Gap Analysis Objetiva auxiliar os responsáveis pela TI a

identificar, de forma abrangente, rápida e econômica, como os macro controles de TI da Instituição estão posicionados em relação aos padrões esperados do mercado e/ou da própria Instituição

Metodologia baseada no

COBIT Framework 3rd Edition, 2000 e no

COBIT Management Guidelines, 2000

Etapas do Gap Analysis

Workshop com os gestores de TI para levantamento da situação atual dos controles

Entrevistas individuais com os gestores de TI para detalhamento da situação atual dos controles

Tabulação e Análise dos Aspectos Considerados

Opcional: Validação dos Resultados

Elaboração do Relatório

Workshop para Análise dos Resultados

Valid

ação Base: Control Objectives e/ou

Management Guidelines(318 Objetivos Detalhados e/ou204 Descrições Específicas da EMM +coleta de evidências)

3

?

Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)

SENÃO Executar Validação ( Resultado3 ) Situação Atual = Resultado3

Etapas do Cobit Gap Analysis(Metodologia MADAH)

Self

Assesm

en

t

1

2

Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM

?

Etapas obrigatórias

Etapa opcional

SE Optou = Sim Delta = | Resultado1 (-) Resultado2 | SE Delta =< 20 % Situação Atual = MAIOR (Resultado1, Resultado2)

Situação Atual = MENOR (Resultado1, Resultado2)

Exemplo de aplicação doCobit Gap Analysis

Self

Assesm

en

t

1 Base: Conceituação dos34 Macro Objetivos ou Processos +6 Descrições Genéricas da EMM

Obtenção das avaliações medianteworkshop com os responsáveis (em conjunto)

M1 monitorar os processosM2 avaliar a adequação do controle internoM3 obter certificação independenteM4 providenciar auditoria independente

DS1 definir níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviçosDS5 garantir segurança dos sistemasDS6 identificar e alocar custosDS7 educar e treinar usuáriosDS8 auxiliar e aconselhar usuários de TIDS9 gerenciar a configuraçãoDS10 gerenciar problemas e incidentesDS11 gerenciar dadosDS12 gerenciar instalaçõesDS13 gerenciar a operação

AI1 identificar soluçõesAI2 adquirir e manter software aplicativoAI3 adquirir e manter arquitetura tecnológicaAI4 desenvolver e manter procedimentos de TIAI5 instalar e certificar sistemasAI6 gerenciar mudanças

PO1 definir um plano estratégico de TIPO2 definir a arquitetura de informaçãoPO3 determinar a direção tecnológicaPO4 definir a organização e relacionamentos da TIPO5 gerenciar o investimento em TIPO6 comunicar metas e diretivas gerenciaisPO7 gerenciar recursos humanosPO8 garantir cumprimento de exigências externasPO9 avaliar riscosPO10 gerenciar projetosPO11 gerenciar qualidade

• eficácia• eficiência• confidencialidade• integridade• disponibilidade• compliance• confiabilidade

• pessoas• sistemas aplicativos• tecnologia• instalações• dados

INFORMAÇÕES

PLANEJAMENTO EORGANIZAÇÃO

MONITORAÇÃO

AQUISIÇÃO EIMPLEMENTAÇÃO

OBJETIVOS DO NEGÓCIO

RECURSOS DE TI

PRODUÇÃO E SUPORTE

CCOBIOBITT

COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMÍNIOS

Macro Objetivos

Macro Objetivo Quesitos da Informação Recursos de TI

PO01 P eficácia pessoas

Controle sobre o processo de TI de que satisfaça a exigência do negócio de S eficiência aplicativos

confidencialidade tecnologia

integridade instalações

disponibilidade dados

é atingido mediante compliance

confiabilidade

e leva em consideração

Definir um plano estratégico de TI

∙ definição de como a TI suporta os objetivos do negócio

∙ inventário de soluções tecnológicas e infraestrutura atual

∙ monitoração dos mercados de tecnologia

definir um plano estratégico de TI alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e necessidades de negócio para TI assim como assegurar seu atendimento

um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo

∙ a estratégia de negócios da empresa

∙ necessidade de patrocínio, suporte e revisão crítica da alta administração

∙ estudos de viabilidade tempestivos e conferência de seu realismo

∙ avaliações dos sistemas existentes

∙ posição da empresa no tocante a riscos, time-to-market e qualidade

Ponderação dosMacro Objetivos

Estágio

Ine

xis

ten

te

Inic

ial

Re

pe

titi

vo

De

fin

ido

Ad

min

istr

ad

o

Oti

miz

ad

o

RE

SU

LTA

DO

1

PO01 Definir um plano estratégico de TI S X 2PO02 Definir a arquitetura de informação S X 4PO03 Determinar a direção tecnológica S X 4PO04 Definir a organização e relacionamentos da TI S X 4PO05 Gerenciar o investimento em TI S X 4PO06 Comunicar objetivos e diretrizes da administração S X 4PO07 Gerenciar recursos humanos S X 4PO08 Garantia do cumprimento de exigências externas S X 4PO09 Avaliação de riscos S X 4PO10 Gerenciar projetos S X 4PO11 Gerenciar qualidade S X 1AI01 Identificar soluções S X 4AI02 Adquirir e manter software aplicativo S X 2

Ma

cro

Ob

jeti

vo

Descrição Ap

licá

ve

l?


Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)S

elf

Assesm

en

t

1

2


Obtenção das avaliações medianteentrevistas com os responsáveis (individuais)

Framework:Aspectos Considerados








confiabilidade

e leva em consideração


∙ definição de como a TI suporta os objetivos do negócio

∙ inventário de soluções tecnológicas e infraestrutura atual

∙ monitoração dos mercados de tecnologia



∙ a estratégia de negócios da empresa

∙ necessidade de patrocínio, suporte e revisão crítica da alta administração

∙ estudos de viabilidade tempestivos e conferência de seu realismo

∙ avaliações dos sistemas existentes

∙ posição da empresa no tocante a riscos, time-to-market e qualidade

Ponderação dosAspectos Considerados

Estágio

Inex

iste

nte

Inic

ial

Rep

etiti

vo

Def

inid

o

Ad

min

istr

ado

Otim

izad

o

PO01 Definir um plano estratégico de TI 2PO01 alcançar um equilíbrio ótimo entre oportunidades de tecnologia de informação e

necessidades de negócio para TI assim como assegurar seu atendimento

PO01 um processo de planejamento estratégico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpáveis de curto prazo

PO01 · a estratégia de negócios da empresa S X 0PO01 · definição de como a TI suporta os objetivos do negócio S X 1PO01 · inventário de soluções tecnológicas e infraestrutura atual S X 2PO01 · monitoração dos mercados de tecnologia S X 3PO01 · estudos de viabilidade tempestivos e conferência de seu realismo S X 2PO01 · avaliações dos sistemas existentes S X 2PO01 · posição da empresa no tocante a riscos, time-to-market e qualidade S X 3PO01 · necessidade de patrocínio, suporte e revisão crítica da alta administração S X 2

Mac

roO

bje

tivo

Descrição Ap

licáv

el?

PO

NT

UA

ÇÃ

O


Base: Framework(34 Macro Objetivos ou Processos + lista de 280 aspectos considerados +6 Descrições Genéricas da EMM)S

elf

Assesm

en

t

1

2


Apenas as etapas obrigatórias(neste exemplo)

A seguir, alguns modelos das saídas (resultados)

Quesitos da Recursos deInformação TI

efic

áci

ae

ficiê

nci

aco

nfid

en

cia

lida

de

inte

grid

ad

ed

isp

on

ibili

da

de

com

plia

nce

con

fiab

ilid

ad

e

pe

sso

as

ap

lica

tivo

s

tecn

olo

gia

inst

ala

çõe

s

da

do

s

PO01 Definir um plano estratégico de TI P S PO02 Definir a arquitetura de informação P S S S PO03 Determinar a direção tecnológica P S PO04 Definir a organização e relacionamentos da TI P S PO05 Gerenciar o investimento em TI P P S PO06 Comunicar Objetivos e Diretrizes da Administração P S PO07 Gerenciar recursos humanos P P PO08 Garantia do cumprimento de exigências externas P P S PO09 Avaliação de riscos P S P P P S S PO10 Gerenciar projetos P P PO11 Gerenciar qualidade P P P S

0

1

2

3

4

5PO01

PO02

PO03

PO04

PO05

PO06PO07

PO08

PO09

PO10

PO11

Padrão

Instituição

PO - PLANEJAMENTO E ORGANIZAÇÃO

PO01 - Definir um Plano Estratégico de TI








confiabilidade




· a estratégia de negócios da empresa S X 0· definição de como a TI suporta os objetivos do negócio S X 1· inventário de soluções tecnológicas e infraestrutura atual S X 2· monitoração dos mercados de tecnologia S X 3· estudos de viabilidade tempestivos e conferência de seu realismo S X 2· avaliações dos sistemas existentes S X 2· posição da empresa no tocante a riscos, time-to-market e qualidade S X 3· necessidade de patrocínio, suporte e revisão crítica da alta administração S X 2

Estágio

Inex

iste

nte

Inic

ial

Rep

etit

ivo

Def

inid

o

Ad

min

istr

ado

Oti

miz

ado

Descrição Ap

licáv

el?

PO

NT

UA

ÇÃ

O

PO11 - Gerenciar a Qualidade



Controle sobre o processo de TI de que satisfaça a exigência do negócio de P eficiência aplicativos


P integridade instalações



S confiabilidade

Gerenciar qualidade

gerenciar a qualidade atender as especificações do usuário de TI

planejamento, implementação e manutenção de padrões e sistemas de gerenciamento da qualidade pela organização, que deve adotar e aplicar uma metodologia que forneça distintas fases de desenvolvimento bem como produtos e serviços ("entregáveis") claramente definidos, explicitando responsabilidades

Estágio

Ine

xis

ten

te

Inic

ial

Re

pe

titi

vo

De

fin

ido

Ad

min

istr

ad

o

Oti

miz

ad

o

Descrição Ap

lic

áv

el?

PO

NT

UA

ÇÃ

O

· estabelecimento de uma cultura da qualidade S X 1· plano de qualidade S X 0· responsabilidades pela garantia da qualidade S X 0· práticas de controle de qualidade S X 1· metodologia de ciclo de vida do desenvolvimento de sistemas S X 2· teste e documentação de programas e sistemas S X 2· revisões e relatórios de garantia de qualidade S X 0· treinamento e envolvimento do usuário final e do pessoal de garantia da qualidade S X 1· desenvolvimento de uma base de conhecimentos de qualidade S X 2· "benchmarking" contra padrões de mercado S X 2

0

1

2

3

4

5PO01

PO02

PO03

PO04

PO05

PO06PO07

PO08

PO09

PO10

PO11

Padrão

Instituição

PO - PLANEJAMENTO E ORGANIZAÇÃO

0

1

2

3

4

5AI01

AI02

AI03

AI04

AI05

AI06

Padrão

Instituição

AI - AQUISIÇÃO E IMPLEMENTAÇÃO

0

1

2

3

4

5DS01

DS02

DS03

DS04

DS05

DS06

DS07DS08

DS09

DS10

DS11

DS12

DS13

Padrão

Instituição

DS - PRODUÇÃO E SUPORTE

0

1

2

3

4

5M1

M2

M3

M4

Padrão

Instituição

M - MONITORAÇÃO

COBIT GAP ANALYSISAvaliação Geral

0

1

2

3

4

5PO01

PO02PO03

PO04

PO05

PO06

PO07

PO08

PO09

PO10

PO11

AI01

AI02

AI03

AI04AI05

AI06DS01

DS02DS03

DS04

DS05

DS06

DS07

DS08

DS09

DS10

DS11

DS12

DS13

M1

M2M3

M4

Padrão

Instituição

Workshop para Análise dos Resultados

Validação e obtenção de consenso sobre os resultados obtidos

Identificação e atribuição de prioridades

Elaboração de sumário executivo para apresentação à Alta Administração, com eventual sugestão de projetos de melhoria

Próximos Passos

Após o Gap Analysis:

– Avaliação de Custo/Benefício dos eventuais Projetos de Melhoria

– Aprovação dos Projetos– Desenvolvimento e Implementação– Certificação Independente

Agradecemos sua atenção!

Mair Affonso Rangel [email protected]

0xx11-3262-0688

Madah 2006 10 Cobit Intro e Gap[1]

Documents

Transcript of Madah 2006 10 Cobit Intro e Gap[1]