1
GOVERNANÇA DE TI
CobiTControl Objectives for Information and
related Technology
SANDRO SERVINO
Escopo da Governança de TIO escopo da Governança de TI pode ser classificado em cinco áreas.
Alinhamento Estratégico
O alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio.
A questão chave é verificar se os investimentos da empresa em TI estão em harmonia com os objetivos estratégicos da empresa e, ainda, se está desenvolvendo as capacidades necessárias para entregar valor ao negócio.
Entrega de Valor
Entrega do serviço/produto com uma qualidade apropriada, com prazo e custo aceitáveis, o qual deve atingir os benefícios que foram prometidos.
Para uma entrega de valor de TI efetiva ser alcançada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.
Gerenciamento de Riscos
O Gerenciamento de Riscos se refere ao tratamento de incertezas.Enquanto o objetivo da entrega de serviços é criar valor, o gerenciamento de riscos busca preservar valor.
Gerenciamento de Recursos
Assegurar que existe capacidade para suportar as atividades do negócio
Otimizar custos Otimizar o uso dos
recursos disponíveis Outsourcing
Monitoração de DesempenhoSe não existir nenhuma forma de medir e monitorar as atividades de TI, não é possível governar a TI e assegurar o seu alinhamento, o valor entregue, o gerenciamento dos riscos nem o uso adequado dos recursos.
Se você não pode medir o processo, você não pode gerenciá-lo.
O que é CobiT? O CobiT (Control Objectives for Information
and Related Tecnology) é um framework que fornece as melhores práticas para o controle e o gerenciamento de processos de TI.
Diz o que deve ser feito, mas não como fazer.
Foco no negócio Orientado a processos Padrão aceito Linguagem comum Requisitos regulatórios
“COBIT são Boas Práticas com o foco maior no controle e não na execução. Essas práticas vão ajudar a otimizar investimentos em TI, assegurar a prestação de serviços e fornecer uma medida para identificar o que está sendo feito de errado nos processos envolvidos.” ISACA
A ISACA (Information Systems Audit and Control Association) é a entidade que criou COBIT juntamente com o ITGI (IT Governance Institute).
50.000 membros da ISACA / + 140 paises
Evolução
1996Primeira Edição do CobiT
A ISACA (Information System Audit and Control Association - www.isaca.org) lança um conjunto de objetivos de controle para as aplicações de negócio.
1998Segunda Versão do CobiT
Inclui uma ferramenta de suporte à implementação e a especificação de objetivos de controle de alto nível e detalhados.
2000Terceira Versão do CobiT
Inclui normas e guias associadas à gestão. O ITGI (IT Governance Institute - www.itgi.org) torna-se o principal editor do framework.
2002 Sarbanes-Oxley Act
A lei Sarbanes-Oxley for aprovada. Este acontecimento teve um impacto significativo na adoção do CobiT nos EUA e nas empresas globais que lá atuam.
2005 Quarta Versão do CobiTMelhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.
O Framework
Componentes do CobiT
Em resumo, os recursos de TI são gerenciados pelos processos de TI para entregarem as informações para a área de negócios de acordo com os requerimentos do negócio. Este é o princípio básico do modelo CobiT.
Recursos de TI Aplicações
São os sistemas automatizados e procedimentos manuais.
Informação É o dado, em todas as suas formas.
Infra-estrutura É tudo o que é necessário para o
funcionamento das aplicações. Pessoas
Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços.
Processos de TI Domínios
Planejamento e Organização Aquisição e Implementação Entrega e Suporte Monitoramento e Avaliação
Processos 34 Processos
Atividades 210 Objetivos de Controle Detalhados
Requisitos de NegócioPara satisfazer os objetivos de negócio, as informações precisam estar em conformidade com critérios chamados de requisitos de negócio (critérios de informação).
- Eficácia- Eficiência- Confidencialidade- Integridade- Disponibilidade- Conformidade- Confiabilidade
Análise de GAPAuxilia os gestores de TI a identificar como estão posicionados os macrocontroles de TI da organização em relação aos padrões de mercado e/ou em relação às suas próprias expectativas.
Relacionamento com outros padrões
O CobiT permite a integração desses modelos e conjuntos de melhores práticas de mercado
Visão Geral
Objetivos de Controle
“Definição de determinados objetivos ou resultados a serem obtidos ao se implementar procedimentos de controle em uma determinada atividade de TI.”
“Declaração do resultado que eu quero alcançar, pela implementação dos meus controles.”
Domínio de Planejamento e OrganizaçãoEste domínio cobre estratégias e táticas, e se preocupa com a melhor forma com que a TI pode contribuir para atingir os objetivos do negócio. Além disto, a realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas.
Estratégias e Táticas Visão Estratégica Organização e
Infraestrutura
Domínio de Aquisição e Implementação
Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas aos processos de negócio. O domínio de Aquisição e Implementação cobre também mudanças e manutenções nos sistemas existentes para assegurar que eles operem sem interrupções.
Soluções de TI Mudanças e Manutenções
Domínio de Entrega e Suporte
Entrega de serviços solicitados
Configuração dos processos de suporte
Segurança
Esse domínio se preocupa com as entregas reais dos serviços requeridos, que abrangem também aspectos de segurança e continuidade, além de treinamento.
Domínio de Monitoramento e Avaliação
Este é o domínio que controla os processos de TI que devem ser avaliados regularmente quanto a aspectos de qualidade e conformidade. Avaliação regular, entrega de garantias Controles Medição de Performance
Processos – Planejamento e Organização
PO1 – Definir um Plano Estratégico de TI PO2 – Definir a Arquitetura da Informação PO3 – Determinar a Direção Tecnológica PO4 – Definir os Processos de TI,
Organização e Relacionamento PO5 – Gerenciar o Investimento de TI PO6 – Comunicar os Objetivos e a Direção
do Gerenciamento PO7 – Gerenciar os Recursos Humanos de TI PO8 – Controlar a Qualidade PO9 – Avaliar e Gerenciar os Riscos de TI PO10 – Gerenciar Projetos
Processos – Aquisição e Implementação
AI1 – Identificar Soluções Automatizadas AI2 – Adquirir e Manter Softwares
Aplicativos AI3 – Adquirir e Manter Infraestrutura de
Tecnologia AI4 – Habilitar Operação e Uso AI5 – Adquirir Recursos de TI AI6 – Gerenciar Mudanças AI7 – Instalar e Validar Soluções e Mudanças
Processos – Entrega e Suporte DS1 – Definir e Gerenciar Níveis de Serviços DS2 – Gerenciar Serviços Terceirizados DS3 – Gerenciar Desempenho e Capacidade DS4 – Assegurar Continuidade do Serviço DS5 – Garantir Segurança dos Sistemas DS6 – Identificar e Alocar Custos DS7 – Educar e Treinar Usuários DS8 – Gerenciar Central de Serviços e Incidentes DS9 – Gerenciar Configuração DS10 – Gerenciar Problemas DS11 – Gerenciar Dados DS12 – Gerenciar o Ambiente Físico DS13 – Gerenciar Operações
Processos – Monitoramento e Avaliação
ME1 – Monitorar e Avaliar o Desempenho de TI
ME2 – Monitorar e Avaliar os Controles Internos
ME3 – Assegurar o Cumprimento de Normas Regulamentares
ME4 – Prover Governança de TI
Atividades dos processos e tabela RACI
Responsible (Responsável) Accountable (Deve prestar contas) Consulted (Deve ser consultado) Informed (Deve ser informado)
Modelo de Maturidade 0 - Inexistente — Não há um processo reconhecido. 1 - Inicial/Ad Hoc — Existe a evidência, porém não
há processo padrão. 2 – Repetido, mas intuitivo — Os mesmos
procedimentos são seguidos por diferentes pessoas, mas não há treinamento ou comunicação de processos padrões.
3 - Processo Definido — Processos são padronizados, documentados e comunicados através de treinamento.
4 - Gerenciado e Medido — Processos medidos e gerenciados. Ações são realizadas quando o processo não está sendo efetivo.
5 - Otimizado — Processos são refinados em nível de boas práticas. Baseia-se nos resultados de melhoria contínua e comparação de maturidade com outras empresas.
Modelos de MaturidadeModelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as práticas da empresa com a indústria e padrões internacionais.
Avaliando os Processos de TI
Documento Relacionado com o CobiT
COBIT PORTUGUES http://www.isaca.org/Knowledge-C
enter/cobit/Documents/cobit41-portuguese.pdf
Certificações importantes para auditores (reconhecida mundialmente) :
Cobit Foundation e CISA - Certified Information Systems
Auditor
Top Related