Upload
internet
View
114
Download
3
Embed Size (px)
Citation preview
Governança de TI: O que é COBIT ?
Agenda
Governança de TI Metodologia COBIT Relacionamento do COBIT com os
modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências
Governança de TI De acordo com o IT Governance
Institute (2005)“A governança de TI é de responsabilidade de alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização.”
Governança de TI Fatores motivadores da Governança de TI
Governança de TI
Ambiente deNegócios
Marcos deRegulação
Dependência doNegócio emRelação à TI
Segurança daInformação
IntegraçãoTecnológica
Governança de TI Framework para Gerenciamento de TI
A Governança de TI, quando implementada de forma integrada:
Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnológicos e suas informações transformando-as em maximização de benefícios, oportunidades de negócio e vantagem competitiva no mercado.
A estrutura do COBIT- Control Objectives for Information and Related Technology – foi idealizada de forma a atender às necessidades de controle da organização relacionadas à Governança de TI.
Histórico do COBIT
O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado à ISACA).
Em 1998, foi publicada a sua 2ª edição, contendo uma revisão nos objetivos de controle de alto nível e detalhados, e mais um conjunto de ferramentas e padrões para implementação.
A 3ª edição foi publicada em 2000 pelo IT Governance Institute ( ITGI).
Histórico do COBIT
O modelo evoluiu novamente em 2005 para a versão 4.0, através de práticas e padrões mais maduros.
O COBIT está em conformidade com as regulamentações, do foco mais acentuado na governança de TI, nos níveis mais elevados e da ampliação da sua abrangência para um público mais heterogêneo (gestores, técnicos, especialistas e auditores de TI).
COBIT 4.1 -2007
Público Alvo do COBIT
Gestão Executiva
Gestão de Negócios
Gestão de TI
Auditores
Objetivo do COBIT Contribuir para o sucesso da entrega de
produtos e serviços de TI, a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execução.
Focos da Governança de TI, na visão do COBIT
Estrutura do COBIT Consiste de um conjunto de 210
Controles, organizados em 34 Processos que são agrupados em 4 Domínios, aplicáveis aos sistemas e à TI.
Principais Características Foco nos requisitos do negócio Orientação para uma abordagem de
processos Utilização de mecanismos de controles Direcionamento para a análises das
medições e indicadores de desempenho obtidos ao longo do tempo
Estrutura do COBIT Foco no Negócio
Recursos de TI Aplicações, Informação, Infra-estrutura e Pessoas
Critérios de Controle Eficiência,Eficácia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulações( Compliance) e Confiabilidade.
Planejamento e Organização
Aquisição e Implementação
Entrega e Suporte
Monitoração e Avaliação
Estrutura do COBIT
Controle através de objetivos Os objetivos de controle do COBIT procuram atestar
como cada processo faz uso dos recursos de TI para atender de forma primária ou secundária cada requerimento do negócio em termos de informação, cobrindo todos os seus aspectos:
Primário (P) – Indica o nível no qual o objetivo de controle definido tem impacto direto no critério de informação.
Secundário (S) – Indica o nível no qual o objetivo de controle definido apenas satisfaz o critério de informação, podendo ser em pouca extensão ou inclusive indiretamente.
Não Preenchimento – Poderia ser aplicável, todavia outro critério de avaliação é mais adequado a este processo.
Estrutura do COBIT
Controle através de objetivos
Objetivos de ControlePO9 – Avaliar e Gerenciar os Riscos de TI
PO9 – Avaliar e Gerenciar os Riscos de TI
Controle sobre o processo de TI de Avaliar e gerenciar os Riscos de Ti que satisfaça a exigência do negócio de Analisar e comunicar os riscos de TI e seu potencial impacto sobre os objetivos
e processos do negócio por focalizar um
Desenvolvimento de um framework de gerenciamento de risco que está integrado ao negócio e o desenvolvimento de um framework de riscos operacionais, riscos de avaliação, mitigação de riscos e comunicação de riscos residuais.
Objetivos de ControlePO9 – Avaliar e Gerenciar os Riscos de TI
é atingido mediante• Garantindo que o gerenciamento de risco está totalmente embutido no processo
de gerenciamento, internamente e externamente, e consistentemente aplicado;• Avaliação da performance dos riscos;• Recomendação e comunicação dos planos de ação para correção dos riscos.
e medido por
• Percentual de objetivos críticos de TI cobertos pela avaliação de riscos;• Percentual de riscos de TI críticos identificados com planos de ação desenvolvidos;• Percentual de plano de ação de gerenciamento de riscos aprovados para
implementação.
Objetivos de ControlePO9 – Avaliar e Gerenciar os Riscos de TI
Objetivos de Controles detalhados do PO9: PO9.1 - Alinhamento do Gerenciamento de
Riscos de Negócio e TI. PO9.2 - Estabelecimento do Contexto dos
Riscos. PO9.3 - Identificação de eventos. PO9.4 - Aceitação de Riscos. PO9.5 - Resposta aos Riscos. PO9.6 - Manutenção e Monitoração do Plano
de Ação de Riscos.
Estrutura do COBIT
Os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos.
Cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados
Os componentes do COBIT são utilizados para fazer com que a TI seja orientada aos objetivos do negócio e cumpra seu papel na instituição
Estrutura do COBIT Conteúdo dos processos de TI
Objetivos de controle de alto nível Área foco de governança, Requisitos de
negócio( primário, secundário ou não aplicável) Objetivos de controle detalhado
Representando as atividades que os decompõe Diretrizes para Gerenciamento
Entradas e saída, Matriz de responsabilidades, Metas e Indicadores-chave de metas e desempenho.
Modelo de Maturidade Utilizado para avaliar o processo em relação aos
benchmarcks preestabelecidos.
COBIT- Componentes Inter-relacionados
Negócio
Processos de TI
Diretrizes para
Auditoria
Objetivos de Controle
Práticas de Controle
Metas das Atividades
KPI KGIModelos de Maturidade
requisitos informação
Med
idos
por
Controlados por
Implem
entad
o
com
Auditados através de
foco
em
des
empe
nho
foco
s nas
saíd
as foco na m
aturidade
eficie
nte
s e e
fica
zes
atra
vés d
eTr
aduz
idos
par
a
Estrutura do COBIT Modelos de Maturidade
Nível 0 (Inexistente): Processos de gestão não são aplicados;
Nível 1 (Inicial): Processos são esporádicos e desorganizados;
Nível 2 (Repetitivo): Processos seguem um padrão de regularidade;
Nível 3 (Definido): Processos são documentados e comunicados;
Nível 4 (Gerenciado): Processos são monitorados e medidos;
Nível 5 (Otimizado): Boas práticas são seguidas e otimizadas.
Estrutura do COBIT Metas e medições de desempenho
Indicadores-Chave de Metas (KGIs) Definem as medições que informam à
gerência se um processo de TI atingiu os objetivos de negócio;
Indicadores-Chave de Desempenho (KPIs)
Definem as medições que informam à gerência o quanto os processos de TI estão sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negócio.
Fatores Críticos de Sucesso Define as questões ou ações mais
importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.
Estrutura do COBIT
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos de TI com o objetivo de negócio de suportar decisões da administração através do atingimento dos objetivos de TI e fazer frente às ameaças mediante a redução da complexidade, o aumento da objetividade e a identificação de importantes fatores de decisão. 0 Inexistente A avaliação de risco para processos
e decisões de negócio não ocorre. A organização não considera os impactos do negócio associados com as vulnerabilidades da segurança e com as incertezas do projeto do desenvolvimento. A gerência de risco não foi identificada como relevante para adquirir soluções de TI e entrega de serviços de TI.
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
1 Inicial A organização está ciente de suas responsabilidades e obrigações legais e contratuais, mas considera os riscos de TI de uma maneira ad hoc, sem seguir processos ou políticas definidas. As avaliações informais do projeto de risco ocorrem como determinado por cada projeto. As avaliações de risco provavelmente não são identificadas especificamente dentro de um projeto planejado ou são atribuídas aos gerentes específicos envolvidos no projeto.......
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
2 Repetível mas Intuitivo Há emergente compreendimento que riscos de TI são importantes e necessários serem considerados. Alguma abordagem à avaliação de risco existe, mas o processo é ainda imaturo e em desenvolvimento. A avaliação está geralmente em um alto-nível e é tipicamente aplicada somente aos projetos principais.....
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
3 Processo Definido Uma ampla política de gestão de risco na organização define quando e como conduzir as avaliações de risco. A avaliação de risco segue um processo definido que está documentado e disponível a toda a equipe de funcionários treinada. As decisões para seguir o processo e para receber o treinamento são deixadas à discrição do indivíduo.....
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
4 Gerenciado e Medido A avaliação do risco é um procedimento padrão e as exceções para seguir o procedimento estão sendo observadas pela gerência de TI. É provável que a gestão de risco de TI é uma função definida da gerência com nível de responsabilidade sênior. O processo é avançado e o risco é avaliado no nível do projeto individual e também regularmente no que diz respeito a operação de TI por toda a parte......
Diretrizes de GerenciamentoPO9 – Avaliar e Gerenciar os Riscos de TI
5 Otimizado A avaliação de risco foi desenvolvida ao estágio onde um amplo processo estruturado na organização é reforçado, seguido regularmente e bem controlado. O brainstorming e a análise de causas de risco, envolvendo os indivíduos peritos, são aplicados através da organização inteira. A captura, a análise e relato de dados da gestão de risco são altamente automatizados......
Estrutura do Cubo COBIT
Recursos de TI são gerenciados por Processos de TI, para atingir Metas de TI, que por sua vez estão estreitamente ligadas aos Requisitos de Negócio.
KPI
Pro
cess
os d
e T
i KGI
Apl
icaç
ões
Info
rmaç
ão
Infr
a-es
trut
ura
Pes
soas
Recur
sos d
e TI
Requisitos de Negócio
Eficácia e Eficiência
Confidencialidade
e Integridade
Disponibilidade e
Confiabilidade
Implementando COBIT Documentação
Mapeamento dos processos de negócio Definição de políticas Identificação dos objetivos de controle Definição de diretrizes
Implementação Divulgação Conscientização
Gestão dos processos Benchmarks das práticas de controle de TI (Modelo de
Maturidade – CMM) Fatores Críticos de Sucesso Indicadores de Objetivos Indicadores de Performance
Aplicabilidade do COBIT
Avaliação dos processos de TI Auditoria dos riscos operacionais
de TI Implementação modular da
Governança de TI Realização de benchmarking Qualificação de fornecedores de TI
Relacionamento dos Modelos de Melhores Práticas
Nas duas últimas décadas vem surgindo e sendo elaborada uma série de modelos de melhores práticas de TI
Alguns desses modelos são originais e outros são derivados e/ou evoluídos de outros modelos
Exemplos: CMMI, ITIL, BS 7799, ISO/IEC 27001,
eSCM-SP, PMBOK, BSC, SAS-70
Agrupamento dos modelos das melhores práticas
Relacionamento do COBIT com os modelos de Serviços de TI
Alguns processos do COBIT que possuem relação com serviços de TI: PO9- Avaliar e gerenciar riscos de TI:
relacionado ao gerenciamento da continuidade dos serviços e ao gerenciamento da segurança da informação;
DS1- Definir e gerenciar níveis de serviço: relacionado a disciplina de gerenciamento de níveis de serviço;
DS3- Gerenciar desempenho e capacidade: relacionado à disciplina de gerenciamento de capacidade e disponibilidade;
Relacionamento do COBIT com modelos de Projetos
Alguns processos do COBIT que possuem relação com Projetos: AI2- Adquirir e manter software aplicativo:
compreende o ciclo de vida de desenvolvimento de software que está representado no CMMI e na ISO/IEC 12207;
AI5- Adquirir recursos de TI: todos os modelos abordam a questão de aquisição de recursos para os projetos;
Quando utilizar os modelos
A utilização dos modelos, seja em caráter total ou parcial, dependerá da estratégia de cada empresa
- Preciso avaliar a TI de uma forma abrangente. Qual o modelo eu devo utilizar?
Posso implantar o COBIT?
Governança de TI em 2006
Relatório de Status Global da Governança de TI 2006
Relatório de Status Global da Governança de TI
Fonte: IT Governance Global Status Report
Pequisa publicada em 2006, efetuada em 2005 pela PwC sob orientação do ITGI / ISACA
695 entrevistados (níveis CEO e CIO) 623 escolhidos aleatoriamente 72 dentre os que adquiriram o
COBIT
Principais Resultados
Cada vez mais TI é mais crítico para o negócio Para 87% dos participantes, IT é muito
importante para a execução da estratégia corporativa.
Para 63%, TI está regulamente ou sempre na agenda da mesa de reunião.
Administração geral percebe a importância de TI um pouco mais do que a própria administração de TI
Principais Resultados
Segurança não é o problema mais importante de TI
Staffing é o problema de TI mais importante
Outsourcing de IT está fora. Diferentes significados nos diversos setores
existentes Serviços financeiros e de TI/Telecom
apresentam melhor performance de Governança de TI
Indústrias de manufaturas apresentam os piores resultados
Principais Resultados
Conhecimento do ISACA e ITGI tem aumentado Triplicou em relação a pesquisa de 2003
Conhecimento do COBIT tem aumentado. Aumentou 50% em relação a pesquisa de
2003. Governança de TI (e COBIT) não é
facilmente implementado como originalmente estimado.
COBIT está sendo utilizado por 10% da população de TI
Ciência e Uso COBIT Está você pessoalmente ciente da
existência do COBIT?
Ciência e Uso COBIT Se você pessoalmente tem ciência da
existência do COBIT, é você pessoalmente um conhecedor do conteúdo do COBIT?
Ciência e Uso COBIT Se você é pessoalmente um conhecedor do
conteúdo do COBIT, então que nível de conhecimento você possui do conteúdo?
Ciência e Uso COBIT Sua organização fez( em qualquer área)
uso corrente do COBIT?
Ciência e Uso COBIT Que parte do COBIT sua organização usa?
Ciência e Uso COBIT O quão é fácil ou difícil para você
implementar o framework COBIT ou parte do framework COBIT?
Ciência e Uso COBIT
Foi a lei Sarbanes-Oxley, ou outro lei relacionada ou regulação, a razão para introduzir o COBIT em sua organização?
Estudo de Caso
Estudo de Caso: Accor Services Brasil
Perfil da Empresa
Accor Services- Grupo mundial de Hotelaria, Turismo e Serviços com volume de negócios de R$ 7,0 bilhões em 2004.
No Brasil, o Grupo Accor atua fortemente no ramo de hotelaria e serviços diversificados, como os hotéis Sofitel, Mercury, Íbis, Formule 1 e Parthenon Flats, e alinha de serviços representada pelos produtos Ticket restaurante, Ticket alimentação
Histórico de TI Até 1999, a área de TI apresentava a
seguinte situação: Cada aplicação focava um único produto Os sistemas eram heterogêneos e não estavam
totalmente integrados A arquitetura de TI não atendia à crescente
necessidade de flexibilidade Altos custos de manutenção dos sistemas Infra-estrutura não estava totalmente alinhada
com as necessidades do negócio Baixo valor agregado que TI fornecia ao negócio
Reformulação de TI De 2000 a 2004, efetuada a implementação
do ERP e CRM A área de Infraestrutura de TI foi transferida
para IBM em um contrato de full outsourcing e a parte de telecomunicações com a Embratel
As arquiteturas de TI passaram para a WEB, ao contrário do cliente/servidor
Foi criada uma área de Segurança da Informação
Em 2003, foi elaborado e implementado o BSC da área de TI
A partir de 2004, ações voltadas para Governança de Ti começaram a ser pensadas e implantadas
O Programa de Governança de Ti
O programa de desenvolveu em dois momentos. Em 2004, o primeiro momento consistiu nas
seguintes ações: Reorganização da gestão operacional de
outsourcing Implantação do Escritório de Projetos
vinculado a diretoria de TI Implantação de ferramentas para a gestão de
demandas e projetos Desenvolvimento da metodologia de gestão e
de desenvolvimento de sistemas e processos
O Programa de Governança de Ti
O segundo momento aconteceu em 2005, com ações tais como: Criação de um modelo de governança Gestão do Portfolio de Projetos pelo
Escritório de Projetos Forte capacitação dos recursos humanos
em planejamento de projetos e em tecnologia
O Programa de Governança de Ti
Como a Governança de TI evoluiu ao longo do tempo, novas ações estão sendo planejadas para 2006: Administrar a TI como se fosse uma
empresa Implantar processos alinhados com a
ITIL Mudar a forma de comunicação com o
negócio
Resultados alcançados até o momento
O volume de negócio mais que duplicou nos últimos cinco anos
O custo de TI, proporcionalmente ao resultado, caiu em mais de 30% e com melhor nível de serviço
A satisfação do usuário aumentou em mais de 50% de 2000 a 2004
O backlog diminuiu de 40% para 10%
Utilização do COBIT- Exemplos
Banco Bradesco Investimento de 1.2 bilhões no projeto “Melhorias
TI” nos próximos 6 anos Banco Nossa Caixa
Em cerca de dez dias, depois de divulgado as práticas de Governança de TI, as ações da Nossa Caixa valorizaram mais de 4%, superando o Ibovespa, principal índice de preços da bolsa, no mesmo período.
O Cobit também tem sido adotado pelas organizações de TI de grandes bancos (Itaú, Bradesco) e de grandes empresas (Grupo Votorantim, Petrobrás, Gerdau, Grupo Abril).
Referências IT Governance Global Status Report—2006.
http://www.itgi.org. Acessado em 09/10/2006.
FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferras. Implantando a Governança de TI - da Estratégia à Gestão de Processos e Serviços. Editora Brasport, 2006.
WEILL, Peter; ROSS, Jeanne. Governança de Tecnologia da Informação. Editora M. Books, 2005.
COBIT 4.0: Control Objectives, Management Guidelines and Maturity Models. Acessado em 09/10/2006.
Governança de TI "Os computadores são incrivelmente rápidos, precisos e burros;
os homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da imaginação"
Albert Einstein
Perguntas ?Wamberg Oliveira