GOVERNANÇA DE TI CobiT Control Objectives for Information and related Technology SANDRO SERVINO
Escopo da Governança de TI <ul><li>O escopo da Governança de TI pode ser classificado em cinco áreas. </li></ul>
Alinhamento Estratégico <ul><li>O alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio.  </li></...
Entrega de Valor <ul><li>Entrega do serviço/produto com uma qualidade  apropriada, com prazo e custo aceitáveis, o qual de...
Gerenciamento de Riscos <ul><li>O Gerenciamento de Riscos se refere ao tratamento de incertezas. </li></ul><ul><li>Enquant...
Gerenciamento de Recursos <ul><li>Assegurar que existe capacidade para suportar as atividades do negócio </li></ul><ul><li...
Monitoração de Desempenho <ul><li>Se não existir nenhuma forma de medir e monitorar as atividades de TI, não é possível go...
O que é CobiT? <ul><li>O CobiT ( Control Objectives for Information and Related Tecnology ) é um  framework  que fornece a...
<ul><li>“ COBIT são Boas Práticas com o foco maior no controle e não na execução. Essas práticas vão ajudar a otimizar inv...
Evolução 1996 Primeira Edição do CobiT A ISACA (Information System Audit and Control Association - www.isaca.org) lança um...
O Framework
Componentes do CobiT Em resumo, os recursos de TI são gerenciados pelos processos de TI para entregarem as informações par...
Recursos de TI <ul><li>Aplicações </li></ul><ul><ul><li>São os sistemas automatizados e procedimentos manuais. </li></ul><...
Processos de TI <ul><li>Domínios </li></ul><ul><ul><li>Planejamento e Organização </li></ul></ul><ul><ul><li>Aquisição e I...
Requisitos de Negócio <ul><li>Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade com c...
Análise de GAP <ul><li>Auxilia os gestores de TI a identificar como estão posicionados os macrocontroles de TI da organiza...
Relacionamento com outros padrões <ul><li>O CobiT permite a integração desses modelos e conjuntos de melhores práticas de ...
Visão Geral
Objetivos de Controle <ul><li>“ Definição de determinados objetivos ou resultados a serem obtidos ao se implementar proced...
Domínio de Planejamento e Organização <ul><li>Este domínio cobre estratégias e táticas, e se preocupa com a melhor forma c...
Domínio de Aquisição e Implementação <ul><li>Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser ide...
Domínio de Entrega e Suporte <ul><ul><li>Entrega de serviços solicitados </li></ul></ul><ul><ul><li>Configuração dos  </li...
Domínio de Monitoramento e Avaliação <ul><li>Este é o domínio que controla os processos de TI que devem ser avaliados regu...
Processos – Planejamento e Organização <ul><li>PO1 – Definir um Plano Estratégico de TI </li></ul><ul><li>PO2 – Definir a ...
Processos – Aquisição e Implementação <ul><li>AI1 – Identificar Soluções Automatizadas </li></ul><ul><li>AI2 – Adquirir e ...
Processos – Entrega e Suporte <ul><li>DS1 – Definir e Gerenciar Níveis de Serviços </li></ul><ul><li>DS2 – Gerenciar Servi...
Processos – Monitoramento e Avaliação <ul><li>ME1 – Monitorar e Avaliar o Desempenho de TI </li></ul><ul><li>ME2 – Monitor...
Atividades dos processos e tabela RACI <ul><ul><li>Responsible  (Responsável) </li></ul></ul><ul><ul><li>Accountable  (Dev...
Modelo de Maturidade <ul><li>0 - Inexistente — Não há um processo reconhecido.  </li></ul><ul><li>1 - Inicial/Ad Hoc — Exi...
Modelos de Maturidade <ul><li>Modelos de maturidade fornecem uma escala para comparar (fazer  benchmarking ) as práticas d...
Avaliando os Processos de TI
Documento Relacionado com o CobiT <ul><li>COBIT PORTUGUES </li></ul><ul><li>http://www.isaca.org/Knowledge-Center/cobit/Do...
Upcoming SlideShare
Loading in …5
×

Governancati 110905200921-phpapp01-1

541 views
487 views

Published on

Published in: Career
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
541
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Governancati 110905200921-phpapp01-1

  1. 1. GOVERNANÇA DE TI CobiT Control Objectives for Information and related Technology SANDRO SERVINO
  2. 2. Escopo da Governança de TI <ul><li>O escopo da Governança de TI pode ser classificado em cinco áreas. </li></ul>
  3. 3. Alinhamento Estratégico <ul><li>O alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio. </li></ul><ul><li>A questão chave é verificar se os investimentos da empresa em TI estão em harmonia com os objetivos estratégicos da empresa e, ainda, se está desenvolvendo as capacidades necessárias para entregar valor ao negócio. </li></ul>
  4. 4. Entrega de Valor <ul><li>Entrega do serviço/produto com uma qualidade apropriada, com prazo e custo aceitáveis, o qual deve atingir os benefícios que foram prometidos. </li></ul>Para uma entrega de valor de TI efetiva ser alcançada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.
  5. 5. Gerenciamento de Riscos <ul><li>O Gerenciamento de Riscos se refere ao tratamento de incertezas. </li></ul><ul><li>Enquanto o objetivo da entrega de serviços é criar valor, o gerenciamento de riscos busca preservar valor . </li></ul>
  6. 6. Gerenciamento de Recursos <ul><li>Assegurar que existe capacidade para suportar as atividades do negócio </li></ul><ul><li>Otimizar custos </li></ul><ul><li>Otimizar o uso dos recursos disponíveis </li></ul><ul><li>Outsourcing </li></ul>
  7. 7. Monitoração de Desempenho <ul><li>Se não existir nenhuma forma de medir e monitorar as atividades de TI, não é possível governar a TI e assegurar o seu alinhamento, o valor entregue, o gerenciamento dos riscos nem o uso adequado dos recursos. </li></ul>Se você não pode medir o processo, você não pode gerenciá-lo.
  8. 8. O que é CobiT? <ul><li>O CobiT ( Control Objectives for Information and Related Tecnology ) é um framework que fornece as melhores práticas para o controle e o gerenciamento de processos de TI. </li></ul><ul><li>Diz o que deve ser feito, mas não como fazer. </li></ul><ul><li>Foco no negócio </li></ul><ul><li>Orientado a processos </li></ul><ul><li>Padrão aceito </li></ul><ul><li>Linguagem comum </li></ul><ul><li>Requisitos regulatórios </li></ul>
  9. 9. <ul><li>“ COBIT são Boas Práticas com o foco maior no controle e não na execução. Essas práticas vão ajudar a otimizar investimentos em TI, assegurar a prestação de serviços e fornecer uma medida para identificar o que está sendo feito de errado nos processos envolvidos.” ISACA </li></ul><ul><li>A ISACA (Information Systems Audit and Control Association) é a entidade que criou COBIT juntamente com o ITGI (IT Governance Institute). </li></ul><ul><li>50.000 membros da ISACA / + 140 paises </li></ul>
  10. 10. Evolução 1996 Primeira Edição do CobiT A ISACA (Information System Audit and Control Association - www.isaca.org) lança um conjunto de objetivos de controle para as aplicações de negócio. 1998 Segunda Versão do CobiT Inclui uma ferramenta de suporte à implementação e a especificação de objetivos de controle de alto nível e detalhados. 2000 Terceira Versão do CobiT Inclui normas e guias associadas à gestão. O ITGI (IT Governance Institute - www.itgi.org) torna-se o principal editor do framework . 2002 Sarbanes-Oxley Act A lei Sarbanes-Oxley for aprovada. Este acontecimento teve um impacto significativo na adoção do CobiT nos EUA e nas empresas globais que lá atuam. 2005 Quarta Versão do CobiT Melhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.
  11. 11. O Framework
  12. 12. Componentes do CobiT Em resumo, os recursos de TI são gerenciados pelos processos de TI para entregarem as informações para a área de negócios de acordo com os requerimentos do negócio. Este é o princípio básico do modelo CobiT.
  13. 13. Recursos de TI <ul><li>Aplicações </li></ul><ul><ul><li>São os sistemas automatizados e procedimentos manuais. </li></ul></ul><ul><li>Informação </li></ul><ul><ul><li>É o dado, em todas as suas formas. </li></ul></ul><ul><li>Infra-estrutura </li></ul><ul><ul><li>É tudo o que é necessário para o </li></ul></ul><ul><ul><li>funcionamento das aplicações. </li></ul></ul><ul><li>Pessoas </li></ul><ul><ul><li>Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. </li></ul></ul>
  14. 14. Processos de TI <ul><li>Domínios </li></ul><ul><ul><li>Planejamento e Organização </li></ul></ul><ul><ul><li>Aquisição e Implementação </li></ul></ul><ul><ul><li>Entrega e Suporte </li></ul></ul><ul><ul><li>Monitoramento e Avaliação </li></ul></ul><ul><li>Processos </li></ul><ul><ul><li>34 Processos </li></ul></ul><ul><li>Atividades </li></ul><ul><ul><li>210 Objetivos de Controle Detalhados </li></ul></ul>
  15. 15. Requisitos de Negócio <ul><li>Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade com critérios chamados de requisitos de negócio (critérios de informação). </li></ul><ul><ul><li>Eficácia </li></ul></ul><ul><ul><li>Eficiência </li></ul></ul><ul><ul><li>Confidencialidade </li></ul></ul><ul><ul><li>Integridade </li></ul></ul><ul><ul><li>Disponibilidade </li></ul></ul><ul><ul><li>Conformidade </li></ul></ul><ul><ul><li>Confiabilidade </li></ul></ul>
  16. 16. Análise de GAP <ul><li>Auxilia os gestores de TI a identificar como estão posicionados os macrocontroles de TI da organização em relação aos padrões de mercado e/ou em relação às suas próprias expectativas. </li></ul>
  17. 17. Relacionamento com outros padrões <ul><li>O CobiT permite a integração desses modelos e conjuntos de melhores práticas de mercado </li></ul>
  18. 18. Visão Geral
  19. 19. Objetivos de Controle <ul><li>“ Definição de determinados objetivos ou resultados a serem obtidos ao se implementar procedimentos de controle em uma determinada atividade de TI.” </li></ul><ul><li>“ Declaração do resultado que eu quero alcançar, pela implementação dos meus controles.” </li></ul>
  20. 20. Domínio de Planejamento e Organização <ul><li>Este domínio cobre estratégias e táticas, e se preocupa com a melhor forma com que a TI pode contribuir para atingir os objetivos do negócio. Além disto, a realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas. </li></ul><ul><ul><li>Estratégias e Táticas </li></ul></ul><ul><ul><li>Visão Estratégica </li></ul></ul><ul><ul><li>Organização e Infraestrutura </li></ul></ul>
  21. 21. Domínio de Aquisição e Implementação <ul><li>Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas aos processos de negócio. </li></ul><ul><li>O domínio de Aquisição e Implementação cobre também mudanças e manutenções nos sistemas existentes para assegurar que eles operem sem interrupções. </li></ul><ul><ul><li>Soluções de TI </li></ul></ul><ul><ul><li>Mudanças e Manutenções </li></ul></ul>
  22. 22. Domínio de Entrega e Suporte <ul><ul><li>Entrega de serviços solicitados </li></ul></ul><ul><ul><li>Configuração dos </li></ul></ul><ul><ul><li>processos de suporte </li></ul></ul><ul><ul><li>Segurança </li></ul></ul>Esse domínio se preocupa com as entregas reais dos serviços requeridos, que abrangem também aspectos de segurança e continuidade, além de treinamento.
  23. 23. Domínio de Monitoramento e Avaliação <ul><li>Este é o domínio que controla os processos de TI que devem ser avaliados regularmente quanto a aspectos de qualidade e conformidade. </li></ul><ul><ul><li>Avaliação regular, entrega de garantias </li></ul></ul><ul><ul><li>Controles </li></ul></ul><ul><ul><li>Medição de Performance </li></ul></ul>
  24. 24. Processos – Planejamento e Organização <ul><li>PO1 – Definir um Plano Estratégico de TI </li></ul><ul><li>PO2 – Definir a Arquitetura da Informação </li></ul><ul><li>PO3 – Determinar a Direção Tecnológica </li></ul><ul><li>PO4 – Definir os Processos de TI, Organização e Relacionamento </li></ul><ul><li>PO5 – Gerenciar o Investimento de TI </li></ul><ul><li>PO6 – Comunicar os Objetivos e a Direção do Gerenciamento </li></ul><ul><li>PO7 – Gerenciar os Recursos Humanos de TI </li></ul><ul><li>PO8 – Controlar a Qualidade </li></ul><ul><li>PO9 – Avaliar e Gerenciar os Riscos de TI </li></ul><ul><li>PO10 – Gerenciar Projetos </li></ul>
  25. 25. Processos – Aquisição e Implementação <ul><li>AI1 – Identificar Soluções Automatizadas </li></ul><ul><li>AI2 – Adquirir e Manter Softwares Aplicativos </li></ul><ul><li>AI3 – Adquirir e Manter Infraestrutura de Tecnologia </li></ul><ul><li>AI4 – Habilitar Operação e Uso </li></ul><ul><li>AI5 – Adquirir Recursos de TI </li></ul><ul><li>AI6 – Gerenciar Mudanças </li></ul><ul><li>AI7 – Instalar e Validar Soluções e Mudanças </li></ul>
  26. 26. Processos – Entrega e Suporte <ul><li>DS1 – Definir e Gerenciar Níveis de Serviços </li></ul><ul><li>DS2 – Gerenciar Serviços Terceirizados </li></ul><ul><li>DS3 – Gerenciar Desempenho e Capacidade </li></ul><ul><li>DS4 – Assegurar Continuidade do Serviço </li></ul><ul><li>DS5 – Garantir Segurança dos Sistemas </li></ul><ul><li>DS6 – Identificar e Alocar Custos </li></ul><ul><li>DS7 – Educar e Treinar Usuários </li></ul><ul><li>DS8 – Gerenciar Central de Serviços e Incidentes </li></ul><ul><li>DS9 – Gerenciar Configuração </li></ul><ul><li>DS10 – Gerenciar Problemas </li></ul><ul><li>DS11 – Gerenciar Dados </li></ul><ul><li>DS12 – Gerenciar o Ambiente Físico </li></ul><ul><li>DS13 – Gerenciar Operações </li></ul>
  27. 27. Processos – Monitoramento e Avaliação <ul><li>ME1 – Monitorar e Avaliar o Desempenho de TI </li></ul><ul><li>ME2 – Monitorar e Avaliar os Controles Internos </li></ul><ul><li>ME3 – Assegurar o Cumprimento de Normas Regulamentares </li></ul><ul><li>ME4 – Prover Governança de TI </li></ul>
  28. 28. Atividades dos processos e tabela RACI <ul><ul><li>Responsible (Responsável) </li></ul></ul><ul><ul><li>Accountable (Deve prestar contas) </li></ul></ul><ul><ul><li>Consulted (Deve ser consultado) </li></ul></ul><ul><ul><li>Informed (Deve ser informado) </li></ul></ul>
  29. 29. Modelo de Maturidade <ul><li>0 - Inexistente — Não há um processo reconhecido. </li></ul><ul><li>1 - Inicial/Ad Hoc — Existe a evidência, porém não há processo padrão. </li></ul><ul><li>2 – Repetido, mas intuitivo — Os mesmos procedimentos são seguidos por diferentes pessoas, mas não há treinamento ou comunicação de processos padrões. </li></ul><ul><li>3 - Processo Definido — Processos são padronizados, documentados e comunicados através de treinamento. </li></ul><ul><li>4 - Gerenciado e Medido — Processos medidos e gerenciados. Ações são realizadas quando o processo não está sendo efetivo. </li></ul><ul><li>5 - Otimizado — Processos são refinados em nível de boas práticas. Baseia-se nos resultados de melhoria contínua e comparação de maturidade com outras empresas. </li></ul>
  30. 30. Modelos de Maturidade <ul><li>Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking ) as práticas da empresa com a indústria e padrões internacionais. </li></ul>
  31. 31. Avaliando os Processos de TI
  32. 32. Documento Relacionado com o CobiT <ul><li>COBIT PORTUGUES </li></ul><ul><li>http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf Certificações importantes para auditores (reconhecida mundialmente) : Cobit Foundation e CISA - Certified Information Systems Auditor </li></ul>

×