Cobit 2
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Cobit 2

on

  • 979 views

 

Statistics

Views

Total Views
979
Views on SlideShare
849
Embed Views
130

Actions

Likes
0
Downloads
30
Comments
0

5 Embeds 130

http://clti.blogspot.com.br 116
http://clti.blogspot.com 9
http://clti.blogspot.com.ar 2
http://clti.blogspot.jp 2
http://www.clti.blogspot.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • - Prover direção estratégica ( competências organizacionais, recursos disponiveis ) Manter a conformidade com leis e regulamentos do mercado Monitorar a performance de acordo com os objetivos da organização
  • Leis e regulamentos Administrar a complexidade da organização responsabilidade social responsabilidade com o planeta ( ambiental ) sustentabilidade empresarial
  • Gerenciamento de riscos eficiente Gestão Financeira eficiente Transparência
  • Temas que exemplificam a necessidade de governança corporativa O caso enron, Worldcom a bolha das empresas da internet a recente crise do subprimes
  • ISE – Economico-social-ambiental + Governança-Natureza-geral ( responsabilidade social e sustentabilidade empresarial ) SRI – Investimentos socialmente responsáveis
  • Problemas que a organização encontra no ambiente de TI: Perdas financeiras Posição fraca no mercado em que atua - Pouco retorno sobre investimentos Falha nas iniciativas para trazer inovação e os benefícios que a TI promete Tecnologia obsoleta ou inadequada Incapacidade de trazer novas tecnologias Prazos não cumpridos e orçamentos estourados
  • Baseado nos conceitos do livro de Peter Weil
  • Faz um link com os requisitos dos negócios, indentifica responsabilidades de TI e de negócios
  • Requisitos dos Negócios Direcionam investimentos em Recursos de TI Usados por Processos de TI para entregar Informação Organizacional os quais respondem a Requisitos dos negócios
  • Please give personal comments or experience with this process.
  • 2
  • Generic Maturity Model 0 Nonexistent—A complete lack of any recognisable processes. Organisation has not even recognised that there is an issue to be addressed. 1 Initial—There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes, but instead there are ad hoc approaches that tend to be applied on an individual or case-by-case basis. The overall approach to management is chaotic. 2 Repeatable—Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals, hence errors are likely. 3 Defined—Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and any deviations are unlikely to be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices. 4 Managed—It is possible to monitor and measure compliance with procedures and take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way. 5 Optimised—Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow and provide tools to improve quality and effectiveness.

Cobit 2 Presentation Transcript

  • 1. Governança de TIDefinindo estratégias para o Sucesso
  • 2. sumário• Governança Corporativa• Problemas enfrentados por TI• Tipos de Gestão de TI• Governança de TI• Fatores que demandam Governança de TI• O framework COBIT• Suíte de produtos
  • 3. Governança Corporativa Prover direção estratégicaconformidade com leis e regulamentos Monitorar a performance
  • 4. O que demanda governança corporativa? Administrar a complexidade da organização Leis e regulamentos sustentabilidade empresarialresponsabilidade social Responsabilidade ambiental
  • 5. O que demanda governança corporativa? TransparênciaGerenciamento de riscos Gestão Financeira eficiente
  • 6. Trocando em miúdos...• Gerenciamento x Governança• 3 perguntinhas básicas : • Que decisões precisam ser tomadas? • Quem deverá tomá-las? • Como tomá-las e como monitorá-las ?
  • 7. Preocupaçõescrise do subprimes bolha da internet
  • 8. Sarbanex-Oxley ( SOX ) COSOGerenciamento de Riscos Corporativos
  • 9. E na Administração pública ?
  • 10. E o mercado Brasileiro, como está ? Leis Brasileiras
  • 11. Falando um pouco de “T.I.”
  • 12. A TI é isso... A TI é aquilo... Perdas financeiras Posição fraca no mercado Prazos não cumpridos; Orçamentos estouradosBaixo retorno sobre Tecnologia obsoleta Imagem desgastadainvestimentos
  • 13. Tipos de Gestão de TI (Os arquétipos de Weil e Ross)Monarquia dos Negócios Feudalismo Monarquia de TI Duopólio Federalismo Anarquia
  • 14. O que é governança de TIOnde Ondequeremos estamoschegar? Agora ? Como chegaremos lá ? Como saber se chegamos lá ?
  • 15. O que é governança de TIGerenciar riscos
  • 16. O que é governança de TI Especificar os direitos de decisão e as responsabilidades para a TI
  • 17. O que é governança de TI Controlar efetivamente os recursos ( gerenciá-los com responsabilidade)
  • 18. O que é governança de TIMedir a performance ( saber aonde estamos e se estamos caminhando certo)
  • 19. O que é governança de TIOferecer serviços de qualidade a um custo acordado
  • 20. O que é governança de TI Alinhar estrategicamente seus objetivos com os da organização
  • 21. Fatores que demandamGovernança de TI
  • 22. Fatores que demandam Governança de TI • Conformidade com leis e regulamentos
  • 23. Fatores que demandam Governança de TI • Segurança
  • 24. Fatores que demandam Governança de TI• Aumento da demanda por serviços
  • 25. Fatores que demandam Governança de TI • Execução de Projetos
  • 26. Fatores que demandam Governança de TI• Alinhamento e retorno sobre o grande número de investimentos
  • 27. E Como ele supre essas necessidades ?• Faz um link com os requisitos dos negócios• Organiza as atividades de TI em um modelo de processos• Define objetivos que serão controlados ao decorrer do processo
  • 28. Focado em negócios
  • 29. O Framework: i cc t D V a gi n g nt Va e e e De l u e ll e at me a m trr n i ve e S t l liig n S g erry y A A IT IT nt t mee n GovernancePe rrfa ss ue m mPe Governance Me M ea Domains Focus Areas a g em R k M aa n ii s k f omm e ne n or r ur re ag R anc t t Mn anc e e Resource Resource Management Management
  • 30. Estrutura: O Cubo
  • 31. Critérios da Informação (Requisitos dos Negócios ) • Efetividade • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade
  • 32. Critérios da Informação (Requisitos dos Negócios )Efetividade – lida com a informação relevante e pertinente para o processo de negócio bemcomo a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.Eficiência – relaciona-se com a entrega da informação através do melhor (mais produtivo eeconômico) uso dos recursos.Confidencialidade – está relacionada com a proteção de informações confidenciais para evitara divulgação indevida.Integridade – relaciona-se com a fidedignidade e totalidade da informação bem como suavalidade de acordo os valores de negócios e expectativas.Disponibilidade – relaciona-se com a disponibilidade da informação quando exigida peloprocesso de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursosnecessários e capacidades associadas.Conformidade – lida com a aderência a leis, regulamentos e obrigações contratuais aos quaisos processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente epolíticas internas.Confiabilidade – relaciona-se com a entrega da informação apropriada para os executivos paraadministrar a entidade e exercer suas responsabilidades fiduciárias e de conformidade com leis eregulamentos
  • 33. Recursos de TI Entregam Informações ExecutamProcessos Aplicações Precisam de Infra-estrutura Pessoas
  • 34. Processos de TI Domínios de TI • Plan and Organise • Acquire and Implement Grupo de processos com uma • Deliver and Support responsabilidade em comum • Monitor and Evaluate Processos de TI • Estratégia de TI • Operações de Computadores • Gestão de Incidentes A serie de atividades juntas • Testes • Gerência de Mudança • Plano de Continuidade • Gerência de problemas Atividades • Registrar um novo problema • Análise • Propor soluções Ações necessárias para alcançar • Monitorar soluções um resultado desejado • Registrar Erro Conhecido • Etc.
  • 35. Como eles se relacionam ? Requisitos dos Negócios Informação Recursosorganizacional De TI Processo s de TI
  • 36. C OBI T Framework PROCESSOS DE NEGÓCIOS Criteria • Efetividade • EficiênciaINFORMAÇÃO • • Confidencialiidade Integridade COBIT • Disponibilidade • Conformidade • Confiabilidade RECURSOS de TI • Aplicações • Infraestrutura • Processos • Pessoas PLANEJAR E ORGANIZARMONITORAR E AVALIAR ADQUIRIR E IMPLEMENTAR ENTREGAR E SUPORTAR
  • 37. Domínios do COBIT
  • 38. Planejamento e organizaçãoPO1 Definir um Plano Estratégico de TIPO2 Definir a Arquitetura da InformaçãoPO3 Determinar as Diretrizes de TecnologiaPO4 Definir os Processos, a Organização e os Relacionamentos de TIPO5 Gerenciar o Investimento de TIPO6 Comunicar Metas e Diretrizes GerenciaisPO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a QualidadePO9 Avaliar e Gerenciar os Riscos de TIPO10 Gerenciar Projetos
  • 39. Aquisição e Implementação AI 1 Identificar Soluções Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças
  • 40. Entrega e SuporteDS1 Definir e Gerenciar Níveis de ServiçosDS2 Gerenciar Serviços TerceirizadosDS3 Gerenciar o Desempenho e a CapacidadeDS4 Assegurar a Continuidade dos ServiçosDS5 Garantir a Segurança dos SistemasDS6 Identificar e Alocar CustosDS7 Educar e Treinar os UsuáriosDS8 Gerenciar a Central de Serviço e osIncidentesDS9 Gerenciar a ConfiguraçãoDS10 Gerenciar ProblemasDS11 Gerenciar os DadosDS12 Gerenciar o Ambiente FísicoDS13 Gerenciar as Operações
  • 41. Monitorar e AvaliarME1 Monitorar e Avaliar o Desempenho de TIME2 Monitorar e Avaliar os Controles InternosME3 Assegurar a Conformidade com Requisitos ExternosME4 Prover Governança de TI
  • 42. Informações iniciais sobre um processo
  • 43. AI6 AI 6Descriçã o doprocesso
  • 44. Descrição do ProcessoAI6 Gerenciar MudançasTodas as mudanças, incluindo manutenções e correções de emergência,relacionadas com a infraestrutura e as aplicações noambiente de produção são formalmente gerenciadas de maneira controlada.As mudanças (incluindo procedimentos, processos, parâmetros de sistemase de serviço) devem ser registradas, avaliadas e autorizadas antes daimplementação e revisadas em seguida, tendo como base os resultadosefetivos e planejados.Isso assegura a mitigação de riscos, de impactos negativos, na estabilidadeou na integridade do ambiente de produção.
  • 45. Diretrizes de Gerenciamento
  • 46. Diretrizes de Gerenciamento AI-6Gerenciamen to de mudanças
  • 47. Tabela RACIR: ResponsávelA: ResponsabilizadoC: ConsultadoI: Informado
  • 48. Medição de Performance Objetivos e Métricas
  • 49. Balanced Score Card (BSC)
  • 50. Balanced Score Card (BSC) Para onde estamos indo ? Como chegaremos lá ? O que precisaremos fazer corretamente ?Como medimos como estamos indo ?
  • 51. Objetivos e métricas
  • 52. Objetivos e métricas
  • 53. Medição de Performance Maturidade dos processos
  • 54. Modelos de MaturidadeInexistente Inicial Repetível Definido Gerenciado Otimizado 0 1 2 3 4 5 Legend for Symbols Used Legend for Rankings Used Enterprise current status 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. International standard guidelines 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. Industry best practice 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. Enterprise strategy
  • 55. Modelo de Maturidade ( Processo AI6 )0 - Inexistentequando Não há um processo de gerenciamento de mudanças formalmente estabelecido, e as mudanças podem ser feitaspraticamente sem nenhum controle. Não há consciência de que as mudanças podem interromper as operações de TI denegócio, tampouco há consciência dos benefícios de um bom gerenciamento de mudanças.1 - Inicial/ Ad hocquando É reconhecido que as mudanças devem ser gerenciadas e controladas. As práticas variam, e existe a probabilidadede execução de mudanças não autorizadas. A documentação de mudança é insuficiente ou inexistente e a de configuração éincompleta e não confiável. Provavelmente os erros ocorrem junto com interrupções no ambiente de produção devido a umgerenciamento de mudanças ineficiente.2 - Repetível, porém Intuitivoquando há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esseprocesso é desestruturado, rudimentar e propenso a erros. A precisão da documentação de configuração é inconsistente, eantes da mudança apenas são realizados um planejamento e uma avaliação limitados dos impactos.3 - Processo Definidoquando há um processo formal de gerenciamento de mudanças, que inclui categorização, priorização, procedimentos deemergência, autorização de mudança e controle de versão, porém a conformidade com o processo ainda é emergente. Sãoaplicadas soluções alternativas, e com frequência os processos são ignorados. Podem ocorrer erros, e mudanças nãoautorizadas acontecem ocasionalmente. A análise de impacto das mudanças de TI sobre as operações de negócios começa aser formalizada para apoiar a implementação planejada de novas tecnologias e aplicações.
  • 56. Modelo de Maturidade ( Processo AI6 )4 - Gerenciado e Mensurávelquando O processo de gerenciamento de mudanças é bem desenvolvido, acompanha consistentemente todas as mudanças eos responsáveis pelo gerenciamento podem afirmar que as exceções são mínimas. Os processos são eficazes e eficientes,porém se apóiam em vários procedimentos e controles manuais para assegurar que a qualidade seja obtida. Todas asmudanças estão sujeitas ao planejamento e à avaliação de impacto para minimizar a probabilidade de problemas após aprodução. Há um processo de aprovação de mudanças estabelecido. A documentação de gerenciamento de mudanças estáatualizada e correta, e as mudanças são controladas formalmente. A documentação de configuração é precisa. Oplanejamento e a implementação do gerenciamento de mudanças estão ficando mais integrados com as mudanças nosprocessos de negócio, para assegurar que o treinamento, as mudanças organizacionais e as questões de continuidade denegócio sejam tratados. Há maior coordenação entre o gerenciamento de mudanças de TI e a redefinição de processos denegócio. Há um processo consistente para monitorar a qualidade e o desempenho do processo de gerenciamento demudanças.5 - Otimizadoquando O processo de gerenciamento de mudanças é revisado e atualizado regularmente para permanecer em alinhamentocom as boas práticas. O processo de revisão reflete o resultado do monitoramento. As informações de configuração sãoautomatizadas por software e propiciam o controle de versão. O rastreamento de mudanças é sofisticado e inclui ferramentasque detectam software sem licença e não autorizado. O gerenciamento de mudanças de TI é integrado ao gerenciamento demudanças de negócio para assegurar que a TI viabilize o crescimento da produtividade e crie novas oportunidades denegócios para a organização.
  • 57. Star Chart IT Process/Maturity Awareness Responsibility Goal Setting and Policies, Standards Tools and Skills and Levels for Process XX and and Communication and Procedures Automation Expertise Accountability Measurement 1 Inicial/ Ad hoc 2 Repetível, porém Intuitivo 3 Processo Definido 4 Gerenciado e Mensurável 5 Otimizado 2009 ISACA All rights 58reserved.
  • 58. Modelo de Maturidade ( Benchmark ) Po1 3.50 M1 Po3 3.00 DS11 2.50 Po5 2.00 DS10 Po9 1.50 1.00 DS5 Po10 large medium DS4 A11 small DS1 A12 A16 A15
  • 59. Controles
  • 60. Controles Políticas, procedimentos, práticas e estruturas organizacionais Definição de desenhadas para prover certeza de que os objetivos da Controle organização estão sendo alcançados e eventos indesejáveis serão prevenidos ou detectados e corrigidos. Definição de O estado de um resultado desejado ou propósito a ser alcançado Objetivo de pela implementação de práticas de controle em uma atividadeControle em TI particular de TI.
  • 61. Exemplo de Objetivos de ControleAI6 Gerenciar MudançasAI6.1 Padrões e Procedimentos de MudançaEstabelecer procedimentos formais de gerenciamento de mudanças para lidar de modopadronizado com todas as solicitações demudança em aplicações, procedimentos, processos, parâmetros de sistema, parâmetros de serviçoe plataformas subjacentes (inclusivesolicitações de manutenção e reparo).AI6.2 Avaliação de Impacto, Priorização e AutorizaçãoAvaliar todas as solicitações de mudança de modo estruturado com relação a impactos no sistemaoperacional e na respectiva funcionalidade.Assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas.AI6.3 Mudanças de EmergênciaEstabelecer um processo para definição, solicitação, testes, documentação, avaliação eautorização de mudanças de emergênciaque não sigam o processo de mudança estabelecido.AI6.4 Acompanhamento de Status e Relatórios de MudançasEstabelecer um sistema de acompanhamento e relatórios de mudanças para documentarmudanças rejeitadas, comunicar o statusde mudanças aprovadas e em andamento e executar mudanças. Garantir que as mudançasautorizadas sejam implementadas conformeplanejado.AI6.5 Finalização da Mudança e DocumentaçãoAtualizar a documentação os procedimentos do sistema e de usuários sempre que foremimplementadas mudanças no sistema.
  • 62. Práticas de ControleAI6 Gerenciar MudançaAI6.3 Mudanças de EmergênciaEstabelecer um processo para definição, solicitação, testes, documentação, avaliação eautorização de mudanças de emergência que não sigam o processo de mudança estabelecido.1. Management defines parameters, characteristics and Controlling emergency changes by procedures that identify and declare emergencies. implementing the control practices2. All emergency changes are documented, if not before, will : then after, implementation.  Ensure that emergency3. All emergency changes are tested, if not before, then procedures are used in declared after, implementation. emergencies only4. All emergency changes are formally authorised by the  Ensure that urgent changes can system owner and management before implementation. be implemented without5. Before and after images as well as intervention logs are compromising integrity, retained for subsequent review. availability, reliability, security, confidentiality or accuracy Control Practices Why do it?
  • 63. Controles de Aplicação
  • 64. “Assurance”
  • 65. ‘‘Assurance ’’ Verifica se os objetivos de controle estão sendo alcançados Identifica ‘‘fraquezas’’ e riscos nos processos implementados Provê informações detalhadas sobre a necessidade de ações corretivas “ Estamos no caminho certo? Caso não estejamos, como iremos nos ajustar ?  ’’
  • 66. A parte sem o todo não é todo... enta d o co m Práticas de Implem controle Objetivos de controle Au r dit po ad op d o or Derivado ola tr de C on Guia de requisitos Controle do auditoria o por Auditad Resutado dos Processos testesBusiness de TI Med Modelos de ido e maturidade informações por r idad matu resultados Di Indicadores vi di per de resultado do fo rma em nce Indicatodores Atividades de performance Chave Feit o po r Tabela RACI
  • 67. Onde o Cobit se posiciona? CONFORMIDADE Drivers PERFORMANCE Basel II, Sarbanes- Objetivos do Negócio Oxley Act, etc. Balanced Governança Corporativa COSO Scorecard Governança de TI COBIT ISO ISO ISOPadrões de Melhores Práticas 9001:2000 17799 20000 Processos e Procedimentos Procedimentos Princípios de ITIL QA Segurança
  • 68. Suíte de produtos Governança Gerenciamento de ti e dos negóciosGovernança, Segurança e “Assurance” 70
  • 69. O importante é responder aos 4 ‘Ares’ The strategic question The value question Are we Are we doing getting the right the things? benefits? Are we Are weThe architecture question doing them getting The delivery question the right them done way? well? 71 71
  • 70. E ainda tem mais coisas... ISO 38.500 Gestão de Projetos – PMBok Val IT RISK IT
  • 71. Governança de TIDefinindo estratégias para o Sucesso