Tribunal de Contas da União      Secretaria de Tecnologia da InformaçãoGovernança de Tecnologia da Informação:conceitos, m...
Governança de Tecnologia da Informação:conceitos, modelos e sua aplicação no TCU   Governança de TI         Conceitos e ...
Histórico e evolução• Primeira versão em 1996   – Information System Control and Audit Foundation (ISACF)   – Compilação d...
Princípios básicos• Objetivos de negócios requerem informações   – Informações devem atender aos critérios de qualidade,  ...
Princípios básicos                     (IT Governance Institute, 2007)
Características gerais• Foco no negócio   – Alinhamento das metas de TI a metas de negócio• Orientado a processos   – Orga...
Foco no negócio                  (IT Governance Institute, 2007)
Critérios da informação -Qualidade• Efetividade/Eficácia (Effectiveness)  – A informação deve ser pertinente e relevante  ...
Critérios da informação -Segurança• Confidencialidade   – A informação deve ser protegida contra acesso não     autorizado...
Critérios da informação -Adequação• Conformidade  – A informação obedece a leis, normas e contratos    aos quais o process...
Quais são os critérios mais importantes para o TCU?
Recursos de TI• Aplicações   – Sistemas automatizados e procedimentos manuais que     processam informações• Dados   – Dad...
Orientado a processos                    (IT Governance Institute, 2007)
Domínios• Planejamento & Organização   – Trata dos aspectos estratégicos e táticos da organização, e de     como a TI pode...
Domínios e processosME1   monitorar e avaliar o desempenho da TI                       PO1  definir um plano estratégico d...
Baseado em controles• Políticas, procedimentos, práticas e estruturas  organizacionais para garantir que  – Os objetivos d...
Controles gerais de processos•   PC1 Process Owner    – Cada processo deve ter um responsável•   PC2 Repeatability    – Os...
Controles gerais de aplicação•   AC1 Source Data Preparation and Authorisation     – Os documentos de origem devem ser pre...
Responsabilidade peloscontroles                   (IT Governance Institute, 2007)
Como estão nossos controles?      Controles de negócio        Controles de TI     Controles de aplicações
Dirigido por métricas• Modelos de maturidade  – Possibilitam benchmarking e identificação das    necessidades de melhoria•...
Modelo de maturidade• Os níveis de maturidade descrevem perfis de  processos de TI que possam ser reconhecidos  pelas orga...
Modelo de maturidadeNonexistent         Initial         Repeatable        Defined          Managed         Optimised    0 ...
Modelo de maturidade• Nível 0 – Inexistente  – Ausência de processos identificáveis  – A organização não reconhece que exi...
Modelo de maturidade• Nível 2 – Repetível mas intuitivo   – Os processos se desenvolveram de modo que procedimentos     si...
Modelo de maturidade• Nível 4 – Gerenciado e mensurável   – É possível monitorar e medir a conformidade de     procediment...
Onde queremos chegar?Nonexistent         Initial         Repeatable        Defined          Managed         Optimised    0...
Metas e indicadores• Metas e indicadores são definidos em três níveis   – Metas e indicadores de TI, que definem o que o  ...
Metas e indicadores                 (IT Governance Institute, 2007)
Metas e indicadores                      (IT Governance Institute, 2007)
Balanced Scorecard para TI       Precisamos de um?   Estamos prontos para isso?   Há os insumos necessários?
Estrutura conceitual básica                      (IT Governance Institute, 2007)
COBIT e Governança de TI                                                              Modelos de                Metas     ...
Visão geral do modelo                        (IT Governance Institute, 2007)
Detalhamento do conteúdo• Para cada processo, o  COBIT apresenta   – Objetivos do processo     – Indicadores   – Critérios...
Utilização do conteúdo• As entradas indicam o que o dono do processo deve  requerer dos outros processos• Os objetivos de ...
Exemplo do conteúdo Planejamento e OrganizaçãoDefinir um plano estratégico de TI
Domínios e processos                      Objetivos de Negócios                       Governança de TI                    ...
Planejamento e organização•   PO1 Definir um plano estratégico de TI•   PO2 Definir a arquitetura de informação•   PO3 Det...
Aquisição e implementação•   AI1   Identificar soluções•   AI2   Adquirir e manter aplicações•   AI3   Adquirir e manter i...
Entrega e suporte•   DS1 Definir e gerenciar níveis de serviços•   DS2 Gerenciar serviços de terceiros•   DS3 Gerenciar pe...
Monitoramento e avaliação•   ME1   Monitorar e avaliar o desempenho da TI•   ME2   Monitorar e avaliar os controles intern...
Cobit x Sarbanes-Oxley
Cobit x Sarbanes-Oxley
Cobit x Sarbanes-Oxley•   AI2 Adquirir e manter aplicações•   AI3 Adquirir e manter infraestrutura tecnológica•   AI4 Viab...
Quais processos são maisimportantes para o TCU?
Tribunal de Contas da União      Secretaria de Tecnologia da InformaçãoGovernança de Tecnologia da Informação:conceitos, m...
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Governança ti   tcu - cobit
Upcoming SlideShare
Loading in …5
×

Governança ti tcu - cobit

2,623 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,623
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
71
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Governança ti tcu - cobit

  1. 1. Tribunal de Contas da União Secretaria de Tecnologia da InformaçãoGovernança de Tecnologia da Informação:conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos de trabalho e da participação nas ações de Controle Externo, com aplicação de conhecimentos especializados em Tecnologia da Informação
  2. 2. Governança de Tecnologia da Informação:conceitos, modelos e sua aplicação no TCU Governança de TI  Conceitos e boas práticas ITIL  Estrutura, conceitos e processos COBIT  Estrutura, conceitos e processos CMMI, ISO 17799, PMBOK e outros modelos  Visão geral Integração e aplicação dos modelos Tribunal de Contas da União Secretaria de Tecnologia da Informação
  3. 3. Histórico e evolução• Primeira versão em 1996 – Information System Control and Audit Foundation (ISACF) – Compilação de referências sobre controle e auditoria de TI• Segunda versão em 1998 – Information System Control and Audit Association (ISACA) – Acréscimo e atualização de referências, kit de implantação• Terceira versão em 2000 (Cobit 3ª Edição) – IT Governance Institute – Criação do “Management Guidelines”• Quarta versão em 2005 (Cobit 4.0) – Consolidação e detalhamento de instrumentos gerenciais• Refinamento em 2007 (Cobit 4.1)
  4. 4. Princípios básicos• Objetivos de negócios requerem informações – Informações devem atender aos critérios de qualidade, segurança e confiabilidade• Informações são produzidas por recursos de TI – Dados, aplicações, infra-estrutura e pessoas• Recursos de TI são gerenciados por processos – Definição de responsabilidades e metas• Processos devem ser controlados – Objetivos de controle, indicadores de desempenho e indicadores de resultados (IT Governance Institute, 2007)
  5. 5. Princípios básicos (IT Governance Institute, 2007)
  6. 6. Características gerais• Foco no negócio – Alinhamento das metas de TI a metas de negócio• Orientado a processos – Organização das atividades de TI em um modelo de processos aplicável de forma geral – Identificação de responsabilidades pelos processos nas áreas de negócio e TI• Baseado em controles – Definição dos objetivos de controle a serem considerados pela gerência• Dirigido por métricas – Uso de indicadores e modelos de maturidade (IT Governance Institute, 2007)
  7. 7. Foco no negócio (IT Governance Institute, 2007)
  8. 8. Critérios da informação -Qualidade• Efetividade/Eficácia (Effectiveness) – A informação deve ser pertinente e relevante para o processo de negócio – A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil• Eficiência – A informação deve ser provida por meio do uso otimizado dos recursos (IT Governance Institute, 2007)
  9. 9. Critérios da informação -Segurança• Confidencialidade – A informação deve ser protegida contra acesso não autorizado• Integridade – A informação deve ser precisa, completa, e válida de acordo com as expectativas e os valores do negócio• Disponibilidade – A informação deve estar disponível quando requerido pelo processo de negócio, agora e no futuro – Os recursos e capacidades associados à informação devem ser protegidos (IT Governance Institute, 2007)
  10. 10. Critérios da informação -Adequação• Conformidade – A informação obedece a leis, normas e contratos aos quais o processo de negócio está sujeito, ou seja, aos requisitos impostos ao negócio• Confiabilidade – A informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade (IT Governance Institute, 2007)
  11. 11. Quais são os critérios mais importantes para o TCU?
  12. 12. Recursos de TI• Aplicações – Sistemas automatizados e procedimentos manuais que processam informações• Dados – Dados capturados, processados e gerados por sistemas de informação, em qualquer formato usado pelo negócio• Infra-estrutura – Recursos tecnológicos (hardware, sistemas operacionais, sistemas de banco de dados, redes, etc.) e instalações físicas que suportam o processamento das aplicações• Pessoas – Equipe necessária para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar sistemas de informação e serviços de TI (IT Governance Institute, 2007)
  13. 13. Orientado a processos (IT Governance Institute, 2007)
  14. 14. Domínios• Planejamento & Organização – Trata dos aspectos estratégicos e táticos da organização, e de como a TI pode contribuir para os objetivos de negócios• Aquisição & Implementação – Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e aquisição• Entrega & Suporte – Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança, treinamento e suporte• Monitoramento & Avaliação – Endereça aspectos de monitoramento do desempenho e de avaliação de controles da TI. (IT Governance Institute, 2007)
  15. 15. Domínios e processosME1 monitorar e avaliar o desempenho da TI PO1 definir um plano estratégico de TIME2 monitorar e avaliar os controles internos PO2 definir a arquitetura de informaçãoME3 assegurar conformidade regulatória PO3 determinar a direção tecnológicaME4 prover governança de TI PO4 definir processos, organização e relacionamentos da TI PO5 gerenciar o investimento em TI PLANEJAMENTO E PO6 comunicar metas e diretivas gerenciais ORGANIZAÇÃO PO7 gerenciar recursos humanos de TI PO8 gerenciar qualidade PO9 avaliar e gerenciar riscos PO10 gerenciar projetos MONITORAMENTO AQUISIÇÃO E E AVALIAÇÃO IMPLEMENTAÇÃODS1 definir e gerenciar níveis de serviçosDS2 gerenciar serviços de terceirosDS3 gerenciar performance e capacidadeDS4 garantir continuidade dos serviços ENTREGA EDS5 garantir segurança dos sistemas SUPORTEDS6 identificar e alocar custosDS7 educar e treinar usuários AI1 identificar soluçõesDS8 gerenciar service desk e incidentes AI2 adquirir e manter aplicaçõesDS9 gerenciar a configuração AI3 adquirir e manter infraestrutura tecnológicaDS10 gerenciar problemas AI4 viabilizar operação e usoDS11 gerenciar dados AI5 adquirir recursos de TIDS12 gerenciar o ambiente físico AI6 gerenciar mudançasDS13 gerenciar a operação AI7 instalar e certificar sistemas e mudanças (IT Governance Institute, 2007)
  16. 16. Baseado em controles• Políticas, procedimentos, práticas e estruturas organizacionais para garantir que – Os objetivos de negócio serão alcançados – Os eventos indesejáveis serão prevenidos, se possível, ou então detectados e corrigidos• Além de controles gerais, aplicáveis a todos os processos, cada processo possui seus próprios objetivos de controle – Declarações dos resultados desejados ou do propósito a ser alcançado pela implementação de controles sobre uma atividade (IT Governance Institute, 2007)
  17. 17. Controles gerais de processos• PC1 Process Owner – Cada processo deve ter um responsável• PC2 Repeatability – Os processos devem ser executados de forma consistente• PC3 Goals and Objectives – Os processos devem ter objetivos e metas claras• PC4 Roles and Responsibilities – A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis específicos• PC5 Process Performance – Os processos devem ter seu desempenho medido• PC6 Policy, Plans and Procedures – Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos (IT Governance Institute, 2007)
  18. 18. Controles gerais de aplicação• AC1 Source Data Preparation and Authorisation – Os documentos de origem devem ser preparados e aprovados segundo o critério de segregação de funções• AC2 Source Data Collection and Entry – Os dados devem ser almentados de forma tempestiva por pessoas autorizadas, e eventuais correções não devem comprometer os níveis de autorização do sistema• AC3 Accuracy, Completeness and Authenticity Checks – Todas as transações devem ser precisas, completas e válidas• AC4 Processing Integrity and Validity – Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de processamento• AC5 Output Review, Reconciliation and Error Handling – As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, entregues aos destinatários corretos e utilizadas corretamente• AC6 Transaction Authentication and Integrity – Os dados passados entre aplicações ou áreas da organização devem ser verificados quanto à autenticidade e integridade (IT Governance Institute, 2007)
  19. 19. Responsabilidade peloscontroles (IT Governance Institute, 2007)
  20. 20. Como estão nossos controles? Controles de negócio Controles de TI Controles de aplicações
  21. 21. Dirigido por métricas• Modelos de maturidade – Possibilitam benchmarking e identificação das necessidades de melhoria• Metas e indicadores de processos – Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC• Metas de atividades – Direcionam o desempenho efetivo dos processos (IT Governance Institute, 2007)
  22. 22. Modelo de maturidade• Os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações – Esses níveis não estabelecem patamares evolutivos, onde não se pode alcançar um nível superior sem antes passar pelos inferiores• A partir dos níveis de maturidade descritos para cada um dos 34 processos, é possível identificar – O desempenho real da organização (onde estamos) – A situação atual de organizações similares (benchmarking) – Os avanços possibilitados pelos padrões e modelos disponíveis no mercado – A meta para melhoria do processo da organização (onde queremos estar) (IT Governance Institute, 2007)
  23. 23. Modelo de maturidadeNonexistent Initial Repeatable Defined Managed Optimised 0 1 2 3 4 5 Legend for Symbols Used Legend for Rankings Used Enterprise current status 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. International standard guidelines 2 - Processes follow a regular pattern. Industry best practice 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. Enterprise strategy 5 - Best practices are followed and automated. (IT Governance Institute, 2007)
  24. 24. Modelo de maturidade• Nível 0 – Inexistente – Ausência de processos identificáveis – A organização não reconhece que existe uma questão a ser tratada• Nível 1 – Inicial/Ad-hoc – A organização reconhece que existe uma questão a ser tratada – Abordagens improvisadas tendem a ser aplicadas a situações individuais – A gerência do processo é desorganizada (IT Governance Institute, 2007)
  25. 25. Modelo de maturidade• Nível 2 – Repetível mas intuitivo – Os processos se desenvolveram de modo que procedimentos similares são executados por pessoas diferentes que realizam a mesma tarefa – Não existe treinamento ou repasse formal de procedimentos, a responsabilidade é deixada a cargo do indivíduo – Existe alta dependência do conhecimento individual, o que gera grande probabilidade de falhas• Nível 3 – Processo definido – Procedimentos padronizados, documentados e comunicados por meio de treinamentos – Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados – Os procedimentos não são sofisticados, mas apenas formalização de práticas existentes (IT Governance Institute, 2007)
  26. 26. Modelo de maturidade• Nível 4 – Gerenciado e mensurável – É possível monitorar e medir a conformidade de procedimentos, para agir quando os processos não estiverem funcionando de forma eficaz – Os processos sofrem melhorias constantes e estabelecem boas práticas – Ferramentas automatizadas são usadas de forma limitada ou fragmentada• Nível 5 – Otimizado – Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações – A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos (IT Governance Institute, 2007)
  27. 27. Onde queremos chegar?Nonexistent Initial Repeatable Defined Managed Optimised 0 1 2 3 4 5 Legend for Symbols Used Legend for Rankings Used Enterprise current status 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. International standard guidelines 2 - Processes follow a regular pattern. Industry best practice 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. Enterprise strategy 5 - Best practices are followed and automated. (IT Governance Institute, 2007)
  28. 28. Metas e indicadores• Metas e indicadores são definidos em três níveis – Metas e indicadores de TI, que definem o que o negócio espera da TI – Metas e indicadores de processos, que definem o que cada processo de TI deve entregar para suportar as metas de TI – Metas e indicadores de atividades, que definem o que deve ser realizado no âmbito de cada processo para alcançar o desempenho esperado• São definidos dois tipos de indicadores – Métricas de resultado (antigo KGI), que indicam se as metas foram alcançadas – Indicadores de desempenho (antigo KPI), que indicam se as metas poderão ser alcançadas (IT Governance Institute, 2007)
  29. 29. Metas e indicadores (IT Governance Institute, 2007)
  30. 30. Metas e indicadores (IT Governance Institute, 2007)
  31. 31. Balanced Scorecard para TI Precisamos de um? Estamos prontos para isso? Há os insumos necessários?
  32. 32. Estrutura conceitual básica (IT Governance Institute, 2007)
  33. 33. COBIT e Governança de TI Modelos de Metas Indicadores Práticas maturidadeAlinhamentoestratégico    Agregação de valor    Gerência de riscos    Gerência de recursos     Medição dedesempenho      = Foco primário  = Foco secundário  = Não se aplica (IT Governance Institute, 2007)
  34. 34. Visão geral do modelo (IT Governance Institute, 2007)
  35. 35. Detalhamento do conteúdo• Para cada processo, o COBIT apresenta – Objetivos do processo – Indicadores – Critérios de informação – Objetivos de controle atendidos – Relação entre processos – Recursos de TI (entradas e saídas) gerenciados – Matriz RACI (Responsible, – Áreas de governança Accountable, Consulted, afetadas Informed) – Metas de TI associadas – Metas e indicadores – Metas do processo – Modelo de maturidade – Metas de atividades
  36. 36. Utilização do conteúdo• As entradas indicam o que o dono do processo deve requerer dos outros processos• Os objetivos de controle descrevem o que o dono do processo precisa garantir que seja feito• A matriz RACI define o que deve ser delegado pelo dono do processo e para quem• As saídas indicam quais produtos o dono do processo deve entregar e para quais processos• As metas e indicadores mostram como o processo deve ser monitorado e avaliado• O modelo de maturidade mostra o que pode ser feito para melhorar o processo
  37. 37. Exemplo do conteúdo Planejamento e OrganizaçãoDefinir um plano estratégico de TI
  38. 38. Domínios e processos Objetivos de Negócios Governança de TI Informação Monitoramento Planejamento e Avaliação Recursos de TI e Organização Entrega e Aquisição e Suporte Implementação (IT Governance Institute, 2007)
  39. 39. Planejamento e organização• PO1 Definir um plano estratégico de TI• PO2 Definir a arquitetura de informação• PO3 Determinar a direção tecnológica• PO4 Definir processos, organização e relacionamentos• PO5 Gerenciar o investimento em TI• PO6 Comunicar metas e diretivas gerenciais• PO7 Gerenciar recursos humanos de TI• PO8 Gerenciar qualidade• PO9 Avaliar e gerenciar riscos• PO10 Gerenciar projetos (IT Governance Institute, 2007)
  40. 40. Aquisição e implementação• AI1 Identificar soluções• AI2 Adquirir e manter aplicações• AI3 Adquirir e manter infraestrutura tecnológica• AI4 Viabilizar operação e uso• AI5 Adquirir recursos de TI• AI6 Gerenciar mudanças• AI7 Instalar e certificar sistemas e mudanças (IT Governance Institute, 2007)
  41. 41. Entrega e suporte• DS1 Definir e gerenciar níveis de serviços• DS2 Gerenciar serviços de terceiros• DS3 Gerenciar performance e capacidade• DS4 Garantir continuidade dos serviços• DS5 Garantir segurança dos sistemas• DS6 Identificar e alocar custos• DS7 Educar e treinar usuários• DS8 Gerenciar service desk e incidentes• DS9 Gerenciar a configuração• DS10 Gerenciar problemas• DS11 Gerenciar dados• DS12 Gerenciar o ambiente físico• DS13 Gerenciar a operação (IT Governance Institute, 2007)
  42. 42. Monitoramento e avaliação• ME1 Monitorar e avaliar o desempenho da TI• ME2 Monitorar e avaliar os controles internos• ME3 Assegurar conformidade regulatória• ME4 Prover governança de TI (IT Governance Institute, 2007)
  43. 43. Cobit x Sarbanes-Oxley
  44. 44. Cobit x Sarbanes-Oxley
  45. 45. Cobit x Sarbanes-Oxley• AI2 Adquirir e manter aplicações• AI3 Adquirir e manter infraestrutura tecnológica• AI4 Viabilizar operação e uso• AI6 Gerenciar mudanças• AI7 Instalar e certificar sistemas e mudanças• DS1 Definir e gerenciar níveis de serviços• DS2 Gerenciar serviços de terceiros• DS5 Garantir segurança dos sistemas• DS8 Gerenciar service desk e incidentes• DS9 Gerenciar a configuração• DS10 Gerenciar problemas• DS11 Gerenciar dados• DS12 Gerenciar o ambiente físico• DS13 Gerenciar a operação (IT Governance Institute, 2006)
  46. 46. Quais processos são maisimportantes para o TCU?
  47. 47. Tribunal de Contas da União Secretaria de Tecnologia da InformaçãoGovernança de Tecnologia da Informação:conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos de trabalho e da participação nas ações de Controle Externo, com aplicação de conhecimentos especializados em Tecnologia da Informação

×