Your SlideShare is downloading. ×
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Curso Cobit 4.1 completo Confidentia
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Curso Cobit 4.1 completo Confidentia

248

Published on

Curso Fundamentos Cobit 4.1, inclui Val IT

Curso Fundamentos Cobit 4.1, inclui Val IT

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
248
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
    A lei Sarbanes-Oxley fornece a base para novas regras, regulamentos e padrões para governança corporativa emitidas pela SEC.
    Diferente de outras atividades de controle pontuais (ex:Y2K), a atividade da Sarbanes-Oxley continuará como parte da rotina dos negócios.
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    151151
  • Confidentia IT Solutions - Curso COBIT
    152152
  • Confidentia IT Solutions - Curso COBIT
    152152
  • Confidentia IT Solutions - Curso COBIT
    152152
  • Confidentia IT Solutions - Curso COBIT
    152152
    The development was guided by the Software Engineering Institute’s efforts in the late 80’s in building maturity models for software development. The Management Guidelines expand this basic concept by applying it to the management of IT processes. The principles were used to define a set of levels that allow an organisation to assess where it is relative to the control and governance over IT. These levels are presented on a scale that moves from non-existent, on the left, to optimized, on the right.
    By using such a scale, an organisation can determine where it is, define where it wants to go and, if it identifies a gap, it can do an analysis to translate the findings into projects. Reference points can be added to the scale. Comparisons can be performed with what others are doing, if that data is available, and the organisation can determine where emerging international standards and industry best practices are pointing for the effective management of security and control.
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    154154
  • Confidentia IT Solutions - Curso COBIT
    154154
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Confidentia IT Solutions - Curso COBIT
    <número><número>
  • Transcript

    • 1. Novembro/2005 FUNDAMENTOS DO COBIT v4.1
    • 2. Novembro/2005 Paulo César Rodrigues CGEIT®, CISA®, CISM® Mais de 20 anos de experiência técnica e executiva nas áreas de TI, Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresas como Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia de Processamento de Dados pela UNICAMP. Vivência em projetos nos USA, Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos de Governança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit, ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores oficiais Cobit® Foundations no Brasil. Foi Diretor de Educação e Certificação do Capítulo ISACA – Brasília.
    • 3. Novembro/2005 Possuindo atualmente cerca de 80 clientes em sua carteira, nos quais executamos negócios com alto padrão de qualidade e ética. PRINCIPAIS CLIENTES
    • 4. Novembro/2005 Agenda q Desafios das organizações q Desafios de TI q Governança q COBIT q Domínios, processos, critérios e recursos de TI q Modelo de Maturidade qIndicadores de metas e de desempenho q Processos de TI q Outros modelos (ISO1-7799, SIX SIGMA, COSO etc.)
    • 5. Novembro/2005 O que é Cobit ? COBIT
    • 6. Novembro/2005 COBIT • Desenvolvido pela ISACA • Mantido pelo Instituto de Governança de TI (ITGI) • Principais características: • FOCADO EM NEGÓCIO • ORIENTADO POR PROCESSOS DE TI • BASEADO EM CONTROLES • CONDUZIDO POR MÉTRICAS E MEDIÇÕES C Control OB OBjectives I for Information T and related Technology
    • 7. Novembro/2005 Desafios das organizações Quais são os desafios ?
    • 8. Novembro/2005 Atender Órgãos reguladores Aumentar Carteira de clientes Aprimorar a Prestação de serviços Preservar os Acionistas Desafios das Organizações Executivo Reduzir Custos
    • 9. Novembro/2005 Click to edit Master text styles Second level ● Third level ● Fourth level ● Fifth level Como garantir o alinhamento de TI ao negócio? Como garantir conformidade com os requerimentos SOX? Como conseguir demonstrar os ganhos de produtividade? Como facilitar a venda dos projetos de TI? Como priorizá-los? Quais as maneiras de preparar a organização para um outsourcing? Como conciliar os interesses conflitantes das várias áreas da organização? Quais métricas utilizar para demonstrar aos acionistas os resultados obtidos por TI? Como responder com agilidade às demandas de negócio mantendo padrões de qualidade e segurança? Como conciliar a necessidade de uma visão de longo prazo com a cobrança pelos resultados no curtíssimo prazo? Como garantir uma análise aceitável de riscos ? Que métodos ou guias podemos utilizar para uma gestão efetiva de TI? Desafios de TI
    • 10. Novembro/2005 Desafios de TI Uma pesquisa do ITGI dirigida a CEOs identificou cinco preocupações básicas: DESEMPENHO DE TI ABAIXO DO ESPERADO FALHAS OPERACIONAIS DAS SOLUÇÕES DE TECNOLOGIA PROBLEMAS DE PREENCHIMENTO DE VAGAS ALTO CUSTO DE TI COM BAIXO RETORNO SOBRE INVESTIMENTO DESCONEXÃO ENTRE A ESTRATÉGIA DE TI E A COMERCIAL
    • 11. Novembro/2005 Desafios de TI Criar e manter um Identificar corretamente os Identificar o foco da necessidade do Negócios de modo a Manter-se atualizado Administrar Estar a frente da Administrar contratos Identificar e praticar níveis adequados de Identificar com o Negócio suas Manter a empresa em Garantir a presença de Equacionar níveis adequados de Retorno sobre Investimento
    • 12. Novembro/2005 Governança Mas, e nas empresas de sucesso? Qual é o segredo?
    • 13. Novembro/2005 Governança As empresas bem sucedidas têm um conjunto de elementos comum que se refere ao gerenciamento dos riscos associados a gerência da informação. A estratégia de TI é alinhada com a estratégia de negócios.
    • 14. Novembro/2005 Governança A estratégia de TI é alinhada com a estratégia de negócios. Conexão em cascata de cima para baixo da estratégia corporativa com os objetivos de TI. As empresas bem sucedidas têm um conjunto de elementos comum que se refere ao gerenciamento dos riscos associados a gerência da informação.
    • 15. Novembro/2005 Governança A estratégia de TI é alinhada com a estratégia de negócios. Conexão em cascata de cima para baixo da estratégia corporativa com os objetivos de TI. Fornecimento de estruturas organizacionais que facilitem a execução da estratégia e dos objetivos de TI. As empresas bem sucedidas têm um conjunto de elementos comum que se refere ao gerenciamento dos riscos associados a gerência da informação.
    • 16. Novembro/2005 Governança A estratégia de TI é alinhada com a estratégia de negócios. Conexão em cascata de cima para baixo da estratégia corporativa com os objetivos de TI. Fornecimento de estruturas organizacionais que facilitem a execução da estratégia e dos objetivos de TI. Possuem mecanismos eficientes e eficazes de medição de desempenho. As empresas bem sucedidas têm um conjunto de elementos comum que se refere ao gerenciamento dos riscos associados a gerencia da informação.
    • 17. Novembro/2005 Governança A estratégia de TI é alinhada com a estratégia de negócios. Conexão em cascata de cima para baixo da estratégia corporativa com os objetivos de TI. Fornecimento de estruturas organizacionais que facilitem a execução da estratégia e dos objetivos de TI. Criaram relacionamentos construtivos e comunicações eficazes entre as áreas de Negócio, de TI, e com os parceiros externos. Possuem mecanismos eficientes e eficazes de medição de desempenho. As empresas bem sucedidas têm um conjunto de elementos comum que se refere ao gerenciamento dos riscos associados a gerencia da informação.
    • 18. Novembro/2005 Governança 1. Possuir uma ligação clara entre os objetivos de TI e às exigências das áreas de negócio. 2. Possuir parâmetros de desempenho de TI relacionados ao desempenho do negócio. 3. Organizar suas atividades baseados em um modelo de processo amplamente aceito de modo a identificar os recursos principais que devam ser aprimorados. 4. Definir os objetivos do controle da gerência que devem ser considerados. 5. Governança de TI e as Estruturas de Controle são vistas como parte do conjunto de “Melhores Práticas de Gestão de TI” e assim, estes frameworks atuam como habilitadores para um continuo alinhamento com exigências regulatórias. A estrutura de Governança da empresa precisa atender a cinco requisitos básicos:
    • 19. Novembro/2005 Governança 1. Possuir uma ligação clara entre os objetivos de TI e às exigências das áreas de negócio. 2. Possuir parâmetros de desempenho de TI relacionados ao desempenho do negócio. 3. Organizar suas atividades baseados em um modelo de processo amplamente aceito de modo a identificar os recursos principais que devam ser aprimorados. 4. Definir os objetivos do controle da gerência que devem ser considerados. 5. Governança de TI e as Estruturas de Controle são vistas como parte do conjunto de “Melhores Práticas de Gestão de TI” e assim, estes frameworks atuam como habilitadores para um continuo alinhamento com exigências regulatórias. A estrutura de Governança da empresa precisa atender a cinco requisitos básicos:
    • 20. Novembro/2005 Governança 1. Possuir uma ligação clara entre os objetivos de TI e às exigências das áreas de negócio. 2. Possuir parâmetros de desempenho de TI relacionados ao desempenho do negócio. 3. Organizar suas atividades baseados em um modelo de processo amplamente aceito de modo a identificar os recursos principais que devam ser aprimorados. 4. Definir os objetivos do controle da gerência que devem ser considerados. 5. Governança de TI e as Estruturas de Controle são vistas como parte do conjunto de “Melhores Práticas de Gestão de TI” e assim, estes frameworks atuam como habilitadores para um continuo alinhamento com exigências regulatórias. A estrutura de Governança da empresa precisa atender a cinco requisitos básicos:
    • 21. Novembro/2005 Governança 1. Possuir uma ligação clara entre os objetivos de TI e às exigências das áreas de negócio. 2. Possuir parâmetros de desempenho de TI relacionados ao desempenho do negócio. 3. Organizar suas atividades baseados em um modelo de processo amplamente aceito de modo a identificar os recursos principais que devam ser aprimorados. 4. Definir os objetivos do controle da gerência que devem ser considerados. 5. Governança de TI e as Estruturas de Controle são vistas como parte do conjunto de “Melhores Práticas de Gestão de TI” e assim, estes frameworks atuam como habilitadores para um continuo alinhamento com exigências regulatórias. A estrutura de Governança da empresa precisa atender a cinco requisitos básicos:
    • 22. Novembro/2005 Governança 1. Possuir uma ligação clara entre os objetivos de TI e às exigências das áreas de negócio. 2. Possuir parâmetros de desempenho de TI relacionados ao desempenho do negócio. 3. Organizar suas atividades baseados em um modelo de processo amplamente aceito de modo a identificar os recursos principais que devam ser aprimorados. 4. Definir os objetivos do controle da gerência que devem ser considerados. 5. Governança de TI e as Estruturas de Controle são vistas como parte do conjunto de “Melhores Práticas de Gestão de TI” e assim, estes frameworks atuam como habilitadores para um continuo alinhamento com exigências regulatórias. A estrutura de Governança da empresa precisa atender a cinco requisitos básicos:
    • 23. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 24. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 25. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 26. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 27. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 28. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 29. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas, como desenvolvimento, para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 30. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 31. Novembro/2005 Governança 1. Os entregáveis de TI devem realçar seu valor diante dos acionistas. 2. Crescente interesse no aumento do nível das despesas da área de TI. 3. Necessidade de conformidade com exigências regulatórias (ex: Sarbanes-Oxley, Basiléia II e Solvência II). 4. Melhor definição e seleção de fornecedores de serviço. 5. Riscos relacionados a TI cada vez mais complexos. 6. Adoção de frameworks de controle com o objetivo de monitorar e melhorar atividades críticas. 7. Padronização em áreas especialistas,como desenvolvimento para aprimorar a relação custo x benefício. 8. A maturidade crescente e a aceitação por parte do mercado de estruturas de controle como COBIT, ITIL, ISO 17799, ISO 9001, CMM e PRINCE2. 9. Necessidade de benchmarking para avaliar como estão executando seus processos de TI em confronto aos padrões geralmente aceitados. O uso de frameworks e boas práticas tem em vista os seguintes requerimentos:
    • 32. Novembro/2005 Desafios de TI O que a empresa espera da área de TI ? ATIVIDADE
    • 33. Novembro/2005 Governança Que relação existe com o Planejamento Estratégico? Quais sinônimos você relacionaria ao termo Governança ? ATIVIDADE Quais são os elementos essenciais para se ter Governança? Que tipo de benefício é possível ter com Governança?
    • 34. Novembro/2005 Governança Corporativa é o sistema pelo qual as sociedades são dirigidas e monitoradas, envolvendo os relacionamentos entre Acionistas/Cotistas, Conselho de Administração, Diretoria, Auditoria Independente e Conselho Fiscal. As boas práticas de governança corporativa têm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade. (IBGC) Governança
    • 35. Novembro/2005 Governança Princípios da Governança Corporativa:  Transparência  Eqüidade  Prestação de contas (accountability)  Responsabilidade Corporativa
    • 36. Novembro/2005 Governança E st a é gi a E st a é gi a T á i c a T á i c a O p e a ç ã o O p e a ç ã o
    • 37. Novembro/2005 SIMPLES FLEXÍVEL COM CONTROLES FACTÍVEIS PADRONIZADO GOVERNANÇA DE TI Governança – Modelo Como deve ser um modelo de Governança de TI?
    • 38. Novembro/2005 Transparência Eficiência Eficácia GOVERNANÇA DE TI Transparência Eficiência Prestação de ContasProteção dos Investidores Eqüidade GOVERNANÇA CORPORATIVA Governança – O que é? Confiabilidade Valor Foco no Negócio
    • 39. Novembro/2005 Estrutura de relacionamento e processos para dirigir e controlar a empresa em função de alcançar seus objetivos por ADICIONAR VALOR enquanto EQUILIBRA O RISCO versus o RETORNO sobre os investimentos de TI e seus processos Governança – O que é? Governança de TI É um conjunto de processos e controles que direcionam a TI a um adequado suporte às estratégias e objetivos de negócio das empresas. Para o ITGI Definição
    • 40. Novembro/2005 PROCESSOS orientados pelo NEGÓCIO Governança – O que é? Elementos Fundamentais: Definições de Níveis de Responsabilidade pelo processo baseada em COMPROMETIMENTO, INFLUÊNCIA e COMPETÊNCIA.
    • 41. Novembro/2005 Governança – O que é? Quem é Responsável: É responsabilidade dos executivos e do grupo de diretores. Consiste de: y Liderança, y Estruturas Organizacionais e y Processos. Estes asseguram a: y Manutenção, y Execução, y Extensão das estratégias e objetivos da organização y
    • 42. Novembro/2005 Governança – Como se sustêm? COMITÊ DE TECNOLOGIA O Comitê de Tecnologia é responsável por dar o feedback a TI de como está a qualidade dos serviços, estabelecimento conjunto de SLAs, acompanhamento (SLM), alinhamento com o Plano Estratégico da empresa. Mensuração de desempenho compreende definição de métricas e objetivos alinhados as necessidades do negócio, sua utilização através de medições periódicas, benchmarking, avaliações de satisfação de clientes. MENSURAÇÃO DE DESEMPENHO GESTÃO DE RISCOS A Gestão de Riscos envolve o levantamento dos riscos associados ao não cumprimento dos objetivos de controles, as fraquezas dos controles, impactos potenciais, ameaças e vulnerabilidades, medidas de melhorias de controles e mitigação de riscos.
    • 43. Novembro/2005 É fundamentada em: PROCESSOS PESSOAS TECNOLOGIA Governança de TI Melhores práticas de Governança de TI
    • 44. Novembro/2005 TecnologiaPessoas Processos Os principais objetivos da governança só podem ser conseguidos por meio da melhor utilização dos seguintes recursos: Usuários, clientes, equipe de TI e gerentes. Todos estão incluídos nesta categoria. Comunicação, treinamento e definições claras de papéis e responsabilidades, para todas as partes envolvidas, são essenciais para a utilização deste valioso recurso. Os processos são o coração da organização de TI, pois concentra as atividades de operação do dia-a-dia, planejamento e melhoria dos serviços. Deve ser considerado como recurso auxiliar na implantação de um modelo de gestão. A simples utilização não quer dizer que se está trabalhando adequadamente. “Um tolo com uma ferramenta/tecnologia continua um tolo” (Hewlett Packard White Paper) Melhores práticas de Governança de TI
    • 45. Novembro/2005 q A governança permite uma maior agilidade operacional e uma resposta rápida e eficiente as demandas. q Os controles propiciam um modelo para as áreas das empresas e, em especial TI, aprimorarem os quesitos de eficiência, segurança, produtividade, acuracidade e disponibilidade dos processos. Governança – Auxilia Em síntese temos:
    • 46. Novembro/2005 Um modelo ideal de Governança de TI deve oferecer uma estrutura de controle que responda as seguintes questões: TI esta alinhada com o negócio? TI viabiliza o negócio e maximiza as vantagens? Os recursos de TI são usados com responsabilidade? Os riscos inerentes a TI são gerenciados apropriadamente? Governança – Auxilia O que precisa ser revisto nas estruturas de controle?
    • 47. Novembro/2005 Governança – O que é? Estas questões podem ser resolvidas com um conjunto de ações e processos que foquem as seguintes áreas
    • 48. Novembro/2005 Governança – ÁREAS DE FOCO ALINHAMENTO ESTRATÉGICO Garantir o elo entre o negócio e o Planejamento de TI. Isto se dá por meio de definições, manutenção e validação da proposição de valor de TI. Garante o alinhamento da operação de TI com as operações do negócio.
    • 49. Novembro/2005 VALOR ENTREGUE Refere-se à execução das ações que garantam a Proposta ou proposição de valor de TI durante todo o ciclo da entrega. Esta disciplina assegura que TI entregue os benefícios prometidos segundo a estratégia definida, com otimização dos custos e provendo o valor intrínseco da tecnologia de informação. Governança – ÁREAS DE FOCO
    • 50. Novembro/2005 GERENCIA DE RECURSOS Visa gerenciar e maximizar o investimento em recursos críticos da tecnologia de informação. Estes recursos compreendem Aplicações, Informação, Infra- estrutura e Pessoas. Governança – ÁREAS DE FOCO
    • 51. Novembro/2005 GERENCIAMENTO DE RISCOS Envolve garantir a plena consciência do corpo diretivo da empresa quanto aos riscos relacionados às estratégias de TI. Visa oferecer um entendimento claro dos níveis de risco aceitáveis, da necessidade de conformidade com normas e leis, transparência sobre os riscos significativos à empresa e as responsabilidades da Gerência de Risco na organização. Governança – ÁREAS DE FOCO
    • 52. Novembro/2005 MEDIÇÃO DE DESEMPENHO A Medição do Desempenho rastreia e monitora a execução da estratégia, a conclusão do projeto, o uso dos recursos, o desempenho dos processos e a entrega do serviço. Ela usa, por exemplo, os Balanced Scorecards. Estes são coletados pela TI e baseados informações de finanças, clientes, processos e o conhecimento gerencial de vários stakeholders. Este método fornece um retrato global de onde a organização está e para onde ela está indo. Usando um BSC, a TI se alinhará com as necessidades do negócio. Os Balanced Scorecards ajudam a mostrar o valor entregue pela TI, suas capacidades, riscos e performance. Governança – ÁREAS DE FOCO
    • 53. Novembro/2005 Exercício
    • 54. Novembro/2005 Como traduzir os elementos da Governança de TI em valores práticos? Governança – Benefício Prático
    • 55. Novembro/2005 SARBOX – UM NOVO ELEMENTO NA GOVERNANÇA
    • 56. Novembro/2005 O ato Sarbanes-Oxley, elaborado pelo senador americano Paul Sarbanes e o representante Michael Oxley, tornou-se lei em 30 de julho de 2002 e introduziu mudanças significativas à governança corporativa e ao cenário financeiro, visando “proteger os investidores através da melhoria dos processos que geram as demonstrações financeiras” . Outro objetivo é “deter e punir a fraude e corrupção corporativa, garantindo a justiça e protegendo os interesses dos trabalhadores e acionistas” (Presidente Bush). Sarbanes-Oxley
    • 57. Novembro/2005 Sarbanes-Oxley INFORMAÇÕES FINANCEIRAS Relatórios financeiros acurados e dentro do prazo legal LEI SARBANES-OXLEY necessidade de controles internos efetivos e instituição da responsabilidade pessoal dos executivos das empresas Maior dependência da qualidade e integridade das informações geradas pelos sistemas de TI. Aspectos de maior impacto no médio e curto prazo = conformidade com seções 302 e 404 AÇÕES DAS EMPRESAS Demonstrar a existência de controles efetivos sobre os dados financeiros através da substituição no médio prazo de controles manuais por automatizados.
    • 58. Novembro/2005 Papel da TI perante a Sarbanes - Oxley Governança de TI Controles Internos eficientes 100% compliance com a Sarbanes - Oxley MELHORES PRÁTICAS
    • 59. Novembro/2005 COBIT Como é a estrutura do COBIT?
    • 60. Novembro/2005 • Desenvolvido pela ISACA • Mantido pelo Instituto de Governança de TI (ITGI) • Principais características: • FOCADO EM NEGÓCIO • ORIENTADO POR PROCESSOS DE TI • BASEADO EM CONTROLES • CONDUZIDO POR MÉTRICAS E MEDIÇÕES C Control OB OBjectives I for Information T and related Technology COBIT
    • 61. Novembro/2005 MISSÃO DO COBIT: “Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores” C Control OB OBjectives I for Information T and related Technology COBIT
    • 62. Novembro/2005 Ajudar no atendimento das necessidades da administração, cobrindo as defasagens entre riscos de negócio, requisitos de controle e questões técnicas relacionadas à TI. Este guia proporciona as melhores práticas para Governança de TI. O COBIT é baseado na definição de Objetivos de Controle de Processos de TI, que por sua vez podem ser definidos como: “Uma declaração sobre o resultado desejado ou propósito a ser alcançado pela implementação de procedimentos de controle em atividades específicas à Tecnologia da Informação.” Objetivo do COBIT
    • 63. Novembro/2005 COBIT em resumo FOCO NO NEGÓCIO CONFORMIDADE LEGAL LINGUAGEM COMUM BOAS PRÁTICAS ORIENTADO POR PROCESSOS As características fundamentais do COBIT e que o caracterizam como um Control Framework são:
    • 64. Novembro/2005 Estas praticas ajudarão a: 1. Otimizar investimentos habilitados por TI. 2. Estabelece relacionamento entre os Processos de TI e os requisitos de negócios 3. Organiza as atividades de TI em modelos de processos aceitos amplamente 4. Identifica os principais recursos de TI a serem valorizados 5. Define os objetivos de controle de gestão a serem considerados COBIT em resumo
    • 65. Novembro/2005 COBIT NO TEMPO: 1996 Primeira edição do COBIT ISACA lança um conjunto de objetivos de controle para as aplicações de negócio 1998 Segunda versão do COBIT Inclusa uma ferramenta de suporte a implementação e a especificação de objetivos de alto nível e de detalhe 2000 COBIT v3 Adicionado normas e guias associadas a gestão. O ITGI torna-se o principal editor do framework 2002 Sarbanes-Oxley Act O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoção do COBIT nos Estados Unidos e empresas globais que atuam nos EUA 2005 COBIT v4 Melhoria dos controles para assegurar a segurança e disponibilidade dos ativos de TI na organização. História do COBIT
    • 66. Novembro/2005 Guia completo para a administração, gestores, usuários e auditores, que visa a otimização dos recursos de TI. A versão quatro do COBIT foca em seis padrões básicos de Gerenciamento de TI, a saber: Visão geral do COBIT Committee of Sponsoring Organisations of the Treadway Commission (COSO): Internal Control—Integrated Framework, 1994 Enterprise Risk Mangement—Integrated Framework, 2004 Office of Government Commerce (OGC®): IT Infrastructure Library® (ITIL®), 1999-2004 International Organisation for Standardisation: ISO/IEC 17799:2005, Code of Practice for Information Security Management Software Engineering Institute (SEI®): SEI Capability Maturity Model (CMM®), 1993 SEI Capability Maturity Model Integration (CMMI®), 2000 Project Management Institute (PMI®): Project Management Body of Knowledge (PMBOK®), 2000 Information Security Forum (ISF): The Standard of Good Practice for Information Security, 2003
    • 67. Novembro/2005 As melhores práticas do COBIT representam o consenso de especialistas. Elas são fortemente focadas em controle e menos em execução. COBIT em resumo
    • 68. Novembro/2005 A Composição do CobiT ALGUNS CONCEITOS SOBRE O COBIT
    • 69. Novembro/2005 Efetividade (eficácia): Lida com a relevância da informação e pertinência aos processos de negócio bem como a sua entrega em prazo apropriado, de forma correta, precisa, consistente e em formato adequado para utilização. Critérios de Informação Eficiência: Refere-se à provisão da informação através da melhor (mais produtiva e com menor custo) forma de utilização dos recursos. Confidencialidade: Refere-se à proteção de informação considerada privilegiada contra divulgação não autorizada. Integridade: Relaciona-se com a precisão e exatidão da informação, bem como sua validade de acordo com os padrões e expectativas de negócio estabelecidos. Principais conceitos Disponibilidade: Relaciona-se a prover a informação no momento em que for requerida pelos processos de negócio, o que inclui também a salvaguarda dos recursos. Conformidade: Lida com o cumprimento das leis, regulamentos e cláusulas contratuais aos quais um determinado processo de negócio está sujeito. (O foco está em atender regulamentações externas). Confiabilidade: Relaciona-se ao fornecimento, por parte dos sistemas, de informações apropriadas aos gerentes para a tomada de decisões, relatórios financeiros precisos e informações adequadas aos órgãos normatizadores sobre o cumprimento das leis.
    • 70. Novembro/2005 Requisitos do Negócio para a Informação O conjunto de critérios da informação compõe um conjunto mais simples, o dos Requisitos do Negócio para a Informação. Requisitos de Qualidade Efetividade Eficiência Disponibilidade Requisitos Fiduciários Efetividade e eficiência das Operações Confiabilidade das Informações Conformidade com Leis e Regulamentos Requisitos de Segurança Confidencialidade Integridade Disponibilidade Principais conceitos
    • 71. Novembro/2005 Aplicações são os sistemas automatizados do usuário e procedimentos manuais que processam informação. Informação é o dado em todas suas formas de entrada, processamento e saída pelos sistemas de informação, seja qual for a maneira que seja usado pelo negócio. Infraestrutura é a tecnologia e facilidades (hardware, sistemas operacionais, sistemas de gerenciamento de bancos de dados, rede, multimedia, etc., e o ambiente que os contém e suporta) que possibilitam o processamento das aplicações. Pessoas são o pessoal necessário para planejar, organizar, adquirir, implantar, entregar, suportar, monitorar e avaliar a informação, sistemas e serviços. Podem ser internos, terceirizados ou contratados sob demanda. Recursos de Tecnologia da Informação Principais conceitos
    • 72. Novembro/2005 As métricas do COBIT Principais conceitos
    • 73. Novembro/2005 As métricas do COBIT Principais conceitos Outcome Measure ● Indicadores de meta – são medidas pré- definidas que indicam se um processo de TI alcançou o requisito do negócio. ● Os KGIs para TI são os drivers de negócio, usualmente suportam as perspectivas financeiras e clientes, são medidas que refletem se atingiu-se a meta, são medidas após o fato ocorrido, usualmente expressos nos seguintes termos: ● Disponibilidade das informações necessárias para suportar as necessidades de negócios; ● Riscos de falta de integridade e confidencialidade das informações; ● Eficiência nos custos dos processos e operações; ● Confirmação de confiabilidade, efetividade e conformidade das informações.
    • 74. Novembro/2005 As métricas do COBIT Principais conceitos Outcome Measure ● Key Goal Indicators (KGIs). Exemplos de KGIs: ● Aumento do Nível de entrega de serviço ● Número de clientes e custo por cliente atendido ● Disponibilidade dos sistemas e serviços ● Ausência de integridade e riscos de confidencialidade ● Confirmação da confiabilidade e eficácia ● Aderência ao custo de desenvolvimento e prazo ● Custo-eficiência do processo ● Produtividade da equipe ● Número de mudanças aplicadas na hora certa nos processos e sistemas ● Aumento da produtividade
    • 75. Novembro/2005 As métricas do COBIT Principais conceitos KPI - Principais Indicadores de Desempenho Define quão bem está o desempenho dos processos de TI em alinhamento ao que foi definido como objetivo. Não indicam diretamente o sucesso em alcançar os resultados definidos para o processo, mas em conjunto podem fazê-lo. São medidas antes do fato.
    • 76. Novembro/2005 As métricas do COBIT Principais conceitos KPI - EXEMPLOS Processo Disponibilidade do processo e do sistema Desenvolvimento dentro do prazo e no custo Tempos de respostas Quantidade de erros e retrabalho Financeiro Número de Clientes de TI Custo por Cliente de TI Custo-eficiência do serviço de TI Entrega de valor de TI por funcionário Cliente Nível de Entrega de Serviço Satisfação do cliente Número de novos clientes Número de novos canais de serviço Aprendizado Produtividade da Equipe Número de pessoas treinadas em uma nova tecnologia Valor entregue por funcionário Aumento da disponibilidade do conhecimento
    • 77. Novembro/2005 A Composição do CobiT COMO O COBIT É ENTREGUE?
    • 78. Novembro/2005 210 (Versão 4.1) OBJETIVOS DE CONTROLE 34 PROCESSOS FOCO DA GOVERNANÇA DOMÍNIOS DE TI PROCESSOS DE TI PROCESSOS DETALHADOS ou BOAS PRÁTICAS DE TI CRITERIOS DA INFORMAÇÃO RECURSOS DE TI Principais conceitos
    • 79. Novembro/2005 Principais conceitos
    • 80. Novembro/2005 Principais conceitos
    • 81. Novembro/2005 O CONJUNTO DE PROCESSOS DE TI NO COBIT COBIT
    • 82. Novembro/2005 COBIT P L A N A N D O R G A N I S E PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks - PROVA PO10 Manage Projects - PROVA
    • 83. Novembro/2005 COBIT PO1 Define a Strategic IT Plan IT strategic planning is required to manage and direct all IT resources in line with the business strategy and priorities. The IT function and business stakeholders are responsible for ensuring that optimal value is realised from project and service portfolios. The strategic plan should improve key stakeholders’ understanding of IT opportunities and limitations, assess current performance and clarify the level of investment required. The business strategy and priorities are to be reflected in portfolios and executed by the IT tactical plan(s), which establishes concise objectives, plans and tasks understood and accepted by both business and IT. PO2 Define the Information Architecture The information systems function should create and regularly update a business information model and define the appropriate systems to optimise the use of this information. This encompasses the development of a corporate data dictionary with the organisation’s data syntax rules, data classification scheme and security levels. This process improves the quality of management decision making by making sure that reliable and secure information is provided, and it enables rationalising information systems resources to appropriately match business strategies. This IT process is also needed to increase accountability for the integrity and security of data and to enhance the effectiveness and control of sharing information across applications and entities.
    • 84. Novembro/2005 COBIT PO3 Determine Technological Direction The information services function should determine the technology direction to support the business. This requires the creation of a technological infrastructure plan and an architecture board that sets and manages clear and realistic expectations of what technology can offer in terms of products, services and delivery mechanisms. The plan should be regularly updated and encompasses aspects such as systems architecture, technological direction, acquisitions plans, standards, migration strategies and contingency. This enables timely responses to changes in the competitive environment, economies of scale for information systems staffing and investments as well as improved interoperability of platforms and applications. PO4 Define the IT Processes, Organisation and Relationships An IT organisation must be defined considering requirements for staff, skills, functions, accountability, authority, roles and responsibilities, and supervision. This organisation is to be embedded into an IT process framework that ensures transparency and control as well as the involvement of senior executives and business management. A strategy committee should ensure board oversight of IT and one or more steering committees, in which business and IT participate, should determine prioritisation of IT resources in line with business needs. Processes, administrative policies and procedures need to be in place for all functions, with specific attention to control, quality assurance, risk management, information security, data and systems ownership, and segregation of duties. To ensure timely support of business requirements, IT is to be involved in relevant decision processes.
    • 85. Novembro/2005 PO5 Manage the IT Investment Establish and maintain a framework to manage IT-enabled investment programmes that encompasses cost, benefits, prioritization within budget, a formal budgeting process and management against the budget. Work with stakeholders to identify and control the total costs and benefits within the context of the IT strategic and tactical plans, and initiate corrective action where needed. The process fosters partnership between IT and business stakeholders, enables the effective and efficient use of IT resources, and provides transparency and accountability into the total cost of ownership, the realisation of business benefits and the return on investment of IT-enabled investments. PO6 Communicate Management Aims and Direction Management should develop an enterprise IT control framework and define and communicate policies. An ongoing communication programme should be implemented to articulate the mission, service objectives, policies and procedures, etc., approved and supported by management. The communication supports achievement of IT objectives and ensures awareness and understanding of business and IT risks, objectives and direction. The process should ensure compliance with relevant laws and regulations. COBIT
    • 86. Novembro/2005 PO7 Manage IT Human Resources Acquire, maintain and motivate a competent workforce for creation and delivery of IT services to the business. This is achieved by following defined and agreed practices supporting recruiting, training, evaluating performance, promoting and terminating. This process is critical as people are important assets and governance and the internal control environment are heavily dependent on the motivation and competence of personnel. PO8 Manage Quality A quality management system should be developed and maintained, which includes proven development and acquisition processes and standards. This is enabled by planning, implementing and maintaining the quality management system by providing clear quality requirements, procedures and policies. Quality requirements should be stated and communicated in quantifiable and achievable indicators. Continuous improvement is achieved by ongoing monitoring, analysing and acting upon deviations, and communicating results to stakeholders. Quality management is essential to ensure that IT is delivering value to the business, continuous improvement and transparency for stakeholders. COBIT
    • 87. Novembro/2005 PO9 Assess and Manage IT Risks Create and maintain a risk management framework. The framework documents a common and agreed level of IT risks, mitigation strategies and agreed-upon residual risks. Any potential impact on the goals of the organisation caused by an unplanned event should be identified, analysed and assessed. Risk mitigation strategies should be adopted to minimise residual risk to an accepted level. The result of the assessment should be understandable to the stakeholders and expressed in financial terms, to enable stakeholders to align risk to an acceptable level of tolerance. PO10 Manage Projects Establish a programme and project management framework for the management of all IT projects. The framework should ensure the correct prioritisation and co-ordination of all projects. The framework should include a master plan, assignment of resources, definition of deliverables, approval by users, a phased approach to delivery, quality assurance, a formal test plan, and testing and post-implementation review after installation to ensure project risk management and value delivery to the business. This approach reduces the risk of unexpected costs and project cancellations, improves communications to and involvement of business and end users, ensures the value and quality of project deliverables, and maximises their contribution to IT-enabled investment programmes. COBIT
    • 88. Novembro/2005 A C Q U I R E A N D I M P L E M E N T AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use - PROVA AI5 Procure IT Resources AI6 Manage Changes - PROVA AI7 Install and Accredit Solutions and Changes COBIT
    • 89. Novembro/2005 AI1 Identify Automated Solutions The need for a new application or function requires analysis before acquisition or creation to ensure that business requirements are satisfied in an effective and efficient approach. This process covers the definition of the needs, consideration of alternative sources, review of technological and economic feasibility, execution of a risk analysis and cost- benefit analysis, and conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable organisations to minimise the cost to acquire and implement solutions whilst ensuring they enable the business to achieve its objectives. AI2 Acquire and Maintain Application Software Applications have to be made available in line with business requirements. This process covers the design of the applications, the proper inclusion of application controls and security requirements, and the actual development and configuration according to standards. This allows organisations to properly support business operations with the correct automated applications. COBIT
    • 90. Novembro/2005 AI3 Acquire and Maintain Technology Infrastructure Organisations should have processes for the acquisition, implementation and upgrade of the technology infrastructure. This requires a planned approach to acquisition, maintainance and protection of infrastructure in line with with agreed technology strategies and the provision of development and test environments. This ensures that there is ongoing technological support for business applications. AI4 Enable Operation and Use Knowledge about new systems needs to be made available. This process requires the production of documentation and manuals for users and IT, and provides training to ensure proper use and operations of applications and infrastructure. COBIT
    • 91. Novembro/2005 AI5 Procure IT Resources IT resources, including people, hardware, software and services need to be procured. This requires the definition and enforcement of procurement procedures, the selection of vendors, the setup of contractual arrangements and the actual acquisition itself. Doing so ensures that the organisation has all required IT resources in a timely and cost-effective manner. COBIT
    • 92. Novembro/2005 AI6 Manage Changes All changes, including emergency maintenance and patches, relating to infrastructure and applications within the production environment must be formally managed in a controlled manner. Changes (including procedures, processes, system and service parameters) must be logged, assessed and authorised prior to implementation and reviewed against planned outcomes following implementation. This assures mitigation of the risks of negatively impacting the stability or integrity of the production environment. AI7 Install and Accredit Solutions and Changes New systems need to be made operational once development is complete. This requires proper testing in a dedicated environment with relevant test data, definition of rollout and migration instructions, release planning and actual promotion to production, and a post- implementation review. This assures that operational systems are in line with the agreed expectations and outcomes. COBIT
    • 93. Novembro/2005 D E L I V E R A N D S U P P O R T DS1 Define and Manage Service Levels DS2 Manage Third-party Services - PROVA DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security - PROVA DS6 Identify and Allocate Costs DS7 Educate and Train Users - PROVA DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data - PROVA DS12 Manage the Physical Environment - PROVA DS13 Manage Operations COBIT
    • 94. Novembro/2005 DS1 Define and Manage Service Levels Effective communication between IT management and business customers regarding services required is enabled by a documented definition and agreement of IT services and service levels. This process also includes monitoring and timely reporting to stakeholders on the accomplishment of service levels. This process enables alignment between IT services and the related business requirements. DS2 Manage Third-party Services The need to assure that services provided by third parties meet business requirements requires an effective third-party management process. This process is accomplished by clearly defining the roles, responsibilities and expectations in third-party agreements as well as reviewing and monitoring such agreements for effectiveness and compliance. Effective management of third-party services minimises business risk associated with non-performing suppliers. DS3 Manage Performance and Capacity The need to manage performance and capacity of IT resources requires a process to periodically review current performance and capacity of IT resources. This process includes forecasting future needs based on workload, storage and contingency requirements. This process provides assurance that information resources supporting business requirements are continually available. COBIT
    • 95. Novembro/2005 DS4 Ensure Continuous Service The need for providing continuous IT services requires developing, maintaining and testing IT continuity plans, offsite backup storage and periodic continuity plan training. An effective continuous service process minimises the probability and impact of a major IT service interruption on key business functions and processes. DS5 Ensure Systems Security The need to maintain the integrity of information and protect IT assets requires a security management process. This process includes establishing and maintaining IT security roles and responsibilties, policies, standards and procedures. Security management also includes performing security monitoring and periodic testing and implementing corrective actions for identified security weaknesses or incidents. Effective security management protects all IT assets to minimise the business impact of security vulnerabilities and incidents. DS6 Identify and Allocate Costs The need for a fair and equitable system of allocating IT costs to the business requires accurate measurement of IT costs and agreement with business users on fair allocation. This process includes building and operating a system to capture, allocate and report IT costs to the users of services. A fair system of allocation enables the business to make more informed decisions regarding use of IT services. COBIT
    • 96. Novembro/2005 DS7 Educate and Train Users Effective education of all users of IT systems, including those within IT, requires identifying the training needs of each user group. In addition to identifying needs, this process includes defining and executing a strategy for effective training and measuring the results. An effective training programme increases effective use of technology by reducing user errors, increasing productivity and increasing compliance with key controls such as user security measures. DS8 Manage Service Desk and Incidents Timely and effective response to IT user queries and problems requires a well-designed and well-executed service desk and incident management process. This process includes setting up a service desk function with registration, incident escalation, trend and root cause analysis, and resolution. The business benefits include increased productivity through quick resolution of user queries. In addition, the business can address root causes (such as poor user training) through effective reporting. DS9 Manage the Configuration Ensuring the integrity of hardware and software configurations requires establishment and maintenance of an accurate and complete configuration repository. This process includes collecting initial configuration information, establishing baselines, verifying and auditing configuration information, and updating the configuration repository as needed. Effective configuration management facilitates greater system availability, minimises production issues and resolves issues faster. COBIT
    • 97. Novembro/2005 DS10 Manage Problems Effective problem management requires the identification and classification of problems, root cause analysis and resolution of problems. The problem management process also includes identification of recommendations for improvement, maintenance of problem records and review of the status of corrective actions. An effective problem management process improves service levels, reduces costs and improves customer convenience and satisfaction. DS11 Manage Data Effective data management requires identifying data requirements. The data management process also includes establishing effective procedures to manage the media library, backup and recovery of data, and proper disposal of media. Effective data management helps ensure the quality, timeliness and availability of business data. COBIT
    • 98. Novembro/2005 DS12 Manage the Physical Environment Protection for computer equipment and personnel requires well-designed and well- managed physical facilities. The process of managing the physical environment includes defining the physical site requirements, selecting appropriate facilities and designing effective processes for monitoring environmental factors and managing physical access. Effective management of the physical environment reduces business interruptions from damage to computer equipment and personnel. DS13 Manage Operations Complete and accurate processing of data requires effective management of data processing and maintenance of hardware. This process includes defining operations’ policies and procedures for effective management of scheduled processing, protection of sensitive output, monitoring infrastructure and preventative maintenance of hardware. Effective operations management helps maintain data integrity and reduces business delays and IT operating costs. COBIT
    • 99. Novembro/2005 M O N I T O R A N D E VA L U A T E ME1 Monitor and Evaluate IT Performance - PROVA ME2 Monitor and Evaluate Internal Control ME3 Ensure Regulatory Compliance ME4 Provide IT Governance COBIT
    • 100. Novembro/2005 ME1 Monitor and Evaluate IT Performance Effective IT performance management requires a monitoring process. This process includes defining relevant performance indicators, a systematic and timely reporting of performance, and prompt acting upon deviations. Monitoring is needed to make sure that the right things are done and are in line with the set directions and policies. ME2 Monitor and Evaluate Internal Control Establishing an effective internal control programme for IT requires a well-defined monitoring process. This process includes the monitoring and reporting of control exceptions, results of self-assessments and third-party reviews. A key benefit of internal control monitoring is to provide assurance regarding effective and efficient operations and compliance with applicable laws and regulations. COBIT
    • 101. Novembro/2005 ME3 Ensure Regulatory Compliance Effective regulatory oversight requires the establishment of an independent review process to ensure compliance with laws and regulations. This process includes defining an audit charter, auditor independence, professional ethics and standards, planning, performance of audit work, and reporting and follow-up of audit activities. The purpose of this process is to provide positive assurance related to IT compliance with laws and regulations. ME4 Provide IT Governance Establishing an effective governance framework includes defining organisational structures, processes, leadership, roles and responsibilities to ensure that enterprise IT investments are aligned and delivered in accordance with enterprise strategies and objectives. COBIT
    • 102. Novembro/2005 Exercício
    • 103. Novembro/2005 A Composição do CobiT O COBIT É COMPOSTO POR UM CONJUNTO DE CADERNOS OU LIVROS, ALÉM DE UMA FERRAMENTA ONLINE ESTRUTURA MÉTRICAS COMPLIANCE ROAD MAP AUDITORIA BOARD ON-LINE QUICK START
    • 104. Novembro/2005 A Composição do CobiT PROCESSOS FRAMEWORK MANAGEMENT GUIDELINES AUDIT GUIDELINES CONTROL OBJECTIVES CONTROL PRACTICES FRAMEWORK Explica como o COBIT organiza os objetivos da Governança de TI e melhores práticas através de domínios e processos, e os relaciona aos requerimentos de negócios. Na versão três do COBIT o Framework é limitado aos objetivos de controle de alto nível enquanto que os objetivos de controle detalhados estão no caderno Control Objetives. Na versão quatro estes dois cadernos, bem como o Management Guidelines são publicados fisicamente no mesmo caderno. LIVROS DO COBIT
    • 105. Novembro/2005 Navegando pelo Framework Domínios Recursos Critério da Informação Áreas de foco Governança de TI Descrição do Processo Control over the IT process of Process name That satisfies the business requirement for IT of summary of most important business goal by focusing on summary of most important IT goals is achieved by key controls and is measured by key metrics
    • 106. Novembro/2005 Navegando pelo Framework
    • 107. Novembro/2005 A Composição do CobiT PROCESSOS FRAMEWORK MANAGEMENT GUIDELINES AUDIT GUIDELINES CONTROL OBJECTIVES CONTROL PRACTICES MANAGEMENT GUIDELINES O produto de interesse primário para a gerência de negócios e para a gerência de TI é o, que auxilia na atribuição de responsabilidades, medição de performance, comparação e análise de lacunas de capacidade. Ajuda a responder perguntas típicas como: • Quão longe devemos ir em controlar TI? • O custo é justificado pelo benefício? • Quais são os indicadores de bom desempenho? • Quais são as práticas de gerenciamento mais importantes a aplicar? • O que o mercado está fazendo? • Como medimos e comparamos? LIVROS DO COBIT
    • 108. Novembro/2005 A Composição do CobiT PROCESSOS FRAMEWORK MANAGEMENT GUIDELINES AUDIT GUIDELINES CONTROL OBJECTIVES CONTROL PRACTICES CONTROL OBJECTIVES Na versão quatro do COBIT este caderno é publicado em conjunto com o Framework e o Management Guidelines. Em ambas as versões ele provê as melhores práticas genéricas relacionadas a cada objetivo de controle do COBIT. Ao todo são 215 Objetivos de Controle relacionados aos 34 Processos ou Objetivos de Controle de Alto Nível. LIVROS DO COBIT
    • 109. Novembro/2005 A Composição do CobiT PROCESSOS FRAMEWORK MANAGEMENT GUIDELINES AUDIT GUIDELINES CONTROL OBJECTIVES CONTROL PRACTICES CONTROL PRACTICES CONTROL PRACTICES – Provê direcionamento em como os controles são mais bem implantados e porque implantá-los. O valor deste documento é significativo. O exemplo de texto a seguir pode esclarecer melhor esta afirmação. Trata-se das Praticas de Controle relacionadas ao Objetivo de Controle Project Management Framework: LIVROS DO COBIT
    • 110. Novembro/2005 A Composição do CobiT PROCESSOS FRAMEWORK MANAGEMENT GUIDELINES AUDIT GUIDELINES CONTROL OBJECTIVES CONTROL PRACTICES IT ASSURANCE GUIDE Provê um DIRECIONAMENTO genérico para auditoria e direcionamento de suporte a auditorias de todos os processos de TI do COBIT. O documento fornece orientação para elaboração de Planos de Auditoria que deverão ser integrados ao COBIT Framework e os Objetivos de Controle. Este conjunto não deve ser entendido como um conjunto de regras únicas e definitivas. Não podem ser tudo para todos e terão que ser adaptadas para cada ambiente específico. LIVROS DO COBIT
    • 111. Novembro/2005 A Composição do CobiT IT ASSURANCE GUIDE O Assurance Guide oferece uma estrutura para o plano de auditoria composta por três estágios:
    • 112. Novembro/2005 A Composição do CobiT IT ASSURANCE GUIDE Quanto ao Estágio de Execução, podemos ver seus componentes abaixo:
    • 113. Novembro/2005 A Composição do CobiT O produto de interesse primário para os Executivos é o LIVROS DO COBIT
    • 114. Novembro/2005 A Composição do CobiT COBIT QUICKSTART LIVROS DO COBIT
    • 115. Novembro/2005 A Composição do CobiTLIVROS DO COBIT COBIT SECURITY BASELINE Foca a organização nos O COBIT Security Este kit de sobrevivência não é uma documentação técnica com alto grau de especialização e profundidade. Esta disponível para vários níveis de audiência, como usuários domésticos, profissionais, executivos e dirigentes de empresas.
    • 116. Novembro/2005 A Composição do CobiT IT CONTROL OBJECTIVES FOR SARBANES-OXLEY Direcionamento para garantir compliance para o ambiente de TI, baseado nos objetivos de controle do COBIT. Descreve como o texto do COSO e da PCAOB estão alinhados e como é possível desenvolver um programa de auditoria que envolva estas referências técnicas. LIVROS DO COBIT
    • 117. Novembro/2005 A Composição do CobiTLIVROS DO COBIT IT GOVERNANCE IMPLEMENTATION GUIDE Provê um road map genérico para implementar Governança de TI usando os recursos do COBIT e um kit de ferramentas de suporte.
    • 118. Novembro/2005 A Composição do CobiT COBIT V3 COBIT V4 Framework Management Guidelines Control Objectives COBIT V4.1 Audit Guidelines Assurance Guide Control Practices Control Practices Implementation Tool set IT Governance Implementation Guide
    • 119. Novembro/2005 A Composição do CobiT ESTRUTURA MÉTRICAS COMPLIANCE ROAD MAP AUDITORIA BOARD ON-LINE QUICK START COMO MANTER-SE ATUALIZADO SOBRE AS VERSÕES DO COBIT E SEUS CADERNOS?
    • 120. Novembro/2005 COBIT ON LINE A Composição do CobiT
    • 121. Novembro/2005
    • 122. Novembro/2005
    • 123. Novembro/2005 Click to edit Master text styles Second level ● Third level ● Fourth level ● Fifth level
    • 124. Novembro/2005
    • 125. Novembro/2005 Effectiveness: the degree to which the control objective responds to the underlying value delivery and risk mitigation requirements, irrespective of efficiency, cost, etc. Expedience: the time taken, on average, to implement the control objective Sustainability: the degree to which the control can continue to operate without maintenance due to changes in the environment Contribution: the total contribution of the control objective to improving risk mitigation and value delivery and is the combination of effectiveness, expedience and sustainability Effort: an indication of cost and people time required to implement and maintain the control objective Quickstart: Ensure the correct prioritisation and co-ordination of all projects, by clearly defining what needs to be achieved, by whom, when, at what cost and with which benefits.
    • 126. Novembro/2005
    • 127. Novembro/2005
    • 128. Novembro/2005
    • 129. Novembro/2005
    • 130. Novembro/2005
    • 131. Novembro/2005
    • 132. Novembro/2005
    • 133. Novembro/2005
    • 134. Novembro/2005
    • 135. Novembro/2005
    • 136. Novembro/2005
    • 137. Novembro/2005
    • 138. Novembro/2005
    • 139. Novembro/2005
    • 140. Novembro/2005
    • 141. Novembro/2005
    • 142. Novembro/2005
    • 143. Novembro/2005
    • 144. Novembro/2005
    • 145. Novembro/2005
    • 146. Novembro/2005
    • 147. Novembro/2005 A Composição do CobiT
    • 148. Novembro/2005 Exercício
    • 149. Novembro/2005 INFORMAÇÃO, MÉTRICAS E E OS RECURSOS NO COBIT Principais conceitos
    • 150. Novembro/2005 Principais conceitos
    • 151. Novembro/2005 COBIT COMO DETERMINAR A MATURIDADE DA CAPACIDADE DE UM PROCESSO DE TI?
    • 152. Novembro/2005 Modelo de Maturidade 0 54321 Inexistente Inicial Repetitivo Definido Gerenciado Otimizado Legenda de Símbolos Situação atual Padrão Internacional Melhor prática da indústria Estratégia da empresa Níveis de Maturidade 0 – O gerenciamento de processos não é aplicado E não é reconhecido como necessário 1 – Processo sob demanda, não organizado 2 – Os processos seguem um padrão regular por diferentes pessoas 3 – Os processos são documentados e comunicados, mas ainda dependem de pessoas 4 – Os processos são monitorados e medidos 5 – As melhores práticas são seguidas e automatizadas Principais conceitos
    • 153. Novembro/2005 0 - Inexistente A organização não reconhece a existência de um processo a ser gerenciado. 1 - Inicial Há evidência de que a organização reconhece que o processo existe e que as necessidades devem ser endereçadas. Entretanto não há um processo padronizado e o gerenciamento é caso a caso e desorganizado. 2 - Repetitivo Os processos são estruturados e procedimentos similares são seguidos por diferentes indivíduos para a mesma tarefa. Há forte dependência do conhecimento individual e existe alguma documentação. 3 - Definido Os processos são padronizados, documentados e comunicados. Entretanto deixa a cargo dos indivíduos seguirem os processos. Não há certeza que de desvios serão detectados. 4 - Gerenciado Existe a possibilidade de monitorar e medir a conformidade dos processos com os procedimentos definidos. Há ações para melhoria e uso de algumas ferramentas automatizadas. 5 - Otimizado As melhores práticas são adotadas e os processos são automatizados. Há preocupação com melhorias contínuas. TI é vista como uma integradora. Níveis de maturidade Principais conceitos
    • 154. Novembro/2005 Níveis de maturidade No seu entendimento qual o nível mínimo que um processo de ser? Para que serve o modelo de maturidade?
    • 155. Novembro/2005 q Auxilia na determinação da posição atual da à Governança de TI e controles em relação as melhores práticas; q Auxilia na definição dos planos de ação para cobrir as lacunas entre a situação atual e os níveis desejados de gestão; q Dá suporte à análise de gap para determinar os requerimentos para atingir o nível desejado. Modelo de maturidade – serve para….
    • 156. Novembro/2005 Pelo que foi apresentado como o COBIT pode ajudar a TI na implantação da governança ? COBIT
    • 157. Novembro/2005 A Composição do CobiT ESTRUTURA MÉTRICAS COMPLIANCE ROAD MAP AUDITORIA BOARD ON-LINE QUICK START COMO USAR O AUDIT GUIDELINES?
    • 158. Novembro/2005 Governança e COBIT são modismos ou necessidade? Governança e COBIT
    • 159. Novembro/2005 q Nova visão cultural sobre os serviços prestados e processos de TI; q Ter o claro entendimento da importância dos controles; q Papéis e responsabilidades definidos; q Processos padronizados porém flexíveis. Resumindo implantar a Governança é....
    • 160. Novembro/2005 COBIT – Outros modelos Como podemos usar o COBIT na prática?
    • 161. Novembro/2005 Entende negócios Avalia Situação atual dos Processos de TI Define processos relevantes Implementa processos Treinamento em COBIT GAP Analysis Divulgue o projeto e acompanhe os resultados Avalia e mede resultados MODELODEGESTÃO Onde estou Onde quero chegar COBIT – como implementar
    • 162. Novembro/2005 Para que a governança seja implementada com sucesso é necessário ter o apoio dos seguintes grupos: Executivos de TI Membros do Comitê de TI Especialistas de TI Usuários Chaves Tomador de decisão Respaldo, ratifica prioridades Operacionalizam, agentes de mudanças Dissemina cultura COBIT – Profissionais necessários
    • 163. Novembro/2005 Como alinhar TI às estratégias de negócios? • Obtenha o plano estratégico de negócios. Na ausência deste plano a TI deve buscar junto às Áreas quais são as suas metas. É fundamental a atuação pró-ativa de TI. • Estratifique o plano de negócios pelas Áreas de TI. Atente para os seguintes pontos: o Ao Desenvolvimento de Sistemas cabe conduzir suas estratégias de forma a garantir que seus esforços sejam aderentes às necessidades críticas da organização, sem esquecer de identificar e atender as oportunidades de melhoria dos processos; o Às Áreas Operacionais compete projetar e operacionalizar uma infra-estrutura que realmente dê suporte às necessidades presentes e futuras da Organização. • Formalize as estratégias de TI – Este documento deve conter as ações, investimentos e prazos. • Apresente as estratégias de TI às Áreas de Negócios e defina as prioridades e ratifique os prazos. COBIT – Entendendo os negócios
    • 164. Novembro/2005 COBIT – Situação atual dos processos Utilize o modelo de maturidade de cada processo como base para a análise dos processos e definição do nível a ser atingido. ONDE ESTOU? ONDE QUERO CHEGAR?
    • 165. Novembro/2005 COBIT – Implementar • Utilize o COBIT como referência para entendimento dos controles dos processos e outras práticas para auxiliar na definição / operacional. • A medida que for implementado cada processo avalie os resultados com uma equipe independente e faça os eventuais ajustes. Fluxos Procedimentos ProcessosFerramentas ParticipantesOrganização Formulários TI
    • 166. Novembro/2005 IT Governance with VAL IT VAL IT FRAMEWORK
    • 167. Novembro/2005 • Optimising the realisation of Value from IT VAL IT adds best practices for the end by providing the means to Measure, Monitor and Optimise the realisation of business value from investment in IT.
    • 168. Novembro/2005 • O Framework VAL IT • É um complemento do COBIT; • Focado na decisão do investimento em TI e na realização dos benefícios planejados; • É dirigido para o Board, CEO e todos os executivos envolvidos nas decisões estratégicas de investimentos de TI; • Incrementa o entendimento e transparência dos custos, benefícios e riscos de TI; • Incrementa a probabilidade de acerto na escolha dos investimento com maior poder de retorno; • Incrementa as chances de sucesso na execução dos investimentos selecionados.
    • 169. Novembro/2005 • Val IT Principles q IT-enabled investments will be managed as a portfolio of investments. q IT-enabled investments will include the full scope of activities that are required to achieve business value. q IT-enabled investments will be managed through their full economic life cycle. q Value delivery practices will recognize that there are different categories of investments that will be evaluated and managed differently. q Value delivery practices will define and monitor key metrics and will respond quickly to any changes or deviations. q Value delivery practices will engage all stakeholders and assign appropriate accountability for the delivery of capabilities and the realization of business benefits. q Value delivery practices will be continually monitored, evaluated and improved.
    • 170. Novembro/2005 • O Framework VAL IT – Áreas Foco A questão Estratégica. O investimento é: Alinhado com nossa visão? Consistente com nossos princípios de negócios? Contribuem para nossos objetivos estratégicos? Provê ganho a um preço justo com um risco aceitável? A questão da Arquitetura. O investimento é: Alinhado com nossa arquitetura? Consistente com nossos princípios estruturais? Contribuem para a população da nossa arquitetura? Esta alinhado com outras iniciativas? A questão do Valor. Nós temos; Um claro e compartilhado entendimento dos benefícios esperados? Clara responsabilização pela prestação de contas em relação a materialização dos benefícios? Métricas relevantes? Um processo efetivo para a materialização dos benefícios? A questão da Entrega. Nós temos: Efetivo e disciplinado gerenciamento do Processo de Gestão de Mudanças e Entregas? Recursos Técnicos e de Negócios competentes e disponíveis para entregar (I) a capacidade requerida e (II) as mudanças organizacionais necessárias para garantir a capacidade?
    • 171. Novembro/2005 • Key Terms Used in Val IT Implement In business, includes the full economic life cycle of the investment programme through retirement, i.e., when the full expected value of the investment is realised, as much value as is considered possible has been realised, or it is determined that the expected value cannot be realised and the programme is terminated Portfolio In business, a grouping of programmes, projects, services, resources or assets selected, managed and monitored to optimise business return (Note that the initial focus of Val IT is primarily on a portfolio of programmes. COBIT is interested in portfolios of projects, services or assets.) Programme In business, a structured grouping of interdependent projects that include the full scope of business, process, people, technology and organisational activities that are required (both necessary and sufficient) to achieve a clearly specified business outcome Project In business, a structured set of activities concerned with delivering to the enterprise a defined capability (that is necessary but not sufficient to achieve a required business outcome) based on an agreed-upon schedule and budget In business, relative value or importance of an investment for an organisation or its key stakeholders taking into account the benefits accruing from the expenditures and risks Implement Portfolio Programme Project ProjectValue
    • 172. Novembro/2005 • Val IT – Top Management Issues ü Are responsabilities and accountabilities assigned for IT investment? ü Is it clear how the investment portfolio should be governed? Value Governance VG Portfolio Management PM ü Is the investment portfolio managed adequately? ü Is programme perfomance evaluated and optimised? Investment Management IM ü Is there a sound business case for the programme? ü Are responsabilities and accountabilities assigned? ü Is there a benefit realisation plan? ü Is programme performance monitored?
    • 173. Novembro/2005 • Val IT - Key Management Practices Value Governance (VG)—11 key management practices covering: a) The establishment of the governance, monitoring and control framework b) The provision of strategic direction for the investments c) The definition of investment portfolio characteristics Value Governance VG Portfolio Management PM Portfolio Management (PM)—14 key management practices covering: a) Identification and maintenance of resource profiles b) The definition of investment thresholds c) Evaluation, prioritisation and selection, deferral or rejection of investments d) Management of the overall portfolio e) Monitoring and reporting on portfolio performance Investment Management IM Investment Management (IM)—15 key management practices covering: a) Identification of business requirements b) Development of clear understanding of candidate investment programmes c) The analysis of alternatives d) Programme definition (scoping) and documentation of a detailed business case, including benefits details e) Assignment of clear accountability and ownership f) Management of the programme through its full economic life cycle g) Monitoring and reporting on programme performance
    • 174. Novembro/2005 • Val IT – Control Structure Value Governance VG Portfolio Management PM Investment Management IM VAL IT PROCESS (COMO OS DOMÍNIOS CO COBIT) KEY MANAGEMENT PRACTICES (COMO OS ROCESSOS DO COBIT) VG1, VG2, ...., VG11 PM1, PM2, …, PM14 IM1, IM2, …, IM15 VG1 =Primary PO1.2, PO1.4, PO4.4, ME4.1, ME4.2 PM1= Primary: PO4.5, ME4.4 Secondary: PO4.13 IM1= Primary: PO1.2, PO1.3, AI1.1 CONTROL OBJECTIVES (DO TEXTO DO COBIT ORGANIZADOS CONFORME O FOCO DO KEY MANAGEMENT PRACTICE)
    • 175. Novembro/2005 • Val IT - Key Management Practices Value Governance (VG)—11 key management practices covering: a) The establishment of the governance, monitoring and control framework b) The provision of strategic direction for the investments c) The definition of investment portfolio characteristics Value Governance VG ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY VG1 Ensure informed and committed leadership PO1.2, PO1.4, PO4.4, ME4.1, ME4.2 VG2 Define and implement process PO4.1, ME1.1, ME1.3, ME4.1 PO5.2, PO5.3-PO5.5, PO10.2 VG3 Define roles and responsibilities PO4.6, PO4.15 PO4.8, PO4.9, PO10.1, PO10.2 VG4 Ensure appropriate and accepted accountability PO1.1, PO6.1-PO6.4, ME4.1-ME4.3 ME4.2 VG5 Define information requirements ME1.1-ME1.3, ME4.1 VG6 Establish reporting requirements ME1.5, ME3.5, ME4.1, ME4.6 VG7 Establish organizational structures PO3.5, PO4.2, PO4.3, PO4.15, ME4.1 VG8 Establish strategic direction PO1.2, ME4.2 VG9 Define investment categories PO5.1 VG10 Determine a target portfolio mix PO5.1 ME4.5 VG11 Define evaluation criteria by category PO5.1 PO1.2, PO2.1, PO5.2, ME4,5
    • 176. Novembro/2005 • Val IT - Key Management Practices Value Governance VG
    • 177. Novembro/2005 • Val IT - Key Management Practices Portfolio Management PM ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY PM1 Maintain a human resource inventory PO4.5, ME4.4 PO4.13 PM2 Identify resource requirements PO4.5, ME4.4 PO4.13 PM3 Perfom a gap analysis PO4.5, ME4.4 PO4.13 PM4 Develop a resourcing plan PO4.5, ME4.4 PO4.13, PO7.1, PO7.2, PO7.5 PM5 Monitor resource requirements and utilization PO1.5, PO4.5, ME4.4 PO4.13 PM6 Establish an investment threshould (point of beggining) PO1.4, PO5.3 PM7 Evaluate the initial programme concept business case PO1.1, PO5.1, PO5.2, ME4.3 Portfolio Management (PM)—14 key management practices covering: a) Identification and maintenance of resource profiles b) The definition of investment thresholds c) Evaluation, prioritisation and selection, deferral or rejection of investments d) Management of the overall portfolio e) Monitoring and reporting on portfolio performance
    • 178. Novembro/2005 • Val IT - Key Management Practices Portfolio Management PM Portfolio Management (PM)—14 key management practices covering: a) Identification and maintenance of resource profiles b) The definition of investment thresholds c) Evaluation, prioritisation and selection, deferral or rejection of investments d) Management of the overall portfolio e) Monitoring and reporting on portfolio performance ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY PM8 Evaluate and assign a relative score to the programme business case PO1.1, PO5.1, PO5.2, ME4.3 PM9 Create an overall portfolio view PO1.1, PO5.1, PO5.2, ME4.3 PM10 Make and communicate the investment decision PO1.1, PO5.1, PO5.2, ME4.3 PM11 Stage-gate (and fund) selected programmes PO1.1, PO5.1, PO5.2, ME4.3 PM12 Optimize portfolio perfomance PO1.1, PO1.6, PO5.1, ME1.4, ME1.6, ME4.3 PM13 Re-prioritise the portfolio PO1.1, PO1.6, PO5.1, PO5.2, ME1.4, ME1.6, ME4.3 PM14 monitor ans report on portfolio performance ME1.1, ME1.3, ME1.5, ME4.3, ME4.6 PO5.4, PO5.5
    • 179. Novembro/2005 • Val IT - Key Management Practices Investment Management (IM)—15 key management practices covering: a) Identification of business requirements b) Development of clear understanding of candidate investment programmes c) The analysis of alternatives d) Programme definition (scoping) and documentation of a detailed business case, including benefits details e) Assignment of clear accountability and ownership f) Management of the programme through its full economic life cycle g) Monitoring and reporting on programme performance Investment Management IM ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY IM1 Develop a high level definition of investment opportunity PO1.2, PO1.3, AI1.1 IM2 Develop an initial programme concept business case PO1.1, PO5.3, AI1.5 IM3 Develop a clear understanding of candidate programmes PO1.1, AI1.1, AI1.2 IM4 Perfom alternatives analysis PO1.1, AI1.3 IM5 Develop a programme plan PO1.1, PO10.1, PO10.7, PO10.8, ME4.4 IM6 Develop a benefits realization plan PO1.1, PO5.5 IM7 Identify full life cicle costs and benefits PO1.1, PO5.3 IM8 Develop a detailed programme business case PO1.1, PO5.3
    • 180. Novembro/2005 • Val IT - Key Management Practices Investment Management (IM)—15 key management practices covering: a) Identification of business requirements b) Development of clear understanding of candidate investment programmes c) The analysis of alternatives d) Programme definition (scoping) and documentation of a detailed business case, including benefits details e) Assignment of clear accountability and ownership f) Management of the programme through its full economic life cycle g) Monitoring and reporting on programme performance Investment Management IM ID KEY MANAGEMENT PRACTICES PRIMARY SECUNDARY IM8 Develop a detailed programme business case PO1.1, PO5.3 IM9 Assign clear accountability and ownership PO1.1, PO6.1, PO10.1 IM10 Initiate, plan and launch the programme PO10.1, PO10.3, PO10.6 IM11 Manage the programme PO10.13, ME1.4, ME4.3 IM12 Manage/track benefits PO5.5, PO10.13, ME1.4, ME4.3 IM13 Update the business case PO5.4, PO5.5, PO10.6 IM14 Monitor and report on programe perfomance ME4.3, ME4.6 IM15 Retire the programme ME4.3, PO10.14 AI4.1-AI4.4
    • 181. Novembro/2005 • Val IT Process and Management Practices
    • 182. Novembro/2005 COBIT e outras metodologias Fornece subsídios para que as Organizações, sua administração e auditoria, possam utilizar e avaliar um sistema de controle interno. O COSO não é aplicável à Tecnologia da Informação. É forte em controles e métricas de TI. É um guia para a gestão de TI, abrange diretrizes de gerenciamento, objetivo de controle e diretrizes de auditoria. O principal objetivo do CobiT é assegurar que os controles de TI atendam de forma efetiva e eficiente os objetivos de negócios. COSO Committee of Sponsoring Organizations of the Tradeway Commission COBIT Control Objectives for IT and Related Technology O QUE SIGNIFICA A SOPA DE LETRAS ?
    • 183. Novembro/2005 O QUE SIGNIFICA A SOPA DE LETRAS ? Contempla elementos essenciais para o atendimento das necessidades de desenvolvimento de software. Promove maior controle sobre as atividades e aumento na segurança do desenvolvimento de sistemas. É forte para desenvolvimento de sistemas. Descreve as necessidades dos processos para a infra- estrutura de TI ser gerenciada de forma eficiente e eficaz para garantir os níveis de serviços acordados com a Organização e clientes. CMM Capability Maturity Model ITIL IT Infrastructure Library Código de práticas para a gestão da segurança da informação. BS7799 (British Standards) COBIT e outras metodologias
    • 184. Novembro/2005 Para onde queremos ir? Onde estamos Como chegamos lá? Como saberemos se chegamos? Visão e Objetivos Avaliações Desenho de TI Métricas ITIL ISO17799 CobiT Alinhamento Compliance CobiT Segurança ISO17799 Benchmark de custos Pesquisas de satisfação ITIL ISO17799 CobiT CobiT Management Guidelines Governança de TI – relacionamento entre melhores práticas A seguir apresentamos as melhores práticas que podem auxiliar na obtenção das respostas dos questionamentos:
    • 185. Novembro/2005 Principais conceitos
    • 186. Novembro/2005 Principais conceitos

    ×