Governança cobit

Governança e Qualidade em Serviços de TI
3. COBIT – Governança de TI

http://si.lopesgazzani.com.br/docentes/marcio/

Introdução

Márcio Moreira 3. COBIT – slide 2 Governança e Qualidade em Serviços de TI - GOV

Governança

 É o ato de governar,
direcionar, controlar, exercer
poder Governança
Corporativa

 Relaciona-se com:
 Tomadas de decisão
 Definição de expectativas
 Conceder poder Governança de TI
 Verificar desempenho


Governança Corporativa

 Governança Corporativa e o sistema pelo qual as organizações
são dirigidas, monitoradas e incentivadas, envolvendo os
relacionamentos entre proprietários, Conselho de Administração,
Diretoria e órgãos de controle.

 As boas práticas de Governança Corporativa convertem
princípios em recomendações objetivas, alinhando interesses
com a finalidade de preservar e otimizar o valor da organização,
facilitando seu acesso a recursos e contribuindo para sua
longevidade.

 Fonte:

Governança x Gestão de TI

Governança de TI (COBIT) Gestão de TI (ITIL)
 Parte da Governança Corporativa  A implementação e o
focada nos sistemas de TI, gerenciamento da qualidade dos
desempenho e gerenciamento de serviços de TI de forma a atender
riscos. às necessidades de negócio.
 Propósito:
 Garantir que políticas e estratégia  O gerenciamento de serviço de TI é
sejam realmente implementadas e feito pelos provedores de serviço
que os processos requeridos de TI por meio da combinação
estejam sendo corretamente
adequada de pessoas, processo e
seguidos, inclui definir papéis e
responsabilidades, medir, relatar e
tecnologia da informação.
tomar as ações para resolver
quaisquer questões identificadas.


Governança x Gestão de TI
 Gestão de TI:
 Fornecer serviços e produtos de TI
de forma eficiente e eficaz, bem
como na gestão das operações de
TI
 Fazer as coisas de forma certa
 Promovido e gerenciado pela TI

 Governança de TI:
 Se preocupa com o desempenho
dos negócios, transformando e
posicionando a TI para alcançar os
objetivos de negócio
 Fazer as coisas certas
 Precisa de patrocínio da alta
administração e dos executivos

Áreas de foco da Governança de TI

1. Alinhamento Estratégico
•Alinhando TI com o negócio e fornecendo soluções
colaborativas

2. Entrega de Valor
•Executando a proposição de valor através do ciclo
de entrega

3. Gestão de Riscos
•Riscos de TI, impactos das mudanças, segurança,
conformidade

4. Gestão de Recursos
•Otimizando o desenvolvimento e uso de recursos
disponíveis

5. Mensuração de Desempenho
•Monitoramento dos recursos para ação corretiva


COBIT


O que é o CObIT?

CObIT = Control Objectives for Information and Related Technology
Requisitos de Negócios

Pessoas
Infraestrutura
DOMÍNIOS

Informações
Processos de TI

Aplicativos
PROCESSOS

ATIVIDADES


O que é o COBIT?

 Desenvolvido pela ISACA (Information Systems Audit and Control
Association):
 Início informal em 1967 com um grupo de auditores
 Em 1969 eles fundaram a EDP Auditors Association
 Em 1976 fundaram um instituto de pesquisas em governança de TI sem
fins lucrativos, o ITGI (IT Governance Institute)
 Hoje tem + de 86 mil membros, em 160 países, com + de 175 capítulos
 Hoje o COBIT é um modelo do ITGI que é:
 Focado no negócio Negócio Processos

 Orientado a processos de TI (34 processos)
 Baseado em controles
Controles Métricas
 Fornece indicadores
 Adotado mundialmente

Onde encontrar e porque usar?

 Distribuído gratuitamente no  Principais razões do uso:
site www.isaca.org  Alinhar a TI ao negócio
 Ajuda a mapear objetivos de  Entregar soluções que atendam
negócio e relacioná-los com as necessidades reais
metas, processos e atividades  Conseguir demonstrar retorno
sobre investimentos
de TI
 Reduzir os custos
 Fornece suporte a Gestão e à
 Gerenciar a Segurança da
Governança de TI Informação
 É um guia, não uma norma Negócio & TI
 Como um modelo de controle
pode ser usado em qualquer
empresa, plataforma de TI e
padrão de sistemas

COBIT para Governar a TI

Princípios Razões
 O board (alta administração)
precisa estabelecer as metas
e a direção para a
organização


A Lei Sarbanes & Oxley dos USA
deu grande impulso ao
COBIT, tornando a Governança
Evolução do COBIT Corporativa e de TI obrigatórias para
empresas com ações na Bolsa de
Valores.

No Brasil, a CVM foi pelo mesmo
caminho.


Conformidade – Desafios

 A Governança de TI deve
buscar o equilíbrio entre as Clientes &
Estado
necessidades do estado, dos Acionistas
clientes e acionistas:
 Clientes & Acionistas: Controles
Entrega de
Valor
 Entrega de valor
 Atingimento de metas de Atingimento
Conformidade
desempenho de Metas
 Geração de resultados
Respeito às
 Estado: leis
Resultados
 Controles
 Conformidade
 Respeito as leis


Missão do ITGI & Foco do COBIT

Missão do ITGI Foco do COBIT
 “Pesquisar, desenvolver,  O COBIT foca mais em “o que
publicar e promover um precisa ser alcançado” do que
framework de controle para em “como alcançar”, isto é, mais
Governança de TI que seja no controle do que na execução
embasado, atualizado,  Funciona como um guarda-
internacionalmente aceito chuva, fornecendo controle que
para a adoção pelas mapeiam os principais controles
organizações e usado no dia- de TI
a-dia pelos gerentes de
negócio, profissionais de TI e
profissionais de auditoria”

Componentes do COBIT


Framework do COBIT

 O cubo ao lado representa os  Cubo do COBIT:
componentes chaves da Requisitos de Negócios

estrutura do COBIT e como
eles são usados para entregar
a informação que o negócio
precisa para alcançar seus

Pessoas
objetivos

Infraestrutura
DOMÍNIOS

Informações
Processos de TI

Aplicativos
PROCESSOS

ATIVIDADES


Requisitos de Negócio

 Eficácia:
 Capacidade de alçar metas e resultados propostos
 Trata da informação que está sendo relevante e pertinente ao processo de
negócio, bem como que esteja sendo entregue de um modo oportuno,
correto, consistente e útil
 Eficiência:
 Quantidade de recursos necessários para a geração do resultado
 Diz respeito à provisão da informação através do uso otimizado (mais
produtivo e econômico) dos recursos. Tem foco na otimização de custos
 Confiabilidade:
 A informação certa estará disponível para a gerência quando ela for
necessária, isto gera confiança para a gerência operar e assumir suas
responsabilidades de relatar aspectos de conformidade e finanças


Requisitos de Negócio

 Conformidade:
 Trata do cumprimento das leis, de regulamentos e arranjos contratuais
aos quais o processo de negócio está sujeito
 Confidencialidade:
 Diz respeito à proteção da informação sigilosa contra a revelação não
autorizada
 Integridade:
 Relaciona-se à exatidão e completude da informação bem como à sua
validade, de acordo com os valores e as expectativas do negócio
 Disponibilidade:
 Relaciona-se à informação que está sendo disponibilizada quando
requerida pelo processo de negócio agora e no futuro
 Tem foco na entrega de serviços


Requisitos genéricos x Requisitos de Negócio


Recursos de TI

 Aplicações:
 Sistemas automatizados e procedimentos manuais
para processar informações
 Informações:
 Dados de todos os formulários de entrada e saída, processados e exibidos
pelos sistemas de informação
 Infraestrutura:
 Hardware, sistemas operacionais, banco de dados, rede, multimídia, etc.
 Tudo que é necessário para o funcionamento das aplicações
 Pessoas:
 Pessoal necessário para planejar, organizar, adquirir, implementar,
entregar, prestar suporte, monitorar e avaliar os sistemas de informação e
serviços. O pessoal pode ser interno ou terceirizado

Recursos de TI x Entrega de Serviços

Objetivos
Eventos Recursos de TI de
Negócio

• Metas de Negócio • Aplicações • Eficácia
• Oportunidades de negócio • Informações • Eficiência
• Requisitos externos • Infraestrutura • Confidencialidade
• Regulamentos • Pessoas • Integridade
• Riscos • Disponibilidade
• Conformidade
• Confiabilidade


Domínios do COBIT

Planejar e  Os domínios:
Organizar
 Mapeiam as
Adquirir e
Implementar áreas de responsabilidades
tradicionais da TI:
 Planejar, construir, executar e
medir
 Representam o ciclo de vida
da TI  agrupamento natural
de processos
 Processos são uma sequência
Entregar e
lógica de atividades, com
Monitorar e
Suportar papéis e responsabilidades
Avaliar
 O COBIT 4.1 tem 34 processos

Domínio: Planejar e Organizar (PO)

 Objetivos:  Escopo:
 Formular estratégias e táticas  Estão TI e Negócio
 Identificar como TI pode estrategicamente alinhados?
melhor contribuir para atingir  Está a organização obtendo o
os objetivos do negócio melhor uso de seus recursos?
 Planejar, comunicar e gerenciar  Qualquer pessoa na
a realização da visão organização entende os
estratégica objetivos de TI?
 Implementar  Os riscos de TI são entendidos e
organizacionalmente e Negócio & TI adequadamente gerenciados?
tecnologicamente a  A qualidade dos sistemas de TI
Infraestrutura são apropriadas para as
necessidades do Negócio?


Processos do Domínio PO
Sigla Processo
Planejar e
Organizar PO1 Definir um plano estratégico de TI
PO2 Definir a arquitetura da informação
Determinar o direcionamento
PO3
tecnológico
Definir processos de TI, a
PO4
organização e relacionamentos
PO5 Gerenciar o investimento em TI
Comunicar metas e diretivas
PO6
gerenciais
PO7 Gerenciar os recursos humanos
PO8 Gerenciar a qualidade
PO9 Avaliar e gerenciar riscos de TI
PO10 Gerenciar projetos


Domínio: Adquirir e Implementar (AI)

 Objetivos  Escopo:
 Identificar, desenvolver ou  Estão os novos projetos aptos a
adquirir, implementar e entregar soluções que reúnem
integrar soluções de TI as necessidades do Negócio?
 Atualizar e manter os sistemas  Estão os novos projetos aptos a
existentes serem entregues dentro dos
custos e prazos definidos?
 Os novos sistemas trabalharão
adequadamente quando
implementados?
 As mudanças serão feitas sem
afetar as operações atuais do
Negócio?


Processos do Domínio AI

Sigla Processo Adquirir e
Implementar
AI1 Identificar as soluções automatizadas

AI2 Adquirir e manter software aplicativo

AI3 Adquirir e manter infraestrutura de tecnologia

AI4 Permitir operação e uso

AI5 Adquirir os recursos de TI

AI6 Gerenciar mudanças

AI7 Instalar e validar soluções e mudanças


Domínio: Entregar e Suportar (DS)

 Entregar os serviços requeridos,  Estão os serviços de TI
incluindo o serviço de entrega alinhados com as prioridades
 Gerenciar segurança, de Negócio?
continuidade, dados e  Estão os custos otimizados?
facilidades operacionais  Está a força de trabalho apta a
 Fornecer serviço de suporte usar os sistemas de TI de forma
estruturado aos usuários produtiva e com segurança?
 São adequadas a
confidencialidade, integridade
e disponibilidade das
informações?


Processos do Domínio DS
Sigla Processo
DS1 Definir e gerenciar níveis de serviço
DS2 Gerenciar serviços de terceiros
DS3 Gerenciar o desempenho e capacidade
DS4 Garantir a continuidade dos serviços
DS5 Garantir a segurança dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usuários
DS8 Gerenciar central de serviços e incidentes
DS9 Gerenciar a configuração
DS10 Gerenciar os problemas
DS11 Gerenciar os dados
Entregar e DS12 Gerenciar o ambiente físico
Suportar
DS13 Gerenciar as operações


Domínio: Monitorar e Avaliar (ME)

 Gerenciar Performance  A performance de TI é
 Monitorar Controles Internos mensurada para detectar
 Manter conformidade com problemas antes que eles
Agências Reguladoras aconteçam?
 Governar a TI  O gerenciamento garante que
os Controles Internos são
efetivos e eficazes?
 Pode a disponibilidade de TI ser
combinada com os objetivos do
Negócio?
 São Riscos, Controles,
Conformidades e Performance
medidos e reportados?


Processos do Domínio ME

Sigla Processo

ME1 Monitorar e avaliar o desempenho da TI

ME2 Monitorar e avaliar os controles internos

ME3 Assegurar conformidade regulatória

ME4 Fornecer Governança de TI

Monitorar e
Avaliar


Processos – PO


PO1 Definir um Plano Estratégico de TI
 Descrição:
 Necessário para alinhar e gerenciar os recursos de TI à estratégia de negócio,
garantindo otimização do portfólio de serviços e projetos, explicitando as
oportunidades e limitações da TI, avaliando e definindo o nível de investimento
necessário em TI
 Objetivos de Negócio:
 1º: Eficácia
 2º: Eficiência
 Requisitos do Negócio:
 Sustentar ou estender a estratégia de negócio e os requisitos de governança e, ao
mesmo tempo, ser transparente quanto aos benefícios, custos e riscos
 Foco:
 Incorporar TI e gerenciamento de negócio na tradução dos requisitos de negócio
em ofertas de serviços e no desenvolvimento de estratégias para entregar estes
serviços de maneira eficaz e transparente



 Como Alcançar:
 Compromisso da Alta Direção e da Direção do Negócio no alinhamento do
plano estratégico de TI com as necessidades atuais e futuras
 Entendimento da capacidade atual de TI
 Estabelecimento de um esquema de priorização de objetivos de negócio,
que quantifique os requisitos de negócio
 Medições:
 % objetivos de TI que sustentam o plano estratégico de negócio
 % projetos no portfólio de projetos de TI que podem ser diretamente
relacionados ao plano tático de TI
 Demora entre a atualização do plano estratégico de TI e os planos táticos
 Recursos de TI:
 Aplicações, informações, infraestrutura e pessoas


 Objetivos de controle:
 Gerir o valor da TI
 Alinhar TI e negócio
 Avaliar a capacidade e o desempenho atuais
 Plano estratégico de TI
 Plano tático de TI
 Gerir o portfólio de TI
 Entradas e Saídas:



 Tabela RACI:

 Funções:
 CEO (Chief Executive Officer) CFO (Chief Financial Officer)
 CIO (Chief Information Officer) PMO (Projetc Management Officer)


 Objetivos e Métricas:


 Níveis de Maturidade:
 0 Inexistente:
 A direção não vê necessidade num plano estratégico de TI para o negócio
 1 Inicial / Ad Hoc / Linguagem Comum:
 Os requisitos de TI são discutidos respondendo a necessidades de negócio
 2 Repetível:
 Existe um plano de TI compartilhado eventualmente com a área de negócio, que é
atualizado sob demanda, as decisões são tomadas projeto a projeto
 3 Definido:
 Existe uma política dizendo como quando o plano estratégico de TI é feito e atualizado,
o processo é conhecido e respeitado por todos os envolvidos
 4 Gerenciado:
 A TI é gerenciada pelas métricas estabelecidas no plano estratégico de TI
 5 Otimizado:
 A empresa só toma decisões estratégicas consultando os planos das diretorias, inclusive
a de TI, estes planos são sistematicamente reavaliados contra benchmarking


PO2 Definir a Arquitetura de Informação

 Descrição:
 Definir o modelo de informações necessários para suportar o negócio, isto
inclui fazer um dicionário de dados corporativos (com: regras sintáticas,
classificação e níveis de segurança), permitindo tomada de decisões e
responsabilização
 1º: Eficiência e Integridade
 2º: Eficácia e Confidencialidade
 Agilidade para atender os requisitos fornecendo informações confiáveis e
consistentes integrando aplicações nos processos de negócio
 Foco:
 Modelo de dados (domínio de negócio)


PO2 Definir a Arquitetura de Informação

 Como Alcançar:
 Garantir a precisão da arquitetura de informação e do modelo de dados
 Estabelecer a propriedade dos dados
 Classificar a informação usando o esquema que foi combinado

 Medições:
 % de informações redundantes ou duplicados
 % de aplicações não conformes com a arquitetura de informação
 Frequência de atividades de validação dos dados

 Recursos de TI:
 Aplicações e informações


PO3 Determinar as Diretrizes de Tecnologia

 Descrição:
 Os responsáveis pela TI determinam as diretrizes de TI que suportam o
negócio, através de um plano de infra e um conselho de arquitetura que
estabelece e gerencia os produtos, serviços e mecanismos de entrega da
TI. Além do já citado, o plano deve conter: plano de aquisições, padrões,
estratégias de migração e contingência. Isto permite respostas rápidas
 1º: Eficácia e Eficiência
 Ter sistemas aplicativos, recursos e capacidades padronizados, integrados,
estáveis, com boa relação custo-benefício, que atendam os requisitos
atuais e futuros do negócio
 Foco:
 Plano de infra, arquitetura (serviços, aplicações e infra) e padrões

PO3 Determinar as Diretrizes de Tecnologia

 Como Alcançar:
 Estabelecer um comitê para direcionar e verificar a arquitetura, requisitos,
custos e riscos
 Definir padrões de infraestrutura tecnológica com base nos requisitos da
arquitetura da informação

 Medições:
 Quantidade e tipo de desvios do plano de infraestrutura tecnológica
 Frequência de revisão/atualização do plano de infraestrutura tecnológica
 Quantidade de plataformas de tecnologia por área da organização

 Recursos de TI:
 Aplicações e infraestrutura

PO4 Definir os Processos, Organização e
Relacionamentos de TI
 Descrição:
 Definir o pessoal, papéis, responsabilidades, habilidades, funções,
autoridade, rastreabilidade e supervisão necessários. A organização de TI
deve ter processos que transfiram o conhecimento, assegurem o controle
e o envolvimento dos executivos sênior (comitê estratégico). Outros
comitês podem ser criados garantindo a participação das áreas de negócio
 Agilidade em resposta à estratégia de negócio e, ao mesmo tempo,
atender aos requisitos de Governança e fornecer pontos de contatos
definidos e competentes
 Foco:
 Estruturas transparentes, flexíveis e responsivas, definindo processos

PO4 Definir os Processos, Organização e
Relacionamentos de TI
 Como Alcançar:
 Definição de uma estrutura de processos de TI
 Estabelecimento de conselhos e estruturas organizacionais apropriadas
 Definição de papéis e responsabilidades

 Medições:
 % de funções com posições e descrições de autoridade documentadas
 Número de unidades/processos de negócios não suportados pela TI, mas
que deveriam ser suportados de acordo com a estratégia
 Número de atividades centrais de TI realizadas fora da organização de TI e
que não são aprovadas ou submetidas aos padrões organizacionais de TI

 Recursos de TI:
 Pessoas

PO5 Gerenciar o Investimento de TI

 Descrição:
 Estabelecer e manter uma estrutura para gerenciar os programas de
investimentos em TI que contemple custos, benefícios, prioridade dentro
do orçamento, um processo formal de definição orçamentária e
gerenciamento de acordo com o orçamento
 2º: Confiabilidade
 Melhorar continua e visivelmente a relação custo-benefício da TI e sua
contribuição para a lucratividade do negócio com serviços integrados e
padronizados que atendam às expectativas do usuário final
 Foco:
 Decidir o portfólio e investimentos em TI

PO5 Gerenciar o Investimento de TI

 Como Alcançar:
 Previsão e alocação de orçamentos
 Definição do critério de investimento formal, usando:
 ROI (Return On Investment): Retorno sobre Investimento
 Período de recuperação de investimento
 NPV (Net Present Value): Valor Presente Líquido (VPL)
 Medição e avaliação do valor de negócio comparado à previsão
 Medições:
 % de redução do custo unitário dos serviços de TI entregues
 % de desvio do valor orçamentário previsto x realizado
 % dos gastos de TI expressos através de motivadores de valor de negócio:
 Exemplo: aumento de vendas/serviços devido ao aumento da conectividade
 Recursos de TI:
 Aplicações, infraestrutura e pessoas


PO6 Comunicar Metas e Diretrizes Gerenciais

 Descrição:
 A Direção deve desenvolver uma estrutura de controle de TI corporativo,
incluindo políticas, objetivos e diretrizes
 A área de TI deve definir e comunicar políticas, missão, metas, etc.
 A comunicação apoia o alcance dos objetivos de TI e assegura que as
pessoas tenham conhecimento e entendimento do negócio e riscos
 1º: Eficácia
 2º: Conformidade
 Manter as informações precisas e atualizadas nos serviços de TI atuais e
futuros, bem como as responsabilidades e os riscos associados
 Foco:
 Fornecer políticas, diretrizes, procedimentos, etc. aprovados

PO6 Comunicar Metas e Diretrizes Gerenciais

 Como Alcançar:
 Definição de uma estrutura de controle de TI
 Desenvolvimento e implementação de políticas de TI
 Imposição de políticas de TI

 Medições:
 Interrupções no negócio devido a interrupções em serviços de TI
 % de partes interessadas que entendem a estrutura corporativa de
controle de TI
 % de partes interessadas que não estão em conformidade com a política

 Recursos de TI:
 Informações e pessoas

PO7 Gerenciar os Recursos Humanos de TI
 Descrição:
 Adquirir, manter e motivar pessoas competentes para criar e entregar serviços de
TI para o negócio. Isto requer práticas definidas e acordadas de recrutamento,
treinamento, avaliação, promoção e desligamento
 Esse processo é crítico porque as pessoas são ativos importantes e a governança e
o ambiente de controle de dados são altamente dependentes da motivação e da
competência dessas pessoas
 Ter pessoas competentes e motivadas para criar e entregar serviços de TI
 Foco:
 Admitir, treinar e motivar o pessoal com planos de carreira claros, atribuir funções
coerentes com as habilidades, estabelecer um processo de revisão, criar
descrições de cargos e assegurar a consciência da dependência de indivíduos


PO7 Gerenciar os Recursos Humanos de TI

 Como Alcançar:
 Revisão do desempenho do pessoal
 Admissão e treinamento do pessoal de TI para sustentarem os planos
táticos de TI
 Mitigar o risco de dependência excessiva de recursos-chave

 Medições:
 Nível de satisfação das partes interessadas com competência de TI
 Rotatividade da equipe de TI
 % da equipe de TI certificado de acordo com as necessidades da função

 Recursos de TI:
 Pessoas

PO8 Gerenciar a Qualidade
 Descrição:
 Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua
padrões, processos, requisitos e indicadores de qualidade comprovados de
desenvolvimento e aquisição
 A melhoria contínua pode ser alcançada por constante monitoramento, análise e
atuação sobre desvios e na comunicação dos resultados
 A gestão da qualidade é essencial para assegurar que a TI forneça valor para o
negócio, melhore continuamente e seja transparente
 2º: Integridade e Confidencialidade
 Melhorar continuamente a qualidade dos serviços entregues pela TI
 Foco:
 Definir um Sistema de Gerenciamento da Qualidade (SGQ), monitorar e buscar a
melhoria contínua


PO8 Gerenciar a Qualidade

 Como Alcançar:
 Definição de práticas e padrões de qualidade
 Monitoração e revisão dos desempenhos interno e externo comparado às
práticas e padrões de qualidade definidas
 Melhoria contínua do SGQ
 Medições:
 % de partes interessadas satisfeitas com a qualidade da TI (avaliado
segundo a importância)
 % de processos de TI formalmente revisados pelo processo de garantia de
qualidade periodicamente e que atingem metas e objetivos de qualidade
 % de processos que recebem revisões de garantia de qualidade (QA -
Quality Assurance)
 Recursos de TI:
 Aplicações, informações, infraestrutura e pessoas

PO9 Avaliar e Gerenciar os Riscos de TI
 Descrição:
 Criar e manter uma estrutura de gestão de riscos (documentar e gerir os riscos)
 Qualquer impacto em potencial nos objetivos da empresa causado por um evento
não planejado deve ser identificado, analisado, avaliado e comunicado
 O resultado da avaliação deve ser entendido pelas partes interessadas e expresso
em termos financeiros para permitir que as partes interessadas alinhem o risco a
níveis de tolerância aceitáveis
 1º: Confidencialidade, Integridade e Disponibilidade
 2º: Eficácia, Eficiência, Conformidade e Confidencialidade
 Analisar e comunicar os riscos de TI e seus possíveis impactos nos processos e
objetivos de negócio
 Foco:
 Desenvolver uma estrutura de gestão de riscos integrada às estruturas corporativa
e operacional de gestão, avaliação, mitigação e comunicação de riscos


PO9 Avaliar e Gerenciar os Riscos de TI

 Como Alcançar:
 Garantia de que a gestão de riscos esteja completamente integrada aos
processos gerenciais, interna e externamente, e seja aplicada
 Realização de avaliações de risco
 Recomendação e comunicação de planos de ação e mitigação dos riscos

 Medições:
 % de objetivos críticos de TI cobertos pela avaliação de risco
 % de riscos críticos de TI identificados que tenham planos de ação
 % dos planos de ação de gestão de risco aprovados para implementação

 Recursos de TI:
 Aplicação, informação, infraestrutura e pessoas


PO10 Gerenciar Projetos
 Descrição:
 Estabelecer um programa e uma estrutura de gestão de projetos de TI (PMO)
 O PMO deve:
 Garantir a correta priorização e coordenação de todos os projetos
 Ter um plano mestre, atribuição de recursos, definição dos resultados a serem
entregues, aprovação dos usuários, uma divisão por fases de entrega, garantia da
qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a
gestão de risco do projeto e a entrega de valor para o negócio
 Entregar resultados de projetos dentro do tempo, do orçamento e da qualidade
acordados
 Foco:
 Aplicar aos projetos de TI um programa definido e uma abordagem de gestão de
projetos que permitam a participação das partes interessadas e a monitoração do
andamento e dos riscos do projeto

PO10 Gerenciar Projetos

 Como Alcançar:
 Definição e implantação de programas, estruturas e abordagens de
projeto
 Publicação de diretrizes de gestão de projeto
 Realização de planejamento de projeto para todo o portfólio de projetos
 Medições:
 % de projetos que atendem às expectativas das partes interessadas
(prazo, orçamento e escopo – ponderados de acordo com a importância)
 % de projetos que foram revisados após a implementação
 % de projetos que seguem os padrões e as práticas de gerenciamento de
projetos
 Recursos de TI:
 Aplicação, infraestrutura e pessoas


Processos – AI


AI1 Identificar Soluções Automatizadas

 Descrição:
 A necessidade de uma nova aplicação ou função requer uma análise
prévia à aquisição ou desenvolvimento, para assegurar que os requisitos
de negócio sejam atendidos através de uma abordagem eficaz e eficiente
 Este processo contempla a definição das necessidades, considera fontes
alternativas, a revisão de viabilidade econômica e tecnológica, a execução
das análises de risco e de custo-benefício e a obtenção de uma decisão
final por “desenvolver” ou “comprar”
 1º: Eficácia
 Traduzir as necessidades funcionais e de controle em soluções
 Foco:
 Identificar boas soluções técnicas economicamente viáveis

AI1 Identificar Soluções Automatizadas

 Como Alcançar:
 Definição dos requisitos técnicos e de negócio
 Realização de estudos de viabilidade conforme definido nos padrões de
desenvolvimento
 Aprovação (ou rejeição) de requisitos e resultados de estudos de
viabilidade
 Medições:
 Quantidade de projetos onde os benefícios não foram alcançados devido a
premissas incorretas de viabilidade
 % de estudos de viabilidade aceitos pelos respectivos proprietários de
processos de negócios
 % de usuários satisfeitos com as funcionalidades entregues
 Recursos de TI:
 Aplicação e infraestrutura

AI2 Adquirir e Manter Software Aplicativo
 Descrição:
 As aplicações devem ser disponibilizadas em alinhamento com os requisitos do
negócio
 Este processo contempla o projeto das aplicações, a inclusão de controles e
requisitos de segurança apropriados, o desenvolvimento e a configuração de
acordo com padrões
 Isso permite às organizações apoiarem de forma adequada as operações do
negócio com as aplicações corretas
 2º: Integridade e Confiabilidade
 Tornar disponíveis as aplicações em alinhamento com os requisitos do negócio, no
prazo desejado e com um custo razoável
 Foco:
 Assegurar que exista um processo de desenvolvimento que garanta prazo e custo


AI2 Adquirir e Manter Software Aplicativo

 Como Alcançar:
 Tradução dos requisitos de negócio nas especificações de projeto
 Adesão aos padrões de desenvolvimento em todas as modificações
 Segregação entre as atividades de desenvolvimento, teste e operação

 Medições:
 Quantidade de problemas (Incidentes) em produção por aplicação que
causem períodos perceptíveis de indisponibilidade
 % de usuários satisfeitos com a funcionalidade oferecida

 Recursos de TI:
 Aplicação


AI3 Adquirir e Manter Infraestrutura de
Tecnologia
 Descrição:
 As organizações devem ter processos de aquisição, implementação e atualização
da infraestrutura de tecnologia
 Isso requer uma abordagem planejada de aquisição, manutenção e proteção da
infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o
fornecimento de ambientes de desenvolvimento e teste
 Isso assegura um apoio tecnológico contínuo às aplicações de negócio
 2º: Eficácia, Integridade e Disponibilidade
 Adquirir e manter uma infraestrutura de TI integrada e padronizada
 Foco:
 Disponibilizar plataformas apropriadas às aplicações de negócio em alinhamento
com a arquitetura de TI definida e os padrões tecnológicos

AI3 Adquirir e Manter Infraestrutura de
Tecnologia
 Como Alcançar:
 Preparação de um plano de aquisição tecnológica alinhado com o plano de
infraestrutura tecnológica
 Planejamento da manutenção da infraestrutura
 Implementação de controles internos, medidas de segurança e de auditoria

 Medições:
 % das plataformas que não estejam alinhadas com os padrões definidos de
tecnologia e arquitetura de TI
 Quantidade de processos críticos de negócio sustentados por infraestrutura
obsoleta (ou próxima da obsolescência)
 Quantidade de componentes de infraestrutura que não contam mais com suporte
(ou que tendem a não ter suporte num futuro próximo)

 Recursos de TI:
 Infraestrutura

AI4 Habilitar Operação e Uso
 Descrição:
 O conhecimento sobre novos sistemas deve estar disponível na empresa
 Este processo requer:
 Elaboração de documentação e manuais para usuários e para a própria TI
 Promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e
infraestrutura
 2º: Integridade, Disponibilidade, Conformidade e Confiabilidade
 Assegurar a satisfação de usuários finais com as ofertas e os níveis de serviços e a
integração das aplicações e soluções tecnológicas aos processos de negócio
 Foco:
 Fornecer manuais de usuário, manuais operacionais e materiais de treinamento
eficazes para transferir o conhecimento necessário a operação e uso da aplicação


AI4 Habilitar Operação e Uso

 Como Alcançar:
 Desenvolvimento e disponibilização de documentação
 Comunicação e treinamento de usuários, gestores de negócio, equipes de
suporte e equipes de operação
 Produção de materiais de treinamento
 Medições:
 Quantidade de aplicações nas quais os procedimentos de TI estão
integrados aos processos de negócio
 % de proprietários de negócio satisfeitos com os treinamentos e material
de suporte das aplicações
 Quantidade de aplicações que dispõem de treinamento adequado de
suporte operacional e de usuário
 Recursos de TI:
 Aplicação, infraestrutura e pessoas

AI5 Adquirir Recursos de TI
 Descrição:
 Adquirir recursos de TI (pessoas, hardware, software e serviços)
 Requer a definição e a aplicação de procedimentos de aquisição, seleção de
fornecedores e negociações contratuais
 Assim assegura-se que a organização tenha todos os recursos de TI necessários a
tempo e com boa relação custo-benefício
 2º: Eficácia e Conformidade
 Melhorar o custo-eficiência de TI e sua contribuição para a lucratividade do
negócio
 Foco:
 Adquirir e manter habilidades de TI que respondam à estratégia de entrega e a
uma infraestrutura de TI padronizada e integrada, reduzindo o risco de aquisição

AI5 Adquirir Recursos de TI

 Como Alcançar:
 Obtenção de parecer profissional para aspectos legais e contratuais
 Definição de procedimentos e padrões de aquisição
 Aquisição de hardware, software e serviços requeridos em alinhamento
com os procedimentos definidos

 Medições:
 Quantidade de discordâncias relacionadas aos contratos de aquisição
 Custo reduzido de compra
 % das principais partes interessadas satisfeitas com os fornecedores

 Recursos de TI:

AI6 Gerenciar Mudanças
 Descrição:
 Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no ambiente de produção
devem ser formalmente gerenciadas de maneira controlada (registro, avaliação,
autorização e revisão após a implementação)
 Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na
integridade do ambiente de produção
 1º: Eficácia, Eficiência, Integridade e Disponibilidade
 2º: Confiabilidade
 Atender aos requisitos de negócio em alinhamento com a estratégia da
organização, reduzindo retrabalho e defeitos nas entregas
 Foco:
 Controlar a execução e os impactos de mudanças na infraestrutura e aplicações


AI6 Gerenciar Mudanças

 Como Alcançar:
 Definição e comunicação de procedimentos de mudanças, incluindo
mudanças emergenciais
 Avaliação, priorização e autorização de mudanças
 Acompanhamento de status e apresentação de relatório de mudanças
 Medições:
 Quantidade de paradas ou erros em dados devido a especificações
inadequadas ou avaliações de impacto críticas incompletas
 Retrabalho de infraestrutura ou aplicação causado por mudanças
inadequadas
 % de mudanças que seguem o processo formal de controle de mudanças
 Recursos de TI:


AI7 Instalar e Homologar Soluções e Mudanças
 Descrição:
 Colocar as novas aplicações em operação após a conclusão do desenvolvimento
 Isto reque a realização de testes apropriados em um ambiente dedicado, com
dados de teste relevantes, definição de instruções de implantação e migração,
planejamento de liberação e mudanças no ambiente de produção e uma revisão
pós-implementação
 Isso assegura que as aplicações estejam alinhados com as expectativas e os
resultados acordados
 1º: Eficácia
 2º: Eficiência, Integridade e Disponibilidade
 As aplicações novas ou alteradas devem funcionar bem após a instalação
 Foco:
 Testes, planejamento, instalação e migração de aplicações

AI7 Instalar e Homologar Soluções e Mudanças

 Como Alcançar:
 Estabelecimento de metodologia de testes
 Avaliação e aprovação dos resultados de testes pelos responsáveis pela
gestão do negócio
 Realização de planejamento de releases para produção
 Realização de revisões após a implementação
 Medições:
 Tempo de indisponibilidade da aplicação ou quantidade de correções de
dados devido a testes inadequados
 % de aplicações que na avaliação pós-implementação alcança os
benefícios planejados originalmente
 % de projetos que tenham plano de testes documentado e aprovado
 Recursos de TI:

Processos – DS


DS1 Definir e Gerenciar Níveis de Serviço
 Descrição:
 A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os
serviços necessários é possibilitada por um acordo definido e documentado, que
aborda os serviços de TI e os níveis de serviço esperados
 Este processo também inclui monitoramento e relatório oportuno às partes
interessadas quanto ao atendimento dos níveis de serviço
 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e
Confiabilidade
 Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio
 Foco:
 Identificar os requisitos de serviço, acordar os níveis de serviço e monitorar o
atendimento desses níveis de serviço


DS1 Definir e Gerenciar Níveis de Serviço
 Como Alcançar:
 Formalização de acordos de níveis de serviços internos e externos alinhados aos
requisitos e com a capacidade de entrega
 Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios)
 Identificação e comunicação de requisitos de serviços novos e atualizados para o
planejamento estratégico

 Medições:
 % de partes interessadas que entendem que os níveis de entrega de serviço estão
de acordo com os níveis acordados
 Quantidade de serviços prestados inexistentes no catálogo
 Quantidade anual de reuniões formais de análise crítica de acordo de nível de
serviço (SLA) com os representantes do negócio

 Recursos de TI:

DS2 Gerenciar Serviços Terceirizados
 Descrição:
 A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam
aos requisitos do negócio requer um processo efetivo de gestão da terceirização
 Esse processo é realizado definindo-se claramente os papéis, responsabilidades e
expectativas nos acordos de terceirização bem como revisando e monitorando tais
acordos quanto à efetividade e à conformidade
Confiabilidade
 Fornecer serviços terceirizados satisfatórios e transparentes em termos de
benefícios, custos e riscos
 Foco:
 Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de
serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e
assegurar o cumprimento dos acordos


DS2 Gerenciar Serviços Terceirizados

 Como Alcançar:
 Identificação e categorização dos prestadores de serviços
 Identificação e redução dos riscos associados ao fornecedor
 Monitoração e medição do desempenho do fornecedor

 Medições:
 Quantidade de reclamações de usuários devido aos serviços contratados
 % de grandes fornecedores que atendam claramente aos requisitos e
níveis de serviço definidos
 % de grandes fornecedores sujeitos a monitoramento

 Recursos de TI:

DS3 Gerenciar o Desempenho e a Capacidade
 Descrição:
 &&&

Confiabilidade
 Fornecer serviços terceirizados satisfatórios e transparentes em termos de
benefícios, custos e riscos
 Foco:
 Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de
serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e
assegurar o cumprimento dos acordos


DS3 Gerenciar o Desempenho e a Capacidade

 Como Alcançar:

 Medições:

 Recursos de TI:


Processos – DS


Requisitos do negócio

 O CObIT combina os princípios contidos em modelos existentes
e conhecidos, como COSO, SAC e SAS
• Qualidade (cumprimento de requisitos de SLA)
Requisitos de
• Entrega (entregar a tempo)
qualidade
• Custo (dentro do orçamento esperado)

• Eficácia e eficiência operacional
Requisitos fiduciários
• Confiabilidade dos relatórios financeiros
(COSO)
• Cumprimento de leis e regulamentos

• Confidencialidade
Requisitos de
• Integridade
segurança
• Disponibilidade


Critérios de informação

 É a capacidade de alcançar metas e resultados
Eficácia
proposto. Trata da informação que está sendo
relevante e pertinente ao processo de negócio,
bem como da que esteja sendo entregue de um
modo oportuno, correto, consistente e útil

Eficiência
 Capacidade de produzir o máximo de resultados
com o mínimo de recursos. Diz respeito a provisão
da informação através do uso otimizado (mais
produtivo e econômico) dos recursos. Tem foco na
otimização de custos


Confidencialidade
 Diz respeito a proteção da informação
sigilosa contra a revelação não autorizada

Integridade  Relaciona-se a acurácia, exatidão da
informação, bem como a sua validade, de
acordo com as expectativas do negócio

Disponibilidade
 Relaciona-se a informação que está sendo
disponibilizada quando requerida pelo
processo de negócio, agora e no futuro.
Também diz respeito a salvaguarda dos
Márcio Moreira
recursos necessários e as ecapacidadesde TI - GOV
3. COBIT – slide 82 Governança Qualidade em Serviços


 Trata do cumprimento das leis, dos
Conformidade
regulamentos e arranjos contratuais aos quais
o processo de negócio está sujeito

Confiabilidade  Relaciona-se a provisão de informação
apropriada para a gerência operar a empresa
e exercer suas responsabilidades de relatar
aspectos de conformidade e finanças


Recursos de TI

 Os processos de TI gerenciam os recursos de TI. Juntos eles são
usados para entregar a informação que o negócio precisa. Os
recursos identificados no CObIT são:


Recursos de TI

Aplicativos Informações Infraestrutura Pessoas
Sistemas automati- Dados de todos os Hardware, siste-mas Pessoal necessário
zados e sistemas formulários de en- operacionais, sistem para
manuais para pro- trada e saída, pro- as de banco de planejar, organizar,
cessar informações cessados e exibi-dos dados, rede, multimí adquirir, implementa
pelos siste-mas de dia e tudo o que é r, en-tregar, prestar
informa-ção, necessário para o su-porte, monitorar
podendo ser funciona-mento dos e avaliar os siste-
qualquer formulá-rio aplicati-vos mas de informação e
que é usado pelo serviços. O pes-soal
negócio pode ser inter-no ou
terceirizado


Framework do CObIT


Vantagens ao adotar o CObIT

• É aceito por terceiros e órgãos reguladores
• É compatível com outros padrões e deve ser usado como apoio
para projetos de implantação de processos
• As práticas sugeridas representam um consenso dos
especialistas
• Fornece uma abordagem para avaliar se os serviços de TI e as
novas iniciativas estão atendendo aos requisitos do negócio e
estão entregando os benefícios esperados
• Ajuda a desenvolver e documentar estruturas, processos e
ferramentas para um gerenciamento efetivo da TI
• Possui uma estrutura de controles que facilita auditorias

Estrutura do CObIT e Objetivos de Controle

 Este módulo cobre:

• Estrutura do conteúdo do CObIT
• Revisão de conceitos relacionados a processos
• Por que os processos precisam de controles
• O que são objetivos de controles
• Estrutura de navegação do CObIT
• Interpretação do PO10 – Gerenciar Projetos
• Visão geral dos 34 processos de TI
• Estudo de caso

Estrutura do conteúdo do CObIT
 O conteúdo do CObIT é distribuído da seguinte forma:


Negócio x Objetivos de Controle de TI
Estratégia
 Objetivos de controle de TI:
de
 “São um conjunto de requisitos de alto nível a
negócio
serem considerados pela gestão para o efetivo
controle de cada processo de TI”
Processos de  Fonte: ITGI, CObIT 4.1
negócio
 Os objetivos de controle de TI ajudam a aumentar o
valor ou reduzir o risco

Sistemas e
Aplicativos Controles de aplicativos

Processos de TI Controles genéricos e
objetivos de controle

Cada processo de TI precisa ser controlado para que possa atingir seus objetivos, de
alguma forma contribuindo para a realização da estratégia do negócio

Revisão de processo


Componentes de um processo
 Avaliação de Desempenho
 Metas e métricas mostram como o processo deve ser medido Indicadores de
Resultado
Indicadores de Indicadores de (baseados em metas)
Desempenho Desempenho

Atividade Atividade Atividade Atividade Atividade
Entradas Saídas
A B C D E

Descrição do processo

Objetivos de Controle

Atividades, papéis e responsabilidades

Nível de Maturidade


Processos precisam de controle

 Para conseguir uma governança efetiva, é necessário a
implantação dos controles pelos gerentes de operações dentro
de uma estrutura de controle definida para todos os processos
de TI


Processos e controles

• 4 domínios

• 34 processos de TI

• Requisitos de controle
genérico
 6 controles para cada processo

• Objetivos de controle
 3 a 15 por processo de TI

• Práticas de controle

Requisitos de controle genérico

 Cada processo de controle do CObIT tem 6 requisitos de
controle genérico que são comuns para todos os processos. Eles
devem ser considerados em conjunto com os objetivos de
controle do processo para que se possa ter uma visão completa
dos requisitos de controle


Requisitos de controle genérico


Estrutura de navegação do framework

 Página 31 do framework do
CObIT


Medidas de controle

 As medidas de controle para cada processo
de TI não satisfazem todos os requisitos de
negócio no mesmo grau. A estrutura do
CObIT define 3 graus de controle.
Primário – Impacta diretamente o critério de informação a que se refere

Secundário – Satisfaz parcialmente ou indiretamente o critério de
informação a que se refere

Em branco – Pode ser aplicável, entretanto os requisitos são satisfeitos
de forma mais apropriada por um outro critério neste processo e/ou ainda
por outro processo

(PO) Planejar e Organizar

• PO1 Definir um Plano Estratégico de TI

• PO2 Definir a Arquitetura da Informação
• PO3 Determinar as Diretrizes de Tecnologia
• PO4 Definir os Processos, a Organização e os Relacionamentos de TI

• PO5 Gerenciar o Investimento de TI
• PO6 Comunicar Metas e Diretrizes Gerenciais
• PO7 Gerenciar os Recursos Humanos de TI
• PO8 Gerenciar a Qualidade
• PO9 Avaliar e Gerenciar os Riscos de TI
• PO10 Gerenciar Projetos


• PO1 Definir um Plano Estratégico de TI
 O planejamento estratégico é necessário para gerenciar e
direcionar todos os recursos da TI de acordo com as estratégias
e prioridades do negócio. O departamento de TI e os
stakeholders do negócio são responsáveis por assegurar que um
valor otimizado é realizado através dos portfólios de projetos e
serviços



• PO4 Definir os Processos, a Organização e os Relacionamentos
de TI
 Uma organização de TI precisa ser definida considerando os
requisitos para pessoas, habilidades, funções,
responsabilidades, autoridades e papéis. Esta organização deve
estar ligada a um framework de processos de TI que assegure
transparência e controle, envolvendo executivos seniores e
gerentes de negócio. Um comitê estratégico deve assegurar
uma visão geral da TI e um ou mais comitês de direção, nos
quais os participantes de negócio e da TI devem determinar a
priorização dos recursos da TI, alinhados com as necessidades
de negócio

(AI) Adquirir e Implementar

• AI1 Identificar Soluções Automatizadas
• AI2 Adquirir e Manter Software Aplicativo
• AI3 Adquirir e Manter Infraestrutura de Tecnologia
• AI4 Habilitar Operação e Uso
• AI5 Adquirir Recursos de TI
• AI6 Gerenciar Mudanças
• AI7 Instalar e Homologar Soluções e Mudanças


(AI) Adquirir e implementar

• AI6 Gerenciar Mudanças
 Todas as mudanças (inclusive emergenciais e correções)
relacionadas a infraestrutura e a aplicações dentro de um
ambiente de produção precisam ser gerenciadas formalmente
de uma maneira controlada

• AI7 Instalar e Homologar Soluções e Mudanças
 Novos sistemas precisam estar operacionais uma vez que o
desenvolvimento esteja completo. Isto requer testes
apropriados em um ambiente dedicado com dados de testes
relevantes, definição da introdução e instruções de migração,
planejamento de 3. COBIT – slide 104 e revisões pós-implementação TI - GOV
Márcio Moreira
liberações Governança e Qualidade em Serviços de

(DS) Entregar e Suportar

• DS1 Definir e Gerenciar Níveis de Serviços

• DS2 Gerenciar Serviços Terceirizados
• DS3 Gerenciar o Desempenho e a Capacidade

• DS4 Assegurar a Continuidade dos Serviços
• DS5 Garantir a Segurança dos Sistemas
• DS6 Identificar e Alocar Custos
• DS7 Educar e Treinar os Usuários
• DS8 Gerenciar a Central de Serviço e os Incidentes
• DS9 Gerenciar a Configuração

• DS10 Gerenciar Problemas


• DS1 Definir e Gerenciar Níveis de Serviços
 Comunicação efetiva entre a gerência de TI e os clientes do
negócio em relação aos serviços requeridos, habilitada através
de documentação e de acordos de níveis de serviços de TI

• DS3 Gerenciar o Desempenho e a Capacidade
 A necessidade de gerenciar o desempenho e a capacidade dos
recursos de TI requer um processo para prever periodicamente
o desempenho e a capacidade atual dos recursos de TI


• DS9 Gerenciar a Configuração
 Assegurar a integridade da configuração de hardware e
software requer estabelecer e manter um preciso e completo
repositório da configuração. Este processo inclui coleta inicial de
informações da configuração e atualização do repositório da
configuração quando necessário


(ME) Monitorar e Avaliar

• ME1 Monitorar e Avaliar o Desempenho de TI

• ME2 Monitorar e Avaliar os Controles Internos
• ME3 Assegurar a Conformidade com Requisitos Externos
• ME4 Prover Governança de TI


(ME) Monitorar e Avaliar

• ME1 Monitorar e Avaliar o Desempenho de TI
 Assegura que a gestão estabeleça um framework geral de
monitoramento e uma abordagem que defina escopo,
metodologia e processos a serem seguidos.

 O monitoramento da TI contribui para os resultados do
gerenciamento de portfólio empresarial e para os processos de
programas gerenciais – processos que são específicos para
entregar competências e serviços de TI. O framework deve estar
integrado com o sistema de gerenciamento de desempenho da
companhia

Exercício - Leitura

 Ler os processos PO1 e DS1 do CObIT 4.1 detalhadamente
(Descrição, Objetivos de Controle, Diretrizes de Gerenciamento
e Modelo de Maturidade


O que as empresas querem?

• Aumentar o faturamento

• Aumentar a participação no mercado (mais clientes)

• Mais produtividades

• Maior lucratividade

• Menos custos


O que as empresas querem?

• Menos desperdício e retrabalho

• Menos riscos

• Menos problemas

• Lançar novos produtos/serviços em
curto espaço de tempo

• Clientes satisfeitos


Orientação ao negócio do CObIT


Metas de TI e processos do CObIT


Softwares de apoio

 Existem alguns softwares
que podem ser utilizados
para criação de painéis de
indicadores (dashboard):
• www.e-decision.com.br
• www.softexpert.com.br
• www.datasec-soft.com
• www.methodware.co.nz
• www.metricus.com


Diretrizes de gerenciamento

• As diretrizes de gerenciamento do CObIT possibilitam aos
administradores da organização lidar de forma eficiente com as
necessidades e requisitos da Governança de TI
• Para cada processo de TI, as diretrizes de gerenciamento
fornecem ferramentas para medir e comparar a capacidade

 Metas e métricas
• Indicadores de resultados
• Indicadores de desempenho

 Recursos
• Entradas e saídas para cada processo

Diretrizes de Gerenciamento


Entradas e saídas

 Entradas Saídas
Identifica para quais processos de
 O CObIT identifica onde as TI o processo fornece saídas. Estas
entradas primárias serão saídas são entregáveis
obtidas para cada processo. (documento, plano, relatório)
gerados por um processo
Alguns processos têm
entradas de fora da
estrutura do CObIT (PO1 e
ME3)


Metas e métricas

• O CObIT usa 2 tipos de métricas: medidas de
resultado e indicadores de performance
• Metas e métricas são definidas no CObIT em
3 níveis:

 Metas e métricas de TI: definem o que o
negócio espera da TI (o que o negócio usaria
para medir a TI) e como medir isto.
Fornecem ao CIO uma visão panorâmica do
status da TI e métricas chave que o
ajudariam a colocar a TI alinhada ao negócio

Metas e métricas

3 níveis:

 Metas e métricas de processos: definem o
que precisa ser realizado pelo processo de
TI para suportar os objetivos da TI (como os
proprietários dos processos de TI serão
avaliados) e como medir isto


Metas e métricas

3 níveis:

 Metas e métricas de atividades: estabelece
o que precisa acontecer dentro do processo
para alcançar o desempenho necessário e
como medir isto. Implanta métricas no nível
operacional que fazem sentido para os
profissionais de TI e dão a eles ferramentas
Márcio Moreira coletar e gerenciar dados para criar
para 3. COBIT – slide 122 Governança e Qualidade em Serviços de TI - GOV

Métricas do CObIT

 Demonstrar o valor que a TI entrega ao negócio requer o
relacionamento de causa e efeito entre dois tipos de métricas:

Indicadores de
Resultado
Indicadores de Indicadores de (baseados em metas)
Desempenho Desempenho

Atividade Atividade Atividade Atividade Atividade
Entradas Saídas
A B C D E


Indicadores de Performance

• Substitui o KPI (Key Performance Indicator) do CObIT 4.0
• Os indicadores de performance medem o quanto do objetivo
está sendo alcançado, oposto as medidas de resultado que
medem o que foi alcançado
• Exemplos:
• A extensão e frequência do risco e relatório de controle do
comitê executivo
• Melhora do custo/benefício dos processos de TI (custos x
entregáveis)
• Downtime do sistema
• Tempo de resposta

 Exemplo: PO10 Gerenciar Projetos, pág. 76 do CObIT em Serviços de TI - GOV
Márcio Moreira 3. COBIT – slide 124 Governança e Qualidade
4.1

Medidas de resultado

• Substitui o KGI (Key Goal Indicator – Indicador Chave de Meta)
do CObIT 4.0
• Usualmente são expressas nos seguintes termos:
 Disponibilidade das informações necessárias para suportar
requisitos do negócio
 Riscos de falta de integridade e confidencialidade das
informações
 Eficiência nos custos dos processos e operações
 Confirmação de confiabilidade, eficácia e conformidade das
informações
• No CObIT cada processo tem 2 níveis de medidas de resultado:
 um para o departamento de TI (resultado de TI)
 e outro para o processo125 TI (resultado do processo) de TI - GOV
Márcio Moreira 3. COBIT – slide
de Governança e Qualidade em Serviços

Medidas de resultado

Exemplo: PO10 Gerenciar Projetos

T Processo
I


Relacionamento entre processo, metas e métricas


Tabela RACI

 As Tabelas ou Matrizes RACI definem as responsabilidades para
cada atividade dentro do CObIT:
 Responsible: quem é o responsável (quem executa a tarefa)
 Accountable: quem deve prestar contas / autorizar uma
atividade / se responsabilizar pelo resultado
 Consulted: quem deve ser consultado
 Informed: quem deve ser informado


Tabela RACI


Gráfico RACI – Hierarquia padrão

 Os gráficos RACI apresentam funções típicas de uma organização
de grande porte. Nada impede de que estes nomes sejam
adaptados ou algumas funções sejam combinadas.


Modelos de maturidade

• Os modelos de maturidade
fornecem escalas que
ajudam a mensurar o estágio
em que o processo se
encontra na organização.
• Essa abordagem é derivada
do modelo de maturidade
para desenvolvimento de
software, o CMMI, proposto
pelo SEI
• Para cada um dos 34
processos do CObIT,–o 131
Márcio Moreira 3. COBIT slide Governança e Qualidade em Serviços de TI - GOV

Modelos de maturidade

• Usando os níveis de
maturidade do CObIT
podemos:
• Identificar o desempenho
atual da organização – onde
estamos
• Descobrir o status da
indústria – para fazer
comparações
(benchmarking)
• Estabelecer uma meta para
melhoria contínua – –onde
Márcio Moreira 3. COBIT slide 132 Governança e Qualidade em Serviços de TI - GOV

Modelo genérico do CObIT


Características de cada nível de maturidade


Modelo de maturidade do PO10

 Consulta e leitura do framework do CObIT 4.1, página 77


Avaliação dos processos / Assessment


Relacionamento entre os componentes do CObIT


Produtos do ITGI que suportam o CObIT

 Este módulo cobre:

• CObIT Quickstart
• IT Assurance Guide
• CObIT Online
• CObIT Security Baseline
• IT Governance Implementation Guide
• Val IT


Principais produtos relacionados com o CObIT

 A ISACA e o ITGI desenvolveram vários produtos acessórios para
ajudar a implementar os objetivos de controle e governança de
TI


CObIT Quickstart

• É uma versão resumida dos recursos do CObIT que serve como
ponto de partida para empresas que querem ter uma estrutura
básica de governança de TI, priorizando os controles mais
importantes
• Representa apenas 20% do conteúdo:


CObIT Quickstart

• É direcionado para empresas de pequeno e médio porte
 (SMEs) onde a TI não é estratégica ou absolutamente
 crítica para a sobrevivência da empresa
• Para cada processo de TI, fornece uma descrição resumida,
práticas de gerenciamento, referências com outros tipos de
controle, abordagens para autoavaliação, principais responsáveis
e métricas mais importantes
• Fornece ferramentas de autoavaliação, ajudando se ele é
apropriado a organização


Práticas de controle

• Outra publicação fornecida pelo ITGI é a
“Práticas de Controle”. Estas práticas traduzem
os objetivos de controle do COBIT em práticas
desenháveis e implementáveis, e fornecem
uma argumentação de negócio para a
implementação a partir de uma perspectiva de
valor e de risco


Práticas de controle

• Enquanto que os objetivos de controle
definem “o que” precisa ser feita, as práticas
de controle fornecem um detalhamento de
como implementar os objetivos e “por que”
eles podem ser necessários
• Para cada objetivo de controle há de 3 a 12
práticas de controle


PO10 Gerenciar projetos – Práticas de Controle

 PO10.6 Fase de iniciação do projeto


Guia de Validação / Garantia

• É um guia de validação (ou garantia) para profissionais que
precisam de orientações para garantir o funcionamento dos
controles internos e melhoria de processos
• Fornece conselhos sobre como testar o fundionamen-
 to de cada objetivo de controle, assegurando que os
 controles são suficientes e ajudando a documentar os
 pontos fracos dos controles
• Ajuda a elaborar um conjunto de ações e plano de au-
 ditoria. Entretanto, não deve ser visto como uma nor-
 ma de auditoria, com regras únicas
• Deve ser usado em conjunto com o CObIT para testar os
objetivos de controle

Guia de Validação / Garantia

 O IT Assurance Guide oferece uma estrutura para o plano
(roadmap) de auditoria/validação/garantia composta por três
estágios: Planejamento, Definição de Escopo e Execução


Execução do roadmap de validação/garantia

 O estágio de execução subdivide-se em 6 etapas:

 1. Refinar o entendimento do que será validado na TI
 • Identificar/confirmar os processos de TI críticos
 • Autoavaliação da maturidade dos processos

 2. Redefinir o escopo dos objetivos de controle chave para
questões que serão validadas na TI

Márcio Moreira • Atualizar a slide 147
3. COBIT – seleção de objetivos de Qualidade em Serviços de TI - GOV
Governança e controle



 3. Testar a eficácia do desenho do controle dos objetivos de
controle chave
 • Testar e avaliar os controles
 • Atualizar/avaliar maturidade dos processos

 4. Testar o resultado dos objetivos de controle chave

Márcio Moreira • Controles –de autoavaliação Governança e Qualidade em Serviços de TI - GOV
3. COBIT slide 148



 5. Documentar o impacto das fraquezas de controle
 • Diagnóstico operacional e/ou riscos de projetos
residuais

 6. Desenvolver e comunicar as recomendações em geral
 • Reportar conclusões da validação

CObIT Online

 O CObIT online é uma base de recursos na web com
funcionalidades interativas. O serviço encontra-se disponível em
sua integridade para membros da ISACA. Caso não tenha uma
assinatura, será possível baixar o framework do CObIT 4.1 e suas
traduções, documentos relacionados ao framework do Val IT 2.0
e alguns outros documentos


CObIT Online


Security Baseline

• O CObIT Security Baseline foca nos riscos
específicos da segurança de TI, com uma
abordagem simples de seguir e de
implementar. Ajuda também a conscientizar
sobre a importância da segurança da
informação
• Não é um guia técnico. Possui linguagem
acessível para qualquer tipo de pessoa, como
usuários domésticos ou usuários de pequenas Kits
e médias empresas (executivos e gerentes) fornecidos
pelo Security
Baseline

Governança cobit

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Governança cobit

Similaire à Governança cobit (20)

Plus de fernandao777

Plus de fernandao777 (20)

Governança cobit