Beruflich Dokumente
Kultur Dokumente
com
IT Governance Institute. Cobit 4.1. Editora: ITGI. 2010. Edio: 1 http://www.isaca.org/ Implantando a Governana de TI - Aguinaldo Aragon Fernandes / Vladimir Ferraz de Abreu Brasport Coletnea Governana de TI - TCU (2008 - 2009) Hrio Oliveira - http://www.provasdeti.com.br
1994: criado pela ISACF a partir do seu conjunto inicial de objetivos de controle 1998: foi publicada sua 2 edio 2000: foi publicada sua 3 edio pelo IT Governance Institute (ITGI), rgo criado pela ISACA 2005: verso 4.0 (totalmente alinhada a modelos como COSO, ITIL, ISO/IEC 17799) 2007: atualizao incremental (verso 4.1)
Control Objectives for Information and related Technology uma estrutura de controles com as seguintes caractersticas:
Focado no negcio Orientado a processos Baseado em objetivos de controles Utiliza mtricas e modelos de maturidade
Alinhar TI ao negcio A TI deve trabalhar em conjunto com o negcio e no em paralelo As prioridades devem estar bem entendidas importante haver comunicao entre TI e as reas de negcio
Manter a TI funcionando essencial garantir a continuidade de servios crticos de TI Servios indisponveis significam:
Perda de oportunidades Reduo de lucros Danos reputao da organizao O que acontece caso um servio de emisso de notas fiscais seja interrompido?
Fernando Pedrosa Lopes 7
Entregar valor aos clientes Todas as aes da TI devem fornecer valor organizao Os projetos tm que ser entregues dentro do prazo e custo acordados necessrio justificar o retorno sobre os investimentos em TI
Gerenciar os custos da TI Os gastos com TI ainda so considerados fora de controle Os custos envolvidos com ativos de TI no so bem compreendidos No h habilidades adequadas nem coordenao de gastos
Controlar os gastos com TI to importante quanto controlar outros gastos empresariais
Fernando Pedrosa Lopes 9
Gerenciar a complexidade H um maior nmero de sistemas e tecnologias dentro das organizaes As inovaes ocorrem rapidamente
Gerenciar fornecedores uma tarefa crtica e deve ser feita com muito cuidado
Fernando Pedrosa Lopes 10
Cumprir leis e regulamentos Regulamentos que governam as operaes do negcio impactam sistemas de TI A TI deve estar ciente da necessidade de cumprir leis e regulamentos O mercado exige responsabilidade social e legal
11
Manter a segurana da informao As informaes esto cada vez mais expostas na rede A necessidade de fazer a informao prontamente disponvel gera riscos de segurana Os usurios de TI ainda so muito imaturos quanto a questes de segurana
12
necessrio ligar os desafios de TI a uma estrutura de controle, para alcanar a Governana de TI Visando a
Obter vantagem competitiva Tratar os riscos significativos Explorar os benefcios de TI Alinhar-se aos requisitos do negcio Cumprir normas e regulamentos
13
Conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI Governana de responsabilidade da alta administrao
14
Alta administrao
Para ajud-los a balancear riscos e controlar os investimentos
Usurios
Para obter garantias sobre o uso dos servios e os controles de segurana
Auditores de sistemas de TI
Para apoiar suas decises ou prover aconselhamentos de controle interno
15
ITIL CMMI
COSO
COBIT
Modelos de Auditoria
Planejamento de TI
ISO
Sistemas de Qualidade
Focado no negcio
Alinhamento das metas de TI com as metas do negcio
Orientado a processos
As atividades so organizadas em processos, pertencentes a domnios
Baseado em controles
Cada processo considera objetivos de controle um resultado desejado
17
(EMBASA CESPE 2009) [62] Uma ao eficiente decidida e prestada por iniciativa de tcnicos de suporte, preocupados em oferecer, com a maior qualidade possvel, apoio aos usurios da tecnologia da informao (TI), e a busca de solues de problemas de forma cada vez mais rpida, uma aplicao do conceito de governana em TI. (ANAC CESPE 2009) [107] Governana em TI responsabilidade dos executivos e diretores da organizao; consiste em liderana, estruturas organizacionais e processos que garantam que a TI da organizao v sustentar e estender as estratgias e objetivos da organizao; e integra e institucionaliza boas prticas para garantir que a TI v sustentar os objetivos de negcio.
18
(ISJN CESPE 2010) [114] O COBIT tem por objetivo controlar detalhadamente os processos organizados em domnios ou reas com atuao alternada ao longo do tempo. (ANEEL - CESPE 2010) [98] So objetivos do COBIT: estabelecer relacionamentos com os requisitos do negcio e organizar os processos de gerenciamento de servios em uma estrutura de ciclo de vida de servio.
19
20
Mensurao de Desempenho Acompanha e monitora o desempenho da TI atravs de BSC Gesto de recursos Melhor utilizao possvel dos investimentos e recursos de TI
Gesto de Riscos Transparncia sobre os riscos e incorporao da gesto de riscos nos processos da organizao
21
(SAD/PE CESPE 2010) 22 Conforme o IT Governance Institute, as cinco reas foco do COBIT, que sustentam o ncleo da governana de TI, so
A) apoio da alta gesto, agregao de valor, gerenciamento de risco, gerenciamento de recursos e medio de desempenho. B) apoio da alta gesto, agregao de valor, gerenciamento de escopo, gerenciamento de recursos e medio de desempenho. C) alinhamento estratgico, gerenciamento de risco, gerenciamento da qualidade, gerenciamento de recursos e medio de desempenho. D) alinhamento estratgico, agregao de valor, gerenciamento de tempo, gerenciamento de recursos e medio de desempenho. E) alinhamento estratgico, agregao de valor, gerenciamento de risco, gerenciamento de recursos e medio de desempenho.
22
(TRE/BA CESPE 2010) [93] Segundo o COBIT, gerenciamento da qualidade e medio de desempenho fazem parte dos pilares fundamentais que sustentam o ncleo da governana de TI.
23
Viso Geral
24
Para prover a informao de que a organizao precisa para atingir seus objetivos de negcio
a organizao precisa investir em recursos de TI e gerenci-los usando um conjunto de processos para entregar os servios necessrios
25
Foco no negcio
26
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
27
Efetividade
A informao deve ser relevante e pertinente para a organizao Deve ser entregue em tempo, de maneira correta, consistentemente e utilizvel
Eficincia
A informao deve ser entregue para o processo de negcio atravs do melhor uso dos recursos Mxima produtividade/Menor custo
Fernando Pedrosa Lopes 28
Confidencialidade
A Informao confidencial deve ser protegida para evitar divulgao indevida
Integridade
A informao deve ser vlida (correta e completa)
Disponibilidade
A informao deve estar disponvel hoje e no futuro, quando exigida pelo negcio
29
Conformidade
A informao deve ser aderente a leis, regulamentos e obrigaes contratuais que regem os processos de negcio Aplica-se tanto a critrios externos como controles internos
Confiabilidade
A informao deve ser apropriada para a alta gerncia administrar a organizao e exercer suas responsabilidades
Fernando Pedrosa Lopes 30
(EMBASA CESPE 2009) [63] Uma das caractersticas desejveis para a informao a Eficincia, que consiste em utilizar os recursos de forma tima para fornecer a informao de forma mais produtiva e econmica. (DATAPREV - CESPE 2006) [115] O conjunto de melhores prticas do COBIT considera seis critrios de informao: eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade. (TCU CESPE 2007) [132] Entre os requisitos de negcio para a governana da informao, trs deles so diretamente associados segurana da informao, conforme a ISO 17799.
31
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
32
Aplicativos
So sistemas automatizados para usurios e procedimentos manuais que processam as informaes
Informaes
So os dados em todas as suas formas, que servem de entrada e sada para os sistemas de informao da empresa
33
Infraestrutura
A tecnologia que possibilita o processamento dos aplicativos Hardware, sistemas operacionais, bancos de dados, redes e ambientes de suporte
Pessoas
Equipe necessria para planejar, adquirir, entregar, suportar e monitorar os servios Pode ser interna ou terceirizada
34
(EMBASA CESPE 2009) [65] Para o COBIT 4.1, os procedimentos manuais que processam a informao no fazem parte dos recursos da TI identificados como Aplicaes. (TCU CESPE 2009) [192] O gerenciamento de recursos trata do gerenciamento apropriado de recursos crticos de TI, os quais so processos, pessoas, aplicaes, infraestrutura e informao.
35
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
36
uma matriz que prov a compreenso dos papis e responsabilidades de cada processo Quem faz o que dentro de um processo? Quatro categorias:
Responsvel (responsible)
Pessoas responsveis pela execuo da atividade
Responsabilizado (accountable)
Pessoas que prestam contas pelos resultados de determinada atividade (aprovam e aceitam)
Consultado (consulted)
Pessoas que opinam sobre determinada atividade (comunicao bi-direcional)
Informado (informed)
Pessoas que so mantidas informadas sobre o andamento de uma atividade (uma via de comunicao)
Fernando Pedrosa Lopes 38
39
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
40
Mede o desempenho ou a maturidade de cada processo de TI Visa a possibilitar uma tentativa sistemtica de melhoria Permite identificar:
O estgio atual da empresa (onde estamos) O estgio atual do mercado (comparao) A meta de aprimoramento da empresa (onde queremos estar) O caminho de crescimento entre o como est e o como ser
Fernando Pedrosa Lopes 41
42
Inexistente (nvel 0)
Completa falta de um processo reconhecido A empresa nem mesmo reconhece que h uma questo a ser tratada
Inicial/Ad-hoc (nvel 1)
A empresa reconhece que h questes que precisam ser trabalhadas No entanto, os processos so aplicados individualmente, caso a caso O enfoque de gesto desorganizado
43
Otimizado (nvel 5)
Os processos seguem as boas prticas, baseado nos resultados mensurveis Ferramentas automatizadas aprimoram qualidade e efetividade
Fernando Pedrosa Lopes 45
(DATAPREV - CESPE 2006) [113] O modelo de maturidade utilizado para avaliar os nveis de maturidade da aplicao do conjunto de melhores prticas de governana, os quais variam entre 1 e 5. (SEBRAE CESPE 2008)
46
[50] Os modelos de maturidade no COBIT 4.1 so utilizados para controlar os processos de TI, fornecendo um mtodo para quantificar o nvel de maturidade dos processos.Tais modelos permitem mapear o estgio de cada um dos processos de uma organizao e compar-la com o que o mercado espera dela ao considerar o estgio atual da organizao, o estgio corrente da indstria, o status dos padres internacionais e os objetivos da organizao. [51] correto afirmar que, conforme a barra rotulada MM level 3 no grfico, os processos so documentados e comunicados. [52] correto afirmar que o processo tem o mais baixo nvel no que se refere otimizao. A padronizao de procedimentos, documentao e a sua comunicao a partir do treinamento apresentam um elevado nvel de maturidade.
47
[53] Observando-se a barra rotulada MM level 1, correto afirmar que os processos tm se desenvolvido ao ponto em que processos similares so seguidos por diferentes pessoas, mas que ainda existe uma forte dependncia do conhecimento dos indivduos.
48
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
49
Ajudam a medir desempenho, realizar comparaes (benchmarking) e identificar falhas Ajudam a responder as seguintes questes
Estamos atingindo nossas metas? Como medimos os resultados? Como controlamos os processos? Como determinamos se estamos fazendo as coisas certas?
50
Objetivos de TI
Definem o que o negcio espera da TI
Objetivos de Processo
Definem o que os processos de TI precisam entregar para suportar os objetivos de TI So alcanados atravs das atividades especficas
Figura A
52
Indicadores de Performance
Para cada objetivo identificado deve ser estabelecida uma Medida de Resultado As Medidas de Resultado de um objetivo de nvel mais baixo servem como Indicadores de Performance para objetivos de nvel mais alto
54
55
Indicadores Estratgicos
Medidas de Resultados
Antigo KGI (verso 3.0 do Cobit); Olham o passado (medies aps os resultados= lag indicators); Foco: Financeiro e Clientes; Ajudam a responder se os objetivos definidos FORAM atingidos; Medidas de Resultados de nvel + Baixo se tornam Indicadores de Performance de nvel + Alto:
Indicadores de Performance
Antigo KPI (verso 3.0 do Cobit); Olham o futuro (medies antes dos resultados = lead indicators); Foco: Processos e Aprendizado; Auxiliam a responder se os Objetivos definidos SERO atingidos.
56
Sistema de avaliao de desempenho empresarial O termo Indicadores Balanceados reflete o fato de haver vrias perspectivas de medio
57
58
59
[127] Segundo o modelo apresentado, a quantidade de reunies semestrais efetuadas com o objetivo de revisar os tipos de eventos de segurana a serem monitorados por uma organizao de TI seria um indicador de metas do processo de deteco de resoluo de acessos no-autorizados. [128] Segundo o modelo apresentado, o desempenho da TI ser direcionado pelo desempenho dos processos da TI e, dessa forma, a definio das metas de processos da TI dever ser efetuada aps a definio das metas da TI. [129] A informao, durante o processo de monitoramento, flui, em maior volume, da direita para a esquerda, enquanto que, durante o processo de planejamento a informao flui, em maior volume, da esquerda para a direita.
60
Critrios da Informao Recursos de TI Tabela RACI Modelo de Maturidade Objetivos e Indicadores Domnios, processos e atividades
61
ME1 monitorar e avaliar o desempenho ME2 monitorar e avaliar os controles internos ME3 assegurar conformidade com requisitos externos ME4 prover governana de TI
Planejar e Organizar
definir um plano estratgico de TI definir a arquitetura de informao determinar as diretrizes de tecnologia definir os processos, organizao e relacionamentos de TI gerenciar o investimento em TI comunicar metas e diretrizes gerenciais gerenciar os recursos humanos de TI gerenciar qualidade avaliar e gerenciar os riscos de TI gerenciar projetos
Monitorar e Avaliar
DS1 definir e gerenciar nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar capacidade e desempenho DS4 assegurar continuidade dos servios DS5 assegurar segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar os usurios DS8 gerenciar a central de servios e incidentes DS9 gerenciar a configurao DS10 gerenciar os problemas DS11 gerenciar os dados DS12 gerenciar o ambiente fsico DS13 gerenciar as operaes
Adquirir e Implementar
Entregar e Suportar
AI1 AI2 AI3 AI4 AI5 AI6 AI7 identificar solues automatizadas adquirir e manter software aplicativo adquirir e manter infraestrutura de tecnologia habilitar operao e uso adquirir recursos de TI gerenciar mudanas instalar e homologar solues e mudanas
62
Descrio do processo e resumo dos seus objetivos Critrios de Informao Recursos de TI reas de foco da governana
64
Seo 3 contm
Processos de entrada e sada Tabela RACI Objetivos e mtricas
Alm dos objetivos de controle, cada processo possui requisitos de controle genricos Do uma viso mais ampla dos requisitos de controle So identificados por PC(n) Process Control Number
66
68
[87] Considere que os domnios indicados por B1, B2, B3 e B4 prescrevem vrios processos que devem ser executados visando atingir objetivos de controle de alto nvel. Nesse caso, esses domnios podem ser associados, respectivamente, com os seguintes processos do COBIT: definio de plano estratgico de TI; aquisio e manuteno de infra-estrutura de TI; garantia da conformidade com regulamentos; e gerenciamento de configurao.
69
(MPU CESPE 2010) [73] Alguns requisitos de controle genricos so aplicveis a todos os processos do COBIT, tais como a definio e a divulgao de polticas, os procedimentos e planos relativos ao processo, e o desempenho do processo medido em relao s respectivas metas.
70
71
Domnio de abrangncia estratgica e ttica Identifica como a TI pode contribuir para o atendimento dos objetivos de negcio Envolve planejamento, comunicao e gerenciamento em diversas perspectivas
72
A estratgia do negcio e a TI esto alinhadas? A empresa est otimizando a utilizao dos seus recursos? Todos na organizao compreendem as metas de TI? Os riscos relacionados TI esto compreendidos e sendo gerenciados? A qualidade dos sistemas de TI est adequada s necessidades do negcio?
Definindo a infraestrutura
PO2 Determinar a arquitetura da informao PO3 Determinar as diretrizes de tecnologia
Se conhecendo melhor
PO4 Definir os processos, a organizao e os relacionamentos de TI
74
Definindo os gastos
PO5 Gerenciar o investimento de TI
Se comunicando
PO6 Comunicar metas e diretrizes gerenciais
Apoiando os processos
PO7 Gerenciar os recursos humanos de TI PO8 Gerenciar a qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos
75
(MPU - Desenvolvimento - CESPE 2010) [72] No modelo em apreo, o domnio Planejamento e Organizao envolve identificao, desenvolvimento e(ou) aquisio de solues para a execuo de sistemas de TI especficos, assim como a sua implementao e integrao junto a processos de negcio. (TRE/MT - Operao - CESPE 2010) [54-A] O domnio planejamento e organizao encarrega-se de prover a direo tecnolgica para entrega das solues, ao passo que o domnio aquisio e implementao recebe essas solues e as tornam disponveis aos usurios finais.
76
(TRE/MT - Programao - CESPE 2010) [54-A] Gerenciamento de risco o processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao, a custo aceitvel. No COBIT, esse gerenciamento est mais relacionado ao domnio planejamento e organizao do que ao domnio de monitorao e avaliao.
77
78
Cobre a identificao, desenvolvimento e aquisio de solues de TI Mudanas e manutenes em sistemas existentes tambm esto cobertas por este domnio
79
Os novos projetos conseguem entregar solues que atendem as necessidades do negcio? Os novos projetos conseguem ser entregues dentro do prazo e oramento planejados? Os novos sistemas funcionam adequadamente depois de implementados? As mudanas so conduzidas com baixo impacto nas operaes de negcio correntes?
80
AI2 Adquirir e manter software aplicativo AI3 - Adquirir e manter infraestrutura tecnolgica AI4 - Habilitar operao e uso AI5 Adquirir recursos de TI
81
82
(TRE/MT - Programao - CESPE 2010) [54-C] O COBIT, em seu domnio aquisio e implementao, descreve o processo garantir a segurana do sistema.
(TRE/MT - Operao - CESPE 2010) [55-C] Gerncia de configurao descrita, no COBIT, no domnio AI aquisio e implementao e, no ITIL, na transio de servio.
83
84
Gerenciamento da segurana e continuidade Suporte aos servios para os usurios Gesto dos dados e da infraestrutura operacional
85
Os servios de TI esto sendo entregues com alinhados ao negcio? Os custos de TI esto otimizados? As equipes de trabalho so capazes de utilizar os sistemas de TI com segurana e produtividade? Atributos como confidencialidade, integridade e disponibilidade esto implementados de forma adequada?
86
87
(MPU Desenvolvimento - CESPE 2010) [71] No COBIT, um dos processos do domnio Entrega e Suporte o de assegurar conformidade com requisitos externos.
(MPU Perito - CESPE 2010) [94] A contemplao dos aspectos de confidencialidade, integridade e disponibilidade para garantir a segurana da informao cabe ao domnio Entregar e Suportar.
(TRE/BA - Operao - CESPE 2010) [90] O domnio entrega e suporte abrange a entrega, o desenvolvimento e(ou) as aquisies de solues de TI, bem como o suporte para executar a estratgia de TI estabelecida no SLA.
89
90
Visa a assegurar a qualidade dos processos de TI e a conformidade com os objetivos de controle Utiliza mecanismos de:
91
As medies detectam problemas antes que seja tarde demais? H garantias de que os controles internos sejam eficientes e eficazes? possvel associar o desempenho de TI s metas de negcio estabelecidas?
92
(SAD/PE - CESPE 2010) 24 Faz parte do domnio monitoramento e avaliao do COBIT o processo
A) fornecer governana para a TI. B) garantir a continuidade dos servios. C) gerenciar mudanas. D) gerenciar problemas. E) avaliar e gerenciar riscos de TI.
94
PO
Definindo a direo estratgica
PO1 Definir um plano estratgico de TI
Definindo a infra
PO2- Arquitetura da Informao PO3- Direo Tecnolgica
Se conhecendo melhor
PO4- Processos, organizao e relacionamentos de TI
Definindo os gastos
PO5- Gerenciar Investimentos em TI
Se comunicando
PO6- Diretrizes e expectativas gerenciais
Apoiando os processos
PO7- Gerncias de RH, PO8- Qualidade, PO9Riscos, PO10- Projeto.
AI
O que a TI vai querer?
AI1- Identificar solues
DS
DS3- Gerenciar performance e capacidade DS4- Garantir continuidade dos servios DS5- Garantir segurana dos sistemas
ME
Como verificar desempenho geral ?
ME1- monitorar e avaliar o desempenho da TI
95
[1] 62 E, 107 C, 114 E, 98 E [2] 22 Letra E, 93 E [3] 63 C, 115 E, 132 C [4] 65 E, 192 E [5] 113 E, 50 C, 51 C, 52 E, 53 E [6] 127 E, 128 C, 129 E [7] 87 E, 73 C [8] 72 E, [54-A] E, [54-A] C [9] [54-C] E, [55-C] C [10] 71 E, 94 C, 90 E [11] 24 A
Fernando Pedrosa Lopes 96
97