Beruflich Dokumente
Kultur Dokumente
Conformidade,
Auditoria, Riscos
e Segurana
CFO
Executivo
de Negcio
Gerncia
Senior do
Negcio
CIO
Lder
Operacional
Arquiteto
Chefe
Lder de
Desenvolvimen
to
Lder Admin.
TI
PMO
Welcome
Respondendo aos Desafios de TI
Governana (Corporativa e TI)
Introduo ao Cobit
Estrutura do COBIT
Guidelines (Management and Assurance )
Recursos e Implementaes
Material Complementar
Trainning
Instrutor
Classe
Fundada em 1967
Mais de 175 capitulos estabelecidos em mais de 70 paises
Mais de 75.000 associados espalhados por mais de 160 paises
Em 1992 a idealizao do COBIT foi concebida, mas a primeira verso foi liberada em
1996.
Site: www.isaca.org
ITGI - IT Governance Institute
Fundada em 1998
Visa beneficiar as empresas, ajudando lderes em suas responsabilidades de fazer a TI
bem sucedida no apoio a misso e aos objetivos da empresa
Oferece pesquisa, recursos eletrnicos e casos de estudos para ajudar lderes e o
conselhos de diretores em suas responsbilidades sobre Governana de TI.
Site : www.itgi.org
ITPreneurs
www.itpreneurs.com
Prova
Pr-requistito
Nenhum
Investimento (Mdia)
U$ 120.00 - Direto
R$ 500,00 Parceiros
Crditos
Documento de Identificao
Prova subjetiva
Lingua inglesa e Portuguesa
Qual a melhor resposta
Tempo
Intervalo
Fonte: www.itpreneurs.com
Respondendo os Desafios de TI
Responding to IT Challenges
Desafios de TI
Manter a TI funcionando
Criao de Valor
Reduo de Custos
Gerenciamento das Complexidades
Alinhamento com o Negcio
Cumprimento das regulamentaes externas
Segurana
Valor - Value
A empresa precisa garantir que todas as aes da TI fornea valor, pois
seus investimentos so significativos dada a sua importncia estratgica.
Keeping track of IT expenditure is as important as keeping track of other
business expenditure (Manter-se a par das despesas TI to importante como
manter o rasto de outras despesas empresariais)
Em muitos dos projetos de TI que excedem os oramentos ou prazos,
os problemas tpicos so:
Custos - Cost
Apesar da forte presso por reduo do oramento de TI, os gastos de TI
ainda so considerados em algumas empresas como fora de controle.
Keeping track of IT expenditure is as important as keeping track of other
business expenditure
Razes
Complexidades
Principais razes
Segurana - Security
O desejo de fazer a informao ser prontamente disponvel pela tecnologia
gera riscos de segurana.
The goals include agreed and aligned objectives for IT, effective controls,
and efficient performance tracking. (As metas incluem objetivos acordados e
alinhados para TI, controles eficazes e desempenho eficiente de monitoramento)
Fatores
Motivadores
Vantagem Competitiva
Tratar os Riscos
Explorar os benefcios de TI
Requerimentos de negcio
Requerimentos das normas regulatrias
(Os stakeholders dentro da empresa que tm interesse em gerar valor a partir dos investimentos em TI)
Those who make investment decisions (Aqueles que tomam decises de investimentos)
Those who decide about requirements (Aqueles que decidem sobre requisitos)
Those who use IT services (Aqueles que usam os servios de TI)
Internal and external stakeholders who provide IT services: (Os stakehorders internos e externos que prestam
servios TI)
Those who manage the IT organisation and processes (Aqueles que gerenciam a organizao e processos
de TI)
COSO
Fonte: www.coso.org
COSO
Processo de controles internos, executados pelo comit
administrativo, gestores e outras pessoas designadas a
garantir a realizao de objetivos nas seguintes categorias:
Eficcia e eficincia das operaes
Confiabilidade nas informaes financeiras
Conformidade com leis e regulamentaes
Tem sido adotado por muitos setores privados e governamentais
Estrutura de controle que influncia o desenvolvimento de outros
controles e estruturas de gerenciamento, como por exemplo o COBIT
COBIT
Fonte: www.isaca.org
COBIT
O COBIT um framework de governana e controle, que foca no que
precisa ser alcanado ao invs de se preocupar em como alcanar.
Governana Corporativa
Enterprise Governance
Governana de TI
IT Governance
Governana Corporativa
Conceito
Envolvidos
Envolve e Objetivo
Benefcios
Governana TI
Conceito e Envolve
Motivador
Incorporada a Governana Corporativa
Importncia: Valor, Risco e Controle
Responsabilidade, Integra e institucionaliza e conjunto de controles
Benefcios
Os Princpios da Governana de TI
As Partes Interessadas da Governana de TI
Escopo da Governana de TI
Governana de TI X Gerenciamento de TI
Conceito
o conjunto de prticas que tem por finalidade otimizar o
desempenho de uma companhia ao proteger todas as partes
interessadas como investidores, empregados e credores
facilitando o acesso ao capital.
Fonte: www.cvm.gov.br
Envolve
Objetivo
Benefcios
Aprimoramento do processo decisrio da alta gesto
Separao clara de papis entre acionistas, conselheiros e executivos
Melhoria dos mecanismos de avaliao de desempenho e recompensa
dos executivos
Diminuio da probabilidade de ocorrncia de fraudes e corrupo
Maior institucionalizao e a melhor imagem da companhia
Fonte: www.ibgc.org.br
Conceito
Conjunto de estruturas e processos que visa garantir que a TI
suporte e maximize adequadamente os objetivos e estratgias
de negcio da organizao, adicionando valores aos servios
entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI
Envolve
Os Princpios da Governana de TI
As Partes Interessadas da Governana de TI
Escopo da Governana de TI
Motivador
Empresas esto adotando ou revendo prticas de Governana de TI
devido:
Crescentes investimentos em TI
Aumento da terceirizao dos servios de TI
Reduo de pessoal no setor de TI das empresas que utilizam
servios de TI
Benefcios gerados para a empresa
Exemplos
Benefcios
A Governana de TI gera: confiana na alta administrao e nas
tomadas de decises, proviso de alinhamento dos objetivos
entre TI e Negcio tornando-a mais flexvel e pr-ativa as
necessidades de negcio, tambm atua na preveno: utilizando
alertas e avisos quando eventos indesejveis ou planejados
ocorrerem e assegura transparncia, para que qualquer pessoa
autorizada obtenha a informao desejada
Pesquisa realizada pelo MIT em 2005 conclui que empresas com
polticas de governana em TI mais efetivas tm lucros mais altos
do que as outras ordem de 20%
Benefcios
Confiana: da alta administrao e nas tomadas de deciso
Confidence of top management
A TI geralmente confusa e difcil de ser entendida pela alta administrao. Um
programa efetivo de Governana de TI pode colocar todos na mesma pgina ao
prover uma linguagem comum, fornecer mecanismos claros de tomada de deciso
e facilitar a transparncia e preciso na informao gerencial.
Quando a alta gerncia obtm uma viso clara de como a TI est desempenhando,
ela aumenta sua confiana nas decises de investimento.
Information is available to the board to make decisions and be aware of IT
activities
(A informao est disponvel para o conselho de administrao para tomar decises e estar
consciente das atividades de TI)
Benefcios
Pr-atividade de TI para o negcio
More responsiveness to business needs
O TI fica mais pr-ativa para as necessidades de negcio. Agilidade,
flexibilidade e pr-atividade so atributos vitais da rea de TI em seu
suporte para as necessidades de negcio.
Uma efetiva Governana de TI garante uma clara cadeia de comando, tomada de
deciso eficiente e maior confiana em correr riscos e fazer investimentos.
Benefcios
Maior retorno de investimento
Higher Return on Investment (ROI)
Na mdia, a grande poro dos investimentos de TI perdida devido a falhas de
projetos, ineficincia na infra-estrutura e processos no padronizados e mal
geridos.
Uma Governana de TI efetiva ajuda a reduzir falhas de projeto, otimizar a infraestrutura de TI e aumentar a eficincia dos processos de TI.
A higher ROI implies greater value to the business and better quality of
services, enabling the overall business strategy
(Um ROI mais elevado implica maior valor ao negcio e melhor qualidade dos servios,
habilitando a estratgia empresarial global)
Benefcios
Mais confiana nos servios - More reliable services
A Governana de TI garante que os processos e servios crticos de TI sejam
monitorados e que incidentes ou falhas de alta prioridade sejam endereadas e
resolvidas. Servios que requerem altos nveis de confiabilidade so
implementados com uma infra-estrutura robusta e flexvel para minimizar a
probabilidade de falha ou indisponibilidade de servios.
A Governana de TI garante riscos menores, melhor qualidade dos servios e
maior satisfao de clientes e usurios.
Alerts exist to indicate when things go wrong. Such alerts reduce the
chances of failure because problems are detected early
(Alertas existem para indicar quando as coisas correm mal. Esses alertas reduzem as chances
de uma falha ocorrer, porque os problemas so detectados precocemente)
Benefcios
Maior transparncia - More transparency
Boa governana ajudar a fornecer ao gerentes de negcio informaes mais claras,
confiveis e precisas sobre a situao dos projetos e os custos dos servios de TI.
Maior transparncia significa que as partes interessadas obtero informao de uma
forma que eles entendam, com maior confiana e que as informaes esto
corretas.
Uma estrutura de Governana de TI efetivamente implementada garante que a
informao certa est disponvel para o nvel correto de decisores, do contrrio, a
informao tende a se perder na mirade de dados.
Information is available to the appropriate decision makers to monitor IT
activities by using accurate performance measures
(A informao est disponvel para os tomadores de deciso para monitorar as atividades deTI
utilizando medidas precisas de desempenho)
Os Princpios da Governana de TI
(Para uma efetiva governana de TI )
Direo - Direct
Alta direo fornece liderana, estruturas organizacionais e processos que assegurem
que as estratgicas de TI sustentem e atendam estratgias e objetivos da
empresa, para isso entende as mudanas e direciona as agendas dos envolvidos
Controle - Control
Permite: feedback, que auxilia o alcance dos objetivos e diminui/elimina
probabilidade de ocorrncias indesejveis
Giving clear direction on what is required by the management and applying
controls to ensure that the requirements are met
(Dar orientao clara sobre o que exigido pela gesto e aplicao de controles para garantir que
os requisitos sejam obtidos)
Os Princpios da Governana de TI
Responsabilidade - Responsibility
O Presidente normalmente o responsvel pelo controle interno.
Os diretores seniores determinam a responsabilidade para o estabelecimento de um
controle interno especfico ao pessoal responsvel pelas unidades funcionais
(departamentos).
O Controle interno de responsabilidade de todos em uma organizao e pode ser
uma funo explcita ou implcita.
Making it clear who is responsible for specific tasks
(Deixando claro quem responsvel por tarefas especficas)
Os Princpios da Governana de TI
Prestao de Contas (Accountability)
A prestao de contas a obrigao dos funcionrios em prestar
contas/reportar/explicar suas aes sobre o uso dos recursos que lhes foram
disponibilizados.
Os gestores devem prestar contas ao Comit Executivo, que por sua vez fornece a
definio de responsabilidades, direo e monitoramento.
Making it clear who has the authority to make decisions and approve the
outc ome of specific tasks
(Deixando claro quem tem a autoridade para tomar decises e aprovar o resultado das tarefas
especficas)
Os Princpios da Governana de TI
Atividades - Activities
As atividades de TI so eficientes quando existe uma boa Governana de TI.
No ter excelncia tecnolgica e sim atender os requerimentos de servios.
Por exemplo: folha de pagamento processada no final do ms; a rea de TI precisa
atender a esta necessidade.
Identifying the actual processes and procedures that need to be performed
to manage IT effectively
(Identificar os processos e procedimentos atuais que necessitam ser realizados para gerir TI de
forma eficaz)
Stakeholders
So todas as partes interessadas que devem estar de acordo com
as prticas de governana corporativa executadas pela empresa
Fonte: www.ibgc.org.br
Externos
Internos
Fornecedores
Clientes
Pblico Geral
Usurios
Governo
Acionistas
Diretores
Gerentes de Negcio
Gerente de TI
Funcionrios
Escopo da Governana de TI
Alinhamento Estratgico - Strategic Alignment
O alinhamento estratgico refere-se ao alinhamento de TI
estratgia de negcio.
Garante que os investimentos da empresa em TI estejam alinhados
com os objetivos estratgicos da empresa.
IT succeeds only if the organization succeeds
(TI somente tem sucesso se a organizao tiver sucesso)
Escopo da Governana de TI
Alinhamento Estratgico - Strategic Alignment
Objetivos Estratgicos
Benefcios
Adio de valor para os produtos e servios da empresa
Otimizao do uso dos recursos
Capacitao para uma gesto eficiente e eficaz
Escopo da Governana de TI
Alinhamento Estratgico - Strategic Alignment
Exemplo:
Em um banco, um bom desempenho disponibilizar um conjunto de servios online.
Para este banco os servios de net banking no apenas a criao de um site, mas
sim a gerao de um novo modelo de negcio.
focuses on ensuring the linkage of business and IT plans; defining,
maintaining and validating the IT value proposition; and aligning IT
operations with enterprise operations
(Focada em garantir a vinculao dos planos de negcios e planos de TI; definindo, mantendo
e validando a proposio de valor de TI; e alinhando as operaes de TI com as operaes
empresariais )
Escopo da Governana de TI
Entrega de Valor - Value Delivery
A TI estabelece um modelo para medir o valor entregue para o negcio antes de
empreend-lo, assegurando a transparncia nos benefcios reais para o negcio.
A TI entrega valor para a organizao ao entregar os benefcios prometidos a um
custo razovel
is about executing the value proposition throughout the delivery cycle,
ensuring that IT delivers the promised benefits against the strategy,
concentrating on optimising costs and proving the intrinsic value of IT
( sobre a execuo da proposio de valor em todo o ciclo de entrega, garantindo que a TI
entregue os benefcios prometidos durante a estratgia, concentrando-se na otimizao dos
custos e provando o valor intrnseco de TI)
Escopo da Governana de TI
Entrega de Valor - Value Delivery
Exemplo
A rea de TI de uma empresa Financeira entrega valor ao reduzir o tempo de
processamento de uma transao de pagamento sem exceder seu oramento
e prazo. Para esta empresa, isto significa aumento da rentabilidade devido
ao melhor posicionamento competitivo, resultando em maior satisfao de
seus clientes.
Visto desta forma, fica mais fcil demonstrar o valor adicionado pelo TI; se
analisar somente do ponto de vista (tcnico) de aplicao ou banco de
dados, se torna difcil justificar os investimentos de TI.
Escopo da Governana de TI
Gerenciamento de Risco - Risk Management
Garantir que os riscos significativos de TI so entendidos e
gerenciados de forma correta, de modo:
Assegurar a proteo dos ativos de TI
Recuperao de informaes em caso de desastres
Manter a continuidade da operao dos servios de TI
Componentes do risco
Entendimento do grau (apetite) de risco ou o comportamento
da empresa em correr riscos.
Definio do impacto e probabilidade de um risco.
Aprovao de plano de ao para tratar o risco
Escopo da Governana de TI
Gerenciamento de Risco - Risk Management
Formas de tratamento
Mitigao - Risk Mitigation
Instalar controles que protejam a empresa contra riscos
Transferir - Risk Transfer
Dividir riscos com parceiros ou adquirindo seguros apropriados
Aceitao - Risk Acceptance
Conhecendo e monitorando os riscos e tendo um plano de respostas
desenvolvido
Evitar - Risk Avoidance
Adotando uma abordagem diferente para evitar completamente os riscos
Escopo da Governana de TI
Gerenciamento de Risco
Requires risk awareness by senior corporate officers, a clear
understanding of the enterprises appetite for risk, understanding of
compliance requirements, transparency about the significant risks to
the enterprise and embedding of risk management responsibilities into
the organisation
(Requer sensibilizao para os riscos por parte da diretoria senior da corporao, uma
compreenso clara do apetite por risco da empresa, entendimento do cumprimento
aos requisitos, transparncia sobre os riscos significativos para a empresa e
incorporao das responsabilidades de gesto de riscos dentro da organizao)
Escopo da Governana de TI
Gerenciamento de Recursos - Resource Management
O objetivo garantir que os recursos sejam capazes de entregar a estratgia de TI dentro de um
custo otimizado
Ao otimizar os custos, o desafio principal a identificao das habilidades, as tecnologias e a
infra-estrutura.
is about the optimal investment in, and the proper management of, critical IT
resources: applications, information, infrastructure and people. Key issues relate to
the optimisation of knowledge and infrastructure
( sobre a otimizao dos investimentos e de um adequado gerenciamento dos recursos crticos de TI:
aplicaes, informaes, infra-estrutura e pessoas. As questes chave relacionadas a otimizao do
conhecimento e da infra-estrutura)
Human resources are the major component of the IT resource cost base
(Os recursos humanos o principal componente do custo base dos recursos de TI)
Escopo da Governana de TI
Gerenciamento de Recursos - Resource Management
Um item chave para o desempenho da TI ter sucesso o
investimento otimizado, uso e alocao de recursos de TI para
atender as necessidades da organizao.
O gerenciamento de ativos complexa, porque ativos envolve
continuidade e freqentemente no so gerenciados como um
todo, conduzindo o no aproveitamento de software, questes de
licenciamento e excessivos custos de manuteno.
Considerar onde e como terceirizar os servios de forma que os
terceiros gerem o valor prometido a um preo aceitvel.
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Se voc no pode medir, voc no pode gerenciar
Peter Drucker
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Para a gesto do desempenho dar certo, indicadores efetivos devem
ser definidos e aprovados pelas partes interessadas.
Estes indicadores (ou mtricas) podem ser acompanhadas por um
painel (scorecards) de desempenho.
A idia desdobrar mtricas de objetivos e metas para a TI
provenientes das metas organizacionais.
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Componentes
Mensurao: O ato ou processo de mensurar, obtendo um resultado,
como um nmero expressando a extenso ou valor obtido atravs da
medio.
Medida: mltiplos ou fraes do padro que esto sendo considerados
p.ex: cinco centimetros
Indicador: dispositivo ou varivel ao qual pode ser atribudo um
estado pr-definido, com base nos resultados de um processo, ou na
ocorrncia de uma condio especfica
p.ex: "flag" ou semforo
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Componentes
Mtrica: medida quantitativa do grau segundo o qual um sistema,
componente ou processo possui um dado atributo
Exemplo
Houve apenas dois erros descobertos pelo usurio nos primeiros 18
meses de operao.
Isto d mais informao significativa do que dizer que o sistema
entregue de excelente qualidade.
Fonte:BFPUG (www.bfpug.com.br)
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Balanced Scorecard - BSC
Sigla que pode ser traduzida para Indicadores Balanceados de
Desempenho.
O termo Indicadores Balanceados se d ao fato da escolha dos
indicadores de uma organizao no se restringirem unicamente
no foco financeiro, as organizaes tambm se utilizam de
indicadores focados em ativos intangveis como: desempenho de
mercado junto a clientes, desempenhos dos processos internos e
pessoas, inovao e tecnologia.
Escopo da Governana de TI
Gesto de Desempenho - Performance Measurement
Balanced Scorecard - BSC
uma metodologia disponvel e aceita no mercado desenvolvida
1992 por: Harvard Business School: Robert Kaplan e David
Norton.
Busca a maximizao dos resultados baseados em quatro
perspectivas que refletem a viso e estratgia empresarial:
Financeira;
Clientes;
Processos internos
Aprendizado e crescimento;
Governana de TI X Gerenciamento de TI
Gerenciamento de TI objetiva o fornecimento efetivo de
servios/produtos e da gesto das operaes de TI no presente
(foco interno)
A Governana de TI mais abrangente, concentra-se no
desempenho e transformao da TI, para atender demandas
atuais e futuras do negcio da corporao (foco interno) e
negcio do cliente (foco externo).
O Gerenciamento de TI pode ser realizado por um fornecedor
externo j Governana de TI especfica da organizao
(direo e controle).
Simulado
Respondendo aos Desafios de TI
Governana Corporativa
Governana de TI
Keeping IT running
Making technology work correctly
Keeping up to date with the latest solutions
Supporting developers with toolkits
Cost of IT specialist
Unavailability of the latest technology
Underestimation of the effort required
Lack of automation of development tools
Accountability
Reliability
Availability
Probability
Taking no risks
Canceling any initiative that is risky
Understanding the appetite for risks
Using old, tried, and tested systems
A
A
A
A
dashboard
metric
bonus scheme
customer
Introduo ao COBIT
Misso
Origem
CobiT e os Outros Padres
Princpios do COBIT
Componentes do COBIT
Recursos TI
Processos TI
Critrios da Informao
Critrios da Informao X Requerimento de Negcio
Relacionamento: Governana Corporativa X Governana TI
Atendimento do COBIT aos requerimentos de uma Estrutura de
Controle
Utilizado por um nmero variado de audincia
COBIT Misso
Pesquisar, desenvolver, publicar e promover um conjunto de
objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de
gerentes de negcio e auditores
To research, develop, publicise and promote an authoritative, upto-date, internationally accepted IT governance control framework
for adoption by enterprises and day-to-day use by business
managers, IT professionals and assurance professionals
COBIT - Origem
O COBIT foi desenvolvido a partir do Committee of Sponsoring
Organizations of the Treadway Commission-Internal Control - Integrated
Framework (COSO) e mais de 50 padres e prticas de mercado em TI
Princpios do COBIT
Premissa de que a TI deve gerar informaes que a empresa precisa
para atingir os seus objetivos, e assim gerar valor ao negcio
Componentes do COBIT
Requerimentos de
Negcio
Critrio da Informao
Os componentes do CobiT fornecem
uma estrutura clara para determinar
a entrega de valor, ao mesmo tempo
em que gerencia risco e controle
sobre os dados e informaes;
Processos TI
Recursos TI
Domnio
Atividade
Processo
Atividade
Componentes do COBIT
Critrios da Informao Information Criteria
Identificar o quanto e que tipo de controles so necessrios para suportar o uso
da informao e entender como os processos necessitam ser gerenciados, para
garantir que estas necessidades sejam alcanadas.
Exemplo:
Requerimento de segurana,
como a confidencialidade,
varia conforme o tipo da
informao e de como ela
processada.
Componentes do COBIT
Critrios da Informao Information Criteria
Componentes do COBIT
Critrios da Informao X Requerimento de Negcio
Information criteria helps the business and IT understand the business
requirements for information define the quality and fiduciary and security
information requirements
COSO - Foco
Controles internos na camada de
negcios
COBIT - Foco
Camada de aplicaes e infraestrutura de TI que suporta o
negcio
Comit Executivo
Gestor de Negcio
Gestor de TI
Auditor
Simulado
Introduo ao COBIT
To design procedures
As a mandatory standard
As a guide to improve business processes
To help prioritize which IT processes to improve
Policies
Audit programs
Implementation guidance
IT resources
Strict rules
Penalty for noncompliance
Process orientation
Measurement system
09. What tool within COBIT helps the business and IT understand
the business requirements for information?
1.
2.
3.
4.
Information criteria
Key activity
Control objective
Maturity model
Security
Integrity
Availability
Operational effectiveness
Compliance
Availability
Reliability
Efficiency
Fiduciary
Quality
Effectiveness
Security
Database
Infrastructure
Operating system
Contractor
Applications
Processes
Systems
Technology
Quality
Cost
Confidentiality
Compliance with laws and regulations
Estrutura do COBIT
Domnios do CobiT
Planejamento e Organizao Plan and Organise (PO)
Aquisio e Implementao Acquire and Implement (AI)
Entrega e Suporte Deliver and Support (DS)
Monitorao e Avaliao Monitor and Evaluate (ME)
Objetivos de Controle - Control Objectives (Processo)
Prticas de Controle - Control Practices
Requisitos de Controle Genrico - Generic Control Requirements
Controles da Aplicao Application Controls
Domnios do CobiT
COBIT define atividades de TI em trinta e quatro processos genricos agrupados
em quatro domnios.
Estes domnios mapeiam as reas de responsabilidades de TI:
Planejar
Construir
Suportar
Monitorar
Domnios do CobiT
A estrutura de controle do COBIT prove uma referncia em modelo operacional e linguagem
comum para toda a TI envolvida com o negcio, medindo e monitorando o desempenho e
efetivamente estabelecendo uma comunicao eficiente com os provedores de servios e
integrando as melhores prticas de gerenciamento, levando a responsabilidade e a
prestao de contas sobre os riscos e objetivos envolvidos.
Domnios do CobiT
Seo 1
Domnios do CobiT
Objetivos de Controle - Control Objectives (Processo)
A statement of the desired result or purpose to be achieved by
implementing control procedures in a particular activity
Uma declarao do resultado desejado ou objetivo a ser alcanado pela implementao de
procedimentos de controle em uma atividade em particular
Alto Nvel - High-Level
Detalhado - Detailed
PO10.1 Estrutura de Gesto de Programas
PO10.2 Estrutura de Gesto de Projetos
PO10.3 Abordagem da Gesto de Projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declarao do Escopo do Projeto
PO10.6 Fase de Incio do Projeto
PO10.7 Plano Integrado de Projeto
PO10.8 Recursos do Projeto
PO10.9 Gesto de Risco do Projeto
PO10.10 Plano de Qualidade de Projeto
PO10.11 Controle de Mudana de Projeto
PO10.12 Planejamento de mtodos de validao
PO10.13 Medio de Desempenho, Monitoramento e Reporte do
Projeto
PO10.14 Concluso do Projeto
Domnios do CobiT
Planejamento e Organizao Plan and Organise (PO)
Identificar maneiras nas quais o TI pode contribuir para o alcance dos
objetivos de negcio.
Estratgia e Tticas
TI e a estratgia de negcio esto alinhados?
Viso Planejada
Todas as pessoas da organizao entendem os objetivos do TI?
Organizao e Infra-estrutura
Os riscos de TI esto identificados e gerenciados?
Domnios do CobiT
Planejamento e Organizao Plan and Organise (PO)
Planejar e Organizar
Domnios do CobiT
Aquisio e Implementao Acquire and Implement (AI)
As solues de TI precisam ser identificadas, desenvolvidas ou adquiridas
e implementadas e integradas com os processos de negcio. Este
domnio tambm cobre as mudanas dos sistemas (novos ou existentes)
para garantir que eles operem sem interrupes.
Solues de TI
Os novos projetos so entregues dentro dos prazos e oramentos?
Mudanas e Manutenes
As mudanas podem ser realizadas sem causar problemas nas
operaes de negcios atuais?
Domnios do CobiT
Aquisio e Implementao Acquire and Implement (AI)
Adquirir e Implementar
Domnios do CobiT
Entrega e Suporte Deliver and Support (DS)
Foca nas entregas dos servios requeridos, gerenciamento da segurana e
continuidade, suporte aos usurios e gerenciamento de dados e
operacional.
Entrega dos servios solicitados
Os servios de TI esto sendo entregues conforme sua prioridade de
negcio
Definindo os processos de suporte
Os usurios de TI so capazes de utilizar os sistemas de TI de forma
produtiva e com segurana?
Domnios do CobiT
Entrega e Suporte Deliver and Support (DS)
Entregar e Suportar
Domnios do CobiT
Monitorao e Avaliao Monitor and Evaluate (ME)
Regularmente avaliar os processos de TI quanto s questes de qualidade
e cumprimento com requerimentos de controle e enderear o processo
de controle da empresa.
Avaliaes regulares e garantia de entrega
O desempenho de TI pode ser avaliado e os problemas podem ser
detectados antes que seja tarde?
Viso gerencial do sistema de controle
Gerencia assegura que os controle internos so efetivos e eficientes?
Avaliao do desempenho
Os riscos, controle, cumprimento e desempenho so medidos e
reportados?
Domnios do CobiT
Monitorao e Avaliao Monitor and Evaluate (ME)
Monitorar e Avaliar
Domnios do CobiT
Prticas de Controle - Control Practices
COBIT diz o que precisa ser feito para efetivamente controlar a TI, as
Prticas de Controle j fornecem o como e porque utilizar o
objetivo de controle detalhado.
Domnios do CobiT
Requisitos de Controle Genrico - Generic Control Requirements
Domnios do CobiT
Requisitos de Controle Genrico - Generic Control Requirements
Os processos necessitam de controles, pois os objetivos do controle da TI
fornecem um conjunto completo de exigncias de alto nvel a serem
considerados pelo gerenciamento para o controle eficaz de cada um
dos processo de TI
PC1
PC2
PC3
PC4
PC5
PC6
Domnios do CobiT
Controles da Aplicao Application Controls
Controles da aplicao uma responsabilidade comum entre o negcio e a TI,
mas a responsabilidades muda:
O negcio responsvel para adequar
Definio funcional e os requisitos de controle.
Usar os servios automatizados.
TI responsvel por
Automatizar e implementar as funes do negcio e os requisitos de controle.
Estabelecer controles para manter a integridade do controles das aplicaes.
Domnios do CobiT
Controles da Aplicao Application Controls
Os processos de TI do COBIT cobrem os controles totais de TI, mas
somente os aspectos de desenvolvimento dos controles da aplicao; a
responsabilidade pela definio e o uso operacional so do negcio
AC1
AC2
AC3
AC4
AC5
AC6
Controles de Aplicativos
AC1 Preparao e Autorizao de Dados Originais
Assegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os
procedimentos estabelecidos, levando em considerao uma adequada segregao de funes
relacionadas com a criao e aprovao desses documentos. Erros e omisses podem ser minimizados
atravs de bom desenho de formulrio para entrada da informao, permitindo que erros e irregularidades detectados
sejam reportados e corrigidos.
AC2 Entrada e Coleta de Dados Fontes
Estabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A
correo e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nvel de
autorizao da transao original. Quando apropriado para a reconstruo, os documentos originais devem ser guardados
por um perodo adequado.
AC3 Testes de Veracidade, Totalidade e Autenticidade
Assegura que as transaes sejam exatas, completas e vlidas. Valida os dados que foram inseridos e editados ou
enviados de volta para correo o mais prximo possvel do ponto onde foram originados.
AC4 Processamento ntegro e Vlido
Mantm a integridade e validade dos dados no ciclo de processamento. A deteco de transaes errneas no
interrompe o processamento de transaes vlidas.
AC5 Reviso das Sadas, Reconciliao e Manuseio de Erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as sadas sejam manuseadas de uma
forma autorizada, entregues para os destinatrios corretos e protegidas durante a transmisso. Garante que ocorre a
verificao, deteco e correo da exatido das sadas e que a informao provida pela sada usada.
AC6 Autenticao e Integridade das Transaes
Antes de transportar os dados das transaes entre os aplicativos e as funes de negcios/operacionais (internas ou
externas organizao), verifica endereamento adequado, autenticidade da origem e integridade do contedo. Mantm a
autenticidade e integridade durante a transmisso ou transporte.
Simulado
Estrutura do COBIT
Key Activity
Control Practice
KGI
Control Objective
Resource management
Risk management
Value delivery
Performance measurement
Monitoring
Planning and Organization
Acquisition and Implementation
Delivery and Support
Ferramentas
COBIT toolset will help the business and IT understand how to measure results
Guidance and metrics for measuring the results of IT processes
"As ferramentas do COBIT iro ajudar o negcio e TI compreender como medir os
resultados"
Diretrizes e mtricas para medir os resultados dos processos de TI"
Diretrizes de Gerenciamento
Conceito Controle
Objetivos Estratgicos
Conceito Controle
Medida
Indicate whether the goals have been met. These can be measured only
after the fact and, therefore, are called lag indicators
Metrics allow appropriate levels of management to correct performance issues as they occur
and to stay aligned with potentially changing goal priorities
(As Mtricas permitem nveis adequados de gesto para corrigir problemas de performance
quando estes surgem e para manter-se alinhado com mudanas potenciais das prioridades
de objetivos)
Planejamento
Escopo
Avaliao de Risco
Reviso sobre os processos de TI
Planejamento
Escopo detalhado
e objetivos
Escopo
Concluses sobre a
validao
Execuo
1
Refinar o
entendimento
1.
2.
3.
4.
5.
6.
Redefinir o
escopo
4
Testar o Desenho
do controle
5
Testar os
resultados
6
Documentar o
impacto
Comunicar as
recomendaes
Simulado
Gerenciamento - Management Guidelines
Garantia - IT Assurance Guide
5. Which part of the COBIT toolset will help the business and IT
understand how to measure results?
a)
b)
c)
d)
Management guidelines
Framework
Control objectives
IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
Maturity levels
Process performance
Degree of control
The achievement of an objective
Evaluation
Maturity modeling
Testing
Planning
%
%
%
%
of
of
of
of
Evaluation
Maturity modeling
Testing
Scoping
Recursos e Implementaes
Resources and Implementation
COBIT Online
Servio web, disponvel para qualquer pessoa, acessvel e fcil de ser
utilizado, possui diversas funes/informaes tais como:
Objetivos de Controle
Prticas de Controle
Metas e Mtricas
Tabela RACI
Diretivas de Auditoria
Modelo de Maturidade para todos os processos do COBIT
New Filter/MyCOBIT
Usurios podem construir, atravs de pesquisas sobre os
componentes do COBIT, uma verso personalizada e fazer
download por conta prpria para o uso no PC no formato
Microsoft Word ou Microsoft Access.
COBIT Online
Servio web, disponvel para qualquer pessoa, acessvel e fcil de
ser utilizado, possui diversas funes/informaes tais como:
PDF
Downloads
Fornece publicaes do ITGI
COBIT Executive Summary
COBIT Framework
COBIT Control Objectives
COBIT Management Guidelines
COBIT Assurance Guide
COBIT Implementation Toolset
COBIT Summary
(34 Processos X Critrio da Informao X Recursos de TI)
COBIT Online
Benchmarking
COBIT QuickStart
Val IT
Focado nos aspectos do valor entregue da Governana de TI
baseado no COBIT, totalmente orientado a efetividade do uso da TI
(Investimento)
Ajuda o Negcio e ao Gerenciamento de TI a reconhecer o escopo
completo dos investimentos relacionados e prove uma estrutura de
controle para gerenciar esses em todo o ciclo de vida e na criao
dos reais benefcios ao negcio.
Questes Estratgicas; os investimentos esto:
Alinhados com a nossa viso?
Providencia valor otimizado: custo e risco em nveis aceitveis?
Val IT
Questes de Valor; ns temos:
Claro e compartilhado entendimento dos benefcios esperados?
Mtricas relevantes?
Questes sobre entrega; temos um efetivo e disciplinado processo de
entrega e de gerencia de mudana
Capacidades requeridas?
Para as mudanas requeridas pelo negcio alavancar suas
capacidades?
Questes de arquitetura; os investimentos
Esto alinhados com os princpios da nossa arquitetura?
Esto alinhados com outras iniciativas?
Questes de
estratgia
Questes de valor
Estamos
fazendo as
coisas certas ?
Estamos
obtendo os
benefcios ?
Questes de
arquitetura
Questes de entrega
Estamos
fazendo da
forma certa ?
Estamos
fazendo de um
jeito bem feito ?
Capacidades necessrias?
Mudanas organizacionais necessrias para potencializar as capacidades?
Val IT
Val IT um guarda-chuva com vrias publicaes, produtos e atividades que
tratam da gesto dos investimentos da TI; publicaes:
Enterprise Value: Governance of IT Investments - The Val IT Framework
Estrutura que explica como uma organizao pode obter valor otimizado dos
investimentos em TI e baseia-se no mtodo COBIT. Est organizado em:
Trs domnios
Governana de Valor
Gerenciamento de Portflio
Gerenciamento de Investimento
Principais Prticas do Gerenciamento de TI (IT Key management practices;
prticas de gerenciamento essenciais que influenciam positivamente o
alcance dos resultados ou propsitos esperados de uma atividade especfica.
Suportam os processos de Val IT e tem quase o mesmo papel dos objetivos
de controle do CobiT.
Val IT
Val IT um guarda-chuva com vrias publicaes, produtos e atividades que
tratam da gesto dos investimentos da TI; publicaes:
Enterprise Value: Governance of IT Investments The Business Case:
Foca nos elementos chave do processo de gerenciamento de
Simulado
Recursos e Implementaes
Resources and Implementation
ITIL
COBIT
ISO/IEC 17799
CMM
Accounting standards
Auditing standards
Investment decisions
The effectiveness of their internal controls
Importance
Importance
Importance
Importance
of
of
of
of
IT resources
information criteria
goals
domains
Senior management
Small and medium-sized enterprises (SMEs)
Auditors
Control specialists
Importance
Importance
Importance
Importance
of
of
of
of
IT resources
information criteria
goals
domains
Control Practices
IT Governance Implementation Guide
Control Objectives
IT Assurance Guide
Service Quality
Service Delivery
Project Management
Information Security Management
CobiT Framework
CobiT Online
CobiT Control Objectives
IT Governance Implementation Guide
Surveys
Benchmarking
Help
Feedback
Control Objectives
Management Guidelines
Cobit Quickstart
IT Governance Implementation Guide
Business Case
Voc foi contratado como especialista em Governana de TI para a empresa Traking Ltd. O presidente Sr.
Arimatia lhe da s Boas Vindas e logo apresenta os seus objetivos:
1.
Quero que voc deixe transparente a operao de TI, ou seja: que as pessoas tenham claramente
seus papeis, suas responsabilidades, quais objetivos eles devem gerar e a importncia destes
objetivos para as minhas vendas, alm de eliminar qualquer dependncia da empresa com estes
recursos, mas preservando a importncia de cada um para o meu negcio!
2.
Como posso a partir do meu plano estratgico de 2009, fazer com que todos da TI o entendam, se
esforcem para buscar os mesmos resultados e que eu consiga saber que eles esto cumprindo com
as suas obrigaes?
3.
Todo ano invisto consideravelmente nos projetos do depto de TI, mas eles no conseguem atingir o
ROI esperado. Como posso saber a capacidade desta administrao para ter uma referncia de
melhoria e assim traar um plano para que eles consigam cumprir o retorno que espero?
4.
Ouvi dizer que existe uma estrutura que me da poder de administrar o depto de TI, no sei qual o
nome dela e nem como ela pode me ajudar sem que eu domine os seus conceitos e jarges, voc
pode me ajudar?
5.
Hoje temos muitos fornecedores atuando em conjunto com a TI, isto me deixa inseguro, pois
acredito que eles tem grandes responsabilidades que devem estar sob o nosso radar, como
poderemos gerenci-los de modo a me tranqilizar?
Business Case
1.
2.
3.
4.
5.
Muito Obrigado!
www.trainning.com.br