cobit (control objectives for information and related ... · mestrado em gestão estratégicas de...
TRANSCRIPT
Mestrado em Gestão estratégicas de OrganizaçõesDisciplina: Sistemas de Informação e Novas Tecnologias Organizacionais
Professor: M.Sc. Carlos Oberdan Rolim
COBIT (Control Objectives for
Information and Related Tecnology)
Provedor de
Tecnologia
Maturidade de TI
Provedor de
Serviços
Parceiro Estratégico
Tempo
GIETI
GSTI
Governança TI
GIETI: Gerenciamento de Infra-estrutura TIGSTI: Gerenciamento de Serviços de TI
Provedor de Tecnologia
.Busca Eficiência
.Independente do Negocio
.TI nível operacional
Provedor de serviços. Pessoas, processos e produtos. TI tática
Parceiro Estratégico
.Busca crescimento doNegócio
.TI é integrada ao negócio
.TI Estratégica 3
A Importância do Setor de TI
A importância do setor de TI nas empresas
O que o setor de TI representa para a empresa?Re: depende da visão e necessidade que a empresa tem sob TI
TI TI
TI
TI
TI
TI
Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico
Área de atuação de TI dentro da empresa
A importância do setor de TI nas empresas
Alinhamento entre TI e área de Negócio
Provedor de Tecnologia
Provedor de Serviços
Parceiro Estratégico
TI Negócio
TI Negócio
NegócioTI
Provedor de Tecnologia
•TI é vista apenas como uma sustentação da operação da Empresa•O setor é visto como um custo•Orçamentos são produzidos em comparação com o mercado•Gerentes são técnicos e têm visão interna
Provedor de Serviços
•TI é vista como um serviço prestado•Os processos de TI devem responder a processos de negócio•Busca eficiência dos processos, através de cumprimento de metas•Orçamentos são baseados nas metas estabelecidas para o setor
Parceiro Estratégico
•TI é vista como oportunidade de crescimento•O setor é visto como investimento•Busca crescimento do negócio e orçamentos são baseados e seus objetivos•Diretores de TI ou CIO´s são solucionadores de problemas do negócio
A importância do setor de TI nas empresas
Alguns possíveis impactos da ineficiência de TI
Perda de Oportunidades de Crescimento
Perda de Credibilidade
Multas contratuais
Perda de Lucros
Fim da empresa
A importância do setor de TI nas empresas
Os desafios da TI
Alinhar os objetivos de TI aos objetivos de Negócio
Entregar valor
Demonstrar o Retorno de Investimento (ROI)
Diminuir Custos
Gerenciar Segurança da Informação
Os desafios da TI
Gerenciar a complexidade da Infra Estrutura de TI
Entregar projetos dentro do custo, tempo e qualidade
Gerenciar fornecedores externos
Manter a disponibilidade dos serviços
Estar em conformidade com regulamentos
Os desafios da TI
Para conviver com estes desafios o setor de TI precisa:
Definir metas alinhadas com as metas de negócio
Priorizar recursos e projetos de TI
Dirigir e controlar processos para alcançar metas
Definir papéis e responsabilidades
Manter conhecimento técnico e de boas práticas de gestão
O que é Governança de TI
Consiste de liderança, estruturas organizacionais e processos que garantam que a organização de TI suporte e amplie as estratégias e objetivos da empresa
A Governança de TI é de responsabilidade da alta administração da empresa
Faz parte da Governança Empresarial, que por sua vez subdivide-se em Governança de Negócios e Governança Coorporativa
A Governança de TI deve estar alinhada tanto a Governança de Negócios (metas de performance) quanto a Governança Coorporativa (requisitos obrigatórios e geração de valor)
O que é Governança de TI
Tipos de Governança
Governança Empresarial
Governança Coorporativa
Governança de Negócios
Governança de TI
O que é Governança de TI
Tipos de GovernançaGovernança de Negócios
•Visa cumprir as metas de performance do negócio da empresa•Preocupa-se com Geração de Valor•Busca crescimento da empresa
Governança Coorporativa
•Visa o cumprimento de requisitos obrigatórios•Preocupa-se com a conformidade em relação a legislação e regulamentos internos e externos•Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos
Governança de TI
•Preocupa-se em atender todos os objetivos empresariais•Preocupa-se com conformidade e performance•É parte da Governança Empresarial, mas pode ser também mencionada como parteDa Governança Coorporativa
Tipos de Governança
COSO
BSC
O que é Governança de TI
Modelos e frameworks utilizados
Governança Coorporativa
Governança de Negócios
Governança de TI
O que é Governança de TI
Princípios da Governança de TI (Segundo o framework do COBIT)
Direção
Controle
Responsabilidade
Prestação de contas
Alinhamento das atividades de TI
Motivação do COBIT
Meados de 2001, ocorreram escândalos coorporativos:
Enron – maior empresa de energia dos EUA no ramo energético;
• Série de denuncias fraudes fiscais, ocasionando no fechamento da empresa com dívida de 13 bilhões;• Muitas empresas e investidores faliram junto;
Worldcom – 20 mil demitidos• A empresa declarou como investimento o que era na realidade uma despesa, distorcendo os ganhos financeiros da empresa para atrair investidores;
Motivação do COBIT
O senador americano Paul Sarbanes e o deputado Michael Oxley decretam decretaram o ato Sarbanes-Oxley (2002);
A lei se aplica a qualquer empresa americana de capital aberto (ações negociadas na bolsa de valores);
A lei responsabiliza criminalmente os Executivos das empresas;
Obriga as empresas a exercer controles financeiros e portanto aplicar uma estrutura de Governança Coorporativa;
O framework recomendado para cumprir os requisitos, através de uma governança coorporativa é o COSO
Sarbanes-Oxley
Motivação do COBIT
Para manter os controles efetivos sob a informação financeira a organização precisa garantir requisitos da informação, tais como:
EficáciaEficiênciaIntegridadeDisponibilidadeConfiabilidade
Sarbanes-Oxley Governança de TI
Não é possível manter os requisitos da informação sem exercer controles sob a tecnologia da informação : sistemas, infra-estrutura, bancos de dados ;
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Consiste em alinhar os objetivos de TI aos objetivos de Negócio;
Para tanto, é preciso que o Plano Estratégico de TI seja baseado no Plano Estratégico de Negócio;
Foco em soluções que contribuam para o crescimento da empresa ou cumprimento de requisitos;
Pode ser utilizado o BSC para desdobrar a estratégia da organização;
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Foca na otimização de custos para fornecer maior valor;
Busca a compreensão dos níveis de serviço necessários para entregar valor a área de negócio;
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Requer Conscientização dos gestores da empresa e compreensão clara do apetite para riscos;
Foco nos planos de recuperação para manter continuidade do negócio;
Exige transparência, avaliação e conscientização contínua;
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Foca na otimização da alocação de recursos;
Maximização da eficiência dos recursos;
Inclui preocupações com treinamentos;
Engloba ainda controle de serviços terceirizados;
Áreas de foco da Governança de TI
Áreas de foco da Governança de TI, segundo o COBIT:
Gerenciamentode recursos
DomíniosGovernança
de TI
Acompanha e monitora a implantação da estratégia, condução dos projetos, uso dos recursos e desempenho dos processos;
Pode ser utilizado um BSC de TI para definir e acompanhar metas;
Inclui realização de auditorias;
O que é COBIT
COBIT Significa Control Objectives for Information and Related Tecnology
Traduzindo: Objetivos de Controle para a Informação e Tecnologia Relacionada
É baseado em práticas utilizadas por organizações que foram reunidas e desenvolvidas em um framework baseado em controles, pela ITGI (antes ISACA)
ITGI: IT Governance Institute
ISACA: Information Systems Audit and Control Association
O que é COBIT
Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org
Adotado mundialmente
Inicialmente era um modelo voltado para auditoria, hoje é considerado um modelo de boas práticas apresentado como um framework de Governança de TI
O COBIT pode ser utilizado para alinhar os objetivos de negócio (obtidos através de planejamento estratégico) aos objetivos de TI
Fornece apoio a Governança de TI, Gerenciamento de projetos de TI e de Serviços de TI
Pode ser utilizado para qualquer empresa, qualquer tamanho
O que é COBIT
“Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI
atualizado e internacionalmentereconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios,
profissionais de TI e profissionaisde avaliação."
Missão do COBIT (ITGI)
O que é COBIT
Benefícios
É aceito por órgãos reguladoresÉ compatível com outros modelos e frameworks de qualidade e governança de TI e coorporativaFacilita auditorias internas e externasPode ser utilizado como passo inicial para a aplicação de projetos de governança de TIBaseado em praticas vividas, experimentadas e documentadas por especialistas
O que é COBIT
Benefícios
Especialistas em gestão e institutos independentes recomendam o uso do Cobit como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).
Características
Principais Características do COBIT:
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
Características
O COBIT deve ser utilizado “de fora para dentro”, ou seja, da área de Negócio para a área de TI;
Deve ser baseado em objetivos de Negócio da empresa
Os Objetivos de negócio incluem: requisitos obrigatórios e requisitos de negócio (regulamentos e performance)
Os processos buscam traduzir os objetivos de processo em objetivos de TI
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
Características
O COBIT divide os objetivos de controle em 34 processos;
Os processos estão distribuídos em 04 domínios
Os domínios são: 1. Organização e Planejamento2. Aquisição e Implementação3. Entrega e Suporte4. Monitoração e Avaliação
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
Características
Para cada processo de TI, existem objetivos de controle definidos
São ao todo 210 objetivos de controle
Cada objetivo de controle contém, ainda, práticas de controle para auxiliar sua utilização
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
Características
Sugere um conjunto de indicadores que permitem medir o desempenho das atividades
São Indicadores de Performance e Indicadores e Meta (eficiência e eficácia)
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
CMMI
Características
Foco do COBIT
O COBIT foca em “O que precisa ser alcançado” em vez de “Como alcançar”. Para complementar o COBIT, existem outros padrões de
gestão e boas práticas que podem ser utilizados.
ISO 20.000
ITILBS
25999
PMBOK
ISO 9001
PRINCE2
COBITO QUÊ?
COMO?ISO
27002
Características
Framework de Controle
O COBIT suporta os 05 requisitos que um framework de controle deve ter
Focado no Negócio
Orientado a Processos
Linguagem em comum
Requisitos Regulatórios
Aceitabilidade Geral
Características
Foi projetado para ser utilizado por
Gestores Executivos:
para garantia de cumprimento de requisitos, gestão de risco e controle da performance de TI
Gestores de Negócio e Usuários:
para obterem transparência e certificarem dos controles fornecidos pelo setor de TI
Gestores de TI:
para demonstrar que os serviços de TI atendem as expectativas de Negócio
Auditores de TI:
para contribuir com modelos de auditoria e subsidiar opiniões
Características
Premissa do COBIT
COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo
de negócio com o fim de atingir-se os objetivos do negócio
Recursos de TI
Processos de TI Processos de Negócio
Informação
Metas
Gerenciadospor
Fornecem
Para
Para atingir
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Pro
cess
os
de
TI
Re
curs
os
de
TI
Domínios
Processos
Atividades
Ap
licaç
õe
s
Info
rmaç
ão
Infr
aest
rutu
ra
Pess
oas
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Pro
cess
os
de
TI
Re
curs
os
de
TI
Domínios
Processos
Atividades
Ap
licaç
õe
s
Info
rmaç
ão
Infr
aest
rutu
ra
Pess
oas
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
Estrutura do COBIT
É o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI
Planejar e Organizar
É o domínio onde deve ser desenvolvido o Plano Estratégico de TI, alinhado ao Plano Estratégico de Negócio
Garante que toda a organização conheça as metas estratégicas
Estrutura do COBIT
Processos:Planejar e Organizar
PO1 Definir um Plano Estratégico de TIP02 Definir a Arquitetura da InformaçãoPO3 Determinar o Direcionamento TecnológicoPO4 Definir os Processos, Organização e osRelacionamentos de TIPO5 Gerenciar o Investimento de TIPO6 Comunicar as Diretrizes e Expectativas da DiretoriaPO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a QualidadePO9 Avaliar e Gerenciar os Riscos de TIPO10 Gerenciar Projetos
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
Estrutura do COBIT
É o domínio que tem o foco no desenvolvimento ou aquisição da solução
Adquirir e Implementar
Garante que mudanças necessárias em sistemas serão tratadas
Cobre também a validação das soluções implantadas e modificações
Estrutura do COBIT
Processos:Adquirir e Implementar
AI1 Identificar Solução AutomatizadasAI2 Adquirir e Manter Software AplicativoAI3 Adquirir e Manter Infraestrutura de TecnologiaAI4 Habilitar Operação e UsoAI5 Adquirir Recursos de TIAI6 Gerenciar MudançasAI7 Instalar e Homologar Soluções e Mudanças
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
Estrutura do COBIT
É o domínio que mantém foco na operação, comunicação e funcionamento dos serviços
Entregar e Suportar
Deve garantir que os serviços de TI estão alinhados ao negócio conforme planejado e desenvolvido nos domínios anteriores
Deve trabalhar de forma a otimizar custos, treinar equipe e manter a estabilidade e qualidade dos serviços
Estrutura do COBIT
Processos:Entregar e Suportar
DS1 Definir e Gerenciar Níveis de ServiçosDS2 Gerenciar Serviços de TerceirosDS3 Gerenciar Capacidade e DesempenhoDS4 Assegurar Continuidade de ServiçosDS5 Assegurar a Segurança dos ServiçosDS6 Identificar e Alocar CustosDS7 Educar e Treinar os UsuáriosDS8 Gerenciar a Central de Serviço e os IncidentesDS9 Gerenciar a ConfiguraçãoDS10 Gerenciar os ProblemasDS11 Gerenciar os DadosDS12 Gerenciar o Ambiente FísicoDS13 Gerenciar as Operações
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
Estrutura do COBIT
É o domínio que mantém foco na avaliação constante dos processos de TI
Monitorar e Avaliar
Este domínio endereça o gerenciamento de desempenho e Governança de TI
Responsável por monitorar os controles internos
Estrutura do COBIT
Processos:Monitorar e Avaliar
ME1 Monitorar e Avaliar o DesempenhoME2 Monitorar e Avaliar os Controles InternosME3 Assegurar a Conformidade com Requisitos ExternosME4 Prover a Governança de TI
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Pro
cess
os
de
TI
Re
curs
os
de
TI
Domínios
Processos
Atividades
Ap
licaç
õe
s
Info
rmaç
ão
Infr
aest
rutu
ra
Pess
oas
Estrutura do COBIT
Os recursos de TI precisam ser gerenciados por processos para gerar informação aos processos de negócio que buscam atingir aos objetivos
Aplicativos
•Sistemas de Informação para processar as informações
Informações
•Dados que são processados por todos os sistemas de informação
Infraestrutura
•Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede
Pessoas
•Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os serviços
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Pro
cess
os
de
TI
Re
curs
os
de
TI
Domínios
Processos
Atividades
Ap
licaç
õe
s
Info
rmaç
ão
Infr
aest
rutu
ra
Pess
oas
Estrutura do COBIT
Requisitos do Negócio para a informação
• Qualidade (relacionado a SLA)
• Entrega (relacionado a tempo)
• Custo
Requisitos da Qualidade
• Eficácia e Eficiência operacional
• Confiabilidade da Informação
• Cumprimento de regulamentos
Requisitos Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de Segurança
Estrutura do COBIT
Critérios da Informação do COBIT para atender ao negócio
• Eficácia
• EficiênciaRequisitos da
Qualidade
• Conformidade
• ConfiabilidadeRequisitos Fiduciários
• Confidencialidade
• Integridade
• Disponibilidade
Requisitos de Segurança
Estrutura do COBIT
Requisitos de Qualidade
• Eficácia está relacionado com atingir ao objetivo.
• Informação eficaz é aquela que é entregue de um modo correto, consistente e útil
Eficácia
• Capacidade de atingir o objetivo com a melhor performance possível
• Pode estar relacionado com menor tempo ou custo e esforço (recursos)
Eficiência
Estrutura do COBIT
Requisitos Fiduciários
• Disponibilizar informações que comprovem o cumprimento dos regulamentos
Conformidade
• Informação confiável é a informação livre de falhas
• Informação apropriadaConfiabilidade