You are on page 1of 34

Professor Gledson Pompeu gledson.pompeu@gmail.

com

Governana de TI
COBIT Mdulo 1 Conceitos Bsicos
Referncia: COBIT Framework Verso 4.1

Histrico e evoluo

Primeira verso em 1996


Information System Control and Audit Foundation (ISACF) Compilao de referncias sobre controle e auditoria de TI
Information System Control and Audit Association (ISACA) Acrscimo e atualizao de referncias, kit de implantao IT Governance Institute Criao do Management Guidelines Consolidao e detalhamento de instrumentos gerenciais

Segunda verso em 1998


Terceira verso em 2000 (Cobit 3 Edio)


Quarta verso em 2005 (Cobit 4.0)

Refinamento em 2007 (Cobit 4.1)


Professor Gledson Pompeu gledson.pompeu@gmail.com 2

Governana de TI
Responsabilidade da alta direo, consiste em liderana, estruturas organizacionais e processos que garantem que a TI corporativa sustenta e estende as estratgias e objetivos da organizao

Professor Gledson Pompeu gledson.pompeu@gmail.com

Responsabilidades da alta direo

Assegurar o alinhamento entre a estratgia de TI e a estratgia de negcios Direcionar a execuo da estratgia de TI

Decises sobre priorizao de investimentos e alocao de recursos Diretrizes claras, indicadores e metas objetivas

Assegurar o cumprimento da estratgia de TI

Promover cultura de abertura e colaborao entre as reas de negcios e a rea de TI


Professor Gledson Pompeu gledson.pompeu@gmail.com 4

Governana de TI

O qu:

liderana, estruturas organizacionais e processos


executivos e alta direo (no s a rea de TI) garantir que a TI sirva como instrumento para sustentar e ampliar o negcio da organizao

Quem:

Para qu:

Como:

controle sobre os processos e recursos de TI para garantir qualidade, confiabilidade e segurana das informaes
Professor Gledson Pompeu gledson.pompeu@gmail.com 5

Desafios

Aproveitar a capacidade da TI de impulsionar e transformar as prticas de negcios Garantir o retorno dos investimentos em TI, por meio do equilbrio entre o valor da informao e os custos de TI Evitar as falhas de TI, que cada vez mais prejudicam o valor e a reputao da organizao Gerenciar os riscos gerados pela dependncia de elementos fora do controle direto da organizao Gerenciar o impacto da TI sobre a continuidade de negcios, causado pela dependncia da informao
Professor Gledson Pompeu gledson.pompeu@gmail.com

Focos da governana de TI
Alinhamento estratgico Agregao de valor Gerenciamento de recursos Gerenciamento de riscos Mensurao de desempenho Vinculao entre TI e negcios (planejamento e operaes) Garantia de alcance dos benefcios, com otimizao de custos Otimizao dos investimentos e do uso dos recursos de TI Incorporao do tratamento de riscos e da conformidade nos processos Uso do BSC para avaliar todas as dimenses da TI
Professor Gledson Pompeu gledson.pompeu@gmail.com 7

Viso geral do modelo

Professor Gledson Pompeu gledson.pompeu@gmail.com

Princpios bsicos

Objetivos de negcios requerem informaes

Informaes devem atender aos critrios de qualidade, segurana e confiabilidade


Dados, aplicaes, infra-estrutura e pessoas Definio de responsabilidades e metas Objetivos de controle, indicadores de desempenho e indicadores de resultados

Informaes so produzidas por recursos de TI

Recursos de TI so gerenciados por processos

Processos devem ser controlados

Professor Gledson Pompeu gledson.pompeu@gmail.com

Princpios bsicos

Professor Gledson Pompeu gledson.pompeu@gmail.com

10

Caractersticas gerais

Foco no negcio

Alinhamento das metas de TI a metas de negcio


Organizao das atividades de TI em um modelo de processos aplicvel de forma geral Identificao de responsabilidades pelos processos nas reas de negcio e TI Definio dos objetivos de controle a serem considerados pela gerncia Uso de indicadores e modelos de maturidade
Professor Gledson Pompeu gledson.pompeu@gmail.com 11

Orientado a processos

Baseado em controles

Dirigido por mtricas

Foco no negcio

O negcio requer informaes que atendam aos critrios

Os processos usam recursos para gerar as informaes


12

Professor Gledson Pompeu gledson.pompeu@gmail.com

Critrios da informao - Qualidade

Efetividade/Eficcia (Effectiveness)

A informao deve ser pertinente e relevante para o processo de negcio A informao deve ser entregue de forma tempestiva, correta, consistente e em formato til
A informao deve ser provida por meio do uso otimizado dos recursos

Eficincia

Professor Gledson Pompeu gledson.pompeu@gmail.com

13

Critrios da informao - Segurana

Confidencialidade

A informao deve ser protegida contra acesso no autorizado


A informao deve ser precisa, completa, e vlida de acordo com as expectativas e os valores do negcio A informao deve estar disponvel quando requerido pelo processo de negcio, agora e no futuro Os recursos e capacidades associados informao devem ser protegidos
Professor Gledson Pompeu gledson.pompeu@gmail.com 14

Integridade

Disponibilidade

Critrios da informao - Adequao

Conformidade

A informao obedece a leis, normas e contratos aos quais o processo de negcio est sujeito, ou seja, aos requisitos impostos ao negcio
A informao deve ser adequada para gerenciar a operao do negcio e para a alta direo exercer sua responsabilidade de gerao de relatrios financeiros e de conformidade
Professor Gledson Pompeu gledson.pompeu@gmail.com

Confiabilidade

15

Recursos de TI

Aplicaes

Sistemas automatizados e procedimentos manuais que processam informaes


Dados capturados, processados e gerados por sistemas de informao, em qualquer formato usado pelo negcio Recursos tecnolgicos (hardware, sistemas operacionais, sistemas de banco de dados, redes, etc.) e instalaes fsicas que suportam o processamento das aplicaes Equipe necessria para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar sistemas de informao e servios de TI
Professor Gledson Pompeu gledson.pompeu@gmail.com 16

Dados

Infra-estrutura

Pessoas

Orientado a processos
Objetivos de Negcios Governana de TI

Informao Monitoramento e Avaliao Planejamento e Organizao

Recursos de TI

Entrega e Suporte

Aquisio e Implementao
Professor Gledson Pompeu gledson.pompeu@gmail.com 17

Orientado a processos

Professor Gledson Pompeu gledson.pompeu@gmail.com

18

Matriz de responsabilidade

R (responsible) Quem responsvel pela execuo da atividade

A (accountable) Quem presta contas pelos resultados da atividade

C (consulted) Quem consultado para execuo da atividade

I (informed) Quem informado do resultado da atividade

Professor Gledson Pompeu gledson.pompeu@gmail.com

19

Baseado em controles

Polticas, procedimentos, prticas e estruturas organizacionais para garantir que


Os objetivos de negcio sero alcanados Os eventos indesejveis sero prevenidos, se possvel, ou ento detectados e corrigidos

Alm de controles gerais, aplicveis a todos os processos, cada processo possui seus prprios objetivos de controle

Declaraes dos resultados desejados ou do propsito a ser alcanado pela implementao de controles sobre uma atividade
Professor Gledson Pompeu gledson.pompeu@gmail.com 20

Controles gerais de processos

PC1 Process Owner

Cada processo deve ter um responsvel Os processos devem ser executados de forma consistente Os processos devem ter objetivos e metas claras A responsabilidade pela execuo das atividades dos processos deve ser atribuda a papis especficos Os processos devem ter seu desempenho medido Polticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos
Professor Gledson Pompeu gledson.pompeu@gmail.com 21

PC2 Repeatability

PC3 Goals and Objectives

PC4 Roles and Responsibilities

PC5 Process Performance

PC6 Policy, Plans and Procedures

Controles gerais de aplicao

AC1 Source Data Preparation and Authorisation

Os documentos de origem devem ser preparados e aprovados segundo o critrio de segregao de funes Os dados devem ser almentados de forma tempestiva por pessoas autorizadas, e eventuais correes no devem comprometer os nveis de autorizao do sistema

AC2 Source Data Collection and Entry

AC3 Accuracy, Completeness and Authenticity Checks

Todas as transaes devem ser precisas, completas e vlidas


Os dados devem ser mantidos ntegros e vlidos durante todo o ciclo de processamento As sadas do sistema devem ser verificadas quanto preciso, protegidas durante a transmisso, entregues aos destinatrios corretos e utilizadas corretamente Os dados passados entre aplicaes ou reas da organizao devem ser verificados quanto autenticidade e integridade
Professor Gledson Pompeu gledson.pompeu@gmail.com 22

AC4 Processing Integrity and Validity

AC5 Output Review, Reconciliation and Error Handling

AC6 Transaction Authentication and Integrity

Dirigido por mtricas

Modelos de maturidade

Possibilitam benchmarking e identificao das necessidades de melhoria Demonstram como os processos atendem s metas de negcios e de TI, a partir da mensurao de indicadores baseados no BSC
Direcionam o desempenho efetivo dos processos

Metas e indicadores de processos

Metas de atividades

Professor Gledson Pompeu gledson.pompeu@gmail.com

23

Modelo de maturidade

Os nveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizaes

Esses nveis no estabelecem patamares evolutivos, como no CMM/CMMI e em outros modelos similares

A partir dos nveis de maturidade descritos para cada um dos 34 processos, possvel identificar

O desempenho real da organizao (onde estamos) A situao de organizaes similares (benchmarking) Os avanos possibilitados pelos modelos disponveis A meta da organizao (onde queremos estar)
Professor Gledson Pompeu gledson.pompeu@gmail.com 24

Modelo de maturidade
Nonexistent 0 Initial 1 Repeatable 2 Defined 3 Managed 4 Optimised 5

Legend for Symbols Used


Enterprise current status International standard guidelines Industry best practice Enterprise strategy

Legend for Rankings Used


0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. 4 - Processes are monitored and measured. 5 - Best practices are followed and automated.

Professor Gledson Pompeu gledson.pompeu@gmail.com

25

Modelo de maturidade

Nvel 0 Inexistente

Ausncia de processos identificveis A organizao no reconhece que existe uma questo a ser tratada
A organizao reconhece que existe uma questo a ser tratada Abordagens improvisadas tendem a ser aplicadas a situaes individuais A gerncia do processo desorganizada
Professor Gledson Pompeu gledson.pompeu@gmail.com 26

Nvel 1 Inicial/Ad-hoc

Modelo de maturidade

Nvel 2 Repetvel mas intuitivo

Os processos se desenvolveram de modo que procedimentos similares so executados por pessoas diferentes que realizam a mesma tarefa No existe treinamento ou repasse formal de procedimentos, a responsabilidade deixada a cargo do indivduo Existe alta dependncia do conhecimento individual, o que gera grande probabilidade de falhas Procedimentos padronizados, documentados e comunicados por meio de treinamentos Cabe ao indivduo seguir esses processos; pouco provvel que desvios sejam detectados Os procedimentos no so sofisticados, mas apenas formalizao de prticas existentes

Nvel 3 Processo definido

Professor Gledson Pompeu gledson.pompeu@gmail.com

27

Modelo de maturidade

Nvel 4 Gerenciado e mensurvel

possvel monitorar e medir a conformidade de procedimentos, para agir quando os processos no estiverem funcionando de forma eficaz Os processos sofrem melhorias constantes e estabelecem boas prticas Ferramentas automatizadas so usadas de forma limitada ou fragmentada
Os processos foram refinados at alcanar as melhores prticas, com base no resultado de melhoria contnua e comparaes com outras organizaes A TI usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos
Professor Gledson Pompeu gledson.pompeu@gmail.com 28

Nvel 5 Otimizado

Metas e indicadores

Metas e indicadores so definidos em trs nveis

TI - definem o que o negcio espera da TI Processos - definem o que cada processo de TI deve entregar para suportar as metas de TI Atividades - definem o que deve ser realizado no mbito de cada processo para alcanar o desempenho esperado
Mtricas de resultado (antigo KGI) - indicam se as metas foram alcanadas no passado Indicadores de desempenho (antigo KPI) - indicam se as metas podero ser alcanadas no futuro
Professor Gledson Pompeu gledson.pompeu@gmail.com 29

So definidos dois tipos de indicadores


Metas e indicadores

Metas so derivadas em cascata


Objetivos do negcio para metas de TI Metas de TI para metas de processos Metas de processos para metas de atividades
Professor Gledson Pompeu gledson.pompeu@gmail.com 30

Metas e indicadores

Mtricas de resultado so definidas para cada uma das metas estabelecidas

Mtricas de resultado de um nvel servem como indicadores de desempenho para o nvel seguinte
Professor Gledson Pompeu gledson.pompeu@gmail.com 31

Metas e indicadores

Professor Gledson Pompeu gledson.pompeu@gmail.com

32

Metas e indicadores

Mtricas de resultado detalham os objetivos a serem alcanados pelo processo (o qu)


Indicadores imediatos de sucesso no alcance da meta Foco nas perspectivas financeira e de clientes do BSC Medem a TI com a viso do negcio Foco nos critrios da informao considerados mais relevantes para cada processo

Indicadores de desempenho monitoram os elementos crticos do processo (como)


Indicadores da probabilidade de alcance da meta no futuro Foco nas perspectivas de processos e aprendizado Foco nos recursos mais importantes para cada processo
Professor Gledson Pompeu gledson.pompeu@gmail.com 33

Viso geral do modelo

Professor Gledson Pompeu gledson.pompeu@gmail.com

34

You might also like