Upload
diogo-edler
View
221
Download
0
Embed Size (px)
DESCRIPTION
segue
Citation preview
1CobiTCobiT
ContedoContedo
1. Sumrio Executivo
2. Estrutura
3. Objetivos de Controle
4. Diretrizes de Gerenciamento
5. Modelo de Maturidade
6. Guia de Certificao de TI
7. Implementao
8. Consideraes Finais
2Sumrio ExecutivoSumrio Executivo
IntroduoIntroduo
Control OBjectives for Information and related Technology
O COBIT foi desenvolvido pela ISACA (Information Systems Audit and Control Association) e teve sua primeira edio publicada em 1996
O COBIT uma prtica internacional para implementao de:
9 Processos de TI
9 Direcionamento, Monitorao e Benchmarking de TI
9 Sistemas de Controles Internos
9 Governana de TI
3Definido como uma estrutura de relacionamentos e
processos para direcionar e controlar a empresa a
fim de atingir os seus objetivos atravs da
agregao de valor balanceando os riscos contra o
retorno de TI e seus processos
Definido como uma estrutura de relacionamentos e
processos para direcionar e controlar a empresa a
fim de atingir os seus objetivos atravs da
agregao de valor balanceando os riscos contra o
retorno de TI e seus processos
GovernanaGovernana de TIde TI
Como os gerentes responsveis mantm a na em seu curso ?
Como pode a empresa obter resultados que sejam satisfatrios para o maior nmero de stakeholders ?
Como pode a empresa ser adaptada a tempo de acordo com as tendncias do ambiente empresarial ?
Informao de GerenciamentoInformao de Gerenciamento
4AlinhamentoEstratgico
reas Foco da reas Foco da Governana Governana de TIde TI
Entregade Valor
Gerenciamentode Desempenho
Gerenciamentode Recursos
Gerenciamentode Risco
CobiTCobiT 3rd 3rd editionedition -- Famlia de Produtos (Literatura)Famlia de Produtos (Literatura)
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
5CobiTCobiT 4.04.0Famlia de ProdutosFamlia de Produtos(no documento)(no documento)
1 2
3
3
3
4
6
5 7
8
9
10
11
12
CobiTCobiT 4.04.0Famlia de ProdutosFamlia de Produtos(no site)(no site)
6Relacionamento dos Componentes do Relacionamento dos Componentes do CobiTCobiT
EstruturaEstrutura
7EstruturaEstrutura
Processo de Gesto
ENTRADAS SADASFORNECEDORES CLIENTES
Processo de Servio
ENTRADAS SADASFORNECEDORES CLIENTES
1. Entradas e Sadas2. RACI Chart3. Objetivos e Mtricas
9 Atividades, Processos e TI
DIRETRIZES DE GERENCIAMENTO
1. Recursos de TI2. Critrios de Informao3. Objetivos de Controle
OBJETIVOS DE CONTROLE
ESTRUTURA
COMPOSTO DE 34 PROCESSOS SUBDIVIDIDOS EM 4 DOMNIOS:1. PLANEJAMENTO E ORGANIZAO (10)2. AQUISIO E IMPLEMENTAO (7)3. ENTREGA E SUPORTE (13)4. MONITORAO (4)
GUIA DE CERTIFICAO DE TI9 Diretrizes de Auditoria (3rd Ed)
Camada de Gesto
Camada de Servio
MODELO DE MATURIDADE9 Nveis de 0 a 5
CobiTCobiT 3rd 3rd editionedition -- Famlia de Produtos (Literatura)Famlia de Produtos (Literatura)
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
8Princpio Bsico do Princpio Bsico do CobiTCobiT
O CobiT parte do princpio que deve haver alinhamento entre TI e os requisitos de negcio da empresaO CobiT parte do princpio que deve haver alinhamento entre TI e os requisitos de negcio da empresa
Requisitosde Negcio
Recursosde TI
Processosde TI
Objetivos e Arquitetura da Empresa para TIObjetivos e Arquitetura da Empresa para TI
9Gerenciando Recursos para Atingir os Objetivos de TIGerenciando Recursos para Atingir os Objetivos de TI
Modelo de ControleModelo de Controle
CONTROLE: definido como as polticas, procedimentos, prticas e estruturas organizacionais desenvolvidas para prover com uma confiana razovel de que os objetivos de negcio sero atingidos e que os eventos indesejveis sero prevenidos ou detectados e corrigidos obtendo desta forma um equilbrio entre riscos e benefcios:
1. Identificando as atividades mais importantes a serem executadas;2. Medindo o progresso destas atividades com relao aos seus objetivos;3. Determinando quo bem esto sendo executados os processos de TI.
10
Gerenciamento, Controle, Alinhamento e MonitoraoGerenciamento, Controle, Alinhamento e Monitorao
Domnios, Processos e AtividadesDomnios, Processos e Atividades
Domnios: englobam os conjuntos de processos relacionados a gesto ou ao ciclo de vida de TI;
Processos: englobam os conjuntos de atividades/tarefas de controle;
Atividades/tarefas: so as atividades e tarefas para se atingir os resultados.
11
CUBO do CUBO do CobiT CobiT
Aplic
ae
s Infr
aest
rutu
ra
Info
rma
o
Pess
oas
Efic
ciaEf
icin
cia
Conf
iden
cialid
ade
Inte
grid
ade
Disp
onib
ilida
de
Conf
orm
idad
e
Conf
iabi
lidad
e
Domnios
Processos
Atividades
RECU
RSOS
DE
TI
CRITRIOS DE INFORMAO
Estrutura do Estrutura do CobiTCobiT
CobiT
OBJETIVOS DO NEGCIO
Entrega e Suporte Aquisio e Implementao
Planejamento e OrganizaoMonitorao
GOVERNANA DE TI
EficciaEficinciaConfidencialidadeIntegridadeDisponibilidadeConformidadeConfiabilidade
INFORMAO
AplicaesInformaoInfra-estruturaPessoas
RECURSOS DE TI
10 Processos
7 Processos13 Processos
4 Processos
12
CobiT CobiT X reas Foco de X reas Foco de Governana Governana de TIde TI
Refere-se s estratgias e tticas, considerando os
caminhos para alcanar as metas de negcios
Define as questes estratgicas ligadas ao uso da TI
em uma organizao
Refere-se s estratgias e tticas, considerando os
caminhos para alcanar as metas de negcios
Define as questes estratgicas ligadas ao uso da TI
em uma organizao
PlanejamentoPlanejamento e e OrganizaOrganizao o (PO)(PO)
13
PO1 - Definir o Plano Estratgico de TIPO2 - Definir a Arquitetura da InformaoPO3 - Determinar a Direo TecnolgicaPO4 - Definir a Organizao de TI e RelacionamentosPO5 - Gerenciar o Investimento em TIPO6 - Comunicar Objetivos Gerenciais e DireoPO7 - Gerenciar Recursos HumanosPO8 - Gerenciar QualidadePO9 Avaliar e Gerenciar Riscos de TIPO10 - Gerenciar ProjetosO PO11 ficou no lugar do PO8
PlanejamentoPlanejamento e e OrganizaOrganizao o (PO)(PO)
PROCESSOSPROCESSOS
Define as questes de implementao da TI conforme as diretivas estratgicas e de projeto pr-definidos
no Plano Estratgico de Informtica da empresa
Refere-se a identificao, desenvolvimento ou aquisio de solues para a realizao da estratgia
de TI, assim como sua implementao e integrao
aos processos de negcios
Define as questes de implementao da TI conforme as diretivas estratgicas e de projeto pr-definidos
no Plano Estratgico de Informtica da empresa
Refere-se a identificao, desenvolvimento ou aquisio de solues para a realizao da estratgia
de TI, assim como sua implementao e integrao
aos processos de negcios
AquisiAquisioo e e ImplementaImplementao o (AI)(AI)
14
AI1 - Identificar Solues Automatizadas
AI2 - Adquirir e Manter Aplicaes de Software
AI3 - Adquirir e Manter Infra-estrutura Tecnolgica
AI4 Habilitar operao e utilizao
AI5 Obter recursos de TI
AI6 - Gerenciar Mudanas
AI7 Instalar e certificar solues e mudanas
AquisiAquisioo e e ImplementaImplementao o (AI)(AI)
PROCESSOSPROCESSOS
Define as questes operacionais ligadas ao uso da TI para atendimento aos servios para os clientes,
manuteno e garantias ligadas a estes servios
Refere-se a efetiva entrega dos servios requeridos atravs de processos de operao que consideram
aspectos tais como segurana, continuidade e
treinamento
Define as questes operacionais ligadas ao uso da TI para atendimento aos servios para os clientes,
manuteno e garantias ligadas a estes servios
Refere-se a efetiva entrega dos servios requeridos atravs de processos de operao que consideram
aspectos tais como segurana, continuidade e
treinamento
EntregaEntrega e e Suporte Suporte (DS)(DS)
15
DS1 - Definir e Gerenciar Nveis de ServioDS2 - Gerenciar Servios de TerceirosDS3 - Gerenciar Desempenho e CapacidadeDS4 - Garantir Continuidade dos ServiosDS5 - Garantir Segurana de SistemasDS6 - Identificar e Alocar CustosDS7 - Educar e Treinar UsuriosDS8 Gerenciar Central de Servios e IncidentesDS9 - Gerenciar a ConfiguraoDS10 - Gerenciar ProblemasDS11 - Gerenciar DadosDS12 - Gerenciar o Ambiente FsicoDS13 - Gerenciar Operaes
EntregaEntrega e e Suporte Suporte (DS)(DS)
PROCESSOSPROCESSOS
Monitorar Monitorar e e Avaliar Avaliar (ME)(ME)
Os processos deste domnio tratam
basicamente da superviso das atividades dos
outros processos com o objetivo de verificar
qualidade e conformidade com os requisitos
de controle.
Os processos deste domnio tratam
basicamente da superviso das atividades dos
outros processos com o objetivo de verificar
qualidade e conformidade com os requisitos
de controle.
16
ME1 - Monitorar e Avaliar o Desempenho de TI
ME2 - Monitorar e Avaliar Controles Internos
ME3 Assegurar Conformidade Regulatria
ME4 Provisionar Governana de TI
PROCESSOSPROCESSOS
Monitorar Monitorar e e Avaliar Avaliar (ME)(ME)
Entrega e SuporteDS1 Definir e Gerenciar Nveis de ServioDS2 Gerenciar Servios de TerceirosDS3 Gerenciar Desempenho e CapacidadeDS4 Garantir Continuidade dos ServiosDS5 Garantir Segurana de SistemasDS6 Identificar e Alocar CustosDS7 Educar e Treinar UsuriosDS8 Gerenciar Central de Servios e IncidentesDS9 Gerenciar a ConfiguraoDS10 Gerenciar ProblemasDS11 Gerenciar DadosDS12 Gerenciar o Ambiente FsicoDS13 Gerenciar Operaes
MonitoraoM1 Monitorar e Avaliar o Desempenho de TIM2 Monitorar e Avaliar Controles InternosM3 Assegurar Conformidade RegulatriaM4 Provisionar Governana de TI
CobIT
OBJETIVOS DO NEGCIO
GOVERNANA DE TI
EficciaEficinciaConfidencialidadeIntegridadeDisponibilidadeConformidadeConfiabilidade
INFORMAO
AplicaesInformaoInfra-estruturaPessoas
RECURSOS DE TI
Planejamento e OrganizaoPO1 Definir o Plano Estratgico de TIPO2 Definir a Arquitetura da InformaoPO3 Determinar a Direo TecnolgicaPO4 Definir a Organizao de TI e RelacionamentosPO5 Gerenciar o Investimento em TIPO6 Comunicar Objetivos Gerenciais e DireoPO7 Gerenciar Recursos HumanosPO8 Gerenciar QualidadePO9 Identificar RiscosPO10 Gerenciar Projetos
Aquisio e ImplementaoAI1 Identificar Solues AutomatizadasAI2 Adquirir e Manter Aplicaes de SoftwareAI3 Adquirir e Manter Infra-estrutura TecnolgicaAI4 Habilitar Operao e UtilizaoAI5 Obter Recursos de TIAI6 Gerenciar MudanasAI7 Instalar e Certificar Solues e Mudanas
CobITCobIT -- EstruturaEstrutura
17
CobITCobIT -- Processos de Entrega e Suporte (DS)Processos de Entrega e Suporte (DS)
PROCESSO DESCRIO
DS1 Definir e Gerenciar Nveis de ServioRefere-se ao suporte de relatrios e informaes estatsticas extradas dos sistemas para comprovar a qualidade de servio acordada com clientes e com fornecedores atravs de contratos de nvel de servio.
DS2 Gerenciar Servios de TerceirosControle dos fornecedores e atividades relacionadas, de modo integrado e dentro dos parmetros de qualidade e SLA, para a garantia da continuidade e entrega do servio da organizao.
DS3 Gerenciar Desempenho e Capacidade
Refere-se ao controle de limiares pr-definidos de desempenho para evitar anormalidades de falhas nos dispositivos e componentes, tambm controlando dados usados na evoluo ou reconfigurao da capacidade adequada de recursos de sistemas e redes.
DS4 Garantir Continuidade dos Servios Disponibiliza fontes alternativas de recursos e componentes de redes e sistemas atravs de processos ou de redundncia fsica.
DS5 Garantir Segurana de Sistemas
Trata o aspecto da segurana definido na Poltica de Segurana empresarial, podendo envolver servios e mecanismos de hardware e software para os servios de controle de acesso, integridade de dados e comunicao, confidencialidade, no-repudiao, disponibilidade de recursos e autenticao.
DS6 Identificar e Alocar Custos Trata da medio do uso de recursos de sistemas e dispositivos para prover dados de contabilizao para outros sistemas que suportam o negcio.
CobITCobIT -- Processos de Entrega e Suporte (DS)Processos de Entrega e Suporte (DS)
PROCESSO DESCRIO
DS7 Educar e Treinar Usurios Capacita e motiva os usurios dos sistemas no uso destes, mantendo a qualificao alinhada aos padres do mercado de tecnologia.
DS8 Gerenciar Central de Servios e Incidentes Define a infra-estrutura e mtodos de Help Desk destinada ao suporte dos clientes internos e externos organizao.
DS9 Gerenciar a Configurao Relaciona as configuraes dos componentes, dispositivos e elementos da rede para o perfeito funcionamento dos sistemas (na iniciao, no encerramento e nas mudanas).
DS10 Gerenciar ProblemasTrata da identificao de eventos nos sistemas, seus componentes e dispositivos de rede, correlao destes eventos, registro, avaliao das causas e aes pr-ativas de preveno de incidentes.
DS11 Gerenciar Dados Trata dos aspectos de armazenamento, backup e recuperao de dados da organizao e suporte aos outros processos de gerncia.
DS12 Gerenciar o Ambiente Fsico Relaciona os aspectos de suporte predial para a infra-estrutura de TI, como, por exemplo, cabeamento estruturado, refrigerao, energia, torres e antenas.
DS13 Gerenciar OperaesIntegra as atividades e processos de gerenciamento dos recursos humanos e tecnolgicos de operaes, incluindo misso-crtica 24x7, servios a clientes, turnos de trabalho, planejamento de atividades e relacionamento de novos projetos.
18
Objetivos de ControleObjetivos de Controle
Objetivos de ControleObjetivos de Controle
Processo de Gesto
ENTRADAS SADASFORNECEDORES CLIENTES
Processo de Servio
ENTRADAS SADASFORNECEDORES CLIENTES
1. Entradas e Sadas2. RACI Chart3. Objetivos e Mtricas
9 Atividades, Processos e TI
DIRETRIZES DE GERENCIAMENTO
1. Recursos de TI2. Critrios de Informao3. Objetivos de Controle
OBJETIVOS DE CONTROLE
ESTRUTURA
COMPOSTO DE 34 PROCESSOS SUBDIVIDIDOS EM 4 DOMNIOS:1. PLANEJAMENTO E ORGANIZAO (10)2. AQUISIO E IMPLEMENTAO (7)3. ENTREGA E SUPORTE (13)4. MONITORAO (4)
GUIA DE CERTIFICAO DE TI9 Diretrizes de Auditoria (3rd Ed)
Camada de Gesto
Camada de Servio
MODELO DE MATURIDADE9 Nveis de 0 a 5
19
CobiTCobiT 3rd 3rd editionedition -- Objetivos de ControleObjetivos de Controle
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
Frase que expressa o resultado desejado ou o
propsito a ser atingido atravs da
implementao de procedimentos de controle
em uma determinada atividade de TI
Frase que expressa o resultado desejado ou o
propsito a ser atingido atravs da
implementao de procedimentos de controle
em uma determinada atividade de TI
Objetivo de Controle de TIObjetivo de Controle de TI
20
Recursos de Tecnologia da InformaoRecursos de Tecnologia da Informao
1. Aplicaes: entendido como a soma de procedimentos manuais e
automatizados.
2. Informao: objetos de dados na sua mais abrangente concepo, isto ,
estruturados, no estruturados, grficos, sons, etc.
3. Infraestrutura: cobre hardware, sistemas operacionais, gerenciadores de
banco de dados, redes, multimdia, recursos para abrigar e suportar os
sistemas de informao, etc.
4. Pessoas: esto includos neste item: qualificaes, conscientizao,
produtividade e capacidade para planejar, organizar, adquirir, entregar,
suportar e monitorar sistemas e servios.
Critrios de InformaoCritrios de Informao
1. Efetividade (eficcia): lida com a relevncia da informao e pertinncia
aos processos de negcio bem como a sua disponibilidade em prazo
apropriado, de forma correta, precisa, consistente e em formato adequado
para utilizao.
2. Eficincia: refere-se proviso da informao atravs da melhor (mais
produtiva e econmica) forma de utilizao dos recursos.
3. Confidencialidade: refere-se proteo de informao considerada
privilegiada contra divulgao no autorizada.
4. Integridade: relaciona-se com a preciso e exatido da informao, bem
como sua validade de acordo com os padres e expectativas de negcio
estabelecidos.
21
Critrios de InformaoCritrios de Informao
5. Disponibilidade: relaciona-se a prover a informao no momento em que
esta for requerida pelos processos de negcio, o que inclui tambm a
salvaguarda dos recursos para tanto.
6. Conformidade: lida com o cumprimento das leis, regulamentos e
clusulas contratuais aos quais um determinado processo de negcio est
sujeito.
7. Confiabilidade: relaciona-se ao fornecimento, por parte dos sistemas, de
informaes apropriadas aos gerentes para a tomada de decises,
relatrios financeiros precisos e informaes adequadas aos rgos de
regulamentao para o cumprimento das leis.
Grau dos Objetivos de ControleGrau dos Objetivos de Controle
Primrio: representa que o objetivo de controle impacta diretamente um determinado critrio de informao
Secundrio: representa que o objetivo de controle satisfaz parcialmente ou indiretamente um determinado
critrio de informao
Branco: pode ser aplicvel contudo os requisitos so atendidos mais satisfatoriamente por outro critrio de
informao neste processo e/ou por outro processo.
22
NavegaNavegao: AI6 o: AI6 Manage ChangesManage Changes
NavegaNavegao: AI6 o: AI6 Manage ChangesManage Changes
23
NavegaNavegao: AI6 o: AI6 Manage ChangesManage Changes
Diretrizes de GerenciamentoDiretrizes de Gerenciamento
24
Diretrizes de GerenciamentoDiretrizes de Gerenciamento
Processo de Gesto
ENTRADAS SADASFORNECEDORES CLIENTES
Processo de Servio
ENTRADAS SADASFORNECEDORES CLIENTES
1. Entradas e Sadas2. RACI Chart3. Objetivos e Mtricas
9 Atividades, Processos e TI
DIRETRIZES DE GERENCIAMENTO
1. Recursos de TI2. Critrios de Informao3. Objetivos de Controle
OBJETIVOS DE CONTROLE
ESTRUTURA
COMPOSTO DE 34 PROCESSOS SUBDIVIDIDOS EM 4 DOMNIOS:1. PLANEJAMENTO E ORGANIZAO (10)2. AQUISIO E IMPLEMENTAO (7)3. ENTREGA E SUPORTE (13)4. MONITORAO (4)
GUIA DE CERTIFICAO DE TI9 Diretrizes de Auditoria (3rd Ed)
Camada de Gesto
Camada de Servio
MODELO DE MATURIDADE9 Nveis de 0 a 5
CobiTCobiT 3rd 3rd editionedition -- Diretrizes de GerenciamentoDiretrizes de Gerenciamento
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
25
Relacionamento entre ProcessosRelacionamento entre Processos, , Objetivos Objetivos e e MMtricas tricas (DS5)(DS5)
EntradasEntradas ee SaSadasdas ((AI6)
26
RACI ChartRACI Chart ((AI6)
Objetivos Objetivos e e MMtricastricas ((AI6)
27
Modelo de MaturidadeModelo de Maturidade
Modelo de MaturidadeModelo de Maturidade
Processo de Gesto
ENTRADAS SADASFORNECEDORES CLIENTES
Processo de Servio
ENTRADAS SADASFORNECEDORES CLIENTES
1. Entradas e Sadas2. RACI Chart3. Objetivos e Mtricas
9 Atividades, Processos e TI
DIRETRIZES DE GERENCIAMENTO
1. Recursos de TI2. Critrios de Informao3. Objetivos de Controle
OBJETIVOS DE CONTROLE
ESTRUTURA
COMPOSTO DE 34 PROCESSOS SUBDIVIDIDOS EM 4 DOMNIOS:1. PLANEJAMENTO E ORGANIZAO (10)2. AQUISIO E IMPLEMENTAO (7)3. ENTREGA E SUPORTE (13)4. MONITORAO (4)
GUIA DE CERTIFICAO DE TI9 Diretrizes de Auditoria (3rd Ed)
Camada de Gesto
Camada de Servio
MODELO DE MATURIDADE9 Nveis de 0 a 5
28
ModeloModelo dede MaturidadeMaturidade
Situao atual da empresa
Mdia praticada pela indstria
Objetivo estratgico da empresa
Legenda
Nveis de Maturidade
0 O gerenciamento de processos no aplicado1 Processo sob demanda, no organizado2 Os processos seguem um padro regular3 Os processos so documentados e comunicados4 Os processos so monitorados e medidos5 As melhores prticas so seguidas e automatizadas
Inexistente Inicial Repetitivo Definido Gerenciado Otimizado
As As TrTrs Dimenss Dimenses da Maturidadees da Maturidade
29
0 - Inexistente: a organizao no reconhece a existncia de um processo
a ser gerenciado.
1 Inicial: h evidncia de que a organizao reconhece que o processo
existe e que as necessidades devem ser endereadas. Entretanto no h
um processo padronizado e o gerenciamento desorganizado e caso a
caso.
2 - Repetitivo: os processos so estruturados e procedimentos similares so
seguidos por diferentes indivduos para a mesma tarefa. H forte
dependncia do conhecimento individual e existe alguma documentao.
ModeloModelo dede MaturidadeMaturidade
3 - Definidos: os processos so padronizados, documentados e
comunicados. Entretanto deixa a cargo dos indivduos seguirem os
processos. No h certeza de que desvios sero detectados.
4 Gerenciado: existe a possibilidade de monitorar e medir a conformidade
dos processos com os procedimentos definidos. H aes para melhoria e
uso de algumas ferramentas automatizadas.
5 - Otimizado: as melhores prticas so adotadas e os processos so
automatizados. H preocupao com melhorias contnuas. TI vista
como integradora.
ModeloModelo dede MaturidadeMaturidade
30
Guia de Certificao de TIGuia de Certificao de TI
Guia de Certificao de TIGuia de Certificao de TI
Processo de Gesto
ENTRADAS SADASFORNECEDORES CLIENTES
Processo de Servio
ENTRADAS SADASFORNECEDORES CLIENTES
1. Entradas e Sadas2. RACI Chart3. Objetivos e Mtricas
9 Atividades, Processos e TI
DIRETRIZES DE GERENCIAMENTO
1. Recursos de TI2. Critrios de Informao3. Objetivos de Controle
OBJETIVOS DE CONTROLE
ESTRUTURA
COMPOSTO DE 34 PROCESSOS SUBDIVIDIDOS EM 4 DOMNIOS:1. PLANEJAMENTO E ORGANIZAO (10)2. AQUISIO E IMPLEMENTAO (7)3. ENTREGA E SUPORTE (13)4. MONITORAO (4)
GUIA DE CERTIFICAO DE TI9 Diretrizes de Auditoria (3rd Ed)
Camada de Gesto
Camada de Servio
MODELO DE MATURIDADE9 Nveis de 0 a 5
31
CobiTCobiT 3rd 3rd EditionEdition -- Diretrizes de AuditoriaDiretrizes de Auditoria
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
1. OBTENDO um entendimento dos riscos relacionados aos requisitos de
negcio e das medidas de controle relevantes
2. AVALIANDO se os controles existentes so apropriados
3. VERIFICANDO a conformidade dos controles atravs de testes para verificar
se funcionam como definidos e de forma consistente e contnua
4. SUBSTANCIANDO os riscos dos objetivos de controle no serem atingidos
CobiTCobiT 3rd 3rd EditionEdition -- DiretrizesDiretrizes de Auditoriade Auditoria
O processo de TI auditado:
32
ExemploExemplo: : AI6 Manage Changes
ENTREVISTANDO1. CIO2. Gerncia de TI3. Desenvolvimento de Sistemas de TI4. Operao
ENTREVISTANDO1. CIO2. Gerncia de TI3. Desenvolvimento de Sistemas de TI4. Operao
Obtendo um EntendimentoObtendo um Entendimento
OBTENDO1. Procedimentos e polticas organizacionais relativas a: planejamento
de sistemas de informao, controle de mudanas, segurana e cclo de vida de desenvolvimento de sistemas
2. Plano de desenvolvimento de aplicaes3. Registro e formulrio de solicitaes de mudanas4. Contratos de terceiros relativos a servios de desenvolvimento de
aplicaes
OBTENDO1. Procedimentos e polticas organizacionais relativas a: planejamento
de sistemas de informao, controle de mudanas, segurana e cclo de vida de desenvolvimento de sistemas
2. Plano de desenvolvimento de aplicaes3. Registro e formulrio de solicitaes de mudanas4. Contratos de terceiros relativos a servios de desenvolvimento de
aplicaes
ExemploExemplo: : AI6 Manage ChangesAvaliando os ControlesAvaliando os Controles
CONSIDERANDO SE:
1. Existe metodologia para priorizar as solicitaes de mudana e se
est sendo utilizada
2. Procedimentos de mudanas emergenciais esto endereadas nos
manuais de operao
3. O controle de mudanas um procedimento formal tanto para o
usurio como para os grupos de desenvolvimento
4. O registro de controle de mudanas certifica-se que todas as
mudanas foram resolvidas
CONSIDERANDO SE:
1. Existe metodologia para priorizar as solicitaes de mudana e se
est sendo utilizada
2. Procedimentos de mudanas emergenciais esto endereadas nos
manuais de operao
3. O controle de mudanas um procedimento formal tanto para o
usurio como para os grupos de desenvolvimento
4. O registro de controle de mudanas certifica-se que todas as
mudanas foram resolvidas
33
ExemploExemplo: : AI6 Manage ChangesAvaliando a ConformidadeAvaliando a Conformidade
TESTANDO QUE:
Para um conjunto de mudanas, o seguinte foi aprovado pela gerncia:
Solicitao de mudana
Especificao da mudana
Acesso ao programa fonte
Solicitao de mudana do fonte para o ambiente de teste
Reviso da documentao de controle de mudanas para a incluso de:
Data da mudana solicitada
Pessoas que solicitaram a mudana
Aprovao da solicitao de mudana
Aceite da operao
TESTANDO QUE:
Para um conjunto de mudanas, o seguinte foi aprovado pela gerncia:
Solicitao de mudana
Especificao da mudana
Acesso ao programa fonte
Solicitao de mudana do fonte para o ambiente de teste
Reviso da documentao de controle de mudanas para a incluso de:
Data da mudana solicitada
Pessoas que solicitaram a mudana
Aprovao da solicitao de mudana
Aceite da operao
ExemploExemplo: : AI6 Manage Changes
Substanciando o Risco dos Objetivos de Controle no serem AtingiSubstanciando o Risco dos Objetivos de Controle no serem Atingidosdos
IDENTIFICANDO
Para um conjunto de informaes de mudanas que:
Apenas mudanas aprovadas foram feitas
Todas as mudanas foram registradas
IDENTIFICANDO
Para um conjunto de informaes de mudanas que:
Apenas mudanas aprovadas foram feitas
Todas as mudanas foram registradas
EXECUTANDO
Benchmarking do gerenciamento de mudanas com organizaes
similares ou com as melhores prticas reconhecidas internacionalmente
pelo mercado
EXECUTANDO
Benchmarking do gerenciamento de mudanas com organizaes
similares ou com as melhores prticas reconhecidas internacionalmente
pelo mercado
34
ImplementaoImplementao
CobiTCobiT 3rd 3rd EditionEdition -- Guia de ImplementaoGuia de Implementao
www.isaca.orgwww.isaca.org
DIRETRIZES DE DIRETRIZES DE GERENCIAMENTOGERENCIAMENTO
OBJETIVOS DEOBJETIVOS DECONTROLECONTROLE
DIRETRIZES DE DIRETRIZES DE AUDITORIAAUDITORIA
FERRAMENTAS DEFERRAMENTAS DEIMPLEMENTAOIMPLEMENTAOESTRUTURAESTRUTURA
SUMRIO EXECUTIVOSUMRIO EXECUTIVO 1996
1998
2000
35
1. Como introduzir o CobiT em sua organizao
2. Como implementar o CobiT em sua organizao
3. Diagnstico da situao de gerenciamento
4. Diagnstico do controle de TI
Estrutura do Guia para Implementao
1. Vender a idia para os interessados
2. Treinamento dos envolvidos
3. Diagnstico de Maturidade Onde estamos ?
4. Selecionar Processos a serem implementados
5. Estabelecer meta de Maturidade Onde queremos chegar ?
6. Anlise de GAP
7. Desenvolver Plano de Implantao
8. Implementar a Soluo desejada
9. Monitoramento dos Processos Implementados
Exemplo de Passos de ImplementaoExemplo de Passos de Implementao
36
CobiT Online CobiT Online -- FunesFunes
1. Benchmarking
2. Browsing
3. Pesquisas
4. Comunidade
5. Help
CobiT OnlineCobiT Online -- Benchmarking
37
CobiT OnlineCobiT Online -- Benchmarking
Consideraes FinaisConsideraes Finais
38
Durante a implantao do CobiT ocorre a reviso de procedimentos
propiciando a mudana de prticas e o rompimento de paradigmas
O CobiT uma ferramenta de melhoria que pode ser
complementada atravs do uso de outras ferramentas e da criao
novos indicadores de metas e desempenho
O CobiT favorece a melhoria contnua, e se aplicada de forma
equilibrada, pode em algum tempo tornar-se o divisor de guas
entre a estagnao e conformismo, com uma gerncia dinmica,
eficaz e flexvel, como exigem os novos tempos
Alguns pontos para refletir ....Alguns pontos para refletir ....
GOVERNANA DE TIGOVERNANA DE TI
ProcessosProcessos
TecnologiasTecnologias
PessoasPessoas
No podemos esquecer do mais importante ...No podemos esquecer do mais importante ...
39
CobiTCobiT