Embed Size (px)
Citation preview
Ian Lawrence Webster, CGEIT, CRISCPresidente
ISACA Capítulo Brasília
Governança, Gestão, Risco, Conformidade e Valor - GGRCV
16 de Março de 2012
Governança, Gestão, Risco, Conformidade e Valor - GGRCV
16 de Março de 2012
ISACA
A ISACA mundial é constituída por pessoas em busca de uma fontecentralizada de informações e orientações no crescente campo decontroles de auditoria de sistemas computacionais.
Inicialmente conhecida como uma Associação de Auditoria e Controlede Sistemas de Informação (tradução de Sistema de Informação deAuditoria e Controle de Associação – ISACA), atualmente sua siglareflete um amplo leque de profissionais de governança de TI.
Tem 95.000 membros, que vivem e trabalham em mais de 160 países,sejam auditores, consultores, educadores, profissionais de segurança,reguladores, diretores de informação e auditores internos.
ISACA Brasília ChapterConstituído em novembro/2008, o Capítulo Brasília, apesar de sua inataafiliação com a Associação internacional, é uma entidade sem fins lucrativose independente de qualquer outra associação, empresa ou entidade.
Com foco nos campos inter-relacionados de Governança de TI, auditoria desistemas de informação, segurança da informação, controle e conformidade,são objetivos do Capítulo:
• Promover a educação e apoiar e expandir o conhecimento e ashabilidades de seus membros;
• Encorajar o compartilhamento aberto de técnicas, estratégias e resoluçãode problemas;
• Promover comunicação adequada para manter os membros informadossobre eventos;
• Comunicar aos gerentes, auditores, universidades e profissionais desistemas de informação a importância de estabelecer controlesnecessários para garantir a adequada governança de TI e a efetivaorganização e utilização de recursos de TI;
• Promover certificações profissionais da Associação e de Governança deTI.
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
COBIT: Agora, uma estrutura de negócios completo para a Governance of Enterprise IT (GEIT)
2005/720001998
Evo
lutio
n of
sco
pe
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
© 2012 ISACA. All rights reserved. 4
O COBIT ® 5 é um grande avanço estratégico,atualizando a nova geração de frameworks da ISACA noque diz respeito ao assunto Governança Corporativa de TI.
Baseado em mais de 15 anos de uso prático e aplicação doCOBIT por muitas empresas e usuários de negócio, de TI,de segurança e comunidades de auditoria, o COBIT 5 estásendo projetado para atender as atuais necessidades dosdirigentes de negócio e permanecer alinhado com osatuais pensamentos em Governança Corporativa e astécnicas de Gestão de TI.
COBIT 5
Five COBIT 5 Principles
O Cincos Principios do COBIT:1.Atender as Necessidades do Stakeholder2.Cobrir ponto o ponto ao Negócio3.Aplicar um Framework Integrado e singular 4.Facilitar uma abordagem Holistico5.Separar Governança da Gestão
© 2012 ISACA. All rights reserved. 6
COBIT 4.1 Control Objectives
Val IT 2 Key Management Practices
Risk IT Management Practices
COBIT 5 Management & Governance Practices
Mapear
Mapear
Mapear
Business Model for Information Security -
BMIS
Information Technology Assurance Framework
- ITAF
Mapear
Mapear
Board Briefing
Taking Governance Forward
Prover a renovação e fortalecimento doframework de governança e gestão dasinformações da organização e tecnologiarelacionada, aproveitando o frameworkCOBIT já aceito mundialmente, linkando,reforçando, integrando e consolidandotodos os principais frameworks e guiasda ISACA
COBIT 5 - Objetivos
Estrutura de Governança e Gestão
• Um framework “ponto-ao-ponto” para todo o Negócio,endereçando a governança e a gestão da informaçãodas tecnologia relacionadas.
• O Framework, COBIT 5: Guia de Referencia deProcessos e Guia de Implementação.
• Por essa razão, o framework do COBIT 5 deixa claro adistinção entre governança e gestão.
• As duas disciplinas incluem os tipos de atividades quenecessitam de diferentes estruturas organizacionais eservem a propósitos diferentes.
Governança e Gestão
Governança• O termo ‘Governança’ é
derivado do verbo Grego “Kubernáo” significando ‘para dirigir’.
• Governança refere-se a todas possibilidades e mecanismos que ajudam as múltiplas partes do négocio a avaliar condições e opções; determinando também a direção; o monitorarmento , a conformidade, o desempenho e o progresso, alinhando, desta forma, os planos e os objetivos do négocio, visando satisfazer as metas específicas da organização.
Gestão• A Gestão é sempre diferenciada
da governança , ou seja, há distinção entre ‘comprometido’ (governança) e ‘envolvido’ (gestão).
• Gestão implica na utilização criteriosa de meios (recursos, pessoas, processos, práticas) para alcançar um fim identificado. É um meio ou instrumento pelo qual o órgão de administração consegue um resultado ou objetivo.
• A Gestão atua sobre o planejamento, construção, organização e controle das atividades operacionais e se alinha com a direção definida pelo órgão de administração.
Principios COBIT 5
• Principio 1: Cobit 5 Integrator Framework -architecture
• Principios 2 e 3: Stakeholder Value‐driven and Business - focused
• Principio 4: Cobit 5 Enablers for Governance and Management
• Principio 5: Governance - and Management - structured
COBIT 5 é um framework integrador porque:
• Reune a orientação da ISACA existente em matéria de governança e gestão de empresas de TI
• Alinha as normas mais recentes com outras normas e estruturas• Fornece uma arquitetura simples para a estruturação de materiais de
orientação e produz um resultado consistente no produto final
COBIT 5 Familia de Produtos
© 2012 ISACA. All rights reserved. 11
Arquitetura do COBIT 5
Stakeholder Needs
Service Capabilities
Processes
Culture, Ethics, Behaviour
Organisational Structures
InformationPrinciples andPolicies
Skills andCompetencies
COBIT 5 Enablers
COBIT 5 Knowledge Base
Current guidance and contentsStructure for future contents
COBIT 5 Product Family
Governance Objectives:
Value(Benefits, Risk, Resource)
Existing ISACAGuidance
(COBIT, Val IT, Risk IT, BMIS, …)
Other Standards
and Frameworks
COBIT 5 : Framework Implementation Guide
COBIT 5 for Security
Other Practice Guides
COBIT 5 Practice Guides
COBIT 5 Online Collaborative Environment
COBIT 5 : Process Reference Guide Other Enabler Guidance
COBIT 5 Enabler Guides
COBIT 5: The Framework
Knowledge BaseContent Filter
Objetivos da Governança
Val IT, Risk IT, BMIS, ITAF, Board Briefing,Taking Governance Forward, ITIL, Padrões ISO
Empresas existempara criar valor paraseus stakeholders, demodo que o objetivode governança paraqualquer empresa -comercial ou não-évalue creation.
Value Creation (Criação de valor) significa realizar benefícios otimizando custos, recursos e riscos.
Toda organização atua em um contexto diferente;este contexto é determinado por fatores externos(mercado, indústria, geopolítica, etc) e fatoresinternos (cultura, organização, apetite pelo risco,etc), isso exige que cada organização construa seupróprio sitema personalizado de governança egestão. A estrutura do COBIT 5, o modelo de gestãoe governança e os modelos Enablers (facilitador) seaplicam a todos os contextos e facilitam essapersonalização.
Governança em COBIT 5
Governance EnablersGovernance enablers são os recursos organizacionais, tais como frameworks, princípios, estrutura, processos e práticas, para o qual ou através do qual ação é dirigida e objetivos podem ser atingidos. Facilitadorestambém incluem
recursos da empresa, por exemplo, capacidades de serviço (infraestrutura de TI, aplicações, etc), pessoas e informações.
Governance ScopeA Governança pode ser aplicada a toda a empresa, uma entidade, um ativo tangível ou intangível, etc Ou seja, é possível definir diferentes visões da empresa em que a governaça é aplicada.
Atender as Necessidades do Stakeholder
• Necessidades das partes interessadas têm de ser transformado em uma estratégia de recurso da negócio.
• Os 5 metas em cascata do COBIT traduz as necessidades das partes interessadas em metas específicas, acionáveis e personalizadas dentro do contexto da empresa, relacionados os objetivos de TI e metas facilitadores.
© 2012 ISACA. All rights reserved. 15
Governança - Função, Atividades e Relacionamentos
Os Papéis, Atividades e Relacionamentos
Um quarto elemento se refere aos papéis,atividades e relacionamentos de governança.Esse elemento define quem está envolvido nagovernança, como eles estão envolvidos, oque eles fazem e como eles interagem noâmbito de qualquer sistema de governo. EmCOBIT 5, há diferenciação clara entregovernança e gestão nos domínios dagovernança, bem como a diferenciação entre ainterface entre eles e os atores envolvidos.
Cobrir ponto o ponto ao Negócio
Componenteschaves do
sistemagovernança
© 2012 ISACA. All rights reserved. 17
A proposta dos “enablers”
O objetivo do Enablers (facilitadores) é promover aimplementação de um modelo de desempenho e sistema degestão da TI corporativa.
Os Facilitadores são amplamente definidos como qualquer coisaque possa ajudar a alcançar os objetivos de governança dasempresas. Isso inclui recursos, tais como informações e pessoas.O Framework COBIT 5 enumera sete categorias de facilitadores:
• Processos• Princípios e políticas• Estruturas organizacionais• Habilidades e competências• Cultura e comportamento• Capacidades de Serviço• Informação
“Enabler-based”
COBIT 5 Enablers— Modelo Sistemica com Interação dos Enablers
COBIT 5 EnablersFacilitadores são aqueleselementos tangíveis e intangíveisque premitem o funcionamentode alguma coisa, neste caso, agovernança e a gestão sobre aempresa de TI. Facilitadores sãomovidos pela cascata deobjetivos descritos na seção 3: oalto nível de TI relacionado commetas definem o que osdiferentes facilitadores devemalcançar.
Descrição dos “Enablers”
Processes - Descreve um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas que permita alcançar objetivos gerais de TI.
• Culture, ethics, behaviour - Dos indivíduos e da organização; muitas vezes subestimado como um fator de sucesso em arranjos de governança e gestão
• Organisational structures -São a chave da tomada de decisão entidades em uma organização
• Information - Permeia toda a organização. A Informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas vezes o produto chave da própria empresa.
• Principles and policies -São o veículo para traduzir o comportamento desejado em orientações práticas para dayto-gestão do dia
• Skills and competences - Estão ligados as pessoas e são necessários para a conclusão bem sucedida de todas as atividadese para tomada de decisões corretas
• Service capabilities -Incluem a infra-estrutura, tecnologia e aplicativos que suprem a empresa com informações e processamento de informações e serviços
“Enabler-based”
Modelo “Process Enabler”
A process is defined as ‘a collection of activities that takes one or more kinds of input and creates an output that is of value to the organisation’.
Stakeholders —Os processos têm partes internas e externas, cada uma com seus próprios papéis.Partes interessadas e seus níveis de responsabilidade são documentadas em gráficos RACI, que são um atributo do processo.
Goals and metrics —Objetivos do processo são definidos como "uma declaração” descrevendo o resultado desejado de um processo. Um resultado pode ser um artefato, uma mudança significativa de um estado ou uma melhoria significativa a capacidade de outros processos ".
Life Cycle - Cada processo tem um ciclo de vida, ou seja, é definido, criado, operado, monitorado e ajustado / atualizado ou aposentado. Práticas de processo genérico, tais como as definidas no modelo de avaliação de processos COBIT, com base na ISO / IEC 15504, podem ajudar a definir, executar, monitorar e otimizar processos.
Good practices —Processo interno de boas práticas estão descritas nos níveis de detalhe em cascata, ou seja, práticas, atividades e atividades detalhadas.
Attributes —Há uma série de atributos específicos do processo definido no modelo de processo COBIT 5. Estas incluem: Entradas e saídas, o nível de capacidade do processo, gráfico RACI, etc.
• A publicação separada que se expande sobre o modelo de processo Enabler (facilitador)
• Contém todos os detalhes dos processos COBIT em uma maneira similar a documentação do processo em COBIT 4.1
Guia de Referência do Processo
Modelo “Process e Enabler”
Partes Interessadas
Metas & Metricas
Ciclio de Vida
Melhores Praticas Atributos
Processo Informação Estruturas Organizacionais
Habilidades e Competências
Principios e Políticas
Cultura, Ética e Comportamento
Capacidade de Serviços
Facilitadores
Componentes
A Seperação de Governança da Gestão
Processos de Governança e Gestão
Em COBIT 5, os processos também abrangem toda a gama de negócios e atividades relacionadas à governança e gestão de empresas de TI, efetivando o modelo de processo em toda a empresa.
O COBIT 5 modelo de referência do processo divide os processos de governança e gestão de empresas de TI em duas principais áreas
O domínio GOVERNANÇA, contém cinco processos de governança; dentro de cada processo são definidas formas de avaliar, dirigir e monitorar as práticas.
• Os quatro domínios de gestão alinham-se com as áreas de responsabilidade pelo planejamento,construção, execução e monitoramento (PBRM-uma evolução do COBIT 4.1 domínios), proporciona uma cobertura end-to-end de TI. Cada domínio contém uma série de processos, como no COBIT 4.1 e versões anteriores. Embora, como descrito anteriormente a maioria dos processos requeiram "planejamento", "implementação", "execução" e "monitorização" atividades dentro do processo ou dentro da questão específica a ser abordada (por exemplo, a qualidade, segurança), eles são colocados em domínios e alinhados com a área mais relevante da atividade quando de TI em nível corporativo.
Diferença entre COBIT 4.1e 5
COBIT 4.1 COBIT 5
POPlan &
Organise
AIArquire & Implement
DSDeliver & Support
MEMonitor & Evaluate
GOVERNANÇA GERENCIAMENTO
Evaluate, Direct & Monitor
EDM
Align, Plan & Organise -APO
Build, Arquire & Implement - BA
Deliver, Service & Support (Run) - DSS
Domínio
Domínio
Processo
PO 1PO 2
Monitor, Evaluate & Assess - MEA
5 Processos
12 Processos
8 Processos
8 Processos
3 Processos
Área
COBIT 4.1 Descrição COBIT 5
PO10.1 Programme Management Framework BAI1.1
PO10.2 Project Management Framework BAI1.1
PO10.3 Project Management Approach BAI1.1
PO10.4 Stakeholder Commitment BAI1.3
PO10.5 Project Scope Statement BAI1.7
PO10.6 Project Phase Initiation BAI1.7
PO10.7 Integrated Project Plan BAI1.8
PO10.8 Project Resources BAI1.8
PO10.9 Project Risk Management BAI1.10
PO10.10 Project Quality Plan BAI1.9
PO10.11 Project Change Control BAI1.11
PO10.12 Project Planning of Assurance Methods BAI1.8
PO10.13 Project Performance Measurement, Reporting and Monitoring BAI1.6; BAI1.11
PO10.14 Project Closure BAI1.13
Diferença entre COBIT 4.1e 5
© 2012 ISACA. All rights reserved. 29
Diferença RACI Charts
Modelo de Referencia dos Processos
© 2010 ISACA. All rights reserved. 30
Estrutura de ProcessosCOBIT 5
Process Description
Process Purpose Statement
The process supports the achievement of a set of IT--‐related goals, which support the achievement of a set of enterprise goals:
IT--‐related Goal P/S Related Metrics
Process Goals and Metrics
Process Goal Related Metrics
RACI Chart
Process Practices, Inputs/Outputs and Activities
Practice Inputs Outputs
Activities
Area: ManagementDomain: Align, Plan and Organise
APO05 Manage Portfolio
Exemplo – Processo Governança
Exemplo – Process Gestão
Objetivos do Negócio e da TI
Visão BSCFinanças, Cliente, Interna
e Aprendizagem e crescimento
Visão BSCFinanças, Cliente, Interna
e Aprendizagem e crescimento
Categorias de Habilidades
Guia de Implementação
• Documento separado
• Com base na publicação atual de implementação e orientação
O Novo Processo do COBIT “Capability Assessment”
COBIT 4.1Maturidade do
Processofoi substituído por
COBIT 5Capacidade do
Processo
Baseado na ISO 15504 IEC e o Programa de
Avaliação do COBIT (CAP)
Há uma série de benefícios em fazê-lo:• Confirmar que um processo está prestes a atingir sua
finalidade e seja possível entregar seus resultados como esperado.
• Simplificação do processo e avaliação do conteúdo de apoio.
• Confiabilidade e repetibilidade de atividades do processo de capacidade de avaliação e debates.
• Redução das divergências entre as partes interessadas sobre os resultados da avaliação.
• Aumentou a usabilidade dos resultados do processo de avaliação das capacidades. A nova abordagem estabelece uma base para mais formal e avaliações rigorosas a serem executadas para fins internos e externos.
• Forte apoio para abordagem do processo de avaliação no mercado.
© 2012 ISACA. All rights reserved. 38
COBIT 4.1/5
O Novo Processo do COBIT “Capability Assessment”
Modelo de Capacidade do Processo - Comparativo
COBIT 4.1 Maturity Model
Levels
COBIT 5 ISO/IEC 15504 Based
Capability Levels
Meaning of the COBIT 5 ISO/IEC 15504 Based Capability Levels Context
5. Optimised 5. Optimised Continuously improved to meet relevant current and projected enterprise goals.
Enterprise view/ corporate knowledge
4. Managed and Measurable 4. Predictable Operates within defined limits to achieve its process outcomes.
3. Defined 3. Established Implemented using a defined process that is capable of achieving its process outcomes.
N/A 2. ManagedImplemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained.
Instance view/ individual knowledge
N/A 1. Performed Process achieves its process purpose.
2. Repeatable1. Ad Hoc0. Non‐existent
0. Incomplete Not implemented or little or no evidence of any systematic achievement of the process purpose.
Modelo de Capacidade do Processo
Comparitivo entre a Tabela dos Atributos de Maturidade(COBIT 4.1) e os Atributos dos Processos(COBIT 5)
COBIT 5 Produtos de Apoio Futuros
• Practice Guides:• COBIT 5 for Information Security• COBIT 5 for Assurance• COBIT 5 for Risk
• Enabler Guides:• COBIT 5: Enabling Information
• COBIT Online Replacement• COBIT Assessment Programme:
• Process Assessment Model (PAM): Using COBIT 5• Assessor Guide : Using COBIT 5• Self-assessment Guide: Using COBIT 5
© 2012 ISACA. All rights reserved. 42
