176
Graduação em: Redes de Computadores Sistemas de Informação Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI http://si.lopesgazzani.com.br/docentes/marcio/

Governança cobit

Embed Size (px)

DESCRIPTION

Guia completo para estudar cobit

Citation preview

Page 1: Governança cobit

Graduação em:Redes de ComputadoresSistemas de Informação

Governança e Qualidade em Serviços de TI3. COBIT – Governança de TI

http://si.lopesgazzani.com.br/docentes/marcio/

Page 2: Governança cobit

Márcio Moreira 3. COBIT – slide 2Governança e Qualidade em Serviços de TI - GOV

Introdução

Page 3: Governança cobit

Márcio Moreira 3. COBIT – slide 3Governança e Qualidade em Serviços de TI - GOV

Governança

É o ato de governar, direcionar, controlar, exercer poder

Relaciona-se com:Tomadas de decisãoDefinição de expectativasConceder poderVerificar desempenho

Governança Corporativa

Governança de TI

Page 4: Governança cobit

Márcio Moreira 3. COBIT – slide 4Governança e Qualidade em Serviços de TI - GOV

Governança Corporativa

Governança Corporativa e o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade.

Fonte:

Page 5: Governança cobit

Márcio Moreira 3. COBIT – slide 5Governança e Qualidade em Serviços de TI - GOV

Governança x Gestão de TI

Governança de TI (COBIT) Parte da Governança Corporativa

focada nos sistemas de TI, desempenho e gerenciamento de riscos.

Propósito: Garantir que políticas e estratégia

sejam realmente implementadas e que os processos requeridos estejam sendo corretamente seguidos, inclui definir papéis e responsabilidades, medir, relatar e tomar as ações para resolver quaisquer questões identificadas.

Gestão de TI (ITIL) A implementação e o

gerenciamento da qualidade dos serviços de TI de forma a atender às necessidades de negócio.

O gerenciamento de serviço de TI é feito pelos provedores de serviço de TI por meio da combinação adequada de pessoas, processo e tecnologia da informação.

Page 6: Governança cobit

Márcio Moreira 3. COBIT – slide 6Governança e Qualidade em Serviços de TI - GOV

Governança x Gestão de TI

Gestão de TI: Fornecer serviços e produtos de TI

de forma eficiente e eficaz, bem como na gestão das operações de TI

Fazer as coisas de forma certa Promovido e gerenciado pela TI

Governança de TI: Se preocupa com o desempenho

dos negócios, transformando e posicionando a TI para alcançar os objetivos de negócio

Fazer as coisas certas Precisa de patrocínio da alta

administração e dos executivos

Page 7: Governança cobit

Márcio Moreira 3. COBIT – slide 7Governança e Qualidade em Serviços de TI - GOV

Áreas de foco da Governança de TI

1. Alinhamento Estratégico•Alinhando TI com o negócio e fornecendo soluções colaborativas

2. Entrega de Valor•Executando a proposição de valor através do ciclo de entrega

3. Gestão de Riscos•Riscos de TI, impactos das mudanças, segurança, conformidade

4. Gestão de Recursos•Otimizando o desenvolvimento e uso de recursos disponíveis

5. Mensuração de Desempenho•Monitoramento dos recursos para ação corretiva

Page 8: Governança cobit

Márcio Moreira 3. COBIT – slide 8Governança e Qualidade em Serviços de TI - GOV

COBIT

Page 9: Governança cobit

Márcio Moreira 3. COBIT – slide 9Governança e Qualidade em Serviços de TI - GOV

O que é o CObIT?

CObIT = Control Objectives for Information and Related Technology

DOMÍNIOS

PROCESSOS

ATIVIDADES

Ap

lic

ati

vo

s

Info

rma

çõ

es Pe

ss

oa

s

Infr

ae

str

utu

ra

Eficác

ia

Eficiê

ncia

Confiden

cial

idad

e

Inte

gridad

e

Disponib

ilidad

e

Conform

idad

e

Confiabili

dade

Pro

ce

ss

os

de

TI

Requisitos de Negócios

Recurs

os de

TI

Page 10: Governança cobit

Márcio Moreira 3. COBIT – slide 10Governança e Qualidade em Serviços de TI - GOV

O que é o COBIT?

Desenvolvido pela ISACA (Information Systems Audit and Control Association): Início informal em 1967 com um grupo de auditoresEm 1969 eles fundaram a EDP Auditors AssociationEm 1976 fundaram um instituto de pesquisas em governança de TI sem

fins lucrativos, o ITGI (IT Governance Institute)Hoje tem + de 86 mil membros, em 160 países, com + de 175 capítulos

Hoje o COBIT é um modelo do ITGI que é:Focado no negócioOrientado a processos de TI (34 processos)Baseado em controlesFornece indicadores

Adotado mundialmente

Negócio Processos

Controles Métricas

Page 11: Governança cobit

Márcio Moreira 3. COBIT – slide 11Governança e Qualidade em Serviços de TI - GOV

Onde encontrar e porque usar?

Distribuído gratuitamente no site www.isaca.org

Ajuda a mapear objetivos de negócio e relacioná-los com metas, processos e atividades de TI

Fornece suporte a Gestão e à Governança de TI

É um guia, não uma norma Como um modelo de controle

pode ser usado em qualquer empresa, plataforma de TI e padrão de sistemas

Principais razões do uso:Alinhar a TI ao negócio Entregar soluções que atendam

as necessidades reais Conseguir demonstrar retorno

sobre investimentosReduzir os custosGerenciar a Segurança da

InformaçãoNegócio & TI

Page 12: Governança cobit

Márcio Moreira 3. COBIT – slide 12Governança e Qualidade em Serviços de TI - GOV

COBIT para Governar a TI

Princípios

•Direção

•Controle

•Responsabilidade

•Prestação de contas

•Autoridade

•Alinhamento de atividades

Razões O board (alta administração)

precisa estabelecer as metas e a direção para a organização

Page 13: Governança cobit

Márcio Moreira 3. COBIT – slide 13Governança e Qualidade em Serviços de TI - GOV

Evolução do COBIT

V1 •1996: Foco em auditoria

V2 •1998: Foco em controle

V3 •2000: Foco em gestão

SOX •2002: Obrigatoriedade para alguns setores

V4 •2005: Governança de TI

V4.1 •2007: Consolidação

V5: •2012: V4.1 + Val IT 2.0 + Risk IT + BMIS + ITAF

A Lei Sarbanes & Oxley dos USA deu grande impulso ao COBIT,

tornando a Governança Corporativa e de TI obrigatórias para empresas

com ações na Bolsa de Valores.

No Brasil, a CVM foi pelo mesmo caminho.

Page 14: Governança cobit

Márcio Moreira 3. COBIT – slide 14Governança e Qualidade em Serviços de TI - GOV

Conformidade – Desafios

A Governança de TI deve buscar o equilíbrio entre as necessidades do estado, dos clientes e acionistas:Clientes & Acionistas:

Entrega de valorAtingimento de metas de

desempenhoGeração de resultados

Estado:ControlesConformidadeRespeito as leis

EstadoClientes & Acionistas

Resultados

Atingimento de Metas

Entrega de Valor

Respeito às leis

Conformidade

Controles

Page 15: Governança cobit

Márcio Moreira 3. COBIT – slide 15Governança e Qualidade em Serviços de TI - GOV

Missão do ITGI & Foco do COBIT

Missão do ITGI “Pesquisar, desenvolver,

publicar e promover um framework de controle para Governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia-a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria”

Foco do COBIT O COBIT foca mais em “o que

precisa ser alcançado” do que em “como alcançar”, isto é, mais no controle do que na execução

Funciona como um guarda-chuva, fornecendo controle que mapeiam os principais controles de TI

Page 16: Governança cobit

Márcio Moreira 3. COBIT – slide 16Governança e Qualidade em Serviços de TI - GOV

Componentes do COBIT

Page 17: Governança cobit

Márcio Moreira 3. COBIT – slide 17Governança e Qualidade em Serviços de TI - GOV

Framework do COBIT

O cubo ao lado representa os componentes chaves da estrutura do COBIT e como eles são usados para entregar a informação que o negócio precisa para alcançar seus objetivos

Cubo do COBIT:

DOMÍNIOS

PROCESSOS

ATIVIDADES

Ap

lic

ati

vo

s

Info

rma

çõ

es Pe

ss

oa

s

Infr

ae

str

utu

ra

Eficác

ia

Eficiê

ncia

Confiden

cial

idad

e

Inte

gridad

e

Disponib

ilidad

e

Conform

idad

e

Confiabili

dade

Pro

ce

ss

os

de

TI

Requisitos de Negócios

Recurs

os de

TI

Page 18: Governança cobit

Márcio Moreira 3. COBIT – slide 18Governança e Qualidade em Serviços de TI - GOV

Requisitos de Negócio

Eficácia:Capacidade de alçar metas e resultados propostosTrata da informação que está sendo relevante e pertinente ao processo de

negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil

Eficiência:Quantidade de recursos necessários para a geração do resultadoDiz respeito à provisão da informação através do uso otimizado (mais

produtivo e econômico) dos recursos. Tem foco na otimização de custos Confiabilidade:

A informação certa estará disponível para a gerência quando ela for necessária, isto gera confiança para a gerência operar e assumir suas responsabilidades de relatar aspectos de conformidade e finanças

Page 19: Governança cobit

Márcio Moreira 3. COBIT – slide 19Governança e Qualidade em Serviços de TI - GOV

Requisitos de Negócio

Conformidade:Trata do cumprimento das leis, de regulamentos e arranjos contratuais aos

quais o processo de negócio está sujeito Confidencialidade:

Diz respeito à proteção da informação sigilosa contra a revelação não autorizada

Integridade:Relaciona-se à exatidão e completude da informação bem como à sua

validade, de acordo com os valores e as expectativas do negócio Disponibilidade:

Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no futuro

Tem foco na entrega de serviços

Page 20: Governança cobit

Márcio Moreira 3. COBIT – slide 20Governança e Qualidade em Serviços de TI - GOV

Requisitos genéricos x Requisitos de Negócio

Page 21: Governança cobit

Márcio Moreira 3. COBIT – slide 21Governança e Qualidade em Serviços de TI - GOV

Recursos de TI

Aplicações:Sistemas automatizados e procedimentos manuais

para processar informações Informações:

Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação

Infraestrutura:Hardware, sistemas operacionais, banco de dados, rede, multimídia, etc.Tudo que é necessário para o funcionamento das aplicações

Pessoas:Pessoal necessário para planejar, organizar, adquirir, implementar,

entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado

Page 22: Governança cobit

Márcio Moreira 3. COBIT – slide 22Governança e Qualidade em Serviços de TI - GOV

Recursos de TI x Entrega de Serviços

Eventos

• Metas de Negócio• Oportunidades de negócio• Requisitos externos• Regulamentos• Riscos

Page 23: Governança cobit

Márcio Moreira 3. COBIT – slide 23Governança e Qualidade em Serviços de TI - GOV

Domínios do COBIT

Os domínios:Mapeiam as

áreas de responsabilidades tradicionais da TI:

Planejar, construir, executar e medir

Representam o ciclo de vida da TI agrupamento natural de processos

Processos são uma sequência lógica de atividades, com papéis e responsabilidades

O COBIT 4.1 tem 34 processos

Planejar e Organizar

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar

Page 24: Governança cobit

Márcio Moreira 3. COBIT – slide 24Governança e Qualidade em Serviços de TI - GOV

Domínio: Planejar e Organizar (PO)

Objetivos:Formular estratégias e táticas Identificar como TI pode melhor

contribuir para atingir os objetivos do negócio

Planejar, comunicar e gerenciar a realização da visão estratégica

Implementar organizacionalmente e tecnologicamente a Infraestrutura

Escopo: Estão TI e Negócio

estrategicamente alinhados?Está a organização obtendo o

melhor uso de seus recursos?Qualquer pessoa na

organização entende os objetivos de TI?

Os riscos de TI são entendidos e adequadamente gerenciados?

A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio?

Negócio & TI

Page 25: Governança cobit

Márcio Moreira 3. COBIT – slide 25Governança e Qualidade em Serviços de TI - GOV

Processos do Domínio PO

Sigla Processo

PO1 Definir um plano estratégico de TI

PO2 Definir a arquitetura da informação

PO3 Determinar o direcionamento tecnológico

PO4 Definir processos de TI, a organização e relacionamentos

PO5 Gerenciar o investimento em TI

PO6 Comunicar metas e diretivas gerenciais

PO7 Gerenciar os recursos humanos

PO8 Gerenciar a qualidade

PO9 Avaliar e gerenciar riscos de TI

PO10 Gerenciar projetos

Planejar e Organizar

Page 26: Governança cobit

Márcio Moreira 3. COBIT – slide 26Governança e Qualidade em Serviços de TI - GOV

Domínio: Adquirir e Implementar (AI)

Objetivos Identificar, desenvolver ou

adquirir, implementar e integrar soluções de TI

Atualizar e manter os sistemas existentes

Escopo:Estão os novos projetos aptos a

entregar soluções que reúnem as necessidades do Negócio?

Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?

Os novos sistemas trabalharão adequadamente quando implementados?

As mudanças serão feitas sem afetar as operações atuais do Negócio?

Page 27: Governança cobit

Márcio Moreira 3. COBIT – slide 27Governança e Qualidade em Serviços de TI - GOV

Processos do Domínio AI

Sigla Processo

AI1 Identificar as soluções automatizadas

AI2 Adquirir e manter software aplicativo

AI3 Adquirir e manter infraestrutura de tecnologia

AI4 Permitir operação e uso

AI5 Adquirir os recursos de TI

AI6 Gerenciar mudanças

AI7 Instalar e validar soluções e mudanças

Adquirir e Implementar

Page 28: Governança cobit

Márcio Moreira 3. COBIT – slide 28Governança e Qualidade em Serviços de TI - GOV

Domínio: Entregar e Suportar (DS)

Objetivos:Entregar os serviços requeridos,

incluindo o serviço de entregaGerenciar segurança,

continuidade, dados e facilidades operacionais

Fornecer serviço de suporte estruturado aos usuários

Escopo:Estão os serviços de TI

alinhados com as prioridades de Negócio?

Estão os custos otimizados?Está a força de trabalho apta a

usar os sistemas de TI de forma produtiva e com segurança?

São adequadas a confidencialidade, integridade e disponibilidade das informações?

Page 29: Governança cobit

Márcio Moreira 3. COBIT – slide 29Governança e Qualidade em Serviços de TI - GOV

Processos do Domínio DS

Sigla Processo

DS1 Definir e gerenciar níveis de serviço

DS2 Gerenciar serviços de terceiros

DS3 Gerenciar o desempenho e capacidade

DS4 Garantir a continuidade dos serviços

DS5 Garantir a segurança dos sistemas

DS6 Identificar e alocar custos

DS7 Educar e treinar usuários

DS8 Gerenciar central de serviços e incidentes

DS9 Gerenciar a configuração

DS10 Gerenciar os problemas

DS11 Gerenciar os dados

DS12 Gerenciar o ambiente físico

DS13 Gerenciar as operaçõesEntregar e Suportar

Page 30: Governança cobit

Márcio Moreira 3. COBIT – slide 30Governança e Qualidade em Serviços de TI - GOV

Domínio: Monitorar e Avaliar (ME)

Objetivos:Gerenciar PerformanceMonitorar Controles InternosManter conformidade com

Agências ReguladorasGovernar a TI

Escopo:A performance de TI é

mensurada para detectar problemas antes que eles aconteçam?

O gerenciamento garante que os Controles Internos são efetivos e eficazes?

Pode a disponibilidade de TI ser combinada com os objetivos do Negócio?

São Riscos, Controles, Conformidades e Performance medidos e reportados?

Page 31: Governança cobit

Márcio Moreira 3. COBIT – slide 31Governança e Qualidade em Serviços de TI - GOV

Processos do Domínio ME

Sigla Processo

ME1 Monitorar e avaliar o desempenho da TI

ME2 Monitorar e avaliar os controles internos

ME3 Assegurar conformidade regulatória

ME4 Fornecer Governança de TI

Monitorar e Avaliar

Page 32: Governança cobit

Márcio Moreira 3. COBIT – slide 32Governança e Qualidade em Serviços de TI - GOV

Processos – PO

Page 33: Governança cobit

Márcio Moreira 3. COBIT – slide 33Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Descrição: Necessário para alinhar e gerenciar os recursos de TI à estratégia de negócio,

garantindo otimização do portfólio de serviços e projetos, explicitando as oportunidades e limitações da TI, avaliando e definindo o nível de investimento necessário em TI

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência

Requisitos do Negócio: Sustentar ou estender a estratégia de negócio e os requisitos de governança e, ao

mesmo tempo, ser transparente quanto aos benefícios, custos e riscos Foco:

Incorporar TI e gerenciamento de negócio na tradução dos requisitos de negócio em ofertas de serviços e no desenvolvimento de estratégias para entregar estes serviços de maneira eficaz e transparente

Page 34: Governança cobit

Márcio Moreira 3. COBIT – slide 34Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Como Alcançar:Compromisso da Alta Direção e da Direção do Negócio no alinhamento do

plano estratégico de TI com as necessidades atuais e futurasEntendimento da capacidade atual de TIEstabelecimento de um esquema de priorização de objetivos de negócio,

que quantifique os requisitos de negócio Medições:

% objetivos de TI que sustentam o plano estratégico de negócio% projetos no portfólio de projetos de TI que podem ser diretamente

relacionados ao plano tático de TIDemora entre a atualização do plano estratégico de TI e os planos táticos

Recursos de TI:Aplicações, informações, infraestrutura e pessoas

Page 35: Governança cobit

Márcio Moreira 3. COBIT – slide 35Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Objetivos de controle: Gerir o valor da TI Alinhar TI e negócio Avaliar a capacidade e o desempenho atuais Plano estratégico de TI Plano tático de TI Gerir o portfólio de TI

Entradas e Saídas:

Page 36: Governança cobit

Márcio Moreira 3. COBIT – slide 36Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Tabela RACI:

Funções:CEO (Chief Executive Officer) CFO (Chief Financial Officer)CIO (Chief Information Officer) PMO (Projetc Management Officer)

Page 37: Governança cobit

Márcio Moreira 3. COBIT – slide 37Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Objetivos e Métricas:

Page 38: Governança cobit

Márcio Moreira 3. COBIT – slide 38Governança e Qualidade em Serviços de TI - GOV

PO1 Definir um Plano Estratégico de TI

Níveis de Maturidade: 0 Inexistente:

A direção não vê necessidade num plano estratégico de TI para o negócio 1 Inicial / Ad Hoc / Linguagem Comum:

Os requisitos de TI são discutidos respondendo a necessidades de negócio 2 Repetível:

Existe um plano de TI compartilhado eventualmente com a área de negócio, que é atualizado sob demanda, as decisões são tomadas projeto a projeto

3 Definido: Existe uma política dizendo como quando o plano estratégico de TI é feito e atualizado, o

processo é conhecido e respeitado por todos os envolvidos 4 Gerenciado:

A TI é gerenciada pelas métricas estabelecidas no plano estratégico de TI 5 Otimizado:

A empresa só toma decisões estratégicas consultando os planos das diretorias, inclusive a de TI, estes planos são sistematicamente reavaliados contra benchmarking

Page 39: Governança cobit

Márcio Moreira 3. COBIT – slide 39Governança e Qualidade em Serviços de TI - GOV

PO2 Definir a Arquitetura de Informação

Descrição:Definir o modelo de informações necessários para suportar o negócio, isto

inclui fazer um dicionário de dados corporativos (com: regras sintáticas, classificação e níveis de segurança), permitindo tomada de decisões e responsabilização

Objetivos de Negócio:1º: Eficiência e Integridade2º: Eficácia e Confidencialidade

Requisitos do Negócio:Agilidade para atender os requisitos fornecendo informações confiáveis e

consistentes integrando aplicações nos processos de negócio Foco:

Modelo de dados (domínio de negócio)

Page 40: Governança cobit

Márcio Moreira 3. COBIT – slide 40Governança e Qualidade em Serviços de TI - GOV

PO2 Definir a Arquitetura de Informação

Como Alcançar:Garantir a precisão da arquitetura de informação e do modelo de dadosEstabelecer a propriedade dos dadosClassificar a informação usando o esquema que foi combinado

Medições:% de informações redundantes ou duplicados% de aplicações não conformes com a arquitetura de informaçãoFrequência de atividades de validação dos dados

Recursos de TI:Aplicações e informações

Page 41: Governança cobit

Márcio Moreira 3. COBIT – slide 41Governança e Qualidade em Serviços de TI - GOV

PO3 Determinar as Diretrizes de Tecnologia

Descrição:Os responsáveis pela TI determinam as diretrizes de TI que suportam o

negócio, através de um plano de infra e um conselho de arquitetura que estabelece e gerencia os produtos, serviços e mecanismos de entrega da TI. Além do já citado, o plano deve conter: plano de aquisições, padrões, estratégias de migração e contingência. Isto permite respostas rápidas

Objetivos de Negócio:1º: Eficácia e Eficiência

Requisitos do Negócio:Ter sistemas aplicativos, recursos e capacidades padronizados, integrados,

estáveis, com boa relação custo-benefício, que atendam os requisitos atuais e futuros do negócio

Foco:Plano de infra, arquitetura (serviços, aplicações e infra) e padrões

Page 42: Governança cobit

Márcio Moreira 3. COBIT – slide 42Governança e Qualidade em Serviços de TI - GOV

PO3 Determinar as Diretrizes de Tecnologia

Como Alcançar:Estabelecer um comitê para direcionar e verificar a arquitetura, requisitos,

custos e riscosDefinir padrões de infraestrutura tecnológica com base nos requisitos da

arquitetura da informação

Medições:Quantidade e tipo de desvios do plano de infraestrutura tecnológicaFrequência de revisão/atualização do plano de infraestrutura tecnológicaQuantidade de plataformas de tecnologia por área da organização

Recursos de TI:Aplicações e infraestrutura

Page 43: Governança cobit

Márcio Moreira 3. COBIT – slide 43Governança e Qualidade em Serviços de TI - GOV

PO4 Definir os Processos, Organização e Relacionamentos de TI Descrição:

Definir o pessoal, papéis, responsabilidades, habilidades, funções, autoridade, rastreabilidade e supervisão necessários. A organização de TI deve ter processos que transfiram o conhecimento, assegurem o controle e o envolvimento dos executivos sênior (comitê estratégico). Outros comitês podem ser criados garantindo a participação das áreas de negócio

Objetivos de Negócio:1º: Eficácia e Eficiência

Requisitos do Negócio:Agilidade em resposta à estratégia de negócio e, ao mesmo tempo,

atender aos requisitos de Governança e fornecer pontos de contatos definidos e competentes

Foco:Estruturas transparentes, flexíveis e responsivas, definindo processos

Page 44: Governança cobit

Márcio Moreira 3. COBIT – slide 44Governança e Qualidade em Serviços de TI - GOV

PO4 Definir os Processos, Organização e Relacionamentos de TI Como Alcançar:

Definição de uma estrutura de processos de TIEstabelecimento de conselhos e estruturas organizacionais apropriadasDefinição de papéis e responsabilidades

Medições:% de funções com posições e descrições de autoridade documentadasNúmero de unidades/processos de negócios não suportados pela TI, mas

que deveriam ser suportados de acordo com a estratégiaNúmero de atividades centrais de TI realizadas fora da organização de TI e

que não são aprovadas ou submetidas aos padrões organizacionais de TI

Recursos de TI:Pessoas

Page 45: Governança cobit

Márcio Moreira 3. COBIT – slide 45Governança e Qualidade em Serviços de TI - GOV

PO5 Gerenciar o Investimento de TI

Descrição:Estabelecer e manter uma estrutura para gerenciar os programas de

investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento

Objetivos de Negócio:1º: Eficácia e Eficiência2º: Confiabilidade

Requisitos do Negócio:Melhorar continua e visivelmente a relação custo-benefício da TI e sua

contribuição para a lucratividade do negócio com serviços integrados e padronizados que atendam às expectativas do usuário final

Foco:Decidir o portfólio e investimentos em TI

Page 46: Governança cobit

Márcio Moreira 3. COBIT – slide 46Governança e Qualidade em Serviços de TI - GOV

PO5 Gerenciar o Investimento de TI

Como Alcançar:Previsão e alocação de orçamentos Definição do critério de investimento formal, usando:

ROI (Return On Investment): Retorno sobre InvestimentoPeríodo de recuperação de investimentoNPV (Net Present Value): Valor Presente Líquido (VPL)

Medição e avaliação do valor de negócio comparado à previsão Medições:

% de redução do custo unitário dos serviços de TI entregues% de desvio do valor orçamentário previsto x realizado% dos gastos de TI expressos através de motivadores de valor de negócio:

Exemplo: aumento de vendas/serviços devido ao aumento da conectividade Recursos de TI:

Aplicações, infraestrutura e pessoas

Page 47: Governança cobit

Márcio Moreira 3. COBIT – slide 47Governança e Qualidade em Serviços de TI - GOV

PO6 Comunicar Metas e Diretrizes Gerenciais

Descrição:A Direção deve desenvolver uma estrutura de controle de TI corporativo,

incluindo políticas, objetivos e diretrizesA área de TI deve definir e comunicar políticas, missão, metas, etc.A comunicação apoia o alcance dos objetivos de TI e assegura que as

pessoas tenham conhecimento e entendimento do negócio e riscos Objetivos de Negócio:

1º: Eficácia2º: Conformidade

Requisitos do Negócio:Manter as informações precisas e atualizadas nos serviços de TI atuais e

futuros, bem como as responsabilidades e os riscos associados Foco:

Fornecer políticas, diretrizes, procedimentos, etc. aprovados

Page 48: Governança cobit

Márcio Moreira 3. COBIT – slide 48Governança e Qualidade em Serviços de TI - GOV

PO6 Comunicar Metas e Diretrizes Gerenciais

Como Alcançar:Definição de uma estrutura de controle de TIDesenvolvimento e implementação de políticas de TI Imposição de políticas de TI

Medições: Interrupções no negócio devido a interrupções em serviços de TI% de partes interessadas que entendem a estrutura corporativa de

controle de TI% de partes interessadas que não estão em conformidade com a política

Recursos de TI: Informações e pessoas

Page 49: Governança cobit

Márcio Moreira 3. COBIT – slide 49Governança e Qualidade em Serviços de TI - GOV

PO7 Gerenciar os Recursos Humanos de TI

Descrição: Adquirir, manter e motivar pessoas competentes para criar e entregar serviços de

TI para o negócio. Isto requer práticas definidas e acordadas de recrutamento, treinamento, avaliação, promoção e desligamento

Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentes da motivação e da competência dessas pessoas

Objetivos de Negócio: 1º: Eficácia e Eficiência

Requisitos do Negócio: Ter pessoas competentes e motivadas para criar e entregar serviços de TI

Foco: Admitir, treinar e motivar o pessoal com planos de carreira claros, atribuir funções

coerentes com as habilidades, estabelecer um processo de revisão, criar descrições de cargos e assegurar a consciência da dependência de indivíduos

Page 50: Governança cobit

Márcio Moreira 3. COBIT – slide 50Governança e Qualidade em Serviços de TI - GOV

PO7 Gerenciar os Recursos Humanos de TI

Como Alcançar:Revisão do desempenho do pessoalAdmissão e treinamento do pessoal de TI para sustentarem os planos

táticos de TIMitigar o risco de dependência excessiva de recursos-chave

Medições:Nível de satisfação das partes interessadas com competência de TIRotatividade da equipe de TI% da equipe de TI certificado de acordo com as necessidades da função

Recursos de TI:Pessoas

Page 51: Governança cobit

Márcio Moreira 3. COBIT – slide 51Governança e Qualidade em Serviços de TI - GOV

PO8 Gerenciar a Qualidade

Descrição: Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua

padrões, processos, requisitos e indicadores de qualidade comprovados de desenvolvimento e aquisição

A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados

A gestão da qualidade é essencial para assegurar que a TI forneça valor para o negócio, melhore continuamente e seja transparente

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Integridade e Confidencialidade

Requisitos do Negócio: Melhorar continuamente a qualidade dos serviços entregues pela TI

Foco: Definir um Sistema de Gerenciamento da Qualidade (SGQ), monitorar e buscar a

melhoria contínua

Page 52: Governança cobit

Márcio Moreira 3. COBIT – slide 52Governança e Qualidade em Serviços de TI - GOV

PO8 Gerenciar a Qualidade

Como Alcançar:Definição de práticas e padrões de qualidadeMonitoração e revisão dos desempenhos interno e externo comparado às

práticas e padrões de qualidade definidasMelhoria contínua do SGQ

Medições:% de partes interessadas satisfeitas com a qualidade da TI (avaliado

segundo a importância)% de processos de TI formalmente revisados pelo processo de garantia de

qualidade periodicamente e que atingem metas e objetivos de qualidade% de processos que recebem revisões de garantia de qualidade (QA -

Quality Assurance) Recursos de TI:

Aplicações, informações, infraestrutura e pessoas

Page 53: Governança cobit

Márcio Moreira 3. COBIT – slide 53Governança e Qualidade em Serviços de TI - GOV

PO9 Avaliar e Gerenciar os Riscos de TI

Descrição: Criar e manter uma estrutura de gestão de riscos (documentar e gerir os riscos) Qualquer impacto em potencial nos objetivos da empresa causado por um evento

não planejado deve ser identificado, analisado, avaliado e comunicado O resultado da avaliação deve ser entendido pelas partes interessadas e expresso

em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis

Objetivos de Negócio: 1º: Confidencialidade, Integridade e Disponibilidade 2º: Eficácia, Eficiência, Conformidade e Confidencialidade

Requisitos do Negócio: Analisar e comunicar os riscos de TI e seus possíveis impactos nos processos e

objetivos de negócio Foco:

Desenvolver uma estrutura de gestão de riscos integrada às estruturas corporativa e operacional de gestão, avaliação, mitigação e comunicação de riscos

Page 54: Governança cobit

Márcio Moreira 3. COBIT – slide 54Governança e Qualidade em Serviços de TI - GOV

PO9 Avaliar e Gerenciar os Riscos de TI

Como Alcançar:Garantia de que a gestão de riscos esteja completamente integrada aos

processos gerenciais, interna e externamente, e seja aplicadaRealização de avaliações de riscoRecomendação e comunicação de planos de ação e mitigação dos riscos

Medições:% de objetivos críticos de TI cobertos pela avaliação de risco% de riscos críticos de TI identificados que tenham planos de ação% dos planos de ação de gestão de risco aprovados para implementação

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 55: Governança cobit

Márcio Moreira 3. COBIT – slide 55Governança e Qualidade em Serviços de TI - GOV

PO10 Gerenciar Projetos

Descrição: Estabelecer um programa e uma estrutura de gestão de projetos de TI (PMO) O PMO deve:

Garantir a correta priorização e coordenação de todos os projetos Ter um plano mestre, atribuição de recursos, definição dos resultados a serem

entregues, aprovação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio

Objetivos de Negócio: 1º: Eficácia e Eficiência

Requisitos do Negócio: Entregar resultados de projetos dentro do tempo, do orçamento e da qualidade

acordados Foco:

Aplicar aos projetos de TI um programa definido e uma abordagem de gestão de projetos que permitam a participação das partes interessadas e a monitoração do andamento e dos riscos do projeto

Page 56: Governança cobit

Márcio Moreira 3. COBIT – slide 56Governança e Qualidade em Serviços de TI - GOV

PO10 Gerenciar Projetos

Como Alcançar:Definição e implantação de programas, estruturas e abordagens de

projetoPublicação de diretrizes de gestão de projetoRealização de planejamento de projeto para todo o portfólio de projetos

Medições:% de projetos que atendem às expectativas das partes interessadas (prazo,

orçamento e escopo – ponderados de acordo com a importância)% de projetos que foram revisados após a implementação% de projetos que seguem os padrões e as práticas de gerenciamento de

projetos Recursos de TI:

Aplicação, infraestrutura e pessoas

Page 57: Governança cobit

Márcio Moreira 3. COBIT – slide 57Governança e Qualidade em Serviços de TI - GOV

Processos – AI

Page 58: Governança cobit

Márcio Moreira 3. COBIT – slide 58Governança e Qualidade em Serviços de TI - GOV

AI1 Identificar Soluções Automatizadas

Descrição:A necessidade de uma nova aplicação ou função requer uma análise

prévia à aquisição ou desenvolvimento, para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente

Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”

Objetivos de Negócio:1º: Eficácia2º: Eficiência

Requisitos do Negócio:Traduzir as necessidades funcionais e de controle em soluções

Foco: Identificar boas soluções técnicas economicamente viáveis

Page 59: Governança cobit

Márcio Moreira 3. COBIT – slide 59Governança e Qualidade em Serviços de TI - GOV

AI1 Identificar Soluções Automatizadas

Como Alcançar:Definição dos requisitos técnicos e de negócioRealização de estudos de viabilidade conforme definido nos padrões de

desenvolvimentoAprovação (ou rejeição) de requisitos e resultados de estudos de

viabilidade Medições:

Quantidade de projetos onde os benefícios não foram alcançados devido a premissas incorretas de viabilidade

% de estudos de viabilidade aceitos pelos respectivos proprietários de processos de negócios

% de usuários satisfeitos com as funcionalidades entregues Recursos de TI:

Aplicação e infraestrutura

Page 60: Governança cobit

Márcio Moreira 3. COBIT – slide 60Governança e Qualidade em Serviços de TI - GOV

AI2 Adquirir e Manter Software Aplicativo

Descrição: As aplicações devem ser disponibilizadas em alinhamento com os requisitos do

negócio Este processo contempla o projeto das aplicações, a inclusão de controles e

requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões

Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Integridade e Confiabilidade

Requisitos do Negócio: Tornar disponíveis as aplicações em alinhamento com os requisitos do negócio, no

prazo desejado e com um custo razoável Foco:

Assegurar que exista um processo de desenvolvimento que garanta prazo e custo

Page 61: Governança cobit

Márcio Moreira 3. COBIT – slide 61Governança e Qualidade em Serviços de TI - GOV

AI2 Adquirir e Manter Software Aplicativo

Como Alcançar:Tradução dos requisitos de negócio nas especificações de projetoAdesão aos padrões de desenvolvimento em todas as modificaçõesSegregação entre as atividades de desenvolvimento, teste e operação

Medições:Quantidade de problemas (Incidentes) em produção por aplicação que

causem períodos perceptíveis de indisponibilidade% de usuários satisfeitos com a funcionalidade oferecida

Recursos de TI:Aplicação

Page 62: Governança cobit

Márcio Moreira 3. COBIT – slide 62Governança e Qualidade em Serviços de TI - GOV

AI3 Adquirir e Manter Infraestrutura de Tecnologia Descrição:

As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia

Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste

Isso assegura um apoio tecnológico contínuo às aplicações de negócio Objetivos de Negócio:

1º: Eficiência 2º: Eficácia, Integridade e Disponibilidade

Requisitos do Negócio: Adquirir e manter uma infraestrutura de TI integrada e padronizada

Foco: Disponibilizar plataformas apropriadas às aplicações de negócio em alinhamento

com a arquitetura de TI definida e os padrões tecnológicos

Page 63: Governança cobit

Márcio Moreira 3. COBIT – slide 63Governança e Qualidade em Serviços de TI - GOV

AI3 Adquirir e Manter Infraestrutura de Tecnologia Como Alcançar:

Preparação de um plano de aquisição tecnológica alinhado com o plano de infraestrutura tecnológica

Planejamento da manutenção da infraestrutura Implementação de controles internos, medidas de segurança e de auditoria

Medições: % das plataformas que não estejam alinhadas com os padrões definidos de

tecnologia e arquitetura de TI Quantidade de processos críticos de negócio sustentados por infraestrutura

obsoleta (ou próxima da obsolescência) Quantidade de componentes de infraestrutura que não contam mais com suporte

(ou que tendem a não ter suporte num futuro próximo)

Recursos de TI: Infraestrutura

Page 64: Governança cobit

Márcio Moreira 3. COBIT – slide 64Governança e Qualidade em Serviços de TI - GOV

AI4 Habilitar Operação e Uso

Descrição: O conhecimento sobre novos sistemas deve estar disponível na empresa Este processo requer:

Elaboração de documentação e manuais para usuários e para a própria TI Promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e

infraestrutura Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Integridade, Disponibilidade, Conformidade e Confiabilidade

Requisitos do Negócio: Assegurar a satisfação de usuários finais com as ofertas e os níveis de serviços e a

integração das aplicações e soluções tecnológicas aos processos de negócio Foco:

Fornecer manuais de usuário, manuais operacionais e materiais de treinamento eficazes para transferir o conhecimento necessário a operação e uso da aplicação

Page 65: Governança cobit

Márcio Moreira 3. COBIT – slide 65Governança e Qualidade em Serviços de TI - GOV

AI4 Habilitar Operação e Uso

Como Alcançar:Desenvolvimento e disponibilização de documentaçãoComunicação e treinamento de usuários, gestores de negócio, equipes de

suporte e equipes de operaçãoProdução de materiais de treinamento

Medições:Quantidade de aplicações nas quais os procedimentos de TI estão

integrados aos processos de negócio% de proprietários de negócio satisfeitos com os treinamentos e material

de suporte das aplicaçõesQuantidade de aplicações que dispõem de treinamento adequado de

suporte operacional e de usuário Recursos de TI:

Aplicação, infraestrutura e pessoas

Page 66: Governança cobit

Márcio Moreira 3. COBIT – slide 66Governança e Qualidade em Serviços de TI - GOV

AI5 Adquirir Recursos de TI

Descrição: Adquirir recursos de TI (pessoas, hardware, software e serviços) Requer a definição e a aplicação de procedimentos de aquisição, seleção de

fornecedores e negociações contratuais Assim assegura-se que a organização tenha todos os recursos de TI necessários a

tempo e com boa relação custo-benefício Objetivos de Negócio:

1º: Eficiência 2º: Eficácia e Conformidade

Requisitos do Negócio: Melhorar o custo-eficiência de TI e sua contribuição para a lucratividade do

negócio Foco:

Adquirir e manter habilidades de TI que respondam à estratégia de entrega e a uma infraestrutura de TI padronizada e integrada, reduzindo o risco de aquisição

Page 67: Governança cobit

Márcio Moreira 3. COBIT – slide 67Governança e Qualidade em Serviços de TI - GOV

AI5 Adquirir Recursos de TI

Como Alcançar:Obtenção de parecer profissional para aspectos legais e contratuaisDefinição de procedimentos e padrões de aquisiçãoAquisição de hardware, software e serviços requeridos em alinhamento

com os procedimentos definidos

Medições:Quantidade de discordâncias relacionadas aos contratos de aquisição Custo reduzido de compra% das principais partes interessadas satisfeitas com os fornecedores

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 68: Governança cobit

Márcio Moreira 3. COBIT – slide 68Governança e Qualidade em Serviços de TI - GOV

AI6 Gerenciar Mudanças

Descrição: Todas as mudanças, incluindo manutenções e correções de emergência,

relacionadas com a infraestrutura e as aplicações no ambiente de produção devem ser formalmente gerenciadas de maneira controlada (registro, avaliação, autorização e revisão após a implementação)

Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção

Objetivos de Negócio: 1º: Eficácia, Eficiência, Integridade e Disponibilidade 2º: Confiabilidade

Requisitos do Negócio: Atender aos requisitos de negócio em alinhamento com a estratégia da

organização, reduzindo retrabalho e defeitos nas entregas Foco:

Controlar a execução e os impactos de mudanças na infraestrutura e aplicações

Page 69: Governança cobit

Márcio Moreira 3. COBIT – slide 69Governança e Qualidade em Serviços de TI - GOV

AI6 Gerenciar Mudanças

Como Alcançar:Definição e comunicação de procedimentos de mudanças, incluindo

mudanças emergenciaisAvaliação, priorização e autorização de mudançasAcompanhamento de status e apresentação de relatório de mudanças

Medições:Quantidade de paradas ou erros em dados devido a especificações

inadequadas ou avaliações de impacto críticas incompletasRetrabalho de infraestrutura ou aplicação causado por mudanças

inadequadas% de mudanças que seguem o processo formal de controle de mudanças

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 70: Governança cobit

Márcio Moreira 3. COBIT – slide 70Governança e Qualidade em Serviços de TI - GOV

AI7 Instalar e Homologar Soluções e Mudanças

Descrição: Colocar as novas aplicações em operação após a conclusão do desenvolvimento Isto reque a realização de testes apropriados em um ambiente dedicado, com

dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação

Isso assegura que as aplicações estejam alinhados com as expectativas e os resultados acordados

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência, Integridade e Disponibilidade

Requisitos do Negócio: As aplicações novas ou alteradas devem funcionar bem após a instalação

Foco: Testes, planejamento, instalação e migração de aplicações

Page 71: Governança cobit

Márcio Moreira 3. COBIT – slide 71Governança e Qualidade em Serviços de TI - GOV

AI7 Instalar e Homologar Soluções e Mudanças

Como Alcançar:Estabelecimento de metodologia de testesAvaliação e aprovação dos resultados de testes pelos responsáveis pela

gestão do negócioRealização de planejamento de releases para produçãoRealização de revisões após a implementação

Medições:Tempo de indisponibilidade da aplicação ou quantidade de correções de

dados devido a testes inadequados % de aplicações que na avaliação pós-implementação alcança os

benefícios planejados originalmente% de projetos que tenham plano de testes documentado e aprovado

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 72: Governança cobit

Márcio Moreira 3. COBIT – slide 72Governança e Qualidade em Serviços de TI - GOV

Processos – DS

Page 73: Governança cobit

Márcio Moreira 3. COBIT – slide 73Governança e Qualidade em Serviços de TI - GOV

DS1 Definir e Gerenciar Níveis de Serviço

Descrição: A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os

serviços necessários é possibilitada por um acordo definido e documentado, que aborda os serviços de TI e os níveis de serviço esperados

Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e

Confiabilidade Requisitos do Negócio:

Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio Foco:

Identificar os requisitos de serviço, acordar os níveis de serviço e monitorar o atendimento desses níveis de serviço

Page 74: Governança cobit

Márcio Moreira 3. COBIT – slide 74Governança e Qualidade em Serviços de TI - GOV

DS1 Definir e Gerenciar Níveis de Serviço

Como Alcançar: Formalização de acordos de níveis de serviços internos e externos alinhados aos

requisitos e com a capacidade de entrega Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios) Identificação e comunicação de requisitos de serviços novos e atualizados para o

planejamento estratégico

Medições: % de partes interessadas que entendem que os níveis de entrega de serviço estão

de acordo com os níveis acordados Quantidade de serviços prestados inexistentes no catálogo Quantidade anual de reuniões formais de análise crítica de acordo de nível de

serviço (SLA) com os representantes do negócio

Recursos de TI: Aplicação, informação, infraestrutura e pessoas

Page 75: Governança cobit

Márcio Moreira 3. COBIT – slide 75Governança e Qualidade em Serviços de TI - GOV

DS2 Gerenciar Serviços Terceirizados

Descrição: A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam

aos requisitos do negócio requer um processo efetivo de gestão da terceirização Esse processo é realizado definindo-se claramente os papéis, responsabilidades e

expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e

Confiabilidade Requisitos do Negócio:

Fornecer serviços terceirizados satisfatórios e transparentes em termos de benefícios, custos e riscos

Foco: Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de

serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e assegurar o cumprimento dos acordos

Page 76: Governança cobit

Márcio Moreira 3. COBIT – slide 76Governança e Qualidade em Serviços de TI - GOV

DS2 Gerenciar Serviços Terceirizados

Como Alcançar: Identificação e categorização dos prestadores de serviços Identificação e redução dos riscos associados ao fornecedorMonitoração e medição do desempenho do fornecedor

Medições:Quantidade de reclamações de usuários devido aos serviços contratados% de grandes fornecedores que atendam claramente aos requisitos e

níveis de serviço definidos% de grandes fornecedores sujeitos a monitoramento

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 77: Governança cobit

Márcio Moreira 3. COBIT – slide 77Governança e Qualidade em Serviços de TI - GOV

DS3 Gerenciar o Desempenho e a Capacidade

Descrição: &&&

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e

Confiabilidade Requisitos do Negócio:

Fornecer serviços terceirizados satisfatórios e transparentes em termos de benefícios, custos e riscos

Foco: Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de

serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e assegurar o cumprimento dos acordos

Page 78: Governança cobit

Márcio Moreira 3. COBIT – slide 78Governança e Qualidade em Serviços de TI - GOV

DS3 Gerenciar o Desempenho e a Capacidade

Como Alcançar:

Medições:

Recursos de TI:Aplicação, informação, infraestrutura e pessoas

Page 79: Governança cobit

Márcio Moreira 3. COBIT – slide 79Governança e Qualidade em Serviços de TI - GOV

Processos – DS

Page 80: Governança cobit

Márcio Moreira 3. COBIT – slide 80Governança e Qualidade em Serviços de TI - GOV

Requisitos do negócio

O CObIT combina os princípios contidos em modelos existentes e conhecidos, como COSO, SAC e SAS

•Qualidade (cumprimento de requisitos de SLA)•Entrega (entregar a tempo)•Custo (dentro do orçamento esperado)

Requisitos de qualidade

•Eficácia e eficiência operacional•Confiabilidade dos relatórios financeiros•Cumprimento de leis e regulamentos

Requisitos fiduciários (COSO)

•Confidencialidade•Integridade•Disponibilidade

Requisitos de segurança

Page 81: Governança cobit

Márcio Moreira 3. COBIT – slide 81Governança e Qualidade em Serviços de TI - GOV

Critérios de informação

É a capacidade de alcançar metas e resultados proposto. Trata da informação que está sendo relevante e pertinente ao processo de negócio, bem como da que esteja sendo entregue de um modo oportuno, correto, consistente e útil

Capacidade de produzir o máximo de resultados com o mínimo de recursos. Diz respeito a provisão da informação através do uso otimizado (mais produtivo e econômico) dos recursos. Tem foco na otimização de custos

Eficiência

Eficácia

Page 82: Governança cobit

Márcio Moreira 3. COBIT – slide 82Governança e Qualidade em Serviços de TI - GOV

Critérios de informação

Diz respeito a proteção da informação sigilosa contra a revelação não autorizada

Relaciona-se a acurácia, exatidão da informação, bem como a sua validade, de acordo com as expectativas do negócio

Relaciona-se a informação que está sendo disponibilizada quando requerida pelo processo de negócio, agora e no futuro. Também diz respeito a salvaguarda dos recursos necessários e as capacidades associadas. Tem foco na entrega de serviços

Integridade

Confidencialidade

Disponibilidade

Page 83: Governança cobit

Márcio Moreira 3. COBIT – slide 83Governança e Qualidade em Serviços de TI - GOV

Critérios de informação

Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito

Relaciona-se a provisão de informação apropriada para a gerência operar a empresa e exercer suas responsabilidades de relatar aspectos de conformidade e finanças

Confiabilidade

Conformidade

Page 84: Governança cobit

Márcio Moreira 3. COBIT – slide 84Governança e Qualidade em Serviços de TI - GOV

Recursos de TI

Os processos de TI gerenciam os recursos de TI. Juntos eles são usados para entregar a informação que o negócio precisa. Os recursos identificados no CObIT são:

Page 85: Governança cobit

Márcio Moreira 3. COBIT – slide 85Governança e Qualidade em Serviços de TI - GOV

Recursos de TI

AplicativosSistemas automati-zados e sistemas manuais para pro-

cessar informações

Page 86: Governança cobit

Márcio Moreira 3. COBIT – slide 86Governança e Qualidade em Serviços de TI - GOV

Framework do CObIT

Page 87: Governança cobit

Márcio Moreira 3. COBIT – slide 87Governança e Qualidade em Serviços de TI - GOV

Vantagens ao adotar o CObIT

• É aceito por terceiros e órgãos reguladores• É compatível com outros padrões e deve ser usado como apoio

para projetos de implantação de processos• As práticas sugeridas representam um consenso dos

especialistas• Fornece uma abordagem para avaliar se os serviços de TI e as

novas iniciativas estão atendendo aos requisitos do negócio e estão entregando os benefícios esperados

• Ajuda a desenvolver e documentar estruturas, processos e ferramentas para um gerenciamento efetivo da TI

• Possui uma estrutura de controles que facilita auditorias internas e externas

Estudos de caso: http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Studies.aspx

Page 88: Governança cobit

Márcio Moreira 3. COBIT – slide 88Governança e Qualidade em Serviços de TI - GOV

Estrutura do CObIT e Objetivos de Controle

Este módulo cobre:

• Estrutura do conteúdo do CObIT• Revisão de conceitos relacionados a processos• Por que os processos precisam de controles• O que são objetivos de controles• Estrutura de navegação do CObIT• Interpretação do PO10 – Gerenciar Projetos• Visão geral dos 34 processos de TI• Estudo de caso

Page 89: Governança cobit

Márcio Moreira 3. COBIT – slide 89Governança e Qualidade em Serviços de TI - GOV

Estrutura do conteúdo do CObIT O conteúdo do CObIT é distribuído da seguinte forma:

Framework •Organiza os objetivos da Governança de TI e melhores práticas em domínios e processos de TI e os relaciona aos objetivos de negócio

Objetivos de Controle •Fornecem um conjunto de requisitos de alto nível a ser considerado para o controle efetivo dos processos de TI

Diretrizes de Gerencia-mento •Ajudam a atribuir responsabilidades, medir o desempenho, fazer comparações e a análise de gaps

Guia de implantação •Fornece um mapa genérico para implantar a Governança de TI usando os recursos do CObIT e Val IT

Práticas de Controle •Traduz os objetivos de controle em práticas detalhadas e implementáveis

Guia de Garantia •Fornece orientações sobre como o CObIT pode ser usado para suportar uma variedade de atividades de validação (auditoria) junto com passos de testes sugeridos para todos os processos de TI e objetivos de controle

Page 90: Governança cobit

Márcio Moreira 3. COBIT – slide 90Governança e Qualidade em Serviços de TI - GOV

Negócio x Objetivos de Controle de TI

Objetivos de controle de TI: “São um conjunto de requisitos de alto nível a

serem considerados pela gestão para o efetivo controle de cada processo de TI”

Fonte: ITGI, CObIT 4.1

Os objetivos de controle de TI ajudam a aumentar o valor ou reduzir o risco

Estratégia de negócio

Processos de negócio

Sistemas e Aplicativos

Processos de TI

Controles de aplicativos

Controles genéricos e objetivos de controle

Cada processo de TI precisa ser controlado para que possa atingir seus objetivos, de alguma forma contribuindo para a realização da estratégia do negócio

Page 91: Governança cobit

Márcio Moreira 3. COBIT – slide 91Governança e Qualidade em Serviços de TI - GOV

Revisão de processo

Page 92: Governança cobit

Márcio Moreira 3. COBIT – slide 92Governança e Qualidade em Serviços de TI - GOV

Componentes de um processo

Avaliação de Desempenho Metas e métricas mostram como o processo deve ser medido

Entradas

Atividade A

Atividade B

Atividade C

Atividade D

Atividade E

Saídas

Descrição do processo

Objetivos de Controle

Atividades, papéis e responsabilidades

Nível de Maturidade

Indicadores de Desempenho

Indicadores de Desempenho

Indicadores de Resultado

(baseados em metas)

Page 93: Governança cobit

Márcio Moreira 3. COBIT – slide 93Governança e Qualidade em Serviços de TI - GOV

Processos precisam de controle

Para conseguir uma governança efetiva, é necessário a implantação dos controles pelos gerentes de operações dentro de uma estrutura de controle definida para todos os processos de TI

Page 94: Governança cobit

Márcio Moreira 3. COBIT – slide 94Governança e Qualidade em Serviços de TI - GOV

Processos e controles

4 Domínios

34 Processos de TI

210 Objetivos de Controle

Mais de 1500 Práticas de Controle

• 4 domínios

• 34 processos de TI

• Requisitos de controle

genérico 6 controles para cada processo

• Objetivos de controle 3 a 15 por processo de TI

• Práticas de controle 3 a 10 por objetivo de controle

Page 95: Governança cobit

Márcio Moreira 3. COBIT – slide 95Governança e Qualidade em Serviços de TI - GOV

Requisitos de controle genérico

Cada processo de controle do CObIT tem 6 requisitos de controle genérico que são comuns para todos os processos. Eles devem ser considerados em conjunto com os objetivos de controle do processo para que se possa ter uma visão completa dos requisitos de controle

Page 96: Governança cobit

Márcio Moreira 3. COBIT – slide 96Governança e Qualidade em Serviços de TI - GOV

Requisitos de controle genérico

Page 97: Governança cobit

Márcio Moreira 3. COBIT – slide 97Governança e Qualidade em Serviços de TI - GOV

Estrutura de navegação do framework

Página 31 do framework do CObIT

Page 98: Governança cobit

Márcio Moreira 3. COBIT – slide 98Governança e Qualidade em Serviços de TI - GOV

Medidas de controle

As medidas de controle para cada processo de TI não satisfazem todos os requisitos de negócio no mesmo grau. A estrutura do CObIT define 3 graus de controle.

Primário – Impacta diretamente o critério de informação a que se refere

Secundário – Satisfaz parcialmente ou indiretamente o critério de informação a que se refere

Em branco – Pode ser aplicável, entretanto os requisitos são satisfeitos de forma mais apropriada por um outro critério neste processo e/ou ainda por outro processo

Page 99: Governança cobit

Márcio Moreira 3. COBIT – slide 99Governança e Qualidade em Serviços de TI - GOV

Page 100: Governança cobit

Márcio Moreira 3. COBIT – slide 100Governança e Qualidade em Serviços de TI - GOV

(PO) Planejar e Organizar

• PO1 Definir um Plano Estratégico de TI

• PO2 Definir a Arquitetura da Informação• PO3 Determinar as Diretrizes de Tecnologia• PO4 Definir os Processos, a Organização e os Relacionamentos de TI

• PO5 Gerenciar o Investimento de TI• PO6 Comunicar Metas e Diretrizes Gerenciais• PO7 Gerenciar os Recursos Humanos de TI• PO8 Gerenciar a Qualidade• PO9 Avaliar e Gerenciar os Riscos de TI• PO10 Gerenciar Projetos

Page 101: Governança cobit

Márcio Moreira 3. COBIT – slide 101Governança e Qualidade em Serviços de TI - GOV

(PO) Planejar e Organizar

• PO1 Definir um Plano Estratégico de TI O planejamento estratégico é necessário para gerenciar e

direcionar todos os recursos da TI de acordo com as estratégias e prioridades do negócio. O departamento de TI e os stakeholders do negócio são responsáveis por assegurar que um valor otimizado é realizado através dos portfólios de projetos e serviços

Page 102: Governança cobit

Márcio Moreira 3. COBIT – slide 102Governança e Qualidade em Serviços de TI - GOV

(PO) Planejar e Organizar

• PO4 Definir os Processos, a Organização e os Relacionamentos de TI

Uma organização de TI precisa ser definida considerando os requisitos para pessoas, habilidades, funções, responsabilidades, autoridades e papéis. Esta organização deve estar ligada a um framework de processos de TI que assegure transparência e controle, envolvendo executivos seniores e gerentes de negócio. Um comitê estratégico deve assegurar uma visão geral da TI e um ou mais comitês de direção, nos quais os participantes de negócio e da TI devem determinar a priorização dos recursos da TI, alinhados com as necessidades de negócio

Page 103: Governança cobit

Márcio Moreira 3. COBIT – slide 103Governança e Qualidade em Serviços de TI - GOV

(AI) Adquirir e Implementar

• AI1 Identificar Soluções Automatizadas• AI2 Adquirir e Manter Software Aplicativo• AI3 Adquirir e Manter Infraestrutura de Tecnologia• AI4 Habilitar Operação e Uso• AI5 Adquirir Recursos de TI• AI6 Gerenciar Mudanças• AI7 Instalar e Homologar Soluções e Mudanças

Page 104: Governança cobit

Márcio Moreira 3. COBIT – slide 104Governança e Qualidade em Serviços de TI - GOV

(AI) Adquirir e implementar

• AI6 Gerenciar Mudanças Todas as mudanças (inclusive emergenciais e correções)

relacionadas a infraestrutura e a aplicações dentro de um ambiente de produção precisam ser gerenciadas formalmente de uma maneira controlada

• AI7 Instalar e Homologar Soluções e Mudanças Novos sistemas precisam estar operacionais uma vez que o

desenvolvimento esteja completo. Isto requer testes apropriados em um ambiente dedicado com dados de testes relevantes, definição da introdução e instruções de migração, planejamento de liberações e revisões pós-implementação

Page 105: Governança cobit

Márcio Moreira 3. COBIT – slide 105Governança e Qualidade em Serviços de TI - GOV

(DS) Entregar e Suportar

• DS1 Definir e Gerenciar Níveis de Serviços

• DS2 Gerenciar Serviços Terceirizados• DS3 Gerenciar o Desempenho e a Capacidade

• DS4 Assegurar a Continuidade dos Serviços• DS5 Garantir a Segurança dos Sistemas• DS6 Identificar e Alocar Custos• DS7 Educar e Treinar os Usuários• DS8 Gerenciar a Central de Serviço e os Incidentes• DS9 Gerenciar a Configuração

• DS10 Gerenciar Problemas• DS11 Gerenciar os Dados• DS12 Gerenciar o Ambiente Físico• DS13 Gerenciar as Operações

Page 106: Governança cobit

Márcio Moreira 3. COBIT – slide 106Governança e Qualidade em Serviços de TI - GOV

(DS) Entregar e Suportar

• DS1 Definir e Gerenciar Níveis de Serviços Comunicação efetiva entre a gerência de TI e os clientes do

negócio em relação aos serviços requeridos, habilitada através de documentação e de acordos de níveis de serviços de TI

• DS3 Gerenciar o Desempenho e a Capacidade A necessidade de gerenciar o desempenho e a capacidade dos

recursos de TI requer um processo para prever periodicamente o desempenho e a capacidade atual dos recursos de TI

Page 107: Governança cobit

Márcio Moreira 3. COBIT – slide 107Governança e Qualidade em Serviços de TI - GOV

(DS) Entregar e Suportar

• DS9 Gerenciar a Configuração Assegurar a integridade da configuração de hardware e software

requer estabelecer e manter um preciso e completo repositório da configuração. Este processo inclui coleta inicial de informações da configuração e atualização do repositório da configuração quando necessário

Page 108: Governança cobit

Márcio Moreira 3. COBIT – slide 108Governança e Qualidade em Serviços de TI - GOV

(ME) Monitorar e Avaliar

• ME1 Monitorar e Avaliar o Desempenho de TI

• ME2 Monitorar e Avaliar os Controles Internos• ME3 Assegurar a Conformidade com Requisitos Externos• ME4 Prover Governança de TI

Page 109: Governança cobit

Márcio Moreira 3. COBIT – slide 109Governança e Qualidade em Serviços de TI - GOV

(ME) Monitorar e Avaliar

• ME1 Monitorar e Avaliar o Desempenho de TI Assegura que a gestão estabeleça um framework geral de

monitoramento e uma abordagem que defina escopo, metodologia e processos a serem seguidos.

O monitoramento da TI contribui para os resultados do gerenciamento de portfólio empresarial e para os processos de programas gerenciais – processos que são específicos para entregar competências e serviços de TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia

Page 110: Governança cobit

Márcio Moreira 3. COBIT – slide 110Governança e Qualidade em Serviços de TI - GOV

Exercício - Leitura

Ler os processos PO1 e DS1 do CObIT 4.1 detalhadamente (Descrição, Objetivos de Controle, Diretrizes de Gerenciamento e Modelo de Maturidade

Page 111: Governança cobit

Márcio Moreira 3. COBIT – slide 111Governança e Qualidade em Serviços de TI - GOV

O que as empresas querem?

• Aumentar o faturamento

• Aumentar a participação no mercado (mais clientes)

• Mais produtividades

• Maior lucratividade

• Menos custos

Page 112: Governança cobit

Márcio Moreira 3. COBIT – slide 112Governança e Qualidade em Serviços de TI - GOV

O que as empresas querem?

• Menos desperdício e retrabalho

• Menos riscos

• Menos problemas

• Lançar novos produtos/serviços em

curto espaço de tempo

• Clientes satisfeitos

Page 113: Governança cobit

Márcio Moreira 3. COBIT – slide 113Governança e Qualidade em Serviços de TI - GOV

Orientação ao negócio do CObIT

Page 114: Governança cobit

Márcio Moreira 3. COBIT – slide 114Governança e Qualidade em Serviços de TI - GOV

Metas de TI e processos do CObIT

Page 115: Governança cobit

Márcio Moreira 3. COBIT – slide 115Governança e Qualidade em Serviços de TI - GOV

Metas de TI e processos do CObIT

Page 116: Governança cobit

Márcio Moreira 3. COBIT – slide 116Governança e Qualidade em Serviços de TI - GOV

Softwares de apoio

Existem alguns softwares que podem ser utilizados para criação de painéis de indicadores (dashboard):

• www.e-decision.com.br• www.softexpert.com.br• www.datasec-soft.com• www.methodware.co.nz• www.metricus.com

Page 117: Governança cobit

Márcio Moreira 3. COBIT – slide 117Governança e Qualidade em Serviços de TI - GOV

Diretrizes de gerenciamento

• As diretrizes de gerenciamento do CObIT possibilitam aos administradores da organização lidar de forma eficiente com as necessidades e requisitos da Governança de TI

• Para cada processo de TI, as diretrizes de gerenciamento fornecem ferramentas para medir e comparar a capacidade

Metas e métricas• Indicadores de resultados• Indicadores de desempenho

Recursos• Entradas e saídas para cada processo• Gráfico RACI (matriz/tabela de responsabilidades)

Page 118: Governança cobit

Márcio Moreira 3. COBIT – slide 118Governança e Qualidade em Serviços de TI - GOV

Diretrizes de Gerenciamento

Page 119: Governança cobit

Márcio Moreira 3. COBIT – slide 119Governança e Qualidade em Serviços de TI - GOV

Entradas e saídas

Entradas O CObIT identifica onde as

entradas primárias serão obtidas para cada processo. Alguns processos têm entradas de fora da estrutura do CObIT (PO1 e ME3)

SaídasIdentifica para quais processos de TI o processo fornece saídas. Estas saídas são entregáveis (documento, plano, relatório) gerados por um processo

Page 120: Governança cobit

Márcio Moreira 3. COBIT – slide 120Governança e Qualidade em Serviços de TI - GOV

Metas e métricas

• O CObIT usa 2 tipos de métricas: medidas de resultado e indicadores de performance

• Metas e métricas são definidas no CObIT em 3 níveis:

Metas e métricas de TI: definem o que o negócio espera da TI (o que o negócio usaria para medir a TI) e como medir isto. Fornecem ao CIO uma visão panorâmica do status da TI e métricas chave que o ajudariam a colocar a TI alinhada ao negócio

Page 121: Governança cobit

Márcio Moreira 3. COBIT – slide 121Governança e Qualidade em Serviços de TI - GOV

Metas e métricas

• O CObIT usa 2 tipos de métricas: medidas de resultado e indicadores de performance

• Metas e métricas são definidas no CObIT em 3 níveis:

Metas e métricas de processos: definem o que precisa ser realizado pelo processo de TI para suportar os objetivos da TI (como os proprietários dos processos de TI serão avaliados) e como medir isto

Page 122: Governança cobit

Márcio Moreira 3. COBIT – slide 122Governança e Qualidade em Serviços de TI - GOV

Metas e métricas

• O CObIT usa 2 tipos de métricas: medidas de resultado e indicadores de performance

• Metas e métricas são definidas no CObIT em 3 níveis:

Metas e métricas de atividades: estabelece o que precisa acontecer dentro do processo para alcançar o desempenho necessário e como medir isto. Implanta métricas no nível operacional que fazem sentido para os profissionais de TI e dão a eles ferramentas para coletar e gerenciar dados para criar relatórios

Page 123: Governança cobit

Márcio Moreira 3. COBIT – slide 123Governança e Qualidade em Serviços de TI - GOV

Métricas do CObIT

Demonstrar o valor que a TI entrega ao negócio requer o relacionamento de causa e efeito entre dois tipos de métricas:

Entradas

Atividade A

Atividade B

Atividade C

Atividade D

Atividade E

Saídas

Indicadores de Desempenho

Indicadores de Desempenho

Indicadores de Resultado

(baseados em metas)

Page 124: Governança cobit

Márcio Moreira 3. COBIT – slide 124Governança e Qualidade em Serviços de TI - GOV

Indicadores de Performance

• Substitui o KPI (Key Performance Indicator) do CObIT 4.0• Os indicadores de performance medem o quanto do objetivo

está sendo alcançado, oposto as medidas de resultado que medem o que foi alcançado

• Exemplos:• A extensão e frequência do risco e relatório de controle do

comitê executivo• Melhora do custo/benefício dos processos de TI (custos x

entregáveis)• Downtime do sistema• Tempo de resposta

Exemplo: PO10 Gerenciar Projetos, pág. 76 do CObIT 4.1

Page 125: Governança cobit

Márcio Moreira 3. COBIT – slide 125Governança e Qualidade em Serviços de TI - GOV

Medidas de resultado

• Substitui o KGI (Key Goal Indicator – Indicador Chave de Meta) do CObIT 4.0

• Usualmente são expressas nos seguintes termos: Disponibilidade das informações necessárias para suportar

requisitos do negócio Riscos de falta de integridade e confidencialidade das

informações Eficiência nos custos dos processos e operações Confirmação de confiabilidade, eficácia e conformidade das

informações• No CObIT cada processo tem 2 níveis de medidas de resultado:

um para o departamento de TI (resultado de TI) e outro para o processo de TI (resultado do processo)

Page 126: Governança cobit

Márcio Moreira 3. COBIT – slide 126Governança e Qualidade em Serviços de TI - GOV

Medidas de resultado

TI

Processo

Exemplo: PO10 Gerenciar Projetos

Page 127: Governança cobit

Márcio Moreira 3. COBIT – slide 127Governança e Qualidade em Serviços de TI - GOV

Relacionamento entre processo, metas e métricas

Page 128: Governança cobit

Márcio Moreira 3. COBIT – slide 128Governança e Qualidade em Serviços de TI - GOV

Tabela RACI

As Tabelas ou Matrizes RACI definem as responsabilidades para cada atividade dentro do CObIT:

Responsible: quem é o responsável (quem executa a tarefa) Accountable: quem deve prestar contas / autorizar uma

atividade / se responsabilizar pelo resultado Consulted: quem deve ser consultado Informed: quem deve ser informado

Page 129: Governança cobit

Márcio Moreira 3. COBIT – slide 129Governança e Qualidade em Serviços de TI - GOV

Tabela RACI

Page 130: Governança cobit

Márcio Moreira 3. COBIT – slide 130Governança e Qualidade em Serviços de TI - GOV

Gráfico RACI – Hierarquia padrão

Os gráficos RACI apresentam funções típicas de uma organização de grande porte. Nada impede de que estes nomes sejam adaptados ou algumas funções sejam combinadas.

Page 131: Governança cobit

Márcio Moreira 3. COBIT – slide 131Governança e Qualidade em Serviços de TI - GOV

Modelos de maturidade

• Os modelos de maturidade fornecem escalas que ajudam a mensurar o estágio em que o processo se encontra na organização.

• Essa abordagem é derivada do modelo de maturidade para desenvolvimento de software, o CMMI, proposto pelo SEI

• Para cada um dos 34 processos do CObIT, o modelo fornece descrições detalhadas para ajudar na classificação

Page 132: Governança cobit

Márcio Moreira 3. COBIT – slide 132Governança e Qualidade em Serviços de TI - GOV

Modelos de maturidade

• Usando os níveis de maturidade do CObIT podemos:

• Identificar o desempenho atual da organização – onde estamos

• Descobrir o status da indústria – para fazer comparações (benchmarking)

• Estabelecer uma meta para melhoria contínua – onde queremos chegar

• Estabelecer os passos entre os “as-is” e o “to-be”

Page 133: Governança cobit

Márcio Moreira 3. COBIT – slide 133Governança e Qualidade em Serviços de TI - GOV

Modelo genérico do CObIT

Page 134: Governança cobit

Márcio Moreira 3. COBIT – slide 134Governança e Qualidade em Serviços de TI - GOV

Características de cada nível de maturidade

Page 135: Governança cobit

Márcio Moreira 3. COBIT – slide 135Governança e Qualidade em Serviços de TI - GOV

Modelo de maturidade do PO10

Consulta e leitura do framework do CObIT 4.1, página 77

Page 136: Governança cobit

Márcio Moreira 3. COBIT – slide 136Governança e Qualidade em Serviços de TI - GOV

Avaliação dos processos / Assessment

Page 137: Governança cobit

Márcio Moreira 3. COBIT – slide 137Governança e Qualidade em Serviços de TI - GOV

Relacionamento entre os componentes do CObIT

Page 138: Governança cobit

Márcio Moreira 3. COBIT – slide 138Governança e Qualidade em Serviços de TI - GOV

Produtos do ITGI que suportam o CObIT

Este módulo cobre:

• CObIT Quickstart• IT Assurance Guide• CObIT Online• CObIT Security Baseline• IT Governance Implementation Guide• Val IT

Page 139: Governança cobit

Márcio Moreira 3. COBIT – slide 139Governança e Qualidade em Serviços de TI - GOV

Principais produtos relacionados com o CObIT

A ISACA e o ITGI desenvolveram vários produtos acessórios para ajudar a implementar os objetivos de controle e governança de TI

Page 140: Governança cobit

Márcio Moreira 3. COBIT – slide 140Governança e Qualidade em Serviços de TI - GOV

CObIT Quickstart

• É uma versão resumida dos recursos do CObIT que serve como ponto de partida para empresas que querem ter uma estrutura básica de governança de TI, priorizando os controles mais importantes

• Representa apenas 20% do conteúdo:

Page 141: Governança cobit

Márcio Moreira 3. COBIT – slide 141Governança e Qualidade em Serviços de TI - GOV

CObIT Quickstart

• É direcionado para empresas de pequeno e médio porte (SMEs) onde a TI não é estratégica ou absolutamente crítica para a sobrevivência da empresa• Para cada processo de TI, fornece uma descrição resumida,

práticas de gerenciamento, referências com outros tipos de controle, abordagens para autoavaliação, principais responsáveis e métricas mais importantes

• Fornece ferramentas de autoavaliação, ajudando se ele é apropriado a organização

Page 142: Governança cobit

Márcio Moreira 3. COBIT – slide 142Governança e Qualidade em Serviços de TI - GOV

Práticas de controle

• Outra publicação fornecida pelo ITGI é a “Práticas de Controle”. Estas práticas traduzem os objetivos de controle do COBIT em práticas desenháveis e implementáveis, e fornecem uma argumentação de negócio para a implementação a partir de uma perspectiva de valor e de risco

Page 143: Governança cobit

Márcio Moreira 3. COBIT – slide 143Governança e Qualidade em Serviços de TI - GOV

Práticas de controle

• Enquanto que os objetivos de controle definem “o que” precisa ser feita, as práticas de controle fornecem um detalhamento de como implementar os objetivos e “por que” eles podem ser necessários

• Para cada objetivo de controle há de 3 a 12 práticas de controle

Page 144: Governança cobit

Márcio Moreira 3. COBIT – slide 144Governança e Qualidade em Serviços de TI - GOV

PO10 Gerenciar projetos – Práticas de Controle

PO10.6 Fase de iniciação do projeto

Page 145: Governança cobit

Márcio Moreira 3. COBIT – slide 145Governança e Qualidade em Serviços de TI - GOV

Guia de Validação / Garantia

• É um guia de validação (ou garantia) para profissionais que precisam de orientações para garantir o funcionamento dos controles internos e melhoria de processos

• Fornece conselhos sobre como testar o fundionamen- to de cada objetivo de controle, assegurando que os controles são suficientes e ajudando a documentar os pontos fracos dos controles• Ajuda a elaborar um conjunto de ações e plano de au- ditoria. Entretanto, não deve ser visto como uma nor- ma de auditoria, com regras únicas• Deve ser usado em conjunto com o CObIT para testar os

objetivos de controle

Page 146: Governança cobit

Márcio Moreira 3. COBIT – slide 146Governança e Qualidade em Serviços de TI - GOV

Guia de Validação / Garantia

O IT Assurance Guide oferece uma estrutura para o plano (roadmap) de auditoria/validação/garantia composta por três estágios: Planejamento, Definição de Escopo e Execução

Page 147: Governança cobit

Márcio Moreira 3. COBIT – slide 147Governança e Qualidade em Serviços de TI - GOV

Execução do roadmap de validação/garantia

O estágio de execução subdivide-se em 6 etapas:

1. Refinar o entendimento do que será validado na TI •Identificar/confirmar os processos de TI críticos •Autoavaliação da maturidade dos processos

2. Redefinir o escopo dos objetivos de controle chave para questões que serão validadas na TI

•Atualizar a seleção de objetivos de controle •Personalizar os objetivos de controle •Construir um programa de auditoria detalhado

Page 148: Governança cobit

Márcio Moreira 3. COBIT – slide 148Governança e Qualidade em Serviços de TI - GOV

Execução do roadmap de validação/garantia

O estágio de execução subdivide-se em 6 etapas:

3. Testar a eficácia do desenho do controle dos objetivos de controle chave

•Testar e avaliar os controles •Atualizar/avaliar maturidade dos processos

4. Testar o resultado dos objetivos de controle chave •Controles de autoavaliação •Testar e avaliar os controles

Page 149: Governança cobit

Márcio Moreira 3. COBIT – slide 149Governança e Qualidade em Serviços de TI - GOV

Execução do roadmap de validação/garantia

O estágio de execução subdivide-se em 6 etapas:

5. Documentar o impacto das fraquezas de controle •Diagnóstico operacional e/ou riscos de projetos residuais

6. Desenvolver e comunicar as recomendações em geral •Reportar conclusões da validação

Page 150: Governança cobit

Márcio Moreira 3. COBIT – slide 150Governança e Qualidade em Serviços de TI - GOV

CObIT Online

O CObIT online é uma base de recursos na web com funcionalidades interativas. O serviço encontra-se disponível em sua integridade para membros da ISACA. Caso não tenha uma assinatura, será possível baixar o framework do CObIT 4.1 e suas traduções, documentos relacionados ao framework do Val IT 2.0 e alguns outros documentos

Page 151: Governança cobit

Márcio Moreira 3. COBIT – slide 151Governança e Qualidade em Serviços de TI - GOV

CObIT Online

Page 152: Governança cobit

Márcio Moreira 3. COBIT – slide 152Governança e Qualidade em Serviços de TI - GOV

Security Baseline

• O CObIT Security Baseline foca nos riscos específicos da segurança de TI, com uma abordagem simples de seguir e de implementar. Ajuda também a conscientizar sobre a importância da segurança da informação

• Não é um guia técnico. Possui linguagem acessível para qualquer tipo de pessoa, como usuários domésticos ou usuários de pequenas e médias empresas (executivos e gerentes)

Kits fornecidos

pelo Security Baseline

Page 153: Governança cobit

Márcio Moreira 3. COBIT – slide 153Governança e Qualidade em Serviços de TI - GOV

Security Baseline

• É uma destilação do CObIT, sugerindo 44 passos para alcançar a segurança e referenciando controles da ISO 27002 (substitui a ISO 17799) e objetivos de controle do CObIT para cada passo

Kits fornecidos

pelo Security Baseline

Page 154: Governança cobit

Márcio Moreira 3. COBIT – slide 154Governança e Qualidade em Serviços de TI - GOV

Guia de implantação da Governança de TI

• O IT Governance Implementation Guide é um roadmap para o conselho de administração, gerência executiva, profissionais de TI e de controle, profissionais de auditoria em TI e para os gerentes de conformidade

• Este guia fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida de Governança de TI contínuo usando o CObIT

Page 155: Governança cobit

Márcio Moreira 3. COBIT – slide 155Governança e Qualidade em Serviços de TI - GOV

Guia de implantação da Governança de TI

Este guia traz uma metodologia genérica nas seguintes áreas:

• Porque a Governança de TI é importante e por que as organizações de TI devem implantá-la

• Como o CObIT está vinculado com a Governança de TI e como o CObIT possibilita a implantação da Governança de TI

• Partes interessadas na Governança de TI• Roadmap para implantar a Governança de TI

usando CObIT

Page 156: Governança cobit

Márcio Moreira 3. COBIT – slide 156Governança e Qualidade em Serviços de TI - GOV

Guia de implantação da Governança de TI - Roadmap

Roadmap de implantação sugerido:

Page 157: Governança cobit

Márcio Moreira 3. COBIT – slide 157Governança e Qualidade em Serviços de TI - GOV

Visão geral de outros modelos

Este módulo cobre:

• Padrão ISO 38500 – Governança de TI• Relacionamento do CObIT com as melhores práticas:

ITIL v.3 ISO/IEC 20000 ISO/IEC 27001, ISO/IEC 27002 PMBOK PRINCE2 CMMI TOGAF

• Outros padrões: BS25777, M_o_R e eSCM

Page 158: Governança cobit

Márcio Moreira 3. COBIT – slide 158Governança e Qualidade em Serviços de TI - GOV

Quais padrões e modelos podem ajudar?

Page 159: Governança cobit

Márcio Moreira 3. COBIT – slide 159Governança e Qualidade em Serviços de TI - GOV

ISO/IEC 38500 – Novo padrão para Governança de TI

• Publicada em abril de 2008• Fornece orientações sobre o papel da alta

administração na governança de TI• Ajuda o comitê de governança a avaliar, dirigir,

monitorar o uso da TI e a atender aos requisitos regulatórios e obrigações éticas

• Provê seis princípios orientadores:1. Responsabilidade: é necessário estabelecer

estruturas organizacionais, papéis, responsabilidades e níveis de autoridade para tomada de decisões e tarefas

2. Estratégia: os requisitos de negócio precisam ser traduzidos em metas para a TI e com base nestas metas a TI vai elaborar um planejamento apropriado para a sua capacidade

Page 160: Governança cobit

Márcio Moreira 3. COBIT – slide 160Governança e Qualidade em Serviços de TI - GOV

ISO/IEC 38500 – Novo padrão para Governança de TI

3. Aquisições: os projetos de TI devem ser vistos como parte dos programas de mudança organizacional: os processos de negócio devem ser revistos e as pessoas precisam de treinamento

4. Desempenho: é preciso definir metas de desempenho e métricas para monitorar o atingimento das metas

5. Conformidade: políticas e procedimentos são necessários para a gestão e equipe seguirem, para assegurar que metas da organização sejam atingidos, riscos sejam mitigados e conformidade seja alcançado

6. Comportamentos humano: As mudanças promovidas pela TI requerem mudanças culturais e comportamentais dentro da empresa, assim como os clientes e parceiros

Page 161: Governança cobit

Márcio Moreira 3. COBIT – slide 161Governança e Qualidade em Serviços de TI - GOV

ITIL v3

• É um conjunto de boas práticas para o Gerenciamento do Ciclo de Vida do Serviço

• Desenvolvida inicialmente pelo OGC do Reino Unido e usada hoje por milhares de empresas no mundo todo

Page 162: Governança cobit

Márcio Moreira 3. COBIT – slide 162Governança e Qualidade em Serviços de TI - GOV

A ITIL ajuda a definir os processos

Page 163: Governança cobit

Márcio Moreira 3. COBIT – slide 163Governança e Qualidade em Serviços de TI - GOV

ISO/IEC 20000 – Sistema de Gestão de Serviços de TI

• A ISO 20000 pode ser usada para certificar o sistema de Gerenciamento de Serviços de TI

A ISO 20000 é composta de duas partes:• Parte 1: Especificação,

fornecendo requisitos para um sistema de Gerenciamento de Serviços de TI

• Parte 2: Código de Prática, que contém recomendações das melhores práticas. Serve apenas como um guiaNorma disponível para compra em: http://www.abnt.org.br

Page 164: Governança cobit

Márcio Moreira 3. COBIT – slide 164Governança e Qualidade em Serviços de TI - GOV

ISO/IEC 20000 – Sistema de Gestão de Serviços de TI

• No Brasil temos algumas empresas certificadas. Consulte o site: www.isoiec20000certification.com

A ISO 20000 é composta de duas partes:• Parte 1: Especificação,

fornecendo requisitos para um sistema de Gerenciamento de Serviços de TI

• Parte 2: Código de Prática, que contém recomendações das melhores práticas. Serve apenas como um guiaNorma disponível para compra em: http://www.abnt.org.br

Page 165: Governança cobit

Márcio Moreira 3. COBIT – slide 165Governança e Qualidade em Serviços de TI - GOV

ISO/IEC 20000 – Sistema de Gestão de Serviços de TI

• Foi originalmente publicada pela BSI (British Standard Institute) como BSI 15000 e finalmente adotada pela organização ISO em 2005

A ISO 20000 é composta de duas partes:• Parte 1: Especificação,

fornecendo requisitos para um sistema de Gerenciamento de Serviços de TI

• Parte 2: Código de Prática, que contém recomendações das melhores práticas. Serve apenas como um guiaNorma disponível para compra em: http://www.abnt.org.br

Page 166: Governança cobit

Márcio Moreira 3. COBIT – slide 166Governança e Qualidade em Serviços de TI - GOV

• A ISO/IEC 27001 ajuda as organizações a implantarem um SGSI (Sistema de Gestão da Segurança da Informação), fornecendo diretrizes e princípios para iniciar, implementar, manter e aperfeiçoar o SGSI

• Fornece mais de 133 controles de segurança• Recomenda-se que seja usada em conjunto com a ISO/IEC 27002 (substituta da

ISO/IEC 17799), que é o código de prática para o SGSI• A meta das duas normas é salvaguardar a confidencialidade, integridade e

disponibilidade da informação escrita, falada e eletrônica A ISO 27001 considera: Política e Segurança Segurança Organizacional Classificação e Controle de Ativos Segurança Pessoal Segurança Física e Ambiental

ISO/IEC 27001 – Sistema de Gestão da Segurança da Informação

Norma disponível para compra em:http://www.abnt.org.br

Page 167: Governança cobit

Márcio Moreira 3. COBIT – slide 167Governança e Qualidade em Serviços de TI - GOV

PMBOK

• É um corpo de conhecimento para o Gerenciamento de Projetos desenvolvido pelo Project Management Institute (PMI)

• Tem ampla aceitação pelo mercado atual

• Deve ser visto como um guia e não um metodologia

• Tem 42 processos distribuídos em 9 áreas do conhecimento (vide figura ao lado)

Page 168: Governança cobit

Márcio Moreira 3. COBIT – slide 168Governança e Qualidade em Serviços de TI - GOV

PMBOK

• Qualquer tipo de projeto pode ser gerenciado a partir destas práticas

• É cedido gratuitamente para os membros do PMI®. Pode ser comprado em algumas livrarias

• Há mais de 300000 profissionais PMP no mundo todo

Page 169: Governança cobit

Márcio Moreira 3. COBIT – slide 169Governança e Qualidade em Serviços de TI - GOV

Orientações para o exame de certificação

Este módulo cobre:

• Detalhes do exame de certificação CObIT 4.1 Foundation• Passos para o agendamento do exame

Page 170: Governança cobit

Márcio Moreira 3. COBIT – slide 170Governança e Qualidade em Serviços de TI - GOV

Público alvo

O exame de certificação CObIT Foundation é aplicável para:• Auditores de TI• Gerentes de TI• Profissionais na área de qualidade de TI• Líderes de TI• Gerentes de processos de TI

• A certificação CObIT Foundation garante que você tem conhecimento sobre o framework do CObIT no nível fundamentos

• Não há outros níveis de certificação para o CObIT• A ISACA oferece outras certificações profissionais como: CISA,

CISM, CGEIT, CRISC

Page 171: Governança cobit

Márcio Moreira 3. COBIT – slide 171Governança e Qualidade em Serviços de TI - GOV

Exame de certificação

• A certificação é oferecida pela ISACA e ITGI• Existe apenas o nível Fundamentos (Foundation)• Não há pré-requisitos, qualquer profissional pode se inscrever

no exame sem precisar comprovar experiência ou participação em treinamento oficial

• O exame é online (pode ser realizado em casa ou no trabalho)• Disponível em vários idiomas, incluindo o Português

Page 172: Governança cobit

Márcio Moreira 3. COBIT – slide 172Governança e Qualidade em Serviços de TI - GOV

Escopo do Exame

As questões do exame são distribuídas em 5 áreas do conhecimento. Veja abaixo o percentual de questões para cada área:

• Respondendo aos desafios da TI (15%)• Estrutura do CObIT (30%)• O que o CObIT provê (30%)• Aplicando o CObIT (10%)• Produtos do CobIT e suporte da ISACA (15%)

• Observação: Necessários 28 pontos em 40 para aprovação. Não existe pontuação mínima por área de conhecimento

Page 173: Governança cobit

Márcio Moreira 3. COBIT – slide 173Governança e Qualidade em Serviços de TI - GOV

Tela do exame

Page 174: Governança cobit

Márcio Moreira 3. COBIT – slide 174Governança e Qualidade em Serviços de TI - GOV

Resultado final

• Após finalizar o exame o candidato saberá na hora se foi aprovado ou não. Na tela de resultado é informado apenas o percentual de questões que o candidato acertou

• Qualquer problema com o recebimento do certificado, entre em contato com [email protected]

Page 175: Governança cobit

Márcio Moreira 3. COBIT – slide 175Governança e Qualidade em Serviços de TI - GOV

Modelo de certificado impresso

Page 176: Governança cobit

Márcio Moreira 3. COBIT – slide 176Governança e Qualidade em Serviços de TI - GOV

Obrigado!