Baixe o app para aproveitar ainda mais
Prévia do material em texto
05/11/2013 1 ProfProfProfProf Ana Paula GarciaAna Paula GarciaAna Paula GarciaAna Paula Garcia anapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.com Governança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação 1 � Fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. � Elas são fortemente focadas mais nos controles e menos na execução. 2 � COBITCOBITCOBITCOBIT : Control Objectives for Information and related Technology / Objetivos de Controle para Informações e Tecnologias relacionadas � Mantido pelo ISACA � ISACA ( Information Systems Audit and Control Association ) é uma associação profissional internacional focada em Governança de TI. 3 4 “ Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para uso do dia-a-dia de gerentes de negócio e auditores”. 5 � Foi projetado para ser utilizado por: ◦ Gestores executivos: para garantia de cumprimento de requisitos, gestão de riscos e controle da performance da TI ◦ Gestores de negócio e usuários: para obterem transparência e certificarem dos controles fornecidos pelo setor de TI 6 05/11/2013 2 ◦ Gestores de TI: para demonstrar que os serviços de TI atendem as expectativas do negócio ◦ Auditores de TI: para contribuir com modelos de auditoria e subsidiar opiniões 7 � o CobiT suporta a governança de TI provendo uma metodologia para assegurar que: ◦ A área de TI esteja alinhada com os negócios ◦ A área de TI habilite o negócio e maximiza os benefícios ◦ Os recursos de TI sejam usados responsavelmente ◦ Os riscos de TI sejam gerenciados apropriadamente 8 9 � Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. 10 � Entrega de valor: é a execução da proposta de valor, através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrando-se em otimizar custos e provendo o valor intrínseco de TI. 11 � Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. 12 05/11/2013 3 � Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação,um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. 13 � Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais. 14 � Assegurar que os recursos de TI estejam alinhados com os objetivos da organização; � O COBIT foca na Governança Corporativa e na necessidade de controles de melhorias nas empresas; 15 � Para a área de TI ter sucesso na entrega dos serviços requeridos pelo negócio, deve ser implementado um sistema interno de controle ou uma metodologia. � A orientação aos negócios do CobiT consiste em objetivos de negócios ligados a objetivos de TI. 16 � Fornece uma estrutura para controlar a TI: ◦ Define uma linguagem comum para a área de TI e o negócio ◦ Ajuda a entender os requisitos regulatórios ◦ É um padrão aceito entre empresas ◦ É orientado a processos ◦ É focado nos requisitos do negócio 17 � O COBIT contribui da seguinte maneira: ◦ Fazendo uma ligação com os requisitos de negócios ◦ Organizando as atividades de TI em um modelo de processos geralmente aceito ◦ Identificando os mais importantes recursos de TI a serem utilizados ◦ Definindo os objetivos de controle gerenciais a serem considerados 18 05/11/2013 4 19 � Objetivos do negócio requerem informações ◦ Informações devem atender aos critérios de qualidade, segurança e confiabilidade � Informações são produzidas por recursos de TI ◦ Dados, aplicações, infraestrutura e pessoas 20 � Recursos de TI são gerenciados por processos ◦ Definição de responsabilidades e metas � Processos devem ser controlados ◦ Objetivos de controle, indicadores de desempenho e indicadores de resultados 21 Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles. São eles: � EfetividadeEfetividadeEfetividadeEfetividade: lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável. 22 � EficiênciaEficiênciaEficiênciaEficiência: relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos. � ConfidencialidadeConfidencialidadeConfidencialidadeConfidencialidade : está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida. 23 � IntegridadeIntegridadeIntegridadeIntegridade: relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios e expectativas � DisponibilidadeDisponibilidadeDisponibilidadeDisponibilidade: relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas 24 05/11/2013 5 � ConformidadeConformidadeConformidadeConformidade: lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas. � ConfiabilidadeConfiabilidadeConfiabilidadeConfiabilidade: relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de governança. 25 � Para a área de TI entregar de maneira bem- sucedida os serviços que suportam as estratégias de negócios, deve existir uma clara definição das responsabilidades e direcionamento dos requisitos pela área de negócios (o cliente) e um claro entendimento acerca do que e como precisa ser entregue pela TI (o fornecedor). 26 � Uma vez que os objetivos alinhados estiverem definidos, eles precisam ser monitorados para assegurar que as entregas atendam às expectativas. � Isto é alcançado por métricas derivadas dos objetivos e capturadas pelo scorecard de TI. 27 Para atender aos requisitos de negócios para TI, a organização precisa investir nos recursos necessários para criar uma adequada capacidade técnica. � Aplicativos: são os sistemas automatizados para usuários e os procedimentos manuais que processam as informações 28 � Informações : são os dados em todas as suas formas, a entrada, o processamento e a saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos negócios. � Infraestrutura: refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos aplicativos. 29 � Pessoas:são os funcionários requeridos para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados ou contratados, conforme necessário. 30 05/11/2013 6 O COBIT foi criado com as seguintes características: ◦ Foco no negócio ◦ Orientado a processo ◦ Baseado em controles ◦ Direcionado a métricas 31 � O cobit deve ser utilizado “de fora pra dentro”, ou seja, da área do negócio para a área de TI � Deve ser baseado em objetivos de negócio da empresa � Os processos buscam traduzir os objetivos de processo em objetivos de TI 32 � O COBIT divide os objetivos de controle em 34 processos � Os processos estão divididos em 04 domínios: ◦ Organização e Planejamento ◦ Aquisição e Implementação ◦ Entrega e Suporte ◦ Monitoração e Avaliação 33 � Para cada processo de TI, existem objetivos de controle definidos � São ao todo 210 objetivos de controle � Cada objetivo de controle contém, ainda, práticas de controle para auxiliar em sua utilização 34 � Sugere um conjunto de indicadores que permitem medir o desempenho das atividades � Utilização de modelos de maturidade 35
Compartilhar