Aula 20 - Introdução ao Cobit

Prévia do material em texto

05/11/2013
1
ProfProfProfProf Ana Paula GarciaAna Paula GarciaAna Paula GarciaAna Paula Garcia
anapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.comanapbg23@gmail.com
Governança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação
1
� Fornece boas práticas através de um modelo de 
domínios e processos e apresenta atividades em uma 
estrutura lógica e gerenciável.
� Elas são fortemente focadas mais nos controles e 
menos na execução.
2
� COBITCOBITCOBITCOBIT : Control Objectives for Information and
related Technology / Objetivos de Controle para 
Informações e Tecnologias relacionadas
� Mantido pelo ISACA
� ISACA ( Information Systems Audit and Control 
Association ) é uma associação profissional 
internacional focada em Governança de TI.
3
4
“ Pesquisar, desenvolver, publicar e promover 
um conjunto de objetivos de controle para 
tecnologia que seja embasado, atual, 
internacional e aceito em geral para uso do 
dia-a-dia de gerentes de negócio e 
auditores”.
5
� Foi projetado para ser utilizado por:
◦ Gestores executivos: para garantia de cumprimento 
de requisitos, gestão de riscos e controle da 
performance da TI
◦ Gestores de negócio e usuários: para obterem 
transparência e certificarem dos controles 
fornecidos pelo setor de TI
6
05/11/2013
2
◦ Gestores de TI: para demonstrar que os serviços de 
TI atendem as expectativas do negócio
◦ Auditores de TI: para contribuir com modelos de 
auditoria e subsidiar opiniões
7
� o CobiT suporta a governança de TI 
provendo uma metodologia para assegurar 
que:
◦ A área de TI esteja alinhada com os negócios
◦ A área de TI habilite o negócio e maximiza os 
benefícios
◦ Os recursos de TI sejam usados responsavelmente
◦ Os riscos de TI sejam gerenciados apropriadamente
8
9
� Alinhamento estratégico: foca em garantir a 
ligação entre os planos de negócios e de TI, 
definindo, mantendo e validando a proposta 
de valor de TI, alinhando as operações de TI 
com as operações da organização.
10
� Entrega de valor: é a execução da proposta 
de valor, através do ciclo de entrega, 
garantindo que TI entrega os prometidos 
benefícios previstos na estratégia da 
organização, concentrando-se em otimizar 
custos e provendo o valor intrínseco de TI.
11
� Gestão de recursos: refere-se à melhor 
utilização possível dos investimentos e o 
apropriado gerenciamento dos recursos 
críticos de TI: aplicativos, informações, 
infraestrutura e pessoas. Questões relevantes 
referem-se à otimização do conhecimento e 
infraestrutura.
12
05/11/2013
3
� Gestão de risco: requer a preocupação com 
riscos pelos funcionários mais experientes da 
corporação,um entendimento claro do apetite 
de risco da empresa e dos requerimentos de 
conformidade, transparência sobre os riscos 
significantes para a organização e inserção 
do gerenciamento de riscos nas atividades da 
companhia.
13
� Mensuração de desempenho: acompanha e 
monitora a implementação da estratégia, 
término do projeto, uso dos recursos, 
processo de performance e entrega dos 
serviços, usando, por exemplo, “balanced
scorecards” que traduzem as estratégia em 
ações para atingir os objetivos, medidos 
através de processos contábeis 
convencionais.
14
� Assegurar que os recursos de TI estejam 
alinhados com os objetivos da organização;
� O COBIT foca na Governança Corporativa e na 
necessidade de controles de melhorias nas 
empresas;
15
� Para a área de TI ter sucesso na entrega dos 
serviços requeridos pelo negócio, deve ser 
implementado um sistema interno de 
controle ou uma metodologia. 
� A orientação aos negócios do CobiT consiste 
em objetivos de negócios ligados a objetivos 
de TI.
16
� Fornece uma estrutura para controlar a TI:
◦ Define uma linguagem comum para a área de TI e o 
negócio
◦ Ajuda a entender os requisitos regulatórios
◦ É um padrão aceito entre empresas
◦ É orientado a processos
◦ É focado nos requisitos do negócio
17
� O COBIT contribui da seguinte maneira:
◦ Fazendo uma ligação com os requisitos de 
negócios
◦ Organizando as atividades de TI em um modelo de 
processos geralmente aceito
◦ Identificando os mais importantes recursos de TI a 
serem utilizados
◦ Definindo os objetivos de controle gerenciais a 
serem considerados 
18
05/11/2013
4
19
� Objetivos do negócio requerem informações
◦ Informações devem atender aos critérios de 
qualidade, segurança e confiabilidade
� Informações são produzidas por recursos de 
TI
◦ Dados, aplicações, infraestrutura e pessoas 
20
� Recursos de TI são gerenciados por 
processos
◦ Definição de responsabilidades e metas
� Processos devem ser controlados
◦ Objetivos de controle, indicadores de desempenho 
e indicadores de resultados
21
Para atender aos objetivos de negócios, as 
informações precisam se adequar a certos 
critérios de controles. São eles:
� EfetividadeEfetividadeEfetividadeEfetividade: lida com a informação relevante e 
pertinente para o processo de negócio bem 
como a mesma sendo entregue em tempo, de 
maneira correta, consistente e utilizável.
22
� EficiênciaEficiênciaEficiênciaEficiência: relaciona-se com a entrega da 
informação através do melhor (mais produtivo e 
econômico) uso dos recursos.
� ConfidencialidadeConfidencialidadeConfidencialidadeConfidencialidade : está relacionada com a 
proteção de informações confidenciais para 
evitar a divulgação indevida.
23
� IntegridadeIntegridadeIntegridadeIntegridade: relaciona-se com a fidedignidade e 
totalidade da informação bem como sua validade 
de acordo os valores de negócios e expectativas
� DisponibilidadeDisponibilidadeDisponibilidadeDisponibilidade: relaciona-se com a 
disponibilidade da informação quando exigida 
pelo processo de negócio hoje e no futuro.
Também está ligada à salvaguarda dos recursos 
necessários e capacidades associadas
24
05/11/2013
5
� ConformidadeConformidadeConformidadeConformidade: lida com a aderência a leis, 
regulamentos e obrigações contratuais aos quais 
os processos de negócios estão sujeitos, isto é, 
critérios de negócios impostos externamente e 
políticas internas.
� ConfiabilidadeConfiabilidadeConfiabilidadeConfiabilidade: relaciona-se com a entrega da 
informação apropriada para os executivos para 
administrar a entidade e exercer suas 
responsabilidades fiduciárias e de governança.
25
� Para a área de TI entregar de maneira bem-
sucedida os serviços que suportam as 
estratégias de negócios, deve existir uma 
clara definição das responsabilidades e 
direcionamento dos requisitos pela área de 
negócios (o cliente) e um claro entendimento 
acerca do que e como precisa ser entregue 
pela TI (o fornecedor).
26
� Uma vez que os objetivos alinhados 
estiverem definidos, eles precisam ser 
monitorados para assegurar que as entregas 
atendam às expectativas.
� Isto é alcançado por métricas derivadas dos 
objetivos e capturadas pelo scorecard de TI.
27
Para atender aos requisitos de negócios para 
TI, a organização precisa investir nos 
recursos necessários para criar uma 
adequada capacidade técnica.
� Aplicativos: são os sistemas automatizados 
para usuários e os procedimentos manuais 
que processam as informações
28
� Informações : são os dados em todas as suas 
formas, a entrada, o processamento e a saída 
fornecida pelo sistema de informação em 
qualquer formato a ser utilizado pelos negócios.
� Infraestrutura: refere-se à tecnologia e aos 
recursos (ou seja, hardware, sistemas 
operacionais, sistemas de gerenciamento de 
bases de dados, redes, multimídia e os 
ambientes que abrigam e dão suporte a eles) que 
possibilitam o processamento dos aplicativos.
29
� Pessoas:são os funcionários requeridos para 
planejar, organizar, adquirir, implementar, 
entregar, suportar, monitorar e avaliar os
sistemas de informação e serviços. Eles 
podem ser internos, terceirizados ou 
contratados, conforme necessário.
30
05/11/2013
6
O COBIT foi criado com as seguintes 
características:
◦ Foco no negócio
◦ Orientado a processo
◦ Baseado em controles
◦ Direcionado a métricas
31
� O cobit deve ser utilizado “de fora pra 
dentro”, ou seja, da área do negócio para a 
área de TI
� Deve ser baseado em objetivos de negócio da 
empresa
� Os processos buscam traduzir os objetivos de 
processo em objetivos de TI
32
� O COBIT divide os objetivos de controle em 
34 processos
� Os processos estão divididos em 04 
domínios:
◦ Organização e Planejamento
◦ Aquisição e Implementação
◦ Entrega e Suporte
◦ Monitoração e Avaliação
33
� Para cada processo de TI, existem objetivos 
de controle definidos
� São ao todo 210 objetivos de controle
� Cada objetivo de controle contém, ainda, 
práticas de controle para auxiliar em sua 
utilização
34
� Sugere um conjunto de indicadores que 
permitem medir o desempenho das 
atividades
� Utilização de modelos de maturidade
35