Baixe o app para aproveitar ainda mais
Prévia do material em texto
Framework para Governança de TI Prof. Paulo Henrique S. Prof. Paulo Henrique S. BermejoBermejo Dr., COBIT F. Dr., COBIT F. CertifiedCertified, ISACA , ISACA AdvocateAdvocate MemberMember Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA bermejo@ufla.brbermejo@ufla.br 1 COBIT Prof. Paulo Henrique S. Bermejo Prof. Paulo Henrique S. Bermejo Dr., COBIT F. Certified, ISACA Advocate MemberDr., COBIT F. Certified, ISACA Advocate Member Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA bermejo@ufla.brbermejo@ufla.br 2 Sumário • Apresentação • Princípios básicos • Critérios de informação • Recursos de TI • Foco no negócio: como o negócio e a governança direcionam a TI? • Dimensões• Dimensões • Visão geral dos processos de TI • Áreas de domínio e seus processos de TI • Navegando no conteúdo do livro do COBIT • Controles (tipos: controles gerais de processo, controles gerais de aplicação e objetivos de controle) • Modelo de maturidade • Medições e indicadores de desempenho • Relação com outras ferramentas para governança de TI 3 COBIT: Framework para Governança de TI • Control Objectives for Information and Related Technology (COBIT) – Abrangente e aplicável para auditoria e controle de processos em TI desde o planejamento até a monitoração e a auditoria de todos os processos – Criado em 1994 pela ISACA e mantido pelo ITGI – Contém 34 objetivos de controle de alto nível e 215 objetivos de controle – Contém 34 objetivos de controle de alto nível e 215 objetivos de controle detalhados (processos) – Atualmente é o framework mais completo para Governança de TI – É alinhado aos modelos COSO, ITIL, ISO/IEC 27001 (17799) e Lei Sarbanes- Oxley (SOX) – Provê relação com outros modelos, tais como Prince2, PMBOK, ITIL, BSC 4 Princípios básicos do COBIT RequisitosRequisitos de negóciode negócio Para fornecer a informação que a organização requer para alcançar seus objetivos, a organização necessita investir, gerenciar e controlar seus recursos de TI usando uma estrutura de processos para fornecer os serviços que entregam a informação requerida. Direciona os Direciona os investimentos eminvestimentos em Direciona os Direciona os investimentos eminvestimentos em de negóciode negócio Processos Processos de TIde TI Recursos Recursos de TIde TI Informação Informação organizacionalorganizacional Que são Que são usados porusados por Que são Que são usados porusados por Para entregarPara entregarPara entregarPara entregar Que respondem aQue respondem aQue respondem aQue respondem a 5 Princípios básicos do COBIT • Critérios de Informação: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade, confiabilidade • Efetividade• Efetividade –A informação deve ser pertinente e relevante para o processo de negócio, devendo ser entregues em tempo hábil –A informação deve ser entregue de forma correta, consistente e em formato útil 6 Princípios básicos do COBIT: Critérios de Informação • Eficiência –A informação deve ser provida por meio do uso otimizado dos recursos • Confidencialidade Informação deve ser protegida contra acesso – Informação deve ser protegida contra acesso não autorizado • Integridade –Precisão e completude de informações –Validade de acordo com valores e expectativas do negócio 7 Princípios básicos do COBIT: Critérios de Informação • Disponibilidade – Informações disponíveis sempre que necessário • Conformidade – Informação deve obedecer a leis, regulamentos – Informação deve obedecer a leis, regulamentos e cláusulas contratuais aos quais os processos de negócios estão sujeitos • Confiabilidade – Informações adequadas para que a organização exercite suas atividades de negócio 8 Princípios básicos do COBIT: Recursos de TI • Aplicações –Sistemas automatizados e procedimentos manuais que processam informações • Informação –Dados capturados, processados e gerados por sistemas de informação, em qualquer formato usado pelo negócio 9 Princípios básicos do COBIT: Recursos de TI • Infra-estrutura –Recursos tecnológicos (hardware, sistemas operacionais, sistemas de banco de dados, redes, etc.) e instalações físicas que suportam o processamento das aplicaçõesprocessamento das aplicações • Pessoas – Equipe necessária para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar sistemas de informação e serviços de TI 10 Características do COBIT • Foco no negócio – Alinhamento entre objetivos de negócio e objetivos de TI • Orientação a processos – Organização das atividades de TI em um modelo de – Organização das atividades de TI em um modelo de processos • Baseado em controles – Definição de objetivos de controle a serem considerados ao gerenciar os processos • Direcionado a medições – Uso de indicadores e modelos de maturidade 11 Foco no negócio 12 Foco no negócio: Como o negócio e a governança direcionam a TI? Objetivos de Objetivos de NegócioNegócio Objetivos de Objetivos de TITI Processos de Processos de TITI 13 Foco no negócio: Como o negócio e a governança direcionam a TI? Objetivos de NegócioObjetivos de Negócio Objetivos de Objetivos de TITIRequisitos de Requisitos de negócionegócio Requisitos de Requisitos de governançagovernança Serviços de Serviços de Requerem Influenciam Processos de TIProcessos de TI Serviços de Serviços de InformaçãoInformação Critérios de Critérios de informaçãoinformação Implicam Processos Processos de TIde TI InformaçãoInformação AplicaçõesAplicações Pessoas e Pessoas e InfraInfra--estruturaestrutura Executam Entregam Necessitam 14 Foco no negócio: Como o negócio e a governança direcionam a TI? Perspectiva Objetivos de negócio referenciados pelo COBIT Objetivos de TI relacionados Financeira 1. Obter retorno sobre investimentos em TI 24 2. Gerenciar os riscos relativos à TI 2, 14, 17, 18, 19, 20, 21, 22 3. Melhorar a governança corporativa e a transparência 2, 18 Cliente 4. Melhorar os serviços e a orientação ao cliente 3, 23 5. Oferecer produtos e serviços competitivos 5, 24 6. Estabelecer continuidade e disponibilidade de serviços 10, 16, 22, 23 7. Criar agilidade na respostas aos requisitos do ambiente de negócio 1, 5, 25 7. Criar agilidade na respostas aos requisitos do ambiente de negócio 1, 5, 25 8. Otimizar custos na entrega de serviços 7, 8, 10, 24 9. Obter informações confiáveis e úteis para processos de tomada de decisões estratégicas 2, 4, 12, 20, 26 Processos internos 10. Melhorar e manter a funcionalidade nos processos de negócio 6, 7, 11 11. Reduzir custos de processos 7, 8, 13, 15, 24 12. Aderir a leis, regulamentações e contratos externos 2, 19, 20, 21, 22, 26, 27 13. Aderir às políticas internas da organização 2, 13 14. Gerenciar mudanças nos negócios 1, 5, 6, 11, 28 15. Melhorar e manter a produtividade operacional e da equipe de funcionários 7, 8, 11, 13 Aprendizado e crescimento 16. Gerenciar a inovação de produtos e negócios 5, 25, 28 17. Adquirir e manter pessoal hábil e motivado 9 15 Foco no negócio: Como o negócio e a governança direcionam a TI? Objetivos de TI referenciados pelo COBIT Processos de TI 1. Responder aos requisitos de alinhamento com as estratégias de negócio PO1, PO2, PO4, PO10, AI1, AI6, AI7, DS1, DS3, ME1 2. Respondera requisitos de governança PO1, PO4, PO10, ME1, ME4 3. Assegurar a satisfação de usuários finais através de níveis de serviços PO8, AI4, DS1, DS2, DS7, DS8, DS10, DS13 4. Otimizar o uso da informação PO2, DS11 5. Criar agilidade em relação à TI PO2, PO4, PO7, AI3 6. Definição de como os requisitos de negócio são traduzidos em solução automatizadas AI1, AI2, AI6 7. Aquisição e manutenção de aplicações padronizadas e integradas PO3, AI2, AI5 8. Aquisição de manutenção de infra-estruturas padronizadas e integradas AI3, AI5 9. Aquisição e manutenção de habilidades de TI que respondam às estratégias de TI PO7, AI5 10. Assegurar satisfação mútua nas relações com terceiros DS2 11. Assegura integração de aplicações e processos de negócio PO2, AI4, AI7 12. Assegurar transparência e entendimento dos custos, benefícios, estratégias, políticas e serviços que envolvem a TI PO5, PO6, DS1, DS2, DS6, ME1, ME4 13. Assegurar o uso adequado e performance das soluções tecnológicas PO6, AI4, AI7, DS7, DS813. Assegurar o uso adequado e performance das soluções tecnológicas PO6, AI4, AI7, DS7, DS8 14. Proteger e responsabilizar-se por ativos de TI PO9, DS5, DS9, DS12, ME2 15. Otimizar a infra-estrutura de TI, recursos e capacidades PO3, AI3, DS3, DS7, DS9 16. Redução de defeitos em soluções, serviços de TI e retrabalho PO8, AI4, AI6, AI7, DS10 17. Proteger o alcance de objetivos de TI PO9, DS10, ME2 18. Estabelecer clareza em relação aos impactos no negócio causados por riscos de TI PO9 19. Assegurar que informações críticas e confidenciais sejam protegidas de pessoas não autorizadas PO6, DS5, DS11, DS12 20. Assegurar confiabilidade em sistemas de transação automatizados e em trocas de informações PO6, AI7, DS5 21. Assegurar que serviços e infra-estruturas de TI podem resistir e se recuperar adequadamente de falhas causadas PO6, AI7, DS4, DS5, DS12, DS13, ME2 22. Assegurar impacto mínimo aos negócios em casos de eventos indesejáveis ou mudanças envolvendo a TI PO6, AI6, DS4, DS12 23. Assegurar a adequada disponibilidade de serviços de TI DS3, Ds4, Ds8, DS13 24. Tornar os custos de TI eficientes e garantir sua contribuição para os lucros da empresa PO5, DS6 25. Entrega de projetos dentro do prazo e orçamento estabelecidos e assegurar padrões de qualidade PO8, PO10 26. Manutenção da integridade de informações e de infra-estruturas de processamento AI6, DS5 27. Assegurar comprometimento com leis, regulamentações e contratos DS11, ME2, ME3, ME4 28. Assegurar que a TI forneça serviços de qualidade e a custos eficientes, melhoria contínua e disponibilidade para futuras mudanças PO5, DS6, ME1, ME4 16 Foco no negócio: Como o negócio e a governança direcionam a TI? Processos de TI Planejamento e organização PO1 Definir um plano estratégico para a TI PO2 Definir uma arquitetura de informação PO3 Definir uma direção tecnológica PO4 Definir processos de TI, organização e relacionamentos PO5 Gerenciar investimentos em TI PO6 Comunicar objetivos e metas gerenciais Processos de TI Entrega e suporte DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços terceirizados DS3 Gerenciar performance e capacidade DS4 Assegurar continuidade de serviços DS5 Assegurar segurança em sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usuários DS8 Gerenciar service desk e incidentesPO7 Gerenciar recursos humanos relacionados à TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos Aquisição e implementação AI1 Identificar soluções automatizadas AI2 Adquirir e manter aplicativos AI3 Adquirir e manter infra-estrutura tecnológica AI4 Habilitar operação e uso AI5 Adquirir recursos de TI AI6 Gerenciar mudanças AI7 Instalar e autorizar soluções e mudanças DS8 Gerenciar service desk e incidentes DS9 Gerenciar configurações DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar ambientes físicos DS13 Gerenciar operações Monitoramento e avaliação ME1 Monitorar e avaliar a performance da TI ME2 Monitorar e avaliar controles internos ME3 Assegurar conformidade com requisitos externos ME4 Prover governança de TI 17 Orientação a processos 18 Dimensões do COBIT I n f o r m a ç ã o - e s t r u t u r a Domínios Requisitos de Negócio P r o c e s s o s d e T I A p l i c a ç õ e s P e s s o a s I n f o r m a ç ã o I n f r a - e s t r u t u r a Domínios Processos Atividades P r o c e s s o s d e T I 19 Processos de TI: Visão geral M1 Monitorar e avaliar o desempenho da TI M2 Monitorar e avaliar o controle interno M3 Assegurar conformidade com requisitos externos M4 Fornecer governança de TI •Pessoas •Aplicações • Infra-estrutura • Informação Planejamento e Planejamento e Recursos Recursos de TI PO1 Definir planejamento estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir a organização de TI e relacionamentos PO5 Gerenciar o investimento de TI PO6 Comunicar direção e metas gerenciais PO7 Gerenciar os recursos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos em TI PO10 Gerenciar projetos • Informação Planejamento e Planejamento e OrganizaçãoOrganização Aquisição e Aquisição e ImplementaçãoImplementação Entrega e Entrega e SuporteSuporte Monitoração eMonitoração e AvaliaçãoAvaliação AI1 Identificar soluções automatizadas AI2 Adquirir e manter aplicações de software AI3 Adquirir e manter infra-estrutura tecnológica AI4 Habilitar operação e uso AI5 Obter recursos de TI AI6 Gerenciar mudanças AI7 Instalar e homologar soluções automatizadas DS1 Definir e gerenciar níveis de serviço DS2 Gerenciar serviços terceirizados DS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e alocar custos DS7 Instruir e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar operações 20 Processos de TI: Domínios • Planejamento e Organização (PO) – Objetivos: • Formulação de planos estratégicos e táticos • Identificação de como a TI pode contribuir, da melhor forma, para o alcance dos objetivos de negócio • Planejamento, comunicação e comunicação do alcance dos objetivos e • Planejamento, comunicação e comunicação do alcance dos objetivos e estratégias • Implantação de infra-estrutura organizacional e tecnológica – Escopo • A TI está estrategicamente alinhada aos negócios? • A organização está utilizando de forma ótima os recursos? • Os colaboradores entendem os objetivos de TI da empresa? • Os riscos de TI são entendidos e gerenciados? • A qualidade dos sistemas de TI é apropriada para as necessidades de negócio? 21 Planejamento e Organização (PO) Processos de TI PO1. Definir um plano estratégico de TI PO2. Definir Arquitetura de informação PO3. Determinar direcionamento tecnológico PO4. Definir processos de TI, organização e relacionamentosrelacionamentos PO5. Gerenciar investimentos em TI PO6. Comunicar metas e diretivas gerenciais PO7. Gerenciar recursos humanos de TI PO8. Gerenciar qualidade PO9. Avaliar e gerenciar riscos de TI PO10 Gerenciar projetos 22 Processos de TI: Domínios • Aquisição e Implementação (AI) – Objetivos: • Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI • Mudanças e manutenção em sistemas atualmenteimplantados – Escopo • Novos projetos irão entregar soluções adequadas às necessidades de negócio?• Novos projetos irão entregar soluções adequadas às necessidades de negócio? • Novos projetos serão entregues dentro do prazo e orçamento previamente estabelecidos? • Novos sistemas irão operar adequadamente quando implantados? • Mudanças serão conduzidas sem que haja impacto negativo nas atuais operações de negócio? 23 Aquisição e Implementação (AI) Processos de TI AI1. Identificar soluções automatizadas AI2. Adquirir e manter software aplicativo AI3. Adquirir e manter infra-estrutura tecnológica AI4. Habilitar operação e uso AI5. Adquirir recursos de TI AI6. Gerenciar mudanças AI7. Instalar e validar soluções e mudanças 24 Processos de TI: Domínios • Entrega e Suporte (DS) – Objetivos: • Entrega dos serviços necessários • Gerenciamento de segurança, continuidade, dados e recursos operacionais • Suporte a usuários – Escopo– Escopo • Os serviços de TI estão sendo entregues de acordo com as prioridades de negócio? • Os custos de TI estão sendo otimizados? • Os colaboradores da organização estão aptos a utilizarem os sistemas de TI de forma produtiva e segura? • Existe confidencialidade, integridade e disponibilidade adequadas? 25 Entrega e Suporte (DS) Processos de TI DS1. Definir e gerenciar níveis de serviço DS2. Gerenciar serviços terceirizados DS3. Gerenciar desempenho e capacidade DS4. Assegurar continuidade de serviços DS5. Assegurar segurança em sistemasDS5. Assegurar segurança em sistemas DS6. Identificar e alocar recursos DS7. Educar e treinar usuários DS8. Gerenciar central de serviços (service desk) e incidentes DS9. Gerenciar configuração DS10. Gerenciar problemas DS11. Gerenciar dados DS12. Gerenciar o ambiente físico DS13. Gerenciar operações 26 Processos de TI: Domínios • Monitoramento e Avaliação (ME) – Objetivos: • Gerenciamento de desempenho • Monitoramento de controles internos • Conformidade • Governança• Governança – Escopo • O desempenho da TI é monitorado, permitindo que problemas sejam detectados com antecedência? • A gerência assegura que os controles internos sejam efetivos e eficientes? • O desempenho da TI pode ser relacionado aos objetivos de negócio? • Os riscos, controles, conformidade e desempenho são medidos e reportados? 27 Monitoramento e Avaliação (ME) Processos de TI ME1. Monitorar e avaliar o desempenho da TI ME2. Monitorar e avaliar os controles internos ME3. Garantir conformidade com requisitos externos ME4. Fornecer Governança de TI 28 Visão geral dos processos • Descrição • Critérios de informação relevantes ao processo • Domínio correspondente • Requisitos do negócio para a TI relacionados ao processo • Objetivos do processo• Objetivos do processo • Principais práticas • Principais métricas • Foco do processo na governança de TI • Recursos de TI relevantes ao processo 29 Objetivos gerais dos componentes dos processos 1. Os objetivos de controle descrevem o que o dono do processo precisa garantir que seja feito 2. As entradas indicam o que o dono do processo deve requerer dos outros processos 3. As saídas indicam quais produtos o dono do processo deve entregar e para quais processos 4. A matriz RACI define quais atividades devem ser delegadas pelo dono do processo e para quem 5. As métricas mostram como o processo deve ser monitorado e avaliado 6. O modelo de maturidade mostra o que pode ser feito para melhorar o processo 30 Utilização do conteúdo: Exemplo Descrição Descrição do processodo processo Critérios de Critérios de informação informação relevantesrelevantes Domínio Domínio correspondentecorrespondente 31 Utilização do conteúdo: Exemplo Requisitos do Requisitos do negócio para a TI negócio para a TI relacionados aorelacionados ao processoprocesso Objetivos do Objetivos do processoprocesso Principais práticasPrincipais práticas Principais métricasPrincipais métricas Recursos de TIRecursos de TI relevantesrelevantes Foco do processo Foco do processo na Governança na Governança de TIde TI 32 Utilização do conteúdo: Exemplo Objetivos de controle: Objetivos de controle: Características de Características de um processo bem um processo bem gerenciadogerenciado 33 Utilização do conteúdo: Exemplo Fonte das Fonte das entradasentradas SaídasSaídas Processos que Processos que recebem as saídasrecebem as saídas EntradasEntradas 34 Utilização do conteúdo: Exemplo Atividades do Atividades do processoprocesso Nível de Nível de envolvimentoenvolvimento FunçõesFunções 35 Utilização do conteúdo: Exemplo ObjetivosObjetivos Indicadores deIndicadores de desempenhodesempenho MétricasMétricas Medidas de Medidas de resultadoresultado 36 Utilização do conteúdo: Exemplo Níveis de maturidadeNíveis de maturidade 37 Controles 38 Definição de controles • Políticas, procedimentos, práticas e estruturas organizacionais destinados a garantir que: –Os objetivos de negócio sejam –Os objetivos de negócio sejam alcançados –Os eventos indesejáveis sejam prevenidos ou detectados e corrigidos (IT Governance Institute, 2007) 39 Modelo de controle ObjetivosObjetivos PadrõesPadrões ComparaçãoComparação ProcessoProcesso Ação PadrõesPadrões NormasNormas ComparaçãoComparação ProcessoProcesso Informação de controle 40 Tipos de controle • Controles gerais – Controles gerais de processos (Process Controls – PCs) – Controles gerais de aplicação (Application Controls – ACs) • Objetivos de controle • Objetivos de controle – Específicos para cada processo • Objetivos de controle (incluindo os detalhados do COBIT) Nota 1: Controles gerais devem ser considerados juntamente com os objetivos de controle, para se ter uma visão completa dos requisitos de controle para os processos de TI. 41 Tipos de controle • Práticas de controle (implantação de objetivos de controle) – São mecanismos de controle que suportam o alcance dos objetivos de controle, – Por meio do uso responsável de recursos, gerenciamento adequado dos riscos e alinhamento da TI aos objetivos de negócio (IT Governance Institute, 2007) – Para cada objetivo de controle do COBIT, são descritos um conjunto de práticas de controle Nota: Detalhes sobre as práticas de controle relacionadas a controles genéricos e objetivos de controle podem ser obtidos através do COBIT Control Practices: Guidance to Achieve Control Objectives for Succesful IT Governance 2nd Edition, disponível para download em www.isaca.org 42 Tipos de controle: Controles gerais de processo (PCs) • PC1 Goals and Objectives – Os processos devem ter objetivos e metas claras • PC2 Process Ownership – Cada processo deve ter um responsável • PC3 Repeatability – Os processos devem ser executados de forma consistente, de forma a ser repetível e produzir – Os processos devem ser executados de forma consistente, de forma a ser repetível e produzir resultados consistentes • PC4 Roles and Responsibilities – A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis específicos • PC5 Policy, Plans and Procedures – Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos • PC6 Process Performance – Os processos devem ter seu desempenho medido 43 Tipos de controle: Controles gerais de processos • Estrutura de apresentação de controles gerais de processo Nome do controleNome do controle Objetivo de controle:Objetivo de controle: Descrição de Descrição de estado estado desejável para desejável para o controleo controle Valor a ser obtido Valor a ser obtido a partir da implantação a partir da implantação do controledo controle Riscos a serem Riscos a serem eliminados eliminados a partir da implantação a partir da implantação do controledo controle Práticas de controle: Práticas de controle: Conjunto de Conjunto de passos necessários passos necessários ao alcance dos objetivos ao alcance dos objetivos de controlede controle 44 Tipos de controle: Controles gerais de aplicação (ACs) • AC1 Source Data Preparation and Authorisation – Os documentos de origem devem ser preparados e aprovados segundo o critério de separação de funções • AC2 Source Data Collection and Entry – Os dados devem ser alimentados de forma tempestiva por pessoas autorizadas, e eventuais correções não devem comprometer os níveis deautorizadas, e eventuais correções não devem comprometer os níveis de autorização do sistema • AC3 Accuracy, Completeness and Authenticity Checks – Todas as transações devem ser precisas, completas e válidas 45 Tipos de controle: Controles gerais de aplicação (ACs) • AC4 Processing Integrity and Validity – Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de processamento • AC5 Output Review, Reconciliation and Error Handling – As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, entregues aos destinatários corretos e utilizadasdurante a transmissão, entregues aos destinatários corretos e utilizadas corretamente • AC6 Transaction Authentication and Integrity – Os dados passados entre aplicações ou áreas da organização devem ser verificados quanto à autenticidade e integridade 46 Tipos de controle: Controles gerais de aplicação - exemplo Nome do controleNome do controle Valor a ser obtido Valor a ser obtido a partir da implantação a partir da implantação do controledo controle Riscos a serem Riscos a serem eliminados eliminados a partir da implantação a partir da implantação do controledo controle Objetivo de controle: Objetivo de controle: Descrição de Descrição de estado estado desejável para desejável para o controleo controle Práticas de controle: Práticas de controle: Conjunto de Conjunto de passos necessários passos necessários ao alcance dos objetivos ao alcance dos objetivos de controlede controle 47 Tipos de controle: Objetivos de controle • Objetivo de controle: –Declaração de resultado desejado a ser alcançado por meio da implantação de procedimentos de controle em um procedimentos de controle em um processo de TI específico (IT Governance Institute, 2007) • É formado por: –Objetivos de controle detalhados –Práticas de controle 48 Exemplo: Tipos de controle: Objetivos de controle Objetivos de controle detalhadosObjetivos de controle detalhados Nome do objetivo de controle (ou processo)Nome do objetivo de controle (ou processo) 49 Tipos de controle: Objetivos de controle • Estrutura de apresentação de práticas de controle para objetivos de controle Nome do processoNome do processo Objetivo deObjetivo de controlecontrole Valor a ser obtido aValor a ser obtido a partir da implantação partir da implantação do controledo controle Riscos a serem Riscos a serem eliminados eliminados a partir da implantação a partir da implantação do controledo controle Práticas de controle: Práticas de controle: Conjunto de Conjunto de passos necessários passos necessários ao alcance dos objetivos ao alcance dos objetivos de controlede controle 50 Medições 51 Medições • Tópicos abordados: – Modelo de maturidade • Possibilitam benchmarking e identificação das necessidades de melhoria – Medições de desempenho– Medições de desempenho • Metas e indicadores de processos – Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC • Metas de atividades • Direcionam o desempenho efetivo dos processos 52 Medições: modelo de maturidade • Os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações – Esses níveis não estabelecem patamares evolutivos, onde não se pode alcançar um nível superior sem antes passar pelos inferiores • A partir dos níveis de maturidade descritos para cada um dos 34 processos, é possível identificar: processos, é possível identificar: – O desempenho real da organização (onde está) – A situação atual de organizações similares (benchmarking) – Os avanços possibilitados pelos padrões e modelos disponíveis no mercado – A meta para melhoria do processo da organização (onde quer estar) 53 Medições: modelo de maturidade 54 Medições: modelo de maturidade • Nível 0 – Inexistente – Ausência de processos identificáveis – A organização não reconhece que existe uma questão a ser tratada • Nível 1 – Inicial/Ad-hoc – A organização reconhece que existe uma questão a ser tratada – Abordagens improvisadas tendem a ser aplicadas a situações individuais – A gerência do processo é desorganizada 55 Medições: modelo de maturidade • Nível 2 – Repetível mas intuitivo – Os processos se desenvolveram de modo que procedimentos similares são executados por pessoas diferentes que realizam a mesma tarefa – Não existe treinamento ou repasse formal de procedimentos, a responsabilidade é deixada a cargo do indivíduo – Existe alta dependência do conhecimento individual, o que gera grande probabilidade de falhasde falhas • Nível 3 – Processo definido – Procedimentos padronizados, documentados e comunicados por meio de treinamentos – Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados – Os procedimentos não são sofisticados, mas apenas formalização de práticas existentes 56 Medições: modelo de maturidade • Nível 4 – Gerenciado e mensurável – É possível monitorar e medir a conformidade de procedimentos, para agir quando os processos não estiverem funcionando de forma eficaz – Os processos sofrem melhorias constantes e estabelecem boas práticas – Ferramentas automatizadas são usadas de forma limitada ou fragmentada • Nível 5 – Otimizado• Nível 5 – Otimizado – Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações – A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos 57 Medições: Medições de desempenho • Metas e indicadores são definidos em três níveis: –De TI: • Definem o que o negócio espera da TI –De processo: –De processo: • Definem o que cada processo de TI deve entregar para dar suporte às metas de TI –De atividade: • Definem o que deve ser realizado no âmbito de cada processo para alcançar o desempenho desejado 58 Medições: Medições de desempenho • Metas: Exemplo de relacionamento –DS5 – Assegurar segurança em sistemas Manter Negócio TI Manter liderança e reputação da organização Assegurar que os serviços de TI possam resistir e serem recuperados de ataques Detectar e eliminar acessos não autorizados Entender requisitos de segurança, ameaças e vulnerabilidades TI Processo Atividade 59 Medições: Medições de desempenho • Indicadores –De objetivo (KGI): Indicam se as metas foram alcançadas •Medem o alcance de objetivos•Medem o alcance de objetivos –De desempenho (KPI): Indicam se as metas poderão ser alcançadas •Direcionam o alcance de objetivos60 Indicadores de objetivo (DS5 – Assegurar segurança em sistemas) Medições: Indicadores de desempenho Manter liderança e reputação da organização Assegurar que os serviços de TI possam resistir e serem recuperados de ataques Detectar e eliminar acessos não autorizados Entender requisitos de segurança, ameaças e vulnerabilidades O B J E T I V O S Negócio TI Processo Atividade organização Número de incidentes que causam danos ao público Freqüência na revisão de eventos e serem monitorados Número de incidentes causados por acesso não autorizados Número de incidentes de TI com impacto nos negócio O B J E T I V O S M É T R I C A S M e d e M e d e M e d e M e d e D i r e c i o n a D i r e c i o n a D i r e c i o n a 61 Relacionamento do COBIT com ferramentas para Governança de TIGovernança de TI 62 Ferramentas p/ Governança de TI: COBIT e relação com outras M1 Monitorar e avaliar o desempenho da TI M2 Monitorar e avaliar o controle interno M3 Assegurar conformidade com requisitos externos M4 Fornecer governança de TI Planejamento e Planejamento e Recursos Recursos de TI PO1 Definir planejamento estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir a organização de TI e relacionamentos PO5 Gerenciar o investimento de TI PO6 Comunicar direção e metas gerenciais PO7 Gerenciar os recursos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar os riscos em TI PO10 Gerenciar projetos PMBOKPMBOK Prince2Prince2 BSCBSC •Pessoas •Aplicações • Infra-estrutura • Informação Planejamento e Planejamento e OrganizaçãoOrganização Aquisição e Aquisição e ImplementaçãoImplementação Entrega e Entrega e SuporteSuporte Monitoração eMonitoração e AvaliaçãoAvaliação AI1 Identificar soluções automatizadas AI2 Adquirir e manter aplicações de software AI3 Adquirir e manter infra-estrutura tecnológica AI4 Habilitar operação e uso AI5 Obter recursos de TI AI6 Gerenciar mudanças AI7 Instalar e homologar soluções automatizadas DS1 Definir e gerenciar níveis de serviço DS2 Gerenciar serviços terceirizados DS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade dos serviços DS5 Assegurar segurança dos sistemas DS6 Identificar e alocar custos DS7 Instruir e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar operações ITILITIL CMMICMMI • Informação 63 Implantação da Governança de TI alinhada a Modelos de Melhores Práticas Implantação da Governança de TI I M P L E M E N T A Ç Ã OParte 1 Parte 2 Planejamento Focos da Governança de TI •Alinhamento estratégico I M P L E M E N T A Ç Ã O Diagnóstico e análise organizacional Planejamento de projetos e serviços estratégicos e disseminação •Alinhamento estratégico •Entrega de valor •Gerenciamento de recursos •Gerenciamento de riscos •Gerenciamento de desempenho 64 Parte 2: Revisão prática 65 Parte 3: Implantação da Governança de TI 66 Governança de TI: revisão Governança de TI: Responsabilidade de executivos e da alta direção e consiste na liderança, estruturas organizacionais e processos que asseguram que a TI sustente e estenda os objetivos e estratégias de uma organização Alinhamento Direcionar Fonte: ITGI(2007b) Alinhamento estratégico Entrega de valor Ger. Risco Ger. Recursos Ger. Desempenho Direcionar Criar Proteger Executar Monitorar 67 Implementação da Governança de TI: orientações básicas 1. Definir objetivos de negócio e de TI 2. Definir processos de governança de TI 3. Definir estruturas e mecanismos de tomada de decisão 4. Envolvimento de executivos e da alta direção 5. Gerenciar papéis e responsabilidades5. Gerenciar papéis e responsabilidades 6. Implantação de comitê estratégico e diretor 7. Gerenciar e alinhar portfólio de investimentos em projetos 8. Gerenciar desempenho 9. Estabelecer e manter mecanismos de comunicação e conscientização Fonte: Van Grembergen e De Haes (2008) 68 Exercícios 1. Apresente, classifique como KPI e KGI e justifique 3 métricas para 2 processos do COBIT; 2. Apresente 3 processos do COBIT que 2. Apresente 3 processos do COBIT que tenham como área foco “Medição de desempenho”; Fonte: Van Grembergen e De Haes (2008) 69 Referências • BERMEJO, Paulo Henrique de Souza. Planejamento estratégico de Tecnologia da Informação com ênfase em conhecimento. Tese de doutorado. Programa de Pós- Graduação em Engenharia e Gestão do Conhecimento. • Universidade Federal de Santa Catarina. Florianópolis, 2009. • ITGI. Information Technology Governance Institute. COBIT 4.1: Control objectives, Management guidelines, Maturity models. Rolling Meadows: ITGI, 2007a. • ITGI. Information Technology Governance Institute. IT Governance• ITGI. Information Technology Governance Institute. IT Governance implementation guide using Cobit and ValIT. Rolling Meadows: ITGI, 2007b. • ITGI. Information Technology Governance Institute. COBIT Mapping: Mapping of ITIL v3 with COBIT 4.1: Rolling Meadows: ITGI, 2008. • KORDEL, Luc. IT Governance Hands-on: Using Cobit to implement IT governance. Information Systems Control Journal, volume 2, 2004. • VAN GREMBERGEN, Wim, DE HAES, Steven. Implementing Information Technology Governance: Models, Practices, and Cases. IGI Publishing, New York, 2008. 70 Framework para Governança de TI Grato pela atenção!Grato pela atenção! Prof. Paulo Henrique S. Bermejo Prof. Paulo Henrique S. Bermejo Dr., COBIT F. Certified, ISACA Advocate MemberDr., COBIT F. Certified, ISACA Advocate Member Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA bermejo@ufla.brbermejo@ufla.br Grato pela atenção!Grato pela atenção! 71
Compartilhar