Buscar

Framework Cobit

Prévia do material em texto

Framework para 
Governança de TI
Prof. Paulo Henrique S. Prof. Paulo Henrique S. BermejoBermejo
Dr., COBIT F. Dr., COBIT F. CertifiedCertified, ISACA , ISACA AdvocateAdvocate MemberMember
Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC 
Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA 
bermejo@ufla.brbermejo@ufla.br
1
COBIT
Prof. Paulo Henrique S. Bermejo Prof. Paulo Henrique S. Bermejo 
Dr., COBIT F. Certified, ISACA Advocate MemberDr., COBIT F. Certified, ISACA Advocate Member
Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC 
Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA 
bermejo@ufla.brbermejo@ufla.br
2
Sumário
• Apresentação
• Princípios básicos
• Critérios de informação
• Recursos de TI
• Foco no negócio: como o negócio e a governança direcionam a TI?
• Dimensões• Dimensões
• Visão geral dos processos de TI
• Áreas de domínio e seus processos de TI
• Navegando no conteúdo do livro do COBIT
• Controles (tipos: controles gerais de processo, controles gerais de aplicação e 
objetivos de controle)
• Modelo de maturidade
• Medições e indicadores de desempenho
• Relação com outras ferramentas para governança de TI
3
COBIT: Framework para Governança de TI
• Control Objectives for Information and Related Technology
(COBIT)
– Abrangente e aplicável para auditoria e controle de processos em TI desde o 
planejamento até a monitoração e a auditoria de todos os processos
– Criado em 1994 pela ISACA e mantido pelo ITGI
– Contém 34 objetivos de controle de alto nível e 215 objetivos de controle – Contém 34 objetivos de controle de alto nível e 215 objetivos de controle 
detalhados (processos)
– Atualmente é o framework mais completo para Governança de TI
– É alinhado aos modelos COSO, ITIL, ISO/IEC 27001 (17799) e Lei Sarbanes-
Oxley (SOX)
– Provê relação com outros modelos, tais como Prince2, PMBOK, ITIL, BSC
4
Princípios básicos do COBIT
RequisitosRequisitos
de negóciode negócio
Para fornecer a informação que a
organização requer para alcançar seus
objetivos, a organização necessita investir,
gerenciar e controlar seus recursos de TI
usando uma estrutura de processos para
fornecer os serviços que entregam a
informação requerida. Direciona os Direciona os 
investimentos eminvestimentos em
Direciona os Direciona os 
investimentos eminvestimentos em
de negóciode negócio
Processos Processos 
de TIde TI
Recursos Recursos 
de TIde TI
Informação Informação 
organizacionalorganizacional
Que são Que são 
usados porusados por
Que são Que são 
usados porusados por
Para entregarPara entregarPara entregarPara entregar
Que respondem aQue respondem aQue respondem aQue respondem a
5
Princípios básicos do COBIT
• Critérios de Informação: efetividade, eficiência, 
confidencialidade, integridade, disponibilidade, 
conformidade, confiabilidade
• Efetividade• Efetividade
–A informação deve ser pertinente e relevante 
para o processo de negócio, devendo ser 
entregues em tempo hábil
–A informação deve ser entregue de forma 
correta, consistente e em formato útil
6
Princípios básicos do COBIT: Critérios de Informação
• Eficiência
–A informação deve ser provida por meio do uso 
otimizado dos recursos
• Confidencialidade
Informação deve ser protegida contra acesso – Informação deve ser protegida contra acesso 
não autorizado
• Integridade
–Precisão e completude de informações
–Validade de acordo com valores e expectativas 
do negócio 7
Princípios básicos do COBIT: Critérios de Informação
• Disponibilidade
– Informações disponíveis sempre que necessário
• Conformidade
– Informação deve obedecer a leis, regulamentos – Informação deve obedecer a leis, regulamentos 
e cláusulas contratuais aos quais os processos 
de negócios estão sujeitos
• Confiabilidade
– Informações adequadas para que a organização 
exercite suas atividades de negócio
8
Princípios básicos do COBIT: Recursos de TI
• Aplicações
–Sistemas automatizados e procedimentos 
manuais que processam informações
• Informação
–Dados capturados, processados e gerados 
por sistemas de informação, em qualquer 
formato usado pelo negócio
9
Princípios básicos do COBIT: Recursos de TI
• Infra-estrutura 
–Recursos tecnológicos (hardware, sistemas 
operacionais, sistemas de banco de dados, 
redes, etc.) e instalações físicas que suportam o 
processamento das aplicaçõesprocessamento das aplicações
• Pessoas
– Equipe necessária para planejar, organizar, 
adquirir, implementar, entregar, suportar, 
monitorar e avaliar sistemas de informação e 
serviços de TI
10
Características do COBIT
• Foco no negócio
– Alinhamento entre objetivos de negócio e objetivos de 
TI
• Orientação a processos
– Organização das atividades de TI em um modelo de – Organização das atividades de TI em um modelo de 
processos
• Baseado em controles
– Definição de objetivos de controle a serem 
considerados ao gerenciar os processos
• Direcionado a medições
– Uso de indicadores e modelos de maturidade
11
Foco no negócio
12
Foco no negócio: Como o negócio e a governança 
direcionam a TI?
Objetivos de Objetivos de 
NegócioNegócio
Objetivos de Objetivos de 
TITI
Processos de Processos de 
TITI
13
Foco no negócio: Como o negócio e a governança 
direcionam a TI?
Objetivos de NegócioObjetivos de Negócio
Objetivos de Objetivos de 
TITIRequisitos de Requisitos de 
negócionegócio
Requisitos de Requisitos de 
governançagovernança
Serviços de Serviços de 
Requerem Influenciam
Processos de TIProcessos de TI
Serviços de Serviços de 
InformaçãoInformação
Critérios de Critérios de 
informaçãoinformação
Implicam
Processos Processos 
de TIde TI
InformaçãoInformação
AplicaçõesAplicações
Pessoas e Pessoas e 
InfraInfra--estruturaestrutura
Executam
Entregam
Necessitam
14
Foco no negócio: Como o negócio e a governança 
direcionam a TI?
Perspectiva Objetivos de negócio referenciados pelo COBIT Objetivos de 
TI 
relacionados 
Financeira 1. Obter retorno sobre investimentos em TI 24 
2. Gerenciar os riscos relativos à TI 2, 14, 17, 18, 
19, 20, 21, 22 
3. Melhorar a governança corporativa e a transparência 2, 18 
Cliente 4. Melhorar os serviços e a orientação ao cliente 3, 23 
5. Oferecer produtos e serviços competitivos 5, 24 
6. Estabelecer continuidade e disponibilidade de serviços 10, 16, 22, 23 
7. Criar agilidade na respostas aos requisitos do ambiente de negócio 1, 5, 25 7. Criar agilidade na respostas aos requisitos do ambiente de negócio 1, 5, 25 
8. Otimizar custos na entrega de serviços 7, 8, 10, 24 
9. Obter informações confiáveis e úteis para processos de tomada de decisões 
estratégicas 
2, 4, 12, 20, 26 
Processos 
internos 
10. Melhorar e manter a funcionalidade nos processos de negócio 6, 7, 11 
11. Reduzir custos de processos 7, 8, 13, 15, 24 
12. Aderir a leis, regulamentações e contratos externos 2, 19, 20, 21, 
22, 26, 27 
13. Aderir às políticas internas da organização 2, 13 
14. Gerenciar mudanças nos negócios 1, 5, 6, 11, 28 
15. Melhorar e manter a produtividade operacional e da equipe de funcionários 7, 8, 11, 13 
Aprendizado 
e 
crescimento 
16. Gerenciar a inovação de produtos e negócios 5, 25, 28 
17. Adquirir e manter pessoal hábil e motivado 9 
 
15
Foco no negócio: Como o negócio e a governança 
direcionam a TI?
Objetivos de TI referenciados pelo COBIT Processos de TI
1. Responder aos requisitos de alinhamento com as estratégias de negócio PO1, PO2, PO4, PO10, AI1, AI6, AI7, DS1, DS3, ME1
2. Respondera requisitos de governança PO1, PO4, PO10, ME1, ME4
3. Assegurar a satisfação de usuários finais através de níveis de serviços PO8, AI4, DS1, DS2, DS7, DS8, DS10, DS13
4. Otimizar o uso da informação PO2, DS11
5. Criar agilidade em relação à TI PO2, PO4, PO7, AI3
6. Definição de como os requisitos de negócio são traduzidos em solução automatizadas AI1, AI2, AI6
7. Aquisição e manutenção de aplicações padronizadas e integradas PO3, AI2, AI5
8. Aquisição de manutenção de infra-estruturas padronizadas e integradas AI3, AI5
9. Aquisição e manutenção de habilidades de TI que respondam às estratégias de TI PO7, AI5
10. Assegurar satisfação mútua nas relações com terceiros DS2
11. Assegura integração de aplicações e processos de negócio PO2, AI4, AI7
12. Assegurar transparência e entendimento dos custos, benefícios, estratégias, políticas e serviços que envolvem a TI PO5, PO6, DS1, DS2, DS6, ME1, ME4
13. Assegurar o uso adequado e performance das soluções tecnológicas PO6, AI4, AI7, DS7, DS813. Assegurar o uso adequado e performance das soluções tecnológicas PO6, AI4, AI7, DS7, DS8
14. Proteger e responsabilizar-se por ativos de TI PO9, DS5, DS9, DS12, ME2
15. Otimizar a infra-estrutura de TI, recursos e capacidades PO3, AI3, DS3, DS7, DS9
16. Redução de defeitos em soluções, serviços de TI e retrabalho PO8, AI4, AI6, AI7, DS10
17. Proteger o alcance de objetivos de TI PO9, DS10, ME2
18. Estabelecer clareza em relação aos impactos no negócio causados por riscos de TI PO9
19. Assegurar que informações críticas e confidenciais sejam protegidas de pessoas não autorizadas PO6, DS5, DS11, DS12
20. Assegurar confiabilidade em sistemas de transação automatizados e em trocas de informações PO6, AI7, DS5
21. Assegurar que serviços e infra-estruturas de TI podem resistir e se recuperar adequadamente de falhas causadas PO6, AI7, DS4, DS5, DS12, DS13, ME2
22. Assegurar impacto mínimo aos negócios em casos de eventos indesejáveis ou mudanças envolvendo a TI PO6, AI6, DS4, DS12
23. Assegurar a adequada disponibilidade de serviços de TI DS3, Ds4, Ds8, DS13
24. Tornar os custos de TI eficientes e garantir sua contribuição para os lucros da empresa PO5, DS6
25. Entrega de projetos dentro do prazo e orçamento estabelecidos e assegurar padrões de qualidade PO8, PO10
26. Manutenção da integridade de informações e de infra-estruturas de processamento AI6, DS5
27. Assegurar comprometimento com leis, regulamentações e contratos DS11, ME2, ME3, ME4
28. Assegurar que a TI forneça serviços de qualidade e a custos eficientes, melhoria contínua e disponibilidade para futuras
mudanças
PO5, DS6, ME1, ME4
16
Foco no negócio: Como o negócio e a governança 
direcionam a TI?
Processos de TI
Planejamento e organização
PO1 Definir um plano estratégico para a TI
PO2 Definir uma arquitetura de informação
PO3 Definir uma direção tecnológica
PO4 Definir processos de TI, organização e 
relacionamentos
PO5 Gerenciar investimentos em TI
PO6 Comunicar objetivos e metas gerenciais
Processos de TI
Entrega e suporte
DS1 Definir e gerenciar níveis de serviços
DS2 Gerenciar serviços terceirizados
DS3 Gerenciar performance e capacidade
DS4 Assegurar continuidade de serviços
DS5 Assegurar segurança em sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usuários
DS8 Gerenciar service desk e incidentesPO7 Gerenciar recursos humanos relacionados à TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar riscos de TI
PO10 Gerenciar projetos
Aquisição e implementação
AI1 Identificar soluções automatizadas
AI2 Adquirir e manter aplicativos
AI3 Adquirir e manter infra-estrutura tecnológica
AI4 Habilitar operação e uso
AI5 Adquirir recursos de TI
AI6 Gerenciar mudanças
AI7 Instalar e autorizar soluções e mudanças
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar configurações
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar ambientes físicos
DS13 Gerenciar operações
Monitoramento e avaliação
ME1 Monitorar e avaliar a performance da TI
ME2 Monitorar e avaliar controles internos
ME3 Assegurar conformidade com requisitos externos
ME4 Prover governança de TI
17
Orientação a processos
18
Dimensões do COBIT
I
n
f
o
r
m
a
ç
ã
o
-
e
s
t
r
u
t
u
r
a
Domínios
Requisitos de Negócio
P
r
o
c
e
s
s
o
s
 
d
e
 
T
I
A
p
l
i
c
a
ç
õ
e
s
P
e
s
s
o
a
s
I
n
f
o
r
m
a
ç
ã
o
I
n
f
r
a
-
e
s
t
r
u
t
u
r
a
Domínios
Processos
Atividades
P
r
o
c
e
s
s
o
s
 
d
e
 
T
I
19
Processos de TI: Visão geral
M1 Monitorar e avaliar o desempenho da TI
M2 Monitorar e avaliar o controle interno
M3 Assegurar conformidade com requisitos externos
M4 Fornecer governança de TI •Pessoas
•Aplicações
• Infra-estrutura
• Informação
Planejamento e Planejamento e 
Recursos Recursos 
de TI
PO1 Definir planejamento estratégico de TI
PO2 Definir a arquitetura de informação
PO3 Determinar a direção tecnológica
PO4 Definir a organização de TI e relacionamentos
PO5 Gerenciar o investimento de TI
PO6 Comunicar direção e metas gerenciais
PO7 Gerenciar os recursos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar os riscos em TI
PO10 Gerenciar projetos
• Informação
Planejamento e Planejamento e 
OrganizaçãoOrganização
Aquisição e Aquisição e 
ImplementaçãoImplementação
Entrega e Entrega e 
SuporteSuporte
Monitoração eMonitoração e
AvaliaçãoAvaliação
AI1 Identificar soluções automatizadas
AI2 Adquirir e manter aplicações de software
AI3 Adquirir e manter infra-estrutura tecnológica
AI4 Habilitar operação e uso
AI5 Obter recursos de TI
AI6 Gerenciar mudanças
AI7 Instalar e homologar soluções automatizadas
DS1 Definir e gerenciar níveis de serviço
DS2 Gerenciar serviços terceirizados
DS3 Gerenciar desempenho e capacidade
DS4 Assegurar continuidade dos serviços
DS5 Assegurar segurança dos sistemas
DS6 Identificar e alocar custos
DS7 Instruir e treinar usuários
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar configuração
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar o ambiente físico
DS13 Gerenciar operações
20
Processos de TI: Domínios
• Planejamento e Organização (PO)
– Objetivos:
• Formulação de planos estratégicos e táticos
• Identificação de como a TI pode contribuir, da melhor forma, para o alcance dos 
objetivos de negócio
• Planejamento, comunicação e comunicação do alcance dos objetivos e • Planejamento, comunicação e comunicação do alcance dos objetivos e 
estratégias
• Implantação de infra-estrutura organizacional e tecnológica
– Escopo
• A TI está estrategicamente alinhada aos negócios?
• A organização está utilizando de forma ótima os recursos?
• Os colaboradores entendem os objetivos de TI da empresa?
• Os riscos de TI são entendidos e gerenciados?
• A qualidade dos sistemas de TI é apropriada para as necessidades de negócio?
21
Planejamento e Organização (PO)
Processos de TI
PO1. Definir um plano estratégico de TI
PO2. Definir Arquitetura de informação
PO3. Determinar direcionamento tecnológico
PO4. Definir processos de TI, organização e
relacionamentosrelacionamentos
PO5. Gerenciar investimentos em TI
PO6. Comunicar metas e diretivas gerenciais
PO7. Gerenciar recursos humanos de TI
PO8. Gerenciar qualidade
PO9. Avaliar e gerenciar riscos de TI
PO10 Gerenciar projetos
22
Processos de TI: Domínios
• Aquisição e Implementação (AI)
– Objetivos:
• Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI
• Mudanças e manutenção em sistemas atualmenteimplantados
– Escopo
• Novos projetos irão entregar soluções adequadas às necessidades de negócio?• Novos projetos irão entregar soluções adequadas às necessidades de negócio?
• Novos projetos serão entregues dentro do prazo e orçamento previamente 
estabelecidos?
• Novos sistemas irão operar adequadamente quando implantados?
• Mudanças serão conduzidas sem que haja impacto negativo nas atuais operações 
de negócio?
23
Aquisição e Implementação (AI)
Processos de TI
AI1. Identificar soluções automatizadas
AI2. Adquirir e manter software aplicativo
AI3. Adquirir e manter infra-estrutura tecnológica
AI4. Habilitar operação e uso
AI5. Adquirir recursos de TI
AI6. Gerenciar mudanças
AI7. Instalar e validar soluções e mudanças
24
Processos de TI: Domínios
• Entrega e Suporte (DS)
– Objetivos:
• Entrega dos serviços necessários
• Gerenciamento de segurança, continuidade, dados e recursos operacionais
• Suporte a usuários
– Escopo– Escopo
• Os serviços de TI estão sendo entregues de acordo com as prioridades de 
negócio?
• Os custos de TI estão sendo otimizados?
• Os colaboradores da organização estão aptos a utilizarem os sistemas de TI de 
forma produtiva e segura?
• Existe confidencialidade, integridade e disponibilidade adequadas?
25
Entrega e Suporte (DS)
Processos de TI
DS1. Definir e gerenciar níveis de serviço
DS2. Gerenciar serviços terceirizados
DS3. Gerenciar desempenho e capacidade
DS4. Assegurar continuidade de serviços
DS5. Assegurar segurança em sistemasDS5. Assegurar segurança em sistemas
DS6. Identificar e alocar recursos
DS7. Educar e treinar usuários
DS8. Gerenciar central de serviços (service desk) e
incidentes
DS9. Gerenciar configuração
DS10. Gerenciar problemas
DS11. Gerenciar dados
DS12. Gerenciar o ambiente físico
DS13. Gerenciar operações
26
Processos de TI: Domínios
• Monitoramento e Avaliação (ME)
– Objetivos:
• Gerenciamento de desempenho
• Monitoramento de controles internos
• Conformidade
• Governança• Governança
– Escopo
• O desempenho da TI é monitorado, permitindo que problemas sejam detectados 
com antecedência?
• A gerência assegura que os controles internos sejam efetivos e eficientes?
• O desempenho da TI pode ser relacionado aos objetivos de negócio?
• Os riscos, controles, conformidade e desempenho são medidos e reportados?
27
Monitoramento e Avaliação (ME)
Processos de TI
ME1. Monitorar e avaliar o desempenho da TI
ME2. Monitorar e avaliar os controles internos
ME3. Garantir conformidade com requisitos externos
ME4. Fornecer Governança de TI
28
Visão geral dos processos
• Descrição
• Critérios de informação relevantes ao processo
• Domínio correspondente
• Requisitos do negócio para a TI relacionados ao processo
• Objetivos do processo• Objetivos do processo
• Principais práticas
• Principais métricas
• Foco do processo na governança de TI
• Recursos de TI relevantes ao processo
29
Objetivos gerais dos componentes dos 
processos
1. Os objetivos de controle descrevem o que o dono do processo 
precisa garantir que seja feito
2. As entradas indicam o que o dono do processo deve requerer dos 
outros processos
3. As saídas indicam quais produtos o dono do processo deve 
entregar e para quais processos
4. A matriz RACI define quais atividades devem ser delegadas pelo 
dono do processo e para quem
5. As métricas mostram como o processo deve ser monitorado e 
avaliado
6. O modelo de maturidade mostra o que pode ser feito para 
melhorar o processo
30
Utilização do conteúdo: Exemplo
Descrição Descrição 
do processodo processo
Critérios de Critérios de 
informação informação 
relevantesrelevantes
Domínio Domínio 
correspondentecorrespondente
31
Utilização do conteúdo: Exemplo
Requisitos do Requisitos do 
negócio para a TI negócio para a TI 
relacionados aorelacionados ao
processoprocesso
Objetivos do Objetivos do 
processoprocesso
Principais práticasPrincipais práticas
Principais métricasPrincipais métricas
Recursos de TIRecursos de TI
relevantesrelevantes
Foco do processo Foco do processo 
na Governança na Governança 
de TIde TI
32
Utilização do conteúdo: Exemplo
Objetivos de controle: Objetivos de controle: 
Características de Características de 
um processo bem um processo bem 
gerenciadogerenciado
33
Utilização do conteúdo: Exemplo
Fonte das Fonte das 
entradasentradas
SaídasSaídas
Processos que Processos que 
recebem as saídasrecebem as saídas
EntradasEntradas
34
Utilização do conteúdo: Exemplo
Atividades do Atividades do 
processoprocesso
Nível de Nível de 
envolvimentoenvolvimento FunçõesFunções
35
Utilização do conteúdo: Exemplo
ObjetivosObjetivos
Indicadores deIndicadores de
desempenhodesempenho
MétricasMétricas
Medidas de Medidas de 
resultadoresultado
36
Utilização do conteúdo: Exemplo
Níveis de maturidadeNíveis de maturidade
37
Controles
38
Definição de controles
• Políticas, procedimentos, práticas e 
estruturas organizacionais destinados a 
garantir que:
–Os objetivos de negócio sejam –Os objetivos de negócio sejam 
alcançados
–Os eventos indesejáveis sejam prevenidos 
ou detectados e corrigidos
(IT Governance Institute, 2007)
39
Modelo de controle
ObjetivosObjetivos
PadrõesPadrões ComparaçãoComparação ProcessoProcesso
Ação
PadrõesPadrões
NormasNormas
ComparaçãoComparação ProcessoProcesso
Informação de 
controle
40
Tipos de controle
• Controles gerais
– Controles gerais de processos (Process Controls – PCs)
– Controles gerais de aplicação (Application Controls –
ACs)
• Objetivos de controle • Objetivos de controle 
– Específicos para cada processo
• Objetivos de controle (incluindo os detalhados do COBIT)
Nota 1: Controles gerais devem ser considerados juntamente com os objetivos de
controle, para se ter uma visão completa dos requisitos de controle para os processos
de TI.
41
Tipos de controle
• Práticas de controle (implantação de objetivos de 
controle)
– São mecanismos de controle que suportam o alcance dos 
objetivos de controle, 
– Por meio do uso responsável de recursos, gerenciamento 
adequado dos riscos e alinhamento da TI aos objetivos de 
negócio (IT Governance Institute, 2007)
– Para cada objetivo de controle do COBIT, são descritos um 
conjunto de práticas de controle
Nota: Detalhes sobre as práticas de controle relacionadas a controles genéricos e
objetivos de controle podem ser obtidos através do COBIT Control Practices: Guidance
to Achieve Control Objectives for Succesful IT Governance 2nd Edition, disponível para
download em www.isaca.org
42
Tipos de controle: Controles gerais de 
processo (PCs)
• PC1 Goals and Objectives
– Os processos devem ter objetivos e metas claras
• PC2 Process Ownership
– Cada processo deve ter um responsável
• PC3 Repeatability
– Os processos devem ser executados de forma consistente, de forma a ser repetível e produzir – Os processos devem ser executados de forma consistente, de forma a ser repetível e produzir 
resultados consistentes 
• PC4 Roles and Responsibilities
– A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis 
específicos
• PC5 Policy, Plans and Procedures
– Políticas, planos e procedimentos associados aos processos devem ser documentados, 
revisados, mantidos atualizados e comunicados para os envolvidos
• PC6 Process Performance
– Os processos devem ter seu desempenho medido
43
Tipos de controle: Controles gerais de processos
• Estrutura de apresentação de controles gerais de processo
Nome do controleNome do controle
Objetivo de controle:Objetivo de controle: 
Descrição de Descrição de 
estado estado 
desejável para desejável para 
o controleo controle
Valor a ser obtido Valor a ser obtido 
a partir da implantação a partir da implantação 
do controledo controle
Riscos a serem Riscos a serem 
eliminados eliminados 
a partir da implantação a partir da implantação 
do controledo controle
Práticas de controle: Práticas de controle: 
Conjunto de Conjunto de 
passos necessários passos necessários 
ao alcance dos objetivos ao alcance dos objetivos 
de controlede controle 44
Tipos de controle: Controles gerais de 
aplicação (ACs)
• AC1 Source Data Preparation and Authorisation
– Os documentos de origem devem ser preparados e aprovados segundo o
critério de separação de funções
• AC2 Source Data Collection and Entry
– Os dados devem ser alimentados de forma tempestiva por pessoas
autorizadas, e eventuais correções não devem comprometer os níveis deautorizadas, e eventuais correções não devem comprometer os níveis de
autorização do sistema
• AC3 Accuracy, Completeness and Authenticity Checks
– Todas as transações devem ser precisas, completas e válidas
45
Tipos de controle: Controles gerais de 
aplicação (ACs)
• AC4 Processing Integrity and Validity
– Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de
processamento
• AC5 Output Review, Reconciliation and Error Handling
– As saídas do sistema devem ser verificadas quanto à precisão, protegidas
durante a transmissão, entregues aos destinatários corretos e utilizadasdurante a transmissão, entregues aos destinatários corretos e utilizadas
corretamente
• AC6 Transaction Authentication and Integrity
– Os dados passados entre aplicações ou áreas da organização devem ser
verificados quanto à autenticidade e integridade
46
Tipos de controle: Controles gerais de aplicação -
exemplo
Nome do controleNome do controle
Valor a ser obtido Valor a ser obtido 
a partir da implantação a partir da implantação 
do controledo controle
Riscos a serem Riscos a serem 
eliminados eliminados 
a partir da implantação a partir da implantação 
do controledo controle
Objetivo de controle: Objetivo de controle: 
Descrição de Descrição de 
estado estado 
desejável para desejável para 
o controleo controle
Práticas de controle: Práticas de controle: 
Conjunto de Conjunto de 
passos necessários passos necessários 
ao alcance dos objetivos ao alcance dos objetivos 
de controlede controle
47
Tipos de controle: Objetivos de controle
• Objetivo de controle: 
–Declaração de resultado desejado a ser 
alcançado por meio da implantação de 
procedimentos de controle em um procedimentos de controle em um 
processo de TI específico
(IT Governance Institute, 2007)
• É formado por:
–Objetivos de controle detalhados
–Práticas de controle
48
Exemplo:
Tipos de controle: Objetivos de controle
Objetivos de controle detalhadosObjetivos de controle detalhados
Nome do objetivo de controle (ou processo)Nome do objetivo de controle (ou processo)
49
Tipos de controle: Objetivos de controle
• Estrutura de apresentação de práticas de controle para objetivos de 
controle
Nome do processoNome do processo
Objetivo deObjetivo de
controlecontrole
Valor a ser obtido aValor a ser obtido a
partir da implantação partir da implantação 
do controledo controle
Riscos a serem Riscos a serem 
eliminados eliminados 
a partir da implantação a partir da implantação 
do controledo controle
Práticas de controle: Práticas de controle: 
Conjunto de Conjunto de 
passos necessários passos necessários 
ao alcance dos objetivos ao alcance dos objetivos 
de controlede controle 50
Medições
51
Medições
• Tópicos abordados:
– Modelo de maturidade
• Possibilitam benchmarking e identificação das necessidades de 
melhoria
– Medições de desempenho– Medições de desempenho
• Metas e indicadores de processos
– Demonstram como os processos atendem às metas de negócios e de TI, 
a partir da mensuração de indicadores baseados no BSC
• Metas de atividades
• Direcionam o desempenho efetivo dos processos
52
Medições: modelo de maturidade
• Os níveis de maturidade descrevem perfis de processos de TI que 
possam ser reconhecidos pelas organizações
– Esses níveis não estabelecem patamares evolutivos, onde não se pode 
alcançar um nível superior sem antes passar pelos inferiores
• A partir dos níveis de maturidade descritos para cada um dos 34 
processos, é possível identificar: processos, é possível identificar: 
– O desempenho real da organização (onde está)
– A situação atual de organizações similares (benchmarking)
– Os avanços possibilitados pelos padrões e modelos disponíveis no mercado
– A meta para melhoria do processo da organização (onde quer estar)
53
Medições: modelo de maturidade
54
Medições: modelo de maturidade
• Nível 0 – Inexistente
– Ausência de processos identificáveis
– A organização não reconhece que existe uma questão a 
ser tratada
• Nível 1 – Inicial/Ad-hoc
– A organização reconhece que existe uma questão a ser 
tratada
– Abordagens improvisadas tendem a ser aplicadas a 
situações individuais
– A gerência do processo é desorganizada
55
Medições: modelo de maturidade
• Nível 2 – Repetível mas intuitivo
– Os processos se desenvolveram de modo que procedimentos similares são 
executados por pessoas diferentes que realizam a mesma tarefa
– Não existe treinamento ou repasse formal de procedimentos, a responsabilidade é 
deixada a cargo do indivíduo
– Existe alta dependência do conhecimento individual, o que gera grande probabilidade 
de falhasde falhas
• Nível 3 – Processo definido
– Procedimentos padronizados, documentados e comunicados por meio de 
treinamentos
– Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam 
detectados
– Os procedimentos não são sofisticados, mas apenas formalização de práticas 
existentes
56
Medições: modelo de maturidade
• Nível 4 – Gerenciado e mensurável
– É possível monitorar e medir a conformidade de procedimentos, para agir 
quando os processos não estiverem funcionando de forma eficaz
– Os processos sofrem melhorias constantes e estabelecem boas práticas
– Ferramentas automatizadas são usadas de forma limitada ou fragmentada
• Nível 5 – Otimizado• Nível 5 – Otimizado
– Os processos foram refinados até alcançar as melhores práticas, com base no 
resultado de melhoria contínua e comparações com outras organizações
– A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas 
para aumentar a qualidade e efetividade dos processos
57
Medições: Medições de desempenho
• Metas e indicadores são definidos em três níveis: 
–De TI: 
• Definem o que o negócio espera da TI
–De processo: –De processo: 
• Definem o que cada processo de TI deve entregar 
para dar suporte às metas de TI
–De atividade: 
• Definem o que deve ser realizado no âmbito de cada 
processo para alcançar o desempenho desejado
58
Medições: Medições de desempenho
• Metas: Exemplo de relacionamento 
–DS5 – Assegurar segurança em sistemas
Manter 
Negócio
TI
Manter 
liderança e 
reputação da 
organização
Assegurar que os 
serviços de TI 
possam resistir e 
serem recuperados 
de ataques Detectar e 
eliminar acessos 
não autorizados Entender 
requisitos de 
segurança, 
ameaças e 
vulnerabilidades
TI
Processo
Atividade
59
Medições: Medições de desempenho
• Indicadores
–De objetivo (KGI): Indicam se as metas 
foram alcançadas
•Medem o alcance de objetivos•Medem o alcance de objetivos
–De desempenho (KPI): Indicam se as 
metas poderão ser alcançadas
•Direcionam o alcance de objetivos60
Indicadores de objetivo (DS5 – Assegurar segurança em sistemas)
Medições: Indicadores de desempenho
Manter 
liderança e 
reputação da 
organização
Assegurar que os 
serviços de TI 
possam resistir e 
serem recuperados 
de ataques
Detectar e 
eliminar 
acessos não 
autorizados
Entender requisitos 
de segurança, 
ameaças e 
vulnerabilidades
O
B
J
E
T
I
V
O
S
Negócio TI Processo Atividade
organização
Número de 
incidentes que 
causam danos 
ao público
Freqüência na 
revisão de 
eventos e 
serem 
monitorados
Número de 
incidentes 
causados por 
acesso não 
autorizados
Número de 
incidentes de 
TI com 
impacto nos 
negócio
O
B
J
E
T
I
V
O
S
M
É
T
R
I
C
A
S
M
e
d
e
M
e
d
e
M
e
d
e
M
e
d
e
D
i
r
e
c
i
o
n
a
D
i
r
e
c
i
o
n
a
D
i
r
e
c
i
o
n
a
61
Relacionamento do COBIT 
com ferramentas para 
Governança de TIGovernança de TI
62
Ferramentas p/ Governança de TI:
COBIT e relação com outras
M1 Monitorar e avaliar o desempenho da TI
M2 Monitorar e avaliar o controle interno
M3 Assegurar conformidade com requisitos externos
M4 Fornecer governança de TI
Planejamento e Planejamento e 
Recursos Recursos 
de TI
PO1 Definir planejamento estratégico de TI
PO2 Definir a arquitetura de informação
PO3 Determinar a direção tecnológica
PO4 Definir a organização de TI e relacionamentos
PO5 Gerenciar o investimento de TI
PO6 Comunicar direção e metas gerenciais
PO7 Gerenciar os recursos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar os riscos em TI
PO10 Gerenciar projetos
PMBOKPMBOK
Prince2Prince2
BSCBSC
•Pessoas
•Aplicações
• Infra-estrutura
• Informação Planejamento e Planejamento e 
OrganizaçãoOrganização
Aquisição e Aquisição e 
ImplementaçãoImplementação
Entrega e Entrega e 
SuporteSuporte
Monitoração eMonitoração e
AvaliaçãoAvaliação
AI1 Identificar soluções automatizadas
AI2 Adquirir e manter aplicações de software
AI3 Adquirir e manter infra-estrutura tecnológica
AI4 Habilitar operação e uso
AI5 Obter recursos de TI
AI6 Gerenciar mudanças
AI7 Instalar e homologar soluções automatizadas
DS1 Definir e gerenciar níveis de serviço
DS2 Gerenciar serviços terceirizados
DS3 Gerenciar desempenho e capacidade
DS4 Assegurar continuidade dos serviços
DS5 Assegurar segurança dos sistemas
DS6 Identificar e alocar custos
DS7 Instruir e treinar usuários
DS8 Gerenciar service desk e incidentes
DS9 Gerenciar configuração
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar o ambiente físico
DS13 Gerenciar operações ITILITIL
CMMICMMI
• Informação
63
Implantação da Governança de TI alinhada a 
Modelos de Melhores Práticas
Implantação da Governança de TI
I
M
P
L
E
M
E
N
T
A
Ç
Ã
OParte 1 Parte 2
Planejamento 
Focos da Governança de TI
•Alinhamento estratégico
I
M
P
L
E
M
E
N
T
A
Ç
Ã
O
Diagnóstico e 
análise 
organizacional
Planejamento 
de projetos e 
serviços 
estratégicos e 
disseminação
•Alinhamento estratégico
•Entrega de valor
•Gerenciamento de recursos
•Gerenciamento de riscos
•Gerenciamento de 
desempenho
64
Parte 2: Revisão prática
65
Parte 3: Implantação da 
Governança de TI
66
Governança de TI: revisão
Governança de TI: Responsabilidade de executivos e da
alta direção e consiste na liderança, estruturas
organizacionais e processos que asseguram que a TI
sustente e estenda os objetivos e estratégias de uma
organização
Alinhamento Direcionar
Fonte: ITGI(2007b) 
Alinhamento 
estratégico
Entrega de valor
Ger. Risco
Ger. Recursos
Ger. Desempenho
Direcionar
Criar
Proteger
Executar
Monitorar
67
Implementação da Governança de TI: 
orientações básicas
1. Definir objetivos de negócio e de TI
2. Definir processos de governança de TI
3. Definir estruturas e mecanismos de tomada de decisão
4. Envolvimento de executivos e da alta direção
5. Gerenciar papéis e responsabilidades5. Gerenciar papéis e responsabilidades
6. Implantação de comitê estratégico e diretor
7. Gerenciar e alinhar portfólio de investimentos em 
projetos
8. Gerenciar desempenho
9. Estabelecer e manter mecanismos de comunicação e 
conscientização
Fonte: Van Grembergen e De Haes (2008)
68
Exercícios
1. Apresente, classifique como KPI e KGI e 
justifique 3 métricas para 2 processos 
do COBIT;
2. Apresente 3 processos do COBIT que 2. Apresente 3 processos do COBIT que 
tenham como área foco “Medição de 
desempenho”;
Fonte: Van Grembergen e De Haes (2008)
69
Referências
• BERMEJO, Paulo Henrique de Souza. Planejamento estratégico de Tecnologia da
Informação com ênfase em conhecimento. Tese de doutorado. Programa de Pós-
Graduação em Engenharia e Gestão do Conhecimento.
• Universidade Federal de Santa Catarina. Florianópolis, 2009.
• ITGI. Information Technology Governance Institute. COBIT 4.1: Control objectives,
Management guidelines, Maturity models. Rolling Meadows: ITGI, 2007a.
• ITGI. Information Technology Governance Institute. IT Governance• ITGI. Information Technology Governance Institute. IT Governance
implementation guide using Cobit and ValIT. Rolling Meadows: ITGI, 2007b.
• ITGI. Information Technology Governance Institute. COBIT Mapping: Mapping of
ITIL v3 with COBIT 4.1: Rolling Meadows: ITGI, 2008.
• KORDEL, Luc. IT Governance Hands-on: Using Cobit to implement IT governance.
Information Systems Control Journal, volume 2, 2004.
• VAN GREMBERGEN, Wim, DE HAES, Steven. Implementing Information 
Technology Governance: Models, Practices, and Cases. IGI Publishing, New York, 
2008.
70
Framework para Governança de TI
Grato pela atenção!Grato pela atenção!
Prof. Paulo Henrique S. Bermejo Prof. Paulo Henrique S. Bermejo 
Dr., COBIT F. Certified, ISACA Advocate MemberDr., COBIT F. Certified, ISACA Advocate Member
Departamento de Ciência da Computação Departamento de Ciência da Computação –– DCC DCC 
Universidade Federal de Lavras Universidade Federal de Lavras –– UFLA UFLA 
bermejo@ufla.brbermejo@ufla.br
Grato pela atenção!Grato pela atenção!
71

Outros materiais

Materiais relacionados

Perguntas relacionadas

Materiais recentes

Perguntas Recentes