Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 INTRODUÇÃO AO COBIT Rio de Janeiro, setembro de 2017 2 INTRODUÇÃO AO COBIT Histórico do modelo Objetivos do modelo Framework do COBIT 4.1 3 COBIT INTRODUÇÃO AO COBIT É um acrônimo para Control Objectives for Information and Related Technology. Em português Objetivos de Controle para Informação e Tecnologia Relacionada (tecnologia que provê informação que o negócio precisa). No COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo. 4 É um framework de boas práticas focado no nível estratégico e, por se tratar de um framework de controle, possibilita que a TI tenha seu desempenho mensurado e seus riscos devidamente apontados e tratados. Foi desenvolvido pela ISACA(Information Systems Audit and Control Association) para a governança da TI, que é uma instituição sem fins lucrativos que desenvolve pesquisas, modelos e certificações para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros. INTRODUÇÃO AO COBIT 5 Principais características: Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no COBIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK, ISO 27001, dentre outros modelos do mercado. Baseado em Controles: disponibiliza vários recursos para auditoria. Fornece Indicadores: permite acompanhar os processos e visualizar os resultados. Focado no Negócio: parte da premissa de que a TI deve oferecer valor ao negócio e que deve se orientar pelo negócio. INTRODUÇÃO AO COBIT 6 Ao estudar o framework do COBIT com maior profundidade é possível identificar que ele especifica os objetivos de controle, mas não detalha como os processos podem ser definidos. O COBIT não é um padrão, não é uma norma como a ISO 20.000, ISO 17.799 ou ISO 9.001, e ele também não serve como guia para maximizar os benefícios da TI. O framework de controle do COBIT segue a premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. INTRODUÇÃO AO COBIT 7 O COBIT ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio, que não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando, ou gerando riscos para o negócio, de modo a priorizar o gerenciamento destes processos. O COBIT não é uma ferramenta de desenvolvimento e sim um modelo que serve para os gestores alinharem os interesses de TI com os interesses do negócio, foi criado para servir como um modelo de auditoria para ser usado nos aplicativos de negócio. INTRODUÇÃO AO COBIT 8 Um grande marco surgiu para sua evolução que foi a regulamentação da Lei Sarbaney Oxley (SOX), em 2002 nos Estados Unidos. As empresas passam a precisar transmitir mais responsabilidade e transparência nos seus processos para adquirirem confiança dos stakeholders e como não sabiam fazer isso de uma hora para outra, precisaram adotar modelos e o COBIT que já existia foi o mais adaptável para este contexto. INTRODUÇÃO AO COBIT 9 INTRODUÇÃO AO COBIT SOX, COSO e CobIT IT Control Objectives for Sarbanes-Oxley IT Governance Institute 10 O COBIT surgiu para estabelecer controles de auditoria para todos os processos de TI, de forma que os mesmos estejam alinhados com os processos de negócio e tal qual um trabalho de auditoria procura saber todas as informações de TI necessárias para servirem de subsídio aos gestores de negócio. O COBIT necessita da transparência dos contratos e das informações para que funcione de acordo com o que auditoria espera e, conforme evolução do framework, sua eficácia passou a servir em todas as áreas de TI. COBIT: modelo de TI como instrumento de confiança na informação. INTRODUÇÃO AO COBIT 11 Visa prover a TI de bons modelos que procuram trazer confiança aos gestores de negócio, de forma que estes levem a TI a ser o ambiente onde os negócios irão acontecer. A informação é o ativo mais importante para o COBIT, que acredita que somente com uma informação clara e precisa é possível construir contratos que favoreçam essa ligação entre TI e negócio e que, consequentemente, entregará valor ao usuário final. O COBIT se favorece perante outras plataformas por ser uma linguagem comum entre as partes interessadas, um modelo não técnico, mas que procura levar a técnica para benefício dos negócios. INTRODUÇÃO AO COBIT 12 Recomenda-se que as organizações adotem um modelo de controle para TI, de forma que: Possa fazer o alinhamento entre TI e os requisitos de negócio; Possa medir o desempenho contra os requisitos de maneira transparente; Possa organizar as atividades em um modelo de processo aceito pela maioria; Possa identificar os principais recursos de TI a serem gerenciados; Possa definir os objetivos de controle a serem considerados; Possa ser orientado à entrega de valor e gerenciamento de riscos; Possa estabelecer as responsabilidades entre as partes envolvidas na Governança de TI. INTRODUÇÃO AO COBIT HISTÓRICO DO MODELO 14 INTRODUÇÃO AO COBIT Histórico do modelo Objetivos do modelo 4.1 Framework do COBIT 4.1 15 OBJETIVOS DO MODELO 4.1 Para entregar os serviços requeridos pelo negócio o modelo do COBIT contribui com: Estabelecer relacionamentos com os requisitos do negócio; Organizar as atividades de TI em modelo de processos genérico; Identificar os principais recursos de TI a serem utilizados; Definir os objetivos de controle gerenciais a serem considerados. O principal objetivo é contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessi- dades do negócio, com um foco mais acentuado no controle que na execução. 16 Objetivos de negócio Objetivos de TI 1. Fornecer um bom retorno de investimento nos negócios capacitados por TI. OBJETIVOS DO MODELO 4.1 17 24. Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios. 19 MISSÃO DO COBIT: Pesquisar, desenvolver, publicar e promover um modelo de controle para Governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação. OBJETIVOS DO MODELO 4.1 20 A própria definição de Governança de TI presente na versão 4.1 do COBIT ilustra a importância da TI dentro da organização: “responsabilidade da alta direção (incluindo diretores e executivos), consiste na liderança, nas estruturas organizacionais e nos processos que garantem que a tecnologia da informação da empresa sustente e estenda as estratégias e objetivos da organização” OBJETIVOS DO MODELO 4.1 21 O COBIT suporta a Governança de TI provendo uma metodologia para assegurar que: A área de TI esteja alinhada com o negócio; A área de TI habilite o negócio e maximize os benefícios; Os recursos de TI sejam usados responsavelmente; Os riscos de TI sejam gerenciados apropriadamente. OBJETIVOS DO MODELO 4.1 22 O COBIT ajuda a diminuir as distâncias entre os requisitos de negócio, as necessidades de controle e questões técnicas. É um modelo de controle para atender as necessidadesda Governança de TI e garantir a integridade dos sistemas de informação. OBJETIVOS DO MODELO 4.1 23 Áreas de foco na Governança de TI OBJETIVOS DO MODELO 4.1 24 Áreas de foco na Governança de TI Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização. OBJETIVOS DO MODELO 4.1 25 Áreas de foco na Governança de TI Agregação de valor: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI. OBJETIVOS DO MODELO 4.1 26 Áreas de foco na Governança de TI Gerenciamento de riscos: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia. OBJETIVOS DO MODELO 4.1 27 Áreas de foco na Governança de TI Gerenciamento de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura. OBJETIVOS DO MODELO 4.1 28 Áreas de foco na Governança de TI Medição de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais. OBJETIVOS DO MODELO 4.1 29 Como a empresa atinge os resultados satisfatórios para o maior segmento possível de partes interessadas? PAINEL DE CONTROLE SCORECARDS Como os executivos mantém a rota? Como a empresa pode adaptar- se em tempo apropriado para as novas tendências e desenvolvi- mentos nesse ambiente? Indicadores? Meios de medição? Escalas de comparação? BENCH- MARKING OBJETIVOS DO MODELO 4.1 30 INTRODUÇÃO AO COBIT Histórico do modelo Objetivos do modelo 4.1 Framework do COBIT 4.1 31 FRAMEWORK DO COBIT 4.1 O COBIT é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, referindo-se tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto aos de apoio (exemplos: recursos humanos, administração e tecnologia da informação). Portanto, o COBIT transcende a área de TI abarcando o negócio como um todo. 32 Focado no negócio: Enxerga TI a partir do negócio; traduz os requisitos de negócio para TI; todos os processos possuem metas de negócio e metas de TI. Orientado a processos: Organiza as atividades de TI em processos para facilitar o seu gerenciamento. Baseado em controles: Para cada processo de TI há objetivos de controle definidos; os controles são propostos para orientar o que pode ser feito em cada processo. Orientado por métricas: Fornece um conjunto de indicadores que permitem medir o desempenho das atividades, dos processos e da TI como um todo. O COBIT é um modelo focado no negócio, orientado a processos, baseado em controles e orientado por métricas. FRAMEWORK DO COBIT 4.1 33 Que responde a Direcionam investimentos em Informação Organizacional Requisitos de Negócio Processos de TI Recursos de TI CobiT Que são usados por Para Entregar Princípio básico do COBIT (adaptado do ITGI, 2007) FRAMEWORK DO COBIT 4.1 34 Recursos de TI FRAMEWORK DO COBIT 4.1 35 ORIENTADO A PROCESSOS O COBIT define as atividades de TI em um modelo de processos genéricos com quatro domínios: Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar, Monitorar e Avaliar. Esses domínios mapeiam as tradicionais áreas de responsabilidade de TI de planejamento, construção, processamento e monitoramento. 36 Executar Planejar Monitorar Construir Traço comum das Áreas de TI ORIENTADO A PROCESSOS 37 Para que a governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Geralmente eles são ordenados por domínios de responsabilidade de planejamento, construção, processamento e monitoramento. No modelo COBIT esses domínios são apresentados a seguir. ORIENTADO A PROCESSOS 38 Executar Planejar Monitorar Construir COBIT PO ME DS AI ORIENTADO A PROCESSOS 39 ORIENTADO A PROCESSOS 40 ORIENTADO A PROCESSOS 41 Planejar e Organizar (PO) - Provê direção para entrega de soluções (AI) e entrega de serviços (DS) Adquirir e Implementar (AI) - Provê as soluções e as transfere para tornarem-se serviços Entregar e Suportar (DS) - Recebe as soluções e as torna passíveis de uso pelos usuários finais Monitorar e Avaliar (ME) - Monitora todos os processos para garantir que a direção definida seja seguida. ORIENTADO A PROCESSOS 42 4 Domínios 34 Processos PO - Planejar e Organizar AI - Adquirir e Implementar DS - Entregar e Suportar ME - Monitorar e Avaliar DOMÍNIOS DO COBIT 4.1 43 PLANEJAR E ORGANIZAR (PO) Cobre a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciado por diferentes perspectivas. Uma apropriada organização bem como uma adequada infraestrutura tecnológica devem ser colocadas em funcionamento. 44 PLANEJAR E ORGANIZAR (PO) Ajuda a responder as seguintes questões gerenciais: As estratégias de TI e de negócios estão alinhadas? A empresa está obtendo um ótimo uso dos seus recursos? Todos na organização entendem os objetivos de TI? Os riscos de TI são entendidos e estão sendo gerenciados? A qualidade dos sistemas de TI é adequada às necessidades de negócios? 45 DOMÍNIO PLANEJAR E ORGANIZAR (PO) PO10 - Gerenciar Projetos PO9 - Avaliar e Gerenciar os Riscos de TI PO8 - Gerenciar a Qualidade PO7 - Gerenciar os Recursos Humanos de TI PO6 - Comunicar Metas e Diretrizes Gerenciais PO5 - Gerenciar o Investimento de TI PO4 - Definir os Processos, a Organização e os Relacionam. TI PO3 - Determinar as Diretrizes de Tecnologia PO2 - Definir a Arquitetura da Informação PO1 - Definir um Plano estratégico de TI Processos PO 46 ADQUIRIR E IMPLEMENTAR (AI) Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. 47 ADQUIRIR E IMPLEMENTAR (AI) Trata das seguintes questões de gerenciamento: Os novos projetos fornecerão soluções que atendam às necessidades de negócios? Os novos projetos serão entregues no tempoe orçamento previstos? Os novos sistemas ocorreram apropriadamente quando implementado? As alterações ocorrerão sem afetar as operações de negócios atuais? 48 AI7 - Instalar e Homologar Soluções e Mudanças AI6 - Gerenciar Mudanças AI5 - Adquirir Recursos de TI AI4 - Habilitar Operação e Uso AI3 - Adquirir e Manter Infraestrutura de Tecnologia AI2 - Adquirir e Manter Software Aplicativo AI1 - Identificar Soluções Automatizadas Processos AI DOMÍNIO ADQUIRIR E IMPLEMENTAR (AI) 49 ENTREGAR E SUPORTAR (DS) Este domínio trata da entrega dos serviços solicitados, o que inclui entrega de serviço, gerenciamento da segurança e continuidade, serviços de suporte para os usuários e o gerenciamento de dados e recursos operacionais. 50 ENTREGAR E SUPORTAR (DS) Trata geralmente das seguintes questões de gerenciamento: Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios? Os custos de TI estão otimizados? A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e segura? Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados para garantir a segurança da informação? 51 DS13 - Gerenciar Operações DS12 - Gerenciar Amb. Físico DS11 - Gerenciar os Dados DS10 - Gerenciar Problemas DS9 - Gerenciar a Config. DS8 - Gerenciar a Central de Serviços e os Incidentes DS7 - Educar e Treinar os usuários DS6 - Identificar Alocar Custos Processos DS DOMÍNIO ENTREGAR E SUPORTAR (DS) DS5 - Garantir a Segurança dos Sistemas DS4 - Assegurar a Continuidade dos Serviços DS3 - Gerenciar o Desempenho e a Capacidade DS2 - Gerenciar Serviços Terceirizados DS1 - Definir e Gerenciar Níveis de Serviços 52 MONITORAR E AVALIAR (ME) Todos os processos de TI precisam ser regularmente avaliados com o passar do tempo para assegurar a qualidade e a aderência aos requisitos de controle. Este domínio aborda o gerenciamento de performance, o monitoramento do controle interno, a aderência regulatória e a governança. 53 MONITORAR E AVALIAR (ME) Trata das seguintes questões de gerenciamento: A performance de TI é mensurada para detectar problemas antes que seja muito tarde? O gerenciamento assegura que os controles internos sejam efetivos e eficientes? O desempenho da TI pode ser associado aos objetivos de negócio? Existem controles adequados para garantir confidencialidade, integridade e disponibilidade das informações? 54 ME4 Prover Governança de TI ME3 Assegurar a Conformidade com Requisitos Externos ME2 Monitorar e Avaliar os Controles Internos ME1 Monitorar e Avaliar o Desempenho de TI Processos ME DOMÍNIO MONITORAR E AVALIAR (ME) 55 4 Domínios 34 Processos PO1 PO2 PO6 PO8 PO5 PO4 PO9 PO10 PO7 PO3 AI1 AI5 AI7 AI6 AI3 AI2 AI4 DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 ME4 ME3 ME2 ME1 ORIENTADO A PROCESSOS 56 As empresas não terão a mesma estrutura de processos ou mesmo aplicarão todos os 34 processos do COBIT. A utilização dos processos depende de cada empresa e devem ser utilizados de acordo com cada necessidade. ORIENTADO A PROCESSOS Os processos do COBIT têm o mesmo formato, trazendo sempre uma descrição do processo e os principais objetivos e métricas 57 O COBIT define objetivos de controles para todos os 34 processos e engloba todos os processos e controles de aplicativos. PROCESSOS PRECISAM DE CONTROLES Controle é definido como políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos. BASEADO EM CONTROLES 58 Os objetivos de controle de TI fornecem um conjunto de requisitos de alto nível a serem considerados pelos executivos para um controle efetivo de cada processo de TI. São definições de ações gerenciais para aumentar o valor ou reduzir o risco. Consistem em políticas, procedimentos, práticas e estruturas organizacionais. São desenvolvidos para prover uma razoável garantia de que os objetivos de controle serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos. BASEADO EM CONTROLES 59 A empresa precisa fazer escolhas relacionadas a esses processos ao: Selecionar aqueles que são aplicáveis; Decidir quais deles serão implementados; Escolher como implementá-los (frequência, abrangência, automação, etc.); Aceitar o risco de não implementar aqueles que podem ser aplicáveis. BASEADO EM CONTROLES 60 (Modelo de maturidade) Inexistente 0 Inicial/ ad hoc 1 Repetível, porém intuitivo 2 Processo definido 3 Gerenciável e mensurável 4 Otimizado 5 Símbolos utilizados Medição Estágio atual 0 – Gerenciamento de processos não aplicado 1 – Processos ad hoc e desorganizados Média do mercado 2 – Processos seguem um caminho padrão 3 – processos documentados e comunicados Meta da empresa 4 – Processos são monitorados e medidos 5 – Boas práticas são seguidas e automatizadas FRAMEWORK DO COBIT 4.1 61 INTRODUÇÃO AO COBIT Governança de TI COBIT Planejamento Estratégico de TI Governança Corporativa G e st ão d e S e rv iç o s G e st ão d e D e s. S is te m as G e st ão d e S e g. I n fo rm aç ão Fo rn e ce d o re s G e st ão d e P ro je to s G e st ão d e P ro ce so s G e st ão d a Q u al id ad e ITIL CMMI MPS BR ISO 27001 ISO 27002 e-SCM PMBok PMI ISSO 9001 Six Sigma BPM BSC COSO Tá ti co e O p e ra ci o n al Es tr at é gi co 63 HISTÓRICO DO MODELO Criado em 1996 pelo Information Systems Audit and Control Foundation (ISACF) com um conjunto inicial de objetivos de controle. Segunda edição publicada em 1998, com uma revisão dos objetivos de controle e mais um conjunto de ferramentas e padrões para implementação. Terceira edição publicada no ano 2000 pelo IT Governance Institute (ITGI), órgão criado em 1998 pela Information Systems Audit and Control Association (ISACA) para promover um melhor entendimento e a adoção dos princípios de Governança de TI. 64 Em 2005 sai a versão 4.0, com práticas e padrões mais maduros, totalmente alinhados a modelos como COSO, ITIL e ISO/IEC 17799. Em 2007 sai a versão 4.1, com uma atualização incremental, com foco em uma maior eficácia dos objetivos de controle e dos processos de verificação e divulgação de resultados. COBIT 5.0 2012 HISTÓRICO DO MODELO 65 Acima nós vemos os objetivos do COBIT, que não se preocupa em como fazer para alinhar TI com Negócio porém o que você dever ter para atingir seu objetivo. O COBIT conta com um manual que mostra toda a estrutura do framework, que pode ser baixado no site de sua mantenedora de graça, o ISACA. (http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx INTRODUÇÃO AO COBIT 66 Públicos alvo do COBIT (adaptado do ITGI, 2007) OBJETIVOS DO MODELO 4.1 Função Importância CEO Secundário CFO Secundário Executivos de Negócio PrimárioCIO Primário Proprietários de Processos de Negócio Primário Chefes de Operações Secundário Chefes de Desenvolvimento Secundário Administradores de TI Secundário Escritório de Gerência de Projetos (PMO) Secundário Auditoria, análise de risco e segurança Primário 67 Focado no negócio Orientado a processos Linguagem comum Requisitos regulatórios Aceitabilidade geral Ajuda a estabelecer controles que atendam aos requisitos de conformidade regulatória, tendo como exemplo o SOX Aceito pela maioria das empresas e especialistas. Baseado nas melhores práticas. Estrutura que ajuda a manter um entendimento comum entre as partes interessadas. Estrutura baseada em processos de TI que se relacionam com os requisitos de TI. É guiado pelas necessidades do negócio; tem métricas focadas no negócio e foca na entrega de valor. O COBIT suporta os cinco requisitos de um framework de controle: FRAMEWORK DO COBIT 4.1 68 Objetivos Padrões Normas Com- para Processa Age Controle da informação Modelo de controle BASEADO EM CONTROLES 69 Critérios de Informação 2 1 3 2 1 3 Qualidade Segurança Fiduciária FRAMEWORK DO COBIT 4.1 70 Objetivos do Negócio Governança de TI Monitorar e Avaliar Entregar e Suportar Adquirir e Implementar Planejar e Organizar COBIT ME DS AI PO Informação Recursos •Aplicações •Informação •Infraestrutura •Pessoas • Eficácia; Eficiência; • Confidencialidade • Integridade; Disponibilidade; • Conformidade; • Confiabilidade Visão geral do modelo do COBIT FRAMEWORK DO COBIT 4.1
Compartilhar