COBIT 1 - Conceitos básicos
-
Upload
andre-serra -
Category
Documents
-
view
90 -
download
1
Transcript of COBIT 1 - Conceitos básicos
Professor Gledson [email protected]
Governança de TICOBITMódulo 1 – Conceitos Básicos
Referência:
COBIT Framework
Versão 4.1
Professor Gledson [email protected]
Histórico e evolução
Primeira versão em 1996 Information System Control and Audit Foundation (ISACF) Compilação de referências sobre controle e auditoria de TI
Segunda versão em 1998 Information System Control and Audit Association (ISACA) Acréscimo e atualização de referências, kit de implantação
Terceira versão em 2000 (Cobit 3ª Edição) IT Governance Institute Criação do “Management Guidelines”
Quarta versão em 2005 (Cobit 4.0) Consolidação e detalhamento de instrumentos gerenciais
Refinamento em 2007 (Cobit 4.1)
2
Professor Gledson [email protected]
Governança de TI
“Responsabilidade da alta direção, consiste em liderança, estruturas organizacionais e processos que garantem que a TI corporativa sustenta e estende as estratégias e objetivos da organização”
3
Professor Gledson [email protected]
Responsabilidades da alta direção
Assegurar o alinhamento entre a estratégia de TI e a estratégia de negócios
Direcionar a execução da estratégia de TI Decisões sobre priorização de investimentos e
alocação de recursos Assegurar o cumprimento da estratégia de TI
Diretrizes claras, indicadores e metas objetivas Promover cultura de abertura e colaboração
entre as áreas de negócios e a área de TI
4
Professor Gledson [email protected]
Governança de TI
O quê: liderança, estruturas organizacionais e processos
Quem: executivos e alta direção (não é só a área de TI)
Para quê: garantir que a TI sirva como instrumento para sustentar e
ampliar o negócio da organização Como:
controle sobre os processos e recursos de TI para garantir qualidade, confiabilidade e segurança das informações
5
Professor Gledson [email protected]
Desafios
Aproveitar a capacidade da TI de impulsionar e transformar as práticas de negócios
Garantir o retorno dos investimentos em TI, por meio do equilíbrio entre o valor da informação e os custos de TI
Evitar as falhas de TI, que cada vez mais prejudicam o valor e a reputação da organização
Gerenciar os riscos gerados pela dependência de elementos fora do controle direto da organização
Gerenciar o impacto da TI sobre a continuidade de negócios, causado pela dependência da informação
6
Professor Gledson [email protected]
Focos da governança de TI
Alinhamento estratégico
Vinculação entre TI e negócios (planejamento e operações)
Agregação de valor
Garantia de alcance dos benefícios, com otimização de custos
Gerenciamento de recursos
Otimização dos investimentos e do uso dos recursos de TI
Gerenciamento de riscos
Incorporação do tratamento de riscos e da conformidade nos processos
Mensuração de desempenho
Uso do BSC para avaliar todas as dimensões da TI
7
Professor Gledson [email protected]
Princípios básicos
Objetivos de negócios requerem informações Informações devem atender aos critérios de qualidade,
segurança e confiabilidade
Informações são produzidas por recursos de TI Dados, aplicações, infra-estrutura e pessoas
Recursos de TI são gerenciados por processos Definição de responsabilidades e metas
Processos devem ser controlados Objetivos de controle, indicadores de desempenho e indicadores
de resultados
9
Professor Gledson [email protected]
Características gerais
Foco no negócio Alinhamento das metas de TI a metas de negócio
Orientado a processos Organização das atividades de TI em um modelo de processos
aplicável de forma geral Identificação de responsabilidades pelos processos nas áreas de
negócio e TI
Baseado em controles Definição dos objetivos de controle a serem considerados pela
gerência
Dirigido por métricas Uso de indicadores e modelos de maturidade
11
Professor Gledson [email protected]
Critérios da informação - Qualidade
Efetividade/Eficácia (Effectiveness) A informação deve ser pertinente e relevante para
o processo de negócio A informação deve ser entregue de forma
tempestiva, correta, consistente e em formato útil Eficiência
A informação deve ser provida por meio do uso otimizado dos recursos
13
Professor Gledson [email protected]
Critérios da informação - Segurança
Confidencialidade A informação deve ser protegida contra acesso não
autorizado Integridade
A informação deve ser precisa, completa, e válida de acordo com as expectativas e os valores do negócio
Disponibilidade A informação deve estar disponível quando requerido pelo
processo de negócio, agora e no futuro Os recursos e capacidades associados à informação
devem ser protegidos
14
Professor Gledson [email protected]
Critérios da informação - Adequação
Conformidade A informação obedece a leis, normas e contratos
aos quais o processo de negócio está sujeito, ou seja, aos requisitos impostos ao negócio
Confiabilidade A informação deve ser adequada para gerenciar
a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade
15
Professor Gledson [email protected]
Recursos de TI
Aplicações Sistemas automatizados e procedimentos manuais que
processam informações Dados
Dados capturados, processados e gerados por sistemas de informação, em qualquer formato usado pelo negócio
Infra-estrutura Recursos tecnológicos (hardware, sistemas operacionais,
sistemas de banco de dados, redes, etc.) e instalações físicas que suportam o processamento das aplicações
Pessoas Equipe necessária para planejar, organizar, adquirir,
implementar, entregar, suportar, monitorar e avaliar sistemas de informação e serviços de TI
16
Professor Gledson [email protected]
Orientado a processos
Informação
Recursos de TI
Planejamento e Organização
Aquisição e Implementação
Entrega e Suporte
Monitoramento e Avaliação
Governança de TI
Objetivos de Negócios
17
Professor Gledson [email protected]
Baseado em controles
Políticas, procedimentos, práticas e estruturas organizacionais para garantir que Os objetivos de negócio serão alcançados Os eventos indesejáveis serão prevenidos, se
possível, ou então detectados e corrigidos Além de controles gerais, aplicáveis a todos os
processos, cada processo possui seus próprios objetivos de controle Declarações dos resultados desejados ou do
propósito a ser alcançado pela implementação de controles sobre uma atividade
20
Professor Gledson [email protected]
Controles gerais de processos
PC1 Process Owner Cada processo deve ter um responsável
PC2 Repeatability Os processos devem ser executados de forma consistente
PC3 Goals and Objectives Os processos devem ter objetivos e metas claras
PC4 Roles and Responsibilities A responsabilidade pela execução das atividades dos processos deve
ser atribuída a papéis específicos PC5 Process Performance
Os processos devem ter seu desempenho medido PC6 Policy, Plans and Procedures
Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos
21
Professor Gledson [email protected]
Controles gerais de aplicação
AC1 Source Data Preparation and Authorisation Os documentos de origem devem ser preparados e aprovados segundo o critério
de segregação de funções AC2 Source Data Collection and Entry
Os dados devem ser almentados de forma tempestiva por pessoas autorizadas, e eventuais correções não devem comprometer os níveis de autorização do sistema
AC3 Accuracy, Completeness and Authenticity Checks Todas as transações devem ser precisas, completas e válidas
AC4 Processing Integrity and Validity Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de
processamento AC5 Output Review, Reconciliation and Error Handling
As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, entregues aos destinatários corretos e utilizadas corretamente
AC6 Transaction Authentication and Integrity Os dados passados entre aplicações ou áreas da organização devem ser
verificados quanto à autenticidade e integridade
22
Professor Gledson [email protected]
Dirigido por métricas
Modelos de maturidade Possibilitam benchmarking e identificação das
necessidades de melhoria Metas e indicadores de processos
Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC
Metas de atividades Direcionam o desempenho efetivo dos processos
23
Professor Gledson [email protected]
Modelo de maturidade
Os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações Esses níveis não estabelecem patamares evolutivos,
como no CMM/CMMI e em outros modelos similares A partir dos níveis de maturidade descritos para
cada um dos 34 processos, é possível identificar O desempenho real da organização (onde estamos) A situação de organizações similares (benchmarking) Os avanços possibilitados pelos modelos disponíveis A meta da organização (onde queremos estar)
24
Professor Gledson [email protected]
Modelo de maturidade
0 1 2 3 4 5
Nonexistent Initial Repeatable Defined Managed Optimised
Enterprise current status
International standard guidelines
Industry best practice
Enterprise strategy
Legend for Symbols Used Legend for Rankings Used
0 - Management processes are not applied at all.1 - Processes are ad hoc and disorganised.2 - Processes follow a regular pattern.3 - Processes are documented and communicated.4 - Processes are monitored and measured.5 - Best practices are followed and automated.
0 1 2 3 4 5
Nonexistent Initial Repeatable Defined Managed Optimised
Enterprise current status
International standard guidelines
Industry best practice
Enterprise strategy
Legend for Symbols Used Legend for Rankings Used
0 - Management processes are not applied at all.1 - Processes are ad hoc and disorganised.2 - Processes follow a regular pattern.3 - Processes are documented and communicated.4 - Processes are monitored and measured.5 - Best practices are followed and automated.
25
Professor Gledson [email protected]
Modelo de maturidade
Nível 0 – Inexistente Ausência de processos identificáveis A organização não reconhece que existe uma questão
a ser tratada Nível 1 – Inicial/Ad-hoc
A organização reconhece que existe uma questão a ser tratada
Abordagens improvisadas tendem a ser aplicadas a situações individuais
A gerência do processo é desorganizada
26
Professor Gledson [email protected]
Modelo de maturidade
Nível 2 – Repetível mas intuitivo Os processos se desenvolveram de modo que procedimentos similares
são executados por pessoas diferentes que realizam a mesma tarefa Não existe treinamento ou repasse formal de procedimentos, a
responsabilidade é deixada a cargo do indivíduo Existe alta dependência do conhecimento individual, o que gera grande
probabilidade de falhas Nível 3 – Processo definido
Procedimentos padronizados, documentados e comunicados por meio de treinamentos
Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados
Os procedimentos não são sofisticados, mas apenas formalização de práticas existentes
27
Professor Gledson [email protected]
Modelo de maturidade
Nível 4 – Gerenciado e mensurável É possível monitorar e medir a conformidade de procedimentos,
para agir quando os processos não estiverem funcionando de forma eficaz
Os processos sofrem melhorias constantes e estabelecem boas práticas
Ferramentas automatizadas são usadas de forma limitada ou fragmentada
Nível 5 – Otimizado Os processos foram refinados até alcançar as melhores práticas,
com base no resultado de melhoria contínua e comparações com outras organizações
A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos
28
Professor Gledson [email protected]
Metas e indicadores
Metas e indicadores são definidos em três níveis TI - definem o que o negócio espera da TI Processos - definem o que cada processo de TI deve
entregar para suportar as metas de TI Atividades - definem o que deve ser realizado no
âmbito de cada processo para alcançar o desempenho esperado
São definidos dois tipos de indicadores Métricas de resultado (antigo KGI) - indicam se as
metas foram alcançadas no passado Indicadores de desempenho (antigo KPI) - indicam se
as metas poderão ser alcançadas no futuro
29
Professor Gledson [email protected]
Metas e indicadores
Metas são derivadas em cascata Objetivos do negócio para metas de TI Metas de TI para metas de processos Metas de processos para metas de atividades
30
Professor Gledson [email protected]
Metas e indicadores
Métricas de resultado são definidas para cada uma das metas estabelecidas Métricas de resultado de um nível servem como
indicadores de desempenho para o nível seguinte
31
Professor Gledson [email protected]
Metas e indicadores
Métricas de resultado detalham os objetivos a serem alcançados pelo processo (o quê) Indicadores imediatos de sucesso no alcance da meta Foco nas perspectivas financeira e de clientes do BSC Medem a TI com a visão do negócio Foco nos critérios da informação considerados mais
relevantes para cada processo Indicadores de desempenho monitoram os
elementos críticos do processo (como) Indicadores da probabilidade de alcance da meta no futuro Foco nas perspectivas de processos e aprendizado Foco nos recursos mais importantes para cada processo
33