COBIT

Evoluo Estratgica A) Provedor de Tecnologia Gerenciamento de Infra-estrutura de TI ITI!) B) Provedor de "ervios Gerenciamento de "ervios de TI IT"!) C) Parceiro Estratgico Governana de TI#

$esafios de TI !anter os servios de TI dis%on&veis# Gerar valores nos %ro'etos de TI# (edu)ir custos e riscos# Crescimento da com%le*idade dos am+ientes de TI# Alin,amento da TI com a estratgia do neg-cio# Conformidade com as normas regulat-rias# !anter a segurana so+re as informa.es#

Governana de TI um con'unto de estruturas e %rocessos /ue visa garantir /ue a TI su%orte e ma*imi)e ade/uadamente os o+'etivos e estratgias de neg-cio da organi)ao0 adicionando valores aos servios entregues0 +alanceando os riscos e o+tendo o retorno so+re os investimentos em TI#

$iferena entre Gerenciamento de TI e Governana de Ti O Gerenciamento de TI foca em fornecer servios de TI en/uanto a Governana de TI se

%reocu%a com as o%era.es e desem%en,o dos neg-cios#

Princ&%ios de Governana da TI $ireo e Controle# (es%onsa+ilidade# Prestao de Contas# Atividades controladas atravs de mtricas e indicadores#

Esco%o da Governana Alin,amento Estratgico# Entrega de 1alor# Gerenciamento de (iscos# Gerenciamento de (ecursos# !onitorao de $esem%en,o#

Gerenciamento dos (iscos !itigao# Aceitao# Transfer2ncia# Evitar3Eliminar#

Para /ue a monitorao de desem%en,o ter sucesso0 mtricas eficientes devem ser definidas e a%rovadas %elos sta4e,olders# Estas mtricas %odem ser acom%an,adas usando scorecards de %erformance %ontos de refer2ncia de %erformance)#

Balanced "corecards 5 uma ferramenta ou metodologia /ue tradu) a misso e a viso das em%resas em um con'unto a+rangente de medidas de desem%en,o /ue serve de +ase %ara um sistema de medio e gesto estratgica# Clientes# Gerenciamento 6inanceiro# Processos# Con,ecimento#

Caracter&sticas de uma estrutura de controle

Benef&cios da Governana de TI Confiana da alta administrao# TI mais com%rometida com o neg-cio# (etorno so+re o investimento# "ervios mais confi7veis# !aior trans%ar2ncia#

O COBIT um frame8or4 de governana e controle /ue foca no /ue %recisa ser alcanado em ve) de se %reocu%ar em como alcanar#

Com%onentes do 6rame8or4 do COBIT A) Critrios de Informao Efic7cia# Efici2ncia# Confidencialidade# Integridade# $is%oni+ilidade# Confia+ilidade# Conformidade#

B) Processos $om&nios PO0 AI0 $"0 !E)# Processos Atividades#

C) (ecursos de TI A%lica.es# Informa.es# Infra-estrutura# Pessoas#

!isso do COBIT Pes/uisar0 desenvolver0 %u+licar e %romover um con'unto de o+'etivos de controle %ara a tecnologia /ue se'a em+asado0 atual0 internacional e aceito em geral %ara o uso do

dia-a-dia de gerentes de neg-cios e auditores#

O CO"O %ara controles internos#

6ilosofia do COBIT O COBIT +aseado na filosofia /ue os recursos de TI %recisam ser gerenciados %or um con'unto de %rocessos agru%ados naturalmente com o o+'etivo de fornecer informao %ertinente e confi7vel %ara /ue a organi)ao consiga alcanar seus o+'etivos#

O %rinc&%io do frame8or4 do Co+it vincular as e*%ectativas dos gestores de TI com as res%onsa+ilidades dos gestores de TI# O o+'etivo facilitar a Governana de TI 9 gerar valor em TI en/uanto se gerencia os recursos de TI#

:GI;s :PI;s

"o medidos a%-s o fato ocorrido :e< goal indicators)# "o medidos antes do fato :e< %erformance indicators)#

O COBIT centrali)ado %erante os outros %rocessos#

Com%onentes das $iretri)es de Gerenciamento Entrada e sa&da de %rocessos# Atividades de gerenciamento e gr7fico (ACI# O+'etivos de neg-cio0 TI0 %rocessos e atividades# !tricas 9 Indicadores de mtricas# !tricas 9 Indicadores de desem%en,o# !odelos de maturidade# !odelos de !aturidade 5

= 9 Ine*istente Processos de gerenciamento no so a%licados a todos# > 9 Inicial Os %rocessos so desorgani)ados# ? 9 (e%et&vel Os %rocessos seguem um %adro regular# @ 9 $efinido Os %rocessos so documentados e comunicados# A 9 Organi)ado Os %rocessos so monitorados e medidos# B 9 Otimi)ado As mel,ores %r7ticas so seguidas e automati)adas#

Benef&cios do 6rame8or4 A roda '7 e*iste# Estruturado# !el,ores %r7ticas# Audit7vel# Com%artil,amento de con,ecimentos#

Princi%ais Benef&cios do COBIT O Co+it lida com todos os as%ectos dos %ro+lemas relacionados com a Governana de TI# O Co+it foi criado %or um grande nCmero de es%ecialistas e e*%erts /ualificados# O ITGI a'udou com os seus @B anos de e*%eri2ncia em segurana em TI no desenvolvimento do Co+it#

O Co+it est7 em manuteno cont&nua# Periodicamente uma nova verso %u+licada# Os %atrocinadores do Co+it so organi)a.es sem fins lucrativos0 sua misso a'udar seus clientes a alcanar seus o+'etivos %rinci%ais# O Co+it %ode ser a%licado em em%resas de %e/ueno e grande %orte# Dsando o Co+it %ode ser introdu)idas ordem e /ualidade em uma %ol&tica de TI#

(e/uisitos de Controle Genrico

Cada Processo do Co+it tem seis re/uisitos de controle genrico /ue so comuns %ara todos os %rocessos0 os /uais so definidos na estrutura# Eles %odem ser analisados em con'unto com os o+'etivos de controle do %rocesso de forma detal,ada %ara /ue se %ossa ter uma viso dos re/uisitos de controle# PC> 9 (es%ons7vel %elo %rocesso# PC? 9 (e%etitividade# PC@ 9 !etas e o+'etivos definidas %ara cada %rocesso)# PCA 9 6un.es e res%onsa+ilidades# PCB 9 $esem%en,o do %rocesso medido em relao as suas metas)# PCE 9 Pol&ticas0 %lanos e %rocedimentos#

Controle de A%lica.es O Co+it assume /ue o %ro'eto e im%lementao de controles de a%lica.es automati)adas devem ser de res%onsa+ilidade da TI0 co+erto no dom&nio de A/uisio e Im%lementao0 +aseados nos re/uisitos de neg-cio definidos usando os critrios de 7

informao do Co+it# AC> 9 Autori)ao e %re%arao de fonte de dados# AC? 9 Fevantamento e entrada de dados# AC@ 9 1erifica.es da e*atido0 da integralidade e da autenticidade# ACA 9 Integridade e validao do Processamento de $ados# ACB 9 (eviso de sa&da0 conciliao e mani%ulao de erro# ACE 9 Integridade e autenticao da transao#

O+'etivos de controle de alto n&vel do dom&nio %lane'ar e organi)ar PO)#

PO> 9 $efinir um %lano estratgico %ara TI# PO? 9 $efinir a ar/uitetura da informao#

PO@ 9 $eterminar a direo tecnol-gica# POA 9 $efinir a organi)ao de TI0 seus %rocessos e relacionamentos# POB 9 Gerenciar os investimentos de TI# POE 9 Comunicar o+'etivos e direcionamentos gerenciais# POG 9 Gerenciar os recursos ,umanos de TI# POH 9 Gerenciar a /ualidade# POI 9 Avaliar e gerenciar os riscos de TI# PO>= 9 Gerenciar %ro'etos# O+'etivos de controle de alto n&vel do dom&nio ad/uirir e im%lementar AI)#

O+'etivos de controle de alto n&vel do dom&nio entregar e su%ortar $")#

O+'etivos de controle de alto n&vel do dom&nio monitorar e avalidar !E)#

AI> 9 Identificar solu.es automati)adas# AI? 9 Ad/uirir e manter soft8are a%licativo# AI@ 9 Ad/uirir e manter a infra-estrutura tecnol-gica# AIA 9 1ia+ili)ar o%erao e utili)ao# AIB 9 Ad/uirir recursos de TI# AIE 9 Gerenciar mudanas# AIG 9 Instalar e a%rovar solu.es e mudanas#

10

$"> 9 $efinir e gerenciar n&veis de servio# $"? 9 Gerenciar servios terceiri)ados# $"@ 9 Gerenciar o desem%en,o e a ca%acidade# $"A 9 Assegurar a continuidade dos servios# $"B 9 Assegurar a segurana dos sistemas# $"E 9 Identificar e alocar os custos# $"G 9 Educar e treinar usu7rios# $"H 9 Gerenciar a central de servios e os incidentes# $"I 9 Gerenciar a configurao# $">= 9 Gerenciar %ro+lemas# $">> 9 Gerenciar dados# $">? 9 Gerenciar o am+iente f&sico# $">@ 9 Gerenciar as o%era.es# !E> 9 !onitorar e avaliar o desem%en,o da TI# !E? 9 !onitorar e avaliar os controles internos# !E@ 9 Assegurar a conformidade com os re/uisitos e*ternos# !EA 9 6ornecer governana %ara a TI# PO>= 9 Gerenciar Pro'etos

PO>=#> 9 Estrutura de Gerenciamento de Programas# !ant2m o %rograma de %ro'etos relacionado no %ortf-lio de %rogramas de investimentos de TI atravs de identificao0 definio0 avaliao0 %riori)ao0 seleo0 iniciali)ao0 gerenciamento e controle dos %ro'etos# Assegura /ue os %ro'etos su%ortem os o+'etivos do %rograma# Coordena as atividades e interde%end2ncias de mClti%los %ro'etos0 gerencia a contri+uio de todos os %ro'etos com o %rograma %ara alcanar os resultados es%erados e resolver solicita.es de recursos e conflitos#

11

PO>=#? 9 Estrutura de Gerenciamento de Pro'etos# Esta+elece e manter a estrutura de gerenciamento de %ro'etos /ue define o esco%o e as fronteiras dos %ro'etos gerenciados0 +em como a metodologia a ser integrada com os %rocessos de gerenciamento de %rograma#

PO>=#@ 9 Im%lementao3Enfo/ue de Gerenciamento de Pro'etos# Esta+elece um gerenciamento de %ro'etos a%ro%riado com o taman,o0 com%le*idade0 e re/uisitos regulat-rios de cada %ro'eto#A estrutura de governana do %ro'eto %ode incluir fun.es0 res%onsa+ilidades0 %resta.es de conta ao %atrocinador0 %atrocinadores do %ro'eto0 comit2 de avaliao0 escrit-rio de %ro'eto e a gerente de %ro'eto0 e os mecanismos /ue %ossam ser e*ecutados de acordo com suas res%onsa+ilidades como relat-rios e revis.es de estado# Assegura /ue todos os %ro'etos de TI tem %atrocinadores com autoridade suficiente %ara autori)ar a e*ecuo do %ro'eto dentro da estratgia do %rograma#

PO>=#A 9 Com%rometimento das Partes Interessadas# O+t2m o com%rometimento e %artici%ao de todas as %artes interessadas afetadas %ela definio e e*ecuo do %ro'eto dentro do conte*to de todo o %rograma de investimentos de TI#

PO>=#B 9 $eclarao de Esco%o do Pro'eto# $efine e documenta a nature)a do esco%o do %ro'eto %ara confirmar e desenvolver entre as %artes interessadas um entendimento comum do esco%o do %ro'eto e como ele se relaciona com outros %ro'etos dentro de todo o %rograma de investimentos da TI# A definio deve ser formalmente a%rovada %elo %atrocinador do %ro'eto e %rograma antes 12

do in&cio do %ro'eto#

PO>=#E 9 6ase de Iniciao do Pro'eto# A%rova a iniciao de cada fase do %ro'eto e comunica a todas as %artes interessadas# Baseia a a%rovao na fase de iniciao em decis.es de governana dos %rogramas# A a%rovao de fases su+se/Jentes deve ser +aseada na reviso e aceitao das entregas das fases anteriores0 e a%rovados e atuali)ados os casos de neg-cio li.es a%rendidas) na %r-*ima reviso de %rogramas# Ka inter%osio das fases0 uma a%rovao deve ser esta+elecida %elo %atrocinador do %ro'eto e %rograma %ara autori)ar a continuidade do %ro'eto#

PO>=#G 9 Plano do Pro'eto Integrado# Esta+elece um %lano de %ro'eto integrado a%rovado e formal co+rindo os neg-cios e os recursos dos sistemas de informao) %ara guiar a e*ecuo e o controle do %ro'eto# As atividades e interde%end2ncias de mClti%los %ro'etos dentro do %rograma devem ser entendidas e documentadas# O %lano de %ro'eto deve ser atuali)ado durante todo o ciclo de vida do %ro'eto# O %lano de %ro'eto e as mudanas relacionadas devem ser a%rovadas de acordo com a estrutura de governana dos %ro'etos e %rogramas#

PO>=#H 9 (ecursos do Pro'eto $efine as res%onsa+ilidades0 relacionamentos0 autoridades e critrios de desem%en,o dos mem+ros da e/ui%e do %ro'eto0 e es%ecifica +ases %ara contratao e alocao dos mem+ros da e/ui%e e3ou contratados %ara o %ro'eto# A contratao de %rodutos e servios %ara cada %ro'eto deve ser %lane'ada e gerenciada %ara atingir os o+'etivos o %ro'eto usando as %r7ticas de contratao da organi)ao#

13

PO>=#I 9 Gerenciamento de (iscos do Pro'eto# Eliminar ou minimi)ar os riscos es%ec&ficos associados com %ro'etos individuais atravs de um %rocesso sistem7tico de %lane'amento0 identificao0 an7lise0 monitorao e controle das 7reas ou eventos /ue %ossam causar uma %otencial mudana no dese'ada# Os riscos so ma%eados %elos %rocessos de gerenciamento de %ro'eto e os resultados devem ser esta+elecidos e registrados de uma forma centrali)ada#

PO>=#>= 9 Plano de Lualidade do Pro'eto# Pre%ara o %lano de gerenciamento da /ualidade /ue descreve o sistema de /ualidade do %ro'eto e como im%lement7-lo# O %lano deve ser revisado formalmente e estar de acordo com todas as %artes envolvidas e incor%orado dentro do %lano integrado do %ro'eto#

PO>=#>> 9 Controle de !udanas do Pro'eto# Esta+elece um sistema de controle de mudanas %ara cada %ro'eto0 assim todos as mudanas %ara a lin,a de +ase do %ro'eto %or e*em%lo0 custo0 cronograma0 esco%o0 /ualidade) so revisadas a%ro%riadamente0 a%rovadas e incor%oradas dentro de um %lano de %ro'eto integrado e de acordo com a estrutura de governana dos %ro'etos e %rogramas#

PO>=#>? 9 Plane'amento do %ro'eto de !todos de Garantia# Esta+elece um sistema de controle de mudanas %ara cada %ro'eto0 assim todos as mudanas %ara a lin,a de +ase do %ro'eto %or e*em%lo0 custo0 cronograma0 esco%o0 /ualidade) so revisadas a%ro%riadamente0 a%rovadas e incor%oradas dentro de um %lano de %ro'eto integrado e de acordo com a estrutura de governana dos %ro'etos e %rogramas#

14

PO>=#>@ 9 !onitorao0 (elato e Avaliao de $esem%en,o do Pro'eto# !edidas de desem%en,o do %ro'eto em relao ao desem%en,o do esco%o do %ro'eto0 cronograma0 /ualidade0 custos e critrios de riscos# Identifica /ual/uer desvio do %lano do %ro'eto# Avalia o im%acto do desvio do %ro'eto e de todo o %rograma0 re%orta os resultados %ara as %artes interessadas c,aves# (ecomenda0 im%lementa e monitora a.es corretivas de acordo com a estrutura de governana de %ro'etos e %rogramas#

PO>=#>A 9 Encerramento do Pro'eto# "olicita /ue a cada fase final do %ro'eto0 as %artes interessadas do %ro'eto atestem as entregas do %ro'eto0 seus resultados %lane'ados e seus +enef&cios# Identifica e comunica /ual/uer atividade %endente solicitada %ara atingir o resultado %lane'ado do %ro'eto e os +enef&cios do %rograma0 e identifica e documenta as li.es a%rendidas %ara uso em %ro'etos e %rogramas futuros#

$"=? 9 Gerenciar "ervios de Terceiros

$"?#> 9 Identificao de Todos dos (elacionamentos com 6ornecedores# Identifica todos os servios dos fornecedores0 e os categori)a de acordo com o ti%o de fornecedor0 im%ortMncia e criticidade# !ant2m uma documentao formal dos relacionamentos tcnicos e organi)acionais0 co+rindo fun.es e res%onsa+ilidades0 o+'etivos0 resultados es%erados e o nome dos contatos destes fornecedores#

$"?#? 9 Gerenciamento de (elacionamento com 6ornecedores# 6ormali)a o %rocesso de gerenciamento de relacionamento com cada fornecedor# Os 15

res%ons7veis %elo relacionamento %recisam ligar as /uest.es do cliente com o fornecedor e assegurar /ue o relacionamento este'a +aseado na verdade e na trans%ar2ncia0 %or e*em%lo0 atravs dos acordos de n&vel de servio#

$"?#@ 9 Gerenciamento de (iscos com 6ornecedores# Identifica e mitiga os riscos relacionados com a ,a+ilidade do fornecedor em continuar a entrega efetiva do servio de uma forma segura e eficiente# Assegurar /ue os contratos este'am em conformidade com os %adr.es de neg-cios universais de acordo com os re/uisitos legais e regulat-rios# O gerenciamento de riscos deve considerar o descum%rimento de acordos0 via+ilidade de %erman2ncia dos fornecedores0 conformidade com os re/uisitos de segurana0 alternativas de fornecedores0 multas e %enalidades0 etc#

$"?#A 9 !onitorao de $esem%en,o com 6ornecedores# Esta+elece um %rocesso %ara monitorar a entrega de servio assegurando /ue os fornecedores esto atendendo os re/uisitos de neg-cio e esto atendendo os contratos acordados e os acordos de n&veis de servio e /ue o desem%en,o est7 de acordo com o fornecido %or fornecedores alternativos com as mesmas condi.es de mercado#

Testes de Conformidade

Assess

Co+it On-line 5 uma +ase de recursos na internet0 onde %oss&vel +ai*ar diversos ar/uivos em P$60 %ostar dCvidas na comunidade on-line0 o+ter indicadores %ara os o+'etivos de controles e

16

reali)ar +enc,mar4 %ara avaliao de maturidade dos %rocessos com outras em%resas#

Co+it Luic4"tart 5 uma verso resumida dos recursos do Co+it focada nos %rocessos de TI0 o+'etivos de controle e mtricas0 e a'uda os usu7rios a gan,ar ra%idamente os +enef&cios do Co+it# 5 direcionado %ara em%resas de %e/ueno e mdio %orte# 6ornece uma seleo dos itens +7sicos do Co+it# 6ornece um fundamento das %rinci%ais a.es a e*ecutar# Est7 dis%on&vel a %artir do Co+it on-line#

Guia de Im%lementao de Governana de TI 6ornece uma metodologia0 um roadma% detal,ado e um con'unto de ferramentas %ara im%lementar um clico de vida de Governana de TI cont&nuo usando o Co+it#

5 focado e uma metodologia genrica nas seguintes 7reasN Por /ue a Governana de TI im%ortante e %or/ue as organi)a.es devem im%lement7-la# Como o Co+it est7 vinculado com a Governana de TI e como o Co+it %ossi+ilita a im%lementao da Governana de TI# "ta4e,olders /ue tem interessa na Governana de TI# Dm roadma% %ara im%lementar a Governana de TI usando o Co+it#

Co+it "ecurit< Baseline A'uda uma organi)ao a se focar nos %assos essenciais %ara e*trair as informa.es mais im%ortantes relacionadas a segurana da estrutura do Co+it#

17

18