Governana de Tecnologia

da Informao

Modelos
Abrangentes de
Governana de TI
Profa. Joyce C. P. Carvalho
joyce@pucminas.br

Modelos de Governana de TI

ISO/IEC 38500

Modelos criados pela ISACA (Information

Systems Audit and Control Association)

CobiT
VAL IT
Risk IT

ISO/IEC 38500

Objetivos:

Garantir que, se a norma for seguida, pode-se

confiar na governana de TI na organizao.
Informar e orientar os dirigentes quanto ao uso da
TI em suas organizaes.
Fornecer uma base para uma avaliao objetiva
da governana corporativa de TI.

No objeto de certificao.
3

Estrutura da norma

Princpio 1 Responsabilidade

Princpio 2 Estratgia

Princpio 3 Aquisio

Princpio 4 Desempenho

Princpio 5 Conformidade

Princpio 6 Comportamento Humano

4

Estrutura da Norma

Princpio 1 Responsabilidade

Os indivduos e grupos dentro da organizao

compreendem e aceitam suas responsabilidades
com respeito ao fornecimento e demanda de TI.

Princpio 2 Estratgia

A estratgia de negcio da organizao leva em

conta as capacidades atuais e futuras de TI.

Estrutura da Norma

Princpio 3 Aquisio

As aquisies de TI so feitas por razes vlidas,

com base em anlise apropriada e contnua, com
tomada de deciso clara e transparente.

Princpio 4 Desempenho

A TI adequada ao propsito de apoiar a

organizao, fornecendo servios, nveis de
servio e qualidade de servio.
6

Estrutura da Norma

Princpio 5 Conformidade

A TI cumpre com toda a legislao e os

regulamentos obrigatrios.

Princpio 6 Comportamento humano

As polticas, prticas e decises de TI

demonstram respeito pelo comportamento
humano, incluindo as necessidades atuais e
futuras de todas as pessoas no processo.
7

ISO 38500 - Modelo

A norma preconiza que os dirigentes

governem a TI atravs de trs tarefas
principais:

Avaliar
Dirigir
Monitorar

ISO 38500 - Modelo

Avaliar

Os dirigentes devem examinar e avaliar o uso atual e

futuro da TI, incluindo estratgias, propostas e
arranjos de fornecimento.

Dirigir

Designao de responsabilidades e a preparao e

implementao dos planos e polticas.

ISO 38500 - Modelo

Monitorar

Os dirigentes devem monitorar atravs de sistemas

de mensurao apropriados, verificando se o
desempenho est de acordo com os planos e os
objetivos de negcio e se a TI est em conformidade
com as obrigaes externas e prticas internas de
trabalho.

10

Ciclo Avaliar-Dirigir-Monitorar

Fonte: ABNT (2009)

11

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Responsabilidade
Avaliar
- Opes de delegao
de responsabilidades.
- Competncias
daqueles a quem for
delegada a
responsabilidade pela
tomada de deciso em
TI.

Dirigir
Exigir que os planos
sejam cumpridos de
acordo com as
responsabilidades
delegadas.

Monitorar
- Que os mecanismos
apropriados de
governana de TI
sejam estabelecidos.
- Que aqueles que
receberam
responsabilidades
reconheam e
compreendem suas
responsabilidades.
- O desempenho
daqueles a quem foi
delegada
responsabilidades pela
12
governana de TI.

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Estratgia
Avaliar

Dirigir

Monitorar

- Os desenvolvimentos
em TI para que esta
esteja apoiando o
negcio.
- O alinhamento da TI
com os planos e
polticas da
organizao.
- O risco da TI para o
negcio.

- A preparao de
planos e polticas para
que a organizao seja
beneficiada com o uso
da TI.
- Encorajar os
dirigentes a apresentar
propostas para uso
inovadores de TI.

- O progresso das
propostas de TI
aprovadas.
- Se os benefcios com
a TI esto sendo
alcanados.

13

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Aquisio
Avaliar
- Opes de
fornecimento da TI.

Dirigir
- Orientar para que os
ativos de TI sejam
adquiridos de forma
apropriada.
- Certificar-se de que
os acordos de
fornecimento daro
suporte s
necessidades da
organizao.

Monitorar
-Os investimentos de
TI.
- Compreenso mtua
dos objetivos da
aquisio por parte da
organizao e dos
fornecedores.

14

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Desempenho
Avaliar

Dirigir

Monitorar

- Riscos continuidade
do negcio.
- Riscos integridade
da informao e
proteo dos ativos de
TI.
- A eficcia e o
desempenho do
sistema de Governana
de TI da organizao.

- Assegurar a alocao
de recursos suficientes,
de forma a garantir que
a TI atenda s
necessidades da
organizao, de acordo
com prioridades
acordadas e restries
oramentrias.

-At que ponto a TI d

suporte ao negcio.
-Se os recursos e o
oramento foram
priorizados de acordo
com os objetivos do
negcio.
- Se as polticas so
seguidas corretamente.

15

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Conformidade
Avaliar

Dirigir

Monitorar

- At que ponto a TI
cumpre com as
obrigaes de
conformidade interna e
externa (compliance).
- Conformidade interna
com o seu sistema de
governana de TI.

Exigir dos responsveis

que:
- a TI esteja conforme
com as exigncias
legais.
- polticas sejam
estabelecidas e
cumpridas.
- aes de TI sejam
ticas.

-O cumprimento e a
conformidade da TI por
meio de relatos
apropriados e prticas
de auditoria.
- As atividades de TI
para assegurar o
cumprimento das
exigncias ambientais,
de privacidade, de
gerenciamento do
conhecimento
estratgico e de
preservao da
16
memria
organizacional.

Ciclo Avaliar-Dirigir-Monitorar
Princpio: Comportamento Humano
Avaliar
As atividades de TI
para garantir que os
comportamentos
humanos sejam
identificados e
apropriadamente
considerados.

Dirigir
-Exigir que as
atividades de TI
estejam compatveis
com as diferenas de
comportamento
humano.
- Exigir que riscos,
oportunidades,
constataes e
preocupaes possam
ser identificados e
relatados por qualquer
pessoa a qualquer
momento.

Monitorar
- Atividades de TI para
garantir que os
comportamentos
humanos identificados
permaneam
relevantes e que lhes
sejam dadas a devida
ateno.

17

Modelos de Governana de TI

Modelos criados pela ISACA (Information

Systems Audit and Control Association)

CobiT
VAL IT
Risk IT

18

CobiT

Control Objectives for Information and related

Technology

um framework de governana de TI.

O modelo do CobiT genrico o bastante

para representar todos os processos
normalmente encontrados nas funes de TI.
19

CobiT

O principal objetivo das prticas do CobiT

contribuir para o sucesso da entrega de
produtos e servios de TI com um foco mais
acentuado no controle que na execuo.

20

CobiT

Estabelece relacionamentos com os

requisitos do negcio.
Organiza as atividades de TI em um modelo
de processos genrico.
Identifica os principais recursos de TI, nos
quais deve haver mais investimento.
Define os objetivos de controle que devem
ser considerados para a gesto.
21

Val IT

Modelo desenvolvido como resposta

necessidade de demonstrao do retorno
financeiro que a TI fornece para o negcio.

Estende e complementa o CobiT, uma vez

que aborda a tomada de decises em
relao aos investimentos em TI.

22

Val IT

Objetivos:

Auxiliar a gerncia para assegurar que as

organizaes obtenham o mximo retorno dos
investimentos em TI.
Prover diretrizes, processos e prticas de apoio
para subsidiar a diretoria e a gesto executiva no
entendimento e desempenho dos seus
respectivos papis em relao aos investimentos
de TI.
23

Risk IT

Modelo para auxiliar no gerenciamento de

riscos relacionados a TI.

Complementar ao CobiT.

24

Risk IT

Objetivos:

Integrar o gerenciamento de risco de TI com o

Sistema de Gerenciamento de Riscos da
Organizao.
Tomar decises bem informadas sobre a
extenso e tolerncia de riscos da organizao.
Entender como responder aos riscos.

25

Integrao Risk IT, Val IT e

CobiT

26

Integrao entre os Modelos

Risk IT fornece os elementos para a governana dos

riscos, sua identificao, gerencia e comunica o risco.

CobiT estabelece os controles necessrios para a TI

mitigar os riscos.

Quando o risco identificado uma oportunidade para a

TI melhorar processos, o Val IT entra em cena,
fornecendo para o gerenciamento dos riscos os
elementos de retorno do investimento das iniciativas, de
forma que possa verificar a viabilidade econmica das
mesmas.
27

Dvidas?

28