Vous êtes sur la page 1sur 30

Curso e- Learning

Governana de TI

utilizando o modelo do COBIT

O contedo deste curso contem marcas registradas de outras organizaes nas quais as
propriedades so citadas ao logo do curso sem infringir os direitos autorais de terceiros. A cpia ou
redistribuio deste material sem permisso no permita.
O COBIT uma marca registrada da ISACA. Site oficial www.isaca.org

Objetivos do Curso
O propsito deste curso apresentar os conceitos e definies da Governana de TI e a
utilizar na prtica os objetivos de controle propostos pelo COBIT - Control Objectives for
Information and Related Technology.
Durante este curso iremos aprender:
 A evoluo da Funo TI ao longo dos anos;
 A importncia de TI e como as questes de TI afetam as organizaes;
 Conceitos de Governana Corporativa e Governana de TI;
 A necessidade de controles para a Governana de TI;
 Como o COBIT pode ajudar;
 Padres e melhores prticas de mercado;
 Estrutura do COBIT - Objetivos de Controle, Prticas de Controle, Diretrizes de
Gerenciamento, Diretrizes de Auditoria;
 Os benefcios e desvantagens do uso de controles;
 Os produtos e suporte fornecido pelo ITGI (IT Governance Institute).

Contedo Programtico
MDULO 1

Evoluo da gesto e desafios atuais da TI, viso geral do Comit da Basilia,


Sarbanes-Oxley, COBIT, ISO 27001, 17799, 2000-1 e exerccios.

MDULO 2

Relacionamento entre os diversos padres de mercado: COBIT, ITIL, ISO, COSO


etc., o que governana de TI e exerccios.

MDULO 3

Continuao O que governana de TI, estruturas, domnios, responsabilidades,


benefcios e exerccios

MDULO 4

O que o COBIT, aplicao, origens, evoluo, princpios, filosofia, estrutura, famlia


de produtos e exerccios

MDULO 5

Estrutura do COBIT e exerccios

MDULO 6

Objetivos de controle e controles e exerccios

MDULO 7

Gerenciamento, Scorecards, mtricas, Indicadores de metas e de performance,


maturidade de processo, anlise de gaps e exerccios.

MDULO 8

Diretrizes de auditoria e exerccios

Mdulo 1
Evoluo da gesto e desafios atuais da TI, viso geral do
Comit da Basilia, Sarbanes-Oxley, COBIT, ISO 27001,
17799, 20000-1, etc. e exerccios

Evoluo da Gesto de TI
Evoluo da Funo de TI dentro das organizaes
Maturidade da TI

Parceiro
Estratgico

Governana de TI
ITSM

Provedor
de Servio
ITIM
Provedor
de Tecnologia

Tempo
ITIM = IT Infrastructure Management
ITSM = IT Service Management

Evoluo da Gesto de TI
Provedor de Servios

Parceiro Estratgico

 A TI busca eficincia

 A TI busca o crescimento do negcio

 Os oramentos so baseados em
benchmarks externos

 Os oramentos so baseados na
estratgia do negcio

 A TI atua independente do negcio

 A TI inseparvel do negcio

 A TI vista como uma despesa a ser


controlada

 A TI vista como um investimento a ser


gerenciado

 Os gerentes de TI so tcnicos

 Os gerentes de TI so solucionadores de
problemas de negcio

TI

Negcio

TI Negcio

Evoluo da Gesto de TI
Maturidade do
Gerenciamento de TI

ISO 20.000
BS 15.000
BSI Code &
OGC ITIL 2
IBM ISMA
Idade
Escura da TI

1970

1980

HP ITSM
ITIL

1990

2000

2005

Tempo

Evoluo das metodologias para gerenciamento de TI


IBM - ISMA Information Systems Management Architecture - Modelo de processo criado pela IBM em 1980
para gesto de computadores.
HP - ITSM Information Technology Service Management - Framework da HP que foi baseado na ITIL para
gesto de servios da HP, para atender provedores de servios e parceiros da HP.
ITIL V2 - Verso 2 da ITIL lanada em 2000.
BSI CODE= Cdigo de Prtica da BSI para o Gerenciamento de Servios de TI antiga BS 15000

Evoluo da Gesto de TI
Servios de TI
Com o aumento da sua importncia para a organizao
TI passou a ter os seguintes desafios:
Contabilidade Gesto
de www
Ped
ido
s

ERP

CRM

E-m
ail

Infra-estrutura

 Alinhar os servios com as necessidades atuais e


futuras do negcio;
 Conviver com ambientes cada vez mais complexos;
 O Negcio depender de TI;
 Reduzir custos e riscos;
 Justificar retorno sobre os investimentos em TI;
 Manter conformidade com leis e regulamentos;
 Garantir a segurana das informaes; etc.

Evoluo da Gesto de TI
Alinhamento dos servios de TI com o negcio
Razes pela falta de alinhamento da TI com o negcio:
 Falta de definio dos requisitos de negcio;
 Falta de definio de prioridades;
 Complexidade dos projetos;
 Falta de comprometimento da alta direo;
 Problemas de comunicao entre o negcio e a TI;
 Falta de recursos humanos e financeiros;
 Lideranas de TI ainda despreparadas para compreender seu papel e atuar
estrategicamente.

Evoluo da Gesto de TI
Ambientes de TI cada vez mais complexos
Por que os ambientes de TI esto cada vez mais complexos?
 Nmero maior de sistemas para cada negcio da empresa;
 Novas tecnologias criando uma infra-estrutura de TI
mais complexa;
 Necessidade de treinamento contnuo para manter
a equipe atualizada;

Prestador
Servio

Prestador
Servio

 Empresas globalizadas com vrias filiais em diversos pases,


com infra-estrutura de TI para cada uma;
 Aumento da quantidade de prestadores de servio, exigindo
maior controle sobre os contratos; etc.

TI

Prestador
Servio

Evoluo da Gesto de TI
O Negcio dependendo de TI
TI parar pode, por exemplo, acarretar nos seguintes problemas:
 Reduo de vendas e atraso nas entregas com a parada do sistema de emisso de
pedidos e de notas fiscais;
 Produo que dependente de sistemas inoperante;
 Pessoal administrativo impossibilitado de executar suas tarefas;
 Clientes sem acesso a informaes;
 Impacto negativo da imagem da empresa no mercado;
 Etc.

Evoluo da Gesto de TI
Reduo de Custos e Riscos
Motivos que geram riscos as operaes de TI:
 Falta gesto financeira, contabilizao dos custos de TI e
avaliao do retorno aps os investimentos;
Falta gesto de mudanas, avaliao de
impactos e custos relacionados;
Falta gesto de projetos, resultando em atrasos e custos no
previstos;
Falta gesto de contratos com fornecedores;
Falta hardware e software adequados;
Falta desenvolvimento das competncias necessrias;
Falta recursos humanos;
Etc.
E mesmo assim TI tem que fornecer os servios necessrios
garantindo a reduo de custos e riscos

Evoluo da Gesto de TI
Reduo de Custos e Riscos
TI tem que conviver com uma difcil equao:

Custo +

Qualidade +

Risco +

Agilidade

Evoluo da Gesto de TI
Reduo de Custos e Riscos / ITIL e ISO 20000-1
A gesto de servios de TI realizada de forma profissional e baseada nos princpios do
ITIL e da ISO 20000-1 esto ajudando os processos de TI a melhorarem seu
desempenho:
 O governo da Inglaterra lana a Biblioteca de Infra-Estrutura de TI (ITIL) em 1989;
 ITIL define as "melhores prticas" para processos e procedimentos;
 itSMF criado em 1991 para desenvolver melhores prticas adicionais;
 itSMF aborda a BSI para desenvolver uma norma;
 A BS 15000 publicada em 2000 como uma especificao (revisada em 2002);
 A ISO / IEC 20000 publicada em 2005.
A ISO 20000-1 Especifica vrios processos
de gesto de servios relacionados,
identifica que relaes existem entre estes
processos, e que estas relaes sero
dependentes da sua aplicao dentro de
uma organizao, especifica objetivos e
controles para permitir a uma organizao
a entrega de servios gerenciados. Veja a
direita os processos tratados pela 20000-1.

Processos de Entrega de Servio

Processos de
Controle
Processo de
Liberao

Processo de
Resoluo

Processo de
Relacionamento

Evoluo da Gesto de TI / Justificar o Retorno


sobre os investimentos em TI
Principais problemas relacionados aos projetos de TI mal gerenciados :
 Falha na definio do escopo e requisitos do
projeto devido ao no alinhamento
com os envolvidos;
 Atraso na entrega devido ao mal
dimensionamento de tempo e recursos
necessrios;
 Falta de Gerenciamento de Projetos,
planejamento inadequado.

Evoluo da Gesto de TI
Conformidade com leis e regulamentos
 A implementao de uma governana de TI ajuda a
atender a governana corporativa em relao as leis
e regulamentos que esto relacionados com a TI e a
empresa.
 A Governana de TI deve ter como foco de atuao
atender os requisitos destas leis e regulamentos aos
quais a empresa est submissa.
Legislaes: Basilia II, Sarbanes-Oxley, IAS/IFRS normas contbeis internacionais publicados e pelo IASB
(International Accounting Standards Board).
Orgos reguladores: SEC, BACEN, CVM;
Padres: ISO 27001, ISO 17799, ISO 20000-1, ISO 9001;
Outros: leis, requerimentos de mercado etc.

Governana, tica e
responsabilidade:
 Honestidade e correo traz
lucros e benefcios para as
empresas;
 O mercado exige
responsabilidade social e
cada vez menos os clientes
faro negcios com
empresas que tem desvios
ticos e legais

Evoluo da Gesto de TI / Conformidade com


leis e regulamentos/ Orgos reguladores
BACEN
O Banco Central do Brasil ou Bacen autarquia federal
integrante do Sistema Financeiro Nacional, sendo vinculado ao
Ministrio da Fazenda do Brasil. Assim como os outros bancos
centrais do mundo, o brasileiro a autoridade monetria principal
do pas, tendo recebido esta competncia de trs instituies
diferentes: a Superintendncia da Moeda e do Crdito (SUMOC),
o Banco do Brasil e o Tesouro Nacional.
CVM
A Comisso de Valores Mobilirios (CVM) uma autarquia
vinculada ao Ministrio da Fazenda do Brasil que juntamente com
a Lei das Sociedades por Aes disciplinaram o funcionamento do
mercado de valores mobilirios e a atuao de seus
protagonistas.

SEC - US Securities and Exchange Commission responsvel por


proteger investidores, facilitar a formao de capital, manter a
estabilidade dos mercados etc.

Evoluo da Gesto de TI
Conformidade com leis e regulamentos
Catstrofes financeiras:
1975 Quebra dos bancos Herstaff da Alemanha e Frankling National de Nova York
1975 Formao do Comit da Basilia
1993 Bank of Credit and Commerce International faliu em meio a escndalos de fraude e
lavagem de dinheiro
1995 Barings faliu depois de 233 anos de existncia
1997 Comit Basilia edita os 25 princpios: Instituio de Controles Internos
1995/98 Askin Capital, Orange County, Chemical Bank entre outros
1998 Comit da Basilia edita mais 13 Princpios: Gesto de Riscos
1998 Resoluo Bacen 2.554 Controles Internos e lei 9613 para prevenir lavagem de
dinheiro
2001 Enron 7 empresa dos EUA faliu e o WorldCom demitiu 20000 funcionrios
2002 SEC edita lei Sarbanes Oxley
2003 Resoluo 3081 Bacen responsabilidades dos administradores

Evoluo da Gesto de TI / Leis e Regulamentos


Comit da Basilia
O Comit de Superviso Bancria da Basilia (Basle Committee on Banking Supervision)
congrega autoridades de superviso bancria e foi estabelecido pelos Presidentes dos
bancos centrais dos pases do Grupo dos Dez (G-10), em 1975.
Os Princpios Essenciais da Basilia compreendem 25 Princpios bsicos,
indispensveis para um sistema de superviso realmente eficaz. Os Princpios referemse a:
 Precondies para uma superviso bancria eficaz - Princpio 1
 Autorizaes e estrutura - Princpios 2 a 5
 Regulamentos e requisitos prudncias - Princpios 6 a 15
 Mtodos de superviso bancria contnua - Princpios 16 a 20
Sob o enfoque da administrao de risco mais rgido, o Acordo da Basilia de
1988 firma exigncias mnimas de capital, que devem ser respeitadas por
bancos comerciais, como precauo contra Risco de Crdito. Posteriormente, o
acordo sofreu imposies de adequao de capital para riscos de mercado. E
os Bancos Centrais reconheceram que estes modelos administrativos de risco utilizados pelos principais bancos eram superiores aos impostos por eles.

Evoluo da Gesto de TI / Leis e Regulamentos


O que a Sarbanes-Oxley? Qual o papel de TI?
 uma lei que faz com que os executivos sejam responsveis por estabelecer, avaliar e
monitorar a eficcia dos controles internos relacionados a relatrios financeiros.
 Os requerimentos da lei so rigorosos: as empresas devem estabelecer polticas,
regras e procedimentos auditveis para gerir e controlar seus processos e registros
documentais e divulgar seus resultados, e os principais executivos devem,
pessoalmente atestar que os relatrios financeiros sejam completos e precisos.
Para atender aos requisitos desta lei TI dever atuar em duas frentes:
1) Estabelecer controles para o ambiente geral de TI que abranjam: desenvolvimento,
mudanas, operaes e controle de acesso;
2) Estabelecer processos de negcio crticos (contas significativas de balano):
 Mapear os sistemas que suportam os dados financeiros e respectivos controles;
 Identificar os riscos de TI relacionados aos sistemas;
 Implementar e monitorar controles que mitiguem riscos;
 Documentar e testar os controles de TI;
 Assegurar que os controles de TI sejam atualizados e adequados para suportar as
mudanas nos controles internos.

Evoluo da Gesto de TI / Leis e Regulamentos


Sarbanes Oxley
Com o resultado dos escndalos financeiros em grandes empresas
em 2001, o Congresso americano decretou o Ato Sarbanes-Oxley
de 2002. Este ato afeta como as empresas de capital aberto iro
apresentar seus relatrios financeiros, e significativamente impacta
a rea de TI. A conformidade com a Sarbanes-Oxley requer mais do
que documentao e estabelecimento de controles financeiros, ela
tambem requer a avaliao da infra-estrutura de TI e suas
operaes e pessoal.
Principais Caractersticas da Sarbanes Oxley - Ato de 2002:
 Estabelece novos padres de responsabilidade contbil
corporativa, confiabilidade e transparncia dos relatrios
financeiros.
 nfase na transparncia dos dados para anlise e
interpretao dos dados
 nfase no uso de um Framework de Controle para avaliao
de controles internos.
 Penalidades rgidas no caso de danos seja eles intencionais
ou no
 Implementao de diretrizes do SEC (Securities and Exchange
Commission )
Com mais de 300 sees, a SOX provavelmente a legislao
mais significante para os negcios nos EUA.

Evoluo da Gesto de TI / Leis e Regulamentos


Sarbanes Oxley
 A conformidade com a SOX (Sarbanes Oxley) ir
impactar significativamente as organizaes de TI
na maioria das empresas de capital aberto.
 Para resolver este problema muitas empresas
acabam adotando o COBIT,
 O COBIT o nico modelo de controle que
compatvel com o COSO
 Assegurar que a TI est em conformidade com o
COBIT far com que a maioria dos requisitos de
conformidades j tenham sido implementados.

Evoluo da Gesto de TI / Leis e Regulamentos


O que o COBIT?
1. Guia para gesto de TI recomendado pelo ISACF ( Information Systems Audit and Control
Foundation);
2. O COBIT inclui: sumrio executivo, framework, controle de objetivos, indicadores de
desempenho, indicadores de metas, um conjunto de ferramentas de implementao e um
guia com tcnicas de implementao;
3. As prticas de gesto do COBIT so recomendadas pelos peritos em gesto de TI que
ajudam a otimizar os investimentos em TI e fornecem mtricas para avaliao dos
resultados;
4. O COBIT independe das plataformas de TI adotadas pelas empresas;
5. O COBIT foi criado para atender a necessidade de um framework de controle de TI voltado
para o negcio, compreensivo para gerncia e auditores de TI:
1996 primeira verso: ISACA lana um conjunto de objetivos de controle para as
aplicaes de negcio.
1998 segunda verso: includa uma ferramenta de suporte implementao e a
especificao dos objetivos.
2000 terceira verso: so includas normas e guias associadas a gesto.
2005 quarta verso: melhoria dos controles para assegurar a segurana e a disponibilidade
dos ativos de TI na organizao.

Evoluo da Gesto de TI / Leis e Regulamentos


Em que o COBIT pode ajudar?
O COBIT possui processos que auxiliam a manter a conformidade com a Sarbanes:


Adquirir e manter software aplicativo;

Adquirir e manter arquitetura tecnolgica;

Desenvolver e manter procedimentos de TI;

Instalar e certificar solues e mudanas;

Gerenciar mudanas;

Definir e gerenciar nveis de servio;

Gerenciar servios de terceiros;

Assegurar a segurana dos sistemas;

Gerenciar as configuraes;

Gerenciar problemas;

Gerenciar dados;

Gerenciar operaes.
Em 2002 a aprovao da Sarbanes impulsionou a utilizao do COBIT nas
empresas americanas e em suas filiais em outros paises

Benefcios do COBIT
Vamos tentar resumir os principais benefcios do COBIT:
 O COBIT lida com todos os aspectos dos problemas relacionados com a
Governana de TI;
 O COBIT foi criado por um grande nmero de especialistas;
 O ITGI ajudou com os seus 35 anos de experincia em segurana em TI no
desenvolvimento do COBIT;
 O COBIT est em manuteno contnua. Periodicamente uma nova verso publicada;
 Os patrocinadores do COBIT so organizaes sem fins lucrativos, sua misso ajudar
seus clientes a alcanar seus objetivos principais;
 O COBIT pode ser aplicado em empresas de pequeno e grande porte;
 Usar o COBIT pode introduzir ordem e qualidade nos processos de TI;
 O COBIT compatvel com outros padres e pode ser utilizado para gerenciar todos os
processos de TI;
 O COBIT est em conformidade com os regulamentos como Sarbanes, Basileia , entre
outros.

Evoluo da Gesto de TI
Manter segurana sobre as informaes
Estes riscos tm aumentado devido ao seguintes fatores:
A necessidade de publicar informaes e acessar
aplicaes via web expe o ambiente de TI.
Ataque dirios de hackers e entrada de novos vrus na
rede.
O acesso a internet pelos usurios facilita a entrada de
vrus e expe as informaes da empresa.
Veja NBR ISO/IEC 27001 e 17799

Evoluo da Gesto de TI
Manter segurana sobre as informaes
 A ISO - International Organization for Standardization uma
organizao sediada em Genebra, na Suia. Foi fundada em 1946. O
propsito da ISO desenvolver e promover normas que possam ser
utilizadas igualmente por todos os pases do mundo.
 Cerca de 111 pases integram esta importante organizao
internacional, especializada em padronizao, cujos membros so
entidades normativas de mbito nacional. O Brasil representado pela
Associao Brasileira de Normas Tcnicas ABNT.
 As Normas para segurana da informao foram adotadas e traduzidas
pela ABNT recebendo a denominao de:
NBR ISO/IEC 27001:2006 Tecnologia da Informao Tcnicas
de Segurana Sistema de Gesto de Segurana da Informao Requisitos e
NBR ISO/IEC 17799:2005 - Tecnologia da Informao Tcnicas de
Segurana Cdigo de Prtica para Gesto de Segurana da
Informao,
 A norma ISO 27001 refere-se quais requisitos de sistemas de gesto
da informao devem ser implementados pela organizao e a ISO
17799 um guia que orienta a utilizao de controles de segurana da
informao. Estas normas so genricas por natureza.

Exerccios
Indique se verdadeiro ou falso:
1. ( ) Assegurar a segurana dos dados e da infra-estrutura uma das metas bsicas do
gerenciamento de TI.
2. ( ) O COBIT um conjunto de controles para garantir que a organizao atenda a
legislao.
3. ( ) O comit da Basilia foi formado em 1995.
4. ( ) A Sarbanes uma lei americana que faz com que os executivos sejam
responsveis por estabelecer, avaliar e monitorar a eficcia dos controles internos
relacionados a relatrios financeiros.
5. ( ) As organizaes so obrigadas at 2010 a implantar as normas ISO 27001, ISO
17799 e ISO 20000-1.
6. ( ) A maioria dos projetos de TI ainda so mal gerenciados e ultrapassam o oramento
inicial ou o prazo de entrega.
7. ( ) A gesto de TI tem que garantir o fornecimento dos sistemas para as organizaes
buscando sempre reduzir os custos e os riscos.
8. ( ) TI vem mudando de funo, comeou como provedor de tecnologia, tornou-se um
provedor de servios e hoje um parceiro estratgico das organizaes.
9. ( ) Hoje os gerentes de TI so solucionadores de problemas de negcio.
10. ( ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a
integridade e a disponibilidade das informaes.

Resposta dos exerccios


Indique se verdadeiro ou falso:
1. ( V ) Assegurar a segurana dos dados e da infra-estrutura uma das metas bsicas do
gerenciamento de TI.
2. ( F ) O COBIT um conjunto de controles para garantir que a organizao atenda a
legislao.(O COBIT um guia de gesto de TI e inclui: sumrio executivo, framework,
controle de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de
ferramentas de implementao e um guia com tcnicas de implementao).
3. ( F ) O comit da Basilia foi formado em 1995. (1975)
4. ( V ) A Sarbanes uma lei americana que faz com que os executivos sejam responsveis
por estabelecer, avaliar e monitorar a eficcia dos controles internos relacionados a
relatrios financeiros.
5. ( F ) As organizaes so obrigadas at 2010 a implantar as normas ISO 27001, ISO 17799
e ISO 20000-1. ( normas so padres no obrigatrios a no ser que sejam exigidas pela
lei, o que no o caso).
6. ( V ) A maioria dos projetos de TI ainda so mal gerenciados e ultrapassam o oramento
inicial ou o prazo de entrega.
7. ( V ) A gesto de TI tem que garantir o fornecimento dos sistemas para as organizaes
buscando sempre reduzir os custos e os riscos.
8. ( V ) TI vem mudando de funo, comeou como provedor de tecnologia, tornou-se um
provedor de servios e hoje um parceiro estratgico das organizaes.
9. ( V ) Hoje os gerentes de TI so solucionadores de problemas de negcio.
10. ( V ) A norma NBR ISO 27001 inclui controles para garantir a confidencialidade, a
integridade e a disponibilidade das informaes.

Fim do Mdulo 1