Vous êtes sur la page 1sur 58

IMPLANTAÇÃO E AVALIAÇÃO DE TECNOLOGIA DA

INFORMAÇÃO
- Semana 08 –

Mauro Cesar Bernardes

São Paulo
Setembro/2016
Agenda
 COBIT:Conceitos Básicos.
 Cobit 4.1
 Domínios e Processos do CoBIT.
 Recursos.
 Critérios de Informação.
 Guias de Gerenciamento.
 Próxima aula: Cobit 5
 Princípios
 Habilitadores
 Processos
 Considerações Finais
 Passos de Implementação. Março 2009
CoBIT
(Control OBjectives for Information Technology)
Introdução ao COBIT

Control OBjectives for Information and related Technology


Information Systems Audit and Control Association (ISACA)

http://www.isaca.org
CoBIT
 O COBIT foi desenvolvido pela ISACA (Information Systems
Audit and Control Association) e teve sua primeira edição
publicada em 1996.

 O COBIT é uma prática internacional para implementação de:


 Processos de TI;
 Direcionamento, Monitoração e Benchmarking de TI;
 Sistemas de Controles Internos;
 Governança de TI.
COBIT: Evolução

Governança: Riscos&controle financeiro

Governança
Evolução

Gerenciamento

Controle

Auditoria

COBIT 1 COBIT 2 COBIT 3 COBIT 4 COBIT 5


1996 1998 2000 2005 2013

As últimas atualizações do COBIT, encontram-se em www.isaca.org/cobit.


Manual Cobit 4.1: Pag 6
COBIT fornece um framework para
Governança de TI
COBIT:
 Inicia com os requisitos de negócio
 É orientado a processo
 Identifica os recursos de TI a serem controlados
 Incorpora padrões internacionais
 Tem como foco o padrão “de fato” para todos os controles de TI.

Os recursos de TI demandam gerenciamento por um conjunto de


processos naturalmente agrupados.
COBIT provê um framework que consegue este objetivo.
Um modelo para Governança
CoBIT

Control OBjectives for Information Technology:


 Estrutura de relacionamentos e processos para
direcionar e controlar a empresa visando alcançar os
seus objetivos de obtenção de valor e minimização de
riscos de TI e seus processos.

 Promove foco e propriedade de processos.


Cobit 4.1
CoBIT

O CobiT parte do princípio que deve haver alinhamento entre TI e


os requisitos de negócio da empresa
COBIT como um
Framework para Governança
Alinhamento Estratégico Entrega de Valor
Garantia da ligação entre o negócio e Execução da proposição de valor através do
planos de TI, manutenção e validação da tempo, assegurando que a TI entregue os
proposição de valor da TI, alinhada com benefícios prometidos de acordo com a
as operações da empresa estratégia, concentrando-se em otimizar custos
e em comprovar o valor intrínseco de TI.

Gerenciamento de Riscos
Medição de desempenho Gerenciamento dos riscos,
Acompanhamento e monitoramento IT
Governance entendimento claro dos requisitos de
da implantação da estratégia, do conformidade e das tendências da
andamento dos projetos, da utilização empresa para os riscos, transparência
dos recursos, do desempenho dos acerca dos riscos significantes para a
RESOURCE
processos, da entrega dos serviços, MANAGEMENT
empresa e incorporação de
utilizando medições e indicadores de responsabilidades para o
desempenho gerenciamento de riscos
Gerenciamento de Recursos
Gerenciamento do investimento e da gestão adequada
de recursos (aplicações, pessoas, informações e infra-
estrutura), essenciais para prover os subsídios de que a
empresa necessita para cumprir seus objetivos Manual Cobit 4.1: Pag 6
CoBIT

O CobiT tem por objetivo eliminar a falta de alinhamento entre os


processos TI e os processos de negócio da empresa
Componentes do CoBIT
 O framework conceitual do COBIT tem como
componentes básicos:

 Processos de TI: COBIT define 34 Objetivos de Controle


de alto nível para cada um dos processos de TI, agrupados
em quatro domínios.

 Recursos de TI: inclui aplicativos, informações,


infraestrutura, pessoas.

 Critérios de Informação: estão relacionados aos


requisitos de negócios para informação e estão
agrupados em três subconjuntos de requisitos.
Cubo Cobit 4.1

Manual Cobit 4.1: Pag 25


Cubo Cobit 4.1
Que respondem a

Critérios de Informação

Objetivos de TI
Domínios, processos e atividades

Para
alcançar São
gerenciados
por
Estrutura do COBIT v4.1
Estrutura do COBIT v4.1
O COBIT está estruturado em:
- 4 Domínios:
-Planejamento e organização - Aquisição e implementação
-Entrega e suporte - Monitoramento e Avaliação

- 34 Processos
- 7 Critérios de informação:
- Eficiência, Eficácia, confiabilidade, Integridade, Disponibilidade,
conformidade e confiabilidade

- 4 Recursos de TI:
- Aplicações, Informação, Infraestrutura e Pessoas.

- 314 objetivos de controle distribuídos nos 34


processos

Critérios de Informação
Domínios, processos e atividades
Domínios do COBIT
Domínio Descrição
Planejamento e O PO trata dos planos estratégicos e táticos e
Organização procura identificar como a TI pode contribuir
(PO) melhor para atender as metas da empresa

O AI trata de todas as aquisições e


Aquisição e implementações realizadas por TI, pois, para
Implementação atender a estratégia é preciso identificar,
(AI) desenvolver ou adquirir, bem como implementar
e integrar soluções de TI.
O objetivo do DS é a entrega dos serviços, que
Entrega e inclui gerenciamento da segurança,
Suporte gerenciamento da continuidade de serviços,
(DS) suporte aos usuários, gerenciamento de dados e
do ambiente operacional

Monitoramento O foco do ME é o gerenciamento do


desempenho, monitoramento dos controles
e Avaliação internos, conformidade com as regulamentações
(ME) e governança.

Manual Cobit 4.1: Pag 26


Estrutura do COBIT

Manual Cobit 4.1: Pag 26


Domínios Cobit:
Planejamento e Organização

 Objetivos:
 Formular estratégias e táticas
 Identificar como a TI pode contribuir melhor para o alcance dos objetivos de
Negócio
 Planejar, comunicar e gerenciar a realização da visão estratégica em diferentes
perspectivas
 Certificar que a infraestrutura tecnológica está em sua posição correta.

Alinhamento entre TI e Negócio


Manual Cobit 4.1: Pag 12
Domínios Cobit:
Planejamento e Organização
 As estratégias de TI e de negócios estão alinhadas?
 A empresa está obtendo um ótimo uso dos seus recursos?
 Todos na organização entendem os objetivos de TI?
 Os riscos de TI são entendidos e estão sendo gerenciados?
 A qualidade dos sistemas de TI é adequada às necessidades de negócios?

10
processos

Manual Cobit 4.1: Pag 12


Estrutura do COBIT

Manual Cobit 4.1: Pag 26


Domínios Cobit:
Aquisição e Implementação

►Objetivos:
 Identificar soluções de TI que precisam ser desenvolvidas, adquiridas,
implantadas e integradas nos processos organizacionais para o alcance da
estratégia;
 Realizar as mudanças e manutenções dos sistemas existentes sem afetar o
negócio.

?
Novos projetos Organização
Domínios Cobit:
Aquisição e Implementação

 Os novos projetos fornecerão soluções que atendam às necessidades


de negócios?
 Os novos projetos serão entregues no tempo e orçamento previstos?
 Os novos sistemas ocorreram apropriadamente quando implementado?
 As alterações ocorrerão sem afetar as operações de negócios atuais?

7
processos

Manual Cobit 4.1: Pag 13


Estrutura do COBIT

Manual Cobit 4.1: Pag 26


Domínios Cobit:
Entrega e Suporte

►Objetivos:
 Verificar a entrega dos serviços requeridos atualmente
 Gerenciamento da segurança, continuidade , dados e facilidades
operacionais
 Serviço estruturado de suporte a usuários
Serviço
Entregue

TI Performance

Manual Cobit 4.1: Pag 13


Domínios Cobit:
Entrega e Suporte
 Os serviços de TI estão sendo entregues de acordo com as prioridades de negócios?
 Os custos de TI estão otimizados?
 A força de trabalho está habilitada para utilizar os sistemas de TI de maneira produtiva e
segura?
 Os aspectos de confidencialidade, integridade e disponibilidade estão sendo contemplados
para garantir a segurança da informação?

13
processos

Manual Cobit 4.1: Pag 13


Estrutura do COBIT

Manual Cobit 4.1: Pag 26


Domínios Cobit:
Monitoração e Avaliação

►Objetivos:
 Todos os processos precisam ser avaliados constantemente para
verificação de sua qualidade e conformidade com os requisitos.
 Gerenciamento de Performance
 Monitoramento de Controles Internos
 Conformidade com Agências Reguladoras
 Governança

TI Governança
Manual Cobit 4.1: Pag 13
Domínios Cobit:
Monitoração e Avaliação

 A performance de TI é mensurada para detectar problemas antes que seja


muito tarde?
 O gerenciamento assegura que os controles internos sejam efetivos e
eficientes?
 O desempenho da TI pode ser associado aos objetivos de negócio?
 Existem controles adequados para garantir confidencialidade, integridade e
disponibilidade das informações?

4
processos

Manual Cobit 4.1: Pag 13


COBIT: Critérios da Informação

Qualidade

• Lida com a informação relevante e pertinente para o processo de negócio bem como a mesma
Eficácia
sendo entregue em tempo, de maneira correta, consistente e utilizável.

• Relaciona-se com a entrega da informação através do melhor


Eficiência
(mais produtivo e econômico) uso dos recursos.

Segurança
• Está relacionada com a proteção de informações confidenciais
Confidencialidade para evitar a divulgação indevida.

• Relaciona-se com a fidedignidade e totalidade da informação


Integridade bem como sua validade de acordo os valores de negócios e
expectativas.

Disponibilidade • Relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio
hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades
associadas.
Fiduciário
• Lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos
Conformidade de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas
internas.

Confiabilidade • Relaciona-se com a entrega da informação apropriada para os executivos para administrar a
entidade e exercer suas responsabilidades fiduciárias e de governança.
COBIT: Recursos
Recursos Descrição
São os funcionários requeridos para planejar, organizar, adquirir,
implementar, entregar, suportar, monitorar e avaliar os sistemas de
Pessoas informação e serviços. Eles podem ser internos, terceirizados ou
contratados, conforme necessário.
São os sistemas automatizados para usuários e os procedimentos
Aplicativos
manuais que processam as informações
Refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas
operacionais, sistemas de gerenciamento de bases de dados, redes,
Infraestrutura multimídia e os ambientes que abrigam e dão suporte a eles) que
possibilitam o processamento dos aplicativos.
São os dados em todas as suas formas, a entrada, o processamento e a
Informação saída fornecida pelo sistema de informação em qualquer formato a ser
utilizado pelos negócios.
Domínios, Processos e Atividades

Domínios: grupos de
processos relacionados com a
gestão e ciclos de vida de TI.

Processos: grupos de
atividades e tarefas com
interrupções naturais
(controles).

Atividades/Tarefas:
necessárias para se atingir
resultados mensuráveis.
Março 2009
CoBIT: Gerenciamento e Avaliação

 O CoBIT provê para fins de gerenciamento e avaliação:

 Diretrizes de Gerenciamento: provê ferramentas para


verificar e avaliar o ambiente de TI da organização em
relação aos 34 processos de TI do COBIT.

 Diretrizes de Auditoria: especifica um guia de auditoria


genérico e a estrutura de um processo de auditoria.
Provê bases para o desenvolvimento de um programa de
auditoria.

Março 2009
Diretrizes de Gerenciamento
 Com o objetivo de focar no Gerenciamento de Desempenho,
as diretrizes de gerenciamento utilizam os princípios do BSC
(Balanced Business Scorecard) que auxiliaram na definição
de:
 Key Goal Indicators
 (Principais Indicadores de Meta)
Identificam e medem as saídas dos processos de TI

 Key Performance Indicators


 (Principais Indicadores de Desempenho)
Avaliam como está o desempenho dos processos de TI

Fonte: S Clementi, 2004 Março 2009


CoBIT – Guias de Gestão
 Modelos de Maturidade: para escolha estratégica e
comparação com os objetivos de controle dos processos de
gerenciamento.
 Fatores Críticos de Sucesso (CSF): estratégico, tecnológico,
organizacional ou procedural por natureza, expressa as
condições exigidas para aumentar a probabilidade de
sucesso do processo.
 Principais Indicadores de Meta (KGI - Key Goal Indicators):
são usados para monitorar se as metas dos processos de TI
foram alcançadas, focando nos critérios de informação como o
mais importante para cada processo (lag indicators).
 Principais Indicadores de Desempenho (KPI - Key
Performance Indicators): indica quão bem os processos estão
executando e provê informação para o seu aprimoramento. São
frequentemente medidas dos Fatores Críticos de Sucesso
(CSF). Março 2009
Modelo de Maturidade
CoBIT – Guia de Gestão

 The Balanced Business Scorecard, as a Key Goal Indicator


(KGI), represents an outcome of the business process.
 The IT Balanced Balanced Scorecard, as Key Goal Indicator
(KGI), represents the outcome for IT, indicating if the information
is delivered with the right criteria (effectiveness, efficiency,
confidentiality, integrity, availability, compliance and reliability).
Março 2009
Key Goal Indicators

 Used for monitoring achievement of process goals.


 Description of a measure of the impact of not reaching the process
goals.
 IT oriented, but business driven.
 Focused on the customer and financial dimension of the Balanced
Business Scorecard.
 Examples:
 Productivity improvement.
 Number of customers and customer retention cost.
 ROI (Return On Investments). Março 2009
Key Performance Indicators

 Measure “how well” the process is performing.


 Predict the probability of success or failure in the future.
 Process oriented, but IT driven.
 Focused on the process and learning dimension of the Balanced
Business Scorecard.
 They are often measure of critical success factors – identify
opportunities for process improvement.
 Examples:
 Response time and service availability.
 Error rate and recover time. Março 2009
Considerações Finais
Exemplo dos Passos de Implementação
1. Vender a idéia para os interessados

2. Treinamento dos envolvidos

3. Diagnóstico de Maturidade Onde estamos ?

4. Selecionar Processos a serem implementados

5. Estabelecer meta de Maturidade Onde queremos chegar ?

6. Análise de GAP

7. Desenvolver Plano de Implantação

8. Implementar a Solução desejada

9. Monitoramento dos Processos Implementados


Fonte: S Clementi, 2004 Março 2009
Cobit v4.1
Prática
Como usar o framework
Cobit
Objetivos de controle de alto
nível

Critérios de Informação

Domínios

Processo de TI

Requisitos de Negócio

Métricas

Governança de TI

Recursos de TI
Manual Cobit 4.1: Pag 27
DS8:
Manage Service Desk and Incidentes
Objetivos de controle de alto nível

Uma resposta ágil e efetiva às consultas e problemas


do usuário requer um service desk bem estruturado e
organizado e ainda, um processo de gerenciamento
de incidentes.

Este processo inclui organizar o service desk com as


funções de registrar, escalar o incidente, rastrear e
analisar a causa raiz e resolver o incidente.

O benefício para o negócio inclui aumento da


produtividade por meio de uma resolução rápida das
consultas do usuário.

Em adição, o negócio pode identificar causas raiz


(como a necessidade de treinamento do usuário) a
partir dos relatórios gerados.

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes

Critérios de Informação

P= Primário
S= Secundário

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes

Processo de TI

Gerenciamento de Service Desk e


Incidentes

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes

Requisitos de Negócio

Habilita o uso com maior


eficiência dos sistemas de TI ao
permitir uma análise e uma
resolução rápida das consultas,
dúvidas e incidentes associados
ao usuário

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes
Metas (é alcançado por)
• Instalação e operação de um service
desk
• Monitoração e relatórios de tendências
• Definição clara dos critérios e
procedimentos para escalonamento

Indicadores (é medido por)


• Quantidade de usuários satisfeitos pelo
suporte de primeiro nível

• Porcentagem de incidentes resolvidos dentro


do período de tempo acordado (SLA) ou
aceitável;

• Taxa de abandono da ligação

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes
Governança de TI

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes
Recursos de TI

Manual Cobit 4.1: Pag 129


DS8:
Manage Service Desk and Incidentes

Manual Cobit 4.1: Pag 131


DS8:
Manage Service Desk and Incidentes

Manual Cobit 4.1: Pag 131


DS8:
Manage Service Desk and Incidentes

Manual Cobit 4.1: Pag 131


DS8:
Manage Service Desk and Incidentes

Manual Cobit 4.1: Pag 132


DS8:
Manage Service Desk and Incidentes

Manual Cobit 4.1: Pag 132


Atividade V

 Após a implantação do DS8 e posterior análise dos indicadores


relacionados e do objetivo de controle DS8.2 (Registro das consultas
do usuário) , identificou-se que 85% dos chamados de usuário
recebidos pelo Service Desk estavam relacionados à falta de
conhecimento na operação de aplicativos de escritório (pacote Office).
 O grande volume de chamados deixou claro que a eficácia e a
eficiência das atividades que dependiam destes aplicativos estava
sendo comprometida e ainda, que o número de pessoas trabalhando
no Service Desk não era suficiente para atender a todos os chamados
em tempo hábil.
 Questões:
1. Como resolver essa situação?
2. Qual processo do COBIT você escolheria para ser revisado (ou implementado) em
busca da melhoria deste cenário?
3. Quais as atividades do processo escolhido deveriam ser implementadas?
4. Quais indicadores poderiam ser utilizados para verificar o desempenho do processo
escolhido?
Pontos importantes sobre o COBIT 4.1

 Quais são os 4 Domínios e seus escopos


 Quais são os critérios de informação

 Quais são os requisitos de negócio

 O que é uma matriz RACI

 O que são indicadores de desempenho e


indicadores de metas
 O que é e como usar o modelo de
maturidade

Março 2009