Académique Documents
Professionnel Documents
Culture Documents
1 Foundation
• Sessão 2-1:
- Exemplos
- Aplicabilidade do CobiT
- Diretrizes de auditoria
- Práticas de controle
- Relacionamento com outras metodologias
• Sessão 2-2:
- Exercício prático: diagnóstico de um Processo
- Simulado de exame e correção em classe
-
SESSÃO 1-1:
•
altos são:
• Os custos associados aos ativos de TI não
são entendidos.
• Orçamentos operacionais estão
aumentando por causa dos contratos de
licenciamento, manutenção e outsourcing
complexos.
• Há uma diminuição de recursos habilidosos
• Grandes perdas financeiras ocorrem por
causa de projetos falhos
• Os gastos de TI pelas unidades de negócios
e departamentos centrais de TI não são
coordenados.
OS DESAFIOS DE TI
Alta complexidade
• Alinhamento estratégico
• Valor na entrega
• Gerenciamento de recursos
• Gerenciamento de riscos
• Avaliação de performance
GOVERNANÇA DE TI
• ALINHAMENTO ESTRATÉGICO:
•Foco em garantir a ligação dos negócios e planos
• AGREGAÇÃO DE VALOR
•Se trata de executar a proposta de valor através
• Medição de Performance
•Busca e monitora a implementação de estratégias,
Executar
EXECUTAR AS ATIVIDADES DE TI
•PROCESSOS (D )
Agir (A)
•CONTROLES
ANALISAR RESULTADOS •INDICADORES
Checar(C)
MONITORAR PERFORMANCE
INTRODUÇÃO AO CobiT
QUEM DESENVOLVEU O CobiT
• ISACA
• Com mais de 50.000 membros em mais de 140 países, a ISACA (
www.isaca.org) é um líder em governança de TI, controle, segurança
e garantia reconhecido mundialmente. Fundada em 1969, a ISACA
- Patrocina conferências internacionais
- Publica o Informartion Systems Control Journal.
- Desenvolve padrões internacionais de auditoria de sistemas de informação e
controle.
- Administra qualificações CISA e CISM, internacionalmente respeitadas.
• ITGI
• O IT Governace Institute (ITGI) (www.itgi.org) foi estabelecido pela
ISACA em 1998 para aumentar o conhecimento e padrões
internacionais na gestão e controle da tecnologia de informação de
uma empresa. O ITGI
- desenvolveu o Control Objectives for Information and related Technology
(CobiT), agora em sua quarta edição.
- oferece uma busca original e estudos de caso para assessorar líderes e
conselhos de diretoria nas suas responsabilidades de governança de TI.
ISACA – INFORMATIONSYSTEMS AUDIT
AND CONTROL ASSOCIATION
• Visa a preparação para certificação
do profissional:
- CISA – Certified Information Systems
Auditor
- CISM – Certified Information Security
Manager
- CobiT Foundation Exam
O QUE SIGNIFICA CobiT?
• Control
CobiT
• Objectives for
• Information and related
• Technology
•
duas frentes:
• Estabelecer controles para o ambiente geral de TI que
abranjam:
- Desenvolvimento
- Mudanças
- Operações
- Controle de acesso
• Processos de negócios críticos(contas significativas de
balanço):
- Mapear os sistemas que suportam os dados financeiro e
respectivos controles
- Identificar os riscos de TI relacionados aos sistemas
- Implementar e monitorar os controles que mitiguem riscos
- Documentar e testar os controles de TI
- Assegurar que os controles de TI sejam atualizados e adequados
para suportar as mudanças nos controles internos.
O COBIT possui processos que auxiliam
a manter a conformidade com
Sarbanes-Oxley:
1. Adquirir e manter software aplicativo
2. Adquirir e manter arquitetura tecnológica
3. Desenvolver e manter procedimentos de TI
4. Instalar e certificar Soluções e Mudanças
5. Gerenciar Mudanças
6. Definir e gerenciar níveis de serviço
7. Gerenciar serviços de terceiros
8. Assegurar a segurança dos sitemas
9. Gerenciar a configuração
10.Gerenciar problemas
11.Gerenciar dados
12.Gerenciar operações
Evolução do CobiT
Management Guidelines*
CONTROL OBJECTIVES*
COBIT QUICKSTART
IT CONTROL OBJECTIVES FOR SARBANES-OXLEY
CONTROL PRACTICES
Cobit
Security Baseline
* Now integrated into CobiT 4.0
CobiT 4.1 – inter-relação
mais clara entre
componentes Business
goals
Requirements Information
It goals
It processes
i nto Con
Audited with
o wn troll
ed b
by
nd y
ke
d
Bo
re
su
ea
M
Derived
from
Key activities Control outcome tests Control objectives
imp
ance
Fo lem
rm ent
Performed by
ith
atu ed
rform
rity wit
e
dw
h
om
dite
c
pe
t u
ro
Au
For
Control practices
F
Responsibility Outcome
And Performance indicators Maturity models
Control design testsBased on
measures
Accountability chart
Conteúdo da estrutura do
CobiT
Características do framework de
controles
• O COBIT se foca em melhorar a governança de TI nas
organizações.
• O COBIT fornece um framework para gerenciar e controlar
as atividades de TI e suporta cinco requisitos para um
framework de controle.
Fornece melhor foco de trabalho Define uma linguagem comum
•
Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos regulatórios
implementam o COBIT,
o seu foco é mais
orientado a processos.
• Os incidentes e problemasGarante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
tiram a atenção dos
processos.
• Exceções podem ser
claramente definidas
como parte de
Possui aceitabilidade geral entre as empresas
processos padrões.
• Com a posse do projeto
definida, designada e
aceitada, a organização
é mais capaz de
manter controle
através períodos com
mudanças rápidas ou
Características do framework de
controles (cont.)
Aceitabilidade geral
•
• O COBIT e um padrão Fornece melhor foco de trabalho Define uma linguagem comum
provado e globalmente
aceito para aumentar a
contribuição de TI para
o sucesso da Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
organização.
• O framework continua a
melhorar e desenvolve-
se para manter-se em
paz com as melhores
Possui aceitabilidade geral entre as empresas
práticas.
• Os profissionais de TI de
todo o mundo
contribuem com suas
idéias e tempo em
reuniões de revisão
regulares.
Características do framework de
controles (cont.)
Requisitos regulatórios
•
• Recentes escândalos Fornece melhor foco de trabalho Define uma linguagem comum
empresariais têm aumentado
as pressões regulatórias em
conselhos de diretoria para
relatar seus status e garantir
Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
que os controles internos a alcançar requisitos reg
• É um framework que Fornece melhor foco de trabalho Define uma linguagem comum
INFORMAÇÃO
EVENTOS •Eficácia
•Objetivos de negocio •Eficiência
•Oportunidade de negócio •Confidencialidade
•Requisitos externos Aplicações •Integridade
•Regulamentos Informação •Disponibilidade
•Riscos Mensagem Infra-estrutura Serviço •Conformidade
entrada pessoas saída
•Confiabilidade
Modelo de Governança e controle
de TI
• Parte da premissa que TI precisa fornecer as funcionalidades e informações
que a organização necessita para atingir seus objetivos.
• Promove o foco em processo e em responsabilidade por processo.
• Divide TI em 34 processos, dentro de 4 domínios (sendo eles:
1.planejamento e organização, 2.aquisição e implementação, 3.delivery
e suporte, 4.monitorar e avaliar) e provê um alto nível de objetivo de
controles para cada um.
• Avalia o grau de confiança, qualidade e segurança necessárias para as
necessidades das corporações, provendo 7 critérios de informação
que podem ser usados para genericamente definir o que os negócios
requerem de TI.
• Os 7 critérios são:
- efetividade-eficácia
- Eficiência
- Disponibilidade
- Integridade
- Confidencialidade
- Confiabilidade
- Conformidade
Lógica da estrutura
PR O C E S S O D E T I R EC U R SO S D E TI
Requerimentos do Negócio
• Para satisfazer os objetivos de negócios, a
informação precisa estar em
conformidade com critérios de
informação específicos, os quais o COBIT
se refere como requisitos de negócios
para informação.
• Amplamente, os critérios de informação
estão baseados nos requisitos de
negócio a seguir:
- QUALIDADE
- FIDUCIÁRIO (VALOR)
- SEGURANÇA
Requerimentos do Negócio
• Para satisfazer os objetivos de negócios, as informações
precisam estar em conformidade com alguns critérios:
•
- Qualidade: * qualidade
• * custo
• * prazo entrega
•
M o d e lo d e m a tu rid a d e
K E Y Pe rfo rm a n ce
R e cu rso s d e T I iIn d ica to rs ( K P Is)
Domínios de TI &
Processos e Atividades
• Domínios agrupamento natural de processos, que
casa um domínio organizacional de
responsabilidades.
•
• Processos uma série de atividades ligadas com
quebras naturais de controle
•
• Atividades ações necessárias para alcançar um
resultado mensurável. Atividades possuem um
siclo de vida embora tarefas sejam discretas.
Obtém-se o Cubo do
Cobit
Domínios do Cobit
Cobit – Framework
Completo
Que atende aos Direciona os
B u sin e ss R e q u ire m e n ts investimentos
de TI em
IT
E n te rp rise In fo rm a tio n C o b it R e so u rce s
IT Pro ce sse s
Para entregar Que são usados para
Modelo Orientado a
Processos
• O Cobit é orientado por processos, estes processos podem
ser aplicados em vários níveis na organização. Por
exemplo, alguns destes processos podem ser aplicados a
nível corporativo, outros a nível de função de TI, e outros
a nível do responsável pelo processo de negócio.
• Cobit define as atividades de TI segundo um modelo
genérico de processos que abrange quatro dominios:
• Esses dominios mapeiam as áreas tradicionais sob
responsábilidade de TI de:
- Planejar e organizar (PO)
- Adquirir e implementar (AI)
- Entregar e suportar (DS) e
- Monitorar e avaliar (ME).
Planejar e Organizar (PO)
• Este dominio compreende estratégias e táticas e
procura identificar como TI pode contribuir
melhor para atender as metas corporativas.
Álem disso, a percepção da visão estratégica
precisa ser planejada, comunicada e
gerenciada sob diferentes pontos de vista.
• Finalmente, deve ser definida uma infraestrutura
tecnológica, assim como uma organização
consistente. Esse dominio normalmente atende
às seguintes questões gerenciais.
- As estratégias de TI e dos negócios estão alinhadas?
- A empresa utiliza seus recursos da melhor forma
possivel?
- Todos no departamento sabem quais são as metas
Planejamento &
Organização (PO)
•Planejamento e Organização de TI
•PO1 Definição plano estratégico TI
relacionamentos.
•PO5 Gerenciamento do investimento de TI
•PO6 Comunicação de objetivos e direcionamento
relacionamentos
• A adequada entrega dos serviços de TI é permitida por
uma organização que tem papéis definidos e comunicados,
Planejamento &
Organização
• PO5 Gerenciamento do investimento de TI
• Tem por objetivo controlar o orçamento e desembolsos de
recursos financeiros, permitindo que os investimentos
definidos, e aprovados no orçamento, sejam realizados
corretamente.
• PO6 Comunicação de objetivos e direcionamento
• Assegurar a conscientização e o entendimento pelos
usuário dos objetivos e diretrizes gerenciais por meio de
políticas estabelecidas e comunicadas para a organização.
Além disto, padrões precisam ser estabelecidas e
comunicadas para traduzir as estratégias em regras
práticas utilizáveis por todos.
• PO7 Gerenciamento de recursos humanos de TI
• A contratação e manutenção de equipe motivada e
competente maximiza a contribuição dos funcionários aos
processos de TI, junto a práticas justas e transparentes de
gerenciamento dos recursos humanos para recrutamento,
contratação, exames de admissão, treinamento, avaliação,
Planejamento &
Oraganização
• PO8 Gerenciar a Qualidade
• Para o planejamento, implementação e manutenção do
sistema de gerenciamento de qualidade são necessários
políticas, procedimentos e requisitos claros relacionados à
qualidade. Esses requisitos devem ser definidos e
comunicados através de indicadores quantificáveis e
conquistável. O monitoramento, análise e correção dos
desvios, assim como a comunicação dos resultados aos
envolvidos garantem o aprimoramento continuo do
processo. O gerenciamento da qualidade é fundamental
para garantir que TI ofereça valor para os negócios, e
continuo aprimoramento e transparência para os
envolvidos.
•PO9 Avaliar e gerenciar riscos de TI
(Software)
•AI3 Aquisição e manutenção da arquitetura
tecnológica
•AI4 Permitir a operação e o uso
ve mudanças
Aquisição & Implementação
(AI)
•AI1 Identificar soluções automatizadas
• Garantir enfoque e abordagem efetivos e eficazes para satisfazer os
requerimentos do usuário.Isto é obtido por meio de clara identificação dos
objetivos e análise da oportunidade dos requisitos do usuário.
•AI2 Aquisição e manutenção sistemas aplicativos (software)
•
Monitorar e Avaliar (ME)
Monitorar e Avaliar
•
desempenho de TI
•ME2 Monitorar e avaliar os controles
internos
•ME3 Assegurar a conformidade com as
regulamentações
ME4 Possibilitar a governança de TI
•
•
Monitorar e Avaliar (ME)
• ME1 Monitorar e Avaliar o desempenho de TI
• O gerenciamento efetivo do desempenho de TI exige
um processo de monitoramento. Esse processo inclui a
definição dos devidos indicadores de desempenho, registro
sistemático e oportuno do desempenho e ação imediata na
eventualidade de qualquer desvio. O monitoramento
c]garante que as coisa estejam sendo feitas de forma
correta e alinhadas com as direções e políticas definidas.
•ME2 Monitorar e Avaliar os controles internos
•
.
Vamos ver a seguir um exemplo de práticas de controle
Práticas de Controle
• A figura abaixo fornece um exemplo de prática de controle para o
processo AI6 Gerenciar Mudanças:
AI6 ManageChenge
AI6.4 Emergency changes
anges when they circumvent the normal process of technical, operational and managemet assessment prior to implememtation.
has defined parameters , characteristics and procedures that allow to identify and declare emergencies.
2. All emergency changes are documented, if notControlling
before emergency
, than changes by implementing
after implementation . the control practices will:
•Ensure emergency procedures are used in declared emergencies only
3. All emergency changes
•ensureare tested
urgent , if not
changes can before , than after
be implemented implementation
without compromising. confidentiality, integrity, availability,
mergency changesare formally authorised by the system owner and management, before implementation
Before and after images as well as intervention logs are retained for subsequent review
processamento
• Os dados que são entrados no processamento (sejam eles gerados
por pessoas ou por sistemas). Devem ser verificados quanto a sua
exatidão, integridade e validade.
•AC4 Integridade e validade de processamento de dados
d isp o n ib ilid a d e
co m p lia n ce
cre d ib ilid a d e aplicações
os controles sobre os informações
INDICADORES
Exemplo 1 – DS2
“Objetivo de Controle de Alto
Nível”
Objetivo de Controle de Alto
Nível
DS2 Gerenciar Serviços
•
Prestados por Terceiros
A necessidade de garantir que os serviços prestados por terceiros atendam
aos requisitos corporativos exige um processo efetivo de gerenciamento de
terceiros.
•Esse processo compreende funções, responsabilidades e expectativas
efetividade
associados a fornecedores mal qualificados
eficiênci Critérios da informação
a Eficácia
confidencialidade eficiência
integridade Confidencialidade
Integridade
disponibilidade Disponibilidade
complacência Complacência
credibilidad credibilidade
e
DS2 – gerenciar serviços
prestados por 3°s
• Controle sobre o processo de TI de:
- Gerenciar serviços prestados por terceiros
• Que atende a necessidades de TI de:
- Oferecer os serviços satisfatórios, com a devida transparência em relação
aos benefícios, custos e riscos.
• com foco em:
- Estabelecer relacionamentos e responsabilidades bilaterais com
provedores de serviços tercerizados qualificados e monitorar a entrega
de tais serviços para aferir e garantir o cumprimento dos contratos.
• Isso se consegue:
- Identificando e categorizando os fornecedores de serviços
- identificando e mitigando riscos
- Monitorando e avaliando o desempenho do fornecedor
• E é medido
- Pela quantidade de reclamações de usuários com relação ao serviços
contratados
- pelo percentual fornecedores que atendem as necessidades e os níveis de
serviço estabelecidos
- Pelo percentual de fornecedores sujeito a monitoramento
“objetivos detalhados de
controle”
Objetivos detalhados de
controle
DS2 gerenciar serviços prestados por
• terceiros
DS2.1 identificação de todos os relacionamentos com
fornecedores
- Identificar todos os prestadores de serviços e categorizá-los
de acordo co o tipo, significado e importância. Manter
uma documentação formal dos relacionamentos técnicos
e corporativos, abrangendo as funções e
responsabilidades, metas, resultados esperados e dados
sobre os representantes desses fornecedores.
•DS2.2 gerenciamento do relacionamento com
fornecedores
- Formalizar o processo de gerenciamento do relacionamento
com os fornecedores com cada um deles. Os
responsáveis pelo relacionamento devem se basear em
questões relacionadas ao cliente e ao fornecedor e
garantir que a qualidade do relacionamento seja
fundamentada na confiança e na transparência, usando,
por exemplo, acordos de nível de serviço.
Objetivos detalhados de
controle
DS2 gerenciar serviços prestados por
• DS2.3 gerenciamento terceiros
de riscos
- Identificar e mitigar os riscos associados a capacidade do
fornecedor de prosseguir com a entrega efetiva e
ininterrupta do serviço de forma eficiente e segura.
Garantir que os contratos sigam os padrões universais e
aos requisitos legais e regulamentares. O gerenciamento
de risco deve ainda considerar a elaboração de contratos
de não divulgação, contratos de fideicomisso, viabilidade
continuada, conformidade com os requisitos de
segurança, fornecedores alternativos, multas,
bonificações e etc.
• DS2.4 monitoramento no desempenho do fornecedor
•- Definir um processo para monitorar a entrega do serviço e
•C= consultado e
•I=informado
Key Goal indicators (KGIs)
•Indicadores de meta – são medidas predefinidas que indicam
se um processo de TI alcançou o requisito do negócio em
termos de critério de informação.
•Os KGIs para TI são os drivers de negócio, usualmente
•
K e y G o a lin d ica to rs ( K G Is)
Exemplos de KGIs:
•
Cliente Processo
•Nível de Entrega de •Disponibilidade do
Serviço processo e do sistema
•Satisfação do Cliente Informação •Desenvolvimento
•Número de novos clientes dentro do prazo e no
•Número de novos canais custo
de serviço •Tempos de respostas
•Quantidade de erros e
retrabalho
Aprendizado
•Produtividade da Equipe
•Número de pessoas treinadas em uma
nova tecnologia
•Valor Entregue por funcionário
•Aumento da disponibilidade do
conhecimento
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
IT Process Activities
Goal •Ensure mutual satisfacion of •Establish relationships and bilateral •Indentifyng and categorising supplier
s third-party relationships responsibilites with qualified third-party services
•Ensure satisfacion of end users
service providers •Identifyunf and mitigating supplier risk
with service offerings and •Monitor the service delivery and verify •Monitoring and measuring supplier
dr
iv
ive
e
Metri •Nunber of user complaints •Perent of major suppliers meeting elearty •Percent of major suppliers
cs due to contracted services defined requirements and service levels subject to clearly defined
•Percent of purchase spend
•Number of forma disputes with suppliers requirements and service levels
subject to competitive •Percent of major suppliers
•Perent of supplier invoices disputed
procurement •
subject to monitoring
• •Level of business of
•
of supplier nom-compliance per
time period
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
• Metas das Atividades
• Identificar e categorizar os serviços prestados pelos
fornecedores
• Identificar e mitigar riscos
• Monitorar e avaliar o desempenho dos fornecedores
•
Legenda
0 – Não há definição e gerenciamento de
processos
1 – Processos são informais e irregulares
2 – Processos seguem um padrão regular
3 – Processos são documento
4 – Processos são monitorados e medidos
5 – Melhores práticas automatizadas
Modelo de Maturidade
estágios.
• planejamento: estabelecer o universo de TI a ser
validado, a cada iniciativa de validação
• Escopo: o escopo do processo começa com a
definição das metas de negócio e TI para o
ambiente sobre revisão e na identificação do
conjunto de processos e recursos requeridos
para suportar essas metas.
• Execução: o terceiro estágio no roadmap de
validação de TI. Será este estágio o assunto
dos próximos slides.
Recursos ou produtos do
Cobit
• Este módulo vários produtos e
serviços fornecidos pelo ISACA e
ITGI para suportar o Cobit.
• Os quatro produtos a seguir do
conjunto do Cobit, disponibilizados
pela ITGI, ajudam as organizações
a adotar, implementar e gerenciar
requisitos de governança de TI
usando o COBIT.
COBIT online
O Cobit online
•
objetivo:
• Ajudar a organização a implementar a
governança de TI usando o Cobit.
• Garantir que o foco esteja nas
necessidades de negócios enquanto
melhora o controle e a governança de
processos de TI.
• Possuem uma serie de arquivos
complementares no formado de
templates, apresentações, documentos
úteis, e ferramenta de avaliação.
G u ia d e im p le m e n ta çã o d e
g o ve rn a n ça d e T I
•O guia de implementação de governança do TI é uma
roadmap para conselho de administração, gerencia
executiva, profissionais de TI de controle, profissionais de
auditorias em TI e gerentes de conformidade.
•O guia de implementação fornece:
•
Um produto para diversas
audiências etc...
• Comite executivo
• Gestores de negócios
• Gerente de TI
• Gerente de projeto
• Desenvolvedores
• Operações
• Usuários
• Information security officer
• auditores
Comite Executico
Cobit pode servir os seguintes objetivos para você
•
para você:
• Utilizar modelo de controle do Cobit para estabelecer SLA e
a base de comunicação com as áreas de negócios.
• Utilizar modelo de controle do Cobit como base de
avaliação desempenho de processo, políticas e normas
de TI.
• UTILIZAR O Cobit como um mocelo padrão para estabelecer
níveis apropriados de objetivo de controle e certificações
externas.
• Exemplo: TIVIT (exemplo-OPTIGLOBE) da transparência a
Gerentes de projetos
•Cobit pode servir os seguintes objetivo para você
• Como uma estrutura mínima de projeto e padrão
de garantia de qualidade.
•Alguma abordagem especifica que podem se
para você
•* Utilizar o cobit para garantir que todo as os objetivos de