Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Outubro 2006
Sumrio
Apresentao
Histrico O COBIT Hoje
Apresentao
cada vez mais importante, para o sucesso e sobrevivncia de uma organizao na nossa sociedade global de informao, o gerenciamento efetivo da informao e da respectiva tecnologia de informao (TI), considerando:
Apresentao (cont.)
a crescente dependncia da informao e dos sistemas que a fornecem;
as crescentes vulnerabilidades e um amplo espectro de ameaas como cyber-ameaas e guerra de informaes;
Apresentao (cont.)
o montante e o custo de investimentos atuais e futuros em informaes e sistemas de informao; e
o potencial de tecnologias em mudar dramaticamente as organizaes e prticas comerciais, criando novas oportunidades e reduzindo custos.
Histrico
(um pouco de Arqueologia... :)
DNA do COBIT
(+ de 40 fontes...)
O COBIT hoje:
Principais Resultados
Mais de 93% reconhecem que a TI importante para a estratgia da organizao
As organizaes padecem de problemas operacionais de TI Os CIOs reconhecem a necessidade de melhorar a governana de TI
Principais Resultados
Mais de 93% reconhecem que a TI importante para a estratgia da organizao
As organizaes padecem de problemas operacionais de TI Os CIOs reconhecem a necessidade de melhorar a governana de TI
Principais Resultados
Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI
Principais Resultados
Padres de governana de TI so usados para alinhar a estratgia de TI e gerenciar os riscos operacionais de TI
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI
Principais Resultados
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos
Principais Resultados
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos
Apenas 7% dos entrevistados no tiveram problemas com TI no ano passado Falhas e incidentes operacionais e viso inadequada da performance de TI so frequentes, e mencionadas por cerca de 40% dos entrevistados
Apenas 7% dos entrevistados no tiveram problemas com TI no ano passado Falhas e incidentes operacionais e viso inadequada da performance de TI so frequentes, e mencionadas por cerca de 40% dos entrevistados
Os CIOs reconhecem a necessidade de melhorar a governana de TI 75% da comunidade de TI est ciente de que a TI tem problemas a serem sanados Mais de 80% reconhece que necessria governana de TI para san-los Apenas 40% responderam que pretendem adotar ou planejar medidas de governana de TI
Os CIOs reconhecem a necessidade de melhorar a governana de TI 75% da comunidade de TI est ciente de que a TI tem problemas a serem sanados Mais de 80% reconhece que necessria governana de TI para san-los Apenas 40% responderam que pretendem adotar ou planejar medidas de governana de TI
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI
O COBIT percebido como um importante padro para a governana de TI por aqueles que esto familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)
Boa governana de TI ajuda as organizaes a agregar valor de TI e gerenciar os riscos de TI. O COBIT a forma preferida para implementar governana efetiva de TI
O COBIT percebido como um importante padro para a governana de TI por aqueles que esto familiarizados com ele (89% manifestaram-se satisfeitos ou muito satisfeitos)
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos 18% dos entrevistados conhecem o COBIT
30% das organizaes que o conhecem efetivamente o utilizam
Os usurios do COBIT, embora no sejam numerosos, esto bastante satisfeitos 18% dos entrevistados conhecem o COBIT
30% das organizaes que o conhecem efetivamente o utilizam
O COBIT hoje:
1,05 %
Benefcios da TI X Riscos
Muitas organizaes reconhecem os benefcios potenciais que a tecnologia pode propiciar. Entretanto, somente as organizaes de sucesso compreendem e gerenciam os riscos associados com a implementao de novas tecnologias.
Boas prticas
Consenso de especialistas, tendo sido pesquisadas e consolidadas pela ISACF Information Systems Audit and Control Foundation
Fonte educacional para profissionais de controle
Misso do COBIT
Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de objetivos de controle geralmente aceitos sobre tecnologia de informao, para uso cotidiano por administradores e auditores
Pblico alvo
Administradores: para os auxiliar na ponderao entre risco e investimentos em controles de TI; Usurios: para se certificarem da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros; e
Definies
Controle : polticas, procedimentos, prticas e estruturas organizacionais projetados para prover razovel segurana de que os objetivos do negcio sero atingidos e de que eventos indesejados sero prevenidos ou detectados e corrigidos.
Definies (cont.)
Objetivo de Controle de TI : uma declarao do resultado desejado, ou propsito a ser atingido, pela implementao de procedimentos de controle numa atividade de Tecnologia de Informao em particular.
Documentos do COBIT
Executive Summary Framework CONTROL OBJECTIVES Audit Guidelines
Management Guidelines
Estrutura do COBIT
4 Domnios 34 Macro-Objetivos ou Processos 318 Objetivos Detalhados
COBIT
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente
INFORMAES
eficcia eficincia confidencialidade integridade disponibilidade compliance confiabilidade
MONITORAO
PLANEJAMENTO E ORGANIZAO
RECURSOS DE TI
pessoas sistemas aplicativos tecnologia instalaes dados
DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao
PRODUO E SUPORTE
AQUISIO E IMPLEMENTAO
identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas
Gap Analysis
Objetiva auxiliar os responsveis pela TI a identificar, de forma abrangente, rpida e econmica, como os macro controles de TI da Instituio esto posicionados em relao aos padres esperados do mercado e/ou da prpria Instituio Metodologia baseada no COBIT Framework 3rd Edition, 2000 e no COBIT Management Guidelines, 2000
Elaborao do Relatrio
Workshop para Anlise dos Resultados
Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM) Base: Control Objectives e/ou Management Guidelines (318 Objetivos Detalhados e/ou 204 Descries Especficas da EMM + coleta de evidncias)
2 Validao
Situao SE OptouAtual = Sim = MENOR (Resultado1, Resultado2) Delta = | Resultado1 (-) Resultado2 | SE Delta =< 20 % Situao Atual = MAIOR (Resultado1, Resultado2) SENO Executar Validao ( Resultado3 ) Situao Atual = Resultado3
Etapas obrigatrias
Etapa opcional
COBIT
M1 M2 M3 M4 monitorar os processos avaliar a adequao do controle interno obter certificao independente providenciar auditoria independente
INFORMAES
eficcia eficincia confidencialidade integridade disponibilidade compliance confiabilidade
MONITORAO
PLANEJAMENTO E ORGANIZAO
RECURSOS DE TI
pessoas sistemas aplicativos tecnologia instalaes dados
DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao
PRODUO E SUPORTE
AQUISIO E IMPLEMENTAO
identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas
Macro Objetivos
Macro Objetivo
Quesitos da Informao
Recursos de TI
alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento
atingido mediante
um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo
e leva em considerao
a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao
PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10 PO11 AI01 AI02
Descrio Definir um plano estratgico de TI Definir a arquitetura de informao Determinar a direo tecnolgica Definir a organizao e relacionamentos da TI Gerenciar o investimento em TI Comunicar objetivos e diretrizes da administrao Gerenciar recursos humanos Garantia do cumprimento de exigncias externas Avaliao de riscos Gerenciar projetos Gerenciar qualidade Identificar solues Adquirir e manter software aplicativo
S S S S S S S S S S S S S
X X X X X X X X X X X X X
2 4 4 4 4 4 4 4 4 4 1 4 2
RESULTADO 1
Administrado
Inexistente
Aplicvel?
Repetitivo
Otimizado
Macro Objetivo
Definido
Inicial
Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM)
alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento
atingido mediante
um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo
e leva em considerao
a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao
Administrado
Inexistente
Repetitivo
Descrio PO01 Definir um plano estratgico de TI PO01 alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento PO01 um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo PO01 a estratgia de negcios da empresa PO01 definio de como a TI suporta os objetivos do negcio PO01 inventrio de solues tecnolgicas e infraestrutura atual PO01 monitorao dos mercados de tecnologia PO01 estudos de viabilidade tempestivos e conferncia de seu realismo PO01 avaliaes dos sistemas existentes PO01 posio da empresa no tocante a riscos, time-to-market e qualidade PO01 necessidade de patrocnio, suporte e reviso crtica da alta administrao
Otimizado
Definido
Inicial
S S S S S S S S
X X X X X X X X
PONTUAO
2 0 1 2 3 2 2 3 2
Aplicvel?
Macro Objetivo
Base: Conceituao dos 34 Macro Objetivos ou Processos + 6 Descries Genricas da EMM Base: Framework (34 Macro Objetivos ou Processos + lista de 280 aspectos considerados + 6 Descries Genricas da EMM)
Apenas as etapas obrigatrias (neste exemplo) A seguir, alguns modelos das sadas (resultados)
PO - PLANEJAMENTO E ORGANIZAO
Quesitos da Informao
PO08 PO05
Recursos de TI
instalaes
aplicativos
tecnologia
pessoas
Padro Instituio
PO07
PO06
PO01 PO02 PO03 PO04 PO05 PO06 PO07 PO08 PO09 PO10 PO11
Definir um plano estratgico de TI Definir a arquitetura de informao Determinar a direo tecnolgica Definir a organizao e relacionamentos da TI Gerenciar o investimento em TI Comunicar Objetivos e Diretrizes da Administrao Gerenciar recursos humanos Garantia do cumprimento de exigncias externas Avaliao de riscos Gerenciar projetos Gerenciar qualidade
P P P P P P P P P P P
S S S S S S P S P
P S S P P P S S P P P S
dados
alcanar um equilbrio timo entre oportunidades de tecnologia de informao e necessidades de negcio para TI assim como assegurar seu atendimento
atingido mediante
um processo de planejamento estratgico efetuado a intervalos regulares originando planos de longo prazo; os planos de longo prazo devem ser periodicamente traduzidos em planos operacionais estabelecendo metas claras e palpveis de curto prazo
Estgio
Administrado Inexistente Repetitivo Otimizado PONTUAO Aplicvel?
Descrio
a estratgia de negcios da empresa definio de como a TI suporta os objetivos do negcio inventrio de solues tecnolgicas e infraestrutura atual monitorao dos mercados de tecnologia estudos de viabilidade tempestivos e conferncia de seu realismo avaliaes dos sistemas existentes posio da empresa no tocante a riscos, time-to-market e qualidade necessidade de patrocnio, suporte e reviso crtica da alta administrao
S S S S S S S S
X X X X X X X X
Definido
Inicial
0 1 2 3 2 2 3 2
gerenciar a qualidade
atingido mediante
compliance S confiabilidade
planejamento, implementao e manuteno de padres e sistemas de gerenciamento da qualidade pela organizao, que deve adotar e aplicar uma metodologia que fornea distintas fases de desenvolvimento bem como produtos e servios ("entregveis") claramente definidos, explicitando responsabilidades
Estgio
Administrado
Inexistente
Repetitivo
Descrio estabelecimento de uma cultura da qualidade plano de qualidade responsabilidades pela garantia da qualidade prticas de controle de qualidade metodologia de ciclo de vida do desenvolvimento de sistemas teste e documentao de programas e sistemas revises e relatrios de garantia de qualidade treinamento e envolvimento do usurio final e do pessoal de garantia da qualidade desenvolvimento de uma base de conhecimentos de qualidade "benchmarking" contra padres de mercado
S S S S S S S S S S
X X X X X X X X X X
Otimizado
Definido
Inicial
PONTUAO
1 0 0 1 2 2 0 1 2 2
Aplicvel?
PO - PLANEJAMENTO E ORGANIZAO
AI - AQUISIO E IMPLEMENTAO
AI01 5 4 3
AI06 2 1 0
AI02
M3
PO08 PO05
M4
PO01 5 4 3 2 1
PO02
M2 M1
Padro Instituio
PO07
PO06
0
DS - PRODUO E SUPORTE
M - MONITORAO
DS09 DS08
DS02
PO10 PO11 AI01 AI02 AI03 AI04 DS03 DS02 DS01 AI06 AI05 Padro Instituio
M4 1 0 M2 M1 5 4 3 2
DS01 5 DS13 4
DS07 DS06
DS12
3 2 1
DS03
DS05 DS04
DS04 0
DS11
DS10
DS05
DS09
DS06
Padro Instituio
DS08
DS07
M3
Padro Instituio
Prximos Passos
Aps o Gap Analysis:
Avaliao de Custo/Benefcio dos eventuais Projetos de Melhoria Aprovao dos Projetos Desenvolvimento e Implementao Certificao Independente
mair@madah.com.br
0xx11-3262-0688