Governana de TI: O que COBIT - Adriano Maranho de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos ...

Download Governana de TI: O que  COBIT - Adriano Maranho  de Gerenciamento PO9 Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos ...

Post on 07-Feb-2018

216 views

Category:

Documents

4 download

TRANSCRIPT

  • Governana de TI: O que COBIT ?

  • Agenda

    Governana de TI

    Metodologia COBIT

    Relacionamento do COBIT com os modelos de melhores prticas

    Governana de TI em 2006

    Estudo de Caso

    Referncias

  • Governana de TI

    De acordo com o IT Governance Institute (2005)

    A governana de TI de responsabilidadede alta administrao (incluindo diretorese executivos), na liderana, nas estruturasorganizacionais e nos processos quegarantem que a TI da empresa sustente eestenda as estratgias e objetivos daorganizao.

  • Governana de TI Fatores motivadores da Governana de TI

    Governana

    de TI

    Ambiente de

    Negcios

    Marcos de

    Regulao

    Dependncia do

    Negcio em

    Relao TI

    Segurana da

    Informao

    Integrao

    Tecnolgica

  • Governana de TI

    Framework para Gerenciamento de TI

    A Governana de TI, quando implementada de forma integrada:

    Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnolgicos e suas informaes transformando-as em maximizao de benefcios, oportunidades de negcio e vantagem competitiva no mercado.

    A estrutura do COBIT- Control Objectives for Information and Related Technology foi idealizada de forma a atender s necessidades de controle da organizao relacionadas Governana de TI.

  • Histrico do COBIT

    O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado ISACA).

    Em 1998, foi publicada a sua 2 edio, contendo uma reviso nos objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para implementao.

    A 3 edio foi publicada em 2000 pelo IT Governance Institute ( ITGI).

  • Histrico do COBIT

    O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de prticas e padres mais maduros.

    O COBIT est em conformidade com as regulamentaes, do foco mais acentuado na governana de TI, nos nveis mais elevados e da ampliao da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos, especialistas e auditores de TI).

    COBIT 4.1 -2007

  • Pblico Alvo do COBIT

    Gesto Executiva

    Gesto de Negcios

    Gesto de TI

    Auditores

  • Objetivo do COBIT

    Contribuir para o sucesso da entrega de produtos e servios de TI, a partir da perspectiva das necessidades do negcio, com um foco mais acentuado no controle que na execuo.

    Focos da Governana de TI, na viso do COBIT

  • Estrutura do COBIT

    Consiste de um conjunto de 210 Controles, organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos sistemas e TI.

    Principais Caractersticas Foco nos requisitos do negcio

    Orientao para uma abordagem de processos

    Utilizao de mecanismos de controles

    Direcionamento para a anlises das medies e indicadores de desempenho obtidos ao longo do tempo

  • Estrutura do COBIT Foco no Negcio

    Recursos de TI

    Aplicaes, Informao, Infra-estrutura e Pessoas

    Critrios de Controle

    Eficincia,Eficcia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulaes( Compliance) e Confiabilidade.

  • Estrutura do COBIT Controle atravs de objetivos

    Os objetivos de controle do COBIT procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primria ou secundria cada requerimento do negcio em termos de informao, cobrindo todos os seus aspectos:

    Primrio (P) Indica o nvel no qual o objetivo de controle definido tem impacto direto no critrio de informao.

    Secundrio (S) Indica o nvel no qual o objetivo de controle definido apenas satisfaz o critrio de informao, podendo ser em pouca extenso ou inclusive indiretamente.

    No Preenchimento Poderia ser aplicvel, todavia outro critrio de avaliao mais adequado a este processo.

  • Estrutura do COBIT Controle atravs de objetivos

  • Objetivos de ControlePO9 Avaliar e Gerenciar os Riscos de TI

    atingido mediante Garantindo que o gerenciamento de risco est totalmente embutido no processo de

    gerenciamento, internamente e externamente, e consistentemente aplicado; Avaliao da performance dos riscos; Recomendao e comunicao dos planos de ao para correo dos riscos.

    e medido por Percentual de objetivos crticos de TI cobertos pela avaliao de riscos; Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos; Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.

  • COBIT- Componentes Inter-relacionados

    Negcio

    Processos

    de TI

    Diretrizes

    para

    Auditoria

    Objetivos de

    Controle

    Prticas de

    ControleMetas das

    Atividades

    KPI KGIModelos de

    Maturidade

    requisitos informao

  • Estrutura do COBIT

    Modelos de Maturidade Nvel 0 (Inexistente): Processos de gesto no so

    aplicados;

    Nvel 1 (Inicial): Processos so espordicos e desorganizados;

    Nvel 2 (Repetitivo): Processos seguem um padro de regularidade;

    Nvel 3 (Definido): Processos so documentados e comunicados;

    Nvel 4 (Gerenciado): Processos so monitorados e medidos;

    Nvel 5 (Otimizado): Boas prticas so seguidas e otimizadas.

  • Estrutura do COBIT

    Metas e medies de desempenho

    Indicadores-Chave de Metas (KGIs)

    Definem as medies que informam gerncia se um processo de TI atingiu os objetivos de negcio;

    Indicadores-Chave de Desempenho (KPIs)

    Definem as medies que informam gerncia o quanto os processos de TI esto sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negcio.

  • Fatores Crticos de Sucesso

    Define as questes ou aes mais importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.

    Estrutura do COBIT

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    Modelo de Maturidade: Controle sobre o processo de TIde Avaliar e Gerenciar Riscos de TI com o objetivo denegcio de suportar decises da administrao atravs doatingimento dos objetivos de TI e fazer frente s ameaasmediante a reduo da complexidade, o aumento daobjetividade e a identificao de importantes fatores dedeciso.

    0 Inexistente A avaliao de risco para processos edecises de negcio no ocorre. A organizao noconsidera os impactos do negcio associados com asvulnerabilidades da segurana e com as incertezas doprojeto do desenvolvimento. A gerncia de risco no foiidentificada como relevante para adquirir solues de TIe entrega de servios de TI.

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    1 Inicial A organizao est ciente de suasresponsabilidades e obrigaes legais econtratuais, mas considera os riscos de TI deuma maneira ad hoc, sem seguir processos oupolticas definidas. As avaliaes informais doprojeto de risco ocorrem como determinado porcada projeto. As avaliaes de riscoprovavelmente no so identificadasespecificamente dentro de um projeto planejadoou so atribudas aos gerentes especficosenvolvidos no projeto.......

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    2 Repetvel mas Intuitivo Hemergente compreendimento que riscosde TI so importantes e necessriosserem considerados. Alguma abordagem avaliao de risco existe, mas o processo ainda imaturo e em desenvolvimento. Aavaliao est geralmente em um alto-nvel e tipicamente aplicada somenteaos projetos principais.....

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    3 Processo Definido Uma ampla polticade gesto de risco na organizao definequando e como conduzir as avaliaes derisco. A avaliao de risco segue umprocesso definido que est documentado edisponvel a toda a equipe de funcionriostreinada. As decises para seguir o processoe para receber o treinamento so deixadas discrio do indivduo.....

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    4 Gerenciado e Medido A avaliao do risco um procedimento padro e as excees para seguir o procedimento esto sendo observadas pela gerncia de TI. provvel que a gesto de risco de TI uma funo definida da gerncia com nvel de responsabilidade snior. O processo avanado e o risco avaliado no nvel do projeto individual e tambm regularmente no que diz respeito a operao de TI por toda a parte......

  • Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI

    5 Otimizado A avaliao de risco foi desenvolvida ao estgio onde um amplo processo estruturado na organizao reforado, seguido regularmente e bem controlado. O brainstorming e a anlise de causas de risco, envolvendo os indivduos peritos, so aplicados atravs da organizao inteira. A captura, a anlise e relato de dados da gesto de risco so altamente automatizados......

  • Estrutura do Cubo COBIT Recursos de TI so gerenciados por Processos de TI,

    para atingir Metas de TI, que por sua vez esto estreitamente ligadas aos Requisitos de Negcio.

    KP

    IP

    rocessos d

    e T

    iK

    GI

    Aplic

    aes

    Info

    rmao

    Infr

    a-e

    str

    utu

    ra

    Pessoas

    Requisitos de Negcio

  • Implementando COBIT

    Documentao Mapeamento dos processos de negcio Definio de polticas Identificao dos objetivos de controle Definio de diretrizes

    Implementao Divulgao Conscientizao

    Gesto dos processos Benchmarks das prticas de controle de TI

    (Modelo de Maturidade CMM) Fatores Crticos de Sucesso Indicadores de Objetivos Indicadores de Performance

  • Aplicabilidade do COBIT

    Avaliao dos processos de TI

    Auditoria dos riscos operacionais de TI

    Implementao modular da Governana de TI

    Realizao de benchmarking

    Qualificao de fornecedores de TI

  • Relacionamento dos Modelos de Melhores Prticas

    Nas duas ltimas dcadas vem surgindo e sendo elaborada uma srie de modelos de melhores prticas de TI

    Alguns desses modelos so originais e outros so derivados e/ou evoludos de outros modelos

    Exemplos:

    CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCM-SP, PMBOK, BSC, SAS-70

  • Estudo de Caso

    Estudo de Caso:

    Accor Services Brasil

  • Perfil da Empresa

    Accor Services- Grupo mundial de Hotelaria, Turismo e Servios com volume de negcios de R$ 7,0 bilhes em 2004.

    No Brasil, o Grupo Accor atua fortemente no ramo de hotelaria e servios diversificados, como os hotis Sofitel, Mercury, bis, Formule 1 e Parthenon Flats, e alinha de servios representada pelos produtos Ticket restaurante, Ticket alimentao

  • Histrico de TI

    At 1999, a rea de TI apresentava a seguinte situao:

    Cada aplicao focava um nico produto

    Os sistemas eram heterogneos e no estavam totalmente integrados

    A arquitetura de TI no atendia crescente necessidade de flexibilidade

    Altos custos de manuteno dos sistemas

    Infra-estrutura no estava totalmente alinhada com as necessidades do negcio

    Baixo valor agregado que TI fornecia ao negcio

  • Reformulao de TI

    De 2000 a 2004, efetuada a implementao do ERP e CRM

    A rea de Infraestrutura de TI foi transferida para IBM em um contrato de full outsourcing e a parte de telecomunicaes com a Embratel

    As arquiteturas de TI passaram para a WEB, ao contrrio do cliente/servidor

    Foi criada uma rea de Segurana da Informao Em 2003, foi elaborado e implementado o BSC da

    rea de TI A partir de 2004, aes voltadas para Governana

    de Ti comearam a ser pensadas e implantadas

  • O Programa de Governana de Ti

    O programa de desenvolveu em dois momentos.

    Em 2004, o primeiro momento consistiu nas seguintes aes:

    Reorganizao da gesto operacional de outsourcing

    Implantao do Escritrio de Projetos vinculado a diretoria de TI

    Implantao de ferramentas para a gesto de demandas e projetos

    Desenvolvimento da metodologia de gesto e de desenvolvimento de sistemas e processos

  • O Programa de Governana de Ti

    O segundo momento aconteceu em 2005, com aes tais como:

    Criao de um modelo de governana

    Gesto do Portfolio de Projetos pelo Escritrio de Projetos

    Forte capacitao dos recursos humanos em planejamento de projetos e em tecnologia

  • O Programa de Governana de Ti

    Como a Governana de TI evoluiu ao longo do tempo, novas aes esto sendo planejadas para 2006:

    Administrar a TI como se fosse uma empresa

    Implantar processos alinhados com a ITIL

    Mudar a forma de comunicao com o negcio

  • Resultados alcanados at o momento

    O volume de negcio mais que duplicou nos ltimos cinco anos

    O custo de TI, proporcionalmente ao resultado, caiu em mais de 30% e com melhor nvel de servio

    A satisfao do usurio aumentou em mais de 50% de 2000 a 2004

    O backlog diminuiu de 40% para 10%

  • Utilizao do COBIT- Exemplos

    Banco Bradesco Investimento de 1.2 bilhes no projeto Melhorias TI

    nos prximos 6 anos

    Banco Nossa Caixa Em cerca de dez dias, depois de divulgado as prticas

    de Governana de TI, as aes da Nossa Caixa valorizaram mais de 4%, superando o Ibovespa, principal ndice de preos da bolsa, no mesmo perodo.

    O Cobit tambm tem sido adotado pelas organizaes de TI de grandes bancos (Ita, Bradesco) e de grandes empresas (Grupo Votorantim, Petrobrs, Gerdau, Grupo Abril).

Recommended

View more >