Governana de TI: O que COBIT - Adriano Maranho de Gerenciamento PO9 –Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos

Download Governana de TI: O que  COBIT - Adriano Maranho  de Gerenciamento PO9 –Avaliar e Gerenciar os Riscos de TI Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos

Post on 07-Feb-2018

219 views

Category:

Documents

6 download

Embed Size (px)

TRANSCRIPT

<ul><li><p>Governana de TI: O que COBIT ?</p></li><li><p>Agenda</p><p> Governana de TI</p><p> Metodologia COBIT</p><p> Relacionamento do COBIT com os modelos de melhores prticas</p><p> Governana de TI em 2006</p><p> Estudo de Caso</p><p> Referncias</p></li><li><p>Governana de TI</p><p> De acordo com o IT Governance Institute (2005)</p><p>A governana de TI de responsabilidadede alta administrao (incluindo diretorese executivos), na liderana, nas estruturasorganizacionais e nos processos quegarantem que a TI da empresa sustente eestenda as estratgias e objetivos daorganizao.</p></li><li><p>Governana de TI Fatores motivadores da Governana de TI</p><p>Governana</p><p>de TI</p><p>Ambiente de</p><p>Negcios</p><p>Marcos de</p><p>Regulao</p><p>Dependncia do</p><p>Negcio em</p><p>Relao TI</p><p>Segurana da</p><p>Informao</p><p>Integrao</p><p>Tecnolgica</p></li><li><p>Governana de TI</p><p> Framework para Gerenciamento de TI</p><p> A Governana de TI, quando implementada de forma integrada:</p><p> Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnolgicos e suas informaes transformando-as em maximizao de benefcios, oportunidades de negcio e vantagem competitiva no mercado.</p><p> A estrutura do COBIT- Control Objectives for Information and Related Technology foi idealizada de forma a atender s necessidades de controle da organizao relacionadas Governana de TI.</p></li><li><p>Histrico do COBIT</p><p> O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado ISACA).</p><p> Em 1998, foi publicada a sua 2 edio, contendo uma reviso nos objetivos de controle de alto nvel e detalhados, e mais um conjunto de ferramentas e padres para implementao.</p><p> A 3 edio foi publicada em 2000 pelo IT Governance Institute ( ITGI).</p></li><li><p>Histrico do COBIT</p><p> O modelo evoluiu novamente em 2005 para a verso 4.0, atravs de prticas e padres mais maduros.</p><p> O COBIT est em conformidade com as regulamentaes, do foco mais acentuado na governana de TI, nos nveis mais elevados e da ampliao da sua abrangncia para um pblico mais heterogneo (gestores, tcnicos, especialistas e auditores de TI). </p><p> COBIT 4.1 -2007</p></li><li><p>Pblico Alvo do COBIT</p><p> Gesto Executiva</p><p> Gesto de Negcios</p><p> Gesto de TI</p><p> Auditores</p></li><li><p>Objetivo do COBIT</p><p> Contribuir para o sucesso da entrega de produtos e servios de TI, a partir da perspectiva das necessidades do negcio, com um foco mais acentuado no controle que na execuo.</p><p> Focos da Governana de TI, na viso do COBIT</p></li><li><p>Estrutura do COBIT</p><p> Consiste de um conjunto de 210 Controles, organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos sistemas e TI. </p><p> Principais Caractersticas Foco nos requisitos do negcio</p><p> Orientao para uma abordagem de processos</p><p> Utilizao de mecanismos de controles</p><p> Direcionamento para a anlises das medies e indicadores de desempenho obtidos ao longo do tempo</p></li><li><p>Estrutura do COBIT Foco no Negcio</p><p> Recursos de TI</p><p> Aplicaes, Informao, Infra-estrutura e Pessoas</p><p> Critrios de Controle</p><p> Eficincia,Eficcia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulaes( Compliance) e Confiabilidade.</p></li><li><p>Estrutura do COBIT Controle atravs de objetivos</p><p> Os objetivos de controle do COBIT procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primria ou secundria cada requerimento do negcio em termos de informao, cobrindo todos os seus aspectos:</p><p> Primrio (P) Indica o nvel no qual o objetivo de controle definido tem impacto direto no critrio de informao.</p><p> Secundrio (S) Indica o nvel no qual o objetivo de controle definido apenas satisfaz o critrio de informao, podendo ser em pouca extenso ou inclusive indiretamente.</p><p> No Preenchimento Poderia ser aplicvel, todavia outro critrio de avaliao mais adequado a este processo. </p></li><li><p>Estrutura do COBIT Controle atravs de objetivos</p></li><li><p>Objetivos de ControlePO9 Avaliar e Gerenciar os Riscos de TI</p><p> atingido mediante Garantindo que o gerenciamento de risco est totalmente embutido no processo de</p><p>gerenciamento, internamente e externamente, e consistentemente aplicado; Avaliao da performance dos riscos; Recomendao e comunicao dos planos de ao para correo dos riscos.</p><p>e medido por Percentual de objetivos crticos de TI cobertos pela avaliao de riscos; Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos; Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.</p></li><li><p>COBIT- Componentes Inter-relacionados</p><p>Negcio</p><p>Processos </p><p>de TI</p><p>Diretrizes </p><p>para </p><p>Auditoria</p><p>Objetivos de </p><p>Controle</p><p>Prticas de </p><p>ControleMetas das </p><p>Atividades</p><p>KPI KGIModelos de </p><p>Maturidade</p><p>requisitos informao</p></li><li><p>Estrutura do COBIT</p><p> Modelos de Maturidade Nvel 0 (Inexistente): Processos de gesto no so </p><p>aplicados;</p><p> Nvel 1 (Inicial): Processos so espordicos e desorganizados;</p><p> Nvel 2 (Repetitivo): Processos seguem um padro de regularidade;</p><p> Nvel 3 (Definido): Processos so documentados e comunicados;</p><p> Nvel 4 (Gerenciado): Processos so monitorados e medidos;</p><p> Nvel 5 (Otimizado): Boas prticas so seguidas e otimizadas.</p></li><li><p>Estrutura do COBIT</p><p> Metas e medies de desempenho</p><p> Indicadores-Chave de Metas (KGIs)</p><p> Definem as medies que informam gerncia se um processo de TI atingiu os objetivos de negcio;</p><p> Indicadores-Chave de Desempenho (KPIs)</p><p> Definem as medies que informam gerncia o quanto os processos de TI esto sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negcio.</p></li><li><p> Fatores Crticos de Sucesso</p><p> Define as questes ou aes mais importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.</p><p>Estrutura do COBIT</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> Modelo de Maturidade: Controle sobre o processo de TIde Avaliar e Gerenciar Riscos de TI com o objetivo denegcio de suportar decises da administrao atravs doatingimento dos objetivos de TI e fazer frente s ameaasmediante a reduo da complexidade, o aumento daobjetividade e a identificao de importantes fatores dedeciso.</p><p> 0 Inexistente A avaliao de risco para processos edecises de negcio no ocorre. A organizao noconsidera os impactos do negcio associados com asvulnerabilidades da segurana e com as incertezas doprojeto do desenvolvimento. A gerncia de risco no foiidentificada como relevante para adquirir solues de TIe entrega de servios de TI.</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> 1 Inicial A organizao est ciente de suasresponsabilidades e obrigaes legais econtratuais, mas considera os riscos de TI deuma maneira ad hoc, sem seguir processos oupolticas definidas. As avaliaes informais doprojeto de risco ocorrem como determinado porcada projeto. As avaliaes de riscoprovavelmente no so identificadasespecificamente dentro de um projeto planejadoou so atribudas aos gerentes especficosenvolvidos no projeto.......</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> 2 Repetvel mas Intuitivo Hemergente compreendimento que riscosde TI so importantes e necessriosserem considerados. Alguma abordagem avaliao de risco existe, mas o processo ainda imaturo e em desenvolvimento. Aavaliao est geralmente em um alto-nvel e tipicamente aplicada somenteaos projetos principais.....</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> 3 Processo Definido Uma ampla polticade gesto de risco na organizao definequando e como conduzir as avaliaes derisco. A avaliao de risco segue umprocesso definido que est documentado edisponvel a toda a equipe de funcionriostreinada. As decises para seguir o processoe para receber o treinamento so deixadas discrio do indivduo.....</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> 4 Gerenciado e Medido A avaliao do risco um procedimento padro e as excees para seguir o procedimento esto sendo observadas pela gerncia de TI. provvel que a gesto de risco de TI uma funo definida da gerncia com nvel de responsabilidade snior. O processo avanado e o risco avaliado no nvel do projeto individual e tambm regularmente no que diz respeito a operao de TI por toda a parte......</p></li><li><p>Diretrizes de GerenciamentoPO9 Avaliar e Gerenciar os Riscos de TI</p><p> 5 Otimizado A avaliao de risco foi desenvolvida ao estgio onde um amplo processo estruturado na organizao reforado, seguido regularmente e bem controlado. O brainstorming e a anlise de causas de risco, envolvendo os indivduos peritos, so aplicados atravs da organizao inteira. A captura, a anlise e relato de dados da gesto de risco so altamente automatizados......</p></li><li><p>Estrutura do Cubo COBIT Recursos de TI so gerenciados por Processos de TI, </p><p>para atingir Metas de TI, que por sua vez esto estreitamente ligadas aos Requisitos de Negcio.</p><p>KP</p><p>IP</p><p>rocessos d</p><p>e T</p><p>iK</p><p>GI</p><p>Aplic</p><p>aes</p><p>Info</p><p>rmao</p><p>Infr</p><p>a-e</p><p>str</p><p>utu</p><p>ra</p><p>Pessoas</p><p>Requisitos de Negcio</p></li><li><p>Implementando COBIT</p><p> Documentao Mapeamento dos processos de negcio Definio de polticas Identificao dos objetivos de controle Definio de diretrizes</p><p> Implementao Divulgao Conscientizao</p><p> Gesto dos processos Benchmarks das prticas de controle de TI </p><p>(Modelo de Maturidade CMM) Fatores Crticos de Sucesso Indicadores de Objetivos Indicadores de Performance</p></li><li><p>Aplicabilidade do COBIT</p><p> Avaliao dos processos de TI </p><p> Auditoria dos riscos operacionais de TI </p><p> Implementao modular da Governana de TI</p><p> Realizao de benchmarking</p><p> Qualificao de fornecedores de TI </p></li><li><p>Relacionamento dos Modelos de Melhores Prticas</p><p> Nas duas ltimas dcadas vem surgindo e sendo elaborada uma srie de modelos de melhores prticas de TI</p><p> Alguns desses modelos so originais e outros so derivados e/ou evoludos de outros modelos</p><p> Exemplos:</p><p> CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCM-SP, PMBOK, BSC, SAS-70</p></li><li><p>Estudo de Caso</p><p>Estudo de Caso: </p><p>Accor Services Brasil</p></li><li><p>Perfil da Empresa</p><p> Accor Services- Grupo mundial de Hotelaria, Turismo e Servios com volume de negcios de R$ 7,0 bilhes em 2004.</p><p> No Brasil, o Grupo Accor atua fortemente no ramo de hotelaria e servios diversificados, como os hotis Sofitel, Mercury, bis, Formule 1 e Parthenon Flats, e alinha de servios representada pelos produtos Ticket restaurante, Ticket alimentao</p></li><li><p>Histrico de TI</p><p> At 1999, a rea de TI apresentava a seguinte situao:</p><p> Cada aplicao focava um nico produto</p><p> Os sistemas eram heterogneos e no estavam totalmente integrados</p><p> A arquitetura de TI no atendia crescente necessidade de flexibilidade</p><p> Altos custos de manuteno dos sistemas</p><p> Infra-estrutura no estava totalmente alinhada com as necessidades do negcio</p><p> Baixo valor agregado que TI fornecia ao negcio</p></li><li><p>Reformulao de TI</p><p> De 2000 a 2004, efetuada a implementao do ERP e CRM</p><p> A rea de Infraestrutura de TI foi transferida para IBM em um contrato de full outsourcing e a parte de telecomunicaes com a Embratel</p><p> As arquiteturas de TI passaram para a WEB, ao contrrio do cliente/servidor</p><p> Foi criada uma rea de Segurana da Informao Em 2003, foi elaborado e implementado o BSC da </p><p>rea de TI A partir de 2004, aes voltadas para Governana </p><p>de Ti comearam a ser pensadas e implantadas</p></li><li><p>O Programa de Governana de Ti</p><p> O programa de desenvolveu em dois momentos.</p><p> Em 2004, o primeiro momento consistiu nas seguintes aes:</p><p> Reorganizao da gesto operacional de outsourcing</p><p> Implantao do Escritrio de Projetos vinculado a diretoria de TI</p><p> Implantao de ferramentas para a gesto de demandas e projetos</p><p> Desenvolvimento da metodologia de gesto e de desenvolvimento de sistemas e processos</p></li><li><p>O Programa de Governana de Ti</p><p> O segundo momento aconteceu em 2005, com aes tais como:</p><p> Criao de um modelo de governana</p><p> Gesto do Portfolio de Projetos pelo Escritrio de Projetos</p><p> Forte capacitao dos recursos humanos em planejamento de projetos e em tecnologia</p></li><li><p>O Programa de Governana de Ti</p><p> Como a Governana de TI evoluiu ao longo do tempo, novas aes esto sendo planejadas para 2006:</p><p> Administrar a TI como se fosse uma empresa</p><p> Implantar processos alinhados com a ITIL</p><p> Mudar a forma de comunicao com o negcio </p></li><li><p>Resultados alcanados at o momento</p><p> O volume de negcio mais que duplicou nos ltimos cinco anos</p><p> O custo de TI, proporcionalmente ao resultado, caiu em mais de 30% e com melhor nvel de servio</p><p> A satisfao do usurio aumentou em mais de 50% de 2000 a 2004</p><p> O backlog diminuiu de 40% para 10%</p></li><li><p>Utilizao do COBIT- Exemplos</p><p> Banco Bradesco Investimento de 1.2 bilhes no projeto Melhorias TI </p><p>nos prximos 6 anos</p><p> Banco Nossa Caixa Em cerca de dez dias, depois de divulgado as prticas </p><p>de Governana de TI, as aes da Nossa Caixa valorizaram mais de 4%, superando o Ibovespa, principal ndice de preos da bolsa, no mesmo perodo.</p><p> O Cobit tambm tem sido adotado pelas organizaes de TI de grandes bancos (Ita, Bradesco) e de grandes empresas (Grupo Votorantim, Petrobrs, Gerdau, Grupo Abril). </p></li></ul>