COBIT v5 Prof. Luís Fernando Garcia [email protected]

COBITv5

Prof. Luís Fernando GarciaProf. Luís Fernando [email protected]@GARCIA.PRO.BR

COBITCOBIT

• CobitCobit• Control Objectives for Information and Control Objectives for Information and

related Technologyrelated Technology

• ISACF – Information Systems Audit and ISACF – Information Systems Audit and Control FoundationControl Foundation

• ISACAISACA• www.isaca.org

COBITCOBIT

COBITCOBIT

COBITCOBIT

COBITCOBIT

COBIT - versõesCOBIT - versões

• 19961996• Objetivos de controle para aplicações de negóciosObjetivos de controle para aplicações de negócios

• 1998 – segunda versão1998 – segunda versão• (+) Ferramenta de suporte a Implementação(+) Ferramenta de suporte a Implementação

• 2000 – terceira versão2000 – terceira versão• (+) Normas e guias para gestão(+) Normas e guias para gestão

• 2005 – quarta versão 2005 – quarta versão • (+) Melhoria dos controles/Segurança e ativos(+) Melhoria dos controles/Segurança e ativos

• 2007 – 4.12007 – 4.1• 2010 – 4.1 em Língua Portuguesa2010 – 4.1 em Língua Portuguesa• 2012/abril – 5.0 (ainda somente em Inglês)2012/abril – 5.0 (ainda somente em Inglês)

COBIT (V5)COBIT (V5)

Diferença entre Governança Diferença entre Governança e Gestão de TI (até V4)e Gestão de TI (até V4)

COBIT – governança x gestão (V5)COBIT – governança x gestão (V5)

COBITCOBIT

COBITCOBIT

COBITCOBIT

COBITCOBIT

• ObjetivosObjetivos

• As informações corporativas e a tecnologia As informações corporativas e a tecnologia para suportá-las não podem ser tratadas para suportá-las não podem ser tratadas isoladamente …isoladamente …

• .. TI considerada parte integrante da .. TI considerada parte integrante da estratégia corporativaestratégia corporativa

• Contribuir para o sucesso da entrega de Contribuir para o sucesso da entrega de produtos e serviços de TI – com foco mais produtos e serviços de TI – com foco mais acentuado no acentuado no controlecontrole e não na execução. e não na execução.

COBITCOBIT

• Estabelece relacionamentos com os Estabelece relacionamentos com os requisitos do negócio;requisitos do negócio;

• Organiza as atividades de TI em um modelo Organiza as atividades de TI em um modelo de processos genérico;de processos genérico;

• Identifica os principais recursos de TI, nos Identifica os principais recursos de TI, nos quais deve haver mais investimento;quais deve haver mais investimento;

• Define os objetivos de controle que devem Define os objetivos de controle que devem ser considerados para a gestãoser considerados para a gestão

• GENÉRICOGENÉRICO

COBITCOBIT

COBITCOBIT

COBITCOBIT

COBIT – Foco no negócio (até V4)COBIT – Foco no negócio (até V4)

COBITCOBIT

COBIT – Focos/Pilares (até V4)COBIT – Focos/Pilares (até V4)

• Alinhamento EstratégicoAlinhamento Estratégico• Ligação negócio-TI Ligação negócio-TI

• Agregação de valorAgregação de valor• Otimizar custos/comprovar valor da TIOtimizar custos/comprovar valor da TI

• Gerenciamento de recursosGerenciamento de recursos• Otimização de investimentosOtimização de investimentos

• Gerenciamento de riscosGerenciamento de riscos• Conhecimento/entendimento/responsabilidadesConhecimento/entendimento/responsabilidades

• Medição de desempenhoMedição de desempenho• Acompanhamento e monitoração da implementação da Acompanhamento e monitoração da implementação da

estratégia, do andamento dos projetos, mediçõesestratégia, do andamento dos projetos, medições

COBIT – Princípio (v5)COBIT – Princípio (v5)

COBIT – Habilitadores (v5)COBIT – Habilitadores (v5)

COBIT – Habilitadores (v5)COBIT – Habilitadores (v5)

Princípios, políticas e quadros são os veículos para traduzir o comportamento desejado em orientações práticas para o dia-a-dia de gestão.

Os processos descrevem um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas para atingir as metas de TI.

As estruturas organizacionais são as principais entidades de tomada de decisão em uma empresa.

A cultura, a ética e o comportamento dos indivíduos e da empresa são muitas vezes subestimada como fator de sucesso em atividades de governança e gestão.

A informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas vezes a chave do produto da própria empresa.

Os Serviços, a infraestrutura e as aplicações fornecem as empresas os recursos necessários para o processamento de informação.

As pessoas, habilidades e competências são necessárias para a conclusão bem sucedida de todas as atividades, e para tomar decisões corretas e ações corretivas.

COBIT – EstruturaCOBIT – Estrutura

• Foco nos Foco nos requisitos de negóciorequisitos de negócio

• Abordagem de Abordagem de processosprocessos

• Utilização extensiva de Utilização extensiva de mecanismos de mecanismos de controlecontrole

• Análise de Análise de mediçõesmedições

COBIT – Foco no negócioCOBIT – Foco no negócio

• Gerenciar os recursos de TIGerenciar os recursos de TI

• Usando processosUsando processos

• Para garantir entrega e qualidadePara garantir entrega e qualidade

• Dos serviços de TIDos serviços de TI


• Critérios de controle:Critérios de controle:

• EficiênciaEficiência• EficáciaEficácia• ConfidencialidadeConfidencialidade• IntegridadeIntegridade• DisponibilidadeDisponibilidade• Conformidade com regulaçõesConformidade com regulações• confiabilidadeconfiabilidade



P PrimárioP Primário

S SecundárioS Secundário

COBIT – ProcessosCOBIT – Processos

• Modelo padrão de referência e uma Modelo padrão de referência e uma linguagem comumlinguagem comum

• Ciclo:Ciclo:• PlanejarPlanejarconstruirconstruirexecutarexecutarmonitorarmonitorar

• 34 processos (V4) 34 processos (V4) 37 processos (V5)37 processos (V5)• 4 domínios (V4) 4 domínios (V4) 5 domínios (V5) 5 domínios (V5)

COBIT – Domínios (V5)COBIT – Domínios (V5)

• Avaliar, dirigir e monitorar• Alinhar, planejar e organizar• Construir, adquirir e

Implementar• Entregar suporte e serviço• Monitorar, verificar e avaliar

COBIT – Processos (V4)COBIT – Processos (V4)





COBIT – ControleCOBIT – Controle

• O conjunto de políticas, procedimentos, O conjunto de políticas, procedimentos, práticas e estruturas organizacionais práticas e estruturas organizacionais desenvolvidas para dar uma garantia desenvolvidas para dar uma garantia razoável de que os objetivos de negócio razoável de que os objetivos de negócio serão atingidos e de que eventos serão atingidos e de que eventos indesejáveis serão prevenidos ou mesmo indesejáveis serão prevenidos ou mesmo detectados e corrigidos”detectados e corrigidos”


• ““Um objetivo de controle define um resultado Um objetivo de controle define um resultado desejado ou própósito a ser atingido através desejado ou própósito a ser atingido através da implementação de procedimentos de da implementação de procedimentos de controle em uma atividade de TI específica” controle em uma atividade de TI específica”


• Objetivos genéricos:Objetivos genéricos:

• Dono para o processo/responsabilidadesDono para o processo/responsabilidades• RepetibilidadeRepetibilidade• Clareza de metas e objetivosClareza de metas e objetivos• Matriz responsável, aprovador, consultado, Matriz responsável, aprovador, consultado,

informadoinformado• Medição do desempenho do processoMedição do desempenho do processo• Processo divulgadoProcesso divulgado


COBIT – MediçõesCOBIT – Medições

• O que deve ser medido?O que deve ser medido?• Como ser medido?Como ser medido?• Onde obter os dados?Onde obter os dados?• Como agregar os resultados?Como agregar os resultados?

• Modelo de maturidade (como no CMM)Modelo de maturidade (como no CMM)

COBIT – AplicabilidadeCOBIT – Aplicabilidade

• Avaliação dos processos de TIAvaliação dos processos de TI• Auditoria dos riscos operacionais de TIAuditoria dos riscos operacionais de TI• Implementação modular da governança TIImplementação modular da governança TI• Realização de benchmarkingRealização de benchmarking• Qualificação de fornecedores de TIQualificação de fornecedores de TIEm/para:Em/para: Gestão executivaGestão executiva Gestão de negócioGestão de negócio Gestão de TIGestão de TI AuditoresAuditores

COBIT – BenefíciosCOBIT – Benefícios

• Comunicação clara/direta/precisaComunicação clara/direta/precisa• Visão clara situação atual processos TIVisão clara situação atual processos TI• Redução de riscosRedução de riscos• Maior solidez no planejamentoMaior solidez no planejamento• Alta visibilidade da melhoria da TIAlta visibilidade da melhoria da TI• Redução de custos operacionaisRedução de custos operacionais• Melhoria da imagemMelhoria da imagem

COBIT – Maturidade (V5)COBIT – Maturidade (V5) 0 – Processo Incompleto: O processo não existe ou não atende seu

objetivo. 1 – Processo Executado: O processo está implementado e atinge seu

objetivo. 2 – Processo Gerenciado: Possui os atributos “Gerenciamento de

Performance e Gerenciamento de Produto”. O processo está implementado de um modo gerenciado e seus produtos estão estabelecidos e controlados.

3 – Processo estabelecido: Possui os atributos “Definição de Processo e Implementação de Processo” é um processo definido capaz de atingir os seus resultados.

4 – Processo Previsível: Possui os atributos “Gerenciamento do Processo e Controle do Processo”, e agora opera dentro de limites para atingir seu resultado.

5 – Processo Otimizado: Possui os atributos “Inovação de Processo e Otimização de Processo”. O processo previsível é melhorado continuamente para atender as necessidades atuais e planejadas no negócio.

COBITCOBITwww.isaca.org.brwww.isaca.org.br

FontesFontes

COBITCOBITGuia 4.1 Pt-BRGuia 4.1 Pt-BR

COBIT – Trabalho 1 da parte 2COBIT – Trabalho 1 da parte 2

• Individual Individual • Até 30/09 (inclusive o período da aula)Até 30/09 (inclusive o período da aula)

• Selecionar 2 processos de cada domínio (Selecionar 2 processos de cada domínio (O O QUEQUE) (justificando)) (justificando)

• e e • propor solução no contexto da empresa propor solução no contexto da empresa

((COMOCOMO))

• Fonte: Guia oficial Cobit 4.1Fonte: Guia oficial Cobit 4.1

Documents

COBIT v5 Prof. Luís Fernando Garcia [email protected]