Cobit

1

Renato Jesus COBIT Licensed Training Provider

Implementação de Governança de TI através do COBIT, VAL IT e RISK IT

Renato JesusCOBIT Licensed Training Provider

2


Governança

Maximizar a riqueza de seus acionistas e sócios

SETOR PRIVADO Governança Corporativa

Beneficiar o Cidadão

SETOR PÚBLICO Governança

Necessidade da criação de mecanismos que alinhem

os interesses dos gestores aos dos acionistas

Necessidade da criação de mecanismos que alinhem

os interesses dos gestores aos dos provedores de fundo, interesses políticos e aos direitos do cidadão

MOTIVADORES� Alinhamento aos planos

Corporativos� Mercado de capitais exige que

empresas sejam mais competitivas e transparentes.

MOTIVADORES� Alinhamento aos planos do Governo� Responsabilidade Fiscal

3


Governança de TI

Governança

ACIONISTAS

GESTORES

EXECUTIVOS

GESTORES de TI

Direciona Viabiliza

Governança Corporativa x Governança de TI

Corporativa Pública

Provedores de Fundos

Interesses políticos

4


Maturidade da TI

Provedor de

Tecnologia Gestão de Infra-Estrutura de TI

Tempo

Gestão de Serviços de TI

Provedor de

Servico

Governança de TI

Parceiro

Estratégico

Evolução da Maturidade de TI

5


O que é Governança de TI?

Lideranças, estruturas organizacionais e processos que garantam que a TI mantenha e amplie as estratégias e os

objetivos da empresa, estabelecendo:

1. Que decisões chaves necessitam ser feitas2. Quem é responsável por tomá-las3. Como elas serão tomadas

GESTÃO DE RECURSOS

GOVERNANÇA DE TI

6


Governança e Gerenciamento de TI

� Governança Corporativa

� Governança de TI

ServiçosProjetos

� Gerenciamento de Segurança de TIAuditoria

XYZ

7


GerenciamentoXYZ de TI

GovernançaTI

GovernançaCorporativa

...Desenvolv.Operações

Acionistas e Investidores

Conselho Adm/Fiscal Presidente

...Financeiro Tecnologia

Provedores de recursos e Influências políticas

OrgãosFiscalizadoresExecutivo

OrgãoPúblico

Governança e Gerenciamento de TI

8


Empresas com políticas de governança em TI mais efetivas têmlucros mais altos do que as outras – mais de 20% superiores.Peter Weill and Jeannie W. Ross, IT Governance

As boas notícias

Nas empresas com práticas maduras de governança, risco econformidade de TI a receita e o lucro são 17% e 14% maiores,respectivamente, assim como os níveis de retenção de clientes(17%) e de satisfação de cliente (18%).IT Policy Compliance Group - 2008

9


Somente 38% da gerência executiva/senior podem descrever seus processosde Governança de TI na organização. Na maioria dos casos a Governança de TInão foi modelada.Peter Weill and Jeannie W. Ross, IT Governance

As más notícias

Somente 40% dos projetos aprovados possuem declarações realistas debenefícios.

Menos que 10% das organizações, asseguram após o projeto, que osbenefícios foram realizados.

Menos de 5% das organizações estabelecem responsabilidade pelo atingimentodos benefícios.Meta Group – july 2004

Falhas em iniciativas das áreas de tecnologia da informação podem gerar até 2% de queda nas ações que as empresas ofertam na bolsa de valores.Computer World 2009

10


Alguns números locais

11


SOX

COSO

BSC

e-SCM

SIXSigma

ISO 9000

ISO1779927001

ISO 20000

PMBOK

CMMI

ITIL

COBITBasiléia II

PADRÕES

Melhores Práticas e Padrões

12


Sinergias FinanceirasBSC – Scorecard Corporativo

Sinergias com ClientesSinergias em Processos Internos

Sinergias em Aprendizado e Crescimento

Governança Corporativa

DESEMPENHO CONFORMIDADE

Direcionadores Estratégicos

COMPULSÓRIA ESPONTÂNEA

COSO

SOXBASILÉIA

Responsab.Fiscal

Níveis Diferenciados

de Governança Corporativa

Níveis Diferenciados

de Transparência e Gestão

Requerimentos de CONTROLE DE TI

PROJETOS PMBOK; CMMI

OUTSOURCINGe-SCM

SEGURANÇA INF.ISO 17799; ISO 27001

SERVIÇOS DE TIITIL V3 ISO 20000

Governança de TI

COBIT, VAL IT e RISK IT

MAPPINGs

O que fazer?

Como fazer?

ISO 38500:2008

Requerimentos de DESEMPENHO

13


COBIT, VAL IT, Risk IT – Organizações de Suporte

Information Systems Audit and Controls Association• Fundada em 1969

• Mais de 86.000 membros em mais de 160 países

• Foco em Governança, Controle, Segurança e Auditoria de TI.

• 185 capítulos em 75 países

IT Governance Institute

• Fundado em 1998

• Auxilia as organizações nas responsabilidades de fazer TI suportar a missão e objetivos de negócio.

www.itgi.org .

Control OBjectives for Information and related Technology

www.isaca.org

14


em desenvolvimento…

Governança

Gestão

Controle

Auditoria

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005 2011

COBIT – Evolução

Evolução

COBIT 5

15


COBIT 4.1 – Visão Geral

16


�Alinhamento estratégico de TI com os objetivos de negócio, aumentando o foco no negócio

� Fornece clara propriedade e responsabilidade, baseado na orientação à processos.

�Possui aceitação geral de terceiros e orgãos reguladores� Favorece o entendimento de todas as partes interessadas, baseado numa linguagem comum.

�Preenche os requerimentos do COSO relativos ao controle do ambiente de TI� Favorece a aderência a regulamentos sem perder o foco na melhoria do desempenho de TI

�Aceito largamente, permitindo o benchmarking com o mercado�Custos ligados ao ciclo de vida de TI mais transparentes e previsíveis� Informação mais confiável�Gerenciamento mais efetivo dos riscos relacionados a TI

Resumo dos Benefícios do COBIT

17


Como COBIT atende as necessidades?

� FOCADO EM NEGÓCIOS

� ORIENTADO PARA PROCESSOS

� BASEADO EM CONTROLES

� DIRECIONADO POR MÉTRICAS

COBIT – Visão Geral

18


COBIT – Focado em negócios

Objetivos do Negócio

Manter reputação e liderança da organização

Objetivos de TI

Garantir que os Serviços de TI possam resistir e se recuperar de ataques

Objetivos de ProcessoDetectar e resolver acessos não autorizados as informações, aplicações e infra-estrutura

Direciona

Direciona

19


Monitorar e Avaliar

Entregar e Suportar

Adquirir e Implementar

Planejar e Organizar

BSCNEGÓCIO

BSCESTRATÉGICO

TI

BSCDESENVOLVIMENTO

TI

BSCOPERACIONAL

TI

Fonte: Board Briefing on IT Governance – second edition - IT Governance Institute

IT Balanced Scorecard e COBIT


20


Relacionamento de metas de negócio com TI


21




22




23


COBIT – Orientado para Processos

• Identificar e classificarproblema

• Analisar causa raiz• Resolver problema• Efetuar requisição de

mudança

Atividades de TIAções requeridas para obterum resultado mensurável

• Identificar e classificarproblema

• Analisar causa raiz• Resolver problema• Efetuar requisição de

mudança

Atividades de TIAções requeridas para obterum resultado mensurável

• Planejar e Organizar• Adquirir e Implementar• Entregar e Suportar

• Monitorar e Avaliar

Domínios de TIAgrupamento de processos quenormalmente corresponde a

uma responsabilidadeorganizacional

(áreas tradicionais de TI)

• Planejar e Organizar• Adquirir e Implementar• Entregar e Suportar

• Monitorar e Avaliar

Domínios de TIAgrupamento de processos quenormalmente corresponde a

uma responsabilidadeorganizacional

(áreas tradicionais de TI)

• Definir um Plano Estratégico de TI

• Gerenciar a Qualidade• Gerenciar Projetos• Gerenciar os Problemas

Processos de TIConjunto de atividades com delimitação de pontos de

controle

• Definir um Plano Estratégico de TI

• Gerenciar a Qualidade• Gerenciar Projetos• Gerenciar os Problemas

Processos de TIConjunto de atividades com delimitação de pontos de

controle

24


PO1 - Definir um Plano Estratégico de TIPO2 - Definir a Arquitetura da InformaçãoPO3 - Determinar o Direcionamento TecnológicoPO4 - Definir os Processos, Organização e osRelacionamentos de TIPO5 - Gerenciar o Investimento de TIPO6 - Comunicar as Diretrizes e Expectativas da DiretoriaPO7 - Gerenciar os Recursos Humanos de TIPO8 - Gerenciar a QualidadePO9 - Avaliar e Gerenciar os Riscos de TIPO10 - Gerenciar Projetos

AI1 - Identificar Solução Automatizadas

AI2 - Adquirir e Manter Software Aplicativo

AI3 - Adquirir e Manter Infraestrutura de

Tecnologia

AI4 - Habilitar Operação e Uso

AI5 - Adquirir Recursos de TI

AI6 - Gerenciar Mudanças

AI7 - Instalar e Homologar Soluções e

Mudanças

DS1 - Definir e Gerenciar Níveis de ServiçosDS2 - Gerenciar Serviços de TerceirosDS3 - Gerenciar Capacidade e DesempenhoDS4 - Assegurar Continuidade de ServiçosDS5 - Assegurar a Segurança dos ServiçosDS6 - Identificar e Alocar CustosDS7 - Educar e Treinar os UsuáriosDS8 - Gerenciar a Central de Serviço e os IncidentesDS9 - Gerenciar a ConfiguraçãoDS10 - Gerenciar os ProblemasDS11 - Gerenciar os DadosDS12 - Gerenciar o Ambiente FísicoDS13 - Gerenciar as Operações

ME1 - Monitorar e Avaliar o DesempenhoME2 - Monitorar e Avaliar os Controles InternosME3 - Assegurar a Conformidade com Requisitos ExternosME4 - Prover a Governança de TI

Informação

Recursos de TI

� efetividade� eficiência� confidencialidade� integridade� disponibilidade� conformidade� confiabilidade

Monitorar e

Entregar eSuportar

Adquirir eImplementar

Planejar eOrganizar

� aplicativos� informação� infraestrut.� pessoas


Objetivos de Governança

Avaliar

Orientado para Processos O framework

COBIT - Estrutura – Domínios e Processos

Adaptado do COBIT 4.1 - ITGI

25


Controles são políticas, procedimentos, práticas e estrutura organizacional, concebidos para prover uma garantia razoável de

que os objetivos do negócio serão atingidos e os eventos indesejáveis serão evitados ou detectados e corrigidos.

COBIT – Baseado em controles

26


� São escalas que permitem uma comparação pragmática, na qual as diferenças podem ser medidas e gerenciadas.

� Auxiliam na determinação da situação atual e desejada em relação a maturidade dos controles.

Um dos maiores desafios das empresas é o de visualizar o nível de profundidade que deve ser adotado pelos

mecanismos de controle

COBIT – Direcionado por MétricasModelo de Maturidade

27


0 1 2 3 4 5

Inexistente Inicial Repetível Definido Gerenciado Otimizado

Posição atual da empresa

Média do Mercado

Objetivo da organização

Legenda dos Simbolos Legenda da Classificação

0 – Processos de gestão não são aplicados

1 – Processos são “ad hoc” e desorganizados

2 – Processos seguem um padrão de regularidade

3 – Processos são documentados e comunicados

4 – Processos são monitorados e medidos

5 – Boas práticas são seguidas e automatizadas


28


Onde queremos chegar?

Onde estamos agora?

Como chegaremos lá?

Como saberemos que chegamos?

� Visão e objetivos do negócio� Benchmarking no segmento

e padrões internacionais

AvaliaçõesMapeamento da situação atual

Mudanças nos processosCriação de controles

Métricasmonitoramento passo a passo

das melhorias


29


Fonte: Management Guidelines


30



Onde queremos chegar

melhorias

Onde estamos agora

5

4

3

2

1

Definição de Objetivose Métricas

Responsabilidade eResponsabilização

Habilidades eEspecialização

Ferramentas eAutomação

Políticas, Planose Procedimentos

Consciência eComunicação

ATRIBUTOS DE MATURIDADE

MATURIDADEGERAL

31


Atender os requerimentos de negócio em alinhamento com a estratégia de negócio

Entregar projetos no prazo, dentro do orçamento e atingindo padrões de qualidade

Objetivos de TI

% projetos dentro do prazo e orçamento

% projetos atendendo expectativas dos stakeholders

Medidos por

% projetos atendendo expectativas dos stakeholders (dentro do prazo , orçamento e escopo e atendendo os requerimentos distribuído por importância)

Medidos por

% projetos seguindo padrões e práticas de gerenc. projetos

% gerentes de projeto certificados ou capacitados

% projetos com revisões pós-implementação

% stakeholders participando dos projetos

Medidos por

PO10 - Planejamento e Organização - Gerenciar Projetos

Agilidade em responder aos requerimentos de mudanças do negócio


% Requerimentos atendidos dentro das expectativas

Medidos por

Acompanhamento de projetos e mecanismos de controle de custos e duração;

Implementação de transparência ao status de projetos;

Objetivos do Processo

Definição e implantação de programas, estruturas e abordagens de projeto;

Publicação de diretrizes de gestão de projeto;

Realização de planejamento de projeto p/ todo portfólio.

Objetivos das Atividades

COBIT – Direcionado por MétricasMensuração de Desempenho

32


COBIT – Matriz de Responsabilidade

PO10 - Planejamento e Organização - Gerenciar Projetos

33


Diretoria e Executivos� Board Briefing on IT Governance� Information Security GovernanceGerência de Negócio e Tecnologia, Profissional de Auditoria, Controle e Segurança� COBIT� Val IT � Risk IT� Implementing and Continually Improving IT Governance � COBIT Online � COBIT Security Baseline� COBIT Quickstart� COBIT Mappings � COBIT User Guide for Service Managers � COBIT Control Practices � IT Assurance Guide: Using COBIT � IT Control Objectives for Sarbanes-Oxley� IT Control Objectives for Basel

COBIT – Publicações

34


Aplicando o Framework VAL IT para Introduzir/Otimizar Práticas de

Gerenciamento de Valor

Visão Geral

35


Questão Fundamental

Estamos maximizando o valor de nossos investimentos em negócios

habilitados por TI, de tal forma que….

se atinja o benefício ótimo,por um custo acessível e

por um nível aceitável de risco?

36


INVESTIMENTOS EM TI

Uma nova Perspectiva

INVESTIMENTOS EM MUDANÇAS

HABILITADAS POR TI

Adaptado da Apresentação “Delivering on the Promise of Information Technology (VAL IT)” - ITGI

37


Questões de Governança

Are we doing the right things?

Are we getting the

benefits?

Are we doing

them the right way?

Are we getting

them done well?

Fonte: VAL IT 2.0

Questão de Valor:

Temos ...- Um entendimento claro e compartilhado dos benefícios esperados

- Clara responsabilização pela realização dos benefícios

- métricas relevantes - Um processo efetivo de

realização de benefícios

Questão estratégica:

O investimento está ...- Em linha com nossa visão- Consistente com nossos

princípios de negócio- Contribuindo para nossos

objetivos estratégicos- Oferecendo valor, num

custo razoável e em nível aceitável de risco.

Questão de arquitetura:

O investimento está ...

- Em linha com nossa arquitetura

- Consistente com nossos princípios de arquitetura

- em linha com nossa iniciativas.

Questão de Entrega:

Nós temos ...

- Processos de gerenciamento efetivos e disciplinados de entrega e mudancas

- Recursos de negócio e recursos técnicos competentes e disponíveis para “entregar”

- “ Capabilities” requeridas

38


COBIT x VAL IT - Responsabilidades

Board / Senior Executive

Business Management

VAL IT

COBIT

IT (Functional Mgt)


39


Modelagem e Início do Programa

Realização dos

Benefícios

Entrega da Solução de TI

Implantação de TI

Entrega do Serviço de TI

Mudanças no Negócio

Integração com o Negócio

Operação do Negócio

COBIT

VAL IT

Fonte: VAL IT 2.0

COBIT x VAL IT - Ciclo de vida

40


Relutância em dizer não para

projetos

Ausência de foco estratégico

Projetos são“vendidos” em bases emocionais – não são

selecionados

Não há um processo forte de

revisão

Sem clareza quantoaos critérios

estratégicos parapriorização e seleção

SITUAÇÃO

Não se pode “interromper” os projetos

Muitos projetos

Qualidade Comprometida

Subdimensionamento dos prazos e custos

Projetos não alinhados

CONDUZ A RESULTA EM

1. Estouro de orçamento

2. Atraso nos projetos

3. Necessidades do negócio não atendidas

4. Benefícios não recebidos

5. Má utilização dos recursos

6. Ausência de confiança na TI

Sua empresa precisa?


41


- Pesquisas e Fatos

Fonte: VAL IT 2.0

PESQUISAS

FATOS

42


Princípios do VAL IT

� Investimentos habilitados por TI

� Serão gerenciados como “portfólio” de investimentos

� Incluirão o escopo completo das atividades que são requeridas para gerar valor para o negócio

� Serão gerenciados através de todo o ciclo de vida econômico

- Princípios

Fonte: VAL IT 2.0

43


Práticas de entrega de valor

� Reconhecer que há diferentes categorias de investimento que serão avaliadas e gerenciadas diferentemente.

� Definir e monitorar métricas chaves e responder rapidamente a qualquer mudança ou desvio.

� Envolver todos os interessados e atribuir apropriada responsabilidadepela entrega das “capabilities” e a realização dos benefícios do negócio.

� Monitorar continuamente, avaliar e melhorar

- Práticas de Entrega de Valor

Fonte: VAL IT 2.0

44


VAL IT

É baseado no COBIT focando na dimensão da entrega de valor:

- Decisões de investimento

- Realização de benefícios

O objetivo da iniciativa do VAL IT é ajudar a gerência a

assegurar que as organizações realizem o valor dos

investimentos de negócio habilitados por TI por custos

razoáveis e com um nível de risco conhecido e aceito.

O VAL IT amplia o COBIT na realização de benefícios

45


- Domínios e Processos

Fonte: VAL IT 2.0

46


- Processos e Práticas Chaves

Objetivo

Assegurar que as práticas de gerenciamento de valorestejam embutidas nas práticas de gestão da

empresa.

Fonte: VAL IT 2.0

47



Objetivo

Assegurar que uma empresa obtenha valor ótimo em toda a sua

carteira de investimentos habilitados por TI

Fonte: VAL IT 2.0

48



Objetivo

Assegurar que individualmente cada investimento habilitado por TI contribua para a otimização do valor

Fonte: VAL IT 2.0

49


Detailed Key Management Practices

Management Guidelines

- Estrutura do Manual

Fonte: VAL IT 2.0

50


to-be

improvement measures

as-is

Consciência e comunicação

Overall

Process

Maturity

Atributos de Maturidade

- MODELO DE MATURIDADE

Responsabilidade e obrigações

(accountability)

Definição de objetivo e mensuração

Políticas, padrões e

procedimentos

Consciência e comunicação

Ferramentas e automatização

5

4

3

2

1

Fonte: VAL IT 2.0

51


- Getting Started Guide

� Questões internas que incomodam

� Problemas na entrega das “capabilities”

� Conhecimento limitado ou inexistente dos gastos de TI

� Abdicação da área de negócio nas tomadas de decisão relativas a função de TI

� Falha na comunicação entre a área de negócios e TI

� Questionamentos sobre o valor de TI

� Falha nos principais investimentos em TI

� Eventos externos

� Mudanças no financiamento

� Ocorrências de mercado ou mudanças econômicas

Fonte: VAL IT 2.0

52



� Abordagens

� Sensibilizar e entender o gerenciamento de valor

� Implementar ou melhorar a governança

� Realizar um inventário dos investimentos

� Clarificar o valor dos investimentos individuais

� Conduzir a avaliação, seleção e priorização dos investimentos

Fonte: VAL IT 2.0

53



Abordagens

Questões internas

Eventos externos

Fonte: VAL IT 2.0

54


- Conclusão

A entrega das “capabilities” não é o bastante

� Valor depende de como o negócio gerencia e utiliza a TI

� Requer significantes mudanças organizacionais

� O envolvimento da área de negócios e o estabelecimento das responsabilidades são essenciais “Parceria do negócio com TI”

55


- VISÃO GERAL

Framework completo cobrindo governança de risco, avaliação e resposta, processos e atividades. O framework é alinhado e complementa o COBIT

mas entrega valor mesmo se aplicado isoladamente.

Risk IT é o primeiro guia global de riscos relacionados a TI, para prover uma visão dos riscos de negócio relacionados as atividades de TI

56


- VISÃO GERAL

Gerenciamento dos riscos relacionados a TI

Risk IT não está limitado as questões de segurança. Ele inclui todos os riscos relacionados a TI, incluindo:

Atrasos na entrega de projetosNão obtenção do valor de TI

Não conformidadeDesalinhamento

Arquitetura de TI obsoleta ou inflexívelProblemas de entrega de serviços de TI

57


• Um guia para ajudar executivos/gerentes …

• tomar melhores decisões com base nas informações de risco

• Integrar o gerenciamento dos riscos de TI com o gerenciamento de risco da organização

• entender o apetite e a tolerância a riscos da organização

- VISÃO GERAL

58


Fonte: RISK IT

- Estrutura

59


� Conceitos gerais sobre risco� Universo de risco e escopo do gerenciamento de risco� Apetite e tolerância a risco� Conscientização, comunicação e reporte� KRI� Cultura de risco� Cenários de risco� Resposta a risco e priorização� Mitigação de risco usando COBIT e VAL IT

� Processos de risco� Descrição� Tabela de entradas e saídas� Matriz de responsabilidade - RACI (Responsible, Accountable, Consulted,

Informed)� Tabela de objetivos e métricas

� Modelo de maturidade para cada domínio

- O Framework

60


Implementing and Continually Improving IT Governance

Abordagem para a implementação da Governançade TI baseada em um ciclo de vida de melhoria contínua, utilizando o COBIT, VAL IT e

RISK IT.

Abordagem para a implementação da Governançade TI baseada em um ciclo de vida de melhoria contínua, utilizando o COBIT, VAL IT e

RISK IT.

Ferramenta de Apoio à Implementação

61




62




63


Risk IT Val IT

CobiT

IdentificaRisco e

Oportunidade

Gerenciamentode Valor

EventosRelacionados a TI

Gerenciamento de Processos de TI

Gerenciamentode Risco



64


COBIT 5 – The next gerenation

O que vem por aí?

Renato JesusCOBIT Licensed Training Provider

65


� Pover um framework de Governança e Gerenciamentorenovado, construído a partir do já largamente reconhecido e aceito framework COBIT, conjugando e reforçando todos osdemais frameworks e guias do ISACA, tais como:

Val IT Risk ITBMIS ITAFBoard Briefing Taking Governance Forward

� Criar uma conexão para outros principais frameworks e padrõesno mercado, como ITIL, padrões ISO, PMBOK, PRINCE2, TOGAF, etc

COBIT 5 – Objetivos do ISACA

66


COBIT 5 – Modelo de processos revisado

COBIT 4.1

34

VAL IT 2.0

22

RISK IT

9

COBIT 5

37

67


COBIT 5 – Arquitetura de produtos

68


COBIT 5 – Próximos passos

Atividade Prazo

Planejar a iniciativa e obter aprovações Concluído

Divulgar de documento público e revisão junto ao mercado (COBIT 5 Design Paper Exposure Draft)

Concluído

Desenvolvimento de conteúdo para o COBIT 5 Out/2010 a Fev/2011

Desenvolvimento de “paper” para exposição e revisão (COBIT 5 - Exposure Draft)

Mar-Abr/2011

Desenvolvimento de conteúdo para o COBIT 5 Mai-Jul/2011

Preparação do material desenvolvido para publicação Ago-Set/2011

69


Implementação de Governança de TI através do COBIT, VAL IT e RISK IT

OBRIGADO!

[email protected]

Education

Cobit