Este documento discute governança de TI, incluindo problemas enfrentados por TI, tipos de gestão de TI, fatores que demandam governança de TI e o framework COBIT. O framework COBIT fornece um modelo abrangente para governança e gestão de TI que alinha estratégias de negócios e TI.
2. sumário
• Governança Corporativa
• Problemas enfrentados por TI
• Tipos de Gestão de TI
• Governança de TI
• Fatores que demandam Governança de TI
• O framework COBIT
• Suíte de produtos
3. Governança Corporativa
Prover direção estratégica
conformidade com leis e regulamentos Monitorar a performance
4. O que demanda governança
corporativa?
Administrar a
complexidade da
organização
Leis e regulamentos
sustentabilidade empresarial
responsabilidade social Responsabilidade
ambiental
5. O que demanda governança
corporativa?
Transparência
Gerenciamento de riscos
Gestão Financeira eficiente
6. Trocando em miúdos...
• Gerenciamento x
Governança
• 3 perguntinhas
básicas :
• Que decisões precisam ser tomadas?
• Quem deverá tomá-las?
• Como tomá-las e como monitorá-las ?
12. A TI é isso... A TI é aquilo...
Perdas financeiras
Posição fraca no mercado Prazos não cumpridos;
Orçamentos estourados
Baixo retorno sobre Tecnologia obsoleta Imagem desgastada
investimentos
13. Tipos de Gestão de TI
(Os arquétipos de Weil e Ross)
Monarquia dos Negócios Feudalismo Monarquia de TI
Duopólio Federalismo Anarquia
14. O que é governança de TI
Onde Onde
queremos estamos
chegar?
Agora ?
Como
chegaremos
lá ?
Como saber se
chegamos lá ?
26. Fatores que demandam Governança de
TI
• Alinhamento e retorno sobre o grande número
de investimentos
27. E Como ele supre essas necessidades
?
• Faz um link com os requisitos dos negócios
• Organiza as atividades de TI em um modelo de
processos
• Define objetivos que serão controlados ao
decorrer do processo
29. O Framework:
i cc t D V a
gi n
g nt
Va
e
e e De l u
e ll e
at me
a m
trr n i ve e
S t l liig n
S g erry
y
A A
IT
IT
nt t
mee n
Governance
Pe rrfa ss ue m m
Pe
Governance
Me
M ea
Domains
Focus Areas
a g em
R k
M aa n ii s k
f omm e ne n
or r
ur re
ag
R
anc t t
Mn
anc
e e
Resource
Resource
Management
Management
32. Critérios da Informação
(Requisitos dos Negócios )
Efetividade – lida com a informação relevante e pertinente para o processo de negócio bem
como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.
Eficiência – relaciona-se com a entrega da informação através do melhor (mais produtivo e
econômico) uso dos recursos.
Confidencialidade – está relacionada com a proteção de informações confidenciais para evitar
a divulgação indevida.
Integridade – relaciona-se com a fidedignidade e totalidade da informação bem como sua
validade de acordo os valores de negócios e expectativas.
Disponibilidade – relaciona-se com a disponibilidade da informação quando exigida pelo
processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos
necessários e capacidades associadas.
Conformidade – lida com a aderência a leis, regulamentos e obrigações contratuais aos quais
os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e
políticas internas.
Confiabilidade – relaciona-se com a entrega da informação apropriada para os executivos para
administrar a entidade e exercer suas responsabilidades fiduciárias e de conformidade com leis e
regulamentos
33. Recursos de TI
Entregam
Informações
Executam
Processos Aplicações
Precisam de
Infra-estrutura Pessoas
34. Processos de TI
Domínios de TI
• Plan and Organise
• Acquire and Implement Grupo de processos com uma
• Deliver and Support responsabilidade em comum
• Monitor and Evaluate
Processos de TI
• Estratégia de TI
• Operações de Computadores
• Gestão de Incidentes
A serie de atividades juntas
• Testes
• Gerência de Mudança
• Plano de Continuidade
• Gerência de problemas
Atividades
• Registrar um novo problema
• Análise
• Propor soluções Ações necessárias para alcançar
• Monitorar soluções um resultado desejado
• Registrar Erro Conhecido
• Etc.
35. Como eles se relacionam ?
Requisitos
dos Negócios
Informação Recursos
organizacional De TI
Processo
s de TI
36. C OBI T Framework
PROCESSOS
DE NEGÓCIOS
Criteria
• Efetividade
• Eficiência
INFORMAÇÃO
•
•
Confidencialiidade
Integridade COBIT
• Disponibilidade
• Conformidade
• Confiabilidade
RECURSOS
de TI
• Aplicações
• Infraestrutura
• Processos
• Pessoas
PLANEJAR E
ORGANIZAR
MONITORAR E
AVALIAR
ADQUIRIR E
IMPLEMENTAR
ENTREGAR E
SUPORTAR
38. Planejamento e organização
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
39. Aquisição e Implementação
AI 1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
40. Entrega e Suporte
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os
Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
41. Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
44. Descrição do Processo
AI6 Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no
ambiente de produção são formalmente gerenciadas de maneira controlada.
As mudanças (incluindo procedimentos, processos, parâmetros de sistemas
e de serviço) devem ser registradas, avaliadas e autorizadas antes da
implementação e revisadas em seguida, tendo como base os resultados
efetivos e planejados.
Isso assegura a mitigação de riscos, de impactos negativos, na estabilidade
ou na integridade do ambiente de produção.
55. Modelos de Maturidade
Inexistente Inicial Repetível Definido Gerenciado Otimizado
0 1 2 3 4 5
Legend for Symbols Used Legend for Rankings Used
Enterprise current status 0 - Management processes are not applied at all.
1 - Processes are ad hoc and disorganised.
International standard guidelines 2 - Processes follow a regular pattern.
3 - Processes are documented and communicated.
Industry best practice
4 - Processes are monitored and measured.
5 - Best practices are followed and automated.
Enterprise strategy
56. Modelo de Maturidade ( Processo AI6
)
0 - Inexistente
quando Não há um processo de gerenciamento de mudanças formalmente estabelecido, e as mudanças podem ser feitas
praticamente sem nenhum controle. Não há consciência de que as mudanças podem interromper as operações de TI de
negócio, tampouco há consciência dos benefícios de um bom gerenciamento de mudanças.
1 - Inicial/ Ad hoc
quando É reconhecido que as mudanças devem ser gerenciadas e controladas. As práticas variam, e existe a probabilidade
de execução de mudanças não autorizadas. A documentação de mudança é insuficiente ou inexistente e a de configuração é
incompleta e não confiável. Provavelmente os erros ocorrem junto com interrupções no ambiente de produção devido a um
gerenciamento de mudanças ineficiente.
2 - Repetível, porém Intuitivo
quando há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse
processo é desestruturado, rudimentar e propenso a erros. A precisão da documentação de configuração é inconsistente, e
antes da mudança apenas são realizados um planejamento e uma avaliação limitados dos impactos.
3 - Processo Definido
quando há um processo formal de gerenciamento de mudanças, que inclui categorização, priorização, procedimentos de
emergência, autorização de mudança e controle de versão, porém a conformidade com o processo ainda é emergente. São
aplicadas soluções alternativas, e com frequência os processos são ignorados. Podem ocorrer erros, e mudanças não
autorizadas acontecem ocasionalmente. A análise de impacto das mudanças de TI sobre as operações de negócios começa a
ser formalizada para apoiar a implementação planejada de novas tecnologias e aplicações.
57. Modelo de Maturidade ( Processo AI6 )
4 - Gerenciado e Mensurável
quando O processo de gerenciamento de mudanças é bem desenvolvido, acompanha consistentemente todas as mudanças e
os responsáveis pelo gerenciamento podem afirmar que as exceções são mínimas. Os processos são eficazes e eficientes,
porém se apóiam em vários procedimentos e controles manuais para assegurar que a qualidade seja obtida. Todas as
mudanças estão sujeitas ao planejamento e à avaliação de impacto para minimizar a probabilidade de problemas após a
produção. Há um processo de aprovação de mudanças estabelecido. A documentação de gerenciamento de mudanças está
atualizada e correta, e as mudanças são controladas formalmente. A documentação de configuração é precisa. O
planejamento e a implementação do gerenciamento de mudanças estão ficando mais integrados com as mudanças nos
processos de negócio, para assegurar que o treinamento, as mudanças organizacionais e as questões de continuidade de
negócio sejam tratados. Há maior coordenação entre o gerenciamento de mudanças de TI e a redefinição de processos de
negócio. Há um processo consistente para monitorar a qualidade e o desempenho do processo de gerenciamento de
mudanças.
5 - Otimizado
quando O processo de gerenciamento de mudanças é revisado e atualizado regularmente para permanecer em alinhamento
com as boas práticas. O processo de revisão reflete o resultado do monitoramento. As informações de configuração são
automatizadas por software e propiciam o controle de versão. O rastreamento de mudanças é sofisticado e inclui ferramentas
que detectam software sem licença e não autorizado. O gerenciamento de mudanças de TI é integrado ao gerenciamento de
mudanças de negócio para assegurar que a TI viabilize o crescimento da produtividade e crie novas oportunidades de
negócios para a organização.
58. Star Chart
IT Process/Maturity Awareness Responsibility Goal Setting
and Policies, Standards Tools and Skills and
Levels for Process XX and and
Communication and Procedures Automation Expertise
Accountability Measurement
1 Inicial/ Ad hoc
2 Repetível,
porém Intuitivo
3 Processo Definido
4 Gerenciado e
Mensurável
5 Otimizado
2009 ISACA All rights
58
reserved.
59. Modelo de Maturidade ( Benchmark )
Po1
3.50
M1 Po3
3.00
DS11 2.50
Po5
2.00
DS10 Po9
1.50
1.00
DS5 Po10 large
medium
DS4 A11 small
DS1 A12
A16 A15
61. Controles
Políticas, procedimentos, práticas e estruturas organizacionais
Definição de
desenhadas para prover certeza de que os objetivos da
Controle organização estão sendo alcançados e eventos indesejáveis
serão prevenidos ou detectados e corrigidos.
Definição de O estado de um resultado desejado ou propósito a ser alcançado
Objetivo de pela implementação de práticas de controle em uma atividade
Controle em TI particular de TI.
62. Exemplo de Objetivos de Controle
AI6 Gerenciar Mudanças
AI6.1 Padrões e Procedimentos de Mudança
Estabelecer procedimentos formais de gerenciamento de mudanças para lidar de modo
padronizado com todas as solicitações de
mudança em aplicações, procedimentos, processos, parâmetros de sistema, parâmetros de serviço
e plataformas subjacentes (inclusive
solicitações de manutenção e reparo).
AI6.2 Avaliação de Impacto, Priorização e Autorização
Avaliar todas as solicitações de mudança de modo estruturado com relação a impactos no sistema
operacional e na respectiva funcionalidade.
Assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas.
AI6.3 Mudanças de Emergência
Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e
autorização de mudanças de emergência
que não sigam o processo de mudança estabelecido.
AI6.4 Acompanhamento de Status e Relatórios de Mudanças
Estabelecer um sistema de acompanhamento e relatórios de mudanças para documentar
mudanças rejeitadas, comunicar o status
de mudanças aprovadas e em andamento e executar mudanças. Garantir que as mudanças
autorizadas sejam implementadas conforme
planejado.
AI6.5 Finalização da Mudança e Documentação
Atualizar a documentação os procedimentos do sistema e de usuários sempre que forem
implementadas mudanças no sistema.
63. Práticas de Controle
AI6 Gerenciar Mudança
AI6.3 Mudanças de Emergência
Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e
autorização de mudanças de emergência que não sigam o processo de mudança estabelecido.
1. Management defines parameters, characteristics and Controlling emergency changes by
procedures that identify and declare emergencies. implementing the control practices
2. All emergency changes are documented, if not before, will :
then after, implementation. Ensure that emergency
3. All emergency changes are tested, if not before, then procedures are used in declared
after, implementation. emergencies only
4. All emergency changes are formally authorised by the Ensure that urgent changes can
system owner and management before implementation. be implemented without
5. Before and after images as well as intervention logs are compromising integrity,
retained for subsequent review. availability, reliability, security,
confidentiality or accuracy
Control Practices Why do it?
67. ‘‘Assurance ’’
Verifica se os objetivos de controle estão sendo alcançados
Identifica ‘‘fraquezas’’ e riscos nos processos
implementados
Provê informações detalhadas sobre a necessidade de
ações corretivas
“ Estamos no caminho certo? Caso
não estejamos, como iremos nos
ajustar ? ’’
68. A parte sem o todo não é todo...
enta d o co m Práticas de
Implem controle
Objetivos
de controle Au
r dit
po ad op
d o or
Derivado
ola
tr de
C on Guia de
requisitos Controle do auditoria
o por
Auditad Resutado dos
Processos testes
Business de TI
Med Modelos de
ido e maturidade
informações por r idad
matu
resultados
Di
Indicadores
vi
di
per de resultado
do
fo rma
em
nce
Indicatodores
Atividades de performance
Chave Feit
o po
r
Tabela
RACI
69. Onde o Cobit se posiciona?
CONFORMIDADE
Drivers PERFORMANCE Basel II, Sarbanes-
Objetivos do Negócio Oxley Act, etc.
Balanced
Governança Corporativa COSO
Scorecard
Governança de TI COBIT
ISO ISO ISO
Padrões de Melhores Práticas 9001:2000 17799 20000
Processos e Procedimentos Procedimentos Princípios de ITIL
QA Segurança
70. Suíte de produtos
Governança
Gerenciamento
de ti e dos
negócios
Governança, Segurança e “Assurance”
70
71. O importante é responder aos 4
‘Ares’
The strategic question The value question
Are we Are we
doing getting
the right the
things? benefits?
Are we Are we
The architecture question
doing them getting The delivery question
the right them done
way? well?
71
71
72. E ainda tem mais coisas...
ISO 38.500
Gestão de Projetos – PMBok
Val IT
RISK IT
- Prover direção estratégica ( competências organizacionais, recursos disponiveis ) Manter a conformidade com leis e regulamentos do mercado Monitorar a performance de acordo com os objetivos da organização
Leis e regulamentos Administrar a complexidade da organização responsabilidade social responsabilidade com o planeta ( ambiental ) sustentabilidade empresarial
Gerenciamento de riscos eficiente Gestão Financeira eficiente Transparência
Temas que exemplificam a necessidade de governança corporativa O caso enron, Worldcom a bolha das empresas da internet a recente crise do subprimes
ISE – Economico-social-ambiental + Governança-Natureza-geral ( responsabilidade social e sustentabilidade empresarial ) SRI – Investimentos socialmente responsáveis
Problemas que a organização encontra no ambiente de TI: Perdas financeiras Posição fraca no mercado em que atua - Pouco retorno sobre investimentos Falha nas iniciativas para trazer inovação e os benefícios que a TI promete Tecnologia obsoleta ou inadequada Incapacidade de trazer novas tecnologias Prazos não cumpridos e orçamentos estourados
Baseado nos conceitos do livro de Peter Weil
Faz um link com os requisitos dos negócios, indentifica responsabilidades de TI e de negócios
Requisitos dos Negócios Direcionam investimentos em Recursos de TI Usados por Processos de TI para entregar Informação Organizacional os quais respondem a Requisitos dos negócios
Please give personal comments or experience with this process.
2
Generic Maturity Model 0 Nonexistent—A complete lack of any recognisable processes. Organisation has not even recognised that there is an issue to be addressed. 1 Initial—There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes, but instead there are ad hoc approaches that tend to be applied on an individual or case-by-case basis. The overall approach to management is chaotic. 2 Repeatable—Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals, hence errors are likely. 3 Defined—Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and any deviations are unlikely to be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices. 4 Managed—It is possible to monitor and measure compliance with procedures and take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way. 5 Optimised—Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow and provide tools to improve quality and effectiveness.