Governança de TI

COBITProf. Luís Fernando GarciaProf. Luís Fernando Garcia

LUIS@GARCIA.PRO.BRLUIS@GARCIA.PRO.BR

COBITCOBIT

• Control Objetives for Information and related Control Objetives for Information and related TechnologyTechnology

• 1994 – ISACA – 1994 – ISACA – www.isaca.org

• 1998 – segunda versão1998 – segunda versão• 2000 – terceira versão2000 – terceira versão• 2005 – quarta versão 2005 – quarta versão • 2007 – 4.12007 – 4.1

COBITCOBIT

COBITCOBIT

• ObjetivosObjetivos

• As informações corporativas e a tecnologia As informações corporativas e a tecnologia para suportá-las não podem ser tratadas para suportá-las não podem ser tratadas isoladamente …isoladamente …

• .. TI considerada parte integrante da .. TI considerada parte integrante da estratégia corporativaestratégia corporativa

• Contribuir para o sucesso da entrega de Contribuir para o sucesso da entrega de produtos e serviços de TI – com foco mais produtos e serviços de TI – com foco mais acentuado no acentuado no controlecontrole e não na execução. e não na execução.

COBITCOBIT

• Estabelece relacionamentos com os Estabelece relacionamentos com os requisitos do negócio;requisitos do negócio;

• Organiza as atividades de TI em um modelo Organiza as atividades de TI em um modelo de processos genérico;de processos genérico;

• Identifica os porncipais recursos de TI, nos Identifica os porncipais recursos de TI, nos quais deve haver mais investimento;quais deve haver mais investimento;

• Define os objetivos de controle que devem Define os objetivos de controle que devem ser considerados para a gestãoser considerados para a gestão

• GENÉRICOGENÉRICO

COBITCOBIT

COBITCOBIT

COBITCOBIT

COBIT – Focos/PilaresCOBIT – Focos/Pilares

• Alinhamento EstratégicoAlinhamento Estratégico• Ligação negócio-TI Ligação negócio-TI

• Agregação de valorAgregação de valor• Otimizar custos/comprovar valor da TIOtimizar custos/comprovar valor da TI

• Gerenciamento de recursosGerenciamento de recursos• Otimização de investimentosOtimização de investimentos

• Gerenciamento de riscosGerenciamento de riscos• Conhecimento/entendimento/responsabilidadesConhecimento/entendimento/responsabilidades

• Medição de desempenhoMedição de desempenho• Acompanhamento e monitoração da implementação da Acompanhamento e monitoração da implementação da

estratégia, do andamento dos projetos, mediçõesestratégia, do andamento dos projetos, medições

COBIT – EstruturaCOBIT – Estrutura

• Foco nos Foco nos requisitos de negóciorequisitos de negócio

• Abordagem de Abordagem de processosprocessos

• Utilização extensiva de Utilização extensiva de mecanismos de mecanismos de controlecontrole

• Análise de Análise de mediçõesmedições

COBIT – Foco no negócioCOBIT – Foco no negócio

• Gerenciar os recursos de TIGerenciar os recursos de TI

• Usando processosUsando processos

• Para garantir entrega e qualidadePara garantir entrega e qualidade

• Dos serviços de TIDos serviços de TI

COBIT – Foco no negócioCOBIT – Foco no negócio

• Critérios de controle:Critérios de controle:

• EficiênciaEficiência• EficáciaEficácia• ConfidencialidadeConfidencialidade• IntegridadeIntegridade• DisponibilidadeDisponibilidade• Conformidade com regulaçõesConformidade com regulações• confiabilidadeconfiabilidade

COBIT – Foco no negócioCOBIT – Foco no negócio

Requisitos de Requisitos de NegócioNegócio

Processos de TIProcessos de TI Recursos de TIRecursos de TI

COBIT – ProcessosCOBIT – Processos

• Modelo padrão de referência e uma Modelo padrão de referência e uma linguagem comumlinguagem comum

• Ciclo:Ciclo:• PlanejarPlanejarconstruirconstruirexecutarexecutarmonitorarmonitorar

• 34 processos34 processos• 4 domínios4 domínios

COBIT – ProcessosCOBIT – Processos

COBIT – ControleCOBIT – Controle

• O conjunto de políticas, procedimentos, O conjunto de políticas, procedimentos, práticas e estruturas organizacionais práticas e estruturas organizacionais desenvolvidas para dar uma garantia desenvolvidas para dar uma garantia razoável de que os objetivos de negócio razoável de que os objetivos de negócio serão atingidos e de que eventos serão atingidos e de que eventos indesejáveis serão prevenidos ou mesmo indesejáveis serão prevenidos ou mesmo detectados e corrigidos”detectados e corrigidos”

COBIT – ControleCOBIT – Controle

• ““Um objetivo de controle define um resultado Um objetivo de controle define um resultado desejado ou própósito a ser atingido através desejado ou própósito a ser atingido através da implementação de procedimentos de da implementação de procedimentos de controle em uma atividade de TI específica” controle em uma atividade de TI específica”

COBIT – ControleCOBIT – Controle

• Objetivos genéricos:Objetivos genéricos:

• Dono para o processo/responsabilidadesDono para o processo/responsabilidades• RepetibilidadeRepetibilidade• Clareza de metas e objetivosClareza de metas e objetivos• Matriz responsável, aprovador, consultado, Matriz responsável, aprovador, consultado,

informadoinformado• Medição do desempenho do processoMedição do desempenho do processo• Processo divulgadoProcesso divulgado

COBIT – MediçõesCOBIT – Medições

• O que deve ser medido?O que deve ser medido?• Como ser medido?Como ser medido?• Onde obter os dados?Onde obter os dados?• Como agregar os resultados?Como agregar os resultados?

• Modelo de maturidade (como no CMM)Modelo de maturidade (como no CMM)

COBIT – Visão integradaCOBIT – Visão integrada

COBIT – AplicabilidadeCOBIT – Aplicabilidade

• Avaliação dos processos de TIAvaliação dos processos de TI• Auditoria dos riscos operacionais de TIAuditoria dos riscos operacionais de TI• Implementação modular da governança TIImplementação modular da governança TI• Realização de benchmarkingRealização de benchmarking• Qualificação de fornecedores de TIQualificação de fornecedores de TIEm/para:Em/para: Gestão executivaGestão executiva Gestão de negócioGestão de negócio Gestão de TIGestão de TI AuditoresAuditores

COBIT – BenefíciosCOBIT – Benefícios

• Comunicação clara/direta/precisaComunicação clara/direta/precisa• Visão clara situação atual processos TIVisão clara situação atual processos TI• Redução de riscosRedução de riscos• Maior solidez no planejamentoMaior solidez no planejamento• Alta visibilidade da melhoria da TIAlta visibilidade da melhoria da TI• Redução de custos operacionaisRedução de custos operacionais• Melhoria da imagemMelhoria da imagem