Governanзa de TI: O que й COBIT ?

1
Governança de TI O que é COBIT ?
2
Agenda

• Governança de TI
• Metodologia COBIT
• Relacionamento do COBIT com os modelos de
  melhores práticas
• Governança de TI em 2006
• Estudo de Caso
• Referências

3
Governança de TI

• De acordo com o IT Governance Institute (2005)
• A governança de TI é de responsabilidade de
  alta administração (incluindo diretores e
  executivos), na liderança, nas estruturas
  organizacionais e nos processos que garantem que
  a TI da empresa sustente e estenda as estratégias
  e objetivos da organização.

4
Governança de TI

• Fatores motivadores da Governança de TI

Integração Tecnológica
Ambiente de Negócios
Governança de TI
Segurança da Informação
Marcos de Regulação
Dependência do Negócio em Relação à TI
5
Governança de TI

• Framework para Gerenciamento de TI
• A Governança de TI, quando implementada de forma
  integrada
• Permite que a empresa gerencie de forma eficiente
  seus investimentos em recursos tecnológicos e
  suas informações transformando-as em maximização
  de benefícios, oportunidades de negócio e
  vantagem competitiva no mercado.
• A estrutura do COBIT- Control Objectives for
  Information and Related Technology foi
  idealizada de forma a atender às necessidades de
  controle da organização relacionadas à Governança
  de TI.

6
Histórico do COBIT

• O COBIT foi criado em 1994 pela ISASFC (
  Information Systems Audit and Control Foundation,
  ligado à ISACA).
• Em 1998, foi publicada a sua 2ª edição, contendo
  uma revisão nos objetivos de controle de alto
  nível e detalhados, e mais um conjunto de
  ferramentas e padrões para implementação.
• A 3ª edição foi publicada em 2000 pelo IT
  Governance Institute ( ITGI).

7
Histórico do COBIT

• O modelo evoluiu novamente em 2005 para a versão
  4.0, através de práticas e padrões mais maduros.
• O COBIT está em conformidade com as
  regulamentações, do foco mais acentuado na
  governança de TI, nos níveis mais elevados e da
  ampliação da sua abrangência para um público mais
  heterogêneo (gestores, técnicos, especialistas e
  auditores de TI).
• COBIT 4.1 -2007

8
Público Alvo do COBIT

• Gestão Executiva
• Gestão de Negócios
• Gestão de TI
• Auditores

9
Objetivo do COBIT

• Contribuir para o sucesso da entrega de produtos
  e serviços de TI, a partir da perspectiva das
  necessidades do negócio, com um foco mais
  acentuado no controle que na execução.
• Focos da Governança de TI, na visão do COBIT

10
Estrutura do COBIT

• Consiste de um conjunto de 210 Controles,
  organizados em 34 Processos que são agrupados em
  4 Domínios, aplicáveis aos sistemas e à TI.
• Principais Características
• Foco nos requisitos do negócio
• Orientação para uma abordagem de processos
• Utilização de mecanismos de controles
• Direcionamento para a análises das medições e
  indicadores de desempenho obtidos ao longo do
  tempo

11
Estrutura do COBIT

• Foco no Negócio
• Recursos de TI
• Aplicações, Informação, Infra-estrutura e Pessoas
• Critérios de Controle
• Eficiência,Eficácia, Confidencialidade,
  Integridade, Disponibilidade, Conformidade com
  regulações( Compliance) e Confiabilidade.

12
(No Transcript)
13
Planejamento e Organização
14
Aquisição e Implementação
15
Entrega e Suporte
16
Monitoração e Avaliação
17
Estrutura do COBIT

• Controle através de objetivos
• Os objetivos de controle do COBIT procuram
  atestar como cada processo faz uso dos recursos
  de TI para atender de forma primária ou
  secundária cada requerimento do negócio em termos
  de informação, cobrindo todos os seus aspectos
• Primário (P) Indica o nível no qual o objetivo
  de controle definido tem impacto direto no
  critério de informação.
• Secundário (S) Indica o nível no qual o
  objetivo de controle definido apenas satisfaz o
  critério de informação, podendo ser em pouca
  extensão ou inclusive indiretamente.
• Não Preenchimento Poderia ser aplicável,
  todavia outro critério de avaliação é mais
  adequado a este processo.

18
Estrutura do COBIT

• Controle através de objetivos

19
Objetivos de ControlePO9 Avaliar e Gerenciar
os Riscos de TI

• PO9 Avaliar e Gerenciar os Riscos de TI
• Controle sobre o processo de TI de
• Avaliar e gerenciar os Riscos de Ti
• que satisfaça a exigência do negócio de
• Analisar e comunicar os riscos de TI e seu
  potencial impacto sobre os objetivos e processos
  do negócio
• por focalizar um

20
Objetivos de ControlePO9 Avaliar e Gerenciar
os Riscos de TI

• é atingido mediante
• Garantindo que o gerenciamento de risco está
  totalmente embutido no processo de gerenciamento,
  internamente e externamente, e consistentemente
  aplicado
• Avaliação da performance dos riscos
• Recomendação e comunicação dos planos de ação
  para correção dos riscos.
• e medido por
• Percentual de objetivos críticos de TI cobertos
  pela avaliação de riscos
• Percentual de riscos de TI críticos
  identificados com planos de ação desenvolvidos
• Percentual de plano de ação de gerenciamento de
  riscos aprovados para implementação.

21
Objetivos de ControlePO9 Avaliar e Gerenciar
os Riscos de TI

• Objetivos de Controles detalhados do PO9
• PO9.1 - Alinhamento do Gerenciamento de Riscos de
  Negócio e TI.
• PO9.2 - Estabelecimento do Contexto dos Riscos.
• PO9.3 - Identificação de eventos.
• PO9.4 - Aceitação de Riscos.
• PO9.5 - Resposta aos Riscos.
• PO9.6 - Manutenção e Monitoração do Plano de Ação
  de Riscos.

22
Estrutura do COBIT

• Os processos de TI são organizados na
  documentação do modelo de forma a mostrar uma
  visão completa sobre como devem ser controlados,
  gerenciados e medidos.
• Cada um dos 34 processos de TI é descrito através
  de seus componentes inter-relacionados
• Os componentes do COBIT são utilizados para fazer
  com que a TI seja orientada aos objetivos do
  negócio e cumpra seu papel na instituição

23
Estrutura do COBIT

• Conteúdo dos processos de TI
• Objetivos de controle de alto nível
• Área foco de governança, Requisitos de negócio(
  primário, secundário ou não aplicável)
• Objetivos de controle detalhado
• Representando as atividades que os decompõe
• Diretrizes para Gerenciamento
• Entradas e saída, Matriz de responsabilidades,
  Metas e Indicadores-chave de metas e desempenho.
• Modelo de Maturidade
• Utilizado para avaliar o processo em relação aos
  benchmarcks preestabelecidos.

24
COBIT- Componentes Inter-relacionados
Negócio
requisitos
informação
Processos de TI
Controlados por
Objetivos de Controle
eficientes e eficazes através de
Auditados através de
Medidos por
Implementado com
Traduzidos para
Diretrizes para Auditoria
Práticas de Controle
Metas das Atividades
foco em desempenho
foco na maturidade
focos nas saídas
KPI
KGI
Modelos de Maturidade
25
Estrutura do COBIT

• Modelos de Maturidade
• Nível 0 (Inexistente) Processos de gestão não
  são aplicados
• Nível 1 (Inicial) Processos são esporádicos e
  desorganizados
• Nível 2 (Repetitivo) Processos seguem um padrão
  de regularidade
• Nível 3 (Definido) Processos são documentados e
  comunicados
• Nível 4 (Gerenciado) Processos são monitorados e
  medidos
• Nível 5 (Otimizado) Boas práticas são seguidas e
  otimizadas.

26
Estrutura do COBIT

• Metas e medições de desempenho
• Indicadores-Chave de Metas (KGIs)
• Definem as medições que informam à gerência se um
  processo de TI atingiu os objetivos de negócio
• Indicadores-Chave de Desempenho (KPIs)
• Definem as medições que informam à gerência o
  quanto os processos de TI estão sendo bem
  executados no sentido de viabilizar o atendimento
  dos objetivos de negócio.

27
Estrutura do COBIT

• Fatores Críticos de Sucesso
• Define as questões ou ações mais importantes para
  obter o controle sobre os processos de TI,
  estrategicamente, tecnicamente e em termos
  organizacionais ou procedurais.

28
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI
29
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI
30
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI
31
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• Modelo de Maturidade Controle sobre o processo
  de TI de Avaliar e Gerenciar Riscos de TI com o
  objetivo de negócio de suportar decisões da
  administração através do atingimento dos
  objetivos de TI e fazer frente às ameaças
  mediante a redução da complexidade, o aumento da
  objetividade e a identificação de importantes
  fatores de decisão.
• 0 Inexistente A avaliação de risco para processos
  e decisões de negócio não ocorre. A organização
  não considera os impactos do negócio associados
  com as vulnerabilidades da segurança e com as
  incertezas do projeto do desenvolvimento. A
  gerência de risco não foi identificada como
  relevante para adquirir soluções de TI e entrega
  de serviços de TI.

32
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• 1 Inicial A organização está ciente de suas
  responsabilidades e obrigações legais e
  contratuais, mas considera os riscos de TI de uma
  maneira ad hoc, sem seguir processos ou políticas
  definidas. As avaliações informais do projeto de
  risco ocorrem como determinado por cada projeto.
  As avaliações de risco provavelmente não são
  identificadas especificamente dentro de um
  projeto planejado ou são atribuídas aos gerentes
  específicos envolvidos no projeto.......

33
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• 2 Repetível mas Intuitivo Há emergente
  compreendimento que riscos de TI são importantes
  e necessários serem considerados. Alguma
  abordagem à avaliação de risco existe, mas o
  processo é ainda imaturo e em desenvolvimento. A
  avaliação está geralmente em um alto-nível e é
  tipicamente aplicada somente aos projetos
  principais.....

34
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• 3 Processo Definido Uma ampla política de gestão
  de risco na organização define quando e como
  conduzir as avaliações de risco. A avaliação de
  risco segue um processo definido que está
  documentado e disponível a toda a equipe de
  funcionários treinada. As decisões para seguir o
  processo e para receber o treinamento são
  deixadas à discrição do indivíduo.....

35
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• 4 Gerenciado e Medido A avaliação do risco é um
  procedimento padrão e as exceções para seguir o
  procedimento estão sendo observadas pela gerência
  de TI. É provável que a gestão de risco de TI é
  uma função definida da gerência com nível de
  responsabilidade sênior. O processo é avançado e
  o risco é avaliado no nível do projeto individual
  e também regularmente no que diz respeito a
  operação de TI por toda a parte......

36
Diretrizes de GerenciamentoPO9 Avaliar e
Gerenciar os Riscos de TI

• 5 Otimizado A avaliação de risco foi desenvolvida
  ao estágio onde um amplo processo estruturado na
  organização é reforçado, seguido regularmente e
  bem controlado. O brainstorming e a análise de
  causas de risco, envolvendo os indivíduos
  peritos, são aplicados através da organização
  inteira. A captura, a análise e relato de dados
  da gestão de risco são altamente
  automatizados......

37
Estrutura do Cubo COBIT

• Recursos de TI são gerenciados por Processos de
  TI, para atingir Metas de TI, que por sua vez
  estão estreitamente ligadas aos Requisitos de
  Negócio.

38
Implementando COBIT

• Documentação
• Mapeamento dos processos de negócio
• Definição de políticas
• Identificação dos objetivos de controle
• Definição de diretrizes
• Implementação
• Divulgação
• Conscientização
• Gestão dos processos
• Benchmarks das práticas de controle de TI (Modelo
  de Maturidade CMM)
• Fatores Críticos de Sucesso
• Indicadores de Objetivos
• Indicadores de Performance

39
Aplicabilidade do COBIT

• Avaliação dos processos de TI
• Auditoria dos riscos operacionais de TI
• Implementação modular da Governança de TI
• Realização de benchmarking
• Qualificação de fornecedores de TI

40
Relacionamento dos Modelos de Melhores Práticas

• Nas duas últimas décadas vem surgindo e sendo
  elaborada uma série de modelos de melhores
  práticas de TI
• Alguns desses modelos são originais e outros são
  derivados e/ou evoluídos de outros modelos
• Exemplos
• CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCM-SP,
  PMBOK, BSC, SAS-70

41
Agrupamento dos modelos das melhores práticas
42
Relacionamento do COBIT com os modelos de
Serviços de TI

• Alguns processos do COBIT que possuem relação com
  serviços de TI
• PO9- Avaliar e gerenciar riscos de TI
  relacionado ao gerenciamento da continuidade dos
  serviços e ao gerenciamento da segurança da
  informação
• DS1- Definir e gerenciar níveis de serviço
  relacionado a disciplina de gerenciamento de
  níveis de serviço
• DS3- Gerenciar desempenho e capacidade
  relacionado à disciplina de gerenciamento de
  capacidade e disponibilidade

43
Relacionamento do COBIT com modelos de Projetos

• Alguns processos do COBIT que possuem relação com
  Projetos
• AI2- Adquirir e manter software aplicativo
  compreende o ciclo de vida de desenvolvimento de
  software que está representado no CMMI e na
  ISO/IEC 12207
• AI5- Adquirir recursos de TI todos os modelos
  abordam a questão de aquisição de recursos para
  os projetos

44
Quando utilizar os modelos

• A utilização dos modelos, seja em caráter total
  ou parcial, dependerá da estratégia de cada
  empresa
• - Preciso avaliar a TI de uma forma abrangente.
  Qual o modelo eu devo utilizar?
• Posso implantar o COBIT?

45
Governança de TI em 2006
Relatório de Status Global da Governança de TI
2006
46
Relatório de Status Global da Governança de TI

• Fonte IT Governance Global Status Report
• Pequisa publicada em 2006, efetuada em 2005 pela
  PwC sob orientação do ITGI / ISACA
• 695 entrevistados (níveis CEO e CIO)
• 623 escolhidos aleatoriamente
• 72 dentre os que adquiriram o COBIT

47
Principais Resultados

• Cada vez mais TI é mais crítico para o negócio
• Para 87 dos participantes, IT é muito importante
  para a execução da estratégia corporativa.
• Para 63, TI está regulamente ou sempre na agenda
  da mesa de reunião.
• Administração geral percebe a importância de TI
  um pouco mais do que a própria administração de
  TI

48
Principais Resultados

• Segurança não é o problema mais importante de TI
• Staffing é o problema de TI mais importante
• Outsourcing de IT está fora.
• Diferentes significados nos diversos setores
  existentes
• Serviços financeiros e de TI/Telecom apresentam
  melhor performance de Governança de TI
• Indústrias de manufaturas apresentam os piores
  resultados

49
Principais Resultados

• Conhecimento do ISACA e ITGI tem aumentado
• Triplicou em relação a pesquisa de 2003
• Conhecimento do COBIT tem aumentado.
• Aumentou 50 em relação a pesquisa de 2003.
• Governança de TI (e COBIT) não é facilmente
  implementado como originalmente estimado.
• COBIT está sendo utilizado por 10 da população
  de TI

50
Ciência e Uso COBIT

• Está você pessoalmente ciente da existência do
  COBIT?

51
Ciência e Uso COBIT

• Se você pessoalmente tem ciência da existência do
  COBIT, é você pessoalmente um conhecedor do
  conteúdo do COBIT?

52
Ciência e Uso COBIT

• Se você é pessoalmente um conhecedor do conteúdo
  do COBIT, então que nível de conhecimento você
  possui do conteúdo?

53
Ciência e Uso COBIT

• Sua organização fez( em qualquer área) uso
  corrente do COBIT?

54
Ciência e Uso COBIT

• Que parte do COBIT sua organização usa?

55
Ciência e Uso COBIT

• O quão é fácil ou difícil para você implementar o
  framework COBIT ou parte do framework COBIT?

56
Ciência e Uso COBIT

• Foi a lei Sarbanes-Oxley, ou outro lei
  relacionada ou regulação, a razão para introduzir
  o COBIT em sua organização?

57
Estudo de Caso

• Estudo de Caso
• Accor Services Brasil

58
Perfil da Empresa

• Accor Services- Grupo mundial de Hotelaria,
  Turismo e Serviços com volume de negócios de R
  7,0 bilhões em 2004.
• No Brasil, o Grupo Accor atua fortemente no ramo
  de hotelaria e serviços diversificados, como os
  hotéis Sofitel, Mercury, Íbis, Formule 1 e
  Parthenon Flats, e alinha de serviços
  representada pelos produtos Ticket restaurante,
  Ticket alimentação

59
Histórico de TI

• Até 1999, a área de TI apresentava a seguinte
  situação
• Cada aplicação focava um único produto
• Os sistemas eram heterogêneos e não estavam
  totalmente integrados
• A arquitetura de TI não atendia à crescente
  necessidade de flexibilidade
• Altos custos de manutenção dos sistemas
• Infra-estrutura não estava totalmente alinhada
  com as necessidades do negócio
• Baixo valor agregado que TI fornecia ao negócio

60
Reformulação de TI

• De 2000 a 2004, efetuada a implementação do ERP e
  CRM
• A área de Infraestrutura de TI foi transferida
  para IBM em um contrato de full outsourcing e a
  parte de telecomunicações com a Embratel
• As arquiteturas de TI passaram para a WEB, ao
  contrário do cliente/servidor
• Foi criada uma área de Segurança da Informação
• Em 2003, foi elaborado e implementado o BSC da
  área de TI
• A partir de 2004, ações voltadas para Governança
  de Ti começaram a ser pensadas e implantadas

61
O Programa de Governança de Ti

• O programa de desenvolveu em dois momentos.
• Em 2004, o primeiro momento consistiu nas
  seguintes ações
• Reorganização da gestão operacional de
  outsourcing
• Implantação do Escritório de Projetos vinculado a
  diretoria de TI
• Implantação de ferramentas para a gestão de
  demandas e projetos
• Desenvolvimento da metodologia de gestão e de
  desenvolvimento de sistemas e processos

62
O Programa de Governança de Ti

• O segundo momento aconteceu em 2005, com ações
  tais como
• Criação de um modelo de governança
• Gestão do Portfolio de Projetos pelo Escritório
  de Projetos
• Forte capacitação dos recursos humanos em
  planejamento de projetos e em tecnologia

63
O Programa de Governança de Ti

• Como a Governança de TI evoluiu ao longo do
  tempo, novas ações estão sendo planejadas para
  2006
• Administrar a TI como se fosse uma empresa
• Implantar processos alinhados com a ITIL
• Mudar a forma de comunicação com o negócio

64
Resultados alcançados até o momento

• O volume de negócio mais que duplicou nos últimos
  cinco anos
• O custo de TI, proporcionalmente ao resultado,
  caiu em mais de 30 e com melhor nível de serviço
• A satisfação do usuário aumentou em mais de 50
  de 2000 a 2004
• O backlog diminuiu de 40 para 10

65
Utilização do COBIT- Exemplos

• Banco Bradesco
• Investimento de 1.2 bilhões no projeto Melhorias
  TI nos próximos 6 anos
• Banco Nossa Caixa
• Em cerca de dez dias, depois de divulgado as
  práticas de Governança de TI, as ações da Nossa
  Caixa valorizaram mais de 4, superando o
  Ibovespa, principal índice de preços da bolsa, no
  mesmo período.
• O Cobit também tem sido adotado pelas
  organizações de TI de grandes bancos (Itaú,
  Bradesco) e de grandes empresas (Grupo
  Votorantim, Petrobrás, Gerdau, Grupo Abril).

66
Referências

• IT Governance Global Status Report2006.
  http//www.itgi.org. Acessado em 09/10/2006.
• FERNANDES, Aguinaldo Aragon ABREU, Vladimir
  Ferras. Implantando a Governança de TI - da
  Estratégia à Gestão de Processos e Serviços.
  Editora Brasport, 2006.
• WEILL, Peter ROSS, Jeanne. Governança de
  Tecnologia da Informação. Editora M. Books, 2005.
• COBIT 4.0 Control Objectives, Management
  Guidelines and Maturity Models. Acessado em
  09/10/2006.

67
Governança de TI

• "Os computadores são incrivelmente rápidos,
  precisos e burros os homens são incrivelmente
  lentos, imprecisos e brilhantes juntos, seu
  poder ultrapassa os limites da imaginação"
• Albert Einstein
• Perguntas ?
• Wamberg Oliveira
• wamberg_at_gmail.com