SlideShare uma empresa Scribd logo
Governança de TI




Definindo estratégias para o
          Sucesso
  Marco Túlio O. de Moraes – matulio@gmail.com
sumário

•   Governança Corporativa
•   Problemas enfrentados por TI
•   Tipos de Gestão de TI
•   Governança de TI
•   Fatores que demandam Governança de TI
•   O framework COBIT
•   Suíte de produtos
Governança Corporativa




                          Prover direção estratégica




conformidade com leis e regulamentos             Monitorar a performance
O que demanda governança
                   corporativa?



                                                          Administrar a
                                                          complexidade da
                                                          organização
    Leis e regulamentos




                          sustentabilidade empresarial




responsabilidade social                                  Responsabilidade
                                                            ambiental
O que demanda governança
                     corporativa?




                                      Transparência




Gerenciamento de riscos
                               Gestão Financeira eficiente
Trocando em miúdos...


• Gerenciamento x Governança
• 3 perguntinhas básicas :
    • Que decisões precisam ser tomadas?
    • Quem deverá tomá-las?
    • Como tomá-las e como monitorá-las ?
Preocupações




crise do subprimes                  bolha da internet
Sarbanex-Oxley ( SOX )
             COSO
Gerenciamento de Riscos Corporativos
E na Administração pública ?
E o mercado Brasileiro, como está ?




               Leis Brasileiras
Falando um pouco de “T.I.”
A TI é isso... A TI é aquilo...




  Perdas financeiras
                       Posição fraca no mercado   Prazos não cumpridos;
                                                  Orçamentos estourados




Baixo retorno sobre    Tecnologia obsoleta        Imagem desgastada
investimentos
Tipos de Gestão de TI
                         (Os arquétipos de Weil e Ross)




Monarquia dos Negócios            Feudalismo              Monarquia de TI




     Duopólio                       Federalismo               Anarquia
O que é governança de TI


Onde                 Onde
queremos             estamos
chegar?
                     Agora ?




                          Como
                       chegaremos
                           lá ?
     Como saber se
     chegamos lá ?
O que é governança de TI

Gerenciar riscos
O que é governança de TI

 Especificar os direitos de decisão e as
       responsabilidades para a TI
O que é governança de TI

 Controlar efetivamente os recursos
 ( gerenciá-los com responsabilidade)
O que é governança de TI

Medir a performance ( saber aonde estamos e se
            estamos caminhando certo)
O que é governança de TI


Oferecer serviços de qualidade a um custo acordado
O que é governança de TI

      Alinhar estrategicamente seus objetivos
         com os da organização
Fatores
      que
  demandam
Governança de TI
Fatores que demandam Governança de TI


 • Conformidade com leis e regulamentos
Fatores que demandam Governança de TI

 • Segurança
Fatores que demandam Governança de
                 TI
• Aumento da demanda por serviços
Fatores que demandam Governança de TI


 • Execução de Projetos
Fatores que demandam Governança de
                 TI
• Alinhamento e retorno sobre o grande número
  de investimentos
E Como ele supre essas necessidades
                 ?
• Faz um link com os requisitos dos negócios
• Organiza as atividades de TI em um modelo de
  processos
• Define objetivos que serão controlados ao
  decorrer do processo
Focado em negócios
O Framework:


                     i cc t D V a
                   gi n
                    g nt
                                 Va
                  e
                  e e        De l u
                              e ll e
              at me
              a m
           trr n                  i ve e
        S t l liig n
         S g                         erry
                                         y
          A A
                          IT
                          IT




                                                   nt t
                                                 mee n
                  Governance
Pe rrfa ss ue m m
Pe



                  Governance
 Me
 M ea




                      Domains
                  Focus Areas




                                           a g em
                                           R k
                                     M aa n ii s k
      f omm e ne n
      or r
         ur re




                                           ag
                                            R
            anc t t




                                      Mn
              anc
                e e




                 Resource
                 Resource
                Management
                Management
Estrutura: O Cubo
Critérios da Informação
    (Requisitos dos Negócios )



               •   Efetividade
               •   Eficiência
               •   Confidencialidade
               •   Integridade
               •   Disponibilidade
               •   Conformidade
               •   Confiabilidade
Critérios da Informação
                           (Requisitos dos Negócios )

Efetividade – lida com a informação relevante e pertinente para o processo de negócio bem
como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.
Eficiência – relaciona-se com a entrega da informação através do melhor (mais produtivo e
econômico) uso dos recursos.
Confidencialidade – está relacionada com a proteção de informações confidenciais para evitar
a divulgação indevida.
Integridade – relaciona-se com a fidedignidade e totalidade da informação bem como sua
validade de acordo os valores de negócios e expectativas.
Disponibilidade – relaciona-se com a disponibilidade da informação quando exigida pelo
processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos
necessários e capacidades associadas.
Conformidade – lida com a aderência a leis, regulamentos e obrigações contratuais aos quais
os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e
políticas internas.
Confiabilidade – relaciona-se com a entrega da informação apropriada para os executivos para
administrar a entidade e exercer suas responsabilidades fiduciárias e de conformidade com leis e
regulamentos
Recursos de TI

                 Entregam


                               Informações



                 Executam




Processos                      Aplicações



                 Precisam de




                               Infra-estrutura   Pessoas
Processos de TI
 Domínios de TI
 •   Plan and Organise
 •   Acquire and Implement         Grupo de processos com uma
 •   Deliver and Support           responsabilidade em comum
 •   Monitor and Evaluate

 Processos de TI
 •   Estratégia de TI
 •   Operações de Computadores
 •   Gestão de Incidentes
                                     A serie de atividades juntas
 •   Testes
 •   Gerência de Mudança
 •   Plano de Continuidade
 •   Gerência de problemas

 Atividades
 •   Registrar um novo problema
 •   Análise
 •   Propor soluções            Ações necessárias para alcançar
 •   Monitorar soluções         um resultado desejado
 •   Registrar Erro Conhecido
 •   Etc.
Como eles se relacionam ?

                  Requisitos
                 dos Negócios




  Informação                    Recursos
organizacional                   De TI




                   Processo
                    s de TI
C OBI T Framework
                PROCESSOS
               DE NEGÓCIOS
                Criteria
                •   Efetividade
                •   Eficiência
INFORMAÇÃO
                •
                •
                    Confidencialiidade
                    Integridade           COBIT
                •   Disponibilidade
                •   Conformidade
                •   Confiabilidade


              RECURSOS
                de TI
                     •   Aplicações
                     •   Infraestrutura
                     •   Processos
                     •   Pessoas
                                                  PLANEJAR E
                                                  ORGANIZAR
MONITORAR E
  AVALIAR
                                    ADQUIRIR E
                                   IMPLEMENTAR



               ENTREGAR E
                SUPORTAR
Domínios do COBIT
Planejamento e organização


PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Aquisição e Implementação



   AI 1 Identificar Soluções Automatizadas
   AI2 Adquirir e Manter Software Aplicativo
   AI3 Adquirir e Manter Infraestrutura de Tecnologia
   AI4 Habilitar Operação e Uso
   AI5 Adquirir Recursos de TI
   AI6 Gerenciar Mudanças
   AI7 Instalar e Homologar Soluções e Mudanças
Entrega e Suporte


DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os
Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
Monitorar e Avaliar


ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
Informações iniciais sobre
      um processo
AI6
  AI 6
Descriçã
  o do
processo
Descrição do Processo

AI6        Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência,
relacionadas com a infraestrutura e as aplicações no
ambiente de produção são formalmente gerenciadas de maneira controlada.
As mudanças (incluindo procedimentos, processos, parâmetros de sistemas
e de serviço) devem ser registradas, avaliadas e autorizadas antes da
implementação e revisadas em seguida, tendo como base os resultados
efetivos e planejados.
Isso assegura a mitigação de riscos, de impactos negativos, na estabilidade
ou na integridade do ambiente de produção.
Diretrizes de Gerenciamento
Diretrizes de Gerenciamento



   AI-6
Gerenciamen
   to de
 mudanças
Tabela RACI

R: Responsável
A: Responsabilizado
C: Consultado
I: Informado
Medição de Performance




   Objetivos e Métricas
Balanced Score Card (BSC)
Balanced Score Card (BSC)


                              Para onde
                               estamos
                                indo ?




                          Como
                       chegaremos
                           lá ?




       O que precisaremos
       fazer corretamente ?




Como medimos como
  estamos indo ?
Cobit
Objetivos e métricas
Objetivos e métricas
Medição de Performance




  Maturidade dos processos
Modelos de Maturidade



Inexistente        Inicial       Repetível       Definido Gerenciado Otimizado
    0                 1                 2             3               4                 5


  Legend for Symbols Used                                 Legend for Rankings Used

    Enterprise current status               0 - Management processes are not applied at all.
                                            1 - Processes are ad hoc and disorganised.
    International standard guidelines       2 - Processes follow a regular pattern.
                                            3 - Processes are documented and communicated.
    Industry best practice
                                            4 - Processes are monitored and measured.
                                            5 - Best practices are followed and automated.
    Enterprise strategy
Modelo de Maturidade ( Processo AI6
                   )
0 - Inexistente
quando Não há um processo de gerenciamento de mudanças formalmente estabelecido, e as mudanças podem ser feitas
praticamente sem nenhum controle. Não há consciência de que as mudanças podem interromper as operações de TI de
negócio, tampouco há consciência dos benefícios de um bom gerenciamento de mudanças.

1 - Inicial/ Ad hoc
quando É reconhecido que as mudanças devem ser gerenciadas e controladas. As práticas variam, e existe a probabilidade
de execução de mudanças não autorizadas. A documentação de mudança é insuficiente ou inexistente e a de configuração é
incompleta e não confiável. Provavelmente os erros ocorrem junto com interrupções no ambiente de produção devido a um
gerenciamento de mudanças ineficiente.

2 - Repetível, porém Intuitivo
quando há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse
processo é desestruturado, rudimentar e propenso a erros. A precisão da documentação de configuração é inconsistente, e
antes da mudança apenas são realizados um planejamento e uma avaliação limitados dos impactos.

3 - Processo Definido
quando há um processo formal de gerenciamento de mudanças, que inclui categorização, priorização, procedimentos de
emergência, autorização de mudança e controle de versão, porém a conformidade com o processo ainda é emergente. São
aplicadas soluções alternativas, e com frequência os processos são ignorados. Podem ocorrer erros, e mudanças não
autorizadas acontecem ocasionalmente. A análise de impacto das mudanças de TI sobre as operações de negócios começa a
ser formalizada para apoiar a implementação planejada de novas tecnologias e aplicações.
Modelo de Maturidade ( Processo AI6 )

4 - Gerenciado e Mensurável
quando O processo de gerenciamento de mudanças é bem desenvolvido, acompanha consistentemente todas as mudanças e
os responsáveis pelo gerenciamento podem afirmar que as exceções são mínimas. Os processos são eficazes e eficientes,
porém se apóiam em vários procedimentos e controles manuais para assegurar que a qualidade seja obtida. Todas as
mudanças estão sujeitas ao planejamento e à avaliação de impacto para minimizar a probabilidade de problemas após a
produção. Há um processo de aprovação de mudanças estabelecido. A documentação de gerenciamento de mudanças está
atualizada e correta, e as mudanças são controladas formalmente. A documentação de configuração é precisa. O
planejamento e a implementação do gerenciamento de mudanças estão ficando mais integrados com as mudanças nos
processos de negócio, para assegurar que o treinamento, as mudanças organizacionais e as questões de continuidade de
negócio sejam tratados. Há maior coordenação entre o gerenciamento de mudanças de TI e a redefinição de processos de
negócio. Há um processo consistente para monitorar a qualidade e o desempenho do processo de gerenciamento de
mudanças.

5 - Otimizado
quando O processo de gerenciamento de mudanças é revisado e atualizado regularmente para permanecer em alinhamento
com as boas práticas. O processo de revisão reflete o resultado do monitoramento. As informações de configuração são
automatizadas por software e propiciam o controle de versão. O rastreamento de mudanças é sofisticado e inclui ferramentas
que detectam software sem licença e não autorizado. O gerenciamento de mudanças de TI é integrado ao gerenciamento de
mudanças de negócio para assegurar que a TI viabilize o crescimento da produtividade e crie novas oportunidades de
negócios para a organização.
Star Chart
  IT Process/Maturity       Awareness                                                   Responsibility   Goal Setting
                              and       Policies, Standards    Tools and   Skills and
  Levels for Process XX                                                                     and             and
                          Communication  and Procedures       Automation   Expertise
                                                                                        Accountability   Measurement



    1 Inicial/ Ad hoc




    2 Repetível,
    porém Intuitivo




   3 Processo Definido




    4 Gerenciado e
    Mensurável




    5 Otimizado




 2009 ISACA All rights
                                                                58
reserved.
Modelo de Maturidade ( Benchmark )


                                          Po1
                                   3.50
                        M1                            Po3
                                   3.00
               DS11                2.50
                                                              Po5

                                   2.00
         DS10                                                       Po9
                                   1.50

                                   1.00
         DS5                                                        Po10   large
                                                                           medium
           DS4                                                    A11      small
                  DS1                                       A12
                             A16                A15
Controles
Controles



                 Políticas, procedimentos, práticas e estruturas organizacionais
 Definição de
                 desenhadas para prover certeza de que os objetivos da
  Controle       organização estão sendo alcançados e eventos indesejáveis
                 serão prevenidos ou detectados e corrigidos.


 Definição de    O estado de um resultado desejado ou propósito a ser alcançado
 Objetivo de     pela implementação de práticas de controle em uma atividade
Controle em TI   particular de TI.
Exemplo de Objetivos de Controle
AI6 Gerenciar Mudanças
AI6.1 Padrões e Procedimentos de Mudança
Estabelecer procedimentos formais de gerenciamento de mudanças para lidar de modo
padronizado com todas as solicitações de
mudança em aplicações, procedimentos, processos, parâmetros de sistema, parâmetros de serviço
e plataformas subjacentes (inclusive
solicitações de manutenção e reparo).
AI6.2 Avaliação de Impacto, Priorização e Autorização
Avaliar todas as solicitações de mudança de modo estruturado com relação a impactos no sistema
operacional e na respectiva funcionalidade.
Assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas.
AI6.3 Mudanças de Emergência
Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e
autorização de mudanças de emergência
que não sigam o processo de mudança estabelecido.
AI6.4 Acompanhamento de Status e Relatórios de Mudanças
Estabelecer um sistema de acompanhamento e relatórios de mudanças para documentar
mudanças rejeitadas, comunicar o status
de mudanças aprovadas e em andamento e executar mudanças. Garantir que as mudanças
autorizadas sejam implementadas conforme
planejado.
AI6.5 Finalização da Mudança e Documentação
Atualizar a documentação os procedimentos do sistema e de usuários sempre que forem
implementadas mudanças no sistema.
Práticas de Controle

AI6 Gerenciar Mudança
AI6.3 Mudanças de Emergência
Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e
autorização de mudanças de emergência que não sigam o processo de mudança estabelecido.



1.   Management defines parameters, characteristics and         Controlling emergency changes by
     procedures that identify and declare emergencies.          implementing the control practices
2.   All emergency changes are documented, if not before,       will :
     then after, implementation.                                 Ensure that emergency
3.   All emergency changes are tested, if not before, then         procedures are used in declared
     after, implementation.                                         emergencies only
4.   All emergency changes are formally authorised by the        Ensure that urgent changes can
     system owner and management before implementation.             be implemented without
5.   Before and after images as well as intervention logs are       compromising integrity,
     retained for subsequent review.                                availability, reliability, security,
                                                                    confidentiality or accuracy


                    Control Practices                                       Why do it?
Controles de Aplicação
Cobit
“Assurance”
‘‘Assurance ’’


 Verifica se os objetivos de controle estão sendo alcançados
 Identifica ‘‘fraquezas’’ e riscos nos processos
  implementados
 Provê informações detalhadas sobre a necessidade de
  ações corretivas




     “ Estamos no caminho certo?            Caso
     não estejamos, como iremos             nos
     ajustar ?  ’’
A parte sem o todo não é todo...
                                                                                     enta       d o co m    Práticas de
                                                                               Implem                        controle
                                                                 Objetivos
                                                                de controle            Au
                                                            r                             dit
                                                         po                                   ad   op
                                                 d   o                                               or
                                                                 Derivado
                                             ola
                                        tr                          de
                                    C on                                                                       Guia de
           requisitos                                            Controle do                                  auditoria
                                              o por
                                      Auditad                   Resutado dos
                        Processos                                  testes
Business                  de TI
                                               Med                                                          Modelos de
                                                  ido                                       e               maturidade
           informações                                por                          r   idad
                                                                               matu

                                                                                 resultados
                                        Di


                                                                                                           Indicadores
                                          vi
                                               di


                                                                                per                        de resultado
                                                  do


                                                                                    fo   rma
                                                         em


                                                                                               nce

                                                                                                            Indicatodores
                                                                 Atividades                                de performance
                                                                   Chave         Feit
                                                                                         o po
                                                                                             r
                                                                                                              Tabela
                                                                                                               RACI
Onde o Cobit se posiciona?

                                                                        CONFORMIDADE
  Drivers                         PERFORMANCE                           Basel II, Sarbanes-
                                 Objetivos do Negócio                     Oxley Act, etc.




                                       Balanced
 Governança Corporativa                                                     COSO
                                       Scorecard




  Governança de TI                                      COBIT



                                 ISO                        ISO                        ISO
Padrões de Melhores Práticas   9001:2000                   17799                      20000




  Processos e Procedimentos    Procedimentos            Princípios de                 ITIL
                                    QA                   Segurança
Suíte de produtos


           Governança




        Gerenciamento
          de ti e dos
          negócios




Governança, Segurança e “Assurance”




                                      70
O importante é responder aos 4
                     ‘Ares’


 The strategic question                              The value question
                               Are we     Are we
                               doing      getting
                             the right      the
                              things?    benefits?




                              Are we       Are we
The architecture question
                            doing them     getting   The delivery question
                             the right   them done
                               way?         well?




                                                                             71
                                                                             71
E ainda tem mais coisas...


 ISO 38.500
 Gestão de Projetos – PMBok
 Val IT
 RISK IT
Governança de TI




Definindo estratégias para o
         Sucesso

Mais conteúdo relacionado

Mais procurados

Importância de tecnologia da informação na gestão das empresas
Importância de tecnologia da informação na gestão das empresasImportância de tecnologia da informação na gestão das empresas
Importância de tecnologia da informação na gestão das empresas
Universidade Pedagogica
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
lcumaio
 
Governanca de ti parte 1 - introducao
Governanca de ti   parte 1 - introducaoGovernanca de ti   parte 1 - introducao
Governanca de ti parte 1 - introducao
cemill
 
Governança de Tecnologia da Informação
Governança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação
Governança de Tecnologia da Informação
Marcus Vinícius
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
Felipe Goulart
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
Mário Sérgio
 
Final
FinalFinal
Sistemas de Informação e Recursos Tecnológicos
Sistemas de Informação e Recursos TecnológicosSistemas de Informação e Recursos Tecnológicos
Sistemas de Informação e Recursos Tecnológicos
Carla Ferreira
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
wendcosta
 
Fundamentos TI
Fundamentos TIFundamentos TI
Fundamentos TI
Egnaldo Paulino
 
Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1
Rildo (@rildosan) Santos
 
Liderança em TI
Liderança em TILiderança em TI
Liderança em TI
Felipe Goulart
 
Governanca De TI
Governanca De TIGovernanca De TI
Governanca De TI
Fernando Palma
 
Gestao da Informação
Gestao da InformaçãoGestao da Informação
Gestao da Informação
Ricardo Junior
 
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
Uanderson Fernandes Silva
 
Governança ti tcu
Governança ti   tcuGovernança ti   tcu
Governança ti tcu
Gustavo Loureiro
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Sustentare Escola de Negócios
 
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Dalton Martins
 
Tecnologia da informação aula 1
Tecnologia da informação    aula 1Tecnologia da informação    aula 1
Tecnologia da informação aula 1
Patrick Souza, PMP®, ITIL®
 
ISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceISCAD - SIAP - IT Governance
ISCAD - SIAP - IT Governance
Luis Vidigal
 

Mais procurados (20)

Importância de tecnologia da informação na gestão das empresas
Importância de tecnologia da informação na gestão das empresasImportância de tecnologia da informação na gestão das empresas
Importância de tecnologia da informação na gestão das empresas
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
 
Governanca de ti parte 1 - introducao
Governanca de ti   parte 1 - introducaoGovernanca de ti   parte 1 - introducao
Governanca de ti parte 1 - introducao
 
Governança de Tecnologia da Informação
Governança de Tecnologia da InformaçãoGovernança de Tecnologia da Informação
Governança de Tecnologia da Informação
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
 
Final
FinalFinal
Final
 
Sistemas de Informação e Recursos Tecnológicos
Sistemas de Informação e Recursos TecnológicosSistemas de Informação e Recursos Tecnológicos
Sistemas de Informação e Recursos Tecnológicos
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Fundamentos TI
Fundamentos TIFundamentos TI
Fundamentos TI
 
Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1Mapa de Processos do Cobit v 4.1
Mapa de Processos do Cobit v 4.1
 
Liderança em TI
Liderança em TILiderança em TI
Liderança em TI
 
Governanca De TI
Governanca De TIGovernanca De TI
Governanca De TI
 
Gestao da Informação
Gestao da InformaçãoGestao da Informação
Gestao da Informação
 
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
A IMPORTÂNCIA DA TECNOLOGIA DA INFORMAÇÃO: NA GESTÃO DE PROJETOS DE DESENVOLV...
 
Governança ti tcu
Governança ti   tcuGovernança ti   tcu
Governança ti tcu
 
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negociosGovernança em TIC prof Marco Antonio Tavares sustentare escola de negocios
Governança em TIC prof Marco Antonio Tavares sustentare escola de negocios
 
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
Tópicos em Gestão da Informação II - Aula 01 - Desafios atuais da Gestão da I...
 
Tecnologia da informação aula 1
Tecnologia da informação    aula 1Tecnologia da informação    aula 1
Tecnologia da informação aula 1
 
ISCAD - SIAP - IT Governance
ISCAD - SIAP - IT GovernanceISCAD - SIAP - IT Governance
ISCAD - SIAP - IT Governance
 

Semelhante a Cobit

Cobit 2
Cobit 2Cobit 2
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
elliando dias
 
Técnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas   tiTécnicas de sistemas de informação aplicadas   ti
Técnicas de sistemas de informação aplicadas ti
AdrianoHenriqueVieir
 
Governança cobit
Governança cobitGovernança cobit
Governança cobit
fernandao777
 
[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição
Alessandro Almeida
 
Asi aula1
Asi aula1Asi aula1
Asi aula1
rodrigopinto77
 
Aula2 3 as organizações e a ti_como ser perene
Aula2 3 as organizações e a ti_como ser pereneAula2 3 as organizações e a ti_como ser perene
Aula2 3 as organizações e a ti_como ser perene
Danilo Sampaio
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTI
CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
O lado humano da governança de TI
O lado humano da governança de TIO lado humano da governança de TI
O lado humano da governança de TI
Eduardo Fagundes
 
Jul2015 Governança de ti na gestão pública
Jul2015 Governança  de ti na gestão públicaJul2015 Governança  de ti na gestão pública
Jul2015 Governança de ti na gestão pública
Luiz Mauricio
 
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAGESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
silvanaan
 
Aula 1 val it renato-lima versao aluno
Aula 1   val it renato-lima versao alunoAula 1   val it renato-lima versao aluno
Aula 1 val it renato-lima versao aluno
Renato Lima, PMP
 
Racecon / Jexperts - Webinar 2014-08
Racecon / Jexperts - Webinar 2014-08Racecon / Jexperts - Webinar 2014-08
Racecon / Jexperts - Webinar 2014-08
racecon
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
Marcos Vinicius
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5
Alessandro Almeida
 
Slides SENAC Aula 2
Slides SENAC Aula 2Slides SENAC Aula 2
Slides SENAC Aula 2
Paulo Nascimento
 
Gestao de Serviços de TI - 2009
Gestao de Serviços  de TI - 2009Gestao de Serviços  de TI - 2009
Gestao de Serviços de TI - 2009
Márcio Amaro
 
Apresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxApresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptx
JssicadaSilvaGuimare2
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
Sandro Servino
 

Semelhante a Cobit (20)

Cobit 2
Cobit 2Cobit 2
Cobit 2
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
GOVERNANÇA DE TI E OS SEUS FRAMEWORKS – UMA VISÃO DE COMPLEMENTARIEDADE ITIL,...
 
Técnicas de sistemas de informação aplicadas ti
Técnicas de sistemas de informação aplicadas   tiTécnicas de sistemas de informação aplicadas   ti
Técnicas de sistemas de informação aplicadas ti
 
Governança cobit
Governança cobitGovernança cobit
Governança cobit
 
[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição[Workshop] Governança de TI, 1ª Edição
[Workshop] Governança de TI, 1ª Edição
 
Asi aula1
Asi aula1Asi aula1
Asi aula1
 
Aula2 3 as organizações e a ti_como ser perene
Aula2 3 as organizações e a ti_como ser pereneAula2 3 as organizações e a ti_como ser perene
Aula2 3 as organizações e a ti_como ser perene
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTI
 
O lado humano da governança de TI
O lado humano da governança de TIO lado humano da governança de TI
O lado humano da governança de TI
 
Jul2015 Governança de ti na gestão pública
Jul2015 Governança  de ti na gestão públicaJul2015 Governança  de ti na gestão pública
Jul2015 Governança de ti na gestão pública
 
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBAGESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
GESTÃO DA INFORMAÇÃO E TECNOLOGIA MBA
 
Aula 1 val it renato-lima versao aluno
Aula 1   val it renato-lima versao alunoAula 1   val it renato-lima versao aluno
Aula 1 val it renato-lima versao aluno
 
Racecon / Jexperts - Webinar 2014-08
Racecon / Jexperts - Webinar 2014-08Racecon / Jexperts - Webinar 2014-08
Racecon / Jexperts - Webinar 2014-08
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5Gestão da Tecnologia da Informação - Aula 5
Gestão da Tecnologia da Informação - Aula 5
 
Slides SENAC Aula 2
Slides SENAC Aula 2Slides SENAC Aula 2
Slides SENAC Aula 2
 
Gestao de Serviços de TI - 2009
Gestao de Serviços  de TI - 2009Gestao de Serviços  de TI - 2009
Gestao de Serviços de TI - 2009
 
Apresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptxApresentação Disciplina Governança em TI.pptx
Apresentação Disciplina Governança em TI.pptx
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 

Cobit

  • 1. Governança de TI Definindo estratégias para o Sucesso Marco Túlio O. de Moraes – matulio@gmail.com
  • 2. sumário • Governança Corporativa • Problemas enfrentados por TI • Tipos de Gestão de TI • Governança de TI • Fatores que demandam Governança de TI • O framework COBIT • Suíte de produtos
  • 3. Governança Corporativa Prover direção estratégica conformidade com leis e regulamentos Monitorar a performance
  • 4. O que demanda governança corporativa? Administrar a complexidade da organização Leis e regulamentos sustentabilidade empresarial responsabilidade social Responsabilidade ambiental
  • 5. O que demanda governança corporativa? Transparência Gerenciamento de riscos Gestão Financeira eficiente
  • 6. Trocando em miúdos... • Gerenciamento x Governança • 3 perguntinhas básicas : • Que decisões precisam ser tomadas? • Quem deverá tomá-las? • Como tomá-las e como monitorá-las ?
  • 8. Sarbanex-Oxley ( SOX ) COSO Gerenciamento de Riscos Corporativos
  • 9. E na Administração pública ?
  • 10. E o mercado Brasileiro, como está ? Leis Brasileiras
  • 11. Falando um pouco de “T.I.”
  • 12. A TI é isso... A TI é aquilo... Perdas financeiras Posição fraca no mercado Prazos não cumpridos; Orçamentos estourados Baixo retorno sobre Tecnologia obsoleta Imagem desgastada investimentos
  • 13. Tipos de Gestão de TI (Os arquétipos de Weil e Ross) Monarquia dos Negócios Feudalismo Monarquia de TI Duopólio Federalismo Anarquia
  • 14. O que é governança de TI Onde Onde queremos estamos chegar? Agora ? Como chegaremos lá ? Como saber se chegamos lá ?
  • 15. O que é governança de TI Gerenciar riscos
  • 16. O que é governança de TI Especificar os direitos de decisão e as responsabilidades para a TI
  • 17. O que é governança de TI Controlar efetivamente os recursos ( gerenciá-los com responsabilidade)
  • 18. O que é governança de TI Medir a performance ( saber aonde estamos e se estamos caminhando certo)
  • 19. O que é governança de TI Oferecer serviços de qualidade a um custo acordado
  • 20. O que é governança de TI Alinhar estrategicamente seus objetivos com os da organização
  • 21. Fatores que demandam Governança de TI
  • 22. Fatores que demandam Governança de TI • Conformidade com leis e regulamentos
  • 23. Fatores que demandam Governança de TI • Segurança
  • 24. Fatores que demandam Governança de TI • Aumento da demanda por serviços
  • 25. Fatores que demandam Governança de TI • Execução de Projetos
  • 26. Fatores que demandam Governança de TI • Alinhamento e retorno sobre o grande número de investimentos
  • 27. E Como ele supre essas necessidades ? • Faz um link com os requisitos dos negócios • Organiza as atividades de TI em um modelo de processos • Define objetivos que serão controlados ao decorrer do processo
  • 29. O Framework: i cc t D V a gi n g nt Va e e e De l u e ll e at me a m trr n i ve e S t l liig n S g erry y A A IT IT nt t mee n Governance Pe rrfa ss ue m m Pe Governance Me M ea Domains Focus Areas a g em R k M aa n ii s k f omm e ne n or r ur re ag R anc t t Mn anc e e Resource Resource Management Management
  • 31. Critérios da Informação (Requisitos dos Negócios ) • Efetividade • Eficiência • Confidencialidade • Integridade • Disponibilidade • Conformidade • Confiabilidade
  • 32. Critérios da Informação (Requisitos dos Negócios ) Efetividade – lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável. Eficiência – relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos. Confidencialidade – está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida. Integridade – relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios e expectativas. Disponibilidade – relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas. Conformidade – lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas. Confiabilidade – relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de conformidade com leis e regulamentos
  • 33. Recursos de TI Entregam Informações Executam Processos Aplicações Precisam de Infra-estrutura Pessoas
  • 34. Processos de TI Domínios de TI • Plan and Organise • Acquire and Implement Grupo de processos com uma • Deliver and Support responsabilidade em comum • Monitor and Evaluate Processos de TI • Estratégia de TI • Operações de Computadores • Gestão de Incidentes A serie de atividades juntas • Testes • Gerência de Mudança • Plano de Continuidade • Gerência de problemas Atividades • Registrar um novo problema • Análise • Propor soluções Ações necessárias para alcançar • Monitorar soluções um resultado desejado • Registrar Erro Conhecido • Etc.
  • 35. Como eles se relacionam ? Requisitos dos Negócios Informação Recursos organizacional De TI Processo s de TI
  • 36. C OBI T Framework PROCESSOS DE NEGÓCIOS Criteria • Efetividade • Eficiência INFORMAÇÃO • • Confidencialiidade Integridade COBIT • Disponibilidade • Conformidade • Confiabilidade RECURSOS de TI • Aplicações • Infraestrutura • Processos • Pessoas PLANEJAR E ORGANIZAR MONITORAR E AVALIAR ADQUIRIR E IMPLEMENTAR ENTREGAR E SUPORTAR
  • 38. Planejamento e organização PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organização e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos
  • 39. Aquisição e Implementação AI 1 Identificar Soluções Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Habilitar Operação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças
  • 40. Entrega e Suporte DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Serviços DS5 Garantir a Segurança dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS13 Gerenciar as Operações
  • 41. Monitorar e Avaliar ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governança de TI
  • 43. AI6 AI 6 Descriçã o do processo
  • 44. Descrição do Processo AI6 Gerenciar Mudanças Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos, de impactos negativos, na estabilidade ou na integridade do ambiente de produção.
  • 46. Diretrizes de Gerenciamento AI-6 Gerenciamen to de mudanças
  • 47. Tabela RACI R: Responsável A: Responsabilizado C: Consultado I: Informado
  • 48. Medição de Performance Objetivos e Métricas
  • 50. Balanced Score Card (BSC) Para onde estamos indo ? Como chegaremos lá ? O que precisaremos fazer corretamente ? Como medimos como estamos indo ?
  • 54. Medição de Performance Maturidade dos processos
  • 55. Modelos de Maturidade Inexistente Inicial Repetível Definido Gerenciado Otimizado 0 1 2 3 4 5 Legend for Symbols Used Legend for Rankings Used Enterprise current status 0 - Management processes are not applied at all. 1 - Processes are ad hoc and disorganised. International standard guidelines 2 - Processes follow a regular pattern. 3 - Processes are documented and communicated. Industry best practice 4 - Processes are monitored and measured. 5 - Best practices are followed and automated. Enterprise strategy
  • 56. Modelo de Maturidade ( Processo AI6 ) 0 - Inexistente quando Não há um processo de gerenciamento de mudanças formalmente estabelecido, e as mudanças podem ser feitas praticamente sem nenhum controle. Não há consciência de que as mudanças podem interromper as operações de TI de negócio, tampouco há consciência dos benefícios de um bom gerenciamento de mudanças. 1 - Inicial/ Ad hoc quando É reconhecido que as mudanças devem ser gerenciadas e controladas. As práticas variam, e existe a probabilidade de execução de mudanças não autorizadas. A documentação de mudança é insuficiente ou inexistente e a de configuração é incompleta e não confiável. Provavelmente os erros ocorrem junto com interrupções no ambiente de produção devido a um gerenciamento de mudanças ineficiente. 2 - Repetível, porém Intuitivo quando há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse processo é desestruturado, rudimentar e propenso a erros. A precisão da documentação de configuração é inconsistente, e antes da mudança apenas são realizados um planejamento e uma avaliação limitados dos impactos. 3 - Processo Definido quando há um processo formal de gerenciamento de mudanças, que inclui categorização, priorização, procedimentos de emergência, autorização de mudança e controle de versão, porém a conformidade com o processo ainda é emergente. São aplicadas soluções alternativas, e com frequência os processos são ignorados. Podem ocorrer erros, e mudanças não autorizadas acontecem ocasionalmente. A análise de impacto das mudanças de TI sobre as operações de negócios começa a ser formalizada para apoiar a implementação planejada de novas tecnologias e aplicações.
  • 57. Modelo de Maturidade ( Processo AI6 ) 4 - Gerenciado e Mensurável quando O processo de gerenciamento de mudanças é bem desenvolvido, acompanha consistentemente todas as mudanças e os responsáveis pelo gerenciamento podem afirmar que as exceções são mínimas. Os processos são eficazes e eficientes, porém se apóiam em vários procedimentos e controles manuais para assegurar que a qualidade seja obtida. Todas as mudanças estão sujeitas ao planejamento e à avaliação de impacto para minimizar a probabilidade de problemas após a produção. Há um processo de aprovação de mudanças estabelecido. A documentação de gerenciamento de mudanças está atualizada e correta, e as mudanças são controladas formalmente. A documentação de configuração é precisa. O planejamento e a implementação do gerenciamento de mudanças estão ficando mais integrados com as mudanças nos processos de negócio, para assegurar que o treinamento, as mudanças organizacionais e as questões de continuidade de negócio sejam tratados. Há maior coordenação entre o gerenciamento de mudanças de TI e a redefinição de processos de negócio. Há um processo consistente para monitorar a qualidade e o desempenho do processo de gerenciamento de mudanças. 5 - Otimizado quando O processo de gerenciamento de mudanças é revisado e atualizado regularmente para permanecer em alinhamento com as boas práticas. O processo de revisão reflete o resultado do monitoramento. As informações de configuração são automatizadas por software e propiciam o controle de versão. O rastreamento de mudanças é sofisticado e inclui ferramentas que detectam software sem licença e não autorizado. O gerenciamento de mudanças de TI é integrado ao gerenciamento de mudanças de negócio para assegurar que a TI viabilize o crescimento da produtividade e crie novas oportunidades de negócios para a organização.
  • 58. Star Chart IT Process/Maturity Awareness Responsibility Goal Setting and Policies, Standards Tools and Skills and Levels for Process XX and and Communication and Procedures Automation Expertise Accountability Measurement 1 Inicial/ Ad hoc 2 Repetível, porém Intuitivo 3 Processo Definido 4 Gerenciado e Mensurável 5 Otimizado  2009 ISACA All rights 58 reserved.
  • 59. Modelo de Maturidade ( Benchmark ) Po1 3.50 M1 Po3 3.00 DS11 2.50 Po5 2.00 DS10 Po9 1.50 1.00 DS5 Po10 large medium DS4 A11 small DS1 A12 A16 A15
  • 61. Controles Políticas, procedimentos, práticas e estruturas organizacionais Definição de desenhadas para prover certeza de que os objetivos da Controle organização estão sendo alcançados e eventos indesejáveis serão prevenidos ou detectados e corrigidos. Definição de O estado de um resultado desejado ou propósito a ser alcançado Objetivo de pela implementação de práticas de controle em uma atividade Controle em TI particular de TI.
  • 62. Exemplo de Objetivos de Controle AI6 Gerenciar Mudanças AI6.1 Padrões e Procedimentos de Mudança Estabelecer procedimentos formais de gerenciamento de mudanças para lidar de modo padronizado com todas as solicitações de mudança em aplicações, procedimentos, processos, parâmetros de sistema, parâmetros de serviço e plataformas subjacentes (inclusive solicitações de manutenção e reparo). AI6.2 Avaliação de Impacto, Priorização e Autorização Avaliar todas as solicitações de mudança de modo estruturado com relação a impactos no sistema operacional e na respectiva funcionalidade. Assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas. AI6.3 Mudanças de Emergência Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e autorização de mudanças de emergência que não sigam o processo de mudança estabelecido. AI6.4 Acompanhamento de Status e Relatórios de Mudanças Estabelecer um sistema de acompanhamento e relatórios de mudanças para documentar mudanças rejeitadas, comunicar o status de mudanças aprovadas e em andamento e executar mudanças. Garantir que as mudanças autorizadas sejam implementadas conforme planejado. AI6.5 Finalização da Mudança e Documentação Atualizar a documentação os procedimentos do sistema e de usuários sempre que forem implementadas mudanças no sistema.
  • 63. Práticas de Controle AI6 Gerenciar Mudança AI6.3 Mudanças de Emergência Estabelecer um processo para definição, solicitação, testes, documentação, avaliação e autorização de mudanças de emergência que não sigam o processo de mudança estabelecido. 1. Management defines parameters, characteristics and Controlling emergency changes by procedures that identify and declare emergencies. implementing the control practices 2. All emergency changes are documented, if not before, will : then after, implementation.  Ensure that emergency 3. All emergency changes are tested, if not before, then procedures are used in declared after, implementation. emergencies only 4. All emergency changes are formally authorised by the  Ensure that urgent changes can system owner and management before implementation. be implemented without 5. Before and after images as well as intervention logs are compromising integrity, retained for subsequent review. availability, reliability, security, confidentiality or accuracy Control Practices Why do it?
  • 67. ‘‘Assurance ’’  Verifica se os objetivos de controle estão sendo alcançados  Identifica ‘‘fraquezas’’ e riscos nos processos implementados  Provê informações detalhadas sobre a necessidade de ações corretivas “ Estamos no caminho certo? Caso não estejamos, como iremos nos ajustar ?  ’’
  • 68. A parte sem o todo não é todo... enta d o co m Práticas de Implem controle Objetivos de controle Au r dit po ad op d o or Derivado ola tr de C on Guia de requisitos Controle do auditoria o por Auditad Resutado dos Processos testes Business de TI Med Modelos de ido e maturidade informações por r idad matu resultados Di Indicadores vi di per de resultado do fo rma em nce Indicatodores Atividades de performance Chave Feit o po r Tabela RACI
  • 69. Onde o Cobit se posiciona? CONFORMIDADE Drivers PERFORMANCE Basel II, Sarbanes- Objetivos do Negócio Oxley Act, etc. Balanced Governança Corporativa COSO Scorecard Governança de TI COBIT ISO ISO ISO Padrões de Melhores Práticas 9001:2000 17799 20000 Processos e Procedimentos Procedimentos Princípios de ITIL QA Segurança
  • 70. Suíte de produtos Governança Gerenciamento de ti e dos negócios Governança, Segurança e “Assurance” 70
  • 71. O importante é responder aos 4 ‘Ares’ The strategic question The value question Are we Are we doing getting the right the things? benefits? Are we Are we The architecture question doing them getting The delivery question the right them done way? well? 71 71
  • 72. E ainda tem mais coisas...  ISO 38.500  Gestão de Projetos – PMBok  Val IT  RISK IT
  • 73. Governança de TI Definindo estratégias para o Sucesso

Notas do Editor

  1. - Prover direção estratégica ( competências organizacionais, recursos disponiveis ) Manter a conformidade com leis e regulamentos do mercado Monitorar a performance de acordo com os objetivos da organização
  2. Leis e regulamentos Administrar a complexidade da organização responsabilidade social responsabilidade com o planeta ( ambiental ) sustentabilidade empresarial
  3. Gerenciamento de riscos eficiente Gestão Financeira eficiente Transparência
  4. Temas que exemplificam a necessidade de governança corporativa O caso enron, Worldcom a bolha das empresas da internet a recente crise do subprimes
  5. ISE – Economico-social-ambiental + Governança-Natureza-geral ( responsabilidade social e sustentabilidade empresarial ) SRI – Investimentos socialmente responsáveis
  6. Problemas que a organização encontra no ambiente de TI: Perdas financeiras Posição fraca no mercado em que atua - Pouco retorno sobre investimentos Falha nas iniciativas para trazer inovação e os benefícios que a TI promete Tecnologia obsoleta ou inadequada Incapacidade de trazer novas tecnologias Prazos não cumpridos e orçamentos estourados
  7. Baseado nos conceitos do livro de Peter Weil
  8. Faz um link com os requisitos dos negócios, indentifica responsabilidades de TI e de negócios
  9. Requisitos dos Negócios Direcionam investimentos em Recursos de TI Usados por Processos de TI para entregar Informação Organizacional os quais respondem a Requisitos dos negócios
  10. Please give personal comments or experience with this process.
  11. 2
  12. Generic Maturity Model 0 Nonexistent—A complete lack of any recognisable processes. Organisation has not even recognised that there is an issue to be addressed. 1 Initial—There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes, but instead there are ad hoc approaches that tend to be applied on an individual or case-by-case basis. The overall approach to management is chaotic. 2 Repeatable—Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals, hence errors are likely. 3 Defined—Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and any deviations are unlikely to be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices. 4 Managed—It is possible to monitor and measure compliance with procedures and take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way. 5 Optimised—Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow and provide tools to improve quality and effectiveness.