O documento discute a Governança de TI e o framework CobiT. CobiT fornece melhores práticas para o controle e gerenciamento de processos de TI, cobrindo cinco áreas de escopo e 34 processos agrupados em quatro domínios: Planejamento e Organização, Aquisição e Implementação, Entrega e Suporte, e Monitoramento e Avaliação. O documento também descreve os componentes, atividades e modelos de maturidade do CobiT.

1. GOVERNANÇA DE TI CobiT Control Objectives for Information and related Technology SANDRO SERVINO

2. Escopo da Governança de TI O escopo da Governança de TI pode ser classificado em cinco áreas.

3. Alinhamento Estratégico O alinhamento estratégico se refere a alinhar a TI com as estratégias do negócio. A questão chave é verificar se os investimentos da empresa em TI estão em harmonia com os objetivos estratégicos da empresa e, ainda, se está desenvolvendo as capacidades necessárias para entregar valor ao negócio.

4. Entrega de Valor Entrega do serviço/produto com uma qualidade apropriada, com prazo e custo aceitáveis, o qual deve atingir os benefícios que foram prometidos. Para uma entrega de valor de TI efetiva ser alcançada, tanto os custos como o retorno sobre os investimentos devem ser gerenciados.

5. Gerenciamento de Riscos O Gerenciamento de Riscos se refere ao tratamento de incertezas. Enquanto o objetivo da entrega de serviços é criar valor, o gerenciamento de riscos busca preservar valor .

6. Gerenciamento de Recursos Assegurar que existe capacidade para suportar as atividades do negócio Otimizar custos Otimizar o uso dos recursos disponíveis Outsourcing

7. Monitoração de Desempenho Se não existir nenhuma forma de medir e monitorar as atividades de TI, não é possível governar a TI e assegurar o seu alinhamento, o valor entregue, o gerenciamento dos riscos nem o uso adequado dos recursos. Se você não pode medir o processo, você não pode gerenciá-lo.

8. O que é CobiT? O CobiT ( Control Objectives for Information and Related Tecnology ) é um framework que fornece as melhores práticas para o controle e o gerenciamento de processos de TI. Diz o que deve ser feito, mas não como fazer. Foco no negócio Orientado a processos Padrão aceito Linguagem comum Requisitos regulatórios

9. “ COBIT são Boas Práticas com o foco maior no controle e não na execução. Essas práticas vão ajudar a otimizar investimentos em TI, assegurar a prestação de serviços e fornecer uma medida para identificar o que está sendo feito de errado nos processos envolvidos.” ISACA A ISACA (Information Systems Audit and Control Association) é a entidade que criou COBIT juntamente com o ITGI (IT Governance Institute). 50.000 membros da ISACA / + 140 paises

10. Evolução 1996 Primeira Edição do CobiT A ISACA (Information System Audit and Control Association - www.isaca.org) lança um conjunto de objetivos de controle para as aplicações de negócio. 1998 Segunda Versão do CobiT Inclui uma ferramenta de suporte à implementação e a especificação de objetivos de controle de alto nível e detalhados. 2000 Terceira Versão do CobiT Inclui normas e guias associadas à gestão. O ITGI (IT Governance Institute - www.itgi.org) torna-se o principal editor do framework . 2002 Sarbanes-Oxley Act A lei Sarbanes-Oxley for aprovada. Este acontecimento teve um impacto significativo na adoção do CobiT nos EUA e nas empresas globais que lá atuam. 2005 Quarta Versão do CobiT Melhoria dos controles para assegurar a segurança e a disponibilidade dos ativos de TI na organização.

11. O Framework

12. Componentes do CobiT Em resumo, os recursos de TI são gerenciados pelos processos de TI para entregarem as informações para a área de negócios de acordo com os requerimentos do negócio. Este é o princípio básico do modelo CobiT.

13. Recursos de TI Aplicações São os sistemas automatizados e procedimentos manuais. Informação É o dado, em todas as suas formas. Infra-estrutura É tudo o que é necessário para o funcionamento das aplicações. Pessoas Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços.

14. Processos de TI Domínios Planejamento e Organização Aquisição e Implementação Entrega e Suporte Monitoramento e Avaliação Processos 34 Processos Atividades 210 Objetivos de Controle Detalhados

15. Requisitos de Negócio Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade com critérios chamados de requisitos de negócio (critérios de informação). Eficácia Eficiência Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

16. Análise de GAP Auxilia os gestores de TI a identificar como estão posicionados os macrocontroles de TI da organização em relação aos padrões de mercado e/ou em relação às suas próprias expectativas.

17. Relacionamento com outros padrões O CobiT permite a integração desses modelos e conjuntos de melhores práticas de mercado

18. Visão Geral

19. Objetivos de Controle “ Definição de determinados objetivos ou resultados a serem obtidos ao se implementar procedimentos de controle em uma determinada atividade de TI.” “ Declaração do resultado que eu quero alcançar, pela implementação dos meus controles.”

20. Domínio de Planejamento e Organização Este domínio cobre estratégias e táticas, e se preocupa com a melhor forma com que a TI pode contribuir para atingir os objetivos do negócio. Além disto, a realização da visão estratégica precisa ser planejada, comunicada e gerenciada por diferentes perspectivas. Estratégias e Táticas Visão Estratégica Organização e Infraestrutura

21. Domínio de Aquisição e Implementação Para conseguir cumprir a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas aos processos de negócio. O domínio de Aquisição e Implementação cobre também mudanças e manutenções nos sistemas existentes para assegurar que eles operem sem interrupções. Soluções de TI Mudanças e Manutenções

22. Domínio de Entrega e Suporte Entrega de serviços solicitados Configuração dos processos de suporte Segurança Esse domínio se preocupa com as entregas reais dos serviços requeridos, que abrangem também aspectos de segurança e continuidade, além de treinamento.

23. Domínio de Monitoramento e Avaliação Este é o domínio que controla os processos de TI que devem ser avaliados regularmente quanto a aspectos de qualidade e conformidade. Avaliação regular, entrega de garantias Controles Medição de Performance

24. Processos – Planejamento e Organização PO1 – Definir um Plano Estratégico de TI PO2 – Definir a Arquitetura da Informação PO3 – Determinar a Direção Tecnológica PO4 – Definir os Processos de TI, Organização e Relacionamento PO5 – Gerenciar o Investimento de TI PO6 – Comunicar os Objetivos e a Direção do Gerenciamento PO7 – Gerenciar os Recursos Humanos de TI PO8 – Controlar a Qualidade PO9 – Avaliar e Gerenciar os Riscos de TI PO10 – Gerenciar Projetos

25. Processos – Aquisição e Implementação AI1 – Identificar Soluções Automatizadas AI2 – Adquirir e Manter Softwares Aplicativos AI3 – Adquirir e Manter Infraestrutura de Tecnologia AI4 – Habilitar Operação e Uso AI5 – Adquirir Recursos de TI AI6 – Gerenciar Mudanças AI7 – Instalar e Validar Soluções e Mudanças

26. Processos – Entrega e Suporte DS1 – Definir e Gerenciar Níveis de Serviços DS2 – Gerenciar Serviços Terceirizados DS3 – Gerenciar Desempenho e Capacidade DS4 – Assegurar Continuidade do Serviço DS5 – Garantir Segurança dos Sistemas DS6 – Identificar e Alocar Custos DS7 – Educar e Treinar Usuários DS8 – Gerenciar Central de Serviços e Incidentes DS9 – Gerenciar Configuração DS10 – Gerenciar Problemas DS11 – Gerenciar Dados DS12 – Gerenciar o Ambiente Físico DS13 – Gerenciar Operações

27. Processos – Monitoramento e Avaliação ME1 – Monitorar e Avaliar o Desempenho de TI ME2 – Monitorar e Avaliar os Controles Internos ME3 – Assegurar o Cumprimento de Normas Regulamentares ME4 – Prover Governança de TI

28. Atividades dos processos e tabela RACI Responsible (Responsável) Accountable (Deve prestar contas) Consulted (Deve ser consultado) Informed (Deve ser informado)

29. Modelo de Maturidade 0 - Inexistente — Não há um processo reconhecido. 1 - Inicial/Ad Hoc — Existe a evidência, porém não há processo padrão. 2 – Repetido, mas intuitivo — Os mesmos procedimentos são seguidos por diferentes pessoas, mas não há treinamento ou comunicação de processos padrões. 3 - Processo Definido — Processos são padronizados, documentados e comunicados através de treinamento. 4 - Gerenciado e Medido — Processos medidos e gerenciados. Ações são realizadas quando o processo não está sendo efetivo. 5 - Otimizado — Processos são refinados em nível de boas práticas. Baseia-se nos resultados de melhoria contínua e comparação de maturidade com outras empresas.

30. Modelos de Maturidade Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking ) as práticas da empresa com a indústria e padrões internacionais.

31. Avaliando os Processos de TI

32. Documento Relacionado com o CobiT COBIT PORTUGUES http://www.isaca.org/Knowledge-Center/cobit/Documents/cobit41-portuguese.pdf Certificações importantes para auditores (reconhecida mundialmente) : Cobit Foundation e CISA - Certified Information Systems Auditor