Controles de IT - COBIT
Controles de Planejamento - BSC
Controles de Sistemas – CMM e CMMI
Controles de Segurança – BS7799 e ISO17799
Controles de Gestão de Infra estrutura – ITIL e BS15000
Controles de Monitoramento – ISO 9001:2000
Controles de Gestão de Projetos - PMBOX
3. Frameworks e Metodologias
• Controles de IT - COBIT
• Controles de Planejamento - BSC
• Controles de Sistemas – CMM e CMMI
• Controles de Segurança – BS7799 e ISO17799
• Controles de Gestão de Infra estrutura – ITIL e
BS15000
• Controles de Monitoramento – ISO 9001:2000
• Controles de Gestão de Projetos - PMBOX
6. O que é Sarbanes-Oxley (Sox)?
• A Lei faz com que os executivos sejam responsáveis por
estabelecer, avaliar e monitorar a eficácia dos controles internos
relacionados a relatórios financeiros. Para muitas organizações
a TI será crucial para alcançar estes objetivos, sendo
responsável por assegurar a qualidade e integridade das
informações geradas pelo sistema.
• Os requerimentos da Lei são rigorosos: as empresas devem
estabelecer políticas, regras e procedimentos auditáveis para
gerir e controlar seus processos e registros documentais e
divulgar seus resultados, e os principais executivos devem,
pessoalmente, atestar que os relatórios financeiros sejam
completos e precisos.
7. O que é a lei Sarbanes - Oxley
Editada pelo governo americano em 2002 (“Sarbanes – Oxley Act
of 2002”), a lei determina que as empresas com ações na bolsa de
valores americanas (ADR) - e a PETROBRAS tem ADR na bolsa
americana - às seguintes obrigações (dentre outras):
• Avaliação dos administradores da empresa com relação à
eficácia dos controles internos e preparação da documentação
que atesta os controles internos (Sec.404);
• Responsabilidade corporativa pelas demonstrações financeiras
– Certificação dos relatórios periódicos arquivados na SEC pelo
CEO e o CFO (Sec. 302)
9. Sarbanes-Oxley Requirements
• Report to shareholders that the financial
results are accurate
• Establish and document internal controls
over processes and systems that produce
financial statements
• Prove to auditors that the controls are in
place and working as designed
10. • Resultado do mapeamento dos macro-processos e sub-processos:
– Receitas de vendas/ Contas a receber /Recebimentos
– Compras/Pagamentos
– Folha de pagamento, encargos sociais e Benefícios Pós Apos.
– Ativo Imobilizado
– Parcerias
– Estoques
– Impostos diretos
– Impostos indiretos
– Relatórios financeiros
– Risk Management
– Patrimônio Líquido dos acionistas
– Investimentos
– Financiamentos
– Jurídico / Contingências
– Controles Gerais de Tecnologia da Informação
– Reservas de óleo e gás
– SMS (Segurança, Meio ambiente e Saúde Operacional)
– Logística (transporte, transferência e distribuição)
Projeto Petrobras - (SOX)
35
Macro-
processos
209
Processos
12. CobiT
• Control Objectives for Information and related
Technology
• Focado em governança, controle e auditoria de
tecnologia da informação
• Criado e mantido pelo ISACA – Information
Systems Audit and Control Association
• O ISACA mantém o K-NET, um repositório de
conhecimento para os associados e o IT
Governance Institute para difusão dos conceitos
• Está na 3ª edição
13. Controles - definições
• Controles
Conjunto de políticas, procedimentos, práticas, e
estruturas organizacionais desenhadas para prover
garantia razoável de que os objetivos de negócio
serão atingidos e que eventos indesejáveis serão
prevenidos ou detectados e corrigidos.
• Objetivos de Controle de TI
Definição de determinados objetivos ou resultados
a serem obtidos ao implementar procedimentos de
controle em uma determinada atividade de TI
14.
15. Processo
Inputs Outputs
Recursos
de TI
Critério de
Informação
Key Goal
Indicators
(KGIs)
Key
Performance
Indicators
(KPIs)
Critical
Success
Factors
(CSFs)
Objetivo
de Controle
Modelo de
Maturidade
Propósito
16. Componentes do CobiT
Objetivos de Negócios
Informação
Recursos de TI
Planejamento
e Organização
Aquisição e
Implementação
Entrega e
Suporte
Monitoração
Governança de TI
17. Componentes do CobiT
• 4 domínios
– Planejamento e Organização
– Aquisição e Implementação
– Entrega e Suporte
– Monitoramento
• 34 objetivos de controle de alto nível
• 318 objetivos de controle detalhados
18. Aquisição & Implementação
Aquisição e Implementação
AI1 Identificar soluções
AI2 Aquisição e manutenção sistemas aplicativos
AI3 Aquisição e manutenção da arquitetura tecnológica
AI4 Desenvolvimento e manutenção procedimentos de TI
AI5 Instalação e homologação de sistemas
AI6 Gerenciamento de mudanças
19. Aquisição & Implementação
AI1 Identificar soluções
Garantir enfoque e abordagem efetivos e eficazes para satisfazer os requerimentos do
usuário. Isto é obtido por meio de clara identificação dos objetivos e análise da
oportunidade dos requisitos do usuário.
AI2 Aquisição e manutenção sistemas aplicativos
Prover funções automatizadas que efetivamente suportem o negócio.
AI3 Aquisição e manutenção da arquitetura tecnológica
Fornecer plataformas apropriadas para sustentar os aplicativos de negócios
AI4 Desenvolvimento e manutenção procedimentos de TI
Assegurar a utilização apropriada das aplicações e soluções tecnológicas disponíveis.
Isto é habilitado pela abordagem estruturada do desenvolvimento dos manuais de
usuário e dos procedimentos e operação, que contemplam exigências, serviços e
materiais de treinamento
20. Aquisição & Implementação
AI5 Instalação e homologação de sistemas
Verificar e confirmar que as soluções de TI são compatíveis com as finalidades
organizacionais. Isto é habilitado pela realização de adequadas instalação, migração,
conversão e existência de plano de aceite
AI6 Gerenciamento de mudanças
Tem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das
alterações efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a
análise das implementações, revisão de todas as mudanças solicitadas, e
acompanhamento da operação da infra-estrutura de TI.
21. Indicadores do CobiT
• 5 níveis de maturidade (semelhante ao CMM)
– 0: Não-existente
– 1: Inicial / Ad-hoc
– 2: Repetível, mas intuitivo
– 3: Processo definido
– 4: Gerenciável e mensurável
– 5: Otimizado
• Fatores Críticos de Sucesso
• Indicadores-Chave de Objetivos
• Indicadores-Chave de Desempenho
25. O que a SEI ?
• Software Engineering Institute - criado pelo Departamento
de Defesa Americano em 1984; custeado basicamente pelo
Governo dos EU.
• Objetivo: promover melhorias nas prática de
desenvolvimento de software; O Departamento de Defesa
procurava uma maneira de avaliar a capacidade dos seus
prestadores de serviço de TI.
• Localizado em Carnegie-Mellon University em Pittsburgh
• Se tornou um padrão na indústria para medir maturidade
dos processos das organizações.
• Seus conceitos e princípios vem sendo adotados pelas
organizações comerciais.
26. • CMMI best practices tell you
– WHAT to do but
– neither HOW to do it
– nor WHO should do it.
27. CMMI
• SW-CMM - Capability Maturity Model for
Software
• P-CMM - People CMM
• SA-CMM - Software Acquisition CMM
• SE-CMM - Systems Engineering CMM
• IPD-CMM – Integrated Product
Development CMM
28.
29.
30.
31.
32.
33.
34.
35.
36.
37. Lições - EDS
• Suporte da liderança é fundamental desde o início.
• Grupo de SEPG precisa ser composto de pessoas com
experiência, número de recursos adequados e reporte direto
a liderança senior da organização.
• Aprender a lidar com usuários/clientes num nível de
maturidade menor que o seu.
• Mudança de cultura leva tempo, mas não pode levar
demais, se as pessoas não mudam, mudam-se as pessoas.
• É fundamental ter um modelo de desenvolvimento desde o
início mesmo que o nível 2 não exija, o mesmo vale para o
grupo de SEPG.
• Integração de ferramentas e um modelo baseado em boas
práticas é fundamental para o sucesso.
• Crie uma estratégia de ferramentas desde o início, evite
criá-las ao longo do processo.
38. Lições - EDS
• Treinamento e mentoração:
– Institucionalizar processos é fundamentalmente um
processo de mudança que deve ser suportado por
treinamento e mentoração.
– Treinar todo mundo, em tudo, é impossível. Crie
matrizes por funções (PM, DM, Desenvolvedor, QA,
CM, Métricas, etc.)
– Os conceitos do CMM precisam ser conhecidos por
todos da organização, o modelo em si, não
necessariamente.
– Especialize algumas funções críticas : QA, CM,
Métricas, QE.
– Trate bem os gerentes de projeto, eles são a base da
melhoria.
– Treine e depois mentore, mentore, mentore, mentore ...
39. Lições - EDS
• Treinamento e mentoração:
– Institucionalizar processos é fundamentalmente um
processo de mudança que deve ser suportado por
treinamento e mentoração.
– Treinar todo mundo, em tudo, é impossível. Crie
matrizes por funções (PM, DM, Desenvolvedor, QA,
CM, Métricas, etc.)
– Os conceitos do CMM precisam ser conhecidos por
todos da organização, o modelo em si, não
necessariamente.
– Especialize algumas funções críticas : QA, CM,
Métricas, QE.
– Trate bem os gerentes de projeto, eles são a base da
melhoria.
– Treine e depois mentore, mentore, mentore, mentore ...
42. ITIL
• IT Infrastructure Library
• Criado em 1980 pelo CCTA e transferido ao OGC
(Office of Government Commerce) do governo
britânico
• Revisado e reorganizado em 2002
• Estrutura de padrões e melhores práticas para
gerenciar os serviços e infra-estrutura de TI
• Altamente integrado à norma BS15000 (British
Standards Institution’s Standard for IT Service
Management)
43. Introduction ITIL
• ITIL is a methodology describing the design and
implementation of processes for IT-management, based
on best practices
• ITIL is focused on effective en efficient managing of IT-services
• ITIL is a set of books
– Documentation of best practice for IT Service Management (ie
Management of Services to meet the Customer’s requirements)
– Series of books giving guidance on the provision of quality IT services,
and on the accommodation and environmental facilities needed to
support IT
48. IS/IT
Relevance
TCO
ITIL CMM
COBIT
Six Sigma
ISO 9000
National Awards
(e.g., Baldrige)
Scorecards
Specific
Holistic
Low High
Level of Abstraction
CMM = Capability
Maturity Model
COBIT = Control Obj.
for Information and
Related Technology
eTOM = enhanced
Telecom Op. Map
ITIL = IT Infrastructure
Library
MOF = Microsoft Op.
Framework
TCO = Total Cost of
Ownership
BS15000 = IT svc.
mgmt. standard
ISO 9000 = quality
mgmt. standard
People CMM
BS15000
Lean (Toyota)
MOF
eTOM
Which Process Improvement Model?
49. Melhoria Contínua em TI
Para onde
queremos ir?
Onde estamos
Como chegamos
lá?
Como saberemos
se chegamos?
Visão e Objetivos
Avaliações
Desenho de TI
Métricas
ITIL
ISO17799
CobiT
Alinhamento
Compliance CobiT
Segurança ISO17799
Benchmark de custos
Pesquisas de satisfação
ITIL
ISO17799
CobiT
CobiT Management
Guidelines
50. Melhoria Contínua em TI
Para onde
queremos ir?
Onde estamos
Como chegamos
lá?
Como saberemos
se chegamos?
Visão e Objetivos
Avaliações
Desenho de TI e
Métricas
Melhoria Contínua
BSC
CobiT
BSC
ITIL
BS7799
PMBok - PMI
51. Comparações
• ITIL – forte em processos de TI, mas limitado em
segurança e desenvolvimento de sistemas
• CobiT - forte em controles de TI e métricas de TI,
mas não diz como (fluxos de processos) e é fraco
em segurança
• ISO17799 – forte em controles de segurança, mas
não diz como (fluxo de processos)
52. Identificar
Soluções
Automatizadas
Adquirir e
Manter
Software
Aplicativos
Adquirir e
Manter
Infra
Tecnologica
Desenvolver e
Manter
Procedimentos
de TI
Istalar e
Validar
Sistemas
Gerenciar
Mudanças
Gerenciar
Performance
e Capacidade
Garantir
Continuidade
dos
Negócios
Garantir
Segurança
dos
Sistemas
Identificar
e Alocar
Custos
Gerenciar
Serviços de
Terceiros
Definir e
Gerenciar
SLAs
Educar e
Treinar
Usuários
Assistir e
Aconselhar
Clientes
de TI
Gerenciar
Configuração
Gerenciar
Problemas e
Incidentes
Gerenciar
Dados
Gerenciar
Facilities
Gerenciar
Operações
Monitorar os
Processos
Avaliar
Adequação
dos Controles
Internos
Obter
Avaliação
Independente
Prover
Auditorias
Independentes
Definir
Planejamento
Estratégico
de TI
Definir a
Organização
de TI e seus
Relacionamentos
Gerenciar os
Investimentos
de TI
Determinar o
Direcionamento
Tecnologico
Comunicar
Objetivos
e Direção
Gerenciar
Recursos
Humanos
Garantir
Atendimento
à Regulam.
Externas
Avaliar
Riscos
Gerenciar
Projetos
Gerenciar
Qualidade
Definor a
Arquitetura
da
Informação
ITIL PMI
ISO
9001
CMM BS7799
BSC
Framework Cobit x Metodologias
Planejamento e Organização Aquisição e Implementação
Monitoramento Entrega e Suporte
Metodologias