Introdução. Governança de TI. José Humberto Cruvinel. Contato: Site:

Transcrição

1 Introdução Aula 04 - CoBiT Tópicos Avançados em Tecnologia da Informação Governança de TI José Humberto Cruvinel Contato: jhcruvinel@jhcruvinel.com Site:

2 Agenda CoBiT Governança de TI 2

3 Histórico O CoBiT (Control Objectives for Information and related Technology) foi criado em 1994 pela ISACF ( a partir do seu conjunto inicial de objetivos de controle. Em 1998, foi publicada a sua 2 a edição. A 3 a edição foi publicada em 2000 pelo IT Governance Institute (ITGI - O modelo evoluiu em 2005 para a versão 4.0 totalmente alinhados a modelos como COSO, ITIL e ISO/IEC e em conformidade com as regulamentações. Em 2007, houve uma atualização incremental (versão 4.1), cujo foco foi orientado a uma maior eficácia dos objetivos de controle e dos processos de verificação e divulgação de resultados. Governança de TI 3

4 Governança de TI 4

5 Objetivos do Modelo A definição de "Governança de TI" presente na versão 4.1 do COBIT ilustra a importância da TI dentro da organização: responsabilidade da alta direção (incluindo diretores e executivos), consiste na liderança, nas estruturas organizacionais e nos processos que garantem que a tecnologia da informação da empresa sustente e estenda as estratégias e objetivos da organização". O principal objetivo das práticas do COBIT é contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio com um foco mais acentuado no controle que na execução. Implantação da Governança de TI na Empresa! Governança de TI 5

6 Objetivos do Modelo De acordo com o ITGI o CoBiT: Estabelece relacionamentos com os requisitos do negócio; Organiza as atividades de TI em um modelo de processos genérico; Identifica os principais recursos de TI, nos quais deve haver mais investimento; Define os objetivos de controle que devem ser considerados para a gestão. O modelo do COBIT é genérico o bastante para representar todos os processos normalmente encontrados nas funções da TI e compreensível tanto para a operação como para os gerentes de negócios, pois cria uma ponte entre o que o pessoal operacional precisa executar e a visão que os executivos desejam ter para governar. Governança de TI 6

7 Objetivos do Modelo Para o COBIT, os pilares fundamentais que sustentam o núcleo da Governança de TI podem ser representados por cinco áreas, conforme mostra a figura abaixo, cada qual com seu respectivo foco. Governança de TI 7

8 Objetivos do Modelo Alinhamento Estratégico: Garantia da ligação entre os planos do negócio e de TI, manutenção e validação da proposição de valor da TI, e alinhamento das operações da empresa com as de TI; Agregação de Valor: Execução da proposição de valor através do tempo, assegurando que a TI entregue os benefícios prometidos de acordo com a estratégia, concentrando-se em otimizar custos e em comprovar o valor intrínseco da TI; Gerenciamento de Recursos: Otimização dos investimentos e da gestão adequada dos recursos críticos de TI (aplicações, informações, infra-estrutura e pessoas), essenciais para fornecer os subsídios de que a empresa necessita para cumprir os seus objetivos; Governança de TI 8

9 Objetivos do Modelo Gerenciamento de Riscos: Conhecimento dos riscos por parte da alta direção, entendimento claro dos requisitos de compliance e das tendências da empresa para os riscos, transparência acerca dos riscos significativos para a empresa e incorporação de responsabilidades para o gerenciamento dos riscos na organização; Medição de Desempenho: Acompanhamento e monitoração da implementação da estratégia, do andamento dos projetos, da utilização de recursos, do desempenho dos processos e da entrega dos serviços, utilizando, além das medições convencionais, indicadores de desempenho (como, por exemplo, balanced scorecards) que traduzem a estratégia em ações para atingir objetivos mensuráveis. Governança de TI 9

10 Estrutura do Modelo A estrutura (framework) do COBITfoi idealizada de forma a atender às necessidades de controle da organização relacionadas à Governança de TI, tendo como principais características: o foco nos requisitos de negócio, a orientação para uma abordagem de processos, a utilização extensiva de mecanismos de controle e o direcionamento para a análise das medições e indicadores de desempenho obtidos ao longo do tempo. Governança de TI 10

11 1. Foco no negócio Segundo o COBIT, para fornecer a informação de que a empresa necessita para atingir as suas metas de negócio, é necessário associá-las às suas metas de TI, assim como gerenciar e controlar os recursos de TI utilizando um conjunto estruturado de processos para garantir a entrega dos serviços de TI requeridos. O COBIT pressupõe ainda que as informações desejadas devem obedecer a alguns critérios de controle (requisitos de negócio), de forma que sua utilização seja proveitosa para os objetivos de negócio. Tais critérios compreendem: eficiência, eficácia, confidencialidade, integridade, disponibilidade, conformidade com regulações e confiabilidade. Governança de TI 11

12 1. Foco no negócio Esse processo envolve pessoas (habilidades, conhecimentos, índices de produtividade) e infra-estrutura (hardware, sistemas operacionais, bancos de dados, redes, facilidades etc.) para executar aplicações automatizadas e procedimentos manuais que manipulam e processam as informações de negócio. O investimento em tais recursos visa criar capacitações técnicas (sistemas etc.) para suportar as capacitações desejadas para o negócio (melhorias nas funções de negócio), que serão refletidas nos resultados estratégicos da organização (melhoria no desempenho financeiro). O próximo slide ilustra a arquitetura empresarial para TI preconizada pelo princípio básico do COBIT. Governança de TI 12

13 1. Foco no negócio Governança de TI 13

14 2. Orientação para Processos Introdução Aula 04 O COBIT fornece um modelo padrão de referência e uma linguagem comum (processos padrões), permitindo que todos em uma organização sejam capazes de distinguir e gerenciar atividades no âmbito da TI. Neste sentido, utilizando como matriz o ciclo tradicional de melhoria contínua (planejar, construir, executar, monitorar), o COBIT identificou 34 processos de TI e os distribuiu entre quatro domínios, que espelham os agrupamentos usuais existentes em uma organização padrão de TI. O próximo slide ilustra a interação entre estes domínios na estrutura do COBIT. Governança de TI 14

15 2. Orientação para Processos Introdução Aula 04 Governança de TI 15

16 2. Orientação para Processos Planejamento e Organização (PO): Introdução Aula 04 Este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas. Governança de TI 16

17 2. Orientação para Processos Planejamento e Organização (PO): Introdução Aula 04 Questões Gerenciais A estratégia do negócio e a TI estão alinhadas? A empresa está otimizando a utilização dos seus recursos? Todos na organização compreendem as metas de TI? Os riscos relacionados à TI estão compreendidos e sendo gerenciados? A qualidade dos sistemas de TI está adequada às necessidades do negócio? Processos de TI PO-1 -> Definir um plano estratégico para TI PO-2 -> Definir a arquitetura da informação PO-3 -> Determinar a direção tecnológica PO-4 -> Definir a organização de TI, os seus processos e relacionamentos PO-5 -> Gerenciar o investimento em TI PO-6 -> Comunicar objetivos e direcionamentos gerenciais PO-7 ->Gerenciar os recursos humanos PO-8 -> Gerenciar a qualidade PO-9 -> Avaliar e gerenciar riscos de TI PO-10 -> Gerenciar projetos Governança de TI 17

18 2. Orientação para Processos Aquisição e Implementação (Al): Introdução Aula 04 Este domínio cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções em sistemas existentes também estão cobertas por este domínio, para garantir a continuidade dos respectivos ciclos de vida. Governança de TI 18

19 2. Orientação para Processos Aquisição e Implementação (Al): Introdução Aula 04 Questões Gerenciais Os novos projetos conseguem entregar soluções que atendem as necessidades do negócio? Os novos projetos conseguem ser entregues dentro do prazo e orçamento planejados? Os novos sistemas funcionam adequadamente depois de implementados? As mudanças são conduzidas com baixo impacto nas operações de negócio correntes? Processos de TI AI-1 -> Identificar soluções automatizadas AI-2 -> Adquirir e manter software aplicativo AI-3 -> Adquirir e manter infra-estrutura tecnológica AI-4 -> Viabilizar operação e utilização AI-5 -> Adquirir recursos de TI AI-6 -> Gerenciar mudanças AI-7 -> Instalar e aprovar soluções e mudanças Governança de TI 19

20 2. Orientação para Processos Entrega e Suporte (PS): Introdução Aula 04 Este domínio cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional. Governança de TI 20

21 2. Orientação para Processos Entrega e Suporte (DS): Introdução Aula 04 Questões Gerenciais Os serviços de TI estão sendo entregues com alinhamento às prioridades do negócio? Os custos de TI estão otimizados? As equipes de trabalho são capazes de utilizar os sistemas de TI com segurança e produtividade? Atributos como confidencialidade, integridade e disponibilidade estão implementados de forma adequada? Processos de TI DS-1 -> Definir e gerenciar níveis de serviço DS-2 -> Gerenciar serviços terceirizados DS-3 -> Gerenciar desempenho e capacidade DS-4 -> Garantir a continuidade dos serviços DS-5 -> Garantir a segurança dos sistemas DS-6 -> Identificar e alocar custos DS-7 -> Educar e treinar usuários DS-8 -> Gerenciar central de serviços e incidentes DS-9 -> Gerenciar a configuração DS-10 -> Gerenciar problemas DS-11 -> Gerenciar dados DS-12 -> Gerenciar o ambiente físico DS-13 -> Gerenciar operações Governança de TI 21

22 2. Orientação para Processos Monitoração e Avaliação (ME): Introdução Aula 04 Este domínio visa assegurar a qualidade dos processos de TI, assim como a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas. Governança de TI 22

23 2. Orientação para Processos Monitoração e Avaliação (ME): Introdução Aula 04 Questões Gerenciais As medições de desempenho da TI detectam problemas antes que seja tarde demais? Há garantias de que os controles internos sejam eficientes e eficazes? É possível associar diretamente o desempenho de TI às metas de negócio estabelecidas anteriormente? Existem controles para confidencialidade, integridade e disponibilidade adequados para garantir a segurança da informação? Processos de TI ME-1 -> Monitorar e avaliar o desempenho da TI ME-2 -> Monitorar e avaliar os controles internos ME-3 -> Assegurar conformidade com requisitos externos ME-4 -> Fornecer governança para a TI Governança de TI 23

24 3. Controle através de objetivos O COBIT define como controle Introdução Aula 04 "o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que os eventos indesejáveis serão prevenidos ou mesmo detectados e corrigidos". Um objetivo de controle define um resultado desejado ou propósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica. O COBIT sustenta ainda que os seus objetivos de controle constituem os requisitos mínimos para que se possam controlar os processos de TI de forma eficaz. Governança de TI 24

25 3. Controle através de objetivos Cada processo de TI do COBIT tem uma descrição de processo e vários objetivos de controle detalhados. Há requisitos de controle genéricos, tais como: Introdução Aula 04 Definição e divulgação de metas e objetivos específicos para cada processo (mensuráveis, factíveis, realistas, orientados a resultados, eficientes e aderentes aos objetivos do negócio); Estabelecimento de um "dono" para o processo, com responsabilidades claras (criação, interação com outros processos, resultados finais, medição de desempenho, identificação de oportunidades de melhoria); Papéis e responsabilidades definidos sem ambiguidades (estabelecidas de acordo com uma matriz "RACI" - Responsável, Aprovador, Consultado, Informado); Definição e divulgação das políticas, procedimentos e planos relativos ao processo; Governança de TI 25

26 3. Controle através de objetivos Introdução Aula 04 Repetição, visando a geração dos resultados esperados de forma consistente; Desempenho do processo medido em relação às respectivas metas. Podem também existir controles específicos suportam os processos através de procedimentos relacionados a: Autorização e criação de dados (preparação, autorização, coleta de dados, tratamento de erros e retenção de fontes de dados); Entrada de dados (autorização, consistência e tratamento de erros); Processamento de dados (garantia de integridade, validação, edição e tratamento de erros); Saída de dados (tratamento e retenção, distribuição, balanceamento, reconciliação, tratamento de erros); Interfaces (autenticidade, integridade e proteção de informações importantes durante operações de transmissão e/ou transporte). Governança de TI 26

27 4. Direcionamento para Medições Talvez um dos maiores desafios das empresas seja visualizar o nível de profundidade que deve ser adotado pêlos mecanismos de controle e medições de desempenho. Em primeiro lugar, o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados. As empresas devem medir a situação atual, principalmente nos aspectos onde alguma ação de melhoria é necessária, e monitorar estas ações de forma sistemática. Finalmente, para decidir qual é o ponto certo, deve-se analisar a relação custo-benefício do controle. Governança de TI 27

28 4. Direcionamento para Medições Modelos de Maturidade: Para cada processo de TI, é estabelecido um modelo de maturidade baseado em níveis, através do qual uma organização poderá ser avaliada como: Nível O (Inexistente): Processos de gestão não são aplicados; Nível 1 (Inicial / Ad Hoc): Processos são esporádicos e desorganizados, com abordagens de gestão aplicadas caso a caso; Nível 2 (Repetitivo mas Intuitivo): Processos seguem um padrão de regularidade, com alta dependência do conhecimento dos indivíduos; Nível 3 (Definido): Processos são padronizados, documentados e comunicados; Nível 4 (Gerenciado e Mensurável): Processos são monitorados e medidos quanto à conformidade com os procedimentos, e ações são tomadas quando os resultados não são efetivos; Nível 5 (Otimizado): Boas práticas são seguidas e automatizadas, com base em resultados de melhorias contínuas e de ações de modelagem de maturidade junto a outras empresas. Governança de TI 28

29 4. Direcionamento para Medições Através destes modelos de maturidade, a gerência tem condições de: Mapear a situação atual da organização; Comparar com a situação das melhores organizações no segmento (benchmarking)', Comparar com padrões internacionais; Estabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organização. Governança de TI 29

30 4. Direcionamento para Medições Metas e Medições de Desempenho: Demonstram, em três níveis o que o negócio espera da TI (metas de TI), o que o processo de TI precisa entregar para suportar os objetivos da TI (metas de processo) e o que precisa acontecer dentro do processo para que o desempenho requerido seja atingido (metas de atividades). O COBIT usa dois tipos de indicadores: Medições de Resultados (Outcome measures) definem as medições que informam à gerência se um processo de TI atingiu os objetivos de negócio - também denominadas lag indicators"; Indicadores de Desempenho (Performance Indicators) definem as medições que informam à gerência o quanto os processos de TI estão sendo bem executados, no sentido de viabilizar o atendimento dos objetivos de negócio - também denominadas "lead indicators". Governança de TI 30

31 Visão integrada do modelo Governança de TI 31

32 Conteúdo dos processos de TI Introdução Aula 04 Como integrantes principais do núcleo do COBIT, os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos. Assim, cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados Governança de TI 32

33 Conteúdo dos processos de TI Introdução Aula 04 Governança de TI 33

34 Publicações Board Briefing on IT Governance: Guia executivo que aborda o entendimento da importância da Governança de TI e das suas principais características; ITAssurance Guide: Fornece diretrizes em alto nível para a condução de iniciativas de teste e validação, visando garantir que os objetivos de controle do COBIT estejam corretamente implementados, IT Governance Implementation Guide: Fornece um roteiro genérico para a implementação da Governança de TI, utilizando o framework do COBIT; CoBiT Control Practices: Descreve, em maiores detalhes, as práticas de controle relacionadas aos 34 objetivos de controle de alto nível; IT Control Objectives for Sarbanes-Oxley: Orienta sobre como garantir compliance com esta lei para o ambiente de TI, com base no CoBiT; IT Control Objectives for Baseline: Fornece diretrizes para o gerenciamento de riscos relacionados à informação no contexto do Acordo da Basileia II, com base no COBIT; CoBiT Ouickstart: Fornece uma base de controle para pequenas organizações e orienta empresas maiores a darem os primeiros passos na direção do controle dos seus processos. Governança de TI 34

35 Aplicabilidade do modelo O COBIT cobre todo o conjunto de atividades de TI, concentrando-se mais em "o que" deve ser atingido em vez de "como" atingir, em termos de governança, gestão e controle. Neste sentido, recomenda-se que o COBIT seja utilizado no nivel estratégico, com o objetivo de delinear uma estrutura de controle e gestão baseada em um modelo de processos, que seja aplicável para toda a empresa. Exemplo de oportunidades ao se utilizar o COBIT: Avaliação dos processos de TI: A grande abrangência do CoBiT e o alto grau de padronização permite a sua utilização como um checklist para avaliar os pontos fortes e os pontos fracos dos seus processos, servindo como subsídio para a proposição de ações de melhoria; Governança de TI 35

36 Aplicabilidade do modelo Auditoria dos riscos operacionais de TI: Os processos podem ser avaliados em conjunto ou isoladamente, e as suas discrepâncias em relação aos padrões; Implementação modular da Governança de TI: As práticas e padrões relativos a áreas e processos específicos podem ser mapeados para os processos do modelo; Realização de benchmarking: A existência de modelos de maturidade para cada processo de TI permite que uma organização possa montar uma estratégia baseada na sua situação atual em termos de Governança de TI, utilizando como parâmetros de comparação dados de outras empresas ou padrões internacionais; Qualificação de fornecedores de TI: Como já acontece com o mercado de desenvolvimento de software, os modelos de maturidade do COBIT também podem ser utilizados como qualificadores na contratação de serviços de TI, ou mesmo no estabelecimento de níveis de serviço dentro de uma organização. Governança de TI 36

37 Aplicabilidade do modelo Como modelo de Governança de TI, o COBIT pode ser aplicado tanto em pequenas organizações como em grandes empresas de TI, desde que esteja consistente com os objetivos de negócio e com as suas estratégias relacionadas à TI. Em relação ao público-alvo dentro de uma organização, o COBIT é aplicável a usuários com diferentes focos: Gestão Executiva: obtenção de retorno sobre os investimentos; Gestão do Negócio: garantias sobre o gerenciamento dos serviços de TI, prestados por colaboradores internos ou terceirizados; Gestão de TI: auxilia a prover os serviços de TI adequados para suportar a estratégia do negócio, de forma controlada e gerenciada; Auditores: Fornece embasamento para suas conclusões e orientação para a gestão dos controles internos. Governança de TI 37

38 Benefícios do modelo A utilização sistemática do COBIT como um modelo de gestão poderá trazer vários benefícios, tais como: Responsabilidades e protocolos de comunicação bastante claros; Visão clara acerca da situação atual dos processos de TI; Redução da exposição a riscos; Maior assertividade no planejamento encadeado das ações de melhoria, devido ao entendimento das dependências entre os processos e dos recursos necessários a serem envolvidos; Alta visibilidade, por parte de todos os níveis da organização, acerca do impacto dos esforços de melhoria nos processos de TI; Redução dos custos operacionais e de propriedade do acervo de TI; Melhoria da imagem perante os clientes, através do aumento do grau de satisfação e da confiabilidade em relação aos serviços de TI. Governança de TI 38

39 Certificações relacionadas Existem dois programas avançados de certificação profissional, patrocinados pelo ISACA: CISA (Certified Information Systems Auditor): Destinado a avaliar o grau de proficiência e excelência nas disciplinas de auditoria, controle e segurança em TI, este exame tem sido considerado um dos mais eficazes instrumentos de certificação em âmbito global; CISM (Certified Information Security Manager): Destinado aos profissionais especialistas, que trabalham no planejamento, gerenciamento, acompanhamento e execução de atividades relacionadas à segurança da informação em uma organização. COBIT Foundation, um modelo de certificação profissional mais generalista, direcionado àqueles que querem se familiarizar com os conceitos e processos presentes no COBIT e também com os aspectos básicos da sua implementação na prática. Governança de TI 39

40 Agenda CoBiT Governança de TI 40