24/09/2013 COBIT5: Novas perspectivas e desafios para a Auditoria Interna Luiz Claudio Diogo Reis, MTech, CISA, CRISC, COBIT (F), MCSO Luiz.reis@caixa.gov.br Auditor Sênior Caixa Econômica Federal Currículo Auditor Interno na CAIXA desde 1998 Mestre em Tecnologia com ênfase em Gestão e Inovação MBA em Gestão de TI e Auditoria de Sistemas MBA em Padrões Internacionais do IIA Experiência em COSO, COBIT, ITIL, RISK IT, PMBOK, NBR ISO/IEC 20000, 27000, 31000 e 38500 Pesquisas nas áreas de Auditoria, Governança e Risco Palestrante GRC&A em eventos nacionais e internacionais Instrutor da Universidade CAIXA Diretor da ISACA - Capítulo Rio de Janeiro 1
Agenda Fundamentos do Framework COBIT 5 Relação entre os Frameworks COBIT 4.1 e COBIT 5 Modelo de Processos do COBIT 5 (Enabling Processes) Integração do COBIT 5 ao Processo de Auditoria de TI Oportunidades e desafios para a Auditoria Interna Disclaimer Framework COBIT 5 2
Por que o Framework COBIT 5? Novos modelos de negócio Alta complexidade do ambiente de TI Tecnologias emergentes Inovação em processos, produtos e serviços Otimização dos custos e serviços de TI Gerenciamento de risco Leis e regulamentos Excelência operacional Linguagem comum entre negócio e TI Governança e Gestão de TI Realizar benefícios Otimizar risco Otimizar recursos Família de Publicações do COBIT 5 Disponíveis em 10/04/12 Fonte: COBIT 5, figure 11. 2012 ISACA All rights reserved. 3
Evolução do Framework COBIT Governança Corporativa de TI Evolução do escopo Governança de TI Gerenciamento Controle Auditoria Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 Fonte: Adaptado de www.isaca.org PO Planejar e Organizar PO1, PO2,... PO10 Governança Gestão AI Adquirir e Implementar DS Entrega e Suporte AI1, AI2... AI7 DS1, DS2... DS13 Avaliar, Dirigir e Monitorar EDM 5 Processos Alinhar, Planejar e Organizar APO 13 Processos Construir, Adquirir e Implementar BAI 10 Processos ME Monitorar e Avaliar ME1, ME2,... ME4 Entregar, Atender e Suportar DSS 06 Processos Monitor, Avaliar e Analisar MEA 03 Processos Fonte: Adaptado de www.isaca.org 4
EDM01 Assegurar um Framework de Governança COBIT 5 - Recapitulação EDM02 Assegurar Entrega de Benefícios COBIT 5 - Modelo de Processos Processos para a Governança Corporativa de TI (Avaliar, Dirigir, Monitorar) Modelo EDM02 de Processos EDM02 Assegurar Otimização do Risco Assegurar Otimização dos Recursos EDM02 Assegurar transparência aos Stakeholders APO01 o Framework de Gestão de TI APO08 Relacionamento APO02 a Estratégia APO09 Acordos de Serviço APO03 a Arquitetura Organizacional APO10 Fornecedores APO04 a Inovação APO11 Qualidade APO05 Portifólio APO12 Risco APO06 Orçamento e Custos APO13 Segurança APO07 Recursos Humanos MEA01 Monitorar, Avaliar e Certificar o Desempenho e a Conformidade BAI01 Programas e Projetos BAI08 Conhecimento BAI02 Definição de Requisitos BAI09 Ativos BAI03 Prospecção e Construção de Soluções BAI010 Configurações BAI04 Disponiblidade e Capacidade BAI05 Capacidade de Mudança Organizacional BAI06 Mudanças BAI07 Aceitação e Transição de Mudança MEA02 Monitorar, Avaliar e Certificar o Sistema de Controles Internos DSS01 Operações DSS02 Requisições de Serviços e Incidentes DSS03 Problemas DSS04 Continuidade DSS05 Serviços de Segurança DSS06 Controles de Processos de Negócio MEA02 Monitorar, Avaliar e Certificar a Conformidade com os Requisitos Externos Processos para o Gerenciamento Corporativo de TI (Planejar, Construir, Executar, Monitorar) Entendendo o Modelo de Processos Identificação do Processo (Área e Domínio) Descrição do Processo Declaração do Objetivo do Processo Metas e Métricas do Processo Matriz RACI do Processo BAI01 Programas e Projetos Descrição das Práticas e Atividades (input & output) Guias relacionados do Processo (Normas e Padrões) 5
Visão Sistêmica do COBIT 5 Necessidades dos Stakeholders Governança Avaliar Dirigir Monitorar Gestão Planejar (APO) Feedback da Gerência Construir (BAI) Executar (DSS) Monitorar (MEA) Fonte: Adaptado de ISO 38500 Cobertura Organizacional (Ponta a ponta) Papéis, Atividades e Relacionamentos Proprietários e Partes Interessadas Delega Governo Direciona Instrui e Alinha (CA + Gerência Diretoria) Presta conta Monitora Reporta Operação e Execução Fonte: Adaptado de COBIT 5, figure 9 2012 ISACA All rights reserved. 6
Os sete Enablers do COBIT 5 APO13 Segurança 2. Processos 3. Estruturas Organizacionais 4. Cultura, Ética e Comportamento 1. Princípios, Políticas e Frameworks 5. Informação 6. Serviços, Infraestrutura e Aplicações Recursos 7. Pessoas, Habilidades e Competências Fonte: COBIT 5 Framework, figura 12 Fatores Críticos de Sucesso em Governança de TI Boas Práticas de TI Normas e Regulamentações Liderança Organizacional Cultura Organizacional Capacitação Técnica Recursos Tecnológicos Fonte: Pesquisas conduzidas pelo autor 7
Escalonamento de Objetivos do COBIT 5 Ambiente e Contexto Organizacional Diretrizes e Necessidades dos Stakeholders Objetivos Corporativos Objetivos de TI Métrica dos Enablers Como traduzir em indicadores? Modelo de Capacidade de Processos Nível (0) Processo incompleto Descrição Há pouca ou nenhuma evidência do alcance do propósito do processo. (1) Processo executado O processo implementado alcança seu propósito. (2) Processo gerenciado (3) Processo estabilizado (4) Processo previsível (5) Processo otimizado O processo implementado é executado de maneira gerenciada (planejado, monitorado e ajustado) e os produtos de trabalho estão estabelecidos, controlados e mantidos. O processo gerenciado está implementado de forma a alcançar os resultados esperados. O processo estabilizado alcança os resultados dentro de limites definidos. O processo previsível é continuamente melhorado para alcançar objetivos de negócio relevantes atuais e projetados. Fonte: Adaptado de ISO/IEC 15504 8
Modelo de Maturidade: COBIT 4.1 Visão Sistêmica do COBIT 5 for assurance Fonte: Figura 6 COBIT for Assurance 9
As Três Linhas de Defesa e o COBIT 5 COBIT 5 na atividade da Auditoria Interna Etapa A Determinar o escopo Etapa B Entender os enablers Estabelecer critérios de avaliação Executar a avaliação Etapa C Comunicar o resultado B-1: A-1: Obter Identificar validação as necessidades dos critérios das e métricas partes C-1: Documentar interessadas em relação deficiências aos objetivos e corporativos exceções e de TI A-2: Identificar os objetivos da auditoria B-2/B-8: Analisar e avaliar os sete enablers, C-2: Comunicar se for o caso. o trabalho executado e os achados A-3: Identifcar os enablers e correlações 10
Cenários na migração para o COBIT 5 Fatores Restritivos Horizonte de tempo Pessimista Conservador Otimista Como migrar o processo de assurance com o COBIT 5? Fatores Motrizes Condicionantes de Futuro Fonte: Elaborado pelo autor Perspectivas para a Auditoria Interna Integração entre as Modalidades de Auditoria Fronteira entre Governança e Gestão Reavaliação dos Programas de Auditoria Road map em conjunto com a área de TI Priorização de Processos Críticos Alinhamento ITAF x Normas IIA x Padrões atuais Avaliação da Estrutura da Auditoria (Enablers) Base de Conhecimento e Inovação Fonte: Elaborado pelo autor 11
24/09/2013 COBIT5: Novas perspectivas e desafios para a Auditoria Interna Obrigado! Dúvidas e Perguntas Luiz Claudio Diogo Reis, MTech, CISA, CRISC, COBIT (F), MCSO Luiz.reis@caixa.gov.br Auditor Sênior Caixa Econômica Federal 12