Governança, Gestão, Risco, Conformidade e Valor - GGRCV 16 de Março de 2012 Ian Lawrence Webster, CGEIT, CRISC Presidente ISACA Capítulo Brasília
ISACA A ISACA mundial é constituída por pessoas em busca de uma fonte centralizada de informações e orientações no crescente campo de controles de auditoria de sistemas computacionais. Inicialmente conhecida como uma Associação de Auditoria e Controle de Sistemas de Informação (tradução de Sistema de Informação de Auditoria e Controle de Associação ISACA), atualmente sua sigla reflete um amplo leque de profissionais de governança de TI. Tem 95.000 membros, que vivem e trabalham em mais de 160 países, sejam auditores, consultores, educadores, profissionais de segurança, reguladores, diretores de informação e auditores internos.
ISACA Brasília Chapter Constituído em novembro/2008, o Capítulo Brasília, apesar de sua inata afiliação com a Associação internacional, é uma entidade sem fins lucrativos e independente de qualquer outra associação, empresa ou entidade. Com foco nos campos inter-relacionados de Governança de TI, auditoria de sistemas de informação, segurança da informação, controle e conformidade, são objetivos do Capítulo: Promover a educação e apoiar e expandir o conhecimento e as habilidades de seus membros; Encorajar o compartilhamento aberto de técnicas, estratégias e resolução de problemas; Promover comunicação adequada para manter os membros informados sobre eventos; Comunicar aos gerentes, auditores, universidades e profissionais de sistemas de informação a importância de estabelecer controles necessários para garantir a adequada governança de TI e a efetiva organização e utilização de recursos de TI; Promover certificações profissionais da Associação e de Governança de TI.
COBIT: Agora, uma estrutura de negócios completo para a Governance of Enterprise IT (GEIT) Governance of Enterprise IT Evolution of scope IT Governance Management Control Audit Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 2012 ISACA. All rights reserved. 4
COBIT 5 O COBIT 5 é um grande avanço estratégico, atualizando a nova geração de frameworks da ISACA no que diz respeito ao assunto Governança Corporativa de TI. Baseado em mais de 15 anos de uso prático e aplicação do COBIT por muitas empresas e usuários de negócio, de TI, de segurança e comunidades de auditoria, o COBIT 5 está sendo projetado para atender as atuais necessidades dos dirigentes de negócio e permanecer alinhado com os atuais pensamentos em Governança Corporativa e as técnicas de Gestão de TI.
Five COBIT 5 Principles O Cincos Principios do COBIT: 1. Atender as Necessidades do Stakeholder 2. Cobrir ponto o ponto ao Negócio 3. Aplicar um Framework Integrado e singular 4. Facilitar uma abordagem Holistico 5. Separar Governança da Gestão 2012 ISACA. All rights reserved. 6
COBIT 5 - Objetivos COBIT 4.1 Control Objectives Val IT 2 Key Management Practices Risk IT Management Practices Mapear Mapear Mapear Prover a renovação e fortalecimento do framework de governança e gestão das informações da organização e tecnologia relacionada, aproveitando o framework COBIT já aceito mundialmente, linkando, reforçando, integrando e consolidando todos os principais frameworks e guias da ISACA COBIT 5 Management & Governance Practices Business Model for Information Security - BMIS Information Technology Assurance Framework -ITAF Mapear Mapear Taking Governance Forward Board Briefing
Estrutura de Governança e Gestão Um framework ponto-ao-ponto para todo o Negócio, endereçando a governançaeagestãoda informação das tecnologia relacionadas. O Framework, COBIT 5: Guia de Referencia de Processos e Guia de Implementação. Por essa razão, o framework do COBIT 5 deixa claro a distinção entre governança e gestão. As duas disciplinas incluem os tipos de atividades que necessitam de diferentes estruturas organizacionais e servem a propósitos diferentes.
Governança e Gestão Governança O termo Governança é derivado do verbo Grego Kubernáo significando para dirigir. Governança refere-se a todas possibilidades e mecanismos que ajudam as múltiplas partes do négocio a avaliar condições e opções; determinando também a direção; o monitorarmento, a conformidade, o desempenho e o progresso, alinhando, desta forma, os planos e os objetivos do négocio, visando satisfazer as metas específicas da organização. Gestão A Gestão é sempre diferenciada da governança, ou seja, há distinção entre comprometido (governança) e envolvido (gestão). Gestão implica na utilização criteriosa de meios (recursos, pessoas, processos, práticas) para alcançar um fim identificado. É um meio ou instrumento pelo qual o órgão de administração consegue um resultado ou objetivo. A Gestão atua sobre o planejamento, construção, organização e controle das atividades operacionais e se alinha com a direção definida pelo órgão de administração.
Principios COBIT 5 COBIT 5 é um framework integrador porque: Principio 1: Cobit 5 Integrator Framework -architecture Principios 2 e 3: Stakeholder Value driven and Business - focused Principio 4: Cobit 5 Enablers for Governance and Management Principio 5: Governance - and Management - structured Reune a orientação da ISACA existente em matéria de governança e gestão de empresas de TI Alinha as normas mais recentes com outras normas e estruturas Fornece uma arquitetura simples para a estruturação de materiais de orientação e produz um resultado consistente no produto final
COBIT 5 Familia de Produtos 2012 ISACA. All rights reserved. 11
Arquitetura do COBIT 5 Stakeholder Needs Governance Objectives: Value (Benefits, Risk, Resource) Existing ISACA Guidance (COBIT, Val IT, Risk IT, BMIS, ) Other Standards and Frameworks COBIT 5 Enablers Processes Service Capabilities Culture, Ethics, Behaviour Skills and Competencies Organisational Structures Principles and Policies Information COBIT 5 Knowledge Base Current guidance and contents Structure for future contents Knowledge Base Content Filter COBIT 5 Product Family COBIT 5: The Framework COBIT 5 Enabler Guides COBIT 5 : Process Reference Guide Other Enabler Guidance COBIT 5 Practice Guides COBIT 5 : Framework Implementation Guide Other Practice Guides COBIT 5 for Security COBIT 5 Online Collaborative Environment
Objetivos da Governança Val IT, Risk IT, BMIS, ITAF, Board Briefing,Taking Governance Forward, ITIL, Padrões ISO Value Creation (Criação de valor) significa realizar benefícios otimizando custos, recursos e riscos. Empresas existem para criar valor para seus stakeholders, de modo que o objetivo de governança para qualquer empresa - comercial ou não-é value creation. Toda organização atua em um contexto diferente; este contexto é determinado por fatores externos (mercado, indústria, geopolítica, etc) e fatores internos (cultura, organização, apetite pelo risco, etc), isso exige que cada organização construa seu próprio sitema personalizado de governança e gestão. A estrutura do COBIT 5, o modelo de gestão e governança e os modelos Enablers (facilitador) se aplicam a todos os contextos e facilitam essa personalização.
Governança em COBIT 5 Governance Enablers Governance enablers são os recursos organizacionais, tais como frameworks, princípios, estrutura, processos e práticas, para o qual ou através do qual ação é dirigida e objetivos podem ser atingidos. Facilitadores também incluem recursos da empresa, por exemplo, capacidades de serviço (infraestrutura de TI, aplicações, etc), pessoas e informações. Governance Scope A Governança pode ser aplicada a toda a empresa, uma entidade, um ativo tangível ou intangível, etc Ou seja, é possível definir diferentes visões da empresa em que a governaça é aplicada.
Atender as Necessidades do Stakeholder Necessidades das partes interessadas têm de ser transformado em uma estratégia de recurso da negócio. Os 5 metas em cascata do COBIT traduz as necessidades das partes interessadas em metas específicas, acionáveis e personalizadas dentro do contexto da empresa, relacionados os objetivos de TI e metas facilitadores. 2012 ISACA. All rights reserved. 15
Governança - Função, Atividades e Relacionamentos Os Papéis, Atividades e Relacionamentos Um quarto elemento se refere aos papéis, atividades e relacionamentos de governança. Esse elemento define quem está envolvido na governança, como eles estão envolvidos, o que eles fazem e como eles interagem no âmbito de qualquer sistema de governo. Em COBIT 5, há diferenciação clara entre governança e gestão nos domínios da governança, bem como a diferenciação entre a interface entre eles e os atores envolvidos.
Cobrir ponto o ponto ao Negócio Componentes chaves do sistema governança 2012 ISACA. All rights reserved. 17
A proposta dos enablers O objetivo do Enablers (facilitadores) é promover a implementação de um modelo de desempenho e sistema de gestão da TI corporativa. Os Facilitadores são amplamente definidos como qualquer coisa que possa ajudar a alcançar os objetivos de governança das empresas. Isso inclui recursos, tais como informações e pessoas. O Framework COBIT 5 enumera sete categorias de facilitadores: Processos Princípios e políticas Estruturas organizacionais Habilidades e competências Cultura e comportamento Capacidades de Serviço Informação
Enabler-based COBIT 5 Enablers Modelo Sistemica com Interação dos Enablers COBIT 5 Enablers Facilitadores são aqueles elementos tangíveis e intangíveis que premitem o funcionamento de alguma coisa, neste caso, a governança e a gestão sobre a empresa de TI. Facilitadores são movidos pela cascata de objetivos descritos na seção 3: o alto nível de TI relacionado com metas definem o que os diferentes facilitadores devem alcançar.
Descrição dos Enablers Service capabilities - Incluem a infra-estrutura, tecnologia e aplicativos que suprem a empresa com informações e processamento de informações e serviços Skills and competences - Estão ligados as pessoas e são necessários para a conclusão bem sucedida de todas as atividades e para tomada de decisões corretas Principles and policies - São o veículo para traduzir o comportamento desejado em orientações práticas para daytogestão do dia Processes - Descreve um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas que permita alcançar objetivos gerais de TI. Culture, ethics, behaviour -Dos indivíduos e da organização; muitas vezes subestimado como um fator de sucesso em arranjos de governança e gestão Organisational structures - São a chave da tomada de decisão entidades em uma organização Information - Permeia toda a organização. A Informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas vezes o produto chave da própria empresa.
Enabler-based
Modelo Process Enabler Goals and metrics Objetivos do processo são definidos como "uma declaração descrevendo o A process resultado is defined desejado as a de collection um processo. of activities that takes one or more kinds of input and Um creates resultado an pode output ser um that artefato, is of value to the organisation. uma mudança significativa de um estado ou uma melhoria significativa a capacidade de outros processos ". Good practices Processo interno de boas práticas estão descritas nos níveis de detalhe em cascata, ou seja, práticas, atividades e atividades detalhadas. Stakeholders Os processos têm partes internas e externas, cada uma com seus próprios papéis. Partes interessadas e seus níveis de responsabilidade são documentadas em gráficos RACI, que são um atributo do processo. Life Cycle - Cada processo tem um ciclo de vida, ou seja, é definido, criado, operado, monitorado e ajustado / atualizado ou aposentado. Práticas de processo genérico, tais como as definidas no modelo de avaliação de processos COBIT, com base na ISO / IEC 15504, podem ajudar a definir, executar, monitorar e otimizar processos. Attributes Há uma série de atributos específicos do processo definido no modelo de processo COBIT 5. Estas incluem: Entradas e saídas, o nível de capacidade do processo, gráfico RACI, etc.
Guia de Referência do Processo A publicação separada que se expande sobre o modelo de processo Enabler (facilitador) Contém todos os detalhes dos processos COBIT em uma maneira similar a documentação do processo em COBIT 4.1
Modelo Process e Enabler Facilitadores Processo Informação Estruturas Organizacionais Habilidades e Competências Principios e Políticas Cultura, Ética e Comportamento Capacidade de Serviços Partes Interessadas Metas & Metricas Ciclio de Vida Melhores Praticas Atributos Componentes
A Seperação de Governança da Gestão
Processos de Governança e Gestão Os quatro domínios de gestão O COBIT 5 modelo de referência do processo divide os processos de alinham-se com as áreas de governança e gestão de empresas de TI em duas principais responsabilidade áreaspelo planejamento,construção, execução e monitoramento (PBRMuma evolução do COBIT 4.1 O domínio GOVERNANÇA, contém cinco processos de governança; domínios), proporciona uma dentro de cada processo são cobertura end-to-end de TI. Cada definidas formas de avaliar, dirigir e domínio contém uma série de monitorar as práticas. processos, como no COBIT 4.1 e versões anteriores. Embora, como descrito anteriormente a maioria dos processos requeiram "planejamento", "implementação", "execução" e "monitorização" atividades dentro do processo ou dentro da questão específica a ser abordada (por exemplo, a Em COBIT 5, os processos também abrangem toda qualidade, a gama de segurança), negócios eles e são colocados em domínios e alinhados atividades relacionadas à governança e gestão de empresas de TI, efetivando o com a área mais relevante da modelo de processo em toda a empresa. atividade quando de TI em nível corporativo.
Diferença entre COBIT 4.1e 5 COBIT 4.1 COBIT 5 PO Plan & Organise PO 1 PO 2 GOVERNANÇA GERENCIAMENTO AI Arquire & Implement DS Deliver & Support ME Monitor & Evaluate Evaluate, Direct & Monitor EDM 5 Processos Área Align, Plan & Organise - APO 12 Processos Build, Arquire & Implement - BA 8 Processos Deliver, Service & Support (Run) - DSS 8 Processos Domínio Processo Domínio Monitor, Evaluate & Assess - MEA 3 Processos
Diferença entre COBIT 4.1e 5 COBIT 4.1 Descrição COBIT 5 PO10.1 Programme Management Framework BAI1.1 PO10.2 Project Management Framework BAI1.1 PO10.3 Project Management Approach BAI1.1 PO10.4 Stakeholder Commitment BAI1.3 PO10.5 Project Scope Statement BAI1.7 PO10.6 Project Phase Initiation BAI1.7 PO10.7 Integrated Project Plan BAI1.8 PO10.8 Project Resources BAI1.8 PO10.9 Project Risk Management BAI1.10 PO10.10 Project Quality Plan BAI1.9 PO10.11 Project Change Control BAI1.11 PO10.12 Project Planning of Assurance Methods BAI1.8 PO10.13 Project Performance Measurement, Reporting and Monitoring BAI1.6; BAI1.11 PO10.14 Project Closure BAI1.13
Diferença RACI Charts 2012 ISACA. All rights reserved. 29
Modelo de Referencia dos Processos 2010 ISACA. All rights reserved. 30
Estrutura de Processos COBIT 5 APO05 Manage Portfolio Area: Management Domain: Align, Plan and Organise Process Description Process Purpose Statement The process supports the achievement of a set of IT-- related goals, which support the achievement of a set of enterprise goals: IT-- related Goal P/S Related Metrics Process Goals and Metrics Process Goal Related Metrics RACI Chart Process Practices, Inputs/Outputs and Activities Practice Inputs Outputs Activities
Exemplo Processo Governança
Exemplo Process Gestão
Objetivos do Negócio e da TI Visão BSC Finanças, Cliente, Interna e Aprendizagem e crescimento Visão BSC Finanças, Cliente, Interna e Aprendizagem e crescimento
Categorias de Habilidades
Guia de Implementação Documento separado Com base na publicação atual de implementação e orientação
O Novo Processo do COBIT Capability Assessment Há uma série de benefícios em fazê-lo: Confirmar que um processo está prestes a atingir sua finalidade e seja possível entregar seus resultados como esperado. Simplificação COBIT do processo 4.1 e avaliação do conteúdo COBIT de 5 apoio. Maturidade do Capacidade do Confiabilidade e repetibilidade de atividades do processo Processo Processo de capacidade de avaliação foi e substituído debates. por Redução das divergências entre as partes interessadas Baseado na ISO sobre os resultados da avaliação. 15504 IEC e o Aumentou a usabilidade dos resultados do processo de Programa de avaliação das capacidades. A nova abordagem Avaliação do COBIT estabelece uma base para mais formal e avaliações (CAP) rigorosas a serem executadas para fins internos e externos. Forte apoio para abordagem do processo de avaliação no mercado.
O Novo Processo do COBIT Capability Assessment COBIT 4.1/5 2012 ISACA. All rights reserved. 38
Modelo de Capacidade do Processo - Comparativo COBIT 4.1 Maturity Model Levels COBIT 5 ISO/IEC 15504 Based Capability Levels Meaning of the COBIT 5 ISO/IEC 15504 Based Capability Levels Context 5. Optimised 5. Optimised Continuously improved to meet relevant current and projected enterprise goals. 4. Managed and Measurable 4. Predictable Operates within defined limits to achieve its process outcomes. Enterprise view/ corporate knowledge 3. Defined 3. Established Implemented using a defined process that is capable of achieving its process outcomes. N/A 2. Managed Implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained. N/A 1. Performed Process achieves its process purpose. Instance view/ individual knowledge 2. Repeatable 1. Ad Hoc 0. Non existent 0. Incomplete Not implemented or little or no evidence of any systematic achievement of the process purpose.
Modelo de Capacidade do Processo
Comparitivo entre a Tabela dos Atributos de Maturidade (COBIT 4.1) e os Atributos dos Processos (COBIT 5)
COBIT 5 Produtos de Apoio Futuros Practice Guides: COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk Enabler Guides: COBIT 5: Enabling Information COBIT Online Replacement COBIT Assessment Programme: Process Assessment Model (PAM): Using COBIT 5 Assessor Guide : Using COBIT 5 Self-assessment Guide: Using COBIT 5 2012 ISACA. All rights reserved. 42
Muito obrigado! Ian Lawrence Webster, CGEIT, CRISC presidente@isaca-brasilia.org www.isaca-brasilia.org.br