1 / 124

Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI

Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI. Márcio Aurélio Ribeiro Moreira marcio.moreira@pitagoras.com.br http://si.lopesgazzani.com.br/docentes/marcio/. Introdução. Governança. É o ato de governar, direcionar, controlar, exercer poder Relaciona-se com:

elkan
Download Presentation

Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Governança e Qualidade em Serviços de TI3. COBIT – Governança de TI Márcio Aurélio Ribeiro Moreira marcio.moreira@pitagoras.com.br http://si.lopesgazzani.com.br/docentes/marcio/

  2. Introdução

  3. Governança • É o ato de governar, direcionar, controlar, exercer poder • Relaciona-se com: • Tomadas de decisão • Definição de expectativas • Conceder poder • Verificar desempenho

  4. Governança Corporativa • Governança Corporativa e o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle. • As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade. • Fonte:

  5. Governança x Gestão de TI Governança de TI (COBIT) Gestão de TI (ITIL) A implementação e o gerenciamento da qualidade dos serviços de TI de forma a atender às necessidades de negócio. O gerenciamento de serviço de TI é feito pelos provedores de serviço de TI por meio da combinação adequada de pessoas, processo e tecnologia da informação. • Parte da Governança Corporativa focada nos sistemas de TI, desempenho e gerenciamento de riscos. • Propósito: • Garantir que políticas e estratégia sejam realmente implementadas e que os processos requeridos estejam sendo corretamente seguidos, inclui definir papéis e responsabilidades, medir, relatar e tomar as ações para resolver quaisquer questões identificadas.

  6. Governança x Gestão de TI • Gestão de TI: • Fornecer serviços e produtos de TI de forma eficiente e eficaz, bem como na gestão das operações de TI • Fazer as coisas de forma certa • Promovido e gerenciado pela TI • Governança de TI: • Se preocupa com o desempenho dos negócios, transformando e posicionando a TI para alcançar os objetivos de negócio • Fazer as coisas certas • Precisa de patrocínio da alta administração e dos executivos

  7. Áreas de foco da Governança de TI

  8. COBIT

  9. O que é o CObIT? CObIT = ControlObjectives for InformationandRelatedTechnology Requisitos de Negócios Confidencialidade Disponibilidade Confiabilidade Conformidade Integridade Eficácia Eficiência Pessoas Infraestrutura DOMÍNIOS Informações Aplicativos PROCESSOS Processos de TI Recursos de TI ATIVIDADES

  10. O que é o COBIT? • Desenvolvido pela ISACA (Information Systems Audit and Control Association): • Início informal em 1967 com um grupo de auditores • Em 1969 eles fundaram a EDP AuditorsAssociation • Em 1976 fundaram um instituto de pesquisas em governança de TI sem fins lucrativos, o ITGI (IT Governance Institute) • Hoje tem + de 86 mil membros, em 160 países, com + de 175 capítulos • Hoje o COBIT é um modelo do ITGI que é: • Focado no negócio • Orientado a processos de TI (34 processos) • Baseado em controles • Fornece indicadores • Adotado mundialmente

  11. Onde encontrar e porque usar? • Distribuído gratuitamente no site www.isaca.org • Ajuda a mapear objetivos de negócio e relacioná-los com metas, processos e atividades de TI • Fornece suporte a Gestão e à Governança de TI • É um guia, não uma norma • Como um modelo de controle pode ser usado em qualquer empresa, plataforma de TI e padrão de sistemas • Principais razões do uso: • Alinhar a TI ao negócio • Entregar soluções que atendam as necessidades reais • Conseguir demonstrar retorno sobre investimentos • Reduzir os custos • Gerenciar a Segurança da Informação Negócio & TI

  12. COBIT para Governar a TI Princípios Razões O board (alta administração) precisa estabelecer as metas e a direção para a organização

  13. A Lei Sarbanes & Oxley dos USA deu grande impulso ao COBIT, tornando a Governança Corporativa e de TI obrigatórias para empresas com ações na Bolsa de Valores. No Brasil, a CVM foi pelo mesmo caminho. Evolução do COBIT

  14. Conformidade – Desafios • A Governança de TI deve buscar o equilíbrio entre as necessidades do estado, dos clientes e acionistas: • Clientes & Acionistas: • Entrega de valor • Atingimento de metas de desempenho • Geração de resultados • Estado: • Controles • Conformidade • Respeito as leis

  15. Missão do ITGI & Foco do COBIT Missão do ITGI Foco do COBIT O COBIT foca mais em “o que precisa ser alcançado” do que em “como alcançar”, isto é, mais no controle do que na execução Funciona como um guarda-chuva, fornecendo controle que mapeiam os principais controles de TI • “Pesquisar, desenvolver, publicar e promover um framework de controle para Governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia-a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria”

  16. Componentes do COBIT

  17. Framework do COBIT • O cubo ao lado representa os componentes chaves da estrutura do COBIT e como eles são usados para entregar a informação que o negócio precisa para alcançar seus objetivos • Cubo do COBIT: Requisitos de Negócios Confidencialidade Disponibilidade Confiabilidade Conformidade Integridade Eficácia Eficiência Pessoas Infraestrutura DOMÍNIOS Informações Aplicativos PROCESSOS Processos de TI Recursos de TI ATIVIDADES

  18. Requisitos de Negócio(Critérios de informação) • Eficácia: • Capacidade de alçar metas e resultados propostos • Trata da informação que está sendo relevante e pertinente ao processo de negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil • Eficiência: • Quantidade de recursos necessários para a geração do resultado • Diz respeito à provisão da informação através do uso otimizado (mais produtivo e econômico) dos recursos. Tem foco na otimização de custos • Confiabilidade: • A informação certa estará disponível para a gerência quando ela for necessária, isto gera confiança para a gerência operar e assumir suas responsabilidades de relatar aspectos de conformidade e finanças

  19. Requisitos de Negócio • Conformidade: • Trata do cumprimento das leis, de regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito • Confidencialidade: • Diz respeito à proteção da informação sigilosa contra a revelação não autorizada • Integridade: • Relaciona-se à exatidão e completude da informação bem como à sua validade, de acordo com os valores e as expectativas do negócio • Disponibilidade: • Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no futuro • Tem foco na entrega de serviços

  20. Requisitos genéricos x Requisitos de Negócio

  21. Recursos de TI • Aplicações: • Sistemas automatizados e procedimentos manuais para processar informações • Informações: • Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação • Infraestrutura: • Hardware, sistemas operacionais, banco de dados, rede, multimídia, etc. • Tudo que é necessário para o funcionamento das aplicações • Pessoas: • Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado

  22. Recursos de TI x Entrega de Serviços

  23. Domínios do COBIT • Os domínios: • Mapeiam as áreas de responsabilidades tradicionais da TI: • Planejar, construir, executar e medir • Representam o ciclo de vida da TI  agrupamento natural de processos • Processos são uma sequência lógica de atividades, com papéis e responsabilidades • O COBIT 4.1 tem 34 processos Planejar e Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar

  24. Domínio: Planejar e Organizar (PO) • Objetivos: • Formular estratégias e táticas • Identificar como TI pode melhor contribuir para atingir os objetivos do negócio • Planejar, comunicar e gerenciar a realização da visão estratégica • Implementar organizacionalmente e tecnologicamente a Infraestrutura • Escopo: • Estão TI e Negócio estrategicamente alinhados? • Está a organização obtendo o melhor uso de seus recursos? • Qualquer pessoa na organização entende os objetivos de TI? • Os riscos de TI são entendidos e adequadamente gerenciados? • A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio? Negócio & TI

  25. Processos do Domínio PO Planejar e Organizar

  26. Domínio: Adquirir e Implementar (AI) • Objetivos • Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI • Atualizar e manter os sistemas existentes • Escopo: • Estão os novos projetos aptos a entregar soluções que reúnem as necessidades do Negócio? • Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos? • Os novos sistemas trabalharão adequadamente quando implementados? • As mudanças serão feitas sem afetar as operações atuais do Negócio?

  27. Processos do Domínio AI Adquirir e Implementar

  28. Domínio: Entregar e Suportar (DS) • Objetivos: • Entregar os serviços requeridos, incluindo o serviço de entrega • Gerenciar segurança, continuidade, dados e facilidades operacionais • Fornecer serviço de suporte estruturado aos usuários • Escopo: • Estão os serviços de TI alinhados com as prioridades de Negócio? • Estão os custos otimizados? • Está a força de trabalho apta a usar os sistemas de TI de forma produtiva e com segurança? • São adequadas a confidencialidade, integridade e disponibilidade das informações?

  29. Processos do Domínio DS Entregar e Suportar

  30. Domínio: Monitorar e Avaliar (ME) • Objetivos: • Gerenciar Performance • Monitorar Controles Internos • Manter conformidade com Agências Reguladoras • Governar a TI • Escopo: • A performance de TI é mensurada para detectar problemas antes que eles aconteçam? • O gerenciamento garante que os Controles Internos são efetivos e eficazes? • Pode a disponibilidade de TI ser combinada com os objetivos do Negócio? • São Riscos, Controles, Conformidades e Performance medidos e reportados?

  31. Processos do Domínio ME Monitorar e Avaliar

  32. Processos – PO

  33. PO1 Definir um Plano Estratégico de TI • Descrição: • Necessário para alinhar e gerenciar os recursos de TI à estratégia de negócio, garantindo otimização do portfólio de serviços e projetos, explicitando as oportunidades e limitações da TI, avaliando e definindo o nível de investimento necessário em TI • Objetivos de Negócio: • 1º: Eficácia • 2º: Eficiência • Requisitos do Negócio: • Sustentar ou estender a estratégia de negócio e os requisitos de governança e, ao mesmo tempo, ser transparente quanto aos benefícios, custos e riscos • Foco: • Incorporar TI e gerenciamento de negócio na tradução dos requisitos de negócio em ofertas de serviços e no desenvolvimento de estratégias para entregar estes serviços de maneira eficaz e transparente

  34. PO1 Definir um Plano Estratégico de TI • Como Alcançar: • Compromisso da Alta Direção e da Direção do Negócio no alinhamento do plano estratégico de TI com as necessidades atuais e futuras • Entendimento da capacidade atual de TI • Estabelecimento de um esquema de priorização de objetivos de negócio, que quantifique os requisitos de negócio • Medições: • % objetivos de TI que sustentam o plano estratégico de negócio • % projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI • Demora entre a atualização do plano estratégico de TI e os planos táticos • Recursos de TI: • Aplicações, informações, infraestrutura e pessoas

  35. PO1 Definir um Plano Estratégico de TI • Objetivos de controle: • Gerir o valor da TI • Alinhar TI e negócio • Avaliar a capacidade e o desempenho atuais • Plano estratégico de TI • Plano tático de TI • Gerir o portfólio de TI • Entradas e Saídas:

  36. PO1 Definir um Plano Estratégico de TI • Tabela RACI: • Funções: • CEO (Chief Executive Officer) CFO (Chief Financial Officer) • CIO (Chief Information Officer) PMO (Projetc Management Officer)

  37. PO1 Definir um Plano Estratégico de TI • Objetivos e Métricas:

  38. PO1 Definir um Plano Estratégico de TI • Níveis de Maturidade: • 0 Inexistente: • A direção não vê necessidade num plano estratégico de TI para o negócio • 1 Inicial / Ad Hoc / Linguagem Comum: • Os requisitos de TI são discutidos respondendo a necessidades de negócio • 2 Repetível: • Existe um plano de TI compartilhado eventualmente com a área de negócio, que é atualizado sob demanda, as decisões são tomadas projeto a projeto • 3 Definido: • Existe uma política dizendo como quando o plano estratégico de TI é feito e atualizado, o processo é conhecido e respeitado por todos os envolvidos • 4 Gerenciado: • A TI é gerenciada pelas métricas estabelecidas no plano estratégico de TI • 5 Otimizado: • A empresa só toma decisões estratégicas consultando os planos das diretorias, inclusive a de TI, estes planos são sistematicamente reavaliados contra benchmarking

  39. PO2 Definir a Arquitetura de Informação • Descrição: • Definir o modelo de informações necessários para suportar o negócio, isto inclui fazer um dicionário de dados corporativos (com: regras sintáticas, classificação e níveis de segurança), permitindo tomada de decisões e responsabilização • Objetivos de Negócio: • 1º: Eficiência e Integridade • 2º: Eficácia e Confidencialidade • Requisitos do Negócio: • Agilidade para atender os requisitos fornecendo informações confiáveis e consistentes integrando aplicações nos processos de negócio • Foco: • Modelo de dados (domínio de negócio)

  40. PO2 Definir a Arquitetura de Informação • Como Alcançar: • Garantir a precisão da arquitetura de informação e do modelo de dados • Estabelecer a propriedade dos dados • Classificar a informação usando o esquema que foi combinado • Medições: • % de informações redundantes ou duplicados • % de aplicações não conformes com a arquitetura de informação • Frequência de atividades de validação dos dados • Recursos de TI: • Aplicações e informações

  41. PO3 Determinar as Diretrizes de Tecnologia • Descrição: • Os responsáveis pela TI determinam as diretrizes de TI que suportam o negócio, através de um plano de infra e um conselho de arquitetura que estabelece e gerencia os produtos, serviços e mecanismos de entrega da TI. Além do já citado, o plano deve conter: plano de aquisições, padrões, estratégias de migração e contingência. Isto permite respostas rápidas • Objetivos de Negócio: • 1º: Eficácia e Eficiência • Requisitos do Negócio: • Ter sistemas aplicativos, recursos e capacidades padronizados, integrados, estáveis, com boa relação custo-benefício, que atendam os requisitos atuais e futuros do negócio • Foco: • Plano de infra, arquitetura (serviços, aplicações e infra) e padrões

  42. PO3 Determinar as Diretrizes de Tecnologia • Como Alcançar: • Estabelecer um comitê para direcionar e verificar a arquitetura, requisitos, custos e riscos • Definir padrões de infraestrutura tecnológica com base nos requisitos da arquitetura da informação • Medições: • Quantidade e tipo de desvios do plano de infraestrutura tecnológica • Frequência de revisão/atualização do plano de infraestrutura tecnológica • Quantidade de plataformas de tecnologia por área da organização • Recursos de TI: • Aplicações e infraestrutura

  43. PO4 Definir os Processos, Organização e Relacionamentos de TI • Descrição: • Definir o pessoal, papéis, responsabilidades, habilidades, funções, autoridade, rastreabilidade e supervisão necessários. A organização de TI deve ter processos que transfiram o conhecimento, assegurem o controle e o envolvimento dos executivos sênior (comitê estratégico). Outros comitês podem ser criados garantindo a participação das áreas de negócio • Objetivos de Negócio: • 1º: Eficácia e Eficiência • Requisitos do Negócio: • Agilidade em resposta à estratégia de negócio e, ao mesmo tempo, atender aos requisitos de Governança e fornecer pontos de contatos definidos e competentes • Foco: • Estruturas transparentes, flexíveis e responsivas, definindo processos

  44. PO4 Definir os Processos, Organização e Relacionamentos de TI • Como Alcançar: • Definição de uma estrutura de processos de TI • Estabelecimento de conselhos e estruturas organizacionais apropriadas • Definição de papéis e responsabilidades • Medições: • % de funções com posições e descrições de autoridade documentadas • Número de unidades/processos de negócios não suportados pela TI, mas que deveriam ser suportados de acordo com a estratégia • Número de atividades centrais de TI realizadas fora da organização de TI e que não são aprovadas ou submetidas aos padrões organizacionais de TI • Recursos de TI: • Pessoas

  45. PO5 Gerenciar o Investimento de TI • Descrição: • Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento • Objetivos de Negócio: • 1º: Eficácia e Eficiência • 2º: Confiabilidade • Requisitos do Negócio: • Melhorar continua e visivelmente a relação custo-benefício da TI e sua contribuição para a lucratividade do negócio com serviços integrados e padronizados que atendam às expectativas do usuário final • Foco: • Decidir o portfólio e investimentos em TI

  46. PO5 Gerenciar o Investimento de TI • Como Alcançar: • Previsão e alocação de orçamentos • Definição do critério de investimento formal, usando: • ROI (Return On Investment): Retorno sobre Investimento • Período de recuperação de investimento • NPV (Net Present Value): Valor Presente Líquido (VPL) • Medição e avaliação do valor de negócio comparado à previsão • Medições: • % de redução do custo unitário dos serviços de TI entregues • % de desvio do valor orçamentário previsto x realizado • % dos gastos de TI expressos através de motivadores de valor de negócio: • Exemplo: aumento de vendas/serviços devido ao aumento da conectividade • Recursos de TI: • Aplicações, infraestrutura e pessoas

  47. PO6 Comunicar Metas e Diretrizes Gerenciais • Descrição: • A Direção deve desenvolver uma estrutura de controle de TI corporativo, incluindo políticas, objetivos e diretrizes • A área de TI deve definir e comunicar políticas, missão, metas, etc. • A comunicação apoia o alcance dos objetivos de TI e assegura que as pessoas tenham conhecimento e entendimento do negócio e riscos • Objetivos de Negócio: • 1º: Eficácia • 2º: Conformidade • Requisitos do Negócio: • Manter as informações precisas e atualizadas nos serviços de TI atuais e futuros, bem como as responsabilidades e os riscos associados • Foco: • Fornecer políticas, diretrizes, procedimentos, etc. aprovados

  48. PO6 Comunicar Metas e Diretrizes Gerenciais • Como Alcançar: • Definição de uma estrutura de controle de TI • Desenvolvimento e implementação de políticas de TI • Imposição de políticas de TI • Medições: • Interrupções no negócio devido a interrupções em serviços de TI • % de partes interessadas que entendem a estrutura corporativa de controle de TI • % de partes interessadas que não estão em conformidade com a política • Recursos de TI: • Informações e pessoas

  49. PO7 Gerenciar os Recursos Humanos de TI • Descrição: • Adquirir, manter e motivar pessoas competentes para criar e entregar serviços de TI para o negócio. Isto requer práticas definidas e acordadas de recrutamento, treinamento, avaliação, promoção e desligamento • Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentes da motivação e da competência dessas pessoas • Objetivos de Negócio: • 1º: Eficácia e Eficiência • Requisitos do Negócio: • Ter pessoas competentes e motivadas para criar e entregar serviços de TI • Foco: • Admitir, treinar e motivar o pessoal com planos de carreira claros, atribuir funções coerentes com as habilidades, estabelecer um processo de revisão, criar descrições de cargos e assegurar a consciência da dependência de indivíduos

  50. PO7 Gerenciar os Recursos Humanos de TI • Como Alcançar: • Revisão do desempenho do pessoal • Admissão e treinamento do pessoal de TI para sustentarem os planos táticos de TI • Mitigar o risco de dependência excessiva de recursos-chave • Medições: • Nível de satisfação das partes interessadas com competência de TI • Rotatividade da equipe de TI • % da equipe de TI certificado de acordo com as necessidades da função • Recursos de TI: • Pessoas

More Related