Governança de TI: O que é COBIT ?

Apresentação em tema: "Governança de TI: O que é COBIT ?"— Transcrição da apresentação:

1 Governança de TI: O que é COBIT ?

2 Agenda Governança de TI Metodologia COBIT
Relacionamento do COBIT com os modelos de melhores práticas Governança de TI em 2006 Estudo de Caso Referências

3 Governança de TI De acordo com o IT Governance Institute (2005)
“A governança de TI é de responsabilidade de alta administração (incluindo diretores e executivos), na liderança, nas estruturas organizacionais e nos processos que garantem que a TI da empresa sustente e estenda as estratégias e objetivos da organização.” É um componente da Governança Corporativa

4 Governança de TI Fatores motivadores da Governança de TI Governança
Integração Tecnológica Ambiente de Negócios Governança de TI Segurança da Informação Marcos de Regulação A Governança de TI é motivada por vários fatores( embora o senso comum considere a maior transparência da administração como sendo o principal motivador desse movimento que vemos no ambiente de TI das organizações) Ambiente de Negócios Maior dinamismo dos requerimentos do negócio para TI Clientes mais conscientes e exigentes Novos concorrentes globais e de baixo custo Integração Tecnológica Soluções ERP Soluções CRM Integração da gestão estratégica com a gestão tática e operacional das empresas, através de aplicações de DW, DM e de inteligência organizacional Segurança da Informação - No mundo interligado da Internet, a gestão de TI também ficou mais complexa e a infra-estrutura de Ti sofre riscos diários de intrusão visando o “roubo” de dados e a disseminação de códigos maliciosos e vírus, o que pode afetar sobremaneira, a operação da empresa. Dependência do negócio em relação a TI - Quando a TI tem alto impacto nas operações chaves(presente) e alto impacto nas estratégias chaves(futuro), diz-se que a TI é estratégica para o negócio. Alinhar a TI ao negócio, tanto de forma estática, a partir dos planos de negócio da empresa, como dinamicamente, fazendo ajustes contínuos em virtude do surgimento de novas oportunidades de negócio, onde TI é um ator importante para a geração de receitas e para o aumento da participação e da lucratividade do negócio no mercado. Marcos de regulação A Lei americana Sarbanes-Oxley, publicada em 2002 após os escândalos financeiros ocorridos em empresas como a Enron, Worldcom, entre outras, determinou um marco histórico na gestão de riscos financeiros. A Lei tornou Diretores Executivos e Diretores Financeiros responsáveis - explicitamente - por definir, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Estes controles devem ser suficientes e capazes de livrar a instituição dos riscos que possam ameaçar as principais funções da instituição e, com isso, prejudicar respectivas entidades e partes interessadas, como clientes e acionistas. No Brasil, algumas normativas - como a Resolução 2554 do Banco Central e a Circular 249 da Susep - exigem, de forma similar, que a instituição financeira mantenha um sistema de controles internos para garantir a gestão dos riscos em seus processos e no relacionamento com a sociedade. Essas determinações associam o resultado dessa gestão aos principais executivos. Por exemplo, a Resolução 2817 do Banco Central, define que a Diretoria da instituição deve ser responsável pelos sistemas de controles que garantam o sigilo e a segurança dos meios eletrônicos disponibilizados para as contas de depósitos. Motivos para instituir a Governança de TI Manter as estratégias de TI alinhadas com as estratégias de negócio Aumentar a capacidade e agilidade no desenvolvimento de novos modelos de negócios ou ajuste nos modelos atuais Explicitar a relação entre o aumento de custos de TI e o aumento do valor da informação. Manter sobre controle os riscos envolvidos nos negócios Explicitar a importância de TI na continuidade dos negócios Medir e melhorar continuamente a performance de TI. Mais um Modismo? NÃO Cria as condições para o exercício eficaz da gestão O que não é medido não é gerenciado Baseado em indicadores Utiliza conceitos consolidados de qualidade Dependência do Negócio em Relação à TI

5 Governança de TI Framework para Gerenciamento de TI
A Governança de TI, quando implementada de forma integrada: Permite que a empresa gerencie de forma eficiente seus investimentos em recursos tecnológicos e suas informações transformando-as em maximização de benefícios, oportunidades de negócio e vantagem competitiva no mercado. A estrutura do COBIT- Control Objectives for Information and Related Technology – foi idealizada de forma a atender às necessidades de controle da organização relacionadas à Governança de TI. O alinhamento é um processo, não um fim ou produto TI é o maior direcionador da economia para o século XXI O CobiT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa.

6 Histórico do COBIT O COBIT foi criado em 1994 pela ISASFC ( Information Systems Audit and Control Foundation, ligado à ISACA). Em 1998, foi publicada a sua 2ª edição, contendo uma revisão nos objetivos de controle de alto nível e detalhados, e mais um conjunto de ferramentas e padrões para implementação. A 3ª edição foi publicada em 2000 pelo IT Governance Institute ( ITGI). O COBIT foi criado em 1994 pela ISASFC ( Information Siytems Audit and Control Foundation, ligado à ISACA), a partir do seu conjunto inicial de objetivos de controle, e vem evoluindo através da incorporação de padrões internacionais técnicos, profissionais, regulatórios e específicos para processos de TI. Em 1998, foi publicada a sua 2ª edição, contendo uma revisão nos objetivos de controle de alto nível e detalhados, e mais um conjunto de ferramentas e padrões para implementação. A 3ª edição foi publicada em 2000 pelo IT Governance Institute ( ITGI), órgão criado pela ISACA com o objetivo de promover um melhor entendimento e adoção dos princípios de Governança de TI.

7 Histórico do COBIT O modelo evoluiu novamente em 2005 para a versão 4.0, através de práticas e padrões mais maduros. O COBIT está em conformidade com as regulamentações, do foco mais acentuado na governança de TI, nos níveis mais elevados e da ampliação da sua abrangência para um público mais heterogêneo (gestores, técnicos, especialistas e auditores de TI). COBIT

8 Público Alvo do COBIT Gestão Executiva Gestão de Negócios Gestão de TI
Auditores Gestão Executiva: Fornece orientação acerca da obtenção de retorno sobre os investimentos em TI, auxiliando a balanceá-los com os riscos inerentes ao ambiente de TI; Gestão de Negócios: Auxilia a obter maiores garantias sobre o gerenciamento dos serviços de TI, prestados por colaboradores internos ou terceirizados; Gestão de TI: Auxilia a prover os serviços de TI adequados para suportar a estratégia do negócio, de forma controlada e gerenciada; Auditores: Fornece embasamento para suas conclusões e orientação para a gestão dos controles internos.

9 Objetivo do COBIT Contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que na execução. Focos da Governança de TI, na visão do COBIT Para o COBIT, os pilares fundamentais que sustentam o núcleo da Governança de TI podem ser representados por cinco áreas. O alinhamento é um processo, não um fim ou produto Riscos: requisitos de compliance Desempenho: utiliza BSC

10 Estrutura do COBIT Consiste de um conjunto de 210 Controles, organizados em 34 Processos que são agrupados em 4 Domínios, aplicáveis aos sistemas e à TI. Principais Características Foco nos requisitos do negócio Orientação para uma abordagem de processos Utilização de mecanismos de controles Direcionamento para a análises das medições e indicadores de desempenho obtidos ao longo do tempo 4 Domínios 34 Macro-Objetivos ou Processos 318 Objetivos Detalhados

11 Estrutura do COBIT Foco no Negócio Recursos de TI
Aplicações, Informação, Infra-estrutura e Pessoas Critérios de Controle Eficiência,Eficácia, Confidencialidade, Integridade, Disponibilidade, Conformidade com regulações( Compliance) e Confiabilidade. Segundo o COBIT, para fornecer a informação de que a empresa necessita para atingir os seus objetivos, é necessário gerenciar e controlar os recursos de TI, utilizando um conjunto estruturado de processos para garantir a entrega dos serviços de TI requeridos. O COBIT pressupõe ainda que as informações desejadas devem obedecer a alguns critérios de controle (requisitos de negócio), de forma que sua utilização seja proveitosa para os objetivos do negócio. Tais critérios compreendem: eficiência, eficácia, confidencialidade, integridade, disponibilidade, conformidade com regulações e confiabilidade. A entrega dos serviços deve ser feita através de um conjunto de processos que utilizam recursos de TI, ou seja, pessoas (habilidades, conhecimentos, índices de produtividade) e infra-estrutura (hardware, sistemas operacionais, banco de dados, redes, facilidades etc) para executar aplicações de automação do negócio que manipulam e processam as informações de negócio. A arquitetura empresarial para TI é formada por estes recursos pelos processos de TI ( ver Figura 2).

12 Ver a Figura!!!! Planejamento e Organização (PO): Este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas. Aquisição e Implementação (AI): Este domínio cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções em sistemas existentes também estão cobertas por este domínio, para garantir a continuidade dos respectivos ciclos de vida. Entrega e Suporte (DS): Este domínio cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança, suporte aos serviços para os usuários, gestão dos dados e da infra-estrutura operacional. Monitoração e Avaliação (ME): Este domínio visa assegurar a qualidade dos processos de TI, assim como a sua conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas.

13 Planejamento e Organização
A seguir, mostramos questões gerenciais típicas abordadas e os processos de TI relativos a cada um dos domínios do COBIT

14 Aquisição e Implementação

15 Entrega e Suporte

16 Monitoração e Avaliação

17 Estrutura do COBIT Controle através de objetivos
Os objetivos de controle do COBIT procuram atestar como cada processo faz uso dos recursos de TI para atender de forma primária ou secundária cada requerimento do negócio em termos de informação, cobrindo todos os seus aspectos: Primário (P) – Indica o nível no qual o objetivo de controle definido tem impacto direto no critério de informação. Secundário (S) – Indica o nível no qual o objetivo de controle definido apenas satisfaz o critério de informação, podendo ser em pouca extensão ou inclusive indiretamente. Não Preenchimento – Poderia ser aplicável, todavia outro critério de avaliação é mais adequado a este processo. Controle através de objetivos O COBIT define como controle “o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que eventos indesejáveis serão prevenidos ou mesmo detectados e corrigidos”. Similarmente, uma medida de controle particular não impacta necessariamente os diferentes recursos de TI no mesmo nível. Conseqüentemente, o COBIT framework indica especificamente a aplicabilidade do recurso de TI que são gerenciados especificamente pelo processo em consideração e não apenas aqueles que meramente fazem parte do processo.

18 Estrutura do COBIT Controle através de objetivos
Para cada processo, uma declaração de objetivo de controle de alto nível é fornecida

19 Objetivos de Controle PO9 – Avaliar e Gerenciar os Riscos de TI
Controle sobre o processo de TI de Avaliar e gerenciar os Riscos de Ti que satisfaça a exigência do negócio de Analisar e comunicar os riscos de TI e seu potencial impacto sobre os objetivos e processos do negócio por focalizar um Desenvolvimento de um framework de gerenciamento de risco que está integrado ao negócio e o desenvolvimento de um framework de riscos operacionais, riscos de avaliação, mitigação de riscos e comunicação de riscos residuais.

20 Objetivos de Controle PO9 – Avaliar e Gerenciar os Riscos de TI
é atingido mediante • Garantindo que o gerenciamento de risco está totalmente embutido no processo de gerenciamento, internamente e externamente, e consistentemente aplicado; • Avaliação da performance dos riscos; • Recomendação e comunicação dos planos de ação para correção dos riscos. e medido por • Percentual de objetivos críticos de TI cobertos pela avaliação de riscos; • Percentual de riscos de TI críticos identificados com planos de ação desenvolvidos; • Percentual de plano de ação de gerenciamento de riscos aprovados para implementação.

21 Objetivos de Controle PO9 – Avaliar e Gerenciar os Riscos de TI
Objetivos de Controles detalhados do PO9: PO9.1 - Alinhamento do Gerenciamento de Riscos de Negócio e TI. PO9.2 - Estabelecimento do Contexto dos Riscos. PO9.3 - Identificação de eventos. PO9.4 - Aceitação de Riscos. PO9.5 - Resposta aos Riscos. PO9.6 - Manutenção e Monitoração do Plano de Ação de Riscos.

22 Estrutura do COBIT Os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos. Cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados Os componentes do COBIT são utilizados para fazer com que a TI seja orientada aos objetivos do negócio e cumpra seu papel na instituição Talvez um dos maiores desafios das empresas seja visualizar o nível de profundidade que deve ser adotado pelos mecanismos de controle e medições de desempenho. Em primeiro lugar, o que deve ser medido, como e onde obter os dados e em que perspectiva os resultados devem ser agregados. As empresas devem medir a situação final, principalmente nos aspectos onde alguma ação de melhoria é necessária, e monitorar estas ações de forma sistemática. Finalmente, para decidir qual é o ponto certo, deve-se analisar a relação custo-benefício do controle.

23 Estrutura do COBIT Conteúdo dos processos de TI
Objetivos de controle de alto nível Área foco de governança, Requisitos de negócio( primário, secundário ou não aplicável) Objetivos de controle detalhado Representando as atividades que os decompõe Diretrizes para Gerenciamento Entradas e saída, Matriz de responsabilidades, Metas e Indicadores-chave de metas e desempenho. Modelo de Maturidade Utilizado para avaliar o processo em relação aos benchmarcks preestabelecidos. Conteúdo dos processos de TI Os processos de TI são organizados na documentação do modelo de forma a mostrar uma visão completa sobre como devem ser controlados, gerenciados e medidos Cada um dos 34 processos de TI é descrito através de seus componentes inter-relacionados

24 COBIT- Componentes Inter-relacionados
Negócio requisitos informação Processos de TI Controlados por Objetivos de Controle através de eficientes e eficazes Medidos por Auditados através de Traduzidos para Implementado com Metas das Atividades Diretrizes para Auditoria Práticas de Controle foco em desempenho focos nas saídas foco na maturidade KPI KGI Modelos de Maturidade

25 Estrutura do COBIT Modelos de Maturidade
Nível 0 (Inexistente): Processos de gestão não são aplicados; Nível 1 (Inicial): Processos são esporádicos e desorganizados; Nível 2 (Repetitivo): Processos seguem um padrão de regularidade; Nível 3 (Definido): Processos são documentados e comunicados; Nível 4 (Gerenciado): Processos são monitorados e medidos; Nível 5 (Otimizado): Boas práticas são seguidas e otimizadas. Para cada processo de TI, é estabelecido um modelo de maturidade baseado em níveis Através destes modelos de maturidade, a gerência tem condições de: Mapear a situação atual da organização; Comparar com a situação das melhores organizações no segmento (benchmarking); Comparar com padrões internacionais; Estabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organização.

26 Estrutura do COBIT Metas e medições de desempenho
Indicadores-Chave de Metas (KGIs) Definem as medições que informam à gerência se um processo de TI atingiu os objetivos de negócio; Indicadores-Chave de Desempenho (KPIs) Definem as medições que informam à gerência o quanto os processos de TI estão sendo bem executados no sentido de viabilizar o atendimento dos objetivos de negócio. Demonstram, em três níveis, o que o negócio espera de TI, o que o processo de TI precisa entregar para suportar os objetivos da TI e como está o desempenho do processo de TI. O COBIT usa dois tipos de indicadores:

27 Estrutura do COBIT Fatores Críticos de Sucesso
Define as questões ou ações mais importantes para obter o controle sobre os processos de TI, estrategicamente, tecnicamente e em termos organizacionais ou procedurais.

28 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI

29 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI

30 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI

31 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
Modelo de Maturidade: Controle sobre o processo de TI de Avaliar e Gerenciar Riscos de TI com o objetivo de negócio de suportar decisões da administração através do atingimento dos objetivos de TI e fazer frente às ameaças mediante a redução da complexidade, o aumento da objetividade e a identificação de importantes fatores de decisão. 0 Inexistente A avaliação de risco para processos e decisões de negócio não ocorre. A organização não considera os impactos do negócio associados com as vulnerabilidades da segurança e com as incertezas do projeto do desenvolvimento. A gerência de risco não foi identificada como relevante para adquirir soluções de TI e entrega de serviços de TI.

32 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
1 Inicial A organização está ciente de suas responsabilidades e obrigações legais e contratuais, mas considera os riscos de TI de uma maneira ad hoc, sem seguir processos ou políticas definidas. As avaliações informais do projeto de risco ocorrem como determinado por cada projeto. As avaliações de risco provavelmente não são identificadas especificamente dentro de um projeto planejado ou são atribuídas aos gerentes específicos envolvidos no projeto

33 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
2 Repetível mas Intuitivo Há emergente compreendimento que riscos de TI são importantes e necessários serem considerados. Alguma abordagem à avaliação de risco existe, mas o processo é ainda imaturo e em desenvolvimento. A avaliação está geralmente em um alto-nível e é tipicamente aplicada somente aos projetos principais.....

34 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
3 Processo Definido Uma ampla política de gestão de risco na organização define quando e como conduzir as avaliações de risco. A avaliação de risco segue um processo definido que está documentado e disponível a toda a equipe de funcionários treinada. As decisões para seguir o processo e para receber o treinamento são deixadas à discrição do indivíduo.....

35 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
4 Gerenciado e Medido A avaliação do risco é um procedimento padrão e as exceções para seguir o procedimento estão sendo observadas pela gerência de TI. É provável que a gestão de risco de TI é uma função definida da gerência com nível de responsabilidade sênior. O processo é avançado e o risco é avaliado no nível do projeto individual e também regularmente no que diz respeito a operação de TI por toda a parte......

36 Diretrizes de Gerenciamento PO9 – Avaliar e Gerenciar os Riscos de TI
5 Otimizado A avaliação de risco foi desenvolvida ao estágio onde um amplo processo estruturado na organização é reforçado, seguido regularmente e bem controlado. O brainstorming e a análise de causas de risco, envolvendo os indivíduos peritos, são aplicados através da organização inteira. A captura, a análise e relato de dados da gestão de risco são altamente automatizados......

37 Estrutura do Cubo COBIT
Recursos de TI são gerenciados por Processos de TI, para atingir Metas de TI, que por sua vez estão estreitamente ligadas aos Requisitos de Negócio. KPI Processos de Ti KGI Aplicações Informação Infra-estrutura Pessoas Recursos de TI Requisitos de Negócio Eficácia e Eficiência Confidencialidade e Integridade Disponibilidade e Confiabilidade Visão Integrada do Modelo Recursos de TI são gerenciados por Processos de TI, para atingir Metas de TI, que por sua vez estão estreitamente ligadas aos Requisitos de Negócio.

38 Implementando COBIT Documentação Mapeamento dos processos de negócio
Definição de políticas Identificação dos objetivos de controle Definição de diretrizes Implementação Divulgação Conscientização Gestão dos processos Benchmarks das práticas de controle de TI (Modelo de Maturidade – CMM) Fatores Críticos de Sucesso Indicadores de Objetivos Indicadores de Performance - As recomendações e melhores práticas do modelo COBIT devem ser adaptadas para o ambiente de cada empresa. – Para cada situação deve se escolher qual subgrupo de processos devem ser considerados para serem implantados.

39 Aplicabilidade do COBIT
Avaliação dos processos de TI Auditoria dos riscos operacionais de TI Implementação modular da Governança de TI Realização de benchmarking Qualificação de fornecedores de TI A partir do alinhamento com os requisitos de alto nível do negócio e da boa convivência com outros padrões e modelos de boas práticas existentes no mercado, o COBIT cobre todo o conjunto de atividades de TI, concentrando-se mais em “o que” deve ser atingido em vez de “como” atingir, em termos de governança, gestão e controle. Neste sentido, recomenda-se que o COBIT seja utilizado no nível estratégico, com o objetivo de delinear uma estrutura de controle e gestão baseada em um modelo de processos, que seja aplicável para toda a empresa. Entre as várias oportunidades de aplicação em uma organização, podem ser ressaltadas: - Avaliação dos processos de TI: A grande abrangência do COBIT e o alto grau de padronização permitem a sua utilização como um checklist para avaliar os pontos fortes e os pontos fracos dos seus processos, servindo como subsídio para a proposição de ações de melhoria; - Auditoria dos riscos operacionais de TI: Os processos podem ser avaliados em conjunto ou isoladamente, e as suas discrepâncias em relação aos padrões analisados em relação aos riscos que podem representar para o negócio da empresa, em termos de sua probabilidade de ocorrência e da severidade do impacto; - Implementação modular da Governança de TI: As práticas e padrões relativos a áreas e processos específicos podem ser mapeados para os processos do modelo (mesmo que baseadas em outros modelos, como ITIL, CMMI, PMBOK etc.), de forma a criar uma estrutura hierárquica de processos de gestão, reutilizando práticas e processos já existentes; - Realização de benchmarking: A existência de modelos de maturidade para cada processo de TI permite que uma organização possa montar uma estratégia baseada na sua situação atual em termos de Governança de TI, utilizando como parâmetros de comparação dados de outras empresas best-in-class ou padrões internacionais de mercado, e estabelecendo suas próprias metas de crescimento e melhoria contínua; - Qualificação de fornecedores de TI: Como já acontece com o mercado de desenvolvimento de software (através de modelos como CMMI), o modelo de maturidade do COBIT também podem ser utilizados como qualificadores na contratação de serviços de TI, ou mesmo no estabelecimento de níveis de serviço dentro de uma organização. A grande vantagem da utilização destes modelos é a padronização, ou seja, a utilização dos mesmos critérios para avaliar processos em diversas organizações.

40 Relacionamento dos Modelos de Melhores Práticas
Nas duas últimas décadas vem surgindo e sendo elaborada uma série de modelos de melhores práticas de TI Alguns desses modelos são originais e outros são derivados e/ou evoluídos de outros modelos Exemplos: CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCM-SP, PMBOK, BSC, SAS-70 Muitos devem se perguntar: o que eu faço com todas essas siglas de modelos de melhores práticas? Qual será o melhor modelo? Em que circunstâncias poderei usá-los combinadamente? Em um primeiro momento, tome como padrão o COBIT, de forma que ele seja a nossa baseline sobre qual vamos analisar comparativamente os demais modelos

41 Agrupamento dos modelos das melhores práticas

42 Relacionamento do COBIT com os modelos de Serviços de TI
Alguns processos do COBIT que possuem relação com serviços de TI: PO9- Avaliar e gerenciar riscos de TI: relacionado ao gerenciamento da continuidade dos serviços e ao gerenciamento da segurança da informação; DS1- Definir e gerenciar níveis de serviço: relacionado a disciplina de gerenciamento de níveis de serviço; DS3- Gerenciar desempenho e capacidade: relacionado à disciplina de gerenciamento de capacidade e disponibilidade;

43 Relacionamento do COBIT com modelos de Projetos
Alguns processos do COBIT que possuem relação com Projetos: AI2- Adquirir e manter software aplicativo: compreende o ciclo de vida de desenvolvimento de software que está representado no CMMI e na ISO/IEC 12207; AI5- Adquirir recursos de TI: todos os modelos abordam a questão de aquisição de recursos para os projetos;

44 Quando utilizar os modelos
A utilização dos modelos, seja em caráter total ou parcial, dependerá da estratégia de cada empresa - Preciso avaliar a TI de uma forma abrangente. Qual o modelo eu devo utilizar? Posso implantar o COBIT? - Preciso avaliar a TI de uma forma abrangente. Qual o modelo eu devo utilizar? Sem dúvida o COBIT. Ele é o modelo mais abrangente e detalhado para avaliações compreensivas da TI e dos riscos que ela representa para o negócio. - Posso implantar o COBIT? Dependendo do seu objetivo, sim. Entretanto, se necessário, você poderá detalhar alguns objetivos de controle com práticas de outros modelos. Por exemplo: no caso de projetos, com o PMBOK, PRINCE2 ou CMMI; no caso de serviços de TI, com a ITIL e no caso de segurança da informação com as normas ISSO/IEC e

45 Governança de TI em 2006 Relatório de Status Global da Governança de TI 2006

46 Relatório de Status Global da Governança de TI
Fonte: IT Governance Global Status Report Pequisa publicada em 2006, efetuada em 2005 pela PwC sob orientação do ITGI / ISACA 695 entrevistados (níveis CEO e CIO) 623 escolhidos aleatoriamente 72 dentre os que adquiriram o COBIT

47 Principais Resultados
Cada vez mais TI é mais crítico para o negócio Para 87% dos participantes, IT é muito importante para a execução da estratégia corporativa. Para 63%, TI está regulamente ou sempre na agenda da mesa de reunião. Administração geral percebe a importância de TI um pouco mais do que a própria administração de TI

48 Principais Resultados
Segurança não é o problema mais importante de TI Staffing é o problema de TI mais importante Outsourcing de IT está fora. Diferentes significados nos diversos setores existentes Serviços financeiros e de TI/Telecom apresentam melhor performance de Governança de TI Indústrias de manufaturas apresentam os piores resultados

49 Principais Resultados
Conhecimento do ISACA e ITGI tem aumentado Triplicou em relação a pesquisa de 2003 Conhecimento do COBIT tem aumentado. Aumentou 50% em relação a pesquisa de 2003. Governança de TI (e COBIT) não é facilmente implementado como originalmente estimado. COBIT está sendo utilizado por 10% da população de TI

50 Ciência e Uso COBIT Está você pessoalmente ciente da existência do COBIT?

51 Ciência e Uso COBIT Se você pessoalmente tem ciência da existência do COBIT, é você pessoalmente um conhecedor do conteúdo do COBIT?

52 Ciência e Uso COBIT Se você é pessoalmente um conhecedor do conteúdo do COBIT, então que nível de conhecimento você possui do conteúdo?

53 Ciência e Uso COBIT Sua organização fez( em qualquer área) uso corrente do COBIT?

54 Ciência e Uso COBIT Que parte do COBIT sua organização usa?

55 Ciência e Uso COBIT O quão é fácil ou difícil para você implementar o framework COBIT ou parte do framework COBIT?

56 Ciência e Uso COBIT Foi a lei Sarbanes-Oxley, ou outro lei relacionada ou regulação, a razão para introduzir o COBIT em sua organização?

57 Estudo de Caso Estudo de Caso: Accor Services Brasil

58 Perfil da Empresa Accor Services- Grupo mundial de Hotelaria, Turismo e Serviços com volume de negócios de R$ 7,0 bilhões em 2004. No Brasil, o Grupo Accor atua fortemente no ramo de hotelaria e serviços diversificados, como os hotéis Sofitel, Mercury, Íbis, Formule 1 e Parthenon Flats, e alinha de serviços representada pelos produtos Ticket restaurante, Ticket alimentação

59 Histórico de TI Até 1999, a área de TI apresentava a seguinte situação: Cada aplicação focava um único produto Os sistemas eram heterogêneos e não estavam totalmente integrados A arquitetura de TI não atendia à crescente necessidade de flexibilidade Altos custos de manutenção dos sistemas Infra-estrutura não estava totalmente alinhada com as necessidades do negócio Baixo valor agregado que TI fornecia ao negócio

60 Reformulação de TI De 2000 a 2004, efetuada a implementação do ERP e CRM A área de Infraestrutura de TI foi transferida para IBM em um contrato de full outsourcing e a parte de telecomunicações com a Embratel As arquiteturas de TI passaram para a WEB, ao contrário do cliente/servidor Foi criada uma área de Segurança da Informação Em 2003, foi elaborado e implementado o BSC da área de TI A partir de 2004, ações voltadas para Governança de Ti começaram a ser pensadas e implantadas Na percepção dos usuários internos, a área ainda precisava investir na sua imagem interna por meio de uma maior transparência, principalmente no atendimento à demanda por projetos e melhorias nos produtos e serviços da organização

61 O Programa de Governança de Ti
O programa de desenvolveu em dois momentos. Em 2004, o primeiro momento consistiu nas seguintes ações: Reorganização da gestão operacional de outsourcing Implantação do Escritório de Projetos vinculado a diretoria de TI Implantação de ferramentas para a gestão de demandas e projetos Desenvolvimento da metodologia de gestão e de desenvolvimento de sistemas e processos

62 O Programa de Governança de Ti
O segundo momento aconteceu em 2005, com ações tais como: Criação de um modelo de governança Gestão do Portfolio de Projetos pelo Escritório de Projetos Forte capacitação dos recursos humanos em planejamento de projetos e em tecnologia

63 O Programa de Governança de Ti
Como a Governança de TI evoluiu ao longo do tempo, novas ações estão sendo planejadas para 2006: Administrar a TI como se fosse uma empresa Implantar processos alinhados com a ITIL Mudar a forma de comunicação com o negócio

64 Resultados alcançados até o momento
O volume de negócio mais que duplicou nos últimos cinco anos O custo de TI, proporcionalmente ao resultado, caiu em mais de 30% e com melhor nível de serviço A satisfação do usuário aumentou em mais de 50% de 2000 a 2004 O backlog diminuiu de 40% para 10%

65 Utilização do COBIT- Exemplos
Banco Bradesco Investimento de 1.2 bilhões no projeto “Melhorias TI” nos próximos 6 anos Banco Nossa Caixa Em cerca de dez dias, depois de divulgado as práticas de Governança de TI, as ações da Nossa Caixa valorizaram mais de 4%, superando o Ibovespa, principal índice de preços da bolsa, no mesmo período. O Cobit também tem sido adotado pelas organizações de TI de grandes bancos (Itaú, Bradesco) e de grandes empresas (Grupo Votorantim, Petrobrás, Gerdau, Grupo Abril).

66 Referências IT Governance Global Status Report— Acessado em 09/10/2006. FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferras. Implantando a Governança de TI - da Estratégia à Gestão de Processos e Serviços. Editora Brasport, 2006. WEILL, Peter; ROSS, Jeanne. Governança de Tecnologia da Informação. Editora M. Books, 2005. COBIT 4.0: Control Objectives, Management Guidelines and Maturity Models. Acessado em 09/10/2006.

67 Perguntas ? Governança de TI
"Os computadores são incrivelmente rápidos, precisos e burros; os homens são incrivelmente lentos, imprecisos e brilhantes; juntos, seu poder ultrapassa os limites da imaginação" Albert Einstein Perguntas ? Wamberg Oliveira