A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

É um guia para a gestão de TI publicado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org), em 1996. Foi desenvolvido com.

Apresentações semelhantes


Apresentação em tema: "É um guia para a gestão de TI publicado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org), em 1996. Foi desenvolvido com."— Transcrição da apresentação:

1

2

3 É um guia para a gestão de TI publicado pelo ISACF (Information Systems Audit and Control Foundation, em Foi desenvolvido com base no consenso de especialistas de todo o mundo no que concerne às melhores práticas e metodologias, tais como códigos de conduta, critérios de qualificação para os sistemas e processos de TI, padrões profissionais para controle interno e auditoria, práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia, tais como os setores financeiro e de telecomunicações. Inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados. COBIT

4 O COBIT independe das plataformas de TI adotadas nas empresas. O grande diferencial é sua orientação para negócios, o que vem atender às seguintes demandas: Administração e gerência, visando equilibrar os riscos e os investimentos em controles no ambiente dinâmico de TI Administração e gerência, visando equilibrar os riscos e os investimentos em controles no ambiente dinâmico de TI Usuários, que dependem dos serviços de TI e seus respectivos controles e mecanismos de segurança para realizar suas atividades Usuários, que dependem dos serviços de TI e seus respectivos controles e mecanismos de segurança para realizar suas atividades Auditores, que podem utilizá-lo para validar suas opiniões ou para recomendar melhorias dos controles internos à administração. Auditores, que podem utilizá-lo para validar suas opiniões ou para recomendar melhorias dos controles internos à administração. COBIT

5 PlanejamentoPlanejamentoPlanejamento Aquisição & ImplementaçãoAquisição & ImplementaçãoAquisição & ImplementaçãoAquisição & Implementação Entrega & SuporteEntrega & SuporteEntrega & SuporteEntrega & Suporte MonitoraçãoMonitoraçãoMonitoração EficáciaEficáciaEficácia EficiênciaEficiênciaEficiência DisponibilidadeDisponibilidadeDisponibilidade IntegridadeIntegridadeIntegridade ConfidencialidadeConfidencialidadeConfidencialidade ConfiançaConfiançaConfiança ConformidadeConformidadeConformidade Divide TI em 34 processos pertencentes a quatro domínios e fornece um objetivo de controle de alto nível para cada um deles;Divide TI em 34 processos pertencentes a quatro domínios e fornece um objetivo de controle de alto nível para cada um deles;Divide TI em 34 processos pertencentes a quatro domínios e fornece um objetivo de controle de alto nível para cada um deles;Divide TI em 34 processos pertencentes a quatro domínios e fornece um objetivo de controle de alto nível para cada um deles; Analisa as necessidades de qualidade e segurança da empresa, fornecendo 7 critérios que podem ser utilizados para definir genericamente o que o negócio requer de TI;Analisa as necessidades de qualidade e segurança da empresa, fornecendo 7 critérios que podem ser utilizados para definir genericamente o que o negócio requer de TI;Analisa as necessidades de qualidade e segurança da empresa, fornecendo 7 critérios que podem ser utilizados para definir genericamente o que o negócio requer de TI;Analisa as necessidades de qualidade e segurança da empresa, fornecendo 7 critérios que podem ser utilizados para definir genericamente o que o negócio requer de TI; Conjunto de 318 objetivos de controle.Conjunto de 318 objetivos de controle.Conjunto de 318 objetivos de controle.Conjunto de 318 objetivos de controle. COBIT

6 Governança de TI Objetivos do Negócio Objetivos do Negócio DadosDadosDados AplicativosAplicativosAplicativos TecnologiaTecnologiaTecnologia InstalaçõesInstalaçõesInstalações PessoasPessoasPessoas EficáciaEficáciaEficácia EficiênciaEficiênciaEficiência DisponibilidadeDisponibilidadeDisponibilidade IntegridadeIntegridadeIntegridade ConfidencialidadeConfidencialidadeConfidencialidade ConfiançaConfiançaConfiança ConformidadeConformidadeConformidade Informação 4. Monitoramento 1.Planejamento e organização 2. Aquisição e Implementação 3. Entrega e Suporte Recursos de TI Governança de TI

7 Cada domínio cobre um conjunto de 34 processos para garantir a completa gestão de TI: Planejamento e Organização 1.Define o plano estratégico de TI 2.Define a arquitetura da informação 3.Determina a direção tecnológica 4.Define a organização de TI e seus relacionamentos 5.Gerencia os investimentos de TI 6.Gerencia a comunicação das direções de TI 7.Gerencia os recursos humanos 8.Assegura o alinhamento de TI com os requerimentos externos 9.Avalia os riscos 10.Gerencia os projetos 11.Gerencia a qualidade COBIT

8 Aquisição e Implementação 1.Identifica as soluções de automação 2.Adquire e mantém os softwares 3.Adquire e mantém a infra-estrutura tecnológica 4.Desenvolve e mantém os procedimentos 5.Instala e certifica softwares 6.Gerencia as mudanças COBIT

9 Entrega e suporte 1.Define e mantém os acordos de níveis de serviços (SLA) 2.Gerencia os serviços de terceiros 3.Gerencia a performance e capacidade do ambiente 4.Assegura a continuidade dos serviços 5.Assegura a segurança dos serviços 6.Identifica e aloca custos 7.Treina os usuários 8.Assiste e aconselha os usuários 9.Gerencia a configuração 10.Gerencia os problemas e incidentes 11.Gerencia os dados 12.Gerencia a infra-estrutura 13.Gerencia as operações COBIT

10 Monitoração 1.Monitora os processos 2.Analisa a adequação dos controles internos 3.Provê auditorias independentes 4.Provê segurança independente COBIT

11 Modelos de Maturidade: São usados para definir o perfil da empresa em relação aos controles adotados para os processos de TI e fornecem um método de nivelação para cada um dos 34 processos de TI, de forma que a organização possa se enquadrar em um ranking de inicial a otimizado (1 a 5). Desta forma, a alta administração tem acesso às seguintes informações: Onde a organização está Onde a organização está A situação atual dos melhores do mercado A situação atual dos melhores do mercado Permite visualizar onde a organização quer estar Permite visualizar onde a organização quer estar COBIT

12 Inexistente 0 Inicial 1 Repetitivo 2 Definido 3 Gerenciado 4 Otimizado 5 Legenda de Símbolos Situação atual Padrão Internacional Melhor prática da Indústria Estratégia da empresa Níveis de Maturidade 0 – O gerenciamento de processos não é aplicado 1 – Processo sob demanda, não organizado 2 – Os processos seguem um padrão regular 3 – Os processos são documentados e comunicados 4 – Os processos são monitorados e medidos 5 – As melhores práticas são seguidas e automatizadas COBIT

13 E A C G F B D H Processos de TI Ações e Questões mais importantes Fatores Críticos de Sucesso Fatores Críticos de Sucesso Controle Gerencial

14 Disponibilidade Informação necessária para suportar o negócio Definem medidas que informam a Gerência, depois do fato ocorrido, se um processo de TI atendeu os requerimentos de negócios. Redução de riscos de integridade e confidencialidade Custo-eficiência de processos e operações Validação da Confiabilidade, Integridade e Conformidade Geralmente expressos em termos dos seguintes Critérios de Informação: Indicadores Chaves de Metas

15 Termômetro para acompanhamento se os processos estão sendo realizados visando atingir a meta definida. Indicadores Chaves de Desempenho

16 Auxílio na avaliação dos controles internos Garantia quanto à segurança e controles adotados nos serviços de TI Esclarece como cada atividade de controle satisfaz os critérios de informação: Eficiência Eficácia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade Gestão dos processos e investimentos em TI Redução do custo total dos serviços de TI Garantia quanto à segurança e controles adotados nos serviços de TI Aplicável a qualquer segmento de negócio NA AUDITORIANA ÁREA DE TI COBIT

17 Benefícios do COBIT: Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As recomendações de gerenciamento do COBIT com orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. Os guide lines de gerenciamento do COBIT focam na gerência por desempenho usando os princípios do Balanced Scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização. COBIT

18 Modelo de Gestão da Tecnologia da Informação na Empresa principais benefícios Quais os principais benefícios que esse modelo oferece ? Melhoria de qualidade, funcionalidade e facilidade no uso dos recursos de TI; Melhoria de qualidade, funcionalidade e facilidade no uso dos recursos de TI; Definição de critérios de qualidade para sistemas e processos de TI; Definição de critérios de qualidade para sistemas e processos de TI; Definição de padrões profissionais para controle interno e auditoria; Definição de padrões profissionais para controle interno e auditoria; Conformidade com práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia (ex: setores financeiro e de telecomunicações). Conformidade com práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia (ex: setores financeiro e de telecomunicações). Alinhamento de requisitos de negócios com recursos de TI; Alinhamento de requisitos de negócios com recursos de TI;

19 Visão geral da forma de implementar Modelo Gestão de TI fundamentado no COBIT identificação e mapeamento dos processos atuais de gestão de TI; identificação e mapeamento dos processos atuais de gestão de TI; avaliação dos processos que não agregam valor ou estão em desacordo com a orientação estratégica da Instituição; avaliação dos processos que não agregam valor ou estão em desacordo com a orientação estratégica da Instituição; análise do gap ( estágio atual da Instituição X objetivos propostos ); análise do gap ( estágio atual da Instituição X objetivos propostos ); desenvolvimento de plano de ação para eliminação do gap; desenvolvimento de plano de ação para eliminação do gap; racionalização e otimização dos processos visando a redução de custos; racionalização e otimização dos processos visando a redução de custos; implementação das condições de gerenciamento dos processos; implementação das condições de gerenciamento dos processos; definição e implementação dos indicadores de performance; definição e implementação dos indicadores de performance; avaliação de maturidade dos processos; avaliação de maturidade dos processos; estabelecimento dos indicadores de objetivo; estabelecimento dos indicadores de objetivo; capacitação de consultores internos para dar autonomia à Instituição quanto à gestão de processos. capacitação de consultores internos para dar autonomia à Instituição quanto à gestão de processos.

20 Visão Gerencial da Aplicação da Metodologia COBIT na Auditoria de Tecnologia da Informação do UNIBANCO Heros A. Biondillo Suptde. Auditoria UNIBANCO Setembro/2000

21 Objetivos Não vamos falar de aspectos técnicos do COBIT Abordar a visão gerencial do uso do COBIT: Alguns aspectos práticos Pontos positivos e negativos Dificuldades, necessidades Impactos, resultados

22 Auditoria de Tecnologia/Sistemas Realidade atual: Dificuldades de manutenção e atualização Grande avanço das tecnologias Forte exigência com investimento limitado Carência de profissionais

23 Exigências da Organização Crescentes investimentos em Tecnologia Menores investimentos em áreas de apoio Forte preocupação com Segurança da Informação e Fraudes Certo distanciamento de assuntos técnicos

24 Exigências da Organização Paradoxo (desafio !): requer uma referência metodológica (melhores práticas de mercado) desconhece qualquer referência, causando reação adversa ao desconhecido

25 Fatos que ajudaram Resolução BACEN Controles Internos As Auditorias passaram a se utilizar das informações geradas, possibilitando melhor entendimento e interação Reconhecimento nas federações de bancos e órgãos reguladores: questionários FEBRABAN e FELABAN inspeções do BACEN

26 Alguns Aspectos Práticos Grande apoio no desenvolvimento e implementação do Plano de Auditoria, com o mapeamento dos ambientes de informática baseado nos domínios, processos e atividades sugeridos pelo COBIT Necessidade de aproximação com as áreas de negócios para desenvolver o Plano Recomendação: se possível, iniciar a implementação do COBIT juntamente com uma mudança.

27 Pontos Fortes Melhores práticas Plano de Auditoria Aproximação com os negócios Guias de Auditoria Planejamento e organização Produtividade Inspeções de órgãos reguladores (BACEN)

28 Pontos Fracos, Dificuldades e Necessidades Falta de atualização constante Desenvolvimento de ferramentas de produtividade Falta de divulgação Falta de apoio técnico Algum grau de complexidade Treinamento e Tradução

29 Impactos/Resultados Mudança na forma de atuação Hábitos dos Auditores Domínio dos cenários Melhor controle da programação, cronogramas e do consumo de horas

30 Impactos/Resultados Subsídio para um posicionamento pró-ativo na atuação da auditoria na implementação de novas tecnologias Visão crítica dos auditores quanto ao momento da organização e na distinção entre riscos de negócio e riscos de tecnologia

31 Dúvidas? COBIT


Carregar ppt "É um guia para a gestão de TI publicado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org), em 1996. Foi desenvolvido com."

Apresentações semelhantes


Anúncios Google