Gledson Pompeu Corrêa da Costa

Slides:



Advertisements
Apresentações semelhantes
© 2004 Computer Associates International, Inc. (CA). All trademarks, trade names, services marks and logos referenced herein belong to their respective.
Advertisements

Técnicas e Projeto de Sistemas André Mesquita Rincon Processo de Software Técnico Subsequente – Módulo III.
Técnicas e Projeto de Sistemas
XP x CMMI Programação Radical Prof. Luiz Fernando Melgarejo João de Amorim Junior.
Universidade Federal da Bahia – Centro de Processamento de Dados – Preview Computadores 1 Uma Ferramenta Orientada a Modelos para Geração de Aplicações.
Prof. Dr. Helder Anibal Hermini
Aplicações da informática na administração e assistência
Hermes do Amaral Pacheco
Balanced Scorecard (BSC)
NBR ISO Gestão da Qualidade – Satisfação do Cliente – Diretrizes para o tratamento de reclamações nas organizações.
REQUISITOS DO SGA - ISO REQUISITOS GERAIS
Sistemas de Gestão Integrados (SIGs)
GESTÃO POR PROCESSOS ESTE MATERIAL FOI PREPARADO ESPECIALMENTE PARA NIVELAR O CONHECIMENTO DOS ALUNOS SOBRE PROCESSOS E É PARTE DO CURSO GESTÃO POR.
Planejamento do PROJETO LABGAP IV Conceitos e teorias de Planejamento - Introdução Estruturas dos Planos do Projeto (PMI e Metzger) Plano de Organização.
Governo do Estado do Tocantins Secretaria da Educação e Cultura
SECRETARIA DA EDUCAÇÃO E CULTURA x Fechar Avançar Secretaria da Educação e Cultura Maria Auxiliadora Seabra Rezende Governo do Estado do Tocantins Marcelo.
Implantação do Sistema MRP II
Webcast Gestão da Manutenção Histórico de Aplicações e Manutenções.
Repensando a Avaliação da Aprendizagem
Introdução aos Sistemas de Informação Gerencial Profa. Jiani Cardoso Fundamentos de Sistemas de Informação 02/set/2005.
DITEC/CGSOA/COARI/DIRIS
O Fluxo de Testes © Alexandre Vasconcelos
Gestão Orientada para Resultado
Planejando seu site Objetivos Abordagem Sílvia Dota.
Curso de Engenharia Industrial Madeireira – UFPR Prof. Umberto Klock
FERRAMENTAS DA QUALIDADE
Curso de Engenharia Industrial Madeireira – UFPR Prof. Umberto Klock
"Tudo o que acontece, acontece em algum lugar." Gilberto Câmara - INPE Gilberto Câmara - INPE.
"Tudo o que acontece, acontece em algum lugar."
Arquitetura de Sistemas de Informação
Gledson Pompeu Corrêa da Costa
Tribunal de Contas da União Secretaria de Tecnologia da Informação Missão da SETEC: Melhorar os resultados do TCU por meio da otimização de seus processos.
Gledson Pompeu Corrêa da Costa
TRIBUNAL SUPERIOR DO TRABALHO DIRETORIA-GERAL DE COORDENAÇÃO ADMINISTRATIVA SECRETARIA DE CONTROLE INTERNO O CONTROLE INTERNO NA AVALIAÇÃO DE RESULTADOS.
Programa Reconhe-Ser Portaria-TCU nº 140/2009
Controle de Gastos Públicos
ENCONTRO NACIONAL DE TECONOLOGIA DA INFORMAÇÃO PARA OS MUNICÍPIOS e do SOFTWARE PÚBLICO BRASILEIRO 1º Encontro Banco de Talentos.
Sistema Integrado de Gestão de Serviços de Saneamento GSAN
Segurança da Informação para a Governança de TI
Sistemas de Tutoria Inteligente (STI) Visam proporcionar instrução de forma adaptada a cada aprendiz. STIs adaptam o processo de instrução a determinadas.
01/08/20061 CT-282 Tutores Inteligentes ITA - INSTITUTO TECNOLÓGICO DE AERONÁUTICA.
Segurança de Dados no MAER.
Gerenciamento de Dados Instituto Tecnológico da Aeronáutica – ITA CE-245 Tecnologias da Informação Professor Adilson Marques da Cunha Aluna: Michelle.
Gestão Estratégica de Pessoas para Construção de Resultados.
Organização e Redução de Custos
REALINHAMENTO ESTRATÉGICO E RECOMENDAÇÕES AO ATUAL MODELO DE GESTÃO Conclusão do Projeto Companhia de Desenvolvimento dos Vales do São Francisco e do Parnaíba.
Sistemas de Informação Capítulo 3
III – Uso Infraestrutura – Empresa Digital Escola Politécnica da USP MBA EPUSP em Gestão e Engenharia do Produto EP018 O Produto Internet e suas Aplicações.
III – Uso da Infraestrutura Tecnológica Tecnologias de Informação e Comunicação em Desenvolvimento de Produtos III – Uso da Infraestrutura Tecnológica.
Tema I TEMA DE DISCUSSÃO I Prof. Dr. Marcio Lobo Netto 1 o. Período / 2004 Escola Politécnica da USP MBA EPUSP em Gestão e Engenharia do Produto EP018.
Empreendedorismo DRUCKER ROBBINS
Missão Visão Valores.
ARQUITETURA ESTRATÉGICA CEFETES VALORES COMPARTILHADOS MISSÃO Promover educação profissional e tecnológica de excelência, por meio do ensino, pesquisa.
Conceitos e características dos Projetos
Marketing de Relacionamento
SECRETARIA DE CIDADANIA CULTURAL. ATUALIZAÇÃO DO PROGRAMA CULTURA VIVA JANEIRO/2012.
Administração de Sistemas de Informação
M e d A d m i n. Quem é o público alvo da ideia? Profissionais vinculados à área da saúde, em particular, àqueles responsáveis pela administração de medicamentos,
Região Sul Coordenador: José Cezar Pereira - EPAGRI.
Desempenho A rápida taxa de melhoria na tecnologia de computadores veio em decorrência de dois fatores: avanços na tecnologia utilizada na construção.
UERJ - Agosto 2000© Oscar Luiz Monteiro de Farias1 Bancos de Dados Mestrado em Engenharia de Computação área de concentração Geomática.
VENDAS NO CONTEXTO DE MARKETING
Sistema de Planejamento da Produção
Autenticação em ASP.NET
Plano de Negócios seu guia definitivo www. josedornelas. com. br www
LINGUAGENS DE PROGRAMAÇÃO
Empreendedorismo Prof. Dr. José Dornelas.
SECRECRETARIA DE ESTADO DE PLANEJAMENTO E CORRDENAÇÃO GERAL CAPACITAÇÃO PARA ELABORAÇÃO PTA/LOA Cuiabá, 21 de junho de 2004.
Cobit Governança em TI.
E PMA Consultoria
Transcrição da apresentação:

Gledson Pompeu Corrêa da Costa Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa

Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU Governança de TI Conceitos e boas práticas ITIL Estrutura, conceitos e processos COBIT CMMI, ISO 17799, PMBOK e outros modelos Visão geral Integração e aplicação dos modelos

Histórico e evolução Primeira versão em 1996 Segunda versão em 1998 Information System Control and Audit Foundation (ISACF) Compilação de referências sobre controle e auditoria de TI Segunda versão em 1998 Information System Control and Audit Association (ISACA) Acréscimo e atualização de referências, kit de implantação Terceira versão em 2000 (Cobit 3ª Edição) IT Governance Institute Criação do “Management Guidelines” Quarta versão em 2005 (Cobit 4.0) Consolidação e detalhamento de instrumentos gerenciais Refinamento em 2007 (Cobit 4.1)

Princípios básicos Objetivos de negócios requerem informações Informações devem atender aos critérios de qualidade, segurança e confiabilidade Informações são produzidas por recursos de TI Dados, aplicações, infra-estrutura e pessoas Recursos de TI são gerenciados por processos Definição de responsabilidades e metas Processos devem ser controlados Objetivos de controle, indicadores de desempenho e indicadores de resultados (IT Governance Institute, 2007)

Princípios básicos (IT Governance Institute, 2007)

Características gerais Foco no negócio Alinhamento das metas de TI a metas de negócio Orientado a processos Organização das atividades de TI em um modelo de processos aplicável de forma geral Identificação de responsabilidades pelos processos nas áreas de negócio e TI Baseado em controles Definição dos objetivos de controle a serem considerados pela gerência Dirigido por métricas Uso de indicadores e modelos de maturidade (IT Governance Institute, 2007)

Foco no negócio (IT Governance Institute, 2007)

Critérios da informação - Qualidade Efetividade/Eficácia (Effectiveness) A informação deve ser pertinente e relevante para o processo de negócio A informação deve ser entregue de forma tempestiva, correta, consistente e em formato útil Eficiência A informação deve ser provida por meio do uso otimizado dos recursos (IT Governance Institute, 2007)

Critérios da informação - Segurança Confidencialidade A informação deve ser protegida contra acesso não autorizado Integridade A informação deve ser precisa, completa, e válida de acordo com as expectativas e os valores do negócio Disponibilidade A informação deve estar disponível quando requerido pelo processo de negócio, agora e no futuro Os recursos e capacidades associados à informação devem ser protegidos (IT Governance Institute, 2007)

Critérios da informação - Adequação Conformidade A informação obedece a leis, normas e contratos aos quais o processo de negócio está sujeito, ou seja, aos requisitos impostos ao negócio Confiabilidade A informação deve ser adequada para gerenciar a operação do negócio e para a alta direção exercer sua responsabilidade de geração de relatórios financeiros e de conformidade (IT Governance Institute, 2007)

Quais são os critérios mais importantes para o TCU?

Recursos de TI Aplicações Dados Infra-estrutura Pessoas Sistemas automatizados e procedimentos manuais que processam informações Dados Dados capturados, processados e gerados por sistemas de informação, em qualquer formato usado pelo negócio Infra-estrutura Recursos tecnológicos (hardware, sistemas operacionais, sistemas de banco de dados, redes, etc.) e instalações físicas que suportam o processamento das aplicações Pessoas Equipe necessária para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar sistemas de informação e serviços de TI (IT Governance Institute, 2007)

Orientado a processos (IT Governance Institute, 2007)

Domínios Planejamento & Organização Aquisição & Implementação Trata dos aspectos estratégicos e táticos da organização, e de como a TI pode contribuir para os objetivos de negócios Aquisição & Implementação Relaciona as estratégias com os recursos e soluções de TI, seu desenvolvimento e aquisição Entrega & Suporte Trata da entrega dos serviços requeridos, atentando para os aspectos de segurança, treinamento e suporte Monitoramento & Avaliação Endereça aspectos de monitoramento do desempenho e de avaliação de controles da TI. (IT Governance Institute, 2007)

MONITORAMENTO E AVALIAÇÃO Domínios e processos ME1 monitorar e avaliar o desempenho da TI ME2 monitorar e avaliar os controles internos ME3 assegurar conformidade regulatória ME4 prover governança de TI PO1 definir um plano estratégico de TI PO2 definir a arquitetura de informação PO3 determinar a direção tecnológica PO4 definir processos, organização e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos de TI PO8 gerenciar qualidade PO9 avaliar e gerenciar riscos PO10 gerenciar projetos PLANEJAMENTO E ORGANIZAÇÃO MONITORAMENTO E AVALIAÇÃO AQUISIÇÃO E IMPLEMENTAÇÃO DS1 definir e gerenciar níveis de serviços DS2 gerenciar serviços de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos serviços DS5 garantir segurança dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usuários DS8 gerenciar service desk e incidentes DS9 gerenciar a configuração DS10 gerenciar problemas DS11 gerenciar dados DS12 gerenciar o ambiente físico DS13 gerenciar a operação ENTREGA E SUPORTE AI1 identificar soluções AI2 adquirir e manter aplicações AI3 adquirir e manter infraestrutura tecnológica AI4 viabilizar operação e uso AI5 adquirir recursos de TI AI6 gerenciar mudanças AI7 instalar e certificar sistemas e mudanças (IT Governance Institute, 2007)

Baseado em controles Políticas, procedimentos, práticas e estruturas organizacionais para garantir que Os objetivos de negócio serão alcançados Os eventos indesejáveis serão prevenidos, se possível, ou então detectados e corrigidos Além de controles gerais, aplicáveis a todos os processos, cada processo possui seus próprios objetivos de controle Declarações dos resultados desejados ou do propósito a ser alcançado pela implementação de controles sobre uma atividade (IT Governance Institute, 2007)

Controles gerais de processos PC1 Process Owner Cada processo deve ter um responsável PC2 Repeatability Os processos devem ser executados de forma consistente PC3 Goals and Objectives Os processos devem ter objetivos e metas claras PC4 Roles and Responsibilities A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis específicos PC5 Process Performance Os processos devem ter seu desempenho medido PC6 Policy, Plans and Procedures Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos (IT Governance Institute, 2007)

Controles gerais de aplicação AC1 Source Data Preparation and Authorisation Os documentos de origem devem ser preparados e aprovados segundo o critério de segregação de funções AC2 Source Data Collection and Entry Os dados devem ser almentados de forma tempestiva por pessoas autorizadas, e eventuais correções não devem comprometer os níveis de autorização do sistema AC3 Accuracy, Completeness and Authenticity Checks Todas as transações devem ser precisas, completas e válidas AC4 Processing Integrity and Validity Os dados devem ser mantidos íntegros e válidos durante todo o ciclo de processamento AC5 Output Review, Reconciliation and Error Handling As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, entregues aos destinatários corretos e utilizadas corretamente AC6 Transaction Authentication and Integrity Os dados passados entre aplicações ou áreas da organização devem ser verificados quanto à autenticidade e integridade (IT Governance Institute, 2007)

Responsabilidade pelos controles (IT Governance Institute, 2007)

Como estão nossos controles? Controles de negócio Controles de TI Controles de aplicações

Dirigido por métricas Modelos de maturidade Possibilitam benchmarking e identificação das necessidades de melhoria Metas e indicadores de processos Demonstram como os processos atendem às metas de negócios e de TI, a partir da mensuração de indicadores baseados no BSC Metas de atividades Direcionam o desempenho efetivo dos processos (IT Governance Institute, 2007)

Modelo de maturidade Os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações Esses níveis não estabelecem patamares evolutivos, onde não se pode alcançar um nível superior sem antes passar pelos inferiores A partir dos níveis de maturidade descritos para cada um dos 34 processos, é possível identificar O desempenho real da organização (onde estamos) A situação atual de organizações similares (benchmarking) Os avanços possibilitados pelos padrões e modelos disponíveis no mercado A meta para melhoria do processo da organização (onde queremos estar) (IT Governance Institute, 2007)

Modelo de maturidade (IT Governance Institute, 2007)

Modelo de maturidade Nível 0 – Inexistente Nível 1 – Inicial/Ad-hoc Ausência de processos identificáveis A organização não reconhece que existe uma questão a ser tratada Nível 1 – Inicial/Ad-hoc A organização reconhece que existe uma questão a ser tratada Abordagens improvisadas tendem a ser aplicadas a situações individuais A gerência do processo é desorganizada (IT Governance Institute, 2007)

Modelo de maturidade Nível 2 – Repetível mas intuitivo Os processos se desenvolveram de modo que procedimentos similares são executados por pessoas diferentes que realizam a mesma tarefa Não existe treinamento ou repasse formal de procedimentos, a responsabilidade é deixada a cargo do indivíduo Existe alta dependência do conhecimento individual, o que gera grande probabilidade de falhas Nível 3 – Processo definido Procedimentos padronizados, documentados e comunicados por meio de treinamentos Cabe ao indivíduo seguir esses processos; é pouco provável que desvios sejam detectados Os procedimentos não são sofisticados, mas apenas formalização de práticas existentes (IT Governance Institute, 2007)

Modelo de maturidade Nível 4 – Gerenciado e mensurável É possível monitorar e medir a conformidade de procedimentos, para agir quando os processos não estiverem funcionando de forma eficaz Os processos sofrem melhorias constantes e estabelecem boas práticas Ferramentas automatizadas são usadas de forma limitada ou fragmentada Nível 5 – Otimizado Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos (IT Governance Institute, 2007)

Onde queremos chegar? (IT Governance Institute, 2007)

Metas e indicadores Metas e indicadores são definidos em três níveis Metas e indicadores de TI, que definem o que o negócio espera da TI Metas e indicadores de processos, que definem o que cada processo de TI deve entregar para suportar as metas de TI Metas e indicadores de atividades, que definem o que deve ser realizado no âmbito de cada processo para alcançar o desempenho esperado São definidos dois tipos de indicadores Métricas de resultado (antigo KGI), que indicam se as metas foram alcançadas Indicadores de desempenho (antigo KPI), que indicam se as metas poderão ser alcançadas (IT Governance Institute, 2007)

Metas e indicadores (IT Governance Institute, 2007)

Metas e indicadores (IT Governance Institute, 2007)

Balanced Scorecard para TI Precisamos de um? Estamos prontos para isso? Há os insumos necessários?

Estrutura conceitual básica (IT Governance Institute, 2007)

COBIT e Governança de TI Metas Indicadores Práticas Modelos de maturidade Alinhamento estratégico   Agregação de valor  Gerência de riscos Gerência de recursos Medição de desempenho  = Foco primário  = Foco secundário  = Não se aplica (IT Governance Institute, 2007)

Visão geral do modelo (IT Governance Institute, 2007)

Detalhamento do conteúdo Para cada processo, o COBIT apresenta Objetivos do processo Critérios de informação atendidos Recursos de TI gerenciados Áreas de governança afetadas Metas de TI associadas Metas do processo Metas de atividades Indicadores Objetivos de controle Relação entre processos (entradas e saídas) Matriz RACI (Responsible, Accountable, Consulted, Informed) Metas e indicadores Modelo de maturidade

Utilização do conteúdo As entradas indicam o que o dono do processo deve requerer dos outros processos Os objetivos de controle descrevem o que o dono do processo precisa garantir que seja feito A matriz RACI define o que deve ser delegado pelo dono do processo e para quem As saídas indicam quais produtos o dono do processo deve entregar e para quais processos As metas e indicadores mostram como o processo deve ser monitorado e avaliado O modelo de maturidade mostra o que pode ser feito para melhorar o processo

Planejamento e Organização Definir um plano estratégico de TI Exemplo do conteúdo Planejamento e Organização Definir um plano estratégico de TI

Domínios e processos (IT Governance Institute, 2007)

Planejamento e organização PO1 Definir um plano estratégico de TI PO2 Definir a arquitetura de informação PO3 Determinar a direção tecnológica PO4 Definir processos, organização e relacionamentos PO5 Gerenciar o investimento em TI PO6 Comunicar metas e diretivas gerenciais PO7 Gerenciar recursos humanos de TI PO8 Gerenciar qualidade PO9 Avaliar e gerenciar riscos PO10 Gerenciar projetos (IT Governance Institute, 2007)

Aquisição e implementação AI1 Identificar soluções AI2 Adquirir e manter aplicações AI3 Adquirir e manter infraestrutura tecnológica AI4 Viabilizar operação e uso AI5 Adquirir recursos de TI AI6 Gerenciar mudanças AI7 Instalar e certificar sistemas e mudanças (IT Governance Institute, 2007)

Entrega e suporte DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços de terceiros DS3 Gerenciar performance e capacidade DS4 Garantir continuidade dos serviços DS5 Garantir segurança dos sistemas DS6 Identificar e alocar custos DS7 Educar e treinar usuários DS8 Gerenciar service desk e incidentes DS9 Gerenciar a configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar a operação (IT Governance Institute, 2007)

Monitoramento e avaliação ME1 Monitorar e avaliar o desempenho da TI ME2 Monitorar e avaliar os controles internos ME3 Assegurar conformidade regulatória ME4 Prover governança de TI (IT Governance Institute, 2007)

Cobit x Sarbanes-Oxley

Cobit x Sarbanes-Oxley

Cobit x Sarbanes-Oxley AI2 Adquirir e manter aplicações AI3 Adquirir e manter infraestrutura tecnológica AI4 Viabilizar operação e uso AI6 Gerenciar mudanças AI7 Instalar e certificar sistemas e mudanças DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços de terceiros DS5 Garantir segurança dos sistemas DS8 Gerenciar service desk e incidentes DS9 Gerenciar a configuração DS10 Gerenciar problemas DS11 Gerenciar dados DS12 Gerenciar o ambiente físico DS13 Gerenciar a operação (IT Governance Institute, 2006)

Quais processos são mais importantes para o TCU?

Gledson Pompeu Corrêa da Costa Governança de Tecnologia da Informação: conceitos, modelos e sua aplicação no TCU Gledson Pompeu Corrêa da Costa

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.