Governana de TI: O que

COBIT ?

Agenda

Governana de TI
Metodologia COBIT
Relacionamento do COBIT com os
modelos de melhores prticas
Governana de TI em 2006
Estudo de Caso
Referncias

Governana de TI

De acordo com o IT Governance

Institute (2005)
A governana de TI de responsabilidade
de alta administrao (incluindo diretores
e executivos), na liderana, nas estruturas
organizacionais e nos processos que
garantem que a TI da empresa sustente e
estenda as estratgias e objetivos da
organizao.

Governana de TI

Fatores motivadores da Governana de TI

Integrao
Tecnolgica

Ambiente de
Negcios

Marcos de
Regulao

Governana
de TI

Dependncia do
Negcio em
Relao TI

Segurana da
Informao

Governana de TI

Framework para Gerenciamento de TI

A Governana de TI, quando implementada de forma

integrada:

Permite que a empresa gerencie de forma eficiente seus

investimentos em recursos tecnolgicos e suas informaes
transformando-as em maximizao de benefcios,
oportunidades de negcio e vantagem competitiva no
mercado.

A estrutura do COBIT- Control Objectives for

Information and Related Technology foi idealizada
de forma a atender s necessidades de controle da
organizao relacionadas Governana de TI.

Histrico do COBIT

O COBIT foi criado em 1994 pela ISASFC (

Information Systems Audit and Control Foundation,
ligado ISACA).
Em 1998, foi publicada a sua 2 edio, contendo
uma reviso nos objetivos de controle de alto nvel
e detalhados, e mais um conjunto de ferramentas
e padres para implementao.
A 3 edio foi publicada em 2000 pelo IT
Governance Institute ( ITGI).

Histrico do COBIT

O modelo evoluiu novamente em 2005 para

a verso 4.0, atravs de prticas e padres
mais maduros.
O COBIT est em conformidade com as
regulamentaes, do foco mais acentuado na
governana de TI, nos nveis mais elevados e
da ampliao da sua abrangncia para um
pblico mais heterogneo (gestores,
tcnicos, especialistas e auditores de TI).
COBIT 4.1 -2007

Pblico Alvo do COBIT

Gesto Executiva

Gesto de Negcios

Gesto de TI

Auditores

Objetivo do COBIT

Contribuir para o sucesso da entrega de produtos e

servios de TI, a partir da perspectiva das necessidades
do negcio, com um foco mais acentuado no controle
que na execuo.
Focos da Governana de TI, na viso do COBIT

Estrutura do COBIT

Consiste de um conjunto de 210 Controles,

organizados em 34 Processos que so
agrupados em 4 Domnios, aplicveis aos
sistemas e TI.
Principais Caractersticas

Foco nos requisitos do negcio

Orientao para uma abordagem de processos
Utilizao de mecanismos de controles
Direcionamento para a anlises das medies e
indicadores de desempenho obtidos ao longo do
tempo

Estrutura do COBIT

Foco no Negcio
Recursos de TI
Aplicaes, Informao, Infra-estrutura
e Pessoas
Critrios de Controle
Eficincia,Eficcia, Confidencialidade,
Integridade, Disponibilidade,
Conformidade com regulaes(
Compliance) e Confiabilidade.

Estrutura do COBIT

Controle atravs de objetivos

Os objetivos de controle do COBIT procuram atestar

como cada processo faz uso dos recursos de TI para
atender de forma primria ou secundria cada
requerimento do negcio em termos de informao,
cobrindo todos os seus aspectos:

Primrio (P) Indica o nvel no qual o objetivo de controle

definido tem impacto direto no critrio de informao.
Secundrio (S) Indica o nvel no qual o objetivo de controle
definido apenas satisfaz o critrio de informao, podendo ser
em pouca extenso ou inclusive indiretamente.
No Preenchimento Poderia ser aplicvel, todavia outro
critrio de avaliao mais adequado a este processo.

Estrutura do COBIT

Controle atravs de objetivos

Objetivos de Controle
PO9 Avaliar e Gerenciar os Riscos de TI
atingido mediante
Garantindo que o gerenciamento de risco est totalmente embutido no processo de
gerenciamento, internamente e externamente, e consistentemente aplicado;
Avaliao da performance dos riscos;
Recomendao e comunicao dos planos de ao para correo dos riscos.
e medido por
Percentual de objetivos crticos de TI cobertos pela avaliao de riscos;
Percentual de riscos de TI crticos identificados com planos de ao desenvolvidos;
Percentual de plano de ao de gerenciamento de riscos aprovados para implementao.

COBIT- Componentes Inter-relacionados

Negcio
requisitos

informao
Processos
de TI
Objetivos de
Controle

Metas das
Atividades

KPI

KGI

Modelos de
Maturidade

Diretrizes
para
Auditoria

Prticas de
Controle

Estrutura do COBIT

Modelos de Maturidade

Nvel 0 (Inexistente): Processos de gesto no so

aplicados;
Nvel 1 (Inicial): Processos so espordicos e
desorganizados;
Nvel 2 (Repetitivo): Processos seguem um padro de
regularidade;
Nvel 3 (Definido): Processos so documentados e
comunicados;
Nvel 4 (Gerenciado): Processos so monitorados e
medidos;
Nvel 5 (Otimizado): Boas prticas so seguidas e
otimizadas.

Estrutura do COBIT

Metas e medies de desempenho

Indicadores-Chave de Metas (KGIs)

Definem as medies que informam gerncia

se um processo de TI atingiu os objetivos de
negcio;

Indicadores-Chave de Desempenho (KPIs)

Definem as medies que informam gerncia

o quanto os processos de TI esto sendo bem
executados no sentido de viabilizar o
atendimento dos objetivos de negcio.

Estrutura do COBIT

Fatores Crticos de Sucesso

Define as questes ou aes mais

importantes para obter o controle sobre os
processos de TI, estrategicamente,
tecnicamente e em termos organizacionais
ou procedurais.

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

Modelo de Maturidade: Controle sobre o processo de TI

de Avaliar e Gerenciar Riscos de TI com o objetivo de
negcio de suportar decises da administrao atravs do
atingimento dos objetivos de TI e fazer frente s ameaas
mediante a reduo da complexidade, o aumento da
objetividade e a identificao de importantes fatores de
deciso.
0 Inexistente A avaliao de risco para processos e
decises de negcio no ocorre. A organizao no
considera os impactos do negcio associados com as
vulnerabilidades da segurana e com as incertezas do
projeto do desenvolvimento. A gerncia de risco no foi
identificada como relevante para adquirir solues de TI
e entrega de servios de TI.

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

1 Inicial A organizao est ciente de suas

responsabilidades e obrigaes legais e
contratuais, mas considera os riscos de TI de
uma maneira ad hoc, sem seguir processos ou
polticas definidas. As avaliaes informais do
projeto de risco ocorrem como determinado por
cada projeto. As avaliaes
de risco
provavelmente
no
so
identificadas
especificamente dentro de um projeto planejado
ou so atribudas aos gerentes especficos
envolvidos no projeto.......

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

2 Repetvel mas Intuitivo H

emergente compreendimento que riscos
de TI so importantes e necessrios
serem considerados. Alguma abordagem
avaliao de risco existe, mas o processo
ainda imaturo e em desenvolvimento. A
avaliao est geralmente em um altonvel e tipicamente aplicada somente
aos projetos principais.....

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

3 Processo Definido Uma ampla poltica

de gesto de risco na organizao define
quando e como conduzir as avaliaes de
risco. A avaliao de risco segue um
processo definido que est documentado e
disponvel a toda a equipe de funcionrios
treinada. As decises para seguir o processo
e para receber o treinamento so deixadas
discrio do indivduo.....

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

4 Gerenciado e Medido A avaliao do risco

um procedimento padro e as excees para seguir
o procedimento esto sendo observadas pela
gerncia de TI. provvel que a gesto de risco de
TI uma funo definida da gerncia com nvel de
responsabilidade snior. O processo avanado e o
risco avaliado no nvel do projeto individual e
tambm regularmente no que diz respeito a
operao de TI por toda a parte......

Diretrizes de Gerenciamento
PO9 Avaliar e Gerenciar os Riscos de TI

5 Otimizado A avaliao de risco foi

desenvolvida ao estgio onde um amplo
processo estruturado na organizao
reforado, seguido regularmente e bem
controlado. O brainstorming e a anlise de
causas de risco, envolvendo os indivduos
peritos, so aplicados atravs da organizao
inteira. A captura, a anlise e relato de dados
da gesto de risco so altamente
automatizados......

Estrutura do Cubo COBIT

Recursos de TI so gerenciados por Processos de TI,
para atingir Metas de TI, que por sua vez esto
estreitamente ligadas aos Requisitos de Negcio.

Aplicaes
Informao
Infra-estrutura
Pessoas

Processos de Ti KGI

Requisitos de Negcio

KPI

Implementando COBIT

Documentao
Mapeamento dos processos de negcio
Definio de polticas
Identificao dos objetivos de controle
Definio de diretrizes
Implementao
Divulgao
Conscientizao
Gesto dos processos
Benchmarks das prticas de controle de TI
(Modelo de Maturidade CMM)
Fatores Crticos de Sucesso
Indicadores de Objetivos
Indicadores de Performance

Aplicabilidade do COBIT

Avaliao dos processos de TI

Auditoria dos riscos operacionais de TI
Implementao modular da Governana
de TI
Realizao de benchmarking
Qualificao de fornecedores de TI

Relacionamento dos Modelos de

Melhores Prticas

Nas duas ltimas dcadas vem surgindo e

sendo elaborada uma srie de modelos de
melhores prticas de TI
Alguns desses modelos so originais e
outros so derivados e/ou evoludos de
outros modelos
Exemplos:

CMMI, ITIL, BS 7799, ISO/IEC 27001, eSCMSP, PMBOK, BSC, SAS-70

Estudo de Caso
Estudo de Caso:
Accor Services Brasil

Perfil da Empresa

Accor Services- Grupo mundial de

Hotelaria, Turismo e Servios com
volume de negcios de R$ 7,0 bilhes em
2004.
No Brasil, o Grupo Accor atua fortemente
no ramo de hotelaria e servios
diversificados, como os hotis Sofitel,
Mercury, bis, Formule 1 e Parthenon
Flats, e alinha de servios representada
pelos produtos Ticket restaurante, Ticket
alimentao

Histrico de TI

At 1999, a rea de TI apresentava a seguinte

situao:

Cada aplicao focava um nico produto

Os sistemas eram heterogneos e no estavam
totalmente integrados
A arquitetura de TI no atendia crescente
necessidade de flexibilidade
Altos custos de manuteno dos sistemas
Infra-estrutura no estava totalmente alinhada com as
necessidades do negcio
Baixo valor agregado que TI fornecia ao negcio

Reformulao de TI

De 2000 a 2004, efetuada a implementao do

ERP e CRM
A rea de Infraestrutura de TI foi transferida para
IBM em um contrato de full outsourcing e a parte
de telecomunicaes com a Embratel
As arquiteturas de TI passaram para a WEB, ao
contrrio do cliente/servidor
Foi criada uma rea de Segurana da Informao
Em 2003, foi elaborado e implementado o BSC da
rea de TI
A partir de 2004, aes voltadas para Governana
de Ti comearam a ser pensadas e implantadas

O Programa de Governana de Ti

O programa de desenvolveu em dois momentos.

Em 2004, o primeiro momento consistiu nas
seguintes aes:
Reorganizao da gesto operacional de
outsourcing
Implantao do Escritrio de Projetos vinculado a
diretoria de TI
Implantao de ferramentas para a gesto de
demandas e projetos
Desenvolvimento da metodologia de gesto e de
desenvolvimento de sistemas e processos

O Programa de Governana de Ti

O segundo momento aconteceu em 2005,

com aes tais como:

Criao de um modelo de governana

Gesto do Portfolio de Projetos pelo Escritrio
de Projetos
Forte capacitao dos recursos humanos em
planejamento de projetos e em tecnologia

O Programa de Governana de Ti

Como a Governana de TI evoluiu ao

longo do tempo, novas aes esto sendo
planejadas para 2006:

Administrar a TI como se fosse uma empresa

Implantar processos alinhados com a ITIL
Mudar a forma de comunicao com o negcio

Resultados alcanados at o momento

O volume de negcio mais que duplicou

nos ltimos cinco anos
O custo de TI, proporcionalmente ao
resultado, caiu em mais de 30% e com
melhor nvel de servio
A satisfao do usurio aumentou em
mais de 50% de 2000 a 2004
O backlog diminuiu de 40% para 10%

Utilizao do COBIT- Exemplos

Banco Bradesco

Banco Nossa Caixa

Investimento de 1.2 bilhes no projeto Melhorias TI

nos prximos 6 anos
Em cerca de dez dias, depois de divulgado as prticas
de Governana de TI, as aes da Nossa Caixa
valorizaram mais de 4%, superando o Ibovespa,
principal ndice de preos da bolsa, no mesmo perodo.

O Cobit tambm tem sido adotado pelas

organizaes de TI de grandes bancos (Ita,
Bradesco) e de grandes empresas (Grupo
Votorantim, Petrobrs, Gerdau, Grupo Abril).