manual completo Cobit 4.1
-
Upload
rafael-gunes -
Category
Documents
-
view
83 -
download
1
description
Transcript of manual completo Cobit 4.1
www.portalgsti.com.brPor Fernando Palma
Módulo 1 – Apresentação do Curso
Neste módulo, você irá conhecer todo o conteúdo do curso e recursos quais terá acesso.
Obs.: COBIT® é uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e marcas registradas podem ser mencionados no decorrer destes slides, tais marcas são utilizadas apenas com finalidade de ensino, em benefício exclusivo do dono da marca, sem intenção de infringir suas regras de utilização.
www.portalgsti.com.brPor Fernando Palma
Agenda
Objetivos
Estrutura
Conteúdo
www.portalgsti.com.brPor Fernando Palma
Estrutura do curso
O curso tem o objetivo de habilitar o aluno as seguintes tópicos
Conhecimento do Framework do COBIT e Governança de TI
Preparação para a certificação
COBIT Foundation
Utilização do COBIT na prática
www.portalgsti.com.brPor Fernando Palma
Agenda
Objetivos
Estrutura
Conteúdo
www.portalgsti.com.brPor Fernando Palma
Estrutura do curso
Este curso é composto de:
1. Material Didático - Slides
2. Exercícios de Simulado
3. Exercícios Práticos
4. Exemplos reais
www.portalgsti.com.brPor Fernando Palma
Agenda
Objetivos
Estrutura
Conteúdo
www.portalgsti.com.brPor Fernando Palma
Módulo 1 – Apresentação do Curso
Módulo 2 - Introdução a Governança de TI
Módulo 3 - O que é o COBIT, conceitos básicos e estrutura
Módulo 4 - Introdução aos processos do COBIT
Módulo 5 - Principais processos - Parte 1
Módulo 6 - Principais processos – Parte 2
Módulo 7- BSC e COBIT (utilizando o Balanced scorecards para
priorizar processos do COBIT)
Módulo 8 - Produtos da ITGI que suportam o framework do COBIT
Obs.: é recomendável que o aluno conheça conceitos de processos e pelo menos
um modelo de gestão como o ITIL e PMBOK
www.portalgsti.com.brPor Fernando Palma
Agenda
Objetivos
Estrutura
Conteúdo
www.portalgsti.com.brPor Fernando Palma
Módulo 2 – Introdução a Governança de TI
Neste módulo você irá conhecer a origem e motivação da Governança de TI, seus objetivos, conceitos e relação com a Governança Coorporativa.
Será também abordada a importância que a Tecnologia tem par as organizações e os desafios vividos por este setor / prestador de serviços
www.portalgsti.com.brPor Fernando Palma
Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT
www.portalgsti.com.brPor Fernando Palma
Provedor de
Tecnologia
Maturidade de TI
Provedor de
Serviços
Parceiro Estratégico
Tempo
GIETI
GSTI
Governança TI
GIETI: Gerenciamento de Infra-estrutura TIGSTI: Gerenciamento de Serviços de TI
Provedor de Tecnologia
.Busca Eficiência
.Independente do Negocio
.TI nível operacional
Provedor de serviços. Pessoas, processos e produtos. TI tática
Parceiro Estratégico
.Busca crescimento doNegócio
.TI é integrada ao negócio
.TI Estratégica 14
A Importância do Setor de TI
www.portalgsti.com.brPor Fernando Palma
A importância do setor de TI nas empresasO que o setor de TI representa para a empresa?
Re: depende da visão e necessidade que a empresa tem sob TI
TI TI
TI
TI
TI
TI
Provedor de Tecnologia Provedor de Serviços Parceiro Estratégico
Área de atuação de TI dentro da empresa
www.portalgsti.com.brPor Fernando Palma
A importância do setor de TI nas empresasAlinhamento entre TI e área de Negócio
Provedor de Tecnologia
Provedor de Serviços
Parceiro Estratégico
TI Negócio
TI Negócio
NegócioTI
www.portalgsti.com.brPor Fernando Palma
Provedor de Tecnologia •TI é vista apenas como uma sustentação da operação da Empresa•O setor é visto como um custo•Orçamentos são produzidos em comparação com o mercado•Gerentes são técnicos e têm visão interna
Provedor de Serviços
•TI é vista como um serviço prestado•Os processos de TI devem responder a processos de negócio•Busca eficiência dos processos, através de cumprimento de metas•Orçamentos são baseados nas metas estabelecidas para o setor
Parceiro Estratégico
•TI é vista como oportunidade de crescimento•O setor é visto como investimento•Busca crescimento do negócio e orçamentos são baseados e seus objetivos•Diretores de TI ou CIO´s são solucionadores de problemas do negócio
A importância do setor de TI nas empresas
www.portalgsti.com.brPor Fernando Palma
Alguns possíveis impactos da ineficiência de TI
Perda de Oportunidades de Crescimento
Perda de Credibilidade
Multas contratuais
Perda de Lucros
Fim da empresa
A importância do setor de TI nas empresas
www.portalgsti.com.brPor Fernando Palma
Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT
www.portalgsti.com.brPor Fernando Palma
Os desafios da TI
Alinhar os objetivos de TI aos objetivos de Negócio
Entregar valorDemonstrar o Retorno de Investimento (ROI)
Diminuir Custos
Gerenciar Segurança da Informação
www.portalgsti.com.brPor Fernando Palma
Os desafios da TI
Gerenciar a complexidade da Infra Estrutura de TI
Entregar projetos dentro do custo, tempo e qualidade
Gerenciar fornecedores externos
Manter a disponibilidade dos serviços
Estar em conformidade com regulamentos
www.portalgsti.com.brPor Fernando Palma
Os desafios da TIPara conviver com estes desafios o setor de TI precisa:
Definir metas alinhadas com as metas de negócio
Priorizar recursos e projetos de TI
Dirigir e controlar processos para alcançar metas
Definir papéis e responsabilidades
Manter conhecimento técnico e de boas práticas de gestãoGO
VERN
ANÇA
DE
TI
www.portalgsti.com.brPor Fernando Palma
Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT
www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Consiste de liderança, estruturas organizacionais e processos que garantam que a organização de TI suporte e amplie as estratégias e objetivos da empresa
A Governança de TI é de responsabilidade da alta administração da empresa
Faz parte da Governança Empresarial, que por sua vez subdivide-se em Governança de Negócios e Governança Coorporativa
A Governança de TI deve estar alinhada tanto a Governança de Negócios (metas de performance) quanto a Governança Coorporativa (requisitos obrigatórios e geração de valor)
www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Tipos de Governança
Governança Empresarial
Governança Coorporativa
Governança de Negócios
Governança de TI
www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Tipos de GovernançaGovernança de Negócios•Visa cumprir as metas de performance do negócio da empresa•Preocupa-se com Geração de Valor•Busca crescimento da empresa
Governança Coorporativa
•Visa o cumprimento de requisitos obrigatórios•Preocupa-se com a conformidade em relação a legislação e regulamentos internos e externos•Cobre papéis, estrutura e responsabilidades da diretoria e dos executivos
Governança de TI
•Preocupa-se em atender todos os objetivos empresariais•Preocupa-se com conformidade e performance•É parte da Governança Empresarial, mas pode ser também mencionada como parteDa Governança Coorporativa
Tipos de Governança
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Multas contratuais é um dos possíveis impactos que pode ser resultante de uma má eficiência do setor de TI
2. ( ) Entregar valor e reduzir custos são dois entre os maiores desafios vividos por TI
3. ( ) A Governança de TI é parte da Governança Coorporativa
4. ( ) A Governança de TI é parte da Governança Empresarial
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Multas contratuais é um dos possíveis impactos que pode ser resultante de uma má eficiência do setor de TI
2. ( V ) Entregar valor e reduzir custos são dois entre os maiores desafios vividos por TI
3. ( V ) A Governança de TI é parte da Governança Coorporativa
4. ( V ) A Governança de TI é parte da Governança Empresarial
www.portalgsti.com.brPor Fernando Palma
Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT
www.portalgsti.com.brPor Fernando Palma
Motivação
Meados de 2001, ocorreram escândalos coorporativos:
Enron – maior empresa de energia dos EUA no ramo energético;
• Série de denuncias fraudes fiscais, ocasionando no fechamento da empresa com dívida de 13 bilhões;
• Muitas empresas e investidores faliram junto;
Worldcom – 20 mil demitidos• A empresa declarou como investimento o que era na
realidade uma despesa, distorcendo os ganhos financeiros da empresa para atrair investidores;
www.portalgsti.com.brPor Fernando Palma
Motivação
O senador americano Paul Sarbanes e o deputado Michael Oxley decretam decretaram o ato Sarbanes-Oxley (2002);
A lei se aplica a qualquer empresa americana de capital aberto (ações negociadas na bolsa de valores);
A lei responsabiliza criminalmente os Executivos das empresas;
Obriga as empresas a exercer controles financeiros e portanto aplicar uma estrutura de Governança Coorporativa;
O framework recomendado para cumprir os requisitos, através de uma governança coorporativa é o COSO
Sarbanes-Oxley
www.portalgsti.com.brPor Fernando Palma
Motivação
Para manter os controles efetivos sob a informação financeira a organização precisa garantir requisitos da informação, tais como:
EficáciaEficiênciaIntegridadeDisponibilidadeConfiabilidade
Sarbanes-Oxley Governança de TI
Não é possível manter os requisitos da informação sem exercer controles sob a tecnologia da informação : sistemas, infra-estrutura, bancos de dados ;
www.portalgsti.com.brPor Fernando Palma
Agenda
A importância do Setor de TI
Os Desafios da TI
O que é Governança de TI
Motivação
Governança de TI e COBIT
www.portalgsti.com.brPor Fernando Palma
COSO
BSC
O que é Governança de TIModelos e frameworks utilizados
Governança Coorporativa
Governança de Negócios
Governança de TI
www.portalgsti.com.brPor Fernando Palma
O que é Governança de TI
Princípios da Governança de TI (Segundo o framework do COBIT)
Direção
Controle
Responsabilidade
Prestação de contas
Alinhamento das atividades de TI
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Consiste em alinhar os objetivos de TI aos objetivos de Negócio;
Para tanto, é preciso que o Plano Estratégico de TI seja baseado no Plano Estratégico de Negócio;
Foco em soluções que contribuam para o crescimento da empresa ou cumprimento de requisitos;
Pode ser utilizado o BSC para desdobrar a estratégia da organização;
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Foca na otimização de custos para fornecer maior valor;
Busca a compreensão dos níveis de serviço necessários para entregar valor a área de negócio;
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Requer Conscientização dos gestores da empresa e compreensão clara do apetite para riscos;
Foco nos planos de recuperação para manter continuidade do negócio;
Exige transparência, avaliação e conscientização contínua;
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Foca na otimização da alocação de recursos;
Maximização da eficiência dos recursos;
Inclui preocupações com treinamentos;
Engloba ainda controle de serviços terceirizados;
www.portalgsti.com.brPor Fernando Palma
Áreas de foco da Governança de TIÁreas de foco da Governança de TI, segundo o COBIT:
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Gerenciamentode recursos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Acompanha e monitora a implantação da estratégia, condução dos projetos, uso dos recursos e desempenho dos processos;
Pode ser utilizado um BSC de TI para definir e acompanhar metas;
Inclui realização de auditorias;
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) A direção é um dos princípios da Governança de TI
2. ( ) Os domínios da Governança de TI são:
Alinhamento Estratégico Entrega de Valor Gerenciamento de Riscos Gerenciamento de Recursos Monitoramento de Desempenho
3. ( ) Um dos focos do domínio de Gerenciamento de Recursos é planejar a recuperação dos serviços de TI para manter a continuidade do negócio;
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( V ) A direção é um dos princípios da Governança de TI
2. ( V ) Os domínios da Governança de TI são:
Alinhamento Estratégico Entrega de Valor Gerenciamento de Riscos Gerenciamento de Recursos Monitoramento de Desempenho
3. ( F ) Um dos focos do domínio de Gerenciamento de Recursos é planejar a recuperação dos serviços de TI para manter a continuidade do negócio; Esta preocupação faz parte do domínio de gerenciamento de riscos
Por Fernando Palma www.portalgsti.com.br
Curso COBIT 4.1 Foundation
Instrutor: Fernando [email protected]
Módulo 3
www.portalgsti.com.brPor Fernando Palma
Módulo 3 – Introdução ao COBIT
Neste módulo, você irá conhecer a definição do COBIT, seus benefícios, a estrutura do COBIT e suas características
www.portalgsti.com.brPor Fernando Palma
Agenda
O que é COBIT
Características
Estrutura
www.portalgsti.com.brPor Fernando Palma
O que é COBIT
COBIT Significa Control Objectives for Information and Related Tecnology
Traduzindo: Objetivos de Controle para a Informação e Tecnologia Relacionada
É baseado em práticas utilizadas por organizações que foram reunidas e desenvolvidas em um framework baseado em controles, pela ITGI (antes ISACA)
ITGI: IT Governance Institute
ISACA: Information Systems Audit and Control Association
www.portalgsti.com.brPor Fernando Palma
O que é COBIT
Pode ser baixado gratuitamente pelo site da ISACA : www.isaca.org
Adotado mundialmente
Inicialmente era um modelo voltado para auditoria, hoje é considerado um framework de Governança de TI
O COBIT pode ser utilizado para alinhar os objetivos de negócio (obtidos através de planejamento estratégico) aos objetivos de TI
Fornece apoio a Governança de TI, Gerenciamento de projetos de TI e de Serviços de TI
Pode ser utilizado para qualquer empresa, qualquer tamanho
www.portalgsti.com.brPor Fernando Palma
O que NÃO é o COBIT
Não é uma norma
Não é considerado um modelo de auditoria
www.portalgsti.com.brPor Fernando Palma
O que é COBIT
“Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI
atualizado e internacionalmentereconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios,
profissionais de TI e profissionaisde avaliação."
Missão do COBIT (ITGI)
www.portalgsti.com.brPor Fernando Palma
O que é COBIT
Benefícios
É aceito por órgãos reguladoresÉ compatível com outros modelos e frameworks de qualidade
e governança de TI e coorporativaFacilita auditorias internas e externasPode ser utilizado como passo inicial para a aplicação de
projetos de governança de TIBaseado em praticas vividas, experimentadas e documentadas
por especialistas
www.portalgsti.com.brPor Fernando Palma
Agenda
O que é COBIT
Características
Estrutura
www.portalgsti.com.brPor Fernando Palma
Características
Principais Características do COBIT:
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
www.portalgsti.com.brPor Fernando Palma
Características
O COBIT deve ser utilizado “de fora para dentro”, ou seja, da área de Negócio para a área de TI;
Deve ser baseado em objetivos de Negócio da empresa
Os Objetivos de negócio incluem: requisitos obrigatórios e requisitos de negócio (regulamentos e performance)
Os processos buscam traduzir os objetivos de processo em objetivos de TI
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
www.portalgsti.com.brPor Fernando Palma
Características
O COBIT divide os objetivos de controle em 34 processos;
Os processos estão distribuídos em 04 domínios
Os domínios são: 1. Organização e Planejamento2. Aquisição e Implementação3. Entrega e Suporte4. Monitoração e Avaliação
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
www.portalgsti.com.brPor Fernando Palma
Características
Para cada processo de TI, existem objetivos de controle definidos
São ao todo 210 objetivos de controle
Cada objetivo de controle contém, ainda, práticas de controle para auxiliar sua utilização
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
www.portalgsti.com.brPor Fernando Palma
Características
Sugere um conjunto de indicadores que permitem medir o desempenho das atividades
São Indicadores de Performance e Indicadores e Meta (eficiência e eficácia)
Focado no Negócio
Orientado a Processos
Baseado em Controles
Orientado por Métricas
www.portalgsti.com.brPor Fernando Palma
CMMI
Características
Foco do COBIT
O COBIT foca em “O que precisa ser alcançado” em vez de “Como alcançar”. Para complementar o COBIT, existem outros padrões de
gestão e boas práticas que podem ser utilizados.
ISO 20.000
ITILBS
25999
PMBOK
ISO 9001
PRINCE2
COBITO QUÊ?
COMO?ISO
27002
www.portalgsti.com.brPor Fernando Palma
Características
Framework de Controle
O COBIT suporta os 05 requisitos que um framework de controle deve ter
Focado no Negócio
Orientado a Processos
Linguagem em comum
Requisitos Regulatórios
Aceitabilidade Geral
www.portalgsti.com.brPor Fernando Palma
Características
Foi projetado para ser utilizado porGestores Executivos:
para garantia de cumprimento de requisitos, gestão de risco e controle
da performance de TIGestores de Negócio
e Usuários:para obterem transparência e certificarem dos controles fornecidos pelo setor de TI
Gestores de TI:para demonstrar que os
serviços de TI atendem as expectativas de Negócio
Auditores de TI:para contribuir com
modelos de auditoria e subsidiar opiniões
www.portalgsti.com.brPor Fernando Palma
Características
Premissa do COBIT
COBIT é baseado na premissa de que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo
de negócio com o fim de atingir-se os objetivos do negócio
Recursos de TI
Processos de TI Processos de Negócio
Informação
Metas
Gerenciadospor
Fornecem
Para
Para atingir
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O COBIT deve ser utilizado apenas por grandes empresas, que precisam atender a regulamentos financeiros
2. ( ) A sigla COBIT significa Objetivos de Controle para a Informação e Tecnologia Relacionada
3. ( ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI
5. ( ) O COBIT pode fornecer apoio a Governança de TI
6. ( ) São três as principais características do COBIT
• Focado em negócio• Orientado a Processos• Baseado em controles
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
7. ( ) Cada objetivo de controle dentro dos processos do COBIT contém práticas de controle específicas
8. ( ) Um dos benefícios do COBIT é que ele pode ser implementado rapidamente
9. ( ) O modelo do CMMI não é compatível com o COBIT
10. ( ) As boas práticas de gerenciamento de projetos do PMBOK são compatíveis com o framework do COBIT, pois podem agir de forma complementar
11. ( ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis interessados no framework do COBIT
12. ( ) A premissa do COBIT é que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo de negócio com o fim de atingir-se os objetivos do negócio
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( F ) O COBIT deve ser utilizado apenas por grandes empresas, que precisam atender a regulamentos financeiros Pode ser utilizado pro qualquer empresa, qualquer tamanho. Os objetivos de controle não são projetados para atender apenas a regulamentos, mas também objetivos de performance de negócio.
2. ( V ) A sigla COBIT significa Objetivos de Controle para a Informação e Tecnologia Relacionada
3. ( V ) O COBIT pode fornecer apoio a gestão de projetos de TI
4. ( V ) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI
5. ( V ) O COBIT pode fornecer apoio a Governança de TI
• Baseado em controles
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) São três as principais características do COBIT
• Focado em negócio• Orientado a processos• Baseado em controles
São quatro principais características. Faltou : orientado por métricas
7. ( V ) Cada objetivo de controle dentro dos processos do COBIT contém práticas de controle específicas
8. ( F ) Um dos benefícios do COBIT é que ele pode ser implementado rapidamente Nada garante uma rápida implementação
9. ( F ) O modelo do CMMI não é compatível com o COBIT O COBIT é compatível com a maior parte dos padrões de mercado e pode funcionar como um complemento, fornecendo pontos de controle e diretrizes
www.portalgsti.com.brPor Fernando Palma
10. ( V ) As boas práticas de Gerenciamento de projetos do PMBOK são compatíveis com o framework do COBIT, pois podem agir de forma complementar
11. ( V ) Chefes Executivos e Gerentes de TI são dois exemplos de possíveis interessados no framework do COBIT
12. ( V )A premissa do COBIT é que Recursos de TI precisam ser gerenciados por um conjunto de processos de TI que fornecem informação para os processo de negócio com o fim de atingir-se os objetivos do negócio
Verdadeiro ou Falso? - Respostas
www.portalgsti.com.brPor Fernando Palma
Agenda
O que é COBIT
Características
Estrutura
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Proc
esso
s de
TI
Recu
rsos
de
TIEficácia
Eficiência
Confidencialidade
Integridade
Disponibilid
ade
Conformidade
Confiabilidade
Domínios
Processos
Atividades
Aplic
açõe
sIn
form
ação
Infr
aest
rutu
ra
Pess
oas
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Proc
esso
s de
TI
Recu
rsos
de
TIEficácia
Eficiência
Confidencialidade
Integridade
Disponibilid
ade
Conformidade
Confiabilidade
Domínios
Processos
Atividades
Aplic
açõe
sIn
form
ação
Infr
aest
rutu
ra
Pess
oas
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI
Planejar e Organizar
É o domínio onde deve ser desenvolvido o Plano Estratégico de TI, alinhado ao Plano Estratégico de Negócio
Garante que toda a organização conheça as metas estratégicas
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Planejar e Organizar
PO1 Definir um Plano Estratégico de TIP02 Definir a Arquitetura da InformaçãoPO3 Determinar o Direcionamento TecnológicoPO4 Definir os Processos, Organização e osRelacionamentos de TIPO5 Gerenciar o Investimento de TIPO6 Comunicar as Diretrizes e Expectativas da DiretoriaPO7 Gerenciar os Recursos Humanos de TIPO8 Gerenciar a QualidadePO9 Avaliar e Gerenciar os Riscos de TIPO10 Gerenciar Projetos
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que tem o foco no desenvolvimento ou aquisição da solução
Adquirir e Implementar
Garante que mudanças necessárias em sistemas serão tratadas
Cobre também a validação das soluções implantadas e modificações
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Adquirir e Implementar
AI1 Identificar Solução AutomatizadasAI2 Adquirir e Manter Software AplicativoAI3 Adquirir e Manter Infraestrutura de TecnologiaAI4 Habilitar Operação e UsoAI5 Adquirir Recursos de TIAI6 Gerenciar MudançasAI7 Instalar e Homologar Soluções e Mudanças
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que mantém foco na operação, comunicação e funcionamento dos serviços
Entregar e Suportar
Deve garantir que os serviços de TI estão alinhados ao negócio conforme planejado e desenvolvido nos domínios anteriores
Deve trabalhar de forma a otimizar custos, treinar equipe e manter a estabilidade e qualidade dos serviços
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Entregar e Suportar
DS1 Definir e Gerenciar Níveis de ServiçosDS2 Gerenciar Serviços de TerceirosDS3 Gerenciar Capacidade e DesempenhoDS4 Assegurar Continuidade de ServiçosDS5 Assegurar a Segurança dos ServiçosDS6 Identificar e Alocar CustosDS7 Educar e Treinar os UsuáriosDS8 Gerenciar a Central de Serviço e os IncidentesDS9 Gerenciar a ConfiguraçãoDS10 Gerenciar os ProblemasDS11 Gerenciar os DadosDS12 Gerenciar o Ambiente FísicoDS13 Gerenciar as Operações
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os Processos de TI
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
Os quatro Domínios do
COBIT
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
É o domínio que mantém foco na avaliação constante dos processos de TI
Monitorar e Avaliar
Este domínio endereça o gerenciamento de desempenho e Governança de TI
Responsável por monitorar os controles internos
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Processos:Monitorar e Avaliar
ME1 Monitorar e Avaliar o DesempenhoME2 Monitorar e Avaliar os Controles InternosME3 Assegurar a Conformidade com Requisitos ExternosME4 Prover a Governança de TI
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Proc
esso
s de
TI
Recu
rsos
de
TI
Eficácia
Eficiência
Confidencialidade
Integridade
Disponibilid
ade
Conformidade
Confiabilidade
Domínios
Processos
Atividades
Aplic
açõe
sIn
form
ação
Infr
aest
rutu
ra
Pess
oas
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os recursos de TI precisam ser gerenciados por processos para gerar informação aos processos de negócio que buscam atingir aos objetivos
Aplicativos•Sistemas de Informação para processar as informações
Informações
•Dados que são processados por todos os sistemas de informação
Infraestrutura
•Toda estrutura de tecnologia necessária, tal como hardware, SO, estrutura de rede
Pessoas•Recursos Humanos necessários para Planejar, Desenvolver, Entregar e Avaliar os serviços
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Os componentes chave da estrutura do COBIT
Critérios da Informação
Proc
esso
s de
TI
Recu
rsos
de
TI
Eficácia
Eficiência
Confidencialidade
Integridade
Disponibilid
ade
Conformidade
Confiabilidade
Domínios
Processos
Atividades
Aplic
açõe
sIn
form
ação
Infr
aest
rutu
ra
Pess
oas
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos do Negócio para a informação
• Qualidade (relacionado a SLA)• Entrega (relacionado a tempo)• Custo
Requisitos da Qualidade
• Eficácia e Eficiência operacional• Confiabilidade da Informação • Cumprimento de regulamentos
Requisitos Fiduciários
• Confidencialidade • Integridade• Disponibilidade
Requisitos de Segurança
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Critérios da Informação do COBIT para atender ao negócio
• Eficácia• Eficiência
Requisitos da Qualidade
• Conformidade• Confiabilidade
Requisitos Fiduciários
• Confidencialidade• Integridade• Disponibilidade
Requisitos de Segurança
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos de Qualidade
• Eficácia está relacionado com atingir ao objetivo.
• Informação eficaz é aquela que é entregue de um modo correto, consistente e útil
Eficácia
• Capacidade de atingir o objetivo com a melhor performance possível
• Pode estar relacionado com menor tempo ou custo e esforço (recursos)
Eficiência
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos Fiduciários
• Disponibilizar informações que comprovem o cumprimento dos regulamentos
Conformidade
• Informação confiável é a informação livre de falhas
• Informação apropriadaConfiabilidade
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Requisitos de Segurança
• Informação disponível apenas a quem tem direito
Confidencialidade
• Exatidão da informaçãoIntegridade
•Capacidade da informação de estar disponível no momento que requisitada
Disponibilidade
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Os principais componentes do COBIT são:
• Processos de TI• Recursos de TI• Critérios da Informação
2. ( ) Os processos de TI estão subdivididos em cinco domínios
3. ( ) O domínio Adquirir e Implementar é o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI
4. ( ) Gerenciar serviços de Terceiros é um processo pertencente ao Domínio Entregar e Suportar
5. ( ) Segundo o framework do COBIT, os requisitos da Informação de TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) Os requisitos da Qualidade, segundo o framework do COBIT são: Eficiência e Efetividade
7. ( ) Os requisitos de Segurança, segundo o framweork do COBIT são: Confidencialidade, Integridade e Confiabilidade
8. ( ) Conformidade é um requisito Fiduciário, segundo o framework do COBIT
9. ( ) Aplicações, Informação, Infraestrutura e documentos, são os recursos de TI definidos pelo modelo do COBIT
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Os principais componentes do COBIT são:
• Processos de TI• Recursos de TI• Critérios da Informação
2. ( F ) Os processos de TI estão subdivididos em cinco domínios Quatro Domínios
3. ( F ) O domínio Adquirir e Implementar é o domínio que tem o foco em relacionar os objetivos do negócio aos objetivos de TI Este é o foco do domínio Planejar e Organizar
4. ( V ) Gerenciar serviços de Terceiros é um processo pertencente ao Domínio Entregar e Suportar
5. ( V ) Segundo o framework do COBIT, os requisitos da Informação de TI subdividem-se em Requisitos da Qualidade, Segurança e Fiduciários
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) Os requisitos da Qualidade, segundo o framework do COBIT são: Eficiência e Efetividade Eficácia e Eficiência
7. ( F ) Os requisitos de Segurança, segundo o framweork do COBIT são: Confidencialidade, Integridade e Confiabilidade Confidencialidade, Integridade e Disponibilidade (lembrar da sigla CID). Confiabilidade é um requisito fiduciário
8. ( V ) Conformidade é um requisito Fiduciário, segundo o framework do COBIT
9. ( F ) Aplicações, Informação, Infraestrutura e Documentos, são os recursos de TI definidos pelo modelo do COBIT Todos os itens estão corretos, exceto “documentos”. O elemento de recursos de TI que está faltando é “Pessoas”
www.portalgsti.com.brPor Fernando Palma
Módulo 4 – Introdução aos Processos COBIT
Neste módulo, você irá conhecer estrutura dos processos do COBIT, suas subdivisões; irá conhecer características dos processos como requisitos genéricos e níveis de maturidade; irá entender cada um dos processos do COBIT através de uma breve descrição de cada um deles
www.portalgsti.com.brPor Fernando Palma
Agenda
Organização dos Processos do COBIT
Características e escopo
Descrição dos Processos
www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
Estruturação dos processos do COBIT
4 Domínios
34 Processos de TI
210 Objetivos de Controle
Mais de 1.500 Práticas de Controle
03 a 15 por Processo de TI
03 a 10 por Objetivo de controle
www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
4 Domínios
São os domínios vistos do módulo anterior
1. Planejar e Organizar2. Adquirir e Implementar3. Entregar e Suportar 4. Monitorar e Avaliar
www.portalgsti.com.brPor Fernando Palma
Processos do COBIT
34 Processos de TI
O COBIT não irá definir a estruturação do processo em si, mas o que deve ser controlado, medido e alcançado
Nomenclaturas: PO1, PO2, PO3, PO4...
www.portalgsti.com.brPor Fernando Palma
210 Objetivos de Controle
Cada processo de TI possui, no mínimo, 3 objetivos de controle
Os objetivos de controle podem ser utilizados para avaliar o nível de maturidade do processo de TI
Nomenclaturas: PO1.1, PO2.4, PO3.1, PO4.3...
Processos do COBIT
www.portalgsti.com.brPor Fernando Palma
Mais de 1.500 Práticas de Controle
As práticas auxiliam a alcançar os objetivos de controle
As práticas de controle não fazem parte do framework publico co COBIT
Pode ser adquirida pelo site da ISACA
Processos do COBIT
www.portalgsti.com.brPor Fernando Palma
Agenda
Organização dos Processos do COBIT
Características e escopo
Descrição dos Processos
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Requisitos de Controle Genéricos
Cada processo do COBIT possui requisitos de controle genéricos identificados por PC(n), que indica o número de controle do processo. Eles devem ser considerados junto com os objetivos de controle dos processos para que se tenha uma visão completa dos requisitos de controle
PC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Define e comunica as metas e objetivos específicos
Objetivos devem ser: específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado (SMARRT)
Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Designa um proprietário para cada processo de TI
Define os papéis e responsabilidades de cada proprietário de processo
Inclui, por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelosresultados finais, medidas da performance do processo e a identificação de oportunidades de melhorias.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados
Fornece uma seqüência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências
Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Define as atividades-chaves e as entregas do processo.
Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chave e sua documentação bem como a responsabilização pelo processo e suas entregas
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI para garantir que eles são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento.
Designa responsabilidades para cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente
Assegura que as políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos ProcessosPC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos
Estabelece metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos
Definem como os dados são obtidos
Compara as medições reais com as metas e toma medidas quanto aos desvios quando necessário
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Nível de Maturidade dos Processos
O COBIT demonstra como os níveis de Maturidade podem ser mensurados para cada processo. O objetivo é conhecer a situação atual e utilizar o framework para estabelecer e chegar à situação pretendida.
Nível 0 Inexistent
e
Nível 1 Inicial
Nível 2 Repetível
Nível 3 Definido
Nível 4 Gerencia
do
Nível 5 Otimizad
o
Modelo de Maturidade Genérico dos Processos
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Modelo de Maturidade Genérico dos Processos
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.
Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.
Os processos evoluíram para um estágio onde procedimentos similares são seguidos. Não existe um treinamento formal ou comunicação dos procedimentos padronizados e a responsabilidade é deixada com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Nível de Maturidade dos Processos
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejam seguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes.
A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada.
Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organização rápida em adaptar-se.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Matriz RACI – Matriz de Responsabilidades
É uma ferramenta utilizada pelo COBIT, assim como em outros modelos, para definir as responsabilidades. Para cada processo dentro do framework do COBIT, existem sugestões de responsabilidades a serem atribuídas.
• Responsible: quem faz (Responsável por executar, o executor)
• Accontable: responde pela atividade (dono), é a Autoridade, o Responsabilizado
• Consulted: deve ser consultado
• Informed: deve ser Informado
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Matriz RACI – Matriz de Responsabilidades (Exemplo)
Gerente do Projeto
Analista de Sistema
Analista de Testes
Gerente de Configuração
Planejamento A/R I I I
Análise de Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versionamento A/I I/C - R
Monitoração e Controle
A/R I - -
Processo de Desenvolvimento de Sistemas
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Controle
As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o framework mapeia o nível em que o processo atende a cada um dos requisitos.
PrimárioImpacta diretamente no requisito da informação a qual se refere
SecundárioImpacta indiretamente ou parcialmente no critério de informação a qual se refere
Em branco
Pode ser aplicável, entretanto os requisitos são mais satisfeitos por outra medida de controle ou mesmo por outro processo
Requisito
P Eficácia
P Eficiência
S Confidencialidade
Integridade
S Disponibilidade
Conformidade
Confiabilidade
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Controle (Exemplo)
Requisito
P Eficácia
S Eficiência
Confidencialidade
S Integridade
S Disponibilidade
Conformidade
Confiabilidade
AI7 Instalar e Homologar Soluções e Mudanças
DescriçãoNovos sistemas precisam ser colocados em operação uma vez concluído seu desenvolvimento. É necessária a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação.
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Metas e Métricas (diretrizes de gerenciamento)
O COBIT utiliza dois tipos de métricas: Medidas de Resultado (na versão anterior, conhecida como KGI) e Indicadores de Performance (na versão anterior, conhecido como KPI).
Medidas de Resultado (OM)
Indicam se os objetivos foram atingidos. Esses podem ser medidos somente após os fatos e portanto são chamados de indicadores históricos (lag indicators).
Indicadores de Performance
(PI)
Indicam se os objetivos serão possivelmente atingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators).
OM = Outcame Masures PI= Performance Indicators
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Medidas de Resultado e Indicadores (Exemplo)
Medidas de Resultado
Indicadores de Performance
Número de projetos que foram entregues dentro do cronograma Quantidade de incidentes ocorridos no período de um mês Quantidade de falhas de segurança detectadas em um determinado sistema no ultimo semestre
Número de projetos que estão dentro do cronograma Tempo decorrido de um determinado incidente até o momento (antes de ser encerrado) Quantidade de erros encontrado durante uma homologação que ainda está ocorrendo
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
Níveis das Metas e Métricas (03 níveis)
Metas e métricas de TI
Metas e métricas de Processos
Metas e métricas de atividades
Metas de Negócio • O que o negócio espera de TI
• As metas dos processos para que TI atinja os resultados
• O que as atividades precisam entregar para suportar metas do processo
www.portalgsti.com.brPor Fernando Palma
Características e Escopo dos Processos
RESUMO – características e escopo
PC1 Metas e Objetivos do
Processo
PC2 Propriedades do Processo
PC3 Repetibilidade
do Processo
PC 4 Papéis e Responsabilida
des
PC 5 Políticas Planos e
Procedimentos
PC6 Melhoria do Processo de Performance
Requisitos de Controle Genéricos
Nível 0
Inexistente
Nível 1
Inicial
Nível 2
Repetível
Nível 3
Definido
Nível 4
Gerenciado
Nível 5
Otimizado
Nível de Maturidade
Gerente do Projeto
Analista de Sistema
Analista de Testes
Gerente de Configuraç
ão
Planejamento
A/R I I I
Análise de Requisitos
A/I/C R I -
Codificação A/I I/C - -
Testes A/I/C I/C R
Implantação A I/C I I/C
Versionamento
A/I I/C - R
Monitoração e Controle
A/R I - -
Matriz RACI
Primário Impacta diretamente no requisito da informação a qual se refere
Secundário Impacta indiretamente ou parcialmente no critério de informação a qual se refere
Em brancoPode ser aplicável, entretanto os requisitos são mais satisfeitos por outra medida de controle ou mesmo por outro processo
Nível de Medidas de controle
Indicadores de Performance (PI)
Medidas de Resultado (OM)
Indicam se os objetivos foram atingidos.Esses podem ser medidos somente após os fatos e portanto são chamados de indicadores históricos (lag indicators).
Indicam se os objetivos serão possivelmenteatingidos. Eles são medidos antes que os resultados sejam claros e portanto são chamados de indicadores futuros (lead indicators).
Metas e Métricas
Metas e métricas
de TI
Metas e métricas
de Processo
s
Metas e métricas
de atividade
s
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Os processos do COBIT estão divididos em 04 domínios
2. ( ) Os domínios dos processos do COBIT são:• Planejar e Organizar• Adquirir e Implementar
• Entregar e Monitorar• Suportar e Avaliar
3. ( ) As práticas de controle estão subdivididas em, no mínimo, três objetivos de controle
4. ( ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5 Políticas Planos e Procedimentos”
5. ( ) O requisito genérico PC2 Propriedades do Processo trata sobre atribuição das responsabilidades do dono do processo.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) As medidas de controle para TI satisfazem todos os requisitos da informação no mesmo grau.
7. ( ) O COBIT estabelece 05 níveis de maturidade para avaliar os
processos, descrevendo as características de cada nível
8. ( ) A descrição ao lado corresponde ao nível 3 de maturidade : “Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado.”
9. ( ) A descrição ao lado pertence ao nível 4 de maturidade: “Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. “
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
10. ( ) A descrição ao lado corresponde ao nível 0 de Maturidade: “Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.”
11. ( ) No modelo RACI, o “R” (responsável) é quem Será responsabilizado pela atividade, é quem responde por ela.
12. ( ) Quando uma medida de controle de um processo impacta em nível secundário um requisito da informação, significa que ele impacta indiretamente ou parcialmente no critério de informação a qual se refere.
13. ( ) Medidas de resultado indicam objetivos a serem atingidos.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Os processos do COBIT estão divididos em 04 domínios
2. ( F ) Os domínios dos processos do COBIT são:• Planejar e Organizar• Adquirir e Implementar
• Entregar e Monitorar e Suportar• Suportar e Avaliar Monitorar e
3. ( F ) As práticas de controle estão subdivididas em, no mínimo, três objetivos de controle Os processos estão subdivididos em , no mínimo, três objetivos de controle. Um objetivo de controle possui práticas de controle que auxiliam sua implementação.
4. ( V ) Um dos requisitos genéricos dos processos do COBIT é o “PC 5 Políticas Planos e Procedimentos”
5. ( V ) O requisito genérico PC2 Propriedades do Processo trata sobre atribuição das responsabilidades do dono do processo
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) As medidas de controle para TI satisfazem todos os requisitos da informação no mesmo grau. As medidas de controle para TI não satisfazem todos os requisitos no mesmo grau. O COBIT define três níveis de satisfação : Primário, Secundário e em branco. Para cada processo, o framework mapeia o nível em que o processo atende a cada um dos requisitos.
7. ( F ) O COBIT estabelece 05 níveis de maturidade para avaliar os processos, descrevendo as características de cada nível. São 06 níveis de maturidade: do nível zero ao nível cinco.
8. ( F ) A descrição ao lado corresponde ao nível 3 de maturidade : “Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado.” Essa descrição corresponde ao nível 1
9. ( F ) A descrição ao lado pertence ao nível 4 de maturidade: “Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. “ Essa descrição corresponde ao nível 5
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
10. ( V ) A descrição ao lado corresponde ao nível 0 de Maturidade: “Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada.”
11. ( F ) No modelo RACI, o “R” (responsável) é quem Será responsabilizado pela atividade, é quem responde por ela. “R” corresponde a “Responsible”: quem faz (Responsável por executar, o executor). O responsabilizado é o “A” ,“Accontable “ , quem responde pela atividade ou processo.
12. ( V ) Quando uma medida de controle de um processo impacta em nível secundário um requisito da informação, significa que ele impacta indiretamente ou parcialmente no critério de informação a qual se refere.
13. ( V ) Medidas de resultado indicam objetivos a serem atingidos.
www.portalgsti.com.brPor Fernando Palma
Agenda
Organização dos Processos do COBIT
Características e escopo
Descrição dos Processos
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 ao PO10
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO1 Definir um Plano Estratégico de TI
O planejamento estratégico de TI é necessário para gerenciar todos os recursos de TI em alinhamento com as prioridades e estratégias de negócio. A função de TI e as partes interessadas pelo negócio são responsáveis por garantir a otimização do valor a ser obtido do portfólio de projetos e serviços. O plano estratégico deve melhorar o entendimento das partes interessadas no que diz respeito a oportunidades e limitações da TI, avaliar o desempenho atual e esclarecer o nível de investimento requerido. A estratégia e as prioridades de negócio devem ser refletidas nos portfólios e executadas por meio de planos táticos de TI que estabeleçam objetivos concisos, tarefas e planos bem definidos e aceitos por ambos, negócio e TI.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO2 Definir a Arequitetura da Informação
Os sistemas de informação devem criar e atualizar regularmente um modelo de informação do negócio e definir os sistemas apropriados para otimizar o uso dessa informação. Isso abrange o desenvolvimento de um dicionário de dados corporativo com as regras de sintaxe de dados, o esquema de classificação de dados e os níveis de segurança da organização. Esse processo melhora a qualidade de decisão do gerenciamento certificando-se de que informações seguras e confiáveis sejam fornecidas e permite racionalizar os recursos de sistemas de informação para atender às estratégias de negócio de forma apropriada. Esse processo de TI também é necessário para permitir um maior grau de responsabilização pela integridade e a segurança dos dados e melhorar a efetividade e o controle do compartilhamento da informação através das aplicações e entidades.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO3 Determinar as Diretrizes da Tecnologia
Os responsáveis pelos serviços de informação determinam um direcionamento tecnológico que suporta o negócio. Isso demanda a criação de um plano de infraestrutura tecnológica e um conselho de arquitetura que estabeleça e gerencie expectativas claras e realistas do que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano é atualizado regularmentee abrange aspectos como arquitetura de sistemas, direcionamento tecnológico, plano de aquisições, padrões, estratégias de migração e contingência. Isso permite respostas rápidas a mudanças em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas de informação, bem como melhor interoperabilidade entre plataformas e aplicações.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO4 Definir os Processos, Organização e Relacionamentos de TI
Uma organização de TI é definida considerando os requisitos de pessoal, habilidades, funções, autoridade, papéis e responsabilidades, rastreabilidade e supervisão. Essa organização deve fazer parte de uma estrutura de processos de TI que assegure transparência e controle, assim como o envolvimento de executivos sênior e a Direção do negócio. Um comitê estratégico deve assegurar a supervisão da Direção de TI, e um ou mais comitês dos quais as áreas de negócio e TI participem devem definir a priorização dos recursos de TI em linha com as necessidades do negócio. Os processos, as políticas administrativas e os procedimentos precisam estar estabelecidos para todas as funções, com especial atenção às de controle, garantia da qualidade, gestão de risco, segurança da informação, propriedade de sistemas e dados e segregação de funções. Para assegurar o rápido atendimento das exigências do negócio, a TI deve ser envolvida nos processos de decisão relevantes.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO5 Gerenciar o Investimento de TI
Estabelecer e manter uma estrutura para gerenciar os programas de investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento. As partes interessadas são consultadas para identificar e controlar os custos totais e os benefícios dentro dos contextos estratégicos e táticos da TI e iniciar ações de correção quando necessário. O processo promove a parceria entre a TI e as partes interessadas do negócio, permite o uso eficaz e eficiente dos recursos de TI, provê transparência, atribui responsabilidade pelo custo total de propriedade (TCO, Total Cost of Ownership), realização dos benefícios do negócio e do retorno sobre os investimentos em TI.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO6 Comunicar Metas e Diretrizes Gerenciais
A Direção deve desenvolver uma estrutura de controle de TI corporativo e definir e comunicar políticas. Um programa de comunicação contínuo aprovado e apoiado pela Direção deve ser implementado para articular missão, metas, políticas, procedimentos etc. A comunicação apóia o alcance dos objetivos de TI e assegura a consciência e o entendimento dos negócios, dos riscos de TI, dos objetivos e das diretrizes. O processo deve assegurar conformidade com leis e regulamentos relevantes.
Importante conhecer a descrição Importante conhecer todo o processo
PO7 Gerenciar Recursos Humanos
Adquirir, manter e motivar uma força de trabalho competente para criar e entregar serviços de TI para o negócio. Isso é alcançado seguindo práticas definidas e acordadas de recrutamento, treinamento, avaliação de desempenho, promoção e desligamento. Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentesda motivação e da competência dessas pessoas.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO8 Gerenciar a Qualidade
Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua padrões e processos comprovados de desenvolvimento e aquisição. Isso é feito através de planejamento, implementação e manutenção de um sistema de gestão de qualidade que gere requisitos, procedimentos e políticas de qualidade claros. Requisitos de qualidade devem ser definidos e comunicados em indicadores quantificáveis e atingíveis. A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados às partes interessadas. A gestão da qualidade é essencial para assegurar que a TIesteja fornecendo valor para o negócio, melhoria contínua e transparência para as partes interessadas.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO9 Avaliar e Gerenciar Riscos de TI
Criar e manter uma estrutura de gestão de risco. Esta estrutura documenta um nível comum e acordado de riscos de TI, estratégias de mitigação e riscos residuais. Qualquer impacto em potencial nos objetivos da empresa causado por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de risco devem ser adotadas para minimizar o risco residual a níveis aceitáveis. O resultado da avaliação deve ser entendido pelas partes interessadas e expresso em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
PO10 Gerenciar Projetos
Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI. Essa estrutura deve assegurar a correta priorização e a coordenação de todos os projetos. A estrutura deve incluir um plano mestre, atribuição de recursos, definição dos resultados a serem entregues, provação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco de custos inesperados e de cancelamentos de projeto, aperfeiçoa a comunicação,melhora o envolvimento das áreas de negócio e dos usuários finais, assegura o valor e a qualidade dos resultados do projeto e maximiza a contribuição para os programas de investimentos em TI.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
AI1 ao AI7
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI1 Identificar Soluções Automatizadas
A necessidade de uma nova aplicação ou função requer uma análise prévia à aquisição ou ao desenvolvimento para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente. Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”. Todos esses passos permitem às organizações minimizar os custos de aquisição e implementação de soluções e permitem ao negócio alcançar seus objetivos.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI2 Adquirir e Manter Software Aplicativo
As aplicações devem ser disponibilizadas em alinhamento com os requisitos do negócio. Este processo contempla o projeto das aplicações, a inclusão de controles e requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões. Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas.
Importante conhecer a descrição Importante conhecer todo o processo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia. Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste. Isso assegura um apoio tecnológico contínuo às aplicações de negócio.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI4 Habilitar Operação e Uso
Conhecimento sobre novos sistemas deve estar disponível. Este processo requer a elaboração de documentação e manuais para usuários e para TI e a promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e infraestrutura.
Importante conhecer a descrição Importante conhecer todo o processo
AI5 Adquirir Recursos de TI
Recursos de TI, incluindo pessoas, hardware, software e serviços precisam ser adquiridos. Isso requer a definição e a aplicação de procedimentos de aquisição, a seleção de fornecedores, o estabelecimento de arranjos contratuais e a aquisição propriamente dita. Assim assegura-se que a organização tenha todos os recursos de TI necessários a tempo e com boa relação custo-benefício.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI6 Gerenciar Mudanças
Todas as mudanças, incluindo manutenções e correções de emergência, relacionadas com a infraestrutura e as aplicações no ambiente de produção são formalmente gerenciadas de maneira controlada. As mudanças (incluindo procedimentos, processos, parâmetros de sistemas e de serviço) devem ser registradas, avaliadas e autorizadas antes da implementação e revisadas em seguida, tendo como base os resultados efetivos e planejados. Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
AI7 Instalar e Homologar Soluções de Mudanças
Novos sistemas precisam ser colocados em operação uma vez concluído seu desenvolvimento. É necessária a realização de testes apropriados em um ambiente dedicado, com dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação. Isso assegura que os sistemas operacionais estejam alinhados com as expectativas e os resultados acordados.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
DS1 ao
DS13
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS1 Definir e Gerenciar Níveis de Serviços
A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os serviços necessários é possibilitada por um acordo definido e documentado que aborda os serviços de TI e os níveis de serviço esperados. Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço. Este processo permite o alinhamento entre os serviços de TI e os respectivos requisitos do negócio.
Importante conhecer a descrição Importante conhecer todo o processo
DS2 Gerenciar Serviços de Terceiros
A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negócio requer um processo efetivo de gestão da terceirização. Esse processo é realizado definindo-se claramente os papéis, responsabilidades e expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade. A gestão eficaz dos serviços terceirizados minimiza os riscos de negócio associados aos fornecedores que não cumprem seu papel.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS3 Gerenciar o Desempenho e a Capacidade
A necessidade de gerenciar o desempenho e a capacidade dos recursos de TI requer um processo que realize análises críticas periódicas do desempenho e da capacidade atuais dos recursos de TI. Esse processo inclui a previsão de necessidades futuras com base em requisitos de carga de trabalho, armazenamento e contingência. Esse processo assegura que os recursos de informação que suportam os requisitos do negócio estejam sempre disponíveis.
Importante conhecer a descrição Importante conhecer todo o processo
DS4 Assegurar a Continuidade dos Serviços
Prover a continuidade dos serviços de TI requer o desenvolvimento, manutenção e teste de um plano de continuidade de TI, armazenamento de cópias de segurança (backup) em instalações remotas (offsite) e realizar treinamentos periódicos do plano de continuidade. Um processo eficaz de continuidade de serviços minimiza a probabilidade e o impacto de uma interrupção de um serviço chave de TI nas funções e processos críticos de negócio.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS5 Garantir a Segurança de Sistemas
Para manter a integridade da informação e proteger os ativos de TI, é necessário implementar um processo de gestão de segurança. Esse processo inclui o estabelecimento e a manutenção de papéis, responsabilidades, políticas, padrões e procedimentos de segurança de TI. A gestão de segurança inclui o monitoramento, o teste periódico e a implementação de ações corretivas das deficiências ou dos incidentes de segurança. A gestão eficaz de segurança protege todos os ativos de TI e minimiza o impacto sobre os negócios de vulnerabilidades e incidentes de segurança.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS6 Identificar e Alocar Custos
A necessidade de um sistema justo e equitativo de alocação de custo de TI para o negócio requer avaliação precisa dos custos de TI e acordo com os usuários do negócio sobre uma alocação razoável. Este processo contempla a construção e a operação de um sistema para capturar, alocar e reportar os custos de TI aos usuários dos serviços. Um sistema de alocação justo permite à empresa tomar decisões mais embasadas sobre o uso dos serviços.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS7 Educar e Treinar os Usuários
A educação efetiva de todos os usuários de sistemas de TI, inclusive daqueles dentro da própria TI, requer a identificação das necessidades de treinamento de cada grupo de usuário. Como complemento à identificação dessas necessidades, esse processo compreende a definição e a execução de uma estratégia eficaz de treinamento e medição dos resultados. Um programa de treinamento eficaz aumenta o uso efetivo da tecnologia através da redução dos erros de usuário, aumento da produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário).
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS8 Gerenciar Central de Serviços e Incidentes
A resposta efetiva e em tempo adequado a dúvidas e problemas dos usuários de TI requer uma central de serviço (service desk) e processos de gerenciamento de incidentes bem projetados e implementados. Esse processo inclui a implementação de uma central de serviços capacitada para o tratamento de incidentes, incluindo registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução. Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários. Complementarmente, as áreas de negócio podem tratar as causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS9 Gerenciar Configuração
Assegurar a integridade das configurações de hardware e software requer o estabelecimento e a manutenção de um repositório de configuração preciso e completo. Esse processo inclui a coleta inicial das informações de configuração, o estabelecimento de um perfil básico, a verificação e a auditoria das informações de configuração e a atualização do repositório de configuração conforme necessário. Um gerenciamento de configuração eficaz facilita uma maior disponibilidade do sistema, minimiza as questões de produção e soluciona problemas com mais rapidez.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS10 Gerenciar Problemas
O efetivo gerenciamento de problemas requer identificação e classificação dos problemas, análise de causas-raiz e respectiva resolução. O processo de gerenciamento de problemas também contempla a identificação de recomendações para melhoria, manutenção dos registros de problemas e revisão da situação das ações corretivas. Um processo efetivo de gerenciamento de problemas melhora os níveis de serviço, reduz os custos e aumenta a conveniência e a satisfação do cliente.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS11 Gerenciar Dados
O efetivo gerenciamento de dados requer a identificação dos requisitos de dados. O processo de gerenciamento de dados também contempla o estabelecimento de procedimentos efetivos para controlar a biblioteca de mídia, cópia de segurança (backup), recuperação de dados e a dispensa de mídias de forma adequada. O efetivo gerenciamento de dados ajuda a assegurar a qualidade, a rapidez e disponibilidade dos dados de negócio.
Importante conhecer a descrição Importante conhecer todo o processo
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
DS12 Gerenciar o Ambiente Físico
A proteção de pessoas e equipamento de informática requer instalações físicas bem planejadas e gerenciadas. O processo de gerenciamento do ambiente físico inclui a definição dos requisitos do local físico, a escolha de instalações apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos físicos. O gerenciamento eficaz do ambiente físico reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas.
Importante conhecer a descrição Importante conhecer todo o processo
DS13 Gerenciar as Operações
O processamento preciso e completo de dados requer um gerenciamento eficaz do processamento de dados e diligente manutenção de hardware. Este processo inclui a definição de políticas e procedimentos de operações para o gerenciamento eficaz do processamento agendado, proteção de resultados sigilosos, o monitoramento de infraestrutura e manutenção preventiva de hardware. O efetivo gerenciamento de operações ajuda a manter a integridade dos dados e reduzir atrasos e custos de operação de TI.
www.portalgsti.com.brPor Fernando Palma
Estrutura do COBIT
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
ME1 ao
ME4
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
ME1 Monitorar e Avaliar o Desempenho de TI
A gestão eficaz de desempenho de TI exige um processo de monitoramento. Esse processo inclui a definição de indicadores de desempenho relevantes, informes de desempenho sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados. O monitoramento é necessário para assegurar que as atividades corretas estejam sendo feitas e que estejam em alinhamento com as políticas e diretrizes estabelecidas.
Importante conhecer a descrição Importante conhecer todo o processo
ME2 Monitorar e Avaliar os Controles Internos
Estabelecer um programa eficaz de controles internos de TI requer um processo de monitoramento bem definido. Esse processo inclui o monitoramento e reporte das exceções de controle, dos resultados de auto avaliação e avaliação de terceiros. Um benefício importante do monitoramento dos controles internos é assegurar uma operação eficaz e eficiente e a conformidade com as leis e os regulamentos aplicáveis.
www.portalgsti.com.brPor Fernando Palma
Descrição dos Processos
ME3 Assegurar a Conformidade com Requisitos Externos
A supervisão eficaz da conformidade requer o estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais. Esse processo inclui identificar os requisitos de conformidade, otimizar e avaliar a resposta, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios.
Importante conhecer a descrição Importante conhecer todo o processo
ME4 Prover Governança de TI
O estabelecimento de uma efetiva estrutura de governança envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Definir os sistemas apropriados para otimizar o uso dessa informação faz parte dos objetivos do processo PO2 Definir a Arequitetura da Informação .
2. ( ) Definir um plano estratégico é um objetivo que está contido em um processo do domínio Adquirir e Implementar.
3. ( ) Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos é um objetivo do PO3 Gerenciar Projetos.
4. ( ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois processos pertencentes ao domínio de Aquisição e Implementação.
5. ( ) O processo DS5 Garantir a Segurança de Sistemas traz como benefício a proteção todos os ativos de TI e minimiza o impacto sobre os negócios.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Definir os sistemas apropriados para otimizar o uso dessa informação faz parte dos objetivos do processo PO2 Definir a Arequitetura da Informação .
2. ( F ) Definir um plano estratégico é um objetivo que está contido em um processo do domínio Adquirir e Implementar. Está Contido no domínio de Planejamento e Organização, no PO1
3. ( F ) Estabelecer um programa e uma estrutura de gestão de projeto para o gerenciamento de todos os projetos é um objetivo do PO3 Gerenciar Projetos. O processo é o PO10
4. ( V ) Habilitar Operação e Uso e Adquirir Recursos de TI são dois processos pertencentes ao domínio de Aquisição e Implementação.
5. ( V ) O processo DS5 Garantir a Segurança de Sistemas traz como benefício a proteção todos os ativos de TI e minimiza o impacto sobre os negócios.
www.portalgsti.com.brPor Fernando Palma
Módulo 4 – Introdução aos Processos COBIT
Neste módulo, você irá conhecer os processos mais importantes do framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar Operação em Uso
AI6 •Gerenciar MudançasDS2 •Definir e Gerenciar
Níveis de Serviço
DS1 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o Desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos
Melhorar o entendimento das partes interessadas
Criar objetivos de TI alinhado aos objetivos de negócio
Esclarecer o nível de investimento requerido
Refletir no Portfólio de TI a estratégia da organização
Realizar planos aceitos tanto por TI quanto área de Negócio
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
S Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI.
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Monitoram
ento
do Desempenho
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Gere
ncia
men
to
de R
iscos
Gere
ncia
men
tode
risc
os
Primário
Secundário
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Comprometimento da Alta Direção do alinhamento do planejamento estratégico de TI com as necessidades atuais e futuras;
Entendimento da capacidade atual de TI;
Estabelecimento de um esquema de priorização de objetivos de negócio, que quantifique os requisitos de negócio;
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle
PO1.1 Gerenciamento de Valor da TI
Trabalhar na direção do Negócio Reconhecer os investimentos obrigatórios Reconhecer os Investimentos Sustentáveis Prévia advertência do impacto de qualquer desvio do plano, incluindo
custo, cronograma ou funcionalidade Estabelecer avaliação adequada, transparente, repetível e comparável de
estudos de caso de negócio
PO1.2 Alinhamento entre TI e Negócio
Estabelecer processos de educação bi-direcional Envolvimento recíproco no planejamento estratégico
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle PO1.3 Avaliação da Capacidade e Desempenho Correntes
Avaliar a capacidade e o desempenho atuais das entregas de soluções e serviços
Estabelecer um modelo com o qual os requisitos futuros podem ser comparados
Definir o desempenho: funcionalidades, estabilidade, complexidade, custos, pontos fortes e fragilidades PO1.4 Plano Estratégico de TI
Criar um Plano Estratégico de TI Envolver partes interessadas Descrever como TI contribui para os objetivos de Negócio Quais os custos e riscos relacionados Contemplar o orçamento operacional e de investimento Contemplar como a TI aplicará os programas de investimentos
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Objetivos de Controle PO1.5 Planos Táticos de TI
Criar um portfólio de planos táticos de TI derivados do plano estratégico de TI Descrever quais são as iniciativas de TI requeridas Descrever quais os recursos necessários Como o uso de recursos e os benefícios alcançados serão monitorados
e administrados Os planos de projeto serão baseados nos planos táticos
PO1.6 Gerenciamento do Portfólio de TI
Gerenciar o portfólio dos programas de investimentos de TI Esclarecer os resultados de negócio desejados Entender o esforço necessário para atingir os resultados Atribuir responsabilidades com medidas de suporte Definir projetos dentro do programa
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
EntradasOrigem Entrada
PO5 Relatórios de custo/benefício;
PO9 Avaliação de riscos;
PO10 Portfólio de projetos de TI atualizado;
DS1
Requisitos novos ou atualizados de serviços;Portfólio de Serviços de TI atualizado;
** Estratégia e Prioridades de Negócio;
** Portfólio de Programas;
ME1 Informações de desempenho para planejamento de TI;
ME4 Relatórios de Status de governança de TI;
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
SaídasSaída Destino
Planejamento estratégico de TI; PO2 PO6 PO8 PO9 AI1 DS1
Planejamento tático de TI; PO2 PO6 PO9 AI1
Portfólio de projetos de TI; PO5 PO6 PO10AI6Portfólio de serviços de TI; PO5 PO6 PO9 DS1
Estratégia de fornecimento de TI; DS2
Estratégia de aquisição de TI; AI5
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Matriz RACI
Vincular objetivos de negócio com objetivos de TI; C I A/R R C
Identificar as dependências críticas e o desempenho atual; C C R A/R C C C C C C
Produzir um plano estratégico de TI; A C C R I C C C C I C
Produzir um plano tático de TI; C I A C C C C C R I
Analisar o portfólio de programas e gerenciar portfólio de projetos e serviços; C I I A R R C R C C I
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
O plano estratégico de TI não é executado. A Direção não está conscientizada de que o planejamento estratégico de TI é necessáriopara sustentar as metas de negócio.
A necessidade de um planejamento estratégico de TI é conhecida pela Direção de TI. O planejamento de TI é realizado caso a caso, em resposta a um requisito específico de negócio. O alinhamento de requisitos de negócio, aplicações e tecnologia ocorre de forma reativa
O planejamento estratégico de TI é compartilhado com a Direção do Negócio conforme a necessidade. A atualização dos planos de TI acontece em resposta aos pedidos da Direção. As decisões estratégicas são tomadas projeto a projeto, sem consistência com uma estratégia corporativa.
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
Uma política define quando e como realizar um planejamento estratégico de TI. O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. O processo do planejamento é adequado. Entretanto, a implementação do processo fica a critério de cada Direção e não há procedimentos para examinar o processo.
O planejamento estratégico de TI é uma prática padrão cujas exceções são detectadas pela Direção. O planejamento estratégico de TI é uma função da Direção com nível sênior de responsabilidade. A Direção é capaz de monitorar o processo de planejamento estratégico de TI, tomar decisões baseadas nesse processo e medir sua efetividade.
O planejamento estratégico de TI é um processo documentado e dinâmico, sempre considerado no estabelecimento dos objetivos de negócio, e resulta em valor de negócio identificável através dos investimentos em TI. As considerações de risco e o valor agregado são continuamente atualizados no processo de planejamento estratégico de TI.
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Grau de aprovação por proprietários de negócios dos planos estratégicos/táticos de TI;
Grau de conformidade com requisitos do negócio ede governança;
Nível de satisfação do negócio com o estado atual(quantidade, escopo, etc) dos projetos e aplicaçõesem portfólio;
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Percentual dos objetivos de TI no plano estratégico de TI que sustentam o plano estratégico de negócio;
Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI;
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Definir um Plano Estratégico de TI
Demora entre a atualização dos planos estratégicos/táticos de negócio e a atualização dos planos estratégicos/táticos de TI
Percentual de reuniões de planejamento estratégico/tático de TI em que representantes das áreasde negócios participaram ativamente;
Percentual de planos táticos de TI em conformidadecom as estruturas predefinidas desses planos
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de negócio alinhados com objetivos de TI
2. ( ) A premissa do processo PO1. Definir um Plano Estratégico de TI é que “Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da informação que são satisfeitos pro este processos, sendo o primeiro satisfeito primariamente e o segundo secundário, respectivamente.
3. ( ) Processo PO1. Definir um Plano Estratégico de TI pertence ao domínio Planejar e Organizar.
4. ( ) O Portfólio de Serviços de TI atualizado é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
5. ( ) A estratégia de aquisição de TI é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI .
6. ( ) O processo PO1. Definir um Plano Estratégico de TI é um dos únicos que possui matriz RACI bem definida.
7. ( ) A afirmação ao lado pertence ao nível três de maturidade, quando relacionada ao processo PO1. Definir um Plano Estratégico de TI : “O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. “
8. ( ) “Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI” é uma possível métrica para o processo PO1. Definir um Plano Estratégico de TI
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( F ) Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de negócio alinhados com objetivos de TI Um dos objetivos do processo PO1. Definir um Plano Estratégico de TI é criar objetivos de TI alinhados com objetivos de Negócio
2. ( V ) A premissa do processo PO1. Definir um Plano Estratégico de TI é que “Os processos de TI devem prover a entrega eficaz e eficiente dos componentes de TI”. Portanto, a eficiência e eficácia são dos critérios da informação que são satisfeitos pro este processos, sendo o primeiro satisfeito primariamente e o segundo secundário, respectivamente.
3. ( V ) Processo PO1. Definir um Plano Estratégico de TI pertence ao domínio Planejar e Organizar.
4. ( V ) O Portfólio de Serviços de TI atualizado é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
5. ( V ) A estratégia de aquisição de TI é uma das possíveis saídas do processo PO1. Definir um Plano Estratégico de TI .
6. ( F ) O processo PO1. Definir um Plano Estratégico de TI é um dos únicos que possui matriz RACI bem definida. Todos processos devem possuir uma matriz RACI bem definida
7. ( V ) A afirmação ao lado pertence ao nível três de maturidade, quando relacionada ao processo PO1. Definir um Plano Estratégico de TI : “O planejamento segue uma abordagem estruturada, que é documentada e conhecida por envolvidos. “
8. ( V ) “Percentual de projetos no portfólio de projetos de TI que podem ser diretamente relacionados ao plano tático de TI” é uma possível métrica para o processo PO1. Definir um Plano Estratégico de TI
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos
Estabelecer um programa de projetos alinhado com a estratégia de TI
Estabelecer uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI
Assegurar a correta priorização e a coordenação de todos os projetos
Reduzir o risco de custos inesperados e de cancelamentos de projeto
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade
O processo de Gerenciamento de Projetos deve garantir que resultados de projetos dentro do tempo, do orçamento e da qualidade acordados.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
Gere
ncia
men
to
de R
iscos
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Primário
Secundário
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Monitoram
ento
do Desempenho Gerenciamento
de recursos
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Definição e implantação de programas, estruturas e abordagens de projeto;
Publicação de diretrizes de gestão de projeto;
Realização de planejamento de projeto para todo o portfólio de projetos;
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.1 Estrutura de Gestão de Programas
Manter o programa de projetos Identificar, definir, avaliar, priorizar, selecionar, iniciar, gerenciar e
controlando projetos Coordenar as atividades e interdependências de múltiplos projetos Resolver requisitos e conflitos de recursos Assegurar que os projetos sustentem os objetivos dos programas
PO1.2 Estrutura de Gestão de Projetos
Manter uma estrutura de gestão de projetos Estabelecer os métodos a serem adotados e aplicados a cada projeto Estrutura e as metodologias de suporte devem ser integradas aos
processos de gerenciamento de programas
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.3 Abordagem da Gestão de Projetos
Estabelecer uma abordagem de gestão de projetos adequada ao tamanho, à complexidade e aos requisitos regulatórios de cadaprojeto
PO10.4 Comprometimento das Partes Interessadas
Obter comprometimento e participação das partes interessadas afetadas na definição e na execução do projeto dentro do contexto do programa de investimento geral de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.3 Abordagem da Gestão de Projetos
Estabelecer uma abordagem de gestão de projetos adequada ao tamanho, à complexidade e aos requisitos regulatórios de cadaprojeto
PO10.4 Comprometimento das Partes Interessadas
Obter comprometimento e participação das partes interessadas afetadas na definição e na execução do projeto dentro do contexto do programa de investimento geral de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.5 Declaração do Escopo do Projeto
Definir e documentar a natureza e o escopo do projeto Confirmar e desenvolver um entendimento comum do escopo do
projeto com as partes interessadas A definição deve ser formalmente aprovada pelo patrocinador
PO10.6 Fase de Início do Projeto
Assegurar que a fase de início do projeto seja formalmente aprovada e comunicada a todas as partes interessadas
A aprovação das fases subseqüentes deve ser baseada na revisão e na aceitação dos resultados entregues da fase anterior
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.7 Plano Integrado de Projeto
Estabelecer um plano integrado de projeto formalizado e aprovado As atividades e interdependências de múltiplos projetos dentro de um
programa devem ser entendidas e documentadas O plano de projeto deve passar por manutenção durante todas as etapas
do projeto.
PO10.8 Recursos do Projeto
Definir responsabilidades, relacionamentos, autoridades e critérios de desempenho para os membros
A contratação de produtos e serviços necessários para cada projeto deve ser planejada e gerenciada
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.9 Gestão de Risco do Projeto
Eliminar ou minimizar riscos específicos associados a cada projeto Planejar, identificar, analisar, responder, monitorar e controlar riscos
PO10.10 Plano de Qualidade de Projeto
Preparar um plano de gestão de qualidade que descreva o sistema de qualidade de projeto e como será implementado
O plano deve ser formalmente revisado e aceito por todas as partes envolvidas
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.11 Controle de Mudança de Projeto
Estabelecer um sistema de controle de mudança para cada projeto Garantir que todas mudanças sejam avaliadas, aprovadas e incorporadas ao
plano do projeto em alinhamento a estrutura de governança
PO10.12 Planejamento de métodos de validação
Identificar as atividades necessárias para suportar a validação de novos sistemas (ou suas modificações)
Assegurar que os controles internos e aspectos de segurança atendam aos requisitos definidos
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Objetivos de Controle
PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto
Avaliar o desempenho do projeto em comparação com critérios-chave (como escopo, cronograma, qualidade, custo e risco)
Reportar os resultados às principais partes interessadas
PO10.14 Conclusão do Projeto
Exigir que, ao final de cada projeto, as partes interessadas apurem se o projeto gerou os resultados e benefícios planejados
Identificar e documentar as lições aprendidas para usá-las em projetos e programas futuros
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
EntradasOrigem Entrada
PO1 Portfólio de projetos de TI;
PO5 Portfólio de projetos de TI atualizado;
PO7 Matriz de habilidades em TI;
PO8 Padrões para desenvolvimento;
AI17 Revisão pós-implementação;
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
SaídasSaída Destino
Relatórios de desempenho de projetos; ME1
Plano de gerenciamento de risco de projetos; PO9
Diretrizes de gerenciamento de projetos; AI1...AI17
Planejamento detalhado de projetos; PO8 AI1...AI17
Portfólio de projetos de TI atualizado PO1 PO5
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Matriz RACI
Definir uma estrutura de gerenciamento de programas e portfólios para osinvestimentos de TI; C C A R C C
Estabelecer e manter uma estrutura de gerenciamento de projetos; I I I A/R I C C C C R C
Estabelecer e manter um sistema de gerenciamento, monitoramento eacompanhamento de projetos de TI; I I I R C C C C A/R C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Matriz RACI
Criar cronogramas, planos de qualidade, orçamentos, planos de comunicação e planos de gerenciamento de riscos para projetos; C C C C C C C A/R C
Assegurar a participação e compromisso das partes interessadas; I A R C C
Assegurar o controle eficaz de projetos e de mudanças em projetos; C C C C C A/R C
Definir e implementar uma metodologia de revisão e qualidade em projetos I C I A/R C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
Técnicas de gerenciamento de projeto não são utilizadas e a organização não considera os impactos de negócio associados ao gerenciamento equivocado.
O uso de abordagens e técnicas de gestão de projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de comprometimentoda Direção de TI com a propriedade e a gestão de projeto. Decisões críticas de gestão de projeto são tomadas sem o envolvimento do gestor de negócio ou dos usuários.
A Alta Direção está consciente e comunica a necessidade de gestão de projeto de TI. Há utilização de algumas técnicas e métodos de gestão de projeto. Os projetos de TI têm definido informalmente os objetivostécnicos e de negócios. Há envolvimento limitado das partes interessadas no gerenciamento de projeto de TI.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
O processo e a metodologia de gestão de projeto foram estabelecidos e comunicados. Os projetos de TI são definidos com objetivos técnicos e de negócio apropriados. Os gestores de TI e de negócio começam a se envolver com a gestão dos projetos de TI. Utilização de marcos, cronogramas e reporte.
A Direção requer a revisão de indicadores formais padronizados e lições aprendidas em cada projeto logo após sua conclusão. A gestão de projeto é medida e avaliada por toda a organização e não apenas dentro da TI. Melhorias na gestão de projeto são formalizadas e comunicadas
Uma metodologia comprovada de ciclo de vida de projeto está implementada, imposta e integrada à cultura de toda a organização. Uma iniciativa constante para identificar e institucionalizar as melhores práticas de gestão de projetos foi implementada. Há uma coordenação de projetos integrada responsável pelos projetos e programas desde o início até a pós-implementação.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Percentual de projetos que atendem às expectativas das partes interessadas (prazo, orçamento e escopo ponderados de acordo com a importância).
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Percentual de projetos dentro do cronograma eorçamento;
Percentual de projetos que atendem àsexpectativas das partes interessadas.
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Projetos
Percentual de projetos que seguem práticas epadrões de gestão de projetos;Percentual de gerentes de projetos certificadosou capacitados;Percentual de projetos que recebem revisõespós-implementação;Percentual de partes interessadas com participaçãoem projetos (relação de envolvimento).
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) “Estabelecer uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI” é um dos principais objetivos do processo PO10 Gerenciar Projetos.
2. ( ) Programas não devem ser definidos no processo PO10 Gerenciar Projetos, já que esta é uma responsabilidade contida no processo
PO1. Definir um Plano Estratégico de TI.
3. ( ) A abordagem para gestão de projetos deve ser única para a organização, independente do tamanho, complexidade e requisitos
4. ( ) O controle de mudanças do projeto não é estabelecido no processo PO10 Gerenciar Projetos , já que existe um outro processo específico para este controle AI6 Gerenciar Mudanças.
5. ( ) PO10 Gerenciar Projetos pertence ao domínio Planejar e Organizar.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) O Portfólio de Projetos de TI é uma entrada para o PO10 Gerenciar Projetos
7. ( ) O COBIT recomenda que o CIO da empresa seja o responsável por Definir uma estrutura de gerenciamento de programas e portfólios para os
investimentos de TI
8. ( ) A descrição ao lado pertence ao nível 1 de maturidade, do processo PO10 Gerenciar Projetos “O uso de abordagens e técnicas de gestão de projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de comprometimento da Direção de TI com a propriedade e a gestão de projeto. Decisões críticas de gestão de projeto são tomadas sem o envolvimento do gestor de negócio ou dos usuários.”
9. ( ) A métrica ao lado pode ser considerada uma métrica de TI para o processo PO10 Gerenciar Projetos “Percentual de projetos que seguem práticas e padrões de gestão de projetos”
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) “Estabelecer uma estrutura de gestão de projeto para o gerenciamento de todos os projetos de TI” é um dos principais objetivos do processo PO10 Gerenciar Projetos.
2. ( F ) Programas não devem ser definidos no processo PO10 Gerenciar Projetos, já que esta é uma responsabilidade contida no processo
PO1. Definir um Plano Estratégico de TI. Faz parte das atividades deste processo (PO10)
3. ( F ) A abordagem para gestão de projetos deve ser única para a organização, independente do tamanho, complexidade e requisitos. Deve existir uma abordagem de gestão de projetos adequada ao tamanho, à complexidade e aos requisitos regulatórios de cada projeto (ver PO 10.3)
4. ( F ) O controle de mudanças do projeto não é estabelecido no processo PO10 Gerenciar Projetos , já que existe um outro processo específico para este controle AI6 Gerenciar Mudanças. Controle de mudanças de projetos devem ser estabelecidas por este processo (PO10)
5. ( V ) PO10 Gerenciar Projetos pertence ao domínio Planejar e Organizar.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( V ) O Portfólio de Projetos de TI é uma entrada para o PO10 Gerenciar Projetos
7. ( V ) O COBIT recomenda que o CIO da empresa seja o responsável por Definir uma estrutura de gerenciamento de programas e portfólios para os
investimentos de TI
8. ( V ) A descrição ao lado pertence ao nível 1 de maturidade, do processo PO10 Gerenciar Projetos “O uso de abordagens e técnicas de gestão de projeto dentro da TI é uma decisão a critério da Direção de TI. Há falta de comprometimento da Direção de TI com a propriedade e a gestão de projeto. Decisões críticas de gestão de projeto são tomadas sem o envolvimento do gestor de negócio ou dos usuários.”
9. ( F ) A métrica ao lado pode ser considerada uma métrica de TI para o processo PO10 Gerenciar Projetos “Percentual de projetos que seguem práticas e padrões de gestão de projetos” Esta é uma métrica de atividade.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI DS2
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Objetivos
Manter conhecimento sobre novas soluções disponível
Disponibilizar manuais
Disponibilizar treinamentos
Assegurar o uso efetivo das soluções de TI
Transferência do conhecimento
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O processo de Habilitar a Operação em Uso deve assegurar a satisfação de usuários finais com ofertas de serviços e níveis de serviços e a completa integração das aplicações e soluções tecnológicas aos processos de negócio
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Primário
Secundário
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Monitoram
ento
do Desempenho Gerenciamento
de recursos
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Desenvolvimento e disponibilização de documentação de transferência de conhecimento
Comunicação e treinamento de usuários, gestores de negócio, equipes de suporte e equipes de operação
Produção de materiais de treinamento
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Habilitar a Operação em Uso
Objetivos de Controle
AI4.1 Planejamento para Soluções Operacionais
Desenvolver um plano para identificar e documentar todos os aspectos técnicos, a capacidade operacional e os níveis de serviços necessários
AI4.2 Transferência de Conhecimento ao Gerenciamento do Negócio
Transferir o conhecimento ao gerenciamento do negócio Permitir que este assuma a propriedade do sistema e dados Permitir suas responsabilidades nos processos de entrega, qualidade de
serviço, controles internos e administração da aplicação
www.portalgsti.com.brPor Fernando Palma
Habilitar a Operação em Uso
Objetivos de Controle
AI4.3 Transferência de Conhecimento aos Usuários Finais
Transferir conhecimento e habilidades para permitir aos usuários o uso efetivo e eficiente dos sistemas aplicativos
AI4.4 Transferência de Conhecimento às Equipes de Operações e Suporte
Transferir conhecimento e habilidades para permitir que as equipes de operações e suporte técnico entreguem, suportem e mantenham os sistemas e a infraestrutura associada de forma eficaz e eficiente
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
EntradasOrigem Entrada
PO10 Diretrizes de gerenciamento de projetos e planejamento detalhado de projetos;
AI1 Estudo de viabilidade dos requisitos de negócio;
AI2 Conhecimento de aplicações e pacotes de software;
AI3 Conhecimento da infraestrutura;
AI7 Erros conhecidos e aceitos;
DS7 Atualizações necessárias de documentações
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
SaídasSaída Destino
Manuais de usuário, operação, suporte, técnico e administração; AI7 DS4 DS8 DS9 DS11 DS13
Requisitos de transferência de conhecimento para implementação de soluções; DS7
Materiais de treinamento DS7
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Matriz RACI
Desenvolver estratégia para operacionalizar a solução; A A R I
Desenvolver metodologia de transferência de conhecimento; C A R C
Desenvolver manuais de procedimentos para usuários finais; A/R
Desenvolver documentação de suporte técnico para equipesde operação e suporte; A/R C CDesenvolver e realizar treinamento; A A RAvaliar os resultados dos treinamentos A A
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Matriz RACI
Desenvolver estratégia para operacionalizar a solução; R C
Desenvolver metodologia de transferência de conhecimento; C R
Desenvolver manuais de procedimentos para usuários finais; C
Desenvolver documentação de suporte técnico para equipesde operação e suporte;Desenvolver e realizar treinamento; RAvaliar os resultados dos treinamentos R R
Tim
e de
Impl
anta
ção
Depa
rtam
ento
de
Tre
inam
ento
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
Não há nenhum processo estabelecido no que diz respeito à elaboração de documentação de usuário, manuais de operações e material de treinamento.
Há consciência de que a documentação de processos é necessária. A documentação é ocasionalmente produzida e é inconsistentemente distribuída a grupos limitados. A maioria da documentação e muitos procedimentos estão desatualizados.
Métodos similares são utilizados para procedimentos e documentação, porém não são baseados em uma abordagem estruturada. Programas de treinamento de negócio e de usuários são providenciados ou facilitados, mas não há um plano abrangente de cronograma e recursos para a realização de treinamentos.e treinamentos.
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
Há uma estrutura claramente definida, aceita e entendida para tratar da documentação de usuários, manuais de operações e material de treinamento. Os procedimentos são armazenados e mantidos em uma biblioteca formal e podem ser acessados por qualquer pessoa que precise conhecê-los.
Existem controles que asseguram a adoção de padrões, e são desenvolvidos e mantidos procedimentos referentes a todos os processos. Feedbacks das unidades de negócio e usuários sobre documentação e treinamento são coletados e avaliados como parte de um processo de melhoria contínua.
O processo da documentação operacional e de usuário é aprimorado constantemente através da adoção de novas ferramentas e métodos. Os materiais de procedimentos e de treinamento são considerados uma base de conhecimento em constante evolução que é mantida eletronicamente usando gerenciamento de atualização de conhecimento, e tecnologias de distribuição.
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Quantidade de aplicações nas quais procedimentosde TI estão completamente integrados aos processosde negócio;
Percentual de proprietários de negócio satisfeitoscom treinamentos e materiais de suporte paraaplicações.
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Quantidade de incidentes causados por treinamento/documentação de
Quantidade de chamados de treinamento atendidos
Índices de satisfação com treinamentos documentação de usuário e procedimentos
Quantidade de chamados pós implantações
Custo reduzido na produção/manutenção dedocumentação de usuário e procedimentos operacionais
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Habilitar Operação em Uso
Nível de participação de usuários e operadoresno treinamento de cada aplicação;
Intervalo entre as mudanças e atualizações dostreinamentos, procedimentos e documentações;
Disponibilidade, abrangência e precisão dadocumentação de operação e de usuário.
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) “Reduzir o risco de custos inesperados e de cancelamentos de projeto” é um dos principais objetivos do processo AI4 Habilitar Operação e Uso.
2. ( ) Produção de materiais de treinamento é uma das atividades que está sob a responsabilidade do processo processo AI4 Habilitar Operação e Uso.
3. ( ) O processo AI4 Habilitar Operação e Uso pode contribuir para maior produtividade do usuário final
4. ( ) A Transferência do conhecimento para a área de negócio é essencial para habilitar a operação em uso.
5. ( ) “Conhecimento de aplicações e pacotes de software” é uma possível entrada do processo AI4 Habilitar Operação e Uso ;
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) A descrição ao lado corresponde ao nível 01 de maturidade do processo AI4 Habilitar Operação e Uso. “Não há nenhum processo estabelecido no que diz respeito à elaboração de documentação de usuário, manuais de operações e material de treinamento.”
7. ( ) A métrica “Percentual de proprietários de negócio satisfeitoscom treinamentos e materiais de suporte para aplicações” pode ser utilizada para mensurar o setor de TI dentro do processo AI4 Habilitar Operação e Uso.
8. ( ) Considerando que uma determinada empresa tenha como objetivo estratégico de negócio “Aumentar o número de vendas mensais”,
a implantação do processo AI4 Habilitar Operação e Uso pode contribuir para suportar este objetivo, através da disponibilização de treinamentos e manuais de suporte para o sistema de vendas da mesma empresa.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( F ) “Reduzir o risco de custos inesperados e de cancelamentos de projeto” é um dos principais objetivos do processo AI4 Habilitar Operação e Uso. Este é um objetivo do PO10 Gerenciar Projetos
2. ( V ) Produção de materiais de treinamento é uma das atividades que está sob a responsabilidade do processo processo AI4 Habilitar Operação e Uso.
3. ( V ) O processo AI4 Habilitar Operação e Uso pode contribuir para maior produtividade do usuário final
4. ( V ) A Transferência do conhecimento para a área de negócio é essencial para habilitar a operação em uso.
5. ( V ) “Conhecimento de aplicações e pacotes de software” é uma possível entrada do processo AI4 Habilitar Operação e Uso ;
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) A descrição ao lado corresponde ao nível 01 de maturidade do processo AI4 Habilitar Operação e Uso. “Não há nenhum processo estabelecido no que diz respeito à elaboração de documentação de usuário, manuais de operações e material de treinamento.” Pertence ao Nível 0
7. ( V ) A métrica “Percentual de proprietários de negócio satisfeitos com treinamentos e materiais de suporte para aplicações” pode ser utilizada para mensurar o setor de TI dentro do processo AI4 Habilitar
Operação e Uso.
8. ( V ) Considerando que uma determinada empresa tenha como objetivo estratégico de negócio “Aumentar o número de vendas mensais”, a implantação do processo AI4 Habilitar Operação e Uso pode contribuir para suportar este objetivo, através da disponibilização de treinamentos e manuais de suporte para o sistema de vendas da mesma empresa.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Objetivos
Controlar Mudanças
Minimizar riscos de impacto das mudanças
Garantir os requisitos das mudanças implementadas
Garantir avaliação e aprovação de mudanças, evitando mudanças não autorizadas
Melhorar a qualidade dos serviços de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
Confidencialidade
P Integridade
P Disponibilidade
Conformidade
S Confiabilidade
O processo de Gerenciamento de Mudanças deve assegurar o atendimento aos requisitos de negócio em alinhamento com a estratégia da organização,reduzindo retrabalho e defeitos na entrega de soluções e serviços
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Primário
Secundário
Entrega de Valor
Gere
ncia
men
to
de R
iscos
Monitoram
ento
do Desempenho Gerenciamento
de recursos
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Definição e comunicação de procedimentos de mudanças, incluindo mudanças emergenciais.
Avaliação, priorização e autorização de mudanças.
Acompanhamento de status e apresentação de relatório de mudanças.
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Objetivos de Controle
AI6.1 Padrões e Procedimentos de Mudança
Estabelecer procedimentos formais de gerenciamento de mudanças
AI6.2 Avaliação de Impacto, Priorização e Autorização Avaliar todas as solicitações de mudança de modo estruturado Prevenir impacto negativo nos serviços Avaliar impacto em relação a outras mudanças
AI6.3 Mudanças de Emergência Estabelecer um processo para definição, solicitação, testes, documentação,
avaliação e autorização de mudanças de emergência
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Objetivos de Controle
AI6.4 Acompanhamento de Status e Relatórios de Mudanças Estabelecer um sistema de acompanhamento e relatórios de mudanças Comunicar o status de mudanças aprovadas e em andamento e executar
mudanças Garantir que as mudanças autorizadas sejam implementadas conforme
planejado.
AI6.5 Finalização da Mudança e Documentação Atualizar a documentação os procedimentos do sistema e de usuários
sempre que forem implementadas mudanças no sistema
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
EntradasOrigem Entrada
PO1 Portfólio de projetos de TI;
PO8 Ações de melhoria de qualidade;
PO9 Planos de ação para remediação de riscos de TI;
PO10Diretrizes de gerenciamento de projetos eplanejamento detalhado de projetos;
DS3 Mudanças necessárias;
DS5 Mudanças de segurança necessárias;
DS8 Solicitações de serviço/solicitações de mudança;
DS9-10Solicitações de mudança (como e onde aplicara correção);
DS10 Registros de problemas
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
SaídasSaída Destino
Descrição do processo de mudanças; AI1 AI2 AI3Relatórios de status das mudanças; ME1Autorização de mudanças AI7 DS8 DS10
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Matriz RACI
Desenvolver e implementar um processo para registrar, avaliar e priorizar de forma consistente as solicitações de mudança; A I R C R C C C
Avaliar criticamente o impacto e priorizar mudanças baseadas em necessidades do negócio; I R A/R C R C R C
Assegurar que qualquer mudança crítica e emergencial siga o processo aprovado; I I
A/RI R C
Autorizar mudanças; I CA/R
R
Gerenciar e disseminar informações relevantes relacionadas a mudanças A I R C R I R C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
Não há um processo de gerenciamento de mudanças formalmente estabelecido, e as mudanças podem ser feitas praticamente sem nenhum controle.
É reconhecido que as mudanças devem ser gerenciadas e controladas. As práticas variam, e existe a probabilidade de execução de mudanças não autorizadas. A documentação de mudança é insuficiente ou inexistente.
Há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse processo é desestruturado, rudimentar e propenso a erros.. A documentação de mudança é insuficiente ou inexistente. A precisão da documentação de configuração é inconsistente e existe avaliação limitados dos impactos.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
Há um processo formal de gerenciamento de mudanças, que inclui categorização, priorização, procedimentos de emergência, autorização de mudança e controle de versão, porém a conformidade com o processo ainda é emergente. Com freqüência, os processos são ignorados.
O processo de gerenciamento de mudanças é bem desenvolvido, acompanha todas mudanças e as exceções são mínimas. Há maior coordenação entre o gerenciamento de mudanças de TI e a redefinição de processos de negócio. Há um processo para monitorar a qualidade e o desempenho do processo de gerenciamento de mudanças.
O processo de gerenciamento de mudanças é revisado e atualizado regularmente para permanecer em alinhamento com as boas práticas. O processo de revisão reflete o resultado do monitoramento. As informações de configuração são automatizadas por software e propiciam o controle de versão.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Quantidade de paradas ou erros em dados devido a especificações inadequadas ou avaliações críticas de impacto incompletas.
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Retrabalho em infraestrutura ou aplicação causadopor especificações inadequadas de mudança;
Redução de tempo e esforço necessário pararealizar mudanças;
Percentual de todas as mudanças que são correçõesemergenciais;
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Mudanças
Percentual de mudanças registradas e rastreadascom ferramentas automatizadas;
Percentual de mudanças que seguem o processoformal de controle de mudanças;
Proporção entre solicitações de mudançaaceitas e rejeitadas;
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) “Garantir os requisitos das mudanças implementadas” é um dos objetivos do processo AI6. Gerenciar Mudanças
2. ( ) Acompanhar o status das mudanças é uma atividade comum ao processo AI6. Gerenciar Mudanças
3. ( ) Mudanças de Emergência devem seguir os mesmos procedimentos de qualquer mudança, para que não causem impacto. Devido a situação de emergência, é adequado, apenas, que recursos sejam alocados para agilizar a implementação da mudança.
4. ( ) Registros de Problemas não fazem parte das possíveis entradas para o processo AI6. Gerenciar Mudanças
5. ( ) A autorização de mudança é uma possível entrada do processo AI6. Gerenciar Mudanças
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) “Garantir os requisitos das mudanças implementadas” é um dos objetivos do processo AI6. Gerenciar Mudanças
7. ( ) A descrição ao lado corresponde ao nível 03 do Processo de AI6. Gerenciar Mudanças “Há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse processo é desestruturado, rudimentar e propenso a erros.. A documentação de mudança é insuficiente ou inexistente. A precisão da documentação de configuração é inconsistente e existe avaliação limitados dos impactos.”
8. ( ) O COBIT sugere que o CIO seja o responsável por “Desenvolver e implementar um processo para registrar, avaliar e priorizar de forma consistente as solicitações de mudança“ dentro do processo AI6. Gerenciar Mudanças
9. ( ) A métrica a seguir pode ser utilizada para medir o processo AI6. Gerenciar Mudanças : “Redução de tempo e esforço necessário para
realizar mudanças;”
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) “Garantir os requisitos das mudanças implementadas” é um dos objetivos do processo AI6. Gerenciar Mudanças
2. ( V ) Acompanhar o status das mudanças é uma atividade comum ao processo AI6. Gerenciar Mudanças
3. ( F ) Mudanças de Emergência devem seguir os mesmos procedimentos de qualquer mudança, para que não causem impacto. Devido a situação de emergência, é adequado, apenas, que recursos sejam alocados para agilizar a implementação da mudança. Procedimentos específicos devem ser seguidos para mudanças emergenciais (AI 6.3).
4. ( F ) Registros de Problemas não fazem parte das possíveis entradas para o processo AI6. Gerenciar Mudanças É uma entrada.
5. ( F ) A autorização de mudança é uma possível entrada do processo AI6. Gerenciar Mudanças É uma possível saída.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) A descrição ao lado corresponde ao nível 03 do Processo de AI6. Gerenciar Mudanças “Há um processo informal de gerenciamento de mudanças seguido na maioria das mudanças ocorridas, porém esse processo é desestruturado, rudimentar e propenso a erros.. A documentação de mudança é insuficiente ou inexistente. A precisão da documentação de configuração é inconsistente e existe avaliação limitados dos impactos.” Nível 02, Repetível. No nível 03, o processo é formal.
7. ( F ) O COBIT sugere que o CIO seja o responsável por “Desenvolver e implementar um processo para registrar, avaliar e priorizar de forma consistente as solicitações de mudança“ dentro do processo AI6. Gerenciar Mudanças O responsável por operações deve cuidar desta atividade
8. ( V ) A métrica a seguir pode ser utilizada para medir o processo AI6. Gerenciar Mudanças : “Redução de tempo e esforço necessário para
realizar mudanças;”
www.portalgsti.com.brPor Fernando Palma
Módulo 4 – Introdução aos Processos COBIT
Neste módulo, você irá conhecer os processos mais importantes do framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis de Serviço
Objetivos
Melhorar a comunicação entre a direção de TI e os clientes de negócio
Definir e acordar os níveis de serviço necessários a área de negócio
Monitorar e relatar os níveis de serviço entregues
Alinhar objetivos de performance TI a requisitos de negócio
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis de Serviço
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O Processo DS1 Definir e Gerenciar Níveis de Serviço assegura o alinhamento dos principais serviços de TI com a estratégia de negócio
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis de Serviço
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
Gere
ncia
men
to
de R
iscos
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Gere
ncia
men
tode
risc
os
Primário
Secundário
Monitoram
ento
do Desempenho
Entrega de Valor
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis de Serviço
Formalização de acordos de níveis de serviços internos e externos alinhadoscom os requisitos e com a capacidade de entrega.
Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios)
Identificação e comunicação de requisitos de serviços novos e atualizados parao planejamento estratégico
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Objetivos de Controle
DS1.1 Estrutura de Gestão de Níveis de Serviço
Processo formalizado Estrutura inclui como criar os RNS, ANS e ANO Esses atributos são organizados
em um catálogo de serviços
DS1.2 Definição de Serviços
Definição dos serviços baseado nas características de negócio
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Objetivos de Controle
DS1.3 Acordos de Nível de Serviço
Definir e acordar os acordos de nível de serviço para todos os serviços críticos de TI
Balancear as necessidades do cliente com a capacidade de entrega de TI Inclui comprometimento do cliente, métricas, responsabilidades, requisitos
de continuidade, performance e segurança.
DS1.4 Acordos de Nível Operacional
Definir como os ANO irão suportar os ANS
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Objetivos de Controle
DS1.5 Monitoramento e Relatório de Realizações de Nível de Serviço
Monitorar continuamente os critérios de desempenho dos níveis de serviço especificados
Os relatórios devem ser disponibilizados em um formato compreensível às partes interessadas
As estatísticas de monitoramento são analisadas, e são tomadas medidas gerenciais para revelar as tendências negativas e positivas
DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos
Regularmente realizar análise crítica dos acordos de nível Considerar ajustes e mudanças
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
EntradasOrigem Entrada
PO1 Planejamentos estratégico e tático de TI; Portfólio de serviços de TI;
PO2 Classificações atribuídas a dados;
PO5 Portfólio de serviços de TI atualizado;
AI2 SLAs planejados inicialmente;
AI3 OLAs planejados inicialmente;
DS4Requisitos de serviço para desastres,incluindo papéis e responsabilidades;
ME1 Informações de desempenho para planejamento de TI
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
SaídasSaída Destino
Relatório de revisão de contratos; DS2Relatórios de desempenho de processos; ME1Requisitos novos ou atualizados de serviços; PO1ANS´s AI1 DS2 DS3 DS4 DS6 DS8 DS13
ANO´s DS4 DS5 DS6 DS7 DS8 DS11 DS13
Portfólio de serviços de TI atualizado PO1
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Matriz RACI
Criar uma estrutura para a definição de serviços de TI; C A C C I C C I C R
Produzir um catálogo de serviços de TI; I A C C I C C I I R
Definir acordos de níveis de serviços (SLAs) para serviços críticos de TI; I I C C R I I I C C A/R
Definir acordos de níveis de operação (OLAs) para atendimento de SLAs; I C R I R R C C A/R
Monitorar e reportar o desempenho do nível de serviço fim-a-fim; I I R I I I A/R
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
G. De S
erviç
os
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Matriz RACI
Revisar contratos de SLA e de fornecedores de Serviços; I I C R R R C A/R
Revisar e atualizar o catálogo de serviços de TI; I A C C I C C I I RCriar plano de melhoria de serviços; I A I R I R C C I R
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
G. De S
erviç
os
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
A Direção não reconhece a necessidade de um processo para definir os níveis de serviço. Não são atribuídas responsabilidadespara monitorá-los.
Há consciência da necessidade de gerenciar os níveis de serviço, mas o processo é informal e reativo. Responsabilidades não estão definidas. Quando medições e metas existem, são qualitativas e imprecisas. Relatórios são informais e inconsistentes.
Existem níveis de serviço acordados, porém são informais e não analisados criticamente. O relatório de nível de serviço é incompleto,pode ser irrelevante ou enganoso aos clientes e depende das habilidades e da iniciativa individual dos gerentes.
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
As responsabilidades são bem definidas, porém com autoridade baseada em julgamento individual. Serviços e níveis de serviço são definidos, documentados e acordados seguindo um processo padrão. Os níveis de serviço são acordados, mas podem não atender às necessidades do negócio.
Os níveis de serviço são cada vez mais estabelecidos na fase de definição dos requisitos de sistema e incorporados ao projeto da aplicação e dos ambientes operacionais. A satisfação dos clientes é rotineiramente medida e avaliada. As métricas de desempenho refletem as necessidades dos clientes e não as metas de TI.
Os níveis de serviço são continuamente reavaliados para assegurar o alinhamento entre os objetivos de TI e de negócio, considerando o custo/benefício da tecnologia. Todos os processos de gerenciamento de níveis de serviço estão sujeitos a melhoria contínua. Os níveis de satisfação dos clientes são constantemente monitorados e gerenciados.
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Percentual de partes interessadas do negócio satisfeitas com o atendimento dos serviços entregues aos níveis de serviço acordados;
Percentual dos usuários satisfeitos com o atendimento dos serviços entregues aos níveis de serviço acordados (desafio)
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Quantidade de serviços entregues que não estãono catálogo;
Percentual de serviços que atendem aos níveisde serviço;
Percentual de níveis de serviço que são medidos.
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Definir e Gerenciar Níveis e Serviço
Quantidade de reuniões formais de revisão comas áreas de negócios por ano;
Percentual dos níveis de serviço reportados;
Percentual dos níveis de serviço reportados deforma automática;
Quantidade de dias de trabalho para ajustar umnível de serviço após acordo com cliente final.
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço, contribui para Melhorar a comunicação entre a direção de TI e os clientes de negócio.
2. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui para atender primariamente(P) a área de foco de Governança de TI “Entrega de valor”.
3. ( ) O COBIT não considera um requisito obrigatório o Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios) dentro do processo DS1 Definir e Gerenciar Níveis de Serviço , por isso insere esta consideração como um objetivo de controle opcional.
4. ( ) ANS´s e ANO´s são exemplos de saídas do processo DS1 Definir e Gerenciar Níveis de Serviço
5. ( ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui para satisfazer todos os critérios da informação.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) Planejamentos estratégico e tático de TI são entradas importantes para o processo DS1 Definir e Gerenciar Níveis de Serviço .
7. ( ) “Monitorar e reportar o desempenho do nível de serviço fim-a-fim” é um atividade que deve ser responsabilizada ao Gerente de Serviços de TI, segundo o modelo do COBIT.
8. ( ) A descrição ao lado está associada ao nível 04 de maturidade dentro do processo DS1 Definir e Gerenciar Níveis de Serviço : “A satisfação dos clientes é rotineiramente medida e avaliada. As métricas de desempenho refletem as necessidades dos clientes e não as metas de TI.”
9. ( ) Percentual dos níveis de serviço reportados de forma automática é considerada uma métrica de TI para o processo DS1 Definir e Gerenciar Níveis de Serviço ;
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço, contribui para Melhorar a comunicação entre a direção de TI e os clientes de negócio.
2. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui para atender primariamente(P) a área de foco de Governança de TI “Entrega de valor”.
3. ( F ) O COBIT não considera um requisito obrigatório o Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios) dentro do processo DS1 Definir e Gerenciar Níveis de Serviço , por isso insere esta consideração como um objetivo de controle opcional. Não existem objetivos de controle opcionais no framework do COBIT.
4. ( V ) ANS´s e ANO´s são exemplos de saídas do processo DS1 Definir e Gerenciar Níveis de Serviço
5. ( V ) O processo DS1 Definir e Gerenciar Níveis de Serviço contribui para satisfazer todos os critérios da informação.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( V ) Planejamentos estratégico e tático de TI são entradas importantes para o processo DS1 Definir e Gerenciar Níveis de Serviço .
7. ( V ) “Monitorar e reportar o desempenho do nível de serviço fim-a-fim” é um atividade que deve ser responsabilizada ao Gerente de Serviços de TI, segundo o modelo do COBIT.
8. ( V ) A descrição ao lado está associada ao nível 04 de maturidade dentro do processo DS1 Definir e Gerenciar Níveis de Serviço : “A satisfação dos clientes é rotineiramente medida e avaliada. As métricas de desempenho refletem as necessidades dos clientes e não as metas de TI.”
9. ( V ) Percentual dos níveis de serviço reportados de forma automática é considerada uma métrica de TI para o processo DS1 Definir e Gerenciar Níveis de Serviço ; É uma métrica de atividades.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar Níveis
de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Objetivos
Assegurar que os serviços prestados por fornecedores satisfaçam aos requisitos do negócio
Definir papéis, responsabilidades e expectativasnos acordos de terceirização
Minimizar os riscos de negócio associados aos fornecedores
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O Processo DS2 Gerenciar Serviços de Terceiros assegura que terceiros forneçam serviços satisfatórios e transparentes do ponto de vista de benefícios, custos e riscos.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
Gere
ncia
men
to
de R
iscos
DomíniosGovernança
de TI
Alinhamento
Estratégico
Gerenciamentode recursos
Primário
Secundário
Monitoram
ento
do Desempenho
Entrega de Valor
Gere
ncia
men
tode
risc
os
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Identificação e categorização dos prestadores de serviços
Identificação e redução dos riscos associados ao fornecedor
Monitoração e medição do desempenho do fornecedor
Renovação e término de contratos
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Objetivos de Controle
DS2.1 Identificação do Relacionamento com Todos os Fornecedores
Identificar todos os serviços terceirizados e categorizá-los de acordo com o tipo, a importância e a criticidade
Manter documentação formal dos relacionamentos técnicos e organizacionais
Contemplar papéis e responsabilidades, metas e produtos esperados
DS2.2 Gestão do Relacionamento com Fornecedores
Formalizar o processo de gestão do relacionamento com cada fornecedor. Contemplar a garantia da qualidade do relacionamento com base na
confiança e na transparência
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Objetivos de Controle
DS2.3 Gerenciamento de Riscos do Fornecedor
Identificar e minimizar os riscos relacionados à capacidade dos fornecedores
Garantir que os contratos estejam em conformidade com os padrões universais de negócios de acordo com as exigências legais e regulamentares
Considerar acordos de confidencialidade
DS2.4 Monitoramento de Desempenho do Fornecedor
Estabelecer um processo para monitorar a prestação do serviço Obedecer os contratos e acordos de nível de serviço firmados
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
EntradasOrigem Entrada
PO1 Estratégia de fornecimento de TI;
PO8 Padrões para aquisição;
AI5Tratativas contratuais; Requisitos degerenciamento de relacionamento com terceiros;
DS1 SLAs; Relatório de revisão de contratos;
DS4Requisitos de serviço para desastres,incluindo papéis e responsabilidades
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
SaídasSaída Destino
Relatórios de desempenho de processos; ME1Catálogo de fornecedores; AI5
Riscos de fornecedores; PO9
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Matriz RACI
Identificar e categorizar relacionamentos com prestadores de serviços terceirizados; I C R C R A/R C C
Definir e documentar o processo de gestão de fornecedores; C A I R I R R C C
Estabelecer políticas e procedimentos de seleção e avaliação de fornecedores; C A C C C R C C
Identificar, avaliar criticamente e mitigar riscos de fornecimento; I A R R R C C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Matriz RACI
Monitorar a entrega de serviços de fornecedores; R A R R R C C
Avaliar os objetivos de longo prazo do relacionamento com fornecedores deserviços para todas as partes interessadas C C C A/R C C C C R C C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
As responsabilidades não estão definidas. Não há políticas e procedimentos formais referentes à contratação de serviços terceirizados.
A Direção está consciente da necessidade de haver políticas e procedimentos documentados para a gestão da terceirização, incluindocontratos assinados. Não há termos padronizados para acordos com prestadores de serviço. A avaliação dos serviços prestados é informal e reativa.
O processo para supervisionar os fornecedores de serviços terceirizados, riscos associados e entrega dos serviços é informal. É utilizado um contrato pro forma assinado, contendo termos e condições padronizados pelos distribuidores/vendedores.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
Procedimentos bem documentados são implantados para governar os terceirizados com processos claros para examinar e negociar com os prestadores. A natureza dos serviços a serem prestados é detalhada no contrato e contempla as exigências operacionais, legais e de controle. A responsabilidade pela supervisão dos serviços terceirizados é definida.
São estabelecidos critérios para definir os termos de compromisso, inclusive o escopo do serviço / produto fornecido, premissas, programação, custos, modelos de cobrança e responsabilidades. Os requisitos de serviço são definidos e vinculados aos objetivos do negócio. Existe um processo de análise crítica do desempenho do serviço frente aos termos contratuais
Os contratos assinados com terceiros são criticamente analisados em intervalos predefinidos. Evidências de adesão contratual das medidas de controle, legais e operacionais são monitoradas e ações corretivas são impostas. O terceirizado está sujeito a auditorias periódicas. A remuneração de terceiros está ligada ao alcance de níveis de serviço amplos acordados.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Quantidade de reclamações de usuários devido aosserviços contratados;
Percentual do volume de compras sujeito ao processo competitivo de compra.
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Percentual dos principais fornecedores queatendem aos requisitos e níveis de serviçoclaramente definidos;
Quantidade de controvérsias formais comfornecedores;
Percentual de faturas do fornecedor discutidas.
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Percentual dos principais fornecedores sujeitosaos requisitos e níveis de serviço claramentedefinidos;
Percentual dos principais fornecedores sujeitosao monitoramento;
Nível de satisfação das áreas de negócios com aeficácia da comunicação do fornecedor;
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O processo DS2 Gerenciar Serviços de Terceiros contribui para minimizar os riscos de negócio associados aos fornecedores
2. ( ) O processo DS2 Gerenciar Serviços de Terceiros pertence ao domínio “Entrega e Suporte”
3. ( ) Segundo o modelo do COBIT, Serviços de terceirizados devem ser categorizados de acordo com o tipo, a importância e a criticidade
4. ( ) “Estratégia de fornecimento de TI” é uma entrada do processo DS2 Gerenciar Serviços de Terceiros segundo o framework do COBIT.
5. ( ) O CIO deve Definir e documentar o processo de gestão de fornecedores, segundo o processo DS2 Gerenciar Serviços de Terceiros
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
6. ( ) O nível de maturidade do processo DS2 Gerenciar Serviços de Terceiros no qual “A avaliação dos serviços prestados é informal e reativa.” é o nível 2.
7. ( ) Uma métrica do processo DS2 Gerenciar Serviços de Terceiros pode ser “Percentual de faturas do fornecedor discutidas”, segundo o framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) O processo DS2 Gerenciar Serviços de Terceiros contribui para minimizar os riscos de negócio associados aos fornecedores
2. ( V ) O processo DS2 Gerenciar Serviços de Terceiros pertence ao domínio “Entrega e Suporte”
3. ( V ) Segundo o modelo do COBIT, Serviços de terceirizados devem ser categorizados de acordo com o tipo, a importância e a criticidade
4. ( V ) “Estratégia de fornecimento de TI” é uma entrada do processo DS2 Gerenciar Serviços de Terceiros segundo o framework do COBIT.
5. ( F ) O CIO deve Definir e documentar o processo de gestão de fornecedores, segundo o processo DS2 Gerenciar Serviços de Terceiros O CIO é a autoridade desta atividade, é quem responde.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
6. ( F ) O nível de maturidade do processo DS2 Gerenciar Serviços de Terceiros no qual “A avaliação dos serviços prestados é informal e reativa.” é o nível 2. Nível 1
7. ( V ) Uma métrica do processo DS2 Gerenciar Serviços de Terceiros pode ser “Percentual de faturas do fornecedor discutidas”, segundo o framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Agenda
Processos
Definir um Plano Estratégico de TI
Gerenciar Projetos
Habilitar Operação em Uso
Gerenciar Mudanças
Definir e Gerenciar Níveis de Serviço
Gerenciar Serviços de Terceiros
Monitorar e Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Os Processos a serem vistos
Planejar e Organizar
Adquirir e Implementar
Monitorar e Avaliar
Entregar e Suportar
PO1 •Definir um Plano Estratégico de TI
PO10 •Gerenciar Projetos
AI4 •Habilitar operação em uso
AI6 •Gerenciar MudançasDS1 •Definir e Gerenciar
Níveis de Serviço
DS2 •Gerenciar Serviços de Terceiros
ME1• Monitorar e
Avaliar o desempenho de TI
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Objetivos
Definição de indicadores de desempenho relevantes
Assegurar que as atividades corretas estejam sendo feitas
Assegurar que atividades estejam em alinhamento com as políticas e diretrizes estabelecidas
Garantia de Transparência e apoio a Governança
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Critérios da Informação que o processo satisfaz
Requisito
P Eficácia
P Eficiência
S Confidencialidade
S Integridade
S Disponibilidade
S Conformidade
S Confiabilidade
O Processo ME1 Monitorar e Avaliar o Desempenho de TI assegura transparência e entendimento de custos, benefícios, estratégia, políticas e níveis de serviçosde TI, em conformidade com os requisitos de governança.
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Áreas de Foco da Governança que o Processo satisfaz
Alinhamento
Estratégico
Gere
ncia
men
to
de R
iscos
DomíniosGovernança
de TI
Gerenciamentode recursos
Primário
Secundário
Monitoram
ento
do Desempenho
Entrega de Valor
Gere
ncia
men
tode
risc
os
Alinhamento
Estratégico
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Agrupamento e tradução dos relatórios de desempenho de processos para relatóriosde gestão
Análise crítica de desempenho frente a metas acordadas e a tomada de açõescorretivas necessárias
Atividades necessárias
Os objetivos desse processo são alcançados através de:
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Objetivos de Controle
ME1.1 Abordagem de Monitoramento
Estabelecer uma abordagem e uma estrutura de monitoramento geral A metodologia e o processo a serem seguidos para avaliar a entrega de
soluções e serviços de TI A estrutura deve se integrar com o sistema de gestão de desempenho
corporativo.
ME1.2 Definição e Coleta dos Dados de Monitoramento
Trabalhar com o negócio na definição de um conjunto equilibrado de metas de performance
Metas devem ser aprovadas pelas áreas de negócio e demais partes interessadas relevantes
Identificar os dados disponíveis a serem coletados para medir as metas Estabelecer processos para coletar em tempo apropriado e de maneira correta
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Objetivos de Controle
ME1.3 Método de Monitoramento
Analisar periodicamente o desempenho com base nas metas Estabelecer método que capture as medições, apresente uma visão ampla
e sucinta do desempenho da TI Método deve ser ajustado ao sistema de monitoramento corporativo
ME1.4 Avaliação de Desempenho
Analisar periodicamente o desempenho com base nas metas Executar análise de causa-raiz dos problemas Iniciar ação corretiva para tratar as causas ocultas.
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Objetivos de Controle
ME1.5 Relatórios para a Alta Direção
Desenvolver informes para a Alta Direção sobre a contribuição de TI para o negócio
Incluir desempenho do portfólio da organização, programas de investimentos em TI e soluções e serviços de cada programa
Informar até que ponto os objetivos planejados foram atingidos
ME1.6 Ações Corretivas
Identificar e iniciar ações corretivas baseado nas fases anteriores
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
EntradasOrigem Entrada
PO5 Relatórios de custo/benefício;
PO10 Relatórios de desempenho de projetos;
AI6 Relatórios de status das mudanças;
DS1-13 Relatórios de desempenho de processos;
DS3Planejamento de capacidade e desempenho (requisitos)
DS8Relatórios sobre satisfação de usuários;
ME2Relatórios sobre a eficácia dos controles de TI;
ME3Relatórios sobre a conformidade das atividadesde TI com requisitos externos legais e regulatórios;
ME4Relatórios sobre o status de governança de TI
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
SaídasSaída Destino
Informações de desempenho para planejamento de TI; PO1 PO2 DS1Planos de ação para remediações; PO4 PO8Histórico de eventos e tendências de riscos; PO9Relatórios de desempenho de processos ME2
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Matriz RACI
Estabelecer uma abordagem de monitoração; A R C R I C I C I C
Identificar e coletar objetivos mensuráveis que sustentem os objetivos de negócio; C C C A R R RCriar scorecards; A R C R C
Avaliar criticamente o desempenho; I I A R R C R CReportar o desempenho; I I R A R R C R C I
Identificar e monitorar ações de melhoria de desempenho A R R C R C C
CEO CFOEx
ecuti
vo de
Neg
ócios
CIO
Dono P
roc.
De Neg
ócio
Resp
. por
Ope
raçõ
es
Resp
. por
Arq
uite
tura
Resp
. por
Des
envo
lvim
ento
PMO
Conf
orm
idad
e, au
dito
ria
Resp
. pela
Adm
de TI
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Níveis de Maturidade
Nível 0 Inexistente
Nível 1 Inicial
Nível 2 Repetível
A organização não tem um processo de monitoramento implementado. A TI não executa de forma independente o monitoramento dos projetos ou processos.
A Direção reconhece a necessidade de coletar e avaliar informações sobre os processos de monitoramento. Processos de coleta e avaliação padronizados não foram identificados. O monitoramento é implementado, mas com métricas escolhidas caso a caso
Foram identificadas métricas básicas a serem monitoradas. Existem métodos e técnicas de coleta e avaliação, porém os processos não foram adotados por toda a organização. A interpretação dos resultados do monitoramento é baseada na habilidade de pessoas-chave.
www.portalgsti.com.brPor Fernando Palma
Monitorar e Avaliar o Desempenho de TI
Níveis de Maturidade
Nível 3 Definido
Nível 4 Gerenciado
Nível 5 Otimizado
A Direção comunicou e institucionalizou processos padrão de monitoramento. Programas de educação e treinamento em monitoramento foram implementados. Ferramentas para monitorar os processos e níveis de serviço de TI foram definidas.
A direção definiu as tolerâncias sob as quais os processos devem operar. Os relatórios de resultados do monitoramento estão sendopadronizados e normalizados. Há integração das métricas entre todos os processos e projetos de TI. As métricas da área de TI estão alinhadas com as metas corporativas.
Um processo de melhoria contínua da qualidade é desenvolvido para atualizar políticas e padrões corporativos de monitoramento eincorporar as melhores práticas da indústria. Todos os processos de monitoramento são otimizados e apóiam os objetivos corporativos.
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Quantidade de mudanças nas metas dos indicadores de eficácia e eficiência dos processos de TI;
Satisfação da Direção e da entidade de governançacom o relatório de desempenho;
Redução da quantidade de deficiências de processos em aberto.
Metas e Métricas de TI
TI pode ser mensurada (em relação ao alinhamento com negócio) por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Satisfação de partes interessadas com o processode mensuração;
Percentual de processos críticos monitorados;
Quantidade de ações de melhoria disparadas poratividades de monitoração;
Quantidade de metas de desempenho atingidas(indicadores sob controle).
Metas e Métricas de do Processo
Processo pode ser medido por:
www.portalgsti.com.brPor Fernando Palma
Gerenciar Serviços de Terceiros
Tempo utilizado na atualização de métricaspara refletir objetivos de desempenho, metas ereferências de mercado (benchmarkings);
Quantidade de métricas (por processos);
Quantidade de relações de causa e efeito identificadase incorporadas ao monitoramento;
Metas e Métricas das atividades
As atividades do processo podem ser medidas por:
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O processo ME1 Monitorar e Avaliar o Desempenho de TI contribui para satisfazer todos os critérios da informação.
2. ( ) A avaliação de desempenho é uma atividade de responsabilidade exclusiva da alta direção.
3. ( ) Ações corretivas devem ser estabelecidas baseadas, especificamente, na avaliação realizada pela alta direção.
4. ( ) Uma entrada para o processo ME1 Monitorar e Avaliar o Desempenho de TI é “Relatórios de desempenho de projetos”, segundo o framework do COBIT.
5. ( ) “Um processo de melhoria contínua da qualidade é desenvolvido para atualizar políticas e padrões corporativos de monitoramento e
incorporar as melhores práticas da indústria. “ A descrição ao lado refere-se ao nível 05 de maturidade do processo ME1 Monitorar e Avaliar o Desempenho de TI , segundo o framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) O processo ME1 Monitorar e Avaliar o Desempenho de TI contribui para satisfazer todos os critérios da informação.
2. ( F ) A avaliação de desempenho é uma atividade de responsabilidade exclusiva da alta direção. Ver matriz RACI
3. ( F ) Ações corretivas devem ser estabelecidas baseadas, especificamente, na avaliação realizada pela alta direção. Baseadas em todas as fases de avaliação descrita nos objetivos de controle
4. ( V ) Uma entrada para o processo ME1 Monitorar e Avaliar o Desempenho de TI é “Relatórios de desempenho de projetos”, segundo o framework do COBIT.
5. ( V ) “Um processo de melhoria contínua da qualidade é desenvolvido para atualizar políticas e padrões corporativos de monitoramento e
incorporar as melhores práticas da indústria. “ A descrição ao lado refere-se ao nível 05 de maturidade do processo ME1 Monitorar e Avaliar o Desempenho de TI , segundo o framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Agenda
Introdução ao Balanced Socorecard
Balanced Scorecard x Governança de TI
www.portalgsti.com.brPor Fernando Palma
Módulo 4 – Introdução aos Processos COBIT
Neste módulo, você irá aprender como utilizar o Balanced socorecard para priorizar os processos do COBIT.
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
O que é o Balanced Scorecard?
Sistema gerencial que permite à organização implementar, divulgar e gerenciar suas estratégias.
Foi criado por Robert Kaplan, em 19992
Em outras palavras, é um Sistema de Gestão Estratégica utilizado para: Esclarecer e obter consenso em relação à estratégia Comunicar a estratégia por toda a empresa Alinhar as metas departamentais e pessoais à estratégia Associar os objetivos estratégicos com metas de longo prazo e
orçamentosanuais
Identificar e alinhar as iniciativas estratégicas Realizar revisões estratégicas periódicas e sistemáticas Obter feedback para aprofundar o conhecimento da estratégia e
aperfeiçoá-la
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Conceitos
Estratégia
• Segundo Porter*, Estratégia é • Uma corrida para chegar a uma posição ideal• É a criação de uma posição exclusiva e valiosa, envolvendo um conjunto diferente
de atividades. • Definição (dicionário): estratégia é a definição de como recursos serão alcançados para se atingir determinado objetivo. Usada originalmente na área militar, esta palavra hoje é bastante usada na área de negócios.
*Michael Porter
www.portalgsti.com.brPor Fernando Palma
Visão e Estratégia
Indicadores
Monitorados por
Objetivos Estratégicos
Traduzidas em
Metas
Associados a
Iniciativas
Alavancadas por
Ações
Desdobradas em
Como obter um modelo de gestão Estratégica ?
Introdução ao Balanced Scorecard
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Objetivos da Empresa
Aumentar o número de clientes
Aumentar o número de vendas
Aumentar Produtividade
Aumentar Lucratividade
Melhorar a satisfação dos clientes
Reduzir riscos
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Como funciona o Balanced Scorecards?
Um BSC pode ser utilizado para traduzir missão em ações e resultados
Pode ser considerado um sistema de gestão que capacita a empresa a traduzir a estratégia em atividades mensuráveis
Em outras palavras, pode ser utilizado para desdobrar a estratégia da empresa
Atualmente, é utilizado pela Tecnologia da informação como ferramenta de apoio
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Como funciona o Balanced Scorecards?
Missão É a razão de existir da empresa
Valores Essenciais No que a empresa acredita
Objetivos Estratégicos O Plano da empresa
Balenced Scorecard Como implantar e focar
Planos de Ação, metas e indicadores
Objetivos por área e indivíduo
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Perspectivas do BSC
O tradicional Balanced Scorecard realiza medições com indicadorespara monitoramento em quatro dimensões-chave:
Finanças Processos Internos
Clientes Aprendizado
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Perspectivas do BSC
Finanças Processos Internos
Clientes Aprendizado
•Metas Financeiras•Lucratividade•Crescimento
•Satisfação•Confiança•Qualidade
•Segurança•Agilidade•Aperfeiçoamento Operacional
•Novas Habilidades•Conscientização•Novas Tecnologias•Habilidades
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Perspectiva Financeira
Perspectiva dos Clientes
Perspectiva dos Processos
Internos
Aumentar o desempenho financeiro
Melhorar o atendimento aos clientes
Implantar sistema de relacionamento com clientes
Melhorar os processos Internos
Implantar novas tecnologias
Assegurar treinamento e capacitação para a força de
trabalho
Lucro
Perspectiva da Inovação e Aprendizado
Causa-efeito
www.portalgsti.com.brPor Fernando Palma
Aumentar Lucratividade
Maximizar o Mercado Reduzir os Custos
Oferecer Qualidade diferenciada percebida e
valorizada pelo cliente
Oferecer produtos e serviços competitivos
Desenvolver novos
produtos
Melhorar e manter produtividade
operacional
Otimizar a operação de
atendimento da demanda
Melhorar a eficiência de
Processos Produtivos
Manter conformidade com
a legislação ambiental
Melhorar a Eficácia dos
Investimentos
Desenvolver Competências
Orientar a empresa a resultados
Inovar
Perspectiva Financeira
Perspectiva de Pessoas e Aprendizado
Perspectiva de Processos
Mapa Estratégico
Introdução ao Balanced Scorecard
Perspectiva de Clientes
Empresa de vendas Online
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced Scorecard
Missão
Valores Essenciais
Objetivos Estratégicos
Balenced Scorecard
Planos de Ação, metas e indicadores
Objetivos por área e indivíduo
Para alcançar os objetivos estratégicos, eles precisas sem desdobrados
É preciso definir o que controlar como controlar, e o que fazer para atingir
Em outras palavras, é preciso criar metas indicadores e ações para atingir-se os objetivos estratégicos
www.portalgsti.com.brPor Fernando Palma
Introdução ao Balanced ScorecardMapa Estratégico desdobrado em indicadores metas e ações
Objetivos Indicadores Metas Ações
. Maior Retorno
. Redução de despesas
. Valor de Mercado
. Aumento Faturamento
. 30%
. 25% a.a.
. Atrair Clientes
. Reter Clientes
. Preços menores
. % aumento clientes. Ranking clientes
. 40% a.a.
. 2º. Implementar sistema CRM. Customizar propaganda
. Menor tempo de entrega. Menos passos para compra online
. Tempo de entrega. Tempo de compra
. 48h
. 10min. Buscar fornecedores com ANS´s competitivos. Melhorar usabilidade
. Profissionais alinhados com estratégia. Conhecimento de procedimentos. Soluções melhores
. Qtd profissionais treinados. % de aumento base conhecimento. % satisfação com sistema
. 2 mil
. 50%
. 80%
. Treinar profissionais. Documentar processos e procedimentos. Programa de comunicação
Desenvolver Competências
Orientar a empresa a resultados
Otimizar a operação de
atendimento da demanda
Oferecer Qualidade diferenciada percebida e valorizada pelo cliente
Aumentar Lucratividade
Perspectiva Financeira
Perspectiva dos Clientes
Perspectiva dos Processos
Perspectiva do Conhecim
ento
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O Balanced scorecards pode ser considerado um Sistema gerencial que permite à organização implementar, divulgar e gerenciar suas estratégias.
2. ( ) Os objetivos estratégicos devem ser traduzidos em visão estratégica
3. ( ) Segundo o mapa estratégico proposto pelo sistema de gestão BSC, os objetivos estratégicos devem ser traduzidos em metas, indicadores e ações.
4. ( ) As perspectivas de Balanced scorecards são: Financeira, Negócios, Clientes e Conhecimento.
5. ( ) Produzir bons treinamentos para os seus profissionais pode contribuir para uma empresa aumentar o número de vendas anuais.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) O Balanced scorecards pode ser considerado um Sistema gerencial que permite à organização implementar, divulgar e gerenciar suas estratégias.
2. ( F ) Os objetivos estratégicos devem ser traduzidos em visão estratégica A visão estratégica deve ser traduzida em objetivos estratégicos
3. ( V ) Segundo o mapa estratégico proposto pelo sistema de gestão BSC, os objetivos estratégicos devem ser traduzidos em metas, indicadores e ações.
4. ( F ) As perspectivas de Balanced scorecards são: Financeira, Negócios, Clientes e Conhecimento. Financeira, Processos Internos, Clientes e Conhecimento.
5. ( V ) Produzir bons treinamentos para os seus profissionais pode contribuir para uma empresa aumentar o número de vendas anuais.
www.portalgsti.com.brPor Fernando Palma
Agenda
Introdução ao Balanced Socorecard
Balanced Scorecard x Governança de TI
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
Balanced Scorecards de TI
Existem segmentos que apóiam o uso de um BSC de TI. Alinhado com o BSC de negócio
Aumentar Lucratividade
Otimizar Atendimento
Atrair e manter Clientes
Desenvolver competências
ROI sob TI
Eficácia na
operação e
transição do
serviço de TI
Usabilidade e
orientação
Orientação ao
futuro
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
ROI. Maior Retorno de Inv.. Maior valor agregadoPerspectiva
Financeira
Perspectiva dos Clientes
Perspectiva dos Processos
Internos
Usabilidade. Interfaces intuitivas
Orientação. Comunicação TI e negócio. Satisfação no atendimento
Transição de serviços eficaz
. Minimização de riscos. Cumprimento de requisitos
Eficácia na Operação. Disponibilidade dos serviços. Tratamento de incidentes
Orientação ao Futuro. Pesquisa de Tecnologias emergentes
. Apoio a soluções de Gestão de Conhecimento
. Treinamento dos profissionais
.
Valor agregado
Perspectiva da Inovação e Aprendizado
Causa-efeito
www.portalgsti.com.brPor Fernando Palma
ROIMaior valor
agregado Reduzir os Custos
Satisfação durante o processo de compras e no
atendimento
Criar Agilidade de TI
Garantir a Integração Perfeita das Aplicações para os processos de
Negócio
Tratamento de falhas eficaz e
menor número de falhas reincidentes
Adquirir e manter sistemas de informação
integrados e padronizados
Maior soluções de contorno em primeiro nível e estruturas resili
entes
Priorizações bem definidas
Balanceamento de Custo e
Capacidade dos componentes de
TI
Orientação ao Futuro
Apoio em gestão do conhecimento
Treinamento dos profissionais
Perspectiva Financeira
Perspectiva de Pessoas e Aprendizado
Perspectiva de Processos
Mapa Estratégico de TI
Balanced Scorecards x Governança de TI
Perspectiva de Clientes
Empresa de vendas Online
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
Objetivo de Negócio Objetivo de TI Processos do COBIT
Aumentar a Lucratividade
Melhorar o Custo/Benefício de TI e sua contribuição para lucratividade
PO5 e DS6
Oferecer Produtos e serviços competitivos
Criar agilidade de TI PO2, PO4, PO7 e AI13
Melhorar e manter produtividade operacional
Garantir a Integração Perfeita das Aplicações para os processos de Negócio
PO2, AI4 e AI7
Inovar Entregar projetos no prazo e dentro do custo, atendendo requisitos de qualidade
PO8 e PO10
Fin
Cli
Pro
Con
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
Aumentar a Lucratividade
Melhorar o Custo/Benefício de TI e sua contribuição para lucratividade
PO5 Gerenciar o Investimento de TI
PO5 – Meta /Objetivo . Decidir o portfólio e investimentos em TI de forma eficaz e eficiente e elaborar e rastrear os orçamentos
PO5 – Indicadores. Percentual de serviços e projetos de TI cujo custo foi documentado. Percentual de soluções que atingiram o valor previsto
PO5 – Ações · Previsão e alocação de orçamentos
· Definição do critério de investimento formal. Recuperação de investimento
Objetivo de Negócio
Objetivo de TI
Processo
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
Oferecer Produtos e serviços competitivos
Criar agilidade de TI
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI3– Meta /Objetivo . Disponibilizar plataformas apropriadas às aplicações de negócio em alinhamento com a arquitetura de TI definida e os padrões tecnológicos
AI3– Indicadores. Percentual das plataformas que não estejam alinhadas com os padrões definidos de tecnologia e arquitetura de TI· Quantidade de processos críticos de negócio Sustentados porinfraestrutura obsoleta (ou próxima da obsolescência)
AI3– Ações · Preparação de um plano de aquisição tecnológica alinhado com o plano de
infraestrutura tecnológica· Planejamento da manutenção da infraestrutura
· Implementação de controles internos, medidas de segurança e de auditoria
Objetivo de Negócio
Objetivo de TI
Processo
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TI
Melhorar e manter produtividade operacional
Garantir a Integração Perfeita das Aplicações para os processos de Negócio
AI7 Instalar e Homologar Soluções de Mudanças
AI7– Meta /Objetivo . Testar se as aplicações e as soluções de infraestrutura atendem ao propósito pretendido e estão livres de erros e planejar a implementação e a migração para produção
AI7– Indicadores. Tempo de indisponibilidade da aplicação ou quantidade de correções de dados devido a testes inadequados· Percentual de sistemas que na avaliação pós-implementação alcança os benefícios planejados originalmente
AI7– Ações · Estabelecimento de metodologia de teste
· Realização de planejamento de liberação para produção. Realização de revisões pós-implementação
Objetivo de Negócio
Objetivo de TI
Processo
www.portalgsti.com.brPor Fernando Palma
Balanced Scorecards x Governança de TIInovar
Entregar projetos no prazo e dentro do custo, atendendo requisitos de qualidade
PO8 Gerenciar a Qualidade
PO8 – Meta /Objetivo . Melhorar continuamente e de forma mensurável a qualidade dos serviços entregues pela TI
PO8 – Indicadores. Percentual das partes interessadas satisfeitas com a qualidade da TI· Percentual dos processos de TI formalmente revisados pelo processo de garantia de qualidade periodicamente e que atingem metas e objetivos de qualidade
PO8 – Ações · Definição de práticas e padrões de qualidade
· Monitoração e revisão dos desempenhos interno e externo comparado às práticas e padrões de qualidade definidas
· Melhoria contínua do SGQ
Objetivo de Negócio
Objetivo de TI
Processo
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) Um Balanced Scorecards de TI pode ser produzido com base no Balanced scorecards coorporativo, como auxílio a implementação da Governança de TI
2. ( ) A satisfação de indicadores na perspectiva de Conhecimento tem efeito indireto na perspectiva do cliente
3. ( ) A satisfação de indicadores na perspectiva de Processos tem efeito indireto na perspectiva financeira
4. ( ) Se uma empresa deseja alcançar diferenciação no mercado, esta pode obter apoio em processos de TI definido no COBIT, associando o objetivo a metas de negócio, que por sua vez, serão associadas a metas de TI.
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas
1. ( V ) Um Balanced Scorecards de TI pode ser produzido com base no Balanced scorecards coorporativo, como auxílio a implementação da Governança de TI
2. ( V ) A satisfação de indicadores na perspectiva de Conhecimento tem efeito indireto na perspectiva do cliente
3. ( V ) A satisfação de indicadores na perspectiva de Processos tem efeito indireto na perspectiva financeira
4. ( V ) Se uma empresa deseja alcançar diferenciação no mercado, esta pode obter apoio em processos de TI definido no COBIT, associando o objetivo a metas de negócio, que por sua vez, serão associadas a metas de TI.
www.portalgsti.com.brPor Fernando Palma
Referencial Teórico 1996: “O Balanced Scorecard - A Estratégia em Ação”;
2000: “Organização Orientada para a Estratégia”;
2004: “Mapas Estratégicos”.
Mais sobre BSC e Gestão Estratégica
Por Fernando Palma www.portalgsti.com.br
Módulo 8 – Produtos de Suporte
Neste módulo, você irá conhecer os produtos de apoio ao framework do COBIT.
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val ITTodos os produtos de
suporte são pagos (gratuitos para
assinantes da ISACA)
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
COBIT Quickstart
Versão resumida do COBIT
Direcionada a empresas de pequeno porte
Representa 20% do conteúdo
Fornece ferramentas de auto-avaliação, para a empresa verificar o que é adequado
Produtos de Suporte
COBIT COBIT Quick Start
Domínios 4 4
Processos 34 32
Objetivos de Controle
210 59
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
Práticas de Controle (Control Pratices)
Fornecem uma abordagem detalhada aos objetivos de controle, contribuindo para a implementação
Orientação de como implementar, enquanto objetivos de controle orientam ao que implementar
Para cada objetivo de controle existem 03 a 12 práticas de controle
Além de orientações, o guia sugere os benefícios da implementação do O.C. e riscos de não implementar
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Práticas de Controle (Control Pratices)
Exemplo: PO10.Gerenciar Projetos
PO10.6. Fase de Iniciação do Projeto
Obter aprovação e assinatura dos entregáveis produzidos por cada fase do projeto
Embasar o processo de aceitação com critérios de aprovação claramente definidos
...
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
Guia de Validação (IT Assurance Guide)
Guia de Validação para profissionais que precisam garantir o funcionamento dos controles internos e melhoria dos processos
Fornece conselhos de como testar cada objetivo de controle, assegurando se os controles são suficientes
Ajuda a elaborar plano de auditoria
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
COBIT Online
Recursos disponíveis na web
Produtos de Suporte
•Download em PDF de todas as publicações da ITGI•Navegação por conteúdo de cada processoNavegação•Comparação com outros usuários•Visualização de níveis de maturidadeBenchmarking
•Fórum de discussãoComunidade
Feedback • Periodicamente, a ITGI realiza pesquisas com os associados
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
COBIT Security Baseline
Foca nos riscos específicos para segurança de TI
Ajuda a conscientizar e compreender a importância da segurança da informação
Não é um guia técnico, possui linguagem acessível
É uma destilação do COBIT em 44 passos para alcançar a segurança
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
IT Governance Implementation Guide
É um roadmap para o conselho de administração, gerencia executiva, profissionais de controle e auditores
Estabelece um modelo de um ciclo de vida de implementação de Governança de TI, utilizando o COBIT
Demonstra porque a Governança de TI é importante, como o COBIT está vinculado e partes interessadas
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Produtos de Suporte
COBIT Quick Start
Control Pratices
IT Assurance Guide
COBIT Online
Security Baseline
IT Governance Implamentation
Guide
Val IT
www.portalgsti.com.brPor Fernando Palma
Val IT
É um framework de governança baseado no COBIT que possui orientações e processos de suporte relacionados a avaliação e seleção de investimentos
O objetivo é assegurar que a gerencia obtenha de TI o valor adequado com custo razoável
Complementa o COBIT através de uma perspectiva financeira e de negócio
Contém cases
Produtos de Suporte
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso?
1. ( ) O COBIT Quickstart pode ser utilizado para benchmarking
2. ( ) As práticas de controle fornecem conselhos de como testar cada objetivo de controle, assegurando se os controles são suficientes
3. ( ) O COBIT Security Baseline pode ser considerado uma destilação do COBIT em 44 passos para alcançar a segurança
4. ( ) O IT Governance Implementation Guide ajuda a elaborar plano de auditoria
5. ( ) Val IT e Objetivos de Controle detalhados são dois exemplos de publicações de suporte ao framework do COBIT
6. ( ) Uma das atividades possíveis dentro do COBIT online é a obtenção de feedback por parte da ITGI
www.portalgsti.com.brPor Fernando Palma
Verdadeiro ou Falso? - Respostas 1. ( F ) O COBIT Quickstart pode ser utilizado para benchmarking O COBIT
Online pode ser utilizado para este fim
2. ( F ) As práticas de controle fornecem conselhos de como testar cada objetivo de controle, assegurando se os controles são suficientes O IT Assurance Guide fornece estes conselhos
3. ( V ) O COBIT Security Baseline pode ser considerado uma destilação do COBIT em 44 passos para alcançar a segurança
4. ( F ) O IT Governance Implementation Guide ajuda a elaborar plano de auditoria O IT Assurance Guide fornece esta orientação
5. ( F ) Val IT e Objetivos de Controle detalhados são dois exemplos de publicações de suporte ao framework do COBIT Objetivos de controle Detalhados fazem parte do framework do COBIT (publicação principal, gratuita)
6. ( V ) Uma das atividades possíveis dentro do COBIT online é a obtenção de feedback por parte da ITGI