O que é? Prof. Ms. Ricardo J Marques

Transcrição

1 1 O que é? O CobiT auxilia as organizações a ter uma Governança de TI mais controlada. Pode dizer-se que se posiciona a um nível superior ao da Gestão de Serviços de TI (ITIL) e da própria norma de Serviços de TI que é a ISO/IEC CobiT significa Control Objectives for Information and Related Technology(Controle de Objetivos para Informação e Tecnologia Relacionada). É focado no negócio, orientado a processos, baseado em controles e direcionado a métricas O CobiT é um framework de Controle e TI de Governança que possui 4 domínios (Planejamento e Organização, Aquisição e Imple -mentação, Entrega e Suporte, Monitorização e Avaliação) e dentro desses 4 domínios possui 34 processos. Está na versão 4.1, e é mantido e atualizado constantemente pela ISACA ( que hoje é um órgão de referência mundial em nível de TI.

2 2 O CobiT foi originalmente lançado como um framework de controle e processos para estabelecer a ligação entre o TI e os requisitos do negócio. Era inicialmente usado maioritariamente pelas seguradoras. Após a adição em 1998 das orientações de gestão, Management Guidelines(Diretrizes de administração), o Cobit é usado cada vez mais como um framework de IT Governance, fornecendo ferramentas de gestão como métricas e modelos de maturidade para complementar a framework de controle. Missão O CobiT fornece práticas aceites generalizadamente para gestão e controlo da informação e recursos de tecnologia de informação. Foi desenhado para três audiências gestão, utilizadores e auditores: Para a Gestão ajuda a balancear os riscos e controlar investimentos num ambiente de TI, na maior parte das vezes imprevisível. Para os Utilizadores ajuda na obtenção de garantias acerca da segurança e controlos de serviços de TI fornecidos interna e externamente. Para os Auditores ajuda a fundamentar as suas opiniões para a gestão acerca de controles internos do TI e a serem conselheiros proativos para o negócio, A Missão do CobiT: To research, develop, publicise and promote an authoritative, up-todate, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors. (Pesquisar, desenvolver, dê publicidade a e promova um jogo autorizado, em dia, internacional de objetivos de controle de informática geralmente aceitos para uso cotidiano pelos gerentes empresariais e auditores)

3 3 by IT GOVERNANCE INSTITUTE O principal objetivo do Cobit é fornecer políticas e boas práticas para IT Governance para todas as organizações a nível mundial, com o objetivo de ajudar a gestão executiva a perceber e gerir os riscos associados ao TI. O Cobit ajuda a alcançar estes objetivos fornecendo um framework de IT Governance e guias detalhados de objetivos de controle para a gestão, owners(donos) de processos de negócio, utilizadores e auditores. O Cobit começa com uma premissa muito simples: para fornecer a informação necessária para atingir os seus objetivos, uma organização deverá gerir os seus recursos de TI através de um conjunto integrado de processos. O Cobit agrupa os processos numa hierarquia simples e orientada ao negócio. Cada processo faz referência a recursos de TI e requisitos de qualidade, fiabilidade e segurança para a informação. Enquadramento O conceito subjacente do framework Cobit é que o controle no TI é conseguido olhando à informação que é necessária para suportar os requisitos ou objetivos de negócio e olhando para a informação como sendo o resultado da combinação de recursos de TI relacionados, que necessitam de ser geridos por processos de TI. Para satisfazer os objetivos de negócio, a informação necessita de estar conforme com determinados critérios, a que o Cobit se refere como sendo requisitos do negócio para informação. No estabelecimento de requisitos, o Cobit combina os princípios existentes em modelos de referência conhecidos.

4 4 Framework O framework Cobit ajuda a gestão a satisfazer as suas variadas necessidades colmatando as lacunas entre os riscos de negócio, necessidades de controlo e questões tecnológicas. Fornece um conjunto de boas práticas através de um framework de processos e domínios e apresenta atividades numa estrutura lógica e gerível. Control Objectives (Controle de Objetivos) O Cobit fornece um conjunto de 34 objetivos de controlo de alto nível, um para cada processo de TI,agrupados em quatro domínios: planning and organization(planejando e organização), acquisition and implementation(aquisição e implementação), delivery and support(entrega e apoio), e monitoring(monitorando). Esta estrutura cobre todos os aspectos da informação e da tecnologia que a suporta. Endereçando estes 34 objetivos de controle a organização pode assegurar que tem um sistema de controlo adequado para o seu ambiente de TI.

5 5 Os 4 domínios da Framework

6 6

7 7 Produtos gerados no Plano de Melhoria Questionário Script de Avaliação do Processo: usado no direcionamento das entrevistas (Figura 10) junto aos responsáveis e envolvidos nos processos. O questionário deve explorar as necessidades para avaliação do nível de maturidade de cada objetivo de controle, pontuando conforme o modelo de nível de maturidade (0 a 5). No final da avaliação dos objetivos de controles somará o nível de maturidade encontrado em cada objetivo de controle e dividir pelo número de objetivos de controle existente no processo para identificar o nível de maturidade do processo avaliado. Níveis de maturidade A escala de seis níveis de maturidade do Cobit, conforme o MODELO GENÉRICO DE MATURIDADE está indicada abaixo:

8 8 0 Inexistente. A organização não reconhece a existência de um processo a ser gerido. 1 Inicial /Ad-Hoc. Há evidência de que a organização reconhece que o processo existe e que as necessidades devem ser endereçadas. Entretanto não há um processo padronizado e a gestão é caso a caso e desorganizada. 2 Repetitível, porém intuitivo. Os processos são estruturados e procedimentos similares são seguidos por diferentes indivíduos para a mesma tarefa. Há forte dependência do conhecimento individual e existe alguma documentação. 3 Definido. Os processos são padronizados, documentados e comunicados. Entretanto deixa a cargo dos indivíduos seguirem os processos. Não há certeza de que desvios serão detectados. 4 Gerido. Existe a possibilidade de monitorizar e medir a conformidade dos processos com os procedimentos definidos. Há ações para melhoria e uso de algumas ferramentas automatizadas. 5 Optimizado. Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações. O TI é usado para automatizar os fluxos de trabalho, fornecendo ferramentas para aumentar a qualidade e eficácia dos processos.

9 9

10 10 Questionário de Entendimento do Processo: usado durante as entrevistas para auxiliar na identificação do nível de maturidade dos objetivos de controles (Figura 11).

11 11 Questionário de Avaliação do Processo: Baseado no resultado obtido através da aplicação dos questionários de script de avaliação do processo e o de entendimento do processo (Figura 12).