SENAC GO. Gestão da Tecnologia da Informação. Tópicos especiais em administração. Professor Itair Pereira da Silva. Alunos: Eduardo Vaz

Transcrição

1 SENAC GO Gestão da Tecnologia da Informação Tópicos especiais em administração Professor Itair Pereira da Silva Alunos: Eduardo Vaz Jalles Gonçalves COBIT COBIT (CONTROL OBJETIVES FOR INFORMATION AND RELATED TECHNOLOGY ) é um documento que apresenta um framework focado em gestão de TI. O COBIT provê boas praticas através de um framework baseado nos domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. Provê um modelo de processo genérico que representa todos os processos normalmente encontrados nas funções de TI, provendo um modelo de referência compreensível para gerentes operacionais de TI e de negócios. CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECNOLOGY Fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do COBIT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas. Missão do COBIT: Pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação. O COBIT está dividido em quatro domínios : 1. Planejamento e organização; 2. Aquisição e Implementação ; 3. Entrega e suporte; 4. Monitoração;

2 DESENVOLVIMENTO DO COBIT A primeira publicação foi em 1996 enfocando o controle e análise dos sistemas de informação. Sua segunda edição em 1998 ampliou a base de recursos adicionando o guia prático de implementação e execução. A edição atual, já coordenada pelo IT Governance Institute, introduz as recomendações de gerenciamento de ambientes de TI dentro do modelo de maturidade de governança. O CobiT recebe um conjunto de contribuições de várias empresas e organismos internacionais, entre eles: 1. Padrões técnicos da ISO, EDIFACT, etc. 2. Os códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. 3. Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc. 4. Padrões profissionais para controle internos e auditoria: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. 5. Práticas e exigências dos fóruns da indústria (ESF, I4) e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. 6. Exigências das indústrias emergentes como operação bancária, comércio eletrônico e engenharia de software. BENEFÍCIOS DO COBIT Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As recomendações de gerenciamento do CobiT com orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. Os guidelines de gerenciamento do CobiT focam na gerência por desempenho usando os princípios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização. FOCADO NO NEGÓCIO O enfoque no negócio é o principal tema do COBIT, pois é projetado para ser usado em qualquer organização e não somente nas de TI. O COBIT é baseado no principio básico de prover a informação que a empresa requer para alcançar seus objetivos, e na necessidade da empresa em gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prestar os serviços de informação requeridos.

3 BASEADO EM CONTROLE O controle e definido como sendo políticas, procedimentos, práticas, e estruturas organizacionais projetadas para prover uma seguridade razoável que os objetivos de negócio serão alcançados e eventos indesejáveis serão prevenidos ou detectados e corrigidos. Um objetivo de controle do TI é uma frase com o resultado ou proposta desejada para ser executada através de implementação dos procedimentos de controle em uma atividade particular de TI. Os objetivos de controle de TI do COBIT são o mínimo requerido para um controle efetivo de cada processo de TI. DIRECIONANDO A MEDIÇÃO Devido a necessidade dos negócios em se posicionar sobre o status atual do gerenciamento e controle de TI, o COBIT provê três ferramentas para auxiliar neste processo de análise : modelos de maturidade, metas de desempenho e métricas para o processo de TI, e metas de atividades. O FRAMEWORK DO MODELO COBIT O framework do COBIT une requerimentos do negócio por informação e governança com os objetivos de funções de TI. O modelo de processo permite atividades de TI e os recursos que as suportam sejam propriamente gerenciados e controlados baseado nos objetivos de controle do COBIT, e alinhado e monitorado usando as métricas KGI e KPI. MONITORAÇÃO ME1 Monitorar e Avaliar o Desempenho de TI Com foco em: monitorar e entregar relatórios sobre as métricas dos processos de TI e identificar e implementar ações de melhoria de desempenho. É alcançado por: Agrupamento e tradução dos relatórios de desempenho de processos para relatórios de gestão. Análise crítica de desempenho frente a metas acordadas e a tomada de ações corretivas necessárias. E medido por: Satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho. Quantidade de ações de melhoria resultantes das atividades de monitoramento. Percentual de processos críticos monitorados.

4 ME2 Monitorar e Avaliar os Controles Internos Com foco em: monitorar os processos de controle interno de atividades de TI e identificar ações de melhoria. Ẽ alcançado por: Definição de um sistema de controles internos integrado na estrutura de processos de TI. Monitoramento e reporte sobre a eficácia dos controles internos de TI. Reporte das exceções dos controles internos para que os gestores tomem as medidas necessárias. E medido por: Quantidade de falhas críticas nos controles internos. Quantidade de ações de melhoria dos controles internos. Quantidade e abrangência das auto-avaliações dos controles internos.. ME3 Assegurar a Conformidade com Requisitos Externos É alcançado por: Identificação dos requisitos legais, regulatórios e contratuais relacionados à TI. Avaliação do impacto dos requisitos de conformidade. Monitoramento e geração de relatórios sobre a conformidade com esses requisitos. E medido por: Custo da não-conformidade da TI, incluindo multas e penalidades. Intervalo entre a identificação dos problemas de conformidade externa e sua resolução. Frequência das revisões de conformidade. ME4 Prover Governança de TI ICom foco em: preparar relatórios gerenciais sobre a estratégia, o desempenho e os riscos de TI e atender aos requisitos de governança em alinhamento com as diretrizes da Alta Direção. É alcançado por: Estabelecimento de uma estrutura de governança de TI integrada à governança corporativa. Auditoria independente do status da governança de TI. E medido por: Frequência dos relatórios gerenciais sobre TI para as partes interessadas (inclusive maturidade). Frequência dos relatórios de TI para a Alta Direção (inclusive maturidade). Frequência das revisões independentes da conformidade de TI. Plan: O monitoramento da fase de planejamento, considera as demandas e expectativas dos usuários, os padrões de TI. Build: Aqui é a primeira parte da execução, onde há a construção, a definição de requisitos, a implementação dos projetos, as aquisições e a gestão de mudanças. Run: Esta é a fase de operação. Monitor: Esta é a fase que une a gestão à governança e é a essência do monitoramento contínuo.

5

6 Bibliografia: