Cobit2
2 gostaram478 visualizações
O documento discute o framework CobiT, que fornece práticas para gestão e controle de tecnologia da informação e recursos de informação. CobiT inclui 34 processos agrupados em 4 domínios e objetivos de controle para cada processo. Ele ajuda a gerenciamento a equilibrar riscos, controlar investimentos em TI e fornecer garantias sobre serviços de TI.
Cobit2
- 1. 1 O que é? O CobiT auxilia as organizações a ter uma “Governança” de TI mais controlada. Pode dizer-se que se posiciona a um nível superior ao da Gestão de Serviços de TI (ITIL) e da própria norma de Serviços de TI que é a ISO/IEC 20000. CobiT significa Control Objectives for Information and Related Technology(Controle de Objetivos para Informação e Tecnologia Relacionada). É focado no negócio, orientado a processos, baseado em controles e direcionado a métricas O CobiT é um framework de Controle e TI de Governança que possui 4 domínios (Planejamento e Organização, Aquisição e Imple -mentação, Entrega e Suporte, Monitorização e Avaliação) e dentro desses 4 domínios possui 34 processos. Está na versão 4.1, e é mantido e atualizado constantemente pela ISACA (www.isaca.org), que hoje é um órgão de referência mundial em nível de TI. Prof. Ms. Ricardo J Marques
- 2. 2 O CobiT foi originalmente lançado como um framework de controle e processos para estabelecer a ligação entre o TI e os requisitos do negócio. Era inicialmente usado maioritariamente pelas seguradoras. Após a adição em 1998 das orientações de gestão, Management Guidelines(Diretrizes de administração), o Cobit é usado cada vez mais como um framework de IT Governance, fornecendo ferramentas de gestão como métricas e modelos de maturidade para complementar a framework de controle. Missão O CobiT fornece práticas aceites generalizadamente para gestão e controlo da informação e recursos de tecnologia de informação. Foi desenhado para três audiências – gestão, utilizadores e auditores: Para a Gestão –ajuda a balancear os riscos e controlar investimentos num ambiente de TI, na maior parte das vezes imprevisível. •Para os Utilizadores –ajuda na obtenção de garantias acerca da segurança e controlos de serviços de TI fornecidos interna e externamente. •Para os Auditores – ajuda a fundamentar as suas opiniões para a gestão acerca de controles internos do TI e a serem conselheiros proativos para o negócio, A Missão do CobiT: “To research, develop, publicise and promote an authoritative, up-to- date, international set of generally accepted information technology control objectives for day-to-day use by business managers and auditors.”(Pesquisar, desenvolver, dê publicidade a e promova um jogo autorizado, em dia, internacional de objetivos de controle de informática geralmente aceitos para uso cotidiano pelos gerentes empresariais e auditores) Prof. Ms. Ricardo J Marques
- 3. 3 by IT GOVERNANCE INSTITUTE O principal objetivo do Cobit é fornecer políticas e boas práticas para IT Governance para todas as organizações a nível mundial, com o objetivo de ajudar a gestão executiva a perceber e gerir os riscos associados ao TI. O Cobit ajuda a alcançar estes objetivos fornecendo um framework de IT Governance e guias detalhados de objetivos de controle para a gestão, owners(donos) de processos de negócio, utilizadores e auditores. O Cobit começa com uma premissa muito simples: para fornecer a informação necessária para atingir os seus objetivos, uma organização deverá gerir os seus recursos de TI através de um conjunto integrado de processos. O Cobit agrupa os processos numa hierarquia simples e orientada ao negócio. Cada processo faz referência a recursos de TI e requisitos de qualidade, fiabilidade e segurança para a informação. Enquadramento O conceito subjacente do framework Cobit é que o controle no TI é conseguido olhando à informação que é necessária para suportar os requisitos ou objetivos de negócio e olhando para a informação como sendo o resultado da combinação de recursos de TI relacionados, que necessitam de ser geridos por processos de TI. Para satisfazer os objetivos de negócio, a informação necessita de estar conforme com determinados critérios, a que o Cobit se refere como sendo requisitos do negócio para informação. No estabelecimento de requisitos, o Cobit combina os princípios existentes em modelos de referência conhecidos. Prof. Ms. Ricardo J Marques
- 4. 4 Framework O framework Cobit ajuda a gestão a satisfazer as suas variadas necessidades colmatando as lacunas entre os riscos de negócio, necessidades de controlo e questões tecnológicas. Fornece um conjunto de boas práticas através de um framework de processos e domínios e apresenta atividades numa estrutura lógica e gerível. Control Objectives (Controle de Objetivos) O Cobit fornece um conjunto de 34 objetivos de controlo de alto nível, um para cada processo de TI,agrupados em quatro domínios: planning and organization(planejando e organização), acquisition and implementation(aquisição e implementação), delivery and support(entrega e apoio), e monitoring(monitorando). Esta estrutura cobre todos os aspectos da informação e da tecnologia que a suporta. Endereçando estes 34 objetivos de controle a organização pode assegurar que tem um sistema de controlo adequado para o seu ambiente de TI. Prof. Ms. Ricardo J Marques
- 5. 5 Os 4 domínios da Framework Prof. Ms. Ricardo J Marques
- 6. 6 Prof. Ms. Ricardo J Marques
- 7. 7 Produtos gerados no Plano de Melhoria Questionário Script de Avaliação do Processo: usado no direcionamento das entrevistas (Figura 10) junto aos responsáveis e envolvidos nos processos. O questionário deve explorar as necessidades para avaliação do nível de maturidade de cada objetivo de controle, pontuando conforme o modelo de nível de maturidade (0 a 5). No final da avaliação dos objetivos de controles somará o nível de maturidade encontrado em cada objetivo de controle e dividir pelo número de objetivos de controle existente no processo para identificar o nível de maturidade do processo avaliado. Níveis de maturidade A escala de seis níveis de maturidade do Cobit, conforme o MODELO GENÉRICO DE MATURIDADE está indicada abaixo: Prof. Ms. Ricardo J Marques
- 8. 8 0 – Inexistente. A organização não reconhece a existência de um processo a ser gerido. 1 – Inicial /Ad-Hoc. Há evidência de que a organização reconhece que o processo existe e que as necessidades devem ser endereçadas. Entretanto não há um processo padronizado e a gestão é caso a caso e desorganizada. 2 – Repetitível, porém intuitivo. Os processos são estruturados e procedimentos similares são seguidos por diferentes indivíduos para a mesma tarefa. Há forte dependência do conhecimento individual e existe alguma documentação. 3 – Definido. Os processos são padronizados, documentados e comunicados. Entretanto deixa a cargo dos indivíduos seguirem os processos. Não há certeza de que desvios serão detectados. 4 – Gerido. Existe a possibilidade de monitorizar e medir a conformidade dos processos com os procedimentos definidos. Há ações para melhoria e uso de algumas ferramentas automatizadas. 5 – Optimizado. Os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações. O TI é usado para automatizar os fluxos de trabalho, fornecendo ferramentas para aumentar a qualidade e eficácia dos processos. Prof. Ms. Ricardo J Marques
- 9. 9 Prof. Ms. Ricardo J Marques
- 10. 10 Questionário de Entendimento do Processo: usado durante as entrevistas para auxiliar na identificação do nível de maturidade dos objetivos de controles (Figura 11). Prof. Ms. Ricardo J Marques
- 11. 11 Questionário de Avaliação do Processo: Baseado no resultado obtido através da aplicação dos questionários de script de avaliação do processo e o de entendimento do processo (Figura 12). Prof. Ms. Ricardo J Marques