Cobit2

1

Prof. Ms. Ricardo J Marques

O que é?

O CobiT auxilia as organizações a ter uma “Governança” de TI mais

controlada. Pode dizer-se que se posiciona a um nível superior ao

da Gestão de Serviços de TI (ITIL) e da própria norma de Serviços

de TI que é a ISO/IEC 20000.

CobiT significa Control Objectives for Information and Related

Technology(Controle de Objetivos para Informação e Tecnologia

Relacionada). É focado no negócio, orientado a processos, baseado

em controles e direcionado a métricas

O CobiT é um framework de Controle e TI de Governança que

possui 4 domínios (Planejamento e Organização, Aquisição e Imple

-mentação, Entrega e Suporte, Monitorização e Avaliação) e dentro

desses 4 domínios possui 34 processos. Está na versão 4.1, e é

mantido e atualizado constantemente pela ISACA (www.isaca.org),

que hoje é um órgão de referência mundial em nível de TI.

2


O CobiT foi originalmente lançado como um framework de controle

e processos para estabelecer a ligação entre o TI e os requisitos do

negócio. Era inicialmente usado maioritariamente pelas

seguradoras.

Após a adição em 1998 das orientações de gestão, Management

Guidelines(Diretrizes de administração), o Cobit é usado cada vez

mais como um framework de IT Governance, fornecendo

ferramentas de gestão como métricas e modelos de maturidade

para complementar a framework de controle.

Missão

O CobiT fornece práticas aceites generalizadamente para gestão e

controlo da informação e recursos de tecnologia de informação.

Foi desenhado para três audiências – gestão, utilizadores e

auditores:

Para a Gestão –ajuda a balancear os riscos e controlar

investimentos num ambiente de TI, na maior parte das vezes

imprevisível.

•Para os Utilizadores –ajuda na obtenção de garantias acerca da

segurança e controlos de serviços de TI fornecidos interna e

externamente.

•Para os Auditores – ajuda a fundamentar as suas opiniões para a

gestão acerca de controles internos do TI e a serem conselheiros

proativos para o negócio,

A Missão do CobiT:

“To research, develop, publicise and promote an authoritative, up-to-

date, international set of generally accepted information technology

control objectives for day-to-day use by business managers and

auditors.”(Pesquisar, desenvolver, dê publicidade a e promova um jogo

autorizado, em dia, internacional de objetivos de controle de

informática geralmente aceitos para uso cotidiano pelos gerentes

empresariais e auditores)

3


by IT GOVERNANCE INSTITUTE

O principal objetivo do Cobit é fornecer políticas e boas práticas

para IT Governance para todas as organizações a nível mundial,

com o objetivo de ajudar a gestão executiva a perceber e gerir os

riscos associados ao TI.

O Cobit ajuda a alcançar estes objetivos fornecendo um framework

de IT Governance e guias detalhados de objetivos de controle para

a gestão, owners(donos) de processos de negócio, utilizadores e

auditores.

O Cobit começa com uma premissa muito simples: para fornecer a

informação necessária para atingir os seus objetivos, uma

organização deverá gerir os seus recursos de TI através de um

conjunto integrado de processos.

O Cobit agrupa os processos numa hierarquia simples e orientada

ao negócio. Cada processo faz referência a recursos de TI e

requisitos de qualidade, fiabilidade e segurança para a informação.

Enquadramento

O conceito subjacente do framework Cobit é que o controle no TI é

conseguido olhando à informação que é necessária para suportar

os requisitos ou objetivos de negócio e olhando para a informação

como sendo o resultado da combinação de recursos de TI

relacionados, que necessitam de ser geridos por processos de

TI.

Para satisfazer os objetivos de negócio, a informação necessita de

estar conforme com determinados critérios, a que o Cobit se refere

como sendo requisitos do negócio para informação.

No estabelecimento de requisitos, o Cobit combina os princípios

existentes em modelos de referência conhecidos.

4


Framework

O framework Cobit ajuda a gestão a satisfazer as suas variadas

necessidades colmatando as lacunas entre os riscos de negócio,

necessidades de controlo e questões tecnológicas.

Fornece um conjunto de boas práticas através de um framework de

processos e domínios e apresenta atividades numa estrutura lógica

e gerível.

Control Objectives (Controle de Objetivos)

O Cobit fornece um conjunto de 34 objetivos de controlo de alto

nível, um para cada processo de TI,agrupados em quatro domínios:

planning and organization(planejando e organização), acquisition

and implementation(aquisição e implementação), delivery and

support(entrega e apoio), e monitoring(monitorando).

Esta estrutura cobre todos os aspectos da informação e da

tecnologia que a suporta.

Endereçando estes 34 objetivos de controle a organização pode

assegurar que tem um sistema de controlo adequado para o seu

ambiente de TI.

5


Os 4 domínios da Framework

6


7


Produtos gerados no Plano de Melhoria

Questionário Script de Avaliação do Processo: usado no

direcionamento das entrevistas (Figura 10) junto aos responsáveis e

envolvidos nos processos. O questionário deve explorar as

necessidades para avaliação do nível de maturidade de cada

objetivo de controle, pontuando conforme o modelo de nível de

maturidade (0 a 5). No final da avaliação dos objetivos de controles

somará o nível de maturidade encontrado em cada objetivo de

controle e dividir pelo número de objetivos de controle existente no

processo para identificar o nível de maturidade do processo

avaliado.

Níveis de maturidade

A escala de seis níveis de maturidade do Cobit, conforme o

MODELO GENÉRICO DE MATURIDADE está indicada abaixo:

8


0 – Inexistente.

A organização não reconhece a existência de um processo a ser

gerido.

1 – Inicial /Ad-Hoc.

Há evidência de que a organização reconhece que o processo

existe e que as necessidades devem ser endereçadas. Entretanto

não há um processo padronizado e a gestão é caso a caso e

desorganizada.

2 – Repetitível, porém intuitivo.

Os processos são estruturados e procedimentos similares são

seguidos por diferentes indivíduos para a mesma tarefa. Há forte

dependência do conhecimento individual e existe alguma

documentação.

3 – Definido.

Os processos são padronizados, documentados e comunicados.

Entretanto deixa a cargo dos indivíduos seguirem os processos.

Não há certeza de que desvios serão detectados.

4 – Gerido.

Existe a possibilidade de monitorizar e medir a conformidade dos

processos com os procedimentos definidos. Há ações para melhoria

e uso de algumas ferramentas automatizadas.

5 – Optimizado.

Os processos foram refinados até alcançar as melhores práticas,

com base no resultado de melhoria contínua e comparações com

outras organizações. O TI é usado para automatizar os fluxos de

trabalho, fornecendo ferramentas para aumentar a qualidade e

eficácia dos processos.

9


10


Questionário de Entendimento do Processo: usado durante as

entrevistas para auxiliar na identificação do nível de maturidade dos

objetivos de controles (Figura 11).

11


Questionário de Avaliação do Processo: Baseado no resultado

obtido através da aplicação dos questionários de script de avaliação

do processo e o de entendimento do processo (Figura 12).

Education

Cobit2