1
Prof. Ms. Ricardo J Marques
O que é?
O CobiT auxilia as organizações a ter uma “Governança” de TI mais
controlada. Pode dizer-se que se posiciona a um nível superior ao
da Gestão de Serviços de TI (ITIL) e da própria norma de Serviços
de TI que é a ISO/IEC 20000.
CobiT significa Control Objectives for Information and Related
Technology(Controle de Objetivos para Informação e Tecnologia
Relacionada). É focado no negócio, orientado a processos, baseado
em controles e direcionado a métricas
O CobiT é um framework de Controle e TI de Governança que
possui 4 domínios (Planejamento e Organização, Aquisição e Imple
-mentação, Entrega e Suporte, Monitorização e Avaliação) e dentro
desses 4 domínios possui 34 processos. Está na versão 4.1, e é
mantido e atualizado constantemente pela ISACA (www.isaca.org),
que hoje é um órgão de referência mundial em nível de TI.
2
Prof. Ms. Ricardo J Marques
O CobiT foi originalmente lançado como um framework de controle
e processos para estabelecer a ligação entre o TI e os requisitos do
negócio. Era inicialmente usado maioritariamente pelas
seguradoras.
Após a adição em 1998 das orientações de gestão, Management
Guidelines(Diretrizes de administração), o Cobit é usado cada vez
mais como um framework de IT Governance, fornecendo
ferramentas de gestão como métricas e modelos de maturidade
para complementar a framework de controle.
Missão
O CobiT fornece práticas aceites generalizadamente para gestão e
controlo da informação e recursos de tecnologia de informação.
Foi desenhado para três audiências – gestão, utilizadores e
auditores:
Para a Gestão –ajuda a balancear os riscos e controlar
investimentos num ambiente de TI, na maior parte das vezes
imprevisível.
•Para os Utilizadores –ajuda na obtenção de garantias acerca da
segurança e controlos de serviços de TI fornecidos interna e
externamente.
•Para os Auditores – ajuda a fundamentar as suas opiniões para a
gestão acerca de controles internos do TI e a serem conselheiros
proativos para o negócio,
A Missão do CobiT:
“To research, develop, publicise and promote an authoritative, up-to-
date, international set of generally accepted information technology
control objectives for day-to-day use by business managers and
auditors.”(Pesquisar, desenvolver, dê publicidade a e promova um jogo
autorizado, em dia, internacional de objetivos de controle de
informática geralmente aceitos para uso cotidiano pelos gerentes
empresariais e auditores)
3
Prof. Ms. Ricardo J Marques
by IT GOVERNANCE INSTITUTE
O principal objetivo do Cobit é fornecer políticas e boas práticas
para IT Governance para todas as organizações a nível mundial,
com o objetivo de ajudar a gestão executiva a perceber e gerir os
riscos associados ao TI.
O Cobit ajuda a alcançar estes objetivos fornecendo um framework
de IT Governance e guias detalhados de objetivos de controle para
a gestão, owners(donos) de processos de negócio, utilizadores e
auditores.
O Cobit começa com uma premissa muito simples: para fornecer a
informação necessária para atingir os seus objetivos, uma
organização deverá gerir os seus recursos de TI através de um
conjunto integrado de processos.
O Cobit agrupa os processos numa hierarquia simples e orientada
ao negócio. Cada processo faz referência a recursos de TI e
requisitos de qualidade, fiabilidade e segurança para a informação.
Enquadramento
O conceito subjacente do framework Cobit é que o controle no TI é
conseguido olhando à informação que é necessária para suportar
os requisitos ou objetivos de negócio e olhando para a informação
como sendo o resultado da combinação de recursos de TI
relacionados, que necessitam de ser geridos por processos de
TI.
Para satisfazer os objetivos de negócio, a informação necessita de
estar conforme com determinados critérios, a que o Cobit se refere
como sendo requisitos do negócio para informação.
No estabelecimento de requisitos, o Cobit combina os princípios
existentes em modelos de referência conhecidos.
4
Prof. Ms. Ricardo J Marques
Framework
O framework Cobit ajuda a gestão a satisfazer as suas variadas
necessidades colmatando as lacunas entre os riscos de negócio,
necessidades de controlo e questões tecnológicas.
Fornece um conjunto de boas práticas através de um framework de
processos e domínios e apresenta atividades numa estrutura lógica
e gerível.
Control Objectives (Controle de Objetivos)
O Cobit fornece um conjunto de 34 objetivos de controlo de alto
nível, um para cada processo de TI,agrupados em quatro domínios:
planning and organization(planejando e organização), acquisition
and implementation(aquisição e implementação), delivery and
support(entrega e apoio), e monitoring(monitorando).
Esta estrutura cobre todos os aspectos da informação e da
tecnologia que a suporta.
Endereçando estes 34 objetivos de controle a organização pode
assegurar que tem um sistema de controlo adequado para o seu
ambiente de TI.
5
Prof. Ms. Ricardo J Marques
Os 4 domínios da Framework
6
Prof. Ms. Ricardo J Marques
7
Prof. Ms. Ricardo J Marques
Produtos gerados no Plano de Melhoria
Questionário Script de Avaliação do Processo: usado no
direcionamento das entrevistas (Figura 10) junto aos responsáveis e
envolvidos nos processos. O questionário deve explorar as
necessidades para avaliação do nível de maturidade de cada
objetivo de controle, pontuando conforme o modelo de nível de
maturidade (0 a 5). No final da avaliação dos objetivos de controles
somará o nível de maturidade encontrado em cada objetivo de
controle e dividir pelo número de objetivos de controle existente no
processo para identificar o nível de maturidade do processo
avaliado.
Níveis de maturidade
A escala de seis níveis de maturidade do Cobit, conforme o
MODELO GENÉRICO DE MATURIDADE está indicada abaixo:
8
Prof. Ms. Ricardo J Marques
0 – Inexistente.
A organização não reconhece a existência de um processo a ser
gerido.
1 – Inicial /Ad-Hoc.
Há evidência de que a organização reconhece que o processo
existe e que as necessidades devem ser endereçadas. Entretanto
não há um processo padronizado e a gestão é caso a caso e
desorganizada.
2 – Repetitível, porém intuitivo.
Os processos são estruturados e procedimentos similares são
seguidos por diferentes indivíduos para a mesma tarefa. Há forte
dependência do conhecimento individual e existe alguma
documentação.
3 – Definido.
Os processos são padronizados, documentados e comunicados.
Entretanto deixa a cargo dos indivíduos seguirem os processos.
Não há certeza de que desvios serão detectados.
4 – Gerido.
Existe a possibilidade de monitorizar e medir a conformidade dos
processos com os procedimentos definidos. Há ações para melhoria
e uso de algumas ferramentas automatizadas.
5 – Optimizado.
Os processos foram refinados até alcançar as melhores práticas,
com base no resultado de melhoria contínua e comparações com
outras organizações. O TI é usado para automatizar os fluxos de
trabalho, fornecendo ferramentas para aumentar a qualidade e
eficácia dos processos.
9
Prof. Ms. Ricardo J Marques
10
Prof. Ms. Ricardo J Marques
Questionário de Entendimento do Processo: usado durante as
entrevistas para auxiliar na identificação do nível de maturidade dos
objetivos de controles (Figura 11).
11
Prof. Ms. Ricardo J Marques
Questionário de Avaliação do Processo: Baseado no resultado
obtido através da aplicação dos questionários de script de avaliação
do processo e o de entendimento do processo (Figura 12).
Top Related