Introdução ao COBIT

Prévia do material em texto

Aula5: Introdução ao COBIT
O Control Objectives for Information and related Technology (COBIT) foi criado em 1994 através do Information Systems Audits and Control Foundation (ISACF), órgão oficial de certificação de auditores americanos, para preencher o espaço que existia pela falta de um roteiro padrão a ser seguido para auditar os processos de TI.       
Histórico do modelo 
O sucesso da iniciativa do seu lançamento aliado à necessidade existente de um padrão a ser seguido fez com que o mesmo fosse amplamente aceito. Sua segunda edição foi publicada em 1998, contendo uma revisão dos objetivos de controle de alto nível detalhados, juntamente com um conjunto de ferramentas e padrões de uso. Em julho de 2000 foi publicada a terceira edição, através do IT Governance Institute (IGTI), órgão criado pela Information Systems Audit and Control Association (ISACA) para promover a governança de TI, assunto presente nesta edição. No ano de 2005 saiu a versão 4.0, com práticas e padrões mais maduros, alinhados a modelos como ISO/IEC 17799 (segurança da informação, substituída pelo conjunto 27001-27008), COSO e ITIL, além de oferecer conformidade com as regulamentações exigidas pelo mercado. No ano de 2007 o ITGI publicou uma versão incremental (versão 4.1) do COBIT, utilizada atualmente, melhorando as definições dos conceitos básicos,dos objetivos de controle e dos processos de verificação e divulgação de resultados. A versão 5.0 do COBIT, com provável lançamento em 2011, deverá proporcionar a orientação da ISACA na governança corporativa de TI. As modificações serão para 
consolidar e integrar a versão 4.1, o Val IT 2.0, o Risk IT e outros modelos. Além disso, a nova versão irá fornecer melhores orientações para ajudar as empresas a administrar a TI e cumprir com as crescentes obrigações legais, regulamentares e contratuais. Existe forte expectativa dos profissionais da área para que no COBIT 5.0 seja dada maior atenção ao alinhamento estratégico de TI, à gestão da informação e à medição de desempenho.
Objetivos do modelo 
O modelo COBIT em sua versão 4.1, publicada pelo ITGI em 2007, descreve sua missão como “pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia-a-dia por gerentes de negócios, profissionais de TI e profissionais de avaliação”.
Objetivos do modelo
As boas práticas contidas no COBIT são representadas através de um modelo de domínios, processos e atividades em uma estrutura lógica e gerenciável. São práticas mais voltadas para o controle do que para a execução, ajudando a otimizar os investimentos em TI, facilitar o cumprimento na entrega dos serviços, estabelecer métricas de controle e auxiliar na governança corporativa. De acordo com o ITGI, o COBIT contribui para atender as seguintes necessidades:
(Estabelecer o relacionamento com os requisitos de negócio.
(Organizar as atividades de TI em um modelo de processos.
(Identificar os mais importantes recursos de TI a serem utilizados.
(Definir os objetivos de controle a serem considerados pela gestão.
O COBIT ajuda a diminuir a distância entre os requisitos de negócio, as necessidades de controle e questões técnicas.É um modelo de controle para atender as necessidades da governança de TI e garantir a integridade dos sistemas de informação e de informação.
O modelo COBIT possui uma amplitude generalista suficiente para abarcar todos os 
processos normalmente encontrados nas funções de TI. Sua compreensão é facilitada por apresentar uma visão do que o pessoal técnico precisa executar e o que os executivos desejam ter para governar. 
Framework do COBIT 
O COBIT é orientado a processos de TI e se dirige prioritariamente aos proprietários desses processos, referindo-se tanto aos processos centrais (exemplos: contratos, operações, marketing e vendas), quanto aos de apoio (exemplos: recursos humanos, administração e tecnologia da informação). Portanto, o COBIT transcende a área de TI abarcando o negócio como um todo. 
 
Para atender as necessidades que um modelo de governança de TI exige, o COBIT foi criado com foco nos requisitos de negócios, orientado a processos, baseado em mecanismos de controle e com direcionamento para análise das medições e indicadores de desempenho.
Foco Em Negócios
A orientação para negócios é a raiz do COBIT, conforme seus princípios básicos mostrados na imagem a seguir.
Na visão do COBIT, seus princípios ditam que, para fornecer a informação que a empresa necessita para atingir seus objetivos de negócio é necessário investimento, gerenciamento e controle dos recursos de TI, que são utilizados por um conjunto estruturado de processos de TI, para prover os serviços que vão disponibilizar as informações necessárias para a organização.
 
As informações necessárias para atender os objetivos de negócio devem se adequar a sete critérios de controle
Para satisfazer os objetivos de negócio, a informação necessita estar em conformidade com certos critérios de controle da informação que o COBIT se refere como necessidades de informação da empresa, conforme a seguir:
Orientação Para Processos
As atividades de TI são definidas no COBIT através de um modelo de processos genéricos, conforme figura, com os quatro seguintes domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monitorar e Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses domínios são distribuídos nos 34 processos mostrados na figura e mapeiam os agrupamentos usuais existentes em uma organização de TI.
As áreas tradicionais sob a responsabilidade de TI costumam ser identificadas como planejamento, construção, processamento e monitoramento. O modelo COBIT mostra estas responsabilidades em cada um de seus domínios, conforme a seguir:
Baseado em Controles
Para o COBIT 4.1, controle é definido como “políticas, procedimentos, práticas e estruturas organizacionais criadas para prover uma razoável garantia de que os objetivos de negócios serão atingidos e que eventos indesejáveis serão evitados ou detectados e corrigidos”.
Um objetivo de controle define o que se deseja alcançar como resultado em uma atividade de TI específica, utilizando procedimentos de controle. O COBIT define objetivos de controle para todos os 34 processos. A figura ao lado mostra um modelo padrão de controle.
Como exemplo, pode-se fazer uma analogia com o controle de refrigeração de um ambiente que deve ser mantido a 20o (padrão). Uma vez definido o padrão através do sistema de refrigeração (PROCESSA), haverá uma constante avaliação (COMPARA) da temperatura ambiente (controle de informação) que sinalizará (Age) para o sistema de refrigeração aumentar ou reduzir a temperatura sempre que uma variação for identificada.
Direcionamento Baseado Em Medição
Um dos maiores desafios da organização é o de conseguir entender o quanto de aprofundamento deve ser adotado pelos mecanismos de controle e medição de desempenho. É importante saber o que deve ser medido, como e onde obter os dados, como analisar os resultados e qual o caminho a ser percorrido mantendo a relação de custo versus benefício.  
A abordagem do COBIT para estas questões é feita através de Modelos de maturidade, Metas e medições de desempenho e Objetivos de atividades:
Modelos de maturidade
Comparações e identificação de necessidades para aprimoramento. Para cada processo de TI, é estabelecido um modelo de maturidade baseado em níveis, podendo ser utilizado para avaliar como se encontra a maturidade da organização no referido processo, conforme os níveis abaixo:
Nível 0 (inexistente) - > Gerenciamento de processos não aplicado
Nível 1 (inicial/Ad hoc) -> Processos são ad hoc e desorganizados
Nível 2 (Repetível, porém intuitivo) -> Processos seguem um caminho padrão, mas dependem do conhecimento das pessoas
Nivel 3 (Definido) ->Processos são documentados e comunicados
Nível 4 (Gerenciado e mensurável) -> Processos são monitorados e medidos
Nível 5 (Otimizado) -> Boas práticas são seguidas e automatizadas
Metas e medições de desempenho
Como os processos de TI atingem os objetivos de negócios. Os objetivos e métricas são definidos no COBIT em três níveis conforme a seguir:
O que o negócio espera de TI (metas de TRI) e como medir isso
O que os processos de TI precisam entregar para suportar os objetivos de TI (metas dop processo) e como medir isso
O que precisa acontecer dentro do processo para atingir a performance requerida (metas de atividades) e como medir isso
Existe uma lógica nos objetivos de tal forma que eles sejam definidos de cima para baixo e que os objetivos de negócios possam determinar um ou mais objetivos de TI que irão suportá-los .
Consegue-se atingir um objetivo de TI através de um ou mais processos. Assim, os objetivos de TI ajudam nos objetivos de processos. Mas, um objetivo de processo requer um número de atividades que, por sua vez, estabelecem os objetivos das atividades.
Modelos de maturidade -> Definem medições que informam se um processo de TI atingiu os objetivos de negócio. Como só podem ser medidos após os fatos, eles são chamados de indicadores históricos (lag indicators).
Indicadores de desempenho -> Indicam se os processos de TI estão sendo bem executados, e que assim, possivelmente, os objetivos de negócio serão atingidos. Como são medidos antes do resultado final, são chamados de indicadores futuros (lead indicators).
Objetivos de atividades -> Habilitar o desempenho do processo
Visão Integrada Do Modelo
O modelo de processos do COBIT está desenhado de tal forma a permitir que as atividades de TI e os recursos que as suportam possam ser gerenciados, controlados, alinhados e monitorados, segundo os objetivos de controle do COBIT e suas métricas, conforme ilustrado ao lado.
De forma sintetizada, os recursos de TI são gerenciados pelos processos de TI para atingir os objetivos de TI que respondem aos requisitos de negócios.
Aceitabilidade do COBIT
O COBIT é baseado nas boas práticas de TI que existem no mercado, estando adequado aos princípios de governança de TI que normalmente são aceitos. Seu posicionamento é de alto nível, mantendo foco nos requisitos de negócios e abrangendo todas as atividades de TI. Com relação à governança de TI, sua proposta está mais voltada para o que se deve atingir do que como fazer para se atingir o ponto de governança desejado, com gerenciamento e controle. Recomendado para ser utilizado em um nível estratégico, acaba atuando também como um integrador de práticas de governança de TI, sendo complementado com outras boas práticas de mercado especializadas em cada assunto. Sua abrangência acaba influenciando diferentes usuários, como: