Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 UNIVERSIDADE ESTADUAL DE MATO GROSSO DO SUL Cobit Objetivos de Controle para Informações e Tecnologia Relacionada Dourados-MS, 2013 Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 UNIVERSIDADE ESTADUAL DE MATO GROSSO DO SUL Fábio Goulart de Matos RGM: 17707 Cassiano Rogério dos Santos RGM: 023876 Adolfo Eduardo Noia de Queiroz RGM: 021490 Cobit Objetivos de Controle para Informações e Tecnologia Relacionada Trabalho solicitado pelo professor Jónison Almeida dos Santos, da disciplina Gerência e Qualidade de Software do curso Bacharelado em Sistemas de Informação da Universidade Estadual de Mato Grosso do Sul. Dourados-MS, 2013 Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Sumário Introdução ................................................................................................................................... 4 Cobit - Objetivos de Controle para Informações e Tecnologia Relacionada ............................. 4 Componentes do Cobit ............................................................................................................... 5 Estrutura Cobit ............................................................................................................................ 6 Processos do Cobit ..................................................................................................................... 9 Processos do domínio de Planejamento e Organização........................................................ 10 Processos do domínio de Aquisição e Implementação ......................................................... 10 Processos do domínio de Entrega e Suporte ......................................................................... 10 Processos do domínio de Monitoração e Avaliação ............................................................. 11 Práticas de Controle .............................................................................................................. 11 Conclusão ................................................................................................................................. 12 Referências ............................................................................................................................... 13 Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Introdução A gerência dos processos internos da empresa visa à criação de uma interface de interação, entre os setores da mesma. Com essa interface, as pessoas envolvidas na empresa conseguem identificar processos, responsabilidades dos setores e pessoas, quantificáveis pelos indicadores de metas da empresa. Empresas que possuem controle de seus processos conseguem melhores colocações no mercado, assim garantem sua competitividade e retorno financeiro. Cobit - Objetivos de Controle para Informações e Tecnologia Relacionada É uma estrutura de governança e controle, foca em “o que precisa ser feito” ao invés de “como fazer”. É uma estrutura desenvolvida por auditores de sistemas. A estrutura foi construída a partir das melhores práticas de gestão de TI, além de padrões existentes. É uma ferramenta prática de gerenciamento e não uma metodologia. Nesse framework a o setor de TI precisa estar alinhado com o plano de negócios da empresa, assim a TI deve gerar informações necessárias à empresa, para que a mesma possa atingir seus objetivos e assim gerar valor ao negócio. Existem muitos modelos voltados a gerenciamento e implementação de processos, esses padrões funcionam em diversos níveis em uma empresa: ITIL - Mapeia a entrega de serviços ao nível de execução de processos. CMM - É um modelo que ajuda as empresas a melhorar a execução e o controle dos processos de desenvolvimento e manutenção de sistemas. ISO 17799 - É um guia que atua no nível de controle dos processos de segurança e tem um componente de estratégia. Cobit - Foca no controle dos processos de TI voltado para a geração de valor ao negócio. Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Componentes do Cobit As empresas dependem de dados e informações confiáveis e rápidas. Os componentes do Cobit fornecem uma estrutura clara para determinar a entrega de valores, enquanto gerencia os riscos e controla os dados e informações. Para gerar estas informações, o framework possui os seguintes Componentes: Os requerimentos são: 1. Fornecer Estreito Foco no Negócio; 2. Garantir Orientação por Processos; 3. Possuir Aceitação entre as Empresas; 4. Auxiliar o Cumprimento de Regulamentações Externas; 5. Definir uma Linguagem Comum; 1. Fornecer Estreito Foco no Negócio: Cobit alcança o estreito foco no negócio ao alinhar TI com os objetivos de negócio. As medições de desempenho de TI devem focar na contribuição de TI para criar valor ao negócio. Fornece indicadores voltados para a entrega de serviços e não de competência puramente técnica. 2. Garantir Orientação por Processos: Quando as empresas aplicam Cobit, o foco da empresa se torna mais orientado a processos. Exceções são claramente identificadas e tratadas dentro dos processos. Processos definem metas e responsabilidades e permitem a empresa manter controle sobre níveis de serviços. 3. Possuir Aceitação entre as Empresas: Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Cobit é um padrão mundialmente comprovado e aceito. Guia criado a partir das melhores práticas e administrado por auditores, o framework tem uma aceitação natural dentro das corporações, consultorias e empresas de auditoria em todo mundo. 4. Auxiliar o Cumprimento de Regulamentações Externas: O framework é utilizado por gestores, consultores e auditores em todo mundo como guia de controles de TI a serem demonstrados para os órgãos regulatórios. 5. Definir uma Linguagem Comum. Atualmente, com o funcionamento de times globais e multifuncionais, forças tarefas são sempre lideradas por pessoas que não são cientes do tamanho da implementação, porque suas experiências vêm de outras áreas da empresa. Coordenação dentro e entre os times de projeto e empresas pode fazer um papel decisivo para o sucesso de qualquer projeto. Uma estrutura completa e organizada acaba com as discussões internas que gastam muito tempo dos projetos que envolvem diversas áreas. O Cobit ajuda a por todos na mesma página ao definir termos e glossários. Estrutura Cobit Dividido em 4 domínios e em 34 áreas de processo. Cobit cria processos genéricos, sendo capaz de atuar em vários seguimentos, como setores de negócios e tecnológicos. Esses são os tópicos que os executivos precisam atentar para incrementa um setor de TI na empresa. Os gerentes operacionais utilizam os processos para organizar e gerenciar as atividades da TI. Os domínios do Cobit são: Planejar e Organizar – provê direção, de soluções, de entrega de serviços, soluções adequadas para o usuário final – Defini, plano estratégico da TI, arquitetura e informação, direcionamento tecnológico, gerenciar investimento, riscos, gerenciar projetos e qualidade. o Estratégia e Táticas: a TI e a estratégia de negócios estão alinhados? o A empresa está alcançando o uso otimizado dos seus recursos? o Visão Planejada: todas as pessoas da organização entendem os objetivos da TI? Sistema de Informação - UEMS SI-UEMS Dourados-MS,2013 o Organização e Infraestrutura: os riscos da TI estão identificados e gerenciados? o A qualidade dos sistemas de TI está apropriada para as necessidades de negócio? Aquisição e Implementação – provê as soluções e as transferem para a entrega de serviços, identificam soluções automatizadas, que serão aplicadas ou reutilizadas na corporação, aquisição de manutenção de sistemas e de infraestruturas, desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e gerência de mudanças. o Soluções de TI: os novos projetos entregam soluções que atendem as necessidades de negócio? o Os novos projetos são entregues dentro dos prazos e orçamentos? o Mudanças e Manutenções: os novos sistemas funcionam corretamente quando implementados? o As mudanças podem ser realizadas sem causar problemas nas operações de negócios atuais? Entrega e Suporte – recebe as soluções e as torna passiveis ao usuário, tratam da definição de níveis de serviço, gerencia de fornecedores integrados as atividades, garantem o desempenho, continuidade e segurança do sistema; treinamento de usuários; alocação de custos de serviços; gerenciam configurações, dados, problemas e incidentes. o Entrega dos serviços solicitados: os serviços de TI estão em linha com as prioridades do negócio? o Definindo os processos de suporte: os custos estão otimizados? o A confidencialidade, integridade e disponibilidade estão adequados? o Os usuários da TI são capazes de utilizar os sistemas de TI de forma produtiva e com segurança? Monitoramento – de processos para garantir as direções. Trata-se da supervisão das atividades dos outros processos; adequações realizadas na empresa para garantia de Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 procedimentos operacionais; coleta e analise de dados operacionais e estratégicos para auditoria e para controle da organização. o Avaliações regulares e garantia de entrega: o desempenho da TI pode ser avaliado e os problemas podem ser detectados antes que seja tarde? o Visão gerencial do sistema de controle: a empresa garante que os controles internos são efetivos e eficiente? o Avaliação do desempenho: o desempenho de TI está atrelado aos objetivos de controle? o Os riscos, controle, cumprimento e desempenho são medidos e reportados? Esses domínios cobrem a estratégia e as táticas, preocupando-se com a identificação da maneira em que TI pode melhor contribuir para, atingir os objetivos de negócios. O sucesso da visão estratégica precisa ser planejado, comunicado e gerenciando por diferentes perspectivas, para atingir os objetivos de negócios. As organizações com uma apropriada infraestrutura tecnológica e organizacional, através de relatórios de avaliação, conseguem determinar o nível de maturidade do processo na empresa. O método de auditoria segue o modelo do CMM, que estabelece os seguintes níveis: Inexistente: significa que o processo de gerenciamento não foi implantado. Inicial: o processo é realizado sem organização, de modo não planejado. Repetível: o processo é repetido de modo intuitivo, isto é, depende mais das pessoas do que de um método estabelecido. Gerenciado: existem métricas de desempenho das atividades, o processo é monitorado e constantemente avaliado. Otimizado: as melhores práticas de mercado e automação são utilizadas para a melhoria continua dos processos. Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 O sumário executivo do relatório traz as seguintes informações, para processos definidos: Métodos definidos e estabelecidos: o Como é definido e estabelecido? o Quais os controles mínimos para a verificação de desempenho? o Como pode ser efetuada a auditoria? o Quais as ferramentas utilizadas no método e o que avaliar no método para a sua melhoria? A partir de então, a organização define as metas, isto é, os objetivos de controle a serem atingidos. Processos do Cobit A estrutura do Cobit possui 34 processos de TI definida dentro dos quatro domínios. O termo “High Level Control Objective”1 também é utilizada no Cobit para descrever a palavra “Processos”. 1 Controle de Objetivos de Alto Nível. Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Processos do domínio de Planejamento e Organização PO1 - Definir um Plano Estratégico de TI; PO2 - Definir a Arquitetura da Informação; PO3 - Determinar o Direcionamento Tecnológico; PO4 - Definir Processos, Organização e Relacionamentos de TI; PO5 - Gerenciar os Investimentos de TI; PO6 - Comunicar Metas e Direcionamento Gerencial; PO7 - Gerenciar Recursos Humanos de TI; PO8 - Gerenciar Qualidade; PO9 - Avaliar e Gerenciar Riscos de TI; PO10 - Gerenciar Projetos; Processos do domínio de Aquisição e Implementação AI1 - Identificar Soluções Automatizadas; AI2 - Adquirir e Manter Software Aplicativos; AI3 - Adquirir e Manter Infraestrutura Tecnológica; AI4 - Garantir Operação e Uso (documentação e manual de usuários); AI5 - Contratar Recursos de TI; AI6 - Gerenciar Mudanças; AI7 - Instalar e Validar Soluções e Mudanças; Processos do domínio de Entrega e Suporte DS1 - Definir e Gerenciar Níveis de Serviço; DS2 - Gerenciar Serviços de Terceiros; DS3 - Gerenciar Desempenho e Capacidade; DS4 - Garantir Continuidade de Serviços; DS5 - Garantir Segurança dos Sistemas; DS6 - Identificar e Alocar Custos; DS7 - Educar e Treinar Usuários; DS8 - Gerenciar Help Desk e Incidentes; Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 DS9 - Gerenciar a Configuração; DS10 - Gerenciar Problemas; DS11 - Gerenciar Dados; DS12 - Gerenciar o Ambiente Físico; DS13 - Gerenciar Operações; Processos do domínio de Monitoração e Avaliação ME1 - Monitorar e Avaliar o Desempenho de TI; ME2 - Monitorar e Avaliar os Controles Internos; ME3 - Garantir Comprimento Regulatórios; ME4 - Prover Governança de TI; Cada Processo do Cobit contém diversos Objetivos de Controles Detalhados. O Objetivo de Controle Detalhado sustenta o objetivo de um Processo. Foca no controle de tarefas e atividades chaves, que estão relacionadas ao processo. É uma afirmação do resultado desejado, de uma proposta a ser atingida em uma determinada atividade do processo. Está relacionado aos mínimos controles requeridos no processo. Práticas de Controle É uma extensão do Cobit, que fornece um nível adicional no Objetivo de Controle detalhado. É utilizado para implementar o Objetivo de Controle Detalhado. Lembrando que o framework diz “o que” precisa ser feito para efetivamente controlar a TI, as práticas de controle já fornecem o “como” e “porque” utilizar o objetivo de controle detalhado. Universidade Estadual de Mato Grosso do Sul Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 Cobit Management Guidelines 2- fornece ferramentas para criar painéis de controle e benchmarking3 para o programa de Governança de TI. O guia de orientação auxilia o negócio e a TI a responderem as seguintes questões: Estamos atingindo as nossas metas? Como medimos os resultados? Como controlamos os processos? Como determinamos se estamos fazendo as coisas certas? O guia de orientações para aplicação de Cobit é composto por: Indicadores Chaves de Meta (KGIs); Indicadores Chaves de Desempenho(KPIs); Entradas e saídas dos processos; Processos e Metas de Atividades; Tabela RACI; Modelos de maturidade Conclusão Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes em segurança, organização e comunicação. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking4 com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As recomendações de gerenciamento do Cobit com Orientação no modelo de maturidade em governança auxiliam os gerentes no cumprimento de seus objetivos alinhados com os objetivos dos negócios da organização. 2 Cobit Management Guidelines – guia de orientação para aplicação de Cobit. 3 Benchmarking – pontos de referência, aferição, comparações. 4 Pontos de equilíbrio, histórico de equilíbrio da empresa. Universidade Estadual de Mato Grosso do Sul Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 A aplicação do framework se mostra de extrema valia e ganhos contínuos a empresas que possuem sólidos controles sobre as suas operações. Cobit se torna um demonstrativo real dos resultados da empresa. Referências Barbosa, A. M., Barbosa, S. R., Batistoni, V., Lima, V. B., Mata, J. R., Melo, I. A., et al. (2011). Governança em TI: Cobit, Itil. Revista Cientifica Eletrônica de Administração - ISSN: 1676-6822, 19. Nunes, B. O. (28 de 05 de 2012). COBIT - Introdução - Histórico. Acesso em 28 de 06 de 2013, disponível em Gestão de TI Inteligente : http://tiinteligente.blogspot.com.br/2012/05/cobit-introducao-historico.html
Compartilhar