Cobit - Conceitos básicos, estrutura e objetivos.

Introdução


O termo Cobit vem do inglês: Control Objectives for Information and related Technology. O COBIT é um modo (é um framework - ou seja, um leque de diretrizes) para implementar a governança de TI, desenvolvido pelo IT Governance Institute – ITGI (www.itgi.com), criado em "1998" para definir padrões no direcionamento e controle da tecnologia da informação nas empresas. CobiT independe das plataformas de TI adotadas nas empresas.


Framework = leque de diretrizes = melhores práticas

Versões:

v1 - ISACF - Compilação de ref. s/ controle e auditoria de TI (96)
v2 - ISACA - v1+Kit de implantação (98)
v3 - ITGI - Mgmt Guidelines (00)
v4 - Consolidação (Mgmt. guid, framework, objetivos) + > det e estruturação .


- Áreas focais Cobit v4:
1) Alinhamento estratégico
2) Entrega de Valor
3) Ger. de Risco
4) Ger. de Recursos
5) Ger. de Performance

- O CobiT é projetado para auxiliar três audiências distintas:
1) Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em organização.(Executivos, de Negócios e TI)
2) Usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados.
3) Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização.


O CobiT v3 está dividido em quatro domínios:
  • Planejamento e organização.
  • Aquisição e implementação.
  • Entrega e suporte.
  • Monitoração.(v4 = Mon. e Análise).

Estrutura CObit v3:


Na figura acima estão representados os principais componentes estruturais do Cobit v3. O pacote de implementação compreende:


  1. Sumário Executivo
  2. Caso de Estudos
  3. FAQs, PPTs,
  4. Guia de Implementação - Mgmt awareness diagnostics

Estrutura Cobit v4:


Uma efetiva governança de TI ajuda a garantir que a tecnologia da informação apoia efetivamente os objetivos de negócio (“Business Goals”), otimiza o investimento de TI e gerencia as oportunidades e ameaças relacionadas a TI.

Definições:


COBIT 3.0
Relacionamentos e processos para gerenciar ou controlar a empresa visando atingir as metas de negócios adicionando valor enquanto que equilibra os riscos e o retorno sobre TI e seus processos. A estrutura une os processos, recursos e a informação em TI com as estratégias e objetivos de negócio. É composto por 34 processos e 318 objs de controle.


COBIT 4.0
Liderança. Estrutura organizacional e Processos que garantam que a área de TI suporte e estenda as estratégias e objetivos da organização. É composto por 34 processos e 215 objs de controle.



Objetivos:


O propósito de sua criação é apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma lógica e estruturada, tendo como foco: o relacionamento entre os objetivos de negócio com os objetivos de TI.

Benefícios:



  1. Better alignment, based on a business focus
  2. A view, understandable to management, of what IT does
  3. Clear ownership and responsibilities, based on process orientation
  4. General acceptability with third parties and regulators
  5. Shared understanding amongst all stakeholders, based on a common language
  6. Fulfillment of the COSO requirements for the IT control environment

Caracteristicas:


  1. Focado no Negócio (Metas Org => Metas TI => Arq. de TI => Proc/Atvs => Recursos TI)
  2. Orientado por processo (Estrutura e Responsabilidades)
  3. Baseado em controles ( Politicas, Praticas, Estruturas)
  4. Dirigido por Métricas (MM, KGI, KPI, Fatores críticos p/ Sucesso).

Vale destacar que o Cobit é um modelo utilizado internacionalmente como um instrumento (de fomento) da Governança de TI, contendo práticas e técnicas de controle e gerenciamento, a fim de:


  1. auxiliar na preparação para auditorias,
  2. acompanhamento/monitoramento,
  3. a avaliação dos processos de TI e , finalmente,
  4. auxiliar no alcance de metas na organização.
Fundamentos:


  1. Objs do negócio: Informação
  2. Recursos de TI (geram a INFO) - DATIP v3(Dados,App,Tech, Instal, Proc) e DAIP v4(Dados, App, Infra, Proc)
  3. Recursos alocados p/ processos
  4. Objs de controle

Critérios da Informação:


  1. QUALIDADE (Eficácia/Eficiência)
  2. SEGURANÇA (Confidencialidade, Integridade e Disponibilidade)
  3. ADEQUAÇÃO/FIDUCIÁRIOS(Conformidade e Confiabilidade)

Quanto aos Recursos e Processos em TI:

Com o foco nos negócios, o Cobit vem a apoiar de forma significativa a área de TI. Suas diretrizes pertencem a um conjunto de 318 controles, distribuídos em 34 processos, cada qual visando, segundo a Cobit, um Objetivo de Controle. (Cobit v3)


Ferramentas:

* framework;
* mapas de auditoria;
* sumário executivo;
* control objectives - Objetivos de Controle (propósito a ser alcançado ou o resultado a ser atingido);
* guia - técnicas de gerenciamento e
* ferramentas - quanto à implementação do modelo.

Não necessariamente nesta ordem, mas estes são os recursos que podem auxiliar na implantação de um modelo na TI e permitir uma análise mais precisa quanto aos processos e resultados. Importante ressaltar que a área em questão deve manter os olhos no alinhamento dos negócios e, ao mesmo tempo, ficar atento ao gerenciamento de riscos.

Vale frisar ainda que, quando falamos em controles voltados ao Cobit, estamos falando de:

* procedimentos;
* práticas;
* regras de negócios (organização) e
* políticas

A soma destes ingredientes serve de preparo as exigências da boa governança em TI quanto às expectativas do mercado, legislação, automação, a organização em si, aos acionistas, aos clientes internos, auditores, etc.

No entanto, a TI através do Cobit, deverá fornecer todas as informações (sólidas) e métricas necessárias quando solicitadas - com base no KGI (Key Goal Indicators), ROI (Return on Investment), KPI (Key Performance Indicator) para que a organização possa atingir suas metas com o menor risco possível. Este é um ponto primordial. Vale analisar que talvez, haja a necessidade da interação entre a área financeira da empresa e a TI.



Observações finais:

Interessante saber que, qualquer organização pode utilizar as boas práticas do Cobit, pois independe do tipo de negócio, infra-estrutura, sistemas ou tecnologia utilizada.

E vale lembrar que, o papel do Cobit é não determinar como os processos devem ser estruturados(não é prescritivo) , mas utilizá-lo da melhor forma, a fim de, ceder e gerar as informações que a empresa realmente necessita, levando em consideração, conforme já citado, o relacionamento entre os objetivos de negócio da organização e os objetivos da área em questão (a TI), atingindo assim, suas metas com base na governança.

Portanto, seu papel é descobrir a solução do desalinhamento entre TI e Negócio diante das principais regulamentações (normas regulatórias) existentes no mercado, por exemplo: a Basiléia, a SOX, ...

_________________________________


Dificuldades:


A dificuldade de aplicação do Cobit não está relacionada aos objetivos de controles individuais, que são relativamente simples e conhecidos, mas com o conjunto de objetivos de controles pelos quais o Cobit foi desenvolvido. O desafio é decidir em qual objetivo a empresa deve colocar esforço e orçamento, e em qual ignorar. Que certeza podemos ter que as áreas prioritárias foram cobertas, sem gastar esforço em áreas desnecessárias? De forma a tornar mais fácil de acessar e visualizar, os objetivos de controle, eles foram agrupados em 34 processos ( também conhecidos como objetivos de controle de alto-nível definidos no documento do COBIT), estes por sua vez são agrupados em 4 domínios. Cada objetivo de controle de TI possui um detalhamento publicado pelo ITGI que se chama práticas de controle (1547 “Control Practices”) que são a extensão dos objetivos de controles. O framework do Cobit foi criado com as características de ser focado ao negócio, orientado a processo, baseado em controles e orientado a medições de maturidade. Este framework é baseado no seguinte princípio:


"para fornecer informações que a empresa necessita para alcançar seus objetivos, a empresa precisa gerenciar e controlar recursos de TI usando um conjunto estruturado de processos para entregar as informações requisitadas. Desta forma, existe um relacionamento formal entre os objetivos do negócio e objetivos de TI, definindo a prioridade dos processos de TI. "

Referências:
http://www.isaca.org/

2 comentários

Postagens mais visitadas deste blog

MANUAL DE REDAÇÃO DA PRESIDÊNCIA DA REPÚBLICA

Plural de substantivos compostos

Atualidades - 15 de agosto de 2016