COBIT

RESUMO
Para muitas organizaes a informao e a tecnologia que a suporta representam o seu bem mais valioso, mas muitas vezes o menos compreendido. Organizaes bem-sucedidas reconhecem os benefcios da tecnologia da informao e a utiliza para direcionar os valores das partes interessadas no negcio. Essas organizaes tambm entendem e gerenciam os riscos associados, tais como as crescentes demandas regulatrias e a dependncia crtica de muitos processos de negcios da TI. A necessidade da avaliao do valor de TI, o gerenciamento dos riscos relacionados TI e as crescentes necessidades de controle sobre as informaes so agora entendidos como elementos-chave da governana corporativa. Valor, risco e controle constituem a essncia da governana de TI.

RESUMO (CONT)

RESUMO (CONT)

GERENCIAMENTO DE INFORMAES

REAS DE FOCO NA GOVERNANA DE TI

INTRODUO
COBIT, do ingls, Control Objectives for Information and related Technology, um guia de boas prticas apresentado como framework, dirigido para a gesto de tecnologia de informao (TI). Mantido pelo ISACA (Information Systems Audit and Control Association). Foi criado em 1996 e em 28 de janeiro de 2010 foi anunciado a traduo para portus da verso 4.1.

MISSO DO COBIT:
Pesquisar, desenvolver, publicar e promover um modelo de controle para governana de TI atualizado e internacionalmente reconhecido para ser adotado por organizaes e utilizado no dia-adia por gerentes de negcios, profissionais de TI e profissionais de avaliao.

OBJETIVO
O propsito de sua criao apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma lgica e estruturada, tendo como foco: o relacionamento entre os objetivos de negcio com os objetivos de TI.

PROCESSOS PRECISAM DE CONTROLES

Controle definido como polticas, procedimentos, prticas e estruturas organizacionais criadas para prover uma razovel garantia de que os objetivos de negcios sero atingidos e que eventos indesejveis sero evitados ou detectados e corrigidos. Os objetivos de controle de TI fornecem um conjunto completo de requisitos de alto nvel a serem considerados pelos executivos para um controle efetivo de cada processo de TI. Eles: So definies de aes gerenciais para aumentar o valor ou reduzir o risco Consistem em polticas, procedimentos, prticas e estruturas organizacionais So desenvolvidos para prover uma razovel garantia de que os objetivos de controle sero atingidos e que eventos indesejveis sero evitados ou detectados e corrigidos

PROCESSOS PRECISAM DE CONTROLES (CONT)

A empresa precisa fazer escolhas relacionadas a esses processos ao: Selecionar aqueles que so aplicveis Decidir quais deles sero implementados

Escolher como implement-los (frequncia, abrangncia, automao, etc.)

Aceitar o risco de no implementar aqueles que podem ser aplicveis

PROCESSOS DE CONTROLES
PC1 Metas e Objetivos do Processo

PC2 Propriedade dos Processos

PC3 Repetibilidade dos Processos PC4 Papis e Responsabilidades PC5 Polticas Planos e Procedimentos

PC6 Melhoria do Processo de Performance

Controles efetivos reduzem riscos, aumentam a probabilidade da entrega de valor e aprimoram a eficincia, pois existiro poucos erros e o enfoque de gerenciamento ser mais consistente.

CONTROLES DE NEGCIOS E DE TI
Os sistemas de controles internos das organizaes afetam a rea de TI em trs nveis: No nvel da Alta Direo; No nvel dos processos de negcios e

Para suportar os processos de negcios.

CONTROLES GERAIS DE TI E CONTROLES DE APLICATIVOS

Os controles gerais so controles inseridos nos processos de TI e servios. Como exemplo citamos: Desenvolvimento de sistemas Gerenciamento de mudanas Segurana Operao de computadores

Os controles inseridos nos aplicativos de processos de negcios so comumente chamados de controles de aplicativos. Exemplos:
Totalidade Veracidade Validade

Autorizao
Segregao de funes

RESPONSABILIDADES
A responsabilidade pelo controle e o gerenciamento operacional dos controles de aplicativos no da rea de TI, mas do proprietrio do processo de negcio. Assim, a responsabilidade pelos controles de aplicativos compartilhada entre as reas de negcios e de TI, mas a natureza das responsabilidades muda, como segue: A rea de negcios responsvel por:

Definir os requisitos funcionais e de controles

Utilizar os servios automatizados A rea de TI responsvel por: Automatizar e implementar os requisitos funcionais e de controles

Estabelecer controles para manter a integridade dos controles de aplicativos

OBJETIVOS DE CONTROLES DE APLICATIVOS (AC)

AC1 Preparao e Autorizao de Dados Originais AC2 Entrada e Coleta de Dados Fontes AC3 Testes de Autenticidade Veracidade, Totalidade e

AC4 Processamento ntegro e Vlido

AC5 Reviso das Sadas, Reconciliao e Manuseio de Erros AC6 Autenticao Transaes e Integridade das

DIRECIONAMENTO BASEADO EM MEDIO

Modelos de maturidade que permitem fazer comparaes e identificar os necessrios aprimoramentos de capacidades. Objetivos de performance e mtricas para os processos de TI, demonstrando como os processos atingem os objetivos de negcios e de TI e so utilizados para mensurar a performance dos processos internos baseados nos princpios do balanced scorecard. Objetivo de atividades para habilitar o efetivo desempenho do processo.

MODELOS DE MATURIDADE
0 Inexistente Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questo a ser trabalhada. 1 Inicial / Ad hoc Existem evidncias que a empresa reconheceu que existem questes e que precisam ser trabalhadas. No entanto, no existe processo padronizado; ao contrrio, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento desorganizado.

2 Repetvel, porm Intuitivo Os processos evoluram para um estgio onde procedimentos similares so seguidos por diferentes pessoas fazendo a mesma tarefa. No existe um treinamento formal ou uma comunicao dos procedimentos padronizados e a responsabilidade deixado com o indivduo. H um alto grau de confiana no conhecimento dos indivduos e consequentemente erros podem ocorrer.

MODELOS DE MATURIDADE
3 Processo Definido Procedimentos foram padronizados, documentados e comunicados atravs de treinamento. mandatrio que esses processos sejam seguidos; no entanto, possivelmente desvios no sero detectados. Os procedimentos no so sofisticados mas existe a formalizao das prticas existentes.

4 Gerenciado e Mensurvel A gerencia monitora e mede a aderncia aos procedimentos e adota aes onde os processos parecem no estar funcionando muito bem. Os processos esto debaixo de um constante aprimoramento e fornecem boas prticas. Automao e ferramentas so utilizadas de uma maneira limitada ou fragmentada.
5 Otimizado Os processos foram refinados a um nvel de boas prticas, baseado no resultado de um contnuo aprimoramento e modelagem da maturidade como outras organizaes. TI utilizada como um caminho integrado para automatizar o fluxo de trabalho, provendo ferramentas para aprimorar a qualidade e efetividade, tornando a organizao rpida em adaptar-se.

O COBIT INFLUENCIA DIFERENTES USURIOS:

Alta Direo: Para obter valor dos investimentos de TI, balancear os riscos e controlar o investimento em um ambiente de TI s vezes imprevisvel. Executivos de negcios: Para assegurar que o gerenciamento e o controle dos servios de TI oferecidos internamente e por terceiros estejam funcionando de modo adequado. Executivos de TI: Para prover os servios de TI de que o negcio precisa para suportar a estratgia de negcios de maneira controlada e gerenciada. Auditores: Para substanciar suas opinies e/ou prover recomendaes sobre controles internos para os executivos.

PLANEJAR E ORGANIZAR
PO1 PO2 PO3 Definir um Plano Estratgico de TI Definir a Arquitetura de Informao Determinar o Direcionamento Tecnolgico

PO4
PO5 PO6 PO7

Definir os Processos, Organizao e Relacionamentos de TI

Gerenciar o Investimento em TI Comunicar as Diretrizes e Expectativas da Diretoria Gerenciar os Recursos Humanos de TI

PO8
PO9 PO10

Gerenciar a Qualidade
Avaliar e Gerenciar os Riscos de TI Gerenciar Projetos

ADQUIRIR E IMPLEMENTAR
AI1 AI2 AI3 AI4 AI5 AI6 AI7 Identificar Solues Automatizadas Adquirir e Manter Software Aplicativo Adquirir e Manter Infraestrutura de Tecnologia Habilitar Operao e Uso Adquirir Recursos de TI Gerenciar Mudanas Instalar e Homologar Solues e Mudanas

ENTREGAR E SUPORTAR
DS1
DS2 DS3 DS4

Definir e Gerenciar Nveis de Servio

Gerenciar Servios de Terceiros Gerenciar Capacidade e Desempenho Assegurar Continuidade de Servios

DS5
DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Assegurar a Segurana dos Servios

Identificar e Alocar Custos Educar e Treinar Usurios Gerenciar a Central de Servio e os Incidentes Gerenciar a Configurao Gerenciar os Problemas Gerenciar os Dados Gerenciar o Ambiente Fsico Gerenciar as Operaes

MONITORAR E AVALIAR
ME1 Monitorar e Avaliar o Desempenho

ME2
ME3 ME4

Monitorar e Avaliar os Controles Internos

Assegurar a Conformidade com Requisitos Externos Prover a Governana de TI

FONTES
www.wikipedia.org