Control Objectives for Information and related Technology - COBIT - Control Objectives for Information and related Technology

O QUE É COBIT ?

COBIT É um guia para a gestão de TI publicado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org), em 1996. Foi desenvolvido com base no consenso de especialistas de todo o mundo no que concerne às melhores práticas e metodologias, tais como códigos de conduta, critérios de qualificação para os sistemas e processos de TI, padrões profissionais para controle interno e auditoria, práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia, tais como os setores financeiro e de telecomunicações. Inclui recursos tais como um sumário executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento. As práticas de gestão do COBIT são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados.

O COBIT independe das plataformas de TI adotadas nas empresas. O grande diferencial é sua orientação para negócios, o que vem atender às seguintes demandas: Administração e gerência, visando equilibrar os riscos e os investimentos em controles no ambiente dinâmico de TI Usuários, que dependem dos serviços de TI e seus respectivos controles e mecanismos de segurança para realizar suas atividades Auditores, que podem utilizá-lo para validar suas opiniões ou para recomendar melhorias dos controles internos à administração.

Conjunto de 318 objetivos de controle. Planejamento COBIT Divide TI em 34 processos pertencentes a quatro domínios e fornece um objetivo de controle de alto nível para cada um deles; Analisa as necessidades de qualidade e segurança da empresa, fornecendo 7 critérios que podem ser utilizados para definir genericamente o que o negócio requer de TI; Conjunto de 318 objetivos de controle. Planejamento Aquisição & Implementação Entrega & Suporte Monitoração Eficácia Eficiência Disponibilidade Integridade Confidencialidade Confiança Conformidade

Objetivos do Negócio Governança de TI Governança de TI Informação Eficácia Eficiência Disponibilidade Integridade Confidencialidade Confiança Conformidade 4. Monitoramento Planejamento e organização Recursos de TI Dados Aplicativos Tecnologia Instalações Pessoas 3. Entrega e Suporte 2. Aquisição e Implementação

Planejamento e Organização COBIT Cada domínio cobre um conjunto de 34 processos para garantir a completa gestão de TI: Planejamento e Organização Define o plano estratégico de TI Define a arquitetura da informação Determina a direção tecnológica Define a organização de TI e seus relacionamentos Gerencia os investimentos de TI Gerencia a comunicação das direções de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade

Aquisição e Implementação COBIT Aquisição e Implementação Identifica as soluções de automação Adquire e mantém os softwares Adquire e mantém a infra-estrutura tecnológica Desenvolve e mantém os procedimentos Instala e certifica softwares Gerencia as mudanças

COBIT Entrega e suporte Define e mantém os acordos de níveis de serviços (SLA) Gerencia os serviços de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos serviços Assegura a segurança dos serviços Identifica e aloca custos Treina os usuários Assiste e aconselha os usuários Gerencia a configuração Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operações

Monitoração Monitora os processos COBIT Monitoração Monitora os processos Analisa a adequação dos controles internos Provê auditorias independentes Provê segurança independente

Modelos de Maturidade: COBIT Modelos de Maturidade: São usados para definir o perfil da empresa em relação aos controles adotados para os processos de TI e fornecem um método de nivelação para cada um dos 34 processos de TI, de forma que a organização possa se enquadrar em um ranking de inicial a otimizado (1 a 5). Desta forma, a alta administração tem acesso às seguintes informações: Onde a organização está A situação atual dos melhores do mercado Permite visualizar onde a organização quer estar

Inexistente Inicial 1 Repetitivo 2 Definido 3 Gerenciado 4 Otimizado 5 COBIT Inexistente Inicial 1 Repetitivo 2 Definido 3 Gerenciado 4 Otimizado 5 Legenda de Símbolos Situação atual Padrão Internacional Melhor prática da Indústria Estratégia da empresa Níveis de Maturidade 0 – O gerenciamento de processos não é aplicado 1 – Processo sob demanda, não organizado 2 – Os processos seguem um padrão regular 3 – Os processos são documentados e comunicados 4 – Os processos são monitorados e medidos 5 – As melhores práticas são seguidas e automatizadas

Controle Gerencial Fatores Críticos de Sucesso E D F C G B H A Processos de TI Ações e Questões mais importantes

Geralmente expressos em termos dos seguintes Critérios de Informação: Definem medidas que informam a Gerência, depois do fato ocorrido, se um processo de TI atendeu os requerimentos de negócios. Indicadores Chaves de Metas Geralmente expressos em termos dos seguintes Critérios de Informação: Disponibilidade Informação necessária para suportar o negócio Redução de riscos de integridade e confidencialidade Custo-eficiência de processos e operações Validação da Confiabilidade, Integridade e Conformidade

Indicadores Chaves de Desempenho Termômetro para acompanhamento se os processos estão sendo realizados visando atingir a meta definida.

NA ÁREA DE TI NA AUDITORIA Gestão dos processos e investimentos em TI COBIT NA ÁREA DE TI NA AUDITORIA Gestão dos processos e investimentos em TI Redução do custo total dos serviços de TI Garantia quanto à segurança e controles adotados nos serviços de TI Aplicável a qualquer segmento de negócio Auxílio na avaliação dos controles internos Garantia quanto à segurança e controles adotados nos serviços de TI Esclarece como cada atividade de controle satisfaz os critérios de informação: Eficiência Eficácia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade

COBIT Benefícios do COBIT: Na era da dependência eletrônica dos negócios e da tecnologia, as organizações devem demonstrar controles crescentes em segurança. Cada organização deve compreender seu próprio desempenho e deve medir seu progresso. O benchmarking com outras organizações deve fazer parte da estratégia da empresa para conseguir a melhor competitividade em TI. As recomendações de gerenciamento do COBIT com orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização. Os guide lines de gerenciamento do COBIT focam na gerência por desempenho usando os princípios do Balanced Scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização.

Quais os principais benefícios que esse modelo oferece ? Modelo de Gestão da Tecnologia da Informação na Empresa Quais os principais benefícios que esse modelo oferece ? → Alinhamento de requisitos de negócios com recursos de TI; → Melhoria de qualidade, funcionalidade e facilidade no uso dos recursos de TI; → Definição de critérios de qualidade para sistemas e processos de TI; → Definição de padrões profissionais para controle interno e auditoria; → Conformidade com práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia (ex: setores financeiro e de telecomunicações).

Visão geral da forma de implementar Modelo Gestão de TI fundamentado no COBIT identificação e mapeamento dos processos atuais de gestão de TI; avaliação dos processos que não agregam valor ou estão em desacordo com a orientação estratégica da Instituição; análise do gap ( estágio atual da Instituição X objetivos propostos ); desenvolvimento de plano de ação para eliminação do gap; racionalização e otimização dos processos visando a redução de custos; implementação das condições de gerenciamento dos processos; definição e implementação dos indicadores de performance; avaliação de maturidade dos processos; estabelecimento dos indicadores de objetivo; capacitação de consultores internos para dar autonomia à Instituição quanto à gestão de processos.

Heros A. Biondillo Suptde. Auditoria UNIBANCO Setembro/2000 Visão Gerencial da Aplicação da Metodologia COBIT na Auditoria de Tecnologia da Informação do UNIBANCO Heros A. Biondillo Suptde. Auditoria UNIBANCO Setembro/2000

Objetivos Não vamos falar de aspectos técnicos do COBIT Abordar a visão gerencial do uso do COBIT: Alguns aspectos práticos Pontos positivos e negativos Dificuldades, necessidades Impactos, resultados

Auditoria de Tecnologia/Sistemas Realidade atual: Dificuldades de manutenção e atualização Grande avanço das tecnologias Forte exigência com investimento limitado Carência de profissionais

Exigências da Organização Crescentes investimentos em Tecnologia Menores investimentos em áreas de apoio Forte preocupação com Segurança da Informação e Fraudes Certo “distanciamento” de assuntos técnicos

Exigências da Organização Paradoxo (desafio !): requer uma referência metodológica (“melhores práticas de mercado”) desconhece qualquer referência, causando reação adversa ao desconhecido

Fatos que ajudaram Resolução 2554 - BACEN Controles Internos As Auditorias passaram a se utilizar das informações geradas, possibilitando melhor entendimento e interação Reconhecimento nas federações de bancos e órgãos reguladores: questionários FEBRABAN e FELABAN inspeções do BACEN

Alguns Aspectos Práticos Grande apoio no desenvolvimento e implementação do Plano de Auditoria, com o mapeamento dos ambientes de informática baseado nos “domínios”, “processos” e “atividades” sugeridos pelo COBIT Necessidade de aproximação com as áreas de negócios para desenvolver o Plano Recomendação: se possível, iniciar a implementação do COBIT juntamente com uma “mudança”.

Pontos Fortes “Melhores práticas” Plano de Auditoria Aproximação com os “negócios” Guias de Auditoria Planejamento e organização Produtividade Inspeções de órgãos reguladores (BACEN)

Pontos Fracos, Dificuldades e Necessidades Falta de atualização constante Desenvolvimento de ferramentas de produtividade Falta de divulgação Falta de apoio técnico Algum grau de complexidade Treinamento e Tradução

Impactos/Resultados Mudança na forma de atuação Hábitos dos Auditores Domínio dos cenários Melhor controle da programação, cronogramas e do consumo de horas

Impactos/Resultados Subsídio para um posicionamento pró-ativo na atuação da auditoria na implementação de novas tecnologias Visão crítica dos auditores quanto ao “momento” da organização e na distinção entre riscos de negócio e riscos de tecnologia

COBIT Dúvidas?