895 Artigo Seget Cobit

Click here to load reader

  • date post

    15-Oct-2015
  • Category

    Documents

  • view

    12
  • download

    0

Embed Size (px)

Transcript of 895 Artigo Seget Cobit

  • 1

    IMPLANTAO DE GOVERNANA DE TI Andr Luiz Guimares dos Reis 11 Joo Souza Neto 21 Tomas Roberto C. Orlandi 31

    andrer@correios.com.br szneto@correios.com.br tomasroberto@correios.com.br

    1 Empresa Brasileira de Correios e Telgrafos (ECT), Braslia, DF, Brasil

    RESUMO

    Este trabalho tem por objetivo apresentar como a ECT vem utilizando o Framework CobiT como arcabouo de sua Governana de TI, por meio da identificao do nvel de maturidade dos processos internos de TI, iniciada em 2005, quando a Diretoria de Tecnologia avaliou os 34 processos do CobiT 3.0, gerando o Diagnstico de Maturidade. Este trabalho propiciou conhecer o nvel de alinhamento da rea de TI com os negcios da empresa e identificar o nvel de maturidade dos principais controles de TI. Foram selecionados 13 processos que figuravam com baixo nvel de maturidade e com possibilidade de causarem prejuzos ao sucesso das solues de TI que apiam os negcios da empresa. Assim, iniciou-se um Plano de Melhoria de processo sob a tica da mais nova verso CobiT 4.0, onde sero implementados novos controles detalhados e otimizados, possibilitando que a rea de TI apie o alcance das metas de negcios da organizao.

    Palavras-chave: Framework CobiT; Governana de TI; Diagnstico de Maturidade; CobiT 4.0.

    1. INTRODUO A ECT iniciou o uso do framework CobiT atravs da rea de auditoria interna da

    empresa, que efetuou pesquisas sobre a possibilidade de utilizao deste Framework no incio do ano 2000. Aps dois anos, realizou-se a primeira auditoria nos departamentos da Diretoria de Tecnologia (DITEC) usando o CobiT 3.0, com o intuito de avaliar e emitir opinio acerca da eficincia dos controles internos adotados pela TI e implementar novos controles para aperfeioar a gesto da rea. Posteriormente, a rea de auditoria integrou aos seus procedimentos o anexo Audit Guideline da terceira edio do CobiT. Em 2004 houve a reestruturao da DITEC, tendo a Governana de TI (CobiT) como um dos seus pilares. Aps realizar vrios treinamentos, palestras e sensibilizao em relao ao CobiT nos mais diversos nveis da organizao, a Alta Administrao percebeu que a soluo de certos problemas da rea de TI s seriam resolvidos com a adoo de uma abordagem sistmica e integrada.

    Assim, foram identificadas algumas motivaes para implementao de prticas de governana de TI na organizao: aumento da competitividade no ramo postal; necessidade de melhoria da qualidade dos servios postais que dependem de implementao de TI; reduo dos prazos de entrega de servios; melhoria contnua do nvel de servios; maior segurana da informao; diminuio de custos operacionais; aumento do retorno sobre os investimentos dentre outras.

    No incio de 2005 a DITEC decidiu usar o CobiT para implementar a avaliao de todos os seus processos de TI. Para que houvesse a implementao de um trabalho com resultado imparcial e proficiente, optou-se pela contratao de uma consultoria externa especializada no assunto, para levantar todos os processos contidos no CobiT 3.0, criar um Diagnstico de Maturidade e elaborar um Guia de Recomendaes para efetivao de melhorias.

  • A partir do Diagnstico de Maturidade iniciou-se o trabalho de amadurecimento da rea de TI para identificao dos processos tidos como crticos e necessrios para a efetivao de melhorias que, atravs de estudos estratgicos, originou a implementao do Plano de Melhoria.

    2. INTRODUO AO COBIT O acrnimo CobiT, que significa Control Objectives for Information and related Technology Objetivos de Controle para Informaes e Tecnologias relacionadas, um conjunto de estruturas e orientaes (framework) focado na Governana Corporativa e na necessidade de constituio de controles de melhorias nas empresas, sendo um guia para a gesto de TI, abrangendo diretrizes de gerenciamento, objetivo de controle e diretrizes de auditoria, CobiT 4.0 (2005). O CobiT foi desenvolvido pela Fundao ISACA e mantido pelo ITGI - Instituto de Governana de TI.

    2.1. Componentes do Framework do CobiT

    Segundo CobiT 4.0 (2005), os recursos de TI so gerenciados pelos processos de TI para alcanar os objetivos de TI que, por sua vez, respondem aos requisitos de negcio da organizao. Este o princpio bsico do Framework CobiT, conforme ilustrado pelo cubo ao lado (Figura 1).

    (Figura 1 Cubo do CobiT, CobiT 4.0, 2005) Processos de TI:

    Segundo o CobiT 4.0 (2005), os processos do CobiT agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos de TI para atender as necessidades do negcio. Os processos de TI so definidos e classificados em 4 domnios: Planejamento e Organizao; Aquisio e Implementao; Entrega e Suporte; Monitorao e Avaliao.

    Os 4 domnios do CobiT possuem 34 Processos (Figura 2) que especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 34 objetivos de controle de alto nvel, sendo um para cada processo.

  • (Figura 2 Adaptao: CobiT 4.0, 2005)

    Critrios de informao

    Requerimentos de qualidade: Eficincia: Refere-se proviso da informao atravs da melhor (mais produtiva e

    econmica) forma de utilizao dos recursos. Efetividade: Lida com a relevncia da informao e pertinncia aos processos de negcio

    bem como a sua disponibilidade em prazo apropriado, de forma correta, precisa, consistente e em formato adequado para utilizao.

    Requerimentos de segurana: Confidencialidade: Refere-se proteo de informao privilegiada contra divulgao

    no autorizada. Integridade: Relaciona-se com a preciso e exatido da informao, bem como sua

    validade de acordo com os padres e expectativas de negcios estabelecidos. Disponibilidade: Relaciona-se a prover a informao no momento em que for requerida

    pelos processos de negcio, o que inclui tambm a salvaguarda dos recursos.

    Requerimentos fiducirios: Conformidade: lida com o cumprimento das leis, regulamentos e clusulas contratuais

    aos quais um determinado processo de negcio est sujeito. Confiabilidade: relaciona-se ao fornecimento, por parte dos sistemas, de informaes

    apropriadas aos gerentes para a tomada de decises, relatrios financeiros precisos e informaes adequadas aos rgos normatizadores sobre o cumprimento das leis.

    Recursos de TI

    Pessoas: esto includos neste item: qualificaes, conscientizao, produtividade e capacidade para planejar, organizar, adquirir, entregar, suportar e monitorar sistemas e servios. Sistemas Aplicativos: entendido como a soma de procedimentos manuais e automatizados. Tecnologia: cobre hardware, sistemas operacionais, gerenciadores de banco de dados, redes, multimdia etc. Instalaes: recursos para abrigar e suportar os sistemas de informao.

  • Dados: objetos de dados na sua mais abrangente concepo, isto , estruturados, no estruturados, grficos, sons etc. 2.2. Vantagens dos interessados no CobiT Gerente Executivo Complementar o modelo de controles internos existente e estabelecer

    uma linguagem comum entre as reas de negcios e TI. Gerente de Negcios Usar os objetivos de controle como uma boa prtica para lidar com TI

    dentro da funo de negcios e definir acordos de nveis de servios. Gerente de TI Estabelecer Acordos de Nveis de Servios, medidas de desempenho

    e normas relacionadas TI. Gerente de Projetos Ajudar a assegurar que os planos de projetos incorporem fases

    geralmente aceitas. Desenvolvedor Assegurar que todos os objetivos de controle aplicveis no

    desenvolvimento de projetos foram enderaados. Usurios Ajudar na definio dos Acordos de Nveis de Servios. Security Officer Estruturar as polticas e procedimentos de segurana da informao. Auditoria Usar como critrio para reviso e exame das auditorias relacionadas

    com TI.

    2.3. Produtos do CobiT

    Framework Explica como o CobiT organiza os objetivos da Governana de TI e melhores prticas atravs de domnios e processos, e os relaciona aos requerimentos de negcios.

    Objetivos de Controle Prov as prticas genricas de gerenciamento de objetivos para todas as atividades de TI. Prticas de Controle

    Prov direcionamento em como os controles so implantados e porque implant-los.

    Guia de Garantia da TI

    Prov uma aproximao genrica para auditoria e direcionamento de suporte a auditorias de todos os processos de TI do CobiT.

    Objetivos de controle de TI para Sarbanes-Oxley

    Direcionamento para garantir conformidade para o ambiente de TI, baseando nos objetivos de controle do CobiT.

    Guia de Implementao de Governana de TI

    Prov um road map genrico para implementar Governana de TI usando os recursos do CobiT e um kit de ferramentas de suporte.

    CobiT Security Baseline

    Foca a organizao nos passos essenciais para implantao da segurana da informao na empresa.

    CobiT Online

    Apresenta informaes do Cobit na web, possibilitando que vrios usurios pesquisem, compartilhem e utilizem sua base de conhecimento, documentos de benchmark, anlise de gap e roadmaps. disponvel em: www.isaca.org.

    CobiT QuickStart Verso resumida dos recursos do CobiT. focado nos processos de TI, objetivos de controle e mtricas. Direcionado para empresa de pequeno e mdio porte. Disponvel a partir do CobiT online na internet.

  • 2.4. Modelo de Maturidade

    Segundo o CobiT 4.0 (2005), o modelo de maturidade usado para definir o perfil da empresa em relao aos controles adotados para os processos de TI. Ele classifica os processos numa escala de nmeros inteiros de 1 a 5, baseada no modelo elaborado pelo Software Engineering Institute para avaliar a funo de desenvolvimento de sistemas. Este modelo fornece um mtodo de avaliao para cada um dos 34 processos de TI, definidos pelo CobiT, de forma que a organizao possa se enquadrar em uma escala mensurvel. A seguir (