Modelo de processos de SI/TI

Conforme se pode observar na Figura 3, os objectivos de controlo de alto nível são 318. As práticas de controlo, amplificações dos objectivos de controlo, são 1547.

Domínios 4 Processos 34 Objectivos de controlo 318 Práticas de controlo 1547

Figura 3 – Estrutura COBIT

Orientado para o negócio, o COBIT fornece informações detalhadas para uma correcta gestão dos objectivos, nomeadamente:

1. Avaliação do risco e controlo do investimento em TIs; 2. Garantia da operacionalidade dos TIs;

3. Fornecimento de relatórios que permitem avaliar a gestão das TIs. Tal como o COSO, que identifica 5 componentes de controlo interno que deveriam ser implementados para garantir qualidade nos relatórios financeiros, o COBIT enuncia 34 processos, agrupados em 4 domínios, que devem ser assegurados para dotar as organizações da informação que necessitam para a prossecução dos seus objectivos, nomeadamente:

Domínio 1, planear e organizar. Este domínio preocupa-se com a estratégia de TI a adoptar no sentido de auxiliar a organização a atingir os objectivos definidos. Estabelece as infra-estruturas tecnológicas da organização. Os processos relacionados com este domínio são:

• Definir o plano estratégico de TI;

• Definir a arquitectura da informação e respectivos relacionamentos; • Determinar a direcção tecnológica;

Pág. 25

• Definir a organização de TI e respectivos relacionamentos; • Gerir os investimentos em TIs;

• Gerir a comunicação das direcções de TI; • Gerir recursos humanos;

• Assegurar o alinhamento das TI com os requisitos especificados; • Avaliar riscos;

• Gerir a qualidade das TI.

Domínio 2, adquirir e implementar. Identificação das soluções de TI necessárias para a concretização da estratégia definida com vista à sua aquisição, desenvolvimento, implementação e integração no processo de negócio da organização. As alterações e manutenções aos SI/TI existentes estão cobertas por este domínio, de forma a assegurar a sua continuidade. Os processos que se relacionam com este domínio são:

• Identificar soluções de automatização; • Adquirir, certificar e manter software;

• Adquirir, certificar e manter a infra-estrutura tecnológica; • Desenvolver, implementar e manter procedimentos; • Instalar software;

• Gerir a mudança.

Domínio 3, entregar e garantir assistência (suporte). Este domínio relaciona a entrega efectiva dos serviços de SI/TI com os requisitos previamente definidos. O suporte aos SI/TI deve ser previamente estabelecido com o objectivo de garantir a continuidade desses mesmos SI/TI. Este domínio inclui os controlos aplicacionais e abrange os seguintes processos:

• Definir, acordar e manter os acordos relativos a níveis de serviço (SLA); • Gerir serviços de terceiros;

• Gerir a performance e capacidade da infra-estrutura; • Assegurar a continuidade dos serviços;

• Assegurar a segurança dos serviços; • Identificar e alocar custos;

Pág. 26

• Formar utilizadores;

• Prestar assistência aos utilizadores; • Implementar e gerir configurações; • Gerir incidentes e problemas;

• Gerir, salvaguardar e garantir consistência dos dados; • Gerir infra-estrutura;

• Gerir operações.

Domínio 4, Monitorar e avaliar. Os SI/TI carecem de avaliação regular e continuada. Esta avaliação permite detectar inconsistências processuais relacionadas com requisitos de controlo ineficientes ou mal definidos. A monitoria aos SI/TI críticos, fundamentais para continuidade do negócio, deve ser acompanhada por entidades externas à organização. Este domínio comporta os seguintes processos:

• Monitorar processos;

• Analisar a adequação e consistência dos controlos internos; • Promover auditorias independentes, externas ou internas; • Promover e garantir a segurança.

O COBIT permite o desenvolvimento de uma política clara e de boas práticas para o controlo das TI em todas as organizações. Foi concebido para ser a ferramenta de governação das TI por excelência, que ajuda a compreender e a gerir os riscos e os benefícios associados à informação e às TI relacionadas. Actualmente na versão 4.1, tem sofrido actualizações constantes desde a sua criação em 1996. A aprovação da norma SOX em 2002 teve um impacto significativo no desenvolvimento e utilização do COBIT.

Pág. 27 MONITORAR E AVALIAR ENTREGAR E GARANTIR ASSISTÊNCIA PLANEAR E ORGANIZAR COBIT IT GOVERNANCE OBJECTIVOS DO NEGÓCIO -Eficácia -Eficiência -Confidencialidade -Integridade -Disponibilidade -Conformidade -Confiabilidade -Pessoas -Aplicações informáticas -Tecnologia -Infra-estruturas -Dados INFORMAÇÃO RECURSOS TI ADQUIRIR E IMPLEMENTAR - Monitorar processos;

- Analisar controlos internos; - Promover auditorias; - Promover segurança. - Definir SLAs; - Gerir serviços; - Gerir a infra-estrutura; - Assegurar serviços;

- Assegurar a segurança dos serviços; - Identificar e alocar custos;

- Formar utilizadores; - Assistir os utilizadores; - Implementar configurações; - Gerir incidentes e problemas; - Gerir dados;

- Gerir infra-estrutura; - Gerir operações.

- Identificar soluções de automatização; - Adquirir software;

- Adquirir infra-estrutura; - Desenvolver procedimentos; - Instalar software;

- Gerir a mudança.

- Definir o plano estratégico de TI; - Definir a arquitectura da informação e respectivos relacionamentos; - Determinar a direcção tecnológica; - Definir a organização de TI e respectivos relacionamentos; - Gerir os investimentos em TIs;

- Gerir a comunicação das direcções de TI; - Gerir recursos humanos;

- Assegurar o alinhamento das TI com os requisitos;

- Avaliar riscos;

- Gerir a qualidade das TI.

Figura 4 – Os 4 domínios COBIT (fonte ITGI)

Na Figura 4 é possível observar a estrutura do COBIT. Os critérios de informação identificados podem ser divididos em dois grupos, critérios de segurança e critérios de confiança, a saber:

• Eficácia: critério de segurança, avalia se a informação é relevante e pertinente para o negócio.

Pág. 28

• Eficiência: critério de segurança, avalia se o meio de propagação de informação é o indicado, respeitando sempre a relação custo/beneficio; • Confiabilidade: critério de segurança, avalia o grau de confiança da

informação. Relaciona a confiança da informação para a tomada de decisões estratégicas da organização ou para a divulgação de resultados;

• Conformidade: critério de segurança, determina o cumprimento dos regulamentos e requisitos legais;

• Confidencialidade: critério de confiança, determina o acesso a informação, informação acessível unicamente a quem tenha autorização;

• Integridade: critério de confiança, avalia a precisão, coerência, correcção e globalidade da informação e dos métodos de processamento;

• Disponibilidade: critério de confiança, determina o acesso à informação e recursos associados;

Os recursos de TI enunciados na estrutura COBIT são:

• Pessoas: perfil funcional dos recursos humanos da organização, qualificação profissional e cargos desempenhados;

• Aplicações informáticas: conjunto de aplicações informáticas de suporte ao negócio;

• Tecnologia: recursos de hardware e software;

• Infra-estruturas: instalações que acolhem e suportam a tecnologia; • Dados: objectos de dados armazenados sob a forma de ficheiros ou

bases de dados;