Curso Cobit Curitiba

Cobit

Aplicando COBIT em uma organização do governo

Privado brasileiro, o governo e organizações públicas têm sido familiarizado com a estrutura COBIT desde a sua criação na década de 1990. No entanto, a aceitação e utilização do modelo atingiu um público mais amplo com COBIT 4.1, que foi lançado em 2007. E, com o lançamento do COBIT 5, em 2012, uma nova oportunidade foi apresentado aos gerentes e auditores com um modelo de profunda e completa para gerenciamento de TI e governança.
Em todo o Brasil, em organizações públicas, privadas e governamentais, COBIT ganhou aceitação como um padrão de fato para as boas práticas. Alguns esforços notáveis ​​que impulsionam o uso e aceitação do quadro incluem pesquisas, relatórios e iniciativas de auditoria do Tribunal de Contas da União (TCU), o alto tribunal brasileiro para assuntos de contabilidade, eo número cada vez maior de cursos de capacitação e certificações obtidos pelos profissionais e servidores públicos nas diversas áreas relacionadas a ele.
A organização discutido neste estudo de caso é um governo instituição administração direta com mais de 3.400 funcionários públicos e mais de 12.000 indivíduos de apoio para apoiar as suas actividades principais. Com uma rede de mais de 8.000 estações de trabalho e uma infra-estrutura enorme e complexo, o uso de um quadro como o COBIT apresentou-se como um meio para o final de planejamento, gestão, apoio e atualização de soluções de TI para usuários internos. Ao mesmo tempo, ela é aplicada para prestar serviços de qualidade para milhões de usuários externos, a nível nacional e mundial.
Começando com COBIT 4.1 no final dos anos 2000, a organização definiu algumas competências básicas e processos de TI que necessário abordar a fim de estabelecer uma base sólida para a prestação de serviços adequados. Além disso, a função de auditoria de TI da organização, criada em 2010, adotou COBIT 4.1 como modelo orientador para as suas actividades, associando processos do COBIT com uma matriz de risco para selecionar e priorizar os processos de TI para fins de auditoria.

Com uma rede de mais de 8.000 estações de trabalho e uma infra-estrutura enorme e complexo, o uso de um quadro como o COBIT apresentou-se como um meio para o final de planejamento, gestão, apoio e atualização de soluções de TI para usuários internos.

Os primeiros processos de TI a ser analisado neste cenário envolvido DS2 Entregar e Suportar Gerenciar serviços de terceiros , uma vez que a organização tem um contrato enorme para apoiar suas atividades de TI; Adquirir e Implementar AI7 Install and credenciar soluções e mudanças , uma vez que este foi nomeado, tanto por áreas de gestão e negócios, como uma competência essencial o departamento de TI deve manter; PO4 Definir a TI processos, organização e relações , especialmente em relação às comissões de TI; e PO9 avaliar e gerenciar os riscos de TI , entre outros. Os níveis de maturidade desses processos mostraram-se em diferentes fases, que vão desde a inicial definido, e que estão a evoluir de forma consistente ao longo do tempo.

Migrando do COBIT 4.1 a COBIT 5

A natureza abrangente do COBIT 5, que combina diversas áreas, incluindo o risco de TI, segurança da informação e governança, é um dos seus principais benefícios. Além disso, o conceito capacitadores apresenta uma visão única de como e onde colocar algumas questões aquando da adopção e melhoria do quadro.
Para facilitar a transição, a função de auditoria apresentada para a equipe de gerenciamento de um modelo simplificado, listando o COBIT 5 processos e pedindo a percepção do grau de relevância e conhecimento corporativo de cada processo. Estas respostas foram comparadas com a maturidade observada por meio de ações de auditoria e controlo interno, tornando-se possível conceber uma matriz de prioridades para os processos a serem analisados ​​em auditorias subsequentes, o que reforçou o apoio para as decisões de gestão através da adopção do quadro

Ao apresentar o modelo e Obtenção de Apoio à Gestão Senior

O COBIT 5 lançamento em 2012 apresentou uma progressão natural e pavimentou o caminho para uma nova revisão dos acordos existentes. A função de auditoria incorporou a visão do modelo de um quadro abrangente, vendo a oportunidade de enfrentar novos níveis de atividades. Governança de TI, segurança da informação, gestão de riscos, perfis profissionais e assim por diante são exemplos de agências e áreas de parceria entre as actividades de gestão e auditoria.
Uma vez que a gestão de TI da organização viu a conveniência de COBIT 5 como suporte para suas funções diárias, a função de auditoria sugeriu um plano inicial para o Comitê Estratégico de TI da organização e recomendou COBIT 5 como base para a auditoria de TI e atuação de controlo interno. Tornou-se claro que os resultados desta prática seria benéfica para ambos os objectivos de gestão e auditoria da.
Alguns dos objetivos alcançados usando o framework COBIT 5 incluem:

  • A organização tem uma linguagem comum para atividades de governança de TI e de gestão
  • A organização pode comparar-se com os outros 1
  • A organização pode planejar, gerenciar, fornecer e manter soluções de TI de acordo com as melhores práticas reconhecidas mundialmente 2
  • A organização pode se preparar melhor para a introdução de novas tecnologias e soluções, incluindo a introdução de novos modelos de gestão, tais como uma cultura baseada no risco

Aplicando o Modelo ea realização dos Objectivos

Enquanto a governança de TI e modelo de gestão (COBIT 5) é novo na organização (os comitês estratégicos e directiva, foram criados em 2013), alguns resultados já são observados:

  • Melhores relações entre os prestadores internos de TI e usuários
  • Acordos de nível de serviço (SLAs) internos, afirmando qualidade e horários, entre outras coisas, para soluções de TI são estabelecidos
  • A percepção institucional da TI é melhor do que antes as iniciativas acima referidas
  • Gerenciamento de TI pode priorizar e concentrar os recursos de TI em áreas de negócio, permitindo a terceirização adequada de soluções de suporte

Alguns dos COBIT 5 processos abrangidos pela função de auditoria de TI nos últimos dois anos incluem: Avaliar, direta e processo Monitorar EDM03 garantir a otimização de risco ; Alinhe, planejar e organizar processo APO12Gerenciar riscos ; Construir, adquirir e implementar BAI04 processo Gerenciar a disponibilidade e capacidade ; e entregue, processos de suporte e atendimento ao DSS01 gerenciar as operações , DSS04 Gerencie continuidadee DSS05 Gerenciar serviços de segurança .
Conceitos dos processos EDM03 e APO12, por exemplo, foram apresentados à gestão de topo pela função de auditoria, a fim de estimular a criação de uma cultura corporativa que abraça gestão de riscos. Práticas descritas no BAI04, DSS01, DSS04 e DSS05 foram apresentados para a função de gestão de TI para efeitos de comparação com as práticas reais entregues nas atividades diárias e para estimular o gerenciamento de TI para criar indicadores e metas.
Do ponto de vista do auditor, a separação entre a governança (domínio EDM) e gestão (APO; BAI; DSS, e monitorar, avaliar e avaliar [MEA] domínios) processa em COBIT 5 torna claras as atividades esperadas de cada área de função. Por um lado, o comitê estratégico de TI tem um mapa claro e detalhado das funções de aplicar e supervisionar, enquanto, por outro lado, a gestão de TI tem um complemento exaustiva das actividades a realizar, para não mencionar outras directivas de acordo com o responsável, Responsável , Consultado e gráficos bem informadas (RACI).
O principal objetivo em cada actividade de inspecção é fornecer uma avaliação fiável do processo correspondente.Usando as práticas do processo descritas pela estrutura COBIT 5 como diretrizes para comparar com as práticas de gestão adotado é uma fundação clara e som. Claramente, não é o propósito de implementar cada prática processo como descrito literalmente, mas para medir a proximidade entre a linha de ação adotada recomendado e, proporcionando ajustes se for caso disso e sempre considerando elementos da organização. Aqui os usuários podem ver os outros resultados da migração para o COBIT 5: A aceitação quadro é aumentado por causa da simplicidade e objetividade dos conceitos e controles.
Para fornecer as soluções de TI necessários, beneficiando de BAI04, DSS01, DSS04 e DSS05, a organização achou necessário implementar uma nova estrutura para o departamento de TI, que agora está descentralizando algumas atividades para fornecer soluções mais bem adaptadas. A melhoria destas actividades foi tornada possível com a introdução do quadro de governação e de gestão, e é atualmente espalhando através de diferentes áreas do cliente.
A função de auditoria, por outro lado, além de suas atividades normais, está recomendando que seus funcionários consideram o programa de certificação fornecido pela ISACA (Certified Information Systems Auditor [CAAS], Certified Information Security Manager [CISM], Certificado em Governança de Enterprise IT [CGEIT] e Certificado em Risco e Controle de Sistemas de Informação [CRISC]), com o objetivo de fornecer aos auditores com as competências necessárias para apoiar a gestão nas decisões presentes e futuras.

O Futuro da Governança de TI e Management Framework

Pode-se ver várias vantagens em adotar um COBIT 5. Além dos já mencionados, há muitos outros apresentados, tais como a diminuição nos esforços redundantes ea optimização da capacidade da força de trabalho.
Os próximos anos podem ver aprofundamento adoção do COBIT 5 na organização, bem como de eventuais melhorias. Como são alcançados mais e melhores resultados, a adesão e compromisso com o quadro aumenta.Por uma questão de sugestão, uma análise aprofundada poderia ser realizada anualmente, culminando na formulação de um plano estratégico passado 2018, quando exemplos de sucesso claras podem ser recolhidos, medidos e avaliados, proporcionando uma base sólida para os ajustes e melhorias que virão.

João Luiz Marciano, CISA, CGEIT, CRISC

 

É um auditor de TI e trabalhou como diretor de auditoria de uma organização do governo brasileiro desde 2013. Com mais de 20 anos de experiência em TI e ciência da informação, Marciano tem trabalhado em segurança da informação, inteligência artificial e desenvolvimento de aplicativos. Suas áreas de interesse incluem governança corporativa e gestão de riscos.

 

Fonte: http://www.isaca.org

Leave a Reply