COBIT
As praticas de Gestão usando os conceitos de COBIT, são totalmente voltados para o negocio organizacional, no qual o seu modelo possui vários recursos, entre os quais se destacam, o sumario executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas e de implementações além de um guia com técnicas de gerenciamento.
A adoção da pratica do COBIT na gestão de TI é caracterizada pelas relações e processos para dirigir e controlar o ambiente de TI, para alcançar as metas organizacionais, a implementação do COBIT também possibilita a otimização dos investimentos em tecnologia da informação, relação custo/beneficio, além de fornecer métricas para a avaliação do resultado obtido através do gerenciamento baseado nesse padrão.
A estrutura COBIT trata a tecnologia da informação em quatro dimensões:
• Planejamento e organização – Esse ponto é responsável pela estratégia, a tática e a identificação de como contribuir para melhorar a realização dos objetos organizacionais. Para tal precisa ser planejada, e administrada sob perspectivas diferentes.
• Aquisição e implantação – Para que a tecnologia da informação de fato tenha um papel crucial na estratégica organizacional é preciso que seja adquirido, desenvolvidas e implementadas as soluções em TI, e que as mesmas estejam integradas aos processos da organização.
• Entrega e suporte – É necessário apresentar os serviços e os resultados dos vários processos, que são requeridos pelo negocio. Essas informações devem atender os requisitos de segurança. Esse domínio também inclui o processamento de dados.
• Monitoramento – E a avaliação cotidiana de todo o processamento para assegurara a qualidade e conformidade com os controles requeridos, cuidando da administração do processo de controle da organização de TI.
O controle do COBIT verifica e assegura que cada processo organizacional faz uso dos recursos da tecnologia da informação, para atender os requerimentos dos vários setores. A governança de TI é usada para tal fim, controlar os processos de TI, podendo ser classificado de acordo com o retorno do investimento e do equilíbrio do risco:
• Repetitivo mas intuitivo;
Para o uso do COBIT e que a sua eficiência seja atingida é necessário levantar alguns requisitos, dentre os quais é importante ressaltar: Onde a organização se encontra; O atual estagio de desenvolvimento da indústria; Quais o estagio dos padrões internacionais; Aonde a organização quer chegar.
Os fatores críticos de sucesso definem os desafios mais importantes ou ações de gerenciamento que devem ser adotadas para colocar sobre controle a gestão de TI. São definidas as ações mais importantes do ponto de vista do que fazer a nível estratégico, técnico, organizacional e de processo.
O COBIT constitui uma ferramenta importantíssima na estrutura e no controle de TI, atendendo os diversos setores da empresa, acionistas, organismos reguladores e entidades externas, equilibrando os riscos.
ITIL
A ITIL apresenta as metas, as atividades gerais, as entradas e saídas de vários processos que podem ser incorporados na área de TI das organizações. Estas podem ser utilizadas de diferentes maneiras, variando de acordo com as necessidades das organizações.
A busca por um alinhamento dos processos de negócio com a tecnologia da informação, no qual a primeira é totalmente dependente da segunda, provocou substancialmente o aumento da complexidade de gerenciamento dos recursos e dos processos. Entre os principais pontos para o surgimento do ITIL estão:
• Alinhamento dos serviços de TI com as necessidades atuais e futuras do negócio;
• Ambientes de TI cada vez mais complexos;
• Dependência da TI para o Negócio;
• Redução de custos e riscos;
• Justificativa para Retorno sobre os investimentos em TI;
• Conformidade com leis e regulamentos;
• Manter a segurança sobre as Informações;
O uso efetivo das melhores práticas definidas na ITIL traz inúmeros benefícios às organizações, como: melhoria na utilização dos recursos; maior competitividade; redução de retrabalhos; eliminação de trabalhos redundantes; melhoria da disponibilidade, confiabilidade e segurança dos serviços de TI; qualidade dos serviços com custos justificáveis; fornecimento de serviços alinhados aos negócios, aos clientes e às demandas dos usuários; processos integrados; responsabilidades documentadas e comunicadas amplamente, e registro e controle de lições aprendidas.
O principal objetivo do ITIL é o gerenciamento da infra-estrutura de TI, descrevendo os processos que são necessários para dar suporte à utilização e ao gerenciamento do mesmo. A utilização do ITIL provoca uma melhoria na qualidade, na eficiência e na eficácia da prestação de serviços, além de minimizar ao máximo os riscos operacionais.
A ITIL é um padrão usado para o gerenciamento de TI, que é provem dos resultados das experiências de varias empresas que obtiveram sucesso no gerenciamento do serviço de TI, dessa forma as organizações que adotam o padrão ITIL em sua estrutura possuem um alinhamento do TI com a organização.
O gerenciamento dos serviços de TI, baseados no ITIL, tem crescido consideravelmente, o que é extremamente importante para a organização, já que está necessita ter um respaldo para a melhor tomada de decisão. As principais características do ITIL são:
• Modelo de referência para processos de TI não proprietário;
• Adequado para todas as áreas de atividade;
• Independente de tecnologia e fornecedor;
• Um padrão de fato;
• Baseado nas melhores práticas;
• Um modelo de referência para a implementação de processos de TI;
• Padronização de terminologias;
• Interdependência de processos;
• Diretivas básicas para implementação;
• Diretivas básicas para funções e responsabilidades dentro de cada processo;
• Checklist testado e aprovado;
• O que fazer e o que não fazer;
Logo a ITIL é composta por um conjunto de “melhores práticas” para aprimorar os processos da área de TI, que objetiva o alinhamento entre área de TI e as demais áreas de negócio, de modo a garantir a geração de valor à organização. Ao adotar essas praticas e obter sucesso é necessário uma combinação em todos de todos os elementos envolvidos, ou seja, pessoas, processo e tecnologia para que se possa ter o retorno esperado.
Inicialmente este padrão foi constituído por 40 livros que reuniam as melhores práticas de gerenciamento de TI, devido a este fato o termo “biblioteca” foi adotado para nomear este modelo, no entanto desde o seu surgimento o ITIL já passou por duas revisões de onde surgiram o ITIL v2 e ITIL v3, a mais recente dessas foi finalizada em 2007 e possui apenas cinco livros: Estratégias de serviços, Desenho de serviços, Transição de serviços, Operação de serviços e Melhoria contínua dos serviços esta versão tem sua base no ciclo de vida dos processos.
A versão com maior aceitação global e mais difundida no até o momento é o ITIL v2, que surgiu em 1999 vigorando até 2006 sua estrutura é composta por sete livros. Estes livros são:
• Perspectiva de Negócio: auxilia os responsáveis pelo TI, a entender como podem contribuir da melhor forma para os objetivos do negócio da organização, além de demonstrar como as suas funções e serviços podem ser alinhados e aproveitados na organização.
• Entrega de Serviço: voltada aos processos de planejamento e entrega dos serviços de TI, preocupando-se em manter um alto nível de qualidade dessas informações.
• Suporte à Serviço: abrange os processos voltados ao suporte do dia-a-dia e as atividades para manutenção dos mesmos.
• Gerenciamento de Segurança: detalha o processo de planejamento e gerenciamento da segurança da informação e serviços em TI, visando todos os aspectos relacionados à segurança dos incidentes, incluindo o gerenciamento dos riscos e vulnerabilidade.
• Gerenciamento da Infra-estrutura: voltado para a identificação dos requisitos do negócio, testes, instalação, entrega, e otimização das operações normais dos componentes que fazem parte dos Serviços em TI.
• Gerenciamento de Aplicações: guia para gerenciar as aplicações partindo da necessidade dos negócios, passando por todos os estágios do ciclo de vida de uma aplicação. Este processo dá ênfase em assegurar que os projetos de TI e as estratégias estejam corretamente alinhados com o ciclo de vida da aplicação, assegurando que o negócio consiga obter o retorno do valor investido.
• Planejamento da implementação do Gerenciamento de Serviços: tem por objetivo examinar as questões e as tarefas envolvidas no planejamento, implementação e aperfeiçoamento dos processos do Gerenciamento de Serviços dentro de uma organização.
Desta maneira cada parte desta estrutura possui uma função especifica voltada ao gerenciamento de TI.
• Gerenciamento de Segurança: detalha o processo de planejamento e gerenciamento da segurança da informação e serviços em TI, visando todos os aspectos relacionados à segurança dos incidentes, incluindo o gerenciamento dos riscos e vulnerabilidade.
• Gerenciamento da Infra-estrutura: voltado para a identificação dos requisitos do negócio, testes, instalação, entrega, e otimização das operações normais dos componentes que fazem parte dos Serviços em TI.
• Gerenciamento de Aplicações: guia para gerenciar as aplicações partindo da necessidade dos negócios, passando por todos os estágios do ciclo de vida de uma aplicação. Este processo dá ênfase em assegurar que os projetos de TI e as estratégias estejam corretamente alinhados com o ciclo de vida da aplicação, assegurando que o negócio consiga obter o retorno do valor investido.
• Planejamento da implementação do Gerenciamento de Serviços: tem por objetivo examinar as questões e as tarefas envolvidas no planejamento, implementação e aperfeiçoamento dos processos do Gerenciamento de Serviços dentro de uma organização.
Desta maneira cada parte desta estrutura possui uma função especifica voltada ao gerenciamento de TI.
O gerenciamento de TI é de fundamental importância para as organizações e por isso, os sistemas de informação passaram a ser primordiais para os processos organizacionais, pois é através da informação que os gestores passaram a fazer o planejamento organizacional, e também passaram a ter um apoio na tomada de decisão. Porem, muito mais do que gerenciar a informação é preciso que essa de fato, participe dos processos, colaborando para que o negocio principal da organização tenha as suas perspectivas atendidas.
Para que o gerenciamento de TI se torne eficaz, é necessário que o mesmo esteja alinhado ao gerenciamento da organização, e a evolução do TI em relação a participação efetiva nos processos ao longo do tempo, deixa evidente que a informação é um fator critico para o sucesso da organização. Com isso mais do que gerenciar o TI, é necessário gerenciar os serviços de Ti e aplicar efetivamente o conceito de governança na organização. E para melhor gerir a informação, e fazer com que ela seja segura e confiável, existem padrões internacionais para boas praticas de gerenciamento de TI, que foram elaboradas em experiências de outras organizações.
Esses padrões têm por objetivo mostrar quais as melhores ações para gerir a tecnologia da informação, e disponibilizar a informação de forma confiável, e que com uma sincronização entre o planejamento estratégico de TI e o planejamento estratégico da organização, conseguindo tirar o melhor proveito da informação, melhorando todos os processos relativos ao foco de negócio e minimizando os ricos organizacionais.
Entre esses padrões existentes de melhores praticas para o gerenciamento de TI, um dos mais utilizados na atualidade mundialmente é a ITIL (Information Technology Infrastructure Library), que surgiu nos anos 80 com o intuito de minimizar os ricos, principalmente os riscos financeiros, os quais eram constantes nesse período, e é formada por uma biblioteca de livros nos quais se destacam dois, o de suporte ao serviço (Service Support), e o de entrega de serviço (Service Delivery).
A ITIL tem tido um forte crescimento, como um conjunto de orientações aceita no mercado e estão voltadas para a provisão da qualidade dos serviços de TI e para a administração de instalações do ambiente para dar suporte às operações de negócios.
Portanto a ITIL tornou-se um importante padrão de gerenciamento de TI, que objetiva determinar as metas do TI, para se conseguir um objetivo macro que é atingir a meta organizacional, logo a ITIL não é o fim, e sim um meio pelo qual se busca o sucesso da organização.
Logo é necessário cuidar de toda a infra-estrutura de tecnologia da informação, das pessoas e dos processos. E cabe ao profissional gestor da tecnologia da informação, assegurar que a informação seja eficaz e eficiente para a organização.
SOX
Tem como principal objetivo restituir a confiança do investidor no mercado de capital e nos auditores independentes, alem de elevar o nível de responsabilidade e comprometimento da Direção das Companhias, no que se refere aos processos e controles internos.
SOX focaliza especificamente na exatidão de registros financeiros de uma empresa e dos controles relacionados à renda, despesas, contabilidade, responsabilidades, e assim por diante.
A segurança da informação é um componente fundamental da conformidade da SOX em relação aos controles contábeis da empresa.
A direção da empresa é responsável não somente pela informação financeira, mas também pelo modo que a informação é gerada, obtida, coletada, armazenada, processada, e transmitida, e esta responsabilidade pode somente ser conseguida com um sistema de gerência eficaz da segurança da informação.
Sox - A Dependência na Infra-estrutura de TI
A infra-estrutura de TI possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente da infra-estrutura. A qualidade, a segurança e confiabilidade dos dados financeiros estão diretamente relacionadas aos níveis da qualidade e da segurança implementados na infra-estrutura que suportam os sistemas de informação.
Controle dos processos gerais da área de tecnologia que suportam os Processos de Negócio e as Aplicações Financeiras tem relacionamento dependência direta da infra-estrutura de TI, em particular nas bases de dados, no sistema operacional e nas redes. Portanto, deve-se atentar para os aspectos de:
• Planejamento e organização;
• Direcionamento tecnológico;
• Pessoas;
• Segurança;
• Gestão de Mudança;
• Operação.
Sox - A Dependência nos Sistemas de Informações:
A tecnologia da Informação possui um papel essencial nos levantamentos Sarbanes Oxley. O tratamento e controle de dados financeiros dependem diretamente de sistemas. A qualidade e confiabilidade dos dados financeiros está diretamente relacionada a ao nível da qualidade aplicado no desenvolvimento, manutenção e operação dos sistemas de informação.
Controles automáticos das aplicações que geram impacto financeiro deverão ser identificados durante os levantamentos de controles de processos de negócio.
Controles automáticos cooperam para este fim, sem a necessidade de intervenção humana para sua operação.
È fundamental que se rastreia e documentos todo relacionamento entre as aplicações financeiras e as outras aplicações de negócio da empresa. Nem sempre a origem dos dados se dá na aplicação financeira e sim no sistema de “billing” da empresa. Como por exemplo, um sistema comercial que faz faturamento, cobrança e arrecadação, fornecendo informações para a área financeira da empresa. Todo o cuidado deve ser tomado com relação à integridade das informações desde sistema comercial.
Controles ou aplicações de controle a serem implementados nas Aplicações Financeiras têm participação direta nas atividades de:
• Planejamento, monitoramento e controle do processo de desenvolvimento da aplicação financeira e outras que gerem dados para estas;
• Verificação da adequação dos aspectos funcionais com as necessidades reais de negócio;
• Validação da adequação dos aspectos funcionais com a implementação física da aplicação financeira e das outras aplicações relacionadas;
• Cálculos realizados;
• Atualização de Dados;
• Interfaces com outros aplicativos;
• Limites de tolerância aceitáveis;
• Limites aprovados;
• Transferência Automática de informação entre aplicações;
• Segregação de tarefas;
• Gerenciamento dos requisitos e das mudanças realizadas nas aplicações.
Todo risco corporativo, quer seja operacional, financeiro ou digital requer um controle para que seja minimizado:
• Restrições de acesso às transações ou funcionalidades sistêmicas relevantes do ponto de vista que afete direta ou indiretamente as demonstrações financeiras;
• Controles programados através de parâmetros que definem a funcionalidade da aplicação diante de uma transação que demanda controle;
• Controle programado no sistema destino com o objetivo de bloquear entradas incorretas ou não integra, alertando sobre as inconsistências bloqueadas.
Sox - A Seção 404
Esta seção determina a avaliação anual dos controles e procedimentos internos para fins de emissão do relatório financeiro. É necessário analisar, modificar, implantar e assegurar uma cultura de controles internos (se necessário, redesenhar processos de controles) a fim de assegurar a confiabilidade das informações, realizar diagnósticos de compliance, eliminar processos redundantes, gerar a confiabilidade de sistemas e aplicações, manter a segurança das informações disponíveis (acessos/permissões, compartilhamentos, …), garantir veracidade de dados de saída (onde, com prazos mais curtos para emissão de diversos relatórios, prevalece mais do que nunca, a importância de uma única base, evitando variadas fontes de informações).
Para atender os controles das demandas voltadas a SOX, a TI deverá utilizar frameworks nacionais e internacionais, tais como:
• Plano de continuidade de negócios;
• CobiT - governança em TI;
• ITIL - gestão de serviços de TI;
• CMMI - gestão para o desenvolvimento de software
• ISO 27001 segurança da informação
• ISO 9001 gestão da qualidade
A correta implantação e manutenção da aplicação destes modelos irão garantir a adequabilidade dos sistemas de informação às exigências da Sox.
