COBIT

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

COBIT®, do inglês, Control Objectives for Information and related Technology, é um guia de boas práticas apresentado como framework, teste dirigido para a gestão de tecnologia de informação (TI).[1] Mantido pelo ISACA (Information Systems Audit and Control Association), possui uma série de recursos que podem servir como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, um guia com técnicas de gerenciamento.[1] Especialistas em gestão e institutos independentes recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).

O CobiT independe das plataformas adotadas nas empresas, tal como independe do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa.

Em dezembro de 2007, foi lançado o COBIT 4.1, com maiores implementações em relação à versão anterior, 3.0, lançada em 2003.[2]

O COBIT 5 é a atual versão do framework. Uma das principais alterações em relação ao COBIT 4.1 é a integração com outros conjuntos de boas práticas e metodologias, como padrões ISO, ITIL, Val IT, dentre outros.[3]

Áreas de Foco[editar | editar código-fonte]

[4] A avaliação do processo de capacidade baseado nos modelos de maturidade do Cobit é uma parte fundamental da implementação da governança de TI. Depois de identificar os processos e controles críticos de TI, o modelo de maturidade permite a identificação das deficiências em capacidade e a sua demonstração para os executivos. Planos de ação podem ser desenvolvidos para elevar esses processos ao desejado nível de capacidade.

Assim o Cobit suporta a governança de TI provendo uma metodologia para assegurar que:

  • A área de TI esteja alinhada com os negócios;
  • A área de TI habilite o negócio e maximiza os benefícios;
  • Os recursos de TI sejam usados responsavelmente;
  • Os riscos de TI sejam gerenciados apropriadamente.

A mensuração da performance é essencial para a governança de TI. Isto é suportado pelo Cobit, incluindo a definição e o moni- toramento dos objetivos de mensuração sobre os quais os processos de TI precisam entregar (processo de saída) e como entregam (processo de capacidade e performance). Muitas pesquisas identificaram a falta de transparência dos custos, do valor e dos riscos de TI como uma das mais importantes metas para a governança de TI. Embora outras áreas de foco contribuam, a transparência é primariamente atingida através da medição da performance.

Áreas de foco Governança TI

  • [4] Alinhamento estratégico: foca em garantir a ligação entre os planos de negócios e de TI, definindo, mantendo e validando a proposta de valor de TI, alinhando as operações de TI com as operações da organização;
  • Entrega de valor: é a execução da proposta de valor de IT através do ciclo de entrega, garantindo que TI entrega os prometidos benefícios previstos na estratégia da organização, concentrado-se em otimizar custos e provendo o valor intrínseco de TI;
  • Gestão de risco: requer a preocupação com riscos pelos funcionários mais experientes da corporação, um entendimento claro do apetite de risco da empresa e dos requerimentos de conformidade, transparência sobre os riscos significantes para a organização e inserção do gerenciamento de riscos nas atividades da companhia;
  • Gestão de recursos: refere-se à melhor utilização possível dos investimentos e o apropriado gerenciamento dos recursos críticos de TI: aplicativos, informações, infraestrutura e pessoas. Questões relevantes referem-se à otimização do conhecimento e infraestrutura;
  • Mensuração de desempenho: acompanha e monitora a implementação da estratégia, término do projeto, uso dos recursos, processo de performance e entrega dos serviços, usando, por exemplo, “balanced scorecards” que traduzem as estratégia em ações para atingir os objetivos, medidos através de processos contábeis convencionais.

Essas áreas de foco em governança de TI descrevem os tópicos que os executivos precisam atentar para direcionar a área de TI dentro de suas organizações. Gerentes operacionais usam os processos para organizar e gerenciar as atividades contínuas de TI. O Cobit provê um modelo de processo genérico que representa todos os processos normalmente encontrados nas funções de TI, fornecendo assim um modelo de referência comum compreendido por gerentes operacionais de TI e gerentes de negócios. O modelo de processos do Cobit foi mapeado com as áreas de governança de TI, criando uma ponte entre o que os gerentes operacionais precisam executar e o que os executivos desejam controlar.

Para atingir um governança efetiva, os executivos requerem que os controles sejam implementados pelos gerentes operacionais com uma metodologia de controles definida para todos os processos de TI. Os objetivos de controle de TI do Cobit são organizados em processos de TI; portanto o modelo proporciona uma clara ligação entre os requerimentos de governança de TI, processos de TI e controles de TI.

O Cobit é focado no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em elevado nível. O Cobit foi alinhado e harmonizado com outros padrões e boas práticas de TI mais detalhados, como por exemplo ITIL, ISO/IEC 27000, CMM, CMMI e PMBOK. O Cobit atua como um integrador desses diferentes materiais de orientação, resumindo os principais objetivos sob uma metodologia que também está relacionada aos requisitos de governança e de negócios.

Relacionamentos[editar | editar código-fonte]

[5] Todos os componentes do Cobit são inter-relacionados, proporcionando o suporte para as necessidades de governança, gerenciamento, controle e avaliação de diferentes audiências.

Relacionamentos cobit

[5] O Cobit é um modelo e uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O Cobit habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. O Cobit é atualizado continuamente e harmonizado com outros padrões e guias. Assim, o Cobit tornou-se o integrador de boas práticas de TI e a metodologia de governança de TI que ajuda no entendimento e gerenciamento dos riscos e benefícios associados com TI. A estrutura de processos do Cobit e o seu enfoque de alto nível orientado aos negócios fornece uma visão geral de TI e das decisões a serem tomadas sobre o assunto.

Os benefícios de implementar o Cobit como um modelo de governança de TI incluem:

  • Um melhor alinhamento baseado no foco do negócio;
  • Uma visão clara para os executivos sobre o que TI faz;
  • Uma clara divisão das responsabilidades baseada na orientação para processos;
  • Aceitação geral por terceiros e órgãos reguladores;
  • Entendimento compreendido entre todas as partes interessadas, baseado em uma linguagem comum.

Princípios[editar | editar código-fonte]

[6] A orientação para negócios é o principal tema do Cobit, o qual foi desenvolvido não somente para ser utilizado por provedores de serviços, usuários e auditores, mas também, e mais importante, para fornecer um guia abrangente para os executivos e donos de processos de negócios.

O modelo Cobit é baseado nos seguintes princípios:

Principios basicos cobit

[6] Prover a informação de que a organização precisa para atingir os seus objetivos, as necessidades para investir, gerenciar e controlar os recursos de TI usando um conjunto estruturado de processos para prover os serviços que disponibilizam as informações necessárias para a organização.

O gerenciamento e o controle da informação estão presentes em toda a metodologia Cobit e ajudam a assegurar o alinhamento com os requisitos de negócios.

Objetivos de Negócios e Objetivos de TI[editar | editar código-fonte]

[7] Enquanto os critérios de informação fornecem um método genérico para definir os requisitos de negócios, definir um conjunto genérico de objetivos de negócios e de TI fornece uma base mais refinada para o estabelecimento dos requisitos de negócios e o desenvolvimento de métricas que permitam avaliar se esses objetivos foram atendidos. Toda organização usa TI para fazer funcionar as iniciativas de negócios e essas podem ser representadas como objetivos de negócios para a área de TI. Esses exemplos genéricos podem ser utilizados como um guia para determinar os requisitos de negócios específicos, as metas e as métricas para a organização.

Para a área de TI entregar de maneira bem sucedida os serviços que suportam as estratégias de negócios, deve existir uma clara definição das responsabilidades e direcionamento dos requisitos pela área de negócios (o cliente) e um claro entendimento acerca do que e como precisa ser entregue pela TI (o fornecedor). A estratégia da empresa deve ser traduzida pela área de negócios em objetivos relacionados às iniciativas de TI (objetivos de negócios para TI). Esses objetivos devem levar a uma clara definição dos objetivos próprios da área de TI (os objetivos de TI), o que por sua vez irá definir os recursos e capacidades de TI (a arquitetura de TI para a organização) necessários para executar de maneira bem sucedida a parte que cabe à TI na estratégia da empresa.

Objetivos de TI

[7] Obs: É necessário mencionar que a definição e a implementação de uma arquitetura corporativa de TI também criarão objetivos internos de TI que contribuem para os objetivos de negócios, mas não são diretamente derivados desses objetivos.

Uma vez que os objetivos alinhados estiverem definidos, eles precisam ser monitorados para assegurar que as entregas atendam às expectativas. Isto é alcançado por métricas derivadas dos objetivos e capturadas pelo scorecard de TI.

Para que o cliente entenda os objetivos de TI e o scorecard de TI, todos esses objetivos e métricas associadas devem ser expressos em termos de negócios significativos para o cliente. Combinado com um efetivo alinhamento da hierarquia dos objetivos, isto irá assegurar que os negócios confirmem que TI irá provavelmente colaborar para que a empresa atinja seus objetivos.

O cubo do Cobit[editar | editar código-fonte]

É o modelo que representa como os componentes se inter-relacionam:

cubo do COBIT

Critérios de Informação ou Requisitos de Negócio[editar | editar código-fonte]

  • Efetividade: lida com a informação relevante e pertinente para o processo de negócio, bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.
  • Eficiência: relaciona-se com a entrega da informação através do melhor uso dos recursos, de forma mais produtiva e econômica.
  • Confidencialidade: proteção das informações confidenciais a fim de se evitar sua divulgação indevida.
  • Integridade: relaciona-se com a fidedignidade e totalidade da informação, bem como sua validade para o negócio.
  • Disponibilidade: relaciona-se a disponibilidade das informações quando esta é exigida para processamento pelo negócio. Também possui relação com a salvaguarda dos recursos necessários e sua capacidade.
  • Conformidade: aderência a leis, regulamentos e obrigações contratuais relacionadas ao negócio.
  • Confiabilidade: relaciona-se com a entrega da informação apropriada para tomada de decisão.

Recursos de TI[editar | editar código-fonte]

  • Aplicações
  • Informações
  • Infraestrutura
  • Pessoas

Processos de TI[editar | editar código-fonte]

  • Dominios
  • Processos
  • Atividades

Estrutura do CobiT[editar | editar código-fonte]

CobiT cobre quatro domínios, os quais possuem 34 processos, e estes processos possuem 210 objetivos de controle:

  • Planejar e Organizar
  • Adquirir e Implementar
  • Entregar e Suportar
  • Monitorar e Avaliar

Objetivos de TI[editar | editar código-fonte]

[8] A tabela a seguir é baseada em objetivos genéricos e deve ser usada como um guia e adaptada para uma organização específica.

Objetivos de TI

1

Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2

Responder aos requerimentos de governança em linha com a Alta Direção.

3

Assegurar a satisfação dos usuários.

4

Otimizar o uso da informação.

5

Criar agilidade para TI.

6

Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes.

7

Adquirir e manter sistemas aplicativos integrados e padronizados.

8

Adquirir e manter uma infraestrutura de TI integrada e padronizada.

9

Adquirir e manter habilidades de TI que atendam as estratégias de TI.

10

Assegurar a satisfação mútua no relacionamento com terceiros.

11

Assegurar a integração dos aplicativos com os processos de negócios.

12

Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

13

Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.

14

Responsabilizar e proteger todos os ativos de TI.

15

Otimizar a infraestrutura, recursos e capacidades de TI.

16

Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções.

17

Proteger os resultados alcançados pelos objetivos de TI.

18

Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI.

19

Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.

20

Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.

21

Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.

22

Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.

23

Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.

24

Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios.

25

Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

26

Manter a integridade da informação e da infraestrutura de processamento.

27

Assegurar a conformidade de TI com leis, regulamentos e contratos.

28

Assegurar que a TI ofereça serviços de qualidade com custo efiente, com contínuo aprimoramento e preparação para mudanças futuras.

Planejar e Organizar[editar | editar código-fonte]

O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista os processos de TI para o domínio do Planejamento e Organização.

PROCESSOS DE TI
Planejar e Organizar
PO1 Definir um Plano Estratégico de TI 6 OCs
PO2 Definir a Arquitetura de Informação 4 OCs
PO3 Determinar o Direcionamento Tecnológico 5 OCs
PO4 Definir os Processos, Organização e Relacionamentos de TI 15 OCs
PO5 Gerenciar o Investimento em TI 5 OCs
PO6 Comunicar as Diretrizes e Expectativas da Diretoria 5 OCs
PO7 Gerenciar os Recursos Humanos de TI 8 OCs
PO8 Gerenciar a Qualidade 6 OCs
PO9 Avaliar e Gerenciar os Riscos de TI 6 OCs
PO10 Gerenciar Projetos 14 OCs


[8] Processos / Objetivos de TI

PO1

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

PO2

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

4 Otimizar o uso da informação.

5 Criar agilidade para TI.

11 Assegurar a integração dos aplicativos com os processos de negócios.

PO3

7 Adquirir e manter sistemas aplicativos integrados e padronizados.

15 Otimizar a infraestrutura, recursos e capacidades de TI.

PO4

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

5 Criar agilidade para TI.

PO5

12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

24 Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios.

28 Assegurar que a TI ofereça serviços de qualidade com custo efiente, com contínuo aprimoramento e preparação para mudanças futuras.

PO6

12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.

19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.

20 Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.

21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.

22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.

PO7

5 Criar agilidade para TI.

9 Adquirir e manter habilidades de TI que atendam as estratégias de TI.

PO8

3 Assegurar a satisfação dos usuários.

16 Reduzir os defeitos e re-trabalhos na entrega de serviços e soluções.

25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

PO9

14 Responsabilizar e proteger todos os ativos de TI.

17 Proteger os resultados alcançados pelos objetivos de TI.

18 Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI.

PO10

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

Adquirir e Implementar[editar | editar código-fonte]

Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento: · Os novos projetos fornecerão soluções que atendam às necessidades de negócios? · Os novos projetos serão entregues no tempo e orçamento previstos? · Os novos sistemas ocorrerão apropriadamente quando implementado? · As alterações ocorrerão sem afetar as operações de negócios atuais?

PROCESSOS DE TI
Adquirir e Implementar
AI1 Identificar Soluções 4 OCs
AI2 Adquirir e Manter Software Aplicativo 10 OC
AI3 Adquirir e Manter Infraestrutura de Tecnologia 4 OC
AI4 Habilitar Operação e Uso 4 OC
AI5 Adquirir Recursos de TI 4 OC
AI6 Gerenciar Mudanças 5 OC
AI7 Instalar e Homologar Soluções e Mudanças 9 OC

Entregar e Suportar[editar | editar código-fonte]

O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os processos de TI desse domínio.

PROCESSOS DE TI
Entregar e Suportar
DS1 Definir e Gerenciar Níveis de Serviço 6 OC
DS2 Gerenciar Serviços de Terceiros 4 OC
DS3 Gerenciar Capacidade e Desempenho 5 OC
DS4 Assegurar Continuidade de Serviços 10 OC
DS5 Assegurar a Segurança dos Serviços 11 OC
DS6 Identificar e Alocar Custos 4 OC
DS7 Educar e Treinar Usuários 3 OC
DS8 Gerenciar a Central de Serviço e os Incidentes 5 OC
DS9 Gerenciar a Configuração 3 OC
DS10 Gerenciar os Problemas 4 OC
DS11 Gerenciar os Dados 6 OC
DS12 Gerenciar o Ambiente Físico 5 OC
DS13 Gerenciar as Operações 5 OC

Monitorar e Avaliar[editar | editar código-fonte]

O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos.

PROCESSOS DE TI
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho 6 OC
ME2 Monitorar e Avaliar os Controles Internos 7 OC
ME3 Assegurar a Conformidade com Requisitos Externos 5 OC
ME4 Prover a Governança de TI 7 OC

Estrutura de cada processo[editar | editar código-fonte]

Cada processo do CobIT deve descrever as seguintes características:

  • Nome do processo
  • Descrição do processo
    • Critérios de informação
    • Declaração genérica de ações
      • Indicadores de performance
    • Recursos de TI envolvidos
    • Objetivos de controle detalhados
    • Diretrizes de gerenciamento
      • Entradas
      • Saídas
      • Matrizes de responsabilidade
      • Objetivos e métricas
    • Modelo de maturidade

Notas e referências

  1. a b COBIT 5 Framework - Introduction ISACA International.
  2. Nova versão do Cobit apóia regulamentações - Computerworld
  3. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT ISACA International.
  4. a b Cobit 4.1, IT Governance Institute, 2007, p. 8-9.(em português)
  5. a b Cobit 4.1, IT Governance Institute, 2007, p. 10.(em português)
  6. a b Cobit 4.1, IT Governance Institute, 2007, p. 12.(em português)
  7. a b Cobit 4.1, IT Governance Institute, 2007, p. 13.(em português)
  8. a b Cobit 4.1, IT Governance Institute, 2007, p. 171-174.(em português)


Ver também[editar | editar código-fonte]

Ligações externas[editar | editar código-fonte]



Categoria:Governança em TI Categoria:Acrónimos