Cobit - Conceitos básicos, estrutura e objetivos.

Por -
Introdução


O termo Cobit vem do inglês: Control Objectives for Information and related Technology. O COBIT é um modo (é um framework - ou seja, um leque de diretrizes) para implementar a governança de TI, desenvolvido pelo IT Governance Institute – ITGI (www.itgi.com), criado em "1998" para definir padrões no direcionamento e controle da tecnologia da informação nas empresas. CobiT independe das plataformas de TI adotadas nas empresas.


Framework = leque de diretrizes = melhores práticas

Versões:

v1 - ISACF - Compilação de ref. s/ controle e auditoria de TI (96)
v2 - ISACA - v1+Kit de implantação (98)
v3 - ITGI - Mgmt Guidelines (00)
v4 - Consolidação (Mgmt. guid, framework, objetivos) + > det e estruturação .


- Áreas focais Cobit v4:
1) Alinhamento estratégico
2) Entrega de Valor
3) Ger. de Risco
4) Ger. de Recursos
5) Ger. de Performance

- O CobiT é projetado para auxiliar três audiências distintas:
1) Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em organização.(Executivos, de Negócios e TI)
2) Usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados.
3) Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização.


O CobiT v3 está dividido em quatro domínios:
  • Planejamento e organização.
  • Aquisição e implementação.
  • Entrega e suporte.
  • Monitoração.(v4 = Mon. e Análise).

Estrutura CObit v3:


Na figura acima estão representados os principais componentes estruturais do Cobit v3. O pacote de implementação compreende:


  1. Sumário Executivo
  2. Caso de Estudos
  3. FAQs, PPTs,
  4. Guia de Implementação - Mgmt awareness diagnostics

Estrutura Cobit v4:


Uma efetiva governança de TI ajuda a garantir que a tecnologia da informação apoia efetivamente os objetivos de negócio (“Business Goals”), otimiza o investimento de TI e gerencia as oportunidades e ameaças relacionadas a TI.

Definições:


COBIT 3.0
Relacionamentos e processos para gerenciar ou controlar a empresa visando atingir as metas de negócios adicionando valor enquanto que equilibra os riscos e o retorno sobre TI e seus processos. A estrutura une os processos, recursos e a informação em TI com as estratégias e objetivos de negócio. É composto por 34 processos e 318 objs de controle.


COBIT 4.0
Liderança. Estrutura organizacional e Processos que garantam que a área de TI suporte e estenda as estratégias e objetivos da organização. É composto por 34 processos e 215 objs de controle.



Objetivos:


O propósito de sua criação é apoiar os gestores e os profissionais no controle e gerenciamento dos processos de TI de forma lógica e estruturada, tendo como foco: o relacionamento entre os objetivos de negócio com os objetivos de TI.

Benefícios:



  1. Better alignment, based on a business focus
  2. A view, understandable to management, of what IT does
  3. Clear ownership and responsibilities, based on process orientation
  4. General acceptability with third parties and regulators
  5. Shared understanding amongst all stakeholders, based on a common language
  6. Fulfillment of the COSO requirements for the IT control environment

Caracteristicas:


  1. Focado no Negócio (Metas Org => Metas TI => Arq. de TI => Proc/Atvs => Recursos TI)
  2. Orientado por processo (Estrutura e Responsabilidades)
  3. Baseado em controles ( Politicas, Praticas, Estruturas)
  4. Dirigido por Métricas (MM, KGI, KPI, Fatores críticos p/ Sucesso).

Vale destacar que o Cobit é um modelo utilizado internacionalmente como um instrumento (de fomento) da Governança de TI, contendo práticas e técnicas de controle e gerenciamento, a fim de:


  1. auxiliar na preparação para auditorias,
  2. acompanhamento/monitoramento,
  3. a avaliação dos processos de TI e , finalmente,
  4. auxiliar no alcance de metas na organização.
Fundamentos:


  1. Objs do negócio: Informação
  2. Recursos de TI (geram a INFO) - DATIP v3(Dados,App,Tech, Instal, Proc) e DAIP v4(Dados, App, Infra, Proc)
  3. Recursos alocados p/ processos
  4. Objs de controle

Critérios da Informação:


  1. QUALIDADE (Eficácia/Eficiência)
  2. SEGURANÇA (Confidencialidade, Integridade e Disponibilidade)
  3. ADEQUAÇÃO/FIDUCIÁRIOS(Conformidade e Confiabilidade)

Quanto aos Recursos e Processos em TI:

Com o foco nos negócios, o Cobit vem a apoiar de forma significativa a área de TI. Suas diretrizes pertencem a um conjunto de 318 controles, distribuídos em 34 processos, cada qual visando, segundo a Cobit, um Objetivo de Controle. (Cobit v3)


Ferramentas:

* framework;
* mapas de auditoria;
* sumário executivo;
* control objectives - Objetivos de Controle (propósito a ser alcançado ou o resultado a ser atingido);
* guia - técnicas de gerenciamento e
* ferramentas - quanto à implementação do modelo.

Não necessariamente nesta ordem, mas estes são os recursos que podem auxiliar na implantação de um modelo na TI e permitir uma análise mais precisa quanto aos processos e resultados. Importante ressaltar que a área em questão deve manter os olhos no alinhamento dos negócios e, ao mesmo tempo, ficar atento ao gerenciamento de riscos.

Vale frisar ainda que, quando falamos em controles voltados ao Cobit, estamos falando de:

* procedimentos;
* práticas;
* regras de negócios (organização) e
* políticas

A soma destes ingredientes serve de preparo as exigências da boa governança em TI quanto às expectativas do mercado, legislação, automação, a organização em si, aos acionistas, aos clientes internos, auditores, etc.

No entanto, a TI através do Cobit, deverá fornecer todas as informações (sólidas) e métricas necessárias quando solicitadas - com base no KGI (Key Goal Indicators), ROI (Return on Investment), KPI (Key Performance Indicator) para que a organização possa atingir suas metas com o menor risco possível. Este é um ponto primordial. Vale analisar que talvez, haja a necessidade da interação entre a área financeira da empresa e a TI.



Observações finais:

Interessante saber que, qualquer organização pode utilizar as boas práticas do Cobit, pois independe do tipo de negócio, infra-estrutura, sistemas ou tecnologia utilizada.

E vale lembrar que, o papel do Cobit é não determinar como os processos devem ser estruturados(não é prescritivo) , mas utilizá-lo da melhor forma, a fim de, ceder e gerar as informações que a empresa realmente necessita, levando em consideração, conforme já citado, o relacionamento entre os objetivos de negócio da organização e os objetivos da área em questão (a TI), atingindo assim, suas metas com base na governança.

Portanto, seu papel é descobrir a solução do desalinhamento entre TI e Negócio diante das principais regulamentações (normas regulatórias) existentes no mercado, por exemplo: a Basiléia, a SOX, ...

_________________________________


Dificuldades:


A dificuldade de aplicação do Cobit não está relacionada aos objetivos de controles individuais, que são relativamente simples e conhecidos, mas com o conjunto de objetivos de controles pelos quais o Cobit foi desenvolvido. O desafio é decidir em qual objetivo a empresa deve colocar esforço e orçamento, e em qual ignorar. Que certeza podemos ter que as áreas prioritárias foram cobertas, sem gastar esforço em áreas desnecessárias? De forma a tornar mais fácil de acessar e visualizar, os objetivos de controle, eles foram agrupados em 34 processos ( também conhecidos como objetivos de controle de alto-nível definidos no documento do COBIT), estes por sua vez são agrupados em 4 domínios. Cada objetivo de controle de TI possui um detalhamento publicado pelo ITGI que se chama práticas de controle (1547 “Control Practices”) que são a extensão dos objetivos de controles. O framework do Cobit foi criado com as características de ser focado ao negócio, orientado a processo, baseado em controles e orientado a medições de maturidade. Este framework é baseado no seguinte princípio:


"para fornecer informações que a empresa necessita para alcançar seus objetivos, a empresa precisa gerenciar e controlar recursos de TI usando um conjunto estruturado de processos para entregar as informações requisitadas. Desta forma, existe um relacionamento formal entre os objetivos do negócio e objetivos de TI, definindo a prioridade dos processos de TI. "

Referências:
http://www.isaca.org/

Comentários

Unknown disse…
Muito interessante, um apanhado geral e resumido sobre cobit, para meu concurso de governança de TI faltou apenas a estrutura do COBIT, mas valeu a pena é uma página de grande valia, parabéns!
24 de agosto de 2009 às 07:37
Anônimo disse…
Muito bom, gostei muito, to olhando alguns materiais para concurso, e esse me ajudou muito. Obrigado. Ass: YURI VINICIUS
29 de julho de 2010 às 19:25
Postar um comentário

Postagens mais visitadas deste blog

Redação Ti Nota 10 - Klauss

Por -
Imagem
Neste post trago pra vocês a prova discursiva do Klauss Henry, que fechou a prova discursiva da área meio. Espero que ajude a nortear os estudos de vocês nessa parte discursiva. Pelo que vemos o importante é que apareça as palavras mágicas (Ishikawa, Pareto, análise de requisitos, metas gerais e específicas CMMI, PMO, BSC, missão institucional, Plano Diretor de TI, Alinhar TI e Negócios, Dominios COBIT - Aquisição e Implementação, Entrega e Suporte, Mon. e Avaliação e Planej e Organização, ISO 17799, CMMI, ITIL, ServiceDesk, as gerências do ITIL, PSI, GED), numa sequencia lógica coerente, detalhando apenas as partes mais relevantes, haja vista que o espeço é reduzido(20 linhas e 50 linhas). Abaixo a questão 3 e a redação da prova de TI área meio. Parabéns Klauss mais uma vez pela aprovação nas duas áreas!!!!! O cara é um monstrinho!!!! Abraços
Leia mais

Prova Discursiva nota 10 - Banca Cespe

Por -
Imagem
Procurando um pouco na internet chegamos até o site http://www.blogconcurseiradedicada.com/ que conseguiu resumir muito bem a prova discursiva nota 10 para a banca cespe. Vamos ao texto. Atendendo aos pedidos, a Concurseira Dedicada conseguiu uma Prova Discursiva nota 10 da banca Cespe, prova AJAJ TRT 10/2012. O espelho da discursiva e nota foi enviado pelo próprio candidato. Vamos à prova?? Um juiz do trabalho determinou, em ata de audiência, que o reclamado providenciasse o depósito de honorários prévios, como antecipação do numerário destinado ao perito e do numerário necessário ao pagamento das despesas com a perícia, que foi requerida pelo reclamante, não beneficiário de justiça gratuita, com o propósito de demonstrar seu direito à percepção, em sua remuneração, de adicional de periculosidade, dos reflexos dele decorrentes e de outros direitos. O advogado do reclamado registrou, em ata, o inconformismo de seu cliente em face do requerimento descrito, defe
Leia mais

Portugues - Orações

Por -
Diferença entre oração subordinada adverbial causal e coordenada (sindética explicativa ) Diferença entre oração subordinada adverbial causal e coordenada sindética explicativa É difícil, às vezes, distinguir uma oração subordinada adverbial causal de uma oração coordenada sindética explicativa. Eis alguns artifícios que podem auxiliar na distinção desses dois tipos de oração: a) Geralmente, a oração que antecede a oração coordenada explicativa tem o verbo no modo imperativo. "Fiquem quietos, que o professor já vem." Verbo no imperativo: fiquem. Oração coordenada sindética explicativa: que o professor já vem. b) A oração subordinada adverbial causal pode ser colocada no início do período, introduzida pela conjunção como, o que não ocorre com a coordenada sindética explicativa: "Não vim à aula PORQUE ESTAVA DOENTE." "COMO ESTAVA DOENTE, não vim à aula." Diferenças entre a concessiva e adversativa (Sintaxe ) A oração adv
Leia mais