1

COBIT – Parte 1(Control Objectives for Information and related

Technology)

Prof. Guilherme Alexandre Monteiro Reinaldo

Recife

Contatos Prof. Guilherme Alexandre Monteiro Reinaldo Apelido: Alexandre Cordel E-mail/gtalk: alexandrecordel@gmail.com

greinaldo@fbv.edu.br Site: http://www.alexandrecordel.com.br/fbv Celular: (81) 9801-1878

COBIT

• Cobit• Control Objectives for Information

and related Technology• ISACF – Information Systems Audit and

Control Foundation• ISACA• www.isaca.org

COBIT

COBIT

COBIT 5.01. Qual é a finalidade do COBIT?A finalidade do COBIT é fornecer aos gerentes e donos de processos de negócios um modelo de governança de TI que ajude em entregar valor com TI e compreender e gerenciar os riscos associados a TI. COBIT ajuda a preencher as lacunas entre requisitos de negócios, necessidades de controle e problemas técnicos. É um modelo de controle para suportar as necessidades de governança de TI e tem como objetivo garantir a integridade das informações e sistemas de informação.2. Quem está usando o COBIT?COBIT é usado amplamente por aqueles que têm responsabilidades em processos de negócios e de tecnologia, aqueles que dependem de uma TI relevante, confiável e controlada.

3. Quem são os donos de processos?COBIT é orientado a processo de TI e, portanto, destina-se em primeiro lugar para os proprietários desses processos, os responsáveis por eles. Referindo-se ao Modelo de Negócios Genéricos de Porter, processos principais (por exemplo, contratos, operações, marketing, vendas) são discutidos, bem como processos de suporte (por exemplo, recursos humanos, administração, tecnologia da informação). Como consequência, COBIT não limita-se apenas a ser aplicado pela TI, mas para o negócio como um todo.

COBIT

COBIT - versões• 1996

• Objetivos de controle para aplicações de negócios• 1998 – segunda versão

• (+) Ferramenta de suporte a Implementação• 2000 – terceira versão

• (+) Normas e guias para gestão• 2005 – quarta versão

• (+) Melhoria dos controles/Segurança e ativos• 2007 – 4.1• 2010 – 4.1 em Língua Portuguesa• 2012/abril – 5.0 (em Inglês)

Governança Corporativa de TI Antes de introduzirmos os conceitos e detalhes do

framework COBIT 5, é necessária a definição de conceito de governança e gestão corporativa de TI.

Mas o que é Governança Corporativa de TI? A norma ISO/IEC 38500, que estabelece um modelo para

a Governança Corporativa de TI no qual o COBIT 5 se baseia, define Governança Corporativa de TI como:

• “O sistema pelo qual o uso atual e futuro da TI é dirigido e controlado. A governança corporativa de TI envolve a avaliação e a direção do uso da TI para dar suporte à organização no alcance de seus objetivos estratégicos e monitorar seu uso para realizar os planos. A governança inclui a estratégia e as políticas para o uso de TI dentro de uma organização.”

Governança Corporativa de TI A norma orienta que os diretores da organização

governem a TI por meio de três tarefas principais: 1. Avaliar o uso atual e futuro da TI; 2. Orientar a preparação e a implementação de planos

e políticas para garantir que o uso da TI atenda aos objetivos do negócio;

3. Monitorar o cumprimento das políticas e o desempenho em relação aos planos

COBIT (V5)

Diferença entre Governança e Gestão de TI (até V4)

COBIT – governança x gestão (V5)

 (E.D.M: Evaluate , Direct, Monitor) (P.B.R.M: Plan, Build, Run & Monitor); 

COBIT

COBIT

COBIT

COBIT

• Objetivos• As informações corporativas e a

tecnologia para suportá-las não podem ser tratadas isoladamente …

• .. TI considerada parte integrante da estratégia corporativa

• Contribuir para o sucesso da entrega de produtos e serviços de TI – com foco mais acentuado no controle e não na execução.

COBIT• Estabelece relacionamentos com os

requisitos do negócio;• Organiza as atividades de TI em um

modelo de processos genérico;• Identifica os principais recursos de TI, nos

quais deve haver mais investimento;• Define os objetivos de controle que

devem ser considerados para a gestão• GENÉRICO

COBIT

COBIT

COBIT

COBIT – Foco no negócio (até V4)

COBIT

COBIT – Focos/Pilares (até V4)

• Alinhamento Estratégico• Ligação negócio-TI

• Agregação de valor• Otimizar custos/comprovar valor da TI

• Gerenciamento de recursos• Otimização de investimentos

• Gerenciamento de riscos• Conhecimento/entendimento/responsabilidades

• Medição de desempenho• Acompanhamento e monitoração da implementação

da estratégia, do andamento dos projetos, medições

COBIT – Princípio (v5)

COBIT – Habilitadores (v5)

COBIT – Habilitadores (v5) Princípios, políticas e quadros são os veículos para traduzir o

comportamento desejado em orientações práticas para o dia-a-dia de gestão. Os processos descrevem um conjunto organizado de práticas e atividades

para atingir certos objetivos e produzir um conjunto de saídas para atingir as metas de TI.

As estruturas organizacionais são as principais entidades de tomada de decisão em uma empresa.

A cultura, a ética e o comportamento dos indivíduos e da empresa são muitas vezes subestimada como fator de sucesso em atividades de governança e gestão.

A informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas vezes a chave do produto da própria empresa.

Os Serviços, a infraestrutura e as aplicações fornecem as empresas os recursos necessários para o processamento de informação.

As pessoas, habilidades e competências são necessárias para a conclusão bem sucedida de todas as atividades, e para tomar decisões corretas e ações corretivas.

COBIT – Estrutura

• Foco nos requisitos de negócio• Abordagem de processos• Utilização extensiva de mecanismos de

controle• Análise de medições

COBIT – Foco no negócio

• Gerenciar os recursos de TI• Usando processos

• Para garantir entrega e qualidade• Dos serviços de TI

COBIT – Foco no negócio

• Critérios de controle:•Eficiência•Eficácia•Confidencialidade• Integridade•Disponibilidade•Conformidade com regulações•confiabilidade

COBIT – Foco no negócio

COBIT – Foco no negócio

P PrimárioS Secundário

COBIT - Estrutura

COBIT – Domínios (V5)

1. Avaliar, dirigir e monitorar2. Alinhar, planejar e organizar3. Construir, adquirir e

Implementar4. Entregar suporte e serviço5. Monitorar, verificar e avaliar

Governança x Gestão

Visão Geral do COBIT

COBIT – Processos• Modelo padrão de referência e uma

linguagem comum

• Ciclo:• Planejarconstruirexecutarmonitorar

• 34 processos (V4) 37 processos (V5)• 4 domínios (V4) 5 domínios (V5)

COBIT – Processos (V4)

COBIT 5

COBIT – Processos (V5)

COBIT – Processos (V5)

COBIT – Processos (V5)

COBIT – Processos (V5)

COBIT – Controle

• O conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidas para dar uma garantia razoável de que os objetivos de negócio serão atingidos e de que eventos indesejáveis serão prevenidos ou mesmo detectados e corrigidos”

COBIT – Controle

• “Um objetivo de controle define um resultado desejado ou própósito a ser atingido através da implementação de procedimentos de controle em uma atividade de TI específica”

COBIT – Controle

• Objetivos genéricos:•Dono para o processo/responsabilidades•Repetibilidade•Clareza de metas e objetivos•Matriz responsável, aprovador, consultado, informado•Medição do desempenho do processo• Processo divulgado

COBIT – Controle

COBIT – Medições

• O que deve ser medido?• Como ser medido?• Onde obter os dados?• Como agregar os resultados?

• Modelo de maturidade (como no CMM)

COBIT – Visão integrada

COBIT – Visão integrada

COBIT – Aplicabilidade• Avaliação dos Processos de TI (Programas e

Projetos)• Auditoria dos Riscos Operacionais de TI

(otimização)• Implementação modular da governança TI• Realização de benchmarking• Qualificação de fornecedores de TIEm/para: Gestão executiva Gestão de negócio Gestão de TI Auditores

COBIT – Benefícios

• Comunicação clara/direta/precisa• Visão clara situação atual processos TI• Redução de Riscos (otimização)• Maior solidez no planejamento• Alta visibilidade da melhoria da TI• Redução de custos operacionais• Melhoria da imagem

COBIT – Maturidade (V5) 0 – Processo Incompleto: O processo não existe ou não atende seu

objetivo. 1 – Processo Executado: O processo está implementado e atinge seu

objetivo. 2 – Processo Gerenciado: Possui os atributos “Gerenciamento de

Performance e Gerenciamento de Produto”. O processo está implementado de um modo gerenciado e seus produtos estão estabelecidos e controlados.

3 – Processo estabelecido: Possui os atributos “Definição de Processo e Implementação de Processo” é um processo definido capaz de atingir  os seus resultados.

4 – Processo Previsível: Possui os atributos “Gerenciamento do Processo e Controle do Processo”, e agora opera dentro de limites para atingir seu resultado.

5 – Processo Otimizado: Possui os atributos “Inovação de Processo e Otimização de Processo”. O processo previsível é melhorado continuamente para atender as necessidades atuais e planejadas no negócio.

COBITwww.isaca.org.br

Fontes

COBIT

• Fonte: Guia oficial Cobit 5