Introdução ao

COBIT - Control Objectives for Information and Related Technology

(Objetivos de Controle sobre Informações e Tecnologia Relacionada)

Mair Affonso Rangel Calvo – Sócio/Diretor

MADAH – Serviços de Segurança de Sistemas

Missão do COBIT:
Pesquisar, desenvolver e promover um conjunto internacional, abalizado e atualizado, de
objetivos de controle geralmente aceitos sobre tecnologia de informação, para uso cotidiano
por administradores e auditores.

Apresentação:

É cada vez mais importante, para o sucesso e sobrevivência de uma organização na nossa
sociedade global de informação, o gerenciamento efetivo da informação e da respectiva
tecnologia de informação (TI), considerando:

 a crescente dependência da informação e dos sistemas que a fornecem;

 as crescentes vulnerabilidades e um amplo espectro de ameaças como “cyber-ameaças” e
guerra de informações;
 o montante e o custo de investimentos atuais e futuros em informações e sistemas de
informação; e
 o potencial de tecnologias em mudar dramaticamente as organizações e práticas
comerciais, criando novas oportunidades e reduzindo custos.

Muitas organizações reconhecem os benefícios potenciais que a tecnologia pode propiciar.

Contudo, somente as organizações de sucesso compreendem e gerenciam os riscos
associados com a implementação de novas tecnologias.

O COBIT auxilia a associação entre os riscos do negócio, as necessidades de controle e os

aspectos tecnológicos. Propicia boas práticas através de uma matriz de domínios e processos
estruturados de forma lógica e gerenciável. Tais boas práticas representam o consenso de
especialistas, tendo sido pesquisadas e consolidadas pela ISACF – Information Systems Audit
and Control Foundation (Fundação de Auditoria e Controle de Sistemas de Informação), com o
intuito principal de constituir-se em uma fonte educacional para profissionais de controle. Foi
desenvolvido como um padrão geralmente aceito e aplicável para boas práticas de controle e
segurança de Tecnologia de Informação, objetivando ser seu equivalente dos Princípios
Contábeis Geralmente Aceitos.

A matriz de domínios e processos está composta por 34 macro-objetivos de controle, um para

cada processo de TI, agrupados em quatro domínios: planejamento e organização, aquisição e
implementação, fornecimento e suporte, e monitoração. Tal estrutura cobre todos os aspectos
da informação e da tecnologia que a suporta. Outrossim, a cada um dos 34 macro-objetivos de
controle, estão associadas linhas mestras para auditoria, ou garantia da qualidade, para
possibilitar a revisão dos processos de TI contra os 318 objetivos detalhados de controle
recomendados pelo COBIT.

Público-alvo: o COBIT foi projetado para utilização por três distintos públicos:

 Administradores: para auxiliá-los na ponderação entre risco e investimento em controles

num ambiente muitas vezes imprevisível como o de TI;
 Usuários: para se certificarem da segurança e dos controles dos serviços de TI fornecidos
internamente ou por terceiros; e
 Auditores de Sistemas: para subsidiar suas opiniões e/ou prover aconselhamento aos
administradores sobre controles internos.
Definições:

 Controle: políticas, procedimentos, práticas e estruturas organizacionais projetados para

prover razoável segurança de que os objetivos do negócio serão atingidos e de que
eventos indesejados serão prevenidos ou detectados e corrigidos.

 Objetivo de Controle de TI: uma declaração do resultado desejado, ou propósito a ser

atingido, pela implementação de procedimentos de controle numa atividade de Tecnologia
de Informação em particular.

COBIT - PROCESSOS DE TI DEFINIDOS NOS QUATRO DOMÍNIOS

OBJETIVOS DO
NEGÓCIO
PO1 Definir um plano estratégico de TI
PO2 Definir a arquitetura de informação
PO3 Determinar a direção tecnológica
PO4 Definir a organização e relacionamentos da TI

COBIT PO5 Gerenciar o investimento em TI

PO6 Comunicar objetivos e diretrizes da administração
PO7 Gerenciar recursos humanos
PO8 Garantia do cumprimento de exigências externas
PO9 Avaliação de riscos
M1 Monitorar os processos
PO10 Gerenciar projetos
M2 Avaliar a adequação do controle interno
PO11 Gerenciar a qualidade
M3 Obter certificação independente
M4 Auditoria
INFORMAÇÕES
• eficácia
• eficiência
• confidencialidade
• integridade
• disponibilidade
• compliance PLANEJAMENTO E
MONITORAÇÃO
• confiabilidade ORGANIZAÇÃO

RECURSOS DE TI
• pessoas
• sistemas aplicativos
• tecnologia
• instalações
DS1 Definir níveis de serviços • dados
DS2 Gerenciar serviços de terceiros
DS3 Gerenciar performance e capacidade AQUISIÇÃO E
DS4 Garantir continuidade dos serviços FORNECIMENTO E
IMPLEMENTAÇÃO
DS5 Garantir segurança dos sistemas SUPORTE
DS6 Identificar e alocar custos
DS7 Educar e treinar usuários
DS8 Auxiliar e aconselhar usuários de TI
AI1 Identificar soluções
DS9 Gerenciamento da configuração
AI2 Adquirir e manter software aplicativo
DS10 Gerenciamento de problemas e incidentes
AI3 Adquirir e manter arquitetura tecnológica
DS11 Gerenciamento de dados
AI4 Desenvolver e manter procedimentos de TI
DS12 Gerenciamento de instalações
AI5 Instalar e certificar sistemas
DS13 Gerenciamento da operação
AI6 Gerenciar mudanças

Para informações mais detalhadas, recomenda-se a leitura dos documentos “COBIT

Executive Summary”, “COBIT Framework” e “COBIT Control Objectives”, disponíveis na
Internet.

(A presente introdução foi baseada no “COBIT Executive Summary – April 1998 – 2nd Edition”.)