Módulo 4

O que é o COBIT®, aplicação, origens, evolução,

princípios, filosofia, estrutura e exercícios
O que é o COBIT®?
COBIT® significa Control Objectives for Information and related
Technology - Objetivos de Controle para Informações e
Tecnologias relacionadas.

O framework COBIT® foi criado com as seguintes características:

Foco em Negócio;

Orientado a Processo;

Baseado em Controles;

Direcionado a Métricas.

Como um modelo de controle o COBIT pode ser utilizado

para qualquer empresa, plataforma de TI e padrões de sistemas
Vantagens para adoção

É aceito internacionalmente como framework de modelo para Governança de TI;

É orientado para processos;

É suportado por ferramentas e treinamento;

Permite que o conhecimento de especialistas voluntários, seja compartilhado e
difundido;

Continuamente em desenvolvimento, periodicamente melhorias são feitas;

É mantido pela ISACA, uma organização sem fins lucrativos;

Atende 100% dos requisitos do COSO;

Mapeia fortemente todos os maiores padrões de mercado como (ITIL, ISO 20000-1, ISO
27001)

É uma referência, não uma solução já pronta;

Ajuda a atender os requisitos regulatórios no mercado.
O que é o COBIT® não é ?

Não é um plano de auditoria;

Não é um programa de trabalho;

Não é uma lista de verificação, passos, técnicas,
procedimentos para auditoria;

Não define como fazer;

Não define níveis aceitáveis de desempenho para os
processos de TI.
COBIT® como Estrutura de Controle

Conselho, Presidência

Direcionamento do negócio

Estratégia COBIT®

Governança de TI ISO 20000-1 e ISO 27001

Tática ITIL®

Processos de TI
Equipe operacional
COBIT® como Estrutura de Controle

Assegurar que os recursos de TI estejam alinhados com os objetivos da organização.

Entre seus benefícios, estão o aumento na qualidade de serviços e informações e o
direcionamento de ações para um equilíbrio entre risco e retorno.

O COBIT® foca na Governança Corporativa e na necessidade de controles de melhorias
nas empresas.

Os controles de TI são necessários para prestar contas dos gastos financeiros.

O COBIT® fornece uma estrutura para controlar a TI:

 Define uma linguagem comum para a área de TI e negócio

 Ajuda a atender os requisitos regulatórios
 É um padrão aceito entre empresas
 É orientado a processos
 É focado nos requisitos de negócio
 Missão do COBIT®

“Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de

controle para tecnologia que seja embasado, atual, internacional e aceito
em geral para o uso do dia-a-dia de gerentes de negócio e auditores”

Fonte: ISACA
Aplicação do COBIT®
O COBIT foi projetado para utilização por três
distintos públicos:

Administradores: para auxiliá-los na

ponderação entre risco e investimento e
controle de ambientes muitas vezes
imprevisíveis como o de TI;

Usuários: para se certificarem da segurança
e dos controles dos serviços de TI
fornecidos internamente ou por terceiros;

Auditores de Sistemas: para subsidiar suas
opiniões e/ou prover aconselhamento aos
administradores sobre controles internos.
Origens do COBIT®

O COBIT® foi desenvolvido a partir do Committee of Sponsoring
Organizations of the Treadway Commission-Internal Control —
Integrated Framework (COSO), o Controle de Objetivos original do
ISACA, e mais de 50 padrões e práticas de mercado em TI.

O COBIT® preenche a lacuna entre os modelos de controle de

negócio e as melhores práticas em TI e oferece um modelo para a
Governança de TI. Veja abaixo as principais fontes do COBIT®:

Padrões Profissionais para o controle e auditoria interna

como o COSO.

Padrões Técnicos

Códigos de Conduta

Critérios de Qualificação para os sistemas e processos de
TI como a ISO 9000.

Práticas da Indústria

Requisitos específicos de alguns negócios emergentes
como bancos e e-commerce.
Evolução do COBIT®

Governança

Gerenciamento
Evolução

Controle

Auditoria

COBIT 1 COBIT 2 COBIT 3 COBIT 4 COBIT 4.1

1996 1998 2000 2005 2007

Novidades no COBIT® 4.1
O nova versão do COBIT® 4.1 teve várias melhorias e simplificações
em seu uso:

 Melhor definição dos conceitos principais;

 Alguns objetivos de controle foram agrupado e outros tiveram a
sua denominação alterada para evitar sobreposição de
conceitos. As principais alterações nos objetivos de controle
foram:
– AI5.5 e AI5.6 foram combinados com o AI5.4;
– AI7.9, AI7.10 e AI7.11 foram combinados com o AI7.8;
– ME3 foi revisado para incluir conformidade com requisitos
contratuais devido a requisitos regulatórios e legais.
 Os controles de aplicações foram refeitos para se tornarem
mais eficazes. Os 18 controles de aplicações foram
transformados em 6.
 A lista de metas do negócio e metas da TI no apêndice I foi
melhorada.
Melhorias identificadas pelos usuários do COBIT® foram
revisadas e incorporadas.
Premissas do COBIT®

O Framework do COBIT® é baseado na premissa que a TI precisa entregar a
informação que a empresa necessita para alcançar os seus objetivos.

O Framework do COBIT® ajuda alinhar a TI com o negócio focando nos requisitos de
informação do negócio e organizando os recursos de TI.

O Framework do COBIT® fornece uma guia de apoio para implementar a Governança
de TI.

Para
Objetivos do
alcançar
Negócio

i para
Processos do
Negócio
Informação
fornecem

Recursos de TI
e Processos
 Qual é o Princípio da estrutura do COBIT®?

O princípio do framework COBIT® é o de prover um link entre as expectativas com as
responsabilidades de gerenciamento de TI. O objetivo é facilitar a Governança de TI
para agregar valor a TI, enquanto gerenciando Riscos em TI.

O princípio da estrutura é derivado de um modelo que mostra a informação com

qualidade sendo produzida por eventos através de recursos de TI.

Requisitos
de Negócio

Processos de TI Recursos de TI

Fonte: ITGI 2000a

 Componentes chaves

Critérios de Informação

ade de
i a ci a
al i d d e
id a
a d e
ade
ác ciên nci rida ibi l id
if c id i l
i e g n m ab
E Ef fid nte spo for fi
n I i n n
Co D Co Co

Pessoas
Infra-estrutura
Informação
Procesos de TI

Dominios

Aplicações
Processos TI
Atividades de
os
r s
c u
Re

Fonte: ISACA
Processos de TI

Dominios
Processos TI

Processos

4 domínios

34 processos de TI. Atividades
Domínios

Os processos do COBIT® são

agrupados em 4 domínios:

1. Planejamento e
4
Organização
1
2. Aquisição e
Implementação
3. Entrega e Suporte
4. Monitoração e Avaliação
2
3
 Definir um Plano Estratégico de TI.
Definir a arquitetura de informação.

Processos
Determinar a direção tecnológica.
Definir a organização e os relacionamentos da TI.
Gerenciar os investimentos da TI.
Comunicar as metas e os direcionamentos gerenciais
Gerenciar os recursos humanos.
Garantir a conformidade com os requisitos externos.
Avaliar os riscos.
Gerenciar os projetos.
Gerenciar a qualidade.

Planejamento e Organização

Aquisição e Implementação
Identificar soluções automatizadas (soluções de TI). Prover e manter a documentação.
Prover e manter aplicações de software. Instalar e certificar os sistemas.
Prover e manter a infra-estrutura tecnológica. Gerenciar as mudanças.

Entrega e Suporte
Definir e manter os níveis de serviço. Auxiliar e orientar os clientes.
Gerenciar os serviços de terceiros. Gerenciar a configuração.
Gerenciar o desempenho e a capacidade. Gerenciar os problemas e incidentes.
Garantir o serviço ininterrupto. Gerenciar os dados.
Garantir a segurança dos sistemas. Gerenciar as instalações.
Identificar e alocar os custos. Gerenciar as operações.
Treinar os usuários.

Monitoração
Monitorar os processos.
Avaliar a adequação do controle interno.
Obter garantia independente.
Prover auditoria independente
Atividades
Existem ações que são necessárias para alcançar resultados mensuráveis. As
atividades tem ciclos de vida, mas as tarefas não.

Dominios

Processos

Atividades
Critérios de Informação
Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade
com os critérios chamados requisitos de negócio.

Requisitos de Qualidade
Critérios de Informação
Qualidade
Custo
Entrega

Requisitos Fiduciários (Relatório do COSO)
Eficácia e eficiência das Operações
Confiabilidade das Informações
Conformidade com Leis e Regulamentos

Requisitos de Segurança
Confidencialidade
Integridade
Disponibilidade

Requisitos de negócio = Critérios de Informação

Recursos de TI
Os recursos de TI são gerenciados pelos processos de
TI para fornecer informação que a organização precisa
para alcançar seus objetivos.

Aplicações: sistemas automatizados e procedimentos

manuais para processar informações

Informação: os dados de todos os formulários de
entrada, processados e exibidos pelos sistemas de
informação, podendo ser qualquer formulário que é
usado pelo negócio.

Infra-estrutura: inclui hardware, sistemas operacionais, TI
sistemas de banco de dados, rede, multimídia, etc. É s os
r
tudo que é necessário para o funcionamento das e cu
R
aplicações.

Pessoas: pessoal necessário para planejar, organizar,
adquirir, implementar, entregar, dar suporte, monitorar e
avaliar os sistemas de informação e serviços. Eles
podem ser internos ou terceirizados.
Foco no negócio

COBIT® busca foco estrito no Negócio através do alinhamento dos objetivos de TI com
os objetivos de Negócio.

A medição de performance de TI deverá ter foco na contribuição de TI para habilitar e
estender as estratégias de Negócio.

COBIT®, é suportado por apropriadas métricas com foco no Negócio, que garantem que
o foco primário é a agregação de valor e não a excelência técnica como um fim em si
mesmo.

O COBIT diz o que fazer,

mas não como fazer.
Exercício
Indique se é Verdadeiro ou falso:

1. ( ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI,
usuários e auditores.
2. ( ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.
3. ( ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio
precisa para alcançar seus objetivos. A entrega de informação é controlada por 68
objetivos de controle de alto nível, dois para cada processo.
4. ( ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com
as responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI
gerar valor em TI enquanto gerencia os riscos de TI.
5. ( ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para auditoria.
6. ( ) COBIT® significa Control Objectives for Information and related Technology.
7. ( ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control Objectives,
IT Governance Implementation Guide e Board briefing on IT Governance.
8. ( ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição, Implementação,
Entrega e Monitoração.
Resposta do exercício
Indique se é Verdadeiro ou falso:
1. ( F ) O COBIT® foi criado para ser empregado apenas pelos provedores de serviço de TI,
usuários e auditores. (também pelas partes interessadas)
2. ( V ) São recursos de TI: aplicações, informações, infra-estrutura e pessoas.
3. ( F ) Os 4 domínios possuem 34 processos, estes processos especificam o que o negócio
precisa para alcançar seus objetivos. A entrega de informação é controlada por 68
objetivos de controle de alto nível, dois para cada processo. (34 objetivos de controle)
4. ( V ) O princípio da estrutura do COBIT® é vincular as expectativas dos gestores de TI com
as responsabilidades dos gestores de TI. O objetivo é facilitar para a Governança de TI
gerar valor em TI enquanto gerencia os riscos de TI.
5. ( F ) O COBIT® é uma lista de verificação, passos, técnicas e procedimentos para
auditoria. (O COBIT® é um framework de governança e controle, que foca no que precisa
ser alcançado ao invés de se preocupar em como alcançar)
6. ( V ) COBIT® significa Control Objectives for Information and Related Technology.
7. ( V ) Fazem parte da família de produtos do COBIT®: COBIT Framework, Control
Objectives, IT Governance Implementation Guide e Board briefing on IT Governance.
8. ( F ) O COBIT® possui 4 domínios: Planejamento e Organização, Aquisição,
Implementação, Entrega e Monitoração. ( é entrega e suporte e monitoração e avaliação)
Exercício
Responda as seguintes questões:

1) O que foi alterado da versão de 1998 para a versão 2000 do COBIT®?

2) Quais são os requisitos do negócio também chamados de critérios de informação?

Estes exercícios podem cair na prova de certificação para o COBIT, pense bastante antes de
ver a resposta na próxima página.
Resposta do exercício

1) Foram incluídas as normas e guias associadas à gestão. O ITGI (IT Governance Institute –
www.itgi.org) torna-se o principal editor do framework.
2) Para satisfazer os objetivos de negócio, as informações precisam estar em conformidade
com os critérios chamados requisitos de negócio.

Requisitos de Qualidade
 Qualidade
 Custo
 Entrega

Requisitos Fiduciários (Relatório do COSO)
 Eficácia e eficiência das Operações
 Confiabilidade das Informações
 Conformidade com Leis e Regulamentos

Requisitos de Segurança
 Confidencialidade
 Integridade
 Disponibilidade
Fim do Módulo 4