Mdulo 4

O que o COBIT, aplicao, origens, evoluo, princpios, filosofia, estrutura e exerccios

O que o COBIT?
COBIT significa Control Objectives for Information and related Technology - Objetivos de Controle para Informaes e Tecnologias relacionadas. O framework COBIT foi criado com as seguintes caractersticas: Foco em Negcio; Orientado a Processo; Baseado em Controles; Direcionado a Mtricas.

Como um modelo de controle o COBIT pode ser utilizado para qualquer empresa, plataforma de TI e padres de sistemas

Vantagens para adoo

aceito internacionalmente como framework de modelo para Governana de TI; orientado para processos; suportado por ferramentas e treinamento; Permite que o conhecimento de especialistas voluntrios, seja compartilhado e difundido; Continuamente em desenvolvimento, periodicamente melhorias so feitas; mantido pela ISACA, uma organizao sem fins lucrativos; Atende 100% dos requisitos do COSO; Mapeia fortemente todos os maiores padres de mercado como (ITIL, ISO 20000-1, ISO 27001) uma referncia, no uma soluo j pronta; Ajuda a atender os requisitos regulatrios no mercado.

O que o COBIT no ?
No um plano de auditoria; No um programa de trabalho; No uma lista de verificao, passos, tcnicas, procedimentos para auditoria; No define como fazer; No define nveis aceitveis de desempenho para os processos de TI.

COBIT como Estrutura de Controle

Conselho, Presidncia

Direcionamento do negcio Estratgia

COBIT
ISO 20000-1 e ISO 27001

Governana de TI Ttica

ITIL
Processos de TI Equipe operacional

COBIT como Estrutura de Controle

Assegurar que os recursos de TI estejam alinhados com os objetivos da organizao. Entre seus benefcios, esto o aumento na qualidade de servios e informaes e o direcionamento de aes para um equilbrio entre risco e retorno. O COBIT foca na Governana Corporativa e na necessidade de controles de melhorias nas empresas. Os controles de TI so necessrios para prestar contas dos gastos financeiros. O COBIT fornece uma estrutura para controlar a TI: Define uma linguagem comum para a rea de TI e negcio Ajuda a atender os requisitos regulatrios um padro aceito entre empresas orientado a processos focado nos requisitos de negcio

Misso do COBIT

Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negcio e auditores

Fonte: ISACA

Aplicao do COBIT
O COBIT foi projetado para utilizao por trs distintos pblicos: Administradores: para auxili-los na ponderao entre risco e investimento e controle de ambientes muitas vezes imprevisveis como o de TI; Usurios: para se certificarem da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros; Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre controles internos.

Origens do COBIT
O COBIT foi desenvolvido a partir do Committee of Sponsoring Organizations of the Treadway Commission-Internal Control Integrated Framework (COSO), o Controle de Objetivos original do ISACA, e mais de 50 padres e prticas de mercado em TI. O COBIT preenche a lacuna entre os modelos de controle de negcio e as melhores prticas em TI e oferece um modelo para a Governana de TI. Veja abaixo as principais fontes do COBIT: Padres Profissionais para o controle e auditoria interna como o COSO. Padres Tcnicos Cdigos de Conduta Critrios de Qualificao para os sistemas e processos de TI como a ISO 9000. Prticas da Indstria Requisitos especficos de alguns negcios emergentes como bancos e e-commerce.

Evoluo do COBIT

Governana Gerenciamento
Evoluo

Controle Auditoria
COBIT 1 1996 COBIT 2 1998 COBIT 3 2000 COBIT 4 2005 COBIT 4.1 2007

Novidades no COBIT 4.1

O nova verso do COBIT 4.1 teve vrias melhorias e simplificaes em seu uso: Melhor definio dos conceitos principais; Alguns objetivos de controle foram agrupado e outros tiveram a sua denominao alterada para evitar sobreposio de conceitos. As principais alteraes nos objetivos de controle foram: AI5.5 e AI5.6 foram combinados com o AI5.4; AI7.9, AI7.10 e AI7.11 foram combinados com o AI7.8; ME3 foi revisado para incluir conformidade com requisitos contratuais devido a requisitos regulatrios e legais. Os controles de aplicaes foram refeitos para se tornarem mais eficazes. Os 18 controles de aplicaes foram transformados em 6. A lista de metas do negcio e metas da TI no apndice I foi melhorada. Melhorias identificadas pelos usurios do COBIT foram revisadas e incorporadas.

Premissas do COBIT
O Framework do COBIT baseado na premissa que a TI precisa entregar a informao que a empresa necessita para alcanar os seus objetivos. O Framework do COBIT ajuda alinhar a TI com o negcio focando nos requisitos de informao do negcio e organizando os recursos de TI. O Framework do COBIT fornece uma guia de apoio para implementar a Governana de TI.

Para alcanar

i
Informao fornecem Recursos de TI e Processos

Objetivos do Negcio

para

Processos do Negcio

Qual o Princpio da estrutura do COBIT?

O princpio do framework COBIT o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O objetivo facilitar a Governana de TI para agregar valor a TI, enquanto gerenciando Riscos em TI. O princpio da estrutura derivado de um modelo que mostra a informao com qualidade sendo produzida por eventos atravs de recursos de TI.

Requisitos de Negcio

Processos de TI

Recursos de TI

Fonte: ITGI 2000a

Componentes chaves
Critrios de Informao
e e ad e e e ad ia id d c ia al da ad idad lid i c cin nci ri id ib ic m abil i n e f g r E Ef fid Inte ispo nfo nfi n D Co Co Co
Informao

Procesos de TI

Aplicaes

Dominios

Infra-estrutura

Processos Atividades

Re
Fonte: ISACA

ur c

os s

de

Pessoas

TI

Processos de TI

Processos TI

Dominios Processos

4 domnios 34 processos de TI.

Atividades

Domnios

Os processos do COBIT so agrupados em 4 domnios:

1. Planejamento e Organizao 2. Aquisio e Implementao 3. Entrega e Suporte 4. Monitorao e Avaliao

4 1

2 3

Processos

Definir um Plano Estratgico de TI. Definir a arquitetura de informao. Determinar a direo tecnolgica. Definir a organizao e os relacionamentos da TI. Gerenciar os investimentos da TI. Comunicar as metas e os direcionamentos gerenciais Gerenciar os recursos humanos. Garantir a conformidade com os requisitos externos. Avaliar os riscos. Gerenciar os projetos. Gerenciar a qualidade.

Planejamento e Organizao

Aquisio e Implementao
Identificar solues automatizadas (solues de TI). Prover e manter aplicaes de software. Prover e manter a infra-estrutura tecnolgica. Prover e manter a documentao. Instalar e certificar os sistemas. Gerenciar as mudanas.

Entrega e Suporte
Definir e manter os nveis de servio. Gerenciar os servios de terceiros. Gerenciar o desempenho e a capacidade. Garantir o servio ininterrupto. Garantir a segurana dos sistemas. Identificar e alocar os custos. Treinar os usurios. Auxiliar e orientar os clientes. Gerenciar a configurao. Gerenciar os problemas e incidentes. Gerenciar os dados. Gerenciar as instalaes. Gerenciar as operaes.

Monitorao
Monitorar os processos. Avaliar a adequao do controle interno. Obter garantia independente. Prover auditoria independente

Atividades
Existem aes que so necessrias para alcanar resultados mensurveis. As atividades tem ciclos de vida, mas as tarefas no.

Dominios Processos

Atividades

Critrios de Informao
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade Critrios de Informao

Requisitos de negcio = Critrios de Informao

Recursos de TI
Os recursos de TI so gerenciados pelos processos de TI para fornecer informao que a organizao precisa para alcanar seus objetivos. Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
s so r cu TI

e R

Foco no negcio
COBIT busca foco estrito no Negcio atravs do alinhamento dos objetivos de TI com os objetivos de Negcio. A medio de performance de TI dever ter foco na contribuio de TI para habilitar e estender as estratgias de Negcio. COBIT, suportado por apropriadas mtricas com foco no Negcio, que garantem que o foco primrio a agregao de valor e no a excelncia tcnica como um fim em si mesmo.

O COBIT diz o que fazer, mas no como fazer.

Exerccio
Indique se Verdadeiro ou falso: 1. ( ) O COBIT foi criado para ser empregado apenas pelos provedores de servio de TI, usurios e auditores. 2. ( ) So recursos de TI: aplicaes, informaes, infra-estrutura e pessoas. 3. ( ) Os 4 domnios possuem 34 processos, estes processos especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 68 objetivos de controle de alto nvel, dois para cada processo. 4. ( ) O princpio da estrutura do COBIT vincular as expectativas dos gestores de TI com as responsabilidades dos gestores de TI. O objetivo facilitar para a Governana de TI gerar valor em TI enquanto gerencia os riscos de TI. 5. ( ) O COBIT uma lista de verificao, passos, tcnicas e procedimentos para auditoria. 6. ( ) COBIT significa Control Objectives for Information and related Technology. 7. ( ) Fazem parte da famlia de produtos do COBIT: COBIT Framework, Control Objectives, IT Governance Implementation Guide e Board briefing on IT Governance. 8. ( ) O COBIT possui 4 domnios: Planejamento e Organizao, Aquisio, Implementao, Entrega e Monitorao.

Resposta do exerccio
Indique se Verdadeiro ou falso: 1. ( F ) O COBIT foi criado para ser empregado apenas pelos provedores de servio de TI, usurios e auditores. (tambm pelas partes interessadas) 2. ( V ) So recursos de TI: aplicaes, informaes, infra-estrutura e pessoas. 3. ( F ) Os 4 domnios possuem 34 processos, estes processos especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 68 objetivos de controle de alto nvel, dois para cada processo. (34 objetivos de controle) 4. ( V ) O princpio da estrutura do COBIT vincular as expectativas dos gestores de TI com as responsabilidades dos gestores de TI. O objetivo facilitar para a Governana de TI gerar valor em TI enquanto gerencia os riscos de TI. 5. ( F ) O COBIT uma lista de verificao, passos, tcnicas e procedimentos para auditoria. (O COBIT um framework de governana e controle, que foca no que precisa ser alcanado ao invs de se preocupar em como alcanar) 6. ( V ) COBIT significa Control Objectives for Information and Related Technology. 7. ( V ) Fazem parte da famlia de produtos do COBIT: COBIT Framework, Control Objectives, IT Governance Implementation Guide e Board briefing on IT Governance. 8. ( F ) O COBIT possui 4 domnios: Planejamento e Organizao, Aquisio, Implementao, Entrega e Monitorao. ( entrega e suporte e monitorao e avaliao)

Exerccio
Responda as seguintes questes: 1) O que foi alterado da verso de 1998 para a verso 2000 do COBIT? 2) Quais so os requisitos do negcio tambm chamados de critrios de informao?

Estes exerccios podem cair na prova de certificao para o COBIT, pense bastante antes de ver a resposta na prxima pgina.

Resposta do exerccio
1) Foram includas as normas e guias associadas gesto. O ITGI (IT Governance Institute www.itgi.org) torna-se o principal editor do framework. 2) Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade

Fim do Mdulo 4