COBIT
Tipo |
---|
Data |
---|
Autor |
---|
Usuário(a) | |
---|---|
Uso |
Controle de Objetivos para Informação e Tecnologias Relacionadas[1] (do inglês: Control Objectives for Information and Related Technologies) mais conhecido pela abreviação COBIT, é um guia ou conjunto de boas práticas (framework) sobre Governança de Tecnologia de Informação (GTI) empresarial, criado em 1996 pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação),[2] para gerenciamento dos recursos e ferramentas tecnológicas da empresa.[1]
Possui uma série de recursos que servem como um modelo de referência para governança da TI e do negócio, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, técnicas de gerenciamento.[2] Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para optimizar os investimentos em TI, melhorando o retorno sobre o investimento (ROI), fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).
O COBIT é independente das plataformas adotadas nas empresas, do tipo de negócio e da participação que a tecnologia da informação tem na cadeia produtiva da empresa.
Histórico
editarA ISACA lançou o COBIT em 1996. Originalmente, um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a lidar melhor com ambientes relacionados à TI.[3] Era inicialmente denominado "Control Objectives for Information and Related Technologies", embora antes do lançamento do quadro as pessoas o chamassem de "CobiT" como "Control Objectives for IT"[4] ou "Control Objectives for Information and Related Technology."[5] O framework define um conjunto de processos genéricos para o gerenciamento de TI, com cada processo definido em conjunto com entradas e saídas do processo, key process-activities (KPAs), objetivos de processo, medidas de desempenho e um modelo de maturidade elementar. COBIT também fornece um conjunto de recomendadas boas práticas para o processo de governança e controle de sistemas de informação e tecnologia com a essência de alinhar a TI com o negócio. O COBIT 5 consolida COBIT 4.1, Val IT e Risk IT em uma única estrutura atuando como uma estrutura corporativa alinhada e interoperável com outros frameworks e padrões.[6]
Percebendo valor na expansão desse mesmo framework além do domínio da auditoria, a ISACA lançou uma versão mais ampla, a 2 em 1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na versão 3 na década de 2000. O desenvolvimento de ambos os padrões [AS 8015]: Australian Standard for Corporate Governance of Information and Communication Technology em janeiro de 2005 e[7] o padrão mais internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500 em janeiro de 2007)[8] aumentaram a conscientização sobre a necessidade de mais componentes de governança em Tecnologias de Informação e Comunicação (TIC). Inevitavelmente a ISACA adicionou componentes/frameworks relacionados com as versões 4 e 4.1 em 2005 e 2007, respectivamente, "abordando os processos e responsabilidades de negócios relacionados à TI na criação de valor (Val IT) e gerenciamento de risco (Risk IT)."[3][9]
O COBIT 5, liberado em 2012, é a atual versão do framework. Uma das principais alterações em relação ao COBIT 4.1 é a integração com outros conjuntos de boas práticas e metodologias, como padrões ISO, ITIL, dentre outros.[10]
O COBIT 5 foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde os seus primórdios, centrado na comunidade de auditoria de TI, o COBIT se tornou um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito. O COBIT 5 foi adicionalmente complementado com os frameworks Val IT e Risk IT. Antes do COBIT 5, o Val IT endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT 5.
Em abril de 2019, foi lançada a versão atual do COBIT, com a denominação COBIT 2019, onde uma das principais atualizações são as orientações que permitem a personalização da governança de TI, ou seja, as diretrizes estão mais livres, alinhadas de acordo com as demandas de cada organização.[11]
Framework e componentes
editarA orientação do COBIT aos negócios consiste em vincular metas comerciais à objetivos de TI, fornecendo métricas e modelos de maturidade para medir sua conquista e identificando as responsabilidades associadas dos proprietários de processos comerciais e de TI.
O foco do processo do COBIT é ilustrado por um modelo de processo que subdivide TI em 4 domínios (Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar) e 34 processos em linha com as áreas de responsabilidade de planejar, construir, executar e monitorar. Está posicionado em um nível alto e foi alinhado e harmonizado com outros padrões de TI mais detalhados e boas práticas, tais como COSO, ITIL, BiSL, ISO 27000, CMMI, TOGAF e PMBOK. A metodologia COBIT atua integrando esses diferentes guias, resumindo os principais objetivos em um único 'framework guarda-chuva' que vincula os modelos de boas práticas com os requisitos de governança e negócios.[6] O COBIT 5 consolidou e integrou os frameworks COBIT 4.1, Val IT 2.0 e Risk IT e atraiu o IT Assurance Framework da ISACA (ITAF) e o Business Model for Information Security (BMIS).
O framework e seus componentes podem, quando bem utilizados, também contribuir para garantir a conformidade regulamentar. Ele pode encorajar o menor gerenciamento de informações menos importantes, melhorar a fixação de cronogramas, aumentar a agilidade nos negócios e reduzir os custos, melhorando o cumprimento das normas de salvaguarda de dados e gerenciamento.[12]
Os componentes COBIT incluem:
- Framework: organiza objetivos de Governança de TI e boas práticas por domínios e processos de TI e os conecta à requisitos de negócios;
- Descrição do processo: modelo de processo de referência e linguagem comum para todos na organização. Os processos mapeiam as áreas responsáveis por planejar, construir, executar e monitorar;
- Objetivos de controle: fornece um conjunto completo de requisitos de alto nível a serem considerados pelo gerenciamento para o controle efetivo de cada processo de TI;
- Diretrizes de gerenciamento: ajuda a atribuir responsabilidade, concordar com os objetivos, medir o desempenho e ilustrar a inter-relação com outros processos;
- Modelos de maturidade: avalia a maturidade e a capacidade por processo e ajuda a resolver lacunas.
O cubo do Cobit
editarÉ o modelo que representa como os componentes se inter-relacionam:
Critérios de Informação ou Requisitos de Negócio
editar- Efetividade: informação relevante e pertinente para o processo de negócio, bem como entregue em tempo, de maneira correta, consistente e utilizável.
- Eficiência: entrega da informação através do melhor uso dos recursos, de forma mais produtiva e econômica.
- Confidencialidade: proteção das informações confidenciais a fim de se evitar sua divulgação indevida.
- Integridade: fidedignidade e totalidade da informação, bem como sua validade para o negócio.
- Disponibilidade: informação acessível e utilizável quando exigida pelo negócio. Também possui relação com a salvaguarda dos recursos necessários e sua capacidade.
- Conformidade: aderência a leis, regulamentos e obrigações contratuais relacionadas ao negócio.
- Confiabilidade: entrega da informação apropriada para tomada de decisão.
Recursos de TI
editar- Aplicações: sistemas de informação usados na organização
- Infraestrutura: tecnologia utilizada, como os equipamentos, sistemas operacionais, redes de comunicação de dados que processam as aplicações
- Informações: são os dados em todas as suas formas utilizados nos sistemas de informação e usados pelos processos de negócios
- Pessoas: as pessoas requeridas para planejar, organizar, adquirir, entregar, dar suporte e monitorar os aplicativos, processos e serviços de TI
Processos de TI
editar- Domínios
- Processos
- Atividades
Versões
editarCobit 4.1
editarEstrutura
editarCobit cobre 4 domínios, os quais possuem 34 processos, e estes processos possuem 210 objetivos de controle:[13]
- Planejar e Organizar
- Adquirir e Implementar
- Entregar e Suportar
- Monitorar e Avaliar
Cada processo do Cobit deve descrever as seguintes características:
- Nome do processo
- Descrição do processo
- Critérios de informação
- Declaração genérica de ações
- Indicadores de performance
- Recursos de TI envolvidos
- Objetivos de controle detalhados
- Diretrizes de gerenciamento
- Entradas
- Saídas
- Matrizes de responsabilidade
- Objetivos e métricas
- Modelo de maturidade
Tabela genérica de Objetivos de TI.
Objetivos de TI |
|
|
Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
|
Responder aos requerimentos de governança em linha com a Alta Direção. |
|
Assegurar a satisfação dos usuários. |
|
Otimizar o uso da informação. |
|
Criar agilidade para TI. |
|
Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes. |
|
Adquirir e manter sistemas aplicativos integrados e padronizados. |
|
Adquirir e manter uma infraestrutura de TI integrada e padronizada. |
|
Adquirir e manter habilidades de TI que atendam as estratégias de TI. |
|
Assegurar a satisfação mútua no relacionamento com terceiros. |
|
Assegurar a integração dos aplicativos com os processos de negócios. |
|
Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. |
|
Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. |
|
Responsabilizar e proteger todos os ativos de TI. |
|
Otimizar a infraestrutura, recursos e capacidades de TI. |
|
Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. |
|
Proteger os resultados alcançados pelos objetivos de TI. |
|
Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI. |
|
Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. |
|
Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis. |
|
Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
|
Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. |
|
Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido. |
|
Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios. |
|
Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados. |
|
Manter a integridade da informação e da infraestrutura de processamento. |
|
Assegurar a conformidade de TI com leis, regulamentos e contratos. |
|
Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras. |
Planejar e Organizar
editarO domínio de Planejamento e Organização cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista os processos de TI para o domínio do Planejamento e Organização.
PO1 | Definir um Plano Estratégico de TI | 6 OCs |
PO2 | Definir a Arquitetura de Informação | 4 OCs |
PO3 | Determinar o Direcionamento Tecnológico | 5 OCs |
PO4 | Definir os Processos, Organização e Relacionamentos de TI | 15 OCs |
PO5 | Gerenciar o Investimento em TI | 5 OCs |
PO6 | Comunicar as Diretrizes e Expectativas da Diretoria | 5 OCs |
PO7 | Gerenciar os Recursos Humanos de TI | 8 OCs |
PO8 | Gerenciar a Qualidade | 6 OCs |
PO9 | Avaliar e Gerenciar os Riscos de TI | 6 OCs |
PO10 | Gerenciar Projetos | 14 OCs |
Planejar e Organizar / Objetivos de TI |
|
PO1 |
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
2 Responder aos requerimentos de governança em linha com a Alta Direção. |
|
PO2 |
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
4 Otimizar o uso da informação. |
|
5 Criar agilidade para TI. |
|
11 Assegurar a integração dos aplicativos com os processos de negócios. |
|
PO3 |
7 Adquirir e manter sistemas aplicativos integrados e padronizados. |
15 Otimizar a infraestrutura, recursos e capacidades de TI. |
|
PO4 |
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
2 Responder aos requerimentos de governança em linha com a Alta Direção. |
|
5 Criar agilidade para TI. |
|
PO5 |
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. |
24 Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios. |
|
28 Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras. |
|
PO6 |
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. |
13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. |
|
19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. |
|
20 Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis. |
|
21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
|
22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. |
|
PO7 |
5 Criar agilidade para TI. |
9 Adquirir e manter habilidades de TI que atendam as estratégias de TI. |
|
PO8 |
3 Assegurar a satisfação dos usuários. |
16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. |
|
25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados. |
|
PO9 |
14 Responsabilizar e proteger todos os ativos de TI. |
17 Proteger os resultados alcançados pelos objetivos de TI. |
|
18 Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI. |
|
PO10 |
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
2 Responder aos requerimentos de governança em linha com a Alta Direção. |
|
25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados. |
Este domínio ajuda a responder as seguintes questões:
As estratégias de TI e de negócios estão alinhadas?
A empresa está obtendo um ótimo uso dos seus recursos?
Todos na organização entendem os objetivos de TI?
Os riscos de TI são entendidos e estão sendo gerenciados?
A qualidade dos sistemas de TI é adequada às necessidades de negócios?
Adquirir e Implementar
editarPara executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento:
Os novos projetos fornecerão soluções que atendam às necessidades de negócios?
Os novos projetos serão entregues no tempo e orçamento previstos?
Os novos sistemas ocorrerão apropriadamente quando implementado?
As alterações ocorrerão sem afetar as operações de negócios atuais?
AI1 | Identificar Soluções | 4 OCs |
AI2 | Adquirir e Manter Software Aplicativo | 10 OC |
AI3 | Adquirir e Manter Infraestrutura de Tecnologia | 4 OC |
AI4 | Habilitar Operação e Uso | 4 OC |
AI5 | Adquirir Recursos de TI | 4 OC |
AI6 | Gerenciar Mudanças | 5 OC |
AI7 | Instalar e Homologar Soluções e Mudanças | 9 OC |
Adquirir e Implementar / Objetivos de TI | ||
AI1 | 6 | Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes. |
1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. | |
AI2 | 6 | Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes. |
7 | Adquirir e manter sistemas aplicativos integrados e padronizados. | |
AI3 | 7 | Adquirir e manter sistemas aplicativos integrados e padronizados. |
5 | Criar agilidade para TI. | |
15 | Otimizar a infraestrutura, recursos e capacidades de TI. | |
AI4 | 13 | Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. |
16 | Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. | |
3 | Assegurar a satisfação dos usuários. | |
11 | Assegurar a integração dos aplicativos com os processos de negócios. | |
AI5 | 7 | Adquirir e manter sistemas aplicativos integrados e padronizados. |
8 | Adquirir e manter uma infraestrutura de TI integrada e padronizada. | |
9 | Adquirir e manter habilidades de TI que atendam as estratégias de TI. | |
AI6 | 1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
16 | Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. | |
22 | Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. | |
6 | Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes. | |
26 | Manter a integridade da informação e da infraestrutura de processamento. | |
AI7 | 20 | Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis. |
16 | Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. | |
1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. | |
11 | Assegurar a integração dos aplicativos com os processos de negócios. | |
13 | Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. | |
21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
Entregar e Suportar
editarO domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os processos de TI desse domínio.
DS1 | Definir e Gerenciar Níveis de Serviço | 6 OC |
DS2 | Gerenciar Serviços de Terceiros | 4 OC |
DS3 | Gerenciar Capacidade e Desempenho | 5 OC |
DS4 | Assegurar Continuidade de Serviços | 10 OC |
DS5 | Assegurar a Segurança dos Serviços | 11 OC |
DS6 | Identificar e Alocar Custos | 4 OC |
DS7 | Educar e Treinar Usuários | 3 OC |
DS8 | Gerenciar a Central de Serviço e os Incidentes | 5 OC |
DS9 | Gerenciar a Configuração | 3 OC |
DS10 | Gerenciar os Problemas | 4 OC |
DS11 | Gerenciar os Dados | 6 OC |
DS12 | Gerenciar o Ambiente Físico | 5 OC |
DS13 | Gerenciar as Operações | 5 OC |
Entregar e Suportar / Objetivos de TI | ||
DS1 | 3 | Assegurar a satisfação dos usuários. |
1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. | |
12 | Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. | |
DS2 | 10 | Assegurar a satisfação mútua no relacionamento com terceiros. |
3 | Assegurar a satisfação dos usuários. | |
12 | Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. | |
DS3 | 1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. |
23 | Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido. | |
15 | Otimizar a infraestrutura, recursos e capacidades de TI. | |
DS4 | 23 | Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido. |
22 | Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. | |
21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. | |
DS5 | 19 | Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. |
20 | Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis. | |
26 | Manter a integridade da informação e da infraestrutura de processamento. | |
14 | Responsabilizar e proteger todos os ativos de TI. | |
21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. | |
DS6 | 12 | Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. |
24 | Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios. | |
28 | Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras. | |
DS7 | 3 | Assegurar a satisfação dos usuários. |
13 | Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. | |
15 | Otimizar a infraestrutura, recursos e capacidades de TI. | |
DS8 | 3 | Assegurar a satisfação dos usuários. |
13 | Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia. | |
23 | Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido. | |
DS9 | 15 | Otimizar a infraestrutura, recursos e capacidades de TI. |
14 | Responsabilizar e proteger todos os ativos de TI. | |
DS10 | 3 | Assegurar a satisfação dos usuários. |
16 | Reduzir os defeitos e retrabalhos na entrega de serviços e soluções. | |
17 | Garantir o atingimento dos objetivos de TI. | |
DS11 | 4 | Otimizar o uso da informação. |
19 | Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. | |
27 | Assegurar a conformidade de TI com leis, regulamentos e contratos. | |
DS12 | 21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
19 | Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas. | |
22 | Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI. | |
14 | Responsabilizar e proteger todos os ativos de TI. | |
DS13 | 21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
3 | Assegurar a satisfação dos usuários. | |
23 | Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido. |
Monitorar e Avaliar
editarO domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos.
ME1 | Monitorar e Avaliar o Desempenho | 6 OC |
ME2 | Monitorar e Avaliar os Controles Internos | 7 OC |
ME3 | Assegurar a Conformidade com Requisitos Externos | 5 OC |
ME4 | Prover a Governança de TI | 7 OC |
Monitorar e Avaliar / Objetivos de TI | ||
ME1 | 2 | Responder aos requerimentos de governança em linha com a Alta Direção. |
1 | Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios. | |
28 | Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras. | |
12 | Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. | |
ME2 | 21 | Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres. |
17 | Garantir o atingimento dos objetivos de TI. | |
27 | Assegurar a conformidade de TI com leis, regulamentos e contratos. | |
14 | Responsabilizar e proteger todos os ativos de TI. | |
ME3 | 27 | Assegurar a conformidade de TI com leis, regulamentos e contratos. |
ME4 | 2 | Responder aos requerimentos de governança em linha com a Alta Direção. |
12 | Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI. | |
27 | Assegurar a conformidade de TI com leis, regulamentos e contratos. | |
28 | Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras. |
COBIT 5
editarO COBIT 5 foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde os seus primórdios, centrado na comunidade de auditoria de TI, o COBIT se tornou um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito. O COBIT 5 foi adicionalmente complementado com os frameworks Val IT e Risk IT. Antes do COBIT 5, o Val IT endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT 5.O framework COBIT 5 é construído em torno de cinco princípios fundamentais.
5 princípios básicos
editarO modelo do COBIT 5 baseia-se em cinco princípios básicos, que são cobertos [4] detalhadamente e incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.
A família de produtos COBIT 5 é formada pelos seguintes produtos:
COBIT 5 Habilitador Processos
COBIT 5 Habilitador Informações
Guias profissionais do COBIT 5, que incluem:
COBIT 5 Implementação
COBIT 5 para Segurança da Informação
COBIT 5 para Risco
COBIT 5 para Garantia (Assurance)
COBIT Programa de Avaliação
Um ambiente colaborativo on-line, que é disponibilizado para apoiar o uso do COBIT 5.[14]
1º Princípio: Atender às Necessidades das Partes Interessadas
editarOrganizações existem para criar valor para suas Partes interessadas mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI. Como cada organização tem objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-os em práticas e processos específicos.
[14]
2º Princípio: Cobrir a Organização de Ponta a Ponta
editarO COBIT 5 integra a governança corporativa de TI organização à governança corporativa.Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a tecnologia da informação e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organização.Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a organização, de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governança e gestão das informações e de TI da organização.
[14]
3º Princípio: Aplicar um Modelo Único Integrado
editarHá muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado para a governança e gestão de TI da organização.
4º Princípio: Permitir uma Abordagem Holística
editarGovernança e gestão eficiente e eficaz de TI da organização requer uma [4]abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização.Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores:
Princípios, Políticas e Modelos
Processos
Estruturas Organizacionais
Cultura, Ética e Comportamento
Informação
Serviços, Infraestrutura e Aplicativos
Pessoas, Habilidades e Competências
5º Princípio: Distinguir a Governança da Gestão
editarO modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciadas e servem a propósitos diferentes. A visão do COBIT 5 sobre esta importante distinção entre governança e gestão é:
Governança
A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e
monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do presidente. Responsabilidades de governança específicas podem ser delegadas a modelos organizacionais especiais no nível adequado, especialmente em organizações complexas de grande porte.
Gestão
A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos. Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva sob a liderança do diretor executivo(CEO).Juntos, esses cinco princípios permitem que a organização crie um modelo eficiente de governança e gestão otimizando os investimentos em tecnologia da informação e seu uso para o benefício das partes interessadas.
Ver também
editarReferências
- ↑ a b da Silva, Bianca (8 de maio de 2019). «COBIT: o que é e quais seus benefícios para a área de TI». Movidesk. Consultado em 25 de janeiro de 2022
- ↑ a b «COBITdddd 5 Framework - Introduction» (PDF). ISACA International
- ↑ a b Stroud, RE (2012). «Introduction to COBIT 5» (PDF). ISACA. Consultado em 24 de junho de 2016
- ↑ Katsikas, S.; Gritzalis, D., eds. (1996). Information Systems Security: Facing the Information Society of the 21st Century. Col: IFIP Advances in Information and Communication Technology. [S.l.]: Springer. p. 358. ISBN 9780412781209.
The McCumber model has great similarities with the CobiT - Control Objectives for IT - framework (CobiT 1995).
- ↑ «Welcome to the ISACA/F». ISACA. 18 de outubro de 1996. Consultado em 24 de junho de 2016. Cópia arquivada em 7 de novembro de 1996
- ↑ a b Haes, S.D.; Grembergen, W.V. (2015). «Chapter 5: COBIT as a Framework for Enterprise Governance of IT». Enterprise Governance of Information Technology: Achieving Alignment and Value, Featuring COBIT 5 2nd ed. [S.l.]: Springer. pp. 103–128. ISBN 9783319145471. Consultado em 24 de junho de 2016
- ↑ van Bon, J.; Verheijen, T., eds. (2006). «10: AS 8015-2005 - Australian Standard for Corporate Governance of ICT». Frameworks for IT Management. [S.l.]: Van Haren Publishing. pp. 95–102. ISBN 9789077212905. qtREBAAAQBAJ & pg = PA95. Consultado em 23 de junho de 2016
- ↑ «ISO/IEC DIS 29382: 2007 Edition, February 1, 2007». IHS Standards Store. IHS, Inc. Consultado em 23 de junho de 2016
- ↑ Nova versão do Cobit apoia regulamentações - Computerworld
- ↑ «COBIT 5: A Business Framework for the Governance and Management of Enterprise IT». ISACA International
- ↑ Cosentino, Por Dorian (18 de junho de 2021). «O que é COBIT e qual a sua influência na gestão de TI?». Empresa de TI | GD Solutions. Consultado em 25 de janeiro de 2022
- ↑ Luellig, L.; Frazier, J. (2013). «A COBIT Approach to Regulatory Compliance and Defensible Disposal». ISACA Journal. 5. Consultado em 24 de junho de 2016
- ↑ Cobit 4.1, IT Governance Institute, 2007.
- ↑ a b c «COBIT 5 Portuguese». www.isaca.org. Consultado em 25 de junho de 2019