Cobit - final

Prévia do material em texto

Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
UNIVERSIDADE ESTADUAL DE MATO GROSSO DO SUL 
 
 
 
 
 
 
 
 
Cobit 
Objetivos de Controle para Informações e Tecnologia Relacionada 
 
 
 
 
 
 
 
 
 
 
Dourados-MS, 2013 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
UNIVERSIDADE ESTADUAL DE MATO GROSSO DO SUL 
 
Fábio Goulart de Matos RGM: 17707 
Cassiano Rogério dos Santos RGM: 023876 
Adolfo Eduardo Noia de Queiroz RGM: 021490 
 
 
 
 
Cobit 
Objetivos de Controle para Informações e Tecnologia Relacionada 
 
Trabalho solicitado pelo professor Jónison 
Almeida dos Santos, da disciplina Gerência e 
Qualidade de Software do curso Bacharelado 
em Sistemas de Informação da Universidade 
Estadual de Mato Grosso do Sul. 
 
 
 
 
 
Dourados-MS, 2013 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
Sumário 
Introdução ................................................................................................................................... 4 
Cobit - Objetivos de Controle para Informações e Tecnologia Relacionada ............................. 4 
Componentes do Cobit ............................................................................................................... 5 
Estrutura Cobit ............................................................................................................................ 6 
Processos do Cobit ..................................................................................................................... 9 
Processos do domínio de Planejamento e Organização........................................................ 10 
Processos do domínio de Aquisição e Implementação ......................................................... 10 
Processos do domínio de Entrega e Suporte ......................................................................... 10 
Processos do domínio de Monitoração e Avaliação ............................................................. 11 
Práticas de Controle .............................................................................................................. 11 
Conclusão ................................................................................................................................. 12 
Referências ............................................................................................................................... 13 
 
 
 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
Introdução 
A gerência dos processos internos da empresa visa à criação de uma interface de 
interação, entre os setores da mesma. Com essa interface, as pessoas envolvidas na empresa 
conseguem identificar processos, responsabilidades dos setores e pessoas, quantificáveis pelos 
indicadores de metas da empresa. 
Empresas que possuem controle de seus processos conseguem melhores colocações no 
mercado, assim garantem sua competitividade e retorno financeiro. 
Cobit - Objetivos de Controle para Informações e Tecnologia Relacionada 
É uma estrutura de governança e controle, foca em “o que precisa ser feito” ao invés 
de “como fazer”. É uma estrutura desenvolvida por auditores de sistemas. A estrutura foi 
construída a partir das melhores práticas de gestão de TI, além de padrões existentes. É uma 
ferramenta prática de gerenciamento e não uma metodologia. 
Nesse framework a o setor de TI precisa estar alinhado com o plano de negócios da 
empresa, assim a TI deve gerar informações 
necessárias à empresa, para que a mesma possa 
atingir seus objetivos e assim gerar valor ao 
negócio. 
 
Existem muitos modelos voltados a 
gerenciamento e implementação de processos, esses padrões funcionam em diversos níveis 
em uma empresa: 
 ITIL - Mapeia a entrega de serviços ao nível de execução de processos. 
 CMM - É um modelo que ajuda as empresas a melhorar a execução e o controle dos 
processos de desenvolvimento e manutenção de sistemas. 
 ISO 17799 - É um guia que atua no nível de controle dos processos de segurança e 
tem um componente de estratégia. 
 Cobit - Foca no controle dos processos de TI voltado para a geração de valor ao 
negócio. 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
Componentes do Cobit 
As empresas dependem de dados e informações confiáveis e rápidas. Os componentes 
do Cobit fornecem uma estrutura clara para determinar a entrega de valores, enquanto 
gerencia os riscos e controla os dados e informações. 
Para gerar estas informações, o framework possui os seguintes Componentes: 
 
 
 
 
 
 
Os requerimentos são: 
1. Fornecer Estreito Foco no Negócio; 
2. Garantir Orientação por Processos; 
3. Possuir Aceitação entre as Empresas; 
4. Auxiliar o Cumprimento de Regulamentações Externas; 
5. Definir uma Linguagem Comum; 
 
1. Fornecer Estreito Foco no Negócio: 
 Cobit alcança o estreito foco no negócio ao alinhar TI com os objetivos de 
negócio. 
 As medições de desempenho de TI devem focar na contribuição de TI para criar 
valor ao negócio. 
 Fornece indicadores voltados para a entrega de serviços e não de competência 
puramente técnica. 
2. Garantir Orientação por Processos: 
 Quando as empresas aplicam Cobit, o foco da empresa se torna mais orientado a 
processos. 
 Exceções são claramente identificadas e tratadas dentro dos processos. Processos 
definem metas e responsabilidades e permitem a empresa manter controle sobre 
níveis de serviços. 
3. Possuir Aceitação entre as Empresas: 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
 Cobit é um padrão mundialmente comprovado e aceito. Guia criado a partir das 
melhores práticas e administrado por auditores, o framework tem uma aceitação 
natural dentro das corporações, consultorias e empresas de auditoria em todo 
mundo. 
4. Auxiliar o Cumprimento de Regulamentações Externas: 
 O framework é utilizado por gestores, consultores e auditores em todo mundo 
como guia de controles de TI a serem demonstrados para os órgãos regulatórios. 
5. Definir uma Linguagem Comum. 
 Atualmente, com o funcionamento de times globais e multifuncionais, forças 
tarefas são sempre lideradas por pessoas que não são cientes do tamanho da 
implementação, porque suas experiências vêm de outras áreas da empresa. 
 Coordenação dentro e entre os times de projeto e empresas pode fazer um papel 
decisivo para o sucesso de qualquer projeto. 
 Uma estrutura completa e organizada acaba com as discussões internas que gastam 
muito tempo dos projetos que envolvem diversas áreas. O Cobit ajuda a por todos 
na mesma página ao definir termos e glossários. 
Estrutura Cobit 
Dividido em 4 domínios e em 34 áreas de processo. Cobit cria processos genéricos, 
sendo capaz de atuar em vários seguimentos, como setores de negócios e tecnológicos. Esses 
são os tópicos que os executivos precisam atentar para incrementa um setor de TI na empresa. 
Os gerentes operacionais utilizam os processos para organizar e gerenciar as atividades da TI. 
Os domínios do Cobit são: 
 Planejar e Organizar – provê direção, de soluções, de entrega de serviços, soluções 
adequadas para o usuário final – Defini, plano estratégico da TI, arquitetura e 
informação, direcionamento tecnológico, gerenciar investimento, riscos, gerenciar 
projetos e qualidade. 
o Estratégia e Táticas: a TI e a estratégia de negócios estão 
alinhados? 
o A empresa está alcançando o uso otimizado dos seus recursos? 
o Visão Planejada: todas as pessoas da organização entendem os 
objetivos da TI? 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS,2013 
o Organização e Infraestrutura: os riscos da TI estão identificados 
e gerenciados? 
o A qualidade dos sistemas de TI está apropriada para as 
necessidades de negócio? 
 Aquisição e Implementação – provê as soluções e as transferem para a entrega de 
serviços, identificam soluções automatizadas, que serão aplicadas ou reutilizadas na 
corporação, aquisição de manutenção de sistemas e de infraestruturas, 
desenvolvimento e mapeamento de procedimentos nos sistemas, instalação e gerência 
de mudanças. 
o Soluções de TI: os novos projetos entregam soluções que 
atendem as necessidades de negócio? 
o Os novos projetos são entregues dentro dos prazos e 
orçamentos? 
o Mudanças e Manutenções: os novos sistemas funcionam 
corretamente quando implementados? 
o As mudanças podem ser realizadas sem causar problemas nas 
operações de negócios atuais? 
 Entrega e Suporte – recebe as soluções e as torna passiveis ao usuário, tratam da 
definição de níveis de serviço, gerencia de fornecedores integrados as atividades, 
garantem o desempenho, continuidade e segurança do sistema; treinamento de 
usuários; alocação de custos de serviços; gerenciam configurações, dados, problemas e 
incidentes. 
o Entrega dos serviços solicitados: os serviços de TI estão em linha 
com as prioridades do negócio? 
o Definindo os processos de suporte: os custos estão otimizados? 
o A confidencialidade, integridade e disponibilidade estão 
adequados? 
o Os usuários da TI são capazes de utilizar os sistemas de TI de 
forma produtiva e com segurança? 
 Monitoramento – de processos para garantir as direções. Trata-se da supervisão das 
atividades dos outros processos; adequações realizadas na empresa para garantia de 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
procedimentos operacionais; coleta e analise de dados operacionais e estratégicos para 
auditoria e para controle da organização. 
o Avaliações regulares e garantia de entrega: o desempenho da TI 
pode ser avaliado e os problemas podem ser detectados antes 
que seja tarde? 
o Visão gerencial do sistema de controle: a empresa garante que 
os controles internos são efetivos e eficiente? 
o Avaliação do desempenho: o desempenho de TI está atrelado aos 
objetivos de controle? 
o Os riscos, controle, cumprimento e desempenho são medidos e 
reportados? 
Esses domínios cobrem a estratégia e as táticas, preocupando-se com 
a identificação da maneira em que TI pode melhor contribuir para, atingir 
os objetivos de negócios. 
O sucesso da visão estratégica precisa ser planejado, comunicado e 
gerenciando por diferentes perspectivas, para atingir os objetivos de 
negócios. As organizações com uma apropriada infraestrutura tecnológica 
e organizacional, através de relatórios de avaliação, conseguem 
determinar o nível de maturidade do processo na empresa. 
O método de auditoria segue o modelo do CMM, que estabelece os 
seguintes níveis: 
 Inexistente: significa que o processo de gerenciamento não foi 
implantado. 
 Inicial: o processo é realizado sem organização, de modo não 
planejado. 
 Repetível: o processo é repetido de modo intuitivo, isto é, depende 
mais das pessoas do que de um método estabelecido. 
 Gerenciado: existem métricas de desempenho das atividades, o 
processo é monitorado e constantemente avaliado. 
 Otimizado: as melhores práticas de mercado e automação são 
utilizadas para a melhoria continua dos processos. 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
O sumário executivo do relatório traz as seguintes informações, para 
processos definidos: 
 Métodos definidos e estabelecidos: 
o Como é definido e estabelecido? 
o Quais os controles mínimos para a verificação de desempenho? 
o Como pode ser efetuada a auditoria? 
o Quais as ferramentas utilizadas no método e o que avaliar no 
método para a sua melhoria? 
A partir de então, a organização define as metas, isto é, os objetivos de 
controle a serem atingidos. 
Processos do Cobit 
A estrutura do Cobit possui 34 processos de TI definida dentro dos 
quatro domínios. O termo “High Level Control Objective”1 também é utilizada 
no Cobit para descrever a palavra “Processos”. 
 
 
 
1
 Controle de Objetivos de Alto Nível. 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
Processos do domínio de Planejamento e Organização 
 PO1 - Definir um Plano 
Estratégico de TI; 
 PO2 - Definir a Arquitetura da 
Informação; 
 PO3 - Determinar o 
Direcionamento Tecnológico; 
 PO4 - Definir Processos, 
Organização e Relacionamentos 
de TI; 
 PO5 - Gerenciar os 
Investimentos de TI; 
 PO6 - Comunicar Metas e 
Direcionamento Gerencial; 
 PO7 - Gerenciar Recursos 
Humanos de TI; 
 PO8 - Gerenciar Qualidade; 
 PO9 - Avaliar e Gerenciar 
Riscos de TI; 
 PO10 - Gerenciar Projetos; 
Processos do domínio de Aquisição e Implementação 
 AI1 - Identificar Soluções 
Automatizadas; 
 AI2 - Adquirir e Manter 
Software Aplicativos; 
 AI3 - Adquirir e Manter 
Infraestrutura Tecnológica; 
 AI4 - Garantir Operação e Uso 
(documentação e manual de 
usuários); 
 AI5 - Contratar Recursos de TI; 
 AI6 - Gerenciar Mudanças; 
 AI7 - Instalar e Validar 
Soluções e Mudanças; 
Processos do domínio de Entrega e Suporte 
 DS1 - Definir e Gerenciar Níveis 
de Serviço; 
 DS2 - Gerenciar Serviços de 
Terceiros; 
 DS3 - Gerenciar Desempenho e 
Capacidade; 
 DS4 - Garantir Continuidade de 
Serviços; 
 DS5 - Garantir Segurança dos 
Sistemas; 
 DS6 - Identificar e Alocar 
Custos; 
 DS7 - Educar e Treinar 
Usuários; 
 DS8 - Gerenciar Help Desk e 
Incidentes; 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
 DS9 - Gerenciar a 
Configuração; 
 DS10 - Gerenciar Problemas; 
 DS11 - Gerenciar Dados; 
 DS12 - Gerenciar o Ambiente 
Físico; 
 DS13 - Gerenciar Operações; 
Processos do domínio de Monitoração e Avaliação 
 ME1 - Monitorar e Avaliar o 
Desempenho de TI; 
 ME2 - Monitorar e Avaliar os 
Controles Internos; 
 ME3 - Garantir Comprimento 
Regulatórios; 
 ME4 - Prover Governança de TI; 
 
Cada Processo do Cobit contém diversos Objetivos de Controles 
Detalhados. 
 
O Objetivo de Controle Detalhado sustenta o objetivo de um Processo. 
Foca no controle de tarefas e atividades chaves, que estão relacionadas ao 
processo. É uma afirmação do resultado desejado, de uma proposta a ser 
atingida em uma determinada atividade do processo. Está relacionado aos 
mínimos controles requeridos no processo. 
 
Práticas de Controle 
É uma extensão do Cobit, que fornece um nível adicional no Objetivo 
de Controle detalhado. É utilizado para implementar o Objetivo de Controle 
Detalhado. Lembrando que o framework diz “o que” precisa ser feito para 
efetivamente controlar a TI, as práticas de controle já fornecem o “como” e 
“porque” utilizar o objetivo de controle detalhado. 
Universidade Estadual de Mato Grosso do Sul 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
 
Cobit Management Guidelines 2- fornece ferramentas para criar painéis de 
controle e benchmarking3 para o programa de Governança de TI. O guia de 
orientação auxilia o negócio e a TI a responderem as seguintes questões: 
 Estamos atingindo as nossas metas? 
 Como medimos os resultados? 
 Como controlamos os processos? 
 Como determinamos se estamos fazendo as coisas certas? 
O guia de orientações para aplicação de Cobit é composto por: 
 Indicadores Chaves de Meta (KGIs); 
 Indicadores Chaves de Desempenho(KPIs); 
 Entradas e saídas dos processos; 
 Processos e Metas de Atividades; 
 Tabela RACI; 
 Modelos de maturidade 
Conclusão 
Na era da dependência eletrônica dos negócios e da tecnologia, as 
organizações devem demonstrar controles crescentes em segurança, 
organização e comunicação. Cada organização deve compreender seu próprio 
desempenho e deve medir seu progresso. 
 O benchmarking4 com outras organizações deve fazer parte da 
estratégia da empresa para conseguir a melhor competitividade em TI. As 
recomendações de gerenciamento do Cobit com Orientação no modelo de 
maturidade em governança auxiliam os gerentes no cumprimento de seus 
objetivos alinhados com os objetivos dos negócios da organização. 
 
2
 Cobit Management Guidelines – guia de orientação para aplicação de Cobit. 
3
 Benchmarking – pontos de referência, aferição, comparações. 
 
4
 Pontos de equilíbrio, histórico de equilíbrio da empresa. 
Universidade Estadual de Mato Grosso do Sul 
 
 
Sistema de Informação - UEMS SI-UEMS Dourados-MS, 2013 
A aplicação do framework se mostra de extrema valia e ganhos 
contínuos a empresas que possuem sólidos controles sobre as suas 
operações. Cobit se torna um demonstrativo real dos resultados da empresa. 
Referências 
Barbosa, A. M., Barbosa, S. R., Batistoni, V., Lima, V. B., Mata, J. R., Melo, I. A., et al. 
(2011). Governança em TI: Cobit, Itil. Revista Cientifica Eletrônica de Administração 
- ISSN: 1676-6822, 19. 
Nunes, B. O. (28 de 05 de 2012). COBIT - Introdução - Histórico. Acesso em 28 de 06 de 
2013, disponível em Gestão de TI Inteligente : 
http://tiinteligente.blogspot.com.br/2012/05/cobit-introducao-historico.html