[go: up one dir, main page]

Saltar para o conteúdo

COBIT

Origem: Wikipédia, a enciclopédia livre.


Controle de Objetivos para Informação e Tecnologias Relacionadas[1] (do inglês: Control Objectives for Information and Related Technologies) mais conhecido pela abreviação COBIT, é um guia ou conjunto de boas práticas (framework) sobre Governança de Tecnologia de Informação (GTI) empresarial, criado em 1996 pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação),[2] para gerenciamento dos recursos e ferramentas tecnológicas da empresa.[1]

Possui uma série de recursos que servem como um modelo de referência para governança da TI e do negócio, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e principalmente, técnicas de gerenciamento.[2] Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para optimizar os investimentos em TI, melhorando o retorno sobre o investimento (ROI), fornecendo métricas para avaliação dos resultados (Key Performance Indicators KPI, Key Goal Indicators KGI e Critical Success Factors CSF).

O COBIT é independente das plataformas adotadas nas empresas, do tipo de negócio e da participação que a tecnologia da informação tem na cadeia produtiva da empresa.

A ISACA lançou o COBIT em 1996. Originalmente, um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a lidar melhor com ambientes relacionados à TI.[3] Era inicialmente denominado "Control Objectives for Information and Related Technologies", embora antes do lançamento do quadro as pessoas o chamassem de "CobiT" como "Control Objectives for IT"[4] ou "Control Objectives for Information and Related Technology."[5] O framework define um conjunto de processos genéricos para o gerenciamento de TI, com cada processo definido em conjunto com entradas e saídas do processo, key process-activities (KPAs), objetivos de processo, medidas de desempenho e um modelo de maturidade elementar. COBIT também fornece um conjunto de recomendadas boas práticas para o processo de governança e controle de sistemas de informação e tecnologia com a essência de alinhar a TI com o negócio. O COBIT 5 consolida COBIT 4.1, Val IT e Risk IT em uma única estrutura atuando como uma estrutura corporativa alinhada e interoperável com outros frameworks e padrões.[6]

Percebendo valor na expansão desse mesmo framework além do domínio da auditoria, a ISACA lançou uma versão mais ampla, a 2 em 1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na versão 3 na década de 2000. O desenvolvimento de ambos os padrões [AS 8015]: Australian Standard for Corporate Governance of Information and Communication Technology em janeiro de 2005 e[7] o padrão mais internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500 em janeiro de 2007)[8] aumentaram a conscientização sobre a necessidade de mais componentes de governança em Tecnologias de Informação e Comunicação (TIC). Inevitavelmente a ISACA adicionou componentes/frameworks relacionados com as versões 4 e 4.1 em 2005 e 2007, respectivamente, "abordando os processos e responsabilidades de negócios relacionados à TI na criação de valor (Val IT) e gerenciamento de risco (Risk IT)."[3][9]

O COBIT 5, liberado em 2012, é a atual versão do framework. Uma das principais alterações em relação ao COBIT 4.1 é a integração com outros conjuntos de boas práticas e metodologias, como padrões ISO, ITIL, dentre outros.[10]

O COBIT 5 foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde os seus primórdios, centrado na comunidade de auditoria de TI, o COBIT se tornou um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito. O COBIT 5 foi adicionalmente complementado com os frameworks Val IT e Risk IT. Antes do COBIT 5, o Val IT endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT 5.

Em abril de 2019, foi lançada a versão atual do COBIT, com a denominação COBIT 2019, onde uma das principais atualizações são as orientações que permitem a personalização da governança de TI, ou seja, as diretrizes estão mais livres, alinhadas de acordo com as demandas de cada organização.[11]

Framework e componentes

[editar | editar código-fonte]

A orientação do COBIT aos negócios consiste em vincular metas comerciais à objetivos de TI, fornecendo métricas e modelos de maturidade para medir sua conquista e identificando as responsabilidades associadas dos proprietários de processos comerciais e de TI.

O foco do processo do COBIT é ilustrado por um modelo de processo que subdivide TI em 4 domínios (Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar) e 34 processos em linha com as áreas de responsabilidade de planejar, construir, executar e monitorar. Está posicionado em um nível alto e foi alinhado e harmonizado com outros padrões de TI mais detalhados e boas práticas, tais como COSO, ITIL, BiSL, ISO 27000, CMMI, TOGAF e PMBOK. A metodologia COBIT atua integrando esses diferentes guias, resumindo os principais objetivos em um único 'framework guarda-chuva' que vincula os modelos de boas práticas com os requisitos de governança e negócios.[6] O COBIT 5 consolidou e integrou os frameworks COBIT 4.1, Val IT 2.0 e Risk IT e atraiu o IT Assurance Framework da ISACA (ITAF) e o Business Model for Information Security (BMIS).

O framework e seus componentes podem, quando bem utilizados, também contribuir para garantir a conformidade regulamentar. Ele pode encorajar o menor gerenciamento de informações menos importantes, melhorar a fixação de cronogramas, aumentar a agilidade nos negócios e reduzir os custos, melhorando o cumprimento das normas de salvaguarda de dados e gerenciamento.[12]

Os componentes COBIT incluem:

  • Framework: organiza objetivos de Governança de TI e boas práticas por domínios e processos de TI e os conecta à requisitos de negócios;
  • Descrição do processo: modelo de processo de referência e linguagem comum para todos na organização. Os processos mapeiam as áreas responsáveis por planejar, construir, executar e monitorar;
  • Objetivos de controle: fornece um conjunto completo de requisitos de alto nível a serem considerados pelo gerenciamento para o controle efetivo de cada processo de TI;
  • Diretrizes de gerenciamento: ajuda a atribuir responsabilidade, concordar com os objetivos, medir o desempenho e ilustrar a inter-relação com outros processos;
  • Modelos de maturidade: avalia a maturidade e a capacidade por processo e ajuda a resolver lacunas.

O cubo do Cobit

[editar | editar código-fonte]

É o modelo que representa como os componentes se inter-relacionam:

cubo do COBIT

Critérios de Informação ou Requisitos de Negócio

[editar | editar código-fonte]
  • Efetividade: informação relevante e pertinente para o processo de negócio, bem como entregue em tempo, de maneira correta, consistente e utilizável.
  • Eficiência: entrega da informação através do melhor uso dos recursos, de forma mais produtiva e econômica.
  • Confidencialidade: proteção das informações confidenciais a fim de se evitar sua divulgação indevida.
  • Integridade: fidedignidade e totalidade da informação, bem como sua validade para o negócio.
  • Disponibilidade: informação acessível e utilizável quando exigida pelo negócio. Também possui relação com a salvaguarda dos recursos necessários e sua capacidade.
  • Conformidade: aderência a leis, regulamentos e obrigações contratuais relacionadas ao negócio.
  • Confiabilidade: entrega da informação apropriada para tomada de decisão.

Recursos de TI

[editar | editar código-fonte]
  • Aplicações: sistemas de informação usados na organização
  • Infraestrutura: tecnologia utilizada, como os equipamentos, sistemas operacionais, redes de comunicação de dados que processam as aplicações
  • Informações: são os dados em todas as suas formas utilizados nos sistemas de informação e usados pelos processos de negócios
  • Pessoas: as pessoas requeridas para planejar, organizar, adquirir, entregar, dar suporte e monitorar os aplicativos, processos e serviços de TI

Processos de TI

[editar | editar código-fonte]
  • Domínios
  • Processos
  • Atividades

Cobit cobre 4 domínios, os quais possuem 34 processos, e estes processos possuem 210 objetivos de controle:[13]

  • Planejar e Organizar
  • Adquirir e Implementar
  • Entregar e Suportar
  • Monitorar e Avaliar

Cada processo do Cobit deve descrever as seguintes características:

  • Nome do processo
  • Descrição do processo
    • Critérios de informação
    • Declaração genérica de ações
      • Indicadores de performance
    • Recursos de TI envolvidos
    • Objetivos de controle detalhados
    • Diretrizes de gerenciamento
      • Entradas
      • Saídas
      • Matrizes de responsabilidade
      • Objetivos e métricas
    • Modelo de maturidade

Tabela genérica de Objetivos de TI.

Objetivos de TI

1

Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2

Responder aos requerimentos de governança em linha com a Alta Direção.

3

Assegurar a satisfação dos usuários.

4

Otimizar o uso da informação.

5

Criar agilidade para TI.

6

Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes.

7

Adquirir e manter sistemas aplicativos integrados e padronizados.

8

Adquirir e manter uma infraestrutura de TI integrada e padronizada.

9

Adquirir e manter habilidades de TI que atendam as estratégias de TI.

10

Assegurar a satisfação mútua no relacionamento com terceiros.

11

Assegurar a integração dos aplicativos com os processos de negócios.

12

Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

13

Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.

14

Responsabilizar e proteger todos os ativos de TI.

15

Otimizar a infraestrutura, recursos e capacidades de TI.

16

Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.

17

Proteger os resultados alcançados pelos objetivos de TI.

18

Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI.

19

Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.

20

Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.

21

Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.

22

Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.

23

Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.

24

Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios.

25

Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

26

Manter a integridade da informação e da infraestrutura de processamento.

27

Assegurar a conformidade de TI com leis, regulamentos e contratos.

28

Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras.

Planejar e Organizar

[editar | editar código-fonte]

O domínio de Planejamento e Organização cobre o uso de informação e tecnologia e como isso pode ser usado para que a empresa atinja seus objetivos e metas. Ele também salienta que a forma organizacional e a infraestrutura da TI devem ser consideradas para que se atinjam resultados ótimos e para que se gerem benefícios do seu uso. A tabela seguinte lista os processos de TI para o domínio do Planejamento e Organização.

PROCESSOS DE TI
Planejar e Organizar
PO1 Definir um Plano Estratégico de TI 6 OCs
PO2 Definir a Arquitetura de Informação 4 OCs
PO3 Determinar o Direcionamento Tecnológico 5 OCs
PO4 Definir os Processos, Organização e Relacionamentos de TI 15 OCs
PO5 Gerenciar o Investimento em TI 5 OCs
PO6 Comunicar as Diretrizes e Expectativas da Diretoria 5 OCs
PO7 Gerenciar os Recursos Humanos de TI 8 OCs
PO8 Gerenciar a Qualidade 6 OCs
PO9 Avaliar e Gerenciar os Riscos de TI 6 OCs
PO10 Gerenciar Projetos 14 OCs


Planejar e Organizar / Objetivos de TI

PO1

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

PO2

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

4 Otimizar o uso da informação.

5 Criar agilidade para TI.

11 Assegurar a integração dos aplicativos com os processos de negócios.

PO3

7 Adquirir e manter sistemas aplicativos integrados e padronizados.

15 Otimizar a infraestrutura, recursos e capacidades de TI.

PO4

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

5 Criar agilidade para TI.

PO5

12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

24 Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios.

28 Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras.

PO6

12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.

13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.

19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.

20 Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.

21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.

22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.

PO7

5 Criar agilidade para TI.

9 Adquirir e manter habilidades de TI que atendam as estratégias de TI.

PO8

3 Assegurar a satisfação dos usuários.

16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.

25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

PO9

14 Responsabilizar e proteger todos os ativos de TI.

17 Proteger os resultados alcançados pelos objetivos de TI.

18 Estabelecer claramente os impactos para os negócios resultantes de riscos de objetivos e recursos de TI.

PO10

1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.

2 Responder aos requerimentos de governança em linha com a Alta Direção.

25 Entregar projetos no tempo certo dentro do orçamento e com os padrões de qualidade esperados.

Este domínio ajuda a responder as seguintes questões:

  • As estratégias de TI e de negócios estão alinhadas?

  • A empresa está obtendo um ótimo uso dos seus recursos?

  • Todos na organização entendem os objetivos de TI?

  • Os riscos de TI são entendidos e estão sendo gerenciados?

  • A qualidade dos sistemas de TI é adequada às necessidades de negócios?

Adquirir e Implementar

[editar | editar código-fonte]

Para executar a estratégia de TI, as soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas, implementadas e integradas ao processo de negócios. Além disso, alterações e manutenções nos sistemas existentes são cobertas por esse domínio para assegurar que as soluções continuem a atender aos objetivos de negócios. Este domínio tipicamente trata das seguintes questões de gerenciamento:

  • Os novos projetos fornecerão soluções que atendam às necessidades de negócios?

  • Os novos projetos serão entregues no tempo e orçamento previstos?

  • Os novos sistemas ocorrerão apropriadamente quando implementado?

  • As alterações ocorrerão sem afetar as operações de negócios atuais?

PROCESSOS DE TI
Adquirir e Implementar
AI1 Identificar Soluções 4 OCs
AI2 Adquirir e Manter Software Aplicativo 10 OC
AI3 Adquirir e Manter Infraestrutura de Tecnologia 4 OC
AI4 Habilitar Operação e Uso 4 OC
AI5 Adquirir Recursos de TI 4 OC
AI6 Gerenciar Mudanças 5 OC
AI7 Instalar e Homologar Soluções e Mudanças 9 OC


Adquirir e Implementar / Objetivos de TI
AI1 6 Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes.
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
AI2 6 Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes.
7 Adquirir e manter sistemas aplicativos integrados e padronizados.
AI3 7 Adquirir e manter sistemas aplicativos integrados e padronizados.
5 Criar agilidade para TI.
15 Otimizar a infraestrutura, recursos e capacidades de TI.
AI4 13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.
16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.
3 Assegurar a satisfação dos usuários.
11 Assegurar a integração dos aplicativos com os processos de negócios.
AI5 7 Adquirir e manter sistemas aplicativos integrados e padronizados.
8 Adquirir e manter uma infraestrutura de TI integrada e padronizada.
9 Adquirir e manter habilidades de TI que atendam as estratégias de TI.
AI6 1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.
22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.
6 Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes.
26 Manter a integridade da informação e da infraestrutura de processamento.
AI7 20 Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.
16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
11 Assegurar a integração dos aplicativos com os processos de negócios.
13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.
21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.

Entregar e Suportar

[editar | editar código-fonte]

O domínio Entregar e Suportar foca aspectos de entrega de tecnologia da informação. Cobre a execução de aplicações dentro do sistema de TI e seus resultados, assim como os processos de suporte que permitem a execução de forma eficiente e efetiva. Esses processos de suporte também incluem questões de segurança e treinamento. A seguir, a tabela com os processos de TI desse domínio.

PROCESSOS DE TI
Entregar e Suportar
DS1 Definir e Gerenciar Níveis de Serviço 6 OC
DS2 Gerenciar Serviços de Terceiros 4 OC
DS3 Gerenciar Capacidade e Desempenho 5 OC
DS4 Assegurar Continuidade de Serviços 10 OC
DS5 Assegurar a Segurança dos Serviços 11 OC
DS6 Identificar e Alocar Custos 4 OC
DS7 Educar e Treinar Usuários 3 OC
DS8 Gerenciar a Central de Serviço e os Incidentes 5 OC
DS9 Gerenciar a Configuração 3 OC
DS10 Gerenciar os Problemas 4 OC
DS11 Gerenciar os Dados 6 OC
DS12 Gerenciar o Ambiente Físico 5 OC
DS13 Gerenciar as Operações 5 OC


Entregar e Suportar / Objetivos de TI
DS1 3 Assegurar a satisfação dos usuários.
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.
DS2 10 Assegurar a satisfação mútua no relacionamento com terceiros.
3 Assegurar a satisfação dos usuários.
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.
DS3 1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
23 Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.
15 Otimizar a infraestrutura, recursos e capacidades de TI.
DS4 23 Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.
22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.
21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
DS5 19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.
20 Assegurar que transações automatizadas de negócios e trocas de informações podem ser confiáveis.
26 Manter a integridade da informação e da infraestrutura de processamento.
14 Responsabilizar e proteger todos os ativos de TI.
21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
DS6 12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.
24 Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios.
28 Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras.
DS7 3 Assegurar a satisfação dos usuários.
13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.
15 Otimizar a infraestrutura, recursos e capacidades de TI.
DS8 3 Assegurar a satisfação dos usuários.
13 Assegurar apropriado uso e a performance das soluções de aplicativos e de tecnologia.
23 Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.
DS9 15 Otimizar a infraestrutura, recursos e capacidades de TI.
14 Responsabilizar e proteger todos os ativos de TI.
DS10 3 Assegurar a satisfação dos usuários.
16 Reduzir os defeitos e retrabalhos na entrega de serviços e soluções.
17 Garantir o atingimento dos objetivos de TI.
DS11 4 Otimizar o uso da informação.
19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.
27 Assegurar a conformidade de TI com leis, regulamentos e contratos.
DS12 21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
19 Assegurar que informações confidenciais e críticas são protegidas daqueles que não deveriam ter acesso às mesmas.
22 Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI.
14 Responsabilizar e proteger todos os ativos de TI.
DS13 21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
3 Assegurar a satisfação dos usuários.
23 Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido.

Monitorar e Avaliar

[editar | editar código-fonte]

O domínio de Monitorar e Avaliar lida com a estimativa estratégica das necessidades da companhia e avalia se o atual sistema de TI atinge os objetivos para os quais ele foi especificado e controla os requisitos para atender objetivos regulatórios. Ele também cobre as questões de estimativa, independentemente da efetividade do sistema de TI e sua capacidade de atingir os objetivos de negócio, controlando os processos internos da companhia através de auditores internos e externos.

PROCESSOS DE TI
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho 6 OC
ME2 Monitorar e Avaliar os Controles Internos 7 OC
ME3 Assegurar a Conformidade com Requisitos Externos 5 OC
ME4 Prover a Governança de TI 7 OC
Monitorar e Avaliar / Objetivos de TI
ME1 2 Responder aos requerimentos de governança em linha com a Alta Direção.
1 Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios.
28 Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras.
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.
ME2 21 Assegurar que os serviços e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
17 Garantir o atingimento dos objetivos de TI.
27 Assegurar a conformidade de TI com leis, regulamentos e contratos.
14 Responsabilizar e proteger todos os ativos de TI.
ME3 27 Assegurar a conformidade de TI com leis, regulamentos e contratos.
ME4 2 Responder aos requerimentos de governança em linha com a Alta Direção.
12 Assegurar a transparência e o entendimento dos custos, benefícios, estratégia, políticas e níveis de serviços de TI.
27 Assegurar a conformidade de TI com leis, regulamentos e contratos.
28 Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparação para mudanças futuras.

O COBIT 5 foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde os seus primórdios, centrado na comunidade de auditoria de TI, o COBIT se tornou um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito. O COBIT 5 foi adicionalmente complementado com os frameworks Val IT e Risk IT. Antes do COBIT 5, o Val IT endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT 5.O framework COBIT 5 é construído em torno de cinco princípios fundamentais.

5 princípios básicos

[editar | editar código-fonte]

O modelo do COBIT 5 baseia-se em cinco princípios básicos, que são cobertos [4] detalhadamente e incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.

A família de produtos COBIT 5 é formada pelos seguintes produtos:

COBIT 5 Habilitador Processos

COBIT 5 Habilitador Informações

Guias profissionais do COBIT 5, que incluem:

COBIT 5 Implementação

COBIT 5 para Segurança da Informação

COBIT 5 para Risco

COBIT 5 para Garantia (Assurance)

COBIT Programa de Avaliação

Um ambiente colaborativo on-line, que é disponibilizado para apoiar o uso  do COBIT 5.[14]

1º Princípio: Atender às Necessidades das Partes Interessadas
[editar | editar código-fonte]

Organizações existem para criar valor para suas Partes interessadas mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI. Como cada organização tem objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-os em práticas e processos específicos. [14]

2º Princípio: Cobrir a Organização de Ponta a Ponta
[editar | editar código-fonte]

O COBIT 5 integra a governança corporativa de TI organização à governança corporativa.Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a tecnologia da informação e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organização.Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a organização, de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governança e gestão das informações e de TI da organização.
[14]

3º Princípio: Aplicar um Modelo Único Integrado
[editar | editar código-fonte]

Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado para a governança e gestão de TI da organização.

4º Princípio: Permitir uma Abordagem Holística
[editar | editar código-fonte]

Governança e gestão eficiente e eficaz de TI da organização requer uma [4]abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização.Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores:

Princípios, Políticas e Modelos

Processos

Estruturas Organizacionais

Cultura, Ética e Comportamento

Informação

Serviços, Infraestrutura e Aplicativos

Pessoas, Habilidades e Competências

5º Princípio: Distinguir a Governança da Gestão
[editar | editar código-fonte]

O modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciadas e servem a propósitos diferentes. A visão do COBIT 5 sobre esta importante distinção entre governança e gestão é:

Governança

A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e

monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do presidente. Responsabilidades de governança específicas podem ser delegadas a modelos organizacionais especiais no nível adequado, especialmente em organizações complexas de grande porte.

Gestão

A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos. Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva sob a liderança do diretor executivo(CEO).Juntos, esses cinco princípios permitem que a organização crie um modelo eficiente de governança e gestão otimizando os investimentos em tecnologia da informação e seu uso para o benefício das partes interessadas.

O Commons possui uma categoria com imagens e outros ficheiros sobre COBIT
Referências
  1. a b da Silva, Bianca (8 de maio de 2019). «COBIT: o que é e quais seus benefícios para a área de TI». Movidesk. Consultado em 25 de janeiro de 2022 
  2. a b «COBITdddd 5 Framework - Introduction» (PDF). ISACA International 
  3. a b Stroud, RE (2012). «Introduction to COBIT 5» (PDF). ISACA. Consultado em 24 de junho de 2016 
  4. Katsikas, S.; Gritzalis, D., eds. (1996). Information Systems Security: Facing the Information Society of the 21st Century. Col: IFIP Advances in Information and Communication Technology. [S.l.]: Springer. p. 358. ISBN 9780412781209. The McCumber model has great similarities with the CobiT - Control Objectives for IT - framework (CobiT 1995). 
  5. «Welcome to the ISACA/F». ISACA. 18 de outubro de 1996. Consultado em 24 de junho de 2016. Cópia arquivada em 7 de novembro de 1996 
  6. a b Haes, S.D.; Grembergen, W.V. (2015). «Chapter 5: COBIT as a Framework for Enterprise Governance of IT». Enterprise Governance of Information Technology: Achieving Alignment and Value, Featuring COBIT 5 2nd ed. [S.l.]: Springer. pp. 103–128. ISBN 9783319145471. Consultado em 24 de junho de 2016 
  7. van Bon, J.; Verheijen, T., eds. (2006). «10: AS 8015-2005 - Australian Standard for Corporate Governance of ICT». Frameworks for IT Management. [S.l.]: Van Haren Publishing. pp. 95–102. ISBN 9789077212905. qtREBAAAQBAJ & pg = PA95. Consultado em 23 de junho de 2016 
  8. «ISO/IEC DIS 29382: 2007 Edition, February 1, 2007». IHS Standards Store. IHS, Inc. Consultado em 23 de junho de 2016 
  9. Nova versão do Cobit apoia regulamentações - Computerworld
  10. «COBIT 5: A Business Framework for the Governance and Management of Enterprise IT». ISACA International 
  11. Cosentino, Por Dorian (18 de junho de 2021). «O que é COBIT e qual a sua influência na gestão de TI?». Empresa de TI | GD Solutions. Consultado em 25 de janeiro de 2022 
  12. Luellig, L.; Frazier, J. (2013). «A COBIT Approach to Regulatory Compliance and Defensible Disposal». ISACA Journal. 5. Consultado em 24 de junho de 2016 
  13. Cobit 4.1, IT Governance Institute, 2007.
  14. a b c «COBIT 5 Portuguese». www.isaca.org. Consultado em 25 de junho de 2019