Professional Documents
Culture Documents
v4.1 Parte 1
Ao nal desta aula, voc dever ser capaz de:
Identicar, listar e explicar os principais conceitos
sobre o COBIT
.
8
o
b
j
e
t
i
v
o
s
A
U
L
A
Meta da aula
Explicar os conceitos iniciais
sobre o COBIT
.
1
2
Pr-requisitos
So pr-requisitos para esta aula ter atingido os obje-
tivos das primeiras aulas que tratam do Planejamento
Estratgico, da Governana em TI e das duas verses da
ITIL
v4.1 Parte 1
INTRODUO
A sigla COBIT
, ou seja, dentro
do mbito da TI so os seus objetivos de controle que guiaro quaisquer
outras iniciativas da TI, por exemplo, com relao utilizao ou no
da ITIL
v3, do PMBOK
(Information
Systems Audit and Control Association) que a associao detentora dos
direitos sobre o COBIT
ajuda a TI a conseguir o alinhamento estratgico?
Na verdade, ela no o modelo mais adequado
para esse m. E qual seria o modelo mais adequado
ento? Vamos estudar o COBIT
, desempenha
a funo de garantir a evoluo do COBIT
.
A ISACA
comeou a servir
de ponto de partida para que os executivos de TI gerenciassem
os seus processos a m de atingir os resultados almejados.
2000: Verso 3
Publicao da terceira verso revisada para se adequar a vrios
outros modelos, normas, padres e conjuntos de boas prticas
que se tornavam famosos naquela poca (tais como a ITIL
e
o PMBOK
da
losoa do controle para a losoa da gesto e gerenciamento.
Era uma adequao viso da TI prestadora de servio que se
tornaria muito forte no novo sculo. Observe que naquele ano
foram publicadas novas verses da ITIL
, do PMBOK
, do
COBIT
v4.1 Parte 1
Note ainda que a diferena de abordagem, embora sutil,
muito importante. A palavra controle traz consigo uma ideia
de reatividade muito mais ligada ecincia operacional. J
os termos gesto e gerenciamento esto mais ligados a aes
proativas necessrias eccia estratgica. Caso j no tivsse-
mos discutido tanto as diferenas entre essas duas expresses, a
diferena poderia mesmo lhe parecer pequena. Esperamos que
este no seja mais o seu pensamento.
2005: Verso 4
Em 2005 uma nova verso trouxe tona uma expresso que
agora toma conta de todas as discusses dos executivos de TI e
de suas equipes: a Governana em TI. A verso 4 do COBIT
possua 34 reas de processo e 214 objetivos gerais de controle
visando implementao de processos de TI que garantam o
alinhamento estratgico. Uma ideia muito clara nessa verso
era a de que o novo documento tinha um pblico alvo mais
heterogneo formado no s por tcnicos da rea de TI, mas
tambm por executivos e auditores, ou at mesmo por gestores
de outras reas interessados em interagir melhor com a TI.
fato que essa era a ideia desde a verso 2, mas esse objetivo
foi inteiramente atingido atravs do novo formato da verso 4
de 2005. Talvez por conta disso, essa verso tenha tornado o
COBIT
. A maior
mudana aconteceu nos objetivos de controle de cada rea de
processo, que foram revisados para orientar melhor a empresa
com relao eccia estratgica da TI, ou seja, a criao de
processos efetivos que culminem no alcance de metas e objeti-
vos de negcio. Um fato que chamou a ateno foi o de que o
COBIT
.
Voc sabia que a ISACA
o http://www.isaca.org.
J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato
de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista
como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site ocial do
ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.
CONCEITOS ESSENCIAIS
Misso e princpios do COBIT
? A sua mis-
so, conforme descrio no documento do COBIT
v4.1, pesquisar,
desenvolver, publicar e promover um modelo para a Governana em TI
convel, atualizado e internacionalmente aceito que possa ser adotado
por empresas e utilizado no dia a dia por gerentes de negcio, prossio-
nais de TI e auditores.
Mas anal, partindo dessa misso, em que o COBIT
pode auxiliar
voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente,
mas com certeza ele poder auxiliar muito a sua empresa a atingir o
alinhamento estratgico da TI, seja qual for o setor onde ela atua.
198 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
O contedo da ltima verso do COBIT
contm muito sobre o que deve ser feito e
para que deve ser feito e, por outro lado,
contm pouco sobre o como deve
ser feito.
p
Dessa forma a utilizao do COBIT
v4.1 Parte 1
problemas operacionais causados por aplicaes que geraram paralisa-
o nos servios; ou atravs do percentual de usurios satisfeitos com
as funcionalidades que foram entregues.
Voc pode se perguntar: Como anal o COBIT
ajudaria?
Em absolutamente tudo. Todas as respostas (e at mesmo as per-
guntas) no exemplo acima foram extradas do texto do COBIT
.
O mapeamento com o COBIT
pode-
ria ajudar na prtica. Durante essa aula ainda iremos analisar outros
exemplos.
Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo
do COBIT
oferece diretrizes
claras para que estes executivos possam tomar decises sobre a TI.
O ciclo bsico do COBIT
herdou os princpios da Gover-
nana sobre os quais o COSO foi
construdo, a saber: responsabili-
dade (responsibility), prestao de
contas (accountability) e transpa-
rncia (transparency).
202 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
Mas voc reconheceria uma meta se a visse? O que so metas de
TI e metas do negcio anal? Vamos tratar melhor desse assunto nas
prximas aulas sobre o COBIT
contm muito sobre o que deve ser e para que deve ser feito e, por
outro lado, contm pouco sobre como deve ser feito.
Atividade 1
1
CE C I E R J E X T E N S O E M G O V E R N A N A 203
A
U
L
A
8
Os recursos de TI
A empresa precisar implementar um conjunto de processos para
atingir as metas de TI. Esses processos consumiro recursos humanos e
infraestrutura tecnolgica. Esses recursos constituem a arquitetura de
TI da empresa.
Para atingir as metas a empresa precisar investir a m de que os
recursos (pessoas e tecnologias) tenham as capacidades adequadas para
acompanhar as capacidades do negcio, o que dever resultar nas sadas
esperadas. Por exemplo, se uma empresa deseja acelerar o uxo dos pro-
cessos de toda sua cadeia produtiva, a m de entregar mais produtos em
menos tempo, ela poder precisar adquirir ferramentas de automatizao
e integrao de sistemas (aquisio de um ERP, por exemplo) e treinar
seus funcionrios sobre as funcionalidades dessa ferramenta.
3. Requisitos de negcio direcionam os investimentos em recursos de TI que
so usados por processos de TI para entregar informaes empresariais que
respondem aos requisitos de negcio.
ERP ( ENTER-
PRI SE RESOURCE
PLANNI NG)
uma sigla que
representa, em
portugus, sistemas
integrados de gesto
empresarial. Esses
sistemas se populari-
zaram na dcada de
1980 e tinham como
bandeira a integrao
de todos os sistemas
de informao da
organizao em um
s. Normalmente
esses sistemas pos-
suem vrios mdulos
(nanceiro, contbil,
de recursos huma-
nos, de fbrica, de
vendas, de compras,
de marketing, de
relacionamento com
o cliente, etc). Alguns
exemplos de ERP
muito usados pelas
empresas brasileiras
so o SAP, o Micro-
siga, o Datasul. Na
dcada de 1990, algu-
mas grandes empresas
tambm optaram por
entrar nesse segmen-
to e hoje tambm
possuem sistemas
ERP consolidados no
mercado, tais como a
Oracle e a Microsoft.
Hoje existem solues
de ERP no mercado
para praticamente
todos os tipos e tama-
nhos de empresa.
Alm disso, em raras
excees, algumas
empresas optam por
desenvolver em casa o
seu prprio ERP.
Figura 8.3: Recursos humanos da TI.
204 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
No COBIT
so:
Aplicaes.
Informao.
Infraestrutura.
Pessoas.
Critrios de informao
Uma das caractersticas mais curiosas do COBIT
sua abordagem
baseada na informao e nos chamados critrios de informao. Voc
deve estar se perguntando o que seriam (ou quais seriam) esses critrios.
Bem, para satisfazer os objetivos de negcio, a informao precisa ser
adequada a certos critrios de controle, aos quais o COBIT
se refere
como requisitos de negcio para a informao. Com base em losoas
e em reas distintas como a qualidade, a segurana da informao e a
rea nanceira, foram denidos sete critrios. So eles:
Figura 8.4: Informao globalizada.
CE C I E R J E X T E N S O E M G O V E R N A N A 205
A
U
L
A
8
Eccia
A eccia lida com a relevncia e a pertinncia da informao,
ou seja, garante que a informao processada de fato aquela
que precisa ser processada para manter o negcio.
Ecincia
A ecincia diz respeito otimizao na utilizao de recursos
para processar a informao, ou seja, garante que a informao
seja processada em menos tempo, com menos pessoas etc.
Condencialidade
Garantia de que a informao sensvel ser protegida contra
acessos no autorizados.
Integridade
Garantia de que a informao fornecida ser exata e completa.
Disponibilidade
Garantia de que a informao necessria estar disponvel no
momento em que ela for necessria.
Conformidade
Garante que a informao atenda aos objetivos da legislao
pertinente e aos arranjos contratuais. A conformidade trata de
fatores externos, tais como normas, regulamentos e leis do setor,
externos e internos, tais como contratos e outros arranjos esta-
belecidos com clientes, fornecedores e parceiros.
Conabilidade
Garante que a informao necessria ser gerada de maneira
apropriada para que os responsveis pelo negcio possam desem-
penhar o seu papel e cumprir as suas responsabilidades.
206 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
reas de processos e indicadores
Uma dvida que voc pode estar guardando at agora : O que
vem a ser exatamente uma rea de processo? fato que a estrutura
do COBIT
. Em cada rea so
descritas informaes diversas, tais como a sua relevncia segundo
as reas foco da Governana em TI (que sero estudadas ainda
nesta aula), um resumo das metas de TI, das metas de processo e
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT
?
a. ( ) Aplicaes.
b. ( ) Informao.
c. ( ) Relatrios.
d. ( ) Pessoas.
2. So critrios de informao no COBIT
?
a. ( ) Ecincia e autorizao.
b. ( ) Continuidade e disponibilidade.
c. ( ) Integridade e quantidade.
d. ( ) Disponibilidade e conabilidade.
3. Complete as lacunas:
O atendimento conformidade regulatria pode ser uma exigncia externa, tal como
uma ____________________ ou um ____________________ do setor ou uma exigncia
interna, tal como um ____________________ estabelecido com um ____________________,
____________________ ou ____________________.
Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura
tecnologia e as pessoas.
2. Letra d. So sete os critrios: ecincia e a eccia; condencialidade, integri-
dade e disponibilidade; conabilidade e conformidade regulatria.
3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal
como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um
contrato estabelecido com um terceiro, parceiro ou cliente.
Atividade 2
1
Figura 8. 5: Indicadores de desempenho.
CE C I E R J E X T E N S O E M G O V E R N A N A 207
A
U
L
A
8
das atividades mais importantes, alm de um resumo das mtricas. Estu-
daremos em detalhes cada um destes itens em nossa prxima aula.
Note que as reas de processo possuem objetivos de controle bem
denidos no COBIT
outros 210 objetivos de controle. Voc acha que muita informao?
De fato talvez seja, mas como ele foi construdo para servir de material
de consulta no dia a dia e tambm para ser amigvel, o COBIT
cumpre
um papel importantssimo na Governana.
Falaremos mais sobre cada uma das reas de processo nas prximas
aulas. Por hora, precisamos ressaltar que, alm dos objetivos de controle
considerados especcos, o COBIT
'
tambm possui objetivos genricos,
ou seja, aqueles objetivos que devem ser atendidos por todos os 210 pro-
cessos de todas as 34 reas de todos os quatro domnios (que tranquilo,
pois ainda iremos estud-los nessa aula).
Os objetivos de controle genricos so identicados por PCn
(Process Control number). So seis os objetivos de controle genricos
de todos os processos, a saber:
PC1 Objetivos e metas de processo.
PC2 Propriedade do processo.
PC3 Repetitividade do processo.
PC4 Papis e responsabilidades.
PC5 Poltica, planos e procedimentos.
PC6 Melhoria de desempenho do processo.
208 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
Perceba que isso algo muito parecido com o que j havamos
visto no caso da ITIL
traz um novo
tipo de indicador, que o indicador de meta COBIT
.
Alm disso, ele
tambm descreve os fatores crticos de sucesso. Os principais indicadores
do COBIT
so:
Indicadores-chave de meta
Os indicadores de meta medem o nvel de desempenho do
processo no que diz respeito ao alcance de uma meta de mais
alto nvel (metas de negcio referentes estratgia). Em ingls
os indicadores de meta so conhecidos como KGIs (Key Goal
Indicators).
Indicadores-chave de desempenho
Os indicadores de desempenho possuem o mesmo signicado
que possuam na ITIL
v4.1 Parte 1
1. O que mede o indicador-chave de meta?
a. ( ) Nveis de maturidade.
b. ( ) Desempenho dos processos.
c. ( ) Grau de controle.
d. ( ) Alcance de objetivos.
2. O que mede o indicador-chave de desempenho?
a. ( ) Nveis de maturidade.
b. ( ) Desempenho dos processos.
c. ( ) Grau de controle.
d. ( ) Alcance de objetivos.
Respostas
1. Letra d. O indicador de meta est relacionado eccia do processo, ou seja,
aos objetivos nais que precisam ser alcanados atravs do processo.
2. Letra b. O indicador de desempenho est relacionado ecincia do processo,
ou seja, ao desempenho obtido ao executar suas atividades.
Atividade 3
1
Com relao aos fatores crticos, devemos ressaltar que eles so
denidos atravs do estudo dos objetivos da organizao e deles so
derivados. Quando bem denidos, eles se tornam um ponto de refern-
cia para tudo o que h na organizao. Ou seja, qualquer coisa pode
acontecer, menos deixar de cumprir aquilo que um fator crtico de
sucesso. Algumas empresas denem seus fatores crticos com base na
sua misso, viso e valores.
DOMNIOS DO COBIT
.
Planejar e organizar (PO)
O domnio de planejamento e organizao (PO Plan and orga-
nise) cobre as estratgias e tticas da empresa e lida com questes sobre
como a TI pode contribuir melhor para atingir as metas de negcio.
A realizao da viso estratgica precisa ser planejada, comunicada e
gerenciada sob diferentes perspectivas. Segundo o COBIT
, os processos
do domnio PO lidam diretamente com questes como:
A TI e a estratgia do negcio esto alinhadas?
A empresa est atingindo um timo uso de seus recursos?
Todos na empresa entendem as metas e objetivos da TI?
Os riscos para a TI so entendidos e gerenciados?
A qualidade dos sistemas de TI adequada s necessida-
des de negcio?
Ecincia,
Efetividade,
Conformidade
regulatria e
Conabilidade
Integridade,
Disponibilida-
de e Conden-
cialidade
Planejar e organizar
Monitorar e avaliar
Adquirir e implementar Entregar e dar suporte
212 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
Adquirir e implementar (AI)
Para realizar as estratgias de TI, as solues de TI precisam ser
identicadas, desenvolvidas (ou adquiridas) e colocadas em produo.
Alm disso, para atingir o mesmo objetivo, mudanas e manutenes
precisam ser realizadas de forma planejada. Segundo o COBIT
, so
os processos do domnio de aquisio e implementao (AI Acquire
and implement), que lidam com estes itens. Estes processos respondem
a questes como:
Os novos projetos so selecionados de forma a entregar
produtos e servios que satisfaam s metas de negcio?
Os novos projetos so selecionados de forma a entregar
produtos e servios no tempo acordado e dentro do
oramento?
Os novos produtos e servios, quando em produo,
atendero s funcionalidades inicialmente previstas pelo
usurio?
As mudanas no ambiente produo sero feitas sem
impactos nos negcios em andamento?
Entregar e dar suporte (DS)
O domnio de entregar e dar suporte (DS Deliver and support) lida
com a real efetivao dos servios. Isso inclui a entrega, o gerenciamento
da segurana e da continuidade, o suporte ao usurio, o gerenciamento de
dados e outras facilidades operacionais. Segundo o COBIT
, os processos
do domnio DS lidam diretamente com questes como:
Os servios de TI esto sendo entregues de acordo com
as prioridades do negcio?
Os custos da TI esto sendo otimizados?
A fora de trabalho capaz de usar os sistemas de TI de
forma segura e produtiva?
So garantidos os princpios de segurana da informao,
tais como a condencialidade, a integridade e a dispo-
nibilidade?
CE C I E R J E X T E N S O E M G O V E R N A N A 213
A
U
L
A
8
Monitorar e avaliar (ME)
Todos os processos de TI precisam ser avaliados regularmente
segundo critrios de qualidade e conformidade regulatria. Os processos
do domnio de monitoramente e avaliao (ME Monitor and evaluate)
possuem atividades de gerenciamento do desempenho, monitoramento
do controle interno, conformidade regulatria e Governana em TI.
Segundo o COBIT
v4.1 Parte 1
quanto com o A (Act). Vale ressaltar que o A (Act) acontece propriamente
no momento em que as informaes de negcio orientam a empresa a tomar
decises sobre quais metas de negcio so as mais adequadas. Ou seja, no
momento em que a informao orientar os requisitos de negcio que, por sua
vez, direcionaro investimentos em recursos de TI, que sero utilizados pelos
processos de TI. E o ciclo recomea.
CONCLUSO
No incio dessa aula dissemos que a evoluo do COBIT
acon-
teceu ao longo dos anos de modo a deixar para trs o modelo basea-
do no controle e auditoria para passar a ser um modelo baseado em
Governana. Mas o controle no necessrio? Claro que . No s
necessrio como o COBIT
ou no
um conjunto de controles?
A diferena sutil mais uma vez. Sutil, porm extremamente
importante. O fato que o COBIT
um docu-
mento mais voltado para o negcio cujo contedo foi escrito para ser
interpretado por pessoas com pers diferenciados, principalmente da
rea executiva, que tm como misso garantir o alinhamento das metas
da TI com as metas de negcio.
CE C I E R J E X T E N S O E M G O V E R N A N A 215
A
U
L
A
8
Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: COBIT
v4.1 Parte 1
Na prxima aula vamos nos aprofundar ainda mais nos estudos do COBIT
.
Nesta aula vamos explicar o conceito de maturidade em reas de processo,
falar das reas foco da Governana em TI segundo o COBIT
e discutir a sua
viso integrada, ou seja, como todos os conceitos que acabamos de estudar
aqui, e outros que estudaremos, se integram na prtica. Tambm falaremos
a respeito de outras publicaes complementares ao COBIT
v4.1.
Ns nos veremos na prxima aula! At breve.
Informaes sobre a prxima aula
1. A melhor definio para o COBIT
seria:
a. um conjunto de boas prticas para a TI que contm 34 objetivos de
controle divididos em 04 domnios.
b. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 domnios.
c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle
divididos em 04 reas de processo.
d. um conjunto de controles para a TI que contm 210 objetivos de controle
divididos em 34 reas de processo.
Atividades Finais
Requisitos de negcio direcionam investimento em recursos de TI.
Recursos de TI so utilizados por processo de TI. Processos de TI entregam
informao que atendem aos critrios de informao. A informao
utilizada para gerar requisitos de negcio.
CE C I E R J E X T E N S O E M G O V E R N A N A 217
A
U
L
A
8
2. Como o COBIT
v.4.1.
6. Analise a afirmao: Fatores crticos de sucesso so mais adequados para auxiliar
na implantao de controles gerenciais da TI durante mudanas organizacionais do
que os indicadores de meta.
218 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | Introduo ao COBIT
v4.1 Parte 1
7. (Analista Judicirio do TRT-15 FCC/2009) NO um domnio de governana
no framework do COBIT:
a. monitorao.
b. requisitos e processos.
c. aquisio e implementao.
d. planejamento e organizao.
e. entrega e suporte.
8. (Analista rea 2 BACEN FCC/2006) Com relao ao framework de auditoria
de tecnologia da informao COBIT, a definio correta dos Key Performance
Indicators :
a. So aqueles que definem as medies que dizem gerncia se atingiram
ou no seu objetivo final acordado com as reas de negcio.
b. So aqueles que definem as questes ou aes mais importantes que a
gerncia deve controlar sob os pontos de vista estratgico, tcnico, organi-
zacional ou procedural.
c. So aqueles que consistem no desenvolvimento de um mtodo de pontuao
em que a organizao pode proceder auto-avaliao.
d. So aqueles que definem medies que determinam quo bem os processos
de tecnologia da informao esto desempenhando seu papel em alcanar
os objetivos propostos.
e. So aqueles que definem as mudanas necessrias ao desempenho dos pro-
cessos de negcio, aps serem constatadas falhas que levaram a problemas
nestes processos.
9. (Unio ESAF/2008) Com relao padronizao, medio e controle de processos,
correto afirmar que uma organizao deve
a. medir o conjunto de prticas, procedimentos e polticas organizacionais, garan-
tindo que os objetivos do negcio sejam atingidos.
b. medir os processos com nvel de maturidade mais baixos para definir a estra-
tgia da organizao.
c. implementar indicadores de desempenho visando medies que informam
alta administrao o quanto os processos esto sendo bem executados, no
sentido de viabilizar o atendimento dos objetivos de negcios.
d. medir a diagonal principal da matriz de responsabilidades, com o objetivo de
associar os papis s suas responsabilidades.
e. ignorar sua situao atual e identificar pontos onde possvel a implantao
de uma melhoria.
CE C I E R J E X T E N S O E M G O V E R N A N A 219
A
U
L
A
8
Repostas
1. Alternativa d. O COBIT
e requisitos e processos no um
deles.
8. Alternativa d. Decorre diretamente da definio de indicador-chave de desem-
penho.
9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a
padronizao, medio e controle de processos.