cobit
Inovação

02 de dezembro de 2017

Última atualização: 15 de março de 2023

O que é COBIT? Para que serve esta metodologia?

Como surgiu?

A ISACA lançou pela primeira vez o COBIT em 1996, anteriormente como um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a uma melhor manobra em ambientes relacionados a TI.

Vendo valor na ampliação do framework além do domínio de auditoria, o ISACA lançou uma versão mais ampla em 1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na versão 2000.

A princípio, o desenvolvimento do AS 8015: Padrão Australiano de Governança Corporativa de Informações e Tecnologia de Comunicação em janeiro de 2005 e o padrão internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500) em janeiro de 2007, fortaleceu uma maior conscientização sobre a necessidade de mais governança de tecnologias de informação e comunicação (TIC).

Além disso, a ISACA, inevitavelmente, adicionou componentes/frameworks relacionados com as versões 4 e 4.1 em 2005 e 2007, respectivamente, "abordando os processos e responsabilidades de negócios relacionados à TI em criação de valor (Val IT) e gerenciamento de riscos (Risk IT).

O que é o COBIT?

Primordialmente COBIT significa Objetivos de Controle de Informação e Tecnologia Relacionada. É uma estrutura criada pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação) sobretudo para governança e gerenciamento de TI.

Eventualmente, ele deve ser uma ferramenta de suporte para os gerentes e permite aproximar o fosso existente entre questões técnicas, riscos comerciais e requisitos de controle. Já que os gerentes de negócios estão equipados com um modelo para oferecer valor à organização e praticar melhores práticas de gerenciamento de risco associadas aos processos de TI.

É um modelo de controle que garante a integridade do sistema de informação. Todos os gerentes responsáveis pelos processos de negócios de TI recomendam o COBIT.

Enfim, é uma diretriz completamente reconhecida e aplicada a qualquer organização em todas as indústrias. No geral, a COBIT garante qualidade, controle e confiabilidade dos sistemas de informação na organização, que também é o aspecto mais importante de cada negócio moderno.

O que é o framework?

A orientação comercial da COBIT inclui a vinculação de metas de negócios com sua infraestrutura de TI, fornecendo vários modelos e métricas de maturidade que medem a conquista, ao mesmo tempo que identificam as responsabilidades comerciais associadas dos processos de TI. Sendo assim, o foco principal do COBIT 4.1 foi ilustrado com um modelo baseado em processo subdividido em quatro domínios específicos. Estes incluem:

  • Planejamento e Organização,
  • Entrega e Apoio,
  • Aquisição e Implementação; e
  • Monitoramento e Avaliação.

Tudo isso é ainda mais compreendido em 34 processos de acordo com uma linha específica de responsabilidades. A COBIT tem uma posição elevada em frameworks de negócios e harmonizada por vários negócios bem-sucedidos. Pois é reconhecido sob vários padrões internacionais, incluindo ITIL, CMMI, COSO, PRINCE2, TOGAF, PMBOK, TOGAF e ISO 27000. O COBIT basicamente atua como um integrador de diretrizes que combina todas as soluções sob um único guarda-chuva.

Vale adicionar que nesse ínterim, o último COBIT versão 5 saiu em abril de 2012 e consolida os princípios do COBIT 4.1, Risk IT Frameworks e Val IT 2.0. Esta versão desenha o formulário de referência do Framework de Garantia de TI (ITAF) da ISACA e o renomado BMIS (Business Model for Information Security).

Quais são as principais características do COBIT?

O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gestão de TI amplamente reconhecido, desenvolvido pela ISACA. Ele oferece uma série de características que o tornam uma ferramenta valiosa para organizações que buscam melhorar suas práticas de TI. Algumas das principais características do COBIT incluem:

  • Orientado a objetivos de negócio: O COBIT ajuda a alinhar as atividades de TI com os objetivos e estratégias de negócio, garantindo que a TI agregue valor à organização e apoie a realização de suas metas.
  • Abordagem baseada em processos: O COBIT é organizado em domínios e processos, que fornecem um conjunto estruturado e abrangente de práticas e controles para governança e gestão de TI. Isso permite uma abordagem sistemática e integrada para gerenciar as atividades de TI.
  • Escalável e personalizável: O COBIT é flexível e pode ser adaptado para atender às necessidades específicas de diferentes organizações, independentemente do tamanho, setor ou maturidade de governança e gestão de TI. Isso torna o COBIT relevante e útil para uma ampla variedade de contextos.
  • Baseado em princípios e boas práticas: O COBIT é fundamentado em princípios de governança e gestão de TI e incorpora boas práticas estabelecidas, provenientes de várias normas e frameworks, como ITIL, ISO/IEC 27001 e PMBOK. Isso garante que o COBIT seja consistente com outras abordagens reconhecidas no mercado e facilite a integração com outras práticas de gestão.
  • Enfoque em medição e melhoria contínua: O COBIT enfatiza a importância da medição do desempenho e da melhoria contínua das práticas de governança e gestão de TI. Ele fornece métricas, indicadores-chave de desempenho (KPIs) e indicadores-chave de metas (KRIs) para auxiliar na avaliação e monitoramento do desempenho dos processos de TI.
  • Abordagem baseada em risco: O COBIT promove uma abordagem de governança e gestão de TI baseada em risco, permitindo que as organizações identifiquem, avaliem e gerenciem proativamente os riscos de TI e garantam a resiliência e continuidade dos negócios.
  • Conformidade e controle: O COBIT ajuda a garantir a conformidade com regulamentações, leis e padrões do setor, fornecendo um conjunto de controles internos e mecanismos de governança que facilitam a aderência às exigências externas e internas.

Essas características tornam o COBIT uma ferramenta valiosa e abrangente para organizações que buscam melhorar suas práticas de governança e gestão de TI, alinhar a TI com os objetivos de negócio e maximizar o valor entregue pela tecnologia da informação.

Quais são os componentes do COBIT?

Os vários componentes do COBIT incluem:

  • Framework – IT: ajuda a organizar os objetivos da governança de TI trazendo as melhores práticas nos processos e domínios de TI, ao mesmo tempo que vincula os requisitos do negócio.
  • Descrições de processo: é um modelo de referência e também atua como uma linguagem comum para cada indivíduo da organização. As descrições do processo incluem planejamento, construção, execução e monitoramento de todos os processos de TI.
  • Objetivos de Controle: isso fornece uma lista completa de requisitos que foi considerado pelo gerenciamento para controle efetivo de TI.
  • Modelos de maturidade: acessa a maturidade e a capacidade de cada processo enquanto aborda as lacunas.
  • Diretrizes de gerenciamento: ajuda a atribuir responsabilidades melhores, medir desempenhos, concordar com objetivos comuns e ilustrar melhores inter-relações com todos os outros processos.

O COBIT está sendo usado por todas as organizações cujas principais responsabilidades passam a ser processos de negócios e tecnologias relacionadas. Isto é para todas as organizações e os negócios que dependem da tecnologia para obter informações confiáveis e relevantes. O COBIT é utilizado pelos departamentos governamentais, departamentos federais e outras organizações comerciais privadas. Isso ajuda a aumentar a sensibilidade dos processos de TI em grande medida.

O que é o COBIT 5.0?

COBIT 5 é a única estrutura comercial para a governança e gerenciamento de TI corporativa. Dessa forma, é o produto de uma força-tarefa global e equipe de desenvolvimento da ISACA, uma associação independente, sem fins lucrativos, de mais de 140.000 profissionais de governança, segurança, risco e segurança em 187 países.

O COBIT 5 incorpora o último pensamento em técnicas de governança e gerenciamento corporativo pois fornece princípios, práticas, ferramentas analíticas e modelos aceitos globalmente para ajudar a aumentar a confiança e o valor dos sistemas de informação.

O COBIT 5 constrói e se expande no COBIT 4.1, integrando outros grandes quadros, padrões e recursos, incluindo a Val IT e Risk IT, a Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL®) da ISACA e os padrões relacionados da Organização Internacional de Padronização (ISO).

Por que o COBIT 5.0 é a versão mais famosa?

Havia muitas críticas associadas a todas as versões anteriores do COBIT. Eles foram pensados ​​para facilitar oportunidades limitadas e, às vezes, resultados adversos. Uma grande empresa de TI descobriu que as práticas do COBIT podem realmente levar a uma situação de "Batata Quente", em que as partes interessadas passaram as tarefas uns para os outros.

Os críticos, no entanto, mantiveram que o COBIT 5.0 incentivou a papelada e as regras de rotina em vez de apenas promover os compromissos de governança de TI. COBIT 5.0 aborda todas as críticas que foram colocadas contra a plataforma de forma sustentável. Incentiva todas as empresas a governar e gerenciar informações da maneira mais holística e integrada.

Quais são os cinco princípios do COBIT?

O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gestão de TI desenvolvido pela ISACA (Information Systems Audit and Control Association). Ele ajuda as organizações a alinhar suas práticas de TI com os objetivos de negócio, garantir a conformidade regulatória, gerenciar riscos e otimizar o uso de recursos.

O COBIT 2019, a versão mais recente do framework, estabelece cinco princípios fundamentais para a governança e gestão de TI empresarial:

  1. Alinhamento dos objetivos: O COBIT 2019 enfatiza a importância de alinhar os objetivos de TI com os objetivos de negócio da organização. Ele ajuda a garantir que a TI contribua de maneira eficaz para a entrega de valor, suporte à estratégia e alcance das metas corporativas.
  2. Foco nos benefícios: O framework destaca a necessidade de mensurar e monitorar os benefícios entregues pela TI, assegurando que os investimentos em tecnologia proporcionem retorno e contribuam para a criação de valor. Isso inclui a identificação e a gestão dos riscos e dos recursos necessários.
  3. Abordagem baseada em risco: O COBIT 2019 promove uma abordagem de governança e gestão de TI baseada em risco, que permite às organizações identificar, avaliar e gerenciar os riscos de TI de maneira sistemática e proativa, minimizando possíveis impactos negativos no negócio.
  4. Governança sistemática e holística: O framework estabelece uma abordagem sistemática e holística para a governança e a gestão de TI, envolvendo todas as partes interessadas e integrando as práticas de TI com os processos de governança corporativa.
  5. Governança baseada em processos e estruturas: O COBIT 2019 oferece um conjunto de processos, práticas e estruturas de governança e gestão de TI, que podem ser adaptados às necessidades específicas de cada organização. Isso permite às empresas estabelecer um sistema eficiente de governança e gestão de TI, abrangendo desde a definição de políticas e diretrizes até a supervisão e o monitoramento do desempenho.

Esses cinco princípios fundamentais fornecem uma base sólida para a implementação e a melhoria contínua das práticas de governança e gestão de TI, garantindo que a tecnologia da informação esteja alinhada com as metas e as estratégias de negócio da organização.

Existem outras diferenças importantes entre COBIT 4.1 e COBIT 5?

Sim, o design do framework para o COBIT 5 foi revisado e reestruturado para assegurar uma cobertura completa para todos os principais aspectos relacionados à governança e gerenciamento da TI empresarial.

Qual é a qualidade geral do COBIT 5, e a parte do profissional da indústria foi parte da revisão de especialistas?

Para garantir a alta qualidade do COBIT 5, várias medidas foram tomadas. As medidas mais importantes são:

  • Todo o processo de pesquisa foi supervisionado tanto pelo Conselho de Conhecimento do ISACA quanto pelo Comitê Estratégico, que são responsáveis ​​por supervisionar todo o desenvolvimento da pesquisa-quadro da ISACA.
  • Controlaram os resultados detalhados da pesquisa ao longo do processo de desenvolvimento por uma força-tarefa dedicada de profissionais voluntários experientes.
  • Emitiram um documento de projeto para exposição pública, assim como a integração do feedback no trabalho de desenvolvimento para produzir o COBIT 5 final. Antes das emissões, distribuíam os projetos de produtos de desenvolvimento a mais de 100 especialistas em assuntos em todo o mundo para obter sua revisão profissional.
  • Uma vez pronto, disponibilizaram as versões preliminares do COBIT 5 e COBIT 5: Habilitação de Processos ao público para revisão. Muitos bons comentários foram recebidos, sugerindo novas melhorias para consideração. As perguntas da pesquisa sobre o nível de satisfação do trabalho no estágio preliminar foram incluídas na atividade de exposição pública, sendo 79% das respostas positivas. Com base nos comentários da revisão, o time de desenvolvimento fez as mudanças conforme apropriado.
  • Revisaram o produto final pelos membros da Task Force COBIT 5, o Comitê Estratégico e o Conselho de Conhecimento.

Posso usar como uma declaração de critérios para conclusões de auditoria específicas?

A princípio, existem guias profissionais adicionais planejados que irão aumentar o COBIT 5. Entre estes, está o COBIT 5 for Assurance. Isso servirá de guia para profissionais de seguros que desejam usar COBIT 5 em seu trabalho. Uma vez concluído, o COBIT 5 for Assurance fornecerá orientações abrangentes sobre o uso do COBIT 5 para suportar atividades de garantia. A conclusão deste guia está prevista para 2013.

Quem utiliza o COBIT?

O COBIT (Control Objectives for Information and Related Technology) é um framework de governança corporativa de TI, que tem como objetivo auxiliar as organizações na gestão de seus processos de TI de forma efetiva e eficiente. Ele é utilizado por diversos profissionais da área de tecnologia da informação, incluindo:

  • Gestores de TI: para ajudar na tomada de decisões estratégicas de TI e na gestão dos riscos associados à tecnologia da informação.
  • Auditores: para avaliar a efetividade dos controles de TI implementados e identificar possíveis pontos de melhoria.
  • Profissionais de Segurança da Informação: para garantir a segurança dos dados e sistemas da organização.
  • Analistas de Negócio: para entender como a TI pode ajudar a atingir os objetivos de negócio da organização.
  • Consultores de TI: para ajudar as organizações a implementar as melhores práticas e controles de TI, visando a melhoria da governança corporativa.

Em resumo, o COBIT é utilizado por qualquer profissional que tenha responsabilidade na gestão, operação e uso da tecnologia da informação em uma organização.

De que forma posso sugerir à gerência executiva que use COBIT 5?

Uma vez que se direciona a ferramenta para o negócio, utilizá-lo para oferecer valor e gerenciar o risco comercial relacionado a TI é direto. Por visto que usam o resumo executivo COBIT 5 de duas páginas e a apresentação curta de suporte ​​na discussão com o gerenciamento. Utilizam-se os objetivos em cascata na estrutura ​​para:

  • Determinar as necessidades dos interessados ​​e os objetivos de governança (criação de valor)
  • Identificar metas empresariais que possam suportar as necessidades dos interessados. Ou talvez o uso do balanced scorecard (BSC) para desenvolver esses objetivos, com um conjunto comum de termos para comunicar os objetivos.
  • Selecione metas relacionadas à TI (para cada objetivo da empresa) que facilitarão a realização dos objetivos.
  • Alcance de metas relacionadas à TI. Isso requer a aplicação bem-sucedida e o uso de habilitadores.
  • Integra-se ao conjunto proposto de necessidades, objetivos e facilitadores para a gestão executiva como meio de oferecer uma governança efetiva e gerenciamento de tecnologia relacionada a TI.

Leia mais:

Fluxograma, SIPOC e Mapeamento de Processos

Virgilio Marques Dos Santos

Virgilio Marques Dos Santos

Sócio-fundador da FM2S, formado em Engenharia Mecânica pela Unicamp (2006), com mestrado e doutorado na Engenharia de Processos de Fabricação na FEM/UNICAMP (2007 a 2013) e Master Black Belt pela UNICAMP (2011). Foi professor dos cursos de Black Belt, Green Belt e especialização em Gestão e Estratégia de Empresas da UNICAMP, assim como de outras universidades e cursos de pós-graduação. Atuou como gerente de processos e melhoria em empresa de bebidas e foi um dos idealizadores do Desafio Unicamp de Inovação Tecnológica.