Introdução ao CobiT 4.1

Introdução

CobiT significa Control Objectives for Information and Related Technology é um framework de boas práticas para o gerenciamento de projetos na área de TI, ele é totalmente independente da plataforma de TI adotada na empresa. Ele foi criado pela ISACA e IT Governance Institute (ITGI) em 1996. O framework CobiT fornece recursos para o acompanhamento do desempenho da área de TI de uma empresa, independente do seu tamanho ou da sua atividade fim, tais recursos são: sumário executivo, controle de objetivos, mapas de auditoria, conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento.

Estrutura do CobiT 4.1

O CobiT na sua versão 4.1 cobre 4 domínios, sendo que estes possuem 34 processos, e dentro desses processos temos 318 objetivos de controle.

Os quadro domínios do CobiT são:

  • Planejar e Organizar – PO (Planning and Organization)
  • Adquirir e Implementar – AI (Acquisition and Implementation)
  • Entregar e Suportar – DS (Delivery and Support)
  • Monitorar e Avaliar – ME (Monitoring and Evaluation)
  • Além dos objetivos de controle, cada processo do CobiT possui requisitos de controle genéricos identificados pela letras PC(n). Eles devem ser considerados junto com os objetivos de controle dos processos para que se tenha uma visão completa dos requisitos de controle.

    O CobiT atua nas áreas de foco da Governança de TI, que são divididas em 5 áreas, conforme a imagem a seguir.

    5 Pilares da Governança

    Requisitos de Controle Genéricos
  • PC 1 Metas e Objetivos do Processo (Process Goals and Objectives)
  • Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado. Assegura que os processos estão ligados aos objetivos de negócio e que são suportados por métricas apropriadas.
  • PC 2 Propriedade dos Processos (Process Ownewship)
  • Designa um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário.
  • PC 3 Repetibilidade dos Processos (Process Repeatability)
  • Elabora e estabelece cada processo de TI de maneira que possa ser repetido. Fornece uma sequência lógica mas flexível das atividades que levarão ao resultado desejado. Usa processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
  • PC 4 Papéis e Responsabilidades (Roles and Responsabilities)
  • Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.
  • PC 5 Políticas, Planos e Procedimentos (Policy, Plans and Procedures)
  • As políticas, planos e procedimentos devem ser documentados, revisados, atualizados, aprovados e comunicados a todos os envolvidos, também designa responsáveis para cada uma dessas atividades.
  • PC 6 Melhoria do Processo de Performance (Process Performance Improvement)
  • Os processos devem ter o seu desempenho medido. Estabelece metas a serem atingidas, e como os dados serão obtidos
    Planejar e Organizar – PO (Planning and Organization)

    O domínio de Planejar e Organizar é relativo a utilização da informação e tecnologia, e como a empresa pode usar isso para atingir os seus objetivos estratégicos. Ele também destaca as melhores formas de organização e infraestrutura de TI para alcançar os melhores resultados e gerar o máximo de beneficio no uso de TI. Este domínio possui 10 processos, que serão listados a seguir:

  • PO1 – Definir um Plano Estratégico de TI
  • PO2 – Definir a Arquitetura de Informação
  • PO3 – Determinar o Direcionamento Tecnológico
  • PO4 – Definir os processos, Organização e Relacionamento de TI
  • PO5 – Gerenciar o Investimento em TI
  • PO6 – Comunicar as Diretrizes e Expectativas da Diretoria
  • PO7 – Gerenciar os Recursos Humanos em TI
  • PO8 – Gerenciar a Qualidade
  • PO9 – Avaliar e Gerenciar os Riscos de TI
  • PO10 – Gerenciar Projetos
  • Adquirir e Implementar – AI (Acquisition and Implementation)

    Este domínio abrange as atividades de identificação de requisitos de TI, a aquisição de tecnologia e a implementação desta nos processos de negócio. Neste domínio também aborda o desenvolvimento de um plano de manutenção que a companhia adota para prolongar a vida do sistema de TI e de seus componente.
    A seguir irei listas os 7 processos suportados neste domínio.

  • AI1 – Identificar Soluções Automatizadas
  • AI2 – Adquirir e Manter Software Aplicativo
  • AI3 – Adquirir e Manter Infraestrutura Tecnológica
  • AI4 – Habilitar Operação e Uso
  • AI5 – Adquirir Recursos de TI
  • AI6 – Gerenciar Mudanças
  • AI7 – Instalar e Homologar Soluções e Mudanças
  • Entregar e Suportar – DS (Delivery and Support)

    Este domínio abrange áreas como a execução de aplicações dentro do sistema de TI e seus resultados, além dos processos de apoio que permitem a execução eficaz e eficiente. Os processos de apoio abrangem questões de segurança e treinamento. A seguir irei apresentar os 13 processos que estão contidos neste domínio.

  • DS1 – Definir e Gerenciar Níveis de Serviços
  • DS2 – Gerenciar Serviços de Terceiros
  • DS3 – Gerenciar o Desempenho e a Capacidade
  • DS4 – Assegurar a Continuidade dos Serviços
  • DS5 – Garantir a Segurança dos Sistemas
  • DS6 – Identificar e Alocar Custos
  • DS7 – Educar e Treinar os Usuários
  • DS8 – Gerenciar a Central de Serviços e os Incidentes
  • DS9 – Gerenciar a Configuração
  • DS10 – Gerenciar Problemas
  • DS11 – Gerenciar os Dados
  • DS12 – Gerenciar o Ambiente Físico
  • DS13 – Gerenciar as Operações
  • Monitorar e Avaliar – ME (Monitoring and Evaluation)

    Este domínio aborda a avaliação regular da qualidade e conformidade com requisitos de controle. Este abrange o gerenciamento do desempenho, monitoramento dos controles internos, conformidade com as regulamentações e governança. Neste domínio estão definidos 4 processos, que serão apresentados a seguir:

  • ME1 – Monitorar e Avaliar a Performance de TI
  • ME2 – Monitorar e Avaliar os Controles Internos
  • ME3 – Assegurar Conformidade com Regulamentações
  • ME4 – Prover a Governança de TI
  • Níveis de Maturidade das Organizações de TI

    Cada processo dentro de uma empresa pode estar num nível de maturidade, dependendo dos interessa da empresa naquele processo. Em casos que a empresa de TI pretenda obter uma certificação especifica ela precisa que os processos críticos para a certificação estejam num de maturidade elevado.

  • Nível 0 (Inexistente):
  • Nesse nível a empresa não possui nenhum processo controlado.
  • Nível 1 (Inicial / Ad Hoc):
  • Nesse nível só se faz quando tem a necessidade do processo.
  • Nível 2 (Repetitivo mas intuitivo):
  • Seque um padrão de regularidade, mas esta muito vinculado ao conhecimento das pessoas que realizam a tarefa, caso as pessoas saiam levam o conhecimento consigo.
  • Nível 3 (Definido):
  • Os processos são padronizados, documentados e comunicados para a comunidade.
  • Nível 4 (Gerenciado e mensurável):
  • Os processos são monitorados e medidos quanto a conformidade com os procedimentos, ações são tomadas quando os resultados não são efetivos.
  • Nível 5 (Otimizado):
  • É onde as boas praticas são seguidas e automatizadas e com base nos resultados de melhoria continua novas ações de modelagem são implementadas.
    Processo de Implantação do CobiT

    Para a implantação do CobiT é necessário seguir 4 passos, que serão abordados a seguir:
    Descrição do Processo: Definir o processo que vai ser implantado.
    Matriz de Responsabilidade: Determina as responsabilidades dentro do processo.
    Definição de Metas e Métricas: Define as metas e métricas, que serão utilizadas para avaliar o desempenho do processo.
    Avaliação do Nível de Maturidade: Avaliar o nível de maturidade que o processo está no momento.

    Referências

    Para escrever este artigo, além das tradicionais pesquisas na wikipedia, que para muitos não é uma fonte totalmente confiável, embora seja muito útil eu também encontrei material em outros locais que me ajudaram bastante. Um dos melhores materiais que achei foi no site do professor e consultor Eduardo Fagundes no site dele através de um cadastro é possível assistir vários webcasts que ele aborta o assunto de governança na área de TI. Também no canal do youtube dele tem disponível 4 videos que abordam sobre o CobiT além de outros na área de Governança de TI.
    Também utilizei a versão traduzida para o português do CobiT 4.1 disponivel para download no site da ISACA .

    Provas de Concursos

    Cespe – Abin 2010 – Cargo 17
    Acerca dos conceitos de CobiT 4.1, julgue os próximos itens.

    85) De acordo com o CobiT, para satisfazer objetivos do negócio, a informação deve ser compatível com determinados critérios, aos quais o CobiT se refere como requisitos de negócio acerca da informação. Com relação aos requisitos de segurança da informação negocial, o CobiT identifica os critérios backup incremental, antivírus online e firewall ativo.
    Gabarito: Errado
    Justificativa: O CobiT não aborda o uso de backup, antivirus e firewall

    86) O CobiT permite às organizações reduzir os riscos de TI, aumentar o valor obtido da TI e atender às regulamentações de controle. Apesar disso, não pode ser utilizado como um guia para avaliação de bancos e instituições financeiras.
    Gabarito: Errado
    Justificativa: Nâo sei

    87) O CobiT é o único framework gerencial que trata todo o ciclo de vida de TI. O modelo apoia a TI para a organização atingir os objetivos de negócio, garantir o alinhamento estratégico e melhorar a eficiência e eficácia de TI.
    Gabarito: Certo

    88) Os níveis de maturidade descrevem perfis de processos de TI que possam ser reconhecidos pelas organizações. Esses níveis estabelecem patamares evolutivos, como no CMM/CMMI e em outros modelos similares.
    Gabarito: Errado
    Justificativa:

    89) O modelo de maturidade é utilizado para avaliar os níveis de maturidade da aplicação do conjunto de melhores práticas de governança, os quais variam entre 1 e 5. O nível 3 preconiza que é possível monitorar e medir a conformidade de procedimentos que são necessários para a implementação de ações, se os processos não estiverem funcionando de forma eficaz.
    Gabarito:
    Justificativa:

    90) No contexto do CobiT, os controles gerais de processos devem ser considerados conforme a tabela a seguir, na qual é informada a associação entre o processo e seu objetivo.

    processo objetivo
    PC1 Process Owner Cada processo deve ter um responsável.
    PC2 Repeatability Os processos devem ser executados de forma consistente.
    PC3 Goals and Objectives Os processos devem ter objetivos e metas claras.
    PC4 Roles and Responsibilities A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis específicos.
    PC5 Process Performance Os processos devem ter seu desempenho medido.
    PC6 Policy, Plans and Procedures Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos.

    Gabarito:
    Justificativa:

    FCC – TRT RJ – 2011
    63) No que diz respeito ao Cobit, na estrutura Planejar e Organizar – Definir a Arquitetura da Informação, NÃO se trata de um objetivo de controle detalhado dessa estrutura:
    (A) Gerenciamento de Integridade
    (B) Esquema de Classificação de Dados
    (C) Dicionário de Dados Corporativos e Regras de Sintaxe de Dados
    (D) Modelo de Arquitetura da Informação da Organização
    (E) Planejamento da Diretriz Tecnológica
    Gabarito: E

    65) No PMBOK (4 edição), NÃO se trata de uma técnica ou ferramenta de estimativa de custos:
    (A) estimativas de custos da atividade
    (B) opinião especializada
    (C) análise das reservas
    (D) estimativas de três pontos
    (E) estimativa paramétrica
    Gabarito: A

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    *