O que é COBIT? Para que serve esta metodologia?
Como surgiu?
A ISACA lançou pela primeira vez o COBIT em 1996, anteriormente como um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a uma melhor manobra em ambientes relacionados a TI.
Vendo valor na ampliação do framework além do domínio de auditoria, o ISACA lançou uma versão mais ampla em 1998 e expandiu ainda mais, adicionando diretrizes de gerenciamento na versão 2000.
A princípio, o desenvolvimento do AS 8015: Padrão Australiano de Governança Corporativa de Informações e Tecnologia de Comunicação em janeiro de 2005 e o padrão internacional ISO/IEC DIS 29382 (que logo se tornou ISO/IEC 38500) em janeiro de 2007, fortaleceu uma maior conscientização sobre a necessidade de mais governança de tecnologias de informação e comunicação (TIC).
Além disso, a ISACA, inevitavelmente, adicionou componentes/frameworks relacionados com as versões 4 e 4.1 em 2005 e 2007, respectivamente, "abordando os processos e responsabilidades de negócios relacionados à TI em criação de valor (Val IT) e gerenciamento de riscos (Risk IT).
O que é o COBIT?
Primordialmente COBIT significa Objetivos de Controle de Informação e Tecnologia Relacionada. É uma estrutura criada pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação) sobretudo para governança e gerenciamento de TI.
Eventualmente, ele deve ser uma ferramenta de suporte para os gerentes e permite aproximar o fosso existente entre questões técnicas, riscos comerciais e requisitos de controle. Já que os gerentes de negócios estão equipados com um modelo para oferecer valor à organização e praticar melhores práticas de gerenciamento de risco associadas aos processos de TI.
É um modelo de controle que garante a integridade do sistema de informação. Todos os gerentes responsáveis pelos processos de negócios de TI recomendam o COBIT.
Enfim, é uma diretriz completamente reconhecida e aplicada a qualquer organização em todas as indústrias. No geral, a COBIT garante qualidade, controle e confiabilidade dos sistemas de informação na organização, que também é o aspecto mais importante de cada negócio moderno.
O que é o framework?
A orientação comercial da COBIT inclui a vinculação de metas de negócios com sua infraestrutura de TI, fornecendo vários modelos e métricas de maturidade que medem a conquista, ao mesmo tempo que identificam as responsabilidades comerciais associadas dos processos de TI. Sendo assim, o foco principal do COBIT 4.1 foi ilustrado com um modelo baseado em processo subdividido em quatro domínios específicos. Estes incluem:
- Planejamento e Organização,
- Entrega e Apoio,
- Aquisição e Implementação; e
- Monitoramento e Avaliação.
Tudo isso é ainda mais compreendido em 34 processos de acordo com uma linha específica de responsabilidades. A COBIT tem uma posição elevada em frameworks de negócios e harmonizada por vários negócios bem-sucedidos. Pois é reconhecido sob vários padrões internacionais, incluindo ITIL, CMMI, COSO, PRINCE2, TOGAF, PMBOK, TOGAF e ISO 27000. O COBIT basicamente atua como um integrador de diretrizes que combina todas as soluções sob um único guarda-chuva.
Vale adicionar que nesse ínterim, o último COBIT versão 5 saiu em abril de 2012 e consolida os princípios do COBIT 4.1, Risk IT Frameworks e Val IT 2.0. Esta versão desenha o formulário de referência do Framework de Garantia de TI (ITAF) da ISACA e o renomado BMIS (Business Model for Information Security).
Quais são as principais características do COBIT?
O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gestão de TI amplamente reconhecido, desenvolvido pela ISACA. Ele oferece uma série de características que o tornam uma ferramenta valiosa para organizações que buscam melhorar suas práticas de TI. Algumas das principais características do COBIT incluem:
- Orientado a objetivos de negócio: O COBIT ajuda a alinhar as atividades de TI com os objetivos e estratégias de negócio, garantindo que a TI agregue valor à organização e apoie a realização de suas metas.
- Abordagem baseada em processos: O COBIT é organizado em domínios e processos, que fornecem um conjunto estruturado e abrangente de práticas e controles para governança e gestão de TI. Isso permite uma abordagem sistemática e integrada para gerenciar as atividades de TI.
- Escalável e personalizável: O COBIT é flexível e pode ser adaptado para atender às necessidades específicas de diferentes organizações, independentemente do tamanho, setor ou maturidade de governança e gestão de TI. Isso torna o COBIT relevante e útil para uma ampla variedade de contextos.
- Baseado em princípios e boas práticas: O COBIT é fundamentado em princípios de governança e gestão de TI e incorpora boas práticas estabelecidas, provenientes de várias normas e frameworks, como ITIL, ISO/IEC 27001 e PMBOK. Isso garante que o COBIT seja consistente com outras abordagens reconhecidas no mercado e facilite a integração com outras práticas de gestão.
- Enfoque em medição e melhoria contínua: O COBIT enfatiza a importância da medição do desempenho e da melhoria contínua das práticas de governança e gestão de TI. Ele fornece métricas, indicadores-chave de desempenho (KPIs) e indicadores-chave de metas (KRIs) para auxiliar na avaliação e monitoramento do desempenho dos processos de TI.
- Abordagem baseada em risco: O COBIT promove uma abordagem de governança e gestão de TI baseada em risco, permitindo que as organizações identifiquem, avaliem e gerenciem proativamente os riscos de TI e garantam a resiliência e continuidade dos negócios.
- Conformidade e controle: O COBIT ajuda a garantir a conformidade com regulamentações, leis e padrões do setor, fornecendo um conjunto de controles internos e mecanismos de governança que facilitam a aderência às exigências externas e internas.
Essas características tornam o COBIT uma ferramenta valiosa e abrangente para organizações que buscam melhorar suas práticas de governança e gestão de TI, alinhar a TI com os objetivos de negócio e maximizar o valor entregue pela tecnologia da informação.
Quais são os componentes do COBIT?
Os vários componentes do COBIT incluem:
- Framework – IT: ajuda a organizar os objetivos da governança de TI trazendo as melhores práticas nos processos e domínios de TI, ao mesmo tempo que vincula os requisitos do negócio.
- Descrições de processo: é um modelo de referência e também atua como uma linguagem comum para cada indivíduo da organização. As descrições do processo incluem planejamento, construção, execução e monitoramento de todos os processos de TI.
- Objetivos de Controle: isso fornece uma lista completa de requisitos que foi considerado pelo gerenciamento para controle efetivo de TI.
- Modelos de maturidade: acessa a maturidade e a capacidade de cada processo enquanto aborda as lacunas.
- Diretrizes de gerenciamento: ajuda a atribuir responsabilidades melhores, medir desempenhos, concordar com objetivos comuns e ilustrar melhores inter-relações com todos os outros processos.
O COBIT está sendo usado por todas as organizações cujas principais responsabilidades passam a ser processos de negócios e tecnologias relacionadas. Isto é para todas as organizações e os negócios que dependem da tecnologia para obter informações confiáveis e relevantes. O COBIT é utilizado pelos departamentos governamentais, departamentos federais e outras organizações comerciais privadas. Isso ajuda a aumentar a sensibilidade dos processos de TI em grande medida.
O que é o COBIT 5.0?
COBIT 5 é a única estrutura comercial para a governança e gerenciamento de TI corporativa. Dessa forma, é o produto de uma força-tarefa global e equipe de desenvolvimento da ISACA, uma associação independente, sem fins lucrativos, de mais de 140.000 profissionais de governança, segurança, risco e segurança em 187 países.
O COBIT 5 incorpora o último pensamento em técnicas de governança e gerenciamento corporativo pois fornece princípios, práticas, ferramentas analíticas e modelos aceitos globalmente para ajudar a aumentar a confiança e o valor dos sistemas de informação.
O COBIT 5 constrói e se expande no COBIT 4.1, integrando outros grandes quadros, padrões e recursos, incluindo a Val IT e Risk IT, a Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL®) da ISACA e os padrões relacionados da Organização Internacional de Padronização (ISO).
Por que o COBIT 5.0 é a versão mais famosa?
Havia muitas críticas associadas a todas as versões anteriores do COBIT. Eles foram pensados para facilitar oportunidades limitadas e, às vezes, resultados adversos. Uma grande empresa de TI descobriu que as práticas do COBIT podem realmente levar a uma situação de "Batata Quente", em que as partes interessadas passaram as tarefas uns para os outros.
Os críticos, no entanto, mantiveram que o COBIT 5.0 incentivou a papelada e as regras de rotina em vez de apenas promover os compromissos de governança de TI. COBIT 5.0 aborda todas as críticas que foram colocadas contra a plataforma de forma sustentável. Incentiva todas as empresas a governar e gerenciar informações da maneira mais holística e integrada.
Quais são os cinco princípios do COBIT?
O COBIT (Control Objectives for Information and Related Technologies) é um framework de governança e gestão de TI desenvolvido pela ISACA (Information Systems Audit and Control Association). Ele ajuda as organizações a alinhar suas práticas de TI com os objetivos de negócio, garantir a conformidade regulatória, gerenciar riscos e otimizar o uso de recursos.
O COBIT 2019, a versão mais recente do framework, estabelece cinco princípios fundamentais para a governança e gestão de TI empresarial:
- Alinhamento dos objetivos: O COBIT 2019 enfatiza a importância de alinhar os objetivos de TI com os objetivos de negócio da organização. Ele ajuda a garantir que a TI contribua de maneira eficaz para a entrega de valor, suporte à estratégia e alcance das metas corporativas.
- Foco nos benefícios: O framework destaca a necessidade de mensurar e monitorar os benefícios entregues pela TI, assegurando que os investimentos em tecnologia proporcionem retorno e contribuam para a criação de valor. Isso inclui a identificação e a gestão dos riscos e dos recursos necessários.
- Abordagem baseada em risco: O COBIT 2019 promove uma abordagem de governança e gestão de TI baseada em risco, que permite às organizações identificar, avaliar e gerenciar os riscos de TI de maneira sistemática e proativa, minimizando possíveis impactos negativos no negócio.
- Governança sistemática e holística: O framework estabelece uma abordagem sistemática e holística para a governança e a gestão de TI, envolvendo todas as partes interessadas e integrando as práticas de TI com os processos de governança corporativa.
- Governança baseada em processos e estruturas: O COBIT 2019 oferece um conjunto de processos, práticas e estruturas de governança e gestão de TI, que podem ser adaptados às necessidades específicas de cada organização. Isso permite às empresas estabelecer um sistema eficiente de governança e gestão de TI, abrangendo desde a definição de políticas e diretrizes até a supervisão e o monitoramento do desempenho.
Esses cinco princípios fundamentais fornecem uma base sólida para a implementação e a melhoria contínua das práticas de governança e gestão de TI, garantindo que a tecnologia da informação esteja alinhada com as metas e as estratégias de negócio da organização.
Existem outras diferenças importantes entre COBIT 4.1 e COBIT 5?
Sim, o design do framework para o COBIT 5 foi revisado e reestruturado para assegurar uma cobertura completa para todos os principais aspectos relacionados à governança e gerenciamento da TI empresarial.
Qual é a qualidade geral do COBIT 5, e a parte do profissional da indústria foi parte da revisão de especialistas?
Para garantir a alta qualidade do COBIT 5, várias medidas foram tomadas. As medidas mais importantes são:
- Todo o processo de pesquisa foi supervisionado tanto pelo Conselho de Conhecimento do ISACA quanto pelo Comitê Estratégico, que são responsáveis por supervisionar todo o desenvolvimento da pesquisa-quadro da ISACA.
- Controlaram os resultados detalhados da pesquisa ao longo do processo de desenvolvimento por uma força-tarefa dedicada de profissionais voluntários experientes.
- Emitiram um documento de projeto para exposição pública, assim como a integração do feedback no trabalho de desenvolvimento para produzir o COBIT 5 final. Antes das emissões, distribuíam os projetos de produtos de desenvolvimento a mais de 100 especialistas em assuntos em todo o mundo para obter sua revisão profissional.
- Uma vez pronto, disponibilizaram as versões preliminares do COBIT 5 e COBIT 5: Habilitação de Processos ao público para revisão. Muitos bons comentários foram recebidos, sugerindo novas melhorias para consideração. As perguntas da pesquisa sobre o nível de satisfação do trabalho no estágio preliminar foram incluídas na atividade de exposição pública, sendo 79% das respostas positivas. Com base nos comentários da revisão, o time de desenvolvimento fez as mudanças conforme apropriado.
- Revisaram o produto final pelos membros da Task Force COBIT 5, o Comitê Estratégico e o Conselho de Conhecimento.
Posso usar como uma declaração de critérios para conclusões de auditoria específicas?
A princípio, existem guias profissionais adicionais planejados que irão aumentar o COBIT 5. Entre estes, está o COBIT 5 for Assurance. Isso servirá de guia para profissionais de seguros que desejam usar COBIT 5 em seu trabalho. Uma vez concluído, o COBIT 5 for Assurance fornecerá orientações abrangentes sobre o uso do COBIT 5 para suportar atividades de garantia. A conclusão deste guia está prevista para 2013.
Quem utiliza o COBIT?
O COBIT (Control Objectives for Information and Related Technology) é um framework de governança corporativa de TI, que tem como objetivo auxiliar as organizações na gestão de seus processos de TI de forma efetiva e eficiente. Ele é utilizado por diversos profissionais da área de tecnologia da informação, incluindo:
- Gestores de TI: para ajudar na tomada de decisões estratégicas de TI e na gestão dos riscos associados à tecnologia da informação.
- Auditores: para avaliar a efetividade dos controles de TI implementados e identificar possíveis pontos de melhoria.
- Profissionais de Segurança da Informação: para garantir a segurança dos dados e sistemas da organização.
- Analistas de Negócio: para entender como a TI pode ajudar a atingir os objetivos de negócio da organização.
- Consultores de TI: para ajudar as organizações a implementar as melhores práticas e controles de TI, visando a melhoria da governança corporativa.
Em resumo, o COBIT é utilizado por qualquer profissional que tenha responsabilidade na gestão, operação e uso da tecnologia da informação em uma organização.
De que forma posso sugerir à gerência executiva que use COBIT 5?
Uma vez que se direciona a ferramenta para o negócio, utilizá-lo para oferecer valor e gerenciar o risco comercial relacionado a TI é direto. Por visto que usam o resumo executivo COBIT 5 de duas páginas e a apresentação curta de suporte na discussão com o gerenciamento. Utilizam-se os objetivos em cascata na estrutura para:
- Determinar as necessidades dos interessados e os objetivos de governança (criação de valor)
- Identificar metas empresariais que possam suportar as necessidades dos interessados. Ou talvez o uso do balanced scorecard (BSC) para desenvolver esses objetivos, com um conjunto comum de termos para comunicar os objetivos.
- Selecione metas relacionadas à TI (para cada objetivo da empresa) que facilitarão a realização dos objetivos.
- Alcance de metas relacionadas à TI. Isso requer a aplicação bem-sucedida e o uso de habilitadores.
- Integra-se ao conjunto proposto de necessidades, objetivos e facilitadores para a gestão executiva como meio de oferecer uma governança efetiva e gerenciamento de tecnologia relacionada a TI.