02 - COBIT Intro

Prévia do material em texto

16/02/2022
1
Objetivos
• COBIT
• Histórico COBIT
• Background
• Princípios COBIT
• Processo em Cascata
• Habilitadores
• Governança x Gerência
• Processos COBIT
• Conceitos Chave
2
COBIT
• COBIT:
Control Objectives for Information and related Technology
• princípios, práticas, ferramentas analíticas e 
modelos globalmente aceitos, único framework 
de negócios de aceitação global;
• objetiva aumentar a confiança, valor e 
reconhecimento de TI;
• versões mais recentes integram outros 
frameworks como ITIL e ISO;
• Mantido pela ISACA / ITGI Framework 
Committe (FC).
3
1
2
3
16/02/2022
2
Histórico
4
Histórico (cont.)
 1996: conjunto de objetivos de controle de TI para o setor
de auditoria financeira;
 1998: expansão para fora do setor de auditoria;
 2000: inclusão de controles de gestão e governança de TI;
 2005: de 2005 a 2007 feitos avanços para incluir detalhes
sobre gestão de TI e comunicação;
 2007 e 2012: v.4.1 e, em seguida, versão 5;
 2013: complemento inclui gestão de riscos e informações;
 2018 até agora: versão COBIT 2019, estrutura flexível com
atualizações constantes buscandomelhoria contínua.
5
Histórico (cont.)
• Background
6
Família de Produtos 
COBIT
OGC (UK) Best Management Practice Portfolio
Managing Successful Programmes (MSP)
PRINCE2®
Information Technology Infrastructure Library (ITIL®),
ISO Standards:
IT Service Management
Quality Management
Risk Management
Information Security Risk Management
Corporate Governance of Information Technology
Process AssessmentFederal Enterprise Architecture
(FEA - USA)
British Standards:
Business Continuity Management
APM Introduction to Programme Management
(UK)
TOGAF® 9
PMBOK
Material ISACA / ITGI Existente:
COBIT 5
Val IT
Risk IT
BMIS
IT Assurance Framework
Board Briefing on IT Governance
BABOK® Guide
Leading Change
by John Kotter
The [European] Commission 
Enterprise IT Architecture Framework
(CEAF - Belgium)
Combined Code on Corporate Governance’
(UK) 
COSO
Balanced Scorecard
(BSC)
OECD Principles of Corporate Governance
(France)
King Code of Governance Principles
(King III - South Africa)
4
5
6
16/02/2022
3
Histórico (cont.)
• grande aceitação do COBIT;
• identificados aspectos de evolução e adequação, 
melhoria contínua do framework;
• determinar valor a partir de informações e 
tecnologias relacionadas (quais os benefícios, a 
que nível aceitável de risco e a que custo)
• especificar as prioridades para assegurar que o 
valor esperado será realmente entregue;
• transparência (stakeholders) sobre a forma como 
a entrega ocorrerá e resultados reais a alcançar;
• separar Governança e Gerência.
7
Histórico (cont.)
• necessário mapear a crescente dependência do 
sucesso da empresa em relação a TI;
• cenário de TI alterado: maior dependência 
externa (terceirização, clientes, fornecedores, 
consultores, cloud e outros prestadores);
• quantidade cada vez maior de informação difundida 
dentro da empresa;
• trabalhar de forma eficaz com TI, parte integrante dos 
processos de negócio, e obter orientação para a 
inovação e as tecnologias emergentes;
• cobertura do negócio fim a fim.
8
Histórico (cont.)
• pesquisas preliminares envolveram vários grupos de 
desenvolvimento espalhados pelo globo;
• Processo de Desenvolvimento ISACA utilizado na 
validação (qualidade) dos resultados;
• antes do lançamento, documentos em versão beta 
distribuídos a centenas de especialistas (avaliação);
• versão Draft do documento disponibilizada ao público 
em geral para comentários;
• milhares de comentários e sugestões recebidos.
9
7
8
9
16/02/2022
4
COBIT (cont.)
• ajuda as empresas a criar valor ideal de TI;
• equilíbrio entre benefícios obtidos x níveis de risco 
e uso de recursos associados;
• permite a governança e gestão holísticas da 
informação e tecnologias associadas;
• os princípios e habilitadores do COBIT são 
genéricos e úteis a qualquer empresa;
• independem de tamanho ou segmento.
10
COBIT (cont.)
• Princípios:
11
Principios
COBIT
3
framework único 
e integrado
cobertura 
corporativa fim a 
fim
necessidades 
dos 
stakeholders
habilitar 
abordagem 
holística
separar 
governança de 
gerência
Princípios
1. Necessidades dos Stakeholders
• empresas existem para criar valor para seus 
stakeholders
12
10
11
12
16/02/2022
5
Princípios (cont.)
1. Necessidades dos Stakeholders (cont.)
• empresas possuem muitos stakeholders e criação 
de valor assume diferentes conotações, por vezes 
conflitantes;
• Governança versa sobre negociação e opção / 
conciliação dos valores e interesses;
• avaliações de benefícios, riscos e recursos devem 
levar em conta todos os stakeholders;
• quem usufrui dos benefícios?
• quem assume o risco?
• quais os recursos necessários?
13
Princípios (cont.)
1. Necessidades dos 
Stakeholders (cont.)
• transformar necessidades em 
estratégia;
• cascata de metas traduz 
necessidades em objetivos 
específicos;
• aderentes ao contexto 
corporativo, metas de TI e do 
habilitador.
14
Princípios (cont.)
• vantagens do Processo em Cascata
• permite priorizar a implementação;
• melhoria e garantia de Governança de TI;
• base em objetivos (estratégicos) da empresa e 
risco inerente;
• Cascata na prática
• definição de metas e objetivos relevantes / 
tangíveis em vários níveis de responsabilidade;
• identificação clara e disseminação como (às vezes 
puramente operacional) facilitadores são 
fundamentais em obter objetivos corporativos.
15
13
14
15
16/02/2022
6
Princípios (cont.)
• Cascata na prática (cont.)
• filtra a base de conhecimento (KnowledgeBase) do 
COBIT, com base em metas empresariais, para 
extrair orientações pertinentes para inclusão em 
projetos de implementação, de melhoria ou de 
garantia (assurance) específicas.
16
Cascata
• Passo 1 – influência do domínio: direcionadores 
influenciam as necessidades dos stakeholders (ex.: 
mudanças de estratégia, novas tecnologias);
• Passo 2 - necessidades levam a metas: necessidades 
dos stakeholders se relacionam a objetivos 
corporativos. Metas corporativas obtidas via Balanced
Scorecard (BSC);
• Passo 3 - metas corporativas viram de TI: metas 
corporativas necessitam de resultados de TI para sua 
concretização. Metas de TI desenvolvidas via BSC (TI);
• Passo 4 - metas de TI viram metas de habilitadores: 
objetivos de TI requerem a aplicação bem-sucedida e 
uso de uma série de habilitadores.
17
Princípios (cont.)
2. Cobertura Fim a Fim
• aborda a governança e gestão da informação (e 
tecnologias relacionadas) desde uma perspectiva 
corporativa;
• alinhado às últimas tendências e melhores 
práticas, fácil integração da governança de TI à 
corporativa;
• abrange todas as funções e processos dentro da 
empresa;
• não se concentra apenas em TI;
• trata tecnologias da informação e afins como 
qualquer ativo da empresa.
18
16
17
18
16/02/2022
7
Princípios (cont.)
2. Cobertura Fim a Fim (cont.)
• Habilitadores: recursos organizacionais para a 
Governança (ex.: princípios, processos, 
frameworks e práticas) utilizados / alvos da ação e 
que viabilizam objetivos;
• Escopo: possível definir visões diferenciadas da 
organização sobre a qual se aplicará a 
Governança. Necessário ajustar a definição do 
escopo adequadamente;
• Papeis, Atividades e Relação: define quem está 
envolvido, seu envolvimento, o que fazem e como 
interagem, dentro do escopo adotado.
19
Princípios (cont.)
2. Cobertura Fim a Fim (cont.)
• Componentes Chave
20
Princípios (cont.)
3. Framework único integrado
• alinhado a recentes padrões e frameworks 
utilizados pelo mercado;
• corporativo: COSO, COSO ERM, ISO/IEC 
9000, ISO/IEC 31000;
• TI: ISO/IEC 38500, ITIL, ISO/IEC 27000, 
TOGAF, PMBOK/PRINCE2, CMMI;
• Governança Global e framework integrador de 
gerenciamento;
• mapeamento do framework para referências / 
produtos (padrões e frameworks) de terceiros.
21
19
20
21
16/02/2022
8
Princípios (cont.)
4. Habilitar AbordagemHolística
• fatores que (individual e coletivamente) 
influenciam o funcionamento de algo;
• direcionados pela cascata de objetivos;
• descritos em sete (7) categorias.
Holístico: que procura compreender os fenômenos na 
sua totalidade. Palavra criada a partir do termo holos
(grego), que significa "todo" ou "inteiro".
22
Princípios (cont.)
4. Habilitar Abordagem Holística (cont.)
1. Princípios, Políticas e Frameworks: veículo que 
traduz o comportamento desejado em 
orientações práticas para a gestão diária;
2. Processos: conjunto organizado de práticas e 
atividades para alcançar objetivos e produzir 
entregáveis de apoio à obtenção de metas (TI);
3. Estrutura Organizacional: boards de tomada de 
decisão em uma empresa;
4. Cultura, Ética e Comportamento: (indivíduo e 
empresa) subestimadas como fator de sucesso 
em atividades de governança e de gestão.
23
Princípios (cont.)
4. Habilitar Abordagem Holística (cont.)
5. Informação: permeia toda a organização e inclui 
todo conhecimento produzido e utilizado pela 
empresa. Necessária para manter a organização 
funcionando e bem governada;
6. Serviços, Infraestrutura e Aplicações: fornece 
o processamento de informações;
7. Pessoas, Habilidades e Competências: 
pessoas necessárias à conclusão efetiva das 
atividades e na tomada de decisões corretas e 
ações corretivas.
24
22
23
24
16/02/2022
9
Princípios (cont.)
• Habilitadores
25
Princípios (cont.)
5. Governança x Gerência
• clara distinção entre Governança e Gestão;
• abrangem diferentes estruturas e atividades;
• objetivos distintos;
• Governança: na maioria das empresas é de 
responsabilidade do Conselho Administrativo, sob 
a liderança do presidente;
• Gerência: na maioria das empresas é de 
responsabilidade da gestão executiva, sob a 
liderança do CEO.
26
Princípios (cont.)
• Governança
• garante que necessidades, condições e opções 
(stakeholders) são avaliadas na determinação 
balanceada e acordada dos objetivos;
• orienta via priorização e tomada de decisão;
• monitora desempenho e conformidade dos 
objetivos e direção acordados;
E.D.M.: Evaluate , Direct & Monitor
• Gerência
• planeja, implementa, executa e monitora 
atividades alinhadas à direção definida pela 
Governança para atingir os objetivos definidos.
P.B.R.M.: Plan, Build, Run & Monitor
27
25
26
27
16/02/2022
10
Princípios (cont.)
• Governança x Gerência
28
COBIT (cont.)
• Foco no Negócio
• objetivos de negócio e metas de TI, critérios de 
informação e recursos;
• Orientado a Processos
• domínios:
• Avaliar, Direcionar e Monitorar (EDM);
• Alinhar, Planejar e Organizar (APO);
• Construir, Adquirir e Implementar (BAI);
• Entregar, Servir e Suportar (DSS) e
• Monitorar, Avaliar e Analisar (MEA).
29
Processos
• Processos Habilitadores complementam o 
framework COBIT;
• framework contém um guia de referência 
detalhado para os processos definidos;
• modelo de processos é explicado e seus 
componentes definidos;
• conjunto de métricas exemplo para os objetivos 
corporativos e os de TI relacionados;
• detalhamento de todos os processos do 
framework COBIT.
30
28
29
30
16/02/2022
11
Processos (cont.)
• o modelo de referência subdivide as atividades 
e práticas em duas grandes áreas: Governança
e Gerência;
• esta última dividida em domínios;
• o domínio de Governança contém 5 processos, 
cada um com práticas de direcionamento 
avaliação e monitoração (EDM) definidas;
• os quatro domínios de Gerência são alinhados 
com as áreas de planejamento, construção, 
execução e monitoração (PBRM).
31
Processos (cont.)
• Modelo Genérico
32
Processos (cont.)
33
31
32
33
16/02/2022
12
Processos (cont.)
34
 Avaliar, Dirigir e Monitorar
EDM01
 Assegurar o 
estabelecimento 
e manutenção 
do framework de 
Governança
EDM02
 Assegurar a 
entrega de 
Benefícios
EDM03
 Assegurar a 
otimização de 
Riscos
EDM04
 Assegurar a 
otimização de 
Recursos
EDM05
 Assegurar a 
Transparência 
aos 
Stakeholders
 Alinhar, Planejar e Organizar
APO01
 Gerenciar o 
framework de 
Gestão de TI
APO02
 Gerenciar a 
Estratégia
APO03
 Gerenciar 
Arquitetura 
corporativa
APO04
 Gerenciar a 
Inovação
APO05
 Gerenciar o 
Portifólio
APO06
 Gerenciar 
Orçamento e 
Custos
APO07
 Gerenciar 
Recursos 
Humanos
APO08
 Gerenciar 
Relações
APO09
 Gerenciar 
SLA’s
APO10
 Gerenciar 
Fornecedores
APO11
 Gerenciar 
Qualidade
APO12
 Gerenciar 
Riscos
APO13
 Gerenciar 
Segurança
 Construir, Adquirir e Implementar
BAI02
 Gerenciar a 
definição de 
Requisitos
BAI03
 Gerenciar 
Soluções
BAI04
 Gerenciar 
Capacidade e 
Disponibilidade
BAI05
 Gerenciar a 
Mudança 
Organizacional
BAI06
 Gerenciar 
Mudanças
BAI07
 Gerenciar 
Aceite e 
Transição
BAI08
 Gerenciar 
Conhecimento
BAI09
 Gerenciar 
Ativos
BAI10
 Gerenciar 
Configuração
BAI01
 Gerenciar 
Programas e 
Projetos
 Entregar, Servir e Suportar
DSS02
 Gerenciar 
Serviços e 
Incidentes
DSS01
 Gerenciar 
Operações
DSS03
 Gerenciar 
Problemas
DSS04
 Gerenciar 
Continuidade
DSS05
 Gerenciar 
Segurança
DSS06
 Gerenciar 
Controles
Monitorar, 
Avaliar e 
Medir
MEA01
Monitorar, 
Avaliar e Medir o 
Desempenho e 
Conformidade
MEA02
Monitorar, 
Avaliar e Medir 
Controles 
Internos
MEA03
Monitorar, 
Avaliar e Medir 
Conformidade
APO14
 Gerenciar 
Dados
BAI11
 Gerenciar 
Projetos
MEA04
Monitorar, 
Avaliar e Medir 
Assurance
Processos (cont.)
35
COBIT (cont.)
• Baseado em Controles
• controles de processos;
• controles de Negócio e de TI;
• controles genéricos de TI e
• controles de aplicações.
• Direcionado por Medições
• modelos de Maturidade.
36
34
35
36
16/02/2022
13
COBIT (cont.)
• Conceitos Chave
• integração das melhores práticas de mercado;
• cascata de metas e objetivos;
• mensuração (métricas) da operação e obtenção 
de metas;
• abordagem holística, visão fim a fim;
• conexão de recursos e entregáveis das práticas 
gerenciais chave;
• habilitar sucesso através da integração de 
atividades de governança e gerência.
37
COBIT (cont.)
• COBIT 5 x COBIT 2019
38
• Componentes
39
COBIT 2019
37
38
39
16/02/2022
14
• Framework
40
COBIT 2019
• Conceitos Chave
• principal novidade é a criação de Fatores de 
Desenho e Área de Foco;
• dois elementos que permitirão a personalização do 
sistema de Governança para sua organização;
• Fatores de Desenho
• abordam desde estratégia corporativa e seus 
objetivos até o porte da organização, papel da TI e 
modelo de prestação de serviços e compliance;
• Área de Foco
• define o componente principal do sistema de 
Governança (ex.: risco, segurança, DevOps), porte 
da empresa (ex.: pequena ou média).
41
COBIT 2019
Implementação
• posicionar a Governança Corporativa de TI
(GEIT) na organização;
Governance of Enterprise IT = GEIT
• conscientização corporativa da necessidade de 
melhoria contínua da GEIT;
• identificação dos desafios e fatores de sucesso 
(KSF);
• mudanças (organização e comportamento);
• melhoria contínua:
• viabilização da mudança;
• gestão do programa.
42
40
41
42
16/02/2022
15
Implementação (cont.)
• Ciclo de Vida
43
Implementação (cont.)
• Modelagem
44
Implementação (cont.)
45
Fase Gestão
Facilitação da 
Mudança
Observações
E
st
ra
té
g
ic
o
1. Quais as 
tendências?
iniciar o 
programa
estabelecer a 
cultura de 
mudança / 
inovação
Conhecer as tendências, iniciar o 
ciclo de planejamento estratégico e 
estabelecer o desejo de melhoria 
contínua são as etapas críticas
iniciais
2. Onde 
estamos?
definir 
problemas e 
oportunidades 
(SWOT)
formar a equipe 
de 
implementação
Informações sobre o estado atual 
e análise SWOT são entradas 
importantes para um planejamento 
estratégico eficiente
3. Para 
onde 
vamos?
definir roteiro
comunicar 
resultados / 
explicitar 
ganhos
O Planejamento Estratégico
deve resultar em um roteiro de alto 
nível
4. O que 
fazer?
planejar o 
programa
identificar 
participantese 
especialistas
Identificar participantes e 
segmentar o plano em etapas 
gerenciáveis são ações cruciais 
para uma implementação bem 
sucedida da estratégia corporativa
43
44
45
16/02/2022
16
Implementação (cont.)
46
Fase Gestão
Facilitação da 
Mudança
Observações
O
p
er
ac
io
n
al
5. Como 
chegar lá?
executar o 
plano
operar e utilizar
Definição de métricas e 
monitoramento associado 
estabelecido para garantir o 
alinhamento com as estratégias 
de negócio
6. Como saber 
se já 
chegamos?
obter 
benefícios
incorporar novas 
abordagens
Etapa incide sobre a 
operação sustentável dos novos 
processos melhorados e o 
monitoramento da eficácia e 
benefícios esperados
7. Como 
manter a 
dinâmica?
análise de 
eficiência e 
eficácia
manutenção e 
atualização
Realização do 
acompanhamento e a análise 
contínuos (Melhoria Contínua)
46
47