Implantação de Governança Com Cobit

Prévia do material em texto

Tema 2 - Estrutura Dos Objetivos de Governança e Gerenciamento do Cobit
MÓDULO 1: Identificar os objetivos do Cobit como framework de governança de TI
Cobit
A sigla Cobit vem do inglês control objectives for information and related technology, que, em português, significa objetivos de controle para tecnologia da informação e áreas relacionadas. O objetivo primário do Cobit é pesquisar, desenvolver, publicar e promover um conjunto de controles geralmente aceitos e aplicáveis à tecnologia da informação.
O Cobit teve sua origem nos Estados Unidos e nasceu da ideia de proteger as informações empresariais contra fraudes e manipulações de balanços e dados financeiros. Diante desse desafio, um grupo de auditores criou uma metodologia genérica que pudesse controlar de maneira efetiva o cumprimento de processos.
Trata-se de uma estrutura criada pela Associação de Auditoria e Controle de Sistemas de Informação (Isaca), órgão oficial responsável por atualizar as versões. Constitui a base de conhecimento mais reconhecida e utilizada no mercado para apoiar organizações na governança de TI, sendo um modelo de controle que garante a integridade do sistema de informação. 
O framework (estrutura) do Cobit define um conjunto de processos genéricos para o gerenciamento de TI, objetivos de processo, medidas de desempenho e um modelo de maturidade elementar. O Cobit também fornece um conjunto de boas práticas para o processo de governança e controle de sistemas de informação e tecnologia, com a essência de alinhar a TI com o negócio.
Histórico do Cobit
Lançado pela primeira vez em 1996, foi inicialmente projetado como um conjunto de objetivos de controle de TI para ajudar a comunidade de auditoria financeira a navegar melhor pelo crescimento dos ambientes de tecnologia.
Em 1998, a Isaca lançou a versão 2, que expandiu a metodologia de modo a poder ser aplicada fora da comunidade de auditoria. Mais tarde, nos anos 2000, a Isaca desenvolveu a versão 3, que inclui as técnicas de gerenciamento de TI e de controle de informações encontradas no framework atual.
O Cobit 4 foi lançado em 2005, seguido pelo Cobit 4.1, em 2007. Essas atualizações abrangeram mais informações sobre a governança em torno das tecnologias de informação e comunicação.
Em 2012, o Cobit 5 foi lançado e, em 2013, a Isaca apresentou um complemento a ele, que incluía mais informações para as empresas sobre gerenciamento de riscos e governança de informações.
Posteriormente, a Isaca anunciou uma versão atualizada do Cobit, descartando o número da versão, e nomeando-a Cobit 2019. Essa versão foi projetada para evoluir constantemente com atualizações mais frequentes e fluidas, com o objetivo de criar estratégias de governança mais flexíveis, colaborativas e voltadas para tecnologias.
O Cobit 2019 atualiza o framework para a TI atual, abordando novas tendências, tecnologias e necessidades de segurança. Novos conceitos e terminologia foram introduzidos no modelo básico do Cobit, que inclui 40 objetivos de governança e gerenciamento para estabelecer um programa de governança.
O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade.
No geral, o framework é projetado para oferecer mais flexibilidade às empresas, ao personalizar uma estratégia de governança de TI.
Objetivos do Cobit
O principal objetivo do Cobit é, naturalmente, a governança de TI, mas ele também serve para dar atenção ao foco do negócio, em vez de simplesmente se prender aos serviços de TI, entre os quais:
· Aumento da eficiência da TI.
· Aprimoramento da segurança da informação.
· Otimização dos investimentos em TI.
· Criação de uma linguagem comum entre a TI e os negócios.
· Estabelecimento de áreas de foco (necessidades de negócios).
· Melhor alinhamento com padrões globais.
· Atualizações regulares lançadas em uma base contínua.
· Aprimoramento da ferramenta para medir o desempenho de TI.
· Maior suporte para tomada de decisões.
Objetivos corporativos genéricos do Cobit
O Cobit fornece uma lista de 17 objetivos corporativos genéricos que ajudam a organização a entender quais tipos de objetivos comumente fazem parte de uma estratégia corporativa.
São eles:
1. Valor dos investimentos da organização percebido pelas partes interessadas
2. Portfólio de produtos e serviços competitivos
3. Gestão de risco organizacional (salvaguarda de ativos)
4. Conformidade com as leis e os regulamentos externos
5. Transparência financeira
6. Cultura de serviço orientada ao cliente
7. Continuidade e disponibilidade do serviço de negócio
8. Respostas rápidas para um ambiente de negócios em mudança
9. Tomada de decisão estratégica com base na informação
10. Otimização dos custos de prestação de serviços
11. Otimização da funcionalidade do processo de negócios
12. Otimização dos custos do processo de negócios
13. Programas de gestão de mudanças no negócio
14. Produtividade operacional e da equipe
15. Conformidade com políticas internas
16. Pessoas qualificadas e motivadas
17. Cultura de inovação de produtos e negócios
Os princípios do Cobit
Governança e gerenciamento corporativo de TI é parte integrante de toda a governança corporativa. Ela endereça a definição e implementação de processos, estruturas e mecanismos relacionais dentro da empresa, permitindo que o pessoal de negócio e da TI execute suas responsabilidades para suportar a criação e a sustentabilidade do valor ao negócio.
O Cobit 2019 se fundamenta em seis princípios que criam uma espécie de direcionamento para o sistema de governança e gestão utilizado dentro de uma organização.
Os seis princípios:
Princípio 1 – Prover valor às partes interessadas
O primeiro princípio determina que o Cobit forneça todos os processos e habilitadores necessários para suportar a criação de valor mediante o uso da TI (pode-se interpretar criação de valor como geração de benefícios).
Esse princípio equipara-se com o conceito de alinhamento estratégico.
O objetivo da governança de TI é atingir o alinhamento estratégico entre tecnologia da informação e o restante da organização. Trata-se de um elemento crítico do Cobit. Para auxiliar as organizações a alavancar o alinhamento estratégico, o Cobit estabelece lista genérica de metas empresariais, metas de TI relacionadas e seus inter-relacionamentos.
Para facilitar um processo mais abrangente de medição, o desenvolvimento do Cobit 5 incorporou conceitos do balanced scorecard (BSC) – que, em português, pode ser traduzido como indicadores balanceados de desempenho.
Preferencialmente, as metas e métricas de processos devem ser consolidadas e agregadas de uma forma que facilite o BSC utilizável e compreensível para todo o ambiente de TI, além de permitir que a organização determine se as necessidades das partes interessadas estão sendo atendidas.
Princípio 2 – Visão holística
Esse princípio se refere à implementação eficaz e eficiente da governança empresarial de TI, que requer uma visão holística, levando em consideração vários componentes interativos, como processos, estruturas e pessoas.
O desafio dessa implementação está relacionado a um sistema organizacional que requer a definição e aplicação, de modo holístico, de estruturas e processos, assim como aos aspectos ambientais e culturais (pessoas, cultura, valores etc.). Ao aplicar a teoria do gerenciamento estratégico na governança empresarial de TI, as organizações estão desenvolvendo e usando uma mistura holística de estruturas, processos e mecanismos relacionados.
As estruturas da governança empresarial de TI incluem unidades organizacionais, e papéis e responsabilidades para tomada de decisões relacionadas à tecnologia da informação, além de possibilitar contatos entre ela e as funções de negócio.
Os processos de governança empresarial de TI referem-se à formalização e à institucionalização de procedimentos para tomada de decisão e monitoração da TI, assegurando que o comportamento diário seja consistente com as políticas e forneça entradas para os tomadores de decisão (ex.: BSC).
O Cobit 5 foi construídoe são descritas em uma arquitetura. Essa arquitetura norteia a implementação dessas capacidades, descrevendo as conexões e as relações entre os serviços, aplicativos e infraestrutura planejados.
Os serviços infraestrutura e aplicações se relacionam com o habilitador informações, pois se utilizam de informações de negócio da organização para serem planejados. E, para que sejam bem aplicados, se relacionam com o habilitador cultura, ética e comportamento com o objetivo de criar uma cultura orientada a serviços, além de ter estruturas organizacionais que tenham responsabilidade no gerenciamento desses serviços.
Essas capacidades de serviço podem ser requeridas como entradas para o processo de governança e gestão ou geradas como resultados da execução desses processos.
· Habilitador 7: pessoas, habilidades e competências
Esse habilitador está associado a pessoas e é necessário para a execução bem-sucedida de todas as atividades e para a tomada de decisões corretas e aplicação de medidas corretivas. Para que a execução da governança de TI e sua gestão sejam bem-sucedidas, é necessário que as pessoas envolvidas tenham habilidades técnicas e comportamentais e qualificação para exercer seus papéis e suas responsabilidades.
A organização precisa periodicamente avaliar sua base de habilidades e competências para identificar aquelas que precisam de melhorias e poder planejar sua evolução, seja por meio do desenvolvimento ou da aquisição das habilidades a partir de treinamentos ou contratação de pessoas, por exemplo.
As habilidades e competências são necessárias para realizar os processos de governança e gestão e tomar decisões em estruturas organizacionais. Alguns processos visam apoiar o ciclo de vida das habilidades e competências. Há ainda a relação com a cultura, ética e o comportamento por meio das habilidades comportamentais que orientam o comportamento do indivíduo e são influenciadas tanto pela ética da pessoa quanto pela da organização.
A figura a seguir ilustra o relacionamento entre as sete categorias de habilitadores que acabamos de descrever.
Controle de desempenho do habilitador do COBIT
Organizações esperam resultados positivos da aplicação e do uso dos habilitadores. Para controlar o desempenho dos habilitadores, as perguntas a seguir terão de ser monitoradas e posteriormente respondidas — com base em indicadores — periodicamente:
As necessidades das partes interessadas foram consideradas?
As metas do habilitador foram atingidas?
O ciclo de vida do habilitador é controlado?
Boas práticas foram aplicadas?
Os dois primeiros pontos tratam do resultado efetivo do habilitador. Os indicadores usados para aferir em que medida as metas foram atingidas podem ser chamados de indicadores de resultado. Os dois últimos pontos tratam do funcionamento efetivo do próprio habilitador, e esses indicadores podem ser chamados de indicadores de progresso.
Conclusão
Alguns dos habilitadores são recursos da organização que devem ser gerenciados e governados. Uma organização sempre deverá considerar um conjunto de habilitadores interligados. Ou seja, cada habilitador precisa das informações dos demais habilitadores para ser plenamente efetivo e produzir resultados para o benefício dos demais habilitadores. São as habilidades e o comportamento que tornam os processos eficientes.
Assim, ao tratar da governança e da gestão corporativa de TI, boas decisões podem ser tomadas somente quando esta natureza sistêmica dos arranjos de governança e gestão for considerada. Isso significa que, para abordar qualquer necessidade das partes interessadas, a referência de todos os habilitadores inter-relacionados deve ser analisada e tratada, se necessário. Esta mentalidade deve ser orientada pela alta administração da organização.
1. (Tribunal de Contras do Estado de Rondônia) O COBIT possui um amplo conjunto de conceitos e elementos utilizados na boa governança de tecnologia da informação. Entre eles, destacam-se os princípios, os processos, as estruturas, a cultura, a informação, os serviços e as pessoas. Estes compõem o conceito de:
Habilitadores corporativos do COBIT
2. (Tribunal Regional do Trabalho 8ª. Região, Pará e Amapá) O COBIT 5 estabelece sete habilitadores orientados pela cascata de objetivos para estabelecer o que eles devem alcançar. Assinale a opção em que é apresentado o habilitador que se refere a práticas e atividades para atingir determinados objetivos e produzir um conjunto de saídas para auxiliar na realização dos objetivos de TI:
Processos
MÓDULO 3 - Descrever as dimensões dos habilitadores do COBIT
Conceito de dimensão dos habilitadores do COBIT
Como vimos no módulo anterior, os habilitadores são também chamados de facilitadores, e todos têm um conjunto de dimensões comuns, que:
· fornece uma maneira comum, simples e estruturada para lidar com habilitadores;
· permite que a organização gerencie suas interações complexas; e
· facilita resultados bem-sucedidos dos habilitadores.
As quatro dimensões comuns para habilitadores são:
· Parte interessada ou stakeholders.
· Metas.
· Ciclo de vida.
· Boas práticas.
Observe, na figura a seguir, a descrição das quatro dimensões para os habilitadores do COBIT.
Dimensão parte relacionada ou stakeholders
Cada viabilizador tem stakeholders, ou seja, partes que desempenham um papel ativo e/ou têm interesse na execução. Por exemplo:
Os processos têm diferentes partes que executam suas atividades e/ou que têm interesse no seu resultado.
Estruturas organizacionais têm partes, cada uma com seus próprios papéis e interesses, que fazem parte da estrutura.
Os stakeholders podem ser internos ou externos à organização, todos com interesses e necessidades próprios. Por exemplo:
Stakeholders internos: Executivos de negócio, conselho de administração, gerentes de negócio, auditores internos, usuários de TI etc.
Stakeholders externos: Parceiros comerciais, fornecedores, governo, consumidores, auditores externos, consultores etc.
Dimensão metas (goals)
Cada viabilizador tem uma série de objetivos/metas e fornece valor pela realização destes objetivos/metas, que podem ser definidos em termos de:
Resultados esperados do viabilizador.
Aplicação ou operação do próprio viabilizador.
Os objetivos dos habilitadores são o passo final da cascata de objetivos do COBIT 5. Os objetivos são divididos em categorias:
Qualidade intrínseca: Medida em que habilitadores funcionam com precisão, objetividade e fornecem informações precisas e objetivas.
Qualidade contextual: Medida em que habilitadores e seus resultados atendem ao propósito, dado o contexto em que operam.
Acessibilidade e segurança: Medida em que habilitadores e seus resultados são acessíveis e seguros.
Dimensão objetivos ciclo de vida (life cycle)
Cada viabilizador tem um ciclo de vida, ou seja, é definido, criado, operado, monitorado e ajustado/atualizado ou eliminado. As fases do ciclo de vida consistem em:
1. Planejar (inclui o desenvolvimento de conceitos e seleção de conceitos).
2. Projetar.
3. Construir/adquirir/criar/implementar.
4. Utilizar/operar.
5. Avaliar/monitorar.
6. Atualizar/eliminar.
Boas práticas (good practices)
Para cada um dos habilitadores, boas práticas podem:
· Apoiar a realização dos objetivos.
· Fornecer exemplos ou sugestões sobre a melhor forma de implementar o viabilizador, e quais produtos de trabalho, entradas e saídas são necessários.
Conclusão
Os habilitadores ou facilitadores são fatores que, individual e coletivamente, influenciam o funcionamento da governança e gestão corporativas de TI. Todos os habilitadores têm um conjunto de dimensões comuns, que auxiliam no gerenciamento das interações mais complexas. Dessa forma, é possível a abrangência nas partes interessadas, objetivos, ciclo de vida e boas práticas para uma adequada implementação da governança e gestão de TI.
As organizações esperam resultados positivos da aplicação e do uso dos habilitadores e respectivas dimensões.
É importante considerar se as necessidades das partes interessadas foram levadas em conta, se as metas do habilitador foram atingidas,se o ciclo de vida do habilitador é controlado e se as boas práticas foram aplicadas.
O COBIT é um framework utilizado para apoiar a governança e a gestão de TI por meio dos habilitadores e dimensões dos habilitadores, utilizando uma abordagem holística (que engloba a organização como um todo, incluindo seus componentes e suas inter-relações).
1. (Aprova Questões – Concurso: Tribunal Superior do Trabalho) De acordo com o COBIT 5, as quatro dimensões comuns dos habilitadores são partes interessadas, metas, ciclo de vida e boas práticas. As metas ainda podem ser divididas nas categorias I, II e III, da seguinte forma:
I. Define o quanto os habilitadores e seus resultados cumprem sua meta levando em consideração a situação em que operam, como, por exemplo: os resultados devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensíveis e fáceis de usar.
II. Define o quanto os habilitadores e seus resultados são disponíveis e seguros, por exemplo: os habilitadores estão disponíveis quando e se necessário; o acesso aos resultados é restrito a quem tem direito e precisa deles.
III. Define o quanto os habilitadores trabalham de forma precisa, objetiva e produzem resultados exatos, objetivos e confiáveis.
As categorias I, II e III são, correta e respectivamente:
Qualidade contextual, acesso e segurança e qualidade intrínseca
2. (Adaptada de QConcursos – Concurso: Empresa de Assistência Técnica e Extensão Rural do Estado de Minas Gerais) Os habilitadores do COBIT 5 são fatores que, individualmente e em conjunto, influenciam se a governança e a gestão corporativas da TI funcionarão. O modelo do COBIT 5 descreve sete categorias de habilitadores: princípios, políticas e modelos; processos; estruturas organizacionais; cultura, ética e comportamento; informação; serviços, infraestrutura e aplicativos; pessoas, habilidades e competências. Entre as dimensões comuns dos habilitadores está:
Meta
MÓDULO 4 - Reconhecer o modelo de maturidade e o modelo de capacidade dos processos do COBIT
Introdução
Neste módulo, serão abordadas questões de governança, agrupando os componentes de governança relevantes em áreas de foco, que podem ser gerenciadas nos níveis de maturidade e capacidade exigidos.
Fundamentalmente, a governança de TI está preocupada com duas coisas:
· Entrega de TI de valor para o negócio: É impulsionada pelo alinhamento estratégico da TI ao negócio.
· Mitigação de riscos de TI: É motivada pela incorporação de responsabilidade na empresa.
Ambas precisam ser medidas adequadamente. Isso leva às áreas principais de foco para a governança de TI, todas orientadas pelo valor das partes interessadas. Paralelamente, leva aos modelos de maturidade e de capacidade dos processos, que constam no framework do COBIT.
Governança e gestão de TI
A governança de TI pode ser entendida como o subconjunto da governança corporativa, que é a capacidade organizacional exercida pela alta direção, gerência de negócios e gerência de TI para avaliar, dirigir e monitorar o uso da TI a fim de apoiar a conquista dos objetivos organizacionais. Trata-se de um sistema pelo qual o uso futuro e atual da TI é dirigido e controlado. O lado normativo define mecanismos, formalizando os relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam atingidos dentro da organização.
O gerenciamento de serviços de TI é, de fato, um facilitador da governança de TI e esta é um facilitador da governança corporativa.
Em resumo, uma organização que faça uso intenso de TI não pode afirmar ter uma boa governança corporativa sem ter uma boa governança de TI.
Modelos de maturidade com base no framework do COBIT
O COBIT fornece, do princípio ao fim, uma visão da governança dos negócios da TI, refletindo o papel central da informação e da tecnologia na criação de valor para empresas de todos os tamanhos.
Embora o principal objetivo do COBIT seja a governança de TI, ele também serve para dar atenção ao foco do negócio.
Os modelos de maturidade abordados no COBIT 4.1 fornecem uma escala para comparar (fazer benchmarking) as práticas da empresa em relação à indústria, aos padrões e às diretrizes internacionais.
O modelo de maturidade fornecido pelas diretrizes de gerenciamento do COBIT para os processos de TI está se tornando uma ferramenta cada vez mais popular para gerenciar questões típicas de balanceamento de riscos e controle, de forma a levar em consideração o custo efetivo.
Uma característica fundamental do modelo de maturidade é que ele permite a uma organização medir seu nível de maturidade e definir quais níveis quer alcançar e quais brechas nos processos deseja eliminar. Como resultado, uma organização pode descobrir aperfeiçoamento prático para o sistema de controle interno de TI.
A seguir, conheça os níveis de maturidade contemplados no modelo fornecido pelas diretrizes de gerenciamento do COBIT:
· Maturidade nível 1 — inicial/Ad Hoc
Neste nível, há evidências de que a organização reconheceu que problemas existem e devem ser tratados. Entretanto, não há processos padronizados.
Em vez disso, abordagens pontuais são adotadas e existe uma tendência de serem aplicadas em base individual ou caso a caso. A abordagem geral de gerenciamento é desorganizada.
Em resumo, já existem processos, só que ainda são ad hoc, tendem a ser aplicados a um indivíduo ou tratados casualmente. De forma geral o gerenciamento ainda é desorganizado.
· Maturidade nível 2 — repetível, mas intuitivo
Aqui os processos já foram desenvolvidos, portanto, procedimentos similares são seguidos por diferentes pessoas executando a mesma tarefa.
Porém, não há ainda treinamento formal ou comunicação sobre os procedimentos padronizados e a responsabilidade é tratada de maneira individual. Existe alto grau de dependência no conhecimento de indivíduos e erros são muito comuns.
· Maturidade nível 3 — processos definidos
Já no nível 3, os procedimentos foram padronizados, documentados e comunicados por meio de treinamento. É mandatório que esses processos sejam seguidos e é incomum que desvios sejam detectados.
Entretanto, os procedimentos propriamente ditos não são sofisticados, mas existe a formalização sobre as práticas existentes.
· Maturidade nível 4 — gerenciados e medidos
No nível 4, o gerenciamento monitora, mede a aderência aos procedimentos e toma ações em que os processos parecem não estar funcionando efetivamente. Aqui os processos estão sob melhoria constante e fornecem melhores práticas. Também são usadas ferramentas automatizadas, porém de maneira limitada ou fragmentada.
· Maturidade nível 5 — otimizado
Este é o grau mais alto, em que os processos foram refinados ao nível de boas práticas, baseados nos resultados de melhoria contínua e modelos de maturidade COBIT com outras empresas. A TI é utilizada de maneira integrada para automatizar os fluxos de trabalho, fornecer ferramentas para melhoria de qualidade e efetividade, fazendo, portanto, com que a organização rapidamente se adapte.
Modelos de capacidade dos processos do COBIT
O COBIT 5 atualiza o modelo de maturidade do COBIT estabelecendo que cada nível de capacidade só poderá ser atingido quando o nível anterior estiver plenamente alcançado. Neste esquema de avaliação, atingir a capacidade nível 1, mesmo em uma escala de 5, já pode ser considerado como uma importante conquista para a organização. Há uma diferença significativa entre a capacidade de processo nível 1 e os níveis de capacidade mais altos.
O COBIT 5 aborda e desenvolve um novo modelo para a avaliação da capacidade dos processos de TI da organização baseado na norma ISO/IEC 15504 de engenharia de software.
Os modelos desenvolvidos no COBIT 4.1 e COBIT 5 possuem objetivos diferentes:
COBIT 4.1
A ideia principal do modelo de maturidade do COBIT 4.1 é medir o nível de maturidade atual dos processos relacionados à tecnologia da informação para poder definir o nível desejado, conseguindo determinar a defasagem entre eles para conseguir melhorar o nível de maturidade.
COBIT 5
O modelo tem como finalidadealcançar os mesmos objetivos gerais de avaliação do processo e suporte à melhoria de processos.
Para utilizar o modelo de maturidade do COBIT 4.1 para a melhoria do processo são necessários os seguintes procedimentos: 
1. Em primeiro lugar, uma avaliação deverá ser realizada para confirmar se os objetivos de controle do processo foram atingidos.
2. Em seguida, o modelo de maturidade que existe para cada processo pode ser usado para obter o nível de maturidade do processo.
O modelo de capacidade do COBIT 5 contém seis níveis, em uma escala de 0 a 5, porém com nome e significado bem diferentes dos níveis de maturidade do COBIT 4.1. Cada nível de capacidade de processo possui um conjunto de atributos de processo, totalizando nove atributos, que devem ser avaliados para o alcance do nível em questão. Os níveis de capacidade são:
Nível 0 — processo incompleto: O processo não foi implementado ou não atingiu seu objetivo.
Nível 1 — processo executado: O processo está implementado e atinge seu objetivo. Possui o atributo PA1.1 — desempenho do processo (process performance).
Nível 2 — processo gerenciado: O processo executado anteriormente descrito é implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos. Atributos PA2.1 — gerenciamento de desempenho (performance management) e PA2.2 — gerenciamento de produto de trabalho.
Nível 3 — processo estabelecido: O processo gerenciado anteriormente descrito é implementado usando um processo definido que é capaz de alcançar seus resultados de processo. Atributos PA3.1 — definição de processo (process definition) e PA3.2 — implementação de processo (process deployment).
Nível 4 — processo previsível: O processo estabelecido anteriormente descrito opera dentro de limites definidos para alcançar seus resultados de processo. Possui os atributos PA4.1 — gerenciamento do processo (process management) e PA4.2 – controle do processo (process control).
Nível 5 — processo otimizado: O processo previsível anteriormente descrito é continuamente melhorado para atender aos objetivos corporativos. Possui os atributos PA5.1 — inovação de processo (process innovation) e PA5.2 — otimização de processo (process optimization).
Conclusão
Os princípios, as práticas, os modelos e as ferramentas analíticas encontrados no COBIT 5 incorporam a liderança de pensamento e a orientação de especialistas em TI, negócios e governança ao redor do mundo.
Os benefícios do modelo de capacidade de processo do COBIT 5 comparados com o COBIT 4.1 incluem:
· Maior ênfase no processo que está sendo realizado para confirmar que ele está efetivamente alcançando seus objetivos e os resultados esperados.
· Maior confiabilidade e repetitividade das atividades e análises da avaliação da capacidade do processo, reduzindo debates e desentendimentos entre as partes interessadas em relação aos resultados da avaliação.
· Maior uso dos dados da avaliação dos resultados da capacidade do processo, visto que o novo modelo estabelece uma base para a realização de avaliações mais rigorosas e formais.
A versão 5 do COBIT está bem mais interessante do ponto de vista de estrutura das informações. Ela apresenta uma evolução interessante quando se fala de facilidade de entendimento dos assuntos abordados no framework. Com uma linguagem mais leve e tópicos bem direcionados com uma estrutura clara e objetiva, trata-se de uma excelente ferramenta para apoiar a camada estratégica das organizações, sejam elas do setor público ou privado.
1. (Questões Grátis – Concurso: Liquigás) Sobre o modelo de maturidade especificado no COBIT 4.1, considere estas afirmativas:
I - O nível processo definido existe quando os processos foram refinados a um nível de melhores práticas.
II - O nível otimizado se dá quando a gerência monitora e mede a aderência dos processos.
III - O nível ad hoc ou inicial existe quando a empresa reconhece que existem questões a serem trabalhadas, no entanto, não existe processo padronizado.
Está correto o que se afirma em:
III, apenas
2. (QConcursos – Concurso: Polícia Científica de Pernambuco) Considere que alguns processos implementados em determinada organização tenham sido aferidos com nível 3 de maturidade, no COBIT 4.1. Assinale a opção correta no que tange à implementação e avaliação desses mesmos processos no COBIT 5.
Os níveis de capacidade são definidos por um conjunto de nove atributos de processo.
Tema 4 - Governança e Gerenciamento do Cobit
MÓDULO 1 - Reconhecer os Domínios EDM (Avaliar, Dirigir e Monitorar) e APO (Alinhar, Planejar e Organizar)
O COBIT
O COBIT (Objetivos de Controle para a Informação e Tecnologia relacionada) apoia as organizações a alcançar as múltiplas necessidades da administração pela superação dos espaços entre os riscos de negócio, necessidades de controle e aspectos técnicos.
O COBIT é uma publicação elaborada pela ISACA, que, anteriormente, era conhecida como Information Systems Audit and Control Association, e atualmente, somente por sua sigla.
O COBIT foi desenvolvido como um recurso educacional para profissionais de TI da organização, sendo uma obra que não garante que seu uso parcial ou total impactará em resultados positivos e diretos para a organização, pois a utilização do COBIT deve ser adequada através do julgamento do profissional mediante as circunstâncias de segurança, risco, garantia e governança de TI apresentadas pelos sistemas ou ambientes de tecnologia da informação específicos.
O principal objetivo do COBIT é proporcionar boas práticas para a organização através de um modelo de domínio e processos em uma estrutura lógica e gerenciável.
As características do COBIT
O COBIT foi criado tendo como principais características:
· Foco no negócio da organização.
· Totalmente orientado a processos.
· Faz uso de controles.
· Totalmente direcionado por métricas.
· Suportado por ferramentas e treinamentos.
Os benefícios do COBIT para a organização
São diversos os benefícios obtidos pela organização ao fazer uso do COBIT, entre os quais, podemos citar:
· Melhora na qualidade das informações, de modo a suportar com mais eficácia as decisões de negócios.
· Agregação de valor aos investimentos de TI, de modo a atingir e superar as metas estratégicas da entrega benefícios de negócio por meio eficaz do uso da TI.
· Atingimento do nível de excelência operacional por meio de aplicações confiáveis e eficientes.
· Manutenção de todos os riscos relacionados à TI em níveis aceitáveis.
· Otimização do custo de serviços de TI.
· Conformidade com leis, acordos contratuais, políticas internas e externas e regulamentos.
· Cumprimento de requisitos regulatórios como a Sarbanes-Oxley (SOx) e a Basileia III.
· Aceitação internacional do COBIT como framework de modelo para a governança de TI, sempre em desenvolvimento contínuo.
*A SOx foi sancionada pelo congresso dos EUA e define por lei diversas medidas de boas práticas de governança corporativa. A Basileia III é um acordo que surgiu como resposta às principais vulnerabilidades apresentadas pelo setor bancário no Brasil durante a crise financeira de 2008.
Os princípios do COBIT
O COBIT possui foco em governança corporativa de TI e deixa clara a distinção entre governança e gestão. O COBIT está fundamentado em cinco princípios de governança corporativa de TI que permitem que a organização construa um framework efetivo de governança e gestão de TI, baseado em um conjunto holístico de habilitadores que otimizam investimentos em tecnologia e informação utilizados para o benefício das partes interessadas da organização.
A imagem abaixo apresenta os princípios do COBIT:
1. Atender às necessidades das partes interessadas
É extremamente importante entender o que as partes interessadas esperam da TI, quais as tecnologias relacionadas e quais as prioridades de modo a garantir criação de valor, por meio da TI, através do equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e da utilização dos recursos.
É importante transformaras necessidades das partes interessadas em estratégias corporativas.
2. Cobrir a empresa de ponta a ponta
O COBIT tem a função de integrar a governança corporativa de TI dentro da governança corporativa da organização, de modo a cobrir todas as funções e processos necessários para regular e controlar as informações da organização e tecnologias correlatas, onde quer que essas informações sejam processadas.
O COBIT não irá focar apenas nas funções de TI, mas também tratará as informações e tecnologias relacionadas como ativos que precisam ser tratados como qualquer outro ativo por todas as partes interessadas na organização.
3. Aplicar um framework único e integrado
O COBIT fornece um modelo único e integrado, pois é totalmente alinhado com outros padrões e modelos mais recentes, permitindo ser utilizado como principal integrador do modelo de governança e gestão da organização.
O modelo do COBIT fornece uma arquitetura simples para a estruturação dos materiais de orientação e produção de um conjunto consistente de produtos, sendo completo na cobertura da organização e fornecendo uma base consistente e eficiente para que seja facilmente integrado com outros modelos, padrões e práticas utilizados pela organização.
4. Permitir uma abordagem holística
O COBIT apoiará a governança e a gestão de TI, utilizando uma abordagem holística que envolverá a organização como um todo, incluindo seus componentes e suas inter-relações.
O COBIT define um conjunto de habilitadores que servem para apoiar a implementação de um sistema abrangente de gestão e de governança de TI da organização, sendo eles:
· Princípios, políticas e modelos;
· Processos;
· Estruturas organizacionais;
· Cultura, ética e comportamento;
· Informação;
· Serviços, infraestrutura e aplicativos;
· Pessoas, habilidades e competências.
5. Distinguir a governança da gestão
O modelo fornecido pelo COBIT torna transparente a distinção entre governança e gestão, pois estas duas áreas incluem diferentes tipos de atividades, estruturas e, também servem a diferentes propósitos.
A governança garantirá que as necessidades e as condições das partes interessadas sejam avaliadas com o objetivo de determinar as metas corporativas acordadas e equilibradas, enquanto a gestão consistirá em planejar, construir, executar e monitorar as atividades alinhadas com a estratégia definida pela governança, para que os objetivos da organização sejam concretizados.
Os domínios do COBIT
O COBIT é organizado em processos de governança e de gestão. Os processos de governança são cinco e estão organizados em um único domínio. Já os processos de gestão são 32 e estão organizados em quatro domínios (ISACA, 2012).
Os domínios do COBIT são os seguintes:
· Avaliar, Dirigir e Monitorar (EDM): Inclui os processos de governança
· Alinhar, Planejar e Organizar: Inclui processos de gestão
· Construir, Adquirir e Implementar (BAI): Inclui processos de gestão
· Entregar, Serviço e Suporte: Inclui processos de gestão
· Monitorar, Avaliar e Analisar (MEA): Inclui processos de gestão
Os processos de governança
Os processos de governança asseguram que as necessidades, condições e opções das partes interessadas sejam avaliadas para que se determine os objetivos de negócio a serem atingidos.
A governança define a direção da organização por meio da priorização e da tomada de decisão.
Os processos de gestão
Os processos de gestão consistem basicamente em planejar, construir, executar e monitorar todas as atividades que estiverem alinhadas com os objetivos estratégicos estabelecidos pela governança de TI, de modo que os objetivos de negócio da organização sejam atingidos.
Avaliar, Dirigir e Monitorar (EDM)
Este domínio atende a definição de um framework de governança, das responsabilidades em termos de valor para a organização, fatores de risco, recursos e transparência da TI para todas as partes interessadas — Stakeholders.
Os processos do domínio EDM
Os processos de governança deste domínio ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor para a organização, sendo eles:
1 - EDM01 - Garantir a definição e manutenção do modelo de governança
Este processo define tudo que é necessário para analisar e articular os requisitos para a governança corporativa de TI. Também é responsável por colocar em prática e manter estruturas, princípios e processos, com clareza de responsabilidades e autoridade para alcançar a missão, as metas e os objetivos da organização.
2 - EDM02 – Garantir a realização de benefícios
Este processo define tudo que é responsável por otimizar a contribuição de valor para o negócio a partir dos processos de negócios, serviços e ativos de TI resultantes de investimentos realizados pela TI a custos aceitáveis.
3 - EDM03 – Garantir a otimização do risco
Este processo é responsável por assegurar que o apetite e tolerância a riscos da organização sejam compreendidos, articulados e comunicados, e que o risco ao valor da organização relacionado ao uso de TI seja identificado e controlado
4 - EDM04 – Garantir a otimização dos recursos
Este processo é responsável por assegurar que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estarão disponíveis para apoiar os objetivos da organização de forma eficaz e a um custo aceitável.
5 - EDM05 – Garantir transparência para as partes interessadas
Este processo é responsável por assegurar que a medição e os relatórios de desempenho e conformidade da TI corporativa sejam transparentes para que os Stakeholders aprovem as metas, métricas e ações corretivas que se fizerem necessárias.
Modelo de capacidade de processo do COBIT
O COBIT possui um modelo para que a capacidade dos processos de TI de uma organização seja avaliada baseado na norma ISSO/IEC 15504 de engenharia de software (norma que avalia os processos). Este modelo do COBIT atende aos mesmos objetivos gerais de avaliações de processos e suporte de melhoria nos processos. Isso significa que o modelo fornecerá meios para que o desempenho dos processos de governança (baseados no domínio EDM), ou processos de gestão (baseados em PBRM), possa ser medido, e o modelo ainda permitirá que as áreas da organização que necessitam de melhorias possam ser identificadas.
Todos os detalhes do modelo de avaliação da capacidade estão contidos na publicação COBIT – Process Assessment Model (PAM): Using COBIT.
Atenção
Embora a abordagem deste modelo ofereça informações importantes sobre o estado de todos os processos, é importante lembrar que processos fazem parte de apenas um dos sete habilitadores de governança e de gestão. Por consequência, somente o resultado da avaliação dos processos não fornecerá uma visão completa sobre o estado atual de governança da organização.
Para que tenhamos uma visão completa sobre o atual estado de governança da organização, é fundamental que outros habilitadores também sejam avaliados, conforme apresentado na imagem que traz um resumo do modelo de capacidade do COBIT:
Os níveis são os seguintes:
Nível 0 - Processo inexistente
Nível 1 - Processo executado (um atributo)
Nível 2 - Processo gerenciado (dois atributos)
Nível 3 - Processo estabelecido (dois atributos)
Nível 4 - Processo previsível (dois atributos)
Nível 5 - Processo otimizado (dois atributos)
Alinhar, Planejar e Organizar (APO)
O domínio APO diz respeito à identificação de como a TI pode contribuir melhor com os objetivos de negócio. Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.
Os processos do domínio APO
Os processos de gestão deste domínio tratam da forma como a TI pode contribuir de modo eficaz para os objetivos de negócio da organização. O domínio APO inclui, basicamente, os seguintes processos descritos a seguir:
APO01 – Gerenciar a Estrutura de Gestão de TI
Este processo é responsável por esclarecer e pormanter a missão e visão da governança de TI da organização. O processo também é responsável por implementar e manter os mecanismos e autoridades responsáveis por gerenciar a informação e o uso da TI na organização.
APO02 – Gerenciar a Estratégia
Este processo é responsável por fornecer uma visão holística do negócio e do ambiente de TI atual na organização, qual é a direção futura e quais são as iniciativas necessárias para que se torne possível a migração para o ambiente futuro desejado pela organização.
APO03 – Gerenciar a Arquitetura da Organização
Este processo é responsável por estabelecer uma arquitetura comum, que consiste em processos de negócios, informações, dados, aplicações e tecnologia, para que se torne viável a realização de forma eficaz das estratégias de negócio e da TI da organização, por meio da criação de modelos e práticas-chave que descrevem a arquitetura de linha de base.
APO04 – Gerenciar Inovação
Este processo é responsável por manter uma consciência de TI e de tendências de serviços relacionados, identificar as oportunidades de inovação e planejar como se beneficiar da inovação com relação às necessidades do negócio. O processo também influenciará no planejamento estratégico e nas decisões de arquitetura corporativa da organização.
APO05 – Gerenciar Portfólio
Este processo é responsável por executar um conjunto de orientações estratégicas para que os investimentos da organização estejam alinhados com a visão de arquitetura corporativa. As características desejadas do investimento devem considerar as restrições de recursos e de orçamento. O processo também é responsável por avaliar, priorizar programas e serviços, gerenciar demandas dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e riscos existentes na organização. Também serão movidos programas selecionados para o portfólio de serviços, para que ocorra a execução. Haverá o monitoramento do desempenho de todo o portfólio de serviços e programas, propondo qualquer ajuste que se faça necessário, em resposta ao programa e ao desempenho dos serviços ou mudanças de qualquer prioridade existente na organização.
APO06 – Gerenciar Orçamento e Custos
Este processo é responsável por administrar as atividades financeiras e de negócios relacionadas à TI, abrangendo o orçamento, a gestão de custos, os benefícios e a priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação adequada de custos para a organização.
APO07 – Gerenciar Recursos Humanos
Este processo é responsável por fornecer uma abordagem estruturada, de forma a garantir a estruturação ideal, a colocação, os direitos de tomada de decisão e as habilidades dos recursos humanos. Ele também inclui o processo de comunicação dos papéis e responsabilidades definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas da organização.
APO08 – Gerenciar Relacionamentos
Este processo é responsável por gerenciar o relacionamento entre o negócio e a TI de uma maneira formal e transparente, com o objetivo de garantir foco total na concretização dos objetivos comuns de todas as partes interessadas da organização.
APO09 – Gerenciar Contratos de Prestação de Serviços
Este processo é responsável por alinhar os serviços de TI e níveis de serviço com as necessidades e expectativas de todas as partes interessadas da organização. O processo inclui a identificação, a especificação, o projeto, a publicação, os acordos, o acompanhamento de serviços de TI, os níveis de serviço e os indicadores de desempenho.
APO10 – Gerenciar Fornecedores
Este processo é responsável por gerenciar os serviços relacionados a TI prestados por todos os tipos de fornecedores de modo que as necessidades de todas as partes da organização sejam atendidas de forma satisfatória. O processo também inclui a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e a revisão e o monitoramento de desempenho de fornecedores de modo que seja totalmente garantida a efetividade e conformidade de acordo com as expectativas da diretoria executiva e de todas as partes interessadas da organização.
APO11 – Gerenciar Qualidade
Este processo é responsável por definir e comunicar todos os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações, incluindo os controles necessários, o monitoramento contínuo e o uso de práticas eficientes e padrões na melhoria contínua e dos esforços que visam manter os níveis de eficiência desejados pela organização.
APO12 – Gerenciar Riscos
Este processo é responsável por identificar continuamente, avaliar e reduzir os riscos relacionados à TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização.
APO13 – Gerenciar Segurança
Este processo é responsável por definir, operar e monitorar um sistema para a gestão de segurança da informação da organização.
1) Estudamos os principais benefícios que uma organização poderá ter ao fazer o uso do COBIT. Assinale a alternativa que apresenta um destes principais benefícios:
O custo de serviços de TI será otimizado.
2) Qual dos domínios do COBIT inclui os processos de governança?
C) Avaliar, Dirigir e Monitorar (EDM).
MÓDULO 2 - Reconhecer os Domínios BAI (Construir, Adquirir e Implementar) e DSS (Entregar, Serviço, e Suporte)
Construir, Adquirir e Implementar (BAI)
Para que a estratégia de TI seja realizada de modo a atingir os resultados esperados pela organização, e que estes resultados gerados estejam de acordo com as expectativas da diretoria executiva e de todas as partes interessadas da organização, as soluções de TI necessitam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas aos processos de negócio da organização. Além disso, mudanças e a manutenção dos sistemas existentes deverão ser cobertas por este domínio a fim de garantir que as soluções propostas atendam às necessidades de negócio de forma contínua. Este domínio direciona as seguintes questões:
· Os novos projetos trarão as soluções para atender às necessidades de negócio?
· Os novos projetos serão entregues no prazo e dentro do orçamento previsto?
· Os novos sistemas trabalharão adequadamente quando implementados?
· As mudanças serão realizadas sem atrapalhar as operações de negócio atuais?
Os processos do domínio BAI
Os processos de gestão deste domínio são responsáveis por tornar concreta a estratégia de TI, de modo a identificar os requisitos necessários para a TI e gerenciar o programa de investimentos em TI.
Os processos deste domínio são os seguintes:
BAI01 – Gerenciar Programas e Projetos
Processo responsável por gerenciar de forma coordenada todos os programas e projetos do portfólio de investimentos da organização em alinhamento com as necessidades de negócio de todas as partes interessadas e da estratégia da organização. O processo também é responsável por iniciar, planejar, controlar e executar programas e projetos, e por uma revisão pós-implementação, de modo a garantir total qualidade no gerenciamento de programas e projetos da organização.
BAI02 – Gerenciar Definição de Requisitos
Processo é responsável por identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estarão em total conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações, questões de infraestrutura e de serviços. O processo também é responsável por assegurar a coordenação de todas as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, a análise de riscos e aprovação de requisitos e soluções propostas.
BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções
Processo responsável por estabelecer e manter as soluções identificadasem conformidade com os requisitos da organização. Ele inclui o design, desenvolvimento, aquisição e terceirização e a parceria com fornecedores e vendedores. Também é realizada a gestão da configuração, o teste de preparação e outros testes que se façam necessários, manutenção dos requisitos de gestão e dos processos de negócio, controle de aplicações, gestão de dados, gerenciamento de infraestrutura e de serviços da organização.
BAI04 – Gerenciar Disponibilidade e Capacidade
Processo responsável por equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e a capacidade de prestação de serviços de baixo custo da organização. O processo também inclui a avaliação das capacidades atuais, a previsão das necessidades futuras com base em requisitos de negócios, análise de impactos nos negócios e avaliação de riscos a fim de planejar e implementar ações para atender as necessidades identificadas pelas partes interessadas da organização.
BAI05 – Gerenciar Capacidade de Mudança Organizacional
Processo responsável por maximizar a probabilidade de implementar com sucesso uma mudança organizacional que seja de forma sustentável em toda a organização e de forma rápida e com risco reduzido, de modo a cobrir todo o ciclo de vida completo da mudança e de todas as partes interessadas e afetadas no negócio e na TI da organização.
BAI06 – Gerenciar Mudanças
Processo responsável por gerenciar todas as mudanças de maneira controlada, incluindo as mudanças nos padrões existentes e de manutenção de emergências relacionadas com os processos de negócio, aplicações e infraestrutura. O processo também inclui os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios de acompanhamento, as fases de encerramento e de documentação.
BAI07 – Gerenciar Aceitação e Transição da Mudança
Processo responsável por aceitar e produzir formalmente novas soluções operacionais, incluindo o planejamento de implementação do sistema, a conversão de dados, testes de aceitação, o processo de comunicação, a preparação de liberação, a distribuição para produção dos processos de negócios e serviços de TI novos ou alterados, o suporte de produção e uma revisão pós-implementação de modo a garantir total qualidade no aceite e na transição da mudança na organização.
BAI08 – Gerenciar Conhecimento
Processo responsável por manter a disponibilidade de todo o conhecimento relevante para a organização, o conhecimento atual, o conhecimento validado e confiável de modo que todas as atividades do processo sejam suportadas e de modo a facilitar a tomada de decisão. O processo também inclui um plano para a identificação, coleta, organização, manutenção, utilização e extração correta do conhecimento.
BAI09 – Gerenciar Ativos
Processo responsável por gerenciar todos os ativos de TI através do seu ciclo de vida, de modo a assegurar que seu uso agregue valor a um custo ideal dentro da organização. O processo também garante que os ativos permaneçam operacionais e fisicamente protegidos. Também serão mantidos os ativos que são fundamentais para apoiar a disponibilidade e a capacidade dos serviços da organização.
BAI10 – Gerenciar Configuração
Este processo é responsável por definir e por manter as descrições e as relações entre os principais recursos e as capacidades necessárias para que os serviços de TI sejam prestados de forma eficiente. O processo também inclui a coleta de informações de configuração, o estabelecimento das linhas de base, a verificação e a auditoria das informações de configuração e a atualização do repositório de configuração da organização.
Entregar, Serviço e Suporte (DSS)
Este domínio é direcionado para a entrega real dos serviços requeridos, os quais incluem a entrega dos serviços, gestão da segurança e continuidade, serviço de suporte ao usuário e gestão dos dados e equipamentos operacionais. Ele direciona, tipicamente, as seguintes questões:
· Os serviços de TI estão sendo entregues de acordo com as prioridades do negócio?
· Os custos estão otimizados?
· A força de trabalho está habilitada a usar os sistemas de TI de forma produtiva e segura?
· O ambiente de TI é adequadamente confiável, íntegro e está disponível?
Os Processos do Domínio DSS
Os processos de gestão deste domínio se referem à entrega de todos os serviços de TI que são necessários para atender os planos táticos e estratégicos da organização. Os processos deste domínio são os seguintes:
1 - DSS01 – Gerenciar Operações
Este processo é responsável pela coordenação e pela execução de todas as atividades e procedimentos operacionais necessários para que sejam entregues serviços de TI com qualidade, incluindo a execução de procedimentos operacionais, padrões predefinidos e todas as atividades exigidas para garantir total qualidade nas operações da organização.
2 - DSS02 – Gerenciar Solicitações e Incidentes de Serviços
Processo responsável por fornecer uma resposta rápida e eficaz a todos os tipos de solicitações dos usuários da operação e por garantir a resolução eficiente de todos os tipos de incidentes. O processo fornecerá todo o suporte necessário às solicitações dos usuários, registros de solicitações, investigação e diagnóstico necessários, escalonamento e solução de incidentes, de modo que seja garantida total disponibilidade dos serviços da organização.
3 - DSS03 – Gerenciar Problemas
Processo responsável por identificar e classificar os problemas e suas causas e efeitos, de modo a fornecer resolução e prevenção de incidentes recorrentes. O processo também fornecerá todas as recomendações que forem necessárias para que sejam implementadas melhorias nos processos atuais da organização.
4 - DSS04 – Gerenciar Continuidade
Este processo é responsável por estabelecer e manter um plano, de modo a permitir que a TI responda a incidentes e interrupções, a fim de permitir total continuidade na operação de processos críticos de negócios e serviços de TI necessários e manter a disponibilidade de informações em um nível aceitável para a organização.
5 - DSS05 – Gerenciar Serviços de Segurança
Este processo é responsável por manter as informações protegidas da organização e por manter um nível de risco aceitável para a segurança da informação da organização, de acordo com as suas políticas de segurança. Também será garantida a manutenção das funções de segurança da informação, os privilégios de acessos e o monitoramento de segurança da organização.
6 - DSS06 – Gerenciar Controles do Processo de Negócio
Processo responsável por definir e manter os controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas atendam a todos os requisitos de controle de informações relevantes existentes na organização.
1) Qual a principal responsabilidade dos processos de gestão do domínio Construir, Adquirir e Implementar (BAI)?
Os processos de gestão deste domínio são responsáveis por tornar concreta a estratégia de TI, de modo a identificar os requisitos necessários para a TI e gerenciar o programa de investimentos de TI.
2) Qual a principal responsabilidade dos processos de gestão do domínio Entregar, Serviço e Suporte (DSS)?
Os processos de gestão deste domínio dizem respeito à entrega de todos os serviços de TI que são necessários para atender os planos táticos e estratégicos da organização, com foco em uma governança de TI eficiente.
MÓDULO 3 - Reconhecer o domínio MEA (Monitorar, Avaliar e Analisar)
Monitorar, Avaliar e Analisar (MEA)
Todos os processos de TI necessitam ser regularmente avaliados quanto a sua qualidade e conformidade com os requerimentos de controle. Tal domínio direciona a performance da gestão, o monitoramento dos controles internos, as conformidades regulamentares e fornece governança.
Este domínio direciona, tipicamente, as seguintesquestões de gestão:
· As medidas de performance de TI para determinar problemas antecipadamente ocorrem muito tarde?
· A gestão garante que os controles internos sejam efetivos e eficientes?
· A performance de TI pode ser associada aos objetivos de negócio?
· Os riscos, controles, conformidade e performance são medidos e divulgados?
Os processos do domínio MEA
Os processos de gestão deste domínio têm como principal objetivo o de monitoramento de desempenho dos processos de TI, nos quais será avaliado se a execução dos processos está em conformidade com os objetivos e requisitos da organização.
Os processos deste domínio são:
MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade
Este processo é responsável pela coleta, validação e avaliação dos objetivos e métricas do processo de negócios e de TI da organização. Também será realizado o monitoramento a fim de garantir que os processos estão sendo executados conforme as metas, as métricas de desempenho e as conformidades acordadas. O processo também fornecerá informação eficiente e adequada para a organização.
Práticas deste processo:
· Estabelecer uma abordagem de monitoramento;
· Definir metas de desempenho e conformidade;
· Coletar e processar dados de desempenho e conformidade;
· Analisar e reportar desempenho;
· Assegurar a implantação de ações corretivas.
MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno
Este processo é responsável por monitorar e avaliar continuamente o ambiente de controle, incluindo as autoavaliações e análises de avaliações independentes. O processo também permitirá a execução de melhorias por meio de uma gestão eficiente na identificação de ineficiências e deficiências nos controles atuais da organização.
Práticas deste processo:
· Monitorar controles internos;
· Revisar efetividade de controles de processos de negócio;
· Realizar autoavaliações de controles;
· Identificar e reportar deficiências de controles;
· Assegurar que provedores de garantia (auditoria) sejam independentes e qualificados;
· Planejar iniciativas de garantia (auditoria);
· Definir escopo de iniciativas de garantia (auditoria);
· Executar iniciativas de garantia (auditoria).
MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos
Este processo é responsável por avaliar se os processos de TI e de negócios suportados pela TI estão em conformidade com as leis, regulamentos e exigências contratuais. O processo também obterá a garantia de que os requisitos foram identificados e respeitados, e que sejam integrados à conformidade com o cumprimento global da organização.
Práticas deste processo:
· Identificar requisitos de conformidade externos;
· Otimiza resposta a requisitos externos;
· Confirmar conformidade externa;
· Obter garantia de conformidade externa.
A importância do monitoramento
Para que a organização garanta que todos seus recursos sejam utilizados de forma eficiente, o monitoramento de TI é uma ferramenta indispensável para os negócios diretos de uma organização estratégica. A cada dia que passa, as organizações que não utilizam a tecnologia como ferramenta estratégia para impulsionar o seu negócio podem perder o mercado para o concorrente que é extremamente agressivo.
Metas e métricas relacionadas com a TI
O processo MEA01 descreve que devem ser realizadas todas as ações necessárias na organização de coleta, validação e avaliação do negócio, objetivos e métricas de processo e de TI. Os processos que estão sendo executados, de forma que o acordado no desempenho e nos objetivos de conformidade e métricas não esteja sendo atendido, deverão ser monitorados e, por meio do uso de relatórios e indicadores sistêmicos, a alta gestão da organização poderá tomar decisões estratégicas, de modo a definir ações que garantam total conformidade na execução dos processos.
As métricas possuem como objetivo principal o de apoiar a realização dos principais processos da organização relacionados com a TI.
Como exemplo de métricas, podemos citar:
Monitoramento e fiscalização
Como todo processo presente no COBIT, a execução do processo MEA01 é realizada por meio de práticas que estão organizadas nos seguintes subprocessos:
MEA01.01: Estabelecer uma abordagem para o monitoramento e fiscalização: este subprocesso tem como objetivo garantir o envolvimento de todas as partes interessadasda organização para que se estabeleça e se mantenha uma abordagem de monitoramento e de fiscalização, de modo a atingir os objetivos estratégicos da organização.
MEA01.02: Conjunto de desempenho e de metas da conformidade: este subprocesso fornece um conjunto de desempenho e de metas para cada métrica de monitoramento e fiscalização que for determinada pela organização.
MEA01.03: Recolher e processar dados de desempenho e de conformidade: este subprocesso é responsável por fornecer os mecanismos necessários para que se colete e se processe os dados de desempenho e de conformidade de cada métrica de monitoramento e fiscalização que for determinada pela organização.
MEA01.04: Analisar e reportar o desempenho: este subprocesso é responsável por analisar e reportar o desempenho das métricas de monitoramento e fiscalização que foram determinadas pela organização. O reporte do desempenho deve ser claro e objetivo, de modo a atender às necessidades das partes interessadas da organização.
MEA01.05: Garantir a aplicação de todas as ações corretivas que se fizerem necessárias: este subprocesso garante que todas as ações corretivas identificadas nos subprocessos anteriores sejam aplicadas nos processos da organização, de modo a desenvolver um ciclo de melhoria contínua.
O subprocesso MEA01.01, que estabelece uma abordagem para o monitoramento e fiscalização, é considerado uma das práticas que busca o envolvimento de todas as partes interessadas com o objetivo de estabelecer e manter uma abordagem de monitoramento capaz de definir os objetivos, escopo e método, com a intenção de medir a solução de negócios e de realizar a entrega de serviços que possam contribuir de forma efetiva e estratégica para a organização.
Esta abordagem deve ser integrada com o desempenho do sistema de gestão corporativo da organização.
As atividades desta prática são as seguintes:
Identificar as partes interessadas, como, por exemplo, os responsáveis pela gestão de processos e usuários de negócio.
Envolver-se com as partes interessadas e comunicar os requisitos empresariais e objetivos de monitoração, agregação, baselines, benchmarking e relatórios, usando definições comuns, como, por exemplo, glossário da organização, metadados e taxonomia (classificação e relações entre os objetivos e métricas).
Alinhar tudo que for necessário e, de forma contínua, manter a abordagem de monitoramento e avaliação com o método empresarial e as ferramentas que serão utilizadas para o levantamento das informações e de relatórios corporativos, como, por exemplo, aplicações de BI – Business Intelligence.
Entrar em acordo sobre as metas e métricas, como, por exemplo, conformidade, desempenho, valores e riscos. Também estão incluídos taxonomia e dados (evidências) de retenção.
Acordar com um gerenciamento do ciclo de vida e mudar o controle de vigilância e de informação. Também estão incluídas oportunidade de melhoria, como, por exemplo, em relatórios gerenciais, métricas de gestão e baselines
Requerer, priorizar e alocar todos os recursos necessários para o monitoramento efetivo. Deve se considerar adequação, eficácia, eficiência e confidencialidade das informações.
Avaliar periodicamente a abordagem utilizada e identificar todas as novas partes interessadas, novos requisitos de negócio e novos recursos que se façam necessários.
1) Estudamos conceitos importantes sobre o domínio Monitorar, Avaliar e Analisar (MEA). Dentre as questões que são direcionadas por este domínio, podemos citar:
A gestão garante que os controles internos sejam efetivos e eficientes?
2) Qual o processo do domínio Monitorar, Avaliar e Analisar (MEA) que é responsável pela coleta, validação e avaliaçãodos objetivos e métricas do processo de negócios e de TI da organização?
MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade.
Tema 5 - Migração do Cobit Para a Versão 2019
MÓDULO 1: Reconhecer os benefícios da nova versão
Entendendo a governança de TI
A governança de TI é fundamental para que ocorra o alinhamento dos serviços de TI com as necessidades de negócio de uma organização. É de extrema importância que os objetivos de TI e de negócio sejam alcançados.
A governança está relacionada ao valor obtido dos investimentos de TI e aos resultados destes investimentos gerados por meio de uma gestão ativa e eficaz.
Sem uma organização eficaz, o valor gerado pelos negócios da organização é extremamente limitado e o risco associado à TI é muito alto. Atualmente existem diversos modelos — frameworks — de governança que auxiliam as organizações a alcançarem o devido alinhamento entre a TI e a área de negócio. Tal alinhamento é fundamental para que a organização seja eficiente em termos de governança. Esses frameworks apoiam as organizações a implementarem uma estrutura eficaz. Esta ajudará a organização a mitigar, de forma eficiente, seus riscos, aumentando seu valor comercial e atingindo todos os objetivos de negócio desejados vinculados à TI.
Dentre os frameworks mais populares para a governança de TI, podemos citar o ITIL – Biblioteca de Infraestrutura de Tecnologia da Informação, o COBIT e a ISO 27002. O principal objetivo da biblioteca ITIL é a melhoria na qualidade dos serviços de TI de uma organização, por meio de uma gestão com foco total no cliente. Já a ISO 27002 tem como principal objetivo o fornecimento de um conjunto completo de controles que auxiliam a organização na aplicação de um sistema de gestão da segurança da informação (GSI). Todos os três frameworks são amplamente reconhecidos, e são cada vez mais utilizados, por organizações que buscam a excelência em termos de governança de TI.
O COBIT
O COBIT – Objetivos de Controle para a Informação e Tecnologia relacionada ou Control Objectives for Information and related Technology — apoia as organizações a alcançarem as múltiplas necessidades da administração, por meio da superação dos espaços entre riscos de negócio, necessidades de controle e aspectos técnicos.
O COBIT é uma publicação elaborada pela ISACA, que anteriormente era conhecida como Information Systems Audit and Control Association, e, atualmente, é conhecido somente por sua sigla.
A ISACA é uma entidade sem fins lucrativos, fundada em 1969, e reconhecida mundialmente por fornecer conhecimento, certificações, ações de comunidade, advocacia e treinamento em garantia e segurança de sistemas de informação (SI), governança corporativa e gestão de TI.
O COBIT foi desenvolvido como um recurso educacional para profissionais de TI da organização. É uma obra que não garante se seu uso, parcial ou total, impactará em resultados positivos e diretos para a organização, uma vez que a utilização do COBIT deve ser adequada por meio do julgamento do profissional — mediante as circunstâncias de segurança, risco, garantia e governança de TI apresentadas pelos sistemas ou ambientes de tecnologia da informação específicos.
Objetivos do COBIT
O principal objetivo do COBIT é proporcionar boas práticas para a organização, por meio de um modelo de domínio e processos, em uma estrutura lógica e gerenciável. Boas práticas do COBIT significam o consenso entre os especialistas, pois estas apoiarão a organização a otimizar seus investimentos em informações e também fornecerão uma medida de comparação quando os resultados não forem satisfatórios.
As características do COBIT
O COBIT foi criado tendo como principais características:
· Possuir foco no negócio da organização.
· Ser totalmente orientado a processos.
· Fazer uso de controles.
· Ser totalmente direcionado por métricas.
· Ser suportado por ferramentas e treinamentos.
Os benefícios do COBIT para a organização
São diversos os benefícios que uma organização poderá ter ao fazer uso do COBIT, entre os principais benefícios podemos citar:
· Haverá uma melhora na qualidade das informações de modo a suportar com mais eficácia as decisões de negócios.
· Agregação de valor aos investimentos de TI, de modo a atingir e superar as metas estratégicas, e entregar benefícios de negócio por meio eficaz do uso da TI.
· A organização atingirá um nível de excelência operacional por meio de aplicações confiáveis e eficientes.
· Todos os riscos relacionados com a TI serão mantidos em níveis aceitáveis.
· O custo de serviços de TI será otimizado.
· A organização estará em total conformidade com leis, acordos contratuais, políticas internas e externas, e regulamentos.
· Os requisitos regulatórios como a Sarbanes-Oxley (SOx) e a Basileia III serão atendidos. A SOx foi sancionada pelo congresso dos Estados Unidos e define por lei diversas medidas de boas práticas de governança corporativa. A Basileia III é um acordo que surgiu como resposta às principais vulnerabilidades apresentadas pelo setor bancário no Brasil, durante a crise financeira de 2008.
· O COBIT possui aceitação internacional como framework de modelo para a governança de TI e sempre está em desenvolvimento contínuo.
A evolução do COBIT
A primeira versão do COBIT foi lançada em 1996 e, inicialmente, foi projetada como um conjunto de objetivos de controle de TI. O intuito era de apoiar a comunidade de auditoria financeira a explorar melhor os novos recursos tecnológicos, que surgiram devido ao crescimento dos ambientes de tecnologia da informação. Vejamos toda a história do framework COBIT.
1996
Primeira versão do COBIT lançada.
1998
A ISACA publicou a versão 2 do COBIT, que expandiu a metodologia com o objetivo de ampliar as práticas para outras áreas, e não somente para dentro da comunidade de auditoria. A versão 2 adicionou controle ao seu framework.
2000
A ISACA publicou a versão 3 do COBIT, incluindo também as técnicas de controle de informações e de gerenciamento de TI, que fazem parte da versão do modelo – framework atual.
2005
O COBIT 4.0 se tornou a quarta edição de uma série de lançamentos do COBIT.
2007
Foi publicada a versão 4.1 do COBIT. Estas atualizações mais recentes tiveram como propósito principal a inclusão de mais informações sobre área de governança em torno das tecnologias da informação e de comunicação.
2012
O COBIT 5 integrou os frameworks COBIT 4.1, Val IT 2.0 – Value from IT Investments e Risk IT e utilizou os frameworks de garantia de TI (ITAF) e o modelo de negócios para segurança da informação (BMIS) da ISACA. O Val IT é um framework que habilita a criação de valor de negócios sobre os investimentos de TI. Já o Risk IT é um framework baseado em um conjunto de princípios para o gerenciamento efetivo dos riscos de TI. O COBIT 5 também é coordenado com frameworks e padrões tais como ITIL, ISO, PMBOK, PRINCE2 e TOGAF.
2018
A ISACA anunciou uma publicação atualizada do COBIT que incluiu fatores de design e áreas de foco, para torná-lo mais prático e customizável. O número da versão foi descartado e a publicação atualizada foi nomeada para COBIT 2019. A versão 2019 foi projetada para evoluir, de forma contínua, e com atualizações mais constantes. O principal objetivo é que se definam estratégias mais flexíveis de governança de TI, mais voltadas para a colaboração e para o uso de tecnologias mais recentes.
Os benefícios da nova versão do COBIT
São diversos os benefícios que a ISACA adicionou no COBIT 2019, entre os principais benefícios podemos citar:
· Alinhamento: Um melhor alinhamento do COBIT com os novos padrões de mercado, novas estruturas e melhores práticas globais.
· Atualização: As atualizações e avanços são contínuos na nova versão.
· Feedback: A nova versão do COBIT incentiva o feedback e a melhoria contínua.
· Estratégia: Com uma abordagem totalmente flexível da nova versão das práticas de governança de TI, as organizações podem adaptar uma estratégia de TI que melhor se adapte às suas necessidades e o framework oferece orientações aprimoradas de como fazeresta adaptação.
· Clareza: A nova versão do COBIT possui maior clareza sobre a real necessidade das organizações no que se refere a um sistema robusto de governança de TI.
· Integração: A nova versão do COBIT funciona muito bem trabalhando com outras estruturas de mercado, como, por exemplo, ITIL, ISO/IEC 2000 e CMMI – Modelo de Capacidade e Maturidade Integrado (Capability Maturity Model Integration ) —, com as atividades do processo atribuídas a um nível de capacidade. O CMMI é um conjunto de práticas que orienta a implementação de uma série de atividades, tendo como principal objetivo o atingimento das metas preestabelecidas pela organização, aumentando a maturidade organizacional e apoiando a organização a obter os resultados esperados pela área de TI. As práticas do COBIT auxiliam o aprimoramento do nível de maturidade e de melhores práticas de outros padrões.
· Suporte: A nova versão do COBIT possui suporte total à conformidade regulamentar com exigências de governos e autoridades.
· Desempenho: O COBIT 2019 apoia o alinhamento integral das estruturas atuais com a estratégia geral da organização e monitora o desempenho da organização de forma eficiente.
· Resultados: A nova versão do COBIT alinha totalmente a área de TI com as metas estratégicas da organização para que melhores resultados sejam alcançados de modo a agregar mais valor para a organização e reduzir o seu risco comercial.
1. Estudamos que o COBIT oferece diversos benefícios para uma organização. Assinale a alternativa que apresenta alguns desses benefícios:
Agregação de valor aos investimentos de TI de modo a atingir e superar as metas estratégicas, e entregar benefícios de negócio por meio eficaz do uso da TI. Além disso, o custo de serviços de TI será otimizado.
2. Estudamos a evolução do COBIT e suas diversas versões na linha do tempo. Assinale a alternativa que apresenta um dos principais benefícios da versão 2019 do COBIT:
A nova versão do COBIT oferece uma abordagem totalmente flexível com as práticas de governança de TI.
MÓDULO 2: Identificar os novos processos
Uma introdução sobre as diferenças entre o COBIT 5 e o COBIT 2019
Basicamente o COBIT 2019 possui os mesmos cinco domínios de governança e de gerenciamento que já existiam no COBIT 5, sendo eles:
No entanto, embora o conteúdo das duas versões permaneça semelhante, a estrutura do COBIT 2019 agora abrange quarenta objetivos de governança e de gerenciamento, que anteriormente eram tratados como processos, com o objetivo de se estabelecer uma estratégia de governança.
Na nova versão também está disponível um novo método para gerenciar os dados. Estes quarenta objetivos da nova versão são conhecidos como o modelo principal do COBIT no COBIT 2019.
O framework revisado da nova versão do COBIT é totalmente flexível e atende eficientemente as organizações atuais, que possuem processos modernos e dinâmicos, tecnologias de ponta e requisitos de segurança cada vez mais rígidos.
O COBIT 2019 garante que a governança de TI não seja apenas uma responsabilidade da área de TI, mas da organização como um todo.
O COBIT 2019 fornece novos objetivos, como, por exemplo, processos de dados, projetos e conformidades, assim como orientações totalmente associadas a outros padrões e frameworks de mercado. Também são oferecidas associações totalmente atualizadas aos padrões, diretrizes e regulamentos, além de melhores práticas.
A nova versão do COBIT não somente fornece um sistema de como implementar um sistema de governança, mas também orienta totalmente a organização de como o COBIT deverá ser mantido: com processos, estruturas, políticas e procedimentos, fluxo de informações e componentes de infraestrutura.
Os componentes do COBIT 2019
O COBIT 2019 possui uma ênfase maior no gerenciamento de riscos, gerenciamento de informações e de segurança. Também são disponibilizadas atualizações de segurança cibernética e de privacidade.
A imagem a seguir apresenta os componentes disponíveis no COBIT 2019:
O COBIT 2019 inclui diversos componentes. Primeiro, um guia (Introdução e Metodologia) que descreve os princípios básicos do COBIT e a estrutura do framework.
Inclui também um guia adicional (Governança e Objetivos de Gerenciamento) que explica os quarenta objetivos de governança e gerenciamento do modelo principal do COBIT 2019. São descritos como os objetivos podem ser utilizados para apoiar as organizações, de modo que suas metas de negócio sejam concretizadas. Também estão associadas áreas de foco, como: DEVOPS, SME (Small and Medium-size Enterprises — Pequenas e médias empresas), riscos e segurança.
Todos esses componentes utilizados em conjunto servem para apoiar eficientemente as organizações, de modo que sejam desenvolvidos a melhor estratégia e um sistema mais adequado às organizações.
O que busca aprimorar o COBIT 2019?
Conforme estamos estudando, o COBIT 2019 é uma evolução do COBIT 5, e inclui o que há de novo em relação aos desenvolvimentos mais recentes que impactam diretamente nas informações e nas tecnologias das organizações. Além da estrutura do COBIT 2019 ter sido atualizada, esta nova versão oferece ainda mais recursos de implementação, de orientações práticas e de insights para as organizações.
A nova versão do COBIT oferece maior flexibilidade e é totalmente customizável, visando sempre aprimorar o seguinte:
· Introdução de novos conceitos, como, por exemplo, áreas de foco e fatores de design. A nova versão permite que se adicionem orientações específicas, com o objetivo de adaptar um sistema de governança para as necessidades reais das organizações.
· Total alinhamento ao que existe de mais inovador, em termos de melhores padrões, estruturas e práticas globais.
· Fornece um modelo de “código aberto”, no qual é permitido que a comunidade global de governança possa atualizar o modelo atual com informações futuras. Esta comunidade também fornecerá feedback e o compartilhamento de aplicativos, tornando possível a ocorrência de aprimoramento da estrutura e dos produtos derivados em tempo real, com as novas evoluções do COBIT publicadas de forma contínua.
· Novas orientações e ferramentas de suporte que visam auxiliar o desenvolvimento de um sistema de governança mais adequado e aderente às necessidades reais das organizações.
O que há de novo no COBIT 2019?
O COBIT 2019, sendo uma evolução do COBIT 5, fornece novos conceitos, objetivos e componentes, que o torna mais estratégico e customizável para os diferentes tipos e necessidades das organizações atuais, sendo eles:
· O conceito de objetivos de governança e de gerenciamento.
· Três objetivos adicionais de gerenciamento, sendo eles: APO14 – Dados Gerenciados; BAI11 - Projetos Gerenciados; MEA04 - Garantia Gerenciada.
· O conceito de área de foco, o que torna o COBIT 2019 mais flexível e prático para as organizações. As áreas de foco são as seguintes: 
· DEVOPS: O DEVOPS é uma abordagem cada vez mais comum para o desenvolvimento ágil de software, no qual os desenvolvedores e as equipes de operações a usam para criar, testar, implantar e monitorar aplicações com velocidade, qualidade e controle. O DEVOPS é relevante para qualquer tipo de projeto de software, independentemente da arquitetura, plataforma ou do propósito. Os casos de usos mais comuns incluem: aplicativos móveis e nativos na nuvem, integração de aplicações e modernização e gerenciamento da nuvem.
· SME(Small and medium-size enterprises - Pequenas e médias empresas): Indica que o COBIT pode ser totalmente customizado para organizações de pequeno e de médio porte, por meio de processos mais enxutos e de acordo com a realidade da organização.
· Riscos: Um foco nas melhores práticas de gerenciamento de riscos da atualidade.
· Segurança: Um foco nas melhores práticas de segurança da informação de modo a satisfazer todas as questões regulatórias.
· O conceito de “Design Factor”, o que permite ao COBIT 2019 a construção de sistemas de governança mais adaptados para as reais necessidades dos diferentes tipos de organizações.
· A avaliação da capacidade do processo combase na abordagem do modelo de maturidade CMMI.
· O Guia de Design do COBIT 2019.
O que foi atualizado no COBIT 2019?
As principais atualizações do COBIT 2019 foram as seguintes:
· A cascata dos objetivos.
· Orientação totalmente relacionada ao processo (práticas e atividades) para a maioria dos processos do COBIT.
· Referência cruzada dos diversos padrões.
· Alteração no Guia de Implementação do COBIT para funcionar em conjunto com o seu Guia de Design
· O modelo do COBIT 2019 agora possui 40 objetivos de gerenciamento de governança (processos), substituindo os 37 processos existentes atualmente no COBIT 5.
· Cenários de risco totalmente relacionados à TI.
O quadro abaixo representa uma visão macro das principais diferenças entre o COBIT 5 e o COBIT 2019:
O que foi removido do COBIT 2019?
Os principais itens que foram removidos do COBIT 2019 são:
· Modelo de capacitor genérico: Estruturas semelhantes ainda farão parte da nova versão do COBIT, mas permanecem ocultas, e desta forma, tornam o COBIT menos complexo.
· O guia do facilitador – Enabler: Este guia foi removido com o objetivo de simplificar a nova versão do COBIT.
· Objetivos do processo: O papel dos objetivos do processo foi assumido pelas declarações de práticas do processo.
· O modelo de avaliação de processo (Process Assessment Model – PAM ) do COBIT 5 e a ISO 15504: Na nova versão do COBIT, estes itens foram substituídos por um modelo de capacidade inspirado no CMMI.
O que foi alterado ou renomeado no COBIT 2019?
Os principais itens que foram alterados ou renomeados no COBIT 2019 foram os seguintes:
· Os facilitadores foram renomeados como “componentes do sistema de governança” e, dessa forma, expressam melhor seus reais objetivos na nova versão.
· Os princípios do COBIT para os sistemas de governança e as estruturas de governança foram alterados e renomeados na nova versão.
· As metas relacionadas à TI foram renomeadas para “Metas de alinhamento” na nova versão.
· A estrutura de orientação do processo na nova versão é agora estruturada como “objetivos de governança e de gerenciamento”, e a orientação do processo é apenas parte desta estrutura, complementada por outros componentes de governança.
Dados Gerenciados (AP014)
O principal propósito deste objetivo é o de garantir a utilização eficaz dos ativos críticos para que as metas e os objetivos da organização sejam atingidos.
Este objetivo possui como práticas de gerenciamento os seguintes subprocessos:
APO14.01 - Definir e comunicar a estratégia de gerenciamento de dados da organização, funções e responsabilidades
Responsável por definir como gerenciar e melhorar os ativos da organização, de acordo com sua estratégia e seus objetivos. É de responsabilidade deste processo a comunicação da estratégia de gerenciamento de dados para todas as partes interessadas da organização. Também é sua característica a atribuição de funções e responsabilidades para todas as partes envolvidas, de modo a garantir que os dados corporativos sejam gerenciados como ativos críticos, e que a estratégia de gerenciamento de dados seja implementada e mantida de maneira eficaz e sustentável.
APO14.02 - Definir e manter um glossário de negócios consistente
Responsável por criar, aprovar, atualizar e promover termos de negócios consistentes e definições para promover o uso de compartilhamento de dados em toda a organização.
APO14.03 - Estabelecer os processos e infraestrutura para gerenciamento de metadados
Responsável por estabelecer os processos e a infraestrutura para especificar e estender os metadados sobre os ativos da organização, promovendo e suportando o compartilhamento de dados, garantindo o uso compatível de dados, melhorando a capacidade de respostas às mudanças de negócios e reduzindo os riscos relacionados aos dados.
APO14.04 - Definir uma estratégia de qualidade de dados
Responsável por definir uma estratégia integrada em toda a organização, de modo a atingir e manter o nível da qualidade dos dados necessários para apoiar as metas e os objetivos de negócios da organização, como, por exemplo, complexidade, integridade, precisão, completude, validade, rastreabilidade e pontualidade.
APO14.05 - Estabelecer metodologias, processos e ferramentas de criação de perfil de dados
Responsável por implementar metodologias, processos, práticas, ferramentas e modelos de perfis de dados padronizados que podem ser aplicados em vários repositórios e armazenamento de dados da organização.
APO14.06 - Garanta uma abordagem de avaliação da qualidade dos dados
Responsável por fornecer uma abordagem sistemática, com o objetivo de medir e avaliar a qualidade dos dados, com processos e técnicas em relação às regras exigidas de qualidade de dados.
APO14.07 - Definir a abordagem de limpeza de dados
Responsável por definir os mecanismos, as regras, processos e métodos necessários para avaliar e corrigir os dados, de acordo com as regras de negócios predefinidas pela organização.
APO14.08 - Gerenciar o ciclo de vida dos ativos de dados
Responsável por certificar que a organização entenda, mapeie, faça o inventário e o controle do seu fluxo de dados por meio de processos de negócio ao longo do ciclo de vida dos dados, desde a criação ou aquisição até o arquivamento.
APO14.09 - Suportar o arquivamento e a retenção de dados
Responsável por certificar que a manutenção de dados atenda aos requisitos organizacionais e regulatórios de disponibilidade de dados históricos. Também é certificado que todos os requisitos legais e regulamentares para o arquivamento e a retenção de dados sejam atendidos.
APO14.10 - Gerenciar backup de dados e arranjos de restauração
Responsável por gerenciar a disponibilidade de dados críticos de forma a garantir a continuidade operacional da organização.
Projetos Gerenciados (BAI11)
Os principais propósitos deste objetivo são:
· Garantir o resultado dos projetos conforme definido.
· Reduzir o risco de atrasos inesperados nos projetos.
· Garantir que os projetos sejam realizados dentro dos custos esperados, melhorando a comunicação e o envolvimento da área de negócio e dos usuários finais.
Projetos Gerenciados também visa garantir o valor e a qualidade dos resultados dos projetos, maximizando a contribuição dos projetos para os programas definidos e o portfólio de investimentos.
Esse objetivo possui como práticas de gerenciamento os seguintes subprocessos:
· BAI11.01 - Manter uma abordagem padrão para a gestão de projetos
· BAI11.02 – Iniciar (pré-projeto) e iniciar um projeto
· BAI11.03 - Gerenciar o engajamento das partes interessadas
· BAI11.04 - Desenvolver e manter o plano do projeto
· BAI11.05 - Gerenciar a qualidade do projeto
· BAI11.06 - Gerenciar o risco do projeto
· BAI11.07 - Monitorar e controlar projetos
· BAI11.08 - Gerenciar recursos de projeto e pacotes de trabalho
· BAI11.09 - Fechar um projeto ou iteração
Garantia Gerenciada (MEA04)
Os principais propósitos deste objetivo são planejar, definir o escopo e executar todas as iniciativas de garantia, de modo a atender aos requisitos internos, às leis, aos regulamentos e objetivos estratégicos da organização.
Este processo permite que a administração forneça uma garantia adequada e sustentável para a organização, realizando análises e atividades de garantia independentes. O objetivo também é responsável por capacitar a organização a projetar e a desenvolver iniciativas de garantia que sejam eficientes e eficazes, por meio de um roteiro baseado em abordagens de garantia aceitáveis. Isso de modo a fornecer uma orientação sobre planejamento, definição do escopo, execução e acompanhamento de revisões de garantia.
1. Estudamos as mudanças que ocorreram na atualização da versão 5 do COBIT para a versão COBIT 2019. Assinale a alternativa que descreve os três objetivos adicionais de gerenciamento que foram incluídos no COBIT 2019:
AP014 – Dados Gerenciados, BAI11 – Projetos Gerenciados e MEA04 – Garantia Gerenciada.
2. Qual subprocesso do domínio APO (Alinhar, Planejar e Organizar) é responsável por promover o uso compartilhado de dados consistentesa partir desses pensamentos. Uma mudança-chave foi o conceito dos habilitadores, definidos como fatores que individual e coletivamente influenciam a forma de como algo irá funcionar – neste caso, a governança e o gerenciamento sobre a TI.
Sete são as categorias de habilitadores, das quais os processos, as estruturas organizacionais, e a conduta ética e o comportamento estão intimamente relacionados ao conceito de sistemas organizacionais.
O Cobit 5 complementa, então, esses pensamentos orientados a sistemas organizacionais com outras importantes habilidades, que incluem:
· Princípios
· Políticas e frameworks
· Informação
· Serviços
· Infraestrutura e aplicações
· Pessoas
· Habilidades e competência
Princípio 3 – Sistema de governança dinâmico
Este princípio descreve que um sistema de governança deve ser dinâmico; cada vez que fatores do projeto são alterados, o impacto dessas mudanças no sistema deve ser considerado.
O alinhamento em alto nível do Cobit 5 com outros padrões e frameworks relevantes serve como um framework abrangente para a governança empresarial de TI.
Nessa abordagem ampla, o Cobit 2019 identifica um conjunto de habilitadores da governança e do gerenciamento de 40 processos.
Na camada de governança, há cinco processos agrupados no domínio avaliar, direcionar e monitorar. Estes processos ditam as responsabilidades da alta direção para avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor. São eles:
a. a definição de um framework de governança;
b. o estabelecimento das responsabilidades em termos de valor para a organização;
c. fatores de risco;
d. recursos;
e. transparência da TI para as partes interessadas (stakeholders).
A camada de gerenciamento é definida por quatro domínios:
a. alinhar, planejar e organizar;
b. construir, adquirir e implementar;
c. entregar, servir e suportar;
d. monitorar, avaliar e analisar.
A seguir estão mais detalhes sobre cada domínio da camada de gerenciamento.
Alinhar, planejar e organizar: Fornece orientação para o planejamento de aquisição, inclusive planejamento de investimentos, gestão de riscos, planejamento de programas e projetos, bem como planejamento da qualidade.
Construir, adquirir e implementar: Fornece orientação sobre os processos necessários para adquirir e implementar soluções de TI, cobrindo a definição de requisitos, identificação de soluções viáveis, preparação da documentação, e treinamento e capacitação dos usuários nas operações para execução dos novos sistemas. Além disso, é fornecida orientação para assegurar que as soluções sejam testadas e controladas adequadamente, conforme a mudança aplicada à operação do negócio da organização e ao ambiente de TI.
Entregar serviço e suporte: Gerenciar operações, solicitações e incidentes de serviços, problemas; gerenciar continuidade, serviços de segurança e controles do processo de negócio.
Monitorar, avaliar e analisar: Inclui orientação sobre como a diretoria pode monitorar o processo de aquisição e controles internos para assegurar que as aquisições sejam gerenciadas e executadas adequadamente.
Princípio 4 – Diferencia governança de gestão
Este princípio consiste na distinção entre a governança e o gerenciamento. O Cobit 5 declara pela primeira vez que os processos de governança de TI e de gerenciamento de TI referem-se a diferentes tipos de atividades. Os processos de gerenciamento de TI asseguram que os objetivos da empresa sejam atingidos por meio da avaliação das necessidades das partes interessadas, definindo a direção a partir da priorização e tomada de decisão e monitorando o desempenho, a conformidade e o progresso com relação aos planos.
Nas empresas, a governança de TI pode ser de responsabilidade do corpo de diretores ou algo equivalente. Com base nessas atividades de governança, o gerenciamento de TI e negócio planeja, constrói, executa e monitora atividades alinhadas com a direção definida pelo corpo de governança, para atingir os objetivos propostos.
Princípio 5 – Adaptado às necessidades da empresa
Um sistema de governança deve ser adaptado às necessidades da empresa, usando um conjunto de fatores de design como parâmetro para personalizar e priorizar os componentes do sistema de governança. A empresa varia de tamanho, localidade, geografia.
Princípio 6 – Sistema de governança fim a fim
Este princípio considera que o Cobit 5 cobre todas as funções e os processos de uma organização; não foca somente na função de TI, mas trata a informação e as tecnologias relacionadas como ativos que precisam ser considerados como qualquer outro ativo da organização.
Ter o foco na organização como um todo, de ponta a ponta, implica uma mudança crucial na filosofia dos gestores de TI e de negócio. O princípio 6 compreende uma mudança do gerenciamento de TI como um custo, para o gerenciamento de TI como um ativo. Essa mudança é um elemento essencial na criação de valor ao negócio.
O Cobit cobre as responsabilidades de TI e de negócios relacionados à tecnologia da informação.
Como demonstração, o Cobit 5 fornece matrizes de responsabilidades (RACI) para seus processos, incluindo papéis de TI e negócio. 
A matriz RACI é uma ferramenta que possibilita aos membros da equipe a visualização de suas responsabilidades no ciclo de vida do projeto.
RACI significa:
R
=responsible
(em português: responsável)
A
=accountable
(em português: autoridade)
C
=consulted
(em português: consultado)
I
=informed
(em português: informado)
R (Responsible/Responsável)
O grupo de pessoas (ou o indivíduo) responsável pela execução, pelo desenvolvimento, pela conclusão e pela entrega da atividade. Seria o time de entrega do projeto.
A (Accountable/Autoridade)
Corresponde à parte que tem autoridade para organizar a tarefa, acompanhar seu desenvolvimento e aceitar ou recusar formalmente uma entrega. O papel do Accountable é o do aprovador, que será cobrado caso algo se desvie do esperado. Por isso, só deve haver uma autoridade por tarefa e, mesmo se essa pessoa delegar a responsabilidade pela aprovação de um entregável para outra, será ela quem responderá pelo aceite daquela entrega.
C (Consulted/Consultado)
São todos aqueles que podem dar dicas, opiniões e sugestões para melhorar o desenvolvimento da atividade ou aperfeiçoar o entregável. Essas pessoas possuem o dever de responder aos questionamentos do responsável (Responsible), enquanto este último deve solicitar o envolvimento delas para agregar valor ou tirar dúvidas sobre a tarefa que está sendo executada.
I (Informed/Informado)
São todas as pessoas que precisam receber a informação sobre a conclusão e o início de uma atividade (ou até de uma entrega) que gere uma mudança impactante em seu cotidiano. Neste grupo estão: usuários-chave, colegas de projeto, gestor ou interessados diretamente no projeto.
O Cobit 2019 incluiu três princípios subjacentes:
1. Baseado em modelo conceitual
Uma estrutura de governança deve se fundamentar em um modelo conceitual, identificando os principais componentes – e os relacionamentos entre os componentes –, para maximizar a consistência e permitir a automação.
2. Aberto e flexível
Uma estrutura de governança deve ser aberta e flexível, permitindo a adição de novos conteúdos e a capacidade de abordar novos problemas de maneira mais aberta, mantendo a integridade e a consistência.
3. Alinhado com a maioria dos padrões
Uma estrutura de governança deve se alinhar aos principais padrões, estruturas e regulamentos relacionados que sejam relevantes.
1. (QConcursos - Concurso: Tribunal Regional Eleitoral da Bahia ) Com base em uma série de princípios, o Cobit 5 fornece os processos e habilitadores necessários à criação de valor para a organização. Nesse sentido, a interligação entre os objetivos corporativos de alto nível e os objetivos específicos de TI, ambos alcançados mediante o uso e a execução otimizados de todos os habilitadores e processos, corresponde ao princípio segundo o qual se deve:
Resposta: Atender às partes interessadas.
2. (Gran Cursos Questões - Concurso: Tribunal Regional Federal daem toda a organização?
APO14.02 – Definir e manter um glossário de negócios consistente.
MÓDULO 3: Reconhecer os guias do COBIT 2019
Conceitos-chaves do COBIT
A imagem a seguir apresenta os conceitos-chave do COBIT 2019:
Princípios (Principles )
Os princípios do COBIT são uma base importante para a estrutura do COBIT 2019, pois são valores que orientam o comportamento ou a avaliação. Os princípios formam a base de nossas interações e nosso comportamento, da mesma forma ocorre com o sistema de governança.
Objetivos de governança e de gestão (Governance and Management Objectives )
Um objetivo de governança ou de gestão sempre está relacionado a um processo e a uma série de componentes relacionados de outros tipos, de forma a contribuir para que os objetivos sejam atingidos. A gestão executiva da organização normalmente é responsável pelos objetivos de governança, enquanto os objetivos de gestão são de domínio da alta e média gestão dentro de uma organização.
Cascata de metas (Goals Cascade)
Para apoiar as organizações a atenderem às necessidades de negócio das partes interessadas, o COBIT 2019 usa o conceito de Goals Cascade, por meio do qual as necessidades de negócio das partes interessadas são “cascateadas” para os objetivos estratégicos da organização.
Componentes de um sistema de governança (Components of a Governance System )
Cada sistema de governança da organização é construído a partir de um número de componentes, cada componente pode ser de diferente tipo e estes componentes irão interagir entre si. Dessa forma, resultando em um sistema de governança holístico para a TI.
Áreas de foco (Focus Areas )
Uma área de foco descreve um certo tópico de governança, domínio ou problema que pode ser endereçado por uma coleção de objetivos de governança e de gestão e seus componentes.
Fatores de Design (Design Factors )
Fatores de design definem a forma como o sistema de governança da organização deve ser projetado.
Princípios básicos do COBIT
O COBIT 2019 se baseia nos seguintes conjuntos de princípios:
· Princípios que se relacionam com os requisitos essenciais de um sistema de governança para a TI.
· Princípios para construir um sistema de governança para a organização.
Existem seis princípios de sistema de governança e três princípios do framework de governança no COBIT 2019. Os princípios de governança garantem a avaliação das partes interessadas da organização, conforme os objetivos organizacionais. Os princípios também definem a direção por meio da priorização e da tomada de decisões, de modo a apoiar o monitoramento do desempenho e conformidades, em consonância com os objetivos e as direções definidas.
A imagem a seguir apresenta os princípios do COBIT 2019:
1. Prover valor para as partes interessadas (Provide Stakeholder Value )
Cada organização precisa de um sistema de governança que satisfaça às necessidades das partes interessadas e gere valor do uso da TI.
2. Abordagem holística (Holistic Approach )
Um sistema de governança para a organização é construído a partir de uma série de componentes que podem ser de diferentes tipos e que funcionam juntos de forma holística.
3. Sistema de governança dinâmico (Dynamic Governance System )
Um sistema de governança deve ser dinâmico, isso significa que cada vez que um ou mais fatores de design são modificados o impacto destas mudanças deve ser considerado.
4. Governança distinta da gestão (Governance Distinct From Management )
Um sistema de governança deve claramente se distinguir entre governança de estruturas e atividades de gestão.
5. Adaptado às necessidades da empresa (Tailored to Enterprise Needs )
Um sistema de governança deve se adaptar às necessidades da organização, usando um conjunto de fatores de design como parâmetros para customizar e priorizar os componentes do sistema de governança.
6. Sistema de governança de ponta a ponta (End-to-End Governance System )
Um sistema de governança deve atender a empresa de ponta a ponta, mantendo o foco não somente na função da TI, mas em toda a tecnologia e o processamento das informações que a organização utiliza para que seus objetivos de negócio sejam atendidos.
Os princípios do framework de governança são os seguintes:
1. Baseado no modelo conceitual (Based on Conceptual Model )
Um framework de governança deve ser baseado em um modelo conceitual, identificando os componentes-chave e relacionamentos entre os componentes para maximizar a consistência e permitir a automação.
2. Aberto e flexível (Open and Flexible )
Um framework de governança deve ser aberto e flexível. Isso significa que o framework deve aceitar a inclusão de novos conteúdos e deve possuir a habilidade de endereçar novos problemas encontrados, da maneira mais flexível possível, e ao mesmo tempo mantendo consistência e integridade.
3. Alinhado aos maiores padrões (Aligned to Major Standards )
Um framework de governança deve estar alinhado com os maiores padrões relatados, frameworks de mercado e regulamentos.
Objetivos e domínios
Similar ao COBIT 5, os objetivos de gestão e de governança no COBIT 2019 são agrupados dentro de cinco domínios. Os domínios possuem nomes que expressam o principal propósito e as áreas de atividades dos objetivos contidos neles.
A imagem a seguir apresenta os domínios contidos no COBIT 2019:
Objetivos de governança (Governance objectives )
Os objetivos de governança asseguram que as necessidades, condições e opções das partes interessadas sejam avaliadas, para que se determinem os objetivos de negócio a serem atingidos. A governança define a direção da organização por meio da priorização e da tomada de decisão.
Os objetivos de governança são organizados no seguinte domínio:
· Avaliar, Dirigir e Monitorar (EDM — Evaluate, Direct and Monitor ):
este domínio atende à definição de um framework de governança, definição das responsabilidades em termos de valor para a organização, fatores de riscos, recursos e transparência da TI para todas as partes interessadas - stakeholders.
Objetivos de gestão (Management objectives )
Os objetivos de gestão que consistem basicamente em planejar, construir, executar e monitorar todas as atividades que estiverem alinhadas com os objetivos estratégicos estabelecidos pela governança de TI, de modo que os objetivos de negócio da organização sejam atingidos.
Os objetivos de gestão e governança são organizados nos seguintes domínios:
· Alinhar, Planejar e Organizar (APO – Align, Plan and Organize ):
o domínio APO diz respeito à identificação de como a TI pode contribuir melhor com os objetivos de negócio. Objetivos específicos do domínio APO estão relacionados a estratégias e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.
· Construir, Adquirir e Implementar (BAI – Build, Acquire and Implement ):
os objetivos de gestão deste domínio são responsáveis por tornar concreta a estratégia de TI, de modo a identificar os requisitos necessários para a TI e gerenciar o programa de investimentos em TI.
· Entregar, Serviço e Suporte (DSS – Deliver, Service and Support ):
os objetivos de gestão deste domínio se referem à entrega de todos os serviços de TI que são necessários para atender aos planos táticos e estratégicos da organização.
· Monitorar, Avaliar e Analisar (MEA – Monitor, Evaluate and Assess ):
os objetivos de gestão deste domínio têm como principal objetivo o monitoramento de desempenho dos processos de TI, no qual será avaliado se a execução dos processos está em conformidade com os objetivos e requisitos da organização.
Estrutura de processos do framework
A estrutura de processos do COBIT é organizada em 5 objetivos de governança e 35 objetivos de gerenciamento, conforme apresentado na imagem a seguir:
Objetivos do domínio Avaliar, Dirigir e Monitorar (EDM – Evaluate, Direc, and Monitor ): o domínio EDM está organizado nos 5 objetivos abaixo:
Clique nas informações a seguir.
EDM01 –– Definição e manutenção do modelo de governança garantida (Ensured Governance Framework Setting and Maintenance)
EDM02 –– Entrega de benefícios garantida (Ensured Benefits Delivery )
EDM03 –– Otimização do risco garantida (Ensured Risk Optimization )
EDM04 –– Otimização dos recursos garantida (Ensured Resource Optimization )
EDM05 –– Engajamento das partes interessadas garantido (Ensured Stakeholder Engagement )
Os objetivos do domínio Alinhar, Planejar e Organizar (APO – Align, Plan and Organize ) estão organizados nos 14 objetivos abaixo
Clique nas barras para ver as informações.
APO01 –– Estrutura de gestão de TI gerenciada (Managed I&T Management Framework )
Responsável por esclarecer e por manter a missão e visão da governança de TI da organização. O objetivo também é responsável por implementar e manter os mecanismos e as autoridades responsáveis por gerenciar a informação e o uso da TI na organização.
APO02 –– Estratégia gerenciada (Managed Strategy )
Responsável por fornecer uma visão holística do negócio e do ambiente de TI atual na organização, qual a direção futura, e quais são as iniciativas necessárias para que se torne possível a migração para o ambiente futuro desejado pela organização.
APO03 –– Arquitetura da organização gerenciada (Managed Enterprise Architecture )
Responsável por estabelecer uma arquitetura comum, que consista em processos de negócios, informações, dados, aplicações e tecnologia, para que se torne viável a realização das estratégias de negócio e da TI da organização, por meio da criação de modelos e práticas-chave que descrevem a arquitetura de linha de base.
APO04 –– Inovação gerenciada (Managed Innovation )
Responsável por manter uma consciência de TI e de tendências de serviços relacionados, por identificar as oportunidades de inovação e por planejar como se beneficiar da inovação com relação às necessidades do negócio.
APO05 –– Portfólio gerenciado (Managed Portfolio )
Responsável por executar um conjunto de orientações estratégicas para que os investimentos da organização estejam alinhados à visão de arquitetura corporativa. As características desejadas do investimento devem considerar as restrições de recursos e de orçamento. O objetivo também é responsável por avaliar, priorizar programas e serviços, gerenciar demandas dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e riscos existentes na organização.
APO06 –– Orçamento e custos gerenciados (Managed Budget and Costs )
Responsável por administrar as atividades financeiras e de negócios relacionadas à TI, abrangendo o orçamento, a gestão de custos, os benefícios e a priorização dos gastos com o uso de práticas formais de orçamento, e de um sistema justo e equitativo de alocação adequada de custos para a organização.
APO07 –– Recursos humanos gerenciados (Managed Human Resources )
Responsável por fornecer uma abordagem estruturada, de forma a garantir a estruturação ideal, a colocação, os direitos de tomada de decisão e as habilidades dos recursos humanos. O objetivo também inclui o processo de comunicação dos papéis e das responsabilidades definidas, os planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas da organização.
APO08 –– Relacionamentos gerenciados (Managed Relationships )
Responsável por gerenciar o relacionamento entre o negócio e a TI, de uma maneira formal e transparente, com o objetivo de garantir foco total na concretização dos objetivos comuns de todas as partes interessadas da organização.
APO09 –– Contratos de serviços gerenciados (Managed Service Agreements )
Responsável por alinhar os serviços de TI e níveis de serviço às necessidades e expectativas de todas as partes interessadas da organização. O objetivo inclui a identificação, a especificação, o projeto, a publicação, os acordos, o acompanhamento de serviços de TI, os níveis de serviço e os indicadores de desempenho.
APO10 –– Fornecedores gerenciados (Managed Vendors )
Responsável por gerenciar os serviços relacionados à TI prestados por todos os tipos de fornecedores, de modo que as necessidades de todas as partes da organização sejam atendidas satisfatoriamente. O objetivo também inclui a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e a revisão e o monitoramento de desempenho de fornecedores, de modo que sejam totalmente garantidas a efetividade e a conformidade, em consonância com as expectativas da diretoria executiva e de todas as partes interessadas da organização.
APO11 –– Qualidade gerenciada (Managed Quality )
Responsável por definir e comunicar todos os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações, incluindo os controles necessários, o monitoramento contínuo, e o uso de práticas eficientes, além de padrões na melhoria contínua e dos esforços que visam manter os níveis de eficiência desejados pela organização.
APO12 –– Risco gerenciado (Managed Risk )
Responsável por identificar continuamente, avaliar e reduzir os riscos relacionados à TI, dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização.
APO13 –– Segurança gerenciada (Managed Security )
Responsável por definir, operar e monitorar um sistema para a gestão de segurança da informação da organização.
APO14 –– Dados gerenciados (Managed Data )
O principal propósito deste objetivo é o de garantir uma utilização eficaz dos ativos críticos para que as metas e os objetivos da organização sejam atingidos.
Os objetivos do domínio Construir, Adquirir e Implementar (BAI – Build, Acquire and Implement ) são:
Clique nas barras para ver as informações.
BAI01 –– Programas gerenciados (Managed Programs )
Responsável por gerenciar de forma coordenada todos os programas e projetos do portfólio de investimentos da organização, em alinhamento com as necessidades de negócio de todas as partes interessadas e da estratégia da organização.
BAI02 –– Definição de requisitos gerenciada (Managed Requirements Definition )
Responsável por identificar soluções e analisar os requisitos antes da aquisição ou criação, para assegurar que estarão em total conformidade com os requisitos estratégicos corporativos (que cobrem os processos de negócio, aplicações, informações, questões de infraestrutura e de serviços).
BAI03 –– Identificação e desenvolvimento de soluções gerenciados (Managed Solutions Identification and Build )
Responsável por estabelecer e manter as soluções identificadas em conformidade com os requisitos da organização. O objetivo inclui design, desenvolvimento, aquisição e terceirização e parceria com fornecedores e vendedores. Também são realizados a gestão da configuração, o teste de preparação e outros testes que se façam necessários, a manutenção dos requisitos de gestão e dos processos de negócio, o controle de aplicações, a gestão de dados, o gerenciamento de infraestrutura e de serviços da organização.
BAI04 –– Disponibilidade e capacidade gerenciadas (Managed Availability and Capacity )
Responsável por equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e a capacidade de prestação de serviços de baixo custo da organização. O objetivo também inclui a avaliação das capacidades atuais, a previsão das necessidades futuras, com base em requisitos de negócios, análise de impactos nos negócios e avaliação de riscos para planejar, e implementar ações para atender às necessidades identificadas pelas partes interessadas da organização.
BAI05 –– Mudança organizacional gerenciada (Managed Organizational Change )
Responsável por maximizar a probabilidade de implementar com sucesso uma mudança organizacional, que seja sustentável ― em toda a organização ― e rápida, com risco reduzido, e de modo a cobrir o ciclo de vida completo da mudança e de todas as partes interessadas afetadas no negócio e na TI da organização.
BAI06 –– Mudanças de TI gerenciadas (Managed IT Changes )
Responsável por gerenciar todasas mudanças de uma maneira controlada, incluindo as mudanças nos padrões existentes e de manutenção de emergências relacionadas aos processos de negócio, aplicações e infraestrutura. O objetivo também inclui padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios de acompanhamento, fases de encerramento e de documentação.
BAI07 –– Aceitação e transição da mudança de TI gerenciada (Managed IT Change Acceptance and Transitioning )
Responsável por aceitar e produzir formalmente novas soluções operacionais, incluindo o planejamento de implementação do sistema, a conversão de dados, os testes de aceitação, o processo de comunicação, a preparação de liberação, a distribuição para produção dos processos de negócios e serviços de TI novos ou alterados, o suporte de produção e uma revisão pós-implementação, de modo a garantir total qualidade no aceite e na transição da mudança na organização.
BAI08 –– Conhecimento gerenciado (Managed Knowledge )
Responsável por manter a disponibilidade de todo o conhecimento relevante para a organização, o conhecimento atual, o conhecimento validado e confiável, para que todas as atividades do processo sejam suportadas, facilitando a tomada de decisão. O objetivo também inclui um plano para a identificação, coleta, organização, manutenção, utilização e extração correta do conhecimento.
BAI09 –– Ativos gerenciados (Managed Assets )
Responsável por gerenciar todos os ativos de TI por meio do seu ciclo de vida, de modo a assegurar que seu uso agregue valor a um custo ideal dentro da organização. O objetivo também garante que os ativos permaneçam operacionais e fisicamente protegidos. Também serão mantidos os ativos que são fundamentais para apoiar a disponibilidade e a capacidade dos serviços da organização.
BAI10 –– Configuração gerenciada (Managed Configuration )
Responsável por definir e por manter as descrições e as relações entre os principais recursos e as capacidades necessárias, para que os serviços de TI sejam prestados de forma eficiente. O objetivo também inclui a coleta de informações de configuração, o estabelecimento das linhas de base, a verificação e a auditoria das informações de configuração e a atualização do repositório de configuração da organização.
BAI11 – Projetos gerenciados (Managed Projects )
Este objetivo garante o resultado dos projetos conforme definido, reduzindo o risco de atrasos inesperados nos projetos e garantindo que os projetos sejam realizados dentro dos custos esperados ao melhorar a comunicação e o envolvimento da área de negócio e dos usuários finais.
Os objetivos do domínio Entregar, Serviço e Suporte (DSS – Deliver, Service and Support ) são:
Clique nas informações a seguir.
DSS01 –– Operações gerenciadas (Managed Operations )
DSS02 –– Solicitações de serviços e incidentes gerenciados (Managed Service Requests and Incidents )
DSS03 –– Problemas gerenciados (Managed Problems )
DSS04 –– Continuidade gerenciada (Managed Continuity )
DSS05 –– Serviços de segurança gerenciados (Managed Security Services )
DSS06 –– Controles dos processos de negócio gerenciados (Managed Business Process Controls )
Os objetivos do domínio Monitorar, Avaliar e Analisar (MEA – Monitor, Evaluate and Assess) são:
Clique nas barras para ver as informações.
MEA01 –– Monitoramento de desempenho e conformidade gerenciados (Managed Performance and Conformance Monitoring )
Responsável pela coleta, validação e avaliação dos objetivos e das métricas do processo de negócios e de TI da organização. Também será realizado o monitoramento, a fim de garantir que os processos estão sendo executados conforme as metas, as métricas de desempenho e as conformidades acordadas.
MEA02 –– Sistema de controle interno gerenciado (Managed System of Internal Control )
Responsável por monitorar e avaliar continuamente o ambiente de controle, incluindo as autoavaliações e análises de avaliações independentes. O processo também permitirá a execução de melhorias por meio de uma gestão eficiente na identificação de ineficiências e deficiências nos controles atuais da organização.
MEA03 –– Conformidade com os requisitos externos gerenciada (Managed Compliance With External Requirements )
Responsável por avaliar se os processos de TI e processos de negócios suportados pela TI estão em conformidade com as leis, os regulamentos e as exigências contratuais. O objetivo também obterá a garantia de que os requisitos foram identificados e respeitados, e que sejam integrados à conformidade com o cumprimento global da organização.
MEA04 –– Garantia gerenciada (Managed Assurance )
Responsável por planejar, definir o escopo e executar todas as iniciativas de garantia, de modo a atender aos requisitos
O impacto dos fatores de design na implementação do COBIT
Antes de se pensar em implementar o COBIT 2019 em uma organização, é de extrema importância que o sistema de governança seja definido de modo a se adaptar às necessidades de negócio da organização. Cada empresa possui um cenário específico e uma diferente realidade. Esta é uma das grandes vantagens da nova versão do COBIT, já que é totalmente flexível e seus objetivos foram definidos de modo a permitir que sejam customizados para a real necessidade da organização.
Quando se define um sistema de governança adaptado às necessidades da organização, é extremamente importante levar em conta os fatores de design que influenciam de diferentes formas a customização de um sistema de governança em uma organização. A imagem abaixo apresenta a relação entre os fatores de design:
Prioridade de objetivo de gerenciamento e níveis de capacidade dos objetivos (Management Objective Priority & Target Capability Levels )
A influência do fator de design pode fazer algum objetivo de governança e de gestão mais importante que outros, algumas vezes a ponto de se tornarem insignificantes.
Variações de componentes (Component Variations )
Componentes são requeridos para atingir os objetivos de governança e de gestão. Alguns fatores de design podem influenciar a importância de um ou mais componentes ou podem requerer variações específicas.
Áreas de foco específico (Specific Focus Areas )
Alguns fatores de design, tais como um cenário de ameaças, riscos específicos, métodos de desenvolvimento de objetivos e configuração de infraestrutura, levarão à necessidade de uma variação no modelo do COBIT para um contexto específico.
Os passos para a implementação do COBIT
Os diferentes estágios e etapas no processo de design resultarão em recomendações para priorizar os objetivos de governança e de gestão, ou componentes do sistema de governança relatados para os níveis de capacidade dos objetivos, ou para a adoção de variações específicas de um componente do sistema de governança. A imagem a seguir apresenta as etapas ou os passos para que o COBIT 2019 seja implementado em uma organização:
1. Entender a estratégia e o contexto na qual a organização se encontra:
é fundamental que se entenda a estratégia e o contexto em que a organização se encontra, para que se defina de forma eficiente a estratégia de implementação que melhor se adapte às necessidades da organização. As atividades desta etapa são as seguintes:
1.1 Understand enterprise strategy — “Entender a estratégia da organização”.
1.2 Understand enterprise goals — “Entender os objetivos da organização”.
1.3 Understand the risk profile — “Entender o perfil de risco da organização”.
1.4 Understand current I&T- related issues — “Entender os atuais problemas relatados de TI”.
2. Determinar o escopo inicial do sistema de governança:
após entender a estratégia e o contexto em que a organização se encontra, é necessário determinar o escopo inicial do sistema de governança. As atividades desta etapa são as seguintes:
2.1 Consider enterprise strategy — “Entender a estratégia da organização”.
2.2 Consider enterprise goals and apply the COBIT goals cascade — “Consideraros objetivos da organização e aplicar a cascata dos objetivos do COBIT”.
2.3 Consider the risk profile of the enterprise — “Considerar o perfil de risco da organização”.
2.4 Consider current I&T- related issues — “Considerar os atuais problemas relatados de TI”.
3. Refinar o escopo do sistema de governança:
após determinar o escopo inicial do sistema de governança, é necessário refiná-lo, ou seja, definir um escopo factível de implementação, de acordo com o tamanho da organização e as reais necessidades de negócio. As atividades desta etapa são as seguintes:
3.1 Consider the threat landscape — “Considerar o cenário de ameaças”.
3.2 Consider compliance requirements — “Considerar a conformidade dos requisitos”.
3.3 Consider the role of IT — “Considerar o papel da TI”.
3.4 Consider the sourcing model — “Considerar o modelo de abastecimento”.
3.5 Consider IT implementation methods — “Considerar os métodos de implementação da TI”.
3.6 Consider the IT adoption strategy — “Considerar a estratégia de adoção da TI”.
3.7 Consider enterprise size — “Considerar o tamanho da organização”.
4. Concluir a implementação do sistema de governança:
após o escopo do sistema de governança ser refinado e adequado às reais necessidades de negócio e ao contexto da organização, deverão ser resolvidos os conflitos entre as prioridades da implementação de modo a concluir a implementação do sistema de governança na organização.
4.1 Resolve inherent priority conflicts — “Resolver conflitos de prioridades inerentes”.
4.2 Conclude the governance system design — “Concluir a implementação do sistema de governança”.
1. Quais são os fatores de design que devem ser levados em conta para a implementação do COBIT em uma organização?
Prioridade de objetivo de gerenciamento e níveis de capacidade dos objetivos, variações de componentes e áreas de foco específico.
2. Assinale a alternativa que apresenta duas tarefas necessárias para se refinar o escopo de governança durante a implementação do COBIT:
Considerar o cenário de ameaças e a conformidade dos requisitos.
image2.png
image10.png
image8.png
image.png
image6.png
image4.png
imagee.png
image3.png
imagec.png
imagef.png
image9.png
image12.png
image5.png
imagea.png
imaged.png
image11.png
imageb.png
image.jpg
image7.png3ª Região) Entre as ferramentas ordinariamente utilizadas pelas organizações na gestão de projetos, pode-se citar o Cobit, que:
Resposta: Consiste em um guia de melhores práticas utilizadas no processo de governança e controle de sistemas de informação e tecnologia com a essência de alinhar a TI com o negócio.
MÓDULO 2 - Relacionar as versões do Cobit, com ênfase nas três últimas
Versões do Cobit
Ao estudar o Cobit com maior profundidade, é possível identificar que ele especifica os objetivos de controle, mas não detalha como os processos podem ser definidos. 
O Cobit não é um padrão, não é uma norma; ele ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio. Sua adoção não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando o negócio, ou gerando riscos, de modo a priorizar o gerenciamento desses processos.
O framework do Cobit é focado no nível estratégico e, por se tratar de controle, possibilita que a TI tenha seu desempenho mensurado e seus riscos devidamente apontados e tratados. Esse framework segue a premissa de que não é possível gerenciar aquilo que não se mede. Dessa forma, ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho.
Cobit versão 4.1
O Cobit considera que a TI precisa entregar a informação necessária para que a empresa alcance seus objetivos de negócio. Esse framework é compatível com outros padrões de mercado, pois se posiciona em um nível genérico, abrangendo vários processos de TI, definindo os objetivos de cada um dos processos e como devem ser controlados.
O framework do Cobit 4.1 apresenta como principais características:
· O foco no negócio.
· A orientação a processos.
· Ser baseado em controles.
· Ser direcionado por métricas.
E seus objetivos são:
· Ser um padrão aceito nas melhores práticas de governança de TI.
· Aplicar as melhores práticas a partir de uma matriz de domínios, processos e atividades estruturada de forma lógica e gerenciável.
· Auxiliar na associação entre os riscos do negócio, as necessidades de controle e os aspectos tecnológicos.
Adotar o Cobit como modelo de governança torna-se vantajoso, pois:
· Mapeia os maiores padrões e frameworks do mercado.
· Ajuda a entender os requisitos regulatórios.
· Define uma linguagem comum entre TI e o negócio.
· Tem como foco os requisitos de negócio.
· É aceito internacionalmente como framework de modelo para governança de TI.
Como todos os componentes do Cobit estão inter-relacionados, a figura do cubo é utilizada para sumarizar que os recursos de TI são gerenciados pelos processos de TI para alcançar metas que correspondem aos requisitos do negócio. Esse é o princípio básico do framework do Cobit.
O cubo do Cobit 4.1
O Cobit atua em três dimensões:
· Processos de TI
· Critérios de informação – ou requisitos de negócio
· Recursos de TI
Os processos de TI envolvem domínio, processos e atividades. Os processos são os objetivos de controle que proveem um conjunto de alto nível de requerimento a ser considerado pelo gerenciamento. Controle é definido como políticas, procedimentos, práticas e estrutura organizacional designados a providenciar a garantia de que os objetivos de negócio serão alcançados e que eventos indesejáveis serão evitados ou detectados e corrigidos.
O Cobit 4.1 apresenta 210 processos.
As atividades de TI são definidas no Cobit 4.1 em 34 processos genéricos e agrupados em quatro domínios: planejamento e organização (PO); aquisição e implementação (AI); entrega e suporte (DS); monitoração e avaliação (ME).
Planejamento e organização
1. Define o plano estratégico de TI.
2. Define a arquitetura da informação.
3. Determina a direção tecnológica.
4. Define a organização de TI, os seus processos e seus relacionamentos.
5. Gerencia os investimentos de TI.
6. Comunica os objetivos e direcionamentos gerenciais.
7. Gerencia os recursos humanos.
8. Gerencia a qualidade.
9. Avalia e gerencia os riscos de TI.
10. Gerencia os projetos.
Aquisição e implementação
1. Identifica as soluções de automação.
2. Adquire e mantém os softwares.
3. Adquire e mantém a infraestrutura tecnológica.
4. Viabiliza a operação e a utilização.
5. Adquire recursos de TI.
6. Gerencia as mudanças.
7. Instala e aprova soluções e mudanças.
Entrega e suporte
1. Define e mantém os acordos de níveis de serviços (SLA).
2. Gerencia os serviços de terceiros.
3. Gerencia a performance e a capacidade do ambiente.
4. Assegura a continuidade dos serviços.
5. Assegura a segurança dos serviços.
6. Identifica e aloca custos.
7. Educa e treina os usuários.
8. Gerencia a central de serviços e os incidentes.
9. Gerencia a configuração.
10. Gerencia os problemas.
11. Gerencia os dados.
12. Gerencia a infraestrutura.
13. Gerencia as operações.
Monitoração e avaliação
1. Monitora e avalia o desempenho da TI.
2. Monitora e avalia os controles internos.
3. Assegura a conformidade com requisitos externos.
4. Provê governança para a TI.
Os critérios de informação (requisitos de negócios) envolvem: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade.
Para assegurar que os requisitos de negócio em relação à informação sejam alcançados, medidas de controle adequadas precisam ser definidas, implementadas e monitoradas para esses recursos. 
Os recursos de TI envolvem aplicações, informações, infraestrutura e pessoas. São utilizados para processar eventos que resultam na saída de informações que serão utilizadas na entrega de serviços. As informações geradas são entregues na proporção necessária ao processo que está sendo realizado.
Tabela genérica de objetivos de TI
A tabela genérica de objetivos de TI relaciona as seguintes questões:
· Responder aos requerimentos de negócios de maneira alinhada com a estratégia de negócios;
· Responder aos requerimentos de governança em linha com a alta direção;
· Assegurar a satisfação dos usuários;
· Otimizar o uso da informação;
· Criar agilidade para TI;
· Definir como funções de negócios e requerimentos de controles são convertidos em soluções automatizadas efetivas e eficientes;
· Adquirir e manter sistemas aplicativos integrados e padronizados;
· Adquirir e manter uma infraestrutura de TI integrada e padronizada;
· Adquirir e manter habilidades de TI que atendam às estratégias de TI;
· Assegurar a satisfação mútua no relacionamento com terceiros;
· Assegurar a integração dos aplicativos com os processos de negócios;
· Assegurar a transparência e o entendimento dos custos, benefícios, estratégias, políticas e níveis de serviços de TI;
· Assegurar o uso apropriado e a performance das soluções de aplicativos e de tecnologia;
· Responsabilizar e proteger todos os ativos de TI;
· Otimizar a infraestrutura, os recursos e as capacidades de TI;
· Reduzir os defeitos e retrabalhos na entrega de serviços e soluções;
· Proteger os resultados alcançados pelos objetivos de TI;
· Estabelecer claramente os impactos para os negócios, resultantes de riscos de objetivos e recursos de TI;
· Assegurar que informações confidenciais e críticas sejam protegidas daqueles que não deveriam ter acesso a elas;
· Assegurar que transações automatizadas de negócios e trocas de informações possam ser confiáveis;
· Assegurar que serviços e infraestrutura de TI possam resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres;
· Assegurar o mínimo impacto para os negócios no caso de uma parada ou mudança nos serviços de TI;
· Garantir que os serviços de TI fiquem disponíveis de acordo com o requerido;
· Aprimorar a eficiência dos custos de TI e sua contribuição para a lucratividade dos negócios;
· Entregar projetos no tempo certo, dentro do orçamento e com os padrões de qualidade esperados;
· Manter a integridade da informação e da infraestrutura de processamento;
· Assegurar a conformidade de TI com leis, regulamentos e contratos;
· Assegurar que a TI ofereça serviços de qualidade com custo eficiente, com contínuo aprimoramento e preparaçãopara mudanças futuras.
COBIT versão 5
Cobit 5 é um framework de negócios para governança e gestão de TI.
Essa versão incorpora as últimas novidades em governança corporativa e técnicas de gerenciamento. Fornece princípios globalmente aceitos, práticas, ferramentas e modelos analíticos para ajudar a aumentar a confiança e o valor nos sistemas de informação.
O Cobit 5 ajuda as empresas a criar valor para TI, mantendo o equilíbrio entre os investimentos em recursos e os riscos organizacionais. Considera os negócios, as áreas funcionais de TI da empresa e as partes interessadas, tanto internas como externas. Empresas de todos os tamanhos, sejam comerciais, sem fins lucrativos ou do setor público, podem se beneficiar desse framework.
O Cobit 5 tem por base cinco princípios fundamentais para a governança e gestão de organizações de TI:
· Reunir as necessidades dos stakeholders
· Cobrir a empresa fim a fim
· Aplicar um framework único e integrado
· Aplicar uma abordagem holística
· Separar a governança da gestão
O framework Cobit 5 descreve sete categorias de facilitadores:
· Princípios, políticas e quadros são os veículos para traduzir o comportamento desejado em orientações práticas para o dia a dia de gestão.
· Os processos descrevem um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de saídas para atingir as metas de TI.
· As estruturas organizacionais são as principais entidades de tomada de decisão em uma empresa.
· A cultura, a ética e o comportamento dos indivíduos e da empresa são muitas vezes subestimados como fator de sucesso em atividades de governança e gestão.
· A informação é necessária para manter a organização funcionando e bem governada, mas, no nível operacional, a informação é muitas vezes a chave do produto da própria empresa.
· Os serviços, a infraestrutura e as aplicações fornecem às empresas os recursos necessários para o processamento de informação.
· As pessoas, habilidades e competências são necessárias para a conclusão bem-sucedida de todas as atividades e para tomar decisões corretas e ações corretivas.
Outra mudança significativa se refere à avaliação de maturidade. Na versão 4.1 o Cobit trazia para cada processo um modelo de maturidade entre os níveis “0 – não existente” até o “5 – otimizado”.
A versão 5 traz uma proposta chamada de Modelo de Capacidade de Processo, em que há seis níveis de maturidade, que são:
0 – Processo incompleto: O processo não existe ou não atende ao seu objetivo.
1 – Processo executado: O processo está implementado e atinge seu objetivo.
2 – Processo gerenciado: O processo está implementado de um modo gerenciado e seus produtos estão estabelecidos e controlados.
3 – Processo estabelecido: É um processo definido, capaz de atingir os seus resultados.
4 – Processo previsível: Opera dentro de limites para atingir seu resultado.
5 – Processo otimizado: O processo previsível é melhorado continuamente para atender às necessidades atuais e planejadas no negócio.
Apesar de a nova versão do Cobit ser fundamentada em anos de uso e execução da prática por empresas da área de tecnologia de todo o mundo, existem algumas condições substanciais para o desenvolvimento bem-sucedido dessa prática.
Não basta apenas permitir que as partes interessadas interajam sobre a tecnologia e seus benefícios, riscos e custos, mas, sim, assimilar quais prioridades irão garantir os resultados tão esperados por todos. Como resposta, faz-se necessário proteger o negócio, de modo que seja aparada qualquer aresta designada pelas funções de TI.
Cobit 2019
Considerando a TI essencial para o gerenciamento de riscos corporativos e a geração de valor, uma abordagem específica para a governança e gestão corporativa de informação e tecnologia (GGCIT – ou EGIT, no original em inglês) surgiu nas últimas duas décadas. A nova edição do framework, o Cobit 2019, amplia e facilita ainda mais essa abordagem.
A partir desta atualização, as demais não serão mais identificadas com números de versão. Em vez disso, elas serão projetadas até a data da última atualização, e essa dinâmica de trabalho está alinhada com um ambiente dinâmico de TI que gera mudanças em um ritmo rápido.
O Cobit 2019 traz os seguintes aprimoramentos:
· Melhorias na abordagem sobre a importância da governança e gestão corporativa de TI para a empresa;
· Novas tendências em tecnologia;
· Padrões e métodos de trabalho mais recentes;
· Mais flexibilidade.
Além disso:
· Introduz conceitos de área de foco (descreve determinado tópico, domínio ou problema de governança corporativa que pode ser abordado por meio de um conjunto de objetivos de governança e gestão junto com seus componentes).
· É percebido como mais prescritivo, ou seja, construído de tal forma que sua abordagem sob medida funciona como uma receita de como configurar um sistema de governança e gestão corporativa personalizado para TI.
· Tornou-se um instrumento melhor para gerenciar o desempenho de TI.
· Teve adicionado um novo recurso de colaboração online – recomendado pelos próprios usuários do Cobit e avaliado por um comitê de direção – para garantir a consistência da qualidade da estrutura principal, proporcionando atualizações mais rápidas e contínuas.
· Agora suporta a tomada de decisão.
A nova versão do Cobit pode ser descrita como uma estrutura para a governança e gestão corporativa de TI, envolvendo toda a empresa.
Vale ressaltar que o conceito TI refere-se a todo o processamento de tecnologia da informação que a empresa implementa para atingir seus objetivos, independentemente de onde isso acontece na organização.
O Cobit 2019 define os componentes para construir e sustentar um sistema de governança e gestão corporativa de TI: inclui processos, políticas e procedimentos, estruturas organizacionais, fluxos de informação, capacidades, habilidades, infraestrutura, cultura, ética e comportamentos. Esses componentes foram referidos como “facilitadores” no Cobit 5. Também aborda questões de governança, agrupando os componentes relevantes em áreas de foco, que podem ser gerenciadas nos níveis de maturidade e capacidade exigidos.
1. (Gran Cursos Questões – Concurso Conselho Nacional do Ministério Público) O Cobit 5 fundamenta-se em cinco princípios básicos para governança e gestão de TI da organização, que são:
1° Princípio: Atender às necessidades das partes interessadas.
2° Princípio: Cobrir a organização de ponta a ponta.
3° Princípio: ......
4° Princípio: ......
5° Princípio: Distinguir a governança da gestão.
Assinale a alternativa que apresenta, respectivamente, o 3° e o 4° Princípios:
Resposta: Aplicar um modelo único integrado; Permitir uma abordagem holística.
2. (Questões Estratégicas – Concurso Secretaria de Fazenda do Rio Grande do Sul) O diretor de TI de uma empresa pública de pequeno porte deseja melhorar a governança e a gestão de TI dessa empresa. Nesse caso, a aplicação do Cobit 5:
Respostas: É admissível, pois esse guia pode ser utilizado em empresa de qualquer natureza e porte.
MÓDULO 3 - Apontar os objetivos das cascatas de metas
Cascata do Cobit
Usa-se a expressão cascata do Cobit para comparar essa estrutura a uma cascata – dimensão grande e forte de água que vai se espalhando aos poucos e, à medida que desce, os níveis vão se desdobrando em outros níveis e se disseminando em pingos. A cascata do Cobit surgiu como uma necessidade, uma nova ordem da empresa, uma estratégia.
Os objetivos em cascata do Cobit 5 são mecanismos que traduzem as necessidades das partes interessadas, transformando-os em específicos, acionáveis e personalizados objetivos corporativos. Só depois vêm os objetivos relacionados à TI e os objetivos do facilitador.
Essa cascata permite estabelecer metas específicas em todos os níveis e em todas as áreas da empresa, suportando os objetivos gerais e os requisitos das partes interessadas. E, desse modo, suporta de forma efetiva a busca do alinhamento entre as necessidades da empresa e as soluções e os serviços de TI.
A cascata de objetivos do Cobit 5 é o mecanismo de traduçãodas necessidades das partes interessadas em objetivos corporativos específicos, personalizados, exequíveis, objetivos de TI e metas do habilitador.
Cascata de objetivos no Cobit 5
Os objetivos em cascata do Cobit 5 permitem a definição de prioridades para implementação, aprimoramento e garantia de governança corporativa de TI.
Os objetivos em cascata, na prática, servem para definir os objetivos propriamente ditos, filtrar informações, e identificar e comunicar de que forma os facilitadores são usados para atingir os objetivos.
Necessidades das partes interessadas externas
As partes interessadas externas são os parceiros de negócio, fornecedores, acionistas, reguladores, o governo, usuários externos, clientes, as organizações de normatização, auditores externos, consultores.
As necessidades das partes interessadas externas têm a ver com as seguintes questões:
· Como vou saber se as operações dos meus parceiros de negócio são seguras e confiáveis?
· Como vou saber se a organização é aderente às aplicações de regras e regulamentos?
· Como vou saber se a empresa está mantendo um sistema de controle interno efetivo?
Necessidades das partes interessadas internas
As preocupações das partes interessadas internas incluem questões como:
· Como eu obtenho valor com o uso de TI?
· Como gerencio o desempenho de TI?
· Como posso explorar as novas tecnologias para novas oportunidades estratégicas?
· Como vou saber se estou em conformidade com todas as leis e regulamentos aplicáveis?
· Será que eu estou executando uma operação de TI eficiente e flexível?
· Como posso controlar os custos de TI?
· Será que as informações que estou processando são propriamente seguras?
· Qual a importância da TI para a manutenção da empresa?
· O que eu devo fazer se a TI não estiver disponível?
Nesse modelo há quatro passos. Veja a seguir:
1º Passo: Os direcionadores das partes interessadas influenciam as necessidades dessas partes, que são influenciadas por diversas tendências; por exemplo, mudanças de estratégia, mudanças nos negócios e no ambiente regulatório, bem como novas tecnologias.
2º Passo: As necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos genéricos. Esses objetivos corporativos foram criados usando as dimensões do balanced scorecard (BSC) e representam uma lista dos objetivos mais usados que uma organização pode definir.
3º Passo: Cascata dos objetivos corporativos em objetivos de TI. O atingimento dos objetivos corporativos exige uma série de resultados de TI que são representados pelos objetivos relacionados à TI.
4º Passo: Cascata dos objetivos de TI em metas do habilitador. Atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores. Habilitadores incluem processos, estruturas organizacionais e informações, e, para cada habilitador, um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI.
Objetivos em cascata relacionados à TI requerem a aplicação bem-sucedida e o uso de uma série de facilitadores. Esses, por sua vez, incluem processos, estruturas organizacionais e informação. Para cada facilitador, um conjunto de objetivos específicos pode ser definido para apoiar os relacionados à TI.
A cascata de objetivos é importante porque permite a definição das prioridades de implementação, melhoria e garantia da governança corporativa de TI com base nos objetivos (estratégicos) da organização e no respectivo risco.
Na prática, a cascata de objetivos:
· Define as metas e os objetivos tangíveis e relevantes em vários níveis de responsabilidade;
· Filtra a base de conhecimento do cobit 5, com base nos objetivos corporativos, para extrair a orientação pertinente para inclusão na implementação, melhoria ou garantia de projetos específicos;
· Identifica e comunica claramente como (por vezes de forma muito operacional) os habilitadores são importantes para o atingimento dos objetivos corporativos.
Cascata de objetivos no Cobit 2019
A cascata de objetivos no novo Cobit 2019 também sofreu alteração em relação ao Cobit 5. Os objetivos de TI na cascata do Cobit 5 foram substituídos por objetivos de alinhamento da TI com os objetivos corporativos. Além disso, os objetivos dos habilitadores do Cobit 5 passaram a se chamar objetivos de governança e gestão.
1. (QConcursos.com – Concurso: Tribunal Regional do Trabalho da 9ª Região do Paraná ) Seguindo as boas práticas preconizadas pelo Cobit 5, um analista da área de TI elencou as seguintes perguntas:
- Como posso saber se a organização cumpre as regras e os regulamentos aplicáveis?
− Como posso saber se a organização mantém um sistema eficiente de controle interno?
− Os parceiros comerciais têm a cadeia de informações entre eles sob controle?
De acordo com o Cobit 5, essas perguntas:
Resposta: São dirigidas às partes interessadas externas. Estão relacionadas aos objetivos corporativos, versam sobre governança e gestão de TI da organização e servem como entrada para a cascata de objetivos.
2. (QConcursos.com – Concurso: Ministério Público da Bahia) A cascata de objetivos da organização, segundo o Cobit 5, tem como principal função:
Resposta: Definir metas e objetivos relevantes e exequíveis.
MÓDULO 4 - Definir governança na visão do Cobit
Governança de TI
A governança de TI é a arte de harmonizar e combinar as atividades que a área de tecnologia da informação desenvolve com as necessidades e os objetivos estratégicos de uma organização, tornando a TI mais estratégica e ativa no negócio.
Trata-se de um desdobramento da governança corporativa que atua como um mecanismo de controle, estabelecendo políticas e regras que direcionam os processos de tecnologia da informação. Monitorar se essas normas estão sendo seguidas garante que a TI esteja fazendo o necessário para alcançar os objetivos estratégicos da organização, diminuindo as chances de riscos ao negócio.
A governança de TI está bastante ligada à gestão da tecnologia da informação; entretanto, há diferentes atribuições dentro do negócio:
A governança de TI é responsável por definir como funciona a TI e verificar se as normas e políticas estão sendo seguidas corretamente;
A gestão de TI é responsável por manter o desempenho de serviços, promover a transformação digital na empresa, manter a satisfação dos usuários e clientes dos serviços, além de gerir a equipe de TI.
Benefícios da governança de TI
Assim como os processos de TI precisam estar em sintonia com a organização, o contrário também é verdadeiro: a organização precisa estar antenada aos avanços e às inovações tecnológicas. Dessa forma, a governança de TI se consolida como um diferencial competitivo porque é capaz de trazer novos resultados e expandir as possibilidades da empresa por intermédio da tecnologia, tornando-a mais competitiva.
Entre os benefícios da governança de TI estão:
· Maior precisão e segurança das informações
A segurança da informação é um dos pilares da governança de TI. Afinal, se a área de TI não consegue garantir que as informações sejam seguras e confiáveis, ela não consegue se sustentar por muito tempo. Por isso mesmo é que a governança de TI busca incansavelmente a padronização de processos e o estabelecimento de regras verificáveis.
· Melhor aproveitamento operacional e tecnológico
Por meio da definição de processos, como o de priorização de demandas, é possível obter um melhor aproveitamento operacional e tecnológico, fazendo com que a TI invista tempo e recurso nas necessidades certas.
· Otimização de custos
Se a TI é capaz de identificar as demandas prioritárias e trabalhar nas iniciativas corretas, logo ela vai gerar mais resultados ao negócio e reduzir gastos com retrabalho, otimizando os custos. Assim sobra mais tempo e recursos para investir em outras demandas.
Implantar uma governança de TI na medida certa para uma empresa requer uma avaliação do papel que a sua área de tecnologia da informação desempenha no negócio. Para isso é preciso fazer um diagnóstico para conhecer o nível de maturidade da área.
Com base nas práticasque uma TI realiza, é possível estabelecer quatro níveis de maturidade:
TI artesanal: É aquela que depende da sorte para gerar resultados, pois não conta com processos definidos.
TI eficiente: Atua corretamente, pois seus processos já estão definidos e começa a desenvolver um relacionamento com as áreas de negócio.
TI efetiva: Mais do que atuar corretamente, tem a capacidade de escolher quais os melhores serviços e projetos para a organização.
TI estratégica: Transforma o negócio por meio da tecnologia da informação, atuando como um parceiro estratégico para aumentar a competitividade da empresa.
O perfil do gestor de TI deixou de ser apenas técnico. Hoje esse profissional precisa ter uma visão de negócio para conseguir entender como aliar a tecnologia ao desenvolvimento da organização. E o primeiro passo para garantir que a área de TI esteja alinhada aos objetivos estratégicos da empresa é fazer um plano estratégico de TI.
Existem algumas fases que devem ser consideradas para a elaboração desse plano:
1 - Análise de ambiente
Busca entender o ambiente interno e externo da TI, ajudando a refletir sobre a situação atual da área.
2 - Formulação das estratégias de TI
Define quais temas e objetivos estratégicos a TI deve perseguir para aderir ao planejamento estratégico da organização.
3 - Plano de execução
Detalha a estratégia definida anteriormente, especificando quais iniciativas vão ser realizadas e com que indicadores elas vão ser medidas.
4 - Monitoramento da execução
Acompanha se as metas estão sendo atingidas no tempo esperado e se estão gerando os benefícios esperados.
5 - Ajustes do plano
propõe correções no plano estratégico de TI, com a intenção de adequá-lo às mudanças de rota.
Essas ações começam no plano estratégico de TI e passam pelo gerenciamento de processos, serviços, projetos, riscos e performance. Isso porque ter uma governança de TI implica essencialmente garantir que a TI faça certo as coisas certas. Para isso é preciso padronizar os processos, definir como os serviços serão solicitados e atendidos, desenvolver projetos que aprimorem o desempenho da TI, mitigar os riscos possíveis e medir os resultados que a TI está entregando para o negócio.
Uma forma de agilizar o projeto de implantação de governança de TI é utilizar frameworks de processos, que já trazem modelos prontos e ajudam a desenhar a sua governança de TI de uma forma bem mais assertiva.
O Cobit como framework da governança de TI
Na área de Gestão de Sistemas de Informação, o Cobit é utilizado como uma ferramenta de governança em TI que possibilita aos níveis gerenciais de uma organização identificar quais controles são necessários. Além disso, permite avaliar a eficácia de tais controles por meio de ferramentas de auditoria.
O conceito de governança em TI refere-se tanto às atividades que dizem respeito à área de tecnologia de uma companhia, como também aos meios utilizados para sua monitoração.
Considerando o cenário econômico e político da última década, o Cobit, como ferramenta para a governança em TI, teve um aumento considerável em sua aceitação, a partir da Lei Sarbanes-Oxley. Essa regulamentação foi aprovada pelo congresso norte-americano, representando uma reposta incisiva a uma série de escândalos financeiros ocorridos em empresas com falta de transparência em sua gestão.
Assim sendo, companhias que necessitem de adequação a normas regulatórias podem utilizar o Cobit como ferramenta de monitoração e auditoria dos processos em TI. Ele também procura conciliar questões técnicas com aspectos relativos ao gerenciamento de riscos das diversas atividades desenvolvidas.
Dentre os diversos tipos de indicadores fornecidos pelo Cobit, merecem destaque:
· Fatores críticos de sucesso, que correspondem às principais orientações a serem seguidas pela área de Gestão, a fim de obter um controle efetivo sobre os processos.
· Indicadores de performance, que medem a tendência de sucesso da estratégia adotada.
· Indicadores de objetivos, que definem o sucesso ou não da estratégia adotada.
Os benefícios de se utilizar frameworks de TI são muitos e se relacionam aos seguintes aspectos:
· Velocidade: Diversos profissionais no mundo todo já tiveram o trabalho de testar e elencar as melhores práticas na hora de implantar uma governança de TI.
· Linguagem comum: O framework do Cobit estabelece uma linguagem universal que faz com que todos os envolvidos recebam e repassem as mesmas informações.
· Clareza para benchmarkings: Comparar a TI de uma empresa com a de outra torna-se mais consistente quando ambas utilizam um framework de governança de TI.
· Conformidade/compliance: Outro benefício de adotar um framework de processos é poder avaliar a conformidade dos processos da TI com os processos contidos no framework.
· Facilidade de treinar a equipe: É mais simples encontrar cursos e treinamentos que sejam aderentes a um modelo consolidado no mercado. Essa é mais uma vantagem de ter um framework.
· Simplicidade de contratar serviços e produtos: Ter um framework de processos também possibilita mais alinhamento na hora de contratar serviços e produtos.
· Facilidade de contratar pessoas: Se os cuidados necessários não forem tomados, contratar um novo colaborador pode se tornar um problema e tanto.
Gestão da governança de TI
O Cobit estabelece um conjunto de boas práticas de gestão e governança de TI. Sua atenção é voltada para o controle da gestão interna da área de TI, garantindo que as ações estejam em conformidade com o planejamento estratégico da organização e conectando os processos de TI aos requisitos do negócio.
Priorização das demandas
Um dos processos da governança de TI mais relevantes é a priorização de demandas, responsável por selecionar quais pedidos serão atendidos primeiro. Para isso é preciso estruturar um processo baseado em alguns elementos que ajudem a decidir o que é mais importante para o negócio, ou seja, aquilo que colabora para alcançar a estratégia, em vez de desviar dela.
Na hora de classificar os pedidos das áreas de negócio, é possível se orientar por três caminhos:
1. Rapidez/simplicidade: Se uma demanda leva pouco tempo para ser concluída ou é mais simples de resolver, ela pode passar à frente de outras. Isso vai impedir que essa solicitação gere problemas maiores no futuro, sem afetar muito a entrega dos demais pedidos. Contudo, é preciso ter cautela para não desviar demasiadamente dos problemas maiores, tampouco do foco.
2. Emergência: Merece atenção extra uma demanda que, se não atendida, pode comprometer a continuidade do negócio. Isso pode ser observado, por exemplo, quando um pedido está afetando o faturamento da empresa.
3. Complexidade: Demandas muito complexas merecem um estudo prévio que justifique seus gastos. Pedir mais informações antes de atender a um pedido pode ajudar a priorizar com mais fundamentos.
Arquitetura de TI
A arquitetura de TI é um setor da tecnologia da informação que planeja, estrutura, desenvolve e monitora as soluções tecnológicas dentro de uma empresa, garantindo o atendimento às necessidades de negócio. Essas soluções podem envolver dispositivos móveis, softwares, computadores e outros serviços tecnológicos.
Processos de TI
Outro ponto importante a ser analisado é se os processos da TI estão em conformidade com o planejamento estratégico da organização. Afinal, não adianta apenas reagir aos problemas; é preciso atuar sobre os pontos certos, aqueles que vão fazer mais sentido para a empresa.
É importante ressaltar que a área de TI tem papel fundamental na formalização dos processos de uma empresa, incluindo os processos da própria TI.
A TI faz parte de todas as etapas da gestão de processos, inclusive de sua padronização.
Padronizar significa formalizar e documentar os processos de uma empresa, com o objetivo de disseminá-los pelos diversos departamentos e torná-los conhecidos por todas as pessoas da organização.
Quando se fala em gestão de processos, é importante ter em mente que uma das partes fundamentais desse gerenciamento é estabelecer formas de mensuração dos processos.Como diriam Kaplan e Norton, autores da metodologia BSC, “o que não é medido não é gerenciado”. É aí que entra o uso de indicadores-chave de performance.
Indicadores de desempenho
É comum que os gestores tenham uma lista de indicadores para medir o desempenho das áreas. O que nem todos eles sabem é que de nada adianta criar várias métricas se elas não impactam efetivamente o resultado. É necessário ter um sistema de performance que mostre relações de causa e efeito entre os indicadores, simplificando a análise e facilitando o entendimento da real causa de um eventual problema. Isso também se aplica à área de TI.
Gerenciamento de projetos
Na hora de gerenciar projetos é importante lembrar que não existe apenas a gestão tradicional. É possível se valer de métodos ágeis que podem ser muito benéficos para a TI. Esses métodos, em geral usados quando o escopo do projeto é pouco conhecido e quando se faz uso de uma tecnologia nova (como no desenvolvimento de softwares, por exemplo), não necessariamente são mais rápidos, mas conseguem adaptar o escopo às mudanças com mais facilidade e agilidade em comparação ao método tradicional. Assim, normalmente alguns clientes percebem entregas mais rápidas.
Comentário: Enquanto os métodos tradicionais procuram evitar problemas, os ágeis os enxergam como parte da construção dos projetos e seu objetivo é solucioná-los.
Adotar um software de gerenciamento de projetos tem inúmeras vantagens.
Uma vantagem é a rapidez com que se pode visualizar cada etapa. Assim é possível acompanhar o desenvolvimento do projeto e interferir no momento certo, caso seja necessário.
Outra vantagem dos softwares de projetos é a centralização das informações, evitando redundâncias e falhas, já que as informações podem ser atualizadas em tempo real. Dessa forma, os gestores conseguem tomar decisões mais assertivas e com embasamento em dados.
À medida que os projetos vão sendo mais bem conduzidos, a TI também observa um crescimento na sua performance e, consequentemente, um avanço entre os estágios de maturidade.
Integração de sistemas
Trata-se da ação de conectar os vários sistemas de uma organização de forma que eles compartilhem informações entre si. Esse ecossistema pode ser um pouco complexo, dependendo do número de sistemas integrados e do meio de integração.
Se a integração de sistemas não for gerenciada, ela pode ocasionar alguns riscos, como:
Tomar decisões com informações erradas: Se a integração for online, uma queda na conexão da internet, por exemplo, pode fazer com que os dados cheguem incompletos. Já em uma integração manual existe o risco de manipulação de dados.
Afetar a performance dos processos: Se as informações forem inconsistentes, existe a chance de se tomar decisões erradas que podem afetar a saúde dos processos.
Causar prejuízos financeiros para o negócio: As falhas em processos acabam refletindo no consumidor final que, insatisfeito, deixa de se relacionar com a marca.
Gerenciamento de riscos
A TI passou a ocupar todos os espaços das organizações para que elas pudessem acompanhar as rápidas mudanças de mercado, mas tornou-se também um risco potencial para o negócio.
A gestão de riscos de TI tem como finalidade diminuir eventuais prejuízos que essa área possa causar à organização. Para isso é preciso estabelecer um plano, que consiste em programar e avaliar os riscos, e depois estabelecer atividades de mitigação e contingência.
Melhores práticas em governança de TI
Como visto, a governança de TI tem por finalidade melhorar a produtividade da empresa e reduzir os riscos internos. Para alcançar esse objetivo, existem práticas que devem ser seguidas.
Veja a seguir:
Alinhar os objetivos – a política de governança de tecnologia deve estar em conformidade com a governança corporativa, estabelecendo uma estratégia para que seja possível maximizar os resultados da empresa.
Criar metas – a estipulação de metas ajuda a mensurar se os objetivos estratégicos estão sendo alcançados ou não. Elas precisam ser metas SMART: específicas, mensuráveis, atingíveis, relevantes e temporais.
Utilizar ferramentas tecnológicas – ter ferramentas que possibilitem o suporte aos processos é fundamental para o sucesso de uma governança de TI, já que são os processos definidos que tornam possível monitorar as ações da TI.
Implementar canais de comunicação – sem uma boa comunicação é quase impossível realizar todas as outras boas práticas; afinal, o diálogo proporciona o nivelamento necessário para alinhar objetivos, criar metas e utilizar ferramentas.
Adotar políticas de segurança – se uma das premissas da governança de TI é manter o negócio seguro por meio de processos, ter uma política de segurança de informações se faz mais do que necessária. Essa política visa proteger os dados e tornar o ambiente digital mais seguro.
1. (QConcursos – Concurso: Escola de Administração Fazendária) O principal objetivo da governança de TI é garantir o alinhamento:
Da TI ao negócio.
2. (QConcursos.com - Concurso: Secretaria de Administração do Estado de Pernambuco ) O principal objetivo das práticas do Cobit é contribuir para o sucesso da entrega de produtos e serviços de TI. O Cobit:
Estabelece relacionamentos com os requisitos do negócio.
Tema 3 - Governança do Cobit
MÓDULO 1: Identificar os componentes do COBIT e da governança de TI
Componentes do COBIT
O COBIT é um framework de boas práticas criado pela ISACA, globalmente aceito para a governança de tecnologia da informação.
O COBIT não apenas mostra como criar um sistema de governança, mas também orienta uma organização sobre como mantê-lo com processos, estruturas, fluxo de informações, comportamento, infraestrutura, políticas e procedimentos.
Na versão COBIT 2019, uma ênfase maior e mais clara foi colocada no gerenciamento de riscos e de informações, e na segurança. Essa versão também passou a fornecer atualizações de segurança cibernética e privacidade. O COBIT 2019 inclui vários componentes, a saber:
Framework: Organiza objetivos de governança de TI e boas práticas por domínios e processos de TI e os conecta a requisitos de negócios.
Descrição de processo: Modelo de processo de referência e linguagem comum para todos na organização. Os processos mapeiam as áreas responsáveis por planejar, construir, executar e monitorar.
Objetivos de controle: Fornecem um conjunto completo de requisitos de alto nível a serem considerados pelo gerenciamento para o controle efetivo de cada processo de TI.
Diretrizes de gerenciamento: Ajudam a atribuir responsabilidade, concordar com os objetivos, medir o desempenho e ilustrar a inter-relação com outros processos.
Modelos de maturidade: Avaliam a maturidade e a capacidade por processo e ajudam a resolver lacunas.
Como todos os componentes do COBIT estão inter-relacionados, a figura do cubo é utilizada para sumarizar que os recursos de TI são gerenciados pelos processos de TI para alcançar metas que correspondem aos requisitos do negócio. Este é o princípio básico do framework do COBIT.
Critérios de informação ou requisitos de negócio
Efetividade: informação relevante e pertinente para o processo de negócio, bem como entregue em tempo, de maneira correta, consistente e utilizável.
Eficiência: entrega da informação por meio do melhor uso dos recursos, de forma mais produtiva e econômica.
Confidencialidade: proteção das informações confidenciais a fim de evitar sua divulgação indevida.
Integridade: fidedignidade e totalidade da informação, bem como sua validade para o negócio.
Disponibilidade: informação acessível e utilizável quando exigida pelo negócio. Também possui relação com a salvaguarda dos recursos necessários e sua capacidade.
Conformidade: aderência a leis, regulamentos e obrigações contratuais relacionadas ao negócio.
Confiabilidade: entrega da informação apropriada para tomada de decisão.
Recursos de TI
Aplicações: sistemas de informação usados na organização.
Infraestrutura: tecnologia utilizada, como os equipamentos, sistemas operacionais e redes de comunicação de dados que processam as aplicações.
Confidencialidade:proteção das informações confidenciais a fim de evitar sua divulgação indevida.
Informações: são os dados em todas as suas formas utilizados nos sistemas de informação e usados pelos processos de negócios.
Pessoas: as pessoas requeridas para planejar, organizar, adquirir, entregar, dar suporte e monitorar os aplicativos, processos e serviços de TI.
Processos de TI
· Domínios;
· Processos;
· Atividades.
Etapas do ciclo de vida da governança de TI
Quando se pensa em implementar uma governança de TI é preciso entender a cultura e as estratégias de uma organização. Dessa forma, será possível definir que componentes precisam ser implementados e em que momento. A governança de TI pode ser representada por meio do que é chamado de ciclo de vida de governança em TI. Esse ciclo é composto por quatro grandes etapas:
1 - Alinhamento estratégico e compliance
Refere-se ao planejamento estratégico da TI, que leva em consideração as estratégias da empresa para seus vários produtos e segmentos de atuação, assim como os requisitos de compliance externos, tais como, por exemplo, a resolução Bacen 3380, que dispõe sobre a implementação da estrutura de gerenciamento do risco operacional.
2 - Decisão, compromisso, priorização e alocação de recursos
Refere-se às responsabilidades pelas decisões relativas à TI em termos de: arquitetura de TI, serviços de infraestrutura, investimentos, necessidades de aplicações etc. Assim como a definição dos mecanismos de decisão, ou seja, em que fóruns da empresa são realizadas essas decisões.
Trata também de obter o envolvimento dos tomadores de decisão chaves na organização, da definição de prioridades de projetos e serviços e da alocação efetiva de recursos monetários no contexto de um portfólio de TI.
3 - Estrutura, processos, operação e gestão
Refere-se à criação das estruturas básicas e/ou organizacionais, bem como à definição de processos para a execução das atividades. Essa etapa estende-se também para a operação do dia a dia da área de TI, bem como sua gestão, tanto do ponto de vista operacional quanto do ponto de vista tático.
4 - Medição de desempenho
Refere-se à determinação, coleta e geração de indicadores de resultados dos processos, produtos e serviços de TI e sua contribuição para as estratégias e os objetivos do negócio.
Componentes da governança em tecnologia da informação
A governança em tecnologia da informação compreende mecanismos que, integrados, permitem desde o desdobramento da estratégia de TI até a operação dos produtos e serviços correlatos. As grandes fases do ciclo de governança em TI podem ser subdivididas em componentes menores, a saber:
A seguir, conheceremos os detalhes de cada um dos componentes.
Alinhamento estratégico e compliance
· Alinhamento estratégico: Este é o momento em que a TI determina como será a arquitetura, a infraestrutura, as aplicações, os processos e a organização dos serviços para atender às necessidades presentes e futuras do negócio.
· Princípios da TI: São as regras que direcionarão a tomada de decisão acerca da arquitetura de TI, da infraestrutura de TI, da aquisição e desenvolvimento de aplicações, do uso de padrões, da gestão de ativos de TI etc.
· Gestão das demandas: Pela análise das necessidades do negócio é possível definir quais devem ser priorizadas, sejam serviços, ou melhoria dos serviços existentes, mais capacidade em sistemas e infraestrutura, inovação em negócios e tecnologia, e assim sucessivamente.
· Necessidades de aplicações: Necessárias para atender à continuidade e às estratégias do negócio. Quais aplicações deverão ser mantidas, melhoradas, substituídas e implementadas.
· Arquitetura de TI: Foca a padronização de processos, dados e tecnologia de aplicações e é derivada dos princípios de TI, os quais devem atender às demandas da organização, gerando conformidade e alinhamento com os objetivos estratégicos da empresa.
· Infraestrutura de TI: A infraestrutura de TI liga a empresa a seus parceiros, fornecedores e demais instituições externas como bancos, redes privadas e internet. Assim como engloba os serviços de TI requeridos pelo negócio em termos de gestão de dados, comunicação, gestão de ativos de TI, gestão de infraestrutura, segurança da informação, padrões de interfaces etc.
· Objetivos de desempenho: Buscam atender às metas de desempenho compatíveis com os objetivos traçados para a prestação dos serviços, enquanto os níveis de serviços são acordos estabelecidos com os clientes internos da empresa. Ambos orientam a gestão da TI, o controle diário e como, a partir dos indicadores, podem ser realizadas as melhorias e a revisão de processos.
· Capacidade de atendimento: Define a quantidade de recursos humanos necessários para atender à demanda por sistemas e serviços, assim como a quantidade de recursos computacionais.
· Estratégia de outsourcing de serviços: Define quais atividades podem ser terceirizadas, como será a gestão de desempenho dos fornecedores e parceiros envolvidos, a passagem das atividades e o controle dos indicadores.
· Política de segurança da informação: Determina as diretrizes e ações referentes à segurança dos aplicativos, infraestrutura, dados, pessoas e organizações (parceiros e fornecedores).
· Competências: Competências são as habilidades e os conhecimentos específicos necessários para o desenvolvimento e a implementação de iniciativas de TI.
· Processos e organizações: Processos e organização apresentam a forma como os serviços e produtos de TI serão desenvolvidos, gerenciados e entregues aos seus usuários e clientes. Essa inter-relação de processos com os responsáveis é realizada por meio de matrizes de responsabilidades.
· Plano de TI: Consiste no principal produto do processo de alinhamento estratégico. Nele estão todos os detalhes de como a TI irá operar, dos investimentos a serem realizados e em que momento, do valor que deve gerar de retorno ao negócio e muito mais.
Decisão, compromisso, priorização e alocação de recursos
· Mecanismos de decisão: Os mecanismos de decisão definem “quem decide o que” em relação à TI dentro da organização em termos de organização, infraestrutura, arquitetura, investimentos necessários, políticas de segurança, estratégias de outsourcing etc.
· Critérios de decisão: Fundamentais para a priorização de investimentos. Portanto, saber a quais estratégias de negócio as iniciativas estão alinhadas ajuda a decidir quais serão aprovadas ou não.
· Portfólio de TI: É um instrumento para priorização dos investimentos de TI com base no retorno de projetos e ativos para a organização, e no seu alinhamento com os objetivos estratégicos do negócio.
Estruturas, processos, operação e gestão
· Projetos alocados: Todos os projetos com participação da TI devem ser planejados, executados, gerenciados e implementados.
· Operações de Serviços: São operações nas quais a TI fornece serviços aos usuários, gestores e até clientes da organização, fornecedores, parceiros etc. Todas devem ser catalogadas para que se tenha um acordo de nível de serviço estabelecido para o atendimento.
· Inovações: Ocorrem tanto no nível de processos de negócios como na tecnologia aplicada aos serviços. Todas devem ser documentadas, implementadas e controladas.
· Relacionamento com o cliente: É a interação dos usuários internos ou externos com a área de TI, abrangendo como os serviços de TI são demandados e entregues.
· Relacionamento com os fornecedores: É a interação da TI com seus fornecedores e prestadores de serviços, o que inclui como os serviços são demandados e entregues.
· Gestão de valor: Uma série de atividades deve ser conduzida para que a TI demonstre seu valor para o negócio em termos de custos relativos, transformação do negócio e apoio à estratégia do negócio e às medições decorrentes. Essas atividades podem ser realizadas por meio de reuniões periódicas ou por e-mail.
Medição do desempenho
· Gestão de desempenho de TI: Refere-se ao monitoramento dos objetivos de desempenho das operações de serviços em termos de desenvolvimento de aplicações, suporte aos serviços, entregados serviços, segurança da informação e seu monitoramento, assim como os acordos de níveis de serviços e de nível operacional, e contratos de apoio.
1. Assinale a opção que apresenta uma das dimensões de atuação do COBIT:
Critérios de informação
2. Assinale a opção que apresenta corretamente os componentes de um sistema de governança de TI, conforme o COBIT:
Gestão de demandas, plano de TI e gestão de valor
MÓDULO 2 - Identificar os habilitadores do framework do COBIT para governança e gestão de TI de uma organização
Conceito de habilitadores do COBIT
Habilitadores são instrumentos que vão permitir que a organização estabeleça um framework como o COBIT. É possível encontrar o termo facilitador como sinônimo de habilitador. O princípio do COBIT que descreve as categorias de habilitadores é chamado de visão holística.
Alguns dos habilitadores são recursos de uma organização que devem ser gerenciados e governados de maneira organizada e direcionada. Isto se aplica à informação, que é gerenciada como um recurso.
Algumas informações, tais como relatórios de gestão e informações de inteligência organizacional, são importantes habilitadores para a governança e a gestão da organização.
Uma organização sempre deverá considerar um conjunto de habilitadores interligados. Ou seja, cada habilitador:
· Necessita das informações dos demais habilitadores para ser plenamente efetivo, por exemplo, processos precisam de informações e modelos organizacionais necessitam de habilidades e comportamento.
· Produz resultados para o benefício dos demais habilitadores, por exemplo, os processos geram informações, e as habilidades e o comportamento tornam os processos eficientes.
Categoria de habilitadores do COBIT
Habilitadores são fatores que, individualmente e em conjunto, influenciam se algo funcionará — neste caso, a governança e a gestão corporativas da TI. Os habilitadores são orientados pela cascata de objetivos, ou seja, objetivos de TI em níveis mais altos definem o que os diferentes habilitadores deverão alcançar. Eles são os facilitadores para a governança de TI. O framework (modelo) do COBIT 5 descreve sete categorias de habilitadores:
· Habilitador 1: princípios, políticas e modelos
Os princípios são veículos para a tradução do comportamento desejado em orientações práticas para a gestão diária. Têm o objetivo de instruir e orientar o corpo diretivo da governança de TI e de gestores e comunicar as regras da empresa conforme os objetivos da governança, fazendo com que todos os envolvidos tenham conhecimento claro das regras e dos objetivos da organização.
As políticas que o COBIT 5 procura adotar e implementar na organização buscam um propósito efetivo ao trabalhar com os negócios e com a organização em geral; ser competentes e eficientes, política básica para qualquer pessoa que busca sucesso em sua área. As políticas devem ter lógica para aqueles que se submetem a elas e devem ser geridas por um framework comum aos usuários, garantindo amplo acesso a elas. As políticas devem abranger todas as áreas necessárias e devem ser adaptáveis, flexíveis e atualizáveis.
O propósito do ciclo de vida da política é suportar o framework para atingir os objetivos desejados, ou seja, estabelecer um padrão para que nele se encaixem outros padrões e a partir dessa base adicionar processos. O habilitador princípios, políticas e frameworks engloba: cultura, valor, ética, os processos e as estruturas organizacionais.
· Habilitador 2: processos
Processos descrevem um conjunto organizado de práticas e atividades para o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI.
As entradas e saídas são necessárias para geração do produto no processo. A partir de uma saída, que é um resultado, é preciso considerar uma série de entradas. No caso da gestão de TI e da governança de TI, os processos estão relacionados à tecnologia da informação e à governança corporativa. É preciso ter como entrada um conjunto de incidentes para então analisar os problemas e resultados dessas falhas e, por fim, estudar e encontrar a causa raiz dos problemas. Como resultado, teremos um erro mapeado e conhecido, portanto, gerenciar problemas é um processo. O processo faz parte não só do COBIT, mas do gerenciamento de serviços de infraestrutura. Assim:
Atividades de processos: são as orientações para alcançar as práticas de gerenciamento. Pode ser a forma de empregar uma técnica específica, como moer carne ou analisar incidentes em busca de erros conhecidos.
Práticas de processos: são as orientações para alcançar objetivos do processo.
· Habilitador 3: estruturas organizacionais
As estruturas organizacionais são as principais entidades de tomada de decisão de uma organização, que devem direcionar, organizar e estruturar as atividades de governança e gestão.
Para o funcionamento adequado dessas estruturas, é necessário que sejam definidas as disposições práticas sobre como a estrutura operará, a composição, as competências, responsabilidades de cada papel dentro da estrutura, duração do mandato, nível de autoridade e procedimento de escalação com as ações necessárias no caso de problemas com a tomada de decisão.
O habilitador estruturas organizacionais possui relacionamento com o habilitador princípios, políticas e modelos, pois as atividades que as estruturas organizacionais desempenham e seus níveis de autoridade são estabelecidos pelas políticas da organização. Também se relaciona com o habilitador processos à medida que os papéis e as estruturas organizacionais são associados às atividades de processo por meio de matrizes que descrevem o nível de envolvimento de cada papel em cada prática de processo: responsável, aprovador, consultado ou informado.
· Habilitador 4: cultura, ética e comportamento
A cultura, a ética e o comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão. Esse habilitador refere-se ao conjunto de comportamentos individuais e coletivos de cada organização. O comportamento de todos os membros da organização determina a sua cultura, logo, o comportamento humano é o fator-chave para o sucesso em uma organização. Por esse motivo, recomenda-se a conscientização do comportamento que a organização deseja, sendo reforçado por exemplos comportamentais exercidos pela alta administração, pelos executivos e gestores.
O habilitador cultura, ética e comportamento se relaciona com o habilitador princípios, políticas e modelos, pois aquele é um mecanismo de comunicação muito importante dos valores corporativos e do comportamento desejado. Também se relaciona com o habilitador processos, pois os resultados dos processos serão alcançados somente se as partes interessadas dos processos se comprometerem a realizar as atividades do processo conforme planejado. Se relaciona ainda com o habilitador estruturas organizacionais, porque as pessoas responsáveis por essas estruturas precisam estar comprometidas com a implementação das decisões que elas tomam.
· Habilitador 5: informação
A informação permeia qualquer organização e inclui todas as informações produzidas e usadas pela empresa. A informação é necessária para manter a organização em funcionamento e bem governada, mas, no nível operacional, a informação por si só é muitas vezes o principal produto da organização.
Para cada tipo de informação existente na organização, é necessário identificar as partes interessadas na informação, bem como o relacionamento entre essas partes e o tipo de informação. Esses relacionamentos definem quem é o produtor da informação, quem aprova a informação, quem é informado sobre ela e quem pode utilizá-la.
O habilitador informação interage com todos os demais habilitadores.
· Habilitador 6: serviços, infraestrutura e aplicativos
Esse habilitador inclui a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de tecnologia da informação.
As capacidades de serviços têm um ciclo de vida