5-UNIP - Governança de TI - COBIT

Prévia do material em texto

Prof. Mario Carvalho
Governança de 
TI
2020 / 2
https://www.youtube.com/watch?v=lwzlU64C3w0&ab_channel=PatriciaLages-DicasdeEconomia
Por que utilizar padrões?
COBIT
O COBIT auxilia as organizações na criação de valor para TI, mantendo o equilíbrio
entre a realização de benefícios e a otimização dos níveis de risco e o uso de recursos. 
Tem como objetivos:
· oferecer um framework abrangente que auxilia as organizações a otimizar o valor gerado 
pela TI;
· permitir que a TI seja governada e gerenciada de forma holística para toda a organização.
· criar uma linguagem comum entre TI e negócios para a governança e gestão de TI 
corporativa.
COBIT
COBIT, desenvolvido e difundido pelo ISACA (Information System Audit and
Control) e lançado no final de 2012, é um framework de governança e gestão 
corporativa de TI
COBIT
COBIT
Gerenciamento
de recursos
Domínios
Governança 
de TI
▪ Consiste em alinhar os objetivos de TI aos 
objetivos de Negócio
▪ Para tanto, é preciso que o Plano 
Estratégico de TI seja baseado no Plano 
Estratégico de Negócio
▪ Foco em soluções que contribuam para o 
crescimento da empresa ou cumprimento 
de requisitos
▪ Pode ser utilizado o BSC para desdobrar a 
estratégia da organização
Áreas de foco da Governança de TI, segundo COBIT
COBIT
Gerenciamento
de recursos
Domínios
Governança 
de TI
▪ Foca na otimização de custos para 
fornecer maior valor
▪ Busca a compreensão dos níveis de 
serviço necessários para entregar valor a 
área de negócio
Áreas de foco da Governança de TI, segundo COBIT
COBIT
Gerenciamento
de recursos
Domínios
Governança 
de TI
▪ Requer Conscientização dos gestores da 
empresa e compreensão clara do apetite 
para riscos
▪ Foco nos planos de recuperação para 
manter continuidade do negócio
▪ Exige transparência, avaliação e 
conscientização contínua
Áreas de foco da Governança de TI, segundo COBIT
COBIT
Gerenciamento
de recursos
Domínios
Governança 
de TI
▪ Foca na otimização da alocação de 
recursos
▪ Maximização da eficiência dos recursos
▪ Inclui preocupações com treinamentos
▪ Engloba ainda controle de serviços 
terceirizados
Áreas de foco da Governança de TI, segundo COBIT
COBIT
Gerenciamento
de recursos
Domínios
Governança 
de TI
▪ Acompanha e monitora a implantação da 
estratégia, condução dos projetos, uso dos 
recursos e desempenho dos processos
▪ Pode ser utilizado um BSC de TI para 
definir e acompanhar metas
▪ Inclui realização de auditorias
Áreas de foco da Governança de TI, segundo COBIT
COBIT
5 
Princípios
7 Habilitadores
37 Processos de TI
Mais de 1.500 Práticas de Controle 
Áreas de foco da Governança de TI, segundo COBIT
COBIT
Fonte: Isaca
Áreas de foco da Governança de TI, segundo COBIT
COBIT
1º Princípio: Atender às Necessidades das Partes Interessadas
Organizações existem para criar valor para suas partes interessadas mantendo o equilíbrio entre a realização de 
benefícios e a otimização do risco e uso dos recursos.
Fonte: Isaca
Princípios
COBIT
2º Princípio: Cobrir a Organização de Ponta a Ponta
O COBIT 5 integra a governança corporativa de TI organização à governança corporativa
Fonte: Isaca
Princípios
COBIT
3º Princípio: Aplicar um Modelo Único Integrado
Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de 
atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode 
servir como o um modelo unificado para a governança e gestão de TI da Organização.
Fonte: Isaca
Princípios
COBIT
4º Princípio: Permitir uma Abordagem Holística 
Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem holística, levando em 
conta seus diversos componentes interligados:
- Princípios, Políticas e Modelos
- Processos
- Estruturas Organizacionais
- Cultura, Ética e Comportamento
- Informação
- Serviços, Infraestrutura e Aplicativos
- Pessoas, Habilidades e Competências os objetivos corporativos
Princípios
COBIT
5º Princípio: Distinguir a Governança da Gestão 
O modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de
atividades, exigem modelos organizacionais diferenciadas e servem a propósitos diferentes. 
- Governança
A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar
objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e
monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.
Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do
presidente. Responsabilidades de governança específicas podem ser delegadas a modelos organizacionais especiais no nível
adequado, especialmente em organizações complexas de grande porte.
- Gestão
A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância
com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.
Princípios
COBIT
Processos de Governança
Contém 1 domínio Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
com 5 processos de governança. 
Estes processos ditam as responsabilidades da alta direção para a avaliação, direcionamento e 
monitoração do uso dos ativos de TI para a criação de valor. 
Este domínio cobre a definição de um framework de governança, o estabelecimento das 
responsabilidades em termos de valor para a organização (ex. critérios de investimento), fatores de risco 
(ex. apetite ao risco) e recursos (ex. otimização de recursos), além da transparência da TI para as partes 
interessadas
Processos
COBIT
Processos de Gestão
· Alinhar, Planejar e Organizar (Align, Plan and Organise - APO) - Contém 13 processos.
Identificação de como a TI pode contribuir com os objetivos corporativos. Processos específicos relacionados com a estratégia
e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança. 
· Construir, Adquirir e Implementar (Build, Acquire and Implement - BAI) - Contém 10 processos.
O domínio BAI torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de 
investimentos em TI e projetos associados. Este domínio também endereça o gerenciamento da disponibilidade e capacidade; 
mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e 
conhecimento. 
· Entregar, Serviços e Suporte (Deliver, Service and Support - DSS) - Contém 6 processos
O domínio DSS se refere à entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos. O domínio 
inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas,
continuidade, serviços de segurança e controle de processos de negócio.
· Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess - MEA) – Contém3 processos
O domínio MEA visa monitorar o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os 
requisitos externos.
Processos
COBIT
No COBIT 5: Enabling Processes, cada um dos 37 processos são desdobrados em práticas de 
governança ou práticas de gestão.
COBIT
COBIT
Facilitadores
COBIT
Avaliação da capacidade dos 
processos de TI da organização, 
baseado na norma ISO/IEC 15504 
de Engenharia de Software 
(norma de avaliação de 
processos)
Modelo de Capabilidade do Processo
COBIT
Modelo de Capabilidade do Processo
COBIT
Descrição do Processo
COBIT
Descrição do Processo
COBIT
Descrição do Processo
COBIT
5 
Princípios
7 Habilitadores
37 Processos de TI
Mais de 1.500 Práticas de Controle 
Áreas de foco da Governança de TI, segundo COBIT
COBIT
NoCOBIT 5: Enabling Processes, cada um dos 37 processos são desdobrados em práticas de 
governança ou práticas de gestão.
COBIT
Descrição do Processo
COBIT
Descrição do Processo
COBIT
Avaliação da capacidade dos 
processos de TI da organização, 
baseado na norma ISO/IEC 15504 
de Engenharia de Software 
(norma de avaliação de 
processos)
Modelo de Capabilidade do Processo
COBIT
Modelo de Capabilidade do Processo
COBIT
Ciclo de Vida da Implantação
COBIT
Elaborar um estudo de caso para a implementação e melhoria da governança e 
gestão de TI:
- Reconhecer os pontos fracos mais comuns e os eventos desencadeadores-
- Criar o ambiente apropriado para a implementação 
- Aplicar o COBIT para identificar falhas e orientar o desenvolvimento de habilitadores tais 
como políticas, processos, princípios, estruturas organizacionais bem como funções e 
responsabilidades
Considerar o Contexto da Organização:
A governança e gestão corporativa de TI organização não ocorre no vácuo. Cada 
organização deve elaborar seu próprio plano ou roteiro de implementação, dependendo de 
fatores específicos do ambiente interno e externo da organização tais como:
- Ética e cultura
- Leis, regulamentos e políticas aplicáveis
- Missão, visão e valores
- Políticas e práticas de governança
- Plano de negócios e intenções estratégicas
- Modelo operacional e nível de maturidade
- Estilo de gestão
- Apetite ao risco (risk appetite)
- Capacidades e recursos disponíveis
- Práticas da indústria
Implementação
COBIT
O estudo de caso deve incluir, no mínimo, o seguinte:
- Os benefícios almejados para a organização, seu alinhamento com a estratégia de negócios e os 
respectivos responsáveis pelo benefício (que serão os responsáveis na organização pela sua garantia). Isto 
pode basear-se em pontos fracos e eventos desencadeadores.
- As mudanças nos negócios necessárias para criar o valor esperado. Isto pode basear-se em verificações 
de integridade e análises de falhas na capacidade e devem indicar claramente o que está incluído no 
escopo e o que não está.
- Os investimentos necessários para criar as mudanças na governança e gestão de TI da organização (com 
base nas estimativas dos projetos necessários)
- Os custos fixos do negócio e de TI
- Os benefícios esperados da operação após a mudança
- O risco inerente nos pontos acima, inclusive quaisquer restrições ou dependências (com base nos 
desafios e fatores de sucesso)
- Funções e responsabilidades relacionadas à iniciativa
- Como o investimento e a criação de valor serão monitorados durante todo o ciclo de vida econômico, e 
como os indicadores serão usadas (com base nas metas e resultados)
Implementação
COBIT
Reconhecer Pontos de Dor e Eventos Desencadeadores
Exemplos:
- Frustração da organização com iniciativas fracassadas, aumentando os custos de TI e a percepção 
de baixo valor para o negócio
- Incidentes significativos relacionados ao risco de TI para o negócio, tais como perda de dados ou 
falha em projetos
- Problemas com a terceirização da prestação de serviços, tais como o não cumprimento de forma 
consistente dos níveis de serviço acordados
- Não cumprimento das exigências regulatórias ou contratuais
- Limitações de TI na capacidade de inovação e agilidade dos negócios da organização
- Descobertas das auditorias regulares sobre o fraco desempenho de TI ou relatórios de problemas 
com a qualidade de TI
- Gastos com TI ocultos e não autorizados
- Duplicação ou sobreposição das iniciativas ou desperdício de recursos
- Recursos de TI insuficientes, pessoal com competências inadequadas ou insatisfação ou 
esgotamento do pessoal
- Mudanças relacionadas com a TI que não atendem às necessidades da organização e demoram a 
dar retorno ou estouram o orçamento
- Membros da diretoria, executivos ou gerentes seniores que relutam em se envolver com TI, ou falta 
de patrocinadores comprometidos e satisfeitos para área de TI da organização
- Múltiplos e complexos modelos operacionais de TI
Implementação
COBIT
Implementação
COBIT
Os principais fatores para uma implementação bem-sucedida incluem:
- Fornecimento pela alta administração da orientação e da ordem para a iniciativa, bem como 
o compromisso e o apoio visíveis e contínuos
- Apoio aos processos de governança e gestão por todas as partes a fim de entender os 
objetivos de TI e os da organização
- Garantia de comunicação efetiva e capacitação das mudanças necessárias
- Adaptação do COBIT e demais padrões e boas práticas de apoio a fim de atender ao 
contexto único da organização
- Foco em resultados rápidos e priorização das melhorias mais benéficas que são mais fáceis 
de implementar
Implementação
COBIT
COBIT
ATIVIDADE DE APROFUNDAMENTO