COBIT 2019
Conceitos iniciais
Sistema de Governança
O sistema de governança é o conjunto de componentes que trabalham juntos para atingir os objetivos da empresa. É o que a organização implementa e opera no dia a dia.
- Processos;
- Estruturas Organizacionais;
- Princípios, Políticas e Procedimentos;
- Fluxos de Informação;
- Cultura, Ética e Comportamento;
- Pessoas, Habilidades e Competências;
- Serviços, Infraestrutura e Aplicativos
Framework de Governança
O framework é a estrutura lógica e teórica que fornece as regras, os princípios e os componentes necessários para construir o sistema.
Princípios do COBIT
Princípios para um Sistema de Governança
- Prover Valor aos Stakeholders: O sistema deve equilibrar a geração de benefícios, a otimização de riscos e o uso eficiente de recursos para satisfazer as necessidades dos proprietários e acionistas.
- Abordagem Holística: A governança não é apenas sobre processos; ela depende da interação de 7 componentes (pessoas, cultura, infraestrutura, etc.) trabalhando juntos.
- Sistema de Governança Dinâmico: O sistema deve ser capaz de se adaptar. Sempre que um “fator de design” muda (como uma nova estratégia ou tecnologia), o impacto dessa mudança no sistema deve ser considerado.
- Governança Distinta da Gestão: Esta é a regra de ouro. A Governança (Diretoria/Conselho) avalia, direciona e monitora, enquanto a Gestão (Executivos/Gerência) planeja, constrói, executa e monitora as atividades.
- Ajustado às Necessidades da Empresa: Não existe “tamanho único”. O sistema deve ser customizado usando fatores de design para refletir o contexto específico da organização.
- Sistema de Governança de Ponta a Ponta: A governança não deve focar apenas no departamento de TI, mas sim em todas as funções e processos que processam informações e tecnologia em toda a empresa.
Princípios para um Framework de Governança
- Baseado em Modelo Conceitual: O framework deve identificar os componentes principais e as relações entre eles para garantir consistência e permitir a automação.
- Aberto e Flexível: O framework deve permitir a inclusão de novos conteúdos e a capacidade de lidar com novos problemas da forma mais flexível possível.
- Alinhado aos Principais Padrões: O COBIT não tenta reinventar a roda; ele deve estar alinhado com outros frameworks e normas importantes (como ISO, ITIL e NIST).
Fatores de desenho
Os Fatores de Desenho (Design Factors) são os ajustes para transformar o COBIT, que é um modelo genérico, em um Sistema de Governança personalizado para a realidade da organização.
| Fator de Desenho | Descrição |
|---|---|
| Estratégia da Empresa | O tipo de estratégia adotada (ex: defensiva, agressiva, inovadora) afeta os objetivos e prioridades da governança. |
| Objetivos da Empresa | Quais objetivos a organização deseja alcançar (ex: crescimento, compliance, eficiência operacional). |
| Perfil de Risco | O apetite e a exposição ao risco influenciam o nível de controle necessário nos processos de governança. |
| Ambiente de Ameaças | Refere-se ao nível e tipo de ameaças externas à segurança, privacidade e continuidade de negócio. |
| Requisitos de Conformidade | Leis, regulamentos e políticas internas que devem ser observadas. |
| Funções de TI | Como a TI está organizada (centralizada, descentralizada, terceirizada etc.). |
| Terceirização de Serviços de TI | Grau de dependência de terceiros para fornecer serviços de TI. |
| Modelo de Implementação de TI | Como a TI é implementada: tradicional, ágil, bimodal etc. |
| Métodos de Desenvolvimento | Metodologias usadas no desenvolvimento de sistemas (ex: ágil, cascata). |
| Uso de Tecnologias Emergentes | Nível de adoção de novas tecnologias como IA, IoT, blockchain etc. |
| Adoção de Frameworks Padrão | Uso de outros frameworks, como ITIL, TOGAF, ISO/IEC 27001, etc., e sua integração com o COBIT. |
Cascata de objetivos
O propósito principal da cascata é garantir o alinhamento estratégico, traduzindo as necessidades abstratas dos acionistas em objetivos técnicos e práticos para quem opera a tecnologia.
Objetivos corporativos
Dimensão Financeira
- Portfólio de produtos e serviços competitivos: Foco em inovação e agilidade no mercado.
- Gestão de risco de negócio: Garantir a mitigação de riscos (segurança, conformidade).
- Conformidade com leis e regulamentações externas: Cumprimento de normas legais.
- Qualidade do suporte financeiro: Gestão de custos e transparência financeira.
Dimensão do Cliente
- Cultura de serviço orientada ao cliente: Foco no atendimento e satisfação dos usuários.
- Continuidade e disponibilidade do serviço de negócio: Garantir que os serviços essenciais não parem.
- Respostas ágeis às mudanças de negócio: Capacidade de adaptação da TI às mudanças.
- Tomada de decisão estratégica com base em informações: Uso de dados para direcionar o negócio.
Dimensão Interna
- Otimização de custos de entrega de serviços: Eficiência operacional.
- Otimização da funcionalidade dos processos de negócio: Melhoria contínua de processos.
- Otimização de custos de recursos: Eficiência no uso de ativos de TI.
Dimensão de Aprendizado e Crescimento
- Pessoal qualificado e motivado: Gestão de talentos e competências.
- Cultura de inovação de produtos e negócios: Fomento a novas ideias.
Objetivos de alinhamento
- Portfólio de produtos e serviços de TI: Alinhamento dos serviços de TI com as necessidades do negócio.
- Benefícios da TI na entrega de valor: Porcentagem de investimentos em TI que entregam os benefícios prometidos.
- Qualidade das informações financeiras: Transparência e acuracidade das informações financeiras geradas pela TI.
- Segurança da informação e privacidade de dados: Redução de incidentes que comprometem confidencialidade, integridade e disponibilidade.
- Conformidade da TI com leis/regulações: Adequação aos requisitos regulatórios externos.
- Conformidade da TI com políticas internas: Aderência aos procedimentos internos e normas de governança.
- Gerenciamento de riscos de TI: Integração dos riscos de TI nas avaliações empresariais.
- Entregas de programas (prazo, custo, qualidade): Projetos entregues conforme o planejado.
- Competência e motivação da equipe: Equipe de TI qualificada e engajada.
- Conhecimento das tecnologias: Capacidade da equipe de TI em adotar e manter tecnologias relevantes.
- Qualidade da informação produzida pela TI: Informação confiável para tomadas de decisão.
- Experiência dos usuários com TI: Satisfação do cliente interno com a agilidade e soluções de TI.
- Soluções de TI integradas: Aplicações que suportam os processos de negócio de forma integrada.
Domínios
O COBIT 2019 organiza seus processos de governança e gestão em 5 domínios, divididos em 40 objetivos de governança e gestão.
Domínio: EDM – Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor)
Foco na governança da TI.
| Código | Nome do Processo |
|---|---|
| EDM01 | Garantir a Definição e Manutenção do Modelo de Governança |
| EDM02 | Garantir a Entrega de Benefícios |
| EDM03 | Garantir a Otimização de Riscos |
| EDM04 | Garantir a Otimização de Recursos |
| EDM05 | Garantir a Transparência das Partes Interessadas |
Domínio: APO – Alinhar, Planejar e Organizar (Align, Plan and Organize)
Trata da estratégia e organização de TI.
| Código | Nome do Processo |
|---|---|
| APO01 | Gerenciar a Estrutura de Gestão de TI |
| APO02 | Gerenciar Estratégia |
| APO03 | Gerenciar Arquitetura Empresarial |
| APO04 | Gerenciar Inovação |
| APO05 | Gerenciar Portfólio |
| APO06 | Gerenciar Orçamento e Custos |
| APO07 | Gerenciar Recursos Humanos |
| APO08 | Gerenciar Relacionamentos |
| APO09 | Gerenciar Acordos de Serviço |
| APO10 | Gerenciar Fornecedores |
| APO11 | Gerenciar Qualidade |
| APO12 | Gerenciar Riscos |
| APO13 | Gerenciar Segurança |
| APO14 | Gerenciar Dados |
Domínio: BAI – Construir, Adquirir e Implementar (Build, Acquire and Implement)
Trata do desenvolvimento e implementação de soluções.
| Código | Nome do Processo |
|---|---|
| BAI01 | Gerenciar Programas |
| BAI02 | Gerenciar Requisitos |
| BAI03 | Gerenciar Identificação e Construção de Soluções |
| BAI04 | Gerenciar Disponibilidade e Capacidade |
| BAI05 | Gerenciar Mudanças Organizacionais |
| BAI06 | Gerenciar Mudanças de TI |
| BAI07 | Gerenciar Aceite e Transição de TI |
| BAI08 | Gerenciar Conhecimento |
| BAI09 | Gerenciar Ativos |
| BAI10 | Gerenciar Configurações |
| BAI11 | Gerenciar Projetos |
Domínio: DSS – Entregar, Servir e Suportar (Deliver, Service and Support)
Trata da entrega e suporte dos serviços de TI.
| Código | Nome do Processo |
|---|---|
| DSS01 | Gerenciar Operações |
| DSS02 | Gerenciar Requisições de Serviço e Incidentes |
| DSS03 | Gerenciar Problemas |
| DSS04 | Gerenciar Continuidade |
| DSS05 | Gerenciar Serviços de Segurança |
| DSS06 | Gerenciar Controles de Processos de Negócio |
Domínio: MEA – Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess)
Trata da avaliação e melhoria contínua da governança.
| Código | Nome do Processo |
|---|---|
| MEA01 | Desempenho e Conformidade |
| MEA02 | Sistema de Controle Interno |
| MEA03 | Conformidade com Regulações Externas |
| MEA04 | Garantia |
Níveis de capacidade
Se relaciona aos processos
Níveis de maturidade
Se relaciona às áreas foco
