Este site usa cookies e tecnologias afins que nos ajudam a oferecer uma melhor experiência. Ao clicar no botão "Aceitar" ou continuar sua navegação você concorda com o uso de cookies.

Aceitar

COBIT

COBIT 2019: O Guia Completo para Governança de TI

Renê Chiari
Escrito por Renê Chiari

O que é COBIT 2019?

O COBIT é um framework globalmente reconhecido e utilizado para Governança de TI. De forma simples, o COBIT está para a Governança de TI assim como o ITIL está para o Gerenciamento de TI.

Mas antes de explorarmos os detalhes sobre o COBIT, é importante descrever o contexto no qual ele está inserido: A Governança Corporativa de Tecnologia e Informação.  

Entendendo a diferença entre Governança, Governança Corporativa e Governança de TI

Em primeiro lugar: o que significa o termo GOVERNANÇA?

Dependendo da fonte, você terá definições ligeiramente diferentes.

O dicionário Michaelis traz a seguinte definição:

Ação, resultado ou efeito de governar ou de se governar (orientar); 

A wikipedia apresenta uma definição mais ampla, que eu acho bem interessante. 

A governança compreende todos os processos de governar – seja pelo governo de um estado, por um mercado ou por uma rede ou através de leis, normas, poder ou linguagem de uma sociedade organizada. Em outras palavras, poderia ser descrito como os processos políticos que existem em e entre instituições formais.

O fato é que o termo ‘governança’ é onipresente.

O Banco Mundial e o Fundo Monetário Internacional condicionam os empréstimos às instituições caso elas tenham uma ‘boa governança’. 

As mudanças climáticas e pandemias como a do coronavírus aparecem como questões de ‘governança global’. 

Isso significa que a governança é usada em uma variedade de contextos. Mas em geral, governança se refere a todas as formas de coordenação social e padrões de governo, seja ele em qualquer esfera, pública ou privada.

Dito isso e agora delimitando um pouco mais a governança para um contexto empresarial, temos a chamada governança corporativa, ou governança empresarial.

O que é Governança Corporativa (Empresarial)?

Uma boa definição pra Governança corporativa é a seguinte:

Um  sistema de regras, práticas e processos pelos quais uma empresa é dirigida e controlada. 

A governança corporativa envolve essencialmente o equilíbrio dos interesses das várias partes interessadas de uma empresa. Por ex.: acionistas, executivos da alta administração, clientes, fornecedores, acionistas, o governo e a comunidade.

Como a governança corporativa também fornece a estrutura para atingir os objetivos de uma empresa, ela abrange praticamente todas as esferas da gestão, desde planos de ação e controles internos até medição de desempenho e divulgação corporativa.

Embora seja uma definição longa, ela define bem algumas características importantes da governança corporativa:

  • O fato de, essencialmente, dar direção para as empresas;
  • Requer envolvimento do alto escalão da empresa. Governança não se se estabelece de baixo pra cima. É de cima pra baixo; e
  • Que governança não é o mesmo que gerenciamento.

Instâncias da Governança

A governança corporativa envolve as políticas e procedimentos abrangentes que são permeados nas organizações para defender e implementar os interesses das partes interessadas. Para isso, ela envolve algumas instâncias de governança. 

Instâncias da governança corporativa
Instâncias da governança corporativa
  • Governança da informação. É parte da governança corporativa e tem uma visão de alto nível das informações que são geradas, usadas e processadas, inclusive pelos sistemas de Tecnologia.  A governança da informação se concentra em fazer uso e otimizar as informações para apoiar a tomada de decisão e também manter as informações seguras para atender às obrigações legais e de privacidade
  • Governança dos dados. É uma instância mais granular, que consiste em processos, métodos e técnicas para garantir que os dados em nível bruto sejam únicos, confiáveis ​​e de alta qualidade. 
  • Governança de TI. Essa é uma instância inevitável nos dias de hoje. Praticamente todas as informações e dados de uma empresa são processadas por tecnologia. 

A maioria dos negócios hoje são habilitados por tecnologia, e isso implica que a TI não pode mais ser considerada como um bicho papão das empresas e ficar restrita a um departamento no subsolo da empresa.  A TI é responsabilidade crítica e fundamental do conselho administrativo das empresas. 

Dentro desse contexto, surge a necessidade de uma governança empresarial de informação e tecnologia, mais conhecida pelo termo EGIT (Enterprise Governance of Information & Technology)

A Governança Empresarial de Tecnologia e Informação 

A Governança Empresarial de Tecnologia e Informação nada mais é do que uma instância conectada com a governança corporativa, e que tem sob a sua tutela a governança de TI, governança da informação e governança de dados, cujo objetivo macro é gerar valor através do alinhamento entre a TI e o negócio.

Aqui cabe um comentário a respeito de duas expressões: Governança de TI e Governança Empresarial de Tecnologia da Informação.

Todas as literaturas importantes (lê-se o COBIT) usam a segunda expressão. Mais longa, pomposa e difícil de ser conjugada no dia a dia. 

O motivo dessa preocupação é para tornar claro que a Tecnologia e Informação (I&T) significa toda a tecnologia e processamento de informações que a empresa utiliza para atingir seus objetivos, independentemente de onde isso aconteça na empresa.

Em outras palavras, a tecnologia e Informação não se limita ao departamento de TI de uma organização. Mas certamente o inclui.

De toda forma, vamos convencionar o termo Governança de TI, que é muito mais prático. =)

O COBIT como framework de Governança de TI 

Origem e evolução do COBIT

Histórico e evolução do COBIT
Histórico e evolução do COBIT

O COBIT foi lançado em 1996, pela ISACA, que é a instituição que desenvolve e cuida do COBIT até hoje. Originalmente o COBIT surgiu como um conjunto de objetivos de controle para ajudar a comunidade de auditoria financeira a lidar melhor com ambientes relacionados a TI. 

Os arquitetos do COBIT perceberam que havia um potencial de expansão dele além do domínio de auditoria. Então a ISACA lançou uma versão mais ampla, o COBIT 2.

E logo em seguida expandiu ainda mais o alcance do COBIT, adicionando diretrizes de gerenciamento na versão 3. 

Depois disso, com o desenvolvimento do padrão australiano [AS 8015] e a norma ISO/IEC DIS 29382, que logo se tornou a ISO/IEC 38500, houve um aumento da  conscientização sobre a necessidade de mais componentes de governança de tecnologias e informação.

Logo em seguida, a ISACA lançou as versões 4 e 4.1 do COBIT. Ao mesmo tempo, lançou outros dois frameworks complementares, o Val IT e o Risk IT. Estes respectivamente eram focados nos processos e responsabilidades de negócios relacionados à TI na criação de valor e gerenciamento de risco.

Em 2012 surge o COBIT 5. E uma das principais alterações foi a sua integração com outros conjuntos de boas práticas e metodologias. Por exemplo, a ISO, ITIL, e também a integração do Val IT e do Risk IT, que até então eram frameworks separados do COBIT.

Finalmente, em abril de 2019, foi lançada a versão mais recente do COBIT, o COBIT 2019. O principal update desta versão trata de orientações que ajudam a organização a criar uma solução personalizada de governança de TI. Especificamente os fatores de desenho e as áreas de foco.

Publicações essenciais do COBIT 2019

Existem  4 publicações consideradas a essência do COBIT 2019.

Publicações essenciais do COBIT 2019
Publicações essenciais do COBIT 2019

COBIT 2019 Framework – Introdução e metodologia

É o coração do COBIT, que detalha os princípios chave da governança, fornece explicações sobre conceitos chave com exemplos, e explica a estrutura geral do framework do COBIT, incluindo o modelo essencial do COBIT 

COBIT 2019 Framework – Objetivos de governança e gerenciamento

Contém uma descrição detalhada do modelo central do COBIT e dos 40 objetivos de governança e gerenciamento. Cada um dos objetivos identifica e vincula seus processos, metas empresariais, e práticas de governança e gerenciamento relacionados.

COBIT 2019 Design Guide – Desenhando uma solução de governança de tecnologia e informação

Orienta uma aplicação prática do COBIT, com orientações de como adaptar um sistema de governança para a sua organização.

COBIT 2019 Implementation Guide – Implementando e otimizando uma solução de governança e gerenciamento de tecnologia e informação

Esse recurso, quando combinado com o design guide, torna a implementação mais prática e personalizada para as necessidades especificas de governança

Além das publicações principais, a ISACA também oferece uma variedade de materiais adicionais no site, como artigos, papers , webinários e outros materiais muito interessantes.

Adicionalmente, a ISACA tem um membership anual, o MyISACA (pago), onde você tem acesso a materiais exclusivos, além de acesso aos chapters, que são pequenas comunidades locais da ISACA espalhadas por todo mundo. No Brasil há capítulos em SP, RJ, DF e BH. 

Como se certificar em COBIT 2019?

Existem 4 certificações do COBIT 2019. Saiba quais são e qual o custo de cada uma delas a seguir.

COBIT 2019 foundation

É a certificação de entrada do COBIT. Os candidatos ao certificado exploram conceitos, princípios e metodologias do COBIT 2019 usados para estabelecer, aprimorar e manter um sistema de governança e gerenciamento eficaz da TI

Sobre o exame COBIT 2019 Foundation:

  • Não há pré-requisitos.
  • 2 horas de duração
  • 75 questões de múltipla escolha. 
  • Desempenho mínimo de 65% para ser aprovado
  • Disponível nos idiomas: inglês, espanhol e chinês (ainda sem previsão para o exame em português).
  • Preço do exame: USD 175, podendo ser adquirido diretamente no site da ISACA.
  • O exame pode ser feito online com o acompanhamento de um fiscal de exame da ISACA.

COBIT 2019 Design and Implementation

Essa é uma certificação que cobre os dois guias do COBIT, o Design Guide e o Implementation Guide. É um exame mais profundo sobre a implementação do COBIT em ambientes reais.

Sobre o exame COBIT 2019 Design and Implementation:

  • Pré-requisito ter a certificação do COBIT 2019 foundation
  • 3 horas de duração
  • 60 questões de múltipla escolha
  • desempenho mínimo de 60% para ser aprovado
  • Disponível apenas no idioma inglês 
  • Preço do exame: USD 275

Implementing NIST using COBIT 2019

Os candidatos ao certificado exploram o framework de Segurança Cibernética do NIST, seus objetivos, etapas de implementação e a capacidade de aplicar as informações no ambiente de uma organização. O exame é para indivíduos que têm uma compreensão básica tanto do COBIT 2019 quanto dos conceitos de segurança, e que estão envolvidos na construção do programa de cibersegurança e suas empresas 

Sobre o exame Implementing NIST using COBIT 2019:

  • Pré-requisito ter a certificação do COBIT 2019 foundation
  • 1,5 horas de duração
  • 50 questões de múltipla escolha
  • desempenho mínimo de 65% para ser aprovado
  • Disponível apenas no idioma inglês 
  • Preço do exame: USD 275

COBIT 2019 Foundation Bridge

Caso você já tenha a certificação COBIT 5 Foundation, está elegível para o exame bridge do COBIT 2019. 

Trata-se de um exame menor, com menor custo e com a vantagem de estar disponível em português.

Portanto, se você já tem a certificação do COBIT 5 Foundation (e somente neste caso), vale a pena fazer o exame bridge.

Sobre o exame COBIT 2019 Foundation Bridge:

  • Pré-requisito ter a certificação do COBIT 5 foundation
  • 40 minutos de duração
  • 20 questões de múltipla escolha
  • desempenho mínimo de 75% para ser aprovado
  • Disponível no idioma português
  • Preço do exame: USD 224

Quais são os principais elementos do COBIT 2019?

Princípios do COBIT 2019

Se você conhece a versão anterior do COBIT, deve lembrar que o COBIT 5 descrevia 5 princípios. Agora, no COBIT 2019, houve uma expansão destes conceitos. 

São dois conjuntos de princípios dentro do COBIT. Um conjunto de princípios para um sistema de governança, e outro conjunto para um framework de governança. 

Princípios de um sistema de governança

O COBIT 2019 define 6 princípios de um sistema de governança

  • Prover valor para as partes interessadas.
  • Abordagem holística
  • Sistema de governança dinâmico
  • Governança distinta do gerenciamento
  • Adaptar-se às necessidades da empresa
  • Sistema de governança fim-a-fim

Princípios de um framework de governança

O COBIT 2019 define 4 princípios para um framework de governança. São eles:

  • Baseado em um modelo conceitual
  • Aberto e flexível
  • Alinhado com principais padrões

Componentes de um sistema de governança

Componentes são quaisquer fatores que contribuem para um sistema de governança. Os componentes interagem entre si para criar uma forma abrangente e holística de governança. 

O COBIT 2019 define um grupo de 7 componentes. São eles:

  • Processos, 
  • Estruturas organizacionais
  • Princípios, políticas e procedimentos
  • Informação
  • Cultura, ética e comportamento
  • Pessoas, habilidades e competências
  • Serviços, infraestrutura e aplicações

Áreas de foco

As áreas de foco são uma das inovações que o COBIT 2019 trouxe com relação à versão anterior, o COBIT5.

Uma área de foco pode ser um tópico, domínio ou problema que pode ser mitigado por um objetivo de governança ou gerenciamento. 

Com isso, torna-se possível definir áreas ou temas dentro da sua empresa para onde os esforços da governança devem ser direcionados, independentemente do tamanho da empresa e do setor em que ela atua. 

Dentre os inúmeros exemplos de áreas de foco, podemos destacar:

  • segurança cibernética
  • computação em nuvem
  • privacidade de dados
  • transformação digital 
  • DevOps
  • Pequenas e médias empresas (SMB)

Fatores de desenho

Fatores de desenho são uma outra inovação do COBIT 2019, e possivelmente o que torna o COBIT 2019 tão interessante e poderoso.

Os fatores de desenho são parâmetros que influenciam e ajudam a delinear o sistema de governança de uma organização. 

O sucesso na entrega de valor pode significar coisas diferentes, dependendo da empresa.

Os fatores de desenho ajudam uma organização a obter sucesso com a governança de TI, influenciando a concepção de um programa de governança que atenda ao propósito de sucesso daquela empresa em especial.

O COBIT descreve uma lista de fatores de desenho. São eles:

  • Estratégia empresarial
  • Metas empresariais
  • Perfil de risco
  • Questões relacionadas à Tecnologia e informação
  • Cenário de ameaças
  • Requisitos de conformidade
  • Papel da TI
  • Modelo de sourcing para a TI
  • Métodos de implementação da TI
  • Estratégia de adoção de tecnologias
  • Tamanho da empresa

Cascata de metas

O cascateamento de metas é um recurso do COBIT onde as necessidades das partes interessadas são traduzidas em uma estratégia acionável. Ou seja, uma estratégia que pode ser colocada de fato em prática.

O cascateamento de metas é um fator-chave de um programa de governança. Ele apóia a priorização de objetivos com base nas necessidades e nas metas da empresa. 

Cascata de metas do COBIT 2019
Cascata de metas do COBIT 2019

Os direcionadores e as necessidades das partes interessadas são cascateados para metas da empresa. Depois, as metas da empresa se desdobram em metas de alinhamento. E finalmente, as metas de alinhamento são desdobradas em objetivos de governança e gerenciamento. 

O COBIT sugere um conjunto de metas empresariais, baseadas nas dimensões do balanced scorecard e que são uma espécie de consenso. São metas genéricas e perfeitamente aplicáveis para a maioria das empresas.

Modelo essencial do COBIT

O COBIT apresenta 40 objetivos de governança e gerenciamento agrupados nos cinco domínios. Esses objetivos de governança e gerenciamento visam cumprir os objetivos de negócios em termos de necessidades das partes interessadas e metas de alinhamento empresarial.

Na prática, cada um desses 40 objetivos de governança e gerenciamento endereçam um ou mais metas empresariais e metas de alinhamento. É aí que ocorre a conexão entre os itens do cascateamento de metas.

Modelo essencial do COBIT 2019
Modelo essencial do COBIT 2019

Gerenciamento do desempenho (CPM – COBIT performance management)

O gerenciamento de desempenho é um termo genérico que se refere a todas as atividades e métodos dentro de um sistema de governança de TI.

Essencialmente, o CPM determina o quão bem (ou mal) estão indo os sistemas e componentes de governança e gerenciamento da empresa, bem como quais componentes ou partes desse sistema requerem melhorias para atingir um determinado nível desejado.

A abordagem de gerenciamento de desempenho do COBIT (COBIT Performance Management) é baseada no modelo CMMI. 

Níveis de capacidade e maturidade do COBIT 2019
Níveis de capacidade e maturidade do COBIT 2019

Para fazer essa avaliação, o CPM utiliza dois níveis de avaliação: os níveis de capacidade e os níveis de maturidade. 

O nível de capacidade mede se um processo ou qualquer outro componente relacionado a um objetivo foi implementado e executado. E o nível de maturidade é um enquadramento destes níveis de capacidade para uma área de foco específica. 

Quais são os benefícios do COBIT?

Há varios benefícios em se utilizar o COBIT 2019 para apoiar um programa de governança de TI nas organizações. 

  • Trata-se de um framework globalmente aceito e amplamente adotado por organizações de diferentes tipos, tamanhos e segmentos de negócios. 
  • Ajuda a dar visibilidade para os ativos, os recursos e a área de TI como um todo a ter mais visibilidade no conselho de administração e nos níveis mais altos da gestão corporativa. 
  • Auxilia na otimização de riscos e recursos. 
  • É amplo e abrangente. 
  • Permite que o desempenho seja gerenciado. 
  • Oferece métodos pra auxiliar e facilitar a implementação de um sistema de governança de TI dentro de uma empresa.
  • Pode ser executado em conjunto com os principais padrões, diretrizes, estruturas e leis e regulamentos. 
  • se alinha e pode ser integrado a esses diferentes padrões, regulamentos e melhores práticas. Ex.: ITIL, ISO, Val IT, e tantos outros que estejam disponíveis. 
  • Por fim, orienta a organização sobre o QUE deve ser feito, mas não COMO deve ser feito.

Conclusão

Não podemos eleger um único framework que vai resolver todos os problemas da TI.

Cada framework é uma ferramenta diferente. E cabe a nós, profissionais de governança e gerenciamento,  conhecermos as ferramentas disponíveis, entendermos a aplicação de cada uma delas, e usá-las adequadamente para obter os resultados esperados pela empresa.

O COBIT se posiciona como um framework guarda-chuva, permitindo que objetivos do negócio e de TI sejam interligados. E isso fatalmente potencializa o valor para o negócio torna a TI mais integrada ao negócio.

Opa,

o que você achou deste conteúdo? Conte nos comentários.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

4 Replies to “COBIT 2019: O Guia Completo para Governança de TI”

Pedro Marques

Conteúdo maravilhoso, Renê!!! Me ajudou muito!!!

Renê Chiari

Valeu Pedro!! grande abraço! =)

Eddie

Excelente interpretação !

Marcelo Dias

Muito bom, parabéns

Sobre

Rene A. Chiari Tecnologia da Informação ME / ITSM na Prática.

Av. Melchert, 37 – Chácara Seis de Outubro – São Paulo/SP.

CNPJ: 25.072.324/0001-66

Todos os direitos reservados. Termos de uso.

 

Fale Conosco