O que é COBIT 5: quais os princípios e conceitos do framework?

Lançado em 2012, o COBIT (Objetivos de Controle para Informação e Tecnologia Relacionada, em português) foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde os seus primórdios, ele é centrado na comunidade de auditoria de TI, tornando-se um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito.

 

O que é COBIT? 

Em suma, o COBIT é um framework de boas práticas, estratégias e recomendações de governança e gerenciamento empresarial de TI, que incorpora muitos conceitos e teorias amplamente aceitos e contribui para toda a organização e qualidade nas operações internas de uma empresa.

 

Qual é a função do COBIT?

Gerenciar e aplicar novas estratégias de Governança de TI, de forma que integre todas as unidades de uma organização, para torná-la eficiente e bem gerenciada. O COBIT reúne diretrizes de gerenciamento e controle dos elementos que compõem a governança. Além disso, ele dá autonomia para o profissional de TI, para que este aplique a devida gestão nos processos internos da empresa.

Todas as funções de administração das informações da empresa, o controle dos serviços de TI, a tecnologia padronizada entre setores, a segurança das informações, administração de dados do cliente e gestão de TI fazem parte do framework.

 

Quais as diferenças importantes entre COBIT 4.1 e COBIT 5? 

O COBIT 4.1 possuía quatro princípios específicos, mas era separado de demais domínios de supra utilidade, como o Val It e o Risk It.

Os quatro princípios específicos permaneceram no COBIT 5, mas com novas implementações. O framework funciona a partir dos seguintes quatro domínios:

  • Planejamento e Organização;
  • Adquirir e implementar;
  • Entrega e apoio; e
  • Monitoramento e Avaliação.

 Diferentemente do COBIT 4.1, o COBIT 5 permite a integração com outros frameworks e padrões recomendados, como a ISO, a ITIL, o que já não era possível no COBIT 4.1. São 37 processos e 210 pontos de controle dentro dos domínios mencionados acima.

Além disso, o COBIT 5 foi adicionalmente complementado com os frameworks Val IT® e Risk IT®. Antes do COBIT 5, o Val IT endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT 5.

 

Quais são os componentes do COBIT?

Os componentes do COBIT 5 focam na gestão de TI realizada pelos profissionais da organização, de forma que se obtenha a melhor estratégia e a melhor prática para a Governança de TI.

Nesse sentido, os componentes do COBIT 5 abrangem o próprio framework e sua funcionalidade no objetivo de organizar e trazer as melhores práticas na governança de TI, vinculando todo o processo para o objetivo final da empresa. 

As descrições do processo, que são a linguagem e a comunicação em comum para toda a equipe da organização. Dessa forma, todo o planejamento e monitoramento dos processos de TI podem ser visualizados de forma conjunta. 

Os objetivos de Controle, em que, após uma varredura nos processos internos da organização, o COBIT fornece uma lista de requisitos a serem cumpridos para que sejam alcançados os objetivos de gerenciamento para controle efetivo de TI. 

E, além disso, há os modelos de maturidade, demonstrando a capacidade dos processos oferecidos e as diretrizes de gerenciamento, que distribuem de forma correta as responsabilidades, medindo desempenhos e verificando se todos os objetivos, funções e áreas estão de acordo para chegar ao resultado esperado.

 

Quais são os princípios do COBIT 5 ?

O framework é construído em torno de cinco princípios fundamentais:

  1. Satisfazer necessidades das partes interessadas;
  2. Cobrir a organização de ponta à ponta;
  3. Aplicar um framework integrado e único;
  4. Possibilitar uma visão holística; e
  5. Separar governança do gerenciamento

O que é COBIT

Vamos abordar cada um deles!

 

Princípio 1 – Satisfazer necessidades das partes interessadas

O primeiro princípio implica que o COBIT 5 fornece todos os processos e habilitadores necessários para suportar a criação de valor através do uso da TI (pode-se interpretar criação de valor como geração de benefícios).

Este princípio está intimamente alinhado com o conceito de longa data chamado alinhamento estratégico. A convicção de que um componente núcleo da governança de TI é atingir o alinhamento estratégico entre TI e o resto da organização é um elemento crítico do COBIT. Entretanto, sabemos que há um contínuo desafio para as organizações em descobrir como atingir tal alinhamento.

Para auxiliar as organizações a alavancar o alinhamento estratégico, os desenvolvedores do COBIT realizaram uma pesquisa para fornecer orientações na compreensão de como as metas empresariais direcionam metas de TI relacionadas e vice-versa.

Esta pesquisa foi baseada em entrevistas detalhadas e avaliações especializadas em diferentes setores. Então, uma lista genérica de metas empresariais, metas de TI relacionadas e seus inter-relacionamentos foi estabelecida. Você pode consultar esta tabela no framework COBIT® 5, que é gratuito e pode ser obtido no site da ISACA, mediante cadastro.

Este cascateamento constitui o ponto de entrada principal do COBIT® 5. Ele sugere que as organizações devam começar analisando o alinhamento estratégico/TI através da definição e correlação de metas empresariais e metas de TI.

 

Visão Geral da cascata de Objetivos do COBIT 5
Visão Geral da cascata de Objetivos do COBIT 5

O COBIT® 5 utiliza o termo “metas empresariais” para sinalizar explicitamente que o framework inclui empresas orientadas (ou não) a lucro e governamentais. Adicionalmente, o COBIT® 5 fala sobre metas de TI.

 No COBIT® 5, a importância das metas de TI caminham para o foco principal nos seus habilitadores, como processos de gerenciamento e governança.

 

O uso do Balance Scorecard (BSC) como facilitador de medição

Para verificar se as necessidades das partes interessadas (stakeholders) estão sendo atendidas, deve ser estabelecido um processo de medição sólido.

Os métodos de desempenho atuais, como o Retorno sobre o Investimento (ROI), capturam os benefícios dos projetos e sistemas de TI, mas refletem somente uma parte limitada (tangível) do valor que pode ser entregue pela TI.

 

BSC-Overview-1

 

Para facilitar um processo mais abrangente de medição, o desenvolvimento do COBIT® 5 incorporou conceitos do balanced scorecard. Em um dos apêndices do COBIT® 5, as metas empresariais e metas de TI associadas estão agrupadas sob as perspectivas do balanced scorecard. O COBIT® 5 também fornece exemplos de métricas para medir cada uma destas metas e construir um scorecard para as atividades relacionadas à TI.

Além disso, o COBIT® 5 fornece medições de resultado no nível dos 37 processos detalhados do framework. Logicamente, estas metas e métricas de processos não podem ser simplesmente comunicadas às partes interessadas, pois estas seriam sobrecarregadas de informação.

Preferencialmente, as metas e métricas de processos devem ser consolidadas e agregadas de uma forma que facilite o balanced scorecard utilizável e compreensível para todo o ambiente de TI. Desta maneira, o balanced scorecard permite que a organização determine se as necessidades das partes interessadas estão sendo atendidas.

 

Princípio 2 – Cobrir a organização de ponta a ponta

Este princípio considera que o COBIT 5 cobre todas as funções e processos de uma organização. O COBIT® 5 não foca somente na função de TI, mas trata a informação e tecnologias relacionadas como ativos que precisam ser tratados como qualquer outro ativo da organização.

Desta forma, os gerentes de negócio deveriam se responsabilizar por gerenciar os seus ativos relacionados a TI assim como o fazem para outros ativos, como plantas físicas, recursos financeiros e humanos, dentro de suas próprias unidades organizacionais e funcionais.

O negócio deve assumir a responsabilidade e prestar contas, governando o uso da TI na criação de valor a partir dos investimentos em TI como alavanca para o negócio.

O foco em cobrir a organização de ponta a ponta implica em uma mudança crucial na filosofia dos gestores de TI e de negócio. Ele compreende uma mudança do gerenciamento de TI como um custo para o gerenciamento de TI como um ativo. Esta mudança é um elemento essencial na criação de valor ao negócio.

Se os gestores não assumirem a responsabilidade pela TI, a empresa inevitavelmente irá jogar o orçamento de TI em múltiplas iniciativas sem uma visão clara do impacto destas iniciativas na capacidade da organização. Desta forma, a TI deixa de se tornar um ativo estratégico.

O COBIT 5 cobre as responsabilidades de TI e de negócios relacionados à TI. Como demonstração, o COBIT® 5 fornece matrizes de responsabilidades (RACI) para seus processos, dos quais papéis de TI e negócio estão incluídos.

RACI Cobit

 

Princípio 3 – Aplicar um framework integrado e único

Este princípio descreve o alinhamento em alto nível do COBIT® 5 com outros padrões e frameworks relevantes, servindo como um framework abrangente para a Governança Empresarial de TI.

A ISACA realizou um grande esforço durante os anos para alinhar o COBIT com outros frameworks, como COSO, ITIL, PMBOK, TOGAF, PRINCE2, entre outros. Muitos processos do COBIT® 5 são inspirados pelas orientações destes frameworks. Por outro lado, seus processos e práticas também são relacionados e alinhados com um ou mais frameworks desta área.

Para trabalhar efetivamente com o COBIT® 5 e outros frameworks, a publicação COBIT® 5: Enabling Processes inclui um mapeamento de alto nível de cada um dos processos do COBIT® 5.

Considerando que o COBIT® 5 também integra os frameworks Risk IT e o Val IT, torna-se uma referência única que inclui em seus escopos, tanto orientações anteriores da ISACA, quanto orientações de outros padrões e frameworks desta área de atuação.

Nesta abordagem ampla, o COBIT® 5 identifica um conjunto de habilitadores da governança e do gerenciamento que inclui 37 processos.

processoscobit

Na camada de governança, há cinco processos agrupados no domínio: “avaliar, direcionar e monitorar (Evaluate, Direct and Monitor – EDM)”. Estes processos ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor.

Este domínio cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização (ex. critérios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex. otimização de recursos), além da transparência da TI para as partes interessadas (stakeholders).

A camada de gerenciamento é definida por quatro domínios: alinhar, planejar e organizar (Align, Plan and Organize – APO); construir, adquirir e implementar (Build, Acquire and Implement – BAI); entregar, servir e suportar (Deliver, Service and Support – DSS); e monitorar, analisar e avaliar (Monitor, Evaluate and Assess – MEA).

O domínio APO (Alinhar, Planejar e Organizar) diz respeito à identificação de como a TI pode contribuir melhor com os objetivos de negócio. Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura empresarial, inovação e gerenciamento de portfólio.

Outros processos importantes endereçam o gerenciamento de orçamentos e custos, recursos humanos, relacionamentos, acordos de serviços, fornecedores, qualidade, risco, e segurança.

O domínio BAI (Construir, Adquirir e Implementar) torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este domínio também endereça o gerenciamento da capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.

O domínio DSS (Entregar, Servir e Suportar) se refere à entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos. O domínio inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, segurança e controle de processos de negócio.

 

Princípio 4 – Possibilitar uma visão holística

O quarto princípio explica que a implementação eficaz e eficiente da Governança Empresarial de TI requer uma visão holística, levando em consideração vários componentes interativos – como processos, estruturas e pessoas.

Este desafio de implementação está relacionado ao que é descrito em literaturas de gerenciamento estratégico como uma necessidade para um sistema organizacional, como a forma que uma empresa coloca as pessoas para trabalharem juntas a favor do negócio.

Um sistema organizacional requer a definição e aplicação, de uma maneira holística, de estruturas e processos, assim como aos aspectos ambientais e culturais (pessoas, cultura, valores, etc.). Ao aplicar a teoria do gerenciamento estratégico na Governança Empresarial de TI, as organizações estão desenvolvendo e usando uma mistura holística de estruturas, processos e mecanismos relacionados.

As estruturas da Governança Empresarial de TI incluem unidades organizacionais, papéis e responsabilidades para tomada de decisões relacionadas à TI e para possibilitar contatos entre funções de negócio e TI responsáveis por tomada de decisão. Isso pode ser visto como um blueprint para como o framework de governança deve ser organizado estruturalmente.

Os processos de Governança Empresarial de TI referem-se à formalização e institucionalização de procedimentos para tomada de decisão em TI e monitoração da TI para assegurar que o comportamento diário seja consistente com as políticas e forneça entradas para os tomadores de decisão (ex.: BSC). 

O COBIT® 5 foi construído sobre estes pensamentos. Uma mudança chave no COBIT® 5 é o conceito dos habilitadores. “Habilitadores” são definidos como fatores que individualmente e coletivamente influenciam a forma de como algo irá funcionar – neste caso, a governança e o gerenciamento sobre a TI.

O COBIT® 5 descreve sete categorias de habilitadores, dos quais os processos, as estruturas organizacionais e a conduta, ética e comportamento estão intimamente relacionados ao conceito de sistemas organizacionais.

O COBIT® 5 complementa, então, estes pensamentos orientados a sistemas organizacionais com outras importantes habilidades, que incluem: princípios, políticas e frameworks, informação, serviços, infraestrutura e aplicações, pessoas, habilidades e competências.

 

Princípio 5 – Separar Governança do Gerenciamento

Este último princípio consiste na distinção entre a governança e o gerenciamento. Como discutido anteriormente, esta distinção alinha-se à norma ISO/IEC38500. No COBIT® 5 é declarado pela primeira vez que os processos de governança de TI e de gerenciamento de TI referem-se a diferentes tipos de atividades.

Os processos de governança são organizados conforme o modelo EDM, proposto na ISO/IEC38500. Os processos de gerenciamento de TI asseguram que os objetivos da empresa sejam atingidos por meio da avaliação das necessidades das partes interessadas, definindo a direção através da priorização e tomada de decisão, e monitorando o desempenho, a conformidade e o progresso com relação aos planos.

Nas empresas, a governança de TI pode ser de responsabilidade do corpo de diretores ou algo equivalente. Baseado nestas atividades de governança, o gerenciamento de TI e negócio planeja, constrói, executa e monitora atividades alinhadas com a direção definida pelo corpo de governança para atingir os objetivos propostos.

 

Quais os benefícios do COBIT 5?

São vários os benefícios que o framework pode trazer para uma organização que deseja aprimoramento na sua gestão e nas boas práticas de governança e gerenciamento empresarial de TI.

 Vamos conhecê-los!

 

Eficiência e produtividade do time de TI

O COBIT trabalha no alinhamento das necessidades da empresa. É capaz de encontrar as práticas e investimentos que não estão dando resultado, modificando o trajeto dos processos internos e os padronizando. Isso torna as funções do time de TI muito mais focadas nos resultados desejados pela organização, de forma eficaz e produtiva.

 

Ajuda o time de TI a alcançar os objetivos do negócio

 Um dos objetivos do COBIT é alinhar as metas tanto do time de TI quanto dos líderes de negócios. Quando se cria um vínculo entre as partes que trarão resultados reais, a organização e o alinhamento ficam muito mais claros. Isso promove uma colaboração entre as equipes, cujo desempenho pode ser avaliado, de forma a trazer propostas de otimização para os processos internos de cada equipe.

 

Alinhamento ao compliance padrão

O COBIT possui seus sistemas de informação completamente atualizados com os padrões da indústria, para que seja criado um padrão que beneficia todas as partes envolvidas na organização.

 

Melhora a segurança da informação

As já mencionadas boas práticas e estratégias estabelecidas pelo COBIT ajudam diretamente na segurança da informação, uma vez que a adoção de padrões e rotinas diminuem as chances de comprometimento de dados da empresa, por exemplo, ou o vazamento de informações de clientes.

 

Otimiza os investimentos em TI

Como as boas práticas ajudam os gerentes e diretores na sua governança, estes passam a ter maior consciência e uma visão extremamente abrangente de como a TI e sua gestão estão impactando a empresa. Dessa forma, eles podem modificar investimentos e identificar melhorias a serem feitas, tudo com foco na melhor experiência para a organização.

 

Cria uma linguagem em comum

O COBIT possibilita uma linguagem conjunta entre todos os níveis da organização, desde os profissionais de TI até os gerentes e executivos. Isso porque todos precisam estar cientes dos resultados, baseados nas práticas e estratégias estabelecidas pelo framework.

 

Quem deve buscar a certificação COBIT?

 Todas as empresas e profissionais de TI que desejam alavancar seus resultados, aprimorar a gestão de seus processos internos e que queiram estar à frente na Governança e gerenciamento empresarial de TI, de forma compatível com o mercado atual da Tecnologia da Informação, que cresce e se desenvolve de forma intensa e rápida.

 

Como conseguir a certificação COBIT 5 Foundation?

Primeiramente, é importante saber que existem diferentes níveis e módulos de certificação do COBIT 5. Ao todo são 4 certificações, cada uma com um propósito, conforme descrito a seguir.

 

COBIT 5 Foundation

Esta é a certificação mais popular do COBIT 5. O propósito desta é confirmar a sua compreensão sobre os princípios e conceitos do COBIT 5. Os detentores da certificação entendem os problemas de gerenciamento de TI que as organizações enfrentam hoje e sabem como usar o COBIT 5 para responder a esses desafios. Esses profissionais usam os elementos do COBIT, na prática, e estão preparados para as aplicações recomendadas do COBIT para projetos corporativos.

Sobre o exame do COBIT 5 Foundation

Por meio de um exame de 50 questões múltiplas, que precisam ser respondidas em 40 minutos. É necessário acertar 50% das questões para ser considerado aprovado. O exame é oferecido pela APMG e pela PeopleCert, de forma remota, com acompanhamento de fiscal em tempo real. Pode ficar tranquilo, que o exame é inteiro em português. 

O valor da certificação é de US$ 300, ou, em nossa real, algo em torno de R$ 1.700,00.

Vale lembrar que para o nível de fundamentos, não há obrigatoriedade de realizar um treinamento. Embora isso seja altamente recomendável.

 

COBIT 5 Assessor

Esta certificação busca confirmar a sua compreensão e execução de uma avaliação formal da capacidade do processo. Os detentores da certificação Assessor garantem um controle mais forte e confiável sobre os processos internos e fornecem às partes interessadas uma linha de visão clara dos recursos do processo, permitindo que os líderes de TI redirecionem ou liberem recursos – desde a entrega de serviços até o projeto e implementação de processos de negócios transformados, ricos em informações e habilitados para tecnologia – para aumentar a inovação e o valor para a empresa.

 

COBIT 5 Implementation

O propósito desta certificação é confirmar capacidade dos detentores de entender e aplicar os elementos do COBIT 5 em uma empresa. Esses profissionais dominam a abordagem de implementação da “Governança da Tecnologia da Informação Empresarial ou (GEIT)” com base em um ciclo de vida de melhoria contínua. Esses profissionais demonstraram a compreensão de como o COBIT 5 deve ser adaptado para atender às necessidades específicas de uma empresa.

 

Implementando o NIST Cybersecurity Framework usando COBIT 5

Esta certificação tem como propósito atestar sua compreensão sobre os objetivos e o conteúdo do Cybersecurity Framework (CSF) e como aplicar as sete etapas de implementação do Cybersecurity Framework usando o COBIT 5. Para obter esta credencial, os profissionais devem ser capazes de comprovar que concluíram com sucesso o exame COBIT 5 Foundation.

 

Conclusão

A empresa que deseja estar em conformidade com o mercado de trabalho da Tecnologia da Informação, sem ficar para trás e podendo oferecer aos seus clientes o que há de mais atualizado, precisa conhecer e conquistar domínios, certificações e frameworks que possam oferecer isso. O COBIT 5 é imprescindível para que as boas práticas de governança e gerenciamento empresarial de TI sejam devidamente aplicadas à sua empresa! 

 

Compartilhe:

Resposta de 0

  1. Obrigado por compartilhar estes conceitos!

    Melhor do que entender o framework, é saber como sua função agrega valor ao negócio através da integração com os demais existentes 😀

  2. Mais um vez parabéns Renê pelo ótimo conteúdo. Aproveitando o assunto, para alguém que está querendo migrar da área de analista de TIC para gestão de TIC, quais certificações e/ou conhecimentos a serem adquiridos você aconselha ou acredita serem essenciais para um gestor de TIC ?

    Abração e Sucesso!

  3. Prezado, estou com dificuldade para entender com é evolução de níveis proposta para o COBIT. Pergunto então. Ao avaliar um processo no nível 1.1 com nota igual N, digamos, 10% do atributo, posso considerar que esse processo já esta evoluído para nível 1.1 ou ainda está no zero?

  4. Renê, fiquei com uma dúvida: Conforme informado no seu texo com os frameworks Risk IT e Val IT foram integrados ao cobit 5. Esta integração ao Cobit 5, substitui esses 2 frameworks? Ou seja, se desejo implementar o Risk IT em uma companhia devo utilizar somente o cobit 5, ou os 3 frameworks?

  5. Bom dia Renê, ótimo material.
    Gostaria de fazer uma pergunta relacionada ao tema.
    Você conhece algum software que faça o controle das atividades relacionadas a estes pilares do Cobit ou Itil ? Como o pessoal controla isso na prática ?

    1. Olá Michel, tudo bem? Obrigado pelo comentário.

      Não creio que exista uma ferramenta única capaz de controlar tantas atividades, embora a maioria destas possam ser facilmente controladas com uma ferramenta ITSM que tenha funcionalidades específicas para ger de incidentes, requisições, problemas, etc. Algumas atividades são menos operacionais, então até mesmo um excel resolve.

      O grande desafio ai, na minha opinião, não está em encontrar uma ferramenta ideal, mas sim em:

      1 – Delimitar quais são as atividades importantes (e que devem ser controladas). Seguir a risca todas as boas práticas não é uma boa prática (rs)
      2 – A cultura de reconhecer a importância das atividades e dos controles, e claro, a atividade de controle em si.

      Grande abraço!

  6. Estou produzindo um trabalho acadêmico e gostaria de saber, qual o ano desta publicação?

  7. Muito obrigado pelo esclarecimento sobre determinado assunto. Através desse artigo (se assim posso dizer) me ajudou a construir um trabalho acadêmico cujo assunto é Governança em TI. Vou utilizar o seu site como fonte de pesquisa.

  8. Olá Renê, Bom dia!

    Tudo bem?

    Gostaria de informações e se possível um modelo de implantação de Gerenciamento de Mudanças/ Problemas e Incidentes Críticos.

    à disposição para mais informações.

    1. Olá! Infelizmente ainda não temos o treinamento de COBIT 2019, Jocileide. Mas está nos planos. Fica ligada aqui no blog e assina noss a lista para receber as novidades em primeira mão. 😉

  9. Ótimo … percebo que as empresas… para se mantere no mercado
    .é preciso oferecer qualidade
    E estarem certificadas e atualizadas com tudo de mais moderno referente a segurança da informação.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.