Tudo sobre o COBIT

A estrutura COBIT foi introduzida pela primeira vez pela ISACA (Information Systems Audit and Control Association) em 1996 e tinha o nome mais longo de Control Objectives for Information and Related Technologies (Objetivos de Controle para Informação e Tecnologia Relacionada). Trata-se de uma estrutura para gerenciar e controlar ambientes de TI corporativos e é definida como “...uma estrutura para governança e gerenciamento da informação e tecnologia empresariais (I&T), voltada para toda a organização”. O COBIT oferece diversas orientações, incluindo sobre melhores práticas, ferramentas de análise e modelos projetados para ajudar as organizações a assegurar que seus sistemas de TI sejam eficazes, seguros e alinhados com os objetivos de negócios.

O que é COBIT?

A afirmação de que o “COBIT é uma estrutura para gerenciar e controlar ambientes de TI empresariais” provavelmente significará coisas diferentes para pessoas diferentes. Portanto, é importante entender mais sobre o que isso significa, começando pela diferença entre governança e gerenciamento.

O COBIT oferece as seguintes definições para ajudar:

• “Aadministração planeja, constrói, executa e monitora atividades, seguindo a direção definida pelo órgão de governança, para atingir os objetivos da empresa”.
• “Agovernança garante que as necessidades, condições e opções das partes interessadas sejam avaliadas para determinar objetivos corporativos equilibrados e acordados. A direção é definida por meio da priorização e tomada de decisões. O desempenho e conformidade são monitorados em relação à direção e objetivos acordados”.

Fonte: ISACA (2018)

O COBIT também evoluiu desde suas origens em 1996, com mudanças contínuas em suas raízes baseadas em auditoria nas seguintes versões:

• 1998 - Versão 2
• 2000 - Versão 3
• 2005 - Versão 4
• 2007 - Versão 4.1
• 2012 - COBIT 5
• 2018 - COBIT 2019

A atualização do COBIT 2019 em 2018 abordou tendências recentes em TI, incluindo nuvem, DevOps e Agile, Internet das Coisas (IoT) e integração e gerenciamento de serviços (SIAM). Ela também descreveu o que o COBIT não é, que ele:

• “Não é uma descrição completa de todo o ambiente de I&T de uma organização
• Não é uma estrutura para organizar processos de negócios
• Não é uma estrutura técnica (de TI) para gerenciar toda a tecnologia
• Não toma nem prescreve nenhuma decisão relacionada à TI”.

Esta versão mais recente do COBIT cobre diversas áreas importantes de gerenciamento de TI:

• Garantir que a TI continue funcionando
• Gerenciamento de custos eficaz e otimização de valor
• Alinhar melhor a TI com o negócio
• Conformidade
• Benchmarking.

A estrutura COBIT

O COBIT 2019 organiza objetivos e práticas de governança e gerenciamento de TI em torno de uma estrutura organizada que inclui:

• Princípios - o COBIT oferece um sistema de governança e princípios da estrutura, que fornecem a base para as organizações que o adotam. O sistema de governança e os princípios da estrutura serão compartilhados posteriormente.
• Objetivos de governança e gerenciamento - o COBIT fornece cinco objetivos de governança e 35 objetivos de gerenciamento. Seus agrupamentos e exemplos são compartilhados posteriormente.
• Componentes - o COBIT oferece sete componentes de governança que descrevem cada objetivo de governança e gerenciamento. Esses componentes também serão abordados posteriormente.
• Cascata de metas — este modelo vincula as metas empresariais de nível superior aos objetivos de governança e gerenciamento. Mostramos abaixo como isso é realizado.
  
• Fatores de projeto - o COBIT fornece um conjunto de fatores de projeto para ajudar as organizações a determinar quais dos seus elementos são mais relevantes. Esses fatores de projeto serão abordados com mais detalhes posteriormente.
• Áreas focais - existem publicações de orientação complementares que ajudam a tornar o COBIT relevante para áreas focais específicas. Por exemplo, pequenas e médias empresas, DevOps, segurança da informação e risco da informação e tecnologia.
• Implementação - As metodologias da ISACA para o COBIT incluem processos, modelos e orientações para ajudar as organizações a atingirem seus objetivos de governança e gerenciamento.
• Gerenciamento de desempenho - até que ponto o sistema de governança e gerenciamento funciona e pode ser melhorado conforme necessário.

Os benefícios de usar o COBIT

A ISACA afirma que o COBIT 2019 "...define os componentes para construir e sustentar um sistema de governança: processos, políticas e procedimentos, estruturas organizacionais, fluxos de informação, habilidades, infraestrutura e cultura e comportamentos”. Este é um ótimo argumento de venda, mas como o COBIT ajudará sua organização além da melhoria da governança?

Os benefícios adicionais da adoção do COBIT incluem:

• Melhor alinhamento da TI com os objetivos de negócios - quando os processos e projetos de TI estão alinhados com os objetivos estratégicos da organização, isso resulta em resultados de negócios e tomada de decisões melhores.
• Maior entrega de valor - graças ao melhor alinhamento dos negócios, as organizações estão em uma posição melhor para otimizar o valor decorrente da TI.
• Maior confiança das partes interessadas - com o COBIT, as organizações de TI podem demonstrar melhor o seu compromisso com uma governança de TI eficaz às partes interessadas, aumentando assim a confiança das partes interessadas.
• Maior eficiência e eficácia - padronizar e simplificar os processos de TI usando as melhores práticas do COBIT ajuda as organizações a melhorar suas operações de TI, trazendo uma redução de custos e melhor utilização de recursos.
• Melhor gerenciamento de riscos - O COBIT ajuda as organizações a minimizar os riscos de segurança da informação, conformidade e processos operacionais utilizando as orientações sobre a identificação, avaliação e gerenciamento de riscos relacionados à TI.
• Maior conformidade - O COBIT ajuda as organizações a cumprir leis, regulamentos e acordos contratuais relevantes, reduzindo o risco de penalidades, problemas legais e danos à reputação.
• Melhor segurança da informação (InfoSec) - O COBIT fornece controles e práticas de InfoSec para melhorar a confidencialidade, integridade e disponibilidade das informações.

Então aí está, tudo o que você precisa saber sobre o ciclo de vida e pipeline de DevOps.

Sistema de governança e princípios da estrutura do COBIT

Há seis princípios do sistema de governança do COBIT:

• Agregar valor às partes interessadas/stakeholders - este princípio enfatiza que as empresas existem para gerar valor para as suas partes interessadas, e a estrutura COBIT ajuda a garantir que a governança e gerenciamento da TI empresarial contribuam para o valor global das partes interessadas.
• Abordagem holística - O COBIT defende uma abordagem completa para governança e gerenciamento de TI. Ele reconhece que vários componentes interrelacionados devem trabalhar de forma eficaz em conjunto para obter sucesso.
• Sistema de governança dinâmico - este princípio reconhece os ambientes de negócios e de TI em constante mudança, destacando a necessidade de um sistema de governança flexível e adaptável.
• Governança distinta do gerenciamento - o COBIT separa a governança das atividades de gerenciamento, definindo-a como a responsabilidade do conselho de administração e diretoria.
• Adaptado às necessidades da empresa - o COBIT foi projetado para ser flexível e personalizável, possibilitando que as organizações o adaptem de acordo com o seu contexto específico, incluindo seu setor industrial, apetite ao risco e requisitos regulatórios.
• Sistema de governança ponta a ponta - este princípio destaca a importância de um sistema de governança e gerenciamento ponta a ponta. Ele ressalta a necessidade de a TI ser integrada aos objetivos e processos de negócios, garantindo que seus serviços e soluções apoiem as operações de negócios de maneira eficaz e contribuam para o sucesso dos negócios.

Estes princípios do COBIT 2019 aprimoram os cinco princípios incluídos no COBIT 5 anteriormente:

• Atender às necessidades das partes interessadas/stakeholders
• Cobrir a empresa ponta a ponta
• Aplicar uma única estrutura integrada
• Possibilitar uma abordagem holística
• Separar a governança do gerenciamento

Também há três princípios da estrutura de governança do COBIT:

• Baseado em um modelo conceptual
• Aberto e flexível
• Alinhado aos principais padrões

Objetivos de governança e gerenciamento do COBIT

Conforme mencionado anteriormente, há 40 objetivos de gerenciamento do COBIT. Esses objetivos abrangem as cinco áreas a seguir:

• Avaliar, Direcionar e Monitorar (EDM) - focando o aspecto de governança de TI e enfatizando a avaliação do desempenho de TI, alinhamento com os objetivos de negócios e monitoramento dos processos de TI para garantir que eles entreguem o valor esperado.
• Alinhar, Planejar e Organizar (APO) - abrange o alinhamento da TI com a estratégia de negócios e garante que os recursos de TI sejam planejados e organizados para apoiar melhor os objetivos de negócios.
• Construir, Adquirir e Implementar (BAI) - aborda a aquisição, desenvolvimento e implementação de soluções e serviços de TI.
• Entregar, Atender e Apoiar (DSS) - focando a entrega e suporte de serviços de TI e garantindo que eles sejam disponibilizados de uma maneira que apoie as operações de negócios e atenda às necessidades do usuário final.
• Monitorar, Avaliar e Verificar (MEA) - foco no monitoramento, avaliação e verificação do desempenho e conformidade de TI. Isto inclui garantir o cumprimento dos requisitos internos e externos, avaliar o desempenho dos processos de TI e realizar auditorias e avaliações para identificar oportunidades de melhoria.

Exemplos de objetivos de gerenciamento de cada uma dessas áreas incluem:

• EDM01: Garante a definição e manutenção da estrutura de governança. O objetivo do EDM01 é garantir que a estrutura de governança de uma organização seja projetada e mantida com eficácia. Ele envolve estabelecer e melhorar as estruturas, processos e práticas necessárias para uma governança de TI eficaz continuamente, garantindo que estejam alinhados com os objetivos e requisitos de conformidade da organização.
• APO01: Estrutura de gerenciamento de I&T gerenciada. O objetivo do APO01 é garantir que uma organização tenha uma abordagem estruturada para gerenciar as suas atividades relacionadas com I&T. Isso envolve o desenvolvimento de uma estrutura de gerenciamento que norteia o planejamento, organização e controle dos processos de I&T. O foco está na criação de uma estrutura completa alinhada com as necessidades do negócio e adaptável à mudança.
• BAI06: Mudanças de TI gerenciadas. O objetivo do BAI06 é estabelecer uma abordagem estruturada para gerenciar mudanças no cenário de TI, garantindo que todas as mudanças sejam avaliadas, aprovadas, implementadas e revisadas para apoiar os objetivos estratégicos da organização. Isso envolve o planejamento de mudanças e avaliação dos impactos, aprovação e implementação das mudanças e atividades de revisão pós-implementação.
• DSS02: Solicitações e incidentes de serviço gerenciado. O objetivo do DSS02 é estabelecer e manter uma abordagem sistemática para gerenciar e resolver solicitações de serviço e incidentes. Isso envolve a identificação de incidentes e recebimento de solicitações de serviço, classificação e priorização, resolução e atendimento, além do monitoramento e rastreamento.
• MEA03: Conformidade com requisitos externos gerenciada O objetivo do MEA03 é estabelecer uma abordagem completa para o gerenciamento da conformidade que englobe a identificação, avaliação e garantia de cumprimento dos requisitos externos. Isso envolve identificar os requisitos aplicáveis, avaliar a conformidade e abordar a não conformidade.

Os sete componentes do COBIT

O COBIT, assim como a ITIL 4, cobre mais do que processos. Ele oferece seis outros “componentes”, além dos processos, para uma governança eficaz:

• Princípios, políticas e estruturas - ajudam a traduzir os comportamentos desejados em orientações práticas de gerenciamento do dia a dia, incluindo princípios completos de governança e políticas e práticas que norteiam as operações de TI.
• Estruturas organizacionais - definem funções, responsabilidades e autoridade de tomada de decisões para equipes de projeto e departamentos de serviço por meio de comitês para a diretoria executiva no contexto da governança e gerenciamento de TI.
• Cultura, ética e comportamentos - estes elementos humanos são fundamentais para uma governança e gerenciamento eficazes e influenciam a maneira na qual as políticas e processos são implementados.
• Informação - o reconhecimento de que a informação é um recurso fundamental para todas as organizações.
• Serviços, infraestrutura e aplicações - os sistemas, tecnologia e aplicações que fornecem processamento e serviços de TI a uma organização.
• Pessoas, habilidades e competências - que os conhecimentos, habilidades e competências das pessoas são essenciais para a execução de processos e atividades.

Fatores de projeto do COBIT

O COBIT 2019 introduziu “fatores de projeto” como parte do seu sistema de governança. Esta mudança reconheceu que não há uma abordagem única para a implementação das estruturas de governança e gerenciamento.

Os fatores de projeto permitem que a sua organização adapte o uso do COBIT ao seu contexto, necessidades e prioridades específicas. Essa capacidade torna o COBIT mais flexível e eficaz.

Onze fatores de projeto são compartilhados no COBIT 2019. Cada uma aborda diferentes aspectos que influenciam a maneira na qual um sistema de governança é estruturado:

• Estratégia empresarial - a direção geral e objetivos de uma organização, que influenciam a priorização e implementação de atividades de governança e gerenciamento de TI
• Metas empresariais - as metas mensuráveis que uma organização pretende atingir (que ajudam a alinhar as iniciativas de TI com os objetivos de negócios).
• Perfil de risco - os tipos e níveis de risco que uma organização está disposta a aceitar para atingir seus objetivos, influenciando as práticas de governança e gerenciamento que mitigam os riscos.
• Questões relacionadas com I&T - os desafios e problemas atuais no ambiente de TI de uma organização que devem ser abordados.
• Cenário de ameaças - as ameaças externas e internas aos ativos de I&T de uma organização, exigindo respostas específicas de governança e gerenciamento.
• Requisitos de conformidade - as obrigações legais, regulamentares e contratuais que uma organização deve cumprir, moldando as práticas de governança necessárias para garantir a conformidade.
• Papel da TI - a função que a TI desempenha em uma organização, seja como fornecedora de utilitários, facilitadora de negócios ou parceira estratégica. Esta perspectiva afeta a estrutura e objetivos da governança de TI.
• Modelo de sourcing para TI - como os serviços de TI são fornecidos, seja internamente, terceirizados ou utilizando um modelo híbrido. Isto também influencia as estruturas e processos de governança.
• Métodos de implementação de TI - como uma organização aborda a implementação de soluções de TI e mudanças no seu ambiente. Isso abrange as metodologias, práticas e processos utilizados para gerenciar projetos de TI, desde a adoção de novas tecnologias até o aprimoramento ou substituição de sistemas existentes.
• Estratégia de adoção de tecnologias - a abordagem de uma organização para adotar novas tecnologias, influenciando práticas de governança para apoiar a inovação enquanto gerenciam os riscos.
• Tamanho da empresa - o porte de uma organização, com impacto na complexidade e escalabilidade do sistema de governança a ser implementado.

É importante ressaltar que os fatores de projeto podem tornar alguns objetivos de governança e gerenciamento do COBIT mais importantes do que outros ou exigir variantes específicas.

O COBIT não é a única abordagem de governança de TI

Além do COBIT, há outros organismos de melhores práticas a serem considerados, por exemplo:

• ITIL (conhecido anteriormente como Information Technology Infrastructure Library) - A ITIL é uma abordagem popular para gerenciamento de serviços e gerenciamento de serviços de TI (ITSM), fornecendo um conjunto de melhores práticas para entrega e suporte a serviços.
• ISO/IEC 38500 - A ISO/IEC 38500 é a norma internacional para governança corporativa de TI. Ele fornece uma estrutura para o uso eficiente, eficaz e aceitável de TI nas organizações.
• TOGAF (The Open Group Architecture Framework) - TOGAF is an enterprise architecture framework that provides an approach for the design, planning, implementation, and governance of an enterprise information technology architecture. It's not strictly an IT governance framework. Still, it supports IT governance by ensuring IT strategy is closely aligned with business goals and objectives.

COBIT versus ITIL

Não é o caso de escolher o COBIT ou a ITIL, ou abandonar a ITIL para adotar o COBIT. Portanto, não é uma situação “COBIT versus ITIL”. Em vez disso, o COBIT integra-se com outras estruturas e padrões de gerenciamento de TI do setor, como a ITIL, a família de normas ISO e a TOGAF (de acordo com o terceiro princípio da estrutura de governança do COBIT).

Portanto, adotar o COBIT não significa substituir o que sua organização possui atualmente. Em vez disso, ele pode ser usado em conjunto para melhorar as operações e resultados de negócios. O COBIT e ITIL sempre se complementaram, e as atualizações mais recentes das duas estruturas reforçam isso. Há algumas semelhanças de alto nível. Por exemplo, as duas estruturas centram-se na transformação das necessidades das partes interessadas em valor e são projetadas para serem personalizadas visando se adequarem às necessidades organizacionais.

Também existem semelhanças de nível menor. Afinal, ambas foram projetadas para ajudar no gerenciamento de TI. Se você já está familiarizado com a ITIL, então estes dois objetivos de gerenciamento do COBIT serão reconhecíveis em termos de práticas similares da ITIL 4:

• DSS02: Solicitações e incidentes de serviço gerenciado - ajudando a garantir que os incidentes e solicitações de serviço de TI sejam resolvidos em tempo hábil.
• BAI06: Mudanças de TI gerenciadas - ajudando a permitir a entrega eficiente e eficaz de mudanças de TI para os negócios.

Três mudanças adicionais no COBIT 2019

É importante entender a mudança do COBIT 5 para o COBIT 2019, especialmente porque qualquer pesquisa no Google relacionada ao COBIT ainda pode retornar o conteúdo do COBIT 5. Muitas das mudanças de versão estão incluídas nesta publicação do blog, embora possa não haver uma comparação “antes e agora”:

• Os seis princípios do sistema de governança do COBIT 2019 melhoram os cinco princípios incluídos no COBIT 5.
• O COBIT 2019 tem os mesmos cinco objetivos de governança e gerenciamento de alto nível que o COBIT 5, mas atualmente existem 40 objetivos detalhados em vez de 37. Os dados gerenciados são novos e dois processos de objetivos do COBIT 5 foram divididos em dois: Gerenciar Programas e Projetos em “Programas Gerenciados” e “Projetos Gerenciados” e Monitorar, Avaliar e Examinar o Sistema de Controle Interno em “Sistema Gerenciado de Controle Interno” e “Garantia Gerenciada”.
• Os onze fatores de projeto são novos no COBIT 2019.
• Os sete “componentes” do COBIT foram chamados de “habilitadores” no COBIT 5.

Também há três mudanças adicionais importantes entre o COBIT 5 e COBIT 2019:

• O portfólio do COBIT 2019 inclui um novo Guia de Projeto e um Guia de Implementação atualizado para ajudar na adoção do COBIT.
• O COBIT 2019 introduziu o modelo de COBIT Performance Management (CPM) baseado no CMMI. Usando o CPM, uma organização pode pontuar seus processos de governança e gerenciamento de 0 a 5. O novo mecanismo de pontuação difere da pontuação do COBIT 5 — o Nível 2 atualmente é o nível básico e os Níveis 3 e acima são mais avançados.
• A ISACA introduziu um modelo de “código aberto” para o COBIT. Isso significa que os usuários do COBIT podem dar feedback e propor melhorias para versões futuras.