Retomando a nossa série de temas sobre Governança de TI, área que despenca nas provas de Tecnologia da Informação e nas provas das carreiras mais concorridas, vamos apresentar hoje um resumo do COBIT 2019.
O framework foi alterado nos últimos anos, após um longo período sem atualizações (desde o COBIT 5). Se você está lendo esse artigo em 2023, veja que já se passaram 4 anos… Por conseguinte, é natural que as bancas cobrem o COBIT 2019 nas provas mais recentes.
A fim de facilitar o seu processo de memorização, vamos apresentar os conceitos de forma esquematizada. Ou seja, durante a leitura, você verá várias tabelas e mapas mentais independentes. Assim, veja como o artigo está dividido:
O artigo de hoje é recomendado primordialmente aos concurseiros de TI e da área Fiscal. Conforme sempre orientamos, fique atento ao edital para confirmar que o assunto estará no conteúdo programático.
Já que a leitura de hoje não será tão longa, o ideal é que você leia tudo de uma única vez. Entretanto, caso não seja possível, tente dividi-la em 2 partes. Bom, chega de papo porque você deve estar ansioso e com pressa. Vamos começar então?
Tempo de leitura aproximada: 15 a 20 minutos
Primeiramente, Control Objectives for Information and Related Technologies (COBIT) é um framework de governança e gestão corporativa de TI. Ele auxilia as organizações a criar valor, equilibrando a realização de benefícios e a otimização dos riscos e dos recursos.
Para realizar essa missão, ele divide a abordagem em áreas de foco e conta com diversos recursos (por exemplo, componentes, fatores de desenho, domínios e processos), que serão apresentados ao longo do artigo.
O COBIT não é uma metodologia prescritiva, ou seja, as organizações não são obrigadas a segui-lo. Em outras palavras, ele apenas fornece orientações para propiciar uma melhor análise do contexto empresarial e uma consequente tomada de decisão.
Embora o COBIT seja um dos frameworks mais antigos, ele não sofreu tantas atualizações assim. A versão mais recente foi criada principalmente porque o modelo estava defasado frente às recentes mudanças tecnológicas (DevOps, por exemplo). Dessa forma, veja a linha do tempo:
Atenção: A nomenclatura habilitadores só existiu até o COBIT 5. Contudo, o conceito ainda está presente no COBIT 2019: eles são chamados de componentes do sistema de governança. Não deixe que as bancas confundam você com isso.
Vale ressaltar que podem existir divergências nas nomenclaturas apresentadas ao longo do artigo, pois estes termos são traduzidos da versão em inglês do framework.
Por exemplo, você poderá encontrar estrutura no lugar de framework, visão no lugar de abordagem etc. Contudo, não se preocupe, pois não haverá prejuízo para o seu entendimento.
Já que o COBIT é gigantesco, vamos restringir aos pontos mais cobrados na prova. Sendo assim, vamos falar nas próximas seções sobre os princípios, as áreas de foco, os fatores de desenho, a diferença entre governança e gestão e, por fim, os processos. Continue com a gente!
Antes de mais nada, o COBIT 2019 trabalha com 9 princípios no total, divididos em 2 grupos. Fique atento, pois esse é um tópico muito explorado pelas bancas:
O Sistema de Governança possui 6 princípios, a maior parte provenientes do COBIT 5. Complementarmente, o Framework de Governança conta com 3 princípios. A fim de facilitar a sua memorização, vamos disponibilizar um esquema exclusivo dos princípios e da divisão:
Momento Glossário: Abordagem holística é um termo muito utilizado no meio empresarial, que significa analisar o contexto em uma perspectiva mais ampla, geral.
Além disso, o COBIT 2019 possui um conjunto de 7 componentes para construir e sustentar um sistema de governança, apresentados na tabela abaixo. Recomendamos fortemente que você os decore também, pois é constantemente alvo de cobrança das bancas:
| Componentes do Sistema de Governança |
|---|
| Processos |
| Estruturas Organizacionais |
| Princípios, Políticas e Procedimentos |
| Informação |
| Cultura, Ética e Comportamento |
| Pessoas, Habilidades e Competências |
| Serviços, Infraestrutura e Aplicações |
Em primeiro lugar, uma área de foco descreve um determinado tópico, domínio ou problema de governança que pode ser abordado por uma coleção de objetivos de governança e gerenciamento e seus componentes.
Embora o número de áreas de foco seja virtualmente ilimitado (ou seja, novas áreas podem ser adicionadas conforme a necessidade), o COBIT 2019 já trouxe algumas sugestões prévias. Assim, veja a tabela que preparamos:
| Exemplos de Áreas de Foco |
|---|
| Pequenas e Médias Empresas |
| Segurança Cibernética |
| Privacidade de Dados |
| Transformação Digital |
| Computação em Nuvem |
| DevOps |
Primeiramente, os fatores de desenho influenciam o tipo de sistema de governança de TI que a organização precisa. Em outras palavras, são parâmetros para ajudar a compor o sistema.
Em contraste com as áreas de foco, em que não há limitação para a sua quantidade, os fatores de desenho já são previamente definidos no COBIT 2019, totalizando 11 tópicos. Assim, memorize-os com o auxílio do seguinte mapa mental:
Conforme a pregação de um dos princípios do COBIT 2019, governança e gestão atuam de maneiras distintas. De forma breve, a governança define as diretrizes, políticas, normas e prioridades que devem ser seguidas na organização, alinhadas com seu planejamento estratégico.
Por outro lado, a gestão (ou gerenciamento) põe em prática as definições da governança. Ela planeja e executa as ações, além de verificar os resultados e realizar atividades relacionadas ao controle, visando atingir os objetivos da melhor forma.
A governança normalmente é papel do alto escalão da empresa (por exemplo, conselheiros, executivos etc.). Por outro lado, a gestão é responsabilidade dos gestores (por exemplo, gerentes, coordenadores etc.).
O COBIT 2019 é dividido em 5 domínios, que restringem a atuação da governança e da gestão. Assim, a governança conta com apenas um domínio, enquanto a gestão conta com 4 domínios.
Fique ligado, pois esta é uma das partes mais importantes do COBIT. As bancas adoram cobrar os domínios nas questões. Dessa forma, recomendamos fortemente que você memorize o mapa mental abaixo:
Antes de mais nada, cada um dos domínios que mencionamos na seção anterior contém um grupo de processos, como é típico de frameworks dessa natureza. O COBIT 2019 possui 40 processos. Eles são praticamente os mesmos do COBIT 5, salvo algumas atualizações costumeiras de mudança de versão.
Em outras palavras, se você já estudou as versões anteriores, provavelmente terá mais facilidade. Contudo, se esta não for a sua situação, relaxe. Salvo provas bizarras, as bancas não costumam aprofundar muito a parte dos processos. Uma “decoreba” bem feita será o suficiente.
Uma observação importante: os processos do COBIT não começam com verbos, conforme é padrão da maioria dos frameworks. Além disso, os domínios e os processos possuem siglas e códigos associados. Decidimos inclui-los neste artigo, pois eles costumam aparecer em prova.
As siglas e os códigos são úteis para compensar eventuais divergências de traduções da versão em inglês. Ou seja, caso a tradução esteja mal feita na hora da prova, você poderá identificar o domínio ou o processo a que a banca está se referindo pela sigla ou pelo código.
Fique atento, pois esta é a parte mais importante de todo o artigo. Se você tiver que escolher uma única coisa para memorizar, então decore o quadro seguinte (é sério):
| Domínios | Processos |
|---|---|
| Avaliar, Dirigir e Monitorar (EDM) | EDM01 – Definição e Manutenção de um Framework de Governança Assegurada. |
| EDM02 – Entrega de Benefícios Assegurada. | |
| EDM03 – Otimização de Riscos Assegurada. | |
| EDM04 – Otimização de Recursos Assegurada. | |
| EDM05 – Engajamento com as Partes Assegurado. | |
| Alinhar, Planejar e Organizar (APO) | APO01 – Framework de Gestão de TI Gerenciado. |
| APO02 – Estratégia Gerenciada. | |
| APO03 – Arquitetura Empresarial Gerenciada. | |
| APO04 – Inovação Gerenciada. | |
| APO05 – Portfólio Gerenciado. | |
| APO06 – Orçamento e Custos Gerenciados. | |
| APO07 – Recursos Humanos Gerenciados. | |
| APO08 – Relacionamentos Gerenciados. | |
| APO09 – Acordos de Serviço Gerenciados. | |
| APO10 – Terceiros Gerenciados. | |
| APO11 – Qualidade Gerenciada. | |
| APO12 – Risco Gerenciado. | |
| APO13 – Segurança Gerenciada. | |
| APO14 – Dados Gerenciados. | |
| Construir, Adquirir e Implementar (BAI) | BAI01 – Programas Gerenciados. |
| BAI02 – Definição de Requisitos Gerenciada. | |
| BAI03 – Identificação e Construção de Soluções Gerenciadas. | |
| BAI04 – Capacidade e Disponibilidade Gerenciadas. | |
| BAI05 – Mudanças Organizacionais Gerenciadas. | |
| BAI06 – Mudanças de TI Gerenciadas. | |
| BAI07 – Aceite e Transição de Mudanças de TI Gerenciadas. | |
| BAI08 – Conhecimento Gerenciado. | |
| BAI09 – Ativos Gerenciados. | |
| BAI10 – Configuração Gerenciada. | |
| BAI11 – Projetos Gerenciados. | |
| Entregar, Servir e Suportar (DSS) | DSS01 – Operações Gerenciadas. |
| DSS02 – Incidentes e Requisições de Serviço Gerenciadas. | |
| DSS03 – Problemas Gerenciados. | |
| DSS04 – Continuidade Gerenciada. | |
| DSS05 – Serviços de Segurança Gerenciados. | |
| DSS06 – Controles de Processos de Negócio Gerenciados. | |
| Monitorar, Avaliar e Analisar (MEA) | MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado. |
| MEA02 – Sistema de Controle Interno Gerenciado. | |
| MEA03 – Conformidade com Regulações Externas Gerenciada. | |
| MEA04 – Garantia Gerenciada. |
Vamos apresentar também os objetivos gerais de cada um dos processos. Esperamos que você aproveite bastante, pois este tipo de conteúdo em material gratuito é bem raro de ser encontrado.
EDM01 – Definição e Manutenção de um Framework de Governança Assegurada: fornecer uma abordagem consistente, integrada e alinhada com a abordagem de governança corporativa.
EDM02 – Entrega de Benefícios Assegurada: assegurar o melhor valor das iniciativas, serviços e ativos habilitados pela TI, a fim de que as soluções tenham um bom custo-benefício.
EDM03 – Otimização de Riscos Assegurada: assegurar que o risco relacionado à TI não exceda o apetite e a tolerância ao risco da organização.
EDM04 – Otimização de Recursos Assegurada: assegurar que as necessidades de recursos da organização sejam atendidas da melhor forma, otimizando os custos da TI e proporcionando uma maior realização de benefícios e mudanças futuras.
EDM05 – Engajamento com as Partes Assegurado: assegurar que as partes interessadas apoiem a estratégia de TI, mantendo uma comunicação eficaz e oportuna.
APO01 – Framework de Gestão de TI Gerenciado: implementar uma abordagem de gestão consistente para que os requisitos de governança sejam atendidos, englobando os componentes do sistema de governança.
APO02 – Estratégia Gerenciada: apoiar a estratégia de transformação digital da organização e entregar valor a partir de uma série de mudanças.
APO03 – Arquitetura Empresarial Gerenciada: representar os diferentes blocos que compõem a organização e suas inter-relações, bem como os princípios que orientam seu desenho e a sua evolução ao longo do tempo, permitindo uma entrega padrão, responsiva e eficiente.
APO04 – Inovação Gerenciada: alcançar vantagem competitiva, inovação nos negócios, melhor experiência do cliente e efetividade e eficiência operacional aperfeiçoadas, ao explorar desenvolvimentos de TI e tecnologias emergentes.
APO05 – Portfólio Gerenciado: otimizar o desempenho do portfólio global de programas e projetos em resposta ao desempenho individual de cada um deles e à mudança de prioridades das demandas organizacionais.
APO06 – Orçamento e Custos Gerenciados: promover uma parceria entre as partes interessadas em TI, a fim de permitir o uso efetivo e eficiente dos recursos relacionados.
APO07 – Recursos Humanos Gerenciados: otimizar recursos humanos, a fim de atender aos objetivos corporativos.
APO08 – Relacionamentos Gerenciados: viabilizar conhecimento, habilidades e comportamentos apropriados, a fim de criar melhores resultados, confiança mútua e uso efetivo de recursos que estimulem uma relação produtiva com as partes interessadas.
APO09 – Acordos de Serviço Gerenciados: certificar-se de que os produtos, serviços e níveis de serviço de TI atendam às necessidades atuais e futuras da organização.
APO10 – Terceiros Gerenciados: otimizar os recursos disponíveis de TI, a fim de suportar a estratégia e o plano, minimizando o risco associado a fornecedores sem compromisso e garantindo preços competitivos.
APO11 – Qualidade Gerenciada: garantir uma entrega consistente de soluções e serviços tecnológicos, a fim de atender aos requisitos de qualidade da organização e satisfazer necessidades das partes interessadas.
APO12 – Risco Gerenciado: integrar a gestão do risco organizacional relacionado à TI com a gestão corporativa de riscos, equilibrando os custos e benefícios de ambos.
APO13 – Segurança Gerenciada: manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite ao risco da organização.
APO14 – Dados Gerenciados: garantir a utilização efetiva dos ativos de dados críticos, a fim de alcançar metas e objetivos corporativos.
BAI01 – Programas Gerenciados: entregar resultados definidos no programa e reduzir o risco de atrasos inesperados, custos e desgastes, melhorando as comunicações e o envolvimento de negócios e usuários finais.
BAI02 – Definição de Requisitos Gerenciada: criar soluções ideais que atendam às necessidades da organização, minimizando riscos.
BAI03 – Identificação e Construção de Soluções Gerenciadas: garantir a entrega ágil e escalável de produtos e serviços digitais, estabelecendo soluções oportunas e com bom custo-benefício.
BAI04 – Capacidade e Disponibilidade Gerenciadas: manter a disponibilidade de serviços, gestão eficiente de recursos e otimização do desempenho do sistema, prevendo requisitos futuros de capacidade.
BAI05 – Mudanças Organizacionais Gerenciadas: preparar e comprometer as partes interessadas para as mudanças de negócios e reduzir o risco de fracasso.
BAI06 – Mudanças de TI Gerenciadas: viabilizar a entrega rápida e confiável de mudanças para os negócios, mitigando os impactos na estabilidade ou integridade dos ambientes.
BAI07 – Aceite e Transição de Mudanças de TI Gerenciadas: implementar soluções com segurança e alinhadas com as expectativas e os resultados acordados.
BAI08 – Conhecimento Gerenciado: fornecer informações e conhecimentos necessários, a fim de apoiar toda a equipe na governança e gestão da área de TI, incluindo a tomada de decisões.
BAI09 – Ativos Gerenciados: controlar todos os ativos de informação e tecnologia, a fim de otimizar o valor fornecido pelo seu uso.
BAI10 – Configuração Gerenciada: fornecer informações suficientes sobre os ativos, a fim de permitir que o serviço seja gerenciado efetivamente.
BAI11 – Projetos Gerenciados: entregar resultados definidos no projeto e reduzir o risco de atrasos inesperados, custos e desgastes, melhorando as comunicações e o envolvimento de negócios e usuários finais.
DSS01 – Operações Gerenciadas: entregar resultados operacionais de produtos e serviços de TI como planejado.
DSS02 – Incidentes e Requisições de Serviço Gerenciadas: alcançar o aumento da produtividade e minimizar interrupções por meio da resolução rápida de consultas e incidentes de melhoria.
DSS03 – Problemas Gerenciados: aumentar a disponibilidade, melhorar os níveis de serviço, reduzir custos e alavancar a satisfação do cliente por meio da redução do número de problemas operacionais, identificando as causas-raiz como parte da solução.
DSS04 – Continuidade Gerenciada: adaptar-se rapidamente, continuar as operações de negócios e manter a disponibilidade de recursos e informações em um nível aceitável para a organização em caso de interrupção significativa.
DSS05 – Serviços de Segurança Gerenciados: minimizar o impacto das vulnerabilidades e incidentes operacionais de segurança da informação nos negócios.
DSS06 – Controles de Processos de Negócio Gerenciados: manter a integridade das informações e a segurança dos ativos tratados dentro dos processos de negócios na organização ou em sua operação terceirizada.
MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado: proporcionar transparência no desempenho e conformidade, impulsionando o cumprimento de metas.
MEA02 – Sistema de Controle Interno Gerenciado: garantir transparência para as partes interessadas sobre a adequação do sistema de controles internos, aumentando a confiança nas operações, na realização de objetivos organizacionais e uma compreensão adequada do risco residual.
MEA03 – Conformidade com Regulações Externas Gerenciada: certificar-se de que a organização está em conformidade com todos os regulamentos e requisitos externos aplicáveis.
MEA04 – Garantia Gerenciada: permitir que a organização projete e desenvolva iniciativas de avaliações com garantia eficientes e efetivas, ao fornecer orientações sobre planejamento, escopo, execução e acompanhamento de revisões de avaliações.
Em suma, apresentamos no artigo de hoje um resumo esquematizado do framework de governança COBIT 2019, um dos temas mais cobrados nas provas de Tecnologia da Informação.
Assim, se você leu o artigo na íntegra e entendeu bem os conceitos, o próximo passo agora será realizar muitas questões para treinar. Alunos aprovados avaliaram seu desempenho dessa maneira. O acesso ao Sistema de Questões do Estratégia é feito pelo link: https://concursos.estrategia.com/.
Não se esqueça também de retornar ao tópico periodicamente para fazer revisões. Este artigo foi preparado especialmente a fim de ajudar você nisso. Salve-o nos seus favoritos e utilize-o da melhor forma.
Por fim, se você quiser aprofundar o conteúdo ou tirar dúvidas específicas, busque o material do Estratégia Concursos. Nós oferecemos diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Saiba mais por meio do link https://www.estrategiaconcursos.com.br/cursos/.
Bons estudos e até a próxima!
Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022) e TCE-RJ (2022). Atualmente exerce o cargo efetivo de Especialista em Previdência Social – Ciência da Computação no Rioprevidência, além de ser colaboradora do Blog do Estratégia Concursos.