Pular para o conteúdo principal

Cobit 2019

Introdução

Pensa no COBIT como um framework que organiza a bagunça da TI nas empresas. Ele não tá aí só pra encher linguiça em prova, mas pra garantir que a tecnologia e a informação sejam gerenciadas de forma estratégica, alinhadas aos objetivos do negócio. Sabe quando um sistema falha e ninguém sabe de quem é a culpa? Com o COBIT, a governança e a gestão de TI ficam bem definidas, evitando caos. Além disso, ele se integra com outros frameworks, tipo ITIL e CMMI, tornando tudo mais eficiente.

Resumindo: sem COBIT, é o caos; com COBIT, é eficiência total! 🚀

O COBIT destaca a Governança Corporativa da Informação e Tecnologia (I&T), abrangendo não apenas a área de TI, mas toda a informação e tecnologia da organização, incluindo todos os setores.

O COBIT não é:

Uma metodologia – Ele é um framework, ou seja, um conjunto de diretrizes para governança de TI, mas não dita um passo a passo rígido.

Um substituto para ITIL, CMMI, ISO, etc. – Ele complementa outros frameworks e normas, mas não os substitui.

Focado apenas em TI – O COBIT abrange toda a Informação e Tecnologia (I&T) da organização, não apenas a área de TI.

Algo engessado – Ele é flexível e pode ser adaptado conforme a necessidade da empresa.

Ou seja, COBIT é um guia estratégico para governança de TI, mas não é uma solução pronta ou única para todos os problemas! 🚀

Banca:Fundatec Ano:2025

Questão 1) O COBIT 2019 é um framework que ajuda as organizações a alcançar seus objetivos estratégicos.
Nesse contexto, é correto afirmar que:

a) O COBIT 2019 incorpora o conceito de princípios e práticas ágeis, alinhando-se às demandas do mercado.
b) O ciclo de vida de implementação do COBIT foi removido na versão 2019 para simplificar o framework.
c) O COBIT 2019 é um framework prescritivo, ou seja, define regras rígidas que todas as organizações devem seguir.
d) A estrutura de objetivos de governança e gestão no COBIT 2019 é baseada exclusivamente em processos financeiros e operacionais.
e) O COBIT 2019 elimina a necessidade de alinhamento entre as práticas de governança de TI e as necessidades estratégicas da organização.

Mostrar resposta.
✅ Resposta correta: Alternativa A.

Público-alvo

Público interno

  • Diretoria(board) - Provê discernimento sobre como obter valor da I&T.
  • Gerência executiva - Provê um guia sobre como organizar e monitorar a I&T na organização.
  • Gerentes de Negócio - Ajuda a entender sobre como obter soluções de I&T e explorar novas tecnologias.
  • Gerente de T.I - Prove um guia sobre como estruturar e operar o departamento de TI.
  • Provedores de Garantia - Garante a existência de um sistema de controles internos.
  • Gestão de riscos - Ajuda a identificar os riscos.

Público externo

  • Reguladores - Determinam se a organização está em conformidade com regulamentos, aconselham a implementação da governança correta.
  • Parceiros de negócio - Confirmam que as operações do parceiro são seguras, confiáveis e em conformidade com regulamentos.
  • Fornecedores de T.I - As operações de fornecedores devem ser seguras, confiáveis e em conformidade com regulamentos.

Benefícios

  • Realização de benefícios: Criar valor para a organização por meio de I&T, ao manter e aumentar o valor derivado de investimentos de I&T e eliminar iniciativas e ativos de TI que não criam valor suficiente.

  • Otimização de riscos: O risco de negócios relacionado à I&T consiste em eventos de I&T que podem impactar potencialmente os negócios.

  • Otimização de recursos: Garante que os recursos apropriados, suficientes e eficazes estejam disponíveis para executar o plano estratégico. A otimização de recursos garante que um ambiente integrado, uma infraestrutura de TI econômica e novas tecnologias sejam introduzidos conforme exigido pelos negócios e os sistemas obsoletos sejam atualizados ou substituídos.

Governança VS Gestão

Governança: Garante que o direcionamento é definido, por meio de priorização e tomada de decisão.
(Nível de diretoria e alta administração)

Gesão: Planeja, constrói, executa e monitora atividades em alinhamento ao direcionamento da governança.
(Nível Executivo)

Pelo modelo COBIT, na UFPA a separação entre governança e gestão funcionaria assim:

🔵 Governança → Seria exercida pelo alto escalão da universidade, como a Reitoria, os Conselhos Superiores (CONSUN e CONSEPE) e a Pró-Reitoria de Planejamento e Desenvolvimento Institucional (PROPLAN). Eles definem as direções estratégicas, estabelecem políticas, monitoram o desempenho da TI e garantem que ela esteja alinhada aos objetivos institucionais.

🟢 Gestão → Fica a cargo das coordenações e diretorias de TI, como a Diretoria de Tecnologia da Informação (CTIC) e seus setores. São essas equipes que implementam as diretrizes definidas pela governança, gerenciam a infraestrutura, os sistemas, a segurança da informação e a prestação de serviços de TI na prática.

Resumindo: governança decide "o quê" e "por quê", enquanto gestão executa o "como". 🚀

Princípios

- Princípios do Framework(teoria) de Governança:

  1. Baseado em um modelo conceitual.
  2. Aberto e flexível.
  3. Alinhado a grandes padrões. (CMMI, PMBOK, ITIL, etc)

- Princípios do Sistema(prática) de governança:

  1. Prover valor às partes interessadas.
  2. Abordagem holística.
  3. Sistema de governança dinâmico.
  4. Distinguir governança de gerenciamento.
  5. Necessidades organizacionais sob medida.
  6. Sistema de governança ponta-a-ponta.
cuidado

Aqui é pura decoreba infelizmente!
Para facilitar tente entender a importância de cada princípio.

dica

A diferença é:

📌 Princípios do sistema de governança → Definem como a governança de I&T deve funcionar dentro da organização, garantindo alinhamento com os objetivos estratégicos. Exemplo: responsabilidade, transparência e alinhamento estratégico.

📌 Princípios do framework de governança → Definem como o próprio COBIT foi estruturado, garantindo que ele seja flexível, aberto e compatível com outros padrões. Exemplo: orientação por princípios, abordagem baseada em sistema e alinhamento com normas globais.

Resumindo: o sistema guia a governança dentro da organização, enquanto o framework define como o COBIT organiza essa governança. 🚀

Cascata de objetivos

O mecanismo de cascata (desdobramento) de objetivos permite mapear metas organizacionais em ações estratégicas, definindo prioridades de implementação. As necessidades das partes interessadas devem ser transformadas em uma estratégia de ações da empresa.

A cascata de objetivos funciona em quatro níveis:

  1. Necessidades das partes interessadas.
  2. Objetivos corporativos(ou empresariais).
  3. Objetivos de Alinhamento. (Área de T.I)
  4. Objetivos de Governança e Gerenciamento.

⚠ Decorem esses objetivos, as questões apenas cobram o decoreba desses objetivos!

dica

A cascata de objetivos no COBIT é tipo aquele efeito dominó: as decisões estratégicas lá do topo vão influenciando tudo até chegar na execução prática. É a forma como os objetivos da organização se desdobram em ações concretas dentro da TI.

Exemplo na UFPA:

1️⃣ Topo da cascata – Reitoria: Decide que a UFPA precisa expandir a educação a distância (EAD) para alcançar mais alunos. 🎯

2️⃣ Desdobramento – CTIC (Diretoria de TI): Para isso, o CTIC define que a infraestrutura de TI precisa ser reforçada, garantindo servidores mais robustos e sistemas estáveis. 🖥️

3️⃣ Execução – Data Center e Equipes de TI: O pessoal do Data Center entra em ação, monitorando os servidores, garantindo alta disponibilidade e implementando segurança para que a plataforma de EAD funcione sem travar. 🔧

Ou seja, a cascata de objetivos garante que a visão da Reitoria se transforme em ações práticas dentro da TI, alinhando tudo estrategicamente! 🚀

Componentes

Cada organização deve estabelecer e utilizar um conjunto de componentes personalizados.
Os componentes são fatores que contribuem para a boa operação do sistema de governança de I&T da organização que interagem entre si, resultando numa visão holística da I&T.

  • Processos: Um conjunto de práticas e atividades para atingir um determinado objetivo ou produzir um resultado específico.
  • Estruturas Organizacionais: Entidades, comitês, grupos que tomam decisões na organização – entidades-chave no processo decisório em uma organização.
  • Princípios, políticas e frameworks: Traduzem comportamentos desejados em ações do dia a dia.
  • Informação: Inclui toda informação que é produzida na organização. O Cobit concentra seu foco nas informações necessárias para o efetivo funcionamento do sistema de governança de I&T.
  • Cultura, Ética e Gerenciamento: Incluindo os indivíduos e a própria organização.
  • Pessoas, habilidades e competências: São necessários para a boa tomada de decisão e execução ações corretivas e a conclusão bem-sucedida de todas as atividades.
  • Serviços, infraestrutura e aplicações: Tecnologias que realizam o processamento da informação.

📌 Componentes genéricos → São os elementos fixos do COBIT que estruturam qualquer sistema de governança de I&T, independentemente da organização. Exemplos: processos, estrutura organizacional, políticas, cultura e habilidades. Eles sempre existem e são aplicáveis a qualquer empresa.

📌 Componentes variáveis → São os elementos que mudam conforme a necessidade da organização, podendo ser ajustados para atender diferentes contextos. Exemplos: ferramentas específicas, práticas adaptadas, métricas personalizadas e processos ajustáveis.

Exemplo na UFPA:

  • Componente genérico: A necessidade de uma política de segurança da informação (isso vale para qualquer instituição).
  • Componente variável: As ferramentas usadas pelo Data Center para monitoramento (pode mudar conforme a necessidade da UFPA).

Resumindo:

  • Genéricos são fixos.
  • Variáveis se adaptam.

Banca:FCPC Ano:2025

O COBIT 2019 possui um conjunto de componentes para construir e sustentar um sistema de governança. Assinale a alternativa correta de todos esses componentes.

a) Processos; Estruturas Institucionais; Princípios, Políticas e Normas; Pesquisa; Cultura, Ética e Comportamento; Pessoas, Capacidades e Competências.
b) Processos; Estruturas Organizacionais; Princípios, Políticas e Procedimentos; Informação; Cultura, Ética e Comportamento; Pessoas, Habilidades e Competências; Serviços, Infraestrutura e Aplicações.
c) Processos; Estruturas Organizacionais; Infográficos, Políticas e Procedimentos; Infraestrutura e Aplicações para tomada de decisão.
d) Processos; Estruturas Organizacionais; Princípios, Políticas e Procedimentos; Proatividade; Cultura, Ética e Comportamento; Serviços e Aplicações.

Mostrar resposta.
✅ Resposta correta: Alternativa B.

Áreas de Foco

Áreas de foco ou áreas focais descrevem um determinado tema de governança que pode ser resolvido por um conjunto objetivos de gerenciamento/governança e seus componentes (genéricos e variáveis).

O número de áreas focais é virtualmente ilimitado, portanto, é possível adicionar novas áreas sempre que necessário.

Áreas focais

dica

Área focal: É como um assunto principal dentro do COBIT que precisa de atenção e pode ser resolvido com um conjunto de práticas e processos.

Exemplo prático: Imagine que uma empresa está preocupada com Segurança da Informação. Isso vira uma Área Focal, e o COBIT ajuda a estruturar quais processos e controles devem ser aplicados para garantir que a segurança funcione bem.

Fatores de Desenho

São elementos que influenciam a governança e a gestão de TI em uma organização. Eles ajudam a personalizar a aplicação do framework de acordo com as necessidades específicas da empresa.

Fatores de desenho

cuidado

Esse assunto é bem recorrente em provas. Cobram pura decoreba.
Dependendo da banca, apenas decorar quais são os elementos é o suficiente.

1) Estratégia Organizacional.

Crescimento/Aquisição, Inovação/Diferenciação, Liderança em Custo, e Serviço ao Cliente/Estabilidade. Devem ser definidos níveis de importância (1 a 5) para cada um dos 4 arquétipos.

2) Objetivos Organizacionais.

Modelados nas dimensões do Balanced Scorecard (BSC). Devem ser definidos níveis de importância (1 a 5) para cada um dos 13 objetivos.

3) Perfil de risco da organização.

Avaliação da probabilidade e do impacto de cada tipo de risco (são 20 categorias, cobrindo os principais tipos)( 1 a 3).

4) Problemas relacionados à TI

Identificação dos problemas estratégicos e táticos crônicos (pontos de dor). Deve-se atribuir níveis de severidade ( 1 a 3).

5) Cenário de ameaças

Alto e Normal. Devem ser definidos percentuais para cada uma das classes até 100%.

6) Requisitos de conformidade

Alto, Normal e Baixo. Definidos em percentuais.

7) Papel da TI

TI Suporte, TI Fábrica, TI Transformadora e TI Estratégica.

8) Modelo de provimento de TI

Terceirização, nuvem e desenvolvimento interno. Outsourcing(terceiros), nuvem, insourced(próprio pessoal) e híbrido.

9) Métodos de implementação de TI

Métodos ágeis, DevOps ou tradicional.

10) Estratégia de adoção de tecnologia

Pioneiro, seguidor ou de adoção tardia.

11) Tamanho da organização

Organização Grande (250 funcionários) ou Pequenas e médias (50 a 250 funcionários).

Domínios

O domínio é uma área de foco ou grupo de processos relacionados à governança e gestão de TI, com objetivos específicos a serem alcançados. Cada domínio agrupa um conjunto de práticas, processos e princípios que ajudam a organização a alcançar suas metas estratégicas por meio da governança de TI.

1 - Avaliar, Dirigir e Monitorar (EDM)

É o domínio de governança. Tripé garantir a realização dos objetivos e a otimização de riscos e recursos.

2 - Alinhar, Planejar e Organizar (APO)

Visa estabelecer um framework de gestão (processos, papéis...).

3 - Construir, Adquirir e Implementar (BAI)

Envolve a definição, aquisição e implementação das soluções de TI e suas integrações.

4 - Entregar, Servir e Suportar (DSS)

Domínio operacional (de execução).

5 - Monitorar, Avaliar e Analisar (MEA)

visa monitorar o desempenho e a conformidade das soluções de TI.

cuidado

As bancas pedem apenas o decoreba em sua maioria, inventando nomes de domínios que não existem ou confundem o propósito de cada um.
O domínio EDM é o único que pertence a governança(alto escalão da empresa)!
Os demais pertencem a gestão(gerentes, coordenadores etc.) que metem a mão na massa.
As siglas são da versão original em inglês.

Processos

Cada domínio contém um grupo de processos. O COBIT 2019 possui 40 processos.
Processo(entradas, saídas e atividades) é um conjunto de atividades coordenadas que têm como objetivo atingir um resultado específico relacionado à governança e gestão de TI.

Observação: Algumas bancas definem processos como objetivos.

EDM

Avaliar, Dirigir e Monitorar (EDM) - Governança

O domínio Alinhar, Planejar e Organizar (APO) é responsável por traduzir os objetivos estratégicos da organização em planos táticos e operacionais.

EDM01 – Definição e Manutenção de um Framework de Governança Assegurada: fornecer uma abordagem consistente, integrada e alinhada com a abordagem de governança corporativa.

EDM02 – Entrega de Benefícios Assegurada: assegurar o melhor valor das iniciativas, serviços e ativos habilitados pela TI, a fim de que as soluções tenham um bom custo-benefício.

EDM03 – Otimização de Riscos Assegurada: assegurar que o risco relacionado à TI não exceda o apetite e a tolerância ao risco da organização.

EDM04 – Otimização de Recursos Assegurada: assegurar que as necessidades de recursos da organização sejam atendidas da melhor forma, otimizando os custos da TI e proporcionando uma maior realização de benefícios e mudanças futuras.

EDM05Engajamento com as Partes Assegurado: assegurar que as partes interessadas apoiem a estratégia de TI, mantendo uma comunicação eficaz e oportuna.

APO

Alinhar, Planejar e Organizar (APO) - Gestão

APO01Framework de Gestão de TI Gerenciado: implementar uma abordagem de gestão consistente para que os requisitos de governança sejam atendidos, englobando os componentes do sistema de governança.

Exemplo: Garantir que os serviços de TI do CTIC apoiem as diretrizes e metas acadêmicas e administrativas da UFPA.

APO02Estratégia Gerenciada: apoiar a estratégia de transformação digital da organização e entregar valor a partir de uma série de mudanças.

Definir planos de tecnologia que suportem ensino, pesquisa e extensão.

APO03Arquitetura Empresarial Gerenciada: representar os diferentes blocos que compõem a organização e suas inter-relações, bem como os princípios que orientam seu desenho e a sua evolução ao longo do tempo, permitindo uma entrega padrão, responsiva e eficiente.

APO04Inovação Gerenciada: alcançar vantagem competitiva, inovação nos negócios, melhor experiência do cliente e efetividade e eficiência operacional aperfeiçoadas, ao explorar desenvolvimentos de TI e tecnologias emergentes.

APO05Portfólio Gerenciado: otimizar o desempenho do portfólio global de programas e projetos em resposta ao desempenho individual de cada um deles e à mudança de prioridades das demandas organizacionais.

APO06Orçamento e Custos Gerenciados: promover uma parceria entre as partes interessadas em TI, a fim de permitir o uso efetivo e eficiente dos recursos relacionados.

APO07Recursos Humanos Gerenciados: otimizar recursos humanos, a fim de atender aos objetivos corporativos.

APO08Relacionamentos Gerenciados: viabilizar conhecimento, habilidades e comportamentos apropriados, a fim de criar melhores resultados, confiança mútua e uso efetivo de recursos que estimulem uma relação produtiva com as partes interessadas.

APO09Acordos de Serviço Gerenciados: certificar-se de que os produtos, serviços e níveis de serviço de TI atendam às necessidades atuais e futuras da organização.

APO10Terceiros Gerenciados: otimizar os recursos disponíveis de TI, a fim de suportar a estratégia e o plano, minimizando o risco associado a fornecedores sem compromisso e garantindo preços competitivos.

APO11Qualidade Gerenciada: garantir uma entrega consistente de soluções e serviços tecnológicos, a fim de atender aos requisitos de qualidade da organização e satisfazer necessidades das partes interessadas.

APO12Risco Gerenciado: integrar a gestão do risco organizacional relacionado à TI com a gestão corporativa de riscos, equilibrando os custos e benefícios de ambos.

APO13Segurança Gerenciada: manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite ao risco da organização.

Implementação de diretrizes de segurança para proteger dados institucionais.

APO14Dados Gerenciados: garantir a utilização efetiva dos ativos de dados críticos, a fim de alcançar metas e objetivos corporativos.

BAI

Construir, Adquirir e Implementar (BAI) - Gestão

BAI01 – Programas Gerenciados: entregar resultados definidos no programa e reduzir o risco de atrasos inesperados, custos e desgastes, melhorando as comunicações e o envolvimento de negócios e usuários finais.

São programas de projetos e não softwares.

BAI02 – Definição de Requisitos Gerenciada: Criar soluções ideais que atendam às necessidades da organização, minimizando riscos.

BAI03 – Identificação e Construção de Soluções Gerenciadas: garantir a entrega ágil e escalável de produtos e serviços digitais, estabelecendo soluções oportunas e com bom custo-benefício.

O CTIC gerencia a arquitetura do data center da UFPA, garantindo que os servidores, sistemas de armazenamento e redes sejam projetados de forma integrada e escalável, permitindo a operação eficiente de todos os serviços da universidade, como sistemas acadêmicos e administrativos, enquanto assegura a segurança e a continuidade dos serviços.

BAI04 – Capacidade e Disponibilidade Gerenciadas: manter a disponibilidade de serviços, gestão eficiente de recursos e otimização do desempenho do sistema, prevendo requisitos futuros de capacidade.

BAI05 – Mudanças Organizacionais Gerenciadas: preparar e comprometer as partes interessadas para as mudanças de negócios e reduzir o risco de fracasso.

BAI06 – Mudanças de TI Gerenciadas: viabilizar a entrega rápida e confiável de mudanças para os negócios, mitigando os impactos na estabilidade ou integridade dos ambientes.

Implementação de Atualizações no SIGAA: O CTIC gerencia a atualização do SIGAA, passando por um processo rigoroso de avaliação, testes e aprovação antes da implementação, para garantir que a mudança não afete o funcionamento do sistema ou a experiência dos usuários, como alunos e professores.

BAI07 – Aceite e Transição de Mudanças de TI Gerenciadas: implementar soluções com segurança e alinhadas com as expectativas e os resultados acordados.

Migração para um novo serviço de e-mail institucional → Antes da mudança, o CTIC realiza testes, coleta feedback dos usuários, oferece treinamentos e garante que a transição ocorra sem impacto no acesso às mensagens.

BAI08 – Conhecimento Gerenciado: fornecer informações e conhecimentos necessários, a fim de apoiar toda a equipe na governança e gestão da área de TI, incluindo a tomada de decisões.

Documentação interna como TRAC ou externa servicosdetic.ufpa.br

BAI09 – Ativos Gerenciados: controlar todos os ativos de informação e tecnologia, a fim de otimizar o valor fornecido pelo seu uso.

Ativo (ou asset) é qualquer item, recurso ou capacidade de uma organização que é útil para alcançar seus objetivos de negócios. Existem ativos tangíveis e intangíveis: Informação, tecnologia, humanas, financeiras, físicas.

BAI10 – Configuração Gerenciada: fornecer informações suficientes sobre os ativos, a fim de permitir que o serviço seja gerenciado efetivamente.

O CTIC mantém um repositório centralizado de informações sobre a configuração de servidores, redes e sistemas da UFPA. Isso inclui dados sobre versões de software, hardware utilizado, configurações de rede e outros elementos importantes para garantir que todas as mudanças e atualizações sejam registradas e possam ser rastreadas adequadamente.

BAI11 – Projetos Gerenciados: entregar resultados definidos no projeto e reduzir o risco de atrasos inesperados, custos e desgastes, melhorando as comunicações e o envolvimento de negócios e usuários finais.

DSS

Entregar, Servir e Suportar (DSS)

É o domínio operacional, aqui a galera coloca a mão na massa.

Equipe de Suporte de TI

DSS01 – Operações Gerenciadas: entregar resultados operacionais de produtos e serviços de TI como planejado.

DSS02 – Incidentes e Requisições de Serviço Gerenciadas: alcançar o aumento da produtividade e minimizar interrupções por meio da resolução rápida de consultas e incidentes de melhoria.

DSS03 – Problemas Gerenciados: aumentar a disponibilidade, melhorar os níveis de serviço, reduzir custos e alavancar a satisfação do cliente por meio da redução do número de problemas operacionais, identificando as causas-raiz como parte da solução.

DSS04 – Continuidade Gerenciada: adaptar-se rapidamente, continuar as operações de negócios e manter a disponibilidade de recursos e informações em um nível aceitável para a organização em caso de interrupção significativa.

O CTIC desenvolve e testa regularmente planos de recuperação de desastres para garantir a continuidade dos sistemas críticos da universidade, como o SIGAA, em caso de falhas de hardware ou desastres naturais.

DSS05 – Serviços de Segurança Gerenciados: minimizar o impacto das vulnerabilidades e incidentes operacionais de segurança da informação nos negócios.

Aqui é a nível operacional! (firewalls, sistemas de detecção de intrusão, criptografia e autenticação de múltiplos fatores) diferentemente do APO13(diretrizes).

DSS06 – Controles de Processos de Negócio Gerenciados: manter a integridade das informações e a segurança dos ativos tratados dentro dos processos de negócios na organização ou em sua operação terceirizada.

O CTIC implementa e monitora controles de acesso e auditorias nos sistemas acadêmicos e administrativos, como o SIGAA e outros sistemas internos da UFPA, para garantir que apenas usuários autorizados possam acessar informações sensíveis.

MEA

Monitorar, Avaliar e Analisar (MEA)

Tem objetivos com foco no monitoramento do desempenho e na conformidade da TI com os objetivos de controles internos e os requisitos externos. Nele é realizado o acompanhamento, a medição e a gestão de desempenho.

MEA01 – Monitoração do Desempenho e da Conformidade Gerenciado: proporcionar transparência no desempenho e conformidade, impulsionando o cumprimento de metas.

Realiza auditorias para verificar se os sistemas estão em conformidade com as políticas de segurança e com as regulamentações de proteção de dados, como a LGPD.

MEA02 – Sistema de Controle Interno Gerenciado: garantir transparência para as partes interessadas sobre a adequação do sistema de controles internos, aumentando a confiança nas operações, na realização de objetivos organizacionais e uma compreensão adequada do risco residual.

MEA03 – Conformidade com Regulações Externas Gerenciada: certificar-se de que a organização está em conformidade com todos os regulamentos e requisitos externos aplicáveis.

MEA04 – Garantia Gerenciada: permitir que a organização projete e desenvolva iniciativas de avaliações com garantia eficientes e efetivas, ao fornecer orientações sobre planejamento, escopo, execução e acompanhamento de revisões de avaliações.

Gerenciamento de desempenho

Inclui conceitos de capacidade e maturidade
Alinha amplamente e estende os conceitos do CMMI® Development.

Baseia-se nos seguintes princípios:

  1. ser simples de entender e usar;
  2. ser consistente com o modelo conceitual do COBIT e suportá-lo;
  3. permitir o gerenciamento de desempenho de todos os tipos de componentes do sistema de governança;
  4. fornecer resultados confiáveis, repetíveis e relevantes;
  5. ser flexível, de forma a apoiar os requisitos de diferentes organizações;
  6. apoiar diferentes tipos de avaliação.

Capacidade e Maturidade

  • Processos: Estão associados com Capacidade.

  • Outros componentes como estruturas organizacionais e informação também são medidos em capacidade.

  • Maturidade está relacionada com a área focal e serão alcançados se todos os níveis de capacidade necessários forem obtidos.

O nível de capacidade (6 níveis) é uma medida de quão bem um processo é implementado e está atingindo sua finalidade, ou seja, uma medida da qualidade de implementação e desempenho do processo.

Método Formal

Capacidade

Método menos formal Capacidade informal

Não há um padrão aceito para avaliar o desempenho de estruturas organizacionais.

Alguns critérios que podem avaliar:

  • Princípios organizacionais(Quão bem funciona a organização).
  • Composição e estabelecimento formal da estrutura.
  • Níveis de autoridade. (Quão respeitadas são as decisões da estrutura).
  • Procedimentos de escalonamento. (O quão definidos e aplicados eles são)
  • Etc.

Implementação

O que fazer para implementar o COBIT na tua organização?

  1. Entender o contexto e a estratégia da organização.
  2. Determinar o escopo inicial do sistema de governança.
  3. Refinar o escopo do sistema de governança.
  4. Concluir o projeto do sistema de governança.