Governança e Gestão
Mapa de Governança e Gestão
Na Gerência Geral de Tecnologia da Informação, seguindo as priorizações estabelecidas no Plano Estratégico de Tecnologia da Informação, o sistema de gestão e governança de TI será composto pelos processos conforme o disposto na imagem abaixo:
Legenda
MUITO IMPORTANTE
IMPORTANTE
RELEVANTE
.
Níveis de Capacidade
Nível 0 - Processo Incompleto
Nível 1 - Processo Executado
Nível 2 - Processo Gerenciado
Nível 3 - Processo Estabelecido
Nível 4 - Processo Previsível
Nível 5 - Processo Otimizado
COBIT 2019 Core Model
Objetivos de Governança e Gestão
EDM - Evaluate, Direct and Monitor (Avaliar , Direcionar e Monitorar)
EDM01 - Configuração da estrutura de governança e gestão garantida.
Descrição: Analisar e articular os requisitos para a governança de I&T organizacional. Implementar e manter componentes de governança com clareza de autoridades e de responsabilidades para atingir a missão, as metas e os objetivos da organização.
Propósito: Fornecer uma abordagem consistente, integrada e alinhada com a abordagem de governança organizacional. As decisões relacionadas a I&T devem ser feitas de acordo com as estratégias, os objetivos da organização e o valor desejado. Para esse fim, assegurar-se de que os processos relacionados a I&T sejam supervisionados de forma eficaz e transparente; o cumprimento dos requisitos legais, contratuais e regulatórios sejam confirmados; e os requisitos de governança para membros do conselho sejam atendidos.
EDM02 - Entrega de benefícios garantida.
Descrição: Otimizar o valor dos investimentos em processos de negócios, serviços de I&T e ativos de I&T.
Propósito: Assegurar um ótimo valor habilitado para iniciativas, serviços e ativos de I&T; entrega de soluções e serviços de forma custo-eficiente; e uma visão confiável e precisa dos custos e dos benefícios prováveis, para que as necessidades do negócio sejam suportadas de maneira eficaz e eficiente.
EDM03 - Otimização de risco garantida.
Descrição: Garantir que o apetite e a tolerância ao risco do empreendimento sejam compreendidos, articulados e comunicados, e que os riscos relacionados ao valor do empreendimento no uso de I&T sejam identificados e gerenciados.
Propósito: Assegurar que os riscos relacionados a I&T não excedam o apetite e a tolerância ao risco do empreendimento, que o impacto dos riscos de I&T sobre o valor do empreendimento seja identificado e gerenciado, e que o potencial para falhas de conformidade seja minimizado.
EDM04 - Otimização de recursos garantida
Descrição: Garantir que o apetite e a tolerância ao risco do empreendimento sejam compreendidos, articulados e comunicados, e que os riscos relacionados ao valor do empreendimento no uso de I&T sejam identificados e gerenciados.
Propósito: Assegurar que os riscos relacionados a I&T não excedam o apetite e a tolerância ao risco do empreendimento, que o impacto dos riscos de I&T sobre o valor do empreendimento seja identificado e gerenciado, e que o potencial para falhas de conformidade seja minimizado.
EDM05 - Engajamento das partes interessadas garantido.
Descrição: Garantir que as partes interessadas sejam identificadas e envolvidas no sistema de governança de I&T, assegurando que a medição e a transparência do desempenho e conformidade da empresa sejam claras, com as partes interessadas aprovando as metas e métricas e as ações corretivas necessárias.
Propósito: Garantir que as partes interessadas estejam alinhadas com a estratégia de I&T e o roadmap, que a comunicação seja eficaz e oportuna, e que a base para relatórios seja estabelecida para melhorar o desempenho. Identificar áreas para melhoria e assegurar que os objetivos e estratégias de I&T estejam alinhados com a estratégia do empreendimento.
APO - Align, Plan and Organize (Alinhar, Planejar e organizar)
APO01 - Modelo de gestão de I&T gerenciado.
Descrição:Desenhar o sistema de gestão para I&T com base nos objetivos da organização e outros fatores de design. Com base neste desenho, implementar todos os componentes necessários ao sistema de gestão.
Propósito: Implementar uma abordagem de gerenciamento consistente para que os requisitos de governança corporativa sejam atendidos, abrangendo componentes de governança, como processos de gerenciamento; estruturas organizacionais; papéis e responsabilidades; atividades confiáveis e repetíveis; itens de informação; políticas e procedimentos; habilidades e competências; cultura e comportamento; e serviços, infraestrutura e aplicativos.
APO02 - Estratégia gerenciada.
Descrição: Fornecer uma visão holística do ambiente atual de negócios e I&T, da direção futura e das iniciativas necessárias para migrar para o ambiente desejado. Garantir que o nível de digitalização desejado seja integral à direção futura e à estratégia de I&T. Avaliar a maturidade digital atual da organização e desenvolver um roadmap para fechar as lacunas. Repensar as operações internas e as atividades voltadas para o cliente. Focar na jornada de transformação em toda a organização, utilizando os blocos de construção da arquitetura empresarial, os componentes de governança e o ecossistema da organização, incluindo serviços externos e capacidades relacionadas, para habilitar uma resposta confiável, ágil e eficiente aos objetivos estratégicos.
Propósito: Apoiar a estratégia de transformação digital da organização e entregar o valor desejado por meio de um roadmap de mudanças incrementais. Adotar uma abordagem holística de I&T, garantindo que cada iniciativa esteja claramente conectada a uma estratégia abrangente. Habilitar mudanças em diversos aspectos da organização, desde canais e processos até dados, cultura, habilidades, modelo operacional e incentivos.
APO03 - Arquitetura Corporativa Gerenciada.
Descrição: Estabelecer uma arquitetura comum que consiste em camadas de arquitetura de processos, informações, dados, aplicativos e tecnologia de negócio. Criar modelos e práticas-chave que descrevam as arquiteturas de linha de base e alvo, alinhadas com a estratégia corporativa e de TI. Definir requisitos para taxonomia, padrões, diretrizes, procedimentos, modelos e ferramentas e fornecer uma ligação para esses componentes. Melhorar o alinhamento, aumentar a agilidade, melhorar a qualidade das informações e gerar potenciais economias de custos por meio de iniciativas como a reutilização dos elementos fundamentais.
Propósito: Representar os diferentes elementos fundamentais que compõem a empresa e suas inter-relações, bem como os princípios que orientam seu design e evolução ao longo do tempo, para permitir uma entrega padrão, ágil e eficiente dos objetivos operacionais e estratégicos.
APO04 - Inovação gerenciada.
Descrição: Manter consciência das tendências de I&T e serviços relacionados e monitorar tendências tecnológicas emergentes. Identificar de forma proativa as oportunidades de inovação e
planejar bneficios da inovação em relação às necessidades do negócio e à estratégia de I&T definida. Analisar quais oportunidades de inovação empresarial ou
melhorias podem ser criadas por tecnologias e serviços emergentes ou pela inovação empresarial possibilitada pela I&T através de tecnologias estabelecidas existentes; e
pela inovação nos negócios e nos processos de TI. Influência no planejamento estratégico e nas decisões de arquitetura corporativa.
Propósito: Alcançar vantagem competitiva, inovação empresarial, melhorar a experiência do cliente, melhorar ficácia e eficiência operacional através da exploração dos desenvolvimentos de I&T e tecnologias emergentes.
APO05 - Portfólio gerenciado.
Descrição:Executar a direção estratégica definida para investimentos, alinhando-os com a arquitetura da empresa, a visão e o road map de I&T. Considerar as diferentes categorias de investimentos e as restrições de recursos e financiamento. Avaliar, priorizar e equilibrar programas e serviços, gerenciando a demanda dentro das restrições de recursos e financiamento, com base no alinhamento com os objetivos estratégicos, no valor da empresa e no risco. Transferir programas selecionados para o portfólio ativo de produtos ou serviços para execução. Monitorar o desempenho geral do portfólio de produtos, serviços e programas, propondo ajustes conforme necessário em resposta ao desempenho de programas, produtos ou serviços, ou a mudanças nas prioridades da empresa.
Propósito: Otimizar o desempenho do portfólio geral de programas em resposta ao desempenho individual de programas, produtos e serviços, assim como a mudanças nas prioridades e na demanda da empresa.
APO06 - Orçamento e Custos Gerenciados.
Descrição: Gerenciar as atividades financeiras relacionadas a I&T nas funções de negócio e TI, abrangendo orçamento, gestão de custos e benefícios e priorização de gastos através do uso de práticas orçamentárias formais e um sistema justo e equitativo de alocação de custos para a empresa. Consultar as partes interessadas para identificar e controlar os custos e benefícios totais no contexto dos planos estratégicos e táticos de I&T. Iniciar ação corretiva quando necessário.
Propósito: Promover uma parceria entre as partes interessadas de I&T e da empresa para permitir o uso eficaz e eficiente dos recursos relacionados à I&T e fornecer transparência e responsabilidade do custo e valor comercial das soluções e serviços. Permitir que a empresa tome decisões informadas sobre o uso de soluções e serviços de I&T.
APO07 - Recursos humanos gerenciados.
Descrição: Fornecer uma abordagem estruturada para garantir um ótimo recrutamento e aquisição, planejamento, avaliação e desenvolvimento de recursos humanos (tanto internos quanto externos).
Propósito: Otimizar as capacidades dos recursos humanos para alcançar os objetivos da empresa. O gerenciamento eficaz apoia a conquista de um conjunto de metas primárias da empresa e o alinhamento estratégico.
APO08 - Relacionamentos gerenciados.
Descrição: Gerenciar relacionamentos com as partes interessadas de forma formalizada e transparente, garantindo a confiança mútua e um foco combinado na conquista dos objetivos estratégicos, dentro das restrições orçamentárias e da tolerância ao risco. Basear os relacionamentos em uma comunicação aberta e transparente, utilizando uma linguagem comum e a disposição para assumir a propriedade e a responsabilidade pelas principais decisões de ambos os lados. As áreas de negócios e TI devem trabalhar juntas para criar resultados empresariais bem-sucedidos que apoiem os objetivos da empresa.
Propósito: Habilitar o desenvolvimento do conhecimento, das habilidades e dos comportamentos adequados para criar melhores resultados, aumentar a confiança mútua e o uso eficaz de recursos, promovendo um relacionamento produtivo com as partes interessadas de negócios.
APO09 - Acordos de serviços gerenciados.
Descrição: Alinhar produtos e serviços habilitados para I&T e níveis de serviço com as necessidades e expectativas da empresa, incluindo a identificação, especificação, projeto, publicação, acordos e monitoramento de produtos e serviços de I&T, níveis de serviço e indicadores de desempenho.
Propósito: Garantir que os produtos, serviços e níveis de serviço de I&T atendam às necessidades atuais e futuras da empresa.
APO10 - Fornecedores Gerenciados.
Descrição: Gerenciar produtos e serviços relacionados a TI fornecidos por todos os tipos de fornecedores para atender aos requisitos da empresa. Isso inclui a busca e seleção de fornecedores, gerenciamento de relacionamentos, gerenciamento de contratos, e revisão e monitoramento do desempenho do fornecedor e do ecossistema do fornecedor (incluindo a cadeia de suprimentos upstream) para eficácia e conformidade.
Propósito: Otimizar os recursos de I&T disponíveis para apoiar a estratégia e o roteiro de I&T, minimizar os riscos associados a fornecedores insatisfatórios ou não conformes e garantir preços competitivos.
APO11 - Qualidade gerenciada.
Descrição: Definir e comunicar requisitos de qualidade em todos os processos, procedimentos e resultados relacionados. Habilitação de controles, monitoramento contínuo, o uso de práticas e padrões comprovados em esforços de melhoria contínua e eficiência.
Propósito: Garantir entregas consistentes de soluções e serviços de tecnologia para atender aos requisitos de qualidade da organização e satisfazer as necessidades das partes interessadas.
APO12 - Riscos Gerenciado.
Descrição: Identificar, avaliar e reduzir continuamente os riscos relacionados a I&T dentro dos níveis de tolerância definidos pela gerência executiva da organização.
Propósito: Integrar a gestão de risco relacionado a I&T com a gestão de risco corporativa (ERM) e equilibrar os custos e os benefícios do gerenciamento de risco relacionado a I&T.
APO13 - Segurança Gerenciada.
Descrição: Definir, operar e monitorar um sistema de gestão de segurança da informação.
Propósito: Manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de risco da organização.
APO14 - Dados gerenciados.
Descrição: Alcançar e sustentar um gerenciamento eficaz dos ativos de dados da empresa ao longo do ciclo de vida dos dados, desde a criação até a entrega, manutenção e arquivamento.
Propósito: Garantir a utilização eficaz dos dados críticos para alcançar as metas e objetivos da empresa.
BAI - Build, Acquire and Implement (Construir, Adiquirir e Implementar)
BAI01 - Programas gerenciados.
Descrição: Gerenciar todos os programas do portfólio de investimentos em alinhamento com a estratégia da empresa e de forma coordenada, baseada em uma abordagem padrão de gerenciamento de programas. Iniciar, planejar, controlar e executar programas, monitorando o valor esperado de cada um.
Propósito: Compreender o valor desejado pelos negócios e reduzir o risco de atrasos inesperados, custos elevados e erosão de valor. Para isso, melhorar as comunicações e o envolvimento de negócios e usuários finais, garantindo valor e qualidade nas entregas dos programas, além de maximizar a contribuição dos programas para o portfólio de investimentos.
BAI02 - Definição de requisitos gerenciadas.
Descrição: Identificar soluções e analisar os requisitos antes da aquisição ou criação para garantir que estejam alinhados aos requisitos estratégicos da organização, abrangendo processos de negócios, aplicativos, informações/dados, infraestrutura e serviços. Coordenar a revisão das opções viáveis com as partes interessadas afetadas, incluindo custos e benefícios relativos, análise de risco e aprovação de requisitos e soluções propostas.
Propósito: Criar soluções ideais que atendam às necessidades da organização, minimizando o risco.
BAI03 - Identificações e construção de soluções gerenciadas.
Descrição: Estabelecer e manter produtos e serviços (tecnologia, processos de negócio e fluxos de trabalho) em conformidade com os requisitos corporativos abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores. Gerenciar configuração; preparação de testes; testes; gerenciamento de requisitos e manutenção de processos de negócios, aplicativos, informações/dados, infraestrutura e serviços.
Propósito: Garantir a entrega ágil e escalável de produtos e serviços digitais. Estabelecer soluções oportunas e econômicas (tecnologia, processos de negócio e fluxos de trabalho) capazes de apoiar os objetivos estratégicos e operacionais da organização.
BAI04 - Disponibilidade e capacidade gerenciadas.
Descrição: Equilibrar as necessidades atuais e futuras em relação à disponibilidade, desempenho e capacidade com a provisão de serviços custo-efetivos. Isso inclui a avaliação das capacidades atuais, a previsão de necessidades futuras com base nos requisitos de negócios, a análise de impactos e a avaliação de riscos para planejar e implementar ações que atendam aos requisitos identificados.
Propósito: Manter a disponibilidade dos serviços, gerenciar recursos de forma eficiente e otimizar o desempenho dos sistemas por meio da previsão das necessidades futuras de desempenho e capacidade.
BAI05 - Mudança organizacional gerenciada.
Descrição: Maximizar a probabilidade de implementar com sucesso uma mudança organizacional sustentável em toda a empresa, de forma rápida e com risco reduzido. Cobrir todo o ciclo de vida da mudança e todas as partes interessadas afetadas nos negócios e em I&T.
Propósito: Preparar e comprometer as partes interessadas para a mudança nos negócios e reduzir o risco de falha.
BAI06 - Mudanças de I&T gerenciadas.
Descrição: Gerenciar todas as mudanças de forma controlada, incluindo mudanças padrão e de emergência, relacionadas a processos de negócios, aplicações e infraestrutura. Isso inclui padrões e procedimentos de mudança, avaliação de impacto, priorização e autorização, mudanças de emergência, monitoramento, relatórios, encerramento e documentação.
Propósito: Habilitar a entrega rápida e confiável de mudanças para os negócios, mitigando o risco de impactos negativos na estabilidade ou integridade do ambiente modificado.
BAI07 - Homologação e transição de mudanças gerenciadas.
Descrição: Aceitar formalmente e tornar operacionais novas soluções, incluindo planejamento de implementação, conversão de sistemas e dados, testes de aceitação, comunicação, preparação para liberação, promoção para produção de novos ou modificados processos de negócios e serviços de I&T, suporte inicial à produção e análise pós-implementação.
Propósito: Implementar soluções com segurança, alinhadas às expectativas e resultados acordados.
BAI08 - Conhecimento gerenciado.
Descrição: Manter a disponibilidade de conhecimento e informações de gestão relevantes, atuais, validados e confiáveis para apoiar todas as atividades do processo e facilitar a tomada de decisões relacionadas à governança e gestão de I&T. Planejar a identificação, coleta, organização, manutenção, uso e retirada de conhecimento.
Propósito: Fornecer o conhecimento e as informações necessárias para apoiar todos os funcionários na governança e gestão de I&T e permitir a tomada de decisão informada.
BAI09 - Ativos gerenciados.
Descrição: Gerenciar os ativos de I&T ao longo de seu ciclo de vida para garantir que seu uso agregue valor a um custo ideal, que permaneçam operacionais (adequados à finalidade) e
sejam contabilizados e protegidos fisicamente. Certificar que os ativos essenciais para dar suporte à capacidade de serviço sejam confiáveis e estejam disponíveis.
Gerenciar licenças de software para garantir que o número ideal seja adquirido, retido e implantado em relação ao uso comercial necessário, e que
os softwares instalados estejam em conformidade com os contratos de licença.
Propósito: Considerar todos os ativos de I&T e otimizar o valor proporcionado pela sua utilização.
BAI10 - Configuração gerenciada.
Descrição: Definir e manter descrições e relacionamentos entre os principais recursos e capacidades necessários para fornecer serviços habilitados para I&T. Incluir coleta informações de configuração, estabelecendo linhas de base, verificando e auditando informações de configuração e atualizando o repositório de configuração.
Propósito: Fornecer informações suficientes sobre os ativos de serviço para permitir que o serviço seja gerenciado de forma eficaz. Avaliar o impacto das mudanças e lidar com incidentes de serviço.
BAI11 - Projetos gerenciados.
Descrição: Gerenciar todos os projetos iniciados dentro da empresa, alinhando-os à estratégia organizacional e seguindo um caminho coordenado baseado em uma abordagem padrão de gerenciamento de projetos. Iniciar, planejar, controlar e executar projetos, finalizando com uma análise pós-implementação.
Propósito: Definir os resultados do projeto e reduzir o risco de atrasos inesperados, custos adicionais e perda de valor, melhorando a comunicação e o envolvimento dos negócios e dos usuários finais. Garantir o valor e a qualidade das entregas do projeto, maximizando sua contribuição para os programas e portfólios de investimento definidos.
DSS - Deliver, Service and Support (Entrega, Serviços e Suporte)
DSS01 - Operações gerenciadas.
Descrição: Coordenar e executar atividades e procedimentos operacionais necessários à prestação de serviços de I&T internos e terceirizados. Incluir a execução de
procedimentos operacionais padrão predefinidos e as atividades de monitoramento necessárias.
Propósito: Entregar resultados operacionais de produtos e serviços de I&T conforme planejado.
DSS02 - Solicitações e incidentes de serviços gerenciados.
Descrição: Fornecer resposta oportuna e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Restaurar a normalidade dos serviços; registrar e preencher solicitações de usuários; e registrar, investigar, diagnosticar, escalonar e resolver incidentes.
Propósito: Obtenha maior produtividade e minimize interrupções por meio da resolução rápida de dúvidas e incidentes dos usuários. Avalie o impacto das mudanças e lidar com incidentes de serviço. Resolva solicitações de usuários e restaure o serviço em resposta a incidentes.
DSS03 - Problemas gerenciados.
Descrição: Identificar e classificar problemas e suas causas raízes. Fornecendo resolução oportuna para evitar incidentes recorrentes. Fornecer recomendações para
melhorias.
Propósito: Aumentar a disponibilidade, melhorar os níveis de serviço, reduzir custos, melhorar a conveniência e a satisfação do cliente, reduzindo o número de operações problemas, e identificar as causas raízes como parte da resolução do problema.
DSS04 - Continuidade Gerenciada.
Descrição: Estabelecer e manter um plano para permitir que a organização e a I&T respondam a incidentes e se adaptem rapidamente às interrupções. Isso permitirá operações contínuas de processos de negócio críticos e os serviços de I&T necessários. Além disso, manterá a disponibilidade de recursos, de ativos e de informações em um nível aceitável para a organização.
Propósito: Adaptar-se rapidamente, continuar as operações de negócio e manter a disponibilidade de recursos e de informações em um nível aceitável para a organização no caso de uma interrupção
significativa.
DSS05 - Serviços de Segurança Gerenciados.
Descrição: Proteger as informações da organização para manter o nível de risco à segurança da informação aceitável para a empresa de acordo com a política de segurança. Estabelecer e manter funções de segurança da informação e privilégios de acesso. Realizar monitoramento de segurança.
Propósito: Adaptar-se rapidamente, continuar as operações de negócio e manter a disponibilidade de recursos e de informações em um nível aceitável para a organização no caso de uma interrupção
significativa.
DSS06 - Controles de processos de negócio gerenciados.
Descrição: Definir e manter controles de processos de negócios apropriados para garantir que as informações relacionadas e processadas por funcionários internos ou terceirizados
satisfaçam todos os requisitos relevantes de controle de informações. Identificar os requisitos relevantes de controle de informações. Gerenciar e operar controles adequados de entrada, rendimento e saída (controles de aplicativos) para garantir que as informações e o processamento de informações satisfaçam esses requisitos.
Propósito: Manter a integridade das informações e a segurança dos ativos de informações manipulados nos processos de negócios da empresa ou de sua operação terceirizada.
MEA - Monitor, Evaluate and Assess
(Monitorar, Avaliar e Analisar)
MEA01 - Monitoramento de desempenho e a conformidade gerenciado.
Descrição: Coletar, validar e avaliar objetivos e métricas corporativas e de alinhamento com I&T. Monitorar se os processos e práticas estão sendo executados em relação aos objetivos e métricas de desempenho e conformidade. Fornecer relatórios sistemáticos e oportunos.
Propósito: Fornecer transparência do desempenho e conformidade e estimular o cumprimento dos objetivos.
MEA02 - Sistema de controle interno gerenciado.
Descrição: Monitorar e avaliar continuamente o ambiente de controle, incluindo autoavaliações e autoconsciência. Permitir que a gestão identifique o controle deficiências e ineficiências e iniciar ações de melhoria. Planejar, organizar e manter padrões para avaliação de controles internos e eficácia do controle do processo.
Propósito: Obter transparência para os principais stakeholders sobre a adequação do sistema de controles internos e assim proporcionar confiança nas operações, confiança no realização dos objetivos da empresa e uma compreensão adequada do risco residual.
MEA03 - Conformidade com requisitos externos gerenciados.
Descrição: Avaliar se os processos de I&T e os processos de negócio com suporte de I&T estão em conformidade com as leis, regulamentos e requisitos contratuais. Obter a garantia de que os requisitos foram identificados e atendidos; integrar a conformidade de I&T com a conformidade geral da organização.
Propósito: Certificar-se de que a organização está em conformidade com todos os requisitos externos aplicáveis.
MEA04 - Garantias gerenciadas.
Descrição: Planejar, escopo e executar iniciativas de garantia para cumprir os requisitos internos, leis, regulamentos e objetivos estratégicos. Habilitar a gestão a entregar uma garantia adequada e sustentável na empresa, realizando avaliações e atividades de garantia independentes.
Propósito: Capacitar a organização a projetar e desenvolver iniciativas de garantia eficientes e eficazes, fornecendo orientação sobre planejamento, escopo, execução e acompanhamento das avaliações de garantia, utilizando um roadmap baseado em abordagens de garantia bem aceitas.