Aula 4_Framework_COBIT

The Cobit 5 framework emphasizes the importance of information as a key resource for any company. It promotes the adoption of an approach where IT management and governance work together to achieve strategic objectives. Cobit 5 provides a holistic view of IT, enabling it to be managed and governed throughout the entire organization. The framework is flexible and applicable to companies of any nature, size, or market. It is aligned with other frameworks such as ITIL, TOGAF, and ISO standards. The framework distinguishes between governance and management, with governance focusing on setting objectives and priorities, while management focuses on planning and executing activities. Aula 4 Framework Cobit. Segundo o Cobit 5, a informação é um recurso-chave para qualquer empresa e a tecnologia tem um papel muito importante durante todo o seu ciclo de vida. A denominada TI tem se tornado cada vez mais um órgão vital nas empresas e todos os ambientes sociais, públicos e de negócio. Nesse sentido, a adoção de uma abordagem onde tanto o gerenciamento quanto a governança de TI trabalham juntos, visando o atingimento dos objetivos estratégicos, tem sido cada vez mais valorizada nas empresas. O Cobit 5 endossa essa abordagem uma vez que ajuda as empresas a atingirem seus objetivos de governança e gerenciamento da TI em âmbito corporativo, assim como a otimizarem o valor da sua TI, balanceando os riscos versus os benefícios. Habilita a TI a ser gerenciada e governada de forma holística por toda a empresa, incluindo áreas de negócio, áreas funcionais da TI e partes interessadas internas e externas. Pode ser utilizado por empresas de qualquer natureza, mercado ou tamanho. O modelo do Cobit é genérico o bastante para representar todos os processos normalmente realizados nas funções da TI e é compreensível tanto para a operação como para os gerentes de negócio, pois cria uma ponte entre o pessoal operacional que precisa executar e a visão que os executivos desejam ter para governar. Os cinco princípios do Cobit A governança de TI, quando implantada de forma integrada, permite que a empresa gerencie de forma eficiente seus investimentos, recursos tecnológicos e suas informações, transformando-as em maximização de benefícios, oportunidade de negócios e vantagem competitiva no mercado. Para o Cobit, a governança e o gerenciamento de TI empresarial estão sustentados por cinco princípios, conforme mostra a figura 6.2 abaixo. Então os cinco princípios de Cobit são 1. Satisfazer as necessidades das partes interessadas 2. Cobrir a organização de ponta a ponta 3. Aplicar um framework integrado único 4. Possibilitar uma visão holística 5. Separar governanças de gerenciamento E agora nós vamos falar de um a um desses processos. De falar a respeito de cada ponto, é importante ressaltar que a Cobit 5 propõe um sistema de metas em cascata, que está ilustrado na figura 6.3. Então inicia como motivadores das partes interessadas, seriam mudanças na estratégia, ambiente de negócios, regulamentos, novas tecnologias e eles influenciam as necessidades das partes interessadas, benefícios realizados, riscos utilizados e recursos utilizados e são desdobradas em metas corporativas, utilizando o balanço Scorecard e depois elas são desdobradas em metas relacionadas à TI, ou seja, criando o balanço Scorecard TI e essas metas relacionadas à TI, elas são desdobradas em Serviços de Infraestrutura e Aplicações, Pessoas, Habilidades e Competências, Princípios Políticos e Modelos, Informação, Processos, Estruturas Organizacionais e Cultura, Ética e Comportamento. Essas são as metas dos habilitadores de TI, ou seja, cada partezinha dessa é um habilitador. Serviços de Infraestrutura e Aplicações é um habilitador, Pessoas, Habilidades e Competências é outro habilitador, Princípios Políticos e Modelos, Informação, Processos, Estruturas Organizacionais, Cultura, Ética e Comportamento. Os habilitadores são fatores tangíveis e intangíveis que individualmente e coletivamente possuem influência sobre o funcionamento da governança e do gerenciamento da TI. Alguns pontos que merecem destaque especial em relação ao sistema de cascata. As dimensões do balanço Scorecard são os critérios utilizados para agrupar os 17 metas corporativas genéricas e 17 metas relacionadas à TI. Os três pontos indicados como necessidade das partes interessadas são considerados os princípios objetivos de governança e estão relacionados com as metas corporativas, conforme o grau de influência que estas têm sobre eles, primário e secundário. Este modelo mostra como cada um dos habilitadores de TI, definidos mais adiante neste texto, são importantes para que as metas corporativas sejam atingidas. Este tão modelo fornece também exemplos de métricas que podem ser utilizados para medir o atingimento de cada meta. Como são exemplos, recomenda-se que cada empresa crie o seu próprio sistema de medição, conforme a sua realidade interna. Cobrir a empresa de ponta a ponta. O COBIT não concentra o seu foco apenas na área de TI, sim na governança e no gerenciamento da informação e da tecnologia relacionadas, onde quer que estejam cobrindo a empresa de ponta a ponta. Neste sentido, integra a governança empresarial de TI ao contexto da governança corporativa e endereça todos os serviços de TI e processos de negócio internos e externos. Um sistema de governança é formado pelos seguintes componentes. Habilitadores de governança, que são os recursos organizacionais utilizados para a governança, como princípios, frameworks, estruturas, processos e práticas, através dos ou para os quais são conduzidas ações e atingidos objetivos. Escopo da governança, a área que será efetivamente governada, desde um ativo tangível e intangível até uma entidade ou mesmo a empresa inteira. Papéis, atividades e relacionamentos definem as partes interessadas e envolvidas, o que elas fazem e como devem interagir dentro do escopo do sistema de governança. Agora é bem importante isso, aplicar um framework integrado único. O COBIT pode ser considerado como um framework integrado único ou mesmo integrador entre os principais frameworks do mercado. Em suas versões mais utilizadas, uma vez sua estrutura simples e serve como uma fonte consistente e integrada de diretrizes para a utilização desses modelos, o COBIT 5 está alinhado em frameworks importantes como o ITIL, o TOGAF, normas ISO e engloba também todo o conhecimento que estava espalhado por outros modelos da própria ISACA, tais como o VAL-IT, o RISC-IT, o BMIS e etc. Além disso, serve como uma estrutura base para todos os materiais de orientação, pois define um conjunto de habilitadores para a governança e gerenciamento e provê uma base bastante abrangente de boas práticas que poderão ser utilizadas posteriormente na nossa avaliação. Permitir uma visão holística, o COBIT descreve sete categorias de habilitadores de TI que possuem grande influência no sucesso da governança e do gerenciamento de TI. Então a gente tem lá os princípios, políticas e estruturas que auxiliam a traduzir o comportamento desejado em um guia prático para o dia a dia, processos que descrevem práticas e atividades para atingir objetivos específicos e também apoiam o atingimento das metas globais relacionadas à TI, estruturas organizacionais, entidades de tomada de decisão-chave em uma empresa, cultura, ética e comportamento desenvolvidos, geralmente subestimados como fatores críticos de sucesso para as atividades de governança e gerenciamento, informação gerada e utilizada pela empresa que a mantém em funcionamento e que no nível operacional é parte integrante do seu produto principal, serviços, infraestrutura e aplicações que apoiam a organização com processamento e serviços de TI, pessoas, habilidades e competências presentes nas pessoas e requeridas para execução das atividades relacionadas ao escopo em questão. Então todos esses habilitadores possuem um conjunto de dimensões comuns que fornece uma forma simples e estruturada para tratá-los, permite que as interações entre eles sejam gerenciadas, por mais complexas que sejam e facilita a obtenção de saídas robustas e bem estruturadas. A figura 6.4 mostra como essas dimensões podem simplificar o entendimento dos habilitadores. As partes interessadas, sejam elas internas ou externas, são resultado das métricas para atingimento das metas, que se desdobrem aos requisitos de desempenho das partes que estão interessadas e as metas do habilitador como cumpridas. Ou seja, metas de qualidade intrínseca, relevância, efetividade, acessibilidade e segurança. E tem outra parte que é as métricas para aplicação das práticas. O ciclo de vida está gerenciado? O ciclo de vida é baseado no PDCA. E boas práticas foram aplicadas? Boas práticas internas e externas. Essa é a gestão do desempenho do habilitador. Bom, cada habilitador possui partes interessadas, internas e externas, que desempenham algum papel ativo ou simplesmente têm interesse em seus resultados para necessidades que devem ser atribuídas em metas corporativas e gerenciadas propriamente. Em geral, as metas de cada habilitador são definidas em termos dos resultados esperados. Em sua própria utilização ou operação. E refletem atributos de qualidade, segurança e acessibilidade. O ciclo de vida de um habilitador cobre desde a concepção até o momento em que sua utilização é descontinuada e precisa ser adequadamente gerenciado. As boas práticas mostram exemplos ou sugestões de como implementar cada habilitador e apoiam o atingimento das suas metas. Este é um ponto onde recomenda-se a integração com outros padrões de modelos de boas práticas do mercado, conforme o contexto de cada habilitador. Os desempenhos dos habilitadores devem ser medidos em função das saídas produzidas por eles, que a gente chama de lag indicators. E da maneira como estão funcionando, que seria o lead indicators. O próximo seria separar governança de gerenciamento. O COBIT diferencia claramente os conceitos de governança e gerenciamento. Como disciplinas que envolvem diferentes tipos de atividades e estruturas organizacionais e que servem a propósitos distintos. Então vamos lá. Governança. Asegura as necessidades, condições e opções das partes interessadas sejam avaliadas para determinar objetivos corporativos balanceados e acordados a serem atingidos, estabelecendo prioridades, tomando decisões e monitorando o desempenho e a conformidade em relação à direção e aos objetivos acordados. Em geral, uma responsabilidade do corpo diretivo da empresa. Gerenciamento. Planeja, constrói, executa e monitora atividades de forma alinhada com a direção estabelecida pelo grupo de governança, visando o atingimento dos objetivos corporativos. Em geral, é uma responsabilidade da gerência executiva sob a liderança do CEO da empresa. A criação do sistema de governança efetivo requer que as disciplinas de governança e gerenciamento interajam de forma estruturada. Os habilitadores relacionados na sessão anterior podem ser um excelente ponto de partida para o estabelecimento dessas interações. Bom, agora uma coisa bem importante também. O modelo de referência de processo do COBIT. Como um dos cinco passos mais importantes para uma boa governança, o COBIT sugere um modelo de referência que define e descreve processos, agrupando-os nas áreas-chave de governança e gerenciamento. Então, vamos lá. Necessidades do negócio. Então, a gente tem primeiro a governança. Dentro desse framework aqui da governança, nós temos avaliar, dirigir e monitorar. Ou seja, essa é a parte da governança. Logo abaixo, a gente tem a parte do gerenciamento, que seria planejar, que é o APO, construir, vai, executar o DSS e monitorar o MEA. Ou seja, você tem então que a governança somente tem três pontos, que é o dirigir, avaliar e monitorar, enquanto o gerenciamento tem quatro pontos, que é o planejar, construir, executar e monitorar. Bom, agora vamos lá. Falando da governança, esse domínio contém cinco processos de governança, dentro dos quais são definidas práticas de avaliação, direção e monitoração. Alinhar, planejar e organizar, o APO, esse domínio tem abrangência estratégica e tática, que identifica as formas através das quais a TI pode contribuir, melhorar para o atendimento dos objetivos de negócio. Construir, adquirir e implementar, o BAI. Este domínio cobre identificação, desenvolvimento e ou aquisição de soluções de TI, para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções de sistemas existentes também estão cobertas por este domínio, para segurar a continuidade dos respectivos ciclos de vida. Entregar, reparar e suportar, que é o DSS, esse domínio cobre a entrega propriamente dita dos serviços requeridos, incluindo gerenciamento de segurança e continuidade, reparo de equipamentos e demais itens relacionados, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional. E, por fim, nós temos agora o monitorar, avaliar e medir, que é o MEA. Este domínio está a vis-a-segurar a qualidade dos processos de TI, assim como a sua governança e conformidade com os objetivos de controle, através de mecanismos regulares de acompanhamento, monitoração de controles internos e de avaliações internas e externas. A tabela mostra 37 processos de TI relativos a cada um dos domínios do COMIT-5. Então, a gente tem os processos de TI, que é o EDM, avaliar, dirigir e monitorar, que é assegurar o estabelecimento e manutenção de framework, a entrega dos benefícios, assegurar a otimização dos riscos, otimização dos recursos, assegurar a transparência para as partes interessadas. E tem o APO, que é o alinhar, planejar e organizar. Tem que tudo gerenciar, o framework, a estratégia, a arquitetura, a inovação, o portfólio, os orçamentos, recursos humanos, relacionamentos, acordos de serviços, fornecedores da qualidade, riscos e a segurança. E o BAC é construir, adquirir e implementar. Também é gerenciar programas e projetos, gerenciar a definição de requisitos, a identificação e consulta de soluções, disponibilidade e capacidade, gerenciar a habitação da mudança organizacional, mudanças, o aceite e a transição das mudanças, gerenciar o conhecimento, ativos e gerenciar a configuração. O DSS é entregar, reparar e suportar. Então, também é gerenciar operações, gerenciar requisições, serviços e incidentes, gerenciar problemas, gerenciar a continuidade, gerenciar os serviços de segurança e gerenciar controles de processo de negócio. E, por fim, o MEA, que é monitorar, avaliar e medir, que monitora, avalia e mede tudo. Ou seja, monitora, avalia e mede o desempenho ou conformidade, monitora, avalia e mede o sistema de controles internos, monitora, avalia e mede a conformidade com requisitos externos. Cada um dos 37 processos de TI é descrito através de seus componentes interrelacionados, ou seja, a identificação do processo, descrição do processo, propósito geral do processo, metas em cascata, metas relacionadas à TI suportadas primariamente e métricas sugeridas para medi-las, metas-exemplos de métricas específicas do processo, matriz de responsabilidades, modelo-race associado a papéis e tarefas, descrição detalhada das práticas do processo para cada prática e orientações relacionadas, referenciando outros modelos e padrões, além da documentação adicional. Diretrizes de implementação. A implementação das práticas do COBIT é apoiada por um conjunto de diretrizes baseado em uma abordagem de ciclo de vida, de melhoria contínua, em algumas premissas básicas que devem ser respeitadas. Então, a gente tem o contexto atual e a cultura da empresa devem ser levados em consideração, assim como seus habilitadores e restrições. Deve ser criado um ambiente propício ao comprometimento de todas as partes interessadas, principalmente as mais críticas, com estruturas apropriadas para direcionamento, supervisão e suporte em todos os níveis da organização. É necessário reconhecer onde estão os pontos fracos, em inglês, pain points, no contexto da TI, assim como eventos externos ou internos que possam impactar a governança e o gerenciamento da TI, tais como fusões, aquisições, reduções de investimento, novos requisitos regulatórios ou compliance, mudanças no mercado, etc. Viabilizar a mudança buscando ultrapassar os focos de resistência humana, comportamental e cultural por meio de uma abordagem positiva sobre os benefícios da sua implementação para o interesse comum da empresa. O ciclo de vida e implementação pressupõe a existência de um programa, não somente um projeto, de sete fases que é sustentado de forma iterativa por uma abordagem consistente de governança e gerenciamento. A figura 6.6 mostra uma visão planificada desse ciclo de vida. Por fim, recomendo-se criar um business case que demonstre de que forma uma implementação trará valor para o negócio da empresa. Então a gente tem aqui uma visão planificada, onde você tem nas colunas quais são os direcionadores, onde estamos agora, onde queremos estar, o que precisa ser feito, como chegaremos lá, chegamos lá, como manter a inércia. E nas linhas, linha 1, gestão do programa, linha 2, viabilização da mudança e linha 3, ciclo de vida. de melhoria contínua, de forma que você faz, então, essa composição da gestão do programa com quais são os direcionadores ou onde estamos em cada uma das frentes das colunas. Bom, o modelo de capacidade de processos, o COBIT, em relação à sua edição anterior, é 4.1, é a adoção de um modelo de capacidade de processos é a adoção de um modelo de capacidade de processos abandonando a visão de modelo de maturidade. Então, ou seja, o COBIT, para cada processo, pode ser realizado uma avaliação para cada um dos seus atributos de capacidade. A abordagem inicial que deu origem a este modelo de capacidade foi introduzida no Process Assessment Model, PAM, publicado em 2011, cuja finalidade era fornecer uma base para avaliação dos processos de TI de uma organização. Agora, vamos falar da tabela 6.3, que mostra os seis níveis de capacidade de cada um dos processos que pode atingir os EOs Atributos de Desempenho da capacidade para cada um desses níveis. Então, nível de capacidade, nível zero, que é o processo incompleto. O processo não está implementado ou falha no atingimento de seu propósito. Então, ou seja, neste nível há pouco ou nenhuma evidência de qualquer atingimento sistemático do propósito do processo. Nível um, processo executado. O processo implementado atinge o seu propósito. Então, ou seja, o atributo genérico de capacidade de processo é desempenho do processo. Nível dois, processo gerenciado. O processo está implementado de forma gerenciada, planejada, monitorada e ajustada e seus produtos de trabalho são estabelecidos, controlados e mantidos apropriadamente. Os atributos genéricos de capacidade de processo são gestão de desempenho e gestão de produtos de trabalho. Nível três, o processo está implementado utilizando um processo definido capaz de atingir os seus resultados esperados. E como atributos, ele tem a definição do processo e a implantação do processo. Nível quatro, processo previsível. O processo opera dentro de limites definidos para atingir os seus resultados esperados e ele tem como atributos a medição do processo, controle do processo. E, enfim, nível cinco, processo em otimização. O processo é continuamente melhorado para atender os objetivos de negócio atuais e projetos mais relevantes. Ou seja, a inovação seriam os atributos e a otimização do processo. Agora vamos falar da família de produtos do COBIT. Então, além do documento principal COBIT 5, que descreve o framework, há outros produtos que complementam o seu conteúdo, cada um com um foco específico. Ver o site da ISAC. E nós vamos falar, vamos listá-los. Primeiro, o COBIT 5 Enabling Processes. Guia de referência detalhado para os processos definidos no modelo de referência de processo do COBIT 5. Tem o COBIT 5 Enabling Information. Guia de referência que fornece uma forma estruturada de pensar sobre questões de governança e gerenciamento de informações em qualquer tipo de organização. E o COBIT 5 Implementation. Implementation fornece uma abordagem de boas práticas para implementar a governança corporativa de TI com base em um ciclo de vida de melhoria contínua adaptável às necessidades específicas de cada empresa. Temos também o Foreign Information Security. Security que completa as diretrizes específicas do modelo aplicáveis ao âmbito de segurança da informação no sentido de assegurar a confidencialidade, a integralidade e a disponibilidade das informações. Temos o Assurance. Focaliza nas avaliações e fornece diretrizes detalhadas e práticas para os profissionais que asseguram a qualidade. Por exemplo, auditores, equipes de compliance, reguladores executivos e outras partes interessadas sobre como utilizar o COBIT 5 para suportar tais atividades. Temos o RISC. O RISC contempla as diretrizes específicas do modelo aplicável ao âmbito do gerenciamento de riscos. E por fim, o Assessment Program. Base para avaliar ou auditar os processos de uma empresa em relação à governança e ao gerenciamento de TI dos serviços relacionados. Agora vamos falar da aplicabilidade do modelo. Então vamos lá. A partir do alinhamento com os requisitos de alto nível do negócio e boa convivência com outros padrões e modelos de boas práticas existentes no mercado, o COBIT cobre todo o conjunto de atividades de TI, concentrando-se em o que deve ser atingido em vez de como atingir, em termos de governança, gestão e controle. Nesse sentido, recomenda-se que o COBIT seja utilizado no nível estratégico com o objetivo de delinear uma estrutura de controle e gestão baseada em um modelo de processos que seja aplicável para toda a empresa. Em várias oportunidades de aplicação em uma organização, podem ser ressaltadas. 1. Avaliação dos habilitadores de TI. A grande abrangência do COBIT e o alto grau de padronização permitem a sua utilização como um checklist para avaliar os pontos fortes e fracos de todos os habilitadores de TI, servindo como subsídio para a proposição de ações de melhoria, visando uma estruturação eficaz da governança e do gerenciamento, tanto na forma de autoavaliações quanto na avaliações externas. 2. Atuação da governança em vários níveis. De acordo com o ISACA, o conceito de governança corporativa de TI possibilita a atuação na visão corporativa, tratando, por exemplo, questões legais ou de compliance, com a visão de cada entidade dentro da corporação, linhas de negócio, funções, unidades organizacionais, inclusive a área de TI, ou mesmo com a visão focada em ativos específicos, sejam eles tangíveis, pessoas, tecnologia e capital, ou intangíveis, processos, serviços, marcas, imagem, conhecimento, etc. 3. Implementação modular da governança de TI. Lembrando que a gente está falando nas aplicabilidades do modelo. Então, nessa implementação modular da governança de TI, práticas e padrões relativos e habilitadores, tais como áreas e processos específicos, podem ser mapeados para os habilitadores do modelo, mesmo com base em outros modelos, como o ITIL, o CMMI e o PMBook, de forma a criar uma estrutura específica de governança e gestão que estão reutilizando práticas, processos e padrões já existentes. Agora, avaliação dos riscos operacionais de TI. Os habilitadores podem ser avaliados em conjunto ou isoladamente e as suas discrepâncias em relação às metas e boas práticas perante os riscos que podem representar para o negócio da empresa em termos de sua probabilidade de ocorrência e da severidade do impacto. Destacando que estamos falando da aplicabilidade do modelo de framework do COBIT. Agora, nós vamos falar sobre avaliação dos riscos operacionais de TI. Os operadores e os habilitadores podem ser avaliados em conjunto ou isoladamente e as suas discrepâncias em relação às metas e boas práticas perante os riscos que podem representar para o negócio da empresa em termos de sua probabilidade de ocorrência e da severidade do impacto. Realização de benchmarking. A existência de um modelo de avaliação padronizado para todos os habilitadores de TI permite que a organização possa montar uma estratégia baseada na sua situação atual em termos de governança de TI, utilizando como parâmetros de comparação dados de outras empresas best-in-class ou padrões internacionais de mercado, estabelecendo suas próprias metas de crescimento e melhoria contínua. Por fim, a qualificação de fornecedores de TI, o modelo de capacidade de processo do COBIT, pode ser utilizado como qualificador na contratação de serviços de TI ou mesmo no estabelecimento de níveis de serviço dentro de uma organização. A grande vantagem da utilização desse modelo é a padronização, ou seja, a utilização dos mesmos critérios para avaliar processos, assim como todos os demais habilitadores em diversas organizações. Como modelo de governança de TI, o COBIT pode ser aplicado tanto em pequenas organizações como em grandes organizações de TI, desde que esteja consistente com os objetivos de negócio e com as estratégias relacionadas à TI. O COBIT é aplicável a todas as funções envolvidas na governança e no gerenciamento da informação e da tecnologia relacionada, nas quais a informação pode ser processada. Isso inclui a gestão executiva da corporação, os gestores de negócios, gestores de TI e também os profissionais que atuam em verificações como, por exemplo, auditores e áreas de garantia de qualidade. Agora vamos falar dos benefícios do modelo. A forma através da qual o COBIT está estruturado favorece muito o entendimento de vários habilitadores de TI, inclusive dos processos, e, consequentemente, fornece um excelente guia para a sua implementação ou melhoria nas organizações. Assim como, para a avaliação da capacidade atual dos processos existentes, a utilização sistemática do COBIT como modelo de governança e gestão poderá trazer benefícios para uma organização, tais como maior assertividade na tomada de decisões acerca dos investimentos e iniciativas de TI por conta de uma melhor visibilidade acerca do relacionamento entre as necessidades do negócio, das várias partes interessadas, as metas corporativas relativas à TI e os processos de TI. Responsabilidades e protocolos de comunicação bastante claros, tornando a circulação de informações mais direta e precisa entre as partes interessadas em vários níveis. Visão clara acerca da situação atual dos habilitadores de TI e de seus pontos de vulnerabilidade. Redução da exposição a riscos, obviamente, caso sejam tomadas ações de melhoria preventivas em relação aos seus pontos negativos identificados na análise dos habilitadores. Maior solidez e assertividade no planejamento encadeado das ações de melhoria devido ao entendimento das interdependências entre os habilitadores analisados em relação à sua contribuição para as metas corporativas estabelecidas. E alta visibilidade por parte de todos os níveis da organização acerca do impacto dos esforços de melhoria nos habilitadores de TI e dos seus reflexos nos processos de negócio e nas metas corporativas através das medições de resultados dos indicadores de desempenho. Redução dos custos operacionais de propriedade no acervo de TI e aplicativos e infraestrutura. E melhoria da imagem perante os clientes através do aumento do grau de satisfação e da confiabilidade em relação aos produtos e serviços de TI. Lembrando que esses foram os benefícios do modelo, o modelo de COVID. Certificações relacionadas. Nós temos, então, o COVID, ele tem três níveis de certificação profissional, que é o Foundation, o Implementation e o Assessor. O Foundation atesta que os profissionais certificados compreendem os problemas de governança e gestão de TI. As empresas sabem como utilizar o COVID. O Implementation atesta os profissionais certificados que demonstraram conhecimento sobre como o COVID pode ser adaptado para atender as necessidades específicas de uma empresa além de domínio da implementação da governança corporativa de TI com base no ciclo de melhoria contínua. E o Assessor, que é direcionado a editores internos e externos e a consultores de TI, atesta que os profissionais certificados demonstram domínio sobre como realizar uma avaliação de capacidade de processo formal e sobre como ela pode ser utilizada para habilitar metas de negócio, priorizar iniciativas de melhoria e identificar oportunidades de melhoria de governança e do gerenciamento dos ativos de informação e tecnologia. Ainda assim, existem quatro programas avançados de certificação profissional padronizados pelo ISACA relacionados aos preceitos de COVID. É a Certified Information System Auditor, Certified Information Security Manager, Certified in the Governance of Enterprise IT, Certified in Risk and Information Systems Control. Então, para obter essas certificações, os postulantes devem passar por um exame específico, demonstrar experiência, aderir formalmente ao código de ética do ISACA, aderir à política de educação profissional do ISACA. E esse, então, é o fim da aula do COVID.