APRESENTAÇÃO
O curso presente curso - Fundamentos de COBIT 5 – visa prover conhecimentos de forma a possibilitar os alunos a compreender o Modelo COBIT 5 e poder aplicar seus conhecimentos de maneira prática e tangível em suas atividades do dia a dia, atuando de maneira mais alinhada às melhores práticas de Gestão e Governança atuais, e prover respaldo para suas ações em um modelo amplamente aceito e reconhecido.
Assim sendo, são objetivos desta solução educacional:
Possibilitar o gerenciamento de TI nas questões que mais afetam as unidades de desenvolvimento;
Viabilizar que o aprendiz compreenda como governar e gerir de uma forma holística toda a TI;
Possibilitar ao aluno compreender os níveis de risco relacionados à TI e capacitá-lo a tomar decisões para reduzir incidentes de segurança da informação;
Possibilitar ao empregado participante compreender como atuar na prevenção, detecção e recuperação dentro da TI;
Viabilizar os subsídios para que as unidades de TI atendam às exigências regulamentares e estatutárias ou governamentais;
Possibilitar ao participante a capacidade de alinhar, organizar e controlar, de modo apropriado, os serviços de TI dentro de um negócio a fim de evitar incidentes e alcançar os objetivos do mesmo;
Viabilizar que o aprendiz compreenda como os processos e como a utilização dos 5 Princípios e Facilitadores de Governança e Gerenciamento contribuem para suas tarefas.
Este curso será ofertado em cinco unidades de conteúdo, a saber: 1. Elementos Fundamentais do COBIT5
2. Os Cinco Princípios do COBIT5 3. Os Sete Habilitadores do COBIT5 4. Guia de Implementação do COBIT5 5. Avaliação da Capacidade de Processo
INTRODUÇÃO
O modelo COBIT5, publicado pela ISACA (www.isaca.org) ajuda a organização na criação de um modelo de processos de Gestão e Governança, equilibrando os
benefícios e a otimização dos riscos, provendo uma orientação abrangente sobre a TI, levando em consideração os interesses e requisitos de controle internos e externos da organização.
Com este curso, a CAIXA busca atingir alta qualidade, agregando o valor do negócio para alcançar a excelência, otimizando o custo da tecnologia e dos serviços de TI para os stakeholders, que injetam o recurso na organização e esperam obter os retornos destes recursos de maneira conhecida e controlada.
Segundo o ISACA:
A publicação COBIT 5 contém um modelo para governança e gestão de TI da organização. A publicação faz parte da família de produtos COBIT 5 como demonstrado na figura 1.
NA figura anterior, vemos como o COBIT está organizado em termos de publicações. Sendo um conjunto de livros ou PDFs disponibilizados On line, que podem ser baixados ou adquiridos no site da ISACA.
O diagrama acima, pode ser compreendido da seguinte forma:
O modelo do COBIT 5 baseia-se em cinco princípios básicos, que são cobertos detalhadamente e incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização. A família de produtos COBIT 5 é formada pelos seguintes produtos:
• COBIT 5 (o modelo)
• Guias de habilitadores do COBIT 5, que detalham os habilitadores de governança e gestão. Eles incluem: COBIT 5 Habilitador Processos
COBIT 5 Habilitador Informações
Outros guias habilitadores (ver www.isaca.org/cobit)
F i g u r a ‐ 1 : Fa m í l i a d e Pr o d u t o s C O B I T 5
Guias profissionais do COBIT 5, que incluem: COBIT Implementação
COBIT 5 para Segurança da Informação COBIT 5 para Risco
COBIT 5 para Garantia (Assurance) COBIT Programa de Avaliação
Outros guias profissionais (ver www.isaca.org/cobit)
Um ambiente colaborativo on-line, que é disponibilizado para apoiar o uso do COBIT 5
Fonte: COBIT 5
Portanto, parte do material está disponível gratuitamente, que é o PDF do COBIT, e outra parte é apenas para membros registrados ou pode ser adquirida – Guias de Habilitadores, Guias Profissionais e outros recursos do site.
1. ELEMENTOS FUNDAMENTAIS DO COBIT5
1.1 PRINCIPAIS MOTIVOS PARA PUBLICAÇÃO DO COBIT5
O modelo COBIT 5 tem como meta organizar e otimizar processos de Governança e Gestao de TI, observando 5 princípios chave listados abaixo para que a organização colha resultados efetivos da TI, para que a organização colha resultados da utilização dos seus recursos de TI, e alem disto, esteja aderente às boas práticas de
Governança atuais. Os princípios norteadores do COBIT são, portanto:
1)
Atender as necessidades das partes interessadas;2)
Cobrir a empresa de ponta a ponta;3)
Aplicar um framework único e integrado;4)
Permitir uma abordagem holística;5)
Distinguir a governança da gestão.Estes principios serão vistos detalhadamente nos próximos módulos deste curso.
1.2 VISÃO HOLÍSTICA DO COBIT5
O conceito de Holístico corresponde a “amplo, completo, abrangente”. Quando o COBIT 5 declara ter uma visão Holística, reconhece que:
Apenas modelar processos não muda a maneira que as pessoas agem – quantas vezes você já viu processsos escritos e dormindo em um documento no fundo de uma gaveta, e as pessoas agindo de maneira distinta do que está escrito?
Apenas cultura, sem processos formais, expõe a organização a riscos - de maneira contrastante à situação acima, mesmo que as pessoas atuem de maneira ordenada e de acordo com algum processo “tácito” ou “de senso comum”, é um risco que cada um opere de maneira ligeiramente distinta em relação a cada processo organizacional, assim, em momentos de dúvidas ou disputas, diferentes pessoas podem tomar diferentes caminhos, com resultados distintos.
Estruturas organizacionais bem definidas reforçam a cultura de processos – um conjunto conhecido de papéis e responsabilidades é fundamental para que a
maturidade de processos se instale e evolua.
Desta forma não basta apenas cultura, ou apenas processos, ou apenas estruturas organizacionais. Assim, o COBIT 5 define sete categorias de habilitadores, além de uma coleção de processos ampla, conforme abaixo:
• Princípios, políticas e modelos são veículos para a tradução do comportamento desejado em orientações práticas para a gestão diária.
• Processos descrevem um conjunto organizado de práticas e atividades para o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI.
• Estruturas organizacionais são as principais entidades de tomada de decisão de uma organização.
• Cultura, ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão.
• Informação permeia qualquer organização e inclui todas as informações produzidas e usadas pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada, mas no nível operacional, a informação por si só é muitas vezes o principal produto da organização.
• Serviços, infraestrutura e aplicativos incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de tecnologia da informação.
• Pessoas, habilidades e competências estão associadas às pessoas e são necessárias para a conclusão bem-sucedida de todas as atividades bem como para a tomada de decisões corretas e tomada de medidas corretivas.
• (fonte: cobit 5)
Com esta visão abrangente, todos os fatores que influenciam na entrega de um serviço computacional, como por exemplo, um sistema de controle de contas correntes, para um banco, são observados e gerenciados. A ausencia de controle sobre um destes fatores apenas pode colocar em risco a qualidade do serviço entregue, colocando a organização como um todo em risco.
Saber quais fatores gerenciar para entregar serviços de TI e ter efetiva gestão sobre estes fatores, como os apresentados na figura, faz a diferença entre uma visão holística da Governança ou uma visão limitada sobre os serviços de TI.
O modelo portanto visa equilibrar a gestão dos recursos, a satisfação dos usuários do negócio, assim como o cumprimento das leies regulamentos, acordos, contratos e políticas internas pertinentes.
1.3 EVOLUÇÃO DO FRAMEWORK COBIT5
O framework COBIT 5 vem em evolução à versão anterior, 4.1. Esta versão 5 tem como característica alguns pontos importantes que a diferenciam das versões anteriores, a saber: F i g u r a ‐ 1 2 : H a b i l i t a d o r e s C o r p o r a t i v o s d o CO B I T 5
Como podemos observar a partir da figura, o cobit nasceu como um conjunto de ferramentas apenas para auditoria, e por demanda dos gestores, passou a implementar ferramentas de Controle e Gestão. Na versão 4.1 trouxe os elementos de Valor e Risco em publicaçoes a parte. E na versão mais atual, a versão 5, o Cobit foca no conceito de Governança Corporativa de TI.
Nessa nova versão do COBIT, o gestor irá aplicar o mapeamento e avaliação das necessidades das partes interessadas beneficiando a realização de benefícios de ponta a ponta, otimizando os riscos dos recursos aplicados nos padrões da arquitetura dos processos corporativos.
Com o guia de implementação o gestor irá aplicar as melhorias nos processos a partir dos critérios da descrição dos componentes específicos e correlatos mais relevantes das partes interessadas. Assim, poderá avaliar a descrição da referência do ciclo de vida de cada processo e as melhorias que poderão ser aplicadas e migradas para o modelo de informação do COBIT5.
1.3.1
Diferenciar Governança e Gestão
Diferencia Governança de Gestão – com um conjunto de procesoss distintos para cada propósito, conforme a diretriz:
• Governança — Este domínio contém cinco processos de governança e práticas de ADM (avaliar, dirigir e monitorar) são definidas dentro de cada processo.
• Gestão — Estes quatro domínios estão em consonância com as áreas de responsabilidade de PBRM (uma evolução dos domínios do COBIT 4.1) e
proporcionam uma cobertura de TI de ponta a ponta. Cada domínio contém diversos processos, como no COBIT 4.1 e versões anteriores. Embora, conforme já
mencionado, a maioria dos processos requeira atividades para “planejar”, “construir”, “entregar” e “monitorar” o processo ou o problema específico a ser abordado (por
exemplo, qualidade e segurança), eles são alocados em domínios de acordo com a área de atividade mais relevante em relação a TI da organização.
Governança
A governança garante que as necessidades, condições e opções das partes
interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.
Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do presidente.
Gestão
A gestão é responsável pelo planejamento, desenvolvimento, execução e
monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.
Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva sob a liderança do diretor executivo (CEO).
Temos então que a diferença principal entre “Governança” e Gestão” pode ser exemplificada a partir desta figura acima. Onde Governança envolve os conceitos e processos de ADM (Avaliar, Dirigir e Monitorar), olhando para a organização (fora da TI) e para o futuro. Enquanto os processos de gestão olham para dentro (da TI) e para o agora.
Incorpora processos de ValIT e RiskIT - que nas versões anteriores eram publicações diferentes e complementares.
F i g u r a ‐ 3 0 : C O B I T 5 Á r e a s C h a v e s d a Go v e r n a n ç a e d o Ge r e n c i a m e n t o
1.3.2
Conceito de VALOR
Muitas vezes neste curso você verá o uso do termo “Valor”. Valor neste contexto não pode ser entendido apenas como valor financeiro. Valor, sempre que empregado aqui pode ser compreendido também na forma de resultado para os clientes. Este resultado pode ser na forma de maior agilidade, maior segurança, menor quantidade de erros na operação do negócio, em função de melhores serviços de TI.
1.4
DIRECIONADORES DO COBIT5
O que é valor? Observando o tópico anterior percebemos então que um determinado recurso, para uma determinada pessoa, em um determinado momento, pode ter valor diferente para outra pessoa em outro momento.
Esclarecendo este conceito que pode parecer complexo, de uma maneira bem simples: o que vale mais para você agora? Um copo de água ou um diamante raro? Agora imagine você respondendo esta mesma pergunta se estiver perdido em um deserto, muito quente, sem estoque de água, e sem previsão de ser resgatado tão cedo. Atraavés desta anedota simples, percebemos que valor não é imutável e nem é representado da mesma forma para todos. Portanto, é importante sempre fazer um exercício de identificar o que é valor para o cliente da organização? O que é valor para um cliente bancário? Para um cliente de seguros? Para um cliente de uma escola? E dentro da organização, também, o que é valor para a diretoria de RH? E para a diretoria de marketing, quando se refere aos serviços de TI, também teremos
respostas diferentes. Portanto, o diagrama a seguir mostra um exercício para a busca desta compreensão sobre identificar valor das partes interessadas e traduzir isto através da correta utilização dos recursos, com balanceamento dos riscos, para então termos o alcance, ou a realização dos benefícios esperados pelas partes interessadas:
Segundo o COBIT:
As organizações têm muitas partes interessadas e ‘criar valor’ pode significar coisas diferentes e por vezes conflitantes -para cada um deles. Governança tem a ver com negociar e decidir entre os interesses de valor das diferentes partes interessadas. Por consequência, o sistema de governança deve considerar todas as todas as partes interessadas ao
F i g u r a ‐ 3: Ob j e t i v o d a Go v e r n a n ç a : C r i a ç ã o d e Va l o r
tomar decisões sobre a avaliação dos recursos, benefícios e riscos. Para cada
decisão, as seguintes perguntas podem e devem ser feitas: Para quem são os benefícios? Quem assume o risco? Que recursos são necessários?
Fonte: cobit 5
1.5
IDENTIFICANDO AS NECESSIDADES DOS STAKEHOLDERS
Os stakeholders são as pessoas que possuem interesse na empresa ou negócio. São os clientes, sejam internos ou externos à organização, e que esperam os resultados desta.
Conforme visto na figura anterior, devem ser identificadas as necessidades dos stakeholders ou partes interessadas, sejam estes executivos, acionistas, ou ainda a sociedade como um todo. Um banco público, por exemplo, tem um conjunto de acionistas diferente, e com interesses bem diferentes de um banco privado.
1.5.1
Otimização de Recursos
O Cobit define como otimização de recursos:
Um dos objetivos da governança. Envolve o uso eficaz, eficiente e responsável de todos os recursos humanos, financeiros, equipamentos, instalações, etc.
O COBIT define para todas as organizações um conjunto de 17 objetivos corporativos que são considerados genéricos e portanto presentes em todas as organizações.
Veja ao final deste tópico a tabela relacionando os objetivos genéricos de TI com aspectos de otimização de recursos.
1.5.2
Otimização de Riscos
Lidar com o inesperado e agir para obter os melhores resultados, planejando
antecipadamente para poder melhor aproveitar o resultado dos riscos é o que consiste a estratégia de otimização de riscos do COBIT.
Segundo o framework:
Risco é A combinação da probabilidade de um evento e suas consequências (ISO/IEC 73)
A otimização de riscos em processo utilizado no modelo do COBIT5 é realizada para oferecer à organização mais segurança e, com base em todos os benefícios providos
pelo planejamento, atingir os objetivos da organização, o que irá permitir que os usuários envolvidos e stakeholders possam colher os benefícios esperados. Veja ao final deste tópico a tabela relacionando os objetivos genéricos de TI com aspectos de otimização de riscos.
1.5.3
Realização de benefícios
Segundo o modelo COBIT, otimização de benefícios consiste de:
Um dos objetivos da governança é a busca de novos
benefícios para a organização, manutenção e a ampliação das atuais formas de benefícios e a eliminação daquelas iniciativas e ativos que não criam o valor esperado.
COBIT 5
A governança avalia as necessidades e condições das partes interessadas, definindo a priorização da tomada de decisão, monitorando o desempenho e a evolução dos planos. Essa tendência é influenciar como as pessoas da organização agem ou mudam nos processos do modelo de gestão da Governança de TI.
Veja ao final deste tópico a tabela relacionando os objetivos genéricos de TI com aspectos de Realização de Benefícios.
Na tabela a seguir, temos a lista de objetivos genéricos, relacionados com os aspectos de otimização de recursos, otimização de riscos e realização de benefícios. Para aqueles objetivos onde que está ligado primariamente ao aspecto otimização de recursos, temos um P na tabela abaixo. Para objetivos que são relacionados secundariamente, temos um S:
Figura ‐ 5: Objetivos Corporativos do COBIT 5
Dimensão BSC
Objetivo corporativo Relação com Objetivos de Governança Realizaçã o de Benefíci os Otimizaç ão de Risco Otimizaçã o de Recursos Financeira
1. Valor dos investimentos da organização
percebidos pelas partes interessadas P S 2. Portfólio de produtos e serviços competitivos P P S 3. Gestão do risco do negócio (salvaguarda de
ativos)
P S
4. Conformidade com as leis e regulamentos externos
P
5. Transparência financeira P S S
Cliente 6. Cultura de serviço orientada ao cliente P S 7. Continuidade e disponibilidade do serviço de P
negócio
8. Respostas rápidas para um ambiente de
negócios em mudança P S
9. Tomada de decisão estratégica com base na informação
P P P
10. Otimização dos custos de prestação de serviços
P P
Interna 11. Otimização da funcionalidade do processo de negócio
P P
12. Otimização dos custos do processo de negócio
P P
13. Gestão de programas de mudanças de negócios
P P S
14. Produtividade operacional e da equipe P P 15. Conformidade com as políticas internas P
Treinamento e
Crescimento 16. Pessoas qualificadas e motivadas
S P P
17. Cultura de inovação de produtos e negócios P
Percebemos então da tabela acima que cada um dos objetivos genéricos são focados em em um mix dos 3 aspectos apresentados.
1.6 BENEFÍCIOS DO COBIT5
O modelo COBIT 5 é mundialmente reconhecido e aceito como o padrão de fato para governança e Gestão de TI. Tem mais de 15 anos no mercado e diversas organizações, principalmente bancárias e telecom, para destacar algumas, aplicam seus conceitos. Segundo a ISACA, os principais fatores para o desenvolvimento do COBIT 5 foram:
Permitir que mais partes interessadas falem sobre o que eles esperam da tecnologia da informação e tecnologias relacionadas (que benefícios e em qual nível de risco aceitável e a qual custo) e quais são suas prioridades para garantir que o valor esperado seja efetivamente obtido. Alguns vão querer retornos no curto prazo e outros irão preferir a sustentabilidade no longo prazo. Alguns estarão preparados para assumir um alto risco enquanto outros não. Essas expectativas divergentes e por vezes conflitantes precisam ser tratadas com eficiência. Além disso, estas partes interessadas não só desejam estar mais envolvidos, como também querem mais transparência em relação a como isso irá acontecer e aos resultados reais obtidos.
Abordar a questão da dependência cada vez maior para o sucesso da organização em parceiros externos de TI e de negócios tais como
terceirizadas, fornecedores, consultores, clientes, provedores de serviços na nuvem e demais serviços, e de um conjunto diversificado de meios e
Tratar a quantidade de informação, que tem aumentado significativamente. Como as organizações selecionam a informação relevante e confiável que levará a decisões de negócios corretas e eficientes? A informação também precisa ser gerenciada de forma eficaz e um modelo eficiente para o tratamento da informação pode ajudar.
Administrar TI cada vez mais pervasiva; TI é cada vez mais uma parte integrante do negócio. Muitas vezes, já não basta manter a TI separada mesmo que esteja alinhada ao negócio. Ela precisa ser uma parte integrante dos projetos organizacionais, estruturas organizacionais, gestão de risco, políticas, capacidades, processos, etc. As funções do diretor de TI (CIO) e da área de TI estão evoluindo. Cada vez mais executivos de negócios têm habilidades em TI e estão, ou estarão, envolvidos em decisões de TI e operações de TI. Negócio e TI terão de ser mais bem integradas.
Fornecer mais orientações na área de tecnologias emergentes e inovadoras; isto tem a ver com criatividade, inventividade, desenvolvimento de novos produtos, tornar os produtos atuais mais interessantes para os clientes e conquistar novos tipos de clientes. Inovação também pressupõe a dinamização do desenvolvimento do produto, dos processos de produção e da cadeia de suprimentos visando fornecer produtos ao mercado com níveis mais altos de eficiência, rapidez e qualidade.
Cobrir o negócio de ponta a ponta e todas as áreas responsáveis pelas
funções de TI, bem como todos os aspectos que levam à eficiente governança e gestão de TI da organização, tais como estruturas organizacionais, políticas e cultura, ao longo e acima dos processos.
Obter melhor controle sobre o crescente número de soluções de TI que são de iniciativa dos usuários e estão sendo gerenciadas por eles.
Atingir:
Criação de valor para a organização através do uso eficiente e inovador de TI da organização
Satisfação dos usuários de negócio com os serviços de TI
Cumprimento das leis, regulamentos, acordos contratuais e políticas internas pertinentes
Uma melhoria das relações entre as necessidades corporativas e os objetivos de TI
Conectar-se e, quando pertinente, alinhar-se a outros importantes padrões e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL®), The Open Group Architecture Framework (TOGAF®), Project
Management Body of Knowledge (PMBOK®), PRojects IN Controlled
Environments 2 (PRINCE2®), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO). Isto ajudará as Partes Interessadas a entender como os diversos
modelos, boas práticas e padrões se inter-relacionam e como elas podem ser usadas em conjunto.
Integrar todas os principais modelos e orientações da ISACA, com o foco principal no COBIT, Val IT e Risk IT, mas considerando também o Modelo de
Negócios para Segurança da Informação (BMIS), o Modelo de Garantia de TI (ITAF), a publicação intitulada Board Briefing on IT Governance, e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organização e forneça uma base para integrar estes outros modelos outros modelos, padrões e práticas como um modelo único.
Outros produtos e orientações que cobrem as diferentes necessidades das diversas partes interessadas serão criados a partir da base de conhecimento principal do COBIT 5. Isto acontecerá com o tempo, tornando a arquitetura do produto COBIT 5 um documento vivo. A arquitetura mais recente do produto COBIT 5 pode ser encontrada nas páginas do COBIT no website da ISACA (www.isaca.org/cobit).
Fonte: COBIT 5
Em resumo, alguns dos principais benefícios do modelo COBIT são a garantia de utilização de um modelo de Governança testado e reconhecido pelo mercado e órgaos de controle, que é amplo e orientado à criação de valor para as partes interessadas.
1.7 ESTRUTURA DO COBIT5
O modelo COBIT, que está disponível para download no site do ISACA, é um documento que está estruturado da seguinte maneira:
O Capítulo 1 é a introdução e apresentação do modelo.
O Capítulo 2 trata do 1º Princípio, Atender às necessidades das Partes interessadas. Ele apresenta a cascata dos objetivos do COBIT 5. Os objetivos corporativos de TI são usados para formalizar e estruturar as necessidades das partes interessadas. Os objetivos corporativos podem estar associadoshol aos objetivos de TI, e esses objetivos de TI podem ser alcançados através do uso e execução otimizados de todos os
habilitadores, inclusive processos. Este conjunto de objetivos interligados é chamado de cascata dos objetivos do COBIT 5. O capítulo também inclui exemplos de perguntas típicas sobre governança e gestão que os Partes Interessadas poderão fazer sobre a TI da organização.
O Capítulo 3 trata do 2º Princípio, Cobrir a organização de ponta a ponta. Este capítulo explica como o COBIT 5 integra a governança corporativa de TI à governança corporativa empresarial cobrindo todas as funções e processos da organização.
O Capítulo 4 trata do 3º Princípio, Aplicar um modelo Único Integrado, e descreve brevemente a arquitetura do COBIT 5 que atinge a integração. O Capítulo 5 trata do 4º Princípio, Permitir uma Abordagem Holística. A
governança corporativa de TI é sistêmica e apoiada por um conjunto de habilitadores. Neste capítulo, os habilitadores são apresentados juntamente com uma maneira comum de se olhar para eles: o modelo do habilitador genérico.
O Capítulo 6 trata do 5º Princípio, Distinguir a Governança da Gestão, e discute a diferença entre gestão e governança, e como elas se
incluído como exemplo. O Capítulo 7 contém uma introdução ao Guia de Implementação. Ele descreve como o ambiente adequado pode ser criado, os habilitadores necessários, pontos fracos comuns e problemas típicos da implementação, bem como a implementação e melhoria contínua do ciclo de vida. Este capítulo baseia-se na publicação intitulada COBIT® 5 Implementação, onde podem ser encontrados todos os detalhes sobre como implementar a governança corporativa de TI com base no COBIT 5. O Capítulo 8 trata do Modelo de Capacidade de Processo do COBIT 5
contido no esquema da abordagem ao Programa de Avaliação do COBIT (www.isaca.org/cobit-assessment-programme), como ele difere das avaliações de maturidade de processo do COBIT 4.1, e como os usuários podem migrar para a nova abordagem.
Os apêndices contêm referências, mapeamentos e informações mais detalhadas sobre temas específicos:
Apêndice A. Referências usadas durante o desenvolvimento do COBIT 5 são relacionadas aqui.
Apêndice B. Mapeamento Detalhado dos Objetivos Corporativos - Objetivos de TI descreve como os objetivos corporativos são geralmente apoiados por um ou mais objetivos de TI.
Apêndice C. Mapeamento Detalhado dos Objetivos de TI - Processos de TI descreve como os processos do COBIT apoiam o atingimento dos objetivos de TI.
Apêndice D. Necessidades das Partes Interessadas e Objetivos Corporativos descreve como as necessidades básicas das Partes Interessadas partes interessadas se relacionam com os objetivos corporativos do COBIT 5.
Apêndice E. Mapeamento do COBIT 5 Com os Padrões e Modelos Correlatos Mais Relevantes
Apêndice F. Comparação entre o Modelo de Informações do COBIT 5 e os Critérios de Informações do COBIT 4.1.
Apêndice G. Descrição Detalhada dos Habilitadores do COBIT 5 baseia-se no capítulo 5 e inclui mais detalhes sobre os diferentes habilitadores, inclusive um modelo do habilitador detalhado com a descrição de componentes específicos e ilustrado com diversos exemplos. Apêndice H. Glossário
Além deste curso é importante que o aluno baixe o PDF e o tenha como material de referência.
1.8 COBIT5 E OUTROS FRAMEWORKS RELACIONADOS
O modelo COBIT, por ser bastante abrangente, se comunica com diversos frameworks de mercado. Como o modelo atua em um nível de garantia e auditoria, muitas vezes
será necessário e bem-vindo a adoção de outros modelos para suportar os requisitos do modelo COBIT. Assim, pode-se ter um ambiente onde COBIT, ITIL, PMBoK e outros frameworks coexistem, levando à figura abaixo:
(sugestao: refazer a figura acima)
Neste diagrama vemos o modelo COBIT como integrador central, mas conversando e se integrando com modelos específicos para conhecimentos específicos, como CMMI, Prince, ISSO, ITIL, entre outros.
Costuma-se dizer então que o modelo COBIT é mais orientado a “o que” uma vez que define requisitos para os processos, enquanto os demais frameworks respondem à resposta do “COMO”.
1.9 CASCATA DE OBJETIVOS DO COBIT5
O conceito de “cascata de objetivos” presente no COBIT 5 é um dos mais importantes do Framework.
Consiste em, como numa cascata, ou um conjunto de degraus, partir das dimensões e necessidades das partes interessadas da organização ou seus stakeholders, traduzir em objetivos corporativos, depois descer mais um degrau e traduzir em objetivos e TI e no próximo degrau da cascata, traduzir em processos de TI.
1.9.1
1º Passo. Os Direcionadores das Partes Interessadas Influenciam as
Necessidades das Partes Interessadas
As necessidades das partes interessadas são influenciadas por diversas tendências, por exemplo, mudanças de estratégia, mudanças nos negócios e no ambiente regulatório bem como novas tecnologias.
1.9.2
2º Passo. Desdobramento das Necessidades das Partes Interessadas
em Objetivos Corporativos
As necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos genéricos. Esses objetivos corporativos foram criados usando as dimensões do balanced scorecard (BSC)1 e representam uma lista dos objetivos
mais usados que uma organização pode definir para si. Embora esta lista não seja completa, a maioria dos objetivos específicos das organizações pode ser mapeada facilmente em um ou mais dos objetivos corporativos genéricos. Uma tabela com as necessidades das partes interessadas e os objetivos corporativos é apresentada no Apêndice D.
O COBIT 5 define 17 objetivos genéricos, conforme demonstrados na figura 5, que incluem as seguintes informações:
• A dimensão BSC sob a qual o objetivo corporativo se enquadra
1
Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University Press, EUA, 1996. F i g u r a ‐ 4 : V i s ã o G e r a l d a c a s c a t a d e O b j e t i v o s d o C O B I T 5
• Objetivos corporativos
• A relação entre os três principais objetivos da governança – Realização de benefícios, Otimização do risco e Otimização dos recursos (‘P’ significa relação primária e ‘S’ relação secundária, ou seja, uma relação mais fraca).
1.9.3
3º Passo. Cascata dos Objetivos Corporativos em Objetivos de TI
O atingimento dos objetivos corporativos exige uma série de resultados de TI2 que são
representados pelos objetivos relacionados a TI. “Relacionados a TI” significa tudo o que estiver relacionado à tecnologia da informação e tecnologias afins, e os objetivos de TI são estruturados de acordo com as dimensões do balanced scorecard de TI (IT BSC). O COBIT 5 define 17 objetivos de TI, relacionados na tabela a seguir.
A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no Apêndice B, e demonstra como cada objetivo corporativo é apoiado por diversos objetivos de TI.
1.9.4
4º Passo. Cascata dos Objetivos de TI em Metas do Habilitador
Atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores. O conceito de habilitador é explicado em detalhes no capítulo 5. Habilitadores incluem processos, estruturas organizacionais e informações, e para cada habilitador um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI.
Processos são um dos habilitadores, e o Apêndice C contém o mapeamento entre os objetivos de TI e os processos pertinentes do COBIT 5, que por sua vez contêm os respectivos objetivos do processo.
Figura ‐ 5: Objetivos Corporativos do COBIT 5
Dimensão BSC
Objetivo corporativo Relação com Objetivos de Governança Realizaçã o de Benefício s Otimizaçã o de Risco Otimizaçã o de Recursos Financeira
1. Valor dos investimentos da organização
percebidos pelas partes interessadas P S 2. Portfólio de produtos e serviços
competitivos
P P S
3. Gestão do risco do negócio (salvaguarda de ativos)
P S
2
Os resultados de TI não são obviamente o único benefício intermediário necessário para a consecução dos objetivos corporativos. Todas as demais áreas funcionais de uma organização, tais como finanças e marketing, também contribuem para a consecução dos objetivos corporativos, mas no contexto do COBIT 5 somente as atividades e os objetivos de TI são considerados
4. Conformidade com as leis e regulamentos externos
P
5. Transparência financeira P S S
Cliente 6. Cultura de serviço orientada ao cliente P S 7. Continuidade e disponibilidade do
serviço de negócio
P 8. Respostas rápidas para um ambiente de
negócios em mudança P S
9. Tomada de decisão estratégica com base na informação
P P P
10. Otimização dos custos de prestação de serviços
P P
Interna 11. Otimização da funcionalidade do processo de negócio
P P
12. Otimização dos custos do processo de negócio
P P
13. Gestão de programas de mudanças de negócios
P P S
14. Produtividade operacional e da equipe P P 15. Conformidade com as políticas
internas
P Treinamento e
Crescimento
16. Pessoas qualificadas e motivadas S P P 17. Cultura de inovação de produtos e
negócios
P
Os objetivos genéricos apresentados acima são suportados pelos objetivos de TI apresentados a seguir:
Figura ‐ 6: Objetivos de TI Dimensão
BSC de TI
Objetivo da Informação e Tecnologia Relacionada Financeira 01 Alinhamento da estratégia de negócios e de TI
02 Conformidade de TI e suporte para conformidade do negócio com as leis e regulamentos externos
03 Compromisso da gerência executiva com a tomada de decisões de TI 04 Gestão de risco organizacional de TI
05 Benefícios obtidos pelo investimento de TI e portfólio de serviços 06 Transparência dos custos, benefícios e riscos de TI
Cliente 07 Prestação de serviços de TI em consonância com os requisitos de negócio 08 Uso adequado de aplicativos, informações e soluções tecnológicas
Interna 09 Agilidade de TI
10 Segurança da informação, infraestrutura de processamento e aplicativos 11 Otimização de ativos, recursos e capacidades de TI
12 Capacitação e apoio aos processos de negócios através da integração de aplicativos e tecnologia
13 Entrega de programas fornecendo benefícios, dentro do prazo, orçamento e atendendo requisitos
14 Disponibilidade de informações úteis e confiáveis para a tomada de decisão 15 Conformidade de TI com as políticas internas
Treinamento e Crescimento
16 Equipes de TI e de negócios motivadas e qualificadas
17 Conhecimento, expertise e iniciativas para inovação dos negócios
Podemos entao visualizar a cascata da seguinte maneira:
1º Passo. Os Direcionadores das Partes Interessadas Influenciam as Necessidades das Partes Interessadas
2º Passo. Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos
3º Passo. Cascata dos Objetivos Corporativos em Objetivos de TI 4º Passo. Cascata dos Objetivos de TI em Metas do Habilitador
Podemos traduzir estes passos para um exemplo Bancário onde teremos:
Um banco define para si uma série de objetivos estratégicos, dos quais a melhoria da satisfação do cliente é o mais importante. A partir dali ele deseja saber o que precisa ser melhorado em todos os aspectos relativos a TI que tenham impacto nos níveis de satisfação do cliente.
A organização decide que definir a satisfação do cliente como a principal prioridade é equivalente a elevar a prioridade dos seguintes objetivos corporativos (extraídos da TABELA anterior):
6.Cultura de serviço orientada ao cliente
7.Continuidade e disponibilidade do serviço de negócio
8.Respostas rápidas para um ambiente de negócios em mudança
A organização dá agora o próximo passo na cascata dos objetivos: analisar quais objetivos de TI correspondem a esses objetivos corporativos. Uma sugestão de mapeamento entre eles é mostrada abaixo para o Objetivo corporativo 7.
A tabela de mapeamento sugere o que é normalmente esperado que:
‐ Objetivo Corporativo 7. Continuidade e disponibilidade do serviço de negócio: . Dependerá diretamente da consecução dos objetivos de TI:
‐ 04 Gestão de risco organizacional de TI
‐ 10 Segurança da informação, infraestrutura de processamento e aplicativos
‐ 14 Disponibilidade de informações úteis e confiáveis para tomada de decisão . Dependerá também, mas em menor grau, da consecução dos objetivos de TI:
‐ 01 Alinhamento da estratégia de TI e de negócios
‐ 07 Prestação de serviços de TI em consonância com os requisitos de negócio
‐ 08 Uso adequado de aplicativos, informações e soluções tecnológicas
‐ Usando a tabela na direção oposta, atingir o objetivo de TI 09. Agilidade de TI contribuirá para a consecução de vários objetivos corporativos:
‐ 2. Portfólio de produtos e serviços competitivos
‐ 8. Respostas rápidas para um ambiente de negócios em mudança
‐ 11. Otimização da funcionalidade do processo de negócio
‐ 17. Cultura de inovação de produtos e negócios . Em menor grau, os objetivos corporativos:
‐ 1. Valor dos investimentos da organização percebido pelas partes interessadas
‐ 3. Gestão de risco organizacional (salvaguarda de ativos)
‐ 6. Cultura de serviço orientada ao Cliente
‐ 13. Programas de gestão de mudanças no negócio
‐ 16. Pessoas qualificadas e motivadas
A partir dali, os seguintes objetivos de TI são sugeridos como os mais importantes (todos como relacionamentos ‘P’):
01 Alinhamento da estratégia de TI e de negócios 04 Gestão do risco organizacional de TI
07 Prestação de serviços de TI em consonância com os requisitos de negócio 09 Agilidade de TI
10 Segurança da informação, infraestrutura de processamento e aplicativos
Objetivos
Corporativos
Objetivo Corporativo 7. Continuidade e disponibilidade do serviço de negócioObjetivos de
TI
04 Gestão de risco organizacional de TI 10 Segurança da informação, infraestrutura de processamento e aplicativos
14 Disponibilidade de informações úteis e confiáveis para tomada de decisão
14 Disponibilidade de informações úteis e confiáveis para tomada de decisão 17 Conhecimento, expertise e iniciativas para inovação dos negócios
A organização valida esta lista e decide que os quatro primeiros objetivos serão considerados prioridade.
No próximo passo da cascata, usando o conceito de habilitador (ver capítulo 5), esses objetivos de TI levam a diversas metas de habilitador, que incluem objetivos do
processo. No Apêndice C, um mapeamento é sugerido entre os objetivos de TI e os processos do COBIT 5. Aquela tabela permite a identificação dos mais importantes processos de TI que apoiam os objetivos de TI, porém, os processos por si só não são suficientes. Os demais habilitadores, tais como cultura, comportamento e ética; modelos organizacionais ou habilidades e expertise são igualmente importantes e requerem um conjunto de objetivos bem definidos.
Quando este exercício for concluído, a organização terá um conjunto de metas consistentes para todos os habilitadores que permitirão que ela alcance os objetivos estratégicos estabelecidos, além de um conjunto de indicadores correlatos para medir o desempenho
1.10 METAS ORGANIZACIONAIS E INDICADORES
Os princípios e valores da organização devem ser definidos para apresentar uma linguagem simples, expressando o máximo de clareza para atingir as políticas para todas as partes interessadas.
Para suportar o modelo de metas organizacionais e indicadores, o modelo cobit propoe um sistema apresentado na figura a seguir, onde a partir de indicadores de resultado ou indicadores de desempenho, percebemos o alcance ou suporte a algumas dimensões do habilitador.
Repare que os indicadores de resultado levam às dimensões FIM , ou seja, o atendimento às partes interessadas, e o alcance de objetivos.
Enquanto isto, indicadores de desempenho levam a habilitadores MEIO como ciclo de vida ou boas práticas.
Enquanto inegavelmente é muito importante o atingimento dos Fins a que a organização se propõe, os indicadores de desempenho medem os meios que
influenciam o atingimento destes fins.
1.11 METAS DE TI E INDICADORES
Segundo o modelo COBIT, as metas da informação são divididas em três níveis de qualidade:
-
Qualidade intrínseca – Em que medida os valores dos dados estão em conformidade com os valores reais e efetivos, que são:-
Exatidão – Medida da informação é correta e confiável;-
Objetividade – Medida da informação é imparcial e sempreconceitos; - Credibilidade – Medida da informação é considerada verdadeira.
-
Reputação – Medida da informação considerada em termos de sua fonte ou conteúdo.-
Qualidade contextual e representacional – Medida da informação é aplicável a informação, reconhecendo a sua qualidade:-
Relevância – Medida que a informação é aplicável e útil a tarefa em questão; - Completude – Medida da informação que é completa e abrangente para a tarefa em questão;-
Atualização – Medida da informação que está suficientemente atualizado da tarefa em questão.F i g u r a ‐ 2 7 : H a b i l i t a d o r e s d o C O B I T 5 : G e n é r i c o s
-
Quantidade correta de informação – Volume da informação da tarefa em questão:-
Representação concisa – Medida da informação compacta;-
Representação consistente – Medida da informação no mesmoformato;
-
Interpretabilidade – Medida da informação apresentada em símbolos, unidades adequadas com definições;-
Compreensibilidade – Medida da informação compreendida;-
Facilidade de manipulação – Medida da informaçãomanipulada e aplicada; - Segurança/qualidade de
acessibilidade – Medida da informação disponibilizada e obtida;
-
Disponibilidade/agilidade – Medida da informação rapidamente recuperável; - Acesso restrito – Medida da informação restrita as partes autorizadas.-
Fonte: COBITQuando da criação de um indicador, é fundamental que todos estes aspectos sejam considerados para garanti que os indicadores que você esteja criando ou implantando sejam considerados indicadores de qualidade.
2. OS CINCO PRINCÍPIOS DO COBIT5
Alguns conceitos são chave para compreender o modelo COBIT. Compreender que o modelo se baseia em 5 princípios e 7 habilitadores dará ao aluno a capacidade de identificar estes elementos recorrentes com bastante facilidade, tanto no material do COBIT quanto em aplicações práticas.
Os 5 princípios são:
1º Princípio, Atender às necessidades das Partes interessadas. 2º Princípio, Cobrir a organização de ponta a ponta.
3º Princípio, Aplicar um modelo Único Integrado. 4º Princípio, Permitir uma Abordagem Holística. 5º Princípio, Distinguir a Governança da Gestão.
Estes princípios podem ser visualizados na figura a seguir, extraída do COBIT 5:
De maneira mais detalhda, conforme a literatura do COBIT, temos o a seguinte descrição para os princípios:
2º Princípio: Cobrir a Organização de Ponta a Ponta - O COBIT 5 integra a governança corporativa de TI organização à governança corporativa:
Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a tecnologia da
informação e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organização.
F i g u r a ‐ 2 : Pr i n c í p i o s d o CO B I T 5
Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a organização, de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governança e gestão das informações e de TI da organização.
3º Princípio: Aplicar um Modelo Único Integrado - Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado para a governança e gestão de TI da organização.
4º Princípio: Permitir uma Abordagem Holística - Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização. Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores:
Princípios, Políticas e Modelos Processos
Estruturas Organizacionais Cultura, Ética e Comportamento Informação
Serviços, Infraestrutura e Aplicativos Pessoas, Habilidades e Competências
5º Princípio: Distinguir a Governança da Gestão – O modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciadas e servem a propósitos diferentes.
2.1
1º O Conceito de Habilitadores
Habilitadores são fatores que, individualmente e em conjunto, influenciam se algo irá funcionar, e como o escopo do COBIT é a Governança, seus habilitadores tratam da governança e a gestão corporativas da TI.
Os habilitadores são uma maneira de:
• Apresenta uma maneira comum, simples e estruturada para tratar dos habilitadores • Permite que uma entidade controle suas interações complexas
• Facilita resultados bem-sucedidos dos habilitadores
1. Princípios, políticas e modelos são veículos para a tradução do comportamento desejado em orientações práticas para a gestão diária. 2. Processos descrevem um conjunto organizado de práticas e atividades para
o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI.
3. Estruturas organizacionais são as principais entidades de tomada de decisão de uma organização.
4. Cultura, ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de
governança e gestão.
5. Informação permeia qualquer organização e inclui todas as informações produzidas e usadas pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada, mas no nível operacional, a informação por si só é muitas vezes o principal produto da organização.
6. Serviços, infraestrutura e aplicativos incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de tecnologia da informação.
7. Pessoas, habilidades e competências estão associadas às pessoas e são necessárias para a conclusão bem-sucedida de todas as atividades bem como para a tomada de decisões corretas e tomada de medidas corretivas.
Voltaremos ao tema habilitadores no Capítulo 3 deste material, em maior profundidade;
2.2
1º Princípio: Atender às Necessidades das Partes Interessadas
Segundo o modelo COBIT:“Organizações existem para criar valor para suas Partes interessadas mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais
F i g u r a ‐ 1 2 : H a b i l i t a d o r e s C o r p o r a t i v o s d o CO B I T 5
habilitadores para apoiar a criação de valor para a organização com o uso de TI. Como cada organização tem objetivos
diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-os em práticas e processmapeando-os específicmapeando-os. ”
Para a identificação destes objetivos, utiliza-se a cascata de objetivos, já apresentada anteriormente neste material.
Ainda, para criar valor para as partes interessadas, é importante fazer as perguntas certas:
Para quem são os benefícios? Quem assume o risco?
Que recursos são necessários?
Uma vez de posse destas perguntas, pode-se então dar prosseguimento às ações para geração de valor através da Gestão dos serviços de maneira alinhada a estas respostas.
2.3
2º PRINCÍPIO: COBRIR A ORGANIZAÇÃO DE PONTA A PONTA
O Modelo COBIT 5 parte da premissa de que existem diversos frameworksespecialistas nos distintos assuntos que suportam a TI, seja o desenvolvimento de software, a operação de serviços, o gerenciamento de projetos, riscos, qualidade, entre outros. Desta forma, o COBIT não pretende concorrer com nenhum destes modelos, pelo contrário, funciona como um grande guardachuva que congrega, direciona e organiza a aplicação dos demais modelos em um grande framework único e integrado para toda a organização.
O COBIT ainda integra a Governança Corporativa de TI à Governança Corporativa da Organização.
Importante notar que o COBIT 5 traz o termo “Governança Corporativa de TI” em detrimento do termo “Governança de TI” utilizado anteriormente por outros modelos. Temos do COBIT 5 que:
Cobre todas as funções e processos necessários para regular e controlar as informações da organização e tecnologias correlatas onde quer que essas informações possam ser processadas. Considerando este amplo escopo organizacional, o COBIT 5 trata de todos os serviços de TI internos e externos pertinentes, bem como dos processos de negócios internos e externos.
2.4
3º PRINCÍPIO: APLICAR UM MODELO ÚNICO INTEGRADO
O COBIT 5 é um modelo único e integrado porque:• Funciona como integrador dos outros modelos (ITIL, PMBOK, Métodos de Desenvolvimento de Software, etc);
• Tem um conjunto de processos que abrange todos os assuntos relacionados a administração de TI e utiliza uma linguagem não tecnicista;
Incluir figura do COBIT como um guarda chuva, se relacionando com os demais modelos (pmbok, itil, iso, cmm...)
Refazer figura acima.
2.5
4º PRINCÍPIO: PERMITIR UMA ABORDAGEM HOLÍSTICA
Através dos conceitos observados nos principios anteriores que são:• A abrangência dos habilitadores; • A abrangencia dos processos;
• A integração entre o framework cobit 5 e os demais frameworks;
Fazem com que o COBIT traga uma abordagem holística, ou seja, ampla e completa, às organizações que o adotam.
2.6
5º PRINCÍPIO: Distinguir Governança da Gestão
Como vimos anteriormente, o COBIT diferencia muito bem os conceitos de Governança e Gestão. Relembrando:
Governança
A governança garante que as necessidades, condições e opções das partes
interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.
Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do presidente.
Gestão
A gestão é responsável pelo planejamento, desenvolvimento, execução e
monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.
Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva sob a liderança do diretor executivo (CEO).
Em outras palavras, pode-se afirmar que a Governança trata de olhar para fora (requisitos de negócio, legislação, necessidades dos clientes) e para o futuro, enquanto a Gestão olha para os resultados internos e para o agora.
Vamos observar na tabela abaixo, extraída do COBIT 5, a relação entre os habilitadores, cujo conceito vimos no início deste capítulo, e os habilitadores:
Habilitador Interação Governança e Gestão
Processos A ilustração do modelo de processo do COBIT 5 (COBIT 5: Habilitador Processos) faz uma distinção entre processos de governança e de gestão, inclusive com conjuntos específicos de práticas e atividades de cada um. O modelo de processo também inclui as tabelas RACI, que descrevem as responsabilidades das diferentes estruturas organizacionais e suas funções na
Informação O modelo de processo descreve entradas e saídas das diferentes práticas do processo para outros processos, inclusive as
informações trocadas entre os processos de governança e de gestão. Informações usadas para avaliar, orientar e monitorar a TI da organização são trocadas entre a governança e a gestão conforme descrição nas entradas e saídas do modelo de processo. Estruturas
organizacionais
Diversas estruturas organizacionais são definidas em cada organização; estruturas podem ser definidas no âmbito da governança ou no âmbito da gestão, dependendo da sua composição e do escopo das decisões. Pelo fato da governança definir a orientação, há uma interação entre as decisões tomadas pelas estruturas de governança – ex: decisão sobre o portfólio de investimentos e a definição do apetite ao risco – e as decisões e operações que implementam as primeiras.
Princípios, políticas e modelos
Princípios, políticas e modelos são os veículos pelo qual as decisões de governança são institucionalizadas na organização, e por esse motivo constituem uma interação entre as decisões de governança (definição da orientação) e a gestão (execução das decisões). Cultura, ética e
comportamento
O comportamento também é um habilitador essencial da boa governança e gestão da organização. Ele fica no topo – liderando por exemplos – e é, portanto, uma interação importante entre a governança e a gestão.
Pessoas, habilidades e competências
As atividades de governança e gestão requerem conjuntos de habilidades diferentes, mas uma habilidade essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam.
Serviços, infraestrutura e aplicativos
Serviços são necessários, apoiados por aplicativos e infraestrutura que proporcionem ao órgão de governança informações
adequadas e apoio às seguintes atividades da governança: avaliação, definição da orientação e monitoramento.
Os habilitadores acima são aplicados a cada um dos processos presentes nos domínios apresentados abaixo:
Verificamos que existem domínios (Avaliar, Dirirgir e Monitorar) específicos de Governança. Enquanto existem outros domínios (Planejar, Construir, Entregar e Monitorar) específicos de Gestão. Estes dois conjuntos de domínios conversam entre si, provendo orientação no sentido Governança -> Gestão, ou resultados no sentido Gestão -> Governança.
O COBIT 5 inclui um modelo de referência de processo, que define e descreve em detalhes uma série de processos de governança e gestão. Ele representa todos os processos normalmente encontrados em uma organização relacionados às atividades de TI, fornecendo um modelo de referência comum compreensível para os gerentes operacionais de TI e de negócios. O modelo de processo proposto é um modelo completo e abrangente, mas não é o único modelo de processo possível. Cada organização deverá definir seu próprio conjunto de processos, levando em consideração sua situação específica.
Incorporar um modelo operacional e uma linguagem comum para todas as partes da organização envolvidas com
atividades de TI é uma das etapas mais importantes e críticas da boa governança. Também oferece um modelo para medir e monitorar o desempenho de TI, promovendo garantia
(assurance) da TI, comunicação com os provedores de serviço e melhor integração com as práticas da administração.
(fonte: COBIT)
O modelo de referência de processo do COBIT 5 divide os processos de governança e gestão de TI da organização em dois domínios de processo principais:
F i g u r a ‐ 1 5 : P r i n c i p a i s Á r e a d e G o v e r n a n ç a d o C O B I T 5
• Governança - Contém cinco processos de governança; e dentro de cada processo são definidas práticas para Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor
-EDM) - No contexto do domínio de governança, ‘monitorar’ significa as atividades em
que o órgão de governança verifica em que medida a orientação definida para a gestão foi efetivamente aplicada.
• Gestão - Contém quatro domínios, em consonância com as áreas responsáveis por planejar, construir, executar e monitorar (Plan, Build, Run and Monitor - PBRM), e oferece cobertura de TI de ponta a ponta. Esses domínios são uma evolução do modelo de processos e domínios do COBIT 4.1. Os nomes dos domínios foram escolhidos em consonância com as designações dessas áreas principais, e usam mais verbos para descrevê-las:
• Alinhar, Planejar e Organizar (Align, Plan and Organise – (APO)
• Construir, Adquirir e Implementar (Build, Acquire and Implement – (BAI) • Entregar, Serviços e Suporte (Deliver, Service and Support - (DSS) • Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess – (MEA)
Cada domínio contém um conjunto de processos. A figura abaixo apresenta estes processos de acordo com o modelo previamente definido.
F i g u r a ‐ 1 6 : M o d e l o d e R e f e r ê n c i a d e P r o c e s s o d o C O B I T 5
3. OS SETE HABILITADORES DO COBIT5
O modelo COBIT apresenta, como já afirmado anteriormente, um conjunto de Sete Categorias de Habilitadores. São eles:
O modelo do COBIT 5 descreve sete categorias de habilitadores:
1.Princípios, políticas e modelos são veículos para a tradução do comportamento desejado em orientações práticas para a gestão diária.
2.Processos descrevem um conjunto organizado de práticas e atividades para o atingimento de determinados objetivos e produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI.
3.Estruturas organizacionais são as principais entidades de tomada de decisão de uma organização.
4.Cultura, ética e comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão. 5.Informação permeia qualquer organização e inclui todas as informações produzidas e
usadas pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada, mas no nível operacional, a informação por si só é muitas vezes o principal produto da organização.
6.Serviços, infraestrutura e aplicativos incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o processamento e os serviços de tecnologia da informação.
7.Pessoas, habilidades e competências estão associadas às pessoas e são
necessárias para a conclusão bem-sucedida de todas as atividades bem como para a tomada de decisões corretas e tomada de medidas corretivas.
Alguns dos habilitadores definidos acima também são recursos da organização que devem ser gerenciados e governados. Isto se aplica:
F i g u r a ‐ 1 2 : H a b i l i t a d o r e s C o r p o r a t i v o s d o CO B I T 5
• A Informação, que deve ser gerenciada como um recurso. Algumas informações, tais como relatórios de gestão e informações de inteligência organizacional são
importantes habilitadores para a governança e gestão da organização. • Serviços, infraestrutura e aplicativos.
• Pessoas, habilidades e competências.
Para compreender os habilitadores, que são base para todos os princípios apresentados abaixo, precisamos primeiramente perceber que:
A maneira de mensurar e identificar a amplidão em que o modelo está sendo adotado, ou dos seus fatores de suporte é denominado habilitadores. Este conceito inclui todas as pessoas, coisas, processos e fatores internos e externos pertinentes à gestão e governança das informações e TI. Ou seja, todos os fatores que impactam ou influenciam direta ou indiretamente a informação são denominados habilitadores, inclusive a própria informação.
Habilitadores da governança são os recursos organizacionais da governança, tais como modelos, princípios, processos e práticas, por meio dos quais a ação é orientada e os objetivos podem ser alcançados. Os habilitadores também incluem os recursos da organização - por exemplo, capacidades do serviço (infraestrutura de TI, aplicativos, etc.), pessoas e informações.
A ausência ou deficiencia destes recursos ou habilitadores impactará negativamente na criação de valor por parte da organização.
Esta abordagem completa é demonstrada na figura a seguir, onde podemos observar todos os fatores que levam à existência de um modelo de Governança efetivo na organização:
Sabemos que Governança é a Garantia da Criação de Valor para os interessados na organização. Mas para que isto ocorra, há fatores que influenciam, tais como:
Escopo : pode ser a organização toda, um determinado serviço, ou recurso. Deve estar formalmente definido.
Funções ou papéis, atividades;
relacionamentos.
Os habilitadores “funções ou papéis, atividades, e relacionamentos” podem ser melhor compreendidos se apoiando na seguinte figura:
F i g u r a ‐ 8 : Go v e r n a n ç a e G e s t ã o d e TI no CO B I T 5 F i g u r a ‐ 9 : Pr i n c i p a i s F u n ç õ e s , A t i v i d a d e s e R e l a c i o n a m e n t o s
Esta figura demonstra que os proprietários da organização delegam ao conselho de administração que define a orientação para o corpo diretivo que instrui e alinha as operações.
De outra forma, pode-se ler também nesta figura que as operações são reportadas para o corpo diretivo que é monitorado pelo conselho de administração que por sua vez responde aos proprietários.
3.1
Dimensões dos Habilitadores do COBIT 5
Todos os habilitadores possuem um conjunto de dimensões. Este conjunto de dimensões comuns está apresentado na figura a seguir e será detalhado mais a frente.
As quatro dimensões comuns dos habilitadores são:
1 - Partes Interessadas - Cada habilitador tem partes interessadas (partes que desempenham um papel ativo e/ou tenham algum interesse no habilitador). Por exemplo, os processos têm diversas partes que executam atividades do processo e/ou que tenham algum interesse nos resultados do processo; estruturas organizacionais têm partes interessadas, cada um com suas próprias funções e interesses que fazem parte das estruturas. Partes interessadas podem ser internas ou externas à organização, e todas possuem seus próprios, e às vezes conflitantes, interesses e necessidades. As
necessidades das partes interessadas são traduzidas em objetivos corporativos, que por sua vez são traduzidas em
F i g u r a ‐ 1 3 : H a b i l i t a d o r e s d o CO B I T 5 : Ge n é r i c o s
objetivos corporativos para organização. Uma lista de partes interessadas é apresentada na figura 7.
2 - Metas ou Objetivos - Cada habilitador tem diversas metas, e os habilitadores criam valor ao atingir essas metas. Metas podem ser definidas em termos de:
Resultados esperados do habilitador Aplicativo ou operação do próprio operador
As metas do habilitador são a última etapa da cascata de objetivos do COBIT 5. Essas metas podem ser divididas ainda em diferentes categorias:
Qualidade intrínseca - O quanto os habilitadores trabalham de forma precisa, objetiva e produzem resultados exatos, objetivos e confiáveis
Qualidade contextual - O quanto os habilitadores e seus resultados cumprem sua meta levando-se em consideração o contexto em que operam. Por exemplo, os resultados devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensíveis e fáceis de usar.
Acesso e segurança - O quanto os habilitadores e seus resultados são acessíveis e seguros, tais como:
• Os habilitadores estão disponíveis quando, e se, necessário. • Os resultados são seguros, ou seja, o acesso é restrito a quem
de direito e que precisar deles.
3 - Ciclo de vida - Cada habilitador tem um ciclo de vida, desde sua criação, passando por sua vida útil/operacional até chegar ao descarte. Isto se aplica às informações, estruturas, processos, políticas, etc. As fases do ciclo de vida incluem: o Planejar (inclui o desenvolvimento e seleção de conceitos) o Projetar
o Desenvolver/adquirir/criar/implementar o Usar/operar
o Avaliar/monitorar o Atualizar/descartar
