Baixe o app para aproveitar ainda mais
Prévia do material em texto
68 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V Unidade V 5 PROCESSOS DE GOVERNANÇA E GESTÃO DE TI – COBIT 5 Para se garantir o bom desempenho do modelo proposto, é necessária a implementação de processos bem definidos, pois são eles que auxiliam na boa execução das atividades diárias da organização. Eles são a seta que direciona qual o caminho deve ser seguido, qual a melhor forma de se realizar tal prática e quais os pontos que merecem mais atenção. O processo não visa engessar a rotina diária, e sim facilitar o trabalho, direcionar da melhor forma, o passo a passo cotidiano das áreas de negócios e da área de TI. É fundamental a criação de regras, políticas e restrições visando sempre o bem maior, a qualidade, a produtividade e a transparência nas informações. Para isso, muitas vezes faz‑se vital mudanças na cultura da empresa, mas tal quesito nem sempre é fácil de se trabalhar. Contudo, para garantir o retorno proposto, é um fator obrigatório a ser trabalhado. A maneira como uma instituição direciona a construção de seus processos dependerá da sua forma de trabalho. Cada uma delas pode estruturar de modo que lhe julgar mais conveniente, desde que os objetivos propostos no modelo COBIT 5 no que se refere à governança e à gestão sejam devidamente abrangidos. Em decorrência do seu tamanho, pode haver variação na quantidade de processos descritos. Organizações de grande porte poderão ter mais operações e, em consequência, mais processos que uma empresa menor. A variação da quantidade não causa nenhum impacto negativo, desde que todos sejam cobertos, seja em grande número ou de modo reduzido. O guia COBIT 5 dá uma atenção especial ao fato de que cada organização deve ter sua individualidade respeitada, mesmo implantando os processos do modelo, como descrito a seguir: O COBIT 5 inclui um modelo de referência de processo, que define e descreve em detalhes uma série de processos de governança e gestão. Ele representa todos os processos normalmente encontrados em uma organização relacionados às atividades de TI, fornecendo um modelo de referência comum compreensível para os gerentes operacionais de TI e de negócios. O modelo de processo proposto é um modelo completo e abrangente, mas não é o único modelo de processo possível. Cada organização deverá definir seu próprio conjunto de processos, levando em consideração sua situação específica (ISACA, 2012, p. 34). Também se faz relevante: Incorporar um modelo operacional e uma linguagem comum para todas as partes da organização envolvidas com atividades de TI é uma das etapas mais importantes e críticas da boa governança. Também oferece um modelo para 69 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI medir e monitorar o desempenho de TI, promovendo garantia (assurance) da TI, comunicação com os provedores de serviço e melhor integração com as práticas da administração (ISACA, 2012, p. 34). Como já apresentado, o modelo de referência de processo do COBIT 5 tem uma primeira divisão em processos de governança e processos de gestão de TI, com ambos possuindo domínios e subprocessos. Neste momento, prosseguiremos ao detalhamento de cada um dos 37 processos constantes nestes domínios. A divisão de governança é composta de apenas um domínio, o EDM (evaluate, direct and monitor), que significa avaliar, dirigir e monitorar, que contempla cinco processos nos quais são definidas as práticas de avaliação, direção e monitoramento. A divisão de gestão é bem maior tanto em domínios quanto em número de processos a serem desenvolvidos, sendo composta de quatro domínios que conversam entre si e também entre os processos descritos na divisão de governança. São eles: • APO (align, plan and organise), que significa alinhar, planejar e organizar. Este domínio tem direcionamento estratégico e gerencial. Os processos constantes nele têm papel fundamental de suporte aos objetivos do negócio, já que eles envolvem planejamento, comunicação e gerenciamento de diversas perspectivas empresariais. • BAI (build, acquire and implement), ou construir, adquirir e implementar. Tem como principal objetivo atender todos os fatores de identificação, desenvolvimento e aquisição das soluções de TI. São essas soluções que concretizam as estratégias de TI, aquelas previamente estabelecidas. Também tende a acompanhar e gerenciar mudanças e manutenções nos sistemas existentes com a finalidade de dar continuidade ao ciclo de vida dos respectivos processos. • DSS (deliver, service and support) denominado entregar, serviços e suporte. Destina‑se a cobrir toda a entrega dos serviços requeridos, desde o gerenciamento de segurança até a gestão da infraestrutura operacional, passando pelo suporte aos usuários, reparo de equipamentos, continuidade do serviço e gestão dos dados. Não é um domínio com muitos processos, porém tenciona a sobrevivência ativa da organização. • MEA (monitor, evaluate and assess) expressa o monitorar, avaliar e analisar. Destina‑se a assegurar a qualidade dos processos de TI e também dos de governança. Nesse domínio são trabalhados mecanismos de controle, monitoramento e avaliação de fatores internos e externos, objetivando a qualidade e entrega em conformidade com os objetivos previamente propostos. Cada um dos 37 processos representados nestes cinco domínios engloba as seguintes características: • identificação do processo contendo nome, código, área‑chave, domínio a qual pertence e sua descrição resumida; 70 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V • a qual propósito se destina o processo; • definição de metas relacionadas à TI e seus procedimentos de medição; • definição de metas relacionadas ao processo em si e suas métricas para elas; • desenho e definição da matriz de responsabilidade modelo RACI, associado a papéis e atividades. • descrição detalhada para cada prática/atividade do processo, com nome, entradas e saídas, e descrição detalhada e de fácil compreensão a todos; • documento contendo orientações relacionadas à integração com outros modelos, padrões e ferramentas existentes na organização, bem como qualquer outra informação relevante ao processo e que não se encaixe nas opções anteriores. 5.1 Processos de governança de TI Os processos de governança de TI propõem‑se a assegurar as necessidades, conjunturas e objetivos definidos pelas partes interessadas, de forma clara e segura. Também pertence ao escopo dos processos de governança garantir que os propósitos sejam atingidos, estabelecendo prioridades, determinando posições de decisão e monitorando o desempenho e a conformidade com relação a esses objetivos. Vale deixar explícito que os processos não executam essas ações, eles são descritos a fim de orientar e direcionar. Cabe à organização e às áreas de coletas a execução precisa para se alcançar o êxito. De forma geral, esses processos são de responsabilidade do corpo diretivo. 5.1.1 EDM – avaliar, dirigir e monitorar Os processos apresentados como fundamentais à governança de TI são: • EDM01 – garantir a definição e manutenção do modelo de governança. • EDM02 – garantir a realização de benefícios. • EDM03 – garantir a otimização de riscos. • EDM04 – garantir a otimização de recursos. • EDM05 – garantir transparência para as partes interessadas. Segue a especificação dos pontos relevantes de cada processo citado. • EDM01 – garantir a definição e manutenção do modelo de governança. Pretende analisar e articular os requisitos para a governança corporativa de TI, desenvolve e mantém estruturas, princípios, 71 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI processos e práticas. Todo o processo deve ser definido com clareza das responsabilidades e autoridade para alcançar a missão, as metas e os objetivos da organização.Contempla as práticas de avaliar, dirigir e monitorar o sistema de governança. • EDM02 – garantir a realização de benefícios. Este processo tenciona o aperfeiçoamento na contribuição de valor para o negócio com base em seus métodos de negócios, serviços e ativos de TI. Eles são resultado do investimento realizado em TI. Contém as práticas de avaliar, dirigir e monitorar o aperfeiçoamento de valor. • EDM03 – garantir a otimização de riscos. Este processo assegura que a predileção e a tolerância a riscos da organização são compreendidas, planejadas e comunicadas. Também significa que todo e qualquer risco ao negócio relacionado ao uso de TI é identificado e controlado. Abrange as práticas de avaliar, dirigir e monitorar o gerenciamento de riscos. • EDM04 – garantir a otimização de recursos. O processo coloca à disposição as habilidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia), visando suportar os objetivos da organização de forma eficaz a um custo justo. Engloba as práticas de avaliar, dirigir e monitorar o gerenciamento de recursos. • EDM05 – garantir transparência para as partes interessadas. O processo propõe‑se a possibilitar a medição e a construção de relatório de desempenho e conformidade da TI corporativa de forma transparente para as partes interessadas poderem avaliar e aprovar as metas, as métricas e as ações corretivas necessárias. Envolve as práticas de avaliar os requisitos apresentados nos relatórios das partes interessadas, assim como dirigir e monitorar a comunicação com elas. Observação O termo recursos engloba não somente recursos humanos, mas também recursos tecnológicos como hardware e software, e neste caso ainda os processos. 5.2 Processos de Gestão de TI Os processos de gestão de TI são responsáveis por planejar toda a estrutura da área de TI, bem como arquitetura corporativa, orçamentos, custos, relacionamentos com demais áreas corporativas, portfólio de séricos, cronogramas de projetos, ativos de configuração, problemas e continuidade do negócio, além de construir, reparar, organizar e manter esses e outros tantos aspectos importantes para o bom funcionamento da organização. Também há processos de medição, monitoramento e avaliação que são tratados na gestão. De modo geral, a gestão dessa estrutura é de responsabilidade da gerência executiva, sob liderança do CEO. Discorreremos por cada um dos domínios e seus 32 processos. 72 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V 5.2.1 APO – alinhar, planejar e organizar Os processos apresentados como essenciais são: • APO01 – gerenciar a estrutura de gestão de TI. • APO02 – gerenciar a estratégia. • APO03 – gerenciar a arquitetura da organização. • APO04 – gerenciar a inovação. • APO05 – gerenciar o portfólio. • APO06 – gerenciar orçamento e custos. • APO07 – gerenciar recursos humanos. • APO08 – gerenciar relacionamentos. • APO09 – gerenciar acordos de prestação de serviços. • APO10 – gerenciar fornecedores. • APO11 – gerenciar qualidade. • APO12 – gerenciar riscos. • APO13 – gerenciar segurança. Segue a especificação dos pontos relevantes de cada processo citado, bem como suas principais práticas. • APO01 – gerenciar a estrutura de gestão de TI. Este processo visa apresentar e manter a missão e visão da governança de TI de forma clara e acessível a todos. Também implementa e mantém mecanismos e autoridades para gerenciar a informação e o uso da TI na organização. Compreende as práticas de definir a estrutura organizacional, determinar papéis e responsabilidades, manter organizado os facilitadores do sistema de gestão, comunicar objetivos e direcionamento da gestão, aprimorar a distribuição das funções de TI, determinar a propriedade de informações (dados) e sistemas, gerenciar a melhoria contínua de processos e manter conformidade com políticas e procedimentos. • APO02 – gerenciar a estratégia. Este processo fornece uma visão abrangente do negócio e do ambiente de TI atual, objetivando a direção futura, definindo quais as iniciativas necessárias para 73 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI migrar para o ambiente idealizado; outrossim, apresenta elementos da arquitetura corporativa para facilitar respostas rápidas, confiáveis e eficientes aos objetivos estratégicos. São partes integrantes deste processo as seguintes práticas: compreender o direcionamento corporativo; avaliar ambiente, capacidade e desempenho atuais da organização; definir as capacidades‑alvo de TI; nortear uma análise de gaps, além de definir o plano estratégico e o road map. • APO03 – gerenciar a arquitetura da organização. Esse processo tende a constituir uma arquitetura comum com camadas de métodos de negócios, informações, dados, aplicação e tecnologia para implementar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação de modelos e práticas‑chave que descrevem arquitetura de linha de base. Para esse processo, se aplicam as práticas de desenvolver a visão da arquitetura corporativa, definir a arquitetura de referência, bem como selecionar oportunidades e soluções, definir a implementação da arquitetura e principalmente prover serviços da arquitetura corporativa. • APO04 – gerenciar a inovação. Neste processo é necessária a manutenção de uma consciência de TI e foco nas tendências de serviços relacionados. Ele é responsável por identificar oportunidades de inovação e planejar como se beneficiar da inovação em relação às necessidades do negócio. Está ligada diretamente ao planejamento estratégico, pois ele o influencia diretamente, bem como nas decisões de arquitetura corporativa. Composto de práticas de criação do ambiente propício à inovação, dispõe‑se de manter compreensão do ambiente corporativo, realiza o monitoramento e inspeciona o ambiente tecnológico, encarregado de avaliar o potencial de tecnologias emergentes e ideias de inovação e recomendar iniciativas adicionais apropriadas, monitorar a implementação e o uso de inovações em toda a organização. • APO05 – gerenciar o portfólio. Desempenha as orientações estratégicas para os investimentos alinhados com a visão de arquitetura corporativa e as características desejadas do investimento. É recomendado considerar as restrições de recursos e de orçamento. Além disso, avalia, prioriza programas e serviços, gerencia a demanda dentro das restrições de recursos e de orçamento, sempre embasados no alinhamento com os objetivos estratégicos e risco. Tem autoridade para mover programas selecionados do portfólio de serviços para execução. Monitora o desempenho de todo o portfólio de serviços e programas, propondo melhorias quando necessário, visando ao melhor performance do serviço ou mudança de prioridades da organização. Engloba as práticas de organizar o conjunto de investimentos desejados, determina disponibilidade e fontes de recursos, avalia e seleciona programas a serem custeados pela empresa, monitora, incrementa e reporta o desempenho dos investimentos no portfólio, além de garantir a integridade do portfólio e gerenciar o alcance de benefícios. • APO06 – gerenciar orçamento e custos. Este processo objetiva o gerenciamento das atividades financeiras relacionadas à TI tanto nas funções de negócios como de TI, abrangendo orçamento, gerenciamento de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento, também presa por um sistema justo e equitativo de alocação de custos. Abrange as atividades de priorizar alocação de recursos, gerenciar finanças e contabilidade, criar e manter orçamentos, nortear, alocar e gerenciar custos. 74 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V • APO07 – gerenciar recursos humanos. Esse processo procura fornecer uma abordagem engendrada, destinada a garantir a arquitetura ideal, os direitosde decisão e as habilidades dos recursos humanos. Inclui comunicação de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento e expectativas de desempenho, com o apoio de pessoas competentes e amotivadas. Integra as práticas de manter a equipe adequada e apropriada, as habilidades e as competências do pessoal, identificar as pessoas‑chave de TI, realizar a avaliação de desempenho nos funcionários, planejar e rastrear o uso de recursos humanos de TI e negócio, além de gerenciar equipes terceirizadas que podem existir nos projetos. • APO08 – gerenciar relacionamentos. Este processo propõe conduzir o relacionamento entre negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum. Enquadra as práticas de identificar oportunidades, riscos e restrições para TI aprimorar o negócio, além de entender e analisar suas expectativas, gerenciar o relacionamento com o negócio, coordenar e comunicar e prover insumos para a melhoria contínua de serviços. • APO09 – gerenciar acordos de prestação de serviços. Dispõe‑se a alinhar os serviços de TI e níveis de serviço com as necessidades e expectativas da organização. Esse processo engloba identificação, especificação, projeto, publicação, acordo e acompanhamento de serviços de TI, níveis de serviço e indicadores de desempenho. Implementa as práticas de identificar serviços de TI, catalogar serviços habilitados por TI, definir, detalhar, preparar e revisar acordos de serviço, monitorar e reportar níveis de serviço de contratos. • APO10 – gerenciar fornecedores. Tem como foco o acompanhamento e a gestão dos serviços relacionados à TI prestados por todos os tipos de fornecedores para atender às necessidades organizacionais, incluindo seleção, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores (SLA) para a efetividade e conformidade. São necessárias as práticas de identificar e avaliar relacionamentos e contratos com fornecedores, bem como selecioná‑los, gerenciar relacionamentos e contratos com fornecedores, gerenciar os riscos de fornecedores e monitorar desempenho e conformidade de fornecedores embasados em um padrão de controle de qualidade (SLA). • APO11 – gerenciar qualidade. Este processo define e comunica os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações. Contém as práticas de controles, monitoramento contínuo e o uso de padrões na melhoria e esforços de eficiência. Enfatiza o gerenciamento da qualidade nos clientes. • APO12 – gerenciar riscos. Responde por identificar continuamente, avaliar e reduzir os riscos relacionados à TI dentro dos níveis de flexibilidade previamente estabelecidos pela diretoria executiva da organização. Compreende as práticas de coletar dados, analisar riscos, monitorar o perfil de riscos, definir um portfólio de ações de gerenciamento de riscos e responder aos riscos. • APO13 – gerenciar segurança. De extrema importância, é este processo que define, opera e monitora um sistema para a gestão de segurança da informação. Suas práticas incluem 75 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI estabelecer e manter um sistema de gestão de segurança da informação (SGSI), além de definir e gerenciar um plano de tratamento de riscos de segurança da informação e monitorar e revisar o SGSI. 5.2.2 BAI – construir, adquirir e implementar Os processos apresentados como principais são: • BAI01 – gerenciar programas e projetos. • BAI02 – gerenciar definição de requisitos. • BAI03 – gerenciar identificação e construção de soluções. • BAI04 – gerenciar disponibilidade e capacidade. • BAI05 – gerenciar capacidade de mudança organizacional. • BAI06 – gerenciar mudanças. • BAI07 – gerenciar aceitação e transição de mudança. • BAI08 – gerenciar conhecimento. • BAI09 – gerenciar ativos. • BAI10 – gerenciar configuração. Segue a especificação não aprofundada dos pontos relevantes de cada processo citado, bem como algumas de suas principais práticas. • BAI01 – gerenciar programas e projetos. É quem coordena todos os programas e projetos do portfólio de investimentos em alinhamento com a estratégia da organização e de forma estruturada. Responsável por iniciar, planejar, controlar e executar programas e projetos, além de finalizar com uma revisão pós‑implementação. Abarca as práticas de manter abordagem padrão para gerenciamento de programas e projetos, iniciar programas, monitorar o envolvimento das partes interessadas, construir e manter o plano do programa, bem como registrá‑lo e executá‑lo, monitorar, controlar e reportar sobre os seus resultados, planejar projetos, gerir a qualidade de programas e projetos, gerenciar seus riscos, monitorar e controlar projetos, regular recursos e pacotes de trabalho de projetos e encerrar um projeto ou iteração com o encerramento de um programa. • BAI02 – gerenciar definição de requisitos. Busca identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estão em conformidade com as condições 76 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V estratégicas corporativas que cobrem os processos de negócio, aplicações, informações/dados, infraestrutura e serviços. Também objetiva coordenar com as partes interessadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas. Possui como atividades práticas a definição e manutenção das condições de negócio funcionais e não funcionais, realiza estudo de viabilidade e modela soluções alternativas, gerencia riscos das premissas e é responsável por obter aprovação de requisitos e soluções. Observação Os requisitos representam as necessidades do cliente, aquilo que sistema, software, ferramenta ou processo deve atender. Eles pertencem a um determinado escopo, podendo ser funcionais e não funcionais, além de fazerem parte de todo o ciclo de vida de um projeto de desenvolvimento de software. • BAI03 – gerenciar identificação e construção de soluções. Neste processo, as soluções identificadas em conformidade com os requisitos da organização são devidamente mapeadas e acompanhadas. Elas abrangem design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores/vendedores. Também se faz necessária a gestão da configuração, teste de preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infraestrutura e serviços. Inclui as práticas de desenhar soluções de alto nível, desenhar detalhes dos componentes da solução, aprimorar e adquirir componentes da solução, bem como construir soluções, realizar garantia de qualidade, elaborar e executar testes da solução, gerenciar mudanças nos requisitos, manter soluções, definir serviços de TI e manter o portfólio de serviços atualizado. • BAI04 – gerenciar disponibilidade e capacidade. Este processo é responsável pelo equilíbrio das necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços a um custo justo. Compreende avaliação de capacidades atuais, previsão das necessidades futuras com base em requisitos de negócios, análise de impactos nos negócios e avaliação de risco para planejar e implementar ações para atender as necessidades identificadas. Possui as práticas de avaliar disponibilidade, desempenho e capacidade atuais e criar uma linha de base, mensurar o impacto sobre o negócio, planejar os requisitos de serviço, monitorar e revisar disponibilidade e capacidade, além de investigar e endereçar questões de disponibilidade. • BAI05 – gerenciar capacidade de mudança organizacional. O foco desse processo visa maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de forma rápida e com riscoreduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas afetadas no negócio e TI. Engloba em si práticas de estabelecer o desejo de mudança, estrutura um time de implementação efetivo, comunica a visão desejada, desenvolve capacidade dos papéis e identifica ganhos de curto prazo, habilita operação e uso, insere novas abordagens e sustenta mudanças. 77 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI • BAI06 – gerenciar mudanças. O processo de mudança administra todas as modificações de uma maneira controlada, incluindo alterações de padrão e de manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura. Ele abrange os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação. Para isso são necessárias as práticas de avaliar, priorizar e autorizar solicitações de mudança, bem como gerenciar todas as variações, incluindo as emergenciais, rastrear e reportar seu status e essencialmente encerrar e documentar todas as mudanças. • BAI07 – gerenciar aceitação e transição de mudança. Este processo tende a produzir formalmente novas soluções operacionais, incluindo planejamento de implementação do sistema e conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção de processos de negócios e serviços de TI novos ou alterados, suporte de produção e uma revisão pós‑implementação. Para fazer todas essas atividades e responsabilidades neste processo, faz‑se necessária a execução das práticas de estabelecer um plano de implementação e, na sequência, planejar processos de negócio, sistemas e conversão de dados e os testes de aceitação. Estabelecer ambiente de testes, bem como realizar testes de aceitação. Produzir e gerenciar releases, prover suporte inicial para produção e executar revisões pós‑implementação. • BAI08 – gerenciar conhecimento. Tem por foco garantir a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo. Também destina a facilitar a tomada de decisão com a elaboração do plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento. Para sua correta execução, faz se obrigatória as práticas de cultivar e facilitar uma cultura de compartilhamento de conhecimentos, identificar e classificar fontes de informações, organizar e contextualizar informação em conhecimento, além de compartilhar os conhecimentos e avaliar e descontinuar informações. • BAI09 – gerenciar ativos. Um processo significativo em qualquer organização. Ele gerencia os ativos de TI através de seu ciclo de vida para assegurar que seu uso agrega valor a um custo ideal. Os ativos permanecem operacionais e fisicamente protegidos. São fundamentais para apoiar a capacidade e disponibilidade de serviço de forma confiável. Para seu funcionamento, faz‑se uso das práticas de identificar e registrar ativos correntes, gerenciar ativos críticos, gerenciar o ciclo de vida de ativos, otimizar custos de ativos e gerenciar licenças. Um adendo ao BAI09: um ativo representa qualquer coisa que tenha valor para a organização. Temos, por exemplo, ativos de informação, compostos de base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas. Ativos de software, os quais contemplam aplicativos, sistemas, ferramentas de desenvolvimento e utilitários. Ativos físicos, que são os equipamentos computacionais, de comunicação, entre outros. Também 78 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V se incluem os ativos de serviços, pessoas como ativos, ativos intangíveis, como o conceito e a imagem da organização. Portanto, a gestão de ativos é um elemento essencial para o bom andamento das atividades. BAI10 – gerenciar configuração. É quem define e mantém as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta de informações de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração. Para a realização deste processo, são necessárias as práticas de estabelecer e manter um modelo de configuração, designar e manter um repositório e linha de base de configuração, manter e controlar itens de configuração, desenvolver relatórios de status sobre a configuração, além de verificar e revisar a integridade do repositório de configuração. 5.2.3 DSS – entregar, reparar e suportar Os processos apresentados como fundamentais na entrega e suporte são: • DSS01 – gerenciar as operações. • DSS02 – gerenciar requisições de serviços e incidentes. • DSS03 – gerenciar problemas. • DSS04 – gerenciar continuidade. • DSS05 – gerenciar serviços de segurança. • DSS06 – gerenciar os controles de processos de negócio. Segue a especificação dos pontos pertinentes de cada processo citado, bem como algumas de suas principais práticas. • DSS01 – gerenciar as operações. Neste processo se coordenam e executam as atividades e os procedimentos operacionais necessários para entregar serviços de TI internos e/ou terceirizados. Nesses serviços, considera‑se a execução de procedimentos operacionais, os padrões predefinidos e as atividades exigidas. Para isso, faz‑se primordial as práticas de realizar procedimentos operacionais, gerenciar serviços de TI terceirizados, monitorar a infraestrutura de TI, gerenciar o ambiente e as instalações físicas. • DSS02 – gerenciar requisições de serviços e incidentes. Dispõe‑se a fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Deve possibilitar subsídios para restaurar o serviço para normalidade o mais breve possível, visando atender às demandas dos usuários, além de investigar, diagnosticar, escalar e solucionar incidentes. Para tal, são vitais as práticas de definir esquemas de classificação de requisições de serviço e incidentes, 79 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI registrar, classificar e priorizar incidentes e requisições, realizar a verificação, aprovação e atendimento das requisições de serviços, investigar, diagnosticar e alocar incidentes, mitigar e apontar soluções para recuperar de incidentes, imprescindivelmente encerrar as requisições de serviços e incidentes, rastrear status e produzir relatórios. • DSS03 – gerenciar problemas. Este processo é valoroso para todo modelo, por isso requer uma atenção a mais no ponto de vista de fluidez no dia a dia operacional da organização. É nele que se identifica e classifica os problemas e suas causas‑raízes, além de fornecer resolução para prevenir incidentes recorrentes. Do mesmo modo, fornece recomendações de melhorias. Como coeficientes de seu bom funcionamento, é fundamental a aplicação das práticas de identificar, classificar, investigar, diagnosticar problemas, rastrear e registrar erros conhecidos, resolver e encerrar problemas e realizar o gerenciamento proativo de problemas. • DSS04 – gerenciar continuidade. É um processo que se destina a estabelecer e manter um plano para permitir que o negócio e TI respondam diante de incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI necessários. Também mantém a disponibilidade de informações em um nível aceitável para a organização. São práticas cruciais nesse processo a definição de políticas objetivos e o escopo da continuidadede negócios, assim como manter uma estratégia de continuidade, desenvolver e implementar uma resposta de continuidade de negócios, exercitar, testar e revisar o PCN (planejamento de continuidade de negócio ou BCP – Business Continuity Planning), manter e aprimorar o plano de continuidade, implementar e conduzir treinamentos do plano de continuidade, gerenciar preparativos de backup e conduzir revisão pós‑recuperação. Destaque‑se que um PCN é desenvolvido sobre um relatório de análise de impactos nos negócios, que é uma contingência em caso de interrupção dos processos organizacionais de uma empresa. Este segundo é um plano reativo com diretrizes que devem ser tomadas quando operações são interrompidas por qualquer tipo de ação, seja interna ou externa, assegurando a continuidade dos negócios. Para se construir um bom plano de contingência relacionado com tecnologia da informação, é recomendado se considerar itens como backup, uma cópia representativa de dados em um momento específico, de todo código e banco de dados e sua recuperação. O fator backup é essencial para a continuidade dos negócios, além de servir como proteção de dados em caso de falha de hardware, exclusões acidentais ou desastre, ou mesmo proteção contra alterações não autorizadas feitas de forma indevida. Como recomendação, um PCN deve conter os seguintes aspectos: • identificação crítica das atividades da organização; • avaliação de risco de continuidade de negócios; • desenvolvimento de um plano de continuidade; • plano de aprovação e implementação. 80 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V Saiba mais Sobre questões que agregam valor ao negócio pela ISACA no COBIT 5, leia no link: UMANA, A. COBIT 5 e o valor agregado da governança da TI corporativa. [Illinois]: Isaca,2015. Disponível em: <http://www.isaca.org/COBIT/focus/ Pages/cobit‑5‑and‑the‑added‑value‑of‑governance‑of‑enterprise‑it‑ portuguese.aspx>. Acesso em: 26 abr. 2017. • DSS05 – gerenciar serviços de segurança. Um processo que intenciona proteger informações da organização em um nível de risco aceitável para a segurança das informações, seguindo a política interna de segurança. Estipula e mantém as funções de segurança da informação, dentre elas os privilégios de acesso e monitoramento de segurança. Para tal, é basilar que as práticas de proteger contra malware sejam implantadas, gerenciar segurança de rede e conectividade, identidade e acesso lógico de usuários e de acesso físico a ativos de TI, controlar documentos e dispositivos de saída sensíveis e monitorar a infraestrutura quanto a eventos relacionados à segurança. Saiba mais Leia sobre criação de uma estrutura de governança e gestão para e‑commerce utilizando o COBIT 5 em: EMERIBE, C. H. Criação de uma estrutura de governança e gestão para e‑commerce através do COBIT 5.,[Illinois]: Isaca, 2015. Disponível em: <http://www.isaca.org/COBIT/focus/Pages/establishing‑a‑governance‑ and‑management‑structure‑for‑e‑commerce‑using‑cobit‑5‑portuguese. aspx>. Acesso em: 26 abr. 2017. • DSS06 – gerenciar os controles de processos de negócio. Neste processo se define e mantém controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas para satisfação de todos os requisitos de controle de informações sejam relevantes para a organização. Requer o seguimento das práticas de alinhamento das atividades de controle embutidas nos processos de negócio com os objetivos corporativos, controlar o processamento da informação, gerenciar papéis, responsabilidades, privilégios de acesso e níveis de autoridade de todos os funcionários, erros e exceções. Assegurar a rastreabilidade de eventos e responsabilidade sobre informações e manter em segurança os ativos de informação da empresa. 81 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI 5.2.4 MEA – monitorar, avaliar e medir Os processos apresentados como indispensáveis no monitoramento, na avaliação, bem como na medição que garantem a qualidade são: • MEA01 – monitorar, avaliar e medir o desempenho e conformidade. • MEA02 – monitorar, avaliar e medir o sistema de controles internos. • MEA03 – monitorar, avaliar e medir a conformidade com requisitos externos. Não menos importante que todos os outros processos citados neste capítulo, estes são responsáveis por garantir o desempenho e a conformidade dos serviços que são cruciais para o bom funcionamento de toda a estrutura COBIT. Definir processos, desenhar detalhadamente e com características fundamentais é um primeiro passo, mantê‑los em funcionamento o segundo passo, mas se todos foram implantados e mantidos, mas não validados, monitorados e avaliados, eles podem não fazer nenhuma diferença. No entanto, o que isso significa? Significa que construir e não avaliar se a sua construção está realmente atingindo o objetivo pelo qual foi feito, não tem serventia alguma para uma organização, a não ser desperdício de dinheiro e tempo. Por esse motivo, tais processos, mesmo em pequena quantidade, têm grande relevância ao COBIT 5. Segue a especificação dos pontos importantes de cada processo citado, bem como algumas de suas principais práticas. • MEA01 – monitorar, avaliar e medir o desempenho e conformidade. Este processo visa coletar, validar e avaliar os objetivos e as métricas do processo de negócios e de TI. Ele também monitora se os processos estão se realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informação que é sistemática e oportuna. Este processo compreende as práticas de estabelecer uma abordagem de monitoramento, definir metas de desempenho e conformidade, coletar e processar dados de desempenho e conformidade, analisar e reportar desempenho, além de assegurar a implementação de ações corretivas. • MEA02 – monitorar, avaliar e medir o sistema de controles internos. Um processo que se destina a monitorar e avaliar continuamente o ambiente de controle. Para tal, integra as autoavaliações e análises de avaliações independentes. Similarmente, permite à gestão identificar deficiências de controle e ineficiências, e, com isso, iniciar ações de melhoria. Abarca em si as práticas de monitorar controles internos, revisar efetividade de controles de processos de negócio, realizar autoavaliações de controles. Igualmente, tende a identificar e reportar deficiências de controles, assegurar que provedores de garantia (auditoria) sejam independentes e qualificados. Planejar iniciativas de garantia (auditoria), definir escopo de iniciativas de garantia (auditoria) e executar iniciativas de garantia (auditoria). • MEA03 – monitorar, avaliar e medir a conformidade com requisitos externos. Esse processo realiza a avaliação dos processos de TI e de negócios suportados pela TI se estão em conformidade 82 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V com leis, regulamentos e exigências contratuais. Também obtém a garantia de que os requisitos foram identificados e respeitados, e integrá‑los à conformidade com o cumprimento global da organização. Compreende as práticas de identificar requisitos de conformidade externos, otimizar resposta a requisitos externos, confirmar conformidade externa e obter garantia de conformidade externa. Um dos fatores utilizados no COBIT5 para o monitoramento de desempenho dos processos é o dos níveis de capacidade. Este é o novo modelo para a avaliação da capacidade dos processos de TI da organização, desenvolvido com base na norma ISO/IEC 15504 de Engenharia de Software (norma de avaliação de processos). Este padrão visa alcançar os mesmos objetivos gerais de avaliação do processo e suporte a melhoria de processos. Ele proporcionará meios para medir o desempenho de qualquer um dos processos de governança (baseados nos processos EDM descritos neste capítulo), alémde permitir melhor visualização das áreas que precisam ser melhoradas. Saiba mais Para refletir sobre performance dos processos, acesse o site: DAVIS, P. T. Reflexão sobre a medição de performance.,[Illinois]: Isaca, 2015. Disponível em: <http://www.isaca.org/cobit/focus/pages/performance‑ measurement‑musings‑portuguese.aspx>. Acesso em: 26 abr. 2017. O modelo COBIT 5 compreende seis níveis de capacidade divididos em uma escala de 0 a 5. Cada um deles possui um conjunto de atributos de processo que deve ser avaliado para o alcance do nível em questão. São eles: • Nível 0 – Processo incompleto: o processo não foi implementado ou não atingiu seu objetivo. Nesse nível, há pouca ou nenhuma evidência de realização sistemática da finalidade do processo. • Nível 1 – Processo executado: o processo está implementado e atinge seu propósito. Possui o atributo: — PA1.1 – Desempenho do processo (Process Performance): responsável por avaliar se o processo atingiu seu objetivo. Nele é verificado se as atividades básicas e os produtos de trabalho são executados, não sendo necessária a sua formalização e documentação. • Nível 2 – Processo gerenciado: o processo realizado anteriormente descrito é implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos. Possui os atributos: 83 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI — PA2.1 – Gerenciamento de desempenho (Performance Management): avalia se o desempenho do processo é gerenciado. O resultado da completa realização desse atributo é obtido quando se tem os objetivos de desempenho do processo definidos, o desempenho do processo planejado monitorado e ajustado para atingir o planejado, responsabilidades para execução do processo definidas atribuídas e comunicadas, bem como recursos e informações necessários para executar o processo identificados, disponíveis, alocados e utilizados, interface entre as partes envolvidas no processo gerenciadas, visando garantir a eficácia na comunicação e clareza na definição de responsabilidades. — PA2.2 – Gerenciamento de produto de trabalho (Work Product Management): este atributo tenciona mensurar se os produtos de trabalho produzidos pelo processo são apropriadamente gerenciados. Como resultado desta construção, temos requisitos para os produtos de trabalho do processo definidos para documentação e controle dos produtos de trabalho definidos, produtos de trabalho do processo devidamente identificados, controlados e revisados de acordo com os critérios definidos e ajustados para atender aos requisitos. • Nível 3 – Processo estabelecido: o processo gerenciado anteriormente descrito é implementado usando um método definido que é capaz de alcançar os seus resultados. Possui os atributos: — PA3.1 – Definição de processo (Process Definition): responsável por aquilatar se um processo padrão será mantido como auxiliar na implantação de um processo definido. Como resultado, temos um processo padrão, incluindo orientações para adaptação, definido e detalhado com elementos fundamentais que, ao serem incorporados a um processo definido, uma definição da sequência e interação do processo padrão com outros processos, papéis e competências necessárias para a realização de um processo identificado como parte do processo padrão. Também se inclui a infraestrutura necessária e ambiente de trabalho para a realização do processo identificados e a descrição e definição dos métodos para monitorar a eficácia e adequação do processo determinados. — PA3.2 – Implementação de processo (Process Deployment): este atributo pretende equacionar se um processo padrão é eficientemente implantado como um procedimento definido. Como produto dessa análise temos um processo definido e implantado, baseado na escolha e adequação de um método padrão, papéis e responsabilidades para executar o processo definido alocados e comunicados. Além da escolha dos seus atores, definidos com base na experiência, estes são adequadamente treinados; são colocados à disposição recursos e informações necessários para a sua execução. A infraestrutura e os ambientes devidos para a execução do processo definido estão disponíveis, são gerenciados e mantidos; também são coletados e analisados os dados apropriados para entendimento do comportamento, demonstração da efetividade e avaliação de melhorias contínuas do processo definido. • Nível 4 – Processo previsível: o processo estabelecido anteriormente descrito opera dentro de limites definidos para alcançar seus resultados. Possui os atributos: 84 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade V — PA4.1 – Gerenciamento do processo (Process Management): este atributo tem como foco avaliar se resultados de medição de desempenho são utilizados para garantir o atingimento de objetivos, em suporte a metas de negócio. Como resultado, temos que as suas necessidades de informação são definidas de acordo com os propósitos de negócio, os objetivos de medição do processo são derivados da necessidade de informação. Também os objetivos quantitativos para o desempenho são estabelecidos de acordo com as necessidades do negócio; medidas e frequência de medição são identificadas e definidas de acordo com os objetivos de medição do processo e os fins quantitativos para o desempenho do processo. Além desses, os resultados de medição são coletados, analisados e reportados a fim de avaliar se os objetivos quantitativos são atingidos. — PA4.2 – Controle do processo (Process Control): tem por finalidade classificar se o processo é quantitativamente gerenciado, de modo que seja estável e previsível dentro de limites preestabelecidos. Como produto, temos a definição de técnicas de controle e análise que são estabelecidas e aplicadas, e limites de variação do processo são determinados para uma performance normal do processo. Além disso, os dados de medição são analisados para causas especiais de alteração e ações corretivas são tomadas para endereçar as variações observadas e os limites de controle são reestabelecidos (se necessário) de acordo com ações corretivas predefinidas. • Nível 5 – Processo otimizado: o processo previsível anteriormente descrito é continuamente melhorado para atender aos objetivos corporativos. Possui os seguintes atributos: — PA5.1 – Inovação de processo (Process Innovation): busca aferir se mudanças para o processo são identificadas através de análises de causas comuns de variação no desempenho e da investigação de abordagens inovadoras para a definição e implementação do procedimento. Gera como produtos a identificação dos objetivos de melhoria e a definição de acordo com os objetivos de negócio, dados apropriados analisados para a identificação de causas comuns às variações do processo e dados apropriados analisados para identificar oportunidades para melhores práticas e inovação. Também se incluem as oportunidades de melhorias derivadas de novas tecnologias e conceitos de método identificado e uma estratégia de implementação estabelecida para atingimento dos objetivos de melhoria. — PA5.2 – Otimização de processo (Process Optimization): este atributo busca ponderar se mudanças em definições, gerenciamento e desempenho do processo causaram impactos efetivos no atingimento do objetivo de melhorias. Para tal, são geradas as informações dos impactos de todas as modificações propostas avaliadas frente aos objetivos do processo definido e padrão; a implementação de todas as transformações acordadas é gerenciada para garantir que qualquer interrupção no desempenho do processo seja entendida e corrigida. Com base no desempenho atual, a eficácia da mudança no processo é avaliada em função dos requisitos de produtos definidos e objetivos de processo para determinar se os resultados são devidos às causas identificadas. 85 Re visã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI Observação Cada nível de capacidade só pode ser alcançado quando o nível anterior for plenamente atingido. Resumo Nesta unidade analisamos todos os processos do modelo COBIT 5. Foi estudado cada procedimento que consta dentro de cada método macro de gestão e governança. Foram analisados e interpretados o processo APO – alinhar, planejar e organizar; BASE – construir, adquirir e implementar; e MEA – monitorar, avaliar e medir.
Compartilhar