Baixe o app para aproveitar ainda mais
Prévia do material em texto
NESTA AULA w Aspectos gerais do framework COqBIT w Princípios do COBIT w Modelo de Referência de Processos do COBIT w Implementação da Governança de TI com o COBIT w Avaliação da Capacidade dos Processos w Planejamento Estratégico e Melhoria Contínua METAS DE COMPREENSÃO w Compreender o framework COBIT w Compreender os princípios do COBIT e como eles são aplicados na implementação de uma Governança de TI w Avaliar como as necessidades dos stakeholders são desdobradas em objetivos corporativos, objetivos de TI e como estes são alcançados por meio da governança. w Identificar como o processo de implementação é estruturado em fases, e como a ideia de melhoria contínua é adotada ao longo do modelo COBIT. w Avaliar o grau de capacidade de um processo, com base no modelo proposto pelo COBIT APRESENTAÇÃO Nesta aula, esperamos que você compreenda como uma orga- nização pode mensurar seus processos e otimizá-los, num ciclo de melhoria contínua, de modo a amadurecer cada vez mais no que concerne à Governança. Para isso, apresentaremos à você o framework de Governança COBIT (Control Objectives for Informa- tion and Related Technologies), amplamente adotado por organi- zações. Abordaremos seus princípios e a forma como uma orga- nização pode utilizá-lo para a sua iniciativa de Governança de TI. Discutiremos, também, como as necessidades das partes envol- vidas são desmembradas em objetivos da organização e estes em objetivos de TI, para os quais verificaremos a forma de con- trole sugerida pelo COBIT para garantir os resultados esperados, otimizando riscos e recursos envolvidos. AULA 2 GOVERNANÇA DE TI COM O COBIT Governança da Tecnologia da Informação46 ASPECTOS GERAIS DO FRAMEWORK COBIT Sabemos que é essencial para o desenvolvimento de uma organi- zação que a TI esteja alinhada com as expectativas do negócio. To- davia, esta não é uma tarefa rudimentar. Até porque sabemos que a TI pode executar diferentes tarefas em uma organização e nem sempre há uma fórmula para o sucesso na implementação da Go- vernança de TI. Quando pensamos em implementar a Governança de TI em uma organização, passamos a buscar experiências de implementação, na tentativa de conhecer ‘como’ fazer. Em uma simples pesquisa na Internet, vamos encontrar o que as pessoas chamam de “Melhores Práticas” ou “Boas Práticas”. Há “melhor prática” para quase tudo em tecnologia da informação e vamos conhecer várias delas ao longo dos estudos desta unidade curricular. Mas compreenda uma coisa: o termo “melhor prática” não pode ser entendido como a melhor forma de fazer uma determinada tarefa. Nós temos que pensar em “melho- res práticas” como aquelas que se referem a procedimentos padroni- zados que foram incorporados em sistemas organizacionais. Estas práticas nem sempre representam a melhor forma de fazer algo, mas a forma daqueles que tiveram suas práticas sistematizadas primeiro. Compreendeu? Não pense que por ser uma “melhor prática” ela é uma verdade absoluta. O que normalmente vamos encontrar nas “melhores práticas” de Governança de TI?. Para responder a tal questão, vamos conhecer o conceito de framework. Pense que um framework é uma infraestrutura de controle para a TI. O conjunto de boas práticas é consolidado por meio de um framework. Esta estrutura de controle visa permitir o alinhamento entre a TI e os requisitos de negócio, mensurando o desempenho da TI de maneira transparente, além de organizar as atividades em um modelo de pro- cessos. Como uma infraestrutura de controle, ela nos permitirá identi- ficar os principais recursos de TI a serem gerenciados, definindo quais objetivos de controle serão considerados. Uma “melhor prática” não Estrutura de conhe- cimento que agrega um conjunto de conceitos ou ideias, práticas ou soluções, de forma coerente, se constitui num suporte ou base de conhecimento para o estabelecimento de processos com obje- tivo de realização. Framework Aula 2: Governança de TI com o COBIT 4747 seria bem aceita no mundo dos negócios se ela não entregasse valor, correto? Exato! Logo, tal framework terá foco na entrega de valor, geren- ciando os riscos envolvidos. Uau! Quanta responsabilidade para um framework! Há diversos fra- meworks que podem atuar para atingir tais objetivos, mas há um em específico que recebe certa notoriedade: estamos falando do frame- work COBIT. COBIT é o acrônimo para Objetivos de Controle para Infor- mação e Tecnologia Relacionada ou, em inglês, Control Objectives for Information and Related Technology. Ao longo desta aula vamos conhe- cer em detalhes o COBIT, seus princípios e como uma empresa pode fazer uso do mesmo para implantar a Governança de TI. Para Albertin e Albertin (2010), o COBIT é constituído de estruturas de processos e relacionamentos para conduzir e controlar empresas a fim de atingir suas metas e propósitos, somando valores e anali- sando riscos que possam afetar os investimentos de tecnologia da informação. Vamos lá!? VISÃO GERAL DO COBIT O COBIT é um framework que apresenta um modelo com quatro ca- racterísticas fundamentais, que são: Ele é focado no negócio, orientado a processos, baseado em controles e orientado por métricas. Vamos conhecer um pouco mais sobre estas características. Requisitos de Negócio Processos de TI Informações Empresariais Recursos de TI Cobit Qu e a ten dem ao s direciona aos investimentos em qu e s ão util iza do s p or para fornecer Características fundamentais do COBIT. Governança da Tecnologia da Informação48 pense nisso O COBIT é um modelo de Governança de TI que pode ser utiliza- do para garantir segurança e suprir as deficiências técnicas e even- tuais riscos nos processos das empresas. O ponto mais importan- te deste uso é alinhar, de uma maneira harmoniosa, a TI com toda a empresa. Como fazer isto com o menor impacto à organização e, principalmente, ao setor de TI? Dizer que o COBIT é focado no negócio significa que este modelo observa a área de tecnologia da informação sob a ótica do negócio. Como assim?! O COBIT tenta enxergar os requisitos do negócio e tra- duzi-los para a tecnologia da informação. Por ter esta visão, em todos os processos do COBIT há uma ligação entre as metas da organização e as metas da TI, buscando sempre alinhar ambas as áreas. O COBIT, então, irá apresentar métricas focadas no negócio. Se há um foco no negócio, o objetivo do COBIT será realizar uma entrega de valor e não na excelência técnica. O que o COBIT propõe é gerenciar e controlar os recursos de TI, para garantir a entrega dos serviços de TI requeridos. Um exemplo de um serviço de TI requerido pelo negócio é fornecer a informação de que a empresa necessita para atingir as suas metas. Você sabe me dizer a quem o COBIT se refere quando cita “recursos de TI”? Esta é uma definição muito importante, que precisamos ter em mente quando fazemos a leitura do COBIT. Quando falamos de recur- sos de TI, estamos nos referindo a pessoas (habilidades, conhecimen- tos, índices de produtividade, etc.) e infraestrutura (hardware, sistemas operacionais, bancos de dados, redes, etc.) para executar aplicações automatizadas e procedimentos manuais que manipulam e proces- sam as informações de negócio (Fernandes e Abreu, 2012). O fato de ser orientado a processos, faz com que o COBIT organize as atividades de tecnologia da informação em processos, na busca por facilitar seu gerenciamento. Sendo orientado a processos, como estes processos são geridos? A resposta consiste no fato do COBIT ser baseado em controles. Isto significa que para cada processo de tecnologia da informação há objetivos de controle bem definidos. Tais controles nos indicam que Aula 2: Governança de TI com o COBIT 4949 pode ser feito em cada processo. O que vem a ser um controle? Cha- mamos de controle o conjunto de políticas, procedimentos, práticas e estruturas organizacionais desenvolvidos para dar uma garantia de que os objetivosde negócio serão atingidos e de que eventos indesejá- veis serão prevenidos ou mesmos detectados e corrigidos. Um pouco mais adiante nesta aula, vamos apresentar mais detalhes sobre os processos do COBIT. Cada processo terá, além de sua descri- ção, os objetivos de controle, os quais definem um resultado desejado ou propósito a ser atingido com a implementação de procedimentos de controle em uma atividade TI.. Na versão mais recente do COBIT, versão 5, os objetivos de controle são denominados práticas-chave. palavra de autor Segundo os princípios do ITGI, as informações corporativas e a tecnologia neces- sária para suportá-las não podem ser tratadas isoladamente, devendo a TI ser consi- derada uma parte integrante da estratégia corporativa, em vez de simplesmente um meio para torna-la viável. A própria definição de “Governança de TI”, presente na ver- são 4.1 do CobiT, ilustra a importância da TI dentro da organização: responsabilidade da alta direção (incluindo diretores e executivos), consiste na liderança, nas estruturas organizacionais e nos processos que garantem que a tecnologia da informação da em- presa sustente e estenda as estratégias e objetivos da organização. O principal objetivo das práticas do CobiT é contribuir para o sucesso da entrega de produtos e serviços de TI a partir da perspectiva das necessidades do negócio, com um foco mais acentuado no controle que a execução. De acordo com o ITGI, neste sentido, o CobiT: u Estabelece relacionamentos com os requisitos de negócio. u Organiza as atividades de TI em um modelo de processos genérico. u Identifica os principais recursos de TI, nos quais deve haver mais investimento. u Define os objetivos de controle que devem ser considerados para a gestão. O modelo do COBIT é genérico o bastante para representar todos os processos normalmente encontrado nas funções de TI e compreensível tanto para a operação como para os gerentes de negócio, pois cria uma ponte entre o que o pessoal opera- cional precisa executar a visão que os executivos desejam ter para “governar”. (FER- NANDES E ABREU, 2012, pg. 211). Se queremos gerenciar algo, temos que saber como mensurar seu desempenho, correto? O fato do COBIT ser orientado por métricas in- Instituto de Gover- nança de TI, criado pela a ISACA, com foco em realizar pes- quisas na área de governança de TI e temas relacionados. O ITGI desenvolve ações para auxiliar líderes a compreen- der a importância do alinhamento entre os objetivos organiza- cionais e os objeti- vos de TI. ITGI Governança da Tecnologia da Informação50 dica que ele irá fornecer um conjunto de indicadores que nos permitirá mensurar o desempenho das atividades, dos processos e o desempe- nho da TI como um todo. Definir o nível de profundidade da medição e o que deve ser mensurado é um grande desafio para as organizações. O COBIT vai nos trazer um modelo de capacidade para cada processo de TI, o qual iremos conhecer ainda nesta aula. Legal o COBIT, não é mesmo? Ele está muito alinhado ao que aborda- mos na aula anterior, e pode facilitar consideravelmente a implementação da Governança de TI. Vamos agora conhecer um pouco de seu histórico. O COBIT foi desenvolvido em 1994 pela ISACF (Information Systems Audit and Control Foundation), um órgão da ISACA (Information Sys- tems Audit and Control). Desde então o COBIT vem evoluindo através da incorporação de padrões internacionais técnicos, profissionais, re- gulatórios e específicos para processos de TI. No ano 2000, a ISACA lançou a terceira versão com a inclusão de orientações para a gestão de TI. No ano de 2005, com o COBIT 4.0, o modelo virou um framework de governança de TI, incluindo processos de governança e conformidade. A Tabela 1 apresenta a evolução do COBIT desde a sua criação até a sua versão mais atual, COBIT 5, e qual foi o foco de cada versão. Conforme podemos observar, o COBIT evoluiu de um framework de auditoria para um framework de governança empresarial de TI. Na versão 5, o COBIT é um framework de negócio completo para a go- vernança e gerenciamento de TI. Nesta versão, COBIT não é apenas um acrônimo, mas torna-se uma marca consolidada no mercado de Governança de TI. Tabela 1: Histórico de Versões do COBIT Neste contexto, refe- rem-se a indicadores de desempenho de processo, tam- bém chamados KPI (Key Performance Indicator), os quais objetivam mensurar o desempenho das tarefas e determinar se a organização tem sido efetiva em seus objetivos. Indicadores Fundação de Con- trole e Auditoria de sistemas de Informa- ção, ligada à ISACA. ISACF Associação de Au- ditoria e Controle de Sistemas de In- formação. Trata-se de uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das ati- vidades de auditoria e controle em siste- mas de informação. ISACA Aula 2: Governança de TI com o COBIT 5151 Nesta aula vamos conhecer em detalhes o COBIT 5. Nesta versão, o modelo apresenta 37 processos (na versão anterior, 4.1, o COBIT pos- suía 34 processos) e a sua estrutura está baseada em cinco princípios de governança e gerenciamento de TI. Vamos agora conhecer os prin- cípios do COBIT. saiba mais A ISACA disponibiliza o documento prin- cipal do COBIT 5 – Modelo Corporativo para a Governança e Gestão de TI da Organização, em português, gratuitamente, a partir de seu site: http://www.isaca.org/COBIT/Pages/COBI- T-5-portuguese.aspx PRINCÍPIOS DO COBIT O COBIT 5, como um modelo de Governança de TI, inicia estabelecendo um conjunto de princípios que irão nortear as suas práticas e recomen- dações. São eles: u Satisfazer as necessidades das partes interessadas u Cobrir a Organização Ponta a Ponta. u Aplicar um framework integrado único. u Possibilitar uma visão holística. u Separar Governança de Gerenciamento. A ideia é que, com base nestes princípios, uma organização possa implantar a Governança de TI de forma integrada, permitindo assim o gerenciamento eficiente de investimentos em recursos de tecnologia da informação. Governança da Tecnologia da Informação52 Princípios-chave para a governança e oi gerenciamento da TI estabelecidos no COBIT 5. Agora vamos conhecer em detalhes cada princípio apresentado pelo modelo COBIT. SATISFAZER AS NECESSIDADES DAS PARTES INTERESSADAS O que os principais stakeholders de uma organização desejam quan- do da gestão da mesma? Bom, alguns desejos são comuns, tais como: reduzir riscos e custos, aumentar as receitas, maximizar a produtivida- de, etc. Ou seja, há sempre uma necessidade de que a empresa gere va- lor para as partes interessadas. Logo, a governança de uma empresa é moldada pelo atendimento das necessidades das partes interessadas. Aula 2: Governança de TI com o COBIT 5353 Precisamos ter em mente que as organizações existem para criar valor para as partes interessadas. Ora, a governança de qualquer orga- nização existe para criar valor para alguém ou para um grupo de pes- soas. O COBIT traz este conceito como um princípio. O framework in- clusive nos apresentar o conceito de valor. Valor representa benefícios a um custo ideal e com riscos otimizados. Tá, mas quais benefícios?... existem diversos, os mais comuns são os benefícios financeiros (lucro, por exemplo), serviços prestados, produtos desenvolvidos, etc. Para cada decisão de governança empresarial, devem ser respondidas as seguintes perguntas: “Quem irá receber os benefícios”, “Quem assumi- rá os riscos”, “Quais são os recursos necessários”. você sabia? Para o COBIT a criação de valor consiste na obtenção de bene- fícios, por meio da otimização do uso dos recursos e dos riscos a um nível aceitável. Governança da Tecnologia da Informação54 O que o COBIT nos propõe é que precisamos nos concentrar em gerar valor para as partes interessadas, criando benefícios, mas sem deixar de otimizar riscos e recursos. Para isto, o modelo propõe o con- ceito de Cascata de Objetivos. A cascatade objetivos do COBIT é um mecanismo utilizado para traduzir as necessidades das partes interes- sadas em metas empresariais, metas de TI e metas de habilitadores. Cascata de Objetivos do COBIT Fonte: Adaptado de (ISACA, 2012, pg. 20) O que são os habilitadores? Bom, habilitadores é o nome dado pelo COBIT para os elementos (tangíveis e intangíveis) usados na governan- ça e no gerenciamento de TI. Podemos dizer que, para o COBIT 5, um habilitador é um fator de in- fluencia que, individual e/ou coletivamente, define se algo vai funcionar. O COBIT 5 descreve sete categorias de habilitadores, conforme apre- sentado a seguir: Aula 2: Governança de TI com o COBIT 5555 u Princípios, Políticas e Modelos são veículos para a tradução do comportamento desejado com orientações práticas para a ges- tão diária. u Processos descrevem um conjunto organizado de práticas e ati- vidades para o atingimento de determinados objetivos e produ- zem um conjunto de resultados em apoio ao atingindo geral dos objetivos de TI. u Estruturas Organizacionais são as principais entidades de tomada de decisão de uma organização. u Cultura, Ética e Comportamento das pessoas e da organização são muitas vezes subestimados como um fator de sucesso nas atividades de governança e gestão u Informação permeia qualquer organização e inclui todas as in- formações produzidas e usadas pela organização. A informação é necessária para manter a organização em funcionamento e bem governada, mas no nível operacional, a informação por si só é muitas vezes o principal produto da organização. u Serviços, Infraestrutura e Aplicativos incluem a infraestrutura, a tecnologia e os aplicativos que fornecem à organização o pro- cessamento e os serviços de tecnologia da informação. u Pessoas, Habilidades e Competências estão associadas às pessoas e são necessárias para a conclusão bem-sucedida de todas as atividades bem como para a tomada de decisões corre- tas e tomada de decisões corretivas”. (ISACA, 2012, pg. 30) Começamos a cascata de objetivos com os “direcionadores das partes interessadas”. Estes direcionadores são elementos que vão in- fluenciar as necessidades dos stakeholders. Por exemplo: mudanças na estratégia, o ambiente de negócio, novos regulamentos, novas tec- nologias, etc. Tendo estas necessidades definidas, o COBIT visa reali- zar os benefícios, otimizando riscos e recursos. Para isto, o COBIT vai propor o desdobramento das necessidades das partes interessadas em objetivos corporativos genéricos, fazendo uso de técnicas tais como o Balanced Scorecard (BSC) como apoio. Os objetivos corporativos genéricos são desdobrados em objetivos re- lacionados a TI, por meio de um BSC de TI, por exemplo. Governança da Tecnologia da Informação56 palavra de autor A técnica de Balanced Scorecard (BSC) possibilita a definição e a utilização de indicadores de desempenho vinculados às estraté- gicas de negócios corporativos. O BSC foi criado para entender como as organizações criam valor na era da informação, medindo o desempenho sob quatro diferentes perspectivas: financeira, clientes, processos internos, aprendizados e crescimento. Enquanto as perspectivas financei- ras e de mercado explicitam o resultado desejado da aplicação da estratégia, a perspectiva de processos internos busca como tornar isso possível, por meio de processos críticos que têm maior impac- to sobre a estratégia. A perspectiva de aprendizado e crescimento foca ativos intangíveis, os quais devem suportar a atividade de criação de valor: capital humano (atividades), capital informacional (sistemas) e capital organizacional (clima e cultura). Alinhar atividades e objetivos nestas quatro perspectivas é a chave para a criação de valor. (OLIVEIRA, 2006, pg. 5) Por fim, os objetivos de TI são convertidos em objetivos para os ha- bilitadores. Os habilitadores possuem grande influência no sucesso da governança e do gerenciamento da TI. No COBIT 5, cada habilitador é descrito em termos de suas partes interessadas, de suas metas, de seu ciclo de vida e de boas práticas a ele aplicáveis. leitura indicada Faça a leitura do Apêndice G – “Descrição Detalhada dos Habilita- dores do COBIT 5”, do documento COBIT 5 – Modelo Corporativo para a Governança e Gestão de TI da Organização, para conhecer como um habilitador é descrito neste modelo, suas partes interessadas, suas metas, seu ciclo de vida, além de verificar um conjunto de boas práticas sugeridas. O documento pode ser obtido após registro no site da ISACA, pelo en- dereço: http://www.isaca.org/COBIT/Pages/COBIT-5-portuguese.aspx Aula 2: Governança de TI com o COBIT 5757 Para que possamos compreender como fazer uso da Cascata de Objetivos do COBIT, vamos estudar um exemplo fornecido pelo próprio COBIT, disponível em (ISACA, 2012, pg. 22). E s t u d o d E C a s o Imagine que uma determinada organização define um conjunto de objetivos estratégicos. Destes objetivos estratégicos, ela considera que o objetivo de melhorar a satisfação do cliente é o mais importante. Logo, há alguma necessidade das partes envolvidas que levou ao des- dobramento dos objetivos estratégicos, criando este objetivo. A partir deste ponto, a organização necessita conhecer o que preci- sa ser melhorado em todos os aspectos relativos ao cliente. Fazendo uso da cascata de objetivos, a organização deseja mapear como estes objetivos estratégicos serão desdobrados em objetivos de TI, e quais metas para cada habilitador deverão ter atingidas. Bom, vamos lá então!. Primeiro passo: dado o objetivo estratégico “melhorar a satisfação do cliente”, a organização necessita saber quais objetivos corporativos deverão ser estabelecidos. O COBIT nos traz as melhores práticas, correto? Então, é de se esperar que ele apresente algumas recomendações. Para descobrir quais são os objetivos corporativos, o COBIT disponi- biliza em seu manual oficial a Tabela de Objetivos Corporativos, a qual apresenta os objetivos corporativos do COBIT 5 sob a ótica da técnica de BSC, e a relação destes objetivos com a governança para a criação de valor (realização de benefícios, otimização de riscos, otimização de recursos). Governança da Tecnologia da Informação58 Objetivos Corporativos do COBIT 5 Fonte: (ISACA, 2012, pg. 21) Nesta tabela, a relação dos objetivos corporativos com os objetivos da governança é identificada por duas letras: P e S. “P” significa primá- rio, e indica que há uma relação direta importante entre o objetivo cor- porativo e o objetivo da governança. “S”, por sua vez, significa secundá- rio, representando uma relação ainda forte, mas de caráter secundário. Com base na análise da tabela de objetivos corporativos, a organiza- ção define que os seguintes objetivos corporativos deverão ser atendidos: u 6 – Cultura de serviço Orientada ao Cliente u 7 – Continuidade e disponibilidade do serviço ao negócio u 8 – Respostas rápidas para um ambiente de negócios em mu- dança Uma vez estabelecido os três objetivos corporativos, a organização pode fazer uso da tabela de Objetivos de TI para determinar os objetivos da tecnologia da informação que serão atendidos (selecionando os ob- jetivos que de TI que estão com relação identificada como primária – P). Aula 2: Governança de TI com o COBIT 5959 Mapeamento dos objetivos corporativos do COBIT 5 em Objetivos de TI Fonte: (ISACA, 2012, pg. 52) Logo, os objetivos de TI selecionados serão: u 01 – Alinhamento da estratégia de TI e de negócios u 04 – Gestão do risco organizacional de TI Governança da Tecnologia da Informação60 u 07 – Prestação de serviços de TI em consonância com os requi- sitos de negócio u 09 – Agilidade de TI u 10 – Segurança da informação, infraestrutura de processamen- to e aplicativos u 11 – Disponibilidade de informações úteis e confiáveis para a tomada de decisão u 17 – Conhecimento, expertise e iniciativas para inovação dos ne- gócios. Ótimo! Percebeu o que foi feito? A Organização tinha objetivos estra-tégicos definidos a partir das necessidades de seus stakeholders. Es- tes objetivos foram desdobrados em objetivos corporativos, os quais foram desdobrados em objetivos de TI. Vamos agora considerar que a organização validou tal lista de obje- tivos de TI e decidiu que os quatro primeiros objetivos (01, 04, 07 e 09) serão considerados prioridade. Qual o próximo passo? De acordo com a cascata de objetivos, os objetivos de TI são desdobrados em objeti- vos de habilitadores. Estes habilitadores, como vimos, podem ser desde processos até cultura organizacional. Por exemplo, com base no apêndice C do ma- nual do COBIT (ISACA, 2012), será possível extrair quais processos do COBIT 5 (um dos sete tipos de habilitadores) irão apoiar os objetivos de TI, como, por exemplo: para o objetivo de TI de Segurança da In- formação, infraestrutura de processamento e aplicativos”, o COBIT 5 apresenta como processos com relação primária: u Garantir a otimização do risco; u Gerenciar Riscos; u Gerenciar Segurança u Gerenciar mudanças; u Gerenciar Serviços de Segurança. Obviamente a organização não pode focar apenas em desenvolver os habilitadores de processo, mas também os demais habilitadores, tais como cultura, comportamento e técnica; modelos organizacionais ou habilidades e expertise são igualmente importantes e requerem um conjunto de objetivos bem definidos. Ao final deste exercício, a organização terá um conjunto de metas para todos os habilitadores que permitirão que ela alcance os objetivos Aula 2: Governança de TI com o COBIT 6161 estratégicos estabelecidos, além de um conjunto de indicadores para medir o desempenho. pense nisso O princípio “Satisfazer as necessidades das partes interessa- das” está intimamente relacionado ao conceito de alinhamento es- tratégico entre TI e o negócio. COBRIR A ORGANIZAÇÃO DE PONTA A PONTA Para o COBIT, a implementação da governança e gestão da tecnologia da informação deve abranger a organização de ponta a ponta. Mas o que isso significa? Segundo o manual oficial (ISACA, 2012, pg. 25), o COBIT integra a governança corporativa de TI dentro da governança corporati- va da organização, cobrindo todas as funções e processos necessários para regular e controlar as informações da organização e tecnologias correlatas onde quer que estas informações possam ser processadas. O COBIT, então, não foca apenas nas funções de TI, mas trata a in- formação e as tecnologias relacionadas como ativos. E, como vimos na aula anterior, todo ativo precisa ser protegido e alvo de investimento. Quando o COBIT propõe um conjunto de habilitadores, compreenda que estes habilitadores não são apenas para a TI. Eles são para a toda a organização, aplicáveis a todas as pessoas e coisas, sejam elas inter- nas ou externas. A mensagem mais importante deste princípio do COBIT é que os gestores de negócio têm a responsabilidade de tratar a TI como um ativo estratégico, gerenciando tal ativo assim como eles gerenciam os demais ativos organizacionais. pense nisso O COBIT 5 não foca apenas no departamento de TI. Neste mo- delo, TI é um ativo estratégico que tem que ser gerenciado por to- dos os gestores de negócio da organização. Governança da Tecnologia da Informação62 Como vimos, no modelo COBIT o objetivo da governança é criar va- lor por meio da realização de benefícios e da otimização de riscos e de recursos. Como ele faz isso? Vimos que com uso da cascata de obje- tivos, os objetivos estratégicos são transformados em habilitadores. Para que a governança cubra a organização de ponta a ponta, o CO- BIT nos traz o conceito de sistema de governança. O que o COBIT quer dizer com escopo da governança? Embora o escopo do COBIT 5 seja toda a organização, o COBIT reconhece que a governança pode ser a aplicada a toda organização, a um ativo tangível ou ainda a um ativo intangível. Dessa forma, organizações de diferen- tes portes podem fazer uso do COBIT seja para a organização como um todo, ou parte dela apenas. Além disso, o COBIT nos apresenta “Funções, Atividades e Relacio- namentos”, definindo quem está envolvido com a governança, como estão envolvidos, o que fazem e como interagem dentro do escopo da governança. Para o COBIT, as partes interessadas delegam para o con- selho de administração da organização a definição de orientações para as atividades de gestão do corpo diretivo. O corpo diretivo, por sua vez, instrui e alinha as operações de TI da organização. A parte operacional da organização, representada pelos executores, reportam os resulta- dos de suas atividades para o corpo diretivo, o qual é monitorado pelo conselho de administração, na busca por prestar contas do desempe- nho da organização para as partes interessadas. Principais funções, atividades e relacionamentos definidos no COBIT Fonte: (ISACA, 2012, pg. 26) APLICAR UM FRAMEWORK ÚNICO E INTEGRADO O COBIT, em sua versão 5, buscou se estruturar de modo a integrar todos os conhecimentos anteriormente apresentados em outros docu- mentos da ISACA: COBIT 4.1, Val IT (valor de TI para o negócio), Risk Aula 2: Governança de TI com o COBIT 6363 IT (risco relacionado ao uso de TI), The Business Model for Information Security - BMIS (segurança). saiba mais Embora o COBIT 5 tenha incorporado o Val IT, Risk IT e BMIS em seu modelo, é importante conhecer o que cada um representa no mundo da governança de tecnologia da informação: O Val IT é um framework, definido pelo IT Governance Institute (ITGI), com o objetivo de auxiliar a gerencia a assegurar que as orga- nizações obtenham o máximo retorno dos investimentos de TI para suporte ao negócio, a um custo razoável e com um nível de risco conhecido e aceitável (Fernandes e Abreu, 2012). O Risk IT é um framework desenvolvido pela ISACA como parte da iniciativa de riscos de TI, de modo a auxiliar no gerenciamento de riscos relacionados a TI. Um de seus objetivos é entender como responder aos riscos, tomando decisões bem informadas sobre a extensão dos riscos, assim como sobre a tolerância e o apetite por riscos da organização (Fernandes e Abreu, 2012). O BMIS, por sua vez, propõe uma abordagem holística e orien- tada para o negócio para gerenciar a segurança da informação e uma linguagem comum para a segurança da informação e gestão de negócios para falar sobre proteção de informação (ISACA, 2012). A proposta da ISACA para o COBIT 5 foi fazer deste um integrador de frameworks de governança e de gestão, alinhando-o com os mais atuais e relevantes padrões e frameworks utilizados. Este foi um bom passo dado pela ISACA já que, em virtude dos múltiplos frameworks e modelos de governança existentes, a tarefa de escolher qual modelo será adotado para a implementação da governança não é trivial. Neste ponto, como um integrador de frameworks, o COBIT 5 foi di- vidido em uma família de produtos. O próprio framework do COBIT é um dos produtos. Outro produto é o guia de habilitadores do COBIT 5, o qual detalha e discute os habilitadores de governança e gestão. Há também guias profissionais do COBIT, focados em: implementação, Segurança da Informação, Garantia, Risco, etc. Governança da Tecnologia da Informação64 você sabia? Como o COBIT 5 foi dividido em uma família de produtos, al- guns produtos são pagos. O produto principal, o qual explica o fra- mework é gratuito. Já a parte dos habilitadores, assim como o guia de implementação do COBIT são pagos. POSSIBILITAR UMA VISÃO HOLÍSTICA Para o COBIT, diversos habilitadores, quando aplicados individual ou coletivamente, influenciam para que algo funcione na governança e no gerenciamento de TI. Dessa forma, a organização não pode enxergar um habilitador como um elemento isolado. Cada habilitador necessita das informações dos demais habilitadores para ser plenamente efeti- vo. Por exemplo: habitador de processos precisam de informações, as quais constituem outro habilitador. Um determinado habilitador produzirá benefícios para outro habili- tador, por exemplo,o habilitador de “pessoas, habilidades e competên- cias” irá beneficiar o habilitador de “processos”, tornando os processos mais eficientes. Ou seja, a ideia de definir habilitadores do COBIT e fazer com que es- tes tenham um relacionamento entre si, permite uma visão holística da Governança de TI. Cada habilitador do COBIT é muito bem detalhado nos documentos oficiais do documento. Dimensões dos habilitadores Compreender os fe- nômenos na sua to- talidade e globalida- de. A palavra vem de holos, que em grego significa “todo” ou “ inteiro”. Na área de governança, dizemos que a visão holística é a visão global de uma organização, de todos os seus ele- mentos, estratégias e atividades. Holística Aula 2: Governança de TI com o COBIT 6565 Para cada habilitador, você conseguirá um conjunto básico de infor- mações, denominadas dimensões. O COBIT criou as dimensões como uma maneira simples e estruturada para tratar dos habilitadores. As dimensões dos habilitadores são: u Partes interessadas: cada habilitador possui partes interessa- das, as quais ou executam um papel ativo neste habilitador ou possuem interesse na execução do mesmo. Por exemplo, pro- cessos organizacionais possuem diversas partes interessadas (quem executa e quem aguarda a execução, por exemplo); u Metas: o COBIT estabelece uma série de objetivos para cada ha- bilitador, de modo que a realização destes objetivos cria valor à organização. As metas são o último passo no desdobramento de objetivos que vimos na cascata de objetivos; u Ciclo de vida: cada habilitador tem um ciclo de vida, desde a sua criação, passando pela fase operacional até o seu descarte; u Boas práticas: para cada habilitador, o COBIT define algumas boas práticas que podem ser adotadas. Tais práticas auxiliam na realização dos objetivos do habilitador. você sabia? O Manual do COBIT 5 apresenta diversos exemplos para facili- tar a compreensão do modelo. Por exemplo, para compreender o princípio da visão holística, o manual nos traz o seguinte exemplo de interdependência entre os habilitadores (ISACA, 2012, pg. 30): - A necessidade de segurança da informação exige a criação e adoção de diversas políticas e procedimentos. Essas políticas, por sua vez, exigem a implementação de diversas práticas de seguran- ça. No entanto, se a cultura e a ética da organização e das pessoas não forem apropriadas, os processos e os procedimentos de segu- rança das informações não serão efetivos. Considere, por exemplo, o habilitador “processos” do COBIT. Como seriam as suas dimensões? Podemos dizer que as partes interessadas deste habilitador são os atores do processo, ou seja, todas as partes responsáveis, consultas ou informadas (podemos fazer uso da tabela RACI para isto). E as metas? Para cada processo do COBIT haverá um RACI é uma ferra- menta utilizada para atribuição de respon- sabilidades, dentro de um processo ou projeto. Por meio da RACI, identificamos para cada tarefa quem é o respon- sável (R) por execu- ta-la, a pessoa res- ponsável por tomar decisões (A), quem deve ser consultado e participar da deci- são ou atividade no momento da execu- ção (C) e quem deve ser informado (I) quando a execução da atividade for con- cluída. RACI Governança da Tecnologia da Informação66 conjunto de metas que podem ser utilizadas. Podemos usar a meta existência de bons relacionamentos entre a organização a área de TI”. Toda meta vem associada com uma métrica, até porque só assim con- seguiremos saber se a meta está sendo cumprida ou não. Uma métri- ca para meta que definimos pode ser a classificação dos usuários em uma pesquisa de satisfação sobre a TI. E o ciclo de vida?. Bom, cada processo tem um ciclo de vida. Nós po- demos definir um ciclo de vida básico formado pelas atividades: definir responsabilidades, desmembrar o processo em práticas e atividades, definir os produtos de trabalho do processo (entradas e saídas), etc. Uma vez estabelecidas estas dimensões, vamos para a última dimen- são, a de “boas práticas”. O COBIT vai estabelecer como boas práticas como, por exemplo, o uso de tabelas RACI para a descrição das fun- ções e responsabilidades. SEPARAR GOVERNANÇA DO GERENCIAMENTO O COBIT, em sua versão 5, nos apresenta uma clara distinção entre as disciplinas de governança e de gerenciamento (gestão). A governança vai, então, assegurar que os objetivos de negócio da organização sejam realizados, avaliando as necessidades dos stakehol- ders, definindo prioridades, tomada de decisões, além de monitorar o desempenho, conformidade e progresso em relação aos objetivos. A governança é de responsabilidade do corpo diretivo da instituição. Já o gerenciamento, por sua vez, planeja, constrói executa e monito- ra as atividades, alinhadas com a direção estabelecida pela equipe de governança. O gerenciamento é de responsabilidade da gerência exe- cutiva da organização, normalmente representado na figura do CEO. Essa distinção entre tais disciplinas acompanha o modelo do CO- BIT como um todo. Você irá encontrar ao longo do modelo duas áreas principais de processos: processos de governança e processos de gerenciamento. Os processos de governança vão focar no atendimen- to das necessidades das partes interessadas, enquanto que os pro- cessos de gerenciamento vão focar na utilização eficiente de diversos meios (recursos, pessoas, processos, práticas, etc.) para alcançar um objetivo específico. Esta é uma sigla inglesa para Chief Executive Officer. Em português signi- fica Diretor Executi- vo da organização. Normalmente um CEO é a pessoa responsável pelas estratégias e pela visão da empresa. CEO Aula 2: Governança de TI com o COBIT 6767 MODELO DE REFERÊNCIA DE PROCESSO DO COBIT O modelo COBIT defende que as organizações implementem pro- cessos de governança e gestão, de modo a que as principais áreas da organização sejam cobertas. Uma vez que o COBIT divide a implemen- tação de seus processos em duas disciplinas, governança e gestão (ou gerenciamento), ele nos apresenta um modelo de referência de proces- so, o qual define e descreve em detalhes um conjunto de processos de governança e gestão. A ideia da ISACA ao produzir o modelo de referência foi listar os pro- cessos normalmente encontrados nas organizações e que são relacio- nados às atividades de TI. Por que ela fez isto? Simples, para facilitar a compreensão do modelo proposto, principalmente pelos gerentes operacionais de TI. O que este modelo de referência do COBIT nos oferece? A ideia do COBIT é apresentar um modelo operacional, com uma linguagem co- mum para todas as partes da organização que estão envolvidas com atividades de TI. Por meio deste modelo, ficam estabelecidas formas de mensurar e monitorar o desempenho da TI, promovendo assim a con- formidade e garantia da TI, comunicação com provedores de serviço e melhor integração com as práticas da administração (ISACA, 2012). Áreas de Processos definidos no Modelo de Referência de Processo do COBIT 5. Governança da Tecnologia da Informação68 O modelo de referência de processo do COBIT divide os processos de governança e gerenciamento de TI em duas áreas de processos principais (área de governança e área de gestão), de modo a nos apre- sentar um total de 37 processos. Você se recorda que no início desta aula lhe apresentamos o conceito de “melhores práticas”? Estas melhores práticas são reunidas em 05 grandes domínios do COBIT, quais sejam (FERNANDES e ABREU, 2014, pg. 213). Na área de governança, há um único domínio, contendo cinco pro- cessos: u Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor – EDM): neste domínio da área de governança encontraremos cinco pro- cessos, dentro dos quais são definidas práticas de avaliação, direção e monitoração. Na área de gestão, encontraremos quatro domínios, os quais, ao todo, contêm 32 processos: u Alinhar, Planejar e Organizar (Align, Plan and Organise – APO): este domínio contém 13 processos,e diz respeito à identifica- ção de como a tecnologia da informação pode contribuir de forma efetiva com os objetivos corporativos. Vamos encontrar processos relacionados ao alinhamento entre a estratégia da organização e a estratégia da TI, gerenciamento de portfólio de TI, orçamento, qualidade, riscos e segurança; u Construir, Adquirir e Implementar (Build, Acquire and Imple- ment – BAI): neste domínio vamos encontrar 10 processos, os quais vão auxiliar na concretização da estratégia de TI. Neste domínio há processos que tratam do gerenciamento da dispo- nibilidade e capacidade de TI, mudança organizacional, geren- ciamento de mudanças de TI, gerenciamento de ativos, configu- ração e conhecimento; u Entregar, Serviços e Suporte (Deliver, Service and Support – DSS): neste domínio encontraremos 6 processos ligados à entrega dos serviços de TI, os quais são necessários ao aten- dimento dos planos táticos e estratégicos. Há processos para gerenciar operações de TI, requisições de serviços e incidentes, gerenciamento de problemas, etc. u Monitorar, Avaliar e Analisar (Monitor, Evaluate, Assess – MEA): encontraremos três processos que buscam monitorar o desem- penho dos processos de TI, na avaliação da conformidade com os objetivos e com os requisitos externos. Aula 2: Governança de TI com o COBIT 6969 Processos dos domínios do COBIT. (Adaptado Fernandes e Abreu, 2014, pg. 214) palavra de autor Cada um dos 37 processos de TI é descrito através de seus compo- nentes inter-relacionados: u Identificação do processo (código, nome, área chave e domínio). u Descrição do processo. u Propósito geral do processo. u Metas em cascata relacionadas (metas relacionadas à TI suporta- das primariamente e métricas sugeridas para medi-las). u Metas e exemplos de métricas específicas do processo. u Matriz de responsabilidades (modelo RACI), associando os papéis e tarefas. u Descrição detalhada das práticas do processo (para cada prática): • Título e descrição. • Entradas e saídas (com origens e destinos). • Detalhamento das atividades. u Orientações relacionadas, referenciando outros modelos e pa- drões, além de documentação adicional. (FERNANDES e ABREU, 2014, pg. 215) Governança da Tecnologia da Informação70 dica No documento COBIT 5: Enabling Process, encontramos cada um dos 37 processos, os quais serão desdobrados em práticas de governança ou práticas de gestão. Em versões anteriores estas práticas eram chamadas de objetivos de controle. IMPLEMENTAÇÃO DA GOVERNANÇA DE TI COM O COBIT No documento COBIT 5: Implementation, a ISACA elaborou um guia de implementação do COBIT. Você se recorda de que na primeira aula des- ta unidade curricular nós estudamos o conceito de melhoria contínua? Ele aparece aqui! Como dissemos anteriormente, implantar governança não é algo trivial, mesmo usando um modelo de referência como o CO- BIT. Neste caso, entende-se que a implementação da governança com o COBIT será também com base no princípio da melhoria contínua. Normalmente as pessoas já querem ler o documento de implemen- tação sem compreender os conceitos do COBIT. Eu até entendo a an- siedade e pressa, principalmente quando consideramos o dinamismo do ambiente de TI. Mas já lhe adianto: não vamos encontrar uma re- ceita de como implantar a governança lendo este documento. O que vamos encontrar é um conjunto de boas práticas para evitar os proble- mas mais comuns encontrados, e nos auxiliar na geração dos resulta- dos esperados. O que nos vamos encontrar neste documento oficial é o conjunto de ferramentas de auto avaliação, medição e diagnóstico, artigos relacio- nados, experiências nas mais diversas áreas, etc. Mas, cabe aqui uma pergunta que você pode estar se fazendo: En- tendemos os princípios do COBIT, vimos que pela cascata de objetivos nós desdobramos as necessidades das partes interessadas em obje- Aula 2: Governança de TI com o COBIT 7171 tivos estratégicos e, consequentemente, metas para os habilitadores, que irão auxiliar na obtenção da governança. Mas, como começar a implementação de um COBIT em uma organização? Para responder a isto, entenda uma palavra importante: depende! ... O que quero dizer com isto, é que cada organização precisa desenvol- ver seu próprio plano de implementação, levando em consideração o momento da implementação, o contexto interno e externo da organiza- ção, dentre outros aspectos. Uma das primeiras tarefas é criar um ambiente apropriado para a im- plementação. Para isto, precisamos compreender o contexto em que a Governança de TI será implementada, e que nos fique claro o que espera- mos alcançar com ela. Um dos pontos mais importantes para criar este contexto é obter um bom patrocinador deste processo de mudança. As empresas normalmente formalizam a governança criando um comi- tê diretivo de TI. Este comitê será o responsável pelo uso da TI dentro da or- ganização e tomará as decisões relacionadas a TI que afetam a empresa. leitura indicada Conheça a íntegra do documento, disponível em: https://goo.gl/WcxptK Assim como estabelecer um comitê diretivo, a análise dos pontos de dor e eventos desencadeadores. Os pontos de dor mostram as fra- quezas e/ou fragilidades da organização, e a organização buscará mi- tiga-los com a implementação da governança. Já os eventos desen- cadeadores são aqueles que sinalizam a necessidade de a instituição focar em governança. Um exemplo de ponto de dor é a frustação da organização com iniciativas fracassadas, aumentando os custos de TI e a percepção de baixo valor para o negócio, ou ainda, gastos com TI ocultos e não autorizados. Como exemplo de um desencadeador, podemos citar uma mudança no mercado, uma nova diretoria para a organização, dentre outros (ISACA, 2012). Já abordamos bastante a importância de considerarmos que o pro- cesso de implementação da Governança de TI é um processo de mu- danças. A organização necessita se preparar para mudanças que serão necessárias na área de gestão de pessoas, cultura organizacional, etc. Governança da Tecnologia da Informação72 O COBIT 5 vai propor um ciclo de vida de implementação, como uma sugestão para as organizações lidarem com a complexidade e os desa- fios que serão encontrados ao longo da implementação da governança. Ciclo de Vida de implementação do COBIT 5. Fonte: (adaptado de ISACA, 2012, pg. 39) Aula 2: Governança de TI com o COBIT 7373 saiba mais Uma instituição brasileira que apresenta iniciativas de Governança de TI é o Tribunal de Contas da União (TCU). O TCU estabeleceu, por meio da Portaria TCU n. 22, de 2013, seu comitê diretivo de TI, denomi- nado “Comitê Gestor de Tecnologia da Informação”, ao qual compete: I - coordenar a formulação de propostas de políticas, diretrizes, objetivos e estratégias de Tecnologia da Informação (TI); II - coordenar a elaboração do PDTI e do Plano de Ações de TI e clas- sificar as informações neles contidas; III - aprovar a alocação dos recursos orçamentários destinados à TI; IV - manifestar-se sobre as demandas que tratam do provimento cen- tralizado de soluções de TI de natureza corporativa; V - decidir sobre a classificação de soluções de TI como corporativas ou departamentais; VI - submeter periodicamente à Comissão de Coordenação Geral (CCG) informações consolidadas sobre a situação da governança, da gestão e do uso de TI no âmbito do Tribunal; VII - promover a adequada publicidade e transparência das informa- ções a que se refere o inciso anterior. O ciclo de implementação é formado por três componentes, repre- sentados visualmente como anéis, que são inter-relacionados. O pri- meiro componente é o ciclo de vida de melhoria contínua. Outro com- ponente é a capacitação da mudança, por meio da abordagem dos aspectos comportamentais e culturais. O terceiro ciclo, por sua vez, trata da gestão do programa de implementação da governança. O que o COBIT nos quer dizer com este ciclo? Ele indica que não se implanta a governança sem tratarda mudança cultural e comporta- mental que esta irá impor à organização; e que esta implementação é faseada e baseada no conceito da melhoria contínua. Por falar em fases, o COBIT propõe 7 fases. A primeira fase (quais são os direcionadores?) inicia com o reconhecimento da necessida- de de implementação da governança. É nesta fase que a organização identifica os atuais pontos fracos (pontos de dor) e desencadeadores, criando um desejo de mudança nos níveis de gestão executiva. Governança da Tecnologia da Informação74 A segunda fase do ciclo de vida (onde estamos agora?) foca na defi- nição do escopo da implementação usando a cadeia de objetivos, com a qual iremos mapear os objetivos corporativos do COBIT em objetivos de TI e nos respectivos processos de TI. Na terceira fase (onde queremos estar?) estabelecemos então uma meta a ser atingida no ciclo de melhoria contínua. Neste ponto, o CO- BIT sugere que a organização foque em metas que são mais fáceis de realizar e as susceptíveis de produzir os maiores benefícios, antecipan- do quando possível a entrega de valor. Na quarta fase (o que precisa ser feito?) vamos então planejar solu- ções práticas para atingir a meta definida. Precisamos também definir um plano de mudanças. Na quinta fase (como chegaremos lá?) as so- luções propostas na fase anterior serão implementadas na forma de práticas diárias. Nesta etapa a organização define uma forma de men- surar a execução e como se dará o monitoramento. A sexta fase (já chegamos lá?) foca na operação dos habilitadores novos e no monitoramento da realização dos benefícios esperados. A última fase (como mantemos essa dinâmica?) revisa a execução da ite- ração, identificando necessidades de melhorias. Ao término, uma nova iteração do ciclo de vida é iniciada. AVALIAÇÃO DA CAPACIDADE DOS PROCESSOS Em versões anteriores ao COBIT, os processos eram avaliados com base em um modelo de maturidade. Em sua versão 5, o COBIT adota um modelo de capacidade de processos. Você se recorda que um dos princípios do COBIT 5 é “Aplicar um framework único e integrado”? De acordo com este princípio, o COBIT tornou-se alinhado ao padrão de Avaliação de Processo – Engenharia de Software estabelecido na ISO/ IEC 15504, o qual é reconhecido internacionalmente. Recorde-se de que “processo” é apenas um dos sete habilitadores do COBIT, então, para avaliar a governança de uma instituição deve-se ado- tar uma abordagem holística, observando os outros habilitadores, ok? O foco nesta seção será conhecer como o COBIT classifica os pro- cessos em graus de capacidade. Nós fazemos uso deste modelo de capacidade para medir o ‘estado atual em que se encontra’ um deter- minado processo de TI de uma organização. Antes de conhecermos Aula 2: Governança de TI com o COBIT 7575 os seis níveis de capacidade estabelecidos pelo COBIT, precisamos conhecer um conceito fundamental: atributos de processo (em inglês, Process Atributes – PA). Atributo representa uma característica de um determinado objeto. É de se esperar, portanto, que um atributo de processo represente uma característica de um processo. Cada atributo irá medir um aspecto par- ticular do atributo. É com base na avaliação dos atributos do processo que determinamos a capacidade de um processo. Há nove atributos, os quais avaliam aspectos como: desempenho do processo, gestão dos produtos do trabalho, implementação do processo, controle do processo, otimização do processo, dentre outros. Não vou entrar em detalhes aqui sobre os atributos de processos e o que eles mensuram, mas é importante você conhece-os se pretender obter uma certificação profissional em COBIT, ok?. No COBIT, um pro- cesso é descrito em termos de seu objetivo e resultados. Agora que sa- bemos que é por meio da mensuração de atributos de processos que mensuramos a capacidade de um processo, vamos conhecer os seis níveis de capacidade que um processo pode possuir (ISACA, 2012): u Nível 0 – Processo incompleto: neste nível de capacidade o pro- cesso não foi implementado ou não atingiu seu objetivo. Há pou- ca ou nenhuma evidência de qualquer atingimento sistemático do objetivo do processo; u Nível 1 – Processo executado: este nível é obtido com base no atendimento de um atributo de processo. Representa que o pro- cesso implementado atinge seu objetivo; u Nível 2 – Processo Gerenciado: este nível é obtido com base no atendimento de dois atributos de processo, e indica que o pro- cesso agora é implementado com atividades de planejamento, monitoramento e ajustes. Além disto, os produtos do trabalho são adequadamente estabelecidos, controlados e mantidos; u Nível 3 – Processo Estabelecido: quando outros dois atributos de processo são satisfeitos, o processo torna-se estabelecido, indicando que o mesmo agora é implementado utilizando um processo definido capaz de atingir seus resultados; u Nível 4 – Processo Previsível: com mais outros dois atributos, o processo opera agora dentro dos limites definidos para produzir seus resultados; Governança da Tecnologia da Informação76 u Nível 5 – Processo Otimizado: atendendo outros dois atributos de processo, o processo torna-se otimizado. Isto é, ele agora é alvo de melhorias continuas, de modo a otimizar o atingimento dos objetivos corporativos, sejam atuais ou futuros. Entenda que um nível superior exige o atendimento do nível anterior, tudo bem? Isto é, não há como um processo ser nível 3 – Estabelecido, se ele não satisfizer os atributos de processo dos níveis antecessores (1 e 2, neste caso). pense nisso O grau de esforço de uma organização para sair do nível 0 para o nível 1 é o mesmo para sair do nível 2 para o nível 3? O COBIT, em seu manual oficial, destaca que para uma organização obter o nível 1 de capacidade de um processo, mesmo em uma escala de 1 a 5, é uma conquista, uma vez que agora o seu processo está sendo realizado com sucesso e os resultados estão sendo obtidos pela organização. Vamos voltar um pouco e refletir sobre estes níveis de capacidade. Se você se recorda, no ciclo de vida do COBIT, em sua segunda fase (“onde estamos agora? “), há a necessidade de mensurar como estão os processos da organização. Nós podemos fazer uso do modelo de capacidade para avaliar o processo. Agora você pode estar se pergun- tando: Eu sei quais são os seis níveis de capacidade de um processo, mas como avalia-lo? É aí que entra a parte final do manual oficial do COBIT 5. Vou tentar lhe apresentar um exemplo, para ficar mais claro, de modo que você compreenda como utilizamos o COBIT na prática. Imagine que que- remos avaliar a capacidade de um processo na área de governança, denominado “EDM01 – Assegurar o estabelecimento e manutenção do framework de governança”. Para definirmos a capacidade deste processo temos que observar os atributos do processo, correto? Eu disse anteriormente que temos que mensurar este atributo. Como fazemos isto?. Bem, o COBIT propõe uma escala de mensuração, esta escala é a seguinte: u Cada processo é medido com base na escala padrão da ISO/IEC 15504, a qual consiste em: Aula 2: Governança de TI com o COBIT 7777 • N (Não alcançado) – Há pouca ou nenhuma evidência de que os atributos definidos são alcançados no processo avaliado. Os requisitos deste atributo são atendidos dentro da faixa de 0 a 15%. • P (Parcialmente alcançado) – Há alguma evidência do cum- primento dos atributos definidos no processo avaliado. Al- guns aspectos do processo podem ser imprevisíveis. Os re- quisitos deste atributo são atendimentos dentro da faixa de 15% e 50%. • L (Amplamente alcançado) – há evidência de uma abordagem sistemática, com o alcance significativo dos atributos defini- dos no processo avaliado. Pode ocorrer algumas falhas. Con- sidera-se o atendimento dos requisitos entre 50% e 85%. • F (Completamente alcançado) – há evidência de uma aborda- gem sistemática completa, assim como o alcance completo dos atributos definidos para o processo avaliado.Não existe falha significante relativa aos atributos. Considera-se que mais de 85% dos requisitos estão sendo atendidos. Se avaliarmos o processo EDM01, de nosso exemplo, e ele obtiver uma classificação L ou F, ele já é classificado como nível 1. Todavia, se quisermos classifica-lo como nível 2, o que irá nos exigir analisar outros atributos do processo, este processo deverá atingir obrigatoriamente a classificação F no nível anterior. leitura indicada Santos, Diana; Neto, João. Avaliação da Capacidade dos Processos de Governança Corporativa de TI baseada no COBIT 5. IX SEGET 2012: Sim- pósio de Excelência em Gestão e Tecnologia. Brasil, 2012. O artigo apresenta passo-a-passo como os processos de uma organi- zação foram avaliados de modo a se determinar seus níveis de capacida- de. Em virtude do caráter explanatório deste artigo e, por ele ser repleto de exemplos práticos, é uma leitura excelente para compreender o processo de avaliação da capacidade de um processo. Disponível em: http://www.aedb.br/seget/arquivos/artigos12/26716234.pdf. Acesso em 10/05/2017 Governança da Tecnologia da Informação78 pense nisso Um processo pode receber classificação L ou F para estar no ní- vel 1. Todavia, se ele está no nível 2, isto significa que no nível ante- rior, o nível 1, o processo obrigatoriamente recebeu classificação F. síntese Praticar a Governança de TI é uma tarefa complexa, a qual normalmente envolve pessoas, competências, processos, meca- nismos de comunicação e controle, dentre outros. Dispor de um modelo de referência, um framework, para auxiliar na implemen- tação da governança é uma prática muito adotada por diversas instituições. O COBIT é um framework maduro, reconhecido na área, o qual dispõe de um rol de melhores práticas para a implementação da Governança de TI. Seus princípios ajudam a nortear a implemen- tação das atividades necessárias à governança, as quais são rea- lizadas com base em um ciclo de vida. O COBIT adota uma cascata de objetivos como um dos princí- pios para transformar necessidades dos stakeholders em objetivos corporativos, objetivos de TI e, assim, determinar os habilitadores que permitirão a implementação da Governança de TI. Dentre os sete tipos de habilitadores, há um destaque para os processos. Os processos são avaliados em níveis de capacidade, os quais indicam o estado atual do processo, com relação a seus objetivos e resultados. Nesta aula conhecemos um pouco do COBIT, seus princípios, seu ciclo de vida e as recomendações para uma organização que deseja implantar a Governança de TI com base neste modelo. Atividades 01. Você trabalha em uma organização que atua no segmento de venda on-line. Os stakeholders apresentam uma necessidade de que o website de vendas, torne-se mais disponível para os Aula 2: Governança de TI com o COBIT 7979 clientes, já que um ponto de dor identificado foi o alto índice de reclamação de que o site está fora do ar. Os stakeholders querem, com isto, estabelecer uma cultura voltada para aten- dimento às necessidades dos clientes. Você foi encarregado de desdobrar esta necessidade dos stakeholders em objetivos corporativos e objetivos de TI. Fazendo uso da Tabela de Objetivos Corporativos do COBIT 5 e da Tabela de Mapeamento dos objetivos corporativos do COBIT 5 em Objetivos de TI, desenvolvidas no estudo de caso apre- sentado nesta aula, identifique qual objetivo corporativo mais se adequa a necessidade que seus stakeholders estão indicando. Após isto, a partir do objetivo corporativo, identifique quais obje- tivos de TI serão mais adequados. Uma vez identificado os objetivos de TI, reflita sobre quais tipos de habilitadores poderão ser utilizados para alcançar os objeti- vos propostos. 02. Você está participando da avaliação de processos da sua orga- nização, e foi informado que determinado processo está com grau de capacidade 2 e a organização deseja com que o proces- so fique com capacidade 4. Dessa forma, o que a organização necessita fazer para atingir tal objetivo? Governança da Tecnologia da Informação80 Anotações
Compartilhar