Baixe o app para aproveitar ainda mais
Prévia do material em texto
93 GOVERNANÇA CORPORATIVA DE TI Unidade III 5 MODELOS E PRÁTICAS DE GOVERNANÇA CORPORATIVA DE TI Você já deve ter percebido a sequência lógica deste livro-texto. Iniciamos abordando a governança corporativa, incluindo todos os seus fundamentos e lastreando a base conceitual para abordarmos a governança corporativa de TI. Na sequência, exploramos as definições de governança de TI com foco nos seus motivadores, no seu histórico e nos seus fundamentos. Abordamos o ciclo da governança de TI, além dos papéis, responsabilidades e funções, principalmente envolvendo o processo de tomada de decisão. Agora vamos ver os modelos de governança corporativa de TI. Esses modelos apresentam um conjunto de boas práticas que auxilia em um melhor governo da TI nas organizações. Começaremos pelo modelo de governança utilizado no Center for Information Systems Research (CISR), do Massachusetts Institute of Technology (MIT), apresentado por Weill e Ross (2006). Depois passaremos ao modelo estabelecido por Fernandes e Abreu (2014) e, por último, mencionaremos o modelo descrito na norma ISO 38500:2018. O modelo Cobit®, sem dúvidas o mais conhecido, será abordado mais adiante. Apresentaremos também modelos que suportam a governança de TI nos mais diversos aspectos da área de TI: análise de negócios; processos de TI; arquitetura de TI; projetos de TI; e serviços de TI. 5.1 Modelos e frameworks de governança de TI 5.1.1 Modelo e melhores práticas de governança de TI desenvolvidos pelo CISR do MIT Boa parte do trabalho do CISR destinado à governança de TI pode ser observada em Weill e Ross (2006). O trabalho se baseia na ideia de sistema de governo de TI como a especificação de direitos decisórios e com um framework (modelo) composto de seis componentes básicos interligados e harmonizados: estratégia e organização da empresa; arranjos de governança de TI; metas de desempenho do negócio; organização da TI e comportamentos desejáveis; mecanismos de governança de TI; e métricas e responsabilidades de TI. A figura a seguir apresenta esse modelo. Estratégia e organização da empresa Arranjos de governança de TI Metas de desempenho do negócio Organização de TI e comportamentos desejáveis Mecanismos de governança de TI Decisões de TI Métricas e responsabilidades de TI Harmonizar o quê? Harmonizar como? Figura 19 – Framework de governança de TI Adaptada de: Weill e Ross (2006). 94 Unidade III O primeiro componente do modelo é definido como estratégia e organização da empresa. Na verdade, é onde tudo começa em matéria de governança de TI, compreendendo a visão de longo prazo da empresa e os comportamentos desejáveis sob o aspecto corporativo. Nesse componente devem ser incluídos todos os norteadores estratégicos empresariais do negócio. O segundo componente, arranjos de governança de TI, é definido e está em conformidade com o que foi acordado pelo primeiro componente. Nesse componente encontramos estruturada a Matriz de Arranjos de Governança de TI da organização e apresentam-se os responsáveis pela tomada de decisão em princípios de TI, a arquitetura de TI, a infraestrutura de TI, as necessidades de aplicação de negócio e os investimentos de TI. Ainda na parte superior do modelo, encontramos o terceiro componente, que é representado pelas metas de desempenho do negócio. Aqui encontramos de forma clara metas e objetivos de desempenho corporativos, que servirão de base para a criação de metas e objetivos de TI. Agora, abordando a porção inferior do modelo, encontramos os desdobramentos mais concretos para dentro da área de TI. Comecemos pelo quarto componente, que é a organização de TI e comportamentos desejáveis. Esse componente é a forma de harmonizar os fundamentos estratégicos do negócio dentro da área de TI, ou seja, organizando-a e definindo comportamentos harmonizados com a governança corporativa. O componente de número cinco é formado pelos mecanismos de governança de TI. Ele expressa a forma como harmonizamos os arranjos de governança de TI definidos pela alta direção. Definimos aqui estruturas organizacionais, processos e abordagens de comunicação. O último componente é representado pelas métricas e responsabilidades de TI. Aqui ocorre o desdobramento e a harmonização das metas de desempenho de negócio em métricas de TI, apontando a atribuição de responsabilidades da TI, que contribui para a eficácia da governança de TI. Weill e Ross (2006) apresentam o exemplo de um modelo de governança de TI implementado na empresa JPMorgan Chase, do segmento financeiro nos Estados Unidos. Esse modelo com os seus componentes pode ser visto a seguir: 95 GOVERNANÇA CORPORATIVA DE TI Estratégia e organização da empresa 1. Constituir excelência em linhas de negócios individuais. 2. Prover soluções integradas aos clientes. 3. Melhorar a eficiência. 4. Beneficiar-se de economia de escala. 5. Desenvolver a cultura "uma firma – uma equipe". 6. Aumentar a transparência e a responsabilidade. Arranjos de governança de TI 1. O comitê executivo de tecnologia e o conselho de tecnologia decidem: princípios de TI e investimentos em TI. 2. O conselho de tecnologia e os parceiros de negócios decidem: estratégias e prioridades de TI, além dos padrões de TI. 3. Os negócios decidem: necessidades de aplicações. Metas de desempenho do negócio 1. Métricas distintas para cada unidade de negócio. 2. Nova linguagem e cultura. 3. Retenção de clientes, venda cruzada, recrutamento. Organização de TI e comportamentos desejáveis 1. Desenvolver aplicações únicas para as unidades de negócio. 2. Criar uma infraestrutura compartilhada. 3. Simplificar a arquitetura geral da firma para facilitar o compartilhamento, a integração e a reutilização. 4. Implementar padrões técnicos e de gestão de princípios, incluindo o Six Sigma. Mecanismos de governança de TI 1. CIO no comitê executivo. 2. Vice-chairs no comitê executivo de tecnologia. 3. CIOs das unidade de negócio e líderes de infraestrtura formam o conselho de tecnologia. 4. Conselhos de arquitetura e engenharia definem os padrões de tecnologia. Métricas e responsabilidades de TI 1. Processo orçamentário do "encolher para crescer". 2. Métricas distintas para cada unidade de negócio. 3. ROI para os investimentos. 4. Número reduzido de produtos de TI utilizados e eliminação de produtos não aprovados. 5. Certificação na metododologia padrão de projetos. Harmonizar o quê? Harmonizar como? Figura 20 – Modelo de governança de TI do JPMorgan Chase Adaptada de: Weill e Ross (2006). Ainda segundo Weill e Ross (2006), as organizações que não implementam boas práticas de governança de TI baseadas em estratégias, atribuição de direitos de decisão e estabelecimento de metas e métricas têm seu sistema de governo de TI totalmente ineficaz. Existem pelo menos sete sintomas de ineficácia desses sistemas. São eles: • Sintoma 1: há pouca importância dada pela alta direção para os investimentos relacionados à área de TI. • Sintoma 2: a área de TI não atende às necessidades de negócios, prejudicando as estratégias corporativas. • Sintoma 3: o processo de tomada de decisão em TI é lento, e os mecanismos utilizados são inexistentes ou mal concebidos. 96 Unidade III • Sintoma 4: não há clareza sobre como a área de TI é governada pela alta direção. • Sintoma 5: os projetos de TI normalmente resultam em fracasso relacionado ao tempo e/ou custo. • Sintoma 6: compreende processos de terceirização, como a solução rápida de problemas de TI. • Sintoma 7: quando existe um sistema de governança, ele muda frequentemente, sem qualquer controle. Em contrapartida, para vencer a ineficácia no governo da área de TI é necessário combater aquilo que causa esses sintomas, revisitando e concebendo de forma correta um sistema de governança de TI. Os passos para essa governança eficaz da TI, baseados no modelo do CISR do MIT, podem ser vistos na figura a seguir: – Mapear matriz de arranjosde governança da organização. – Verificar a quantidade e eventuais sobreposições dos mecanismos de governança de TI. – Analisar a eficácia dos mecanismos de governança de TI. – Verificar se as metas de desempenho do negócio estão sendo atingidas. – Verificar a necessidade de ajustes na matriz de arranjos de governança visando a melhoria do desempenho. – Reajustar matriz de arranjos de governança a partir da análise da "estratégia e organização da empresa" e das "metas e desempenho do negócio". – Promover e liderar ajustes na "organização da TI" e nas "métricas e responsabilidades de TI". Passo 1 Passo 3 Passo 2 Passo 4 Passo 5 Figura 21 – Passos para a governança de TI eficaz Adaptada de: Weill e Ross (2006). 5.1.2 Modelo baseado no ciclo de governança de TI Fernandes e Abreu (2014) apresentam um modelo genérico construído a partir do ciclo de governança de TI, que pode ser aplicado em qualquer empresa que deseja possuir um adequado sistema de governo para a área de TI. A figura a seguir apresenta um esboço desse modelo com todos os seus componentes. 97 GOVERNANÇA CORPORATIVA DE TI Plano de TI - Internos Plano de TI - Negócios Gerenciam ento de recursos Com unicação Gestão do desem penho Entrega do valor M ecanism os de decisão Clientes/usuários Fornecedores Operações de serviços Projetos Serviços Inovação Priorização Riscos e com pliance Avaliação independente Gestão da m udança organizacional Alinham ento estratégico Resultados de TI Resultados para o negócio Comunicação e reporte de resultados Estratégia do negócio Estratégia de TI Portfólio de TI Alinham ento Decisão Priorização Estrutura, processos, operações e gestão Gestão do valor e do desem penho da TI Diretrizes Investim entos Diretrizes Orçam ento Figura 22 – Modelo genérico baseado no ciclo da governança de TI Adaptada de: Fernandes e Abreu (2014). 98 Unidade III O modelo é formado por componentes típicos de governança, que são: riscos e compliance; avaliação independente; gestão da mudança organizacional; alinhamento estratégico; entrega de valor; gestão do desempenho; comunicação; e gerenciamento de recursos. Existem também os componentes de gestão e operacionais, que são: estratégia do negócio; estratégia de TI; planos de TI; mecanismos de decisão; portfólio de TI; clientes e usuários; operações de serviços; fornecedores; resultados da TI; resultados para o negócio; e comunicação e reporte de resultados. Lembrete O ciclo da governança de TI é formado pelos seguintes componentes: alinhamento estratégico; tomada de decisão; estabelecimento de estruturas e processos; e gerenciamento do valor e do desempenho. Vamos começar mencionando os componentes típicos da governança de TI constantes no modelo. Primeiro o componente riscos e compliance, que está relacionado às questões de gestão de riscos inerentes às ações de TI, bem como às regulamentações internas e externas que afetam a operação da infraestrutura de TI da organização. Sobre os riscos, a ideia é que a governança de TI se preocupe com o estabelecimento de um sistema de gestão de riscos, de forma que haja avalição, monitoramento e resposta ao risco. Temos como segundo componente típico a avaliação independente, que funciona como um desdobramento do primeiro componente (riscos e compliance). Ele é de grande importância para verificar se a área de TI está aderente às práticas, às políticas e aos padrões de mercado. O sistema de governo de TI precisa estabelecer como se dará essa avaliação por meio, é claro, de uma empresa de auditoria externa. Observação A ideia da auditoria externa da TI é verificar os controles corporativos aplicados na área de TI. O terceiro componente típico é a gestão da mudança organizacional. Esta surge da necessidade de administrar as mudanças promovidas com a implementação da governança de TI. Sobre esse componente, Fernandes e Abreu (2014) mencionam que a governança de TI traz consigo mudanças na forma de fazer as coisas, não somente operacionais, mas, principalmente, na forma de gerenciar. Os autores ainda complementam mencionando que o sucesso da implantação da governança de TI depende fundamentalmente de um gerenciamento da mudança organizacional. O processo de mudança gerado pela governança de TI é altamente influenciado por seis fatores: comunicação; visão; motivação; competência; recursos; e plano de ação. A figura a seguir apresenta os resultados encontrados quando não temos um desses fatores considerados. 99 GOVERNANÇA CORPORATIVA DE TI Fatores considerados no processo de mudança Efeito produzido Comunicação Visão Motivação Competência Recursos Plano de ação x x x x x x → Mudança consistente x x x x x → Desconfiaça x x x x x → Confusão x x x x x → Mudança lenta x x x x x → Ansiedade x x x x x → Frustração x x x x x → Indecisão Figura 23 – Elementos da mudança organizacional e os efeitos produzidos Adaptada de: Fernandes e Abreu (2014). O quarto e o quinto componentes típicos são, respectivamente, alinhamento estratégico e entrega de valor. Eles são de grande importância e caros para a governança de TI, e já foram mencionados anteriormente. Lembrete O alinhamento estratégico é crítico para a concretização da entrega de valor por parte da TI para os negócios, além de ser um dos processos mais importantes da governança de TI. O sexto componente típico é a gestão do desempenho, que está relacionado às formas de medição e de uso de indicadores de governança de TI. Essas medições e indicadores estão relacionados diretamente à TI e/ou relacionados diretamente aos negócios. Na primeira forma de indicadores (relacionados diretamente à TI), medimos processos específicos de TI, como a quantidade de incidentes ocorridos em um dia. Na segunda forma de indicadores (relacionados diretamente aos negócios), medimos impactos diretos nas aplicações de negócio, por exemplo, o tempo de indisponibilidade de uma aplicação em um mês. Observação Podemos utilizar diversas ferramentas para fazer a gestão desses indicadores. Uma delas é o Balanced Scorecard (BSC), que nos ajuda a criar um conjunto de indicadores balanceados nas perspectivas financeiras, do cliente, dos processos internos, do aprendizado e do crescimento. O sétimo componente típico da governança de TI é a comunicação, considerado um dos mais críticos dentro da governança e da gestão. Fernandes e Abreu (2014) mencionam que a comunicação é importante para transmitir o valor entregue pela TI ao negócio por meio do seu desempenho. Os autores apresentam o dashboard como uma ferramenta gráfica que comunica, por meio de painéis, os indicadores desejados pelos usuários. 100 Unidade III O quadro a seguir apresenta temas de interesse a serem colocados em dashboards de governança de TI e os indicadores e informações que podem ser inseridos. Quadro 21 – Temas e indicadores de dashboards de governança de TI Temas principais Indicadores/informações Criação de valor Retorno do investimento do projeto, atendimento a metas de negócios e outros benefícios qualitativos. Alinhamento de TI Cumprimento das demandas no portfólio de TI. Indicadores de resultados e de progresso do BSC. Satisfação dos clientes e usuários Índice de satisfação dos clientes e usuários por serviço. Excelência operacional e níveis de serviço Disponibilidade de aplicações e serviços de TI. Eficiência do atendimento e suporte aos usuários. Entrega de projetos nos prazos acordados com os gestores. Produtividade da TI. Índices de qualidade do desenvolvimento. Índices de qualidade dos serviços de TI. Custos dos serviços. Compliance Índice de conformidade com regulamentos internos e externos. Índice de conformidade da avaliação independente. Riscos da TI para o negócio Principais riscos de TI para o negócio (probabilidade e impacto). Montante de exposição ao risco. Projetos prioritários de TI Curva S do projeto. Status do projeto. Gerenciamento de recursos e portfólio de TI Índice decumprimento do orçamento de TI para a unidade de negócio. Alocação de recursos pelo portfólio de TI. Disciplina orçamentária. Demanda Percentual de backlog em relação à demanda total. Potencial de futuro Indicadores de treinamento e capacitação do pessoal. Pessoal certificado. Prontidão Indicadores de qualidade dos fornecedores. Capacidade de recursos computacionais para a expansão do negócio. Maturidade dos processos de TI. Razão de terceiros sobre o total de pessoal empregado. Inovação Indicadores de inovação para os processos de negócio. Indicadores de inovação tecnológica. Inovação em TI. Adaptado de: Fernandes e Abreu (2014). Completando os componentes típicos da governança de TI, encontramos o gerenciamento de recursos. Ele consiste na administração de todos os recursos de TI envolvendo o portfólio como um todo, incluindo os investimentos relacionados à TI. 101 GOVERNANÇA CORPORATIVA DE TI Saiba mais Para conhecer um pouco mais sobre o modelo baseado no ciclo da governança de TI, leia o capítulo 3 do livro a seguir: FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de Janeiro: Brasport, 2014. 5.1.3 Modelo baseado na norma ISO 38500:2018 A International Organization for Standardization (ISO) conjuntamente com a International Electrotechnical Commission (IEC) lançou, em 2008, a primeira edição da sua norma para governança corporativa de TI. A princípio, ela foi baseada no padrão australiano conhecido como AS 8015, que estabeleceu, em 2015, os padrões para governança corporativa da Tecnologia da Informação e da Comunicação para as empresas da Austrália. A ISO/IEC lançou uma segunda edição dessa norma em 2015, que foi publicada pela ABNT em 2018 com pequenas alterações quando comparadas à versão de 2008. O objetivo principal da ISO 38500:2018 é trazer um conjunto de princípios que, associados a tarefas, trazem as práticas de governança de TI para as organizações de qualquer porte, públicas ou privadas. Essa norma integra uma família de padrões da ISO dedicada apenas à governança e à gestão de TI. O quadro a seguir apresenta essa família de normas da ISO para governança e gestão de TI. Quadro 22 – Família de normas de gestão e governança de TI da ISO Norma Escopo 38500 Governança de TI. 38501 Guia de implementação da governança de TI. 38502 Framework de governança de TI. 38503 Avaliação da governança de TI. 38504 Princípios básicos de governança de TI. 38505-1 Aplicações da governança de dados. 38505-2 Gerenciamento e governança de dados. 38506 Governança de investimentos de TI. 38507 Implicações da governança no uso da inteligência artificial. A norma ISO 38500:2018 funciona como uma “mãe” das outras normas e promove o uso eficiente e eficaz da TI, garantindo a confiança dos stakeholders na TI. Ela também traz um conjunto de informações e orientações para aqueles que exercem o governo da TI em uma empresa. 102 Unidade III A figura a seguir apresenta o desenho do modelo de governança de TI estabelecido pela norma com os seus componentes fundamentais. O modelo consiste primariamente na execução de três tarefas de governança de TI, que são: avaliar; dirigir; e monitorar. Essas tarefas sofrem pressões externas das autoridades da organização (alta direção e conselho de administração), das obrigações regulatórias (por exemplo, a SOX), das necessidades de negócio (novas aplicações que atendam às necessidades de negócio) e das expectativas das partes interessadas (entrega do valor) e do negócio, de forma geral (ABNT, 2018). Avaliar Gerentes Sistemas de gerenciamento do uso da TI Dirigir Monitorar Obrigações regulatórias Fonte de autoridade A estrutura de governança Es tr at ég ia s e po lít ic as Pr op os ta s e p la no s De se m pe nh o e co nf or m id ad e Pressões do negócio Expectativas das partes interessadas Necessidades do negócio Figura 24 – Modelo da governança de TI da ISO 38500:2018 Adaptada de: ABNT (2018). A tríade avaliar-dirigir-monitorar está diretamente relacionada ao sistema de gerenciamento da TI (ABNT, 2018). • Na tarefa dirigir são estabelecidas estratégias e políticas que influenciam a gestão de TI, bem como toda orientação para implementá-las, garantindo que o uso da TI atenda aos objetivos do negócio. • Na tarefa avaliar ocorre um processo de análise do uso da TI no que tange a planos e propostas construídos a partir das informações oriundas da gerência da TI. • Na tarefa monitorar são aferidos o desempenho e a conformidade da TI, bem como o atendimento das políticas e o desempenho em relação aos planos projetados. 103 GOVERNANÇA CORPORATIVA DE TI 5.1.4 Princípios e práticas da norma ISO 38500:2018 A norma ISO 38500:2018 estabelece um conjunto de princípios que apresentam comportamentos que auxiliam no processo de tomada de decisão em TI. Os princípios são: • Princípio 1 (responsabilidade): apresenta a necessidade de estabelecer papéis, responsabilidade e exercício de autoridade no governo da área de TI, bem como a sua comunicação clara. • Princípio 2 (estratégia): apresenta a necessidade de existência de uma estratégia de TI totalmente alinhada às estratégias de negócios, atendendo necessidades atuais e futuras. • Princípio 3 (aquisição): apresenta a importância de voltar a atenção da governança da TI para os processos de aquisição, inclusive de contratação de terceiros. • Princípio 4 (desempenho): apresenta a necessidade de medir sempre e constantemente o desempenho da TI, comparando o executado com o planejado. • Princípio 5 (conformidade): apresenta a necessidade de atender aos requisitos regulatórios, de conformidade e de compliance dentro da área de TI. • Princípio 6 (comportamento humano): apresenta a necessidade da gestão adequada das pessoas dentro da área de TI, bem como a consideração de questões de ordem humana na execução das tarefas. Assim, a partir dos princípios e das tarefas do ciclo avaliar-dirigir-monitorar, estabelece-se um conjunto de práticas. O quadro a seguir apresenta algumas dessas práticas, dispostas como uma matriz, relacionando linhas (tarefas) e colunas (princípios). Quadro 23 – Modelo da governança de TI da ISO 38500:2018 Responsabilidade Estratégia Aquisição Desempenho Conformidade Comportamento humano Avaliar Práticas de avalição considerando o princípio da responsabilidade. Práticas de avalição considerando o princípio da estratégia. Práticas de avalição considerando o princípio da aquisição. Práticas de avalição considerando o princípio do desempenho. Práticas de avalição considerando o princípio da conformidade. Práticas de avalição considerando o princípio do comportamento humano. Dirigir Práticas de direção considerando o princípio da responsabilidade. Práticas de direção considerando o princípio da estratégia. Práticas de direção considerando o princípio da aquisição. Práticas de direção considerando o princípio do desempenho. Práticas de direção considerando o princípio da conformidade. Práticas de direção considerando o princípio do comportamento humano. Monitorar Práticas de monitoração considerando o princípio da responsabilidade. Práticas de monitoração considerando o princípio da estratégia. Práticas de monitoração considerando o princípio da aquisição. Práticas de monitoração considerando o princípio do desempenho. Práticas de monitoração considerando o princípio da conformidade. Práticas de monitoração considerando o princípio do comportamento humano. Adaptado de: ABNT (2018). 104 Unidade III Saiba mais Para conhecer as práticas de governança, adquira: ABNT. NBR ISO/IEC 38500: tecnologia da informação – governança da TI para a organização. Rio de Janeiro: ABNT, 2018. 5.2 Modelos que suportam a governança de TI 5.2.1 A relação entre modelos de governança de TI e de suporte à governança de TI Os modelos e frameworks comentados até agora são utilizados para o governo da área deTI. Eles estabelecem uma forte ligação entre as áreas de negócios, a alta direção e a área de TI, apresentando, em uma visão macro, como a tecnologia da informação e as suas estratégias devem ser dirigidas, avaliadas e monitoradas em uma visão mais executiva. Os princípios e as práticas apresentados como boas práticas por esses modelos devem ser desdobrados na TI como um todo no nível de gestão. É justamente nesse desdobramento que começa o trabalho dos modelos de suporte à governança de TI, adentrando cada contexto específico de TI (serviços de TI, projetos de TI, terceirizações em TI, aplicações de TI, processos de TI, qualidade de software, análise de negócios de TI, gestão de dados, dentre outros). Observação Podemos nos referir a esses contextos específicos como “subáreas” de TI ou áreas internas de TI. Assim, temos a área interna de serviços de TI, a área interna de projetos de TI etc. O quadro a seguir apresenta uma relação desses modelos de melhores práticas, bem como o seu escopo específico dentro dos contextos da TI, ou seja, nas áreas internas da TI. Quadro 24 – Modelos de suporte à governança de TI Modelos Escopo do modelo Business Analysis Body of Knowledge (Babok®) Guia de conhecimento para a prática de análise de negócio. Business Process Management Body of Knowledge (BPM CBOK®) Corpo de conhecimento para o gerenciamento de processos de negócio. The Open Group Architecture Framework (Togaf®) Modelo que trata o desenvolvimento e a evolução de arquiteturas de TI. Projects in Controlled Environments (Prince2®) Metodologia de gerenciamento de projetos. 105 GOVERNANÇA CORPORATIVA DE TI Modelos Escopo do modelo Project Management Body Of Knowledge (PMBOK®) Base de conhecimento em gestão de projetos. Information Technology Infrastructure Library (Itil®) Serviços de TI, segurança da informação, gerenciamento da infraestrutura, gestão de ativos e aplicativos etc. Capability Maturity Model Integration (CMMI®) Desenvolvimento de produtos e projetos de sistemas e software. Melhoria de Processos do Software Brasileiro (MPS.br) Modelo brasileiro para a melhoria do processo de software. ISO 31000:2018 Trata dos princípios e guias para o gerenciamento de riscos para as organizações. ISO 20000:2018 Norma abordando requisitos e melhores práticas para o gerenciamento de serviços de TI. ISO 27001:2013 e ISO 27002:2013 Requisitos e código de prática para a gestão da segurança da informação. eSourcing Capability Model (eSCM®) Outsorcing em serviços que usam TI de forma intensiva. Organizational Project Management Maturity Model (OPM3) Modelo de maturidade para o gerenciamento de projetos. Scrum Método ágil para o gerenciamento de projetos. Balanced Scorecard (BSC) Metodologia de planejamento e gestão da estratégia. Six Sigma Metodologia para melhoria da qualidade de processos. Statement on Auditing Standards (SAS) No. 70 Regras de auditoria para empresas de serviços. 5.2.2 Modelo Babok® Comecemos agora a mencionar alguns modelos destacados anteriormente. Comecemos pelo Babok®, que foi criado em 2005 pelo Instituto Internacional de Análise de Negócios, também conhecido como IIBA, com versões publicadas em 2005 (versão 1.4), 2006 (versão 1.6) e 2009 (versão 2.0). A versão 3 foi lançada em 2015, acompanhada de uma extensão para métodos ágeis. Além do Babok®, o IIBA mantém uma série de publicações voltadas para análise e estratégia relacionadas à tecnologia da informação e de dados. O IIBA foi criado em outubro de 2003 em Toronto (Canadá) com o objetivo de apoiar a emergente comunidade de análise de negócios, por meio de iniciativas como a criação e o desenvolvimento da consciência e do reconhecimento da contribuição do analista de negócios. Observação É perceptível um grande crescimento do IIBA no Brasil. Já são sete capítulos (filiais) situados em São Paulo, Rio de Janeiro, Belo Horizonte, Porto Alegre, Curitiba, Brasília e Recife. A ideia do Babok® é apresentar a análise de negócios como um conjunto de tarefas e técnicas utilizadas para servir como ligação entre as partes interessadas no intuito de compreender a estrutura, as políticas e as operações de uma organização, e para recomendar soluções que permitam que a organização alcance seus objetivos (IIBA, 2015). 106 Unidade III Essa análise de negócios é composta por seis elementos principais. São eles: • Mudanças (changes): é a ação que ocorre para atender à necessidade e transformar o contexto de forma controlada. • Soluções (solutions): é o resultado da análise que vai resolver o problema ou aproveitar a oportunidade. • Contexto (contexts): é formado pela cultura, pelos processos e pelas regras da organização que influenciam na análise de negócio. • Valor (value): é formado pelos benefícios que são entregues às pessoas. • Partes interessadas (stakeholders): são aqueles que precisam ter os seus requisitos atendidos. • Necessidades (needs): pode ser um problema a ser resolvido ou uma oportunidade a ser aproveitada. Os elementos principais podem ser vistos a seguir: Needs Solutions Value Changes Stakeholders Contexts Figura 25 – Elementos da análise de negócios Adaptada de: IIBA (2015). O Babok® apresenta um conjunto de práticas geralmente aceitas no campo de análise de negócios, não se tratando de uma imposição para todos os casos, mas de um conjunto de técnicas inovadoras que pode agregar valor à análise de negócio. Essas práticas estão distribuídas em seis áreas de conhecimento: 107 GOVERNANÇA CORPORATIVA DE TI planejamento e monitoramento da análise de negócios; análise da estratégia; elicitação e colaboração; gerenciamento do ciclo de vida dos requisitos; análise de requisitos e definição de desenho; e avaliação da solução (IIBA, 2015). A primeira área de conhecimento é o planejamento e monitoramento da análise de negócios, que tem como objetivo planejar a abordagem, as atividades e a comunicação da análise de negócios, além de conduzir a análise das partes interessadas e gerenciar o desempenho da análise de negócios. A segunda área de conhecimento é a análise da estratégia, que se preocupa com os cenários atuais e o projeto para o futuro. Ela também contempla uma avaliação de riscos e a definição das estratégias de mudanças, considerando os seus impactos e os motivos para a mudança. A elicitação e colaboração é a terceira área de conhecimento e, ao pé da letra, significa “trazer à tona”, “expor”. É considerada uma área-chave porque expõe os requisitos das partes interessadas por meio de: brainstorming; análise documental; grupos focais; análise de interface; entrevistas; observação; prototipagem; workshop de requisitos; pesquisa; e questionário. A quarta área de conhecimento trata do gerenciamento do ciclo de vida dos requisitos, preocupando-se com o rastreamento, com a manutenção e com a priorização dos requisitos. Aqui ocorre a administração eficiente dos requisitos a partir de um ciclo de vida. A análise de requisitos e definição de desenho está relacionada às tarefas de exame dos requisitos declarados com o objetivo deliberar quais capacidades uma solução potencial deve possuir para atender às necessidades das partes interessadas. A análise de requisitos descreve a priorização e elaboração progressiva dos requisitos das partes interessadas e da solução para permitir que a equipe da iniciativa ou projeto implemente a solução que deverá atender à necessidade do negócio. A avaliação da solução é a área de conhecimento que define as tarefas voltadas para a garantia de atendimentos das necessidades do negócio por parte das soluções implementadas. Nessa área também se verificam as limitações das soluções e da organização. Ainda é importante acrescentar que o Babok® estabelece a análise de negócios a partir de cinco perspectivas e, em cada uma delas, encontramos técnicas, tarefas e ferramentas recomendadas. As perspectivas são: Business Intelligence (BI); Tecnologia da Informação (TI); gerenciamento de processos de negócio;arquitetura de negócios; e ágil (IIBA, 2015). Saiba mais Para conhecer um pouco mais sobre o Babok®, leia: IIBA. Babok®: a guide to the business analysis body of knowledge. 3. ed. Pickering: IIBA, 2015. 108 Unidade III 5.2.3 Modelo BPM CBOK® Continuando a nossa passagem pelos modelos que suportam a governança de TI, avancemos agora conhecendo um pouco sobre o BPM CBOK®. Ele foi desenvolvido pela Association of Business Process Management Professionals (ABPMP), que, traduzindo para o português, significa Associação de Profissionais de Gerenciamento de Processos de Negócio. A ABPMP é uma associação profissional sem fins lucrativos que atua de forma independente de fornecedores, orientada e conduzida por profissionais e dedicada ao desenvolvimento dos conceitos de gerenciamento de processos de negócio e suas práticas. Ela foi fundada em 2003 nos Estados Unidos e possui capítulos espalhados por todo o mundo, inclusive no Brasil. O BPM CBOK® é o Guia para o corpo comum de conhecimentos sobre BPM (Business Process Management). Ele apresenta boas práticas e lições aprendidas e praticadas pelas organizações visando auxiliar o profissional de gestão de processos de negócio (ABPMP, 2019). O guia fornece um documento de consulta básica para os profissionais de processos de negócio. Sua finalidade principal é identificar e fornecer uma visão geral das áreas de conhecimento que são geralmente reconhecidas e aceitas como melhores práticas. Ele fornece links e referências para outras fontes de informação, que são parte do corpo mais amplo de conhecimentos comuns de BPM (ABPMP, 2019). Observação Uma disciplina emergente como o BPM encontra grupos diferentes que utilizam a linguagem de maneiras distintas e que resultam em definições conflitantes sobre os termos, o que pode causar confusão sobre diversos termos. O guia BPM CBOK® pode ser utilizado como uma referência para os profissionais de processos na realização de suas tarefas de gerenciamento de processos de negócio. Ele está estruturado em áreas de conhecimento, habilidades e técnicas (FERNANDES; ABREU, 2014). • Primeira área de conhecimento: gerenciamento de processos de negócio. Trata dos conceitos fundamentais de BPM. Um dos maiores ganhos que essa área de conhecimento traz para a comunidade profissional internacional é o estabelecimento formal de que BPM é uma disciplina de gestão, e não apenas uma tecnologia de software (BPMS). • Segunda área de conhecimento: modelagem de processos. Essa área trata do conjunto crítico de habilidades e processos que habilitam pessoas a compreender, comunicar, medir e gerenciar os componentes primários de processos de negócio. Isso envolve a modelagem de processos, e não apenas a sua diagramação. 109 GOVERNANÇA CORPORATIVA DE TI • Terceira área de conhecimento: análise de processos. Essa área está relacionada às atividades, aos princípios e às técnicas utilizados para a compreensão dos processos de negócio. É nessa área de conhecimento que se ratificam o momento e a necessidade de buscar uma visão real do atual estado dos processos. • Quarta área de conhecimento: desenho de processos. Trata da criação das especificações para processos de negócio após a realização da sua análise, cobrindo desde as atividades e técnicas mais essenciais até as atividades mais específicas, tal qual a simulação de cenários. É nessa área de conhecimento que os princípios de desenho de processos de negócio são estabelecidos. • Quinta área de conhecimento: gerenciamento de desempenho de processos. Trata das definições de formas de monitoria e gerenciamento do desempenho dos processos. Além disso, estabelece que seu monitoramento deve estar relacionado ao controle efetivo das operações corporativas e o seu alinhamento em relação aos objetivos da organização. • Sexta área de conhecimento: transformação de processos. Trata da transformação dos processos corporativos de maneira disciplinada e planejada. O objetivo dessa abordagem é assegurar que os processos continuem suportando os objetivos do negócio e que sua evolução seja tratada de forma planejada e estruturada por métodos conhecidos e largamente adotados pelo mercado, tais como Seis Sigma, Lean, TQM, SCOR, VCOR, custeio baseado em atividades, APQC e outros. • Sétima área de conhecimento: organização de gerenciamento de processos. Trata das mudanças estruturais decorrentes da aplicação da gestão por processos no ambiente corporativo. Caracteriza claramente como é uma organização centrada em processos, descrevendo sua estrutura, organização, gerenciamento e medição a partir dos seus processos primários. • Oitava área de conhecimento: gerenciamento de processos corporativos – EPM. Trata da grande necessidade de maximizar resultados dos processos de negócio de acordo com as estratégias do negócio. • Nona área de conhecimento: tecnologias de gerenciamento de processos de negócio. Tratam das tecnologias que facilitam a aplicação prática da disciplina de BPM e, dessa forma, apresentam a arquitetura comum aos produtos encontrados no mercado atual, bem como as características específicas que os caracterizam formalmente como ferramentas de execução, monitoria e gerenciamento de processos, ou Business Process Management Systems/Suites (BPMS). 5.2.4 Modelo Togaf O modelo Togaf (The Open Group Architecture Framework) é um framework de arquitetura que fornece métodos e ferramentas para auxiliar na aceitação, na produção e no uso de manutenção de uma arquitetura empresarial. A princípio, era destinado apenas às questões de tecnologia da informação, mas teve o seu escopo ampliado ao longo de sua evolução. 110 Unidade III Observação Um framework de arquitetura é uma estrutura básica ou um conjunto de estruturas que pode ser usado para o desenvolvimento de uma gama de arquiteturas de tipos diferentes, como arquitetura empresarial, de sistemas, de aplicações, de dados, de processos etc. A versão 9.2 (lançada em 2018) do Togaf é a mais atual. Segundo Togaf (2018), o modelo é composto de sete partes: • Parte 1 (introdução): apresenta os conceitos-chave de arquitetura empresarial de alto nível. • Parte 2: método de desenvolvimento de arquitetura. Apresenta a metodologia para desenvolvimento de arquiteturas, que é composta de um roteiro em etapas. • Parte 3: Guia ADM (Architecture Development Method) e técnicas. Apresenta a coleção de guias de orientação e técnicas disponíveis para aplicar o Togaf e o método ADM. • Parte 4: framework de conteúdo de arquitetura. Descreve o metamodelo estruturado para artefatos de arquitetura, o uso de componentes reutilizáveis da arquitetura e uma visão geral dos entregáveis típicos de arquitetura. • Parte 5: contínuo empresarial e ferramentas. Discute taxonomias apropriadas, assim como ferramentas para categorizar e armazenar as saídas das atividades de arquitetura dentro de uma empresa. • Parte 6: modelos de referência Togaf. Fornece uma seleção de modelos de arquitetura de referência. • Parte 7: framework de capacidade de arquitetura. Discute a organização, os processos, as habilidades, os papéis e as responsabilidades requeridas para estabelecer e operar uma função de arquitetura dentro de uma empresa. Ao nível da modelagem, o Togaf não introduz qualquer notação, mas apenas um conjunto de princípios e diretrizes. O modelo Togaf aplica-se para o projeto e implementação de arquiteturas de negócio, de sistemas de informação e de tecnologia. Segundo Fernandes e Abreu (2014), dentre os benefícios do modelo encontram-se: redução de custos de desenvolvimento; mais portabilidade das aplicações; melhoria da interoperabilidade; redução da complexidade da infraestrutura de TI; e flexibilidade para fazer, comprar ou terceirizar as soluções de TI. 5.2.5 Modelos para a gestão de projetos de TI A gestão de projetos é considerada uma das áreas internas de TI mais importantes, na qual encontramos o uso de frameworks e metodologias bem conhecidas. Pelo menos três modelos são bastanteutilizados: PMBOK®, Prince2® e Scrum. 111 GOVERNANÇA CORPORATIVA DE TI O guia PMBOK® foi elaborado pelo Project Management Institute (PMI) conjuntamente com diversos profissionais e especialistas filiados. Teve sua primeira versão em 1996, uma segunda lançada em 2000, a terceira em 2004 e a quarta em 2008. Em 2013 foi lançada a quinta versão, e em 2017 a sexta. O principal objetivo desse método é delimitar um conjunto de conhecimentos em gestão de projetos amplamente reconhecidos como “boa prática”, fornecendo vocabulário comum aos gerentes de projetos, assim como um guia de processos, ferramentas e técnicas extremamente úteis na condução dos projetos de uma organização. O PMBOK® apresenta um projeto gerenciado por meio de um ciclo de vida entrelaçado com áreas de conhecimento. O ciclo de vida do gerenciamento do projeto é o conjunto de processos que necessitam ser seguidos para o bom gerenciamento do projeto. Ele se divide em cinco grandes grupos de processos de gerenciamento, que são compostos de processos individuais e relacionados. Esses grupos são: grupo de processos de iniciação; grupo de processos de planejamento; grupo de processos de execução; grupo de processos de monitoramento e controle; e grupo de processos de encerramento. As áreas de conhecimento do PMBOK® são: gerenciamento da integração do projeto; gerenciamento do escopo do projeto; gerenciamento do cronograma do projeto; gerenciamento dos custos do projeto; gerenciamento da qualidade do projeto; gerenciamento de recursos do projeto; gerenciamento das comunicações do projeto; gerenciamento de riscos do projeto; gerenciamento de aquisições do projeto; e gerenciamento de stakeholders. Outro modelo interessante para o gerenciamento de projetos é o Prince2®. Ele foi desenvolvido em 1989 pelo Central Computer and Telecommunications Agency (CCTA), ligado ao governo britânico, a partir de uma metodologia mais antiga em gerenciamento de projetos chamada Promptii, criada em 1975 pela empresa Simpact Systems Ltda. Em 1996, após o CCTA ser integrado ao Office of Government Commerce (OGC), foi lançada uma melhoria dessa metodologia denominada Prince2®, que atualmente se encontra em sua quinta edição, publicada em 2009, e é o padrão utilizado no governo britânico, além de ser bastante difundida e reconhecida na Europa. Fernandes e Abreu (2014) afirmam que o Prince2®, de modo similar ao PMBOK®, tem como base a experiência de gerentes e equipes de projetos nos seus erros, acertos e sucesso. Os autores ainda mencionam que a ideia do Prince2® é fornecer um método que: • tenha repetibilidade em todos os projetos; • possa ser difundido por meio de treinamentos; • deixe claro o que se espera de membros de uma equipe de projetos; • gere proatividade na gestão de projetos, mas que não deixe de considerar mudanças repentinas em consequência de eventos inesperados; • facilite o planejamento, o controle e a comunicação em um projeto. O Prince2® é composto por dois livros que orientam o uso da metodologia, do modelo de processos e da lista de atividades por processo. Os livros são: Managing successful projects using Prince2®; e 112 Unidade III Directing sucessful projects using Prince2®. A metodologia é constituída de oito processos, que são divididos em atividades. Os processos da metodologia são: • processo DP – dirigindo um projeto; • processo SU – instalando um projeto; • processo IP – iniciando um projeto; • processo SB – gerenciando os limites de um projeto; • processo CS – controlando um estágio; • processo MP – gerenciando a entrega do produto; • processo CP – encerrando um projeto; • processo PL – planejamento. Já os métodos ágeis para o gerenciamento de projetos surgiram após o Manifesto Ágil, que teve início na década de 1990. O Manifesto Ágil é um documento que reúne as principais práticas e técnicas desse modelo ágil para desenvolvimento de projetos de software. O Manifesto Ágil é uma espécie de declaração de todos os princípios que servem de base para o desenvolvimento ágil de software e possui quatro aspectos fundamentais: • As pessoas mais do que as ferramentas e procedimentos. • O correto funcionamento do software mais do que a documentação bastante abrangente. • A colaboração com as necessidades do cliente mais do que a negociação com os contratos. • A capacidade de adaptação às mudanças mais do que seguir o plano que foi estabelecido. A partir da criação do Manifesto Ágil, começaram a aparecer várias outras propostas referentes a métodos ou metodologias ágeis, e, entre elas, está o Scrum, método ágil mais usado na área de TI. Observação Em sua essência, a maioria dos métodos ágeis (inclusive o Scrum) procura mitigar o risco inerente ao desenvolvimento de software sob diversos aspectos. O Scrum foi apresentado por Jeff Sutherland, John Scumniotales e Jeff McKenna, que conceberam, documentaram e implementaram o Scrum na empresa Easel Corporation em 1993. Em 1995, Ken Schwaber formalizou a definição de Scrum e ajudou a implantá-lo no desenvolvimento de softwares ágeis em todo o mundo. Em 2000, Ken Schwaber implantou a metodologia na empresa Patient Keeper e, nos anos seguintes, lançou três livros, sendo o primeiro deles Agile software development with Scrum. 113 GOVERNANÇA CORPORATIVA DE TI Uma característica importante do Scrum é forçar as pessoas a seguirem uma sequência de passos predefinida, com pouca flexibilidade para mudança. A abordagem do Scrum visa o oposto ao modelo em cascata, iniciando-se na análise assim que alguns requisitos estiverem disponíveis. O projeto Scrum começa com uma visão composta por requisitos e funcionalidades, que concretizam uma lista de tarefas denominada product backlog. As prioridades dos itens desse documento determinam o quanto de valor cada item gera para o negócio. Depois de priorizados os itens, antes de cada iteração (sprint), a equipe se reúne para dizer quantos itens é possível entregar em um sprint, que, segundo Schwaber, deve durar cerca de trinta dias como boa prática. Quando cada iteração termina, o que foi desenvolvido é apresentado ao cliente (product owner) em uma reunião, e, antes do início da próxima iteração, é feita uma reunião de retrospectiva, em que é possível extrair lições aprendidas. 5.2.6 Modelos para a gestão de serviços de TI Já mencionamos que a área de TI não é mais considerada uma simples provedora de infraestrutura. Em seu processo evolutivo, a TI cada vez mais tem sido considerada uma área prestadora de serviços. Dentro desse contexto, a figura do usuário foi perdendo espaço para a figura do cliente, mesmo que seja interno à corporação. Desse modo, foi perdendo força a ideia de gerenciamento de infraestrutura de TI, de modo que as empresas foram assimilando a ideia do gerenciamento de serviços de TI. Até os frameworks e as boas práticas de TI, antes relacionados à infraestrutura, deram espaço aos modelos de gestão de serviços de TI. Assim, é possível encontrar uma série de boas práticas na gestão de serviços de TI. Elas encontram-se agrupadas em frameworks e modelos bem conhecidos no mercado. Dentre eles, destacam-se o Information Technology Infrastructure Library (Itil®) e a ISO 20000. O Itil® é o modelo mais apropriado aos profissionais, possuindo um esquema de certificação que promove um itinerário no conhecimento das boas práticas de gestão de serviços de TI. A ISO 20000 é mais apropriada para as empresas, porque comprova que o seu sistema de gestão de serviços de TI está de acordo com as melhores práticas de mercado. Não obstante, há outras normas que também promovem o uso de boas práticas de gestão de serviços de TI, tais como o Modelo Capability Maturity Model – Integration for Services (CMMI-SVC), criado pelo Software Engineering Institute (SEI), e o Microsoft Operations Framework (MOF), criado pela Microsoft. O Itil® é um framework para gerenciamento de serviços de TI apresentado por meio de boas práticas contidas em uma biblioteca de livros. Nãoé uma regra rígida, mas a definição de recomendações para uma eficiente e eficaz gestão de serviços de TI. Ele foi desenvolvido na década de 1980 no Reino Unido pela Agência Central de Computadores e Comunicações como um método que objetivava o governo da infraestrutura de tecnologia da informação em departamentos e órgãos públicos do Reino Unido. A sua primeira versão consistia em 31 livros, que mencionavam aspectos importantes da provisão de serviços de TI com foco muito forte em infraestrutura, mais especificamente em planejamento e contingência. Essa versão também se referia fortemente à manutenção e operação dos recursos de infraestrutura de TI. Sua segunda versão surgiu em 2000, quando o modelo foi completamente 114 Unidade III reformulado e passou a ter apenas sete livros. Nessa versão, uma das principais características era a forte aderência ao modelo PDCA (Plan, Do, Check, Action) e suas práticas de melhoria contínua em processos. A partir dessa segunda versão, o Itil® foi bastante disseminado como conjunto de boas práticas em gerenciamento de serviços de TI. No entanto, o mercado, de modo geral, considerava o conjunto de livros um pouco “desconectado”, fazendo com que os especialistas em TI voltassem a sua atenção apenas para os livros de “suporte ao serviço” e de “entrega de serviço”. É de se destacar que em 2001 foi fundado o Fórum de Gerenciamento de Serviços de TI, conhecido pelo seu acrônimo em inglês ITSMF (Information Technology Service Management Forum). Seu objetivo era promover e desenvolver o gerenciamento de serviços de TI no mundo por meio da troca constante de informações e compartilhamento de experiências. Em 2007 foi lançada uma nova versão da Itil®, agora a versão 3. Contendo cinco livros abordando uma visão completa dos processos do gerenciamento de serviços de TI na forma de um ciclo denominado “ciclo de vida do serviço”. Essa nova versão tem um número de livros inferior à versão anterior, não obstante sendo mais denso em conteúdo. Em 2011 a versão 3 passou por alguns aprimoramentos, ampliando um pouco o seu escopo e produzindo a Itil® V.3 Edição 2011. Em 2019 foi lançada a versão 4 da Itil®. O Itil® 4 é a versão mais atualizada do framework que trouxe muitas novidades, como, por exemplo, o alinhamento aos modelos Lean e Ágil. Outro conceito importante estabelecido pela atualização do modelo foi a criação das quatro dimensões do gerenciamento de serviços e o Sistema de Valor de Serviços (SVS). As quatro dimensões do gerenciamento de serviços são: organizações e pessoas; informação e tecnologia; parceiros e fornecedores; e fluxo de valor e processos. A figura a seguir apresenta esse modelo de quatro dimensões, que se configuram como perspectivas relevantes na gestão de serviços de TI e são influenciadas por fatores externos. Valor 1 Organizações e pessoas Fatores políticos Fatores econômicos Fatores sociais Fatores ambientais Fatores legais Fatores tecnológicos 3 Parceiros e fornecedores Fatores Cada dimensão é afetada por múltiplos fatores 2 Informação e tecnologia 4 Fluxos de valor e processos Produtos e serviços Figura 26 – Modelo de quatro dimensões Adaptada de: Axelos (2019). 115 GOVERNANÇA CORPORATIVA DE TI Os fatores externos são: fatores políticos; fatores econômicos; fatores sociais; fatores tecnológicos; fatores legais; e fatores ambientais. A depender da organização, seu ramo de atuação, seu porte e localização geográfica, podemos encontrar fatores que exercem maior ou menor influência. Outro detalhe interessante na figura, que esboça as quatro dimensões do gerenciamento de serviços, é a parte central. Lá encontramos o valor dos produtos e serviços, que é visto a partir de cada uma das perspectivas (dimensões). Além das quatro dimensões do gerenciamento de serviços, temos o SVS como um elemento de destaque. Ele é composto de: princípios orientadores; governança; cadeia de valor do serviço; práticas; e melhoria contínua. Uma mudança interessante que veio com o Itil® 4 foi a ideia de cocriação de valor, que apresenta a ideia de criação de valor envolvendo o cliente. Assim, temos prestadores de serviços e consumidores de serviços, juntos, gerando valor, ou seja cocriando valor um para o outro. As principais características do modelo Itil® são: • Modelo não proprietário, que independe da plataforma de infraestrutura tecnológica. • Modelo altamente flexível, de fácil adoção e prescrito para qualquer porte de empresa. • Modelo fornecedor de boas e melhores práticas no gerenciamento de serviços de TI. • Modelo utilizado em milhares de empresas no mundo. • Modelo que contribui com a aderência aos requisitos da norma ISO 20000. 6 MODELO COBIT® Vamos agora adentrar o modelo de governança de TI mais conhecido mundialmente: Cobit®. A ideia é apresentar o contexto histórico em que o modelo foi construído, além da sua evolução e uma apresentação geral sobre as versões 4.1 e 5. Será necessário também apresentar alguns conceitos frequentemente vistos no framework Cobit®. Conhecer um pouco sobre as versões 4.1 e 5 é fundamental para a compreensão da versão 2019 (mais atual). Devemos também considerar que algumas poucas empresas ainda utilizam algo da versão 4.1 e da versão 5, devido à versão 2019 ser um pouco recente e ainda não estar completamente consolidada no mercado. Mais adiante vamos abordar a versão mais atual, que é a 2019, com todos os seus conceitos, estruturas de processos, objetivos de governança, dentre todas as temáticas inerentes a essa nova edição. 116 Unidade III 6.1 Histórico e introdução ao Cobit® 6.1.1 Contexto histórico do Cobit® Para entendermos bem o contexto em que se deu o surgimento e o sucesso do framework Cobit®, precisamos primeiro considerar a evolução da governança corporativa nas empresas. Também devemos levar em conta a ação da Information Systems Audit and Control Association (Isaca), que mantém o Cobit® e a sua estrutura de certificação. Sobre a evolução da governança corporativa, já intensamente vista neste livro-texto, percebemos que a sua chegada e o seu despertar se deram a partir de um processo evolutivo, que vem desde o estabelecimento do capitalismo, passando pelo gigantismo das empresas e auxiliado pelo desenvolvimento da administração como ciência. Também observamos que, recentemente, por volta da década de 1990, os marcos da governança corporativa fomentaram a valorização de princípios para a formação de um sistema de governo eficiente para as empresas. Lembrete Os marcos recentes da governança corporativa são: ativismo de Robert Monks; Relatório Cadbury; princípios da OCDE; e surgimento da Lei Sarbanes-Oxley. Esses princípios (equidade, conformidade, transparência e prestação de contas) formavam praticamente a base para o estabelecimento de comportamentos desejáveis em todas as áreas do ambiente organizacional. Também se verifica que esses princípios encaminharam um entendimento de governança corporativa como uma estrutura de controles. A partir deste cenário e com a constatação de existência de fraudes financeiras nas corporações ao longo do processo evolutivo da governança corporativa, surge, em 1985, nos Estados Unidos, uma organização chamada Committee of Sponsoring Organizations of the Treadway Commission (Coso). O Coso funcionou inicialmente como um auxiliar da Nacional Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), mas depois se consolidou como emissora de recomendações sobre controle interno de governança corporativa. O sucesso dos trabalhos do Coso foi tão grande que em 1992 as suas recomendações foram convertidas em um documento chamado Internal Control – Integrated Framework (Controles Internos – Um Modelo Integrado). Mais adiante e até os dias de hoje esse documento é chamado de Modelo Coso, considerado referência em controles internos corporativos. Paralelamente a esses fatos, ganha força no mundo da tecnologia uma entidadefundada no final da década de 1960 chamada de Isaca. O foco dessa entidade foi inicialmente formar profissionais voltados para auditoria de sistemas. No entanto, o seu escopo de atuação foi aumentando, e outras formações profissionais foram agregadas ao portfólio da Isaca. 117 GOVERNANÇA CORPORATIVA DE TI Hoje, a Isaca conta com mais de 200 capítulos (filiais) espalhados em pelo menos 180 países no mundo, além de ter mais de 140 mil associados. Assim, incluindo trabalhos voltados para a auditoria em sistemas, a Isaca tem grande atuação voltada para certificações em privacidade de dados, cybersecurity, segurança da informação, riscos em TI, além de governança de TI. Foi nesse ambiente fortemente influenciado por práticas de controle interno corporativo que a Isaca desenvolveu, em 1994, o modelo Cobit®. Ele foi formado a partir do Modelo Coso, além de vários padrões internacionais e práticas de gestão de TI oriundas de diversas instituições que trabalham com modelos de administração da TI. O Cobit® em sua primeira versão foi oficialmente lançado em 1996. Sobre a relação entre o Cobit® e o Coso, o ITGI (2007, p. 7) menciona que: A governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. A governança de TI habilita a organização a obter todas as vantagens de sua informação, maximizando os benefícios, capitalizando as oportunidades e ganhando em poder competitivo. Esses resultados requerem um modelo para controle de TI que se adeque e dê suporte ao Coso (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework”), um modelo para controles internos amplamente aceito para governança e gerenciamento de riscos empresariais, e outros modelos similares. As organizações devem satisfazer os requisitos de qualidade, guarda e segurança de suas informações, bem como de todos seus bens. Os executivos devem também otimizar o uso dos recursos de TI disponíveis, incluindo os aplicativos, informações, infraestrutura e pessoas. Para cumprir essas responsabilidades, bem como atingir seus objetivos, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover. O Control Objectives for Information and related Technology (Cobit®) fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do Cobit® representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas saem erradas. 6.1.2 Evolução do Cobit® Até os dias de hoje, chegamos a sete versões do Cobit® criadas ao longo do seu processo evolutivo. Quando ele foi criado em 1994, o seu foco era auditoria, devido às fortes influências da Isaca e do Coso na formação do framework, bem como em seus processos, objetivos e práticas. 118 Unidade III A segunda versão do Cobit® sofreu uma influência ainda maior do Coso e teve um viés muito forte em controles. Ela foi lançada pela Isaca em 1998 e começou a dar ênfase na ideia de objetivos de controle como fatores críticos de sucesso para o sistema de governo da TI. A terceira versão foi lançada em 2000 com foco no gerenciamento da TI. Nesse dado momento da evolução da Cobit®, o framework sofre grandes influências dos modelos de gestão de TI (Itil®, por exemplo). É também a partir dessa versão que a Isaca cria o Instituto de Governança de TI, conhecido como ITGI®. O ITGI® funcionou até a versão 5 do framework como uma divisão da Isaca, responsável por administrar o Cobit®. O Cobit® 4 foi lançado em 2005 e, em 2007, sofreu uma atualização com a versão 4.1. O foco dessas versões foi, de fato, a governança de TI de forma geral e a aderência às normas e regulamentações como a Lei Sarbanes-Oxley, por exemplo. Também nessa versão encontramos um forte alinhamento do Cobit® com inúmeros padrões modernos de gestão de TI, abrangendo projetos, serviços, processos, segurança da informação, dentre outros. Observação A versão 4.1 do Cobit® foi criada de forma a mapear completamente todos os requisitos do Coso e da Lei Sarbanes-Oxley. Em 2012 a Isaca lança o Cobit® na sua versão 5. Ela recebeu forte influência da norma ISO 38500:2008, estabelecendo as diferenças entre governança e gestão (até então um conceito pouco claro na versão 4.1). O Cobit® 5 também trouxe o conceito inovador de habilitadores, além de apresentar guias profissionais para segurança da informação, risco, garantia, avaliação e implementação. Saiba mais Para conhecer um pouco mais sobre a versão 5 do Cobit®, leia o Sumário Executivo do Information Systems Audit and Control Association (Isaca). ISACA. Cobit® 5: a business framework for the governance and management of enterprise IT. Rolling Meadows: Isaca, 2012. No ano de 2019, a Isaca lança uma nova versão do Cobit® e deixa de utilizar uma numeração sequencial de versões, utilizando agora as novas edições de acordo com o ano de lançamento. Assim, chega ao mercado corporativo o Cobit® 2019, apresentado agora como um modelo para governança corporativa de informações e tecnologia, utilizando o acrônimo Egit, que significa Enterprise Governance of Information and Technology. 119 GOVERNANÇA CORPORATIVA DE TI Saiba mais Sobre a versão 2019 do Cobit®, leia o capítulo 1 (introdução) do seguinte material: ISACA. Cobit® 2019: introduction and methodology. Rolling Meadows: Isaca, 2019. O próximo quadro apresenta um resumo da evolução do Cobit®. Quadro 25 – Evolução do Cobit® Ano do lançamento Versão Foco 1996 1 – Auditoria em TI. 1998 2 – Controle interno para a TI. 2000 3 – Gerenciamento da TI. 2005 4 – Governança de TI. 2007 4.1 – Governança de TI. 2012 5 – Governança e gestão. 2019 2019 – Governança corporativa de informação e tecnologia. 6.1.3 Características do Cobit® Ao consultar o framework Cobit®, percebemos diversas características. Apresentaremos algumas bem atuais, constatadas não só na versão de 2019, mas também na versão 5, e algumas referências da versão 4.1. A seguir apresentaremos pelo menos quatro dessas características. A primeira característica do Cobit® é a orientação para os negócios. O Cobit® é um framework que estabelece um diálogo entre as áreas de negócios e a área de TI, por isso, é comum dizer que ele é um modelo totalmente orientado ao negócio. Isso se dá por meio da valorização do alinhamento estratégico da TI, que visa desdobrar objetivos corporativos em objetivos concretos para a área de TI. Tudo isso concorre para o atendimento das necessidades e dos requisitos das partes interessadas. Uma segunda característica do Cobit® é a utilização de métricas e indicadores. Estes são utilizados não apenas para a área de TI de uma forma macro, mas também para práticas, processos e recursos de TI. Os indicadores e métricas apresentados pelo Cobit® permitem medir a aderência da TI às estratégias de negócio e, assim, propiciar a entrega de valor. A forma integrada e única que o framework se apresenta pode ser compreendida como uma terceira característica do Cobit®. Percebemos essa característica por meio dos outros modelos, que são referenciados nas contínuas versões do Cobit® implementadas ao longo de anos pela Isaca. 120 Unidade III Uma quarta característica bem interessante é o estabelecimento de processos e de objetivos. Por exemplo, na versão 4.1, o Cobit® apresenta 34 processos. Já na versão 5 encontramos 37 processos. E, ao analisarmos a versão 2019, encontramos 40 processos que são chamados de objetivos de governança e gestão. 6.1.4 Aplicação e benefícios do Cobit® O modelo Cobit® é um dos mais completos encontrados na área da TI. Dessa forma, encontramos aplicabilidade nas mais diversas oportunidades dentro das empresas. Dentre as aplicações,Fernandes e Abreu (2014) mencionam: • Avaliação de processos da área de TI a partir dos processos e objetivos de governança definidos no Cobit®, de forma a encontrar forças e fraquezas, permitindo a implementação de melhorias que atendam às necessidades de negócio. • Implementação de auditorias relacionadas aos riscos operacionais da TI de forma a mensurar a probabilidade de ocorrência de eventos adversos e a severidade dos impactos mapeados. • Estabelecimento de modularidade na implementação da governança de TI, dando ênfase a processos, práticas e objetivos de governança/gestão mais específicos e importantes em detrimento de outros que não possuem tanta importância. • Possibilidade de realizar um benchmarking, permitindo comparações com padrões internacionais praticados pelo mercado. • Estabelecimento de processos de qualificação de fornecedores de produtos e serviços de TI. Ainda é possível citar inúmeros benefícios alcançados por meio da aplicação do Cobit® nas organizações. Fernandes e Abreu (2014, p. 226) mencionam os seguintes benefícios: Responsabilidades e protocolos de comunicação bastante claros, tornando a circulação de informações mais direta e precisa entre os grupos interessados. Visão clara acerca da situação atual dos processos de TI e de seus pontos de vulnerabilidade. Redução da exposição a riscos (obviamente, caso sejam tomadas ações de melhoria preventivas em relação aos pontos negativos dos processos). Maior solidez e assertividade no planejamento encadeado das ações de melhoria, devido ao entendimento das dependências entre os processos e dos recursos necessários a serem envolvidos. Alta visibilidade, por parte de todos os níveis da organização, acerca do impacto dos esforços de melhoria nos processos de negócio, através das medições de resultados e dos indicadores de desempenho. 121 GOVERNANÇA CORPORATIVA DE TI Redução de custos operacionais e de propriedade do acervo de TI (aplicativos e infraestrutura). Melhoria da imagem perante os clientes, através do aumento do grau de satisfação e da confiabilidade em relação aos serviços de TI. 6.2 Cobit® 4.1 e Cobit® 5 6.2.1 Cobit® 4.1 Lançada em 2007, a versão 4.1 tem o seu foco na governança de TI e aprimora a sua versão anterior, sendo totalmente aderente às regulamentações de mercado e ao controle interno preconizado pelo Coso. O Cobit® 4.1 apresenta como principais características: foco no negócio; orientação a processos; orientação por métricas; e fundamentação em controles. Segundo o ITGI (2007), essa versão tem por princípio que os requisitos de negócios direcionem os investimentos nos recursos de TI, que, por sua vez, são utilizados pelos processos de TI para gerar a informação organizacional requisitada pelo negócio. A figura a seguir apresenta esses princípios básicos do Cobit® 4.1. Cobit® Requisitos de negócios Processos de TI Recursos de TI Informação organizacional os quais respondem a para entregar direcionam investimentos em usados por Figura 27 – Princípios básicos do Cobit® 4.1 Fonte: ITGI (2007, p. 12). O Cobit® 4.1 é muito focado em processos, e eles são dispostos em quatro domínios que objetivam ações de planejamento, construção, processamento e monitoramento. A estrutura de processos é a base do framework nessa versão, que tem os seus domínios apresentados a seguir: 122 Unidade III Planejar e organizar Entregar e suportar Monitorar e avaliar Adquirir e implementar Os quatro domínios inter-relacionados do Cobit® Figura 28 – Domínios de processos do Cobit® 4.1 Fonte: ITGI (2007, p. 14). 6.2.2 Estrutura do Cobit® 4.1 A estrutura do Cobit® 4.1 apresenta-se com um conjunto de três componentes fundamentais: requisitos de negócios; processos de TI; e recursos de TI. A figura a seguir apresenta os componentes do Cobit® 4.1 na forma de um cubo. Os processos, conforme já mencionados, integram a base do modelo, cobrindo as atividades-padrão de uma área de TI. Eles são 34, divididos em quatro domínios: planejar e organizar (PO); adquirir e implementar (AI); entregar e suportar (ES); e monitorar e avaliar (MA). O domínio planejar e organizar cobre as estratégias e táticas da corporação, preocupando-se na forma como a TI pode contribuir para que o negócio alcance os seus objetivos. O domínio adquirir e implementar abrange a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida. O domínio entregar e suportar trata da entrega dos serviços solicitados, do gerenciamento da segurança e da continuidade, e do gerenciamento de dados e recursos operacionais. O domínio monitorar e avaliar aborda o gerenciamento do desempenho, o monitoramento do controle interno, a aderência regulatória e a governança. Domínios Efe tivi dad e Efic iên cia Con fide nci alid ade Inte grid ade Dis pon ibil ida de Con for mid ade Con fiab ilid ade Processos Rec urs os d e TI Ap lic at iv os In fo rm aç õe s In fr ae st ru tu ra Pe ss oa s Atividades Requisitos de negócios Pr oc es so s d e TI Figura 29 – Estrutura do Cobit® 4.1 Fonte: ITGI (2007, p. 27). 123 GOVERNANÇA CORPORATIVA DE TI Os processos do Cobit® 4.1 com seus respectivos códigos podem ser vistos a seguir: Quadro 26 – Processos do Cobit® Domínio Código Processo Pl an ej ar e o rg an iz ar PO1 Definir um plano estratégico de TI. PO2 Definir a arquitetura da informação. PO3 Determinar o direcionamento tecnológico. PO4 Definir processos, organização e relacionamentos de TI. PO5 Gerenciar o investimento de TI. PO6 Comunicar as diretrizes e expectativas da diretoria. PO7 Gerenciar os recursos humanos de TI. PO8 Gerenciar a qualidade. PO9 Avaliar e gerenciar os riscos de TI. PO10 Gerenciar projetos. Ad qu iri r e im pl em en ta r AI1 Identificar soluções automatizadas. AI2 Adquirir e manter software aplicativo. AI3 Adquirir e manter infraestrutura de tecnologia. AI4 Habilitar operação e uso. AI5 Adquirir recursos de TI. AI6 Gerenciar mudanças. AI7 Instalar e homologar soluções e mudanças. En tr eg ar e su po rt ar ES1 Definir e gerenciar níveis de serviços. ES2 Gerenciar serviços terceirizados. ES3 Gerenciar o desempenho e a capacidade. ES4 Assegurar a continuidade dos serviços. ES5 Assegurar a segurança dos sistemas. ES6 Identificar e alocar custos. ES7 Educar e treinar os usuários. ES8 Gerenciar a central de serviço e os incidentes. ES9 Gerenciar a configuração. ES10 Gerenciar problemas. ES11 Gerenciar os dados. ES12 Gerenciar o ambiente físico. ES13 Gerenciar as operações. M on ito ra r e av al ia r MA1 Monitorar e avaliar o desempenho de TI. MA2 Monitorar e avaliar os controles internos. MA3 Assegurar a conformidade com requisitos externos. MA4 Prover governança de TI. Adaptado de: ITGI (2007). 124 Unidade III O segundo componente da estrutura são os critérios da informação, também conhecidos como requisitos de negócios. Eles apresentam o critério adequado que as informações precisam atender para que os usuários da TI tenham o valor esperado entregue. O próximo quadro apresenta esses critérios e uma pequena descrição. Quadro 27 – Critérios de informação Critério de informação Descrição Efetividade Remete à informação importante para os processos de negócio entregues no tempo e modo corretos, consistente e utilizável. Eficiência Define a entrega da informação com o uso mais produtivo possível dos recursos. Confidencialidade Relaciona-se à segurança de informações no que tange ao aspecto confidencialidade para evitar a divulgação indevida. Integridade Remete à fidedignidade, inteireza e totalidade da informação além da sua validade quando comparada aos requisitos de negócios solicitados. Disponibilidade Trata-se da disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Conformidade Está relacionada ao cumprimento de questões de compliance que os processos de negócios estão sujeitos. ConfiabilidadeRemete à entrega da informação apropriada solicitada pelo negócio. Adaptado de: ITGI (2007). O terceiro componente da estrutura do Cobit® 4.1 é formado pelos recursos de TI, que são a base para a execução dos processos de TI. Os recursos de TI descritos no Cobit® 4.1 são: aplicativos (sistemas automatizados utilizados pelo usuário); informações (conjunto de dados estruturados que geram valor para o usuário); infraestrutura (conjunto de recursos tecnológicos que possibilitam o processamento de aplicativos); e pessoas. 6.2.3 Cobit® 5 O Cobit® teve a sua versão 5 lançada em 2012 como um modelo para governança e gestão de TI. Ele apresenta algumas diferenças quando comparado com a versão 4.1, e os benefícios obtidos por meio de sua implementação são maiores. Dentre eles, a Isaca (2012) menciona: • Apresentação de uma visão clara dos habilitadores de TI e suas vulnerabilidades. • Maior assertividade na tomada de decisão, a partir de processos definidos, estruturados e controlados. • Gerenciamento de informações com alta qualidade para suportar as decisões de negócios. • Atingimento de metas estratégicas e entrega de benefícios de negócio por meio do efetivo uso da TI, gerando assim ganho de valor dos investimentos em TI. 125 GOVERNANÇA CORPORATIVA DE TI • Redução da exposição aos riscos relacionados com a TI. • Aperfeiçoamento e equilíbrio dos custos de serviços de TI. • Manutenção da conformidade com leis, regulamentos, acordos contratuais e políticas. • Aumento significativo da visibilidade a todos os níveis da organização em decorrência dos esforços de melhoria implantados pelos processos. • Maior solidez no planejamento estratégico. A família de produtos do Cobit® 5 é composta de: • Cobit® 5: visão geral do framework contendo de forma resumida princípios, habilitadores, e passos e diretrizes para o seu uso. • Guia habilitador de processos (Cobit® 5 Enabling Process): guia de referência detalhado do habilitador de processos. • Guia habilitador de informações (Cobit® 5 Enabling Information): guia que explica detalhadamente o modelo de informação e fornece exemplos de entidades de informação totalmente elaboradas. • Guia profissional de implementação (Cobit® 5 Implementation): fornece uma abordagem de boas práticas para a implementação da governança de TI com base no ciclo de vida de melhoria contínua devendo ser adaptado às necessidades específicas da empresa. • Guia profissional para segurança da informação (Cobit® 5 for Information Security): guia essencial nas operações diárias das empresas mencionando questões de segurança da informação. • Guia profissional para risco (Cobit® 5 for Risk): guia de orientação específica sobre os riscos de TI. • Guia profissional para garantia (Cobit® 5 for Assurance): guia centrado na garantia, fornecendo orientações mais detalhadas e práticas para os profissionais de certificação e outras partes interessadas em todos os níveis da empresa sobre como utilizar o Cobit® 5 para suportar as atividades de garantia de TI. • Guia profissional de programa de avaliação (Cobit® 5 Assessment Program): guia para avaliação dos processos de TI. A figura a seguir apresenta a família de produtos do Cobit® 5. 126 Unidade III Cobit® 5 Ambiente colaborativo online do Cobit® 5 Cobit® 5 Implementação Cobit® 5 para Segurança da Informação Cobit® 5 para Garantia (Assurance) Cobit® 5 para Risco Outros guias profissionais Outros guias de habilitadores Cobit® 5 Habilitador Informação Cobit® 5 Habilitador Processos Guias de habilitadores do Cobit® 5 Guias de profissionais do Cobit® 5 Figura 30 – Família de produtos Cobit® 5 Fonte: Isaca (2012, p. 13). 6.2.4 Estrutura do Cobit® 5 O Cobit® 5 é estruturado a partir de cinco princípios, que podem ser vistos a seguir: Princípios do Cobit® 5 1. Atender às necessidades das partes interessadas 5. Distinguir a governança da gestão 4. Permitir uma abordagem holística 2. Cobrir a empresa de ponta a ponta 3. Aplicar um framework único e integrado Figura 31 – Princípios do Cobit® 5 Fonte: Isaca (2012, p. 15). O primeiro princípio menciona o atendimento às necessidades das partes interessadas, a fim de equilibrar a realização de benefícios, a otimização do risco e a utilização de recursos. Por isso, o Cobit® 127 GOVERNANÇA CORPORATIVA DE TI apresenta a cascata de objetivos, que auxilia no desdobramento de objetivos corporativos de alto nível em objetivos de TI, e estes, por sua vez, em práticas para a área de TI. A figura a seguir apresenta a cascata de objetivos do Cobit® 5. Necessidades das partes interessadas Direcionadores das partes interessadas (ambiente, evolução tecnológica etc.) Realização de benefícios Otimização do risco Otimização dos recursos Objetivos corporativos Influencia Desdobra em Apêndice D Figura 5 Figura 6 Desdobra em Apêndice B Desdobra em Apêndice C Objetivos de TI Objetivos de habilitador Figura 32 – Cascata de objetivos do Cobit® 5 Fonte: Isaca (2012, p. 20). O segundo princípio trata da cobertura de ponta a ponta da organização, integrando a governança de TI à governança corporativa. A ideia desse princípio é fazer o Cobit® 5 ir além da função de TI, considerando as tecnologias relacionadas como ativos da organização. O terceiro princípio menciona a aplicação de um framework único e integrado, provendo as orientações de melhores práticas para a TI. Considerando esse princípio, o Cobit® relaciona-se a diversos outros modelos, tendo as suas práticas desdobradas para as outras áreas internas da TI. O quarto princípio apresenta o Cobit® por meio de uma abordagem holística de habilitadores, como componentes interligados. O Cobit® 5 apresenta sete habilitadores que ajudam a atingir objetivos estratégicos da organização. Esses são considerados também componentes do Cobit® 5 e podem ser vistos a seguir: 128 Unidade III 1. Princípios, políticas e frameworks 2. Processos 5. Informação 3. Estruturas organizacionais 6. Serviços, infraestrutura e aplicativos 4. Cultura, ética e comportamento 7. Pessoas, habilidades e competências Recursos Figura 33 – Habilitadores do Cobit® 5 Fonte: Isaca (2012, p. 28). O quinto e último princípio apresenta as diferenças entre governança e gestão, colocando as duas disciplinas de formas completamente diferentes. Esse princípio pode ser verificado inclusive no modelo dos processos do Cobit® 5, que é composto de um domínio de governança (avaliar; dirigir; monitorar) e quatro domínios de gestão (planejar; construir; entregar; monitorar). Planejar (APO) Construir (BAI) Entregar (DSS) Monitorar (MEA) MonitorarDirigir Avaliar Gestão Governança Necessidades do negócio Feedback da gestão Figura 34 – Domínios de processos do Cobit® 5 Fonte: Isaca (2012, p. 34). 129 GOVERNANÇA CORPORATIVA DE TI O Cobit® 5 apresenta 37 processos agrupados nesses domínios, conforme pode ser visto a seguir: AP001 gerenciar a estrutura de gestão de TI BAI01 gerenciar programas e projetos DSS01 gerenciar operações APO08 gerenciar relacionamentos BAI08 gerenciar conhecimento APO02 gerenciar a estratégia BAI02 gerenciar definição de requisitos DSS02 gerenciar solicitações e incidentes de serviços APO09 gerenciar contratos de prestação de serviços BAI09 gerenciar ativos APO03 gerenciar arquitetura da organização BAI03 gerenciar identificação e desenvolvimento de soluções DSS03 gerenciar problemas APO10 gerenciar fornecedores BAI10 gerenciar configuração APO04 gerenciar inovação BAI04 gerenciar disponibilidade e capacidade DSS04 gerenciar continuidade APO11 gerenciar qualidade APO05 gerenciar portfólio BAI05 gerenciar capacidade de mudança organizacional DSS05 gerenciar serviços de segurança APO12 gerenciar riscos APO06 gerenciar orçamento e custos BAI06 gerenciar mudanças DSS06 gerenciar controles do processo de negócio APO13 gerenciar segurança APO07 gerenciar recursos humanos
Compartilhar