Baixe o app para aproveitar ainda mais
Prévia do material em texto
54 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV Unidade IV 4 O MODELO COBIT 5 É um modelo orientado que tem por finalidade direcionar uma organização a obter uma governança estruturada de TI. Essa governança é que norteia a empresa, ajudando‑a a sedimentar a qualidade nas entregas, transparência e confiabilidade. O modelo COBIT visa não só a governança, como também a gestão de TI da organização pensando em fatores como segurança, risco, processos ligados às transações operacionais, táticas e estratégicas, além de aspectos de avaliação e monitoramento. A família de produtos COBIT 5 é composta dos seguintes livros: COBIT® 5 COBIT® 5: Habilitador processos COBIT® 5 implementação COBIT® 5: Habilitador informação COBIT® 5: para segurança da informação COBIT® 5: para garantia (Assurance) COBIT® 5: para risco Outros guias de habilitadores Outros guias profissionais Ambiente colaborativo online do COBIT® 5 Guias de habilitadores do COBIT 5 Guias profissionais do COBIT 5 Figura 7 ‑ Família de produtos COBIT 5 – Modelo COBIT 5 Os quais são descritos a seguir: • COBIT 5 – o modelo, que contempla uma visão geral entre a área de negócios e a gestão e governança de TI, apresenta os princípios do COBIT 5, seus passos e suas diretrizes. Ele também descreve, de forma resumida, o guia de implementação e expõe os modelos de mapeamentos para objetivos corporativos e de TI. • Guia habilitador de processos (COBIT 5 Enabling Process) – um guia de modelos detalhado de cada processo a ser definido. Também inclui modelo cascata, objetivos e referências. • Guia habilitador de informações (COBIT 5 Enabling Information) – um guia que explica detalhadamente o modelo de informação e fornece exemplos de entidades de informação totalmente elaboradas. É complemento para o guia de processos. 55 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI • Guia profissional de implementação (COBIT 5 Implementation) – fornece uma abordagem de boas práticas para a realização da governança de TI com base no ciclo de vida de melhoria contínua, devendo ser adaptado às necessidades específicas da empresa. • Guia profissional para segurança da informação (COBIT 5 for Information Security) – a segurança da informação é essencial nas operações diárias das empresas; portanto, deve ser assegurada, a fim de manter a confidencialidade e a integridade, proporcionando, simultaneamente, a disponibilidade às pessoas que possuem direitos a ela. • Guia profissional para risco (COBIT 5 for Risk) – visa orientar de forma específica sobre os riscos de informação em relação ao COBIT para os componentes de risco de informação da ISACA. O guia é complemento do guia de segurança da informação. • Guia profissional para garantia (COBIT 5 for Assurance) – tendo como base o quadro COBIT 5, este guia centra‑se na garantia e fornece orientações mais detalhadas e práticas para os profissionais de certificação e outras partes interessadas em todos os níveis da empresa sobre como utilizar COBIT 5 para suportar as atividades de garantia de TI. • Guia profissional do programa de avaliação (COBIT 5 Assessment Programme) – é base para a avaliação dos procedimentos de uma empresa para a governança e gestão de tecnologia da informação e serviços relacionados. Conforme descrito no COBIT 5, possui guias relacionados, tais como: guia de autoavaliação, guia do avaliador e modelo de avaliação de processos. 4.1 Visão geral Visando ter empresas mais competitivas e com qualidade nas informações, o instituto ISACA desenvolveu o modelo COBIT, o qual está em constante desenvolvimento. Neste material aborda‑se o COBIT 5, e isso significa que ele possui versões anteriores, pois já são 15 anos desde a sua criação. Essas atualizações são necessárias, uma vez que o sistema em que a organização está inserida, o cenário, passa por mudanças e elas devem ser refletidas nos dados, números e informações. Pensando nisso, o COBIT baseia‑se em pontos primordiais dentro das organizações. Serão tratados quais são eles e qual o mérito de cada um deles. São fatores relacionados ao ganho de valor da corporação, pois se o COBIT está ligado à governança e esta, por sua vez, tem como foco gerar valor para a organização, ambas estão no mesmo sentido. Para que uma organização consiga alcançar as metas estipuladas, é preciso que as expectativas entre os principais envolvidos estejam bem alinhadas. Sem esse alinhamento, o direcionamento das áreas pode ser divergente e o resultado não chegar. Para o COBIT, todas as partes devem discutir sobre o que almejam da TI e suas tecnologias envolvidas. Neste ponto das tecnologias, os pontos a serem debatidos envolvem fatores de custo, desempenho e risco. São coeficientes críticos em qualquer organização e merecem atenção redobrada, além de muito debate sobre esses temas, os quais tencionam chegar a um senso comum à grande maioria. Quando tratamos de custos, é impreterível que sejam expostos 56 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV custos reais, prováveis e até possíveis custos advindos de falhas ou pontos não programados, além dos elementos retorno a curto, médio ou longo prazo. Saiba mais Para saber mais sobre a evolução do COBIT, suas versões anteriores e demais livros, produtos e características do COBIT 5, consulte o site do órgão responsável, o ISACA (Information Systems Audit and Control Association – Associação de Auditoria e Controle de Sistemas de Informação): <https://www.isaca.org>. Nele, além das informações sobre o COBIT, é possível também se cadastrar para receber informativos, consultar outros produtos auditados pela organização e conhecer outras certificações. A organização está preparada para assumir o grau de risco sem que haja abalos nas suas estruturas internas? Este é um dos questionamentos a serem realizados neste debate. Nem todos em uma empresa estão qualificados para lidar com riscos elevados. Todas estas objeções são tratadas, debatidas e remoídas para que a organização tenha um desempenho esperado ou além dele. A transparência nas informações é de imenso valor, pois somente dessa forma se consegue chegar a um debate focado, direcionado e que produza resultados. Reger uma estrutura de TI cada dia mais onipresente é um desafio que o COBIT procura ajudar. Com o passar das décadas, as TIs deixaram de ser um mal necessário e passaram a ser parte integrante, indivisível, indissolúvel da organização. Não basta ter áreas de negócios e de tecnologia bem estruturadas, mas que não se conversam. No ponto em que estamos, esta ligação vai muito além das conversas. As áreas de negócio e tecnologia pertencem a um único cenário integrado; uma trabalha em prol da outra. Elas se ajudam mutuamente, se completam com informações e procedimentos de trabalho. Este fator merece zelo e cuidado, pois o conflito entre elas, TI e negócios, pode ser fatal. Vale lembrar que a quantidade de executivos de negócios com know‑how em TI tem crescido significativamente no mundo corporativo. Outro aspecto relevante para a organização é resguardar as áreas responsáveis pelas TIs e as áreas de negócio de ponta a ponta, a fim de garantir a eficiência da gestão de TI e da governança corporativa. Faz‑se necessário o controle total das estruturas organizacionais, políticas, processos e cultura. Este último ponto carece de atenção constante, pois a implantação da governança de TI impacta diretamente a cultura do local e mudá‑la mexe com a essência das pessoas. Se essa cultura não for direcionada corretamente, pode ser um problema grande para a empresa. A cobertura das áreas de negócio faz com que haja uma maior integração entre todas as áreas e visões na empresa, trazendo um ganho significativo de congruência e valor ao negócio. 57 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab rícia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI Nenhuma área de TI trabalha sozinha, ela possui uma série de conexões que são responsáveis pelas suas entregas e sua existência. A área de tecnologia depende de conexões externas, links de internet, de dados, de manutenção de equipamentos que pode ser interna ou outsource, além de consultores, clientes e um aglomerado de serviços e mecanismos necessários para que as atividades fluam corretamente. Essa dependência deve ser cuidada com primor, pois o cuidado não é apenas com os equipamentos e serviços, e sim com as pessoas envolvidas no processo como um todo. O bom funcionamento desta estrutura resulta no aumento de valor para o negócio. A tomada de decisão correta em uma organização depende de uma série de aspectos e um deles diz respeito à integridade e consistência dos dados que geraram esta informação. Para isso, é valoroso que a origem dos dados seja confiável, íntegra e correta; desse modo, o processamento dos dados pode gerar informações relevantes, ou seja, dados que colaboram para a tomada de decisão assertiva, direta e que traz ganhos de valor para a empresa. Também é importante tratar da quantidade das informações geradas. É preciso separar o importante no momento daquilo que não se faz significativo agora, mas será útil em um dado momento do futuro. Deve‑se ter essa acuidade, pois o volume de informações existentes em uma organização é prodigioso e nem sempre consegue se ter essa dimensão. Neste ponto, alguém pode estar se perguntando: mas tudo tem como objetivo final gerar ganho de valor para a organização? A resposta é simples: sim. A governança de TI tem esse propósito e se estamos estruturando a instituição tendo como base o modelo COBIT, por qual motivo ele seria diferente? Estes pontos apresentados são os fatores que motivaram a construção do modelo COBIT e todos eles são, de alguma forma, relevantes. Ter controle de todas as aplicações que são processadas em uma organização parece uma missão quase impossível, uma vez que os usuários também baixam soluções ou desenvolvem pequenas ferramentas utilizando os recursos internos, ferramentas essas como planilhas de controles ou minibanco de dados para controles diários. Essas aplicações, muitas vezes, somam um grande número de dados da corporação que está sendo acompanhando ou produzido em ferramentas extraoficiais, mas é preciso, através de um mapeamento interno, monitorar e controlar essas soluções, pois pode‑se perder informações importantes. Por fim, o COBIT 5 tem a necessidade de atingir alguns pontos cruciais à sua existência, que é ter uma TI inovadora e eficiente que conceba valor para a organização por intermédio de sua presença; satisfaça os usuários de negócios e TI; cumpra leis, regulamentos, acordos contratuais e políticas internas pertinentes, e sempre melhore as relações entre a visão corporativa e os objetivos de tecnologia da informação. 4.1.1 Benefícios com sua utilização Por ser um modelo bem estruturado, o COBIT 5 agrega valores e benefícios para a organização no qual ele foi implantado. Porém esses proveitos só serão possíveis se todo o processo de implementação for realizado corretamente e possuir posteriormente um acompanhamento diário. Todo processo que visa a qualidade necessita atenção e dedicação constantes, sendo passível de ajustes visando sempre a melhoria continuada. Os benefícios são inúmeros com a utilização contínua do COBIT 5 como modelo de governança de TI; são eles: • apresentar uma visão clara dos facilitadores da TI e suas vulnerabilidades; 58 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV • maior assertividade na tomada de decisão, uma vez que se tenha processos definidos, estruturados e controlados, obtendo mais transparência nas informações e melhor visibilidade ao negócio; • gerenciar informações de alta qualidade para suportar as decisões de negócios; • atingir metas estratégicas e entregar benefícios de negócio por meio do efetivo uso da TI, gerando assim ganho de valor dos investimentos em TI; • tanger a excelência operacional por intermédio da aplicação confiável e eficiente da TI; • reduzir a exposição a riscos relacionados com a TI; • aperfeiçoar e equilibrar os custos de serviços de TI; • manter a conformidade com leis, regulamentos, acordos contratuais e políticas; • reduzir os custos operacionais e o acervo de TI; • aumentar significativamente a visibilidade a todos os níveis da organização, em decorrência dos esforços de melhoria implantados pelos processos; • maior solidez no planejamento estratégico, pois possuem dados mais confiáveis e íntegros. 4.2 Princípios do COBIT 5 Embasado por princípios básicos como apresentado na figura a seguir, o COBIT busca atender a cada um deles e, dessa forma, prover uma governança e gestão de TI competentes. 1. Atender às necessidades das partes interessadas 2. Cobrir a empresa de ponta a ponta Princópios do COBIT 5 5. Distinguir a governança da gestão 3. Aplicar um framework único e integrado 4. Permitir uma abordagem holística Figura 8 – Princípios do COBIT 5 – Modelo Cobit 5 59 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI Para entender como funciona este modelo, serão comentados cada um dos princípios apresentados. 4.2.1 Atender às necessidades das partes interessadas Objetivando apoiar a criação de valor com o uso da TI, esse princípio trabalha os processos e as habilidades para que a organização alcance os seus objetivos. Vale ressaltar que cada empresa possui características particulares, e mesmo que pareçam idênticos, eles possuem suas particularidades. Para atender a essas singularidades, o COBIT 5 pode ser customizado de forma a atender com mais amplitude o contexto de cada companhia. Desse modo é possível refletir os objetivos corporativos de alto nível em propósitos de TI que são passiveis de gerenciamento. Necessidades das partes interessadas Realização de benefícios Otimização do risco Otimização dos recusros Objetivo da governança: criação de valor Di re ci on am Figura 9 – Objetivo da governança: criação de valor – Modelo Cobit 5 Quem são as partes interessadas? Esta deve ser a primeira pergunta que vem à mente quando olhamos essa figura. As partes interessadas são muitas. Os stakeholders são todas as pessoas que têm interesse de alguma forma na organização, em seus bens, lucros e valores, os quais podem ser clientes, acionistas, funcionários, diretores, beneficiários, entre outros. Todos eles com um interesse em comum: o crescimento e o aumento de valor da organização. A governança, por sua vez, tem o papel de negociar, ser a mediadora entre as partes, pois nem sempre as partes interessadas têm o mesmo interesse ou a mesma opinião sobre um determinado assunto. Para embasar essa tomada de decisão na criação de valor conforme figura anterior, é importante se estabelecer a resposta para três perguntas básicas: • Quem recebe os benefícios? • Quem assume os riscos? • Quais são os recursos necessários? Após, com as respostas levantadas, é preciso ajustar esse alinhamento entre a governança de TI e a área de negócios da organização. Para ajudar nesta estruturação, o COBIT 5 possui um mecanismo denominado cascata de objetivos. Esse artifício realiza a interpretação das necessidades das partes interessadas em fins corporativos específicos, personalizados, objetivos de TI, cooperando efetivamente para o alinhamento entre as necessidades corporativas e os serviços e soluções de TI. 60 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV A cascata de objetivos permite a definição de prioridades para implementação, aprimoramento e garantia de governança corporativa de TI com base em objetivos estratégicos e riscos relacionados. Com este mecanismo se ganha objetivos tangíveis, relevantese melhores definidos, estrutura de uma base detalhada dos objetivos do próprio negócio da organização, além de estabelecer uma forma de comunicação clara e transparente. Partes interessadas Necessidades das partes interessadas Otimização do risco Otimização de benefícios Otimização dos recursos Objetivos corporativos Objetivos de TI Objetivos de habilitador Influência Desdobra em Desdobra em Desdobra em Figura 10 – Visão geral da cascata de objetivos O mecanismo de cascata é composto de cinco passos, como demonstra a figura anterior. A seguir, será descrito o passo a passo em cada uma de suas etapas: • 1º passo: apresentar os direcionadores das partes interessadas. Por se tratar de diversas partes, elas nem sempre convergem em uma única direção. Neste passo serão apontados os motivadores, quais mudanças de estratégia são esperadas, ou qual regulamento, política precisa ser revisto. Neste momento é apenas feita a apresentação deles. • 2º passo: desdobrar as necessidades das partes interessadas em objetivos corporativos. Em posse delas, podemos comparar se elas não estão presentes nos objetivos corporativos genéricos da organização. Esses objetivos foram definidos em algum momento através de outras ferramentas estratégicas como balanced scorecard, ou até mesmo podem ter sido levantados utilizando uma tabela de mapeamento de objetivos corporativos. Nela se responde perguntas diversas sobre a necessidade das partes interessadas, como, por exemplo: — Como faço para obter valor com o uso de TI? 61 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI — Os usuários finais estão satisfeitos com a qualidade do serviço de TI? — Como posso gerenciar o desempenho de TI? — Como posso explorar melhor as novas tecnologias para novas oportunidades estratégicas? — Como faço para criar e estruturar da melhor forma o meu departamento de TI? — Tenho pessoal suficiente para TI? Como faço para desenvolver e manter sua capacitação, e como controlo seu desempenho? — Como faço para obter garantia do funcionamento de TI? — As informações que estou processando estão bem protegidas? Entre outras tantas perguntas, esse mapeamento torna‑se apoio para o desdobramento dos objetivos. Observação As dimensões necessárias para a elaboração dos objetivos corporativos e dos objetivos de TI são as quatro dimensões presentes no BSC (Balanced Scorecard): financeira, cliente, interna e treinamento e crescimento. • 3º passo: desdobrar os objetivos corporativos em TI. Com base nos objetivos corporativos se direciona os resultados esperados em TI, sempre estruturados de acordo com as dimensões do balanced scorecard de TI (IT BSC). Para esse passo, o COBIT 5 define 17 objetivos de TI. • 4º passo: desdobrar os objetivos de TI em objetivos do habilitador. Atingir metas e objetivos não é fácil e requer propósitos bem definidos. Além disso, é necessária a aplicação de diversos habilitadores para o sucesso dos fins. Estão inclusos nos habilitadores os processos, as estruturas organizacionais e as informações, e para cada habilitador, um conjunto específico de metas relevantes que podem ser utilizadas como fundamento aos objetivos de TI. 4.2.2 Cobrir a organização de ponta a ponta Pensando não somente na TI de forma isolada como uma simples função, o modelo COBIT 5 a vê como um ativo. Ao ser pensado dessa forma, ele deve ser tratado como qualquer outro ativo da organização, recebendo a mesma atenção que os demais. Ele poderá, sim, ter perdas, mas os ganhos, com certeza, serão maiores, pois a TI será refletida por quem a entende e por quem não entende muito, mas que a vê com importância fundamental à empresa. Outro quesito importante neste princípio diz respeitos aos habilitadores (processos, pessoas, regras etc.) da governança de TI que são aplicáveis a toda organização e não de forma restrita apenas à TI. Este ponto faz com que a instituição crie uma estrutura organizada, concisa e transparente. 62 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV No segundo princípio do COBIT 5 é relevante pensar na integração da governança corporativa de TI dentro da governança corporativa, cobrir todas as funções e os processos requeridos, não focando apenas nas funções de TI, e sim tratando as informações e tecnologias relacionadas como ativos que precisam ser tratados como qualquer outro ativo por todos na organização. Dessa forma, os gestores de negócio têm a responsabilidade de tratar a TI como um ativo estratégico, gerenciando‑a da mesma forma como fazem com os outros ativos da organização. Para que essa abordagem funcione corretamente, é necessário seguir o modelo da figura a seguir: Realização de benefícios Habilitadores da governança Otimização do risco Funções, atividades e relacionamentos Otimização dos recusros Escopo da governança Objetivo da governança: criação de valor Figura 11 – Governança e gestão de TI no COBIT 5 – Modelo Cobit 5 Exploraremos o que representa cada vertente desta representação. • Habilitadores da governança: são facilitadores, recursos que visam proporcionar meios pelos quais os objetivos posam ser alcançados, são eles: modelos, processos, princípios, como, por exemplo, toda a infraestrutura de TI desenhada, detalhada com suas regras, funções, papéis e aplicações. • Escopo da governança: define‑se nesta vertente em qual ponto a governança será aplicada. Pode ser em toda a organização, uma entidade, um ativo tangível ou intangível, entre outros. Faz‑se necessário essa definição para poder direcionar corretamente o programa. • Papéis, atividades e relacionamentos: configura quais elementos estão envolvidos com a governança e como eles estabelecem sua ligação. Os elementos aqui citados são papéis, atividades e relacionamentos de governança. Na figura a seguir podemos visualizar essa interação entre os papéis, funções e as suas áreas correlatas. 63 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI Funções, atividades e relacionamentos Proprietários e partes interessadas Conselho de administração Operações e execução Corpo diretivo Delegam Define orientação Instrui e alinha Responsabiliza Monitora Reportam Figura 12 – Principais funções, atividades e relacionamentos – Modelo Cobit 5 4.2.3 Aplicar um modelo único integrado Tencionando uma abrangência muito maior do que apenas a área de TI, o modelo busca realizar uma integração de práticas e conceitos que atendam a toda estrutura organizacional. Ela está arquitetada em vários modelos, criando assim um conjunto de atividades, padrões e modelos que fazem do COBIT essencial não apenas para TI, mas para a organização como um todo, fazendo com que a empresa tenha domínio e governança sobre toda a sua estrutura. Habilitadores do COBIT 5 COBIT 5 Guias de habilitadores do COBIT Guias profissionais do COBIT 5 Ambiente colaborativo on‑line do COBIT 5 Orientação ISACA (COBIT, Val IT, Fisk IT, BMS, ...) Novos materiais de orientação da ISACA Outros padrões e frameworks Base de conhecimento do COBIT 5 Filtro de conteúdo para a base de conhecimento • Orientação e conteúdo atuais • Estrutura para conteúdos futuros Família de produtos COBIT 5 Figura 13 – Modelo único integrado e alinhado – Modelo Cobit 5 64 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV 4.2.4 Permitir uma abordagem holística Quando pensamos em governança, fica muito difícil tentar compreender o que pode ser uma visão holística dela, ainda mais em governança de TI. No entanto, a visão holística se faz necessária, uma vez que cria um modelo mais eficiente e eficaz para o cenário da organização. Essa visão leva em conta diversos componentes interligados que podemos definir como habilitadores da governança, os quais estão divididosem categorias. São elas: princípios, políticas e modelos; processos; estruturas organizacionais; cultura, ética e comportamento; informação; serviços, infraestrutura e aplicativos; pessoas, habilidades e competências. No quarto princípio, são trabalhados os habilitadores ou facilitadores para uma melhor compreensão do termo. 1. Princípios, políticas e frameworks 2. Processos 5. Informação 3. Estruturas organizacionais 6. Serviços, infraestrutura e aplicativos 4. Cultura, ética e comportamento 7. Pessoas, habilidades e competências Recursos Figura 14 – Habilitadores corporativos – Modelo Cobit 5 Os facilitadores são coeficientes individuais ou coletivos que intervêm no funcionamento da governança e gestão de TI. No modelo COBIT 5 são apresentadas sete categorias de habilitadores ou facilitadores, são elas: • Princípios, políticas e frameworks: é a forma de representar o comportamento esperado em boas práticas constantes em um guia prático para a gestão ordinária. • Processos: descreve um conjunto de passos organizados de práticas e atividades que visam atingir determinados objetivos e que, ao final, produzem artefatos que auxiliam no cumprimento das metas relacionadas à TI. • Estruturas organizacionais: composta de entidades‑chaves responsáveis pela tomada de decisão em uma organização. • Cultura, ética e comportamento: ponto vultoso em uma organização, é ela que de define a estrutura de sucesso nas atividades de governança e gestão. 65 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI • Informação: representa todas as informações produzidas e utilizadas pela organização. É imprescindível para mantê‑la no foco da boa governança. • Serviços, infraestrutura e aplicações: representa toda a infraestrutura, tecnologias e suas aplicações fornecidas à organização pelos serviços de TI. • Pessoas, habilidades e competências: concernente com as pessoas que executam as atividades necessárias para o sucesso da demanda, também são elas as responsáveis pelas práticas relacionadas às decisões e ações corretivas para que sejam realizadas de forma correta. Todos os habilitadores possuem um conjunto de dimensões comuns que buscam apresentar uma característica compartilhada, simples e estruturada de tratamento, permitindo que cada grupo controle suas interações, além de facilitar o resultado de cada habilitador/facilitador. As dimensões são: • Stakeholders: cada habilitador possui stakeholders (partes interessadas) que podem ser internos ou externos à organização, porém todos com seus interesses e necessidades. • Objetivos (goals): para cada habilitador existe uma série de objetivos que fornecem valor pela sua realização. Eles podem ser definidos em termos de resultados esperados do habilitador ou aplicação ou operação do próprio habilitador. Os objetivos dos habilitadores incluem qualidade intrínseca; qualidade contextual; acessibilidade e segurança; ciclo de vida e boas práticas. Um exemplo de habilitadores na prática consta no guia COBIT 5, conforme apresentado a seguir: Uma organização nomeou ‘gerentes de processo’ de TI, encarregados de definir e operar processos de TI eficientes e eficazes, no contexto da boa governança e gestão de TI da organização. Primeiramente, os gerentes de processo se concentraram no habilitador do processo, considerando as dimensões do habilitador: partes interessadas. Partes interessadas incluem todos os atores do processo, ou seja, todas as partes responsáveis, consultadas ou informadas (RACI) sobre, ou durante, as atividades do processo. Para tanto, a tabela RACI, descrita no COBIT 5: Habilitador Processos, poderá ser utilizada. Metas: Cada processo deve definir metas adequadas e indicadores correspondentes. Por exemplo, para o processo Gerenciar Relacionamentos (processo APO08 do COBIT 5: Habilitador Processos), pode‑se encontrar um conjunto de metas e indicadores de processo tais como: — Meta: Bom entendimento, documentação e aprovação das estratégias, planos e requisitos do negócio. — Métrica: Percentual de programas alinhados com os requisitos/ prioridades de negócios da organização. 66 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 Unidade IV — Meta: Existência de bons relacionamentos entre a organização e a área de TI. — Métrica: Classificações de usuário e pesquisas de satisfação do pessoal de TI. ‑ Ciclo de Vida: Cada processo tem um ciclo de vida, ou seja, ele deve ser criado, executado, monitorado e ajustado conforme necessário. Eventualmente, o processo deixa de existir. Neste caso, os gerentes de processo terão de conceber e definir o processo primeiro. Eles podem usar vários elementos do COBIT 5: Habilitador Processos para conceber os processos, ou seja, definir responsabilidades e desmembrar o processo em práticas e atividades, bem como definir os produtos do trabalho do processo (entradas e saídas). Em um segundo momento, o processo deverá ser criado de forma mais sólida e eficiente e para isso os gerentes de processo podem elevar o nível de capacidade do processo. O Modelo de Capacidade de Processo do COBIT 5 inspirado no ISO/IEC 15504 e os atributos de capacidade do processo podem ser usados para essa finalidade (ISACA, 2012, p. 31). 4.2.5 Distinguir a governança da gestão Para o COBIT 5, se faz necessário ter bem claro a diferença entre gestão e governança. Para isso, ele descreve a governança em seu guia do COBIT 5 como: A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos (ISACA, 2012, p.16). Deixando claro o papel e suas intenções dentro da organização, para que ela não se torne algo genérico e sem foco. Já para o mesmo autor, a gestão significa: “A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos” (ISACA, 2012, p.16). Desse modo, é possível implementar uma gestão coerente. Com a utilização da governança e da gestão, além de se seguir esses conceitos básicos e em conjunto com os princípios fundamentais, é possível, sim, se implantar ambas nas organizações e obter eficiência, otimização e transparência para as partes interessadas. Assim, temos uma divisão estruturada conforme demonstra a figura a seguir: 67 Re vi sã o: M ár ci o- D ia gr am aç ão : F ab ríc ia - 0 9/ 05 /2 01 7 GOVERNANÇA CORPORATIVA DE TI Necessidades do negócio Governança Gestão Feedback da gestão Avaliar Dirigir Planejar (APO) Construir (BAI) Entregar (DSS) Monitorar (MEA) Monitorar Figura 15 – Principais áreas de governança – Modelo Cobit 5 Na figura, podemos visualizar a divisão em duas partes de governança com apenas um domínio, o EDM (avaliar, dirigir e monitorar). Este domínio contempla cinco processos de TI e na divisão de gestão temos quatro domínios APO (alinhar, planejar e organizar) com 13 processos; BAI (construir, adquirir e implementar), com dez processos; DSS (entregar, reparar e suportar) com seis processos; e MEA (monitorar, avaliar e medir), com apenas três processos. É o conjunto desses 37 processos bem definidos e estruturados que faz com que se alcance a governança e gestão de TI com qualidade, segurança e transparência. Observação As siglas utilizadas não são traduzidas pois nem sempre coincidem com o texto traduzido. Por exemplo, BAI (build, acquire and implement), na tradução fica construir, adquirir e implementar, porém não se cria novas siglas, mantém‑se a original. Resumo Nesta unidade teve início a abordagem do modelo COBIT 5. Foram estudados quais os conceitos e livros que são contempladosno COBIT 5. Também foram apresentadas as características sobre a visão geral do COBIT e seu funcionamento dentro das organizações. Além disso, foram tratados os benefícios que o COBIT agrega às empresas as quais ele está inserido e mapeado. São princípios do COBIT 5: atender às necessidades das partes interessadas; cobrir a organização de ponta a ponta; aplicar um modelo único integrado; permitir uma abordagem holística e distinguir a governança da gestão.
Compartilhar