Baixe o app para aproveitar ainda mais
Prévia do material em texto
135 GOVERNANÇA CORPORATIVA DE TI Unidade IV 7 COBIT® 2019: INTRODUÇÃO GERAL AO MODELO Nesta unidade conheceremos o modelo Cobit® em sua versão mais atualizada, lançada em 2019. Ela é traduzida como um framework para governança de informação e tecnologia relacionada com uma visão bem mais abrangente que a edição anterior. Faremos primeiro uma introdução ao Cobit® 2019, mostrando o seu contexto e sua estrutura. Logo depois passaremos para os dois conjuntos de princípios, em que um refere-se ao sistema de governança e outro ao framework de governança. Finalizaremos abordando os fatores de desenho e a cascata de objetivos do Cobit® 2019. 7.1 Princípios e práticas 7.1.1 Introdução O Cobit® 2019 está situado em um contexto de governança corporativa de informação e tecnologia, o Enterprise Governance of IT (Egit), que habilita o alinhamento entre TI e negócio (business/IT alignment). Ou seja, faz com que a TI e o negócio utilizem a mesma linguagem e tenham objetivos interligados. Por sua vez, esse alinhamento entre TI e negócio coopera para a criação de valor (value creation) para as partes interessadas. A próxima figura apresenta esse contexto. Enterpise Governance of IT Value creation Business/IT aligment Figura 38 – Contexto da governança corporativa de informação e tecnologia Fonte: Isaca (2019b, p. 11). Observação Todas as publicações do Cobit® 2019 encontram-se disponíveis em língua inglesa, bem como os seus exames de certificação. Por isso, preservaremos as figuras utilizadas nas publicações originais da Isaca, no idioma original, a fim de facilitar o entendimento. 136 Unidade IV A partir do alinhamento estratégico entre a TI e o negócio, o valor pode ser criado de três formas: em uma primeira forma, realizando benefícios por meio dos sistemas e serviços da TI; em uma segunda forma, por meio da otimização de riscos, que precisam ser sempre bem gerenciados; e em uma terceira forma, otimizando recursos e aumentando a eficiência operacional no uso da informação e das tecnologias. Para que alcancemos todos esses resultados, é fundamental a implementação das práticas e de um modelo de governança de TI. Nesse sentido, o Cobit® 2019 se apresenta como opção um modelo disposto em quatro publicações: • Introduction and methodology: apresenta uma introdução geral do modelo, contendo todos os detalhes sobre o Cobit® 2019 e as definições de governança. • Governance and management objectives: descreve os quarenta objetivos de governança e gestão que substituíram os processos da versão anterior (Cobit® 5). • Design guide: apresenta a forma de desenhar uma solução customizada de governança de TI baseada em Cobit® 2019. • Implementation guide: apresenta um guia para implementar o Cobit® 2019 nas organizações. Para compreender melhor a estrutura do Cobit® 2019, a figura a seguir apresenta todos os seus componentes. Figura 39 – Estrutura do Cobit® 2019 Fonte: Isaca (2019b, p. 19). 137 GOVERNANÇA CORPORATIVA DE TI Observando a figura, podemos conhecer as entradas (inputs to Cobit® 2019). A primeira entrada é a versão anterior, Cobit® 5, que traz certa proximidade entre as duas versões. A segunda entrada é formada por frameworks/padrões, além das regulamentações que influenciam na governança da informação e da tecnologia. A última entrada é a contribuição da comunidade de profissionais da Isaca e do mercado de governança de TI em geral, que sempre ajuda a criar melhorias para o modelo. Saiba mais Para informações complementares sobre o tema, leia: ISACA. Cobit® 2019: governance and management objectives. Rolling Meadows: Isaca, 2019. Avançando um pouco mais, encontramos o Cobit® Core, que é formado pelos quarenta objetivos de governança e gestão (governance and managment objectives) divididos nos cinco domínios, sendo um de governança e quatro de gestão. Ao lado do Cobit® Core encontramos os fatores de desenho (design factors) e as áreas de foco (focus area), que, em conjunto com os objetivos de governança e gestão, contribuem para a customização de um sistema de governança corporativa para informação e tecnologia. Um último detalhe interessante da estrutura é que ela se fundamenta nas quatro publicações do Cobit® 2019 já mencionadas. 7.1.2 Princípios O Cobit® 2019 apresenta dois conjuntos de princípios. O primeiro é chamado de princípios do sistema de governança, e o segundo é chamado de princípios do framework de governança. Esses conjuntos de princípios substituem os princípios do Cobit® 5 e podem ser vistos a seguir: Quadro 29 – Princípios do Cobit® 2019 Princípios do sistema de governança Princípios do framework de governança 1. Prover valor para os stakeholders. 2. Abordagem holística. 3. Sistema de governança dinâmico. 4. Distinguir governança de gestão. 5. Customizados para as necessidades empresariais. 6. Sistema de governança fim a fim. 1. Baseados em um modelo conceitual. 2. Framework aberto e flexível. 3. Alinhados aos principais padrões de mercado. Adaptado de: Isaca (2012). 138 Unidade IV Lembrete O Cobit® 5 era formado por cinco princípios: atender às necessidades das partes interessadas; cobrir a empresa de ponta a ponta; aplicar um framework integrado e único; permitir uma abordagem holística; e distinguir governança de gestão. 7.1.3 Componentes do sistema de governança Mais uma inovação trazida pelo Cobit® 2019 foi a criação dos componentes do sistema de governança. Eles substituíram aquilo que entendíamos por habilitadores no Cobit® 5. Segundo a Isaca (2019b, p. 21): O sistema de governança é formado por componentes de forma individual ou coletiva para o bom funcionamento do governo da informação e da tecnologia em uma empresa. Eles também ajudam a atender os objetivos de governança e gestão. Os componentes do sistema de governança são: processos; estruturas organizacionais; princípios, políticas e procedimentos; informação; cultura, ética e comportamentos; pessoas, habilidades e competências; e serviços, infraestrutura e aplicações. Observe (desde a versão 5), que a Isaca vem trabalhando para dividir o protagonismo dos processos com outros componentes. A justificativa reside na ideia de que apenas processos não atestam a eficiência da governança. Precisamos de pessoas, princípios e estruturas organizacionais, enfim, dos outros componentes do sistema de governança. 7.1.4 Áreas de foco Outra mudança interessante no Cobit® 2019 foi a recriação da ideia de áreas de foco, que não existia no Cobit® 5, mas existia no Cobit® 4.1 em um outro contexto e com outras características específicas. Na versão 4.1 as áreas de foco eram compreendidas como cinco pilares que sustentavam e direcionavam o núcleo da governança de TI. Já no Cobit® 2019, por ser um modelo muito mais aberto que a versão 4.1, não há um número limitado de áreas de foco. No Cobit® 2019, segundo a Isaca (2019b, p. 22): Uma área de foco descreve um determinado tópico de governança, domínio ou problema que pode ser tratado por uma coleção de objetivos de governança e gestão e seus componentes. Exemplos de áreas de foco incluem: pequenas e médias empresas, cibersegurança, transformação digital, computação em nuvem, privacidade e DevOps (tradução do autor). 139 GOVERNANÇA CORPORATIVA DE TI 7.2 Fatores de desenho, cascata de objetivos e gerenciamento do desempenho 7.2.1 Fatores de desenho Segundo a Isaca (2019b, p. 23): “Os fatores de desenho são fatores que podem influenciar o design do sistema de governança de uma empresa e posicioná-lo para o sucesso no uso da informação e da tecnologia” (tradução do autor). O Cobit® 2019 estabelece os fatores de desenho (design factors) como um ferramental que adequa o sistema de governança de forma customizada a qualquer empresa ou contexto. Essas adequações e adaptações são fundamentais para a criação de valor a partir da informação e da tecnologia. A figura a seguir apresenta os 11 fatores de desenho do Cobit® 2019. Enterprise strategy Risk profile Enterprisegoals I&T - related issues Threat landscape Compliance requirements Sourcing model for ITRole of IT IT implementation methods Technology adoption strategy Enterprise size Future factors Figura 40 – Fatores de design Fonte: Isaca (2019b, p. 23). O primeiro fator é a estratégia corporativa (enterprise strategy), que influencia fortemente o desenho do sistema de governança. A estratégia vai depender do arquétipo escolhido pela empresa (ou de uma combinação deles com os seus respectivos pesos) dentre aqueles mencionados a seguir: Quadro 30 – Fator de desenho: estratégia corporativa Arquétipo estratégico Foco Crescimento/aquisição Crescimento. Inovação/diferenciação Oferecimento de produtos e serviços diferenciados e inovadores. Liderança em custo Redução de custos em curto prazo. Serviço ao cliente/estabilidade Fornecimento de serviços estáveis e orientados para o cliente. Adaptado de: Isaca (2019b). O segundo fator é representado pelos objetivos corporativos (enterprise goals), que têm forte relação com o primeiro fator. Isso se dá porque, ao definir estratégias, inevitavelmente objetivos são estabelecidos. O próximo quadro apresenta o fator desenho – objetivos corporativos, por meio de um 140 Unidade IV conjunto de objetivos definidos pelo framework Cobit® 2019, considerando as dimensões do BSC. No desenho do sistema de governança, é necessário informar os objetivos corporativos mais importantes. Quadro 31 – Fator de desenho: objetivos corporativos Referência Dimensão do BSC Objetivo corporativo EG01 Financeira Portfólio de produtos e serviços competitivos. EG02 Financeira Risco de negócio gerenciado. EG03 Financeira Conformidade com leis e regulamentos externos. EG04 Financeira Qualidade da informação financeira. EG05 Cliente Cultura de serviço orientada ao cliente. EG06 Cliente Continuidade e disponibilidade do serviço de negócio. EG07 Cliente Qualidade da informação gerencial. EG08 Processos internos Otimização da funcionalidade do processo interno de negócio. EG09 Processos internos Otimização dos custos do processo de negócio. EG10 Processos internos Habilidade, motivação e produtividade da equipe. EG11 Processos internos Conformidade com políticas internas. EG12 Aprendizado e crescimento Programas de transformação digital gerenciados. EG13 Aprendizado e crescimento Inovação de produtos e negócio. Adaptado de: Isaca (2019b). Observação O BSC é um sistema de gestão estratégica que suporta o estabelecimento e o controle de objetivos balanceados em quatro perspectivas ou dimensões: financeira; cliente; processos internos; e aprendizado e crescimento. O terceiro fator de desenho é o perfil de risco (risk profile) da organização relacionada à informação e à tecnologia. Esse fator auxilia no mapeamento das áreas de risco e no apetite para riscos que a empresa possui. O próximo quadro apresenta as categorias de risco. No desenho do sistema de governança, é necessário analisar cada categoria de risco no que tange a impacto e probabilidade. Quadro 32 – Fator de desenho: perfil de risco Referência Categoria de risco 1 Tomadas de decisão de investimentos em TI. 2 Gerenciamento de ciclo de vida de programas e projetos. 3 Custos e supervisão de TI. 4 Especialização em TI, habilidades e comportamentos. 5 Arquitetura corporativa de TI. 6 Incidentes de infraestrutura operacional de TI. 141 GOVERNANÇA CORPORATIVA DE TI Referência Categoria de risco 7 Ações não autorizadas. 8 Problemas de adoção e uso de software. 9 Incidentes de hardware. 10 Falhas de software. 11 Ataques lógicos. 12 Incidentes de terceiros e fornecedores. 13 Incompatibilidade. 14 Questões geopolíticas. 15 Ação industrial. 16 Ação da natureza. 17 Inovação baseada em tecnologia. 18 Questões ambientais. 19 Gerenciamento de dados e informações. Adaptado de: Isaca (2019b). O quarto fator de desenho é o conjunto de questões relacionadas à informação e à tecnologia (related issues – I&T), envolvendo riscos ou demais circunstâncias. O quadro a seguir apresenta essas questões. No desenho do sistema de governança, é necessário apontar quais questões são mais importantes e quais são menos importantes. Quadro 33 – Fator de desenho: questões relacionadas à informação e à tecnologia Referência Descrição A Frustração entre as diferentes entidades de TI em toda a organização devido a uma percepção de baixa contribuição para o valor do negócio. B Frustração entre os departamentos de negócio e o departamento de TI devido a iniciativas fracassadas ou uma percepção de baixa contribuição para o valor do negócio. C Incidentes significativos relacionados à TI, como perda de dados, violações de segurança, falhas em projetos e aplicações. D Problemas de entrega de serviços pelos terceiros de TI. E Falhas em atender aos requisitos regulatórios ou contratuais relacionados à TI. F Descobertas regulares de auditoria, ou outros relatórios de avaliação sobre baixo desempenho de TI, ou qualidade de TI relatada ou problemas de serviço. G Gastos substanciais de TI ocultos e desonestos. H Duplicações ou sobreposições entre várias iniciativas ou outras formas de recursos desperdiçados. I Recursos de TI insuficientes, equipe com habilidades inadequadas ou desgaste/insatisfação da equipe. J Mudanças habilitadas por TI ou projetos que frequentemente falham em atender às necessidades dos negócios e são entregues com atraso ou geram mais despesas. K Relutância dos membros do conselho, dos executivos ou do gerenciamento sênior em se envolver com a TI, ou a falta de compromisso de patrocínio empresarial para TI. L Modelo operacional de TI complexo e/ou mecanismos de decisão pouco claros para decisões relacionadas à TI. 142 Unidade IV Referência Descrição M Custo de TI excessivamente alto. N Implementação falha ou malsucedida de novas iniciativas ou inovações causadas pela TI atual, arquitetura e sistemas. O Lacuna entre o conhecimento técnico e comercial que leva a usuários de negócios e informações e/ou especialistas em tecnologia falando idiomas diferentes. P Problemas regulares com qualidade de dados e integração de dados em várias fontes. Q Alto nível de computação do usuário final, criando uma falta de supervisão e controle sobre os aplicativos que estão sendo desenvolvidos e colocados em operação. R Área de negócios implementando suas próprias soluções de informação com pouco ou nenhum envolvimento da área de TI da empresa. S Ignorância e/ou não conformidade com os regulamentos de privacidade. T Incapacidade de explorar novas tecnologias ou inovar usando I&T. Adaptado de: Isaca (2019b). O quinto fator de desenho é o cenário de ameaça (threat landscape) em que a organização está situada. O quadro a seguir apresenta esses cenários. No desenho do sistema de governança, é necessário apontar o peso de cada cenário atual de ameaça. Quadro 34 – Fator de desenho: cenário de ameaça Cenário de ameaça Descrição Normal A organização está operando sob o que são considerados níveis normais de ameaça. Alto Devido à sua situação geopolítica, setor ou perfil específico, a organização está operando em um ambiente de alta ameaça. Adaptado de: Isaca (2019b). O sexto fator de desenho é o conjunto de requisitos de conformidade (compliance requirements), que funciona como um grande elo entre a governança corporativa e a governança de TI. O próximo quadro apresenta esses requisitos de conformidade. No desenho do sistema de governança, é necessário informar a situação do ambiente regulatório. Quadro 35 – Fator de desenho: requisitos de conformidade Ambiente regulatório Descrição Requisitos de conformidade baixos A organização está sujeita a um conjunto mínimo de requisitos de conformidade regulares, que são inferiores à média. Requisitos de conformidade normais A organização está sujeita a um conjunto de requisitos de conformidade comuns, que são regulares em diferentes setores. Requisitos de conformidade altos A organização está sujeita a requisitos deconformidade acima da média, geralmente relacionados ao setor ou a condições geopolíticas. Adaptado de: Isaca (2019b). 143 GOVERNANÇA CORPORATIVA DE TI O sétimo fator de desenho é o papel da TI (role of IT) nas organizações, que retrata também a forma como a TI é vista pela organização. O quadro a seguir apresenta cada um desses papéis. No sistema de governança, é necessário apontar qual é o papel desejável da TI para o negócio. Quadro 36 – Fator de desenho: papel da TI Papel da TI Descrição Suporte A TI não é crucial para a execução e continuidade dos processos e serviços de negócio, nem para sua inovação. Fábrica Quando a TI falha, há um impacto imediato na execução e continuidade dos processos e serviços de negócio. No entanto, a TI não é vista como um motivador para inovar processos e serviços de negócio. Inversão A TI é vista como um motivador para inovar processos e serviços. Estratégico A TI é essencial para a execução e inovação dos processos e serviços de negócio da organização. Adaptado de: Isaca (2019b). O oitavo fator de desenho é o modelo de fornecimento para TI (sourcing model for IT) a ser utilizado na organização. O quadro a seguir apresenta esses modelos. No desenho do sistema, é necessário informar como é o fornecimento de serviços de TI na empresa. Quadro 37 – Fator de desenho: modelo de fornecimento de serviços de TI Modelo de fornecimento de serviços de TI Descrição Terceirização A organização considera os serviços de terceiros para fornecer serviços de TI. Cloud A organização maximiza o uso da cloud para fornecer serviços de TI. Fornecimento interno A organização realiza o fornecimento para a sua própria equipe e serviços de TI. Híbrido Um modelo misto é aplicado, combinando os outros três modelos em diferentes graus. Adaptado de: Isaca (2019b). Os métodos de implementação de TI (IT implementation methods) são o nono fator de desenho que as organizações adotam no seu dia a dia. O quadro a seguir apresenta esses métodos. Quadro 38 – Fator de desenho: métodos de implementação de TI Método de implementação de TI Descrição Ágil A organização usa métodos de trabalho de desenvolvimento ágil para o desenvolvimento de software. DevOps A organização usa métodos de trabalho DevOps para operações, implantação e criação de software. Tradicional A organização usa uma abordagem mais clássica para o desenvolvimento de software (cascata) e separa o desenvolvimento de software das operações. Híbrido A organização usa uma combinação de implementação de TI tradicional e moderna, geralmente chamada de “TI bimodal”. Adaptado de: Isaca (2019b). 144 Unidade IV O décimo fator de desenho é a estratégia de adoção tecnológica (technology adoption strategy) e pode ser visto a seguir: Quadro 39 – Fator de desenho: estratégia de adoção tecnológica Padrões de adoção de tecnologia Descrição Pioneira A organização geralmente adota novas tecnologias o mais cedo possível e tenta ganhar vantagem. Seguidora A organização normalmente espera que as novas tecnologias se tornem comuns e comprovadas antes de adotá-las. Adoção lenta A organização está muito atrasada com a adoção de novas tecnologias. Adaptado de: Isaca (2019b). O décimo primeiro fator de desenho é o tamanho da organização (enterprise size), e deve ser considerado para as pequenas, médias e grandes empresas. 7.2.2 Cascata de objetivos do Cobit® 2019 Desde a versão 4.1 do Cobit®, a cascata de objetivos tem se revelado uma ferramenta muito importante na definição e implementação dos sistemas de governo para área de TI. O Cobit® 2019 apresenta uma versão de cascata de objetivos com certas semelhanças quando comparada com as anteriores. Stakeholder driver and needs Alignment goals Enterprise goals Governance and management objectives Cascade to Cascade to Cascade to Figura 41 – Cascata de objetivos do Cobit® 2019 Fonte: Isaca (2019b, p. 28). 145 GOVERNANÇA CORPORATIVA DE TI Segundo a Isaca (2019b, p. 28): A cascata de objetivos oferece suporte aos objetivos da empresa, que é um dos principais fatores de desenho para um sistema de governança. Ela suporta a priorização de objetivos de governança e gestão tendo por base a priorização das metas da empresa (tradução do autor). A ideia da cascata de objetivos é, a partir das necessidades e direcionamentos das partes interessadas (stakeholder drivers and needs), apresentar objetivos corporativos (enterprise goals) e desdobrá-los em objetivos alinhados (alignment goals). Com esses objetivos alinhados, são estabelecidos os objetivos de governança e gestão (governance and management objectives) do Cobit® 2019. Lembrete O Cobit® 2019 estabelece 13 objetivos corporativos que são considerados também como um fator de desenho. Os objetivos corporativos são cascateados em objetivos de alinhamento, que podem ser vistos a seguir. O Cobit® 2019 estabelece esses objetivos de alinhamento relacionados à informação e à tecnologia. Quadro 40 – Objetivos de alinhamento Referência Dimensão do BSC Objetivo de alinhamento Métricas AG01 Financeira Conformidade de TI e suporte para conformidade de negócios com leis e regulamentos externos – Custo de não conformidade com a TI, incluindo acordos e multas, e o impacto da perda de reputação. – Número de problemas de não conformidade relacionados à TI relatados ao conselho ou causando comentários públicos ou constrangimento. – Número de questões de não conformidade relacionadas a contratos ou acordos com provedores de serviços de TI. AG02 Financeira Gestão do risco relacionado à TI – Frequência apropriada de atualização do perfil de risco. – Porcentagem de avaliações de risco empresarial, incluindo risco de TI. – Número de incidentes significativos relacionados à TI que não foram identificados em uma avaliação de risco. AG03 Financeira Benefícios obtidos por investimento em TI ou por meio do portfólio de serviços de TI – Percentual de investimentos de TI, cujo benefício descrito no business case atende ou excede as expectativas. – Percentual de serviços de TI para os quais os benefícios esperados (como declarado nos acordos de nível de serviço) são realizados. AG04 Financeira Qualidade da informação financeira relativa à TI – Satisfação das principais partes interessadas em relação ao nível de transparência, compreensão e precisão da informação financeira da TI. – Percentual de serviços de TI com custos e benefícios definidos e aprovados. 146 Unidade IV Referência Dimensão do BSC Objetivo de alinhamento Métricas AG05 Cliente Entrega de serviços de TI conforme as necessidades dos negócios – Percentual das partes interessadas da empresa satisfeitas com a entrega de serviços de TI. – Número de interrupções de negócios devido a incidentes nos serviços de TI. – Percentual de usuários satisfeitos com a qualidade das entregas de serviços de TI. AG06 Cliente Agilidade em transformar requisitos de negócios em soluções operacionais – Nível de satisfação dos executivos de negócios com a capacidade da TI em responder a novos requisitos. – Tempo médio de lançamento de novos serviços e aplicações de TI. – Tempo médio para transformar objetivos estratégicos de TI em uma iniciativa acordada e aprovada. – Número de processos de negócios críticos suportados por infraestruturas e aplicativos atualizados. AG07 Cliente Segurança da informação, da infraestrutura, das aplicações e da privacidade de dados – Número de incidentes de confidencialidade que causam perdas financeiras, interrupção de negócios ou constrangimento público. – Número de incidentes de disponibilidade causando perda financeira, interrupção de negócios ou constrangimento público. – Número de incidentes de integridade que causam perdas financeiras, interrupção de negócios ou constrangimento público. AG08 Processos internos Habilitando e apoiando processos de negócios por integração de aplicativos e tecnologia – Tempo de execução dos serviços ou processosde negócios. – Número de atrasos em programas de negócios habilitados por TI ou incorrendo em custos adicionais devido a questões de integração tecnológica. – Número de mudanças nos processos de negócios com atrasos ou retrabalho devido a questões de integração tecnológica. – Número de aplicativos ou infraestruturas críticas operando em silos e não integrados. AG09 Processos internos Entrega de programas dentro do prazo, respeitando o orçamento, atendendo requisitos e padrões de qualidade – Número de programas/projetos no prazo e dentro do orçamento. – Número de programas que precisam de retrabalho significativo devido a defeitos de qualidade. – Percentual das partes interessadas satisfeitas com a qualidade dos programas/projetos. AG10 Processos internos Qualidade da gestão da informação da TI – Nível de satisfação do usuário com qualidade, oportunidade e disponibilidade de informações de gestão relacionadas à TI, levando em conta os recursos disponíveis. – Proporção e extensão de decisões de negócios errôneas nas quais informações erradas ou indisponíveis relacionadas à TI eram um fator-chave. – Percentual de informações que atendem aos critérios de qualidade. AG11 Processos internos Conformidade de TI com políticas internas – Número de incidentes relacionados à não conformidade com políticas relativas à TI. – Número de exceções às políticas internas. – Frequência de revisão e atualização de políticas. 147 GOVERNANÇA CORPORATIVA DE TI Referência Dimensão do BSC Objetivo de alinhamento Métricas AG12 Aprendizado e crescimento Staff competente e motivado com mútua compreensão da tecnologia e negócios – Percentual de executivos com experiência em TI. – Percentual de profissionais de TI com experiência em negócios. – Número ou percentual de empresários com experiência em gestão de tecnologia. AG13 Aprendizado e crescimento Conhecimento, experiência e iniciativas para a inovação nos negócios – Nível de consciência e compreensão do executivo de negócios das possibilidades de inovação em TI. – Número de iniciativas aprovadas resultantes de iniciativas inovadoras, ideias de TI. – Número de campeões de inovação reconhecidos/premiados. Adaptado de: Isaca (2019b). A partir desses objetivos de alinhamento, nós encontramos os objetivos de governança e gestão mais apropriados para a implantação do sistema de governança e gestão. 7.2.3 Gerenciamento do desempenho do Cobit® 2019 O gerenciamento do desempenho do Cobit® 2019 é conhecido como Cobit® Performance Management (CPM). Ele integra de forma essencial o Cobit®, que, em sua versão de 2019, volta a ter o Capability Maturity Model Integration (CMMI) como inspiração, diferentemente da versão 5, que se baseava na norma ISO/IEC 15504 para avaliar a capacidade dos processos. A ideia do CPM é aferir o desempenho de todos os componentes de um sistema de governança, no entanto, a Isaca só desenvolveu de forma satisfatória a aferição do nível de capacidade dos processos e o nível de maturidade das áreas de foco. O nível de capacidade dos processos é medido em uma escala que vai do nível 0 até o nível 5. O quadro a seguir apresenta esses níveis. Quadro 41 – Níveis de capacidade dos processos Nível Detalhamento Nível 0 Ausência de capacidade básica. Abordagem incompleta para atender à governança/gestão. Alguns objetivos de algumas práticas do processo são atendidos. Nível 1 O processo atinge parcialmente o seu propósito por meio da aplicação de um conjunto incompleto de atividades. Execução de atividade em um nível inicial, intuitivo e não muito organizado. Nível 2 O processo alcança seu propósito por meio da aplicação de um conjunto básico, mas completo, de atividades que podem ser caracterizadas como executadas. Nível 3 O processo atinge seu propósito de forma organizada por meio de ativos organizacionais. Consideramos que aqui os processos são bem definidos. Nível 4 O processo atinge seu propósito. O desempenho do processo é medido quantitativamente. Nível 5 O processo atinge seu propósito. O desempenho do processo é medido sempre em busca da melhoria contínua. 148 Unidade IV Observação A medição dessa capacidade ocorre no Cobit® 2019 tendo por base as atividades, permitindo uma visão mais clara do nível de capacidade. 8 COBIT® 2019: OBJETIVOS DE GOVERNANÇA E GESTÃO Passamos por alguns conjuntos de práticas conhecidas e nos encontramos com o framework Cobit®. Abordamos primeiro as versões mais antigas (Cobit® 4.1 e 5) e apresentamos uma introdução geral do Cobit® 2019, que é a versão mais atualizada. Vamos continuar o nosso itinerário de governança corporativa da informação e da tecnologia baseado no Cobit® 2019, agora com o foco nos objetivos de governança e gestão. 8.1 Objetivos de governança e gestão 8.1.1 Introdução Os objetivos de governança e gestão do Cobit® 2019 representam os antigos processos descritos nas versões anteriores 4.1 e 5 do Cobit®. Eles são quarenta e estão agrupados em cinco domínios diferentes (sendo um dedicado à governança e quatro dedicados à gestão). O único domínio de governança é o domínio avaliar, dirigir e monitorar (Evaluate, Direct and Monitor – EDM). O domínio EDM apresenta cinco objetivos de governança que auxiliam na avaliação das estratégias, na direção da TI e no monitoramento das escolhas e ações estratégicas. Os quatro domínios de gestão são: • Alinhar, planejar e organizar (Align, Plan and Organize – APO): apresenta 14 objetivos de gestão voltados para o planejamento, organização e alinhamento das atividades de apoio relacionadas à informação e tecnologia. • Construir, adquirir e implementar (Build, Acquire and Implement – BAI): apresenta 11 objetivos de gestão voltados para a construção, aquisição e implementação de soluções relacionadas à TI. • Entrega, serviço e suporte (Deliver, Service and Support – DSS): apresenta seis objetivos de gestão voltados para entrega e suporte de serviços de TI. • Monitorar, avaliar e analisar (Monitor, Evaluate and Assess – MEA): apresenta quatro objetivos de gestão voltados para o monitoramento de desempenho e da conformidade de TI. 149 GOVERNANÇA CORPORATIVA DE TI Observação Comparando-o com o Cobit® 5, houve um aumento de três processos (objetivos de gestão), sendo um no domínio APO, outro no domínio BAI e um último no domínio MEA. A figura a seguir apresenta os objetivos de governança e gestão em cada um dos seus domínios. Figura 42 – Objetivos de governança e gestão Fonte: Isaca (2019c, p. 12). 8.1.2 Propósitos dos objetivos de governança e gestão Cada objetivo de governança e gestão tem um propósito específico. Para que compreendamos melhor, o próximo quadro apresenta de forma simplificada os propósitos de cada um deles. 150 Unidade IV Quadro 42 – Descrição dos objetivos de gestão e governança do Cobit® 2019 Referência Objetivo de governança ou gestão Propósito EDM01 Estabelecimento e manutenção do framework de governança assegurado – Prover uma abordagem consistente, integrada e alinhada de governança corporativa de informação e tecnologia. – Assegurar que os processos de TI sejam avaliados de forma efetiva e transparente para verificar conformidade com aspectos legais e de regulação e que os requisitos de governança da alta administração sejam atendidos. EDM02 Entrega de benefícios assegurada – Assegurar um valor ótimo do conjunto das iniciativas, dos ativos e serviços de TI, entrega de custo adequado, obtenção dos custos exatos das iniciativas e os benefícios prováveis de forma que o negócio possa ser apoiado efetiva e eficazmente. EDM03 Otimização do risco assegurada – Assegurar que os riscos derivados de TI não ultrapassem os limites de apetite e tolerância de riscos da organização. EDM04 Otimização dos recursos assegurada – Assegurar que os recursos de que a TI necessita sejam fornecidos de maneira otimizada. EDM05 Assegurar o engajamento das partes interessadas – Garantir que as partes interessadasapoiem o roadmap e os planos de TI. – Comunicar o desempenho da TI para as partes interessadas e confirmar que os objetivos de TI estão alinhados com os objetivos da organização. APO01 Framework de gestão da informação e tecnologia gerenciado – Implementar uma abordagem consistente para que os requisitos de governança sejam atendidos, cobrindo componentes de governança como processos de gestão, estrutura organizacional, papéis e responsabilidades, atividades confiáveis e repetíveis, itens de informação, políticas e procedimentos, habilidades e competências, cultura e comportamento, infraestrutura e aplicações. APO02 Estratégia gerenciada – Apoiar a transformação digital da organização e entregar o valor desejado através de um roadmap de mudanças incrementais. – Alinhar cada iniciativa de TI com os objetivos estratégicos da TI. – Permitir mudanças nos diferentes aspectos da organização, de canais a processos e dados, cultura, habilidade, modelo operacional e incentivos. APO03 Arquitetura empresarial gerenciada – Representar os diferentes blocos de construção que constituem a organização e seus relacionamentos, assim como os princípios que guiam o seu projeto para permitir uma entrega responsiva e eficiente dos objetivos operacionais e estratégicos. APO04 Inovação gerenciada – Atingir vantagem competitiva, inovação para o negócio, melhorar a experiência do cliente, aperfeiçoar a eficiência e eficácia operacional pela exploração de desenvolvimentos em TI e em tecnologias emergentes. APO06 Orçamento e custos gerenciados – Promover uma parceria entre a TI e as partes interessadas da organização para permitir o uso eficiente e eficaz dos recursos de TI e prover transparência acerca dos custos e do valor das soluções. – Permitir que a organização tome decisões em relação ao uso de recursos e serviços de TI. APO07 Recursos humanos gerenciados – Otimizar as capacidades dos recursos humanos para atender aos objetivos empresariais. APO08 Relacionamentos gerenciados – Permitir o conhecimento correto, habilidades e comportamentos para criar resultados, aumento da confiança mútua e o efetivo uso dos recursos para estimular um relacionamento produtivo com as partes interessadas na organização. APO09 Acordos de serviços gerenciados – Assegurar que os produtos, serviços de TI e os níveis de serviços atendam às necessidades atuais e futuras da organização. 151 GOVERNANÇA CORPORATIVA DE TI Referência Objetivo de governança ou gestão Propósito APO10 Fornecedores gerenciados – Otimizar a capacitação disponível de TI para apoiar a estratégia e o roadmap de TI, minimizando o risco associado com o não atendimento, pelos fornecedores, dos requisitos de conformidade e de desempenho e assegurar preços competitivos. APO11 Qualidade gerenciada – Assegurar a entrega consistente de soluções e serviços de tecnologia para atender aos requisitos de qualidade da organização e satisfazer as partes interessadas. APO12 Risco gerenciado – Integrar o gerenciamento de riscos da TI com o gerenciamento de riscos da organização e balancear os custos e benefícios dos riscos relacionados à TI. APO13 Segurança gerenciada – Manter o impacto e a ocorrência de incidentes de segurança da informação dentro do apetite de risco da organização. APO14 Dados gerenciados – Assegurar o uso dos conjuntos de dados críticos para atender aos objetivos da organização. BAI01 Programas gerenciados – Realizar o valor desejado e reduzir o risco de atrasos, custos e erosão do valor. – Assegurar a qualidade e o valor dos entregáveis dos programas. – Acompanhar projetos do programa e maximizar a contribuição do programa ao portfólio de investimento. BAI02 Definição de requisitos gerenciada – Criar soluções otimizadas que atendem ao negócio da organização enquanto minimizam o risco. BAI03 Identificação e construção de soluções gerenciadas – Assegurar a entrega de produtos e serviços digitais de forma ágil e escalável. – Estabelecer soluções a tempo e de custo efetivo capaz de apoiar os objetivos estratégicos e operacionais da organização. BAI04 Disponibilidade e capacidade gerenciadas – Manter a disponibilidade do serviço, a gestão eficiente de recursos e a otimização do desempenho do sistema através da predição do desempenho futuro e dos requisitos de capacidade. BAI05 Mudança organizacional gerenciada – Preparar e obter comprometimento das partes interessadas com as mudanças no negócio e reduzir os riscos de falha. BAI06 Mudanças de TI gerenciadas – Permitir a entrega rápida e confiável de uma mudança ao negócio. – Mitigar o risco de impactar negativamente a estabilidade e a integridade do ambiente modificado. BAI07 Aceitação e transição da mudança de TI gerenciadas – Implementar soluções de forma segura e alinhadas com as expectativas e os resultados esperados acordados. BAI08 Conhecimento gerenciado – Fornecer o conhecimento e a informação requerida para apoiar o pessoal envolvido com governança e gestão de TI e permitir decisões com base em informações. BAI09 Ativos gerenciados – Fazer a contabilidade de todos os ativos e otimizar o valor fornecido pelo seu uso. BAI10 Configuração gerenciada – Fornecer informação suficiente sobre os ativos de serviços para permitir que o serviço seja efetivamente gerenciado e avaliar o impacto de mudanças em relação a incidentes de serviços de TI. BAI11 Projetos gerenciados – Realizar os resultados definidos para o projeto e reduzir atrasos e custos inesperados. – Assegurar a qualidade dos entregáveis do projeto e sua contribuição ao programa e ao portfólio de investimento. DSS01 Operações gerenciadas – Entregar os produtos e serviços de TI conforme o planejado. 152 Unidade IV Referência Objetivo de governança ou gestão Propósito DSS02 Solicitações de serviços e incidentes gerenciados – Aumentar a produtividade e minimizar disrupções através da rápida resolução de solicitações e incidentes relatados pelos usuários. – Avaliar o impacto de mudanças e o tratamento dos incidentes. – Resolver os chamados e reestabelecer os serviços em resposta ao incidente. DSS03 Problemas gerenciados – Aumentar a disponibilidade, melhorar os níveis de serviços, reduzir custos, melhorar a conveniência e satisfação do cliente através da redução de problemas operacionais e identificar a causa raiz como parte da resolução do problema. DSS04 Continuidade gerenciada – Adaptar rapidamente, continuar as operações do negócio e manter a disponibilidade de recursos e informação em níveis aceitáveis para a organização em eventos de indisponibilidade ou interrupção significativa de serviços. DSS05 Serviços de segurança gerenciados – Minimizar os impactos no negócio de vulnerabilidades e incidentes operacionais de segurança da informação. DSS06 Controles de processos de negócio gerenciados – Manter a integridade da informação e a segurança dos ativos de informação tratados nos processos de negócios na organização e em terceiros contratados. MEA01 Monitoramento do desempenho e da conformidade gerenciado – Prover transparência do desempenho, conformidade e dirigir o atingimento dos objetivos. MEA02 Sistema de controle interno gerenciado – Obter transparência para as principais partes interessadas sobre a adequação do sistema de controle interno para fornecer confiança na operação e no atingimento dos objetivos da empresa e entendimento dos riscos residuais. MEA03 Conformidade com requisitos externos gerenciada – Assegurar que a organização esteja em conformidade com todos os requisitos externos. MEA04 Garantia gerenciada – Permitir que a organização projete e desenvolva iniciativas eficientes e efetivas de garantia, fornecendo orientação para o planejamento, definição do escopo, execução e acompanhamento de auditorias usando um roadmap baseado em práticas reconhecidas de auditoria. Adaptado de: Fernandes, Abreu e Diniz (2019). 8.1.3 Estrutura dos objetivos de governançae gestão Os objetivos de governança e gestão seguem uma estrutura formada por uma identificação inicial, pela cascata de objetivos e pelos seus componentes. A sua identificação inicial é formada por: nome do domínio (domain); área de foco (focus area); objetivo de governança ou de gestão (governance/management objective); descrição (description); e propósito (purpose). A cascata de objetivos é formada por: objetivos corporativos (enterprise goals); objetivos de alinhamento (alignment goals); exemplos de métricas para objetivos corporativos (example metrics for enterprise goals); e exemplo de métricas para objetivos de alinhamento (example metrics for alignment goals). A próxima figura apresenta a identificação inicial e a cascata de objetivos. 153 GOVERNANÇA CORPORATIVA DE TI Figura 43 – Identificação inicial e cascata de objetivos de um objetivo de governança/gestão Adaptada de: Isaca (2019c). Os componentes que constam em cada um dos objetivos de governança e gestão são: processos (process); estruturas organizacionais (organizational structures); fluxos e itens de informação (information flows and items); pessoas, habilidades e competências (people, skills and competencies); políticas e procedimentos (policies and procedures); cultura, ética e comportamentos (culture, ethics and behavior); e serviços, infraestruturas e aplicações (services, infrastructure and applications). Observação Esses componentes dos objetivos de governança e gestão são justamente os componentes do sistema de governança. 8.1.4 Componentes dos objetivos de governança e gestão O primeiro componente dos objetivos de governança e gestão são os processos. Nele encontramos as práticas (governance/managment practice), as métricas (metrics), as atividades (activities) que compõem o processo, o nível de capacidade (capability level) de cada atividade, as regulamentações/ padrões/modelos (standards, frameworks, compliance requirements) relacionados ao objetivo de governança/gestão e a referência detalhada (detailed reference) das regulamentações/padrões/modelos mencionados. A figura a seguir apresenta o componente processo. 154 Unidade IV Figura 44 – Componente processo Fonte: Isaca (2019c, p. 19). O segundo componente são as estruturas organizacionais que exercem papéis e responsabilidade sob as práticas de governança e gestão. Esse componente apresenta uma matriz conhecida como Raci, contendo uma relação entre estruturas organizacionais e práticas-chave de gestão/governança. Cada estrutura pode exercer um papel de: responsável (Responsible - R); responsabilizado (Acountable - A); consultado (Consulted – C); e informado (Informed – I). Observação O responsável está ligado às responsabilidades de cumprimento e execução da prática. O responsabilizado é o prestador de contas, ou seja, o responsável geral pelo resultado. Ainda no componente estruturas organizacionais encontramos uma indicação de regulamentações/ padrões/modelos (standards, frameworks, compliance requirements) relacionados ao componente e à referência detalhada (detailed reference) das regulamentações/padrões/modelos mencionados. A figura a seguir apresenta esse componente. Figura 45 – Componente estruturas organizacionais Fonte: Isaca (2019c, p. 21). 155 GOVERNANÇA CORPORATIVA DE TI O terceiro componente é o fluxo de itens de informação. Nele encontramos as entradas (inputs), saídas (outputs) e uma indicação de regulamentações/padrões/modelos (standards, frameworks, compliance requirements) relacionados ao componente e à referência detalhada (detailed reference) das regulamentações/padrões/modelos mencionados. A próxima figura apresenta esse componente. Figura 46 – Componente: fluxo e itens de informação Fonte: Isaca (2019c, p. 23). O quarto componente é formado pelas pessoas, habilidades e competências adequadas para atendermos ao objetivo de governança/gestão. O quinto componente é formado pelas políticas e procedimentos relevantes relacionadas aos objetivos de governança/gestão. O sexto componente é formado pela cultura, pela ética e pelo comportamento relacionados a esse objetivo de governança e gestão. O sétimo componente fornece informações detalhadas sobre infraestruturas, serviços e aplicações. A figura a seguir apresenta esses componentes. Figura 47 – Demais componentes dos objetivos de governança e gestão Fonte: Isaca (2019c, p. 24-25). 156 Unidade IV 8.2 Exemplos de objetivos de governança/gestão, desenho e implementação 8.2.1 Exemplo de objetivos de governança Para melhor compreendermos os objetivos de governança e gestão, vamos apresentar o EDM01 – Estabelecimento e manutenção do framework de governança assegurado (Ensured Governance Framework Setting and Maintenance). Esse objetivo de governança trata da análise, articulação, implementação e manutenção dos componentes do sistema de governança. A próxima figura apresenta as identificações iniciais do EDM01. Figura 48 – Identificações iniciais do EDM01 Fonte: Isaca (2019c, p. 29). Lembrete Um dos propósitos do EDM01 é prover uma abordagem consistente, integrada e alinhada de governança corporativa para informação e tecnologia. A seguir a cascata de objetivos do EDM01. Nela encontramos a determinação dos objetivos corporativos EG03, EG08 e EG12. Esses objetivos corporativos são desdobrados em objetivos de alinhamento AG01 e AG03. Observe também que em ambos os objetivos se encontram métricas bem definidas para cada um deles. 157 GOVERNANÇA CORPORATIVA DE TI Figura 49 – Cascata de objetivos do EDM01 Fonte: Isaca (2019c, p. 29). Como o EDM01 possui três práticas de governança, apresentaremos apenas a primeira, que é a EDM01.01 – Avaliar o sistema de governança (Evaluate the Governance System). A próxima figura apresenta o componente processos do EDM01 com a prática de governança EDM01.01. Figura 50 – Componente processos do EDM01 Fonte: Isaca (2019c, p. 29). 158 Unidade IV Observação A representação das práticas de governança/gestão encontrada nos objetivos de governança é feita da seguinte forma: XXXNN.ZZ. Nela, XXX representa o domínio, NN representa o número de ordem do objetivo de governança/gestão e ZZ representa o número de ordem da prática de governança/gestão. A prática de governança EDM01.01 possui oito atividades, nas quais as quatro primeiras operam normalmente no nível de capacidade “2”, e as quatro últimas operam normalmente no nível de capacidade “3”. Percebemos ainda que um dos guias relacionados para essa prática é a ISO/IEC 38500:2015, no item 5.2 (Princípio de Responsabilidade). Partindo para o componente estruturas organizacionais do EDM01, a figura a seguir apresenta os papéis e as responsabilidades para cada uma das práticas de governança. Figura 51 – Componente estruturas organizacionais do EDM01 Fonte: Isaca (2019c, p. 31). Na sequência, a figura apresenta o fluxo e os itens de informação da prática EDM01.01 do objetivo de governança EDM01. Observe que as entradas para essa prática são oriundas da prática MEA03.02 e externamente ao Cobit® (outside Cobit®). As saídas dessa prática são destinadas a diversas práticas de gestão do objetivo de gestão APO01, e também a todos os objetivos de governança do domínio EDM. 159 GOVERNANÇA CORPORATIVA DE TI Figura 52 – Componente fluxo e itens de informação da prática EDM01.01 Fonte: Isaca (2019c, p. 32). A figura a seguir apresenta os outros componentes do EDM01. Figura 53 – Demais componentes do EDM01 Fonte: Isaca (2019c, p. 33). 160 Unidade IV 8.2.2 Os objetivos de governança/gestão e a cascata de objetivos Para executar bem o desenho do sistema de governança, é necessário que a cascata de objetivos do Cobit® 2019 funcione de forma eficiente. Por isso, o Cobit apresenta uma relação entre os objetivos corporativos e os objetivos de alinhamento. A figura a seguir apresenta essa relação. Figura 54 – Relação entre os objetivos corporativos e objetivos de alinhamento Fonte: Isaca (2019c, p. 297). Observe quea relação entre os dois objetivos gera um mapeamento P (primário) e S (secundário). O P indica forte relação entre o objetivo corporativo e o objetivo de alinhamento. O S indica fraca relação entre o objetivo corporativo e o objetivo de alinhamento. Continuando o cascateamento para o melhor desenho do sistema de governança, a próxima figura apresenta a relação entre os objetivos de alinhamento e os objetivos de governança. O mapeamento P e S segue a mesma ideia apresentada na figura anterior. 161 GOVERNANÇA CORPORATIVA DE TI Figura 55 – Relação entre os objetivos de alinhamento e os objetivos de governança e gestão Fonte: Isaca (2019c, p. 298). 8.2.3 Desenhando um sistema de governança customizado Continuando o desenho do sistema de governança de forma customizada, devemos partir dos fatores de desenho para conseguir priorizar bem os objetivos de governança e gestão para uma determinada organização. Por isso, a Isaca disponibiliza uma planilha de cálculos considerando cada um dos fatores de desenho de acordo com a organização para priorizar os objetivos de governança e gestão mais adequados. 162 Unidade IV A figura a seguir apresenta a planilha da pasta de trabalho do Excel que é utilizada nos cálculos. Figura 56 – Planilha de desenho do sistema de governança Adaptada de: Isaca (2019a). Nessa pasta do Excel, encontramos uma planilha para cada fator de desenho, que deve ser analisado para organização em que se deseja implementar um sistema de governança. Após o preenchimento adequado de todas as planilhas, são gerados dashboards contendo gráficos de radar que indicam a priorização dos objetivos de governança para a organização analisada. A próxima figura apresenta um desses resultados, quando a planilha foi preenchida de forma aleatória. Figura 57 – Dashboard do sistema de governança Adaptada de: Isaca (2019a). 163 GOVERNANÇA CORPORATIVA DE TI Saiba mais Para conhecer um pouco mais sobre o desenho do sistema de governança, consulte o livro a seguir e leia o guia que acompanha a planilha de cálculos. ISACA. Guia de design do Cobit® 2019: projetando uma solução de governança de tecnologia e informação. Rolling Meadows: Isaca, 2019. Resumo Nesta unidade apresentamos com certo grau de profundidade o modelo Cobit® 2019. Fizemos uma introdução geral do framework apresentando o contexto do Cobit® na governança corporativa de informação e tecnologia. Avançamos nos princípios do sistema de governança e do framework de governança preparando as bases para o entendimento sobre os componentes importantes do modelo. Também apresentamos os fatores de desenho, a cascata de objetivos do Cobit® e o gerenciamento de desempenho feito a partir do modelo de capacidade de processos. Estudamos os objetivos de governança e gestão do Cobit® 2019 apresentando os seus cinco domínios: avaliar, dirigir e monitorar; alinhar, planejar e organizar; construir, adquirir e implementar; entrega, serviço e suporte; e monitorar, avaliar e analisar. Os propósitos de cada objetivo foram mencionados, bem como sua estrutura geral. Concluímos a unidade mencionando um dos objetivos de governança e apresentando uma relação entre eles e a cascata de objetivos, além do desenho final do sistema de governança. 164 Unidade IV Exercícios Questão 1. Leia o texto a seguir. Princípios e benefícios do Cobit® 2019: atualização foi projetada para flexibilizar o desenvolvimento de uma estratégia de governança Cristina de Luca - 20/01/2019 Figura 58 A governança de TI define quem tem a autoridade para tomar decisões, determina a responsabilidade pelas ações e propõe a forma como o desempenho de TI será avaliado. Assim como o Itil®, o Cobit® propõe normas e padrões para a instituição da governança de TI em nossas empresas. O Cobit® (Control Objectives for Information and related Technology) é um framework de gerenciamento de TI concebido pela Isaca para ajudar as empresas a desenvolver, organizar e implementar estratégias em torno do gerenciamento de informações e governança. Lançado pela primeira vez em 1996, foi inicialmente projetado como um conjunto de objetivos de controle de TI para ajudar a comunidade de auditoria financeira a navegar melhor pelo crescimento dos ambientes de tecnologia. Em 1998, a Isaca lançou a versão 2, que expandiu a metodologia para que pudesse ser aplicada fora da comunidade de auditoria. Mais tarde, nos anos 2000, a Isaca desenvolveu a versão 3, que incluiu as técnicas de gerenciamento de TI e de controle de informações encontradas no framework atual. O Cobit® 4 foi lançado em 2005, seguido pelo Cobit® 4.1, em 2007. Essas atualizações incluíram mais informações sobre a governança em torno das tecnologias de informação e comunicação. Em 2012, o Cobit® 5 foi lançado e, em 2013, o Isaca lançou um complemento a ele, que incluía mais informações para as empresas sobre gerenciamento de riscos e governança de informações. No ano passado, a Isaca anunciou uma versão atualizada do Cobit®, descartando o número da versão, nomeando-a de Cobit® 2019. Essa versão atualizada foi projetada para evoluir constantemente com “atualizações mais frequentes e fluidas”. O objetivo é criar estratégias de governança mais flexíveis, colaborativas e voltadas para tecnologias recentes. 165 GOVERNANÇA CORPORATIVA DE TI “A estrutura Cobit® prospera há mais de 20 anos porque aborda os princípios essenciais de negócios que são tão verdadeiros hoje quanto nos anos 90”, comenta Mark Thomas, fundador da Escoute Consulting, em um artigo recente. “É importante fornecer orientação atualizada relativa ao atual cenário tecnológico, e o Cobit® 2019 deu um enorme passo à frente nesse sentido”, comenta. O que há no Cobit® 2019? O Cobit® 2019 atualiza o framework para a TI atual, abordando novas tendências, tecnologias e necessidades de segurança. Novos conceitos e nova terminologia foram introduzidos no modelo básico do Cobit®, que inclui quarenta objetivos de governança e gerenciamento para estabelecer um programa de governança. O sistema de gerenciamento de desempenho agora permite mais flexibilidade ao usar medições de maturidade e capacidade. No geral, o framework é projetado para oferecer mais flexibilidade às empresas ao personalizar uma estratégia de governança de TI. [...] Uma grande diferença entre o Cobit® e outros frameworks é que ele foca especificamente em segurança, gerenciamento de risco e governança de informações. Isso é enfatizado no Cobit® 2019, com melhores definições do que o Cobit® é e do que ele não é. Por exemplo, a Isaca diz que o Cobit® 2019 não é um framework para organizar processos de negócios, gerenciar tecnologia, tomar decisões relacionadas à TI ou determinar estratégias ou arquitetura de TI. Em vez disso, ele é projetado estritamente como um framework para governança e gerenciamento da TI corporativa em toda a organização. Isso é mais bem esclarecido na versão atualizada; portanto, nela, há menos confusão sobre como o Cobit® deve ser usado e implementado. Disponível em: https://bit.ly/3yY7EAD. Acesso em: 11 fev. 2021. Adaptado. Com base na leitura e nos seus conhecimentos, avalie as afirmativas. I – O Cobit® (Control Objectives for Information and related Technology) pode ser definido como um modelo de gerenciamento de TI que auxilia as organizações na elaboração, na organização e na implantação de ações relativas à gestão de informações e à governança. II – No Cobit® 2019 houve a adição de conceitos e de termos ao modelo básico e a introdução de mecanismos que possibilitaram às organizações certo grau de personalização da estratégia de governança de TI por elas adotada. III – Um fato que distingue o Cobit® dos demais modelos é o fato de ele ser desenvolvido para auxiliar na governança de informações e no gerenciamento da TI corporativa de toda a organização, com foco na segurança. 166 Unidade IV É correto o que se afirma em: A) I, apenas. B) II, apenas. C) III, apenas. D) I e II, apenas. E) I, II e III.Resposta correta: alternativa E. Análise das afirmativas I – Afirmativa correta. Justificativa: segundo o texto, “o Cobit® (Control Objectives for Information and related Technology) é um framework de gerenciamento de TI concebido pela Isaca para ajudar as empresas a desenvolver, organizar e implementar estratégias em torno do gerenciamento de informações e governança”. II – Afirmativa correta. Justificativa: segundo o texto, “o Cobit® 2019 atualiza o framework para a TI atual, abordando novas tendências, tecnologias e necessidades de segurança”. Além disso, “novos conceitos e nova terminologia foram introduzidos no modelo básico do Cobit® que inclui quarenta objetivos de governança e gerenciamento para estabelecer um programa de governança”. Adicionalmente, “no geral, o framework é projetado para oferecer mais flexibilidade às empresas ao personalizar uma estratégia de governança de TI”. III – Afirmativa correta. Justificativa: segundo o texto, “uma grande diferença entre o Cobit® e outros frameworks é que ele foca especificamente em segurança, gerenciamento de risco e governança de informações”. Além disso, “ele é projetado estritamente como um framework para governança e gerenciamento da TI corporativa em toda a organização”. 167 GOVERNANÇA CORPORATIVA DE TI Questão 2. O Cobit® 2019 é constituído por dois conjuntos de princípios: • Conjunto A: corresponde ao conjunto de princípios do sistema de governança. • Conjunto B: corresponde ao conjunto de princípios do framework de governança. Considere os princípios I, II e III a seguir: • Princípio I: realizar uma abordagem holística. • Princípio II: usar como base um modelo conceitual. • Princípio III: poder ser customizado para as necessidades empresariais. Os princípios I, II e III encontram-se, respectivamente, nos conjuntos: A) A, A e A. B) B, B e B. C) A, B e A. D) A, A e B. E) B, A e A. Resposta correta: alternativa C. Análise da questão Os dois conjuntos de princípios do Cobit® 2019 e seus componentes podem ser vistos no quadro a seguir. Quadro 43 – Conjuntos de princípios do Cobit® 2019 Conjunto A Princípios do sistema de governança Conjunto B Princípios do framework de governança Prover valor para os stakeholders. Fazer abordagem holística. Ser um sistema de governança dinâmico. Distinguir governança de gestão. Poder ser customizado para as necessidades empresariais. Ser um sistema de governança fim a fim. Ser baseado em um modelo conceitual. Ser um framework aberto e flexível. Estar alinhado aos principais padrões de mercado. Adaptado de: Isaca (2012). 168 REFERÊNCIAS Audiovisuais ENRON: os mais espertos da sala. Direção: Alex Gibney. EUA: Jigsaw Production, 2005. 110 min. Textuais ABNT. NBR ISO/IEC 38500: tecnologia da informação – governança da TI para a organização. Rio de Janeiro: ABNT, 2018. ABPMP. Guide to the business process management body of knowledge (BPM CBOK®): version 4.0. St. Paul: ABPMP, 2019. AKABANE, G. K. Gestão estratégica da tecnologia da informação: conceitos, metodologias, planejamento e avaliações. São Paulo: Atlas, 2012. ANDRADE, A.; ROSSETTI, J. P. Governança corporativa: fundamentos, desenvolvimento e tendências. São Paulo: Atlas, 2012. ANSOFFF, H. I.; MCDONNELL, E. Implantando a administração estratégica. São Paulo: Atlas, 1993. ASSIS, C. B. Governança e gestão da tecnologia da informação: diferenças na aplicação em empresas brasileiras. 2011. Dissertação (Mestrado em Engenharia de Produção) – Universidade de São Paulo, São Paulo, 2011. AUBERT, B. A.; RIVARD, S.; PATRY, M. Assessing the risk of it outsourcing. 1998. Disponível em: https://bit.ly/3fjYsig. Acesso em: 25 maio 2021. AXELOS. Itil® Foundation. 4. ed. Norwich: TSO, 2019. B3. Ações. [s.d.]. Disponível em: https://bit.ly/2S5Bq5J. Acesso em: 19 maio 2021. BANZATO, E. Tecnologia da informação aplicada à logística. São Paulo: Iman, 2005. BCB. Resolução n. 4.658, de 26 de abril de 2018. 2018. Disponível em: https://bit.ly/3yFF2Mk. Acesso em: 28 maio 2021. BEAL, A. Gestão estratégica da informação: como transformar a informação e a tecnologia da informação em fatores de crescimento e de alto desempenho nas organizações. São Paulo: Atlas, 2004. BLOK, M. Compliance e governança corporativa. 3. ed. Rio de Janeiro: Freitas Bastos, 2020. BM&FBOVESPA. O Novo Mercado. 2008. Disponível em: https://bit.ly/3ui9HvP. Acesso em: 25 maio 2021. 169 BRORSCHIVER, S.; SILVA, A. L. R. Technology roadmap: planejamento estratégico para alinhar mercado-produção-tecnologia. Rio de Janeiro: Interciência, 2016. BURGESS, M. Princípios de administração de redes e sistemas. 2. ed. Rio de Janeiro: LTC, 2006. CAIÇARA JUNIOR, C. Sistemas integrados de gestão – ERP: uma abordagem gerencial. Curitiba: InterSaberes, 2015. CARVALHO, A.; LORENA, A. C. Introdução à computação: hardware, software e dados. Rio de Janeiro: LTC, 2017. COSTA, I. et al. Qualidade em tecnologia da informação: conceitos de qualidade nos processos, produtos, normas, modelos e testes de software no apoio às estratégias empresariais. São Paulo: Atlas, 2012. COSTA NETO, O. P. L. (coord.). Qualidade e competência nas decisões. São Paulo: Blucher, 2007. COSTA NETO, O. P. L.; CANUTO, S. A. Administração com qualidade: conhecimentos necessários para a gestão moderna. São Paulo: Blucher, 2010. ELEUTÉRIO, M. A. N. Sistemas de informações gerenciais na atualidade. Curitiba: InterSaberes, 2015. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. Rio de Janeiro: Brasport, 2014. FERNANDES, A. A.; ABREU, V. F.; DINIZ, J. L. Governança digital 4.0. Rio de Janeiro: Brasport, 2019. FOINA, P. R. Tecnologia da informação: planejamento e gestão. São Paulo: Atlas, 2009. FREITAS, M. A. S. Fundamentos do gerenciamento de serviços de TI. 2. ed. Rio de Janeiro: Brasport, 2013. GIACOMELLI, G. Governança corporativa. Porto Alegre: Sagah, 2017. GIL, A. L. Qualidade total em informática. São Paulo: Atlas, 1999. GIL, A. L.; BIANCOLINO, C. A.; BORGES, T. N. Sistemas de informações contábeis: uma abordagem gerencial. São Paulo: Saraiva, 2010. GONZALEZ, R. S. Governança corporativa: o poder de transformação das empresas. São Paulo: Trevisan, 2012. GORDON, S. R.; GORDON, J. R. Sistemas de informação: uma abordagem gerencial. 3. ed. Rio de Janeiro: LTC, 2006. IBGC. Código das melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015. 170 ITGI. Cobit® 4.1. Rolling Meadows, 2007. IIBA. Babok®: a guide to the business analysis body of knowledge. 3. ed. Pickering: IIBA, 2015. ISACA. Cobit® 5: a business framework for the governance and management of enterprise IT. Rolling Meadows: Isaca, 2012. ISACA. Cobit® 2019: design toolkit – designing an information & technology governance solution. Rolling Meadows: Isaca, 2019a. ISACA. Cobit® 2019: governance and management objectives. Rolling Meadows: Isaca, 2019b. ISACA. Cobit® 2019: introduction and methodology. Rolling Meadows: Isaca, 2019c. ISACA. Guia de design do Cobit® 2019: projetando uma solução de governança de tecnologia e informação. Rolling Meadows: Isaca, 2019d. JOÃO, B. N. Informática aplicada. São Paulo: Pearson, 2019. LANZINI, L. E. Governança corporativa e compliance: global trading. Curitiba: Contentus, 2020. LAUDON, K. C.; LAUDON, J. P. Sistemas de informação gerenciais. 10. ed. São Paulo: Pearson Pratice Hall, 2013. LAURINDO, F. J. B. Tecnologia da informação: planejamento e gestão de estratégias. São Paulo: Atlas, 2008. LUCIANO, E. M; TESTA, M. G. Controles de governança de tecnologia da informação para a terceirização de processos de negócio: uma proposta a partir do Cobit®. Journal of Information Systems and Technology Management, v. 8, n. 1, p. 237-262, 2011. LUNARDI, G. L.; BECKER, J. L; MACADA, A. C. G. Um estudo empírico do impacto da governança de TI no desempenho organizacional. São Paulo, 2012. MARÇULA, M.; BENINI FILHO, P. A. Informática: conceitos e aplicações. São Paulo: Érica, 2013. MAGALHÃES, I. L.; PINHEIRO, W. B. Gerenciamentode serviços de TI na prática. São Paulo: Novatec, 2007. MOLINARO, L. F. R.; RAMOS, K. H. C. Gestão de tecnologia da informação. Rio de Janeiro: LTC, 2011. MONKS, R. A. G.; MINOW, N. Power and accountability. New York: Harper Collins, 1992. MORAIS, I. S.; GONÇALVES, G. R. B. Governança de tecnologia da informação. Porto Alegre: Sagah, 2018. 171 MOREIRA, A. W.; VIEIRA NETO, J. Diferenças entre gestão de TI e governança de TI: uma breve comparação. In: CONGRESSO NACIONAL DE EXCELÊNCIA EM GESTÃO, Rio de Janeiro, 2014. MOURA, M. Supergovernança: um olhar ampliado sobre os desafios das empresas familiares. São Paulo: Trevisan, 2020. MUNHOZ, A. S. Fundamentos de tecnologia da informação e análise de sistemas para não analistas. Curitiba: InterSaberes, 2017. O´BRIEN, J.; JAMES, A. Sistemas de informação e as decisões gerenciais na era da internet. Tradução: Cid Knipel Moreira. São Paulo: Saraiva, 2002. OCDE. Os princípios da OCDE sobre o governo das sociedades. 2004. Disponível em: https://bit.ly/3v5rh7A. Acesso em: 20 maio 2021. OLIVEIRA, D. P. R. Estruturação do conselho de administração: governança corporativa na prática – integrando acionistas, conselho de administração e diretoria executiva na geração de resultados. 3. ed. São Paulo: Atlas, 2015. OLIVEIRA, F. B. Tecnologia da informação e da comunicação: a busca de uma visão ampla e estruturada. São Paulo: Pearson, 2007. PADOVEZE, C. L. Sistemas de informações contábeis: fundamentos e análise. 7. ed. São Paulo: Atlas, 2015. PETROBRAS. ESG: meio ambiente, social e governança. 2020. Disponível em: https://bit.ly/3uvmrPO. Acesso em: 28 maio 2021. REZENDE, D. A.; ABREU, A. F. Tecnologia da informação aplicada a sistemas de informação empresariais. São Paulo: Atlas, 2013. SANTOS, A. A. Informática na empresa. São Paulo: Atlas, 2015. SARBANES-OXLEY act of 2002. 2002. Disponível em: https://bit.ly/3hxg3Vv. Acesso em: 18 maio 2021. SILVA, A. L. C. Governança corporativa e sucesso empresarial: melhores práticas para aumentar o valor da firma. São Paulo: Saraiva, 2006. SILVA, E. C. Governança corporativa nas empresas: guia prático de orientação para acionistas, investidores, conselheiros de administração e fiscal, auditores, executivos, gestores, analistas de mercado e pesquisadores. 4. ed. São Paulo: Atlas, 2016. SOUZA NETO, M. V. Computação em nuvem: nova arquitetura de TI. 2. ed. Rio de Janeiro: Brasport, 2015. SOUZA NETO, M. V. Virtualização: tecnologia central do datacenter. 2. ed. Rio de Janeiro: Brasport, 2016. 172 STAIR, R. M.; REYNOLDS, G. W. Princípios de sistemas de informação. 9. ed. São Paulo: Cengage Learning, 2011. TIGRE, P. B. Gestão da inovação: a economia da tecnologia do Brasil. Rio de Janeiro: Elsevier, 2006. VELOSO, R. Tecnologias da informação e da comunicação: desafios e perspectivas. São Paulo: Saraiva, 2011. VERAS, M. Cloud computing: nova arquitetura de TI. Rio de Janeiro: Brasport, 2012. VERAS, M. Computação em nuvem: nova arquitetura de TI. Rio de Janeiro: Brasport, 2015. VERAS, M. Virtualização: tecnologia central do datacenter. 2. ed. Rio de Janeiro: Brasport, 2016. WEILL, P.; ROSS, J. W. Governança de TI: como as empresas com melhor desempenho administram os direitos decisórios de TI na busca por resultados superiores. São Paulo: Makron Books, 2006. Informações: www.sepi.unip.br ou 0800 010 9000
Compartilhar