José Malcher Jr.

Eng. Software – Analista de Sistemas

Gestão estratégica de TI – Uso do COBIT versão 5


O modelo COBIT mudou bem de sua versão 4 para a atual 5. Trouxe consigo duas áreas: governança e gestão. Mudaram-se também os processos e a forma de organizá-los.

  • Na versão 4 eram 4 domínios e 34 processos.
  • Na versão 5 temos 5 domínios e 37 processos.

Além disso, mudou-se o modelo para classificação da maturidade dos processos, que passou a usar a avaliação de capacidade baseada no modelo ISO IEC 15504.


 

Modelo de Referência de Processos do COBIT

O COBIT 5 subdivide os 37 processos de TI em 2 áreas de atividades: governança e gestão, que por sua vez se subdividem em domínios de processos, conforme figura a seguir.

  • Em azul-claro a área de governança;
  • Em azul-escuro a área de gestão.


Área de governança

Domínio: avaliar, dirigir e monitorar (EDM)

Processos: 5

Os processos desse domínio abrangem as responsabilidades da alta direção no que se refere à avaliação, direcionamento e monitoramento do uso dos ativos de TI.

Versam ainda sobre a definição de um framework de governança, o estabelecimento das responsabilidades para a organização (como por exemplo, critérios de investimento), fatores de risco (como por exemplo o apetite ao risco) e recursos (como a otimização de recursos), além da transparência da TI para os stakeholders.


Área de gestão

Conheça os Domínios da área de gestão.

1 – Domínio: alinhar, planejar e organizar (APO)

Processos: 13

O domínio APO é a identificação de como a TI pode contribuir melhor com os objetivos de negócio.

Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.

2 – Domínio: construir, adquirir e implementar (BAI)

Processos: 10

O domínio BAI torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este domínio também endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.

3 – Domínio: entregar, servir e suportar (DSS)

Processos: 6

O domínio DSS se refere à entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos. Inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócio.

4 – Domínio: monitorar, avaliar e medir (MEA)

Processos: 3

O domínio MEA visa monitorar o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos.


Processo de governança – avaliar, dirigir (ou orientar) e monitorar

AVALIAR, DIRIGIR E MONITORAR

EDM01 – Assegurar o Estabelecimento e a manutenção do Framework de Governança

Analisa e articula os requisitos para a governança corporativa de TI, coloca em prática e mantém estruturas, princípios, processos e práticas, com clareza de responsabilidades e autoridade para alcançar a missão, as metas e os objetivos da organização.

 

EDM02 – Assegurar a Entrega de Benefícios

Otimiza a contribuição de valor para o negócio a partir dos processos de negócios, serviços e ativos de TI resultantes de investimentos realizados pela TI a custos aceitáveis.

 

EDM03 – Assegurar a otimização de riscos

Assegura que o apetite e tolerância a riscos da organização sejam compreendidos, articulados e comunicados e que o risco ao valor da organização relacionado ao uso de TI seja identificado e controlado.

 

EDM04 – Assegurar a Otimização de Recursos

Assegura que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estejam disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.

 

EDM05 – Assegurar a Transparência para as partes interessadas

Assegura que a medição e relatórios de desempenho e conformidade da TI corporativa sejam transparentes para os stakeholders aprovarem as metas, métricas e as ações corretivas necessárias.

 


Processo de gestão – alinhar, planejar e organizar

ALINHAR, PLANEJAR E ORGANIZAR

APO 01 – Gerenciar o Framework de Gestão de TI

Esclarece e mantém a missão e visão da governança de TI da organização. Implementa e mantém mecanismos e autoridades para gerenciar a informação e o uso da TI na organização.

 

APO 02 – Gerenciar a Estratégia

Fornece uma visão holística do negócio e ambiente de TI atual, a direção futura e as iniciativas necessárias para migrar para o ambiente futuro desejado.

 

APO 03 – Gerenciar a Arquitetura Corporativa

Estabelece urna arquitetura comum que consiste em processos de negócios, informações, dados. Aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação de modelos e práticas-chave que descrevem arquitetura de linha de base.

 

APO 04 – Gerenciar a Inovação

Mantém uma consciência de TI e tendências de serviços relacionados, identifica oportunidades de inovação e planeja corno se beneficiar da inovação em relação às necessidades do negócio. Influência o planejamento estratégico e as decisões de arquitetura corporativa.

 

APO 05- Gerenciar o Portfólio

Executa o conjunto de orientações estratégicas para os investimentos alinhados com a viso de arquitetura corporativa e as características desejadas do investimento e considerar as restrições de recursos e de orçamento. Avalia, prioriza programas e serviços, gerencia programas e serviços, gerencia demanda dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e risco.

Move programas selecionados para o portfólio de serviços para execução. Monitora o desempenho de todo o portfólio de serviços e programas, propondo os ajustes necessários em resposta ao programa e desempenho do serviço ou mudança de prioridades da organização.

 

APO 06 – Gerenciar Orçamentos e Custos

Administra as atividades financeiras relacionadas à TI nas funções de negócios e de TI, abrangendo orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a organização.

 

APO 07 – Gerenciar Recursos Humanos

Fornece uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos humanos. Isso inclui a comunicação de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas.

 

APO 08 – Gerenciar as Relações

Gerencia o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum.

 

APO 09 – Gerenciar os Acordos de Serviço de serviço

Alinha serviços de TI e níveis de serviço com as necessidades e expectativas da organização, incluindo a identificação especificação, projeto, publicação, acordo e acompanhamento de serviços de TI, níveis de serviço e indicadores de desempenho.

 

APO 10 – Gerenciar os Fornecedores

Gerencia serviços relacionados a TI prestados por todos os tipos de fornecedores para atender às necessidades organizacionais, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores para a efetividade e conformidade.

 

APO 11 – Gerenciar a Qualidade

Define e comunica os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações incluindo controles, monitoramento contínuo e o uso de práticas comprovadas e padrões na melhoria contínua e esforços de eficiência.

 

APO 12 – Gerenciar os Riscos

Identifica continuamente, avalia e reduz os riscos relacionados à TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização.

 

APO 13 – Gerenciar a Segurança

Define, opera e monitora um sistema para a gestão de segurança da informação.


Processo de gestão – construir, adquirir (ou comprar) e implementar

Construir, adquirir e implementar

BAI01 – Gerenciar programas e projetos

Gerencia todos os programas e projetos do portfólio de investimentos em alinhamento com a estratégia da organização e de forma coordenada. Inicia, planeja, controla e executa programas e projetos, e finaliza com uma revisão pós-implementação.

 

BAI02 – Gerenciar a definição de requisitos

Identifica soluções e analisa os requisitos antes da aquisição ou criação para assegurar que eles estão em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações/ dados, infraestrutura e serviços. Coordena com as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas.

 

BAI03 – Gerenciar a identificação e construção de soluções

Estabelece e mantém soluções identificadas em conformidade com os requisitos da organização abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores/vendedores, gerencia configuração, teste de preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infraestrutura e serviços.

 

BAI04 – Gerenciar a disponibilidade e capacidade

Equilibra as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços de baixo custo. Inclui a avaliação de capacidades atuais, a previsão das necessidades futuras com base em requisitos de negócios, análise de impactos nos negócios e avaliação de risco para planejar e implementar ações para atender às necessidades identificadas.

 

BAI05 – Gerenciar a implementação de mudança organizacional

Maximiza a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as panes interessadas afetadas no negócio e TI.

 

BAI06 – Gerenciar mudanças

Gerencia todas as mudanças de uma maneira controlada, incluindo mudanças de padrão e de manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura, isso inclui os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação.

 

BAI07 – Gerenciar aceite e transição de mudança

Aceita e produz formalmente novas soluções operacionais, incluindo planejamento de implementação do sistema, e conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção de processos de negócios e serviços de TI novos ou alterados, suporte de produção e uma revisão pós-implementação.

 

BAI08 – Gerenciar o conhecimento

Mantém a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão. Plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento.

 

BAI09 – Gerenciar os ativos

Gerencia os ativos de TI através de seu ciclo de vida para assegurar que seu uso agregue valor a um custo ideal. Os ativos permanecem operacionais e fisicamente protegidos e aqueles que são fundamentais para apoiar a capacidade de serviço são confiáveis e disponíveis.

 

BAI10 – Gerenciar a configuração

Define e mantém as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta de informações de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração.


Processo de gestão – entregar , servir e suportar

Entregar, servir e suportar

DSSO1 – Gerenciar as operações

Coordena e executa as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais, padrões predefinidos e as atividades exigidas.

 

DSSO2 – Gerenciar Requisições de Serviço e Incidentes

Fornece uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Restaura o serviço normal; recorda e atende as solicitações dos usuários e registro, investiga, diagnostica, escala e soluciona incidentes.

 

DSSO3 – Gerenciar Problemas

Identifica e classifica os problemas e suas causas-raízes e fornece resolução para prevenir incidentes recorrentes. Fornece recomendações de melhorias.

 

DSSO4 – Gerenciar a Continuidade

Estabelece e mantêm um plano para permitir o negócio e TI responder a incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI necessários e mantém a disponibilidade de informações em um nível aceitável para a organização.

 

DSSO5 – Gerenciar Serviços de Segurança

Protege informações da organização para manter o nível de risco aceitável para a segurança de informação da organização de acordo com a política de segurança. Estabelece e mantém as funções de segurança da informação e privilégios de acesso e realiza o monitoramento de segurança.

 

DSSO6 – Gerenciar os Controles de Processos de Negócio

Define e mantém controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas satisfazem todos os requisitos de controle de informações relevantes.


Processo de gestão – monitorar, avaliar e medir

MEAO1 – Monitorar, Avaliar e Medir o Desempenho e Conformidade

Coleta, valida e avalia os objetivos e técnicas do processo de negócios e de TI. Motora se os processos estão realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informação sistemática e oportuna.

 

MEAO2 – Monitorar, Avaliar e Medir o Sistema de Controle Interno

Monitora e avalia continuamente o ambiente de controle, incluindo autoavaliações e análises de avaliações independentes. Permite a gestão de identificar deficiências de controle e ineficiências e iniciar ações de melhoria.

 

MEAO3 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos

Avalia se processos de TI e processos de negócios suportados pela TI estão em conformidade com as leis, regulamentos e exigências contratuais. Obtém a garantia de que os requisitos foram identificados e respeitados e integra-os à conformidade com o cumprimento global da organização.


Estrutura dos processos do COBIT 5 e sua aplicação

Para cada processo, as seguintes informações são incluídas, de acordo com o modelo de processo anteriormente explicado:

A

  • Identificação do processo.
  • Label do Processo: o domínio (EDM, APO, BAI, DSS, MEA) e o número do processo.
  • Nome do Processo: breve descrição do processo.
  • Área do processo: governança ou gestão.
  • Nome de domínio.
  • Descrição – uma visão do que o processo faz e como alcança seu propósito.
  • Propósito do Processo – descrição geral do propósito do processo.

B

  • Informação de objetivos em cascata – referência e descrição dos objetivos relacionados com a TI que são essencialmente suportados pelo processo e métricas para medir o alcance dos objetivos relacionados com a TI.
  • Objetivos de processos e métricas – um conjunto de metas de processo e um número limitado de exemplo de métricas.
  • Matriz RACI – uma sugestão de atribuição de nível de responsabilidade por práticas de processos para diferentes funções e estruturas.

C

  • Descrição detalhada de práticas de processo – para cada prática:
    • Título da Prática e descrição;
    • Entradas e saídas da prática, com indicação de origem e destino;
    • As atividades de processo, detalhando ainda mais as práticas.
  • Guias relacionados (related guidance): associa cada processo do COBIT a outros frameworks que podem ser usados para implementar o processo.

Modelo de capacidade dos processos

No COBIT 5, o modelo para a avaliação da capacidade dos processos de TI da organização é baseado na norma ISO/IEC 15504 de Engenharia de Software (avaliação de processos). Esse modelo fornece meios de mensurar o desempenho de qualquer um dos processos de governança ou de gestão.

A abordagem de avaliação dos processos conforme o COBIT 5 nos mostra informações relevantes sobre os processos, que são apenas um dos sete viabilizadores de governança e gestão.

Assim sendo, apenas avaliar processo não fornece um quadro completo sobre o estado de governança de uma organização. Para isso, os outros viabilizadores precisam ser também avaliados.

 

São 6 níveis de capacidade, escala de 0 a 5, e 9 atributos de processo(PA – Process Attributes). Atributos de processo indicam o nível de maturidade obtido, medindo um aspecto específico da capacidade de um processo. Os atributos são:

PA1.1 Process Performance (Desempenho do processo)

PA2.1 Performance Management (Gerenciamento de desempenho)

PA2.2 Work Product Management (Gerenciamento de produto de trabalho)

PA3.1 Process Definition (Definição de processo)

PA3.2 Process Deployment (Implementação de processo)

PA4.1 Process Management (Gerenciamento do processo)

PA4.2 Process Control (Controle de processo)

PA5.1 Process Innovation (Inovação de processso)

PA5.2 Process Optimization (Otimização de processo)

 

Cada atributo de processo é avaliado com base na seguinte escala:

N (Não alcançado)

Há pouca ou nenhuma evidência de realização do atributo de processo no processo avaliado (0% a 15% de realização).

 

P (Parcialmente alcançado)

Há alguma evidência de realização do atributo de processo no processo avaliado.

Alguns aspectos da realização do atributo podem ser imprevisíveis (15% a 50% de realização).

 

L (Largamente Alcançado)

Há evidência de uma realização significativa do atributo de processo no processo avaliado. Algumas fraquezas relacionadas a esse atributo podem existir no processo avaliado (50% a 85% de realização).

 

F (Totalmente Alcançado)

Há evidência de uma realização completa do atributo de processo no processo avaliado. Não há deficiências significativas associadas a esse atributo no processo avaliado (85% a 100% de realização).


Modelo de capacidade dos processos

Os níveis de capacidade são:

Nível 0 – Processo Incompleto:

Processo não implementado ou não atingiu o que se propôs. Existe pouca ou nenhuma evidência de sistematização do processo.

 

Nível 1 – Processo Executado:

Possui o atributo PA1.1 – Process Performance (Desempenho do Processo). O processo está implementado e alcança seu objetivo. O processo não tem padrão de qualidade e está sem controle de prazos e custos.

 

Nível 2 – Processo Gerenciado:

Possui os atributos PA2.1 – Performance Management(Gerenciamento de Desempenho) e PA2.2 – Work Product Management (Gerenciamento de Produto de Trabalho). O processo realizado anteriormente é implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos. Satisfaz os requisitos definidos de qualidade, prazo e custos.

 

Nível 3 – Processo Estabelecido:

Possui os atributos PA3.1 – Process Definition (Definição de Processo) e PA3.2 – Process Deployment (Implementação de Processo). O processo gerenciado anteriormente é implementado usando um processo padrão definido, eficaz e eficiente.

 

Nível 4 – Processo Previsível:

Possui os atributos PA4.1 – Process Management (Gerenciamento do Processo) e PA4.2 – Process Control (Controle do Processo). O processo estabelecido anteriormente opera dentro de limites de controle e com medições detalhadas e analisadas.

 

Nível 5 – Processo Otimizado:

Possui os atributos PA5.1 – Process Innovation(Inovação de Processo) e PA5.2 – Process Optimization (Otimização de Processo). O processo previsível anteriormente sobre melhorias contínuas para atender aos objetivos de negócio.

 

Observe a figura. Cada nível de capacidade só pode ser alcançado quando o nível inferior for plenamente alcançado. Por exemplo, uma capacidade de processo nível 3 (Processo Estabelecido) exige que os atributos definição de processos e implementação do processo sejam amplamente realizados, além da plena realização dos atributos do nível de capacidade 2 (Processo Gerenciado).


Implementando o COBIT 5 na empresa

Você sabe como implementar o COBIT 5 na empresa?

A ISACA oferece um guia de implementação em sua publicação COBIT 5 Implementation, baseado em um ciclo de vida de melhoria contínua.

Um guia para evitar os problemas mais comuns encontrados, alavancar as boas práticas e ajudar na geração de resultados esperados.

O guia também é apoiado por um conjunto de ferramentas de implementação contendo uma variedade de recursos. O seu conteúdo inclui:

  • Autoavaliação, medição e ferramentas de diagnóstico.
  • Apresentações destinadas a vários públicos.
  • Artigos relacionados e mais explicações.

No documento relativo ao framework COBIT 5 é apresentada uma introdução à implementação e ao ciclo de vida de melhoria contínua e destacada uma série de tópicos importantes do COBIT 5 Implementation, tais como:

1 – Fazer um plano de negócios (business case) para a implementação e melhoria da governança e gestão de TI.

2 – Reconhecer os “pontos de dor” (pontos fracos) típicos e eventos de disparo.

3 – Criar o ambiente adequado para a implementação.

4 – Utilizar COBIT para identificar lacunas e orientar o desenvolvimento de viabilizadores, como políticas, processos, princípios, estruturas organizacionais, e os papéis e responsabilidades.


Como começar a implementação do COBIT 5

Cada organização precisa desenvolver seu próprio plano de implementação, levando em consideração o seu contexto, ou seja, fatores do ambiente interno e externo específico da organização, e em seguida, é importante ter um ambiente apropriado para implementação da governança de TI. E fundamental a participação da alta direção da organização. Veja a seguir fatores que devem compor este ambiente.

  • Ética e cultura. Leis, regulamentos e políticas aplicáveis.
  • Missão, visão e valores. Políticas e práticas de governança.
  • Plano de negócios (business plan) e intenções estratégicas.
  • Modelo de funcionamento e nível de maturidade. Estilo de gestão.
  • O apetite pelo risco. capacidades e recursos disponíveis.
  • Práticas da indústria.

A implantação requer o envolvimento de todos os stakeholders e ser baseada em um caso de negócio (business case), que é uma ferramenta valiosa para a gestão e criação de valor para o negócio. Minimamente, o plano de negócios deve incluir o seguinte:

  1. Os benefícios a serem alcançados e o seu alinhamento com a estratégia de negócios;
  2. As mudanças de negócios necessárias para criar o valor previsto. Isso poderia ser baseado em análise de gap e deve indicar claramente o que está no escopo e o que está fora do escopo;
  3. Os investimentos necessários para realizar as mudanças na governança e gestão de TI (com base em estimativas de projetos necessários);
  4. O custos operacionais de TI e do negócio;
  5. O risco inerente às iniciativas, incluindo quaisquer restrições ou dependências (com base em desafios e fatores de sucesso);
  6. Papéis, responsabilidades e obrigações relacionados com a iniciativa;
  7. Como o investimento e a criação de valor serão monitorados durante todo o ciclo de vida econômico, e as métricas a serem utilizadas (com base em objetivos e métricas).

Ciclo de vida da implementação

O ICASA propõe um ciclo de vida de implementação definido em 7 (sete) fases, conforme figura a seguir, para lidar com as complexidades e desafios encontrados durante as implementações.

Veja a seguir as características de cada uma dessas fases.


7 Fases da Implementação do COBIT

Conheça agora as características de cada uma das 7 fases da implementação do COBIT.

Fase 1: Quais são os direcionadores?

começa com o reconhecimento e concordância da necessidade de uma iniciativa agir e cria um desejo de mudança. Define-se o Plano estratégico de TI.

 

Fase 2: Onde estamos agora?

Avaliar o estado atual dos processos, mobilizar a equipe e definir problemas e oportunidades. Objetiva definir o escopo da iniciativa de implementação ou melhoria, utilizando o mapeamento dos objetivos de negócio com os de TI.

 

Fase 3: Onde queremos estar?

Definir o estado desejado, comunicar o resultado e definir o roteiro de implementação. Priorizar as iniciativas mais fáceis de realizar e que trazem mais benefícios.

 

Fase 4: O que precisa ser feito?

Construir as melhorias, identificar os envolvidos e planejar a implementação. Focar em soluções práticas por meio da definição de projetos apoiados por casos de negócios justificáveis.

 

Fase 5: Como vamos chegar lá?

Implementar as melhorias, executando o plano de implementação definido na fase anterior, operar e usar. As métricas podem ser definidas e o monitoramento estabelecido para garantir o alinhamento com as estratégias de negócio.

 

Fase 6: Chegamos lá?

Operar e medir, incorporar novas abordagens e obter benefícios. Essa etapa incide sobre a operação sustentável dos processos novos ou melhorados e o monitoramento da eficácia e dos benefícios esperados.

 

Fase 7 – Como mantemos o ritmo?

Monitorar e avaliar, sustentar e revisar a eficácia. Nesta etapa, realiza-se o acompanhamento e a análise contínuos.

 


Para saber mais sobre o uso do COBIT, acesse:

COBIT 5: A Business Framework for the Governance and Management of Enterprise IT

http://www.isaca.org/cobit/pages/default.aspx

 


Referencias:

Base: Pós em Engenharia de Software – Estácio (EAD), com várias adaptações e melhorias.

COBIT. Site oficial. Disponível em: <http://www.isaca.org/COBIT/Pages/default.aspx>. Acesso em: 12 set. 2014.

 



 

Gestão estratégica de TI – Uso do COBIT versão 5