Governança de TI e COBIT 5

Gestão estratégica de TI – Governança de TI e COBIT 5

A governança corporativa por si não resolve os problemas da organização, mas orienta e recomenda a implementação de mecanismos de gerenciamento e controle que contribuirão para a melhoria das organizações.

Na medida em que a TI ganhou notoriedade e importância no contexto empresarial surge o termo Governança de TI, que objetiva:

• Colaborar efetivamente com a Governança Corporativa;
• Melhorar os processos de TI;
• Alinhar a gestão da TI com as estratégias da empresa;
• Melhor gerir os recursos de TI.

Dentro desse contexto, a Governança de TI precisa de mecanismos para estruturar e alinhar os recursos e processos de TI com os objetivos do negócio, padrões de qualidade, às demandas das áreas da empresa, dos acionistas, organismos regulatórios e entidades externas.

O COBIT é um modelo de governança em TI criado possibilitar a empresa a estruturar controles efetivos para que os processos de TI possam, uma vez alinhadas as estratégias da empresa, gerar resultados em prol da empresa de forma efetiva, segura e transparente.

Governança corporativa

Governança Corporativa teve origem no mercado financeiro com intuito de tornar transparente aos investidores das empresas de capital aberto (que possuem ações na bolsa de valores) aspectos sobre: aumento de rentabilidade e redução de riscos.

A governança corporativa visa garantir o retorno ao aporte de capital feito pelos investidores, adotando boas (e saudáveis) práticas de gestão. O objetivo da governança é garantir que as decisões dos executivos das empresas e os processos empresariais estejam alinhados com os interesses dos proprietários e/ou acionistas. Para tal deve permitir mecanismos eficientes de gestão, monitoramento e controle.

Governança de TI

A importância do alinhamento entre estratégia corporativa e TI.

O ponto de partida da governança em TI é:

A área de TI deve, além de oferecer suporte à organização, apoiar fortemente a sua gestão administrativa e estratégica.

Assim sendo, um dos principais objetivos propostos pela governança de TI é justamente o de:

Manter processos e melhores práticas de gestão, diretamente relacionados à tecnologia de sistemas, redes, banco de dados e demais recursos de TI utilizados na organização.

Desde sempre a TI preocupa-se em fornecer aos gestores da organização informações pertinentes, completas e em tempo ágil para a tomada de decisão, seja ela de natureza operacional, tática (ou gerencial) ou estratégica.

Conforme ilustrado na figura a seguir, a governança de TI deve tratar basicamente 3 questões:

• Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz da TI?
• Quem deve tomar essas decisões?
• Como essas decisões serão tomadas e monitoradas?

Para responder às questões colocadas na figura, é apresentada uma Matriz de Arranjos de Governança (Matriz de Responsabilidade de Decisões), levando em consideração cinco aspectos específicos, que são:

1. Princípios de TI: Esclarecimento do papel de negócio da TI.
2. Infraestrutura de TI: Determinando serviços compartilhados e de suporte.
3. Arquitetura de TI: Definindo os requisitos de integração e padronização.
4. Necessidade de aplicações de negócio: Especificando a necessidade de aplicações de TI adquiridas ou desenvolvidas internamente.
5. Priorização de Investimento de TI: Escolhendo quais iniciativas financiar e quanto gastar.

Foi feito e publicado um estudo com 256 empresas. O tema da pesquisa foi sobre as decisões da TI relacionadas aos 5 aspectos apresentados na tela anterior. Foi constatado, no estudo, que as decisões são tomadas segundo alguns arquétipos (estilos), conforme o tipo de pessoa que toma a decisão. Veja a tabela 1 com os arquétipos identificados.

A Matriz dos tipos de decisões x arquétipos identificada pelos autores do estudo foi a apresentada conforme tabela 2. Porém cabe ressaltar que cada empresa possuirá a sua, obviamente.

Atenção:

A primeira atividade para a empresa que decide implantar Governança de TI é saber como a empresa decide tais questões estratégicas de TI.

A partir daí pode-se implementar ou adaptar os objetivos de controle do COBIT, que auxiliam no entendimento do estágio em que se encontra a maturidade da empresa em termos dos processos que suporta o planejamento e a organização da TI.

Frameworks e boas práticas em governança

Quando falamos de governança, nos vem imediatamente à mente os diversos modelos (frameworks) que vêm sendo adotados em empresas nacionais e internacionais.

Uma pesquisa realizada em 2007 pelo itSMF (IT Service Management Fórum Brasil), envolvendo CIOS, diretores e gerentes de cerca de 200 organizações (grandes empresas, órgãos governamentais, Bancos e seguradora) demonstra a aceitação do mercado brasileiro à adoção das melhores práticas em TI: 85 % das empresas adotam melhores práticas de TI em seus negócios. Conforme gráfico que será apresentado mais à frente os principais modelos apontados pela pesquisa são:

• ITIL – Information Technology Infrastructure Library
• ISO 20000
• COBIT – Control Objectives for Information and related Technology
• PMBOK – Project Management Body of Knowledge
• BSC – Balanced Scorecard
• CMMI – Capability Maturity Model / Capability Maturity Model Integration

Conheça um pouco mais alguns dos principais modelos de governança apresentados.

ITIL e ISO 20000 são ferramentas usadas para a gestão dos serviços de TI, provendo efetividade, qualidade e alinhamento dos mesmos aos negócios da organização. O ITIL é um conjunto de padrões e melhores práticas para gerenciar os serviços e a infraestrutura em TI, responsáveis por grande parte do custo da organização com TI.

O modelo COBIT (Control Objectives) de Governança visa controlar e alinhar os recursos e processos de TI com os objetivos da organização. O modelo vem evoluindo e atualmente alinha-se com outros modelos como: COSO, ITIL e outros.

O PMBOK compila um conjunto de boas práticas de gerenciamento de projetos, uma vez que as demandas de TI são providas por projetos.

O BSC (Balanced Scoredcard) é uma ferramenta de apoio à gestão estratégica e apuração de desempenho, que objetiva medir até que ponto uma estratégia empresarial se transforma em resultado.

O CMMI é um modelo para medir a maturidade e capacitação da empresa no desenvolvimento de software com qualidade, seguindo modelos consagrados da Engenharia de Software. Seu objetivo é diferenciar, dentre as organizações de TI, aquelas que possuem ou não gestão sobre seus processos de desenvolvimento, segundo as boas práticas do mercado.

A chave da governança de TI é integrar ao negócio, avaliar riscos e entregar valor ao cliente.

Modelos de Governança de TI adotados por empresas brasileiras. Fonte: itSMF. Acesso em: nov. 2007. Disponível em: <http://www.itsmf.com.br>.

Visão geral do COBIT e seus domínios

O COBIT (Control Objectives for Information and Related Technology) foi criado na década de 90 pela ISACA (Information System Audit and Control Association) e pode ser traduzido como Objetivos de Controle para a Informação e Tecnologia. Encontra-se, atualmente (2014), em sua versão 5.0, lançada no final de 2012.

É um modelo de governança em TI, criado para estruturar e alinhar os recursos e processos de TI com os objetivos e estratégias do negócio, padrões de qualidade, às demandas das áreas funcionais da empresa, dos acionistas, organismos regulatórios e entidades externas.

O COBIT ajuda a TI das organizações a agregarem valor ao negócio, mantendo uma boa relação entre os níveis de riscos e recursos necessários com os benefícios proporcionados.

O seu principal objetivo é permitir que a TI seja governada e gerenciada de forma uniforme e global para toda a organização.

O modelo COBIT se baseia em 5 pilares fundamentais, conforme focos identificados no organograma a seguir:

Alinhamento estratégico: alinhamento entre as estratégias do negócio e as estratégias de TI; definição da missão, valores e estratégias para a TI; alinhamento das operações da TI com as operações corporativas.

Entrega de valor: procurar garantir que as entregas da TI estejam de acordo com o esperado para atender aos objetivos estratégicos, otimizando custos e provendo valor à TI.

Gerência de riscos: requer entendimento dos riscos por parte da alta direção, entendimento da conformidade em relação aos requisitos, transparência sobre os riscos significativos para a empresa e incorporação da responsabilidade de gerenciamento dos riscos na organização.

Gerência de recursos: otimizar investimentos e gerenciamento adequado dos recursos de TI (aplicações, informações, infraestrutura e pessoas).

Medição de desempenho: monitorar e acompanhar a implementação da estratégia, finalização de projetos, desempenho de processos e entrega dos serviços, utilizando além das medições convencionais, indicadores de desempenho, como o Balanced Scorecard, relacionado anteriormente.

Como o COBIT ajuda as organizações

Você sabe como o COBIT ajuda as organizações?

O COBIT fornece o detalhamento do que deve ser auditado em cada processo com base nos objetivos (modelos) de controle. Seus indicadores medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios. Em princípio os modelos de controle providos pelo COBIT podem ser usados por empresas de qualquer porte para obterem os seguintes benefícios:

• Prover qualidade nas informações de suporte às decisões de negócios;
• Fazer valer a pena os investimentos em TI, de forma que ajudem a atingir metas estratégicas e gerem benefícios ao negócio;
• Prover excelência operacional na organização pelo uso efetivo da tecnologia;
• Equacionar os riscos com a TI em um nível tolerável;
• Otimizar o custo de serviços de TI, aproveitando-o ao máximo na organização;
• Manter a conformidade com leis, regulamentos, acordos contratuais e políticas.

A estrutura do Framework do COBIT 5

O COBIT em sua versão 5 deixa bem clara a distinção entre Governança e Gestão de TI, eu sua nova abordagem dos 37 processos existentes, que estão divididos em 2 áreas de atividade – Governança e Gestão, que por sua vez se dividem em domínios de processos. Os 5 novos processos de Governança fazem parte do domínio Avaliar, Dirigir e Monitorar (ADM) e os 32 processos de gestão compõem os 4 domínios que são:

1. Alinhar, Planejar e Organizar (APO).
2. Construir, Adquirir e Implementar (BAI).
3. Entregar, Servir e Suportar (DSS).
4. Monitorar, Avaliar e Medir (MEA).

Em sua 1ª Versão, em 1996, o COBIT atuava como um framework para auditoria e controles de TI, com foco nos controles. Em 2000, foi lançada a 3ª versão com a inclusão de orientações para o gerenciamento da TI.

Em 2005, com o COBIT 4.0, se tornou o framework de governança de TI, com a inclusão de processos de governança e compliance (conformidade).

E atualmente, na quinta versão, é o framework integrador de governança e gestão de TI corporativa.

A Figura mostra a evolução do COBIT, desde sua primeira versão.

Os 5 princípios do COBIT

Observe a figura a seguir.

Ela ilustra os Princípios do COBIT 5.

Para que possamos entender o modelo do COBIT, precisamos identificar as características gerais que o norteiam, pois são elas que embasam toda a “arquitetura” do mesmo, mas para entendermos de forma consistente essas características, precisaremos entender os 5 (cinco) Princípios, pois são eles que as direcionam.

Falaremos sobre cada um deles.

Princípio 1 do COBIT

1 – Atender as necessidades dos stakeholders

As organizações objetivam criar valor para seus skateholders (acionistas, auditores, fornecedores, consultores, alta administração etc.), e cabe a TI esse papel. Como as empresas possuem, em geral, muitos skateholders, essa geração de valor pode significar coisas diferentes e muitas vezes com interesses conflitantes. Esse princípio foca a necessidade em negociar e decidir entre os diferentes interesses dos stakeholders, considerando a opinião de todos nas decisões sobre os benefícios, recursos e avaliação dos riscos. Para cada decisão de governança, as seguintes questões devem ser respondidas:

• Quem recebe os benefícios?
• Quem assume os riscos?
• Quais são os recursos necessários?

As necessidades dos stakeholders precisam ser transformadas em estratégias das empresas. Por isso, esse princípio está intimamente relacionado à necessidade de alinhamento estratégico entre TI e negócio. O COBIT 5 traz consigo o que chama de Cascata de Objetivos (goals cascate), que traduz as necessidades dos stakeholders em metas da empresa e da TI.

Princípio 2 do COBIT

2 – Abranger a organização de ponta a ponta

O COBIT, em sua versão 5, abrange não apenas a governança, mas também a gestão de TI, cobrindo a organização como um todo.

Isso significa que o COBIT 5:

O COBIT 5 integra-se a qualquer mecanismo de governança já existente na empresa, como por exemplo o ITIL.

Princípio 3 do COBIT

3 – Aplicar um framework único e integrado

COBIT, em sua versão 5, é uma estrutura única e integrada, na medida em que integra todos os conhecimentos anteriormente segregados em diferentes frameworks da ISACA, tal qual o COBIT 4.1, Val IT (valor de TI para o negócio), Risk IT (risco relacionado ao uso de TI), BMIS (segurança). Além disso, está alinhado com os mais atuais e relevantes padrões e frameworks utilizados:

• De gestão corporativa: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000.
• Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI etc.

Isso permite à organização utilizar o COBIT 5 como um integrador dos frameworks de governança e de gestão.

Princípio 4 do COBIT

4 – Possibilitar uma abordagem holística

Objetivando fornecer apoio à Governança e à gestão de TI utilizando uma abordagem que engloba a organização como um todo, incluindo seus componentes e suas inter-relações, o COBIT 5 define um conjunto de 7 viabilizadores, isto é, fatores que, individual e coletivamente, influenciam o funcionamento da governança e gestão corporativa de TI. A partir da cascata de objetivos, são definidos que resultados os diferentes viabilizadores ou habilitadores devem entregar.

São 7 categorias de viabilizadores ou habilitadores, conforme ilustrado na figura a seguir:

Conheça agora as características de cada uma das 7 categorias de viabilizadores ou habilitadores, observadas na figura anterior.

• Princípios, políticas e frameworks: traduzem o comportamento desejado em um guia prático para a gestão cotidiana;
• Processos: descreve um conjunto organizado de práticas e atividades para atingir determinados objetivos e produzir um conjunto de saídas que auxiliem no cumprimento das metas da TI;
• Estruturas organizacionais: são os responsáveis pela tomada de decisão em uma organização;
• Cultura, ética e comportamento: dos indivíduos e da organização; em geral é subestimada como um fator de sucesso nas atividades de governança e gestão;
• Pessoas, habilidades e competências: está relacionado com as pessoas que executam as atividades e tomam decisões. O objetivo é que as atividades tenham sucesso e as decisões e ações corretivas sejam efetivas.
• Serviços, infraestrutura e aplicações: inclui a infraestrutura, tecnologia e aplicações que fornecem à organização os serviços de TI;
• Informação: São todas as informações produzidas e utilizadas pela organização. É fundamental para a boa governança e funcionamento da organização;

Princípio 5 do COBIT

5 – Separar a governança da gestão

COBIT 5 torna clara a distinção entre governança e gestão. Essas duas áreas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e possuem finalidades diferentes.

A governança assegura que as necessidades, as condições e as opções dos stakeholders sejam avaliadas para determinar os objetivos de negócio a serem alcançados, define a direção por meio de priorização e tomada de decisão e provê monitoramento de desempenho e conformidade com relação aos objetivos.

Conforme ilustrado na figura a seguir, a governança compreende as ações que tem relação com avaliar, direcionar e monitorar os processos e atividades de TI. Já a gestão compreende a camada de execução da TI, que abrande as práticas relacionadas com planejar, construir, executar e monitorar os processos e atividades de TI, sempre em alinhamento com direcionamento dado pela governança. Dessa forma os serviços de TI tendem a ser entregues dentro do escopo, custo, prazo e qualidade acordados.

Leia Mais

Para saber mais sobre Governança de TI e Visão geral do COBIT, leia os textos indicados:

COBIT -> http://www.isaca.org/cobit/pages/default.aspx

Balanced Scorecard -> http://www.bscol.com/

Itil -> http://blog.itil.org/

PMBOK -> http://www.pmi.org/

Especial itSMF: 58% das empresas adotam ITIL no País -> http://computerworld.com.br/gestao/2006/10/17/idgnoticia.2006-10-17.2455603781/

Referencias:

Base: Pós em Engenharia de Software – Estácio (EAD), com várias adaptações e melhorias.

COBIT. Site oficial. Disponível em: <http://www.isaca.org/COBIT/Pages/default.aspx>. Acesso em: 12 set. 2014.

MANSUR, Ricardo. Governança avançada de TI – na prática. 1. ed. São Paulo: Brasport editora, 2009.

VIEIRA, Fabio Marconi. Gerenciamento de projetos de tecnologia da informação. 2. ed. Rio de Janeiro: Elsevier Editora, 2007.

Lista de Exercícios de Gestão estratégica de TI – Lista 3

Gestão estratégica de TI – Governança de TI e COBIT 5