Modelo de processos do COBIT

A orientação a processo é uma atividade padrão dentro das boas práticas de TI. Trabalhar orientado a processo remete-nos a uma visão de ciclo de vida, em que planejamos, fazemos, controlamos, agimos e, no final, voltamos ao ciclo de planejamento. Um modelo de processos, como o do COBIT 5, incentiva a determinação de proprietários dos processos, o que possibilita a definição de responsabilidades. Além disso, relaciona os requisitos de negócio com os processos de TI, dividindo controles e indicadores, como veremos neste capítulo.

Modelo de referência de processos do COBIT 5

Cadeia de processos e gestão
Fonte: TechnoVectors/shutterstock

O COBIT 5 possui um modelo de referência de processos semelhante ao da versão 4, que define e descreve em detalhes uma cadeia de processos de governança e gestão. Esse modelo representa os processos comumente relacionados às atividades de TI, fornecendo uma referência compreensível tanto para os gerentes operacionais da área quanto para os gerentes de negócios.

O modelo de processo do COBIT 5 é completo e abrangente, mas cada organização deverá definir seu próprio conjunto de processos, de acordo com sua situação específica, suas necessidades e a aplicabilidade dentro da sua estratégia.

Incorporar um modelo operacional e uma linguagem comum para todos os stakeholders envolvidos com atividades de TI é uma das etapas mais importantes e críticas da boa governança e trata-se de um dos principais benefícios da aplicação de um modelo de gestão, viabilizando a coerência, a padronização e a conexão com outros.

O modelo do COBIT 5 permite medir e monitorar o desempenho de TI, promovendo garantia da área, comunicação com os provedores de serviço e melhor integração com as práticas da administração.

Conforme mostra o gráfico, o modelo de referência de processo do COBIT 5 divide os processos de governança e gestão de TI da organização em dois domínios de processo principais:

Principais áreas de governança
Fonte: ISACA (2012, p. 34).

[1] Domínio de governança: contém cinco processos de governança. Dentro de cada um, são definidas práticas para avaliar, dirigir e monitorar (evaluate, direct and monitor - EDM).

[2] Domínio de gestão: contém quatro domínios, em consonância com as áreas responsáveis por planejar, construir, executar e monitorar (plan, build, run and monitor - PBRM), oferecendo cobertura de TI de ponta a ponta. Os nomes dos domínios foram escolhidos em sinergia com as designações dessas áreas principais:

• Alinhar, Planejar e Organizar (Align, Plan and Organise – APO);
• Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI);
• Entrega, Serviços e Suporte (Deliver, Service and Support - DSS);
• Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess – MEA).

Cada domínio contém diversos processos, e a maioria destes requerem atividades para planejar, construir, entregar e monitorar o processo ou o problema específico que está sendo tratado. Eles são alocados em domínios de acordo com a área de atividade mais relevante quando a TI é analisada em nível corporativo.

O gráfico apresenta um mapa com o conjunto completo dos 37 processos de governança e de gestão do COBIT 5.

Modelo de referência de processos COBIT 5
Fonte: ISACA (2012, p. 35).

Os 37 processos podem ser utilizados para verificar a totalidade das atividades e responsabilidades de gestão e governança de TI. No entanto, conforme já dissemos, cada organização é livre para escolher quais deles devem ser aplicados e combinados, de acordo com o seu contexto e as suas necessidades específicas.

Para ilustrar, o quadro apresenta exemplos de potenciais categorias de habilidades, mapeadas nos domínios de processo do COBIT 5, do habilitador Pessoas, Habilidades e Competências.

Categorias de habilidades por domínio de processo do COBIT do habilitador Pessoas, Habilidades e Competências

Domínio do Processo	Exemplos de Categorias de Habilidades
Avaliar, dirigir e monitorar (EDM)	Governança corporativa de TI
Alinhar, planejar e organizar (APO)	Formulação da política de TI Estratégia de TI Arquitetura corporativa Inovação Gestão financeira Gestão de portfólio
Construir, adquirir e implementar (BAI)	Análise de negócios Gerenciamento de projetos Avaliação de usabilidade Definição e gestão de requisitos Programação Ergonomia do sistema Desativação de software Gestão da capacidade
Entregar, serviço e suporte (DSS)	Gestão da disponibilidade Gestão de problemas Central de atendimento e gestão de incidentes Administração de segurança Operações de TI Administração do banco de dados
Monitorar, avaliar e analisar (MEA)	Análise de conformidade Monitoramento de desempenho Auditoria de controles

Fonte: ISACA (2012, p. 91).

Quinto princípio: Distinguir a governança da gestão

O modelo do COBIT 5 faz uma distinção bem enfática entre governança e gestão, já que essas duas disciplinas tratam de diferentes tipos de atividades, requerem distintas estruturas organizacionais e atendem a propósitos diferentes. Essa é a espinha dorsal do modelo.

Na maioria das organizações, a governança geral é de responsabilidade do Conselho de Administração, sob a liderança do presidente, e a gestão é de responsabilidade da diretoria executiva, sob a liderança do diretor executivo ou CEO – Chief Executive Officer.

A governança garante que as necessidades, condições e opções das partes interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados, definindo a direção através de priorizações e tomadas de decisão e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.

A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.

Fonte: ISACA (2012, p. 33).

Governança e gestão

A partir dessas definições de governança e gestão, fica claro que elas incluem diversos tipos de atividades, com diferentes papéis e responsabilidades. Dado o papel da governança de avaliar, orientar e monitorar a estratégia corporativa, há a necessidade de uma interação clara e próxima dela com a gestão com a finalidade de resultar em um eficiente e eficaz sistema de governança.

De acordo com a ISACA (2012, p. 33). essas interações, usando a estrutura de habilitadores, são assim relacionadas:

[1] Habilitador: Processos
Interação: o habilitador Processos faz uma distinção entre processos de governança e de gestão, incluindo conjuntos específicos de práticas e atividades de cada um. O modelo de processo inclui as tabelas RACI, que descrevem as responsabilidades das diferentes estruturas organizacionais e suas funções na organização.

[2] Habilitador: Informação
Interação: o modelo de processo descreve entradas e saídas das diferentes práticas dele para outros processos. Informações usadas para avaliar, orientar e monitorar a TI da organização são trocadas entre a governança e a gestão conforme descrição nas entradas e saídas do modelo de processo.

[3] Habilitador: Estruturas Organizacionais
Interação: diversas estruturas organizacionais são definidas em cada organização; estruturas podem ser definidas no âmbito da governança ou no âmbito da gestão, dependendo da sua composição e do escopo das decisões. Pelo fato de a governança definir a orientação, há uma interação entre as decisões tomadas pelas estruturas dela, por exemplo, decisão sobre o portfólio de investimentos e definição do apetite ao risco, e as decisões e operações que implementam as primeiras.

[4] Habilitador: Princípios, Políticas e Modelos
Interação: princípios, políticas e modelos são os veículos pelos quais as decisões de governança são institucionalizadas na organização. Por esse motivo, constituem uma interação entre as decisões de governança (definição da orientação) e a gestão (execução das decisões).

[5] Habilitador: Cultura, Ética e Comportamento
Interação: o comportamento também é um habilitador essencial da boa governança e gestão da organização. Ele fica no topo – liderando por exemplos – e é, portanto, uma interação importante entre a governança e a gestão.

[6] Habilitador: Pessoas, Habilidades e Competências
Interação: as atividades de governança e gestão requerem conjuntos de habilidades diferentes. Uma que é essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam.

[7] Habilitador: Serviços, Infraestrutura e Aplicativos
Interação: serviços necessários são apoiados por aplicativos e infraestrutura que proporcionem ao órgão de governança informações adequadas e suporte às seguintes atividades da governança: avaliação, definição da orientação e monitoramento.

O COBIT 5 defende que as organizações implementem os processos de governança e gestão de maneira que as principais áreas sejam abordadas da forma mais abrangente possível. Não há processos obrigatórios, nem é proposto um método a ser seguido. Cada organização é livre para fazer a gestão de seus processos conforme seja mais conveniente e aplicável ao seu contexto. Mas é importante que todos os objetivos de governança e gestão necessários sejam abordados.

Quarto princípio: Permitir uma abordagem holística

Vamos descrever de forma mais clara como os habilitadores do COBIT 5 trabalham para que possamos ter uma visão estrutural do modelo. Habilitadores são fatores que, de forma individual ou em conjunto, influenciam se algo irá funcionar na governança e na gestão corporativas da TI e são orientados pela cascata de objetivos. O COBIT 5 define sete categorias de habilitadores, que podem ser vistos no gráfico. São eles:

[1] Princípios, Políticas e Frameworks: são caminhos para a tradução do comportamento desejado em ações e orientações práticas para a gestão do dia a dia e na visão do todo.

[2] Processos: têm como objetivo descrever um conjunto estruturado de práticas e atividades e fornecem um conjunto de resultados para apoiar o atingimento dos objetivos de TI.

[3] Estruturas Organizacionais: são as principais entidades de tomada de decisão de uma organização, por isso têm peso importante dentro desse modelo.

[4] Cultura, Ética e Comportamento: são questões muitas vezes subestimadas como um fator de sucesso e evolução nas atividades de governança e gestão, mas devem ser fortemente consideradas.

[5] Informação: no universo corporativo, a informação permeia qualquer decisão e inclui todos os dados produzidos e usados pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada, mas, no nível operacional, ela, por si só, é muitas vezes o principal produto da organização, o grande ativo.

[6] Serviços, Infraestrutura e Aplicativos: fornecem à organização o processamento e os serviços de TI e apoiam a execução dos seus processos de negócio.

[7] Pessoas, Habilidades e Competências: estão associadas aos times e são necessárias para a conclusão bem-sucedida de todas as atividades, assim como para a tomada de decisões e as medidas corretivas.

Habilitadores corporativos do COBIT 5
Fonte: ISACA (2012, p. 29).

Analisando o gráfico, fica claro que a meta é que os principais objetivos corporativos sejam atingidos por meio da governança corporativa, incluindo a governança de TI. Além disso, a organização sempre deverá considerar um conjunto de habilitadores interligados, de forma que cada um deles utilize informações dos demais para ser plenamente efetivo e produzir resultados para o benefício dos outros habilitadores.

É importante destacar que alguns habilitadores podem ainda se tornar recursos da organização que devem ser gerenciados e governados. Dessa forma:

• A informação é um recurso e deve ser gerenciada como tal. Como exemplo, o COBIT indica que algumas informações, como relatórios de gestão e informações de inteligência organizacional, são importantes habilitadores para a governança e gestão da organização.
• Os serviços, a infraestrutura e os sistemas devem apoiar os processos e a cadeia de valor da organização.
• As pessoas, suas habilidades e competências completam a estrutura, sendo pilar fundamental da estrutura organizacional.

Assim a alta administração da organização tem condições de tomar boas decisões quando esta natureza sistêmica dos arranjos de governança e gestão, com todos os habilitadores inter-relacionados, for considerada.

Curiosidade     

O que significa abordagem holística?

A visão holística pode ser considerada a forma de perceber a realidade e a abordagem sistêmica, o primeiro nível de operacionalização desta visão.

O enfoque sistêmico exige dos indivíduos uma nova forma de pensar: de que o conjunto não é mera soma de todas as partes, mas as partes compõem o todo, e é o todo que determina o comportamento das partes. Portanto, para a empresa o lucro deixa de ser o objetivo, para se tornar uma consequência de todo os processos da empresa; o RH deixa de ser custo e os consumidores deixam de ser receitas, para se tornarem parte do todo da empresa. A empresa ganha uma nova visão, valorizando todos os processos e departamentos, tendo consciência que todos têm a sua importância e que todos compõem a empresa. A empresa não é mera soma de departamentos e processos, mas são eles a empresa. Traz a percepção da organização como uma série de processos e atividades interligadas. Uma empresa é um processo que contém vários processos, de manufatura e/ou serviços.

A Administração Holística tem como base que a empresa não pode mais ser vista como um conjunto de departamentos (departamentalização) que executam atividades isoladas, mas sim como em conjunto único, um sistema aberto em contínua interação.

Fonte: https://pt.wikipedia.org/wiki/Administração_holística, acesso em: 25.nov.2016.

Quando essa abordagem sistêmica dos arranjos de governança e gestão for considerada, decisões mais assertivas e dentro de um nível de risco adequado podem ser tomadas. Para solucionar qualquer necessidade das partes interessadas, a referência de todos os habilitadores inter-relacionados deve ser analisada e tratada, quando aplicável. Para ilustrar essa visão, podemos citar alguns exemplos, de acordo com a ISACA (2012, p. 30):

• Exemplo 1: Uma determinada organização deseja realizar uma prestação de serviços. Os habilitadores necessários para que seja bem-sucedida seriam:
• Prestar serviços operacionais de TI a todos os usuários exige capacidades de serviço (infraestrutura, aplicativos) e estrutura de pessoas qualificadas, com o comportamento alinhado à cultura organizacional.
• Estruturar processos de prestação de serviços, considerando ANSs e contratos bem definidos que devam ser implementados, exige apoio de estruturas organizacionais adequadas de TI e Negócio.

• Exemplo 2: Uma organização deseja melhorar a segurança das informações. Os habilitadores necessários seriam:
• Identificar e prover estrutura para atender à necessidade de segurança da informação exige a criação e a adoção de diversas políticas e procedimentos.
• Com base nas premissas e nas políticas adotadas, devem-se implementar práticas de segurança seguindo práticas integrativas de mercado.
• Deve-se obter um alinhamento coerente com a cultura e a ética da organização e das pessoas para os procedimentos serem efetivos.
• Os processos e os procedimentos de segurança das informações devem utilizar habilitadores adequados.

Segurança da informação
Fonte: Piotr Zajda/shutterstock

Para haver mais coerência e sentido, os habilitadores possuem um conjunto de dimensões que apresenta uma maneira comum, simples e estruturada para tratar deles. Isso permite que uma entidade controle suas interações complexas e facilita o alcance de resultados bem-sucedidos dos habilitadores. As quatro dimensões comuns dos habilitadores do COBIT 5, de acordo com a ISACA (2012, p. 30), são:

[1] Partes interessadas: cada habilitador tem partes interessadas (partes que desempenham um papel ativo e/ou têm algum interesse no habilitador). Por exemplo, os processos têm diversas partes que executam atividades e/ou que têm algum interesse nos resultados deles, enquanto as estruturas organizacionais têm partes interessadas, cada uma com suas próprias funções e interesses, que fazem parte das estruturas. Partes interessadas podem ser internas ou externas à organização, e todas possuem seus próprios interesses e necessidades, às vezes conflitantes. As necessidades delas são traduzidas em objetivos corporativos, que, por sua vez, são traduzidos em objetivos corporativos para a organização.

[2] Metas: cada habilitador tem diversas metas e cria valor ao atingi-las.

Metas podem ser definidas como:

• resultados esperados do habilitador;
• aplicativo ou operação do próprio operador.

As metas do habilitador são a última etapa da cascata de objetivos do COBIT e podem ser divididas em diferentes categorias:

• Qualidade intrínseca: o quanto os habilitadores trabalham de forma precisa e produzem resultados exatos, objetivos e confiáveis.
• Qualidade contextual: o quanto os habilitadores e seus resultados cumprem sua meta, levando-se em consideração o contexto em que operam. Por exemplo, os resultados devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensíveis e fáceis de usar.
• Acesso e segurança: o quanto os habilitadores e seus resultados são acessíveis e seguros. Os habilitadores estão disponíveis quando, e se, necessário. Os resultados são seguros, ou seja, o acesso é restrito a quem de direito precisar deles.

Metas
Fonte: everything possible/shutterstock

[3] Ciclo de vida: cada habilitador tem um ciclo de vida, desde sua criação, passando por sua vida útil/operacional até chegar ao descarte. Isso se aplica a informações, estruturas, processos, políticas etc. As fases do ciclo de vida incluem:

• planejar (inclui o desenvolvimento e seleção de conceitos);
• projetar;
• desenvolver/adquirir/criar/implementar;
• usar/operar;
• avaliar/monitorar;
• atualizar/descartar.

[4] Boas práticas: podem ser definidas para cada um dos habilitadores. Apoiam o atingimento das metas deles. Boas práticas oferecem exemplos ou sugestões de como implementar o habilitador da melhor maneira e quais produtos do trabalho ou entradas e saídas são necessários.

As organizações esperam resultados positivos da aplicação e do uso dos habilitadores. De acordo com a ISACA (2012, p. 31), para controlar o desempenho dos habilitadores, as seguintes perguntas terão de ser monitoradas e depois respondidas periodicamente com base em indicadores e métricas:

• As necessidades das partes interessadas foram consideradas?
• As metas do habilitador foram atingidas?
• O ciclo de vida do habilitador é controlado?
• Boas práticas foram aplicadas?

As duas primeiras perguntas tratam do resultado efetivo do habilitador. São utilizados os indicadores de resultado para que possa ser aferido em que medida as metas foram atingidas. As duas últimas perguntas tratam do funcionamento efetivo do próprio habilitador. São utilizados indicadores denominados indicadores de progresso.

Terceiro princípio: Aplicar um modelo único integrado

Como já dissemos, uma organização pode utilizar o COBIT como o principal integrador do modelo de governança e gestão. A ISACA (2012) apresenta como justificativas para que o COBIT 5 seja utilizado como um modelo único e integrado:

• O COBIT alinha-se com outros padrões, práticas e modelos e cobre a organização de ponta a ponta, fornecendo a base para integrá-los com eficiência.
• Sendo um modelo único, serve como uma fonte consistente e integrada de orientação em uma linguagem comum, não técnica e tecnológica.
• O COBIT fornece uma arquitetura simples para estruturação dos materiais de orientação e produção de um conjunto consistente de produtos.
• O COBIT integra todo o conhecimento previamente coberto nos diversos modelos que a entidade gestora (ISACA) utiliza. A ISACA é responsável pelas vastas pesquisas na área de governança corporativa há muitos anos e criou modelos tais como COBIT v4, Val IT e Risk IT.

O gráfico descreve esse modelo de integração.

Modelo único integrado do COBIT 5
Fonte: ISACA (2012, p. 27).

O COBIT 5 oferece às partes interessadas uma ampla e atualizada orientação sobre governança e gestão de TI da organização, por meio de:

• pesquisas que utilizam um conjunto de fontes que impulsionam o desenvolvimento de conteúdo, com foco em governança e gestão;
• um conjunto de habilitadores de governança e gestão que fornece o modelo para todos os processos e práticas;
• uma base de conhecimento que contém toda a orientação e o conteúdo já produzido;
• uma base ampla e abrangente de referência de boas práticas de mercado.

Segundo princípio: Cobrir a organização de ponta a ponta

O COBIT 5 integra a governança corporativa de TI à da organização e cobre todas as funções e processos necessários para regular e controlar tanto as informações como as tecnologias. Assim, trata de todos os serviços de TI internos e externos pertinentes, bem como dos processos de negócios internos e externos.

O COBIT 5 aborda a governança e a gestão da informação e tecnologias associadas a partir de uma visão holística organizacional, ou seja, de ponta a ponta. Dentro desse objetivo, podemos dizer que o método tem como papel:

• integrar a governança corporativa de TI à da organização, integrando os modelos de governança (TI e negócio);
• cobrir as funções e os processos necessários para regular e controlar as informações da organização e tecnologias envolvidas, tratando todos os serviços de TI internos e externos pertinentes, bem como os processos de negócios internos e externos.

Integração de governança corporativa e TI
Fonte: MaximP/shutterstock

A visão holística e sistêmica que o modelo traz sobre a governança e a gestão de TI da organização tem como referência básica os habilitadores. Estes servem para toda a organização, de ponta a ponta, incluindo as pessoas e os recursos internos e externos, dentro do contexto da governança.

Informação é uma das categorias de habilitadores que o COBIT estabelece. Ela permite que cada parte interessada defina requisitos abrangentes e completos para as informações e para o ciclo de vida de processamento delas, associando assim o negócio e suas necessidades de informações adequadas à função de TI e apoiando a organização.

Além da abordagem à governança de ponta a ponta, que está na base do COBIT, há outros elementos associados a ela, que incluem habilitadores, escopo e funções, atividades e relacionamentos, conforme ilustra o gráfico 1.

Gráfico 1 - Governança de TI para geração de valor
Fonte: ISACA (2012, p. 25).

Seguindo a abordagem de governança e gestão aplicada nesse princípio, podemos destacar que o objetivo de governança é envolver elementos que incluem os habilitadores, o escopo, papéis e responsabilidades (funções), atividades e relacionamentos. De acordo o gráfico 1 e a ISACA (2012, p. 26), fazemos um breve resumo de cada um desses elementos:

• Habilitadores da governança: são os recursos organizacionais da governança, tais como modelos, princípios, processos e práticas, por meio dos quais a ação é orientada e os objetivos podem ser alcançados. Podem incluem recursos da organização, como capacidades dos serviços (infraestrutura de TI, aplicativos), pessoas e informações. A falta de recursos ou habilitadores poderá afetar a capacidade da organização na criação de valor.
• Escopo da governança: a governança pode ser aplicada em toda a organização, em uma entidade, em um ativo tangível ou intangível, podendo definir diferentes visões da organização. É fundamental definir bem esse escopo de atuação no modelo.
• Papéis, atividades e relacionamentos: esses elementos referem-se às funções, às atividades e aos relacionamentos no sistema de governança. É definido quem está envolvido, como está envolvido, o que faz e como interage, dentro do escopo do sistema de governança. O COBIT propõe uma visão que diferencia as atividades de governança e gestão em domínios diferentes e estabelece como a interação entre elas e os especialistas envolvidos deve ocorrer. O gráfico 2 mostra em mais detalhes a parte inferior do gráfico 1, com as interações entre os diferentes papéis.

Gráfico 2 - Principais papéis (funções), atividades e relacionamento
Fonte: ISACA (2012, p. 26).

 

Primeiro princípio: Atender às necessidades das partes interessadas

Um método de governança e controles precisa atender aos interesses de diferentes partes interessadas (ou stakeholders) que pertençam ou não aos quadros da organização.

Nesse cenário, é muito comum que haja conflitos de interesses, principalmente quando se busca a criação de valor corporativo. A realização da governança passa pela negociação entre os diversos stakeholders, visando à conciliação de seus interesses. Dessa forma, todas as partes interessadas devem ser consideradas nas decisões sobre a avaliação de recursos, benefícios e riscos.

Stakeholders
Fonte: nasirkhan/shutterstock

 De acordo com a ISACA (2012), para cada decisão, as seguintes perguntas devem ser feitas:

• Para quem são os benefícios?
• Quem assume o risco?
• Que recursos são necessários?

Cascata dos objetivos do COBIT

As necessidades dos stakeholders devem ser transformadas em uma cascata de objetivos, que as traduza em estratégias corporativas que sejam exequíveis, em objetivos de TI e em metas de habilitador. Essa cascata de objetivos deve permitir a definição de objetivos específicos em cada nível e em cada área da organização de forma a apoiar o alinhamento entre as necessidades corporativas e os serviços e soluções de TI.

A importância da cascata de objetivos está ligada à definição das prioridades de implementação, melhoria e garantia da governança corporativa de TI com base nos objetivos estratégicos da organização e no respectivo risco. De acordo com a ISACA (2012 p. 22), a cascata de objetivos:

• define metas e objetivos tangíveis e relevantes em vários níveis de responsabilidade;
• filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos, para extrair a orientação adequada para inclusão em implementação, melhoria ou garantia de projetos específicos;
• identifica e comunica claramente como os habilitadores são importantes para que os objetivos corporativos sejam atingidos.

Cada organização opera de forma diferente, mesmo considerando empresas do mesmo segmento, reguladas pelos mesmos órgãos e entidades. Um modelo de governança é fundamental, uma vez que há fatores que são determinados de forma externa (mercado, setor, geopolíticas etc.) e interna (cultura, organização, inclinação ao risco). Isso necessariamente exige um sistema de governança e gestão adaptado a cada organização. A cascata de objetivos do COBIT 5 é mostrada no gráfico.

Cascata de objetivos do COBIT
Fonte: Adaptado de ISACA (2012, p. 19).

 

De acordo com o gráfico e segundo a ISACA (2012, pp. 19-20), a cascata de objetivos do COBIT 5 traduz-se nos seguintes passos:

• Passo 1: Os direcionadores das partes interessadas influenciam as necessidades delas: as necessidades das partes interessadas são influenciadas por diversas tendências, como mudanças de estratégia, mudanças nos negócios e no ambiente regulatório, bem como novas tecnologias.
• Passo 2: Desdobramento das necessidades das partes interessadas em objetivos corporativos: as necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos genéricos. Estes são criados usando as dimensões do BSC e representam uma lista dos objetivos mais usados que uma organização pode definir para si.
• Passo 3: Cascata dos objetivos corporativos em objetivos de TI: o atingimento dos objetivos corporativos exige uma série de resultados, que são representados pelos objetivos relacionados a TI. Isso significa tudo o que tiver relação com a TI e tecnologias afins, considerando que os objetivos da área são estruturados de acordo com as dimensões do BSC de TI.
• Passo 4: Cascata dos objetivos de TI em metas do habilitador: atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores. Estes incluem processos, estruturas organizacionais e informações. Para cada habilitador, um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI.

O modelo de cascata de objetivos da organização permite a configuração de objetivos específicos em cada área, alinhados aos objetivos gerais e às expectativas e exigências das partes interessadas. Esse modelo apoia o desdobramento e o alinhamento estratégico entre as necessidades corporativas e os serviços e soluções de TI.

Quando aplicamos esse modelo, algumas perguntas devem ser feitas, dentro do framework do COBIT. Há algumas sugestões de perguntas que devem ser realizadas de acordo com o interessado. Em seguida, apresentamos algumas sugeridas pelo COBIT para definir uma base de referência para a aplicabilidade do modelo.

Seguindo as orientações da ISACA (2012, p. 23), você deve primeiramente identificar as partes interessadas para fazer as perguntas. Além disso, todas estas devem estar relacionadas aos objetivos corporativos (BSC) e podem servir como entrada para a cascata de objetivos.

Partes interessadas internas:

• conselho;
• diretor executivo (CEO – Chief Executive Officer);
• diretor financeiro (CFO – Chief Financial Officer);
• diretor de informática (CIO - Chief Information Officer);
• diretor de risco (CRO - Chief Risk Officer);
• executivos de negócios;
• gerentes, auditores, diretores, usuários de TI etc.

Algumas perguntas das partes interessadas internas:

• Como faço para obter valor com o uso de TI? Os usuários finais estão satisfeitos com a qualidade do serviço?
• Como posso gerenciar o desempenho de TI?
• Como posso explorar melhor as novas tecnologias para novas oportunidades estratégicas?
• Como faço para criar e estruturar da melhor forma o meu departamento de TI?
• Qual é a minha dependência de fornecedores externos?
• Quão bem os contratos de terceirização de TI estão sendo administrados?
• Como faço para obter garantia dos fornecedores externos?
• Quais são os requisitos (de controle) da informação?
• Considerei todos os riscos de TI?

Partes interessadas externas:

• parceiros comerciais;
• fornecedores;
• acionistas;
• reguladores, clientes, consultores etc.

Algumas perguntas das partes interessadas externas:

• Como posso saber se as operações do meu parceiro comercial são seguras e confiáveis?
• Como posso saber se a organização cumpre as regras e os regulamentos aplicáveis?
• Como posso saber se a organização mantém um sistema eficiente de controle interno?

Atividade reflexiva

Necessidades das partes interessadas: sustentabilidade

Após a conclusão da análise das necessidades das partes interessadas, a organização decide que a sustentabilidade é uma prioridade estratégica. Para a empresa, a sustentabilidade inclui não só os aspectos ambientais, mas todas as coisas que contribuem para o sucesso da organização no longo prazo. Com base nos resultados da análise das necessidades das partes interessadas, a organização decide se concentrar nestes cinco objetivos, com especificações mais detalhadas:

1. Valor dos investimentos da organização percebidos pelas partes interessadas, especialmente pela sociedade das partes interessadas.

4. Conformidade com as leis e os regulamentos externos, com foco nas leis ambientais e leis trabalhistas que tratam dos contratos de terceirização.

8. Resposta rápida para um ambiente de negócios em mudança

16. Pessoas qualificadas e motivadas, que reconhecem que o sucesso da organização depende de seus colaboradores.

17. Cultura de inovação de produtos e negócios, com foco em inovações no longo prazo. Com base nessas prioridades, a cascata de objetivos pode ser aplicada.

Fonte: ISACA (2012, p. 23).

Princípios do COBIT

Como já dissemos, o COBIT 5 é baseado em cinco princípios, que vamos detalhar mais agora. O primeiro princípio, atender às necessidades das partes interessadas, apresenta a cascata dos objetivos do método. O segundo, cobrir a organização de ponta a ponta, explica como o método integra a governança corporativa de TI à governança corporativa empresarial, cobrindo todas as funções e processos da organização. O terceiro, aplicar um modelo único integrado, descreve brevemente a arquitetura do COBIT 5 que atinge a integração.

No quarto princípio, permitir uma abordagem holística, os habilitadores são apresentados, juntamente com uma maneira comum de se olhar para eles: o modelo do habilitador genérico. E o quinto princípio, distinguir a governança da gestão, discute a diferença entre ambos e como eles se inter-relacionam.

Visão geral dos princípios do COBIT 5

De acordo com a ISACA (2012, p. 13), o modelo do COBIT 5 baseia-se em cinco princípios básicos que incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.

O foco em processos do COBIT 5 é ilustrado por um modelo de processos de TI que é subdividido em cinco princípios de gestão e auxilia as organizações a atingir seus objetivos de governança na área. O gráfico mostra como esses princípios estão organizados.

COBIT 5: Cinco princípios
Fonte: ISACA (2012, p. 15).

A seguir, faremos um breve resumo dos cinco princípios, de acordo com a ISACA (2012).

• Primeiro princípio - Atender às necessidades das partes interessadas: organizações existem para criar valor para suas partes interessadas (stakeholders), mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e o uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI.
• Segundo princípio - Cobrir a organização de ponta a ponta: o COBIT 5 integra a governança corporativa de TI da organização à governança corporativa.
• Terceiro princípio - Aplicar um modelo único integrado: há muitas normas e boas práticas relacionadas à TI, e cada qual provê orientações para um conjunto específico de atividades. O COBIT 5 alinha-se a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como um modelo unificado para a governança e a gestão de TI da organização.
• Quarto princípio - Permitir uma abordagem holística: governança e gestão eficientes e eficazes de TI na organização requerem uma abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização. Habilitadores são geralmente definidos como tudo o que possa ajudar a atingir os objetivos corporativos.
• Quinto princípio - Distinguir a governança da gestão: o modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciados e servem a propósitos diferentes.

Segundo o COBIT, os processos agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos da área para atender às necessidades do negócio.

Publicações do COBIT 5

 As publicações produzidas pelo ISACA, a estrutura e a nova visão do COBIT 5 contêm um modelo para governança e gestão de TI para as organizações. Conforme o gráfico, a família de produtos COBIT 5 é formada pelos seguintes produtos:

• COBIT 5 (o modelo);
• guias de habilitadores do COBIT 5, que detalham os habilitadores de governança e gestão, incluindo: COBIT 5 Habilitador Processos, COBIT 5 Habilitador Informações e outros.
• Guias profissionais do COBIT 5, que incluem: COBIT 5 Implementação, COBIT 5 para Segurança da Informação, COBIT 5 para Risco, COBIT 5 para Garantia (Assurance), COBIT Programa de Avaliação e outros.
• Um ambiente colaborativo online, que é disponibilizado para apoiar o uso do COBIT 5.

Publicações do COBIT: visão macro
Fonte: ISACA (2012, p. 13).

Detalhando um pouco mais, estas são as características da lista de produtos do COBIT 5, conforme apresentado por Thomas (2015):

• Framework: é o documento principal, que apresenta o framework geral de governança de TI do COBIT, incluindo os cinco princípios e os sete habilitadores.
• Habilitador Processos: é um guia que descreve o modelo de referência de processos do COBIT. Para cada processo, são descritos seu propósito, objetivos e métricas, práticas, atividades e matrizes RACI, além das entradas e das saídas.
• Habilitador Informações: é um guia que trata das informações importantes para as organizações. A informação pode ser considerada uma etapa do ciclo da informação de uma organização, no qual os processos de negócios geram e processam os dados, os transformam em informações e conhecimento e, dessa forma, criam valor para a organização.
• Implementação: essa publicação oferece orientação prática à implementação do COBIT 5 e baseia-se em um ciclo de vida de melhoria contínua. Não traz uma abordagem prescritiva nem uma solução completa; é um guia para evitar problemas, destacando as boas práticas e o alcance de bons resultados.
• Segurança da Informação: essa publicação é um guia que incorpora ao COBIT os aspectos de segurança da informação advindos de padrões internacionalmente consagrados, formando o COBIT Security Baseline.
• Garantia: essa publicação tem como foco o trabalho dos auditores, abordando as funções de auditoria. Traz explicações de como esses profissionais podem fornecer uma garantia da conformidade, de forma independente, mas aderente às políticas advindas de diretrizes internas ou de exigências legais, regulatórias ou contratuais externas.
• Risco: essa publicação engloba as atividades e decisões da governança de riscos organizacionais (ERM – enterprise risk management). Considera os riscos de TI de forma mais detalhada e orienta como a organização pode absorver riscos e quais deles está disposta a assumir, medindo suas consequências.
• COBIT 5 online: é um serviço acessível pela internet que oferece novidades e ideias, colaboração e diversas possibilidades para acesso e pesquisas em todos os produtos do método.

Introdução ao COBIT 5

Vamos entender aqui como o COBIT, na versão 5, apresenta os princípios e os habilitadores de governança e gestão de TI da organização por intermédio de suas publicações.

Visão geral do COBIT 5

COBIT
Fonte: Elaborado pelo autor.

De acordo com a ISACA (2012, p. 15), o COBIT 5 fornece um modelo abrangente que auxilia as organizações a atingir seus objetivos de governança e gestão de TI, buscando a criação de valor por intermédio do equilíbrio entre o ganho de benefícios, a redução dos níveis de risco e a otimização do uso dos recursos de TI. O COBIT 5 expressa a visão holística da governança e da gestão de TI, que abrange o negócio de ponta a ponta. O modelo é genérico e muito vantajoso e pode ser implementado em organizações de todos os portes, sejam comerciais, sem fins lucrativos ou públicas.

O COBIT 5 fornece uma nova abordagem sobre governança corporativa e gestão de TI que se baseia na vasta experiência, no uso e na aplicação prática do método por muitas organizações. Alguns fatores para o seu uso e aplicabilidade incluem:

COBIT 5
Fonte

• Poder permitir que mais partes interessadas (TI, negócio, fornecedores) falem sobre as expectativas e os desejos que guardam em relação à TI e a tecnologias relacionadas (que benefícios, em qual nível de risco aceitável e a qual custo) e quais são suas prioridades para garantir que o valor esperado seja efetivamente obtido (ISACA, 2012, p. 17).
• Ter uma abordagem em relação à questão da dependência cada vez maior de parceiros externos de TI e de negócios, tais como terceirizadas, fornecedores, consultores, clientes, provedores de serviços na nuvem e demais serviços, e de um conjunto diversificado de meios e mecanismos internos para entregar o valor esperado (ISACA, 2012, p. 17).
• Ter foco e cultura para tratar a quantidade de informação, selecionando e gerindo aquelas relevantes e confiáveis que levarão às decisões de negócios corretas e eficientes.
• Gerir a TI com foco no negócio e de forma mais pervasiva, considerando-a uma parte integrante do negócio, dos projetos organizacionais, das estruturas organizacionais, da gestão de risco e de políticas, capacidades e processos.


Cobertura de outros padrões e modelos pelo COBIT 5
Fonte: ISACA (2012, p. 65).

• Fornecer mais orientações na área de tecnologias emergentes e inovadoras, criando uma TI transformadora e protagonista.
• Buscar uma integração holística, que cubra o negócio de ponta a ponta, bem como as áreas responsáveis pelas funções de TI.
• Integrar todos os principais modelos e orientações da ISACA, com o foco principal em COBIT, Val IT e Risk IT, mas considerando também o Modelo de Negócios para Segurança da Informação (BMIS), o Modelo de Garantia de TI (ITAF), a publicação intitulada Board Briefing on IT Governance e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organização e forneça uma base para integrar outros modelos, padrões e práticas como um modelo único (ISACA, 2012, p. 17).
• Estabelecer uma conexão com os mais importantes padrões e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBoK), Projects in Controlled Environments 2 (Prince2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO).

Os modelos e os padrões associados ao COBIT ajudarão as partes interessadas a entender como os diversos modelos, boas práticas e padrões se inter-relacionam e como podem ser usadas em conjunto, como mostra o gráfico 3.

Aconteceu     

O que é COSO

[...] Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Em 1992 publicaram o trabalho: Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. ... Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - Committee of Sponsoring Organizations of the Treadway Commission.... uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.

O BSC e o COBIT

Tanto o COBIT 4.1 quanto o COBIT 5 indicam o BSC (Balanced Scorecard) como um método adequado para contribuir para a tradução da estratégia da organização em objetivos e medidas tangíveis.

Balanced Scorecard
Fonte: PinkBlue/shutterstock

O COBIT 4.1 sugere a implementação do BSC como um método de monitoramento de performance que seja capaz de registrar as metas, obter as medições, apresentar uma visão ampla e sucinta do desempenho da TI e se ajustar ao sistema de monitoramento corporativo (ITGI, 2007, p. 162).

O COBIT 5 indica que as necessidades dos stakeholders podem estar relacionadas a um conjunto de objetivos corporativos genéricos e relaciona-os usando as dimensões do BSC. O guia declara que, embora a lista não seja completa, a maioria das organizações pode ser mapeada em um ou mais desses objetivos corporativos genéricos (ISACA, 2012, p. 19).

Base do BSC: indicadores, métricas e referencial
Fonte: ITGI (2007, p. 9)

Com base na ITIL (2007), o gráfico mostra como o gerenciamento das informações é conseguido utilizando-se três níveis de controle:

• painéis de controles, ou dashboards;
• meios de medição, ou scorecards;
• mecanismo de comparação, ou benchmarking.

Esses controles são conhecidos, em conjunto, como Balanced Scorecard ou BSC. De acordo com seus autores, Kaplan e Norton (1997), “o BSC é uma técnica que visa à integração e balanceamento de todos os principais indicadores de desempenho existentes em uma empresa, desde os financeiros/administrativos até os relativos aos processos internos”.

O uso do BSC permite estabelecer objetivos da qualidade, usando indicadores, para aspectos importantes dentro da organização, de forma a realizar a associação desses indicadores corporativos com os setores e os departamentos, com metas claramente definidas.

Dessa forma, o modelo BSC traduz a missão e a estratégia de uma empresa em objetivos e medidas tangíveis e sinaliza em quais segmentos de mercado se deve competir e que clientes conquistar. Oferece uma visão do futuro e um caminho para chegar até ele.

Assim, pode-se garantir uma abordagem puramente estratégica da TI para atender às necessidades e aos objetivos de negócio, e a área pode ser utilizada como gerador de valor e ferramenta de ganho de eficiência, melhorando os resultados da organização.

Dentro do processo de governança, o COBIT tem um papel tático de garantir os controles, a execução das atividades, a visão de maturidade e os objetivos, com base nos processos e nos indicadores de performance, que trazem uma visão de painel de controles para auxílio à tomada de decisão. O gráfico mostra esta visão.

COBIT: posição tática para a estratégia de TI alinhada aos negócios
Fonte: Elaborado pelo autor

 

A relação do COBIT com o negócio da empresa

Pirâmide organizacional e o processo de tomada de decisão

Conforme fica claro, o COBIT é orientado para os negócios, funcionando como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos instrumentos de controle, nos aspectos técnicos e nos riscos do negócio.

A visão do COBIT em relação ao planejamento estratégico de TI pode ser vista na figura, que apresenta a pirâmide organizacional. Esta se divide em três níveis: estratégico, tático e operacional. No nível estratégico, traçamos os objetivos, no tático, as metas, e, no operacional, as ações a ser realizadas. Essa ordem hierárquica reflete como o processo de tomada de decisão ocorre.

A relação direta da estratégia de negócio com a governança de TI está relacionada à visão de criação de valor. A TI tem um papel de viabilizadora na cadeia de valor, provendo recursos e soluções para criar valor para a organização. O gerenciamento e o controle da informação estão presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos de negócios.

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles ou necessidades de informação da empresa. Os processos de TI podem atender às necessidades da organização de forma mais eficiente e alinhada à estratégia desta, garantindo a entrega dos serviços para gerar valor ao negócio. Nessa ordem, classificar e utilizar os recursos de TI de forma mais eficiente trará mais eficiência para o negócio.

A organização de TI entrega os serviços de acordo com esses objetivos através de um conjunto claramente definido de processos que usam a experiência das pessoas e a infraestrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios.

Fonte: ITGI (2007, p. 14).

O COBIT parte da premissa de que os recursos de TI precisam ser gerenciados por um conjunto de processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a organização consiga alcançar seus objetivos (ISACA, 2007).

O que é o COBIT?

De acordo com a ISACA (2012, p. 15), o COBIT (Control Objectives for Information and Related Technology) fornece um modelo que ajuda as organizações a atingir seus objetivos de governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a redução dos níveis de risco e a otimização dos recursos. A versão 5 do COBIT traz uma visão holística de governança e da gestão de TI, que abrange o negócio de ponta a ponta, incluindo as áreas responsáveis por essa função, considerando os interesses internos e externos relacionados com TI.

O COBIT não determina como os processos devem ser estruturados, mas os controles que eles devem possuir para que a TI cumpra seus objetivos em termos de governança. Ou seja, contribui para:

• o alinhamento e a entrega de valor por parte da área de TI para o negócio;
• a correta alocação e medição dos recursos envolvidos;
• a mitigação dos riscos em TI.

A figura apresenta uma visão da interação do COBIT com o alinhamento de TI e os negócios. Nessa visão, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos da área precisam ser gerenciados por uma série de processos naturalmente agrupados.

Foco em processos e alinhamento de TI com o negócio
Fonte

COBIT como modelo de governança de TI

Iniciamos esse capítulo mostrando a necessidade de um modelo de controle de TI. Depois descrevemos, com base no IT Governance, a missão do modelo COBIT dentro da TI. Veremos que a ISACA e o ITGI são organismos que visam pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia a dia por gerentes de negócios, profissionais da área e profissionais de avaliação. Esse modelo é o COBIT.

Necessidade de um modelo de controle para TI

Como pode ser o controle de TI
Fonte: violetkaipa/shutterstock

A alta direção das organizações empresariais que pretendam ser bem-sucedidas precisa dar à TI a devida relevância e buscar garantir que faça parte da sua abordagem de governança e gestão.

Para implantar uma governança que seja efetiva, é necessário que controles sejam implementados com base em uma metodologia que atinja todos os processos de TI.

Os modelos mais efetivos de controle são organizados em processos e visam proporcionar uma ligação entre os requisitos de governança, os processos e os controles de TI. Nas últimas décadas, mais leis e regulamentos vêm sendo propostos e estabelecidos para atender a essa necessidade.

De acordo com o ISACA (2012, p.15), as organizações e seu corpo diretivo têm empenhado esforços buscando:

• a retenção de informações de alta qualidade para apoiar decisões estratégicas;
• o aumento dos investimentos em TI para atingir os objetivos estratégicos e utilizar seus recursos de forma eficiente e inovadora;
• o alcance de excelência operacional por meio do uso da tecnologia de forma confiável e eficiente;
• a redução do risco de TI e sua manutenção em níveis aceitáveis;
• a otimização do custo dos serviços de TI e das tecnologias que os suportam;
• o cumprimento de leis, regulamentos, acordos contratuais e políticas associadas.

O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de métodos e práticas bem-sucedidas, tais como COBIT, ITIL, normas ligadas à segurança da informação e metodologias para o gerenciamento da qualidade e de projetos, como CMMI, MPS.BR e PMBoK.

Além da adoção desses modelos e práticas, as empresas também vêm necessitando avaliar como estão em relação aos padrões geralmente aceitos em comparação com seus parceiros e organizações similares, o que pode ser feito por intermédio de técnicas de benchmarking.

Aconteceu     

Em dezembro de 2001, o mundo, ainda abalado pelos atentados terroristas ocorridos em 11 de setembro, foi surpreendido por outro evento com proporções globais: a descoberta de manipulações contábeis em uma das empresas mais conceituadas dos Estados Unidos, a Enron.

Essa descoberta deu início a um efeito dominó, com a constatação de práticas de manipulação em várias outras empresas, não só norte-americanas, mas no resto do mundo, resultando em uma crise de confiança em níveis inéditos desde a quebra da bolsa de Nova York em 1929. Resultou no enfraquecimento do grau de confiança dos investidores, abalando o equilíbrio não apenas do mercado daquele país, mas também dos demais.

A Lei Sarbanes Oxley, de 2002, também conhecida como Public Company Accounting Reform and Investor Protection Act of 2002 e comumente chamada SOX ou SarBox, sancionada em 30 de julho de 2002, é uma lei federal dos Estados Unidos em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época. [...] A lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.