Terceiro princípio: Aplicar um modelo único integrado

Como já dissemos, uma organização pode utilizar o COBIT como o principal integrador do modelo de governança e gestão. A ISACA (2012) apresenta como justificativas para que o COBIT 5 seja utilizado como um modelo único e integrado:

• O COBIT alinha-se com outros padrões, práticas e modelos e cobre a organização de ponta a ponta, fornecendo a base para integrá-los com eficiência.
• Sendo um modelo único, serve como uma fonte consistente e integrada de orientação em uma linguagem comum, não técnica e tecnológica.
• O COBIT fornece uma arquitetura simples para estruturação dos materiais de orientação e produção de um conjunto consistente de produtos.
• O COBIT integra todo o conhecimento previamente coberto nos diversos modelos que a entidade gestora (ISACA) utiliza. A ISACA é responsável pelas vastas pesquisas na área de governança corporativa há muitos anos e criou modelos tais como COBIT v4, Val IT e Risk IT.

O gráfico descreve esse modelo de integração.

Modelo único integrado do COBIT 5
Fonte: ISACA (2012, p. 27).

O COBIT 5 oferece às partes interessadas uma ampla e atualizada orientação sobre governança e gestão de TI da organização, por meio de:

• pesquisas que utilizam um conjunto de fontes que impulsionam o desenvolvimento de conteúdo, com foco em governança e gestão;
• um conjunto de habilitadores de governança e gestão que fornece o modelo para todos os processos e práticas;
• uma base de conhecimento que contém toda a orientação e o conteúdo já produzido;
• uma base ampla e abrangente de referência de boas práticas de mercado.

Segundo princípio: Cobrir a organização de ponta a ponta

O COBIT 5 integra a governança corporativa de TI à da organização e cobre todas as funções e processos necessários para regular e controlar tanto as informações como as tecnologias. Assim, trata de todos os serviços de TI internos e externos pertinentes, bem como dos processos de negócios internos e externos.

O COBIT 5 aborda a governança e a gestão da informação e tecnologias associadas a partir de uma visão holística organizacional, ou seja, de ponta a ponta. Dentro desse objetivo, podemos dizer que o método tem como papel:

• integrar a governança corporativa de TI à da organização, integrando os modelos de governança (TI e negócio);
• cobrir as funções e os processos necessários para regular e controlar as informações da organização e tecnologias envolvidas, tratando todos os serviços de TI internos e externos pertinentes, bem como os processos de negócios internos e externos.

Integração de governança corporativa e TI
Fonte: MaximP/shutterstock

A visão holística e sistêmica que o modelo traz sobre a governança e a gestão de TI da organização tem como referência básica os habilitadores. Estes servem para toda a organização, de ponta a ponta, incluindo as pessoas e os recursos internos e externos, dentro do contexto da governança.

Informação é uma das categorias de habilitadores que o COBIT estabelece. Ela permite que cada parte interessada defina requisitos abrangentes e completos para as informações e para o ciclo de vida de processamento delas, associando assim o negócio e suas necessidades de informações adequadas à função de TI e apoiando a organização.

Além da abordagem à governança de ponta a ponta, que está na base do COBIT, há outros elementos associados a ela, que incluem habilitadores, escopo e funções, atividades e relacionamentos, conforme ilustra o gráfico 1.

Gráfico 1 - Governança de TI para geração de valor
Fonte: ISACA (2012, p. 25).

Seguindo a abordagem de governança e gestão aplicada nesse princípio, podemos destacar que o objetivo de governança é envolver elementos que incluem os habilitadores, o escopo, papéis e responsabilidades (funções), atividades e relacionamentos. De acordo o gráfico 1 e a ISACA (2012, p. 26), fazemos um breve resumo de cada um desses elementos:

• Habilitadores da governança: são os recursos organizacionais da governança, tais como modelos, princípios, processos e práticas, por meio dos quais a ação é orientada e os objetivos podem ser alcançados. Podem incluem recursos da organização, como capacidades dos serviços (infraestrutura de TI, aplicativos), pessoas e informações. A falta de recursos ou habilitadores poderá afetar a capacidade da organização na criação de valor.
• Escopo da governança: a governança pode ser aplicada em toda a organização, em uma entidade, em um ativo tangível ou intangível, podendo definir diferentes visões da organização. É fundamental definir bem esse escopo de atuação no modelo.
• Papéis, atividades e relacionamentos: esses elementos referem-se às funções, às atividades e aos relacionamentos no sistema de governança. É definido quem está envolvido, como está envolvido, o que faz e como interage, dentro do escopo do sistema de governança. O COBIT propõe uma visão que diferencia as atividades de governança e gestão em domínios diferentes e estabelece como a interação entre elas e os especialistas envolvidos deve ocorrer. O gráfico 2 mostra em mais detalhes a parte inferior do gráfico 1, com as interações entre os diferentes papéis.

Gráfico 2 - Principais papéis (funções), atividades e relacionamento
Fonte: ISACA (2012, p. 26).

 

Primeiro princípio: Atender às necessidades das partes interessadas

Um método de governança e controles precisa atender aos interesses de diferentes partes interessadas (ou stakeholders) que pertençam ou não aos quadros da organização.

Nesse cenário, é muito comum que haja conflitos de interesses, principalmente quando se busca a criação de valor corporativo. A realização da governança passa pela negociação entre os diversos stakeholders, visando à conciliação de seus interesses. Dessa forma, todas as partes interessadas devem ser consideradas nas decisões sobre a avaliação de recursos, benefícios e riscos.

Stakeholders
Fonte: nasirkhan/shutterstock

 De acordo com a ISACA (2012), para cada decisão, as seguintes perguntas devem ser feitas:

• Para quem são os benefícios?
• Quem assume o risco?
• Que recursos são necessários?

Cascata dos objetivos do COBIT

As necessidades dos stakeholders devem ser transformadas em uma cascata de objetivos, que as traduza em estratégias corporativas que sejam exequíveis, em objetivos de TI e em metas de habilitador. Essa cascata de objetivos deve permitir a definição de objetivos específicos em cada nível e em cada área da organização de forma a apoiar o alinhamento entre as necessidades corporativas e os serviços e soluções de TI.

A importância da cascata de objetivos está ligada à definição das prioridades de implementação, melhoria e garantia da governança corporativa de TI com base nos objetivos estratégicos da organização e no respectivo risco. De acordo com a ISACA (2012 p. 22), a cascata de objetivos:

• define metas e objetivos tangíveis e relevantes em vários níveis de responsabilidade;
• filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos, para extrair a orientação adequada para inclusão em implementação, melhoria ou garantia de projetos específicos;
• identifica e comunica claramente como os habilitadores são importantes para que os objetivos corporativos sejam atingidos.

Cada organização opera de forma diferente, mesmo considerando empresas do mesmo segmento, reguladas pelos mesmos órgãos e entidades. Um modelo de governança é fundamental, uma vez que há fatores que são determinados de forma externa (mercado, setor, geopolíticas etc.) e interna (cultura, organização, inclinação ao risco). Isso necessariamente exige um sistema de governança e gestão adaptado a cada organização. A cascata de objetivos do COBIT 5 é mostrada no gráfico.

Cascata de objetivos do COBIT
Fonte: Adaptado de ISACA (2012, p. 19).

 

De acordo com o gráfico e segundo a ISACA (2012, pp. 19-20), a cascata de objetivos do COBIT 5 traduz-se nos seguintes passos:

• Passo 1: Os direcionadores das partes interessadas influenciam as necessidades delas: as necessidades das partes interessadas são influenciadas por diversas tendências, como mudanças de estratégia, mudanças nos negócios e no ambiente regulatório, bem como novas tecnologias.
• Passo 2: Desdobramento das necessidades das partes interessadas em objetivos corporativos: as necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos genéricos. Estes são criados usando as dimensões do BSC e representam uma lista dos objetivos mais usados que uma organização pode definir para si.
• Passo 3: Cascata dos objetivos corporativos em objetivos de TI: o atingimento dos objetivos corporativos exige uma série de resultados, que são representados pelos objetivos relacionados a TI. Isso significa tudo o que tiver relação com a TI e tecnologias afins, considerando que os objetivos da área são estruturados de acordo com as dimensões do BSC de TI.
• Passo 4: Cascata dos objetivos de TI em metas do habilitador: atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores. Estes incluem processos, estruturas organizacionais e informações. Para cada habilitador, um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI.

O modelo de cascata de objetivos da organização permite a configuração de objetivos específicos em cada área, alinhados aos objetivos gerais e às expectativas e exigências das partes interessadas. Esse modelo apoia o desdobramento e o alinhamento estratégico entre as necessidades corporativas e os serviços e soluções de TI.

Quando aplicamos esse modelo, algumas perguntas devem ser feitas, dentro do framework do COBIT. Há algumas sugestões de perguntas que devem ser realizadas de acordo com o interessado. Em seguida, apresentamos algumas sugeridas pelo COBIT para definir uma base de referência para a aplicabilidade do modelo.

Seguindo as orientações da ISACA (2012, p. 23), você deve primeiramente identificar as partes interessadas para fazer as perguntas. Além disso, todas estas devem estar relacionadas aos objetivos corporativos (BSC) e podem servir como entrada para a cascata de objetivos.

Partes interessadas internas:

• conselho;
• diretor executivo (CEO – Chief Executive Officer);
• diretor financeiro (CFO – Chief Financial Officer);
• diretor de informática (CIO - Chief Information Officer);
• diretor de risco (CRO - Chief Risk Officer);
• executivos de negócios;
• gerentes, auditores, diretores, usuários de TI etc.

Algumas perguntas das partes interessadas internas:

• Como faço para obter valor com o uso de TI? Os usuários finais estão satisfeitos com a qualidade do serviço?
• Como posso gerenciar o desempenho de TI?
• Como posso explorar melhor as novas tecnologias para novas oportunidades estratégicas?
• Como faço para criar e estruturar da melhor forma o meu departamento de TI?
• Qual é a minha dependência de fornecedores externos?
• Quão bem os contratos de terceirização de TI estão sendo administrados?
• Como faço para obter garantia dos fornecedores externos?
• Quais são os requisitos (de controle) da informação?
• Considerei todos os riscos de TI?

Partes interessadas externas:

• parceiros comerciais;
• fornecedores;
• acionistas;
• reguladores, clientes, consultores etc.

Algumas perguntas das partes interessadas externas:

• Como posso saber se as operações do meu parceiro comercial são seguras e confiáveis?
• Como posso saber se a organização cumpre as regras e os regulamentos aplicáveis?
• Como posso saber se a organização mantém um sistema eficiente de controle interno?

Atividade reflexiva

Necessidades das partes interessadas: sustentabilidade

Após a conclusão da análise das necessidades das partes interessadas, a organização decide que a sustentabilidade é uma prioridade estratégica. Para a empresa, a sustentabilidade inclui não só os aspectos ambientais, mas todas as coisas que contribuem para o sucesso da organização no longo prazo. Com base nos resultados da análise das necessidades das partes interessadas, a organização decide se concentrar nestes cinco objetivos, com especificações mais detalhadas:

1. Valor dos investimentos da organização percebidos pelas partes interessadas, especialmente pela sociedade das partes interessadas.

4. Conformidade com as leis e os regulamentos externos, com foco nas leis ambientais e leis trabalhistas que tratam dos contratos de terceirização.

8. Resposta rápida para um ambiente de negócios em mudança

16. Pessoas qualificadas e motivadas, que reconhecem que o sucesso da organização depende de seus colaboradores.

17. Cultura de inovação de produtos e negócios, com foco em inovações no longo prazo. Com base nessas prioridades, a cascata de objetivos pode ser aplicada.

Fonte: ISACA (2012, p. 23).

Princípios do COBIT

Como já dissemos, o COBIT 5 é baseado em cinco princípios, que vamos detalhar mais agora. O primeiro princípio, atender às necessidades das partes interessadas, apresenta a cascata dos objetivos do método. O segundo, cobrir a organização de ponta a ponta, explica como o método integra a governança corporativa de TI à governança corporativa empresarial, cobrindo todas as funções e processos da organização. O terceiro, aplicar um modelo único integrado, descreve brevemente a arquitetura do COBIT 5 que atinge a integração.

No quarto princípio, permitir uma abordagem holística, os habilitadores são apresentados, juntamente com uma maneira comum de se olhar para eles: o modelo do habilitador genérico. E o quinto princípio, distinguir a governança da gestão, discute a diferença entre ambos e como eles se inter-relacionam.

Visão geral dos princípios do COBIT 5

De acordo com a ISACA (2012, p. 13), o modelo do COBIT 5 baseia-se em cinco princípios básicos que incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.

O foco em processos do COBIT 5 é ilustrado por um modelo de processos de TI que é subdividido em cinco princípios de gestão e auxilia as organizações a atingir seus objetivos de governança na área. O gráfico mostra como esses princípios estão organizados.

COBIT 5: Cinco princípios
Fonte: ISACA (2012, p. 15).

A seguir, faremos um breve resumo dos cinco princípios, de acordo com a ISACA (2012).

• Primeiro princípio - Atender às necessidades das partes interessadas: organizações existem para criar valor para suas partes interessadas (stakeholders), mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e o uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI.
• Segundo princípio - Cobrir a organização de ponta a ponta: o COBIT 5 integra a governança corporativa de TI da organização à governança corporativa.
• Terceiro princípio - Aplicar um modelo único integrado: há muitas normas e boas práticas relacionadas à TI, e cada qual provê orientações para um conjunto específico de atividades. O COBIT 5 alinha-se a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como um modelo unificado para a governança e a gestão de TI da organização.
• Quarto princípio - Permitir uma abordagem holística: governança e gestão eficientes e eficazes de TI na organização requerem uma abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização. Habilitadores são geralmente definidos como tudo o que possa ajudar a atingir os objetivos corporativos.
• Quinto princípio - Distinguir a governança da gestão: o modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciados e servem a propósitos diferentes.

Segundo o COBIT, os processos agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos da área para atender às necessidades do negócio.

Publicações do COBIT 5

 As publicações produzidas pelo ISACA, a estrutura e a nova visão do COBIT 5 contêm um modelo para governança e gestão de TI para as organizações. Conforme o gráfico, a família de produtos COBIT 5 é formada pelos seguintes produtos:

• COBIT 5 (o modelo);
• guias de habilitadores do COBIT 5, que detalham os habilitadores de governança e gestão, incluindo: COBIT 5 Habilitador Processos, COBIT 5 Habilitador Informações e outros.
• Guias profissionais do COBIT 5, que incluem: COBIT 5 Implementação, COBIT 5 para Segurança da Informação, COBIT 5 para Risco, COBIT 5 para Garantia (Assurance), COBIT Programa de Avaliação e outros.
• Um ambiente colaborativo online, que é disponibilizado para apoiar o uso do COBIT 5.

Publicações do COBIT: visão macro
Fonte: ISACA (2012, p. 13).

Detalhando um pouco mais, estas são as características da lista de produtos do COBIT 5, conforme apresentado por Thomas (2015):

• Framework: é o documento principal, que apresenta o framework geral de governança de TI do COBIT, incluindo os cinco princípios e os sete habilitadores.
• Habilitador Processos: é um guia que descreve o modelo de referência de processos do COBIT. Para cada processo, são descritos seu propósito, objetivos e métricas, práticas, atividades e matrizes RACI, além das entradas e das saídas.
• Habilitador Informações: é um guia que trata das informações importantes para as organizações. A informação pode ser considerada uma etapa do ciclo da informação de uma organização, no qual os processos de negócios geram e processam os dados, os transformam em informações e conhecimento e, dessa forma, criam valor para a organização.
• Implementação: essa publicação oferece orientação prática à implementação do COBIT 5 e baseia-se em um ciclo de vida de melhoria contínua. Não traz uma abordagem prescritiva nem uma solução completa; é um guia para evitar problemas, destacando as boas práticas e o alcance de bons resultados.
• Segurança da Informação: essa publicação é um guia que incorpora ao COBIT os aspectos de segurança da informação advindos de padrões internacionalmente consagrados, formando o COBIT Security Baseline.
• Garantia: essa publicação tem como foco o trabalho dos auditores, abordando as funções de auditoria. Traz explicações de como esses profissionais podem fornecer uma garantia da conformidade, de forma independente, mas aderente às políticas advindas de diretrizes internas ou de exigências legais, regulatórias ou contratuais externas.
• Risco: essa publicação engloba as atividades e decisões da governança de riscos organizacionais (ERM – enterprise risk management). Considera os riscos de TI de forma mais detalhada e orienta como a organização pode absorver riscos e quais deles está disposta a assumir, medindo suas consequências.
• COBIT 5 online: é um serviço acessível pela internet que oferece novidades e ideias, colaboração e diversas possibilidades para acesso e pesquisas em todos os produtos do método.

Introdução ao COBIT 5

Vamos entender aqui como o COBIT, na versão 5, apresenta os princípios e os habilitadores de governança e gestão de TI da organização por intermédio de suas publicações.

Visão geral do COBIT 5

COBIT
Fonte: Elaborado pelo autor.

De acordo com a ISACA (2012, p. 15), o COBIT 5 fornece um modelo abrangente que auxilia as organizações a atingir seus objetivos de governança e gestão de TI, buscando a criação de valor por intermédio do equilíbrio entre o ganho de benefícios, a redução dos níveis de risco e a otimização do uso dos recursos de TI. O COBIT 5 expressa a visão holística da governança e da gestão de TI, que abrange o negócio de ponta a ponta. O modelo é genérico e muito vantajoso e pode ser implementado em organizações de todos os portes, sejam comerciais, sem fins lucrativos ou públicas.

O COBIT 5 fornece uma nova abordagem sobre governança corporativa e gestão de TI que se baseia na vasta experiência, no uso e na aplicação prática do método por muitas organizações. Alguns fatores para o seu uso e aplicabilidade incluem:

COBIT 5
Fonte

• Poder permitir que mais partes interessadas (TI, negócio, fornecedores) falem sobre as expectativas e os desejos que guardam em relação à TI e a tecnologias relacionadas (que benefícios, em qual nível de risco aceitável e a qual custo) e quais são suas prioridades para garantir que o valor esperado seja efetivamente obtido (ISACA, 2012, p. 17).
• Ter uma abordagem em relação à questão da dependência cada vez maior de parceiros externos de TI e de negócios, tais como terceirizadas, fornecedores, consultores, clientes, provedores de serviços na nuvem e demais serviços, e de um conjunto diversificado de meios e mecanismos internos para entregar o valor esperado (ISACA, 2012, p. 17).
• Ter foco e cultura para tratar a quantidade de informação, selecionando e gerindo aquelas relevantes e confiáveis que levarão às decisões de negócios corretas e eficientes.
• Gerir a TI com foco no negócio e de forma mais pervasiva, considerando-a uma parte integrante do negócio, dos projetos organizacionais, das estruturas organizacionais, da gestão de risco e de políticas, capacidades e processos.


Cobertura de outros padrões e modelos pelo COBIT 5
Fonte: ISACA (2012, p. 65).

• Fornecer mais orientações na área de tecnologias emergentes e inovadoras, criando uma TI transformadora e protagonista.
• Buscar uma integração holística, que cubra o negócio de ponta a ponta, bem como as áreas responsáveis pelas funções de TI.
• Integrar todos os principais modelos e orientações da ISACA, com o foco principal em COBIT, Val IT e Risk IT, mas considerando também o Modelo de Negócios para Segurança da Informação (BMIS), o Modelo de Garantia de TI (ITAF), a publicação intitulada Board Briefing on IT Governance e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organização e forneça uma base para integrar outros modelos, padrões e práticas como um modelo único (ISACA, 2012, p. 17).
• Estabelecer uma conexão com os mais importantes padrões e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBoK), Projects in Controlled Environments 2 (Prince2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO).

Os modelos e os padrões associados ao COBIT ajudarão as partes interessadas a entender como os diversos modelos, boas práticas e padrões se inter-relacionam e como podem ser usadas em conjunto, como mostra o gráfico 3.

Aconteceu     

O que é COSO

[...] Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Em 1992 publicaram o trabalho: Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. ... Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - Committee of Sponsoring Organizations of the Treadway Commission.... uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.