Fatores críticos para a implementação do COBIT

Antes de descrevermos o modelo de implementação, devemos ter uma visão clara e, principalmente, estratégica do cenário organizacional. Devemos ter clareza de como a empresa está, como é a sua cultura, seus processos e seu apetite por riscos e se os controles estão dentro do contexto do modelo de gestão e governança.

A governança e a gestão corporativa de TI não ocorrem de forma isolada. Muitas empresas não possuem níveis adequados de gestão e alinhamento das funções de TI com as necessidades de negócio e atuam em um ambiente sem perspectiva holística.

De acordo com a ISACA (2012, p. 37), cada organização deve elaborar seu próprio plano ou roteiro de implantação, considerando fatores específicos do seu ambiente interno e do ambiente externo, como:

• como é o ambiente cultural e ético;
• quais leis, regulamentos e políticas estão dentro do contexto e são aplicáveis;
• qual a sua missão, visão e valores;
• quais políticas e práticas de governança são aderentes;
• quais são o plano de negócios e as intenções estratégicas;
• quais são seu modelo operacional e seu nível de maturidade;
• quais são seus estilos de gestão;
• qual seu apetite ao risco (risk appetite);
• quais são suas capacidades e recursos disponíveis;
• quais práticas da indústria são utilizadas e aplicáveis.

É importante que esteja clara a importância de haver uma abordagem de governança e gestão corporativa de TI, que se trata de um diferencial competitivo.

Fatores de implementação
Fonte: 3dmask/shutterstock

Os principais fatores para uma implementação bem-sucedida, na visão da ISACA (2012), são:

• Deve haver patrocínio e fornecimento, pela alta administração, da orientação e da ordem para a iniciativa, bem como compromisso e apoio visíveis e contínuos.
• Todas as partes devem apoiar os processos de governança e gestão a fim de que haja entendimento dos objetivos de TI e da organização.
• Deve haver garantia de comunicação efetiva e capacitação das mudanças necessárias.
• Deve ocorrer a monitoração da adaptação do COBIT e dos demais padrões e boas práticas de apoio, a fim de atender ao contexto único da organização.
• Deve haver foco em resultados rápidos e priorização das melhorias mais benéficas e que sejam mais fáceis de implementar.

É importante que a implementação dos processos utilizando o COBIT seja devidamente governada e adequadamente gerenciada. Para isso, deve haver uma estrutura organizacional bem estabelecida, com times devidamente treinados e alinhados ao contexto da estratégia e dos objetivos de negócio.

Sabemos que importantes iniciativas de TI podem ser levadas ao fracasso em função da falta de orientação, de suporte e de controle das pessoas e órgãos envolvidos. Implantar o COBIT é um tipo clássico de iniciativa que pode cair na mesma armadilha e falhar.

Apoio e orientação das principais partes interessadas são críticos para que as melhorias sejam adotadas e mantidas. Em um ambiente corporativo fraco (como um modelo operacional geral de negócios pouco claro ou falta de habilitadores de governança em nível corporativo) este apoio e participação são ainda mais importantes.
Fonte: ISACA (2012, p. 38).

Os habilitadores utilizados pelo COBIT devem fornecer uma solução que trate das necessidades e dos problemas reais da organização. Os requisitos baseados nos pontos fracos e nas tendências atuais devem ser identificados e aceitos pela administração como áreas a ser tratadas: alinhamento é a palavra chave.

É importante que a organização utilize instrumentos que levem à realização de verificações de integridade, levantamento de diagnósticos ou análises de capacidade para aumentar a sensibilização quanto à importância da adoção da governança, criando consenso e gerando um comprometimento entre as partes interessadas.

O compromisso e a adesão das partes envolvidas devem ser solicitados desde o início, bem como a definição das metas e dos objetivos de negócio. Para alcançar isso, os objetivos e os benefícios da implementação devem ser expressos usando linguagem e termos claros de negócio e resumidos em uma visão de objetivos de negócio.

Recursos adequados deverão ser fornecidos para apoiar o programa, e as funções e as responsabilidades deverão ser definidas e atribuídas, transformando o envolvimento das partes interessadas em um grande time estratégico. O comprometimento de todos os envolvidos, ao longo de todo o período de implantação do COBIT, é fator crítico de sucesso, e suas funções e responsabilidades devem ser monitoradas e geridas de forma transparente e clara dentro da organização.

As estruturas e os processos apropriados para supervisão e orientação deverão ser criados e mantidos de modo a garantir um alinhamento contínuo e frequente das abordagens de governança e gestão de risco em toda a organização.

Apoio e compromisso claro devem ser oferecidos pelas principais partes interessadas, incorporando a alta direção e os executivos, para definir uma alta sintonia e sinergia, de forma a garantir o compromisso com o programa em altos níveis de gestão e governança.

Outro fator crítico de sucesso é a implantação da mudança de forma adequada, considerando os habilitadores de governança ou gestão apropriados. Mas não se pode deixar de lado a gestão dos aspectos humanos, comportamentais e culturais da mudança, bem como a motivação das partes interessadas para aceitá-la. Esse é um aspecto de criação de divergências e pode gerar riscos para a implementação. Existe a possibilidade real de pessoas ignorarem ou mesmo resistirem às mudanças.

Por isso, deve haver um plano de comunicação eficiente que defina o que será comunicado, de que forma, para quem, ao longo das várias fases do programa. De preferência, isso deve ser feito de cima para baixo, por exemplo, da alta direção para os níveis hierárquicos mais baixos.

As barreiras humanas, comportamentais e culturais devem ser superadas de modo a promover um interesse comum em adotar corretamente a mudança, infundir a vontade e garantir a capacidade de fazer isso.

Guia de implementação do COBIT

Agora que evoluímos em alguns conceitos importantes dentro da visão do COBIT como os cinco princípios, os 37 processos, os sete habilitadores, o alinhamento com as partes interessadas e a TI, estamos prontos para trabalhar com uma visão de implementação e aplicabilidade do modelo.

O COBIT como um guia de implementação de boas práticas

COBIT, guia de implementação
Fonte

Pelo que vimos até aqui, podemos entender que o COBIT é um modelo que reúne processos de governança, gestão e alinhamento estratégico.

O COBIT contempla uma visão de processos apoiados por requisitos de negócios para a governança, interligado com os objetivos e as funções de serviços de TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as suportam sejam apropriadamente gerenciados e controlados com base nos objetivos de controles.

O valor que pode ser gerado com a aplicação do COBIT depende do nível de profundidade da implantação e da adaptação do modelo dentro do ambiente de cada organização. Nesta, necessariamente, haverá desafios específicos e peculiares, incluindo a gestão de mudanças de cultura e comportamento.

O COBIT 5 tem uma arquitetura orientada a processos e uma visão prática e de ampla aplicabilidade que se baseia em um ciclo de vida de melhoria contínua. O modelo segue tendências de mercado amplamente aceitas, como ITIL, CMMi, 6 Sigma etc. Embora o COBIT não pretenda ser uma abordagem prescritiva, nem uma solução completa que atenda a todas as necessidades de gestão e governança, pode ser visto como um guia. Ele ajuda a evitar as armadilhas usualmente encontradas, pois aplica boas práticas de mercado e apoia a organização a atingir resultados positivos, com uma abordagem de medições tangíveis.

Além disso, o guia de implementação é apoiado por um conjunto de ferramentas de implementação que contém uma variedade de recursos que são continuamente aperfeiçoados. Frequentemente, as entidades detentoras dos direitos do COBIT publicam novas abordagens, novas ferramentas e práticas complementares atendendo a mercados, setores e processos específicos.

Dentre as ferramentas que o COBIT disponibiliza, destacamos:

• ferramentas de autoavaliação, medição e diagnóstico de processos;
• apresentações destinadas a diversos públicos e segmentos de mercado;
• artigos relacionados e explicações adicionais.

Tabela RACI

O COBIT 5 também mantém a visão de papéis e responsabilidades da tabela RACI para cada processo. RACI identifica quem é responsável (R), autoridade (A), consultado (C) e informado (I), com as seguintes funções:

• R: responsável por executar uma atividade (o executor).
• A: autoridade, quem deve responder pela atividade, o dono (cada atividade deve ter apenas uma autoridade/aprovador ).
• C: consultado, quem deve ser consultado, participando da decisão ou da atividade no momento em que for executada.
• I: informado, quem deve receber a informação de que uma atividade foi executada.

A tabela descreve o papel a responsabilidade de cada membro da equipe dentro de um processo. Isso ajuda a que o nível de controle seja mais efetivo e direcionado aos donos dos processos.

Tabela RACI do COBIT

Fonte: ITGI (2007, p. 33).

 

Domínios de processos: COBIT 4.1 versus COBIT 5

De acordo com o ITGI (2007, p. 16), no COBIT 4.1, há quatro domínios de processos (que podem ser vistos no gráfico):

[1] Planejar e Organizar (PO): provê direção para entrega de soluções (AI) e entrega de serviços (DS).

[2] Adquirir e Implementar (AI): provê as soluções e transfere-as para tornarem-se serviços

[3] Entregar e Suportar (DS): recebe as soluções e torna-as passíveis de uso pelos usuários finais

[4] Monitorar e Avaliar (ME): monitora todos os processos para garantir que a direção definida seja seguida.

Domínios do COBIT 4.1
Fonte: ITGI (2007, p. 16).

Independentemente da versão do COBIT, cada domínio contém diversos processos. Dentro dos quatro domínios, o COBIT 4.1 identificou 34 processos de TI.

O modelo de referência de processo do COBIT 5 é o sucessor do modelo de processo do COBIT 4.1 e conta, ainda, com a integração dos modelos de processo do Risk IT e Val IT. No COBIT 5, os processos são apenas um dos sete habilitadores de governança e gestão. De acordo com a ISACA (2012, p.53), são 37 processos na versão 5.

O quadro apresenta a comparação entre domínios e processos das duas versões.

Comparação entre domínios e processos do COBIT 4.1 e do COBIT 5

COBIT 4.1	COBIT 5
Governança
Plan and Organize (Planejar e Organizar) 10 processos	Align, Plan and Organize (Alinhar, Planejar e Organizar) 13 processos
Acquire and Implement (Adquirir e Implementar) 7 processos	Build, Acquire and Implement (Construir, Adquirir e Implementar) 10 processos
Deliver and Support (Entregar e Suportar) 13 processos	Deliver, Service and Support (Entregar, Servir e Suportar) 6 processos
Monitor and Evaluate (Monitorar e Avaliar) 4 processos	Monitor, Evaluate and Assess (Monitorar, Avaliar e Analisar) 3 processos
Gestão
	EDM - Evaluate, Direct, and Monitor (Avaliar, Dirigir e Monitorar) 5 processos

Fonte: ISACA (2012, p. 91).

Modelo de processos do COBIT

A orientação a processo é uma atividade padrão dentro das boas práticas de TI. Trabalhar orientado a processo remete-nos a uma visão de ciclo de vida, em que planejamos, fazemos, controlamos, agimos e, no final, voltamos ao ciclo de planejamento. Um modelo de processos, como o do COBIT 5, incentiva a determinação de proprietários dos processos, o que possibilita a definição de responsabilidades. Além disso, relaciona os requisitos de negócio com os processos de TI, dividindo controles e indicadores, como veremos neste capítulo.

Modelo de referência de processos do COBIT 5

Cadeia de processos e gestão
Fonte: TechnoVectors/shutterstock

O COBIT 5 possui um modelo de referência de processos semelhante ao da versão 4, que define e descreve em detalhes uma cadeia de processos de governança e gestão. Esse modelo representa os processos comumente relacionados às atividades de TI, fornecendo uma referência compreensível tanto para os gerentes operacionais da área quanto para os gerentes de negócios.

O modelo de processo do COBIT 5 é completo e abrangente, mas cada organização deverá definir seu próprio conjunto de processos, de acordo com sua situação específica, suas necessidades e a aplicabilidade dentro da sua estratégia.

Incorporar um modelo operacional e uma linguagem comum para todos os stakeholders envolvidos com atividades de TI é uma das etapas mais importantes e críticas da boa governança e trata-se de um dos principais benefícios da aplicação de um modelo de gestão, viabilizando a coerência, a padronização e a conexão com outros.

O modelo do COBIT 5 permite medir e monitorar o desempenho de TI, promovendo garantia da área, comunicação com os provedores de serviço e melhor integração com as práticas da administração.

Conforme mostra o gráfico, o modelo de referência de processo do COBIT 5 divide os processos de governança e gestão de TI da organização em dois domínios de processo principais:

Principais áreas de governança
Fonte: ISACA (2012, p. 34).

[1] Domínio de governança: contém cinco processos de governança. Dentro de cada um, são definidas práticas para avaliar, dirigir e monitorar (evaluate, direct and monitor - EDM).

[2] Domínio de gestão: contém quatro domínios, em consonância com as áreas responsáveis por planejar, construir, executar e monitorar (plan, build, run and monitor - PBRM), oferecendo cobertura de TI de ponta a ponta. Os nomes dos domínios foram escolhidos em sinergia com as designações dessas áreas principais:

• Alinhar, Planejar e Organizar (Align, Plan and Organise – APO);
• Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI);
• Entrega, Serviços e Suporte (Deliver, Service and Support - DSS);
• Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess – MEA).

Cada domínio contém diversos processos, e a maioria destes requerem atividades para planejar, construir, entregar e monitorar o processo ou o problema específico que está sendo tratado. Eles são alocados em domínios de acordo com a área de atividade mais relevante quando a TI é analisada em nível corporativo.

O gráfico apresenta um mapa com o conjunto completo dos 37 processos de governança e de gestão do COBIT 5.

Modelo de referência de processos COBIT 5
Fonte: ISACA (2012, p. 35).

Os 37 processos podem ser utilizados para verificar a totalidade das atividades e responsabilidades de gestão e governança de TI. No entanto, conforme já dissemos, cada organização é livre para escolher quais deles devem ser aplicados e combinados, de acordo com o seu contexto e as suas necessidades específicas.

Para ilustrar, o quadro apresenta exemplos de potenciais categorias de habilidades, mapeadas nos domínios de processo do COBIT 5, do habilitador Pessoas, Habilidades e Competências.

Categorias de habilidades por domínio de processo do COBIT do habilitador Pessoas, Habilidades e Competências

Domínio do Processo	Exemplos de Categorias de Habilidades
Avaliar, dirigir e monitorar (EDM)	Governança corporativa de TI
Alinhar, planejar e organizar (APO)	Formulação da política de TI Estratégia de TI Arquitetura corporativa Inovação Gestão financeira Gestão de portfólio
Construir, adquirir e implementar (BAI)	Análise de negócios Gerenciamento de projetos Avaliação de usabilidade Definição e gestão de requisitos Programação Ergonomia do sistema Desativação de software Gestão da capacidade
Entregar, serviço e suporte (DSS)	Gestão da disponibilidade Gestão de problemas Central de atendimento e gestão de incidentes Administração de segurança Operações de TI Administração do banco de dados
Monitorar, avaliar e analisar (MEA)	Análise de conformidade Monitoramento de desempenho Auditoria de controles

Fonte: ISACA (2012, p. 91).

Quinto princípio: Distinguir a governança da gestão

O modelo do COBIT 5 faz uma distinção bem enfática entre governança e gestão, já que essas duas disciplinas tratam de diferentes tipos de atividades, requerem distintas estruturas organizacionais e atendem a propósitos diferentes. Essa é a espinha dorsal do modelo.

Na maioria das organizações, a governança geral é de responsabilidade do Conselho de Administração, sob a liderança do presidente, e a gestão é de responsabilidade da diretoria executiva, sob a liderança do diretor executivo ou CEO – Chief Executive Officer.

A governança garante que as necessidades, condições e opções das partes interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados, definindo a direção através de priorizações e tomadas de decisão e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos.

A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos.

Fonte: ISACA (2012, p. 33).

Governança e gestão

A partir dessas definições de governança e gestão, fica claro que elas incluem diversos tipos de atividades, com diferentes papéis e responsabilidades. Dado o papel da governança de avaliar, orientar e monitorar a estratégia corporativa, há a necessidade de uma interação clara e próxima dela com a gestão com a finalidade de resultar em um eficiente e eficaz sistema de governança.

De acordo com a ISACA (2012, p. 33). essas interações, usando a estrutura de habilitadores, são assim relacionadas:

[1] Habilitador: Processos
Interação: o habilitador Processos faz uma distinção entre processos de governança e de gestão, incluindo conjuntos específicos de práticas e atividades de cada um. O modelo de processo inclui as tabelas RACI, que descrevem as responsabilidades das diferentes estruturas organizacionais e suas funções na organização.

[2] Habilitador: Informação
Interação: o modelo de processo descreve entradas e saídas das diferentes práticas dele para outros processos. Informações usadas para avaliar, orientar e monitorar a TI da organização são trocadas entre a governança e a gestão conforme descrição nas entradas e saídas do modelo de processo.

[3] Habilitador: Estruturas Organizacionais
Interação: diversas estruturas organizacionais são definidas em cada organização; estruturas podem ser definidas no âmbito da governança ou no âmbito da gestão, dependendo da sua composição e do escopo das decisões. Pelo fato de a governança definir a orientação, há uma interação entre as decisões tomadas pelas estruturas dela, por exemplo, decisão sobre o portfólio de investimentos e definição do apetite ao risco, e as decisões e operações que implementam as primeiras.

[4] Habilitador: Princípios, Políticas e Modelos
Interação: princípios, políticas e modelos são os veículos pelos quais as decisões de governança são institucionalizadas na organização. Por esse motivo, constituem uma interação entre as decisões de governança (definição da orientação) e a gestão (execução das decisões).

[5] Habilitador: Cultura, Ética e Comportamento
Interação: o comportamento também é um habilitador essencial da boa governança e gestão da organização. Ele fica no topo – liderando por exemplos – e é, portanto, uma interação importante entre a governança e a gestão.

[6] Habilitador: Pessoas, Habilidades e Competências
Interação: as atividades de governança e gestão requerem conjuntos de habilidades diferentes. Uma que é essencial para os membros do órgão de governança e de gestão é entender as duas tarefas e como elas se diferenciam.

[7] Habilitador: Serviços, Infraestrutura e Aplicativos
Interação: serviços necessários são apoiados por aplicativos e infraestrutura que proporcionem ao órgão de governança informações adequadas e suporte às seguintes atividades da governança: avaliação, definição da orientação e monitoramento.

O COBIT 5 defende que as organizações implementem os processos de governança e gestão de maneira que as principais áreas sejam abordadas da forma mais abrangente possível. Não há processos obrigatórios, nem é proposto um método a ser seguido. Cada organização é livre para fazer a gestão de seus processos conforme seja mais conveniente e aplicável ao seu contexto. Mas é importante que todos os objetivos de governança e gestão necessários sejam abordados.

Quarto princípio: Permitir uma abordagem holística

Vamos descrever de forma mais clara como os habilitadores do COBIT 5 trabalham para que possamos ter uma visão estrutural do modelo. Habilitadores são fatores que, de forma individual ou em conjunto, influenciam se algo irá funcionar na governança e na gestão corporativas da TI e são orientados pela cascata de objetivos. O COBIT 5 define sete categorias de habilitadores, que podem ser vistos no gráfico. São eles:

[1] Princípios, Políticas e Frameworks: são caminhos para a tradução do comportamento desejado em ações e orientações práticas para a gestão do dia a dia e na visão do todo.

[2] Processos: têm como objetivo descrever um conjunto estruturado de práticas e atividades e fornecem um conjunto de resultados para apoiar o atingimento dos objetivos de TI.

[3] Estruturas Organizacionais: são as principais entidades de tomada de decisão de uma organização, por isso têm peso importante dentro desse modelo.

[4] Cultura, Ética e Comportamento: são questões muitas vezes subestimadas como um fator de sucesso e evolução nas atividades de governança e gestão, mas devem ser fortemente consideradas.

[5] Informação: no universo corporativo, a informação permeia qualquer decisão e inclui todos os dados produzidos e usados pela organização. A Informação é necessária para manter a organização em funcionamento e bem governada, mas, no nível operacional, ela, por si só, é muitas vezes o principal produto da organização, o grande ativo.

[6] Serviços, Infraestrutura e Aplicativos: fornecem à organização o processamento e os serviços de TI e apoiam a execução dos seus processos de negócio.

[7] Pessoas, Habilidades e Competências: estão associadas aos times e são necessárias para a conclusão bem-sucedida de todas as atividades, assim como para a tomada de decisões e as medidas corretivas.

Habilitadores corporativos do COBIT 5
Fonte: ISACA (2012, p. 29).

Analisando o gráfico, fica claro que a meta é que os principais objetivos corporativos sejam atingidos por meio da governança corporativa, incluindo a governança de TI. Além disso, a organização sempre deverá considerar um conjunto de habilitadores interligados, de forma que cada um deles utilize informações dos demais para ser plenamente efetivo e produzir resultados para o benefício dos outros habilitadores.

É importante destacar que alguns habilitadores podem ainda se tornar recursos da organização que devem ser gerenciados e governados. Dessa forma:

• A informação é um recurso e deve ser gerenciada como tal. Como exemplo, o COBIT indica que algumas informações, como relatórios de gestão e informações de inteligência organizacional, são importantes habilitadores para a governança e gestão da organização.
• Os serviços, a infraestrutura e os sistemas devem apoiar os processos e a cadeia de valor da organização.
• As pessoas, suas habilidades e competências completam a estrutura, sendo pilar fundamental da estrutura organizacional.

Assim a alta administração da organização tem condições de tomar boas decisões quando esta natureza sistêmica dos arranjos de governança e gestão, com todos os habilitadores inter-relacionados, for considerada.

Curiosidade     

O que significa abordagem holística?

A visão holística pode ser considerada a forma de perceber a realidade e a abordagem sistêmica, o primeiro nível de operacionalização desta visão.

O enfoque sistêmico exige dos indivíduos uma nova forma de pensar: de que o conjunto não é mera soma de todas as partes, mas as partes compõem o todo, e é o todo que determina o comportamento das partes. Portanto, para a empresa o lucro deixa de ser o objetivo, para se tornar uma consequência de todo os processos da empresa; o RH deixa de ser custo e os consumidores deixam de ser receitas, para se tornarem parte do todo da empresa. A empresa ganha uma nova visão, valorizando todos os processos e departamentos, tendo consciência que todos têm a sua importância e que todos compõem a empresa. A empresa não é mera soma de departamentos e processos, mas são eles a empresa. Traz a percepção da organização como uma série de processos e atividades interligadas. Uma empresa é um processo que contém vários processos, de manufatura e/ou serviços.

A Administração Holística tem como base que a empresa não pode mais ser vista como um conjunto de departamentos (departamentalização) que executam atividades isoladas, mas sim como em conjunto único, um sistema aberto em contínua interação.

Fonte: https://pt.wikipedia.org/wiki/Administração_holística, acesso em: 25.nov.2016.

Quando essa abordagem sistêmica dos arranjos de governança e gestão for considerada, decisões mais assertivas e dentro de um nível de risco adequado podem ser tomadas. Para solucionar qualquer necessidade das partes interessadas, a referência de todos os habilitadores inter-relacionados deve ser analisada e tratada, quando aplicável. Para ilustrar essa visão, podemos citar alguns exemplos, de acordo com a ISACA (2012, p. 30):

• Exemplo 1: Uma determinada organização deseja realizar uma prestação de serviços. Os habilitadores necessários para que seja bem-sucedida seriam:
• Prestar serviços operacionais de TI a todos os usuários exige capacidades de serviço (infraestrutura, aplicativos) e estrutura de pessoas qualificadas, com o comportamento alinhado à cultura organizacional.
• Estruturar processos de prestação de serviços, considerando ANSs e contratos bem definidos que devam ser implementados, exige apoio de estruturas organizacionais adequadas de TI e Negócio.

• Exemplo 2: Uma organização deseja melhorar a segurança das informações. Os habilitadores necessários seriam:
• Identificar e prover estrutura para atender à necessidade de segurança da informação exige a criação e a adoção de diversas políticas e procedimentos.
• Com base nas premissas e nas políticas adotadas, devem-se implementar práticas de segurança seguindo práticas integrativas de mercado.
• Deve-se obter um alinhamento coerente com a cultura e a ética da organização e das pessoas para os procedimentos serem efetivos.
• Os processos e os procedimentos de segurança das informações devem utilizar habilitadores adequados.

Segurança da informação
Fonte: Piotr Zajda/shutterstock

Para haver mais coerência e sentido, os habilitadores possuem um conjunto de dimensões que apresenta uma maneira comum, simples e estruturada para tratar deles. Isso permite que uma entidade controle suas interações complexas e facilita o alcance de resultados bem-sucedidos dos habilitadores. As quatro dimensões comuns dos habilitadores do COBIT 5, de acordo com a ISACA (2012, p. 30), são:

[1] Partes interessadas: cada habilitador tem partes interessadas (partes que desempenham um papel ativo e/ou têm algum interesse no habilitador). Por exemplo, os processos têm diversas partes que executam atividades e/ou que têm algum interesse nos resultados deles, enquanto as estruturas organizacionais têm partes interessadas, cada uma com suas próprias funções e interesses, que fazem parte das estruturas. Partes interessadas podem ser internas ou externas à organização, e todas possuem seus próprios interesses e necessidades, às vezes conflitantes. As necessidades delas são traduzidas em objetivos corporativos, que, por sua vez, são traduzidos em objetivos corporativos para a organização.

[2] Metas: cada habilitador tem diversas metas e cria valor ao atingi-las.

Metas podem ser definidas como:

• resultados esperados do habilitador;
• aplicativo ou operação do próprio operador.

As metas do habilitador são a última etapa da cascata de objetivos do COBIT e podem ser divididas em diferentes categorias:

• Qualidade intrínseca: o quanto os habilitadores trabalham de forma precisa e produzem resultados exatos, objetivos e confiáveis.
• Qualidade contextual: o quanto os habilitadores e seus resultados cumprem sua meta, levando-se em consideração o contexto em que operam. Por exemplo, os resultados devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensíveis e fáceis de usar.
• Acesso e segurança: o quanto os habilitadores e seus resultados são acessíveis e seguros. Os habilitadores estão disponíveis quando, e se, necessário. Os resultados são seguros, ou seja, o acesso é restrito a quem de direito precisar deles.

Metas
Fonte: everything possible/shutterstock

[3] Ciclo de vida: cada habilitador tem um ciclo de vida, desde sua criação, passando por sua vida útil/operacional até chegar ao descarte. Isso se aplica a informações, estruturas, processos, políticas etc. As fases do ciclo de vida incluem:

• planejar (inclui o desenvolvimento e seleção de conceitos);
• projetar;
• desenvolver/adquirir/criar/implementar;
• usar/operar;
• avaliar/monitorar;
• atualizar/descartar.

[4] Boas práticas: podem ser definidas para cada um dos habilitadores. Apoiam o atingimento das metas deles. Boas práticas oferecem exemplos ou sugestões de como implementar o habilitador da melhor maneira e quais produtos do trabalho ou entradas e saídas são necessários.

As organizações esperam resultados positivos da aplicação e do uso dos habilitadores. De acordo com a ISACA (2012, p. 31), para controlar o desempenho dos habilitadores, as seguintes perguntas terão de ser monitoradas e depois respondidas periodicamente com base em indicadores e métricas:

• As necessidades das partes interessadas foram consideradas?
• As metas do habilitador foram atingidas?
• O ciclo de vida do habilitador é controlado?
• Boas práticas foram aplicadas?

As duas primeiras perguntas tratam do resultado efetivo do habilitador. São utilizados os indicadores de resultado para que possa ser aferido em que medida as metas foram atingidas. As duas últimas perguntas tratam do funcionamento efetivo do próprio habilitador. São utilizados indicadores denominados indicadores de progresso.