COBIT® 5 e a governança corporativa

Resumo: Uma introdução ao COBIT® 5, o framework utilizado para a governança corporativa e gestão de Tecnologia da Informação (TI).

Palavras chaves: governança corporativa, governança de TI, gestão de TI, princípios de governança, habilitadores, domínios, COBIT® 5, ISACA®, processos.

O que é a governança corporativa?
A governança corporativa tem como objetivo a criação de valor mediante a otimização dos recursos (alinhamento da TI ao negócio), eficiência (continuidade do negócio e gestão de riscos) e obtenção de benefícios para os stakeholders das organizações. Também promove a conformidade (compliance, em inglês) com os marcos reguladores e outras normas concernentes.

O que é o COBIT® 5?
O COBIT® 5 é um framework que auxilia as corporações a atingirem suas metas e entrega de valor via efetiva governança e gestão da TI (Tecnologia da Informação) corporativa. Desenvolvido pela ISACA®, é o framework líder para a governança corporativa e a gestão das organizações. A sigla COBIT® 5 significa Control Objectives for Information and Related Technology (em português, Objetivos de Controle para a Informação e Tecnologia). Tem por base controles para a área de TI diretamente relacionados à gestão do negócio.

O COBIT® 5 permite que a TI seja governada e gerida de forma holística, abrangendo o negócio de ponta a ponta, em aliança com todas as áreas responsáveis pelas funções de TI. É um modelo genérico e útil para organizações de todo tipo (comerciais, sem fins lucrativos, públicas) e tamanho.

No âmbito da TI são os seus objetivos de controle que guiarão quaisquer outras iniciativas, como, por exemplo, o uso de outros importantes padrões e modelos do mercado, a saber: Information Technology Infrastructure Library (ITIL®), The Open Group Architecture Framework (TOGAF®), Project Management Body of Knowledge (PMBOK®), PRojects IN Controlled Environments 2 (PRINCE2®), o modelo conceitual do Committee of Sponsoring Organizations of the Treadway Commission (COSO) e as normas International Organization for Standardization (ISO), ou qualquer outra norma, padrão ou conjunto de boas práticas voltados para a TI.

O que é a ISACA®?
Fundada em 1969, a ISACA® é uma entidade independente e sem fins lucrativos com mais de 140.000 usuários e 213 capítulos em 180 países que fornece conhecimento, certificações e treinamento em segurança de sistemas de informação, governança corporativa e gestão de TI. Ela desenvolveu o framework COBIT® 5.

Atesta o conhecimento e as habilidades de TI através das certificações Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®), e Certified in Risk and Information Systems Control (CRISC®).

Qual é a metodologia do COBIT® 5?
O COBIT® 5 têm como foco do framework as metas em cascata - objetivos de TI de alto nível que definem os resultados que os diferentes viabilizadores devem entregar. A definição das metas parte das necessidades dos stakeholders, passando pelos objetivos da organização – que fazem uso das dimensões do Balanced Scorecard (BSC) – e pelos objetivos da área de TI, até chegar aos objetivos dos habilitadores.

O modelo em questão possui cinco princípios de governança e gerenciamento de TI, e sete habilitadores que, individual e coletivamente, influenciam no funcionamento da governança e gestão corporativa da TI guiados pela cascata de objetivos, detalhados conforme se segue:

Princípios:

  1. Atender as necessidades dos stakeholders;
  2. Envolver toda a organização (negócio + TI);
  3. Aplicar um único framework integrado;
  4. Possibilitar uma abordagem holística; e
  5. Separar a governança da gestão.

Categorias de habilitadores:

  1. Princípios, políticas e modelos;
  2. Processos;
  3. Estruturas organizacionais;
  4. Cultura, ética e comportamento;
  5. Informação;
  6. Serviços, infraestrutura e aplicativos; e
  7. Pessoas, habilidades e competências.

Por ultimo, têm-se 37 processos repartidos em cinco domínios. Os processos se dividem em práticas que abrangem as atividades a realizar. Para a implementação dos processos, faz-se importante utilizar um ciclo de vida com sete fases, além de uma análise da maturidade com o Modelo de Capacidade de Processo (Process Capability Assessment Model - PAM), que tem como base a ISO-15504 (possui seis níveis de maturidade), detalhados conforme se segue:

Domínios:

  1. Avaliar, dirigir e monitorar (Evaluate, Direct and Monitor – EDM);
  2. Alinhar, planejar e organizar (Align, Plan and Organize – APO);
  3. Construir, adquirir e Implementar (Build, Acquire and Implement – BAI);
  4. Entrega, suporte e serviço (Deliver, Service and Support – DSS); e
  5. Monitorar, verificar e avaliar (Monitor, Evaluate and Assess – MEA).

Processos para a governança:

Avaliar, Dirigir e Monitorar (5):
EDM01 – Garantir a definição e manutenção do modelo de governança;
EDM02 – Garantir a realização de benefícios;
EDM03 – Garantir a otimização do risco;
EDM04 – Garantir a otimização dos recursos; e
EDM05 – Garantir transparência para as partes interessadas.

Processos para a gestão corporativa de TI:

Alinhar, Planejar e Organizar (13):
APO01 – Gerenciar a estrutura de gestão de TI;
APO02 – Gerenciar estratégia;
APO03 – Gerenciar arquitetura da organização;
APO04 – Gerenciar inovação;
APO05 – Gerenciar portfólio;
APO06 – Gerenciar orçamento e custos;
APO07 – Gerenciar recursos humanos;
APO08 – Gerenciar relacionamentos;
APO09 – Gerenciar contratos de prestação de serviços;
APO10 – Gerenciar fornecedores;
APO11 – Gerenciar qualidade;
APO12 – Gerenciar riscos; e
APO13 – Gerenciar segurança.

Construir, Adquirir e Implementar (10):
BAI01 – Gerenciar programas e projetos;
BAI02 – Gerenciar definição de requisitos;
BAI03 – Gerenciar identificação e desenvolvimento de soluções;
BAI04 – Gerenciar disponibilidade e capacidade;
BAI05 – Gerenciar capacidade de mudança organizacional;
BAI06 – Gerenciar mudanças;
BAI07 – Gerenciar aceitação e transição da mudança;
BAI08 – Gerenciar conhecimento;
BAI09 – Gerenciar ativos; e
BAI10 – Gerenciar configuração.

Entregar, Serviços e Suporte (06):
DSS01 – Gerenciar operações;
DSS02 – Gerenciar solicitações e incidentes de serviços;
DSS03 – Gerenciar problemas;
DSS04 – Gerenciar continuidade;
DSS05 – Gerenciar serviços de segurança; e
DSS06 – Gerenciar controle do processo de negócio.

Monitorar, Avaliar e Analisar (03):
MEA01 – Monitorar, avaliar e analisar desempenho e continuidade;
MEA02 – Monitorar, avaliar e analisar o sistema de controle interno; e
MEA03 – Monitorar, avaliar e analisar conformidade com requisitos externos.

Avaliação de maturidade:

0 – Processo Incompleto;
1 – Processo Executado;
2 – Processo Gerenciado;
3 – Processo estabelecido;
4 – Processo Previsível; e
5 – Processo Otimizado.

Em definitiva, O COBIT® 5 permite que a TI seja governada e gerida de forma holística, abrangendo o negócio de ponta a ponta, em aliança com todas as áreas responsáveis pelas funções de TI. É um modelo genérico e útil para organizações de todo tipo (comerciais, sem fins lucrativos, públicas) e tamanho.

Links
ISACA. COBIT® 5 Framework. Disponível em: < https://www.isaca.org/cobit/pages/default.aspx >. Acesso em: 30 de Julho de 2016.

ISACA. 2015 Annual Report. Disponível em: < http://www.ISACA.org/About-ISACA/annual-report/Pages/default.aspx/ >. Acesso em: 26 de Agosto de 2016.

 

Image from Pixabay, released under Creative Commons CC0.