Aula 3GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO

TI E AFINSCAÍKE DAMIÃO NASCIMENTO SILVA

Introdução ao COBIT 5Neta aula, você aprenderá sobre o framework COBIT 5 e sobre como ele pode ser usado para a Governança Empresarial de TI. Também conhecerá um pouco sobre as mudanças envolvidas neste framework e o relacionamento com a empresa, outros modelos e frameworks do mercado.

O COBIT é um acrônimo para Control Objectives for Information and Related Technology. Em português Objetivos de Controle para Informação e Tecnologia Relacionada (tecnologia que provê informação que o negócio precisa). No COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo.Este modelo (ou framework) foi desenvolvido pela ISACA que é uma instituição sem fins lucrativos que desenvolve pesquisas, modelos e certificações para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros.

O COBIT tem como principais características:- Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no COBIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK, ISO 27001, dentre outros modelos do mercado.- Baseado em Controles: disponibiliza vários recursos para auditoria.- Fornece Indicadores: permite acompanhar os processos e visualizar os resultados.- Focado no Negócio: o COBIT parte da premissa de que a TI deve oferecer valor ao negócio e que deve se orientar pelo negócio.É importante citar que o COBIT visa uma perfeita integração e cascateamento entre Processos da Empresa, Metas de TI e Metas de Negócio. Servindo para identificar o que a TI precisa melhorar para atender as metas da Organização.O COBIT não substitui ITIL, CMMI ou PMBOK, mas sim é utilizado em conjunto, como norteador estratégico do uso da TI e de como direcioná-la para atender os requisitos de negócio.

COBIT também é um guia, um instrumento para diagnóstico e auditoria, mas não é usado para certificação, ou seja, uma empresa não será certificada COBIT. Há, contudo, as certificações para profissionais que falaremos mais adiante.

O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo com base nos processos do COBIT. Bancos também são grandes usuários devido à grande complexidade de seus processos.

O framework provido pelo COBIT visa ajudar as organizações na entrega de valor por meio da boa governança e gestão da TI. Uma característica muito importante é a implementação de processos auditáveis que são dedicados a governança e ao gerenciamento de TI e o uso de métricas mensuráveis de desempenho.

Governança Empresarial de TIO COBIT é focado em Negócios, como já citamos, formado por um conjunto de princípios norteadores. Como podemos ver na figura o COBIT concentra-se em requisitos de negócio que direcionam os investimentos a serem feitos em recursos de TI. Os recursos de TI são usados pelas diversas áreas da empresa através dos processos de TI.

Com o COBIT 5 a Governança de TI ganhou uma modificação e nova denominação: Governança Empresarial de TIA Governança Empresarial de TI (Enterprise Governance of IT) é o principal norteador do COBIT 5 e é o termo que a ISACA lançou com seu framework. A Governança Empresarial de TI incorpora outros termos:- Business Governance of IT: analisa e observa a TI como elemento incorporado aos objetivos de negócio.- Functional Governance of IT: analisa a TI como departamento dentro da estrutura organizacional e seus aspectos de eficiência e eficácia.- Corporate Governance: analisa a conformidade da empresa com requisitos e leis. TI manuseia informações de negócio e, por isto, terá requisitos que se referem a Governança Corporativa.

Princípios do COBIT 5

Na visão do COBIT 5 os princípios fornecem a informação que a empresa precisa para atingir seus objetivos de negócio. Para isso, são necessários investimentos, gerenciamento e controle de recursos de TI utilizados pelos processos da empresa para prover serviços que vão disponibilizar as informações necessárias para a organização.

O COBIT 5 trouxe uma família de produtos que contém um modelo para Governança e Gestão de TI da organização. Esta família de produtos traz publicações para profissionais de áreas distintas, como pode ser visto na figura a seguir.

Os guias profissionais ajudam em áreas distintas da empresa e facilitam a distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a publicação geral COBIT 5 Habilitador Processos possui um detalhamento prático de como lidar com ativos de informação. No guia COBIT 5 Implementação, há fases para implementação de um programa de governança. No guia COBIT 5 Assurance há uma guia para validação e auditoria de processos.O Guia Geral de Habilitadores pode ser baixado no site para ISACA para membros e não membros (via preenchimento de cadastros). Os demais podem ser baixados pelos membros. Para se tornar membro é preciso para a manutenção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento da escrita deste material até quando você pesquisar no site, ok?).O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla orientação sobre os habilitadores de Governança e Gestão de TI na organização. Habilitadores são fatores que, individualmente e coletivamente, influenciam o funcionamento da governança e do gerenciamento sobre a TI.

Os princípios do COBIT 5 estão apresentados na figura a seguir e os descreveremos na sequência.

1. Atender às Necessidades das Partes Interessadas: criar e gerenciar valor para os stakeholders é algo que já discutimos aqui. As empresas devem existir para isso e para busca entre os benefícios que vai oferecer e a otimização no uso dos recursos e nos riscos desta utilização e oferta de valor.2. Cobrir a Organização de Ponta a Ponta: o COBIT 5 não se concentra apenas na função de TI, mas nas tecnologias relacionadas como ativos.3. Aplicar um Framework Único e Integrado: o COBIT 5 se alinha a outros padrões e modelos, pois existem várias normas e modelos relacionadas à TI.

4. Permitir uma Abordagem Holística: na visão holística busca-se a interligação entre os diversos componentes e os resultados destas interligações. O melhor exemplo ilustrativo da visão holística que eu me lembro é a questão da água. Se você analisar a molécula da água ela é formada por dois átomos de hidrogênio e um átomo de oxigênio, ou seja, H2O. Se estudarmos o hidrogênio e o oxigênio veremos que são combustíveis (ao menos no formato gasoso, não?). Pois bem, quando juntos, na proporção 2 para 1, formando a molécula de água, esta propriedade de combustão muda (ou desaparece?). A grande questão é que a união das partes pode trazer à tona outras propriedades não observadas ou não existentes. Na visão holística é precioso observar as interligações das áreas de TI na empresa e nas áreas de negócio.5. Distinguir a Governança da Gestão: a Governança visa garantir os interesses das partes interessadas (Stakeholders), avaliando os objetivos corporativos que foram acordados, priorizando metas, tomando decisões e monitorando o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do planejamento, do projeto, da execução e do monitoramento das atividades de acordo com o que foi definido pela governança para atingir os objetivos estratégicos. Assim, em muitas organizações a Governança fica a cargo do conselho de administração sob a liderança do presidente. Já a Gestão é feita pela diretoria executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.

Capacidade de Processo no COBIT 5, Baseada na ISO/IEC 15504

Nível 0 – Processo Incompleto: processo não implementado ou não alcança seu propósito.Nível 1 – Processo realizado: processo alcança seu objetivo.Nível 2 – Processo Gerenciado: o nível 1 é agora implementado de forma que possa ser planejado, monitorado e ajustado com produtos estabelecidos em seus resultados.Nível 3 – Processo Estabelecido: o nível 2 agora tem um processo definido alcançando resultados de processo.Nível 4 – Processo Previsível: o nível 3 opera nos limites de qualidade estabelecidos.Nível 5 – Processo em Otimização: o nível 4 agora é melhorado continuamente.

Modelo de Referência e Domínios de Processo no COBIT 5

Como podemos ver (na imagem a seguir) são 5 domínios de processo. Na parte em cinza há os processos relacionados à Governança: Avaliar, Dirigir e Monitorar (EDM). E na parte azul há mais 4 domínios relacionados ao Gerenciamento de TI: Alinhar, Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar, Serviço e Suporte (DSS), Monitorar, Avaliar e Analisar (MEA).Os quatro domínios de Gerenciamento de TI são muito parecidos com os processos e domínios do COBIT 4.1. Já no COBIT 5 há os processos de Governança ao todo são 37 processos, ao invés dos 34 anteriores.

A seguir vamos resumir as características dos principais processos nos domínios com base no conteúdo do material ISACA. Para mais detalhes consulte o framework e a publicação COBIT 5 Enabling Process.

- Avaliar, Dirigir e Monitorar (EDM)

EDM01 – Garantir a Definição e Manutenção do Modelo de Governança: visa analisar os requisitos para Governança de TI da organização e colocar em prática os princípios e processos, esclarecendo as responsabilidades e autoridades para alcance das missões, das metas e dos objetivos da organização.

EDM02 – Garantir a Realização de Benefícios: visa otimizar e entregar o valor ao negócio pelos serviços de TI, pelos ativos e pelos próprios processos de negócio.

EDM03 – Garantir a Otimização do Risco: visa assegurar o gerenciamento do risco, o entendimento do risco empresarial e a análise da tolerância do mesmo.

EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.

EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que a medição e relatórios de desempenho e conformidade da TI corporativa sejam transparentes para os stakeholders aprovarem as metas, métricas e as ações corretivas necessárias.

- Alinhar, Planejar e Organizar (APO)

APO01 – Gerenciar a Estrutura de Gestão de TI: visa esclarecer e manter a missão e visão da Governança de TI da organização; implementar e manter mecanismos e autoridades para gerenciar a informação e o uso da TI na organização.

APO02 – Gerenciar a Estratégia: visa fornecer uma visão holística do negócio e ambiente de TI atual, a direção futura, e as iniciativas necessárias para migrar para o ambiente futuro desejado.

APO03 – Gerenciar a Arquitetura de Governança: visa estabelecer uma arquitetura comum que consiste em processos de negócios, informações, dados, aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação de modelos e práticas-chave que descrevem a arquitetura de linha de base.

APO04 – Gerenciar a Inovação: visa manter uma consciência de TI e tendências de serviços relacionados, identifica oportunidades de inovação e planeja como se beneficiar da inovação em relação às necessidades do negócio; influenciar o planejamento estratégico e as decisões de arquitetura corporativa.

APO05 – Gerenciar Portfólio: visa executar o conjunto de orientações estratégicas para os investimentos alinhados com a visão de arquitetura corporativa e as características desejadas do investimento e considerar as restrições de recursos e de orçamento; avaliar, priorizar programas e serviços, gerenciar demanda dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e risco; mover programas selecionados para o portfólio de serviços para execução; monitorar o desempenho de todo o portfólio de serviços e programas, propondo os ajustes necessários em resposta ao programa e desempenho do serviço ou mudança de prioridades da organização.

APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades financeiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a organização.

APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos humanos, incluindo a comunicação de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas.

APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum.

APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar serviços de TI e níveis de serviço com as necessidades e expectativas da organização, incluindo identificação, especificação, projeto, publicação, acordo, e acompanhamento de serviços de TI, níveis de serviço e indicadores de desempenho.

APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a TI prestados por todos os tipos de fornecedores para atender às necessidades organizacionais, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores para a efetividade e conformidade.

APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações, incluindo controles, monitoramento contínuo, e o uso de práticas comprovadas e padrões na melhoria contínua e esforços de eficiência.

APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização.

APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema para a gestão de segurança da informação.

- Construir, Adquirir e Implementar (BAI)

BAI01 – Gerenciar Programas e Projetos: visa gerenciar todos os programas e projetos do portfólio de investimentos em alinhamento com a estratégia da organização e de forma coordenada; iniciar, planejar, controlar e executar programas e projetos, e finalizar com uma revisão pós-implementação.

BAI02 – Gerenciar Definição de Requisitos: visa identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estão em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações/dados, infraestrutura e serviços; coordenar com as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas.

BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções: visa estabelecer e manter soluções identificadas em conformidade com os requisitos da organização abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores/vendedores; gerenciar configuração, teste de preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infraestrutura e serviços.

BAI04 – Gerenciar Disponibilidade e Capacidade: visa equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços de baixo custo; incluir a avaliação de capacidades atuais, a previsão das necessidades futuras com base em requisitos de negócios, analisar impactos nos negócios e avaliação de risco para planejar e implementar ações para atender as necessidades identificadas.

BAI05 – Gerenciar Capacidade de Mudança Organizacional: maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas e afetadas no negócio e TI.

BAI06 – Gerenciar Mudanças: visa gerenciar todas as mudanças de uma maneira controlada, incluindo mudanças de padrão e de manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura, incluindo os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação.

BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e produzir formalmente novas soluções operacionais, incluindo planejamento de implementação do sistema, e conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção de processos de negócios e serviços de TI novos ou alterados, suporte de produção e uma revisão pós-implementação.

BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão; também visa um plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento.

BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo de vida para assegurar que seu uso agregue valor a um custo ideal.

BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta de informações, de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração.

- Entregar, Serviço e Suporte (DSS)

DSS01 – Gerenciar Operações: visa coordenar e executar as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais, padrões pré-definidos e as atividades exigidas.

DSS02 – Gerenciar Solicitações e Incidentes de Serviços: visa fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes; restaurar o serviço normal; reportar e atender às solicitações dos usuários e registro, investigar, diagnosticar, escalar e solucionar incidentes.

DSS03 – Gerenciar Problemas: visa identificar e classificar os problemas e suas causas raízes e fornece solução para prevenir incidentes recorrentes. Fornece recomendações de melhorias.

DSS04 – Gerenciar Continuidade: visa estabelecer e manter um plano para permitir ao negócio e a TI responder a incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI necessários, mantém a disponibilidade de informações em um nível aceitável para a organização.

DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da organização para manter o nível de risco aceitável para a segurança da informação da organização, de acordo com a política de segurança. Estabelece e mantém as funções de segurança da informação e privilégios de acesso e realiza o monitoramento de segurança.

DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e manter controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas satisfaçam todos os requisitos de controle de informações relevantes.

- Monitorar, Avaliar e Analisar (MEA)

MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade: visa coletar, validar e avaliar os objetivos e métricas do processo de negócios e de TI; monitorar se os processos estão realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informação que é sistemática e oportuna.

MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno: visa monitorar e avaliar continuamente o ambiente de controle, incluindo auto avaliações e análises de avaliações independentes.

MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos: visa avaliar se processos de TI e processos de negócios suportados pela TI estão em conformidade com as leis, regulamentos e exigências contratuais.

Implementação

O Ciclo de vida de implementação do COBIT é uma forma das empresas usarem o COBIT 5 para lidar com os desafios encontrados ao longo da implementação da Governança de TI. Como podemos ver na figura a seguir há questões externas, motivadores (drivers) para nos orientar. Para cada questão há 3 níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em 3 componentes:

Gestão do Programa (Anel Externo)

Capacitação da Mudança (Anel Intermediário)

Ciclo de Vida de Melhoria Contínua (Anel Interno)

Aceitação do ModeloO COBIT é baseado nas boas práticas que o mercado de TI possui e adequa-se aos princípios de Governança de TI visados e aceitos. Com isto, sua proposta influencia diferentes usuários:- Alta direção: foco na obtenção de valor dos investimentos de TI e no balanceamento de riscos com os investimentos;- Executivos de Negócios: foco na entrega da informação usando recursos econômicos e produtivos;- Executivos de TI: foco na promoção dos serviços de TI que o negócio precisa para suportar as estratégias definidas na empresa;- Auditores: foco na promoção de recomendações sobre controles internos para os executivos.

Nessa aula, nós vimos os conceitos iniciais de um Framework amplo para Governança de TI, o COBIT 5. Mesmo com todos os nossos estudos e discussões é possível observar que o COBIT 5 e a Governança possuem muitos detalhes a serem estudados, analisados e implementados. Quero que você pense nas diversas pessoas envolvidas num modelo de Governança de TI e tente imaginar como ficaria o dia a dia dessas pessoas antes, durante e depois da implantação de um modelo de Governança como o COBIT 5.