Segundo ISACA (2012), a quinta versão do COBIT foi lançada em 2012, cinco anos após a versão anterior, o release da quarta versão, chamada de COBIT 4.1. A Figura 7 demonstra a evolução do framework, por meio de suas versões e suas principais características, desde o seu lançamento, em 1996.
Figura 7 – Evolução do COBIT
Fonte: ISACA (2012)
O COBIT 5 fornece um framework de linguagem comum que auxilia as empresas no alcance de seus objetivos de Governança e gestão de TI. Em resumo, ajuda a empresa na criação de valor de TI pela manutenção do equilíbrio entre a realização dos benefícios e a otimização de níveis de risco e do uso dos recursos de TI. O COBIT 5 habilita a Governança e a gestão de TI de uma forma holística por toda a empresa, tendo o negócio e as áreas funcionais de TI contemplados fim-a-fim, considerando o interesse de TI de partes interessadas, internas e externas. O COBIT 5 é genérico e útil para empresas de todos os tamanhos, de fins comerciais, sem fins lucrativos, ou em setores públicos. O COBIT 5 é composto por 37 processos, divididos em cinco domínios(ISACA, 2012a).
2.1.4.1 Princípios do COBIT 5
A Figura 8 ilustra os cinco princípios do COBIT 5. Figura 8 – Princípios do COBIT 5
1. Identificar as necessidades das partes interessadas:
Empresas existem para criar valor para suas partes interessadas por meio da manutenção do equilíbrio entre a realização dos benefícios e a otimização dos riscos e do uso dos recursos de TI, conforme apresentado na Figura 9.
Figura 9 – Objetivo da Governança: Criação de Valor
Fonte: ISACA (2012)
O COBIT 5 fornece todos os processos requeridos e outros habilitadores para apoiar a criação de valor do negócio pelo uso adequado de TI. Porque toda empresa tem objetivos diferentes, a empresa pode customizar o COBIT 5 para atender seu próprio contexto por meio dos objetivos em cascata, traduzindo objetivos de alto nível da empresa em objetivos gerenciáveis, específicos, relacionados com a TI, e mapeá-los para processos e práticas específicas. A Figura 10 demonstra em detalhes a visão geral dos objetivos em cascata. Figura 10 – Visão Geral dos Objetivos em Cascata
2. Cobrir a empresa fim-a-fim:
O COBIT 5 integra a Governança de TI à Governança Corporativa da empresa. Nesse contexto, o framework abrange todas as funções e processos da empresa, não focando apenas nas funções de TI, mas no tratamento da informação e tecnologias relacionadas como ativos da empresa. Considera todos os habilitadores de Governança Corporativa e de TI, analisando a empresa de ponta a ponta, o que é importante para a Governança e gestão das informações e tecnologias relacionadas dentro da empresa.
3. Aplicar um framework único e integrado:
Existem vários padrões e boas práticas de TI, cada um fornecendo orientações e um subconjunto de atividades relacionadas à TI. O COBIT 5 realiza um alinhamento com outros padrões utilizados nas empresas a fim de incorporá-los para estabelecer um framework único para Governança Corporativa e de TI. Dentre outros frameworks, o COBIT 5 alinha- se com padrões e boas práticas como o ITIL (Information Technology Infrastructure
Library - Bilioteca de Infraestrutura da TI), ISO (International Organization for Standardization - Organização Internacional para Padronização), PMBoK (Project Management Body of Knowledge - Corpo de Conhecimento de Gestão de Projetos),
PRINCE2 (PRojects IN Controlled Environments – Projetos em Ambientes Controlados) e TOGAF (The Open Group Architecture Framework - Grupo Aberto de Arquitetura de
Framework).
4. Habilitar uma abordagem holística:
O COBIT 5 define um grupo de habilitadores para apoiar a implantação de uma Governança global e um sistema de gestão para a empresa. Os habilitadores auxiliam no alcance dos objetivos da empresa. O COBIT 5 define sete categorias de habilitadores (Figura 11):
1. Princípios, políticas e frameworks; 2. Processos;
3. Estruturas organizacionais; 4. Cultura, ética e comportamento; 5. Informação;
6. Serviços, infraestrutura e aplicações; 7. Pessoas, habilidades e compentências.
Figura 11 – Habilitadores do COBIT 5
Fonte: ISACA (2012)
5. Separar Governança de gestão:
O COBIT 5 deixa clara a distinção entre Governança e gestão. Estas duas disciplinas abrangem diferentes tipos de atividades, requerem diferentes estruturas organizacionais e servem para diferentes propósitos. O framework aborda a divisão entre a Governança e a gestão de TI, sendo que a Governança de TI é parte da Governança Corporativa da empresa, e não é tratada de forma isolada como na versão anterior.
ISACA (2012a) aborda os processos de Governança em um domínio exclusivo do
framework chamado de EDM (Evaluate, Direct and Monitor), com cinco processos, que
asseguram que as necessidades das partes interessadas da empresa (stakeholders) sejam avaliadas (Evaluated) para determinar o equilíbrio para alcançar os objetivos estratégicos; definindo a direção (Direction) por meio de priorizações e tomada de decisão; e monitorando (Monitoring) o desempenho e a conformidade. A gestão (PBRM – Plan, Build, Run and
Monitoring) é definida como planos (Plan) que constroem (Build), executam (Run) e
monitoram (Monitoring) atividades alinhadas com o direcionamento baseado na Governança Corporativa para atingir os objetivos estratégicos.
Os processos de gestão são a evolução do COBIT 4.1. A figura 12 apresenta a separação de Governança e gestão proposta no COBIT 5. A Governança é representada por um domínio e a gestão em outros quatro.
Figura 12 – Divisão de Governança e Gestão do COBIT 5
Fonte: ISACA (2012)
A figura 13 mostra por completo os 37 processos de Governança e gestão do COBIT 5. Figura 13 – Visão Geral dos Processos do COBIT 5
Fonte: ISACA (2012)
2.1.4.2 Gestão de TI: Domínios APO, BAI, MEA e DSS
Segundo ISACA (2012a) a gestão de TI do framework COBIT 5 contém quatro domínios, de acordo com as áreas de responsabilidade de planejar, criar, executar e monitorar
e oferece abrangência fim-a-fim das operações de TI. Esses domínios são uma evolução do domínio e estruturas de processos do COBIT 4.1. Os nomes dos domínios são escolhidos de acordo com as designações das principais áreas, mas contêm mais verbos para descrevê-los. Abaixo, apresentação de cada domínio de gestão de TI e seus processos, segundo ISACA (2012):
1. Alinhar, Planejar e Organizar (APO – Align, Plan and Organize)
O domínio APO é responsável pelo planejamento da Gestão de TI e é dividido em 13 processos, descritos abaixo:
01. Gerenciar a estrutura de gerenciamento de TI: Esclarece e mantém a visão e missão da governança de TI da organização. Implementar e manter mecanismos e políticas de acesso para gerir a informação e o uso da TI na empresa conforme os objetivos da governança de TI, em consonância com seus princípios e políticas. Proporciona uma abordagem de gestão coerente para que os requisitos de governança da empresa possam ser cumpridos, abrangendo os processos de gestão, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis, e as habilidades e competências.
02. Gerenciar estratégia: Fornece uma visão holística do negócio e ambiente de TI desejados, o direcionamento futuro, e as iniciativas necessárias à migração para o ambiente projetado. Tem o propósito de alinhar os planos de TI com os objetivos de negócio. Comunicar claramente os objetivos e responsabilidades de cada um, dentro da estratégia de TI, para que eles sejam compreendidos e assimilados por todos envolvidos.
03. Gerenciar arquitetura corporativa: Estabelecer uma arquitetura comum que consiste em processos de negócios, informações, dados, aplicação e camadas da arquitetura de TI, realizando de forma eficiente e eficaz as estratégias de TI por meio da criação de modelos e práticas. Definir os requisitos para a taxonomia, normas, diretrizes, procedimentos, modelos e ferramentas, e fornecer uma ligação para esses componentes. Melhorar o alinhamento, aumentar a agilidade e melhorar a qualidade das informações e gerar redução de custos por meio de iniciativas de TI.
04. Gerenciar inovação: Manter uma consciência e serviços de TI relacionados com as tendências de negócio, identificar oportunidades de inovação e planejar como se beneficiar da inovação em relação às necessidades do negócio. Analisar quais as oportunidades de inovação empresarial ou melhorias que possam ser criadas por tecnologias emergentes, serviços ou de inovação de negócios de TI. Influenciar o planejamento estratégico e as decisões de arquitetura de TI da empresa.
05. Gerenciar Portfólio: Executar o investimento da empresa conforme direcionamento estratégico considerando diferentes categorias de investimentos e os recursos e restrições de financiamento. Avaliar, priorizar e balancear programas e serviços, gestão de demanda dentro das restrições de recursos e de financiamento, o equilíbrio com base no seu alinhamento com os objetivos estratégicos da empresa. Monitorar o desempenho do portfólio de serviços e programas em consonância com o programa e desempenhos dos serviços ou alteração de prioridades da empresa.
06. Gerir o orçamento e custos: Administrar as atividades financeiras relacionadas com TI, abrangendo orçamento, custos, gestão de benefícios, e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a empresa. Consultar as partes interessadas para identificar e controlar os custos e benefícios totais no contexto dos planos táticos e estratégicos de TI, iniciando ações corretivas quando necessário.
07. Gerir os recursos humanos: Otimizar as capacidades dos recursos humanos da empresa conforme objetivos estratégicos. Comunicar os papéis e responsabilidades definidas, planos de aprendizagem e crescimento, e as expectativas de desempenho.
08. Gerenciar relacionamentos: Gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum, e compartilhada dos resultados empresariais bem-sucedidos em prol dos objetivos estratégicos e dentro da limitação dos orçamentos e tolerância ao risco.
09. Gerenciar contratos de serviços: Alinhar serviços e níveis de serviço de TI com as necessidades e expectativas da empresa, incluindo identificação, especificação, projeto, publicação, acordo de nível de serviço, e acompanhamento de serviços de
TI, níveis de serviço e indicadores de desempenho. Certificar-se de que os serviços de TI e níveis de serviço atendam às necessidades empresariais atuais e futuras.
10. Gerenciar fornecedores: Gerenciar serviços relacionados à TI prestados por todos os tipos de fornecedores para atender as necessidades da empresa, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores conforme acordo de nível de serviço.
11. Administração de qualidade: Definir e comunicar os requisitos de qualidade em todos os processos, procedimentos e resultados relacionados aos objetivos da empresa, incluindo controles, monitoramento contínuo e uso de práticas comprovadas e padrões na melhoria contínua.
12. Gerenciar risco: Identificar, avaliar e reduzir os riscos relacionados à TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da empresa.
13. Gerenciar a segurança: Definir, operar e monitorar um sistema para gestão de segurança da informação.
2. Construir, Adquirir e Implementar (BAI – Build, Acquire and Implement) O domínio BAI é responsável pela implementação da Gestão de TI e é dividido em 10 processos, descritos abaixo:
01. Gerenciar programas e projetos: Gerenciar todos os programas e projetos do portfólio em alinhamento com a estratégia da empresa.
02. Gerenciar definição de requisitos: Identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estejam em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações / dados, infraestrutura e serviços. Coordenar com as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas.
03. Gerenciar e construir soluções: Estabelecer e manter soluções em conformidade com os requisitos da empresa abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores. Gerenciar configuração, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infra-estrutura e serviços.
04. Gerenciar disponibilidade e capacidade: Equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços com custo reduzido. Avaliar capacidades atuais, e prever necessidades futuras com base em requisitos, análise de impactos e avaliação de risco do negócio para planejar e implementar ações para atender as necessidades.
05. Gerenciar habilitação de mudança organizacional: Maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a empresa, de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas afetadas no negócio e TI.
06. Gerenciar mudanças: Gerenciar todas as mudanças de maneira controlada, incluindo mudanças de padrão e manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura. Inclui procedimentos e padrões de mudança, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação.
07. Gerenciar a mudança na aceitação e transição: Aceitar e aplicar novas soluções operacionais, incluindo planejamento de implementação de sistema, conversão de dados, testes de aceitação, comunicação, preparação de lançamento, promoção para alteração ou produção de novos processos e serviços de TI, e uma revisão pós- implementação.
08. Gerenciar o conhecimento: Manter a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo e facilitar a
tomada de decisão. Plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento.
09. Gerenciar ativos: Gerenciar os ativos de TI por meio de seu ciclo de vida para se certificar de que o valor entregue esteja dentro de um custo reduzido, permanecerá operacional, esteja contabilizado e protegido fisicamente, e que os bens que são fundamentais para apoiar a capacidade de serviço sejam confiáveis e disponíveis. Gerenciar licenças de software para garantir que o número ideal seja adquirido, mantido e implementado em relação ao negócio, e que o software instalado esteja em conformidade com os acordos de licença.
10. Gerenciar configuração: Definir e manter as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços habilitados por TI, incluindo a coleta de informações de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração.
3. Entregar, Serviço e Suporte (DSS - Deliver, Service and Support)
O domínio DSS é responsável pela execução da Gestão de TI e é dividido em 06 processos, descritos abaixo:
01. Gerenciar operações: Coordenar e executar as atividades e procedimentos operacionais necessários para a entrega de serviços internos e terceirizados de TI.
02. Gerenciar solicitações de serviços e incidentes: Fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Restaurar o serviço normal; registrar e atender às solicitações dos usuários e registrar, investigar, diagnosticar, escalar e solucionar incidentes.
03. Gerenciar problemas: Identificar e classificar os problemas e suas causas raízes e fornecer resolução atempada para prevenir incidentes recorrentes. Fornecer recomendações de melhorias.
04. Gerenciar continuidade: Estabelecer e manter um plano para permitir ao negócio e à TI responder a incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI necessários e manter a disponibilidade de informações em um nível aceitável para a empresa.
05. Gerenciar Serviços de Segurança: Proteger informações da empresa para manter nível de risco aceitável para a segurança da informação, de acordo com a política de segurança da empresa. Estabelecer e manter as funções de segurança da informação e privilégios de acesso e realizar o monitoramento de segurança.
06. Gerenciar controles de processos de negócios: Definir e manter controles apropriados dos processos de negócio para assegurar que as informações relacionadas e processadas atendam a todos os requisitos de controle relevantes das informações. Identificar os requisitos de controle de informações relevantes e gerenciar e operar os controles adequados para garantir que o processamento das informações satisfaçam esses requisitos.
4. Monitorar, analisar e avaliar (MEA - Monitor, Evaluate and Assess)
O domínio MEA é responsável pelo monitoramento da Gestão de TI e é dividido em 03 processos, descritos abaixo:
01. Monitor, analisar e avaliar o desempenho e conformidade: Recolher, validar e avaliar negócios, TI e os objetivos e métricas do processo. Monitorar processos verificando se estão sendo executados conforme métricas acordadas e fornecer informação de forma sistemática e em tempo hábil.
02. Monitor, analisar e avaliar o sistema de controle interno: Monitorar e avaliar continuamente o ambiente de controle, incluindo a auto-avaliações e revisões independentes de garantia. Permitir o gerenciamento para identificar deficiências e ineficiências de controle e iniciar ações de melhoria. Planejar, organizar e manter os padrões de avaliação de controles internos e atividades de garantia.
03. Monitorar e avaliar o cumprimento das exigências externas: Avaliar se os processos de TI estão em conformidade com as leis, regulamentos e exigências
contratuais. Obter a garantia de que os requisitos foram identificados e respeitados, e integrá-lo a conformidade de TI com a conformidade integral da empresa.
2.1.4.3 Governança de TI: Domínio EDM
ISACA (2012) afirma que o domínio EDM está em consonância com os conceitos do padrão da ABNT NBR ISO/IEC 38500:2009 e é dividido em cinco processos:
1. EDM01: Garantir Configuração e Manutenção do Framework de Governança: O processo é responsável por analisar a articular os requisitos para a Governança Corporativa de TI e implantar e permitir a manutenção eficaz de estruturas, princípios, processos e práticas, com transparência e responsabilidades para alcançar a missão, metas e objetivos da organização.
O processo ainda tem como propósito prover uma abordagem da Governança de TI consistente, coerente e alinhada com a Governança Corporativa. Para garantir que as decisões de TI estejam em consonância com as estratégias e objetivos da organização, os processos de TI devem ser supervisionados de forma eficaz e transparente, em conformidade legal e regulatória, além de cumprir os requerimentos de Governança propostos pelo Conselho de Administração.
O processo apoia a realização de objetivos primários relacionados à TI como o alinhamento de TI com a estratégia de negócios da organização, o comprometimento da gestão executiva da organização para a tomada de decisão relacionada diretamente à TI e a entrega de serviços de TI conforme os requisitos de negócio da organização. Por meio deste direcionamento de objetivos relacionados à TI, o processo tem como referência alcançar três metas principais:
a. Ter um modelo de tomada de decisão estratégica eficaz, alinhado com as expectativas das partes interessadas e com o ambiente interno e externo da organização;
b. Incorporar o sistema de Governança de TI à Governança Corporativa;
c. Garantir que o sistema de Governança de TI seja operado de maneira eficaz na organização.
Para alcançar as metas propostas, o COBIT 5 sugere na matriz de responsabilidades, descrita na tabela RACI (Responsible, Accountable, Consulted and Informed), a atuação do
Conselho de Administração da empresa como prestador de contas (Accountable1) do processo junto aos acionistas. Como responsáveis (Responsible) pelo processo, são destacados os perfis do CIO, assim como os executivos de negócio e o comitê executivo estratégico da organização. Dentre as várias sugestões de consultados (Consulted), podem-se citar os Auditores e o responsável pela Gestão de Risco da empresa. Finalizando as responsabilidades, como informados (Informed), destacam-se o Gestor de Pessoas e o Gestor de Projetos da organização. Como orientação relacionada ao processo, o COBIT 5 relaciona padrões como o COSO (Committee of Sponsoring Organizations of the Treadway Commission – Comitê de Organizações Patrocinadoras da Comissão Treadway), o padrão da ABNT NBR ISO/IEC 38500:2009, os princípios de Governança Corporativa da OCDE, além do código de Governança Corporativa KING III.
2. EDM02: Garantir Entrega de Benefícios
O segundo processo do domínio otimiza a contribuição de valor ao negócio a partir dos processos de negócios, serviços de TI e ativos de TI resultantes de investimentos, com custos aceitáveis, realizados pela TI.
O processo tem como propósito proteger o valor ideal de inciativas, serviços e ativos de TI, custo, eficiência de entregas de serviços e soluções de TI, e um retrato confiável e preciso dos custos e benefícios projetados para que as necessidades de negócio sejam apoiadas de forma eficiente e eficaz.
O processo apoia a realização de cinco objetivos primários relacionados à TI como a Estratégia de alinhamento entre TI e negócio; Realização de benefícios por meio de investimentos e serviços de TI; Transparência nos custos, riscos e benefícios do uso de TI; Entrega de serviços de TI em conformidade com os requisitos de negócio e Conhecimento,
expertise e iniciativas para inovação de negócios. As principais metas relacionadas ao processo
são:
a. Garantia de valor ideal por meio de portfólio de iniciativas, serviços e ativos de TI aprovado pela organização;
b. Derivação do valor ideal do investimento de TI por meio de práticas de gestão na organização;
1 Accountable é um termo da língua inglesa, sem tradução exata para o português, que significa Responsável. O termo é utilizado na Governança Corporativa para desempenhar a função de prestação de contas. Prestar contas é supor responsabilidade para decisões, incluindo a obrigação de informar, explicar e responder pelos resultados.
c. Investimentos individuais contribuindo para atingir o valor ideal nos serviços de TI (satisfação e percepção de valor das partes interessadas com relação às