O que é COBIT? Compreenda os principais conceitos do framework

Tempo de leitura: menos de 1 minuto

Afinal de contas, o que é COBIT?

O COBIT® 5 é a mais recente versão do framework de boas práticas de governança e gerenciamento empresarial de TI, que incorpora muitos conceitos e teorias amplamente aceitos.

Neste artigo vamos explorar os princípios fundamentais do framework, servindo como uma referência para a aplicação do COBIT® 5 em sua organização.

 

A Governança Corporativa de TI

Informação (no sentido mais abrangente da palavra) e tecnologias relacionadas estão se tornando fatores cruciais na sustentabilidade, crescimento e gerenciamento do valor e risco na maioria das empresas.

Como resultado, a TI deixou de atuar simplesmente no papel de suporte e passou a assumir uma posição central dentro das empresas.

O papel realçado da TI na criação de valor e gerenciamento de risco corporativo veio acompanhado por uma crescente ênfase na Governança e Gerenciamento Corporativo de TI. Os stakeholders anseiam por assegurar que a TI cumpra as metas empresariais.

A Governança e Gerenciamento Corporativo de TI é parte integral de toda a governança corporativa. Ela endereça a definição e implementação de processos, estruturas e mecanismos relacionais dentro da empresa, que permitem ao pessoal de negócio e da TI executarem suas responsabilidades para suportar a criação e sustentabilidade do valor ao negócio.

A Governança e Gerenciamento Empresarial de TI é complexa e multifacetada. Membros do comitê de governança e a alta direção normalmente precisam de assistência para implementá-la. Através dos anos, frameworks de boas práticas foram desenvolvidos e promovidos para auxiliar este processo.

O COBIT5

Cobit 5Lançado em 2012, o COBIT® 5 foi construído e integrado com base em 20 anos de desenvolvimento neste campo de atuação. Desde o seus primórdios, centrado na comunidade de auditoria de TI, o COBIT se tornou um framework de Governança e Gerenciamento de TI mais abrangente, compreensivo e aceito.

O COBIT® 5 foi adicionalmente complementado com os frameworks Val IT® e Risk IT®. Antes do COBIT® 5, o Val IT® endereçava processos de negócio e responsabilidades na criação de valor empresarial e o Risk IT® fornecia uma visão de negócio holística sobre o gerenciamento de riscos. Agora, ambos estão incorporados ao COBIT® 5.

O que é COBITO framework COBIT® 5 é construído em torno de cinco princípios fundamentais:

 

  1. Satisfazer necessidades das partes interessadas;
  2. Cobrir a organização de ponta a ponta;
  3. Aplicar um framework integrado e único;
  4. Possibilitar uma visão holística;
  5. Separar Governança do Gerenciamento.

 

Princípio 1 – Satisfazer necessidades das partes interessadas

O primeiro princípio implica que o COBIT® 5 fornece todos os processos e habilitadores necessários para suportar a criação de valor através do uso da TI (pode-se interpretar criação de valor como geração de benefícios).

Este princípio está intimamente alinhado com o conceito de longa data chamado alinhamento estratégico. A convicção de que um componente núcleo da governança de TI é atingir o alinhamento estratégico entre TI e o resto da organização é um elemento crítico do COBIT. Entretanto, sabemos que há um contínuo desafio para as organizações em descobrir como atingir o tal alinhamento.

Para auxiliar as organizações a alavancar o alinhamento estratégico, os desenvolvedores do COBIT realizaram uma pesquisa para fornecer orientações na compreensão de como as metas empresariais direcionam metas de TI relacionadas e vice-versa.

Esta pesquisa foi baseada em entrevistas detalhadas e avaliações especializadas em diferentes setores. Então, uma lista genérica de metas empresariais, metas de TI relacionadas e seus inter-relacionamentos foi estabelecida. Você pode consultar esta tabela no framework COBIT® 5, que é gratuito e pode ser obtido no site da ISACA, mediante cadastro.

Este cascateamento constitui o ponto de entrada principal do COBIT® 5. Ele sugere que as organizações devam começar analisando o alinhamento estratégico/TI através da definição e correlação de metas empresariais e metas de TI.

Visão Geral da cascata de Objetivos do COBIT 5
Visão Geral da cascata de Objetivos do COBIT 5

O COBIT® 5 utiliza o termo “metas empresariais” para sinalizar explicitamente que o framework inclui empresas orientadas (ou não) a lucro e governamentais. Adicionalmente, o COBIT® 5 fala sobre metas de TI.

No COBIT® 5, a importância das metas de TI caminham para o foco principal nos seus habilitadores, como processos de gerenciamento e governança.

 

O uso do Balance Scorecard (BSC) como facilitador de medição

Para verificar se as necessidades das partes interessadas (stakeholders) estão sendo atendidas, deve ser estabelecido um processo de medição sólido.

Os métodos de desempenho atuais, como o Retorno sobre o Investimento (ROI), capturam os benefícios dos projetos e sistemas de TI, mas refletem somente uma parte limitada (tangível) do valor que pode ser entregue pela TI.

BSC-Overview-1Para facilitar um processo mais abrangente de medição, o desenvolvimento do COBIT® 5 incorporou conceitos do balanced scorecard. Em um dos apêndices do COBIT® 5 as metas empresariais e metas de TI associadas estão agrupadas sob as perspectivas do balanced scorecard. O COBIT® 5 também fornece exemplos de métricas para medir cada uma destas metas e construir um scorecard para as atividades relacionadas à TI.

Além disso, o COBIT® 5 fornece medições de resultado no nível dos 37 processos detalhados do framework. Logicamente, estas metas e métricas de processos não podem ser simplesmente comunicadas às partes interessadas, pois estes seriam sobrecarregados de informação.

 

Preferencialmente, as metas e métricas de processos devem ser consolidadas e agregadas de uma forma que facilite o balanced scorecard utilizável e compreensível para todo o ambiente de TI. Desta maneira, o balanced scorecard permite que a organização determine se as necessidades das partes interessadas estão sendo atendidas.

 

Princípio 2 – Cobrir a organização de ponta a ponta

Este princípio considera que o COBIT® 5 cobre todas as funções e processo de uma organização. O COBIT® 5 não foca somente na função de TI, mas trata a informação e tecnologias relacionadas como ativos que precisam ser tratados como qualquer outro ativo da organização.

Desta forma, os gerentes de negócio deveriam se responsabilizar por gerenciar os seus ativos relacionados a TI assim como o fazem para outros ativos, como plantas físicas, recursos financeiros e humanos, dentro de suas próprias unidades organizacionais e funcionais.

O negócio deve assumir a responsabilidade, e prestar contas, governando o uso da TI na criação de valor a partir dos investimentos em TI como alavanca para o negócio.

O foco em cobrir a organização de ponta a ponta implica em uma mudança crucial na filosofia dos gestores de TI e de negócio. Ele compreende uma mudança do gerenciamento de TI como um custo para o gerenciamento de TI como um ativo. Esta mudança é um elemento essencial na criação de valor ao negócio.

Se os gestores não assumirem a responsabilidade pela TI, a empresa inevitavelmente irá jogar o orçamento de TI em múltiplas iniciativas sem uma visão clara do impacto destas iniciativas na capacidade da organização. Desta forma, a TI deixa de se tornar um ativo estratégico.

O COBIT® 5 cobre as responsabilidades de TI e de negócios relacionados a TI. Como demonstração, o COBIT® 5 fornece matrizes de responsabilidades (RACI) para seus processos, dos quais papeis de TI e negócio estão incluídos.

RACI Cobit

 

Princípio 3 – Aplicar um framework integrado e único

Este princípio descreve o alinhamento em alto nível do COBIT® 5 com outros padrões e frameworks relevantes, servindo como um framework abrangente para a Governança Empresarial de TI.

A ISACA realizou um grande esforço durante os anos para alinhar o COBIT com outros frameworks, como COSO, ITIL, PMBOK, TOGAF, PRINCE2, etc. Muitos processos do COBIT® 5 são inspirados pelas orientações destes frameworks. Por outro lado, seus processos e práticas também são relacionados e alinhados com um ou mais frameworks desta área.

Para trabalhar efetivamente com o COBIT® 5 e outros frameworks, a publicação COBIT® 5: Enabling Processes inclui um mapeamento de alto nível de cada um dos processos do COBIT® 5.

Considerando que o COBIT® 5 também integra os frameworks Risk IT e o Val IT, torna-se uma referência única que inclui em seus escopos, tanto orientações anteriores da ISACA, quanto orientações de outros padrões e frameworks desta área de atuação.

Nesta abordagem ampla, o COBIT® 5 identifica um conjunto de habilitadores da governança e do gerenciamento que inclui 37 processos.

processoscobit

 

Na camada de governança, há cinco processos agrupados no domínio: “avaliar, direcionar e monitorar (Evaluate, Direct and Monitor – EDM)”. Estes processos ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor.

Este domínio cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização (ex. critérios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex. otimização de recursos), além da transparência da TI para as partes interessadas (stakeholders).

A camada de gerenciamento é definida por quatro domínios: alinhar, planejar e organizar (Align, Plan and Organize – APO); construir, adquirir e implementar (Build, Acquire and Implement – BAI); entregar, servir e suportar (Deliver, Service and Support – DSS); e monitorar, analisar e avaliar (Monitor, Evaluate and Assess – MEA).

O domínio APO (Alinhar, Planejar e Organizar) diz respeito à identificação de como a TI pode contribuir melhor com os objetivos de negócio. Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura empresarial, inovação e gerenciamento de portfólio.

Outros processos importantes endereçam o gerenciamento de orçamentos e custos, recursos humanos, relacionamentos, acordos de serviços, fornecedores, qualidade, risco, e segurança.

O domínio BAI (Construir, Adquirir e Implementar) torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este domínio também endereça o gerenciamento da capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.

O domínio DSS (Entregar, Servir e Suportar) se refere a entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos. O domínio inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, segurança e controle de processos de negócio.

 

Princípio 4 – Possibilitar uma visão holística

O quatro princípio explica que a implementação eficaz e eficiente da Governança Empresarial de TI requer uma visão holística, levando em consideração vários componentes interativos – como processos, estruturas e pessoas.

Este desafio de implementação está relacionado ao que é descrito em literaturas de gerenciamento estratégico como uma necessidade para um sistema organizacional, como a forma que uma empresa coloca as pessoas para trabalharem juntas a favor do negócio.

Um sistema organizacional requer a definição e aplicação, de uma maneira holística, de estruturas e processos, assim como aos aspectos ambientais e culturais (pessoas, cultura, valores, etc.). Ao aplicar a teoria do gerenciamento estratégico na Governança Empresarial de TI, as organizações estão desenvolvendo e usando uma mistura holística de estruturas, processos e mecanismos relacionados.

As estruturas da Governança Empresarial de TI incluem unidades organizacionais, e papeis e responsabilidades para tomada de decisões relacionadas a TI e para possibilitar contatos entre funções de negócio e TI responsáveis por tomada de decisão. Isso pode ser visto como um blueprint para como o framework de governança deve ser organizado estruturalmente.

Os processos de Governança Empresarial de TI referem-se à formalização e institucionalização de procedimentos para tomada de decisão em TI e monitoração da TI para assegurar que o comportamento diário seja consistente com as políticas e forneça entradas para os tomadores de decisão (ex.: BSC).

O COBIT® 5 foi construído sobre estes pensamentos. Uma mudança chave no COBIT® 5 é o conceito dos habilitadores. “Habilitadores” são definidos como fatores que individualmente e coletivamente influenciam a forma de como algo irá funcionar – neste caso, a governança e o gerenciamento sobre a TI.

O COBIT® 5 descreve sete categorias de habilitadores, dos quais os processos, as estruturas organizacionais e a conduta, ética e comportamento estão intimamente relacionados ao conceito de sistemas organizacionais.

O COBIT® 5 complementa, então, estes pensamentos orientados a sistema organizacionais com outras importantes habilidades, que incluem: princípios, políticas e frameworks, informação, serviços, infraestrutura e aplicações, pessoas, habilidades e competências.

 

Princípio 5 – Separar Governança do Gerenciamento

Este último princípio consiste na distinção entre a governança e o gerenciamento. Como discutido anteriormente, esta distinção alinha-se a norma ISO/IEC38500. No COBIT® 5 é declarado pela primeira vez que os processos de governança de TI e de gerenciamento de TI referem-se a diferentes tipos de atividades.

Os processos de governança são organizados conforme o modelo EDM, proposto na ISO/IEC38500. Os processos de gerenciamento de TI asseguram que os objetivos da empresa sejam atingidos por meio da avaliação das necessidades das partes interessadas, definindo a direção através da priorização e tomada de decisão, e monitorando o desempenho, a conformidade e o progresso com relação aos planos.

Nas empresas, a governança de TI pode ser de responsabilidade do corpo de diretores ou algo equivalente. Baseado nestas atividades de governança, o gerenciamento de TI e negócio planeja, constrói, executa e monitora atividades alinhadas com a direção definida pelo corpo de governança para atingir os objetivos propostos.

 

25 Comentários


  1. Obrigado por compartilhar estes conceitos!

    Melhor do que entender o framework, é saber como sua função agrega valor ao negócio através da integração com os demais existentes 😀

    Responder

  2. Mais um vez parabéns Renê pelo ótimo conteúdo. Aproveitando o assunto, para alguém que está querendo migrar da área de analista de TIC para gestão de TIC, quais certificações e/ou conhecimentos a serem adquiridos você aconselha ou acredita serem essenciais para um gestor de TIC ?

    Abração e Sucesso!

    Responder

    1. Olá Ricardo, tudo bem?

      Teremos sim! Está em processo de produção. Ainda não tenho uma data prevista. Mas mantenho vcs informados. Abração!

      Responder

  3. Prezado, estou com dificuldade para entender com é evolução de níveis proposta para o COBIT. Pergunto então. Ao avaliar um processo no nível 1.1 com nota igual N, digamos, 10% do atributo, posso considerar que esse processo já esta evoluído para nível 1.1 ou ainda está no zero?

    Responder

  4. Renê, fiquei com uma dúvida: Conforme informado no seu texo com os frameworks Risk IT e Val IT foram integrados ao cobit 5. Esta integração ao Cobit 5, substitui esses 2 frameworks? Ou seja, se desejo implementar o Risk IT em uma companhia devo utilizar somente o cobit 5, ou os 3 frameworks?

    Responder

  5. Bom dia Renê, ótimo material.
    Gostaria de fazer uma pergunta relacionada ao tema.
    Você conhece algum software que faça o controle das atividades relacionadas a estes pilares do Cobit ou Itil ? Como o pessoal controla isso na prática ?

    Responder

    1. Olá Michel, tudo bem? Obrigado pelo comentário.

      Não creio que exista uma ferramenta única capaz de controlar tantas atividades, embora a maioria destas possam ser facilmente controladas com uma ferramenta ITSM que tenha funcionalidades específicas para ger de incidentes, requisições, problemas, etc. Algumas atividades são menos operacionais, então até mesmo um excel resolve.

      O grande desafio ai, na minha opinião, não está em encontrar uma ferramenta ideal, mas sim em:

      1 – Delimitar quais são as atividades importantes (e que devem ser controladas). Seguir a risca todas as boas práticas não é uma boa prática (rs)
      2 – A cultura de reconhecer a importância das atividades e dos controles, e claro, a atividade de controle em si.

      Grande abraço!

      Responder

  6. Estou produzindo um trabalho acadêmico e gostaria de saber, qual o ano desta publicação?

    Responder

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *