Por que conhecer o COBIT 5

Transcrição

1 10Minutos Tecnologia da Informação Saiba quais são as novidades da versão 5 do COBIT Por que conhecer o COBIT 5 Destaques A utilização do COBIT 5 como guia de melhores práticas permite alinhar de modo mais adequado a tecnologia da informação com os objetivos da organização. O COBIT 5 busca a excelência operacional por meio de controles aplicados diretamente aos principais processos da organização. É o único framework de negócios para a gestão e a governança de TI de uma organização. Um dos mais completos frameworks voltados para governança de tecnologia da informação (TI) chega à sua quinta edição. Mantido pela ISACA (Information Systems Audit and Control Association), uma organização independente e sem fins lucrativos, o COBIT 5 proporciona uma visão de negócios de ponta a ponta e reflete o papel central da informação e da tecnologia na criação de valor para as corporações. Nessa nova versão, os principais benefícios são o melhor alinhamento da TI com os objetivos da organização e a maior transparência em relação ao custo e o retorno obtidos com os serviços prestados pela área de TI. Abril 2014 Outra vantagem importante é definir claramente as responsabilidades nos processos de TI. O COBIT 5 se destina a empresas de todos os tamanhos, do setor público ou privado, e está aberto à customização. É um instrumento para viabilizar a gestão dos riscos associados à TI e determinar como direcioná-la de acordo com as prioridades de negócio. A versão 5 incorpora as últimas novidades sobre as técnicas de gestão e governança de TI e fornece princípios, modelos, práticas e mecanismos globalmente aceitos. O objetivo é agregar valor ao negócio através da TI e aumentar a confiança dos stakeholders no retorno sobre seus investimentos. Atingir a excelência operacional, alcançar objetivos estratégicos e obter vantagens comerciais são alguns dos principais benefícios trazidos pelo COBIT 5. 1

2 Instantâneo Principais mudanças Adaptabilidade Domínios e processos Modelo de maturidade Integração Governança Tabela RACI (Responsible, Accountable, Consulted and Informed) O framework do COBIT deixa de ser estático, podendo ser moldado conforme as necessidades e a realidade de cada organização. Na versão 4.1 existiam 4 domínios e 34 processos. Na versão 5, são 5 domínios e 37 processos. O modelo de maturidade de processo do COBIT 4.1 foi alterado para avaliação de capacidade (Capability Assessment), com base na ISO/IEC O COBIT 5 permite integrar o COBIT 4.1 com outros conjuntos de boas práticas e metodologias, como padrões ISO, ITIL, Val IT, Risk IT, entre outros. O COBIT 5 faz uma clara distinção entre governança e gestão. Governança é definida como um nível estratégico e gestão, como um nível executivo. Essas duas camadas possuem foco, estrutura organizacional e atividades distintas, porém com total interação A tabela RACI do COBIT 5 está mais abrangente, contemplando uma lista maior de agentes de governança. Isso possibilita definir melhor as responsabilidades e os papéis de cada um dos envolvidos na concepção e na realização das atividades. 2

3 Alinhamento e benefícios O COBIT 5 é orientado a um conjunto de processos e não apenas a um processo de negócio ou departamento específico. O framework foca no resultado final gerado pela TI e tem como propósito fornecer aos executivos e gestores um modelo de governança que auxilie na entrega de valor de TI, por meio do entendimento e do gerenciamento dos riscos associados. O COBIT 5 define que a governança e o gerenciamento de tecnologia da informação devem cobrir toda a organização com os seguintes objetivos: Integração: a proposta principal dessa nova versão é integrar a governança de TI com a governança corporativa. Informação: o COBIT 5 trata a informação como ativo necessário para toda a organização, não foca apenas nas funções de TI. Customização: apesar de possuir um alcance capaz de cobrir todas as funções e os processos da organização, o COBIT 5 pode ser adotado apenas para processos específicos. O COBIT 5 pode trazer diversos benefícios, entre eles: Informações de alta qualidade para apoiar decisões de negócios. Excelência operacional por meio da aplicação confiável e eficiente da tecnologia. Riscos relacionados à tecnologia da informação em um nível aceitável, considerando a tolerância e o apetite ao risco de cada organização. Otimização dos recursos de TI. Suporte à conformidade com leis, regulamentos, acordos contratuais e políticas. 3

4 Os cinco princípios do COBIT 5 5. Separar a governança da gestão 4. Permitir uma abordagem holística Fonte: ISACA Atender às necessidades dos stakeholders Os 5 princípios do COBIT 5 3. Implantar um framework único e integrado 2. Compreender toda a empresa Princípio 1: Atender às necessidades dos stakeholders O principal objetivo da governança de TI é atender às necessidades dos diversos stakeholders de uma corporação, transformando-as em estratégias corporativas. Princípio 2: Compreender toda a empresa O COBIT 5 define que a governança e o gerenciamento de TI devem abranger toda a organização, com o objetivo de integrar a governança de TI com a governança corporativa, tratar a informação como ativo necessário para toda a empresa e cobrir todas as funções e processos. Princípio 3: Implantar um framework único e integrado O COBIT 5 está alinhado com as mais recentes normas e frameworks utilizados no mercado (COSO, ITIL, ISO 27001, TOGAF, Prince 2, Six Sigma). Princípio 4: Permitir uma abordagem holística Para apoiar a governança e o gerenciamento de TI utilizando uma abordagem que engloba a organização como um todo, incluindo seus componentes e suas inter-relações, o COBIT 5 define sete facilitadores: processos; estrutura organizacional; cultura, ética e comportamento; princípios, políticas e frameworks; informação; serviços, infraestrutura e aplicações; pessoas, habilidades e competências. Individual ou coletivamente, esses facilitadores influenciam o funcionamento da governança e da gestão de TI. Princípio 5: Separar a governança da gestão O COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas áreas englobam vários tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diversos. 4

5 Distinção entre governança e gestão de TI Principais áreas de atuação da governança e da gestão do COBIT Um dos princípios fundamentais da nova versão do COBIT é a distinção entre governança e gestão de TI e as áreas de atuação de cada camada. Governança Necessidades de negócio Avaliar Governança de TI compreende todas as práticas relacionadas a avaliar, direcionar e monitorar os processos e atividades de TI. Nessa camada, são discutidos e aprovados os direitos de decisão, as políticas e normas de alinhamento estratégico, a implementação de processos e os mecanismos de controle que direcionarão a gestão da TI. Dirigir Feedback da Administração Monitorar Gestão de TI é a camada de execução da TI. Compreende todas as práticas relacionadas a planejar, desenvolver, executar e monitorar os processos e atividades de TI, sempre em constante alinhamento com o direcionamento estratégico fornecido pela governança de TI. Isso garante que os serviços de TI sejam entregues conforme combinado, dentro do escopo esperado e do custo e da qualidade acordados. Gestão Planejar (APO) Contruir (BAI) Executar (DSS) Monitorar (MEA) Fonte: ISACA - 5

6 Ciclo de vida da implementação do COBIT 5 Existem três componentes inter-relacionados nas sete fases do ciclo de vida: melhoria contínua (núcleo), habilitação de mudança (2º anel) e gerenciamento do programa (3º anel). Fonte: ISACA Operar e medir Monitorar e avaliar Implementar as melhorias Construir as melhorias Reconhecer a necessidade de agir Avaliar o estado atual Definir o estado pretendido O ciclo de vida da implementação proposto pelo ISACA é uma forma de as organizações usarem o COBIT 5 para lidar com a complexidade e os desafios normalmente encontrados durante as implementações. Fase 1 Quais são os direcionadores? Reconhecer a necessidade de agir, estabelecer o desejo de mudança e iniciar o programa. Nesta etapa, define-se o Plano Estratégico de Tecnologia da Informação. Fase 2 Onde estamos agora? Avaliar o estado atual dos processos, mobilizar a equipe de implementação e definir os problemas e as oportunidades. Esta etapa tem como propósito definir o escopo da iniciativa de implementação ou melhoria, utilizando o mapeamento dos objetivos de negócio com os de TI. Fase 3 Onde queremos estar? Definir o estado desejado, comunicar o resultado e definir o roteiro de implementação (roadmap). Deve-se dar prioridade às iniciativas mais fáceis de realizar e que trazem mais benefícios. Fase 4 O que precisa ser feito? Construir as melhorias, identificar os envolvidos e planejar a implementação. Focar em soluções práticas por meio da definição de projetos apoiados por casos de negócios justificáveis. Fase 5 Como vamos chegar lá? Implementar as melhorias, executando o plano de implementação definido na fase anterior, operar e usar. As métricas podem ser definidas, e o monitoramento, estabelecido para garantir o alinhamento com as estratégias de negócio. Fase 6 Chegamos lá? Operar e medir, incorporar novas abordagens e obter benefícios. Esta etapa incide sobre a operação sustentável dos processos novos ou melhorados e o monitoramento da eficácia e dos benefícios esperados. Fase 7 Como mantemos o ritmo? Monitorar e avaliar, sustentar e revisar a eficácia. Nesta etapa, realiza-se o acompanhamento e a análise contínuos. 6

7 Principais diferenças em relação ao COBIT 4.1 A nova versão do framework traz cinco alterações importantes: 1. Mudança de abordagem: foco em princípios e facilitadores A versão 4.1 do COBIT estava focada nos objetivos de controle. A versão 5 propõe uma abordagem de gestão e governança baseada em princípios, que, por sua vez, é viabilizada pelos facilitadores. Os princípios do COBIT 5 são de fácil compreensão e permitem a entrega de valor de forma mais eficaz. 2. Novo domínio de Governance of Enterprise IT (GEIT) Um dos domínios do COBIT 5 é completamente novo. Avaliar, Direcionar e Monitorar promove uma distinção clara entre governança e gestão de TI, trazendo cinco novos processos, todos relacionados exclusivamente à governança. 3. Mudanças em domínios existentes Quatro domínios sofreram mudanças com relação à versão anterior e estão definidos como domínios de gestão. COBIT 4.1 Plan and Organize COBIT 5 Align, Plan and Organize (Planejar e Organizar) (Alinhar, Planejar e Organizar) 10 processos 13 processos Acquire and Implement Build, Acquire and Implement (Adquirir e Implementar) (Construir, Adquirir e Implementar) 7 processos 10 processos Deliver and Support Deliver, Service and Support (Entrega e Suporte) (Entrega, Serviço e Suporte) 13 processos 6 processos Monitor and Evaluate Monitor, Evaluate and Assess (Monitorar e Avaliar) (Monitorar, Avaliar e Analisar) 4 processos 3 processos 4. Descontinuação do Capability Maturity Model (CMM) O modelo de maturidade de processos que conhecíamos no COBIT 4.1 foi alterado para avaliação de capacidade (Capability Assessment), baseado na ISO/IEC Essa mudança trouxe vários benefícios, como a confirmação de que um processo está prestes a atingir sua finalidade, sendo possível entregar seus resultados como esperado; menor divergência de entendimento dos stakeholders sobre os resultados obtidos nas avaliações de capacidade dos processos; e maior aproveitamento dos resultados das avaliações de capacidade. 5. Mudança nas responsabilidades da tabela RACI A matriz RACI é uma ferramenta utilizada para atribuição de responsabilidades dentro de um determinado processo. No COBIT 5, a matriz RACI oferece uma gama mais completa, detalhada e clara dos papéis para cada prática de gerenciamento. Isso permite definir melhor papéis e responsabilidades e/ou níveis de envolvimento na concepção e na implementação de processos. 7

8 Para obter mais informações, entre em contato com: Edgar D Andrea Sócio líder da Prática de IT GRC no Brasil Tel: edgar.dandrea@br.pwc.com Rodrigo Milo Diretor da Prática de IT GRC Tel: rodrigo.milo@br.pwc.com Viviane Oliveira Diretora da Prática de IT GRC Tel: viviane.oliveira@br.pwc.com Eliane Kihara Sócia da Prática de IT GRC no Brasil Tel: eliane.kihara@br.pwc.com Luciano Lourenço Gerente Sênior da Prática de Auditoria Interna Tel: luciano.lourenco@br.pwc.com Rejane Ribeiro Gerente da Prática de IT GRC Tel: rejane.ribeiro@br.pwc.com Compartilhe conosco o que você acha da série 10Minutos e quais temas gostaria de conhecer melhor. Acesse: Siga-nos Twitter@PwCBrasil facebook.com/pwcbrasil 2014 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, PwC refere-se à PricewaterhouseCoopers Brasil Ltda, a qual é uma firma membro do network da PricewaterhouseCoopers, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente. O termo PwC refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma. 8