COBIT Focus Volume 2 2014 Nlt Por 0414

7/21/2019 COBIT Focus Volume 2 2014 Nlt Por 0414

http://slidepdf.com/reader/full/cobit-focus-volume-2-2014-nlt-por-0414 1/17

Volume 2, Abril de 2014

Nesta edição:

Solicitação de artigos

Como você está utilizando oCOBIT ® em sua empresa?

Envie artigos sobre sua

experiência com esta estrutura.Prazo para enviar textos para

o volume 3, 2014:10 de junho de 2014

Envie artigos pararevisão por pares para:[email protected]

Estudos de caso

Visite as páginasReconhecimento do COBIT eEstudos de caso para ler maisestudos de caso do COBIT 5 e

COBIT 4.1.

DuPont estimula aprimoramento contínuo com o Modelo de avaliação de processos COBIT 5

Navegue no COBIT 5 no novo COBIT Online

A implementação do processo COBIT 5 é um "wicked problem"?

Planos para o futuro: Estratégia de crescimento do COBIT 5

Planejamento estratégico utilizando COBIT 5

DuPont estimula aprimoramento contínuo como Modelo de avaliação de processos COBIT 5Por James F. Aliquo Jr., CISA, CRISC, e Zhiwei Fu, Ph.D., CISA, CRISC,CGEIT, CFE, PMP

Ao longo do tempo, empresas aumentaram cada vez mais a aplicação de TI parasatisfazer as necessidades em constante mudança nos negócios e requisitos regulatórios.Um programa de aprimoramento sistemático e contínuo agora é mais do que nunca

necessário para ajudar as empresas a avaliar as capacidades de gestão de TI, identificaros pontos fortes, pontos fracos e fatores de risco com relação aos requisitos de negócioe implementar mudanças em processos para aperfeiçoar os serviços e operaçõesnecessários para satisfazer as necessidades stakeholders e corporativas. Em essência, oaprimoramento contínuo ajuda uma organização a se concentrar em “fazer as coisascertas” e a aperfeiçoar continuamente sua efetividade e eficiência.

Para satisfazer com sucesso essa necessidade, a DuPont reconheceu que deve aproveitarum modelo robusto e confiável de avaliação de processos para impulsionar seu programade aprimoramento contínuo. O Modelo de avaliação de processos (PAM) do COBIT ® 51 sebaseia em evidências e permite uma avaliação confiável, consistente e repetível na áreade governança e gestão corporativas de TI (GEIT) para oferecer suporte ao

aprimoramento contínuo de processos (o COBIT Assessment Programme2

). Organizaçõesde treinamento certificadas oferecem treinamento em abordagem de avaliação e umacertificação de avaliador, e a certificação de Avaliador COBIT 5 Certificado édisponibilizada pela ISACA®.

A DuPont aplicou com sucesso o COBIT para manter sua conformidade em gestão,governança e auditoria de processos por um período de anos e, portanto, decidiu utilizar oPAM do COBIT® 5. A IBM Global Business Services, uma das melhores prestadoras deserviços de consultoria e possui amplos conhecimentos sobre implementação do COBIT,experiência profunda em gestão e governança de processos de TI corporativos e domíniocompleto dos setores privado e público, que foi solicitada para executar uma avaliaçãoindependente das capacidades de processos para a DuPont.

Histórico da DuPont A E. I. du Pont de Nemours and Company, comumente chamada de DuPont, é umaempresa química americana que faz parte da lista Fortune 500. A visão da DuPont é sera empresa científica mais dinâmica do mundo, criando soluções sustentáveis essenciaispara uma vida melhor, mais segura e mais saudável para as pessoas em todos os lugares.Por mais de 200 anos, a DuPont atendeu mercados tão diversificados quanto agricultura,

mailto:[email protected]

http://www.isaca.org/COBIT/Pages/Recognition.aspx


http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Studies.aspx


http://en.wikipedia.org/wiki/Organization

http://en.wikipedia.org/wiki/Chemical_industry

http://en.wikipedia.org/wiki/Chemical_industry

http://en.wikipedia.org/wiki/Organization






Volume 2, Abril de 2014 Página 2

nutrição, componentes eletrônicos e comunicações, segurança e proteção, habitação e construção, transporte e vestuário. Ao longodos anos, a DuPont progrediu para se tornar uma líder mundial em inovação e ciência orientadas pelo mercado. Ela levou ciência eengenharia de nível internacional ao mercado global por meio de produtos, materiais e serviços inovadores, e lançou milhares denovos produtos e pedidos de patente todos os anos. A organização de serviços de informação e TI da DuPont presta serviços decomunicação e informações integrados globalmente e fornece infraestrutura de informática que permitem que a empresa ofereça

soluções para as necessidades mais urgentes do mundo, e, o mais importante, usa informações e tecnologia para se obter umavantagem competitiva que estimula o crescimento dos negócios para a empresa.

Estabelecimento da avaliação do PAM do COBIT 5O PAM do COBIT 5 é um modelo de avaliação de capacidades do processo com base em ISO/IEC 15504 que incorpora o COBIT 5como o Modelo de referência do processo (PRM) para requisitos básicos e a ISO/IEC 15504 é utilizada como base para a estruturade medida para determinar os níveis de capacidade.

O COBIT 5 reúne os cinco princípios essenciais que permitem que empresas desenvolvam uma estrutura de governança e gestãoeficaz e um conjunto holístico de sete facilitadores que ajudam empresas a otimizar investimentos em informações e tecnologia e autilização para benefício stakeholders. Além disso, o COBIT 5 permite que informações e tecnologias relacionadas sejamadministradas e gerenciadas de uma maneira holística para empresas inteiras, incluindo as áreas de negócios e funcional, de pontaa ponta e considerando os interesses de TI, e de stakeholders internos e externos. Os princípios e facilitadores do COBIT 5 sãogenéricos e úteis para empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou do setor público.

A norma ISO/IEC 15504 identifica a avaliação de processos de gestão como uma atividade que possa ser realizada como parte deuma iniciativa de aprimoramento de processos, e ou como parte de uma abordagem para determinação de capacidades. Afinalidade do aprimoramento de processos é melhorar continuamente a efetividade e a eficiência da gestão da empresa e o objetivoda determinação de capacidades do processo é identificar os pontos fortes, pontos fracos e fatores de risco de processos de gestãoselecionados em relação a um requisito específico por meio de processos usados e seu alinhamento às necessidades de negócios.

Utilizar a norma ISO/IEC 15504, em conjunto com o amplamente aceito modelo do COBIT para GEIT, torna o PAM do COBIT 5 abase para uma abordagem de avaliação robusta, confiável e escalonável. A Figura 1 ilustra a arquitetura de alto nível do PAM doCOBIT 5.

O PAM do COBIT 5 consiste nas dimensões de processo e de capacidade, mais um conjunto de indicadores de desempenho deprocessos específicos para cadaprocesso e utilizados para determinarse um processo está no nível decapacidade 1, e em um conjunto deindicadores de atributos genéricosde capacidade do processo que seaplicam anos níveis de capacidadede 1 a 5. Os indicadores de atributosde capacidade do processo sãogenéricos para cada atributo do

processo e são utilizados como abase para coletar evidências objetivasque permitem determinar asclassificações de capacidade doprocesso. As dimensões de processodo PAM utilizam o PRM do COBIT 5,em que os processos de governançae gestão são definidos em um ciclo devida e classificados em categorias deprocessos com uma arquitetura quedescreve o relacionamento entreos processos. A dimensão decapacidade fornece uma medida da

capacidade de um processo para satisfazer os objetivos de negócio atuais ou projetados para o processo corporativo, expressaem termos de nove atributos de processos agrupados em cinco níveis de capacidade. A Figura 2 ilustra o PAM bidimensional doCOBIT 5 com o PRM como a dimensão do processo e a estrutura de medida da norma ISO/IEC 15504 como a dimensão decapacidade.

Figura 1— Modelo de avaliação de processos do COBIT 5

Fonte: ISACA, Assessor Gu ide : Us i ng COBIT® 5 , EUA, 2013

http://www.isaca.org/COBIT/Pages/default.aspx







O PRM do COBIT 5 subdivide os processos, práticas e atividades relacionados a TI da empresa em duas áreas principais: governança egestão. A governança garante que as necessidades, condições e opções stakeholders sejam avaliadas para determinar que objetivosacordados da empresa sejam alcançados, definindo a direção por meio de priorização e tomada de decisões e monitorando odesempenho e a conformidade em relação aos objetivos corporativos. A gestão garante que as atividades de gestão de Planejamento,Criação, Execução e Monitoramento (PBRM) de TI sejam executadas em alinhamento com a direção, e definida pelo corpo de

governança a fim de alcançar os objetivos corporativos.

Os níveis de capacidade do processo do PAM começam no nível zero (processo incompleto), passam para o nível um (processo

Figura 2— As dimensões de capacidade e processo do PAM

Capability DimensionCapability Dimension

Process Dimension

Process Dimension

PAM Model

Fonte: ISACA, Assessor Gu ide : Us i ng COBIT® 5 , EUA, 2013, Figuras 3, 5 e 6; ISACA, COBIT® Process Assessment Mode l (PAM): Us i ngCOBIT® 5 , EUA, 2013, Figura 2










executado) e depois para o nível dois (processo gerenciado), o que geralmente representa a exibição de instâncias de umprograma ou projeto individual. No nível dois, as práticas básicas de gestão são executadas de uma forma gerenciada (planejada,monitorada e ajustada) para alcançar as finalidades do processo, com produtos de trabalho estabelecidos, controlados e mantidosapropriadamente. Os níveis três de capacidade do processo (processo estabelecido), quatro (processo previsível) e cinco (processootimizado) representam a visão empresarial da capacidade corporativa de um processo, no qual o processo de nível empresarial

padrão é implantado e operado com limites definidos para alcançar os resultados do processo, e aprimorado para atingir osobjetivos de negócios relevantes, atuais e futuros. A avaliação do PAM do COBIT 5 avalia se e quão bem os atributos específicosde cada nível do processo são alcançados, e proporciona um grau de confiança nos resultados da avaliação que indica acapacidade geral dos processos de gestão. É atribuída uma classificação que indica o nível de realização, com base em evidênciasobjetivas e validadas para cada atributo do processo. O nível de capacidade de um processo é determinada com base narealização de atributos específicos do processo de acordo com a norma ISO/IEC 15504, isto é, independentemente dos atributos doprocesso no nível em questão terem sido ampla e totalmente alcançados e dos atributos do processo do nível inferior terem sidocompletamente atingidos.

Planejamento e escopo da avaliação do PAM do COBIT 5O planejamento diligente da avaliação e o escopo apropriado foram cruciais para o sucesso da avaliação do PAM do COBIT 5 na

DuPont. Isso envolveu identificar as tendências de negócios relevantes da DuPont e as necessidades associadas stakeholders paraa avaliação do processo, selecionar os processos que seriam incluídos no escopo da avaliação, identificar quaisquer restriçõesrelevantes, selecionar os participantes da avaliação e a equipe de avaliação, e definir suas respectivas funções eresponsabilidades. A DuPont e a IBM colaboraram com as partes interessadas relevantes e determinaram o escopo da avaliação,os processos de gestão a serem avaliados, as restrições e os participantes da avaliação e o tipo de avaliação a ser executada(classe dois). Com base no escopo e nos requisitos da avaliação, a IBM estabeleceu uma equipe de avaliação do PAM comavaliadores competentes e certificados, independentes das organizações que executam os processos de gestão.

Foi essencial para o planejamento e a definição do escopo da avaliação que a equipe de avaliação tenha identificado e analisadoos requisitos de negócios e regulatórios da DuPont e desenvolvido várias ferramentas de diagnóstico, modelos de avaliação,diretrizes e procedimentos para garantir a padronização e consistência da avaliação em todos os processos avaliados. Diversosmodelos e ferramentas de avaliação foram desenvolvidos e aplicados pela equipe de avaliação que atenderam de forma eficaz às

necessidades de avaliação e stakeholders. A equipe de avaliação gerenciou o plano, o escopo e o cronograma da avaliação pormeio de acompanhamento constante e comunicação contínua com a liderança e as partes interessadas associadas da DuPont.Todos os problemas, status, alterações e atualizações da avaliação foram identificados e comunicados de maneira oportuna àspartes interessadas apropriadas da DuPont para que fossem tomadas as ações adequadas.

Execução da avaliação do PAM do COBIT 5 A avaliação do PAM do COBIT 5 foi realizada com base na classe da avaliação (classe dois) e no escopo da avaliação escolhidospela gerência da DuPont (de acordo com o Assessor Guide: Using COBIT 5

3) com o objetivo de determinar se os processos degestão na DuPont satisfizeram as necessidades de negócios e dos requisitos regulatórios, alcançaram as finalidades dosprocessos, aplicaram as boas práticas, gerenciaram os ciclos de vida dos processos e produziram os produtos de trabalhoapropriados. Diversas técnicas de avaliação foram desenvolvidas e aplicadas na avaliação dos processos, incluindo: Avaliação de diagnóstico e conscientização da gerência; Questionários e listas de verificação da gerência para confirmar os resultados; Técnicas de amostragem para determinar se os resultados do processo ocorreram (ou não); Declarações da gerência corroboradas por clientes e outras fontes; Entrevistas com a equipe para avaliar seu conhecimento, competência, conscientização e comportamentos; Análises de processos, políticas e procedimentos operacionais padrão; Instâncias de processos e dadosde amostra identificados, coletados e analisados; Amostra de processos, procedimentos, reuniões e análises analisadas e avaliadas.

Aproveitando as técnicas de avaliação apropriadas desenvolvidas pela equipe de avaliação da IBM, em conjunto com o suporte daDuPont, a equipe realizou extensas análises e entrevistas de gestão de processos com as partes interessadas internas e externas. A equipe de avaliação confirmou que as evidências e itens coletados de várias fontes foram suficientes e objetivas, além de garantirque os dados como um todo eram consistentes com os requisitos da classe e do escopo da avaliação. A análise aprofundada e avalidação das evidências e dos itens de suporte foram, posteriormente, executadas para avaliar se existiam as práticas de gestãobásica para os processos de gestão, se essas práticas alcançaram a finalidade e os resultados do processo e o desempenho dosprocessos de gestão, o que levaram ao estabelecimento de perfis e recomendações de processos da DuPont para fins deaprimoramento contínuo.




Desenvolvimento e comunicação dos resultados da avaliaçãoOs resultados da avaliação foram analisados e informados em um relatório detalhado da avaliação, que incluiu uma abordagem eanálise gerais da avaliação, uma determinação do nível de capacidade atual, problemas principais (como pontos fracos observadosnas capacidades dos processos e oportunidades de aprimoramento) e recomendações para aprimoramento dos processos. Orelatório detalhado da avaliação foi fornecido ao patrocinador da avaliação da DuPont na conclusão da carga de trabalho daavaliação. Também foram fornecidos um resumo de gestão e um resumo executivo de alto nível na forma de uma apresentaçãopara a equipe de liderança da DuPont. Os perfis de capacidade e o roteiro de aprimoramentos dos processos também foramadequadamente estabelecidos para os processos de gestão avaliados, com os problemas principais analisados, lacunas decapacidade providenciados e metas de níveis fornecidas para os respectivos processos. A Figura 3 ilustra o modelo de roteiro deaprimoramentos SMART (específico, mensurável, acionável, realista e com prazo determinado) para o aprimoramento contínuo.

Implementação do roteiro de aprimoramento contínuoO aprimoramento contínuo das capacidades dos processos de gestão em seu ciclo de vida vai além de simplesmente remediar oumitigar esse problemas ou pontos fracos identificados nos processos. Os esforços de aprimoramento contínuo precisam ficar bem

alinhados aos objetivos de negócios e às tolerâncias a riscos da empresa, e devem ser gerenciados de forma holística em toda aempresa com estratégia, prioridade e recursos apropriados, utilizando os sete facilitadores do COBIT 5. A organização degovernança da DuPont assegurou que as metas de níveis de capacidade dos processos fossem definidas em alinhamento com avisão estratégica e os objetivos de negócios de TI, para o equilíbrio ideal do valor dos negócios, dos níveis de risco e do uso derecursos, e para que a execução da gestão do roteiro de aprimoramento dos processos, com funções e responsabilidadesdefinidas, fosse realizada e administrada continuamente durante todo o ciclo de vida. A Figura 4 ilustra o cenário de aprimoramentocontínuo com os sete facilitadores do COBIT 5.

Figura 3— O roteiro de aprimoramento do modelo

Level 1 Level 2 Level 3 Level 4 Level 5

APO01 Manage the IT Management Framework F L Level 2

APO09 Manage Service Agreements F F L Level 3

A PO11 M an ag e Q ua li ty F F L Level 3

A PO12 M an ag e R is k L Level 2

APO13 Manage Security L Level 2

BAI01 Manage Programs and Projects F F L Level 3

BAI03 Manage Solutions Identification and Build F L Level 2

BAI04 Manage Availability and Capacity F F L Level 3

B AI 06 M an ag e C ha ng es L P Level 2

BAI07 Manage Change Acceptance and Transitioning F L Level 2

B AI 08 M an ag e K no wled ge P Level 2

B AI 09 Ma nag e Ass ets F L Level 2

BAI10 Manage Conf iguration L Level 2

DSS01 Manage Operat ions L Level 2

DSS02 Manage Service Requests and Incidents F F P Level 3

D SS 03 M an ag e Pr ob le ms L Level 2

DSS05 Manage Security Serv ices L Level 3

DSS06 Manage Business Process Controls F P Level 3

MEA01 Monitor, Evaluate and Assess Performance and Conformance F L Level 2

MEA02 Monitor, Evaluate and Assess the System of Internal Control L Level 2

MEA03 Monitor, Evaluate and Assess Compliance with External Requirements F F P Level 3

Legend: The high priority path of the roadmap The improvement opportunity number and associated level of High priority

The Medium priority path of the roadmap The improvement opportunity number and associated level of Medium priority

The Low priority path of the roadmap The improvement opportunity number and associated level of Low priority

Monitor, Evaluate and Assess

Process Name In ScopeApplicable Process Improvement Opportunities

(PIO) with Recommended Priority20XX Target Level

Align, Plan and Organize

Build, Acquire and Implement

Deliver, Service and Support

2013 Process Capability Level

Fonte: E. I. du Pont de Nemours and Company




Conclusão As empresas aperfeiçoamcontinuamente as capacidadesde seus processos para

enfrentar os complexos edinâmicos desafios dosnegócios. Para tanto, é crucialadotar uma estrutura robusta deavaliação de processos, executaruma avaliação confiável para osreportes internos e estabeleceruma base sólida para adeterminação de capacidades eo aprimoramento contínuo dosprocessos. Além disso, de formageral, se entende que quanto

maior for capacidade doprocesso, menor será o risco deo processo não satisfazer suafinalidade proposta, e quantomaior a capacidade, mais caroserá para operar o processo.Este estudo de caso apresentauma avaliação de capacidade deprocesso com o PAM do COBIT5 para uma empresa da listaFortune 500. Esta avaliaçãodo PAM do COBIT 5 ajudou

a DuPont a estabelecerreferências apropriadas parao processo e um roteiro deaprimoramento SMART bemequilibrado para melhorar

continuamente suas capacidades de informações e tecnológicas para a obtenção de uma vantagem competitiva e estimular ocrescimento dos negócios da empresa. O PAM do COBIT 5 se baseia em uma norma ISO para uma avaliação de capacidade combase em evidências que, se implementado apropriadamente, pode beneficiar muito empresas de todos os tamanhos, sejam elascomerciais, sem fins lucrativos ou do setor público.

AgradecimentosOs autores desejam agradecer Eric Mittnight, Michael T. Clark, John W. Lainhart, Christopher M. Ballister, James L. Golden e JoseMartinez da IBM e Dana F. Ormerod da DuPont por suas excepcionais contribuições para a avaliação do PAM do COBIT 5 naDuPont e o desenvolvimento deste estudo de caso.

ReferênciasInternational Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), 20000:2006, IT ServiceManagement Standard, Suíça, 2006

ISO/IEC, 27001:2005, Information technology —Security techniques—Information security management systems—Requirements,Suíça, 2005

ISO/IEC, 38500:2008, Corporate Governance of Information Technology Standard, Suíça, 2008

ISACA, COBIT ®

5, EUA, 2012

Figura 4— Aprimoramento contínuo por meio de sete facilitadores

Fonte: E. I. du Pont de Nemours and Company










Atualização de pesquisa

Materiais do COBITrecentemente liberados

Gestão de fo rn ecedo res:Ut ili zação d o COB IT 5

Próximos lançamentos doCOBIT 5 no segundo trimestre

de 2014 Cenários de risco do COBIT ® 5

para controles

de risco e acreditação nanuvem: Utilização do COBIT ® 5

COBIT ® 5 online: Acesso apublicações na família deprodutos COBIT 5 e outrosconteúdos não COBIT da ISACAe materiais atuais relevantes deGEIT

Para obter mais informações sobrepublicações do COBIT, visite apágina do COBIT 5 no site da

ISACA. Traduções do COBIT 5 estãodisponíveis na página Família deprodutos COBIT.

ISACA, COBIT® 5 for Assu rance , EUA, 2013

ISACA, COBIT® 5 Enabl ing Process , EUA, 2012

ISACA, COBIT® 5 Implementat ion , EUA, 2012

ISACA, COBIT® 5 for Informat ion Secur i t y , EUA, 2013

Project Management Institute, Project Management Body of Knowledge (PMBOK2 ® ),

EUA, 2008

James F. Aliquo Jr., CISA, CRISCÉ o gerente global de controles e conformidade de ITP (Tecnologia e processos deinformação) da DuPont. Aliquo projetou e implementou muitos dos processos de risco de TIsendo utilizados no departamento de ITP da DuPont. Ele é um forte defensor da incorporaçãodo COBIT, mais especificamente, os aspectos de modelagem de maturidade e sua utilidadeem relação à execução e análise abrangentes dos processos.

Zhiwei Fu, Ph.D., CISA, CRISC, CGEIT, CFE, PMPÉ o executivo sênior de GRC (Governança, risco e conformidade) e cibersegurança daIBM Global Business Services. Ele tem ampla experiência em projetos, implementação eavaliação de programas de governança e conformidade e controles de TI em vários setorese organizações de serviços de terceiros. Ele é um renomado pesquisador e praticante deanálise, modelagem e otimização de negócios, medição de desempenho e aprimoramentode processos, com diversos artigos publicados em revistas especializadas, séries de livrose documentação de conferências internacionais.

Notas

1 ISACA, COBIT® Process Assess ment Mod el (PAM) : Using COBIT® 5 , EUA, 20132 ISACA, COBIT ® 5 Assessment Programme, EUA, 20133 ISACA, Assessor Gu ide : Us i ng COBIT® 5 , EUA, 2013

Navegue no COBIT 5 com o novo COBIT OnlinePor John W. Lainhart IV, CISA, CISM, CGEIT, CRISC

O COBIT ®

5 online oferecerá ao usuário uma experiência muito aprimorada com seu lançamento previsto para o terceiro trimestrede 2014. A nova versão online do COBIT 5 proporcionará aos usuários a capacidade de navegar na família de produtos COBIT ® 5,que inclui COBIT® 5, COBIT® 5 Implementation, COBIT® 5: Enabling Processes, COBIT® 5: Enabling Information, COBIT® 5 for

Assurance, COBIT® 5 for Information Security e COBIT® 5 for Risk .

Além de obter acesso online a esse materiais, os usuários poderão ler notícias e outros artigos da ISACA® relacionados ao COBIT®.Os usuários também poderão publicar seu feedback no conteúdo ao qual outras pessoas poderão responder ou simplesmenteaproveitar enquanto navegam no COBIT. Esse intercâmbio em tempo real de conhecimentos e experiências permitirá que osusuários compartilhem suas habilidades além de fronteiras geográficas e setoriais.

Os usuários que adquiriram publicações adicionais na família de produtos COBIT 5 poderão acessá-las, ou fazer o download delas,em sua instância exclusiva do COBIT online. Futuras versões do site incluirão um conjunto de ferramentas para criar objetivosindividualizados e tabelas RACI (Responsável, Aprovador, Consultado e Informado) para cada prática de governança e gestão.Consulte as atualizações na página COBIT 5 Online do site da ISACA.

John W. Lainhart IV, CISA, CISM, CGEIT, CRISCÉ o líder da área de cibersegurança e serviços de privacidade para o setor público nos EUA da IBM Global Business Services. Elefoi presidente internacional da ISACA e membro do Comitê de Estrutura a ISACA e da Força-tarefa do COBIT 5. Ele foi membro doComitê de Governança de TI, onde trabalhou nas iniciativas COBIT®, Val IT® e Risk IT®.









http://www.isaca.org/COBIT/Pages/Product-Family.aspx









http://www.isaca.org/cobitonline



















A implementação do processo COBIT 5 é um "wicked problem"?

Por João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT Certificado, Carlos Henrique de LucaRibeiro, COBIT(F), e Diana Santos

“Alguns problemas são tão complexos que você precisa ser muito inteligente e bem informado apenas para ficar indeciso sobreeles.”

1

Problemas extremamente complexos, como degradação ambiental, obesidade, mudança climática, inclusão indígena, terrorismo,pobreza e conflitos religiosos são frequentemente chamados de "wicked problems" (ou numa tradução aproximada: problemasperversos). O conceito de wicked problem foi introduzido por Charles Churchman, Horst Rittel e Melvin Webber, planejadoresurbanos da Universidade da Califórnia em Berkeley (EUA) os quais foram os primeiros a usar a abordagem de processos sociaispara solucionar problemas complexos, em oposição aos estilos cognitivos de profissionais que usavam como fundamento umavisão mecanicista newtoniana.2, 3

Nem todos os problemas são perversos. Os wicked problems precisam ser diferenciados dos problemas comuns ou problemassolucionáveis ("tame problems"). Ao contrário de um wicked problem, um tame problem é aquele em que o pensamento tradicional,estudos cognitivos e métodos atuais de gestão de projetos indicam que a melhor forma de enfrentá-lo é seguir um processo de"cima para baixo" — uma abordagem ordeira e linear — trabalhando a partir do problema até encontrar a solução.4 Essa lógicanormalmente é suficiente para se alcançar uma solução viável em um período razoável de tempo coletando e analisando dadose identificando os requisitos para especificar o problema. Em seguida, o gestor poderá formular e implementar uma solução.Portanto, o modelo em cascata é indicado para tame problems porque eles têm um padrão de solução linear reconhecidona literatura de gestão de projetos com ampla utilização no setor de software.

Um problema pode ter características tame ou wicked (Figura 1), o que não significa que a determinação do grau de perversidadeseja algo binário, pois a maioria dos problemas possui diferentes graus de complexidade. A existência de problemas propagados

em um espectro determina o limite e o intervalo entre os problemas solucionáveis e os perversos.5

Resultados e discussão As 10 características dos problemas perversos são descritas e avaliadas para a implementação do COBIT 5 na Figura 1.6, 7, 8

Figura 1— Avaliação das 10 características dos wicked problems para a implementação do COBIT 5

Características dos wickedproblems

Avaliação para implementação do COBIT 5

1. Há um grande número destakeholders.

Os processos do COBIT 5 possuem um grande número de stakeholders. A Figura 2 apresentao número de stakeholders responsáveis, aprovadores e consultados que participam de todosos processos, de um total de 26 stakeholders listados.9 (Os stakeholders informados não

foram incluídos porque essa função foi considerada passiva). Além do grande número destakeholders envolvidos na maioria dos processos, a gestão daqueles com históricos,interesses, objetivos e responsabilidades muito diferentes geram um desafio complexo para aimplementação do COBIT 5.

2. O contexto está em constantemudança.

Os processos de negócios e de TI são muito dinâmicos, exigindo constante adaptação.“Estruturas, melhores práticas e normas só são úteis se forem adotadas e adaptadas de formaeficaz. Há desafios que devem ser superados e problemas que precisam ser resolvidos paraque a governança corporativa de TI (GEIT) seja implementada com sucesso.”

10 3. Não há soluções certas ou

erradas para os problemas.O COBIT 5 não sugere que haja uma solução exclusiva para problemas de GEIT. Cadaimplementação deve ser adaptada às necessidades da organização. Se uma organizaçãodecidir não implementar um processo específico, isso não é certo nem errado, é apenasadequado.

4. Não há consenso sobre asolução para um problema.

Todos os problemas de governança de TI podem ser enfrentados por mais de uma forma eisso depende muito das experiências e do histórico dos gestores. “Cada empresa aplicará seupróprio plano ou roteiro específico, dependendo, é claro, de fatores como seu setor e ambientede negócios, bem como de sua cultura e de seus objetivos.”

11 5. "Wicked problems não têm

uma solução final."O programa de implementação e aprimoramento normalmente é contínuo e iterativo. Durantea última fase, novos objetivos e requisitos serão identificados e um novo ciclo será iniciado.”

12




6. Não há uma formulaçãodefinitiva para um wickedproblem. A escolha daexplicação determina anatureza da resolução do

problema.

“Muitos fatores podem indicar a necessidade de práticas de GEIT novas ou revisadas. Noentanto, é importante observar que esses sintomas podem não apontar apenas para osproblemas subjacentes que precisam ser tratados, mas também poderiam indicar outrosproblemas (ou uma combinação de fatores). Por exemplo, se a empresa tiver a percepção deque os custos de TI são inaceitavelmente altos, isso pode ocorrer devido a problemas de

governança e/ou gestão (como utilização de critérios inadequados no processo de gestão deinvestimentos de TI), mas também pode ter como causa um histórico de investimentosinsuficientes em TI, que agora se manifesta na necessidade de se fazer investimentossignificativos.”

13 7. Cada wicked problem é,

essencialmente, único e novo."A implementação de GEIT em cada empresa, portanto, será diferente e o contexto precisa sercompreendido e considerado para se projetar o ambiente ideal de GEIT, seja ele novo ouaprimorado."14

8. O problema não écompreendido até que umasolução tenha sidodesenvolvida.

Quando uma solução é implementada, ela expõe novos aspectos do problema, exigindoajustes da solução em potencial. O problema é um conjunto mal estruturado e em evolução dequestões e restrições entrelaçadas. "O programa de implementação e aprimoramentonormalmente é contínuo e iterativo. Durante a última fase, novos objetivos e requisitos serãoidentificados e um novo ciclo será iniciado.”

15 Além disso, o problema varia de acordo com ointerlocutor. Diferentes stakeholders (há muitos listados no COBIT 5) têm opiniões diferentessobre o que é o problema e o que constitui uma solução aceitável.

9. Toda solução para um wickedproblem é uma "operação detiro único", pois não há aoportunidade de se aprenderpor tentativa e erro, e todas astentativas contamsignificativamente.

“Não é possível construir uma autoestrada para ver como ela funciona.”16 “Essa é a dificuldade

dos wicked problems: não é possível aprender sobre o problema sem tentar soluções, mastoda solução tentada é cara e possui consequências duradouras involuntárias queprovavelmente irão gerar novos wicked problems.”

17 A mesma coisa acontece quando agovernança de TI é implementada. Para conhecer o contexto, a empresa e os stakeholders, énecessário começar em algum ponto e evoluir a partir daí.

10. Wicked problems nãopossuem soluções

alternativas.

“Talvez não haja soluções, ou podem existir diversas soluções em potencial que são criadas,mas várias outras que nunca foram nem pensadas. Portanto, precisa-se de criatividade para

criar soluções em potencial e de bom senso para determinar quais são válidas, quais devemser adotadas e implementadas.”18 Mais uma vez, diferentes stakeholders têm opiniõesdiferentes sobre o que é o problema e o que constitui uma solução aceitável. Portanto,naturalmente, haverá um grande grupo de soluções em potencial.

Utilizando essas características para estudar as práticas de governança de TI da Administração Pública Federal do Brasil noespectro da perversidade ("wickedness") dos problemas, descobriu-se que as duas primeiras características listadas na Figura 1 são particularmente perversas no contexto de governança de TI.19

A Figura 2 apresenta, para cada processo do COBIT 5, quantos stakeholders são listados como responsáveis, aprovadores ouconsultados. Os números variam de 7 a 24 stakeholders, o que indica que esta é realmente uma questão que deve ser levada emconsideração.

Figura 2— Número de stakeholders RAC (Responsáveis, aprovadores ou consultados) para processos do COBIT 5

COBIT 5Processos

RACStakeholders

COBIT 5Processos

RACStakeholders

COBIT 5Processos

RACStakeholders

COBIT 5Processos

RACStakeholders

EDM01 16 APO06 17 BAI03 14 DSS03 9EDM02 18 APO07 14 BAI04 7 DSS04 12EDM03 15 APO08 18 BAI05 21 DSS05 11EDM04 17 APO09 16 BAI06 13 DSS06 13EDM05 8 APO10 15 BAI07 15 MEA01 19 APO01 24 APO11 21 BAI08 14 MEA02 18 APO02 22 APO12 15 BAI09 12 MEA03 17

APO03 18 APO13 21 BAI10 8 APO04 14 BAI01 21 DSS01 11 APO05 19 BAI02 15 DSS02 11




Conclusão A implementação dos processos de governança e gestão do COBIT 5 possui muitas características de um wicked problem("problema perverso"). Portanto, os gestores responsáveis pela implementação devem estar cientes que lidar com esse tipo deproblema requer soluções inovadoras, colaborativas e abrangentes que levem em consideração os vários elementos de GEIT eos aspectos relacionados a problemas perversos e complexidades sociais.

João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT CertificadoPossui mais de oito anos de experiência em governança de TI aplicando o COBIT nos Correios do Brasil. Também é responsávelpela área de pesquisa de governança de TI na Universidade Católica de Brasília. É fundador e diretor educacional da Filial daISACA de Brasília (Brasil).

Carlos Henrique de Luca Ribeiro, COBIT(F)É consultor do diretor de logística dos Correios do Brasil. Possui ampla experiência em governança de TI, na implementação deprocessos do COBIT e na gestão de cadeias de suprimentos.

Diana SantosChefe da divisão de sistemas de informação da agência do Governo Federal do Brasil relacionada ao Poder Judiciário, ondecolabora com a governança de TI e a implementação de processos do COBIT. É diretora associada da Filial da ISACA de Brasília.

Notas

1 Peter, Laurence J.; Peter’s Almanac , 19772 Churchman, Charles West; “Wicked Problems,” Management Science, EUA, Vol. 14, Nº. 4, 1967, p. 141-1423 Rittel, Horst; Melvin Webber; “Dilemmas in a General Theory of Planning,” Policy Sciences, Holanda, Vol. 4, Nº. 2, Junho de 1973, p. 155-1694 Conklin, J.; W. Weil; Wicked Prob l ems : Nam ing the Pa in i n Organ i zat i ons , Group Decision Support Systems Inc., EUA, 1997, p. 1-115 UK Climate Impacts Programme, Attributes of Well-adapting Organisations, Environmental Change Institute, Universidade de Oxford, Reino Unido,20106 Op cit , Rittel7 Conklin, Jeff; Dialogue Mapping: Building Shared Understanding of Wicked Problems, 1ª Edição, Wiley, EUA, 2006, p. 2428 Roberts, Nancy; “Wicked Problems and Network Approaches to Resolution,” International Public Management Review , v. 1/1, 20009 ISACA, COBIT 5: Enabl ing Processes , EUA, 201210 ISACA, COBIT 5 Implement at ion , EUA, 2012, p. 1011 Ibid ., p. 1112 Ibid ., p. 1813 Ibid ., p. 2114 Ibid ., p. 1315 Ibid ., p. 1816

Op cit , Rittel17 Op cit , Conklin 200618 Ibid .19 Ribeiro, Carlos Henrique de Luca; “Práticas de Governança de TI na Administração Pública Federal caracterizadas no espectro daperversidade ("Wickedness") dos problemas ,” Universidade Católica de Brasília, Brasília, 2012

http://www.jstor.org/stable/2628678



http://www.leanconstruction.dk/_root/media/15.pdf



http://www.ukcip.org.uk/



http://localhost/var/www/apps/jhajigeorgiou/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/932T90OK/www1.imp.unisg.ch/org/idt/ipmr.nsf






http://www.bdtd.ucb.br/tede/tde_busca/arquivo.php?codArquivo=1752














Planos para o futuro: Estratégia de crescimento do COBIT 5

Por Robert E. Stroud, CGEIT, CRISCEm 2013, a Força-tarefa de Estratégia de crescimento do COBIT identificou atividades e resultados essenciais para aumentar aadoção e a utilização do COBIT® 5. Essas atividades foram definidas por meio da experiência da força-tarefa, bem como por maisde 35 entrevistas com usuários atuais e em potencial do COBIT 5. O resultado desse trabalho é que diversas novas iniciativas doCOBIT 5 estão em andamento com datas de entrega em 2014 e 2015.

Os projetos em desenvolvimento incluem: Um estudo de benchmarking para demonstrar os valores comerciais obtidos aplicando as práticas de governança e gestão

definidas no COBIT 5. Documentos técnicos que abordam como o COBIT® pode ser utilizado com outras estruturas e padrões. Uma ferramenta, “Introdução à governança de TI”, para quem não conhece os conceitos do COBIT 5.

Uma ferramenta que apresenta os objetivos em cascata, que será entregue como parte do COBIT 5 online. Uma nova campanha de marketing do COBIT 5 concentrada em como o COBIT 5 pode ajudar a lidar com problemas de

negócios. Orientação para executivos sobre os benefícios que o COBIT 5 pode gerar para suas empresas.

Outras atividades também foram identificadas e serão compartilhadas com a comunidade do COBIT 5 quando o desenvolvimentocomeçar. As atualizações serão apresentadas no COBIT Focus e na página do COBIT 5 no site da ISACA®.

Robert E. Stroud, CGEIT, CRISCÉ vice-presidente de estratégia e inovação da CA Technologies, o próximo presidente internacional da ISACA para 2014-15 emembro do Comitê de Influência/Defesa Profissional da ISACA. Stroud trabalhou por mais de 15 anos no mercado financeirogerenciando com sucesso diversas iniciativas nos setores de TI e varejo bancário relacionadas à gestão de serviços e à

governança de processos de TI. Ele ingressou na CA Technologies vindo da empresa de segurança computacional australianaCybec, onde foi responsável pela bem-sucedida expansão global da empresa, incluindo a entrada no mercado norte-americano.

Planejamento estratégico utilizando COBIT 5Por Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9

Planejamento estratégico é um componente importante da gestão estratégica de negócios. Ele resulta em planejamento de longoprazo e na direção futura de uma empresa no nível estratégico. Se um exercício de planejamento estratégico for feito pela primeira

vez, ele resulta na definição da visão, da missão e dos valores da empresa. Os ciclos de planejamento estratégico variam de três acinco anos e dependem da vertical de mercado a que esta empresa pertence ou atua. Quando há uma visão e uma missãodefinidas, os objetivos normalmente são revistos e revisados de um ciclo para o outro. Todo ciclo de estratégia resulta em objetivosnovos ou atualizados para se alcançar a visão da empresa. A fase de implementação da estratégia lida com o cumprimento dosobjetivos estratégicos definidos. A seguir, uma abordagem passo a passo sobre a atividade de planejamento estratégico utilizandoas diretrizes do COBIT® 5.

A estrutura do COBIT 5 é um conjunto abrangente e coerente de diretrizes de governança e gestão corporativas de TI (GEIT) cominformações úteis sobre o estabelecimento e o alinhamento do planejamento estratégico. Como a estratégia de negócios ou daempresa é diferente da estratégia de TI, o conceito de alinhamento estratégico se refere à necessidade de alinhamento entre aestratégia de negócios e os objetivo e processos de TI. A família de produtos COBIT 5 consiste em um conjunto de guias queincluem o guia do modelo, os guias do habilitador e os guias profissionais. Como o COBIT 5 se baseia inerentemente em cinco

princípios fundamentais que incluem satisfazer as necessidades stakeholders, abranger a empresa de ponta a ponta, aplicar umaúnica estrutura integrada, permitir uma abordagem holística e separar a governança da gestão, a orientação sobre planejamentoestratégico é feita em toda a estrutura e nos materiais de apoio para assegurar que esses princípios sejam alcançados. Há umresumo da orientação em planejamento estratégico discutida neste artigo na Figura 1 com referência à família de produtos COBIT5.








Figura 1— Resumo da orientação da família de produtos COBIT 5 para planejamento estratégico

Família de produtos COBIT 5 Orientação sobre planejamento estratégico

COBIT 5 framework Objetivos corporativos genéricosObjetivos em cascata para objetivos de alinhamento estratégico em todos os níveis

Objetivos de governança (orientação e mapeamento)Objetivos genéricos de TIMapeamento entre objetivos estratégicos de TI e objetivos estratégicos da empresa

COBIT 5 enabler guides Objetivos do HabilitadorOrientação sobre os stakeholders, ciclo de vida e boas práticas relacionados aohabilitadorProcessos de habilitação para governança e gestão

COBIT® 5 Implementation Reconhecimento de pontos problemáticos e eventos causadoresEnvolvimento dos stakeholdersCaptura das necessidades dos stakeholdersDetalhes sobre as fases do ciclo de vida da Implementação (1-4)

COBIT® 5 for Risk Compreensão dos riscos associados para alcançar os objetivos

A formulação de uma estratégia de negócioscomeça com as técnicas para fornecer materiaisde apoio relevantes e suficientes para a equipeexecutiva responsável por definir esta estratégia.Uma técnica comum utilizada é a análise depontos fortes, pontos fracos, oportunidades eameaças (Strengths, Weaknesses, Opportunitiesand Threats [SWOT]), conforme ilustrado naFigura 2.1 As quatro entidades utilizadas nestemodelo para avaliar a atividade de negócios são

categorizadas em termos de origem (interna ouexterna) e utilidade (útil ou nociva) com relação àempresa. As informações necessárias para tornara análise de SWOT eficaz podem ser obtidas pormeio de colaboração com membros experientes eantigos da equipe, revisão de documentosrelevantes ou entrevistas com os principaisstakeholders. O COBIT 5 reconhece que adefinição das necessidades dos stakeholdersdepende muito da compreensão das influênciasexclusivas de cada empresa e que a GEIT nãopode ocorrer no vácuo. COBIT 5 Implementation

fornece uma orientação detalhada por meio de“reconhecimento dos pontos problemáticos eeventos causadores”, bem como de umacompreensão dos aspectos importantes daformulação da estratégia de negócios na seção“Envolvimento dos stakeholders”.

2 Além disso,o COBIT 5 fornece diretrizes para capturar asnecessidades dos stakeholders3 e umacompreensão dos riscos associados paraalcançar esses objetivos.4 As necessidades dosstakeholders podem ser capturadas apenas

envolvendo diretamente os stakeholders. Uma abordagem popular para capturar as necessidades dos stakeholders e formular a

estratégia de negócios é realizar um workshop sobre estratégia. Os resultados da análise de SWOT devem estimular a captura dasnecessidades dos stakeholders e também desafiar a aplicabilidade das necessidades dos stakeholders durante o workshop.

Figura 2— Análise de SWOT fornece informações para oplanejamento estratégico

Fonte: Adaptado de Humphrey, Albert; SRI International




Os objetivos corporativos genéricos do COBIT 5 podem fornecer umponto de partida para o workshop sobre estratégia. Os executivos de TIdevem ser envolvidos (e, em alguns casos, comandarem) na formulaçãodos objetivos corporativos estratégicos. Como participantes, osexecutivos de Ti devem enfatizar a função estratégica de TI em vez dafunção de suporte. Os executivos de TI também devem utilizar aoportunidade do workshop para assegurar que os líderes de negóciostenham uma compreensão clara da atual posição de TI, bem como umavisão clara de como as estratégias de TI oferecerão suporte àsestratégias de negócios que estão sendo discutidas. Todos osparticipantes do workshop devem explorar as três disciplinas de valor(intimidade com o cliente, liderança do produto e excelência operacional)5 como a base para a formulação da estratégia corporativa e,preferencialmente, optar por uma das disciplinas de valor como a fonteprimária de foco para a estratégia. O COBIT 5 fornece objetivos em

cascata para o alinhamentoestratégico de metas em todos osníveis às necessidades dosstakeholders e aos objetivos degovernança (Figura 3). Os objetivoscorporativos estratégicos devem servinculados às necessidades dosstakeholders e aos objetivos degovernança de criação de valor,notadamente, a realização debenefícios, a otimização de riscos e aotimização de recursos (Figura 4). Omapeamento deve esclarecer o tipode relacionamento — relacionamentoprimário (P) ou relacionamentosecundário (S) — para ajudar a se

concentrar na importância. Osobjetivos corporativos estratégicostambém devem ser desenvolvidoslevando em consideração as quatrodimensões do Balanced Scorecard(BSC): financeira, cliente, interna eaprendizado e crescimento.6 Além

Figura 3— Objetivos em cascata do COBIT 5

Fonte: ISACA, COBIT 5, EUA, 2012

Figura 4— Objetivo de governança é criação de valor


Figura 5— Mapa de estratégias mostrando inter-relacionamentos entre objetivos

Fonte: Adaptado de Kaplan, Robert; David Norton; The Strategy-focused Organization, 2001












disso, deve ser produzido um mapa visual das estratégias para mostrar os interrelacionamentos entre os objetivos corporativosestratégicos desenvolvidos (Figura 5),7 o que permitirá uma clara compreensão das dependências.

A formulação de uma estratégia de TI alinhada também pode aproveitar o método de análise de SWOT. É possível preparar umrelatório de análise de tendências tecnológicas como um ponto de partida útil para a formulação da estratégia de TI. Como no caso

do workshop sobre estratégia corporativa, um workshop de vários dias sobre estratégia de TI também pode ser organizado paraformular a estratégia de TI. As principais considerações para workshop eficaz sobre estratégia de TI incluem uma seleção criteriosados participantes, agrupamento dos participantes, objetivos a serem alcançados pelo workshop, seleção dos facilitadores doworkshop e o tipo de interação entre os grupos. Portanto, planejamento e comunicação criteriosos são cruciais para tornar oworkshop, um sucesso. As entradas para o workshop sobre estratégia de TI devem incluir um produto de trabalho com os objetivos

corporativos finalizados(com base em BSC), ummapa das estratégiascorporativas, a disciplina devalor selecionada para aempresa, os resultados daanálise de SWOT de TI, os

objetivos genéricos de TI doCOBIT 5 e o relatório deanálise de tendênciastecnológicas.

Um processo deplanejamento estratégicosugerido e suas entradasrelevantes são resumidos nofluxograma ilustrado naFigura 6. As etapas deestratégia corporativa são

mostradas em azul, asetapas de estratégia de TIsão mostradas em cinza eas entradas são mostradasem amarelo. O workshopsobre estratégia de TItambém deve explorar astrês disciplinas de valor(intimidade com o cliente,liderança do produto,excelência operacional)8 como a base da formulação

da estratégia de TI. Após aidentificação dos objetivosestratégicos de TI, elesdevem ser mapeados paraos objetivos corporativosestratégicos. Conformediscutido anteriormente, omapeamento deveesclarecer os tipos derelacionamento envolvidos:primário ou secundário.Também é recomendado

produzir um mapa visual dasestratégias de TI paramostrar osinterrelacionamentos entreos objetivos estratégicos de

Figura 6— Fluxograma das etapas de planejamento estratégico utilizando o COBIT 5

Fonte: Shahid Ali




TI (Figura 5).

Conforme ilustrado, após o desenvolvimento e mapeamento dos objetivos estratégicos de TI, é essencial definir e gerenciar todosos habilitadores interdependentes que ajudarão a garantir que os objetivos sejam alcançados. O COBIT 5 fornece sete facilitadorescorporativos (Figura 7). De acordo com o COBIT 5, facilitadores são fatores que influenciam, individual e coletivamente, se a GEIT

funcionarão de acordo com o planejado. O COBIT 5 publicou diretrizes para cada um dos objetivos facilitadores discutidos. Comoos facilitadores têm um impacto direto no sucesso dos objetivos gerais definidos, é importante desenvolver/finalizar os objetivosfacilitadores no nível do planejamento estratégico emapeá-los diretamente para os objetivos estratégicos deTI definidos. Após a definição dos objetivos facilitadores,os demais detalhes facilitadores podem ser definidosposteriormente, mas também devem estar emconformidade com os objetivos facilitadores. Os detalhesfacilitadores incluem as outras dimensões facilitadorasque vão além da definição dos objetivos facilitadores,como as necessidades dos stakeholders, o ciclo de vidae as boas práticas. Os objetivos facilitadores devem

ser vinculados às necessidades dos stakeholders. Énecessário desenvolver um plano de ciclo de vida paragarantir a gestão bem sucedida do facilitador durantetoda a sua vida útil efetiva. Boas práticas, que podem serfacilitadas pelo processo de planejamento estratégico,devem ser identificadas para cada facilitador. No entanto,a seleção de boas práticas para o facilitador deve serdeixado a cargo de especialistas na área do facilitador(por exemplo, RH, informações, arquitetos de tecnologiae aplicativos, especialistas em processos, definidores depolíticas).

Figura 8—

Ciclo de vida da implementação do COBIT 5

O COBIT 5 possui

Figura 7— Habilitadores corporativos do COBIT 5









um guia profissional de implementação. O guia fornece detalhes das sete fases do ciclo de vida de implementação. As fases "oque/quais" e "onde" (1-4) de gestão do programa e facilitação de mudanças podem ser consideradas no nível do planejamentoestratégico de TI (Figura 8). As fases do ciclo de vida de implementação do COBIT 5 que devem ser consideradas no planejamentoestratégico são indicadas na Figura 9. A coluna de notas sobre planejamento estratégico realça a relevância da fase para oplanejamento estratégico.

Figura 9— Fases do ciclo de vida de implementação do COBIT 5 a considerar no planejamento estratégico

Fase Gestão doprograma

(Anel externo)

Facilitação demudanças (Anel

do meio)

Notas sobre planejamento estratégico

Quais são astendências?

Inicie o programa. Estabeleça o desejode mudar.

Conhecer as tendências, iniciar o ciclo de planejamentoestratégico e estabelecer o desejo de aprimoramento sãoas primeiras etapas críticas.

Onde estamosagora?

Defina osproblemas e asoportunidades.

Forme a equipe deimplementação.

Informações sobre o estado atual e a análise de SWOT sãoentradas importantes para se fazer um planejamentoestratégico melhor.

Onde desejamosestar? Defina o roteiro. Comunique osresultados. O planejamento estratégico deve resultar em um roteiro dealto nível.O que precisa serfeito?

Planeje oprograma.

Identifique osparticipantes.

Identificar os participantes e dividir o todo em etapasgerenciáveis são ações cruciais para uma implementaçãobem-sucedida de estratégias.

A estrutura do COBIT 5 fornece uma orientação avançada sobre o modelo de referência de processos no guia COBIT ® 5:

Processos de facilitação para governança e gestão (Figura 10). Nesse guia, os processos são organizados em grupos. Paragovernança corporativa de TI, há um grupo de cinco processos, notadamente o domínio Avaliar, Direcionar e Monitorar (Evaluate,Direct and Monitor; EDM). Para gestão, há quatro grupos de processos: Alinhar, Planejar e Organizar (Align, Plan and Organize;

Figura 10— Modelo de referência de processos do COBIT 5









Comitê de Estrutura

Steven A. Babb, CGEIT, CRISC, ITIL, Reino Unido, PresidenteDavid Cau, ITIL, MSP, Prince2, FrançaSushil Chatterji, CGEIT, CingapuraFrank Cindrich, CGEIT, CIPP, CIPP/G, EUAJoanne De Vito De Palma, EUA

Jimmy Heschl, CISA, CISM, CGEIT, ITIL, ÁustriaKatherine McIntosh, CISA, EUA Andre Pitkowski, CGEIT, CRISC, OCTAVE, BrasilParas Shah, CISA, CGEIT, CRISC, CA, Austrália

Conteúdo editorial

Comentários sobre o conteúdo editorial podem ser enviados paraJennifer Hajigeorgiou, gerente editorial sênior, pelo e-mail [email protected].

COBIT Focus é uma publicação da ISACA. Asopiniões expressas no COBIT Focus representamas visões dos autores. Elas podem ser diferentesdas políticas e declarações oficiais da ISACA e deseus comitês, bem como das opiniões defendidaspor autores, funcionários ou editores do COBITFocus. COBIT Focus não garante a originalidadedo conteúdo dos autores.

© ISACA. Todos os direitos reservados.

Instrutores têm permissão para fazerem fotocópias deartigos isolados para uso não comercial em salas deaula sem cobrança de taxas. Para outros tipos decópia, reimpressão ou republicação, é necessárioobter permissão por escrito da associação. Entreem contato com Julia Fullerton pelo e-mail jful [email protected].

APO); Desenvolver, Adquirir e Implementar (Build, Acquire and Implement; BAI); Executar, Atender e Apoiar (Deliver, Service andSupport; DSS); e Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess; MEA). Como com a direção discutida anteriormente,alguns desses grupos e processos devem ser levados em consideração no nível do planejamento estratégico. Os processosrecomendados que devem ser considerados no nível de planejamento estratégico são aqueles incluídos nas áreas de processosEDM e APO, especificamente Garantir a definição e manutenção da estrutura de governança (EDM01), Gerenciar a estrutura de

gestão de TI (APO01) e Gerenciar a estratégia (APO02).Em futuros artigos, serão apresentadas discussões de acompanhamento de fases adicionais de planejamento estratégico, comoalinhamento estratégico contínuo e implementação da estratégia, do ponto de vista do COBIT 5.

Em resumo, o COBIT 5 fornece orientação para o estabelecimento de planos estratégicos corporativos, bem como para o alinhamentoe a implementação de objetivos estratégicos de TI. Os objetivos em cascata do COBIT 5 (Figura 3) proporcionam uma base sólidapara o alinhamento de objetivos estratégicos de TI. Como é comum na definição e execução de qualquer estratégia, a implementaçãoda estratégia é considerada mais desafiadora do que o próprio planejamento estratégico. O COBIT 5 oferece orientação de ponta aponta para planejamento estratégico, alinhamento e implementação. A orientação é sistemática, bem organizada e valiosa paragrandes públicos-alvo, independentemente do tipo de setor.

Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9

Atualmente trabalha como consultor em arquitetura corporativa com 20 anos de experiência em consultoria de TI e planejamentoestratégico em grandes organizações do setor público e no setor de educação. Já ajudou organizações em questões deplanejamento estratégico, execução, gestão de arquitetura corporativa e gestão de desempenho estratégico. Ele fez palestras emvárias conferências e ministrou breves cursos e tutoriais sobre tópicos de tecnologias emergentes. É o líder do tópico Planejamentoestratégico/alinhamento do Centro de Conhecimento da ISACA. Junte-se a ele em discussões adicionais sobre este e outros temas.

Notas

1 Humphrey, Albert; “SWOT Analysis for Management Consulting,” SRI Alumni Association Newsletter, SRI International, Dezembro de 2005 2 ISACA, COBIT 5 Implement at ion , EUA, 20123 ISACA, COBIT 5, EUA, 20124

ISACA, COBIT 5 for Risk , EUA, 20125 Treacy, Michael; Fred Wiersema; The Discipline of Market Leaders, Addison-Wesley, 19936 Kaplan, Robert; David Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard Business School Press, 19967 Kaplan, Robert; David Norton; The Strategy-focused Organization: How Balanced Scorecard Companies Thrive in the New Business Environment ,

Harvard Business School Press, EUA, 20018 Op cit , Treacy

©2014 ISACA. Todos os direitos reservados.





http://www.sri.com/sites/default/files/brochures/dec-05.pdf










Documents

COBIT Focus Volume 2 2014 Nlt Por 0414