Embed Size (px)
Citation preview
Cobit 5 na prática – Parte I – Como nós fazemos Cobit
Quando comecei a trabalhar com Scrum, utilizei um livrinho que me ajudou demais no início, chamado
“Scrum e XP direto das trincheiras” com o sub-título de “Como nós fazemos Scrum” de Henrik Kniberg. O
que me chamou a atenção e fez com que eu realmente me interessasse pelo livro, foi o sub-título.
Já na introdução do livro, Mr. Kniberg deixa claro: “A boa notícia é que vou te dizer exatamente como faço
Scrum, em um nível de detalhes excruciantemente doloroso. A má notícia é, bem, esta é a maneira como
EU faço Scrum. E isto não significa que Você deva fazê-lo exatamente da mesma maneira. De fato, eu
também faria de maneira diferente, se encontrasse situações diferentes”.
Bem, em relação ao Cobit 5 e esse artigo, a situação é mais ou menos a mesma. Vou descrever exatamente
como EU faço Cobit e utilizando para isso ITIL V3, PMBOK 5ª Ed e CMMI/MPS-BR. A abordagem será
a mais prática possível, sempre indicando templates (onde for possível) para lhe dar suporte a sua
implantação.
Para evitar ser malhado pelos profissionais certificados em Cobit e nos demais frameworks mencionados,
que porventura cheguem até este obscuro blog, portanto com muito mais capacidade de implementação que
eu, roubo novamente as palavras de Mr. Kniberg: “Isto não significa que Você deva fazê-lo exatamente da
mesma maneira”.
A maior dificuldade no uso e entendimento do Cobit, é que por ser um framework, ele não dirá COMO
deve ser feito. Lhe apontará apenas O QUE deve ser feito, como sendo uma boa prática, adotada por
milhares de instalações de TI pelo mundo afora.
Portanto não adianta buscar templates Cobit, pois na verdade não são necessários. O que você terá que
fazer é definir um planejamento para sua área de TI e lá você mencionará suas metas, processos, práticas,
métricas etc, baseados no que sugere o Cobit.
Boa sorte em sua implementação. Espero ajudar de alguma forma.
Cobit 5 – Introdução
COBIT 5 está focado em governança corporativa de TI, deixando claro a distinção entre governança e
gestão. Provê um framework que auxilia as corporações a atingirem suas metas e entregar valor por meio
de uma efetiva governança e gestão da TI corporativas.
Aqui poderia começar a descrever os princípios, conceito de habilitadores, cascateamento de objetivos etc,
mas já estaria fugindo do meu objetivo principal que é a parte prática.
Para conhecer melhor o framework, há alguns recursos que considero interessantes:
No site do próprio ISACA você encontra grátis a descrição geral do framework: “COBIT 5: A Business
Framework for the Governance and Management of Enterprise IT”. Não fique muito animado, é apenas a
descrição em linhas gerais do framework, em inglês. O COBIT 5 é um conjunto de produtos, que está à
venda no site do ISACA. Segue o link para o documento gratuito:
http://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx
Na mesma página você encontra o link para o Toolkit, que traz alguns itens que serão muito úteis, como o
“12.COBIT5-Governance-and-Management-Practices-Activities”, uma planilha Excel com a relação das
práticas para cada processo. Segue o link para download direto:
http://sas-origin.onstreammedia.com/origin/isaca/COBIT/COBIT5-Tool-Kit.zip
E há também o excelente mini curso do Wesley Vaz, Diretor Institucional do Capítulo Brasília do ISACA:
http://bit.ly/1gyGnrL
Para quem ainda não adquiriu o framework, e quer ter uma forma de iniciar suas definições, ainda é
possível achar espalhado pela web, o draft liberado para o público em Junho de 2011. Há diversas falhas no
documento, mas com boa vontade, será uma boa forma de iniciar, já que há informações que só poderão ser
conseguidas na versão definitiva do “COBIT 5 Enabling Processes”, ou no draft disponibilizado ao público
“COBIT 5 Process Reference Guide”. Segue um dos links onde pode encontrar o draft:
http://bit.ly/1iWLi4H
Por que implantar COBIT????
Para que eu preciso de COBIT em minha corporação? ITIL não é suficiente? Você já se fez essas
perguntas?
Todos nós já ouvimos a frase “Alinhar a TI ao negócio”, bem, COBIT nos ajuda a realizar esse
alinhamento.
Os “Stakeholders” não estão lá muito interessados no mundo de “TI”. Eles querem apenas saber, se seus
objetivos estratégicos estão sendo atingidos e consequentemente se a corporação está ou não sendo
lucrativa e trazendo resultados. No nosso caso, se a TI está gerando valor para o negócio.
Para cada decisão a ser tomada em relação ao futuro de um negócio (Stakeholder Needs), você deveria
responder a 3 perguntas: O que eu posso fazer para alcançar um benefício (objetivo) (Benefits
Realisation)? Com baixo risco (Risk Optimisation)? Com otimização dos meus recursos, ou seja, menos
gastos (Resource Optimisation)?
O COBIT 5 define 17 objetivos genéricos para a corporação. Objetivos que são comuns em quase todas as
empresas. Na sua empresa pode não ser chamada exatamente dessa forma, mas o sentido é o mesmo.
Para cada objetivo há a indicação para cada uma das perguntas descritas acima, se o objetivo é “Primário
(P)” ou “Secundário (S)”. Exemplo: “1.Stakeholder value of business investments”, atende principalmente
à necessidade dos stakeholders “Benefits Realisation”, mas também atende ao “Resource Optimization”, só
que de forma secundária, adicional.
Define também 17 objetivos para a área de TI alinhados aos da corporação:
Você deve ter notado a coluna “BSC Dimension”. Grandes corporações utilizam uma metodologia de
medição e gestão de desempenho, chamada BSC (Balanced Score Card), que busca a maximização dos
resultados baseados em quatro dimensões (ou perspectivas) que refletem a visão e estratégia empresarial:
financeira, clientes, processos internos e aprendizado e crescimento.
Para maiores informações sobre BSC, comece lendo o Wikipedia:
http://pt.wikipedia.org/wiki/Balanced_scorecard
Para uma visão de BSC para a área de TI, caso sua companhia utilize BSC e deseje se aprofundar na gestão
de sua área, alinhada ao modelo de gestão de sua corporação, sugiro que leia esse artigo no site do ISACA
“The IT Balanced Scorecard – A Roadmap to Effective Governance of a Shared Services IT Organization”:
http://bit.ly/1kSijDn
E se puder, leia também esse livro “Implementing The IT Balanced Scorecard – Aligning IT with
Corporate Strategy” de Jessica Keyes. O achei disponível na web no link a seguir:
http://hlp4asp.files.wordpress.com/2011/10/it-scorecard.pdf
O relacionamento completo entre os objetivos da corporação e os da área de TI, você poderá encontrar na
página 50 do “COBIT 5: A Business Framework for the Governance and Management of Enterprise IT”.
Aqui mostro apenas uma parte da tabela, a título de exemplo:
Um exemplo:
Atingindo o objetivo “09 IT agility”, você contribuirá para o atingimento de diversos objetivos
corporativos:
Em uma escala maior (P):
2. Portfolio of competitive products and services
8. Agile responses to a changing business environment
11. Optimisation of business process functionality
17. Product and business innovation culture
Em uma escala menor (S):
1. Stakeholder value of business investments
3. Managed business risk (safeguarding of assets)
6. Customer-oriented service culture
13. Managed business change programmes
14. Operational and staff productivity
16. Skilled and motivated people
Para que um objetivo seja alcançado, devo tomar ações para que o atingimento desse objetivo seja
facilitado ou viabilizado. Essas ações estão descritas nos processos do COBIT.
A relação completa de processos x objetivos de TI, você poderá encontrar na página 52 do “COBIT 5: A
Business Framework for the Governance and Management of Enterprise IT”. Aqui mostro apenas uma
parte da tabela, a título de exemplo:
Por exemplo: para que o objetivo “09 IT agility” possa ser alcançado, a implementação de alguns
processos, contribuiriam de forma direta ao atingimento do objetivo:
APO01 Manage the IT Management Framework
APO03 Manage Enterprise Architecture
APO04 Manage Innovation
APO10 Manage Suppliers
BAI08 Manage Knowledge
EDM04 Ensure Resource Optimisation
Alguns processos, caso fossem implantados, contribuiriam de forma indireta para o objetivo:
APO02 Manage Strategy
APO05 Manage Portfolio
APO07 Manage Human Resources
APO09 Manage Service Agreements
APO11 Manage Quality
APO12 Manage Risk
BAI02 Manage Requirements Definition
BAI04 Manage Availability and Capacity
BAI05 Manage Organisational Change Enablement
BAI06 Manage Changes
BAI07 Manage Change Acceptance and Transitioning
BAI09 Manage Assets
BAI10 Manage Configuration
DSS01 Manage Operations
DSS03 Manage Problems
DSS04 Manage Continuity
EDM01 Ensure Governance Framework Setting and Maintenance
MEA01 Monitor, Evaluate and Assess Performance and Conformance
Imagine que você definiu o processo “APO10 Manage Suppliers” para implantar nesse momento. Quais as
atividades que deveriam ser desenvolvidas?
Conforme mencionei anteriormente, no toolkit há a planilha “12.COBIT5-Governance-and-Management-
Practices-Activities.xls”. Na aba “Processes-Practices” filtrando pelo Domain “Align, Plan and Organize” e
pelo Process ID “APO10”, você terá as práticas que compõem o processo.
Defina as práticas a serem implementadas.
Na mesma planilha na aba “Activities” você encontrará todas as atividades a serem desenvolvidas para as
práticas escolhidas. Por exemplo: para a prática “APO010.05 Monitor Supplier performance and
compliance”, as atividades são:
Ok. Mas se eu tenho que atingir um objetivo, tenho que ter uma forma de medir o desempenho do meu
processo. Para isso precisamos definir as métricas que serão utilizadas na medida. Essas métricas você
pode encontrar no “COBIT 5 Process Reference Guide”, mencionado no início do post:
Note que nesse documento por ser um draft, com erros, o objetivo está como “S” para o processo, quando
na verdade ele é “P”. No documento “COBIT 5 Enabling Processes”, disponível para aquisição no site do
ISACA, você encontrará as informações sem os erros. A apresentação da informação é um pouco diferente
também, como você pode notar abaixo:
No próximo post, passaremos a implementação.
