Saiba quais são as novidades
da versão 5 do COBIT®
10Minutos | Tecnologia da Informação
Por que conhecer o COBIT® 5
Abril 2014
Destaques
A utilização do COBIT® 5 como
guia de melhores práticas permite
alinhar de modo mais adequado a
tecnologia da informação com os
objetivos da organização.
O COBIT® 5 busca a excelência
operacional por meio de controles
aplicados diretamente aos principais
processos da organização. É o único
framework de negócios para a gestão e a
governança de TI de uma organização.
Um dos mais completos frameworks voltados para
governança de tecnologia da informação (TI) chega
à sua quinta edição.
Mantido pela ISACA (Information Systems Audit and
Control Association), uma organização independente e
sem fins lucrativos, o COBIT® 5 proporciona uma
visão de negócios de ponta a ponta e reflete o papel
central da informação e da tecnologia na criação de
valor para as corporações.
Nessa nova versão, os principais benefícios são o melhor
alinhamento da TI com os objetivos da organização e
a maior transparência em relação ao custo e o retorno
obtidos com os serviços prestados pela área de TI.
Outra vantagem importante é definir claramente
as responsabilidades nos processos de TI.
O COBIT® 5 se destina a empresas de todos os
tamanhos, do setor público ou privado, e está
aberto à customização. É um instrumento para
viabilizar a gestão dos riscos associados à TI e
determinar como direcioná-la de acordo com as
prioridades de negócio.
A versão 5 incorpora as últimas novidades sobre
as técnicas de gestão e governança de TI e fornece
princípios, modelos, práticas e mecanismos
globalmente aceitos. O objetivo é agregar valor ao
negócio através da TI e aumentar a confiança dos
stakeholders no retorno sobre seus investimentos.
Atingir a excelência operacional,
alcançar objetivos estratégicos e obter
vantagens comerciais são alguns dos
principais benefícios trazidos pelo
COBIT® 5.
DC0 - Informação Pública
1
Instantâneo
Principais mudanças
Adaptabilidade
O framework do COBIT® deixa de ser estático, podendo ser moldado conforme as necessidades e a realidade de cada organização.
Domínios e processos
Na versão 4.1 existiam 4 domínios e 34 processos. Na versão 5, são 5 domínios e 37 processos.
Modelo de maturidade
O modelo de maturidade de processo do COBIT® 4.1 foi alterado para avaliação de capacidade (Capability Assessment), com base na
ISO/IEC® 15504.
Integração
O COBIT® 5 permite integrar o COBIT® 4.1 com outros conjuntos de boas práticas e metodologias, como padrões ISO®, ITIL®, Val IT®,
Risk IT®, entre outros.
Governança
O COBIT® 5 faz uma clara distinção entre governança e gestão. Governança é definida como um nível estratégico e gestão, como um
nível executivo. Essas duas camadas possuem foco, estrutura organizacional e atividades distintas, porém com total interação
Tabela RACI (Responsible,
Accountable, Consulted
and Informed)
A tabela RACI do COBIT® 5 está mais abrangente, contemplando uma lista maior de agentes de governança. Isso possibilita definir
melhor as responsabilidades e os papéis de cada um dos envolvidos na concepção e na realização das atividades.
DC0 - Informação Pública
2
Alinhamento e benefícios
O COBIT® 5 é orientado a um conjunto de processos e
não apenas a um processo de negócio ou departamento
específico. O framework foca no resultado final gerado
pela TI e tem como propósito fornecer aos executivos
e gestores um modelo de governança que auxilie na
entrega de valor de TI, por meio do entendimento e do
gerenciamento dos riscos associados.
O COBIT® 5 define que a governança e o gerenciamento
de tecnologia da informação devem cobrir toda a
organização com os seguintes objetivos:
• Integração: a proposta principal dessa nova
versão é integrar a governança de TI com a
governança corporativa.
O COBIT® 5 pode trazer diversos benefícios, entre eles:
• Informações de alta qualidade para apoiar decisões
de negócios.
• Excelência operacional por meio da aplicação
confiável e eficiente da tecnologia.
• Informação: o COBIT® 5 trata a informação como
ativo necessário para toda a organização, não foca
apenas nas funções de TI.
• Riscos relacionados à tecnologia da informação em
um nível aceitável, considerando a tolerância e o
apetite ao risco de cada organização.
• Customização: apesar de possuir um alcance capaz
de cobrir todas as funções e os processos da
organização, o COBIT® 5 pode ser adotado apenas
para processos específicos.
• Otimização dos recursos de TI.
• Suporte à conformidade com leis, regulamentos,
acordos contratuais e políticas.
DC0 - Informação Pública
3
Os cinco princípios do COBIT®5
Princípio 1:
Atender às necessidades dos stakeholders
1. Atender
às necessidades
dos stakeholders
5. Separar a
governança
da gestão
Os 5 princípios
do COBIT® 5
4. Permitir
uma abordagem
holística
O principal objetivo da governança de TI é atender às
necessidades dos diversos stakeholders de uma corporação,
transformando-as em estratégias corporativas.
2. Compreender
toda a
empresa
3. Implantar
um framework
único e integrado
Princípio 2:
Compreender toda a empresa
O COBIT® 5 define que a governança e o gerenciamento
de TI devem abranger toda a organização, com o objetivo
de integrar a governança de TI com a governança
corporativa, tratar a informação como ativo necessário
para toda a empresa e cobrir todas as funções e processos.
Princípio 3:
Implantar um framework único e integrado
O COBIT® 5 está alinhado com as mais recentes normas
e frameworks utilizados no mercado (COSO, ITIL, ISO
27001, TOGAF, Prince 2, Six Sigma).
Princípio 4:
Permitir uma abordagem holística
Para apoiar a governança e o gerenciamento de TI
utilizando uma abordagem que engloba a organização
como um todo, incluindo seus componentes e suas
inter-relações, o COBIT® 5 define sete facilitadores:
processos; estrutura organizacional; cultura, ética e
comportamento; princípios, políticas e frameworks;
informação; serviços, infraestrutura e aplicações;
pessoas, habilidades e competências. Individual ou
coletivamente, esses facilitadores influenciam o
funcionamento da governança e da gestão de TI.
Princípio 5:
Separar a governança da gestão
O COBIT® 5 faz uma clara distinção entre governança
e gestão. Essas duas áreas englobam vários tipos de
atividades, exigem diferentes estruturas organizacionais
e servem a propósitos diversos.
Fonte: ISACA - www.isaca.org
DC0 - Informação Pública
4
Distinção entre governança
e gestão de TI
Principais áreas de atuação da governança e da gestão do COBIT®
Necessidades de negócio
Governança de TI compreende todas as práticas
relacionadas a avaliar, direcionar e monitorar os
processos e atividades de TI. Nessa camada, são
discutidos e aprovados os direitos de decisão, as políticas
e normas de alinhamento estratégico, a implementação
de processos e os mecanismos de controle que
direcionarão a gestão da TI.
Governança
Avaliar
Dirigir
Um dos princípios fundamentais da nova versão do
COBIT® é a distinção entre governança e gestão de TI
e as áreas de atuação de cada camada.
Gestão de TI é a camada de execução da TI. Compreende
todas as práticas relacionadas a planejar, desenvolver,
executar e monitorar os processos e atividades de TI,
sempre em constante alinhamento com o direcionamento
estratégico fornecido pela governança de TI. Isso
garante que os serviços de TI sejam entregues conforme
combinado, dentro do escopo esperado e do custo e da
qualidade acordados.
Monitorar
Feedback da
Administração
Gestão
Planejar
(APO)
Contruir
(BAI)
Executar
(DSS)
Monitorar
(MEA)
Fonte: ISACA - www.isaca.org
DC0 - Informação Pública
5
Ciclo de vida da implementação do
COBIT® 5
O ciclo de vida da implementação proposto
pelo ISACA é uma forma de as organizações
usarem o COBIT® 5 para lidar com a
complexidade e os desafios normalmente
encontrados durante as implementações.
Fase 1 – Quais são os direcionadores?
Monitorar
e avaliar
Reconhecer a
necessidade
de agir
Avaliar o
estado
atual
Operar
e medir
Definir o
estado
pretendido
Implementar
as melhorias
Construir
as melhorias
Reconhecer a necessidade de agir, estabelecer
o desejo de mudança e iniciar o programa.
Nesta etapa, define-se o Plano Estratégico de
Tecnologia da Informação.
Fase 2 – Onde estamos agora?
Avaliar o estado atual dos processos,
mobilizar a equipe de implementação e
definir os problemas e as oportunidades.
Esta etapa tem como propósito definir o escopo
da iniciativa de implementação ou melhoria,
utilizando o mapeamento dos objetivos de
negócio com os de TI.
Fase 3 – Onde queremos estar?
Existem três componentes inter-relacionados nas sete fases do ciclo de vida:
melhoria contínua (núcleo), habilitação de mudança (2º anel) e gerenciamento
do programa (3º anel).
Definir o estado desejado, comunicar o
resultado e definir o roteiro de implementação
(roadmap). Deve-se dar prioridade às
iniciativas mais fáceis de realizar e que trazem
mais benefícios.
Fase 4 – O que precisa ser feito?
Construir as melhorias, identificar os
envolvidos e planejar a implementação.
Focar em soluções práticas por meio da
definição de projetos apoiados por casos
de negócios justificáveis.
Fase 5 – Como vamos chegar lá?
Implementar as melhorias, executando o plano
de implementação definido na fase anterior,
operar e usar. As métricas podem ser definidas,
e o monitoramento, estabelecido para garantir
o alinhamento com as estratégias de negócio.
Fase 6 – Chegamos lá?
Operar e medir, incorporar novas abordagens
e obter benefícios. Esta etapa incide sobre a
operação sustentável dos processos novos ou
melhorados e o monitoramento da eficácia e
dos benefícios esperados.
Fase 7 – Como mantemos o ritmo?
Monitorar e avaliar, sustentar e revisar
a eficácia. Nesta etapa, realiza-se o
acompanhamento e a análise contínuos.
Fonte: ISACA
DC0 - Informação Pública
6
Principais diferenças em relação
ao COBIT® 4.1
A nova versão do framework traz cinco
alterações importantes:
1. Mudança de abordagem: foco em
princípios e facilitadores
A versão 4.1 do COBIT® estava focada nos objetivos de
controle. A versão 5 propõe uma abordagem de gestão
e governança baseada em princípios, que, por sua vez, é
viabilizada pelos facilitadores. Os princípios do COBIT® 5
são de fácil compreensão e permitem a entrega de valor
de forma mais eficaz.
2. Novo domínio de Governance of Enterprise
IT (GEIT)
Um dos domínios do COBIT® 5 é completamente
novo. “Avaliar, Direcionar e Monitorar” promove uma
distinção clara entre governança e gestão de TI, trazendo
cinco novos processos, todos relacionados exclusivamente
à governança.
3. Mudanças em domínios existentes
Quatro domínios sofreram mudanças com relação
à versão anterior e estão definidos como domínios
de gestão.
COBIT®4.1
COBIT®5
Plan and Organize
Align, Plan and Organize
(Planejar e Organizar)
(Alinhar, Planejar e Organizar)
10 processos
13 processos
Acquire and Implement
Build, Acquire and Implement
(Adquirir e Implementar)
(Construir, Adquirir e
Implementar)
7 processos
10 processos
Deliver and Support
Deliver, Service and Support
(Entrega e Suporte)
(Entrega, Serviço e Suporte)
13 processos
6 processos
Monitor and Evaluate
Monitor, Evaluate and Assess
(Monitorar e Avaliar)
(Monitorar, Avaliar e Analisar)
4 processos
3 processos
4. Descontinuação do Capability Maturity
Model (CMM)
O modelo de maturidade de processos que conhecíamos
no COBIT® 4.1 foi alterado para avaliação de capacidade
(Capability Assessment), baseado na ISO/IEC® 15504.
Essa mudança trouxe vários benefícios, como a
confirmação de que um processo está prestes a atingir
sua finalidade, sendo possível entregar seus resultados
como esperado; menor divergência de entendimento dos
stakeholders sobre os resultados obtidos nas avaliações de
capacidade dos processos; e maior aproveitamento dos
resultados das avaliações de capacidade.
5. Mudança nas responsabilidades
da tabela RACI
A matriz RACI é uma ferramenta utilizada para atribuição
de responsabilidades dentro de um determinado
processo. No COBIT® 5, a matriz RACI oferece uma gama
mais completa, detalhada e clara dos papéis para cada
prática de gerenciamento. Isso permite definir melhor
papéis e responsabilidades e/ou níveis de envolvimento
na concepção e na implementação de processos.
DC0 - Informação Pública
7
Para obter mais informações, entre em
contato com:
Edgar D’Andrea
Sócio líder da Prática de IT GRC no Brasil
Tel: 11 3674-3826
[email protected]
Eliane Kihara
Sócia da Prática de IT GRC no Brasil
Tel: 11 3674-2435
[email protected]
Rodrigo Milo
Diretor da Prática de IT GRC
Tel: 21 3232-6128
[email protected]
Luciano Lourenço
Gerente Sênior da Prática de Auditoria Interna
Tel: 11 3674-3402
[email protected]
Viviane Oliveira
Diretora da Prática de IT GRC
Tel: 11 3232-2345
[email protected]
Rejane Ribeiro
Gerente da Prática de IT GRC
Tel: 21 3232-6214
[email protected]
Compartilhe conosco o que você acha da
série 10Minutos e quais temas gostaria de
conhecer melhor.
Acesse: www.pwc.com.br/10minutosopiniao
Siga-nos Twitter@PwCBrasil
facebook.com/PwCBrasil
© 2014 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, “PwC” refere-se à PricewaterhouseCoopers Brasil Ltda, a qual é uma firma membro do network da
PricewaterhouseCoopers, sendo que cada firma membro constitui-se em uma pessoa jurídica totalmente separada e independente.
O termo “PwC” refere-se à rede (network) de firmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das firmas membro participantes da rede da
PwC. Cada firma membro da rede constitui uma pessoa jurídica separada e independente e que não atua como agente da PwCIL nem de qualquer outra firma membro. A PwCIL não presta serviços a clientes. A
PwCIL não é responsável ou se obriga pelos atos ou omissões de qualquer de suas firmas membro, tampouco controla o julgamento profissional das referidas firmas ou pode obrigá-las de qualquer forma. Nenhuma
firma membro é responsável pelos atos ou omissões de outra firma membro, nem controla o julgamento profissional de outra firma membro ou da PwCIL, nem pode obrigá-las de qualquer forma.
DC0 - Informação Pública
8
DC0 - Informação Pública