COBIT Focus Volume 2: Abril de 2014

Volume 2, Abril de 2014
Nesta edição:





DuPont estimula aprimoramento contínuo com o Modelo de avaliação de processos COBIT 5
Navegue no COBIT 5 no novo COBIT Online
A implementação do processo COBIT 5 é um "wicked problem"?
Planos para o futuro: Estratégia de crescimento do COBIT 5
Planejamento estratégico utilizando COBIT 5
DuPont estimula aprimoramento contínuo com
o Modelo de avaliação de processos COBIT 5
Por James F. Aliquo Jr., CISA, CRISC, e Zhiwei Fu, Ph.D., CISA, CRISC,
CGEIT, CFE, PMP
Ao longo do tempo, empresas aumentaram cada vez mais a aplicação de TI para
satisfazer as necessidades em constante mudança nos negócios e requisitos regulatórios.
Um programa de aprimoramento sistemático e contínuo agora é mais do que nunca
necessário para ajudar as empresas a avaliar as capacidades de gestão de TI, identificar
os pontos fortes, pontos fracos e fatores de risco com relação aos requisitos de negócio
e implementar mudanças em processos para aperfeiçoar os serviços e operações
necessários para satisfazer as necessidades stakeholders e corporativas. Em essência, o
aprimoramento contínuo ajuda uma organização a se concentrar em “fazer as coisas
certas” e a aperfeiçoar continuamente sua efetividade e eficiência.
Para satisfazer com sucesso essa necessidade, a DuPont reconheceu que deve aproveitar
um modelo robusto e confiável de avaliação de processos para impulsionar seu programa
de aprimoramento contínuo. O Modelo de avaliação de processos (PAM) do COBIT® 51 se
baseia em evidências e permite uma avaliação confiável, consistente e repetível na área
de governança e gestão corporativas de TI (GEIT) para oferecer suporte ao
aprimoramento contínuo de processos (o COBIT Assessment Programme 2). Organizações
de treinamento certificadas oferecem treinamento em abordagem de avaliação e uma
certificação de avaliador, e a certificação de Avaliador COBIT 5 Certificado é
disponibilizada pela ISACA®.
A DuPont aplicou com sucesso o COBIT para manter sua conformidade em gestão,
governança e auditoria de processos por um período de anos e, portanto, decidiu utilizar o
PAM do COBIT® 5. A IBM Global Business Services, uma das melhores prestadoras de
serviços de consultoria e possui amplos conhecimentos sobre implementação do COBIT,
experiência profunda em gestão e governança de processos de TI corporativos e domínio
completo dos setores privado e público, que foi solicitada para executar uma avaliação
independente das capacidades de processos para a DuPont.
Histórico da DuPont
A E. I. du Pont de Nemours and Company, comumente chamada de DuPont, é uma
empresa química americana que faz parte da lista Fortune 500. A visão da DuPont é ser
a empresa científica mais dinâmica do mundo, criando soluções sustentáveis essenciais
para uma vida melhor, mais segura e mais saudável para as pessoas em todos os lugares.
Por mais de 200 anos, a DuPont atendeu mercados tão diversificados quanto agricultura,
Solicitação de artigos
Como você está utilizando o
COBIT® em sua empresa?
Envie artigos sobre sua
experiência com esta estrutura.
Prazo para enviar textos para
o volume 3, 2014:
10 de junho de 2014
Envie artigos para
revisão por pares para:
[email protected]
Estudos de caso
Visite as páginas
Reconhecimento do COBIT e
Estudos de caso para ler mais
estudos de caso do COBIT 5 e
COBIT 4.1.
nutrição, componentes eletrônicos e comunicações, segurança e proteção, habitação e construção, transporte e vestuário. Ao longo
dos anos, a DuPont progrediu para se tornar uma líder mundial em inovação e ciência orientadas pelo mercado. Ela levou ciência e
engenharia de nível internacional ao mercado global por meio de produtos, materiais e serviços inovadores, e lançou milhares de
novos produtos e pedidos de patente todos os anos. A organização de serviços de informação e TI da DuPont presta serviços de
comunicação e informações integrados globalmente e fornece infraestrutura de informática que permitem que a empresa ofereça
soluções para as necessidades mais urgentes do mundo, e, o mais importante, usa informações e tecnologia para se obter uma
vantagem competitiva que estimula o crescimento dos negócios para a empresa.
Estabelecimento da avaliação do PAM do COBIT 5
O PAM do COBIT 5 é um modelo de avaliação de capacidades do processo com base em ISO/IEC 15504 que incorpora o COBIT 5
como o Modelo de referência do processo (PRM) para requisitos básicos e a ISO/IEC 15504 é utilizada como base para a estrutura
de medida para determinar os níveis de capacidade.
O COBIT 5 reúne os cinco princípios essenciais que permitem que empresas desenvolvam uma estrutura de governança e gestão
eficaz e um conjunto holístico de sete facilitadores que ajudam empresas a otimizar investimentos em informações e tecnologia e a
utilização para benefício stakeholders. Além disso, o COBIT 5 permite que informações e tecnologias relacionadas sejam
administradas e gerenciadas de uma maneira holística para empresas inteiras, incluindo as áreas de negócios e funcional, de ponta
a ponta e considerando os interesses de TI, e de stakeholders internos e externos. Os princípios e facilitadores do COBIT 5 são
genéricos e úteis para empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou do setor público.
A norma ISO/IEC 15504 identifica a avaliação de processos de gestão como uma atividade que possa ser realizada como parte de
uma iniciativa de aprimoramento de processos, e ou como parte de uma abordagem para determinação de capacidades. A
finalidade do aprimoramento de processos é melhorar continuamente a efetividade e a eficiência da gestão da empresa e o objetivo
da determinação de capacidades do processo é identificar os pontos fortes, pontos fracos e fatores de risco de processos de gestão
selecionados em relação a um requisito específico por meio de processos usados e seu alinhamento às necessidades de negócios.
Utilizar a norma ISO/IEC 15504, em conjunto com o amplamente aceito modelo do COBIT para GEIT, torna o PAM do COBIT 5 a
base para uma abordagem de avaliação robusta, confiável e escalonável. A Figura 1 ilustra a arquitetura de alto nível do PAM do
COBIT 5.
O PAM do COBIT 5 consiste nas dimensões de processo e de capacidade, mais um conjunto de indicadores de desempenho de
processos específicos para cada
Figura 1 — Modelo de avaliação de processos do COBIT 5
processo e utilizados para determinar
se um processo está no nível de
capacidade 1, e em um conjunto de
indicadores de atributos genéricos
de capacidade do processo que se
aplicam anos níveis de capacidade
de 1 a 5. Os indicadores de atributos
de capacidade do processo são
genéricos para cada atributo do
processo e são utilizados como a
base para coletar evidências objetivas
que permitem determinar as
classificações de capacidade do
processo. As dimensões de processo
do PAM utilizam o PRM do COBIT 5,
em que os processos de governança
e gestão são definidos em um ciclo de
vida e classificados em categorias de
processos com uma arquitetura que
descreve o relacionamento entre
os processos. A dimensão de
Fonte: ISACA, Assessor Guide: Using COBIT® 5, EUA, 2013
capacidade fornece uma medida da
capacidade de um processo para satisfazer os objetivos de negócio atuais ou projetados para o processo corporativo, expressa
em termos de nove atributos de processos agrupados em cinco níveis de capacidade. A Figura 2 ilustra o PAM bidimensional do
COBIT 5 com o PRM como a dimensão do processo e a estrutura de medida da norma ISO/IEC 15504 como a dimensão de
capacidade.
Volume 2, Abril de 2014
Página 2
O PRM do COBIT 5 subdivide os processos, práticas e atividades relacionados a TI da empresa em duas áreas principais: governança e
gestão. A governança garante que as necessidades, condições e opções stakeholders sejam avaliadas para determinar que objetivos
acordados da empresa sejam alcançados, definindo a direção por meio de priorização e tomada de decisões e monitorando o
desempenho e a conformidade em relação aos objetivos corporativos. A gestão garante que as atividades de gestão de Planejamento,
Criação, Execução e Monitoramento (PBRM) de TI sejam executadas em alinhamento com a direção, e definida pelo corpo de
Figura 2 — As dimensões de capacidade e processo do PAM
Process Dimension
Capability Dimension
PAM Model
Fonte: ISACA, Assessor Guide: Using COBIT® 5, EUA, 2013, Figuras 3, 5 e 6; ISACA, COBIT® Process Assessment Model (PAM): Using
COBIT® 5, EUA, 2013, Figura 2
governança a fim de alcançar os objetivos corporativos.
Os níveis de capacidade do processo do PAM começam no nível zero (processo incompleto), passam para o nível um (processo
Volume 2, Abril de 2014
Página 3
executado) e depois para o nível dois (processo gerenciado), o que geralmente representa a exibição de instâncias de um
programa ou projeto individual. No nível dois, as práticas básicas de gestão são executadas de uma forma gerenciada (planejada,
monitorada e ajustada) para alcançar as finalidades do processo, com produtos de trabalho estabelecidos, controlados e mantidos
apropriadamente. Os níveis três de capacidade do processo (processo estabelecido), quatro (processo previsível) e cinco (processo
otimizado) representam a visão empresarial da capacidade corporativa de um processo, no qual o processo de nível empresarial
padrão é implantado e operado com limites definidos para alcançar os resultados do processo, e aprimorado para atingir os
objetivos de negócios relevantes, atuais e futuros. A avaliação do PAM do COBIT 5 avalia se e quão bem os atributos específicos
de cada nível do processo são alcançados, e proporciona um grau de confiança nos resultados da avaliação que indica a
capacidade geral dos processos de gestão. É atribuída uma classificação que indica o nível de realização, com base em evidências
objetivas e validadas para cada atributo do processo. O nível de capacidade de um processo é determinada com base na
realização de atributos específicos do processo de acordo com a norma ISO/IEC 15504, isto é, independentemente dos atributos do
processo no nível em questão terem sido ampla e totalmente alcançados e dos atributos do processo do nível inferior terem sido
completamente atingidos.
Planejamento e escopo da avaliação do PAM do COBIT 5
O planejamento diligente da avaliação e o escopo apropriado foram cruciais para o sucesso da avaliação do PAM do COBIT 5 na
DuPont. Isso envolveu identificar as tendências de negócios relevantes da DuPont e as necessidades associadas stakeholders para
a avaliação do processo, selecionar os processos que seriam incluídos no escopo da avaliação, identificar quaisquer restrições
relevantes, selecionar os participantes da avaliação e a equipe de avaliação, e definir suas respectivas funções e
responsabilidades. A DuPont e a IBM colaboraram com as partes interessadas relevantes e determinaram o escopo da avaliação,
os processos de gestão a serem avaliados, as restrições e os participantes da avaliação e o tipo de avaliação a ser executada
(classe dois). Com base no escopo e nos requisitos da avaliação, a IBM estabeleceu uma equipe de avaliação do PAM com
avaliadores competentes e certificados, independentes das organizações que executam os processos de gestão.
Foi essencial para o planejamento e a definição do escopo da avaliação que a equipe de avaliação tenha identificado e analisado
os requisitos de negócios e regulatórios da DuPont e desenvolvido várias ferramentas de diagnóstico, modelos de avaliação,
diretrizes e procedimentos para garantir a padronização e consistência da avaliação em todos os processos avaliados. Diversos
modelos e ferramentas de avaliação foram desenvolvidos e aplicados pela equipe de avaliação que atenderam de forma eficaz às
necessidades de avaliação e stakeholders. A equipe de avaliação gerenciou o plano, o escopo e o cronograma da avaliação por
meio de acompanhamento constante e comunicação contínua com a liderança e as partes interessadas associadas da DuPont.
Todos os problemas, status, alterações e atualizações da avaliação foram identificados e comunicados de maneira oportuna às
partes interessadas apropriadas da DuPont para que fossem tomadas as ações adequadas.
Execução da avaliação do PAM do COBIT 5
A avaliação do PAM do COBIT 5 foi realizada com base na classe da avaliação (classe dois) e no escopo da avaliação escolhidos
pela gerência da DuPont (de acordo com o Assessor Guide: Using COBIT 53) com o objetivo de determinar se os processos de
gestão na DuPont satisfizeram as necessidades de negócios e dos requisitos regulatórios, alcançaram as finalidades dos
processos, aplicaram as boas práticas, gerenciaram os ciclos de vida dos processos e produziram os produtos de trabalho
apropriados. Diversas técnicas de avaliação foram desenvolvidas e aplicadas na avaliação dos processos, incluindo:
 Avaliação de diagnóstico e conscientização da gerência;
 Questionários e listas de verificação da gerência para confirmar os resultados;
 Técnicas de amostragem para determinar se os resultados do processo ocorreram (ou não);
 Declarações da gerência corroboradas por clientes e outras fontes;
 Entrevistas com a equipe para avaliar seu conhecimento, competência, conscientização e comportamentos;
 Análises de processos, políticas e procedimentos operacionais padrão;
 Instâncias de processos e dadosde amostra identificados, coletados e analisados;
 Amostra de processos, procedimentos, reuniões e análises analisadas e avaliadas.
Aproveitando as técnicas de avaliação apropriadas desenvolvidas pela equipe de avaliação da IBM, em conjunto com o suporte da
DuPont, a equipe realizou extensas análises e entrevistas de gestão de processos com as partes interessadas internas e externas.
A equipe de avaliação confirmou que as evidências e itens coletados de várias fontes foram suficientes e objetivas, além de garantir
que os dados como um todo eram consistentes com os requisitos da classe e do escopo da avaliação. A análise aprofundada e a
validação das evidências e dos itens de suporte foram, posteriormente, executadas para avaliar se existiam as práticas de gestão
básica para os processos de gestão, se essas práticas alcançaram a finalidade e os resultados do processo e o desempenho dos
processos de gestão, o que levaram ao estabelecimento de perfis e recomendações de processos da DuPont para fins de
aprimoramento contínuo.
Volume 2, Abril de 2014
Página 4
Figura 3 — O roteiro de aprimoramento do modelo
2013 Process Capability Level
Process Name
In Scope
Applicable Process Improvement Opportunities
(PIO) with Recommended Priority
20XX Target Level
Level 1
Level 2
Level 3
Level 4
Level 5
Align, Plan and Organize
APO01
Manage the IT Management Framework
F
L
APO09
Manage Service Agreements
F
F
L
Level 2
Level 3
APO11
Manage Quality
F
F
L
Level 3
APO12
Manage Risk
L
Level 2
APO13
Manage Security
L
Level 2
Build, Acquire and Implement
BAI01
Manage Programs and Projects
F
F
BAI03
Manage Solutions Identification and Build
F
L
L
Level 3
BAI04
Manage Availability and Capacity
F
F
BAI06
Manage Changes
L
P
Level 2
BAI07
Manage Change Acceptance and Transitioning
F
L
Level 2
BAI08
Manage Knowledge
P
BAI09
Manage Assets
F
BAI10
Manage Configuration
L
Level 2
L
Level 3
Level 2
L
Level 2
Level 2
Deliver, Service and Support
DSS01
Manage Operations
L
DSS02
Manage Service Requests and Incidents
F
Level 2
DSS03
Manage Problems
L
DSS05
Manage Security Services
L
DSS06
Manage Business Process Controls
F
P
Level 3
L
Level 2
F
P
Level 3
Level 2
Level 3
Monitor, Evaluate and Assess
MEA01
Monitor, Evaluate and Assess Performance and Conformance
F
MEA02
Monitor, Evaluate and Assess the System of Internal Control
L
MEA03
Monitor, Evaluate and Assess Compliance with External Requirements
F
Legend:
Level 2
F
P
Level 3
The high priority path of the roadmap
The improvement opportunity number and associated level of High priority
The Medium priority path of the roadmap
The improvement opportunity number and associated level of Medium priority
The Low priority path of the roadmap
The improvement opportunity number and associated level of Low priority
Fonte: E. I. du Pont de Nemours and Company
Desenvolvimento e comunicação dos resultados da avaliação
Os resultados da avaliação foram analisados e informados em um relatório detalhado da avaliação, que incluiu uma abordagem e
análise gerais da avaliação, uma determinação do nível de capacidade atual, problemas principais (como pontos fracos observados
nas capacidades dos processos e oportunidades de aprimoramento) e recomendações para aprimoramento dos processos. O
relatório detalhado da avaliação foi fornecido ao patrocinador da avaliação da DuPont na conclusão da carga de trabalho da
avaliação. Também foram fornecidos um resumo de gestão e um resumo executivo de alto nível na forma de uma apresentação
para a equipe de liderança da DuPont. Os perfis de capacidade e o roteiro de aprimoramentos dos processos também foram
adequadamente estabelecidos para os processos de gestão avaliados, com os problemas principais analisados, lacunas de
capacidade providenciados e metas de níveis fornecidas para os respectivos processos. A Figura 3 ilustra o modelo de roteiro de
aprimoramentos SMART (específico, mensurável, acionável, realista e com prazo determinado) para o aprimoramento contínuo.
Implementação do roteiro de aprimoramento contínuo
O aprimoramento contínuo das capacidades dos processos de gestão em seu ciclo de vida vai além de simplesmente remediar ou
mitigar esse problemas ou pontos fracos identificados nos processos. Os esforços de aprimoramento contínuo precisam ficar bem
alinhados aos objetivos de negócios e às tolerâncias a riscos da empresa, e devem ser gerenciados de forma holística em toda a
empresa com estratégia, prioridade e recursos apropriados, utilizando os sete facilitadores do COBIT 5. A organização de
governança da DuPont assegurou que as metas de níveis de capacidade dos processos fossem definidas em alinhamento com a
visão estratégica e os objetivos de negócios de TI, para o equilíbrio ideal do valor dos negócios, dos níveis de risco e do uso de
recursos, e para que a execução da gestão do roteiro de aprimoramento dos processos, com funções e responsabilidades
definidas, fosse realizada e administrada continuamente durante todo o ciclo de vida. A Figura 4 ilustra o cenário de aprimoramento
contínuo com os sete facilitadores do COBIT 5.
Volume 2, Abril de 2014
Página 5
Figura 4 — Aprimoramento contínuo por meio de sete facilitadores
Conclusão
As empresas aperfeiçoam
continuamente as capacidades
de seus processos para
enfrentar os complexos e
dinâmicos desafios dos
negócios. Para tanto, é crucial
adotar uma estrutura robusta de
avaliação de processos, executar
uma avaliação confiável para os
reportes internos e estabelecer
uma base sólida para a
determinação de capacidades e
o aprimoramento contínuo dos
processos. Além disso, de forma
geral, se entende que quanto
maior for capacidade do
processo, menor será o risco de
o processo não satisfazer sua
finalidade proposta, e quanto
maior a capacidade, mais caro
será para operar o processo.
Este estudo de caso apresenta
uma avaliação de capacidade de
processo com o PAM do COBIT
5 para uma empresa da lista
Fortune 500. Esta avaliação
do PAM do COBIT 5 ajudou
a DuPont a estabelecer
referências apropriadas para
o processo e um roteiro de
Fonte: E. I. du Pont de Nemours and Company
aprimoramento SMART bem
equilibrado para melhorar
continuamente suas capacidades de informações e tecnológicas para a obtenção de uma vantagem competitiva e estimular o
crescimento dos negócios da empresa. O PAM do COBIT 5 se baseia em uma norma ISO para uma avaliação de capacidade com
base em evidências que, se implementado apropriadamente, pode beneficiar muito empresas de todos os tamanhos, sejam elas
comerciais, sem fins lucrativos ou do setor público.
Agradecimentos
Os autores desejam agradecer Eric Mittnight, Michael T. Clark, John W. Lainhart, Christopher M. Ballister, James L. Golden e Jose
Martinez da IBM e Dana F. Ormerod da DuPont por suas excepcionais contribuições para a avaliação do PAM do COBIT 5 na
DuPont e o desenvolvimento deste estudo de caso.
Referências
International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), 20000:2006, IT Service
Management Standard, Suíça, 2006
ISO/IEC, 27001:2005, Information technology—Security techniques—Information security management systems—Requirements,
Suíça, 2005
ISO/IEC, 38500:2008, Corporate Governance of Information Technology Standard, Suíça, 2008
ISACA, COBIT ® 5, EUA, 2012
Volume 2, Abril de 2014
Página 6
ISACA, COBIT® 5 for Assurance, EUA, 2013
Atualização de pesquisa
ISACA, COBIT® 5 Enabling Process, EUA, 2012
Materiais do COBIT
recentemente liberados
ISACA, COBIT® 5 Implementation, EUA, 2012
ISACA, COBIT® 5 for Information Security, EUA, 2013

Project Management Institute, Project Management Body of Knowledge (PMBOK2®),
EUA, 2008
James F. Aliquo Jr., CISA, CRISC
É o gerente global de controles e conformidade de ITP (Tecnologia e processos de
informação) da DuPont. Aliquo projetou e implementou muitos dos processos de risco de TI
sendo utilizados no departamento de ITP da DuPont. Ele é um forte defensor da incorporação
do COBIT, mais especificamente, os aspectos de modelagem de maturidade e sua utilidade
em relação à execução e análise abrangentes dos processos.
Zhiwei Fu, Ph.D., CISA, CRISC, CGEIT, CFE, PMP
É o executivo sênior de GRC (Governança, risco e conformidade) e cibersegurança da
IBM Global Business Services. Ele tem ampla experiência em projetos, implementação e
avaliação de programas de governança e conformidade e controles de TI em vários setores
e organizações de serviços de terceiros. Ele é um renomado pesquisador e praticante de
análise, modelagem e otimização de negócios, medição de desempenho e aprimoramento
de processos, com diversos artigos publicados em revistas especializadas, séries de livros
e documentação de conferências internacionais.
Notas
1
2
3
ISACA, COBIT® Process Assessment Model (PAM): Using COBIT® 5, EUA, 2013
ISACA, COBIT® 5 Assessment Programme, EUA, 2013
ISACA, Assessor Guide: Using COBIT® 5, EUA, 2013
Gestão de fornecedores:
Utilização do COBIT 5
Próximos lançamentos do
COBIT 5 no segundo trimestre
de 2014



Cenários de risco do COBIT® 5
para controles
de risco e acreditação na
nuvem: Utilização do COBIT® 5
COBIT® 5 online: Acesso a
publicações na família de
produtos COBIT 5 e outros
conteúdos não COBIT da ISACA
e materiais atuais relevantes de
GEIT
Para obter mais informações sobre
publicações do COBIT, visite a
página do COBIT 5 no site da
ISACA. Traduções do COBIT 5 estão
disponíveis na página Família de
produtos COBIT.
Navegue no COBIT 5 com o novo COBIT Online
Por John W. Lainhart IV, CISA, CISM, CGEIT, CRISC
O COBIT® 5 online oferecerá ao usuário uma experiência muito aprimorada com seu lançamento previsto para o terceiro trimestre
de 2014. A nova versão online do COBIT 5 proporcionará aos usuários a capacidade de navegar na família de produtos COBIT® 5,
que inclui COBIT® 5, COBIT® 5 Implementation, COBIT® 5: Enabling Processes, COBIT® 5: Enabling Information, COBIT® 5 for
Assurance, COBIT® 5 for Information Security e COBIT® 5 for Risk.
Além de obter acesso online a esse materiais, os usuários poderão ler notícias e outros artigos da ISACA ® relacionados ao COBIT®.
Os usuários também poderão publicar seu feedback no conteúdo ao qual outras pessoas poderão responder ou simplesmente
aproveitar enquanto navegam no COBIT. Esse intercâmbio em tempo real de conhecimentos e experiências permitirá que os
usuários compartilhem suas habilidades além de fronteiras geográficas e setoriais.
Os usuários que adquiriram publicações adicionais na família de produtos COBIT 5 poderão acessá-las, ou fazer o download delas,
em sua instância exclusiva do COBIT online. Futuras versões do site incluirão um conjunto de ferramentas para criar objetivos
individualizados e tabelas RACI (Responsável, Aprovador, Consultado e Informado) para cada prática de governança e gestão.
Consulte as atualizações na página COBIT 5 Online do site da ISACA.
John W. Lainhart IV, CISA, CISM, CGEIT, CRISC
É o líder da área de cibersegurança e serviços de privacidade para o setor público nos EUA da IBM Global Business Services. Ele
foi presidente internacional da ISACA e membro do Comitê de Estrutura a ISACA e da Força-tarefa do COBIT 5. Ele foi membro do
Comitê de Governança de TI, onde trabalhou nas iniciativas COBIT®, Val IT® e Risk IT®.
Volume 2, Abril de 2014
Página 7
A implementação do processo COBIT 5 é um "wicked problem"?
Por João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT Certificado, Carlos Henrique de Luca
Ribeiro, COBIT(F), e Diana Santos
“Alguns problemas são tão complexos que você precisa ser muito inteligente e bem informado apenas para ficar indeciso sobre
eles.”1
Problemas extremamente complexos, como degradação ambiental, obesidade, mudança climática, inclusão indígena, terrorismo,
pobreza e conflitos religiosos são frequentemente chamados de "wicked problems" (ou numa tradução aproximada: problemas
perversos). O conceito de wicked problem foi introduzido por Charles Churchman, Horst Rittel e Melvin Webber, planejadores
urbanos da Universidade da Califórnia em Berkeley (EUA) os quais foram os primeiros a usar a abordagem de processos sociais
para solucionar problemas complexos, em oposição aos estilos cognitivos de profissionais que usavam como fundamento uma
visão mecanicista newtoniana.2, 3
Nem todos os problemas são perversos. Os wicked problems precisam ser diferenciados dos problemas comuns ou problemas
solucionáveis ("tame problems"). Ao contrário de um wicked problem, um tame problem é aquele em que o pensamento tradicional,
estudos cognitivos e métodos atuais de gestão de projetos indicam que a melhor forma de enfrentá-lo é seguir um processo de
"cima para baixo" — uma abordagem ordeira e linear — trabalhando a partir do problema até encontrar a solução.4 Essa lógica
normalmente é suficiente para se alcançar uma solução viável em um período razoável de tempo coletando e analisando dados
e identificando os requisitos para especificar o problema. Em seguida, o gestor poderá formular e implementar uma solução.
Portanto, o modelo em cascata é indicado para tame problems porque eles têm um padrão de solução linear reconhecido
na literatura de gestão de projetos com ampla utilização no setor de software.
Um problema pode ter características tame ou wicked (Figura 1), o que não significa que a determinação do grau de perversidade
seja algo binário, pois a maioria dos problemas possui diferentes graus de complexidade. A existência de problemas propagados
em um espectro determina o limite e o intervalo entre os problemas solucionáveis e os perversos.5
Resultados e discussão
As 10 características dos problemas perversos são descritas e avaliadas para a implementação do COBIT 5 na Figura 1.6, 7, 8
Figura 1 — Avaliação das 10 características dos wicked problems para a implementação do COBIT 5
Características dos wicked
problems
1. Há um grande número de
stakeholders.
2.
O contexto está em constante
mudança.
3.
Não há soluções certas ou
erradas para os problemas.
4.
Não há consenso sobre a
solução para um problema.
5.
"Wicked problems não têm
uma solução final.
Volume 2, Abril de 2014
Avaliação para implementação do COBIT 5
Os processos do COBIT 5 possuem um grande número de stakeholders. A Figura 2 apresenta
o número de stakeholders responsáveis, aprovadores e consultados que participam de todos
os processos, de um total de 26 stakeholders listados.9 (Os stakeholders informados não
foram incluídos porque essa função foi considerada passiva). Além do grande número de
stakeholders envolvidos na maioria dos processos, a gestão daqueles com históricos,
interesses, objetivos e responsabilidades muito diferentes geram um desafio complexo para a
implementação do COBIT 5.
Os processos de negócios e de TI são muito dinâmicos, exigindo constante adaptação.
“Estruturas, melhores práticas e normas só são úteis se forem adotadas e adaptadas de forma
eficaz. Há desafios que devem ser superados e problemas que precisam ser resolvidos para
que a governança corporativa de TI (GEIT) seja implementada com sucesso.”10
O COBIT 5 não sugere que haja uma solução exclusiva para problemas de GEIT. Cada
implementação deve ser adaptada às necessidades da organização. Se uma organização
decidir não implementar um processo específico, isso não é certo nem errado, é apenas
adequado.
Todos os problemas de governança de TI podem ser enfrentados por mais de uma forma e
isso depende muito das experiências e do histórico dos gestores. “Cada empresa aplicará seu
próprio plano ou roteiro específico, dependendo, é claro, de fatores como seu setor e ambiente
de negócios, bem como de sua cultura e de seus objetivos.”11
"O programa de implementação e aprimoramento normalmente é contínuo e iterativo. Durante
a última fase, novos objetivos e requisitos serão identificados e um novo ciclo será iniciado.”12
Página 8
6.
Não há uma formulação
definitiva para um wicked
problem. A escolha da
explicação determina a
natureza da resolução do
problema.
7.
Cada wicked problem é,
essencialmente, único e novo.
8.
O problema não é
compreendido até que uma
solução tenha sido
desenvolvida.
9.
Toda solução para um wicked
problem é uma "operação de
tiro único", pois não há a
oportunidade de se aprender
por tentativa e erro, e todas as
tentativas contam
significativamente.
10. Wicked problems não
possuem soluções
alternativas.
“Muitos fatores podem indicar a necessidade de práticas de GEIT novas ou revisadas. No
entanto, é importante observar que esses sintomas podem não apontar apenas para os
problemas subjacentes que precisam ser tratados, mas também poderiam indicar outros
problemas (ou uma combinação de fatores). Por exemplo, se a empresa tiver a percepção de
que os custos de TI são inaceitavelmente altos, isso pode ocorrer devido a problemas de
governança e/ou gestão (como utilização de critérios inadequados no processo de gestão de
investimentos de TI), mas também pode ter como causa um histórico de investimentos
insuficientes em TI, que agora se manifesta na necessidade de se fazer investimentos
significativos.”13
"A implementação de GEIT em cada empresa, portanto, será diferente e o contexto precisa ser
compreendido e considerado para se projetar o ambiente ideal de GEIT, seja ele novo ou
aprimorado."14
Quando uma solução é implementada, ela expõe novos aspectos do problema, exigindo
ajustes da solução em potencial. O problema é um conjunto mal estruturado e em evolução de
questões e restrições entrelaçadas. "O programa de implementação e aprimoramento
normalmente é contínuo e iterativo. Durante a última fase, novos objetivos e requisitos serão
identificados e um novo ciclo será iniciado.”15 Além disso, o problema varia de acordo com o
interlocutor. Diferentes stakeholders (há muitos listados no COBIT 5) têm opiniões diferentes
sobre o que é o problema e o que constitui uma solução aceitável.
“Não é possível construir uma autoestrada para ver como ela funciona.”16 “Essa é a dificuldade
dos wicked problems: não é possível aprender sobre o problema sem tentar soluções, mas
toda solução tentada é cara e possui consequências duradouras involuntárias que
provavelmente irão gerar novos wicked problems.”17 A mesma coisa acontece quando a
governança de TI é implementada. Para conhecer o contexto, a empresa e os stakeholders, é
necessário começar em algum ponto e evoluir a partir daí.
“Talvez não haja soluções, ou podem existir diversas soluções em potencial que são criadas,
mas várias outras que nunca foram nem pensadas. Portanto, precisa-se de criatividade para
criar soluções em potencial e de bom senso para determinar quais são válidas, quais devem
ser adotadas e implementadas.”18 Mais uma vez, diferentes stakeholders têm opiniões
diferentes sobre o que é o problema e o que constitui uma solução aceitável. Portanto,
naturalmente, haverá um grande grupo de soluções em potencial.
Utilizando essas características para estudar as práticas de governança de TI da Administração Pública Federal do Brasil no
espectro da perversidade ("wickedness") dos problemas, descobriu-se que as duas primeiras características listadas na Figura 1
são particularmente perversas no contexto de governança de TI.19
A Figura 2 apresenta, para cada processo do COBIT 5, quantos stakeholders são listados como responsáveis, aprovadores ou
consultados. Os números variam de 7 a 24 stakeholders, o que indica que esta é realmente uma questão que deve ser levada em
consideração.
Figura 2 — Número de stakeholders RAC (Responsáveis, aprovadores ou consultados) para processos do COBIT 5
COBIT 5
Processos
EDM01
EDM02
EDM03
EDM04
EDM05
APO01
APO02
APO03
APO04
APO05
RAC
Stakeholders
16
18
15
17
8
24
22
18
14
19
Volume 2, Abril de 2014
COBIT 5
Processos
APO06
APO07
APO08
APO09
APO10
APO11
APO12
APO13
BAI01
BAI02
RAC
Stakeholders
17
14
18
16
15
21
15
21
21
15
COBIT 5
Processos
BAI03
BAI04
BAI05
BAI06
BAI07
BAI08
BAI09
BAI10
DSS01
DSS02
RAC
Stakeholders
14
7
21
13
15
14
12
8
11
11
COBIT 5
Processos
DSS03
DSS04
DSS05
DSS06
MEA01
MEA02
MEA03
RAC
Stakeholders
9
12
11
13
19
18
17
Página 9
Conclusão
A implementação dos processos de governança e gestão do COBIT 5 possui muitas características de um wicked problem
("problema perverso"). Portanto, os gestores responsáveis pela implementação devem estar cientes que lidar com esse tipo de
problema requer soluções inovadoras, colaborativas e abrangentes que levem em consideração os vários elementos de GEIT e
os aspectos relacionados a problemas perversos e complexidades sociais.
João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT Certificado
Possui mais de oito anos de experiência em governança de TI aplicando o COBIT nos Correios do Brasil. Também é responsável
pela área de pesquisa de governança de TI na Universidade Católica de Brasília. É fundador e diretor educacional da Filial da
ISACA de Brasília (Brasil).
Carlos Henrique de Luca Ribeiro, COBIT(F)
É consultor do diretor de logística dos Correios do Brasil. Possui ampla experiência em governança de TI, na implementação de
processos do COBIT e na gestão de cadeias de suprimentos.
Diana Santos
Chefe da divisão de sistemas de informação da agência do Governo Federal do Brasil relacionada ao Poder Judiciário, onde
colabora com a governança de TI e a implementação de processos do COBIT. É diretora associada da Filial da ISACA de Brasília.
Notas
1
Peter, Laurence J.; Peter’s Almanac, 1977
2
Churchman, Charles West; “Wicked Problems,” Management Science, EUA, Vol. 14, Nº. 4, 1967, p. 141-142
3
Rittel, Horst; Melvin Webber; “Dilemmas in a General Theory of Planning,” Policy Sciences, Holanda, Vol. 4, Nº. 2, Junho de 1973, p. 155-169
4
Conklin, J.; W. Weil; Wicked Problems: Naming the Pain in Organizations, Group Decision Support Systems Inc., EUA, 1997, p. 1-11
5
UK Climate Impacts Programme, Attributes of Well-adapting Organisations, Environmental Change Institute, Universidade de Oxford, Reino Unido,
2010
6
Op cit, Rittel
7
Conklin, Jeff; Dialogue Mapping: Building Shared Understanding of Wicked Problems, 1ª Edição, Wiley, EUA, 2006, p. 242
Roberts, Nancy; “Wicked Problems and Network Approaches to Resolution,” International Public Management Review, v. 1/1, 2000
8
9
ISACA, COBIT 5: Enabling Processes, EUA, 2012
10
ISACA, COBIT 5 Implementation, EUA, 2012, p. 10
11
Ibid., p. 11
12
Ibid., p. 18
13
Ibid., p. 21
14
Ibid., p. 13
15
Ibid., p. 18
16
Op cit, Rittel
17
Op cit, Conklin 2006
18
Ibid.
19
Ribeiro, Carlos Henrique de Luca; “Práticas de Governança de TI na Administração Pública Federal caracterizadas no espectro da
perversidade ("Wickedness") dos problemas,” Universidade Católica de Brasília, Brasília, 2012
Volume 2, Abril de 2014
Página 10
Planos para o futuro: Estratégia de crescimento do COBIT 5
Por Robert E. Stroud, CGEIT, CRISC
Em 2013, a Força-tarefa de Estratégia de crescimento do COBIT identificou atividades e resultados essenciais para aumentar a
adoção e a utilização do COBIT® 5. Essas atividades foram definidas por meio da experiência da força-tarefa, bem como por mais
de 35 entrevistas com usuários atuais e em potencial do COBIT 5. O resultado desse trabalho é que diversas novas iniciativas do
COBIT 5 estão em andamento com datas de entrega em 2014 e 2015.
Os projetos em desenvolvimento incluem:
 Um estudo de benchmarking para demonstrar os valores comerciais obtidos aplicando as práticas de governança e gestão
definidas no COBIT 5.
 Documentos técnicos que abordam como o COBIT® pode ser utilizado com outras estruturas e padrões.
 Uma ferramenta, “Introdução à governança de TI”, para quem não conhece os conceitos do COBIT 5.
 Uma ferramenta que apresenta os objetivos em cascata, que será entregue como parte do COBIT 5 online.
 Uma nova campanha de marketing do COBIT 5 concentrada em como o COBIT 5 pode ajudar a lidar com problemas de
negócios.
 Orientação para executivos sobre os benefícios que o COBIT 5 pode gerar para suas empresas.
Outras atividades também foram identificadas e serão compartilhadas com a comunidade do COBIT 5 quando o desenvolvimento
começar. As atualizações serão apresentadas no COBIT Focus e na página do COBIT 5 no site da ISACA®.
Robert E. Stroud, CGEIT, CRISC
É vice-presidente de estratégia e inovação da CA Technologies, o próximo presidente internacional da ISACA para 2014-15 e
membro do Comitê de Influência/Defesa Profissional da ISACA. Stroud trabalhou por mais de 15 anos no mercado financeiro
gerenciando com sucesso diversas iniciativas nos setores de TI e varejo bancário relacionadas à gestão de serviços e à
governança de processos de TI. Ele ingressou na CA Technologies vindo da empresa de segurança computacional australiana
Cybec, onde foi responsável pela bem-sucedida expansão global da empresa, incluindo a entrada no mercado norte-americano.
Planejamento estratégico utilizando COBIT 5
Por Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9
Planejamento estratégico é um componente importante da gestão estratégica de negócios. Ele resulta em planejamento de longo
prazo e na direção futura de uma empresa no nível estratégico. Se um exercício de planejamento estratégico for feito pela primeira
vez, ele resulta na definição da visão, da missão e dos valores da empresa. Os ciclos de planejamento estratégico variam de três a
cinco anos e dependem da vertical de mercado a que esta empresa pertence ou atua. Quando há uma visão e uma missão
definidas, os objetivos normalmente são revistos e revisados de um ciclo para o outro. Todo ciclo de estratégia resulta em objetivos
novos ou atualizados para se alcançar a visão da empresa. A fase de implementação da estratégia lida com o cumprimento dos
objetivos estratégicos definidos. A seguir, uma abordagem passo a passo sobre a atividade de planejamento estratégico utilizando
as diretrizes do COBIT® 5.
A estrutura do COBIT 5 é um conjunto abrangente e coerente de diretrizes de governança e gestão corporativas de TI (GEIT) com
informações úteis sobre o estabelecimento e o alinhamento do planejamento estratégico. Como a estratégia de negócios ou da
empresa é diferente da estratégia de TI, o conceito de alinhamento estratégico se refere à necessidade de alinhamento entre a
estratégia de negócios e os objetivo e processos de TI. A família de produtos COBIT 5 consiste em um conjunto de guias que
incluem o guia do modelo, os guias do habilitador e os guias profissionais. Como o COBIT 5 se baseia inerentemente em cinco
princípios fundamentais que incluem satisfazer as necessidades stakeholders, abranger a empresa de ponta a ponta, aplicar uma
única estrutura integrada, permitir uma abordagem holística e separar a governança da gestão, a orientação sobre planejamento
estratégico é feita em toda a estrutura e nos materiais de apoio para assegurar que esses princípios sejam alcançados. Há um
resumo da orientação em planejamento estratégico discutida neste artigo na Figura 1 com referência à família de produtos COBIT
5.
Volume 2, Abril de 2014
Página 11
Figura 1 — Resumo da orientação da família de produtos COBIT 5 para planejamento estratégico
Família de produtos COBIT 5
COBIT 5 framework
COBIT 5 enabler guides
COBIT® 5 Implementation
COBIT® 5 for Risk
Orientação sobre planejamento estratégico
Objetivos corporativos genéricos
Objetivos em cascata para objetivos de alinhamento estratégico em todos os níveis
Objetivos de governança (orientação e mapeamento)
Objetivos genéricos de TI
Mapeamento entre objetivos estratégicos de TI e objetivos estratégicos da empresa
Objetivos do Habilitador
Orientação sobre os stakeholders, ciclo de vida e boas práticas relacionados ao
habilitador
Processos de habilitação para governança e gestão
Reconhecimento de pontos problemáticos e eventos causadores
Envolvimento dos stakeholders
Captura das necessidades dos stakeholders
Detalhes sobre as fases do ciclo de vida da Implementação (1-4)
Compreensão dos riscos associados para alcançar os objetivos
A formulação de uma estratégia de negócios
começa com as técnicas para fornecer materiais
de apoio relevantes e suficientes para a equipe
executiva responsável por definir esta estratégia.
Uma técnica comum utilizada é a análise de
pontos fortes, pontos fracos, oportunidades e
ameaças (Strengths, Weaknesses, Opportunities
and Threats [SWOT]), conforme ilustrado na
Figura 2.1 As quatro entidades utilizadas neste
modelo para avaliar a atividade de negócios são
categorizadas em termos de origem (interna ou
externa) e utilidade (útil ou nociva) com relação à
empresa. As informações necessárias para tornar
a análise de SWOT eficaz podem ser obtidas por
meio de colaboração com membros experientes e
antigos da equipe, revisão de documentos
relevantes ou entrevistas com os principais
stakeholders. O COBIT 5 reconhece que a
definição das necessidades dos stakeholders
depende muito da compreensão das influências
exclusivas de cada empresa e que a GEIT não
pode ocorrer no vácuo. COBIT 5 Implementation
fornece uma orientação detalhada por meio de
“reconhecimento dos pontos problemáticos e
eventos causadores”, bem como de uma
compreensão dos aspectos importantes da
formulação da estratégia de negócios na seção
“Envolvimento dos stakeholders”.2 Além disso,
o COBIT 5 fornece diretrizes para capturar as
necessidades dos stakeholders3 e uma
compreensão dos riscos associados para
Fonte: Adaptado de Humphrey, Albert; SRI International
alcançar esses objetivos.4 As necessidades dos
stakeholders podem ser capturadas apenas
envolvendo diretamente os stakeholders. Uma abordagem popular para capturar as necessidades dos stakeholders e formular a
estratégia de negócios é realizar um workshop sobre estratégia. Os resultados da análise de SWOT devem estimular a captura das
necessidades dos stakeholders e também desafiar a aplicabilidade das necessidades dos stakeholders durante o workshop.
Figura 2 — Análise de SWOT fornece informações para o
planejamento estratégico
Volume 2, Abril de 2014
Página 12
Figura 3 — Objetivos em cascata do COBIT 5
Figura 4 — Objetivo de governança é criação de valor
Fonte: ISACA, COBIT 5 , EUA, 2012
Os objetivos corporativos genéricos do COBIT 5 podem fornecer um
ponto de partida para o workshop sobre estratégia. Os executivos de TI
devem ser envolvidos (e, em alguns casos, comandarem) na formulação
dos objetivos corporativos estratégicos. Como participantes, os
executivos de Ti devem enfatizar a função estratégica de TI em vez da
função de suporte. Os executivos de TI também devem utilizar a
oportunidade do workshop para assegurar que os líderes de negócios
tenham uma compreensão clara da atual posição de TI, bem como uma
visão clara de como as estratégias de TI oferecerão suporte às
estratégias de negócios que estão sendo discutidas. Todos os
participantes do workshop devem explorar as três disciplinas de valor
(intimidade com o cliente, liderança do produto e excelência operacional)5
como a base para a formulação da estratégia corporativa e,
preferencialmente, optar por uma das disciplinas de valor como a fonte
Fonte: ISACA, COBIT 5 , EUA, 2012
primária de foco para a estratégia. O COBIT 5 fornece objetivos em
cascata para o alinhamento
estratégico de metas em todos os
Figura 5 — Mapa de estratégias mostrando inter-relacionamentos entre objetivos
níveis às necessidades dos
stakeholders e aos objetivos de
governança (Figura 3). Os objetivos
corporativos estratégicos devem ser
vinculados às necessidades dos
stakeholders e aos objetivos de
governança de criação de valor,
notadamente, a realização de
benefícios, a otimização de riscos e a
otimização de recursos (Figura 4). O
mapeamento deve esclarecer o tipo
de relacionamento — relacionamento
primário (P) ou relacionamento
secundário (S) — para ajudar a se
concentrar na importância. Os
objetivos corporativos estratégicos
também devem ser desenvolvidos
levando em consideração as quatro
dimensões do Balanced Scorecard
(BSC): financeira, cliente, interna e
aprendizado e crescimento.6 Além
Fonte: Adaptado de Kaplan, Robert; David Norton; The Strategy-focused Organization, 2001
Volume 2, Abril de 2014
Página 13
disso, deve ser produzido um mapa visual das estratégias para mostrar os interrelacionamentos entre os objetivos corporativos
estratégicos desenvolvidos (Figura 5),7 o que permitirá uma clara compreensão das dependências.
A formulação de uma estratégia de TI alinhada também pode aproveitar o método de análise de SWOT. É possível preparar um
relatório de análise de tendências tecnológicas como um ponto de partida útil para a formulação da estratégia de TI. Como no caso
do workshop sobre estratégia corporativa, um workshop de vários dias sobre estratégia de TI também pode ser organizado para
formular a estratégia de TI. As principais considerações para workshop eficaz sobre estratégia de TI incluem uma seleção criteriosa
dos participantes, agrupamento dos participantes, objetivos a serem alcançados pelo workshop, seleção dos facilitadores do
workshop e o tipo de interação entre os grupos. Portanto, planejamento e comunicação criteriosos são cruciais para tornar o
workshop, um sucesso. As entradas para o workshop sobre estratégia de TI devem incluir um produto de trabalho com os objetivos
corporativos finalizados
Figura 6 — Fluxograma das etapas de planejamento estratégico utilizando o COBIT 5
(com base em BSC), um
mapa das estratégias
corporativas, a disciplina de
valor selecionada para a
empresa, os resultados da
análise de SWOT de TI, os
objetivos genéricos de TI do
COBIT 5 e o relatório de
análise de tendências
tecnológicas.
Um processo de
planejamento estratégico
sugerido e suas entradas
relevantes são resumidos no
fluxograma ilustrado na
Figura 6. As etapas de
estratégia corporativa são
mostradas em azul, as
etapas de estratégia de TI
são mostradas em cinza e
as entradas são mostradas
em amarelo. O workshop
sobre estratégia de TI
também deve explorar as
três disciplinas de valor
(intimidade com o cliente,
liderança do produto,
excelência operacional)8
como a base da formulação
da estratégia de TI. Após a
identificação dos objetivos
estratégicos de TI, eles
devem ser mapeados para
os objetivos corporativos
estratégicos. Conforme
discutido anteriormente, o
mapeamento deve
esclarecer os tipos de
relacionamento envolvidos:
primário ou secundário.
Também é recomendado
produzir um mapa visual das
estratégias de TI para
mostrar os
interrelacionamentos entre
os objetivos estratégicos de
Fonte: Shahid Ali
Volume 2, Abril de 2014
Página 14
TI (Figura 5).
Conforme ilustrado, após o desenvolvimento e mapeamento dos objetivos estratégicos de TI, é essencial definir e gerenciar todos
os habilitadores interdependentes que ajudarão a garantir que os objetivos sejam alcançados. O COBIT 5 fornece sete facilitadores
corporativos (Figura 7). De acordo com o COBIT 5, facilitadores são fatores que influenciam, individual e coletivamente, se a GEIT
funcionarão de acordo com o planejado. O COBIT 5 publicou diretrizes para cada um dos objetivos facilitadores discutidos. Como
os facilitadores têm um impacto direto no sucesso dos objetivos gerais definidos, é importante desenvolver/finalizar os objetivos
facilitadores no nível do planejamento estratégico e
Figura 7 — Habilitadores corporativos do COBIT 5
mapeá-los diretamente para os objetivos estratégicos de
TI definidos. Após a definição dos objetivos facilitadores,
os demais detalhes facilitadores podem ser definidos
posteriormente, mas também devem estar em
conformidade com os objetivos facilitadores. Os detalhes
facilitadores incluem as outras dimensões facilitadoras
que vão além da definição dos objetivos facilitadores,
como as necessidades dos stakeholders, o ciclo de vida
e as boas práticas. Os objetivos facilitadores devem
ser vinculados às necessidades dos stakeholders. É
necessário desenvolver um plano de ciclo de vida para
garantir a gestão bem sucedida do facilitador durante
toda a sua vida útil efetiva. Boas práticas, que podem ser
facilitadas pelo processo de planejamento estratégico,
devem ser identificadas para cada facilitador. No entanto,
a seleção de boas práticas para o facilitador deve ser
deixado a cargo de especialistas na área do facilitador
(por exemplo, RH, informações, arquitetos de tecnologia
e aplicativos, especialistas em processos, definidores de
políticas).
Fonte: ISACA, COBIT 5 , EUA, 2012
Figura 8 — Ciclo de vida da implementação do COBIT 5
O COBIT 5 possui
Volume 2, Abril de 2014
Página 15
um guia profissional de implementação. O guia fornece detalhes das sete fases do ciclo de vida de implementação. As fases "o
que/quais" e "onde" (1-4) de gestão do programa e facilitação de mudanças podem ser consideradas no nível do planejamento
estratégico de TI (Figura 8). As fases do ciclo de vida de implementação do COBIT 5 que devem ser consideradas no planejamento
estratégico são indicadas na Figura 9. A coluna de notas sobre planejamento estratégico realça a relevância da fase para o
planejamento estratégico.
Figura 9 — Fases do ciclo de vida de implementação do COBIT 5 a considerar no planejamento estratégico
Fase
Quais são as
tendências?
Onde estamos
agora?
Onde desejamos
estar?
O que precisa ser
feito?
Gestão do
programa
(Anel externo)
Inicie o programa.
Facilitação de
mudanças (Anel
do meio)
Estabeleça o desejo
de mudar.
Defina os
problemas e as
oportunidades.
Defina o roteiro.
Forme a equipe de
implementação.
Planeje o
programa.
Comunique os
resultados.
Identifique os
participantes.
Notas sobre planejamento estratégico
Conhecer as tendências, iniciar o ciclo de planejamento
estratégico e estabelecer o desejo de aprimoramento são
as primeiras etapas críticas.
Informações sobre o estado atual e a análise de SWOT são
entradas importantes para se fazer um planejamento
estratégico melhor.
O planejamento estratégico deve resultar em um roteiro de
alto nível.
Identificar os participantes e dividir o todo em etapas
gerenciáveis são ações cruciais para uma implementação
bem-sucedida de estratégias.
A estrutura do COBIT 5 fornece uma orientação avançada sobre o modelo de referência de processos no guia COBIT® 5:
Processos de facilitação para governança e gestão (Figura 10). Nesse guia, os processos são organizados em grupos. Para
governança corporativa de TI, há um grupo de cinco processos, notadamente o domínio Avaliar, Direcionar e Monitorar (Evaluate,
Direct and Monitor; EDM). Para gestão, há quatro grupos de processos: Alinhar, Planejar e Organizar (Align, Plan and Organize;
Figura 10 — Modelo de referência de processos do COBIT 5
Volume 2, Abril de 2014
Fonte: ISACA, COBIT 5 , EUA, 2012
Página 16
APO); Desenvolver, Adquirir e Implementar (Build, Acquire and Implement; BAI); Executar, Atender e Apoiar (Deliver, Service and
Support; DSS); e Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess; MEA). Como com a direção discutida anteriormente,
alguns desses grupos e processos devem ser levados em consideração no nível do planejamento estratégico. Os processos
recomendados que devem ser considerados no nível de planejamento estratégico são aqueles incluídos nas áreas de processos
EDM e APO, especificamente Garantir a definição e manutenção da estrutura de governança (EDM01), Gerenciar a estrutura de
gestão de TI (APO01) e Gerenciar a estratégia (APO02).
Em futuros artigos, serão apresentadas discussões de acompanhamento de fases adicionais de planejamento estratégico, como
alinhamento estratégico contínuo e implementação da estratégia, do ponto de vista do COBIT 5.
Em resumo, o COBIT 5 fornece orientação para o estabelecimento de planos estratégicos corporativos, bem como para o alinhamento
e a implementação de objetivos estratégicos de TI. Os objetivos em cascata do COBIT 5 (Figura 3) proporcionam uma base sólida
para o alinhamento de objetivos estratégicos de TI. Como é comum na definição e execução de qualquer estratégia, a implementação
da estratégia é considerada mais desafiadora do que o próprio planejamento estratégico. O COBIT 5 oferece orientação de ponta a
ponta para planejamento estratégico, alinhamento e implementação. A orientação é sistemática, bem organizada e valiosa para
grandes públicos-alvo, independentemente do tipo de setor.
Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9
Atualmente trabalha como consultor em arquitetura corporativa com 20 anos de experiência em consultoria de TI e planejamento
estratégico em grandes organizações do setor público e no setor de educação. Já ajudou organizações em questões de
planejamento estratégico, execução, gestão de arquitetura corporativa e gestão de desempenho estratégico. Ele fez palestras em
várias conferências e ministrou breves cursos e tutoriais sobre tópicos de tecnologias emergentes. É o líder do tópico Planejamento
estratégico/alinhamento do Centro de Conhecimento da ISACA. Junte-se a ele em discussões adicionais sobre este e outros temas.
Notas
1
Humphrey, Albert; “SWOT Analysis for Management Consulting,” SRI Alumni Association Newsletter, SRI International, Dezembro de 2005
2
ISACA, COBIT 5 Implementation, EUA, 2012
3
ISACA, COBIT 5, EUA, 2012
4
ISACA, COBIT 5 for Risk, EUA, 2012
5
Treacy, Michael; Fred Wiersema; The Discipline of Market Leaders, Addison-Wesley, 1993
6
Kaplan, Robert; David Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard Business School Press, 1996
7
Kaplan, Robert; David Norton; The Strategy-focused Organization: How Balanced Scorecard Companies Thrive in the New Business Environment,
Harvard Business School Press, EUA, 2001
8
Op
cit, Treacy
COBIT
Focus é uma publicação da ISACA. As
opiniões expressas no COBIT Focus representam
as visões dos autores. Elas podem ser diferentes
das políticas e declarações oficiais da ISACA e de
seus comitês, bem como das opiniões defendidas
por autores, funcionários ou editores do COBIT
Focus. COBIT Focus não garante a originalidade
do conteúdo dos autores.
© ISACA. Todos os direitos reservados.
Instrutores têm permissão para fazerem fotocópias de
artigos isolados para uso não comercial em salas de
aula sem cobrança de taxas. Para outros tipos de
cópia, reimpressão ou republicação, é necessário
obter permissão por escrito da associação. Entre
em contato com Julia Fullerton pelo e-mail
[email protected].
Comitê de Estrutura
Steven A. Babb, CGEIT, CRISC, ITIL, Reino Unido, Presidente
David Cau, ITIL, MSP, Prince2, França
Sushil Chatterji, CGEIT, Cingapura
Frank Cindrich, CGEIT, CIPP, CIPP/G, EUA
Joanne De Vito De Palma, EUA
Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Áustria
Katherine McIntosh, CISA, EUA
Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brasil
Paras Shah, CISA, CGEIT, CRISC, CA, Austrália
Conteúdo editorial
Comentários sobre o conteúdo editorial podem ser enviados para
Jennifer Hajigeorgiou, gerente editorial sênior, pelo e-mail
[email protected].
©2014 ISACA. Todos os direitos reservados.
Volume 2, Abril de 2014
Página 17