COBIT Focus Volume 2: Abril de 2014 

 
COBIT Focus Newsletter

DuPont estimula aprimoramento contínuo com o Modelo de avaliação de processos COBIT 5
Por James F. Aliquo Jr., CISA, CRISC, e Zhiwei Fu, Ph.D., CISA, CRISC, CGEIT, CFE, PMP

Ao longo do tempo, empresas aumentaram cada vez mais a aplicação de TI para satisfazer as necessidades em constante mudança nos negócios e requisitos regulatórios. Um programa de aprimoramento sistemático e contínuo agora é mais do que nunca necessário para ajudar as empresas a avaliar as capacidades de gestão de TI, identificar os pontos fortes, pontos fracos e fatores de risco com relação aos requisitos de negócio e implementar mudanças em processos para aperfeiçoar os serviços e operações necessários para satisfazer as necessidades stakeholders e corporativas. Em essência, o aprimoramento contínuo ajuda uma organização a se concentrar em “fazer as coisas certas” e a aperfeiçoar continuamente sua efetividade e eficiência.

Para satisfazer com sucesso essa necessidade, a DuPont reconheceu que deve aproveitar um modelo robusto e confiável de avaliação de processos para impulsionar seu programa de aprimoramento contínuo. O Modelo de avaliação de processos (PAM) do COBIT 51 se baseia em evidências e permite uma avaliação confiável, consistente e repetível na área de governança e gestão corporativas de TI (GEIT) para oferecer suporte ao aprimoramento contínuo de processos (o COBIT Assessment Programme2). Organizações de treinamento certificadas oferecem treinamento em abordagem de avaliação e uma certificação de avaliador, e a certificação de Avaliador COBIT 5 Certificado é disponibilizada pela ISACA.

A DuPont aplicou com sucesso o COBIT para manter sua conformidade em gestão, governança e auditoria de processos por um período de anos e, portanto, decidiu utilizar o PAM do COBIT 5. A IBM Global Business Services, uma das melhores prestadoras de serviços de consultoria e possui amplos conhecimentos sobre implementação do COBIT, experiência profunda em gestão e governança de processos de TI corporativos e domínio completo dos setores privado e público, que foi solicitada para executar uma avaliação independente das capacidades de processos para a DuPont.

Histórico da DuPont

A E. I. du Pont de Nemours and Company, comumente chamada de DuPont, é uma empresa química americana que faz parte da lista Fortune 500. A visão da DuPont é ser a empresa científica mais dinâmica do mundo, criando soluções sustentáveis essenciais para uma vida melhor, mais segura e mais saudável para as pessoas em todos os lugares. Por mais de 200 anos, a DuPont atendeu mercados tão diversificados quanto agricultura, nutrição, componentes eletrônicos e comunicações, segurança e proteção, habitação e construção, transporte e vestuário. Ao longo dos anos, a DuPont progrediu para se tornar uma líder mundial em inovação e ciência orientadas pelo mercado. Ela levou ciência e engenharia de nível internacional ao mercado global por meio de produtos, materiais e serviços inovadores, e lançou milhares de novos produtos e pedidos de patente todos os anos. A organização de serviços de informação e TI da DuPont presta serviços de comunicação e informações integrados globalmente e fornece infraestrutura de informática que permitem que a empresa ofereça soluções para as necessidades mais urgentes do mundo, e, o mais importante, usa informações e tecnologia para se obter uma vantagem competitiva que estimula o crescimento dos negócios para a empresa.

Estabelecimento da avaliação do PAM do COBIT 5

O PAM do COBIT 5 é um modelo de avaliação de capacidades do processo com base em ISO/IEC 15504 que incorpora o COBIT 5 como o Modelo de referência do processo (PRM) para requisitos básicos e a ISO/IEC 15504 é utilizada como base para a estrutura de medida para determinar os níveis de capacidade.

O COBIT 5 reúne os cinco princípios essenciais que permitem que empresas desenvolvam uma estrutura de governança e gestão eficaz e um conjunto holístico de sete facilitadores que ajudam empresas a otimizar investimentos em informações e tecnologia e a utilização para benefício stakeholders. Além disso, o COBIT 5 permite que informações e tecnologias relacionadas sejam administradas e gerenciadas de uma maneira holística para empresas inteiras, incluindo as áreas de negócios e funcional, de ponta a ponta e considerando os interesses de TI, e de stakeholders internos e externos. Os princípios e facilitadores do COBIT 5 são genéricos e úteis para empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou do setor público.

A norma ISO/IEC 15504 identifica a avaliação de processos de gestão como uma atividade que possa ser realizada como parte de uma iniciativa de aprimoramento de processos, e ou como parte de uma abordagem para determinação de capacidades. A finalidade do aprimoramento de processos é melhorar continuamente a efetividade e a eficiência da gestão da empresa e o objetivo da determinação de capacidades do processo é identificar os pontos fortes, pontos fracos e fatores de risco de processos de gestão selecionados em relação a um requisito específico por meio de processos usados e seu alinhamento às necessidades de negócios.

Utilizar a norma ISO/IEC 15504, em conjunto com o amplamente aceito modelo do COBIT para GEIT, torna o PAM do COBIT 5 a base para uma abordagem de avaliação robusta, confiável e escalonável. A Figura 1 ilustra a arquitetura de alto nível do PAM do COBIT 5.

Figura 1

O PAM do COBIT 5 consiste nas dimensões de processo e de capacidade, mais um conjunto de indicadores de desempenho de processos específicos para cada processo e utilizados para determinar se um processo está no nível de capacidade 1, e em um conjunto de indicadores de atributos genéricos de capacidade do processo que se aplicam anos níveis de capacidade de 1 a 5. Os indicadores de atributos de capacidade do processo são genéricos para cada atributo do processo e são utilizados como a base para coletar evidências objetivas que permitem determinar as classificações de capacidade do processo. As dimensões de processo do PAM utilizam o PRM do COBIT 5, em que os processos de governança e gestão são definidos em um ciclo de vida e classificados em categorias de processos com uma arquitetura que descreve o relacionamento entre os processos. A dimensão de capacidade fornece uma medida da capacidade de um processo para satisfazer os objetivos de negócio atuais ou projetados para o processo corporativo, expressa em termos de nove atributos de processos agrupados em cinco níveis de capacidade. A Figura 2 ilustra o PAM bidimensional do COBIT 5 com o PRM como a dimensão do processo e a estrutura de medida da norma ISO/IEC 15504 como a dimensão de capacidade. O PRM do COBIT 5 subdivide os processos, práticas e atividades relacionados a TI da empresa em duas áreas principais: governança e gestão. A governança garante que as necessidades, condições e opções stakeholders sejam avaliadas para determinar que objetivos acordados da empresa sejam alcançados, definindo a direção por meio de priorização e tomada de decisões e monitorando o desempenho e a conformidade em relação aos objetivos corporativos. A gestão garante que as atividades de gestão de Planejamento, Criação, Execução e Monitoramento (PBRM) de TI sejam executadas em alinhamento com a direção, e definida pelo corpo de governança a fim de alcançar os objetivos corporativos.

Figura 2
Ver gráfico grande.

Os níveis de capacidade do processo do PAM começam no nível zero (processo incompleto), passam para o nível um (processo executado) e depois para o nível dois (processo gerenciado), o que geralmente representa a exibição de instâncias de um programa ou projeto individual. No nível dois, as práticas básicas de gestão são executadas de uma forma gerenciada (planejada, monitorada e ajustada) para alcançar as finalidades do processo, com produtos de trabalho estabelecidos, controlados e mantidos apropriadamente. Os níveis três de capacidade do processo (processo estabelecido), quatro (processo previsível) e cinco (processo otimizado) representam a visão empresarial da capacidade corporativa de um processo, no qual o processo de nível empresarial padrão é implantado e operado com limites definidos para alcançar os resultados do processo, e aprimorado para atingir os objetivos de negócios relevantes, atuais e futuros. A avaliação do PAM do COBIT 5 avalia se e quão bem os atributos específicos de cada nível do processo são alcançados, e proporciona um grau de confiança nos resultados da avaliação que indica a capacidade geral dos processos de gestão. É atribuída uma classificação que indica o nível de realização, com base em evidências objetivas e validadas para cada atributo do processo. O nível de capacidade de um processo é determinada com base na realização de atributos específicos do processo de acordo com a norma ISO/IEC 15504, isto é, independentemente dos atributos do processo no nível em questão terem sido ampla e totalmente alcançados e dos atributos do processo do nível inferior terem sido completamente atingidos.

Planejamento e escopo da avaliação do PAM do COBIT 5

O planejamento diligente da avaliação e o escopo apropriado foram cruciais para o sucesso da avaliação do PAM do COBIT 5 na DuPont. Isso envolveu identificar as tendências de negócios relevantes da DuPont e as necessidades associadas stakeholders para a avaliação do processo, selecionar os processos que seriam incluídos no escopo da avaliação, identificar quaisquer restrições relevantes, selecionar os participantes da avaliação e a equipe de avaliação, e definir suas respectivas funções e responsabilidades. A DuPont e a IBM colaboraram com as partes interessadas relevantes e determinaram o escopo da avaliação, os processos de gestão a serem avaliados, as restrições e os participantes da avaliação e o tipo de avaliação a ser executada (classe dois). Com base no escopo e nos requisitos da avaliação, a IBM estabeleceu uma equipe de avaliação do PAM com avaliadores competentes e certificados, independentes das organizações que executam os processos de gestão.

Foi essencial para o planejamento e a definição do escopo da avaliação que a equipe de avaliação tenha identificado e analisado os requisitos de negócios e regulatórios da DuPont e desenvolvido várias ferramentas de diagnóstico, modelos de avaliação, diretrizes e procedimentos para garantir a padronização e consistência da avaliação em todos os processos avaliados. Diversos modelos e ferramentas de avaliação foram desenvolvidos e aplicados pela equipe de avaliação que atenderam de forma eficaz às necessidades de avaliação e stakeholders. A equipe de avaliação gerenciou o plano, o escopo e o cronograma da avaliação por meio de acompanhamento constante e comunicação contínua com a liderança e as partes interessadas associadas da DuPont. Todos os problemas, status, alterações e atualizações da avaliação foram identificados e comunicados de maneira oportuna às partes interessadas apropriadas da DuPont para que fossem tomadas as ações adequadas.

Execução da avaliação do PAM do COBIT 5

A avaliação do PAM do COBIT 5 foi realizada com base na classe da avaliação (classe dois) e no escopo da avaliação escolhidos pela gerência da DuPont (de acordo com o Assessor Guide: Using COBIT 53) com o objetivo de determinar se os processos de gestão na DuPont satisfizeram as necessidades de negócios e dos requisitos regulatórios, alcançaram as finalidades dos processos, aplicaram as boas práticas, gerenciaram os ciclos de vida dos processos e produziram os produtos de trabalho apropriados. Diversas técnicas de avaliação foram desenvolvidas e aplicadas na avaliação dos processos, incluindo:

  • Avaliação de diagnóstico e conscientização da gerência;
  • Questionários e listas de verificação da gerência para confirmar os resultados;
  • Técnicas de amostragem para determinar se os resultados do processo ocorreram (ou não);
  • Declarações da gerência corroboradas por clientes e outras fontes;
  • Entrevistas com a equipe para avaliar seu conhecimento, competência, conscientização e comportamentos;
  • Análises de processos, políticas e procedimentos operacionais padrão;
  • Instâncias de processos e dadosde amostra identificados, coletados e analisados;
  • Amostra de processos, procedimentos, reuniões e análises analisadas e avaliadas.

Aproveitando as técnicas de avaliação apropriadas desenvolvidas pela equipe de avaliação da IBM, em conjunto com o suporte da DuPont, a equipe realizou extensas análises e entrevistas de gestão de processos com as partes interessadas internas e externas. A equipe de avaliação confirmou que as evidências e itens coletados de várias fontes foram suficientes e objetivas, além de garantir que os dados como um todo eram consistentes com os requisitos da classe e do escopo da avaliação. A análise aprofundada e a validação das evidências e dos itens de suporte foram, posteriormente, executadas para avaliar se existiam as práticas de gestão básica para os processos de gestão, se essas práticas alcançaram a finalidade e os resultados do processo e o desempenho dos processos de gestão, o que levaram ao estabelecimento de perfis e recomendações de processos da DuPont para fins de aprimoramento contínuo.

Desenvolvimento e comunicação dos resultados da avaliação

Os resultados da avaliação foram analisados e informados em um relatório detalhado da avaliação, que incluiu uma abordagem e análise gerais da avaliação, uma determinação do nível de capacidade atual, problemas principais (como pontos fracos observados nas capacidades dos processos e oportunidades de aprimoramento) e recomendações para aprimoramento dos processos. O relatório detalhado da avaliação foi fornecido ao patrocinador da avaliação da DuPont na conclusão da carga de trabalho da avaliação. Também foram fornecidos um resumo de gestão e um resumo executivo de alto nível na forma de uma apresentação para a equipe de liderança da DuPont. Os perfis de capacidade e o roteiro de aprimoramentos dos processos também foram adequadamente estabelecidos para os processos de gestão avaliados, com os problemas principais analisados, lacunas de capacidade providenciados e metas de níveis fornecidas para os respectivos processos. A Figura 3 ilustra o modelo de roteiro de aprimoramentos SMART (específico, mensurável, acionável, realista e com prazo determinado) para o aprimoramento contínuo.

Figura 3
Ver gráfico grande.

Implementação do roteiro de aprimoramento contínuo

O aprimoramento contínuo das capacidades dos processos de gestão em seu ciclo de vida vai além de simplesmente remediar ou mitigar esse problemas ou pontos fracos identificados nos processos. Os esforços de aprimoramento contínuo precisam ficar bem alinhados aos objetivos de negócios e às tolerâncias a riscos da empresa, e devem ser gerenciados de forma holística em toda a empresa com estratégia, prioridade e recursos apropriados, utilizando os sete facilitadores do COBIT 5. A organização de governança da DuPont assegurou que as metas de níveis de capacidade dos processos fossem definidas em alinhamento com a visão estratégica e os objetivos de negócios de TI, para o equilíbrio ideal do valor dos negócios, dos níveis de risco e do uso de recursos, e para que a execução da gestão do roteiro de aprimoramento dos processos, com funções e responsabilidades definidas, fosse realizada e administrada continuamente durante todo o ciclo de vida. A Figura 4 ilustra o cenário de aprimoramento contínuo com os sete facilitadores do COBIT 5.

Figura 4

Conclusão

As empresas aperfeiçoam continuamente as capacidades de seus processos para enfrentar os complexos e dinâmicos desafios dos negócios. Para tanto, é crucial adotar uma estrutura robusta de avaliação de processos, executar uma avaliação confiável para os reportes internos e estabelecer uma base sólida para a determinação de capacidades e o aprimoramento contínuo dos processos. Além disso, de forma geral, se entende que quanto maior for capacidade do processo, menor será o risco de o processo não satisfazer sua finalidade proposta, e quanto maior a capacidade, mais caro será para operar o processo. Este estudo de caso apresenta uma avaliação de capacidade de processo com o PAM do COBIT 5 para uma empresa da lista Fortune 500. Esta avaliação do PAM do COBIT 5 ajudou a DuPont a estabelecer referências apropriadas para o processo e um roteiro de aprimoramento SMART bem equilibrado para melhorar continuamente suas capacidades de informações e tecnológicas para a obtenção de uma vantagem competitiva e estimular o crescimento dos negócios da empresa. O PAM do COBIT 5 se baseia em uma norma ISO para uma avaliação de capacidade com base em evidências que, se implementado apropriadamente, pode beneficiar muito empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou do setor público.

Agradecimentos

Os autores desejam agradecer Eric Mittnight, Michael T. Clark, John W. Lainhart, Christopher M. Ballister, James L. Golden e Jose Martinez da IBM e Dana F. Ormerod da DuPont por suas excepcionais contribuições para a avaliação do PAM do COBIT 5 na DuPont e o desenvolvimento deste estudo de caso.

Referências

  • International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), 20000:2006, IT Service Management Standard, Suíça, 2006
  • ISO/IEC, 27001:2005, Information technology—Security techniques—Information security management systems—Requirements, Suíça, 2005
  • ISO/IEC, 38500:2008, Corporate Governance of Information Technology Standard, Suíça, 2008
  • ISACA, COBIT 5, EUA, 2012
  • ISACA, COBIT 5 for Assurance, EUA, 2013
  • ISACA, COBIT 5 Enabling Process, EUA, 2012
  • ISACA, COBIT 5 Implementation, EUA, 2012
  • ISACA, COBIT 5 for Information Security, EUA, 2013
  • Project Management Institute, Project Management Body of Knowledge (PMBOK2®), EUA, 2008

James F. Aliquo Jr., CISA, CRISC
É o gerente global de controles e conformidade de ITP (Tecnologia e processos de informação) da DuPont. Aliquo projetou e implementou muitos dos processos de risco de TI sendo utilizados no departamento de ITP da DuPont. Ele é um forte defensor da incorporação do COBIT, mais especificamente, os aspectos de modelagem de maturidade e sua utilidade em relação à execução e análise abrangentes dos processos.

Zhiwei Fu, Ph.D., CISA, CRISC, CGEIT, CFE, PMP
É o executivo sênior de GRC (Governança, risco e conformidade) e cibersegurança da IBM Global Business Services. Ele tem ampla experiência em projetos, implementação e avaliação de programas de governança e conformidade e controles de TI em vários setores e organizações de serviços de terceiros. Ele é um renomado pesquisador e praticante de análise, modelagem e otimização de negócios, medição de desempenho e aprimoramento de processos, com diversos artigos publicados em revistas especializadas, séries de livros e documentação de conferências internacionais.

Notas

1 ISACA, COBIT Process Assessment Model (PAM): Using COBIT 5, EUA, 2013
2 ISACA, COBIT 5 Assessment Programme, EUA, 2013
3 ISACA, Assessor Guide: Using COBIT 5, EUA, 2013

Top


Navegue no COBIT 5 no novo COBIT Online
Por John W. Lainhart IV, CISA, CISM, CGEIT, CRISC

O COBIT 5 online oferecerá ao usuário uma experiência muito aprimorada com seu lançamento previsto para o terceiro trimestre de 2014. A nova versão online do COBIT 5 proporcionará aos usuários a capacidade de navegar na família de produtos COBIT 5, que inclui COBIT 5, COBIT 5 Implementation, COBIT 5: Enabling Processes, COBIT 5: Enabling Information, COBIT 5 for Assurance, COBIT 5 for Information Security e COBIT 5 for Risk.

Além de obter acesso online a esse materiais, os usuários poderão ler notícias e outros artigos da ISACA relacionados ao COBIT. Os usuários também poderão publicar seu feedback no conteúdo ao qual outras pessoas poderão responder ou simplesmente aproveitar enquanto navegam no COBIT. Esse intercâmbio em tempo real de conhecimentos e experiências permitirá que os usuários compartilhem suas habilidades além de fronteiras geográficas e setoriais.

Os usuários que adquiriram publicações adicionais na família de produtos COBIT 5 poderão acessá-las, ou fazer o download delas, em sua instância exclusiva do COBIT online. Futuras versões do site incluirão um conjunto de ferramentas para criar objetivos individualizados e tabelas RACI (Responsável, Aprovador, Consultado e Informado) para cada prática de governança e gestão. Consulte as atualizações na página COBIT 5 Online do site da ISACA.

John W. Lainhart IV, CISA, CISM, CGEIT, CRISC
É o líder da área de cibersegurança e serviços de privacidade para o setor público nos EUA da IBM Global Business Services. Ele foi presidente internacional da ISACA e membro do Comitê de Estrutura a ISACA e da Força-tarefa do COBIT 5. Ele foi membro do Comitê de Governança de TI, onde trabalhou nas iniciativas COBIT, Val IT e Risk IT.

Top


A implementação do processo COBIT 5 é um "wicked problem"?
Por João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT Certificado, Carlos Henrique de Luca Ribeiro, COBIT(F), e Diana Santos

“Alguns problemas são tão complexos que você precisa ser muito inteligente e bem informado apenas para ficar indeciso sobre eles.”1

Problemas extremamente complexos, como degradação ambiental, obesidade, mudança climática, inclusão indígena, terrorismo, pobreza e conflitos religiosos são frequentemente chamados de "wicked problems" (ou numa tradução aproximada: problemas perversos). O conceito de wicked problem foi introduzido por Charles Churchman, Horst Rittel e Melvin Webber, planejadores urbanos da Universidade da Califórnia em Berkeley (EUA) os quais foram os primeiros a usar a abordagem de processos sociais para solucionar problemas complexos, em oposição aos estilos cognitivos de profissionais que usavam como fundamento uma visão mecanicista newtoniana. 2, 3

Nem todos os problemas são perversos. Os wicked problems precisam ser diferenciados dos problemas comuns ou problemas solucionáveis ("tame problems"). Ao contrário de um wicked problem, um tame problem é aquele em que o pensamento tradicional, estudos cognitivos e métodos atuais de gestão de projetos indicam que a melhor forma de enfrentá-lo é seguir um processo de "cima para baixo" — uma abordagem ordeira e linear — trabalhando a partir do problema até encontrar a solução.4 Essa lógica normalmente é suficiente para se alcançar uma solução viável em um período razoável de tempo coletando e analisando dados e identificando os requisitos para especificar o problema. Em seguida, o gestor poderá formular e implementar uma solução. Portanto, o modelo em cascata é indicado para tame problems porque eles têm um padrão de solução linear reconhecido na literatura de gestão de projetos com ampla utilização no setor de software.

Um problema pode ter características tame ou wicked (Figura 1), o que não significa que a determinação do grau de perversidade seja algo binário, pois a maioria dos problemas possui diferentes graus de complexidade. A existência de problemas propagados em um espectro determina o limite e o intervalo entre os problemas solucionáveis e os perversos.5

Resultados e discussão

As 10 características dos problemas perversos são descritas e avaliadas para a implementação do COBIT 5 na Figura 1. 6, 7, 8

Figura 1 — Avaliação das 10 características dos wicked problems para a implementação do COBIT 5

Características dos wicked problems

Avaliação para implementação do COBIT 5

1. Há um grande número de stakeholders. Os processos do COBIT 5 possuem um grande número de stakeholders. A Figura 2 apresenta o número de stakeholders responsáveis, aprovadores e consultados que participam de todos os processos, de um total de 26 stakeholders listados.9 (Os stakeholders informados não foram incluídos porque essa função foi considerada passiva). Além do grande número de stakeholders envolvidos na maioria dos processos, a gestão daqueles com históricos, interesses, objetivos e responsabilidades muito diferentes geram um desafio complexo para a implementação do COBIT 5.
2. O contexto está em constante mudança. Os processos de negócios e de TI são muito dinâmicos, exigindo constante adaptação. “Estruturas, melhores práticas e normas só são úteis se forem adotadas e adaptadas de forma eficaz. Há desafios que devem ser superados e problemas que precisam ser resolvidos para que a governança corporativa de TI (GEIT) seja implementada com sucesso.”10
3. Não há soluções certas ou erradas para os problemas. O COBIT 5 não sugere que haja uma solução exclusiva para problemas de GEIT. Cada implementação deve ser adaptada às necessidades da organização. Se uma organização decidir não implementar um processo específico, isso não é certo nem errado, é apenas adequado.
4. Não há consenso sobre a solução para um problema. Todos os problemas de governança de TI podem ser enfrentados por mais de uma forma e isso depende muito das experiências e do histórico dos gestores. “Cada empresa aplicará seu próprio plano ou roteiro específico, dependendo, é claro, de fatores como seu setor e ambiente de negócios, bem como de sua cultura e de seus objetivos.”11
5. Wicked problems não têm uma solução final. "O programa de implementação e aprimoramento normalmente é contínuo e iterativo. Durante a última fase, novos objetivos e requisitos serão identificados e um novo ciclo será iniciado.”12
6. Não há uma formulação definitiva para um wicked problem. A escolha da explicação determina a natureza da resolução do problema. “Muitos fatores podem indicar a necessidade de práticas de GEIT novas ou revisadas. No entanto, é importante observar que esses sintomas podem não apontar apenas para os problemas subjacentes que precisam ser tratados, mas também poderiam indicar outros problemas (ou uma combinação de fatores). Por exemplo, se a empresa tiver a percepção de que os custos de TI são inaceitavelmente altos, isso pode ocorrer devido a problemas de governança e/ou gestão (como utilização de critérios inadequados no processo de gestão de investimentos de TI), mas também pode ter como causa um histórico de investimentos insuficientes em TI, que agora se manifesta na necessidade de se fazer investimentos significativos.”13
7. Cada wicked problem é, essencialmente, único e novo. "A implementação de GEIT em cada empresa, portanto, será diferente e o contexto precisa ser compreendido e considerado para se projetar o ambiente ideal de GEIT, seja ele novo ou aprimorado."14
8. O problema não é compreendido até que uma solução tenha sido desenvolvida. Quando uma solução é implementada, ela expõe novos aspectos do problema, exigindo ajustes da solução em potencial. O problema é um conjunto mal estruturado e em evolução de questões e restrições entrelaçadas. "O programa de implementação e aprimoramento normalmente é contínuo e iterativo. Durante a última fase, novos objetivos e requisitos serão identificados e um novo ciclo será iniciado.”15 Além disso, o problema varia de acordo com o interlocutor. Diferentes stakeholders (há muitos listados no COBIT 5) têm opiniões diferentes sobre o que é o problema e o que constitui uma solução aceitável.
9. Toda solução para um wicked problem é uma "operação de tiro único", pois não há a oportunidade de se aprender por tentativa e erro, e todas as tentativas contam significativamente. “Não é possível construir uma autoestrada para ver como ela funciona.”16 “Essa é a dificuldade dos wicked problems: não é possível aprender sobre o problema sem tentar soluções, mas toda solução tentada é cara e possui consequências duradouras involuntárias que provavelmente irão gerar novos wicked problems.”17 A mesma coisa acontece quando a governança de TI é implementada. Para conhecer o contexto, a empresa e os stakeholders, é necessário começar em algum ponto e evoluir a partir daí.
10. Wicked problems não possuem soluções alternativas. “Talvez não haja soluções, ou podem existir diversas soluções em potencial que são criadas, mas várias outras que nunca foram nem pensadas. Portanto, precisa-se de criatividade para criar soluções em potencial e de bom senso para determinar quais são válidas, quais devem ser adotadas e implementadas.”18 Mais uma vez, diferentes stakeholders têm opiniões diferentes sobre o que é o problema e o que constitui uma solução aceitável. Portanto, naturalmente, haverá um grande grupo de soluções em potencial.


Utilizando essas características para estudar as práticas de governança de TI da Administração Pública Federal do Brasil no espectro da perversidade ("wickedness") dos problemas, descobriu-se que as duas primeiras características listadas na Figura 1 são particularmente perversas no contexto de governança de TI.19

A Figura 2 apresenta, para cada processo do COBIT 5, quantos stakeholders são listados como responsáveis, aprovadores ou consultados. Os números variam de 7 a 24 stakeholders, o que indica que esta é realmente uma questão que deve ser levada em consideração.

Figura 2

Conclusão

A implementação dos processos de governança e gestão do COBIT 5 possui muitas características de um wicked problem ("problema perverso"). Portanto, os gestores responsáveis pela implementação devem estar cientes que lidar com esse tipo de problema requer soluções inovadoras, colaborativas e abrangentes que levem em consideração os vários elementos de GEIT e os aspectos relacionados a problemas perversos e complexidades sociais.

João Souza Neto, Ph.D., CGEIT, CRISC, Avaliador COBIT Certificado
Possui mais de oito anos de experiência em governança de TI aplicando o COBIT nos Correios do Brasil. Também é responsável pela área de pesquisa de governança de TI na Universidade Católica de Brasília. É fundador e diretor educacional da Filial da ISACA de Brasília (Brasil).

Carlos Henrique de Luca Ribeiro, COBIT(F)
É consultor do diretor de logística dos Correios do Brasil. Possui ampla experiência em governança de TI, na implementação de processos do COBIT e na gestão de cadeias de suprimentos.

Diana Santos
Chefe da divisão de sistemas de informação da agência do Governo Federal do Brasil relacionada ao Poder Judiciário, onde colabora com a governança de TI e a implementação de processos do COBIT. É diretora associada da Filial da ISACA de Brasília.

Notas

1 Peter, Laurence J.; Peter’s Almanac, 1977
2 Churchman, Charles West; “Wicked Problems,Management Science, EUA, Vol. 14, Nº. 4, 1967, p. 141-142
3 Rittel, Horst; Melvin Webber; “Dilemmas in a General Theory of Planning,” Policy Sciences, Holanda, Vol. 4, Nº. 2, Junho de 1973, p. 155-169
4 Conklin, J.; W. Weil; Wicked Problems: Naming the Pain in Organizations, Group Decision Support Systems Inc., EUA, 1997, p. 1-11
5 UK Climate Impacts Programme, Attributes of Well-adapting Organisations, Environmental Change Institute, Universidade de Oxford, Reino Unido, 2010
6 Op cit, Rittel
7 Conklin, Jeff; Dialogue Mapping: Building Shared Understanding of Wicked Problems, 1ª Edição, Wiley, EUA, 2006, p. 242
8 Roberts, Nancy; “Wicked Problems and Network Approaches to Resolution,” International Public Management Review, v. 1/1, 2000
9 ISACA, COBIT 5: Enabling Processes, EUA, 2012
10 ISACA, COBIT 5 Implementation, EUA, 2012, p. 10
11 Ibid., p. 11
12 Ibid., p. 18
13 Ibid., p. 21
14 Ibid., p. 13
15 Ibid., p. 18
16 Op cit, Rittel
17 Op cit, Conklin 2006
18 Ibid.
19 Ribeiro, Carlos Henrique de Luca; “Práticas de Governança de TI na Administração Pública Federal caracterizadas no espectro da perversidade ("Wickedness") dos problemas,” Universidade Católica de Brasília, Brasília, 2012

Top


Planos para o futuro: Estratégia de crescimento do COBIT 5
Por Robert E. Stroud, CGEIT, CRISC

Em 2013, a Força-tarefa de Estratégia de crescimento do COBIT identificou atividades e resultados essenciais para aumentar a adoção e a utilização do COBIT 5. Essas atividades foram definidas por meio da experiência da força-tarefa, bem como por mais de 35 entrevistas com usuários atuais e em potencial do COBIT 5. O resultado desse trabalho é que diversas novas iniciativas do COBIT 5 estão em andamento com datas de entrega em 2014 e 2015.

Os projetos em desenvolvimento incluem:

  • Um estudo de benchmarking para demonstrar os valores comerciais obtidos aplicando as práticas de governança e gestão definidas no COBIT 5.
  • Documentos técnicos que abordam como o COBIT pode ser utilizado com outras estruturas e padrões.
  • Uma ferramenta, “Introdução à governança de TI”, para quem não conhece os conceitos do COBIT 5.
  • Uma ferramenta que apresenta os objetivos em cascata, que será entregue como parte do COBIT 5 online.
  • Uma nova campanha de marketing do COBIT 5 concentrada em como o COBIT 5 pode ajudar a lidar com problemas de negócios.
  • Orientação para executivos sobre os benefícios que o COBIT 5 pode gerar para suas empresas.

Outras atividades também foram identificadas e serão compartilhadas com a comunidade do COBIT 5 quando o desenvolvimento começar. As atualizações serão apresentadas no COBIT Focus e na página do COBIT 5 no site da ISACA.

Robert E. Stroud, CGEIT, CRISC
É vice-presidente de estratégia e inovação da CA Technologies, o próximo presidente internacional da ISACA para 2014-2015 e membro do Comitê de Influência/Defesa Profissional da ISACA. Stroud trabalhou por mais de 15 anos no mercado financeiro gerenciando com sucesso diversas iniciativas nos setores de TI e varejo bancário relacionadas à gestão de serviços e à governança de processos de TI. Ele ingressou na CA Technologies vindo da empresa de segurança computacional australiana Cybec, onde foi responsável pela bem-sucedida expansão global da empresa, incluindo a entrada no mercado norte-americano.

Top


Planejamento estratégico utilizando COBIT 5
Por Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9

Planejamento estratégico é um componente importante da gestão estratégica de negócios. Ele resulta em planejamento de longo prazo e na direção futura de uma empresa no nível estratégico. Se um exercício de planejamento estratégico for feito pela primeira vez, ele resulta na definição da visão, da missão e dos valores da empresa. Os ciclos de planejamento estratégico variam de três a cinco anos e dependem da vertical de mercado a que esta empresa pertence ou atua. Quando há uma visão e uma missão definidas, os objetivos normalmente são revistos e revisados de um ciclo para o outro. Todo ciclo de estratégia resulta em objetivos novos ou atualizados para se alcançar a visão da empresa. A fase de implementação da estratégia lida com o cumprimento dos objetivos estratégicos definidos. A seguir, uma abordagem passo a passo sobre a atividade de planejamento estratégico utilizando as diretrizes do COBIT 5.

A estrutura do COBIT 5 é um conjunto abrangente e coerente de diretrizes de governança e gestão corporativas de TI (GEIT) com informações úteis sobre o estabelecimento e o alinhamento do planejamento estratégico. Como a estratégia de negócios ou da empresa é diferente da estratégia de TI, o conceito de alinhamento estratégico se refere à necessidade de alinhamento entre a estratégia de negócios e os objetivo e processos de TI. A família de produtos COBIT 5 consiste em um conjunto de guias que incluem o guia do modelo, os guias do habilitador e os guias profissionais. Como o COBIT 5 se baseia inerentemente em cinco princípios fundamentais que incluem satisfazer as necessidades stakeholders, abranger a empresa de ponta a ponta, aplicar uma única estrutura integrada, permitir uma abordagem holística e separar a governança da gestão, a orientação sobre planejamento estratégico é feita em toda a estrutura e nos materiais de apoio para assegurar que esses princípios sejam alcançados. Há um resumo da orientação em planejamento estratégico discutida neste artigo na Figura 1 com referência à família de produtos COBIT 5.

Figura 1

Figura 2A formulação de uma estratégia de negócios começa com as técnicas para fornecer materiais de apoio relevantes e suficientes para a equipe executiva responsável por definir esta estratégia. Uma técnica comum utilizada é a análise de pontos fortes, pontos fracos, oportunidades e ameaças (Strengths, Weaknesses, Opportunities and Threats [SWOT]), conforme ilustrado na Figura 2.1 As quatro entidades utilizadas neste modelo para avaliar a atividade de negócios são categorizadas em termos de origem (interna ou externa) e utilidade (útil ou nociva) com relação à empresa. As informações necessárias para tornar a análise de SWOT eficaz podem ser obtidas por meio de colaboração com membros experientes e antigos da equipe, revisão de documentos relevantes ou entrevistas com os principais stakeholders. O COBIT 5 reconhece que a definição das necessidades dos stakeholders depende muito da compreensão das influências exclusivas de cada empresa e que a GEIT não pode ocorrer no vácuo. COBIT 5 Implementation fornece uma orientação detalhada por meio de “reconhecimento dos pontos problemáticos e eventos causadores”, bem como de uma compreensão dos aspectos importantes da formulação da estratégia de negócios na seção “Envolvimento dos stakeholders”.2 Além disso, o COBIT 5 fornece diretrizes para capturar as necessidades dos stakeholders3 e uma compreensão dos riscos associados para alcançar esses objetivos.4 As necessidades dos stakeholders podem ser capturadas apenas envolvendo diretamente os stakeholders. Uma abordagem popular para capturar as necessidades dos stakeholders e formular a estratégia de negócios é realizar um workshop sobre estratégia. Os resultados da análise de SWOT devem estimular a captura das necessidades dos stakeholders e também desafiar a aplicabilidade das necessidades dos stakeholders durante o workshop.

Figura 3Os objetivos corporativos genéricos do COBIT 5 podem fornecer um ponto de partida para o workshop sobre estratégia. Os executivos de TI devem ser envolvidos (e, em alguns casos, comandarem) na formulação dos objetivos corporativos estratégicos. Como participantes, os executivos de Ti devem enfatizar a função estratégica de TI em vez da função de suporte. Os executivos de TI também devem utilizar a oportunidade do workshop para assegurar que os líderes de negócios tenham uma compreensão clara da atual posição de TI, bem como uma visão clara de como as estratégias de TI oferecerão suporte às estratégias de negócios que estão sendo discutidas. Todos os participantes do workshop devem explorar as três disciplinas de valor (intimidade com o cliente, liderança do produto e excelência operacional)5 como a base para a formulação da estratégia corporativa e, preferencialmente, optar por uma das disciplinas de valor como a fonte primária de foco para a estratégia. O COBIT 5 fornece objetivos em cascata para o alinhamento estratégico de metas em todos os níveis às necessidades dos stakeholders e aos objetivos de governança (Figura 3). Os objetivos corporativos estratégicos devem ser vinculados às necessidades dos stakeholders e aos objetivos de governança de criação de valor, notadamente, a realização de benefícios, a otimização de riscos e a otimização de recursos (Figura 4). O mapeamento deve esclarecer o tipo de relacionamento — relacionamento primário (P) ou relacionamento secundário (S) — para ajudar a se concentrar na importância. Os objetivos corporativos estratégicos também devem ser desenvolvidos levando em consideração as quatro dimensões do Balanced Scorecard (BSC): financeira, cliente, interna e aprendizado e crescimento.6 Além disso, deve ser produzido um mapa visual das estratégias para mostrar os interrelacionamentos entre os objetivos corporativos estratégicos desenvolvidos (Figura 5),7 o que permitirá uma clara compreensão das dependências.

Figura 4
Figura 5

A formulação de uma estratégia de TI alinhada também pode aproveitar o método de análise de SWOT. É possível preparar um relatório de análise de tendências tecnológicas como um ponto de partida útil para a formulação da estratégia de TI. Como no caso do workshop sobre estratégia corporativa, um workshop de vários dias sobre estratégia de TI também pode ser organizado para formular a estratégia de TI. As principais considerações para workshop eficaz sobre estratégia de TI incluem uma seleção criteriosa dos participantes, agrupamento dos participantes, objetivos a serem alcançados pelo workshop, seleção dos facilitadores do workshop e o tipo de interação entre os grupos. Portanto, planejamento e comunicação criteriosos são cruciais para tornar o workshop, um sucesso. As entradas para o workshop sobre estratégia de TI devem incluir um produto de trabalho com os objetivos corporativos finalizados (com base em BSC), um mapa das estratégias corporativas, a disciplina de valor selecionada para a empresa, os resultados da análise de SWOT de TI, os objetivos genéricos de TI do COBIT 5 e o relatório de análise de tendências tecnológicas.

Um processo de planejamento estratégico sugerido e suas entradas relevantes são resumidos no fluxograma ilustrado na Figura 6. As etapas de estratégia corporativa são mostradas em azul, as etapas de estratégia de TI são mostradas em cinza e as entradas são mostradas em amarelo. O workshop sobre estratégia de TI também deve explorar as três disciplinas de valor (intimidade com o cliente, liderança do produto, excelência operacional)8 como a base da formulação da estratégia de TI. Após a identificação dos objetivos estratégicos de TI, eles devem ser mapeados para os objetivos corporativos estratégicos. Conforme discutido anteriormente, o mapeamento deve esclarecer os tipos de relacionamento envolvidos: primário ou secundário. Também é recomendado produzir um mapa visual das estratégias de TI para mostrar os interrelacionamentos entre os objetivos estratégicos d TI (Figura 5).

Figura 6

Figura 7Conforme ilustrado, após o desenvolvimento e mapeamento dos objetivos estratégicos de TI, é essencial definir e gerenciar todos os habilitadores interdependentes que ajudarão a garantir que os objetivos sejam alcançados. O COBIT 5 fornece sete facilitadores corporativos (Figura 7). De acordo com o COBIT 5, facilitadores são fatores que influenciam, individual e coletivamente, se a GEIT funcionarão de acordo com o planejado. O COBIT 5 publicou diretrizes para cada um dos objetivos facilitadores discutidos. Como os facilitadores têm um impacto direto no sucesso dos objetivos gerais definidos, é importante desenvolver/finalizar os objetivos facilitadores no nível do planejamento estratégico e mapeá-los diretamente para os objetivos estratégicos de TI definidos. Após a definição dos objetivos facilitadores, os demais detalhes facilitadores podem ser definidos posteriormente, mas também devem estar em conformidade com os objetivos facilitadores. Os detalhes facilitadores incluem as outras dimensões facilitadoras que vão além da definição dos objetivos facilitadores, como as necessidades dos stakeholders, o ciclo de vida e as boas práticas. Os objetivos facilitadores devem ser vinculados às necessidades dos stakeholders. É necessário desenvolver um plano de ciclo de vida para garantir a gestão bem sucedida do facilitador durante toda a sua vida útil efetiva. Boas práticas, que podem ser facilitadas pelo processo de planejamento estratégico, devem ser identificadas para cada facilitador. No entanto, a seleção de boas práticas para o facilitador deve ser deixado a cargo de especialistas na área do facilitador (por exemplo, RH, informações, arquitetos de tecnologia e aplicativos, especialistas em processos, definidores de políticas).

O COBIT 5 possui um guia profissional de implementação. O guia fornece detalhes das sete fases do ciclo de vida de implementação. As fases "o que/quais" e "onde" (1-4) de gestão do programa e facilitação de mudanças podem ser consideradas no nível do planejamento estratégico de TI (Figura 8). As fases do ciclo de vida de implementação do COBIT 5 que devem ser consideradas no planejamento estratégico são indicadas na Figura 9. A coluna de notas sobre planejamento estratégico realça a relevância da fase para o planejamento estratégico.

Figura 8
Figura 9

A estrutura do COBIT 5 fornece uma orientação avançada sobre o modelo de referência de processos no guia COBIT 5: Processos de facilitação para governança e gestão (Figura 10). Nesse guia, os processos são organizados em grupos. Para governança corporativa de TI, há um grupo de cinco processos, notadamente o domínio Avaliar, Direcionar e Monitorar (Evaluate, Direct and Monitor; EDM). Para gestão, há quatro grupos de processos: Alinhar, Planejar e Organizar (Align, Plan and Organize; APO); Desenvolver, Adquirir e Implementar (Build, Acquire and Implement; BAI); Executar, Atender e Apoiar (Deliver, Service and Support; DSS); e Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess; MEA). Como com a direção discutida anteriormente, alguns desses grupos e processos devem ser levados em consideração no nível do planejamento estratégico. Os processos recomendados que devem ser considerados no nível de planejamento estratégico são aqueles incluídos nas áreas de processos EDM e APO, especificamente Garantir a definição e manutenção da estrutura de governança (EDM01), Gerenciar a estrutura de gestão de TI (APO01) e Gerenciar a estratégia (APO02).

Figura 10

Em futuros artigos, serão apresentadas discussões de acompanhamento de fases adicionais de planejamento estratégico, como alinhamento estratégico contínuo e implementação da estratégia, do ponto de vista do COBIT 5.

Em resumo, o COBIT 5 fornece orientação para o estabelecimento de planos estratégicos corporativos, bem como para o alinhamento e a implementação de objetivos estratégicos de TI. Os objetivos em cascata do COBIT 5 (Figura 3) proporcionam uma base sólida para o alinhamento de objetivos estratégicos de TI. Como é comum na definição e execução de qualquer estratégia, a implementação da estratégia é considerada mais desafiadora do que o próprio planejamento estratégico. O COBIT 5 oferece orientação de ponta a ponta para planejamento estratégico, alinhamento e implementação. A orientação é sistemática, bem organizada e valiosa para grandes públicos-alvo, independentemente do tipo de setor.

Shahid Ali, Ph.D., Certificações CGEIT, CISSP, ITIL Expert, PMP, TOGAF 9
Atualmente trabalha como consultor em arquitetura corporativa com 20 anos de experiência em consultoria de TI e planejamento estratégico em grandes organizações do setor público e no setor de educação. Já ajudou organizações em questões de planejamento estratégico, execução, gestão de arquitetura corporativa e gestão de desempenho estratégico. Ele fez palestras em várias conferências e ministrou breves cursos e tutoriais sobre tópicos de tecnologias emergentes. É o líder do tópico Planejamento estratégico/alinhamento do Centro de Conhecimento da ISACA. Junte-se a ele em discussões adicionais sobre este e outros temas.

Notas

1 Humphrey, Albert; “ SWOT Analysis for Management Consulting,” SRI Alumni Association Newsletter, SRI International, Dezembro de 2005
2 ISACA, COBIT 5 Implementation, EUA, 2012
3 ISACA, COBIT 5, EUA, 2012
4 ISACA, COBIT 5 for Risk, EUA, 2012
5 Treacy, Michael; Fred Wiersema; The Discipline of Market Leaders, Addison-Wesley, 1993
6 Kaplan, Robert; David Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard Business School Press, 1996
7 Kaplan, Robert; David Norton; The Strategy-focused Organization: How Balanced Scorecard Companies Thrive in the New Business Environment, Harvard Business School Press, EUA, 2001
8 Op cit, Treacy

Top


Comitê de Estrutura

Steven A. Babb, CGEIT, CRISC, ITIL, Reino Unido, Presidente
David Cau, ITIL, MSP, Prince2, França
Sushil Chatterji, CGEIT, Cingapura
Frank Cindrich, CGEIT, CIPP, CIPP/G, EUA
Joanne De Vito De Palma, EUA
Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Áustria
Katherine McIntosh, CISA, EUA
Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brasil
Paras Shah, CISA, CGEIT, CRISC, CA, Austrália

Conteúdo editorial

Comentários sobre o conteúdo editorial podem ser enviados para Jennifer Hajigeorgiou, gerente editorial sênior, pelo e-mail jhajigeorgiou@isaca.org.

COBIT Focus é uma publicação da ISACA. As opiniões expressas no COBIT Focus representam as visões dos autores. Elas podem ser diferentes das políticas e declarações oficiais da ISACA e de seus comitês, bem como das opiniões defendidas por autores, funcionários ou editores do COBIT Focus. COBIT Focus não garante a originalidade do conteúdo dos autores.

© ISACA. Todos os direitos reservados.

Instrutores têm permissão para fazerem fotocópias de artigos isolados para uso não comercial em salas de aula sem cobrança de taxas. Para outros tipos de cópia, reimpressão ou republicação, é necessário obter permissão por escrito da associação. Entre em contato com Julia Fullerton pelo e-mail jfullerton@isaca.org.

COBIT Focus Newsletter