Destaques A utilizao do COBIT 5 como guia de melhores prticas permite alinhar de modo mais adequado a tecnologia da informao com os objetivos da organizao. O COBIT 5 busca a excelncia operacional por meio de controles aplicados diretamente aos principais processos da organizao. o nico framework de negcios para a gesto e a governana de TI de uma organizao. Atingir a excelncia operacional, alcanar objetivos estratgicos e obter vantagens comerciais so alguns dos principais benefcios trazidos pelo COBIT 5. Saiba quais so as novidades da verso 5 do COBIT Por que conhecer o COBIT 5 Abril 2014 Um dos mais completos frameworks voltados para governana de tecnologia da informao (TI) chega sua quinta edio. Mantido pela ISACA (Information Systems Audit and Control Association), uma organizao independente e sem fins lucrativos, o COBIT 5 proporciona uma viso de negcios de ponta a ponta e reflete o papel central da informao e da tecnologia na criao de valor para as corporaes. Nessa nova verso, os principais benefcios so o melhor alinhamento da TI com os objetivos da organizao e a maior transparncia em relao ao custo e o retorno obtidos com os servios prestados pela rea de TI. Outra vantagem importante definir claramente as responsabilidades nos processos de TI. O COBIT 5 se destina a empresas de todos os tamanhos, do setor pblico ou privado, e est aberto customizao. um instrumento para viabilizar a gesto dos riscos associados TI e determinar como direcion-la de acordo com as prioridades de negcio. A verso 5 incorpora as ltimas novidades sobre as tcnicas de gesto e governana de TI e fornece princpios, modelos, prticas e mecanismos globalmente aceitos. O objetivo agregar valor ao negcio atravs da TI e aumentar a confiana dos stakeholders no retorno sobre seus investimentos. 10Minutos | Tecnologia da Informao 2 DC0 - Informao Pblica 2 Instantneo Principais mudanas DC0 - Informao Pblica Adaptabilidade O framework do COBIT deixa de ser esttico, podendo ser moldado conforme as necessidades e a realidade de cada organizao. Domnios e processos Na verso 4.1 existiam 4 domnios e 34 processos. Na verso 5, so 5 domnios e 37 processos. Modelo de maturidade O modelo de maturidade de processo do COBIT 4.1 foi alterado para avaliao de capacidade (Capability Assessment), com base na ISO/IEC 15504. Integrao O COBIT 5 permite integrar o COBIT 4.1 com outros conjuntos de boas prticas e metodologias, como padres ISO, ITIL, Val IT, Risk IT, entre outros. Governana O COBIT 5 faz uma clara distino entre governana e gesto. Governana definida como um nvel estratgico e gesto, como um nvel executivo. Essas duas camadas possuem foco, estrutura organizacional e atividades distintas, porm com total interao Tabela RACI (Responsible, Accountable, Consulted and Informed) A tabela RACI do COBIT 5 est mais abrangente, contemplando uma lista maior de agentes de governana. Isso possibilita definir melhor as responsabilidades e os papis de cada um dos envolvidos na concepo e na realizao das atividades. 3 DC0 - Informao Pblica Alinhamento e benefcios O COBIT 5 define que a governana e o gerenciamento de tecnologia da informao devem cobrir toda a organizao com os seguintes objetivos: Integrao: a proposta principal dessa nova verso integrar a governana de TI com a governana corporativa. Informao: o COBIT 5 trata a informao como ativo necessrio para toda a organizao, no foca apenas nas funes de TI. Customizao: apesar de possuir um alcance capaz de cobrir todas as funes e os processos da organizao, o COBIT 5 pode ser adotado apenas para processos especficos. O COBIT 5 orientado a um conjunto de processos e no apenas a um processo de negcio ou departamento especfico. O framework foca no resultado final gerado pela TI e tem como propsito fornecer aos executivos e gestores um modelo de governana que auxilie na entrega de valor de TI, por meio do entendimento e do gerenciamento dos riscos associados. O COBIT 5 pode trazer diversos benefcios, entre eles: Informaes de alta qualidade para apoiar decises de negcios. Excelncia operacional por meio da aplicao confivel e eficiente da tecnologia. Riscos relacionados tecnologia da informao em um nvel aceitvel, considerando a tolerncia e o apetite ao risco de cada organizao. Otimizao dos recursos de TI. Suporte conformidade com leis, regulamentos, acordos contratuais e polticas. 4 DC0 - Informao Pblica 1. Atender s necessidades dos stakeholders 2. Compreender toda a empresa 3. Implantar um framework nico e integrado 4. Permitir uma abordagem holstica 5. Separar a governana da gesto Os 5 princpios do COBIT 5 Os cinco princpios do COBIT5 Princpio 1: Atender s necessidades dos stakeholders O principal objetivo da governana de TI atender s necessidades dos diversos stakeholders de uma corporao, transformando-as em estratgias corporativas. Princpio 2: Compreender toda a empresa O COBIT 5 define que a governana e o gerenciamento de TI devem abranger toda a organizao, com o objetivo de integrar a governana de TI com a governana corporativa, tratar a informao como ativo necessrio para toda a empresa e cobrir todas as funes e processos. Princpio 3: Implantar um framework nico e integrado O COBIT 5 est alinhado com as mais recentes normas e frameworks utilizados no mercado (COSO, ITIL, ISO 27001, TOGAF, Prince 2, Six Sigma). Fonte: ISACA - www.isaca.org Princpio 4: Permitir uma abordagem holstica Para apoiar a governana e o gerenciamento de TI utilizando uma abordagem que engloba a organizao como um todo, incluindo seus componentes e suas inter-relaes, o COBIT 5 define sete facilitadores: processos; estrutura organizacional; cultura, tica e comportamento; princpios, polticas e frameworks; informao; servios, infraestrutura e aplicaes; pessoas, habilidades e competncias. Individual ou coletivamente, esses facilitadores influenciam o funcionamento da governana e da gesto de TI. Princpio 5: Separar a governana da gesto O COBIT 5 faz uma clara distino entre governana e gesto. Essas duas reas englobam vrios tipos de atividades, exigem diferentes estruturas organizacionais e servem a propsitos diversos.
5 DC0 - Informao Pblica Distino entre governana e gesto de TI Principais reas de atuao da governana e da gesto do COBIT Fonte: ISACA - www.isaca.org Governana Feedback da Administrao Necessidades de negcio Avaliar Dirigir Monitorar Gesto Planejar (APO) Contruir (BAI) Executar (DSS) Monitorar (MEA) Um dos princpios fundamentais da nova verso do COBIT a distino entre governana e gesto de TI e as reas de atuao de cada camada. Governana de TI compreende todas as prticas relacionadas a avaliar, direcionar e monitorar os processos e atividades de TI. Nessa camada, so discutidos e aprovados os direitos de deciso, as polticas e normas de alinhamento estratgico, a implementao de processos e os mecanismos de controle que direcionaro a gesto da TI. Gesto de TI a camada de execuo da TI. Compreende todas as prticas relacionadas a planejar, desenvolver, executar e monitorar os processos e atividades de TI, sempre em constante alinhamento com o direcionamento estratgico fornecido pela governana de TI. Isso garante que os servios de TI sejam entregues conforme combinado, dentro do escopo esperado e do custo e da qualidade acordados. 6 DC0 - Informao Pblica Ciclo de vida da implementao do COBIT 5 Existem trs componentes inter-relacionados nas sete fases do ciclo de vida: melhoria contnua (ncleo), habilitao de mudana (2 anel) e gerenciamento do programa (3 anel). Fonte: ISACA Monitorar e avaliar Avaliar o estado atual Reconhecer a necessidade de agir Definir o estado pretendido Construir as melhorias Implementar as melhorias Operar e medir O ciclo de vida da implementao proposto pelo ISACA uma forma de as organizaes usarem o COBIT 5 para lidar com a complexidade e os desafios normalmente encontrados durante as implementaes. Fase 1 Quais so os direcionadores? Reconhecer a necessidade de agir, estabelecer o desejo de mudana e iniciar o programa. Nesta etapa, define-se o Plano Estratgico de Tecnologia da Informao. Fase 2 Onde estamos agora? Avaliar o estado atual dos processos, mobilizar a equipe de implementao e definir os problemas e as oportunidades. Esta etapa tem como propsito definir o escopo da iniciativa de implementao ou melhoria, utilizando o mapeamento dos objetivos de negcio com os de TI. Fase 3 Onde queremos estar? Definir o estado desejado, comunicar o resultado e definir o roteiro de implementao (roadmap). Deve-se dar prioridade s iniciativas mais fceis de realizar e que trazem mais benefcios. Fase 4 O que precisa ser feito? Construir as melhorias, identificar os envolvidos e planejar a implementao. Focar em solues prticas por meio da definio de projetos apoiados por casos de negcios justificveis. Fase 5 Como vamos chegar l? Implementar as melhorias, executando o plano de implementao definido na fase anterior, operar e usar. As mtricas podem ser definidas, e o monitoramento, estabelecido para garantir o alinhamento com as estratgias de negcio. Fase 6 Chegamos l? Operar e medir, incorporar novas abordagens e obter benefcios. Esta etapa incide sobre a operao sustentvel dos processos novos ou melhorados e o monitoramento da eficcia e dos benefcios esperados. Fase 7 Como mantemos o ritmo? Monitorar e avaliar, sustentar e revisar a eficcia. Nesta etapa, realiza-se o acompanhamento e a anlise contnuos.
7 DC0 - Informao Pblica Principais diferenas em relao ao COBIT 4.1 A nova verso do framework traz cinco alteraes importantes: 1. Mudana de abordagem: foco em princpios e facilitadores A verso 4.1 do COBIT estava focada nos objetivos de controle. A verso 5 prope uma abordagem de gesto e governana baseada em princpios, que, por sua vez, viabilizada pelos facilitadores. Os princpios do COBIT 5 so de fcil compreenso e permitem a entrega de valor de forma mais eficaz. 2. Novo domnio de Governance of Enterprise IT (GEIT) Um dos domnios do COBIT 5 completamente novo. Avaliar, Direcionar e Monitorar promove uma distino clara entre governana e gesto de TI, trazendo cinco novos processos, todos relacionados exclusivamente governana.
3. Mudanas em domnios existentes Quatro domnios sofreram mudanas com relao verso anterior e esto definidos como domnios de gesto. COBIT4.1 COBIT5 Plan and Organize Align, Plan and Organize (Planejar e Organizar) (Alinhar, Planejar e Organizar) 10 processos 13 processos Acquire and Implement Build, Acquire and Implement (Adquirir e Implementar) (Construir, Adquirir e Implementar) 7 processos 10 processos Deliver and Support Deliver, Service and Support (Entrega e Suporte) (Entrega, Servio e Suporte) 13 processos 6 processos Monitor and Evaluate Monitor, Evaluate and Assess (Monitorar e Avaliar) (Monitorar, Avaliar e Analisar) 4 processos 3 processos 4. Descontinuao do Capability Maturity Model (CMM) O modelo de maturidade de processos que conhecamos no COBIT 4.1 foi alterado para avaliao de capacidade (Capability Assessment), baseado na ISO/IEC 15504. Essa mudana trouxe vrios benefcios, como a confirmao de que um processo est prestes a atingir sua finalidade, sendo possvel entregar seus resultados como esperado; menor divergncia de entendimento dos stakeholders sobre os resultados obtidos nas avaliaes de capacidade dos processos; e maior aproveitamento dos resultados das avaliaes de capacidade. 5. Mudana nas responsabilidades da tabela RACI A matriz RACI uma ferramenta utilizada para atribuio de responsabilidades dentro de um determinado processo. No COBIT 5, a matriz RACI oferece uma gama mais completa, detalhada e clara dos papis para cada prtica de gerenciamento. Isso permite definir melhor papis e responsabilidades e/ou nveis de envolvimento na concepo e na implementao de processos. 8 DC0 - Informao Pblica 2014 PricewaterhouseCoopers Brasil Ltda. Todos os direitos reservados. Neste documento, PwC refere-se PricewaterhouseCoopers Brasil Ltda, a qual uma frma membro do network da PricewaterhouseCoopers, sendo que cada frma membro constitui-se em uma pessoa jurdica totalmente separada e independente. O termo PwC refere-se rede (network) de frmas membro da PricewaterhouseCoopers International Limited (PwCIL) ou, conforme o contexto determina, a cada uma das frmas membro participantes da rede da PwC. Cada frma membro da rede constitui uma pessoa jurdica separada e independente e que no atua como agente da PwCIL nem de qualquer outra frma membro. A PwCIL no presta servios a clientes. A PwCIL no responsvel ou se obriga pelos atos ou omisses de qualquer de suas frmas membro, tampouco controla o julgamento profssional das referidas frmas ou pode obrig-las de qualquer forma. Nenhuma frma membro responsvel pelos atos ou omisses de outra frma membro, nem controla o julgamento profssional de outra frma membro ou da PwCIL, nem pode obrig-las de qualquer forma. DC0 - Informao Pblica Twitter@PwCBrasil Siga-nos facebook.com/PwCBrasil Para obter mais informaes, entre em contato com:
Edgar DAndrea Scio lder da Prtica de IT GRC no Brasil Tel: 11 3674-3826 edgar.dandrea@br.pwc.com Rodrigo Milo Diretor da Prtica de IT GRC Tel: 21 3232-6128 rodrigo.milo@br.pwc.com Viviane Oliveira Diretora da Prtica de IT GRC Tel: 11 3232-2345 viviane.oliveira@br.pwc.com Eliane Kihara Scia da Prtica de IT GRC no Brasil Tel: 11 3674-2435 eliane.kihara@br.pwc.com Luciano Loureno Gerente Snior da Prtica de Auditoria Interna Tel: 11 3674-3402 luciano.lourenco@br.pwc.com Rejane Ribeiro Gerente da Prtica de IT GRC Tel: 21 3232-6214 rejane.ribeiro@br.pwc.com Compartilhe conosco o que voc acha da srie 10Minutos e quais temas gostaria de conhecer melhor. Acesse: www.pwc.com.br/10minutosopiniao