ABORDAGEM – IMPLEMENTANDO COBIT 5

Quero no dia de hoje, especialmente para a língua español mostrar algumas das maneiras de implementar este quadro de trabalho para governança corporativa de tecnologia da informação. E a ideia é tornar mais visual possível.

Antes de fazer esquemas visuais, alguns tirados da página do ISACA e outros criados de uma forma simples para mim, eu quero fazer algumas características gerais da aplicação deste quadro de trabalho:

A governança de T.I., (suas sigla em inglês, GEIT) é amplamente reconhecida pela gestão de topo, como uma parte essencial da governança corporativa nos países do primeiro mundo. Nosso desafio na América Latina é convencer as partes interessadas que esse quadro de trabalho ajuda-lhes a perceber os benefícios de negócio, risco empresarial e otimização de recursos.

As Tecnologias da informação são cada vez mais parte de todos os aspectos do negócio e da vida pública; Eles são tão onipresentes.

Hoje mais do que nunca e cada vez mais há a necessidade que a área de T.I., dé maior valor de negócios; Isto significa que terá que investir mais esperta os investimentos em T.I. e gerenciar um corpo crescente de riscos associados à T.I., que não agem prontamente tornar-se o risco de negócio sério.

Cada vez mais a regulamentação e legislação sobre a utilização das informação de negócio internos e externos; Além disso, traz-nos ter uma maior consciência da importância de um ambiente de T.I. bem controlado e gerenciado.

Lembre-se a implementação do ciclo de vida de 5 COBIT, fornecida pelo ISACA:

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Um dos maiores desafios para a implementação do COBIT, especialmente nesses países é dada pela seguinte:

Temos de estabelecer o GEIT dentro de uma empresa. Ou seja, temos que vender corretamente  não como uma solução temporária mas iniciá-lo e alinhá-lo com o ciclo de vida de toda a empresa.

Dizer aos interesados quais são os primeiros passos para a implementação de GEIT, os desafios para superar pela empresa e mostrar quais serão os factores de sucesso.

Mostrar qual vai ser a mudança organizacional necessária para a empresa e o comportamento de negócios associados com GEIT; Estabelecer como será gestada a melhoria contínua do programa global  e como ele será executado a gestão de programas de gestão.

Fazer uso, 5 COBIT e seus componentes, suas recomendações. Também estabelecer mecanismos para atualização de formação e de negócios.


Fazer uso de 5 COBIT e seus componentes

Os Componentes que propõe usar COBIT 5, são as seguintes:

Os cinco princípios do COBIT.

  1. Conhecer As necessidades das partes interessadas.
  2. Cobertura da total da empresa
  3. A aplicação de um quadro de trabalho integrado.
  4. Abordagem holística.
  5. Gestão separada do governo.

Os objectivos de habilitação do COBIT.

  1. Processos.
  2. Estruturas organizacionais.
  3. Ética, cultura e comportamento.
  4. Princípios, políticas e quadros de Referência.
  5. Informação.
  6. Serviços, infra-estrutura e aplicações.
  7. Pessoas, habilidades e competências.

A Guia de implementação: Vou desenvolver este escopo neste blog.

Programa de avaliação de processo: este programa de avaliação da capacidade dos processos e a maturidade que tem sido adotada pelo ISACA para COBIT 5.


Implementação: Passos

Mais lá de seguir o ciclo de vida do guia, como vemos na imagem da implementação do COBIT, eu gostaria de estabelecer as etapas e explicá-las e tentar visualizá-las da maneira mais simples possível, sabendo que uma implementação em pode ser muito complexa em ambientes de negócios.

Neste ordem de ideias, as etapas podem ser:

  1. 1 Deixar claro para as partes interessadas sobre a implementação do COBIT.
  2. 2. Selecione os processos que vão participar na implementação do COBIT.
  3. 3. Determinar quais instâncias de processos são essenciais para a implementação.
  4. 4 “Mapping” dos processos de negócios com os procesos modelo de referencia do COBIT 5.
  5. 5. Estabelecer as atuais lacunas na organização e roteiro para a melhoria do negócio.
  6. 6. Construa a capacidade dos procesos: 
    1. Processos com ciclo de vida discreto
    2. Processos que são sistemas de gestão
    3. Processos que incluem a coleção de tarefas “ad hoc”
  7. 7 Verificar o trabalho realizado na implementação.
  8. 8 Mantêr informando o andamento da implementação do COBIT 5.

Quando estamos fazendo clarão para as partes interessadas sobre o escopo de uma implementação de COBIT, debe-se colocar os elementos tomara visualmente, então os atores de negocios  entendem até onde chega um programa deste tipo. A melhor prática é dividir o programa em vários projetos para não distorcer o escopo e implementação perfeitamente viável.

Vejamos o seguinte diagrama:

Basado y tomado de ITgovernance.com

Com base e tomada do ITgovernance.com

Lembre-se, para gerar valor, que é o centro de qualquer programa de implementação de negócios (SOX, COBIT, COSO, ISO XXXX, etc.), deverão ter por objectivo a perceber os benefícios económicos e não económicos, otimizar o risco e otimização de recursos. Os interessados devem chegar e cumprir a visão de negócio e precisam de alguns motivadores que lhes permitem alcançar a conformidade com a visão proposta; No entanto, estas motivações surgem de ter objetivos específicos e com prioridade  de negócios que devem levar a empresa a uma capacidade desejada e conformidade com a governança corporativa, retratado GRC (Governance, Risk Management and Comformidade).

Para cumprir com a governança corporativa, precisamos melhorar os processos de negócios; para melhorar os processos de negócios, nós temos que encontrar um roteiro para essa melhoria desses processos de negócios e é preciso o plano de acção por parte da área de T.I. quem está com suas ferramentas e esquemas de trabalho, farão possível a comformidade da visão da empresa.

O CIO deve garantir que a empresa tem recursos suficientes e através de um sistema de gestão do programa (uma PMO por exemplo), irá executar vários programas e projetos que removam ou estão a caminho, para atenuar as lacunas ou pontos problemáticos de negócio (ou seja, o que precisa efetivamente a empresa a cumprir a visão de negócios). E também deve estabelecer as funções de controle em programas de projetos específicos que devem assegurar que as lacunas no negócio estão sendo atenuadas, mantendo informados aos interessados dos programas de projetos que devem cumprir as disposições relativas aos requisitos de governança corporativa (GRC).

A auditoria externa será o fiador para requisitos de GRC sejan cumpridas totalmente; por outro lado líderes das unidades do negócios devem saber o quais são as lacunas que impedem a empresa cumprir os objectivos para patrocinar programas de projetos que van destinados a mitigação das lacunas no negócio ou pontos de dor encontradas.

E que podemos obter a implementação?

Quadro de trabalho de governo personalizado a empresa.

Melhor gestão de risco do negócio.

Melhorias nos controles para mitigar os riscos encontrados e / ou obrigações das empresas.

Resolução da lacuna da empresa.

Otimização dos processos de acordo com os resultados desejados. É claro que na primeira interação do programa de implementação, certamente, não haverá nenhum processo de otimização, mas certamente se processos implementados.

Identificação e conscientização dos processos de negócios chave.

Eliminação das lacunas existentes nas atividades dos procesos.

Associação dos riscos de negócio encontrados contra processos construídos.

Padronização de procesos.

Sinergia nos negocios.

Construir / mejorar las capacidades de los procesos como es deseado. Por ejemplo

Construir / melhorar as capacidades dos processos conforme desejado. Por exemplo

  • -Resolução de problemas
  • -A adopção de velocidade de mudança tecnológica
  • Cumprimento das obrigações de negócios específicas
  • -Proteção de dados confidenciais da empresa

O Qué processos poderiam fazer parte de uma implantação?

Virando-se para o segundo ponto (Selecione os processos que vão participar na implementação do COBIT), vamos ver todos os processos que COBIT 5 propõe:

Source: COBIT® 5, figure 17. © 2012 ISACA® All rights reserved.

Se há metas de negócios relacionadas à produtividade operacional e empregados, porque há lacunas ou pontos de dor de negocios que foram encontrados, então os processos de governo para estabelecer por exemplo numa primeira iteração será o EDM2 e EDM4; Porque essa meta está diretamente relacionada com os benefícios para a empresa (neste caso na primeira medição interna) e otimização dos recursos de empresa. Posteriormente, o processo de EDM1, debe-se implementar e é quem acredita tuda a estrutura de governo e é um dos resultados práticos. É uma primeira abordagem para a implementação de procesos.

Agora os processos que devem-se implementar de gestão, Vamos continuar usando a cascata de objetivos. Este objetivo de negócios está directamente relacionado com as seguintes metas de tecnologia da informação:

  • -Realização de lucros da carteira de investimento e serviços relacionados as TI
  • -Utilização correta de aplicativos, informações e soluções de tecnologia
  • -Otimização de ativos, recursos e capacidades das TI
  • -Treinamento e suporte de processos de negócios através da integração de aplicações e – tecnologia em processos de negócios
  • -Pessoal do Negocios de TI competente e motivado.

Se observamos bem, o primeiro meta de TI, tem mais a ver com a parte financeira da empresa, e como vimos este objetivo de negócio pertence mais o desejo de fechar uma lacuna interna. O segunda meta, “A utilização de aplicações, informações e soluções de tecnologia”, é muito mais orientada para uma das razões da empresa e sua existência e são seus clientes. A última meta “Pessoal do Negocios de TI competente e motivado” foi concebido mais na formação e desenvolvimento de pessoal da empresa.

Ficamos com dois metas de T.I., que eles estão relacionados ao aspeto interno da empresa que são “Otimização de ativos, recursos e capacidades das TI” e “Treinamento e suporte de processos de negócios através da integração de aplicações e – tecnologia em processos de negócios”. Vamos olhar  o que processos do COBIT para nos ajudam a cumprir esses objetivos. Para Treinamento e suporte de processos de negócios através da integração de aplicações e – tecnologia em processos de negócios:

  • S: EDM02 garantir a entrega dos benefícios
  • S: APO01 gestão a estrutura de gerenciamento de TI
  • S: APO02 gestão a estratégia
  • S: APO03 gestão a arquitetura corporativa
  • P: APO08 gestão relacionamentos
  • P: BAI02 gestão a definição de requisitos
  • S: BAI03 gestão a identificação e a construção de soluções
  • S: BAI05, gestão de mudanças organizacionais
  • S: BAI06 gestão de mudanças
  • P: BAI07 gestão a aceitação da mudança e da transição
  • S: DSS03 gestão dos problemas
  • S: SS04 gestão da continuidade
  • S: DSS05 gestão dos serviços de segurança
  • S: DSS06 gestão os controles dos processo do negócio

Para otimização de ativos, recursos e capacidades do T.I. têmos:

  • S: EDM01 assegurar o estabelecimento e manutenção da estrutura de governo
  • S: EDM02 garantir a entrega dos benefícios
  • P: EDM04 garantir a otimização dos recursos
  • P: APO01 gestão a estrutura de gerenciamento de TI
  • S: APO02 gestão estratégia
  • P: APO03 gestão a arquitetura corporativa
  • P: APO04 gestão a inovação
  • S: APO05 gestão a carteira
  • S: APO06 gestão dos custos e orçamento
  • P: APO07 gestão dos recursos humanos
  • S: APO08 gestão os relacionamentos
  • S: APO09 gestão dos contratos de serviço
  • S: APO10 gestão dos provedores
  • S: APO11 gestão a qualidade
  • S: BAI01 gestão do programas e projetos
  • S: BAI02 gestão a definição de requisitos
  • S: BAI03 gestão a identificação e a construção de soluções
  • P: BAI04 gestão a disponibilidade e capacidade
  • S: BAI05, gestão de mudanças organizacionais
  • S: BAI06 gestão das mudanças
  • S: BAI08, gestão do conhecimento
  • P: BAI09 gestão do ativos
  • P: BAI10 gestão a configuração
  • P: DSS01 gestão as operações
  • P: DSS03 gestão os problemas
  • S: DSS04, gestão de continuidade
  • S: DSS05 gestão dos serviços de segurança
  • S: DSS06 gestão os controles do processo do negócio
  • P: MEA01 Monitor, avaliar e avaliar o desempenho e conformidade

Observe os procesos realçados. Estes processos já nos dar uma ideia sobre o que processos devem-se implementar ou construir-se é a primeira iteração; Se já houver uma indicação destes, a ideia é melhorá-las precisamente como parte dos resultados da execução.

Conclusão dos processos a implementar serão para este objetivo corporativo, onde a empresa tem problemas:

  • P: EDM04 garantir a otimização dos recursos
  • P: APO01 gestão a estrutura de gerenciamento de TI
  • P: APO03 gestão a arquitetura corporativa
  • P: APO04 gestão a inovação
  • P: APO07 gestão dos recursos humanos
  • P: APO08 gestão relacionamentos
  • P: BAI02 gestão a definição de requisitos
  • P: BAI04 gestão a disponibilidade e capacidade
  • P: BAI09 gestão do ativos
  • P: BAI10 gestão a configuração
  • P: BAI07 gestão a aceitação da mudança e da transição
  • P: DSS01 gestão as operações
  • P: DSS03 gestão os problemas
  • P: MEA01 Monitor, avaliar e avaliar o desempenho e conformidade
  • S: EDM01 assegurar o estabelecimento e manutenção da estrutura de governo
  • S: EDM02 garantir a entrega dos benefícios

Aqui poderia perguntamos, e outros processos? Não é que os outros são menos importantes, mas eles são secundários para efeitos de atingir essa meta em particular de negócio que eu usei como exemplo. Agora, se qualquer outras metas de negócios incluíam na implementação viria também como parte da lista para ser implementado.


Quais as instâncias de procesos são essenciais para a implementação?

Agora, temos de indicar as instâncias do processo. Usando a lista de processos a serem implementadas, referirei as instâncias como aquelas entidades que serão responsáveis por quanto construir processos dentro de uma organização.

Então neste modelo de proceso que será implementado, as instâncias poderiam ser algo como a vemos no exemplo de esquema a seguir:

Neste exemplo, as instâncias que realizam processos:

  • EDM04 garantir a otimização dos recursos
  • APO01 gestão a estrutura de gerenciamento de TI
  • APO03 gestão a arquitetura corporativa
  • EDM01 assegurar o estabelecimento e manutenção da estrutura de governo
  • EDM02 garantir a entrega dos beneficios

Será o escritório de arquitetura corporativa, pensando que isto existe dentro da empresa e é que o que ajuda a executar a estratégia de negócios; Enquanto isso, o escritório de T.I., será responsável por processos de:

  • BAI02 gestão a definição de requisitos
  • BAI04 gestão a disponibilidade e capacidade
  • BAI09 gestão do ativos
  • BAI10 gestão a configuração
  • BAI07 gestão a aceitação da mudança e da transição
  • DSS01 gestão as operações
  • DSS03 gestão os problemas

Além disso, a área de recursos humanos, será responsável por fazer os processos:

  • APO04 gestão a inovação
  • APO07 gestão dos recursos humanos
  • APO08 gestão relacionamentos
  • BAI07 gestão a aceitação da mudança e da transição

Finalmente, a área de qualidade, se ele existir, será o órgão responsável por este processo.

  • MEA01 Monitor, avaliar e avaliar o desempenho e conformidade

Há que ter em mente que a instância orientador será o Conselho de administração, que pode ser formado por gerentes e outros interessados na implementação.


“Mapping” os processos de negócios com os procesos do modelo de referencia COBIT

Já temos e sabemos que processos devem implementar-se para esta meta do negócio em particular. Também poderíamos saber quais instancias são as responsáveis para a construção de processos e tudo o que implica.

Então aqui devemos verificar se os processos que vão-se construir, já existem na organização. Se eles Existem, podemos relacioná-os diretamente, contando com o mapa de processos da organização. Se não existe, claramente nota-mos que é um dos pontos de dor ou lacunas da organização porque não para tê-lo não deixa-nos alcançar a meta das empresas.


Roteiro de melhoramento de negócio

Usando o mesmo exemplo e o mesmo objetivo corporativo e depois fazer um mapeamento de negócios existentes contra processos que pretendem implementar, acho que os processos que são lacunas organizacionais porque eles não têm são os seguintes

  • EDM01 assegurar o estabelecimento e manutenção da estrutura de governo
  • EDM02 garantir a entrega dos beneficios
  • EDM04 garantir a otimização dos recursos
  • BAI02 gestão a definição de requisitos
  • BAI04 gestão a disponibilidade e capacidade
  • APO04 gestão a inovação
  • APO08 gestão relacionamentos
  • BAI07 gestão a aceitação da mudança e da transição

O roteiro poderia ser para a implementação algo parecido com isto:

Temos apenas limitado a processos; Mas o que estamos dizendo aqui é que os processos que devem começar a ser implementado em sua ordem, EDM04, APO04, BAI02, APO08, BAI04, EDM01 e BAI07 e mostra as autoridades responsáveis e marcos com as respectivas datas. Estes marcos serão importantes para o controle do programa para mostrar o correspondente progresso em causa na implementação do projeto. Isto foi apenas um exemplo, certamente, há muitas mais possibilidades e estas podem mudar de em função das prioridades e disponibilidade de recursos no nível do programa do escritório de projetos.


Construir a capacidade desejada dos processos

Aqui nós temos que ter em conta o existente na empresa e, também, a capacidade de processar; ou seja, se ele não existir, há que implementá-lo, formalizar e documentá-lo. Se já existe, mas é feito intuitivamente ou “ad-hoc” terão de formalizar, documentar e começar a extrair determinadas métricas.

Temos 3 casos possíveis para construir capacidade que são processos com ciclo de vida discreto, processos que são sistemas de gestão e processos que incluem a coleção de tarefas “ad hoc”

Por exemplo, na lista de processos, vamos supor que o processo de inovação é uma processo ad hoc. Procedemos a formalizar inovação interna, realizada pela área de recursos humanos:

Agora vamos olhar os processos BAI02 gestão a definição de requisitos e BAI04 gestão a disponibilidade e capacidade. Esses processos podem ser parte perfeitamente de um sistema de gestão de serviços de negócios já existente. Então a implementação aqui, vai ser incluir estes processos dentro deste sistema. Isto poderia ser criar ou adquirir os componentes de aplicativo que executam estes processo ao sistema existente.


Controle do programa de execução e relatório de progresso

Para controle o programa da implementação aqui é útil um escritório de projetos (PMO) ou se não tem com ela uma terceirização de projetos que também têm a possibilidade de fazer um governo para implementação corretamente que é fazer os controles correspondentes e verificar se os resultados propostos e realizar avaliações e auditorias relacionadas ao correspondentes para o relatorio ao Conselho diretivo  os avanços e observações para a implementação.

Vejá-mos um esquema seguindo o exemplo que temos vido com o objetivo de Produtividade operacional e empregados:

Aqui eu faço resumo onde mostro os processos para implementar das instâncias decisivas na implementação do programa, o “pontos de dor” remover com a criação e melhoria de processos e a realização deste programa irá entregar o benefício da otimização de recursos da empresa e o Conselho diretivo poderá fazer avaliações de programa de aplicação para fazer ajustes que são necessários durante a execução do mesmo.

O organismo responsável pela gestão da emissão de relatórios é o PMO mesmo e também através de avaliações ao programa, durante a execução do mesmo, pode surgir recomendações de implementação onde o objetivo do programa é libertar a capacidade desejada para cumprir a meta de negócios e fornecer um valor para a empresa.

Se você quiser saber mais contacte-me aquí.