arquitetura e organização do cobit

Dando continuidade a nossa série de artigos sobre governança de TI, iniciada com “introdução ao cobit e a governança de ti“, partimos agora para uma visão da estrutura geral do CobiT.

Introdução

Quem leu nosso primeiro artigo viu que o CobiT é um framework de melhores práticas generalista. Ele tenta abarcar todos os processos de TI essenciais para o funcionamento adequado da área. As principais funcionalidades do CobiT são:

• Alinhar a TI com o negócio.
• Implementar as melhores práticas da TI.
• Apoiar a TI a se adequar às imposições dos órgãos regulatórios.
• Estabelecer uma cultura de gestão baseada em processos.

Outros frameworks de melhores práticas tipo PMBok, ITIL, RUP, CMMi, SCRUM… tem uma abordagem técnica focada. RUP e PMBok, por exemplo, apresentam uma série de processos; já o CMMi traz uma lista de controles. No  CobiT, por outro lado, você vai encontrar uma organização mais complexa que passa por processos, controles, modelo de maturidade e mais; como se fosse o canivete suíço da TI. Então quem está acostumado com outras bibliotecas pode estranhar, mas com um pouco calma agente chega lá.

O mapa do CobiT são seus grandes temas: negócios, processos, controles e desempenho. Eles agrupam os elementos fundamentais da sua estrutura, estudando cada tema separadamente fica fácil consolidar uma visão no final. Vamos lá.

Negócios

O CobiT coloca o alinhamento entre a TI e o negócio por meio dos processos de TI como seu principal trabalho. Para guiar este alinhamento precisamos estabelecer os requisitos necessários para operação dos processos. Os requisitos começam a ser definidos pelos critérios de informação. São sete critérios básicos a serem observados pela TI durante todo o ciclo de vida da informação:

• Efetividade. Relevância e pertinência da informação para os processos de negócio e sua entrega em tempo e custos consistentes.
• Eficiência. Produção da informação com aproveitamento máximos dos recursos.
• Confidencialidade. Proteção da informação contra acesso não autorizado.
• Integridade. Completude e precisão da informação.
• Disponibilidade. Informação disponível para o processo de negócio quando for necessária.
• Conformidade. Adequação a leis, obrigações contratuais e normas.
• Confiabilidade. Tem a ver com passagem da informação correta para que gerência possa cumprir com suas responsabilidades.

itgi (adaptado) - cobit it and business goals

Os critérios atuam como requisitos de alto nível. Trazendo a questão para algo mais palpável, temos os objetivos da TI. Estes objetivos são definidos por uma cadeia de direcionadores que se inicia na formulação da estratégia da organização, por sua vez desdobrada em objetivos do negócio e estes, finalmente, em objetivos da TI. Os objetivos do negócio e da TI vão variar de organização para organização; entretanto, o CobiT provê uma lista genérica pata ambos, vejam na figura ao lado.

Processos

É por meio dos seus processos que o CobiT implementa os requisitos de funcionamento da TI. São 34 processos, agrupados em 4 categorias, chamadas de domínios. Os domínios são um tipo de PDCA e se apresentam como:

• Plan and Organise (PO). Direcionamento de alto nível para AI e DS.
• Acquire and Implement (AI). Desenvolvimento de soluções para disponibilização de novos serviços.
• Deliver and Support (DS). Provimento e sustentação dos serviços da TI.
• Monitor and Evaluate (ME). Monitoramento dos processos para garantir a implementação adequada do direcionamento.

De qualquer forma, os processos são elementos abstratos. Na visão do CobiT, o que faz os processos acontecerem de fato na organização — e assim viabilizar seus objetivos — são os recursos da TI:

• Aplicações. Sistemas de informação somados aos processos manuais de processamento da informação.
• Infra-estrutura. Servidores, roteadores, bancos de dados, sistemas operacionais, etc. O que faz as aplicações rodarem.
• Informação. É o dado processado pelas aplicações e utilizado pelo negócio.
• Pessoas. Independente se interno, terceirizado ou subcontratado, é todo o pessoal necessário para gerenciar e operar a TI.

Agora já começamos a entender melhor o CobiT, não? Os processos da TI são a parte básica do framework, fundamental para seu entendimento e implementação. A famosa figura do ITGI que abre este post mostra a ligação entre os conceitos discutidos até agora de critérios de informação e de recursos e processos da TI. Nos próximos artigos iremos explorar alguns processos do CobiT em mais detalhes.

Controles

Uma característica forte do CobiT é o controle do que acontece dentro da TI. O ITGI prega que o controle é a forma que a organização tem de garantir que os objetivos definidos estão sendo alcançados com o mínimo de desvios. Os controles complementam a definição por processos dando instrumentos para a gerência governar o funcionamento do modelo definido e atuar sobre os riscos e problemas. Sua presença na organização funciona como indicativo de bom funcionamento.

Os controles do CobiT estão distribuídos ao longo dos processos, vamos ter controles específicos de cada processo e, também, controles genéricos aplicáveis à todos os 34. Um exemplo de controle genérico é o “PC2 – Process Ownership” que determina que todo  processo deve ter um dono com suas responsabilidades claramente definidas; diferente de um controle específico para gerenciamento de projetos, como o “PO10.2 Project Management Framework” que fala da necessidade da organização ter um framework que defina o seu método para gerenciamento de projetos.

É bom destacar que para definir, implantar, executar e aprimorar todo esse mundo de controles a organização vai precisar dispor de tempo e dinheiro. Deve-se ter foco e pragmatismo na escolha dos controles que se quer colocar em prática. A decisão pauta-se sempre pelos objetivos prioritários da TI e do negócio.

Desempenho

O negócio dá a missão, os processos e controles os meios de alcança-la. O que falta mais? A visão de futuro. Toda organização precisa criar uma arquitetura que permita auto-avaliação e definição de rumos. Seja para evitar estragos de um funcionamento inadequado ou para determinar o curso de crescimento. Não estamos falando aqui do controle diário, este pedaço do CobiT fala da avaliação do próprio plano em prática.

itgi - generic maturity model

Para possibilitar o crescimento orientado da organização o CobiT define um modelo de maturidade em níveis, nos moldes do CMMi. Os níveis são (0) não existente, (1) ad hoc, (2) repetido, (3) definido, (4) gerenciado e (5) otimizado — a figura ao lado explica genericamente o significado de cada nível. Perceba que eles representam a capacidade real da organização conforme a prática dos seus processos e você vai encontrar na documentação explicações de como cada um dos 34 processos se comporta nos diferentes níveis de maturidade. Por exemplo, o processo “DS2 Manage Third-party Services” encontra-se no nível (3) Definido quando:

Well-documented procedures are in place to govern third-party services, with clear processes for vetting and negotiating with vendors. When an agreement for the provision of services is made, the relationship with the third party is purely a contractual one. The nature of the services to be provided is detailed in the contract and includes legal, operational and control requirements. The responsibility for oversight of third-party services is assigned. Contractual terms are based on standardised templates. The business risk associated with the third-party services is assessed and reported.

A sacada é trazer um mecanismo escalável, de fácil comunicação entre os diversos níveis da organização e passível de comparação contra a indústria. A questão de certificação, muita vezes colocada em primeiro plano pelas organizações é secundária. A necessidade real da maioria da empresas é o de instrumentar um roadmap de evolução com algo mais mais do que o felling dos gestores.

itgi - cobit goals relationship

Numa linha mais operacional, mas ainda ligada a questão de performance vale destacar que o CobiT projeta um modelo genérico para acompanhar o desempenho dos processos. Ele é baseado na visão de objetivos de TI discutidos na primeira seção do artigo. Há o entendimento que o direcionador de alto nível para a TI são os objetivos do negócio que, por sua vez, definem os objetivos da TI. Os objetivos da TI são implementados por meio de processos e as atividades destes. Seguindo essa lógica, os objetivos da TI podem ser desdobrados em objetivos de processos e estes, em objetivos de atividades. A figura ao lado ilustra o raciocínio.

itgi (modificado) - cobit goals and metrics

Para acompanhar o atingimento de cada destes objetivos (negócios, ti, processos e atividades) temos as métricas de resultados (KGI ou outcome measures) e métricas de performance (KPI ou performance indicators). A métrica de resultado determina se um objetivo foi ou não alcançado e só pode ser medida ao final do processo, já a métrica de performance avisa se o objetivo vai ou não ser atingindo ainda há tempo de se tomar ações preventivas ou corretivas. A métrica de performance de um objetivo de negócio vira métrica de resultado para seu objetivos de TI; e assim por diante como vemos na figura ao lado. As métricas sugeridas pelo CobiT são apresentada em uma seção específica dentro de cada processo.

Conclusão

Vimos os elementos essenciais da arquitetura do CobiT estão baseados nos conceitos de negócios, processos, controles e desempenho. Os critérios de informação e objetivos do negócio e da ti dão o norte. Aplicando os recursos da TI sobre os processos conseguimos alcançar os objetivos da área. Por meio de controles e métricas garantimos a correta execução dos processos. Por último, temos um modelo de maturidade que colhe feedback do funcionamento, permitindo à organização se auto-aprimorar. No próximo artigo veremos como estes conceitos se aplicam em alguns dos processos do CobiT.

Posts relacionados:

1. introdução ao cobit e a governança de ti primeiro da série de artigos sobre cobit e governança de...

Tagged as: cobit, estratégia, governança