A relação do COBIT com o negócio da empresa

Pirâmide organizacional e o processo de tomada de decisão

Conforme fica claro, o COBIT é orientado para os negócios, funcionando como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos instrumentos de controle, nos aspectos técnicos e nos riscos do negócio.

A visão do COBIT em relação ao planejamento estratégico de TI pode ser vista na figura, que apresenta a pirâmide organizacional. Esta se divide em três níveis: estratégico, tático e operacional. No nível estratégico, traçamos os objetivos, no tático, as metas, e, no operacional, as ações a ser realizadas. Essa ordem hierárquica reflete como o processo de tomada de decisão ocorre.

A relação direta da estratégia de negócio com a governança de TI está relacionada à visão de criação de valor. A TI tem um papel de viabilizadora na cadeia de valor, provendo recursos e soluções para criar valor para a organização. O gerenciamento e o controle da informação estão presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos de negócios.

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles ou necessidades de informação da empresa. Os processos de TI podem atender às necessidades da organização de forma mais eficiente e alinhada à estratégia desta, garantindo a entrega dos serviços para gerar valor ao negócio. Nessa ordem, classificar e utilizar os recursos de TI de forma mais eficiente trará mais eficiência para o negócio.

A organização de TI entrega os serviços de acordo com esses objetivos através de um conjunto claramente definido de processos que usam a experiência das pessoas e a infraestrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios.

Fonte: ITGI (2007, p. 14).

O COBIT parte da premissa de que os recursos de TI precisam ser gerenciados por um conjunto de processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a organização consiga alcançar seus objetivos (ISACA, 2007).

O que é o COBIT?

De acordo com a ISACA (2012, p. 15), o COBIT (Control Objectives for Information and Related Technology) fornece um modelo que ajuda as organizações a atingir seus objetivos de governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a redução dos níveis de risco e a otimização dos recursos. A versão 5 do COBIT traz uma visão holística de governança e da gestão de TI, que abrange o negócio de ponta a ponta, incluindo as áreas responsáveis por essa função, considerando os interesses internos e externos relacionados com TI.

O COBIT não determina como os processos devem ser estruturados, mas os controles que eles devem possuir para que a TI cumpra seus objetivos em termos de governança. Ou seja, contribui para:

• o alinhamento e a entrega de valor por parte da área de TI para o negócio;
• a correta alocação e medição dos recursos envolvidos;
• a mitigação dos riscos em TI.

A figura apresenta uma visão da interação do COBIT com o alinhamento de TI e os negócios. Nessa visão, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos da área precisam ser gerenciados por uma série de processos naturalmente agrupados.

Foco em processos e alinhamento de TI com o negócio
Fonte

COBIT como modelo de governança de TI

Iniciamos esse capítulo mostrando a necessidade de um modelo de controle de TI. Depois descrevemos, com base no IT Governance, a missão do modelo COBIT dentro da TI. Veremos que a ISACA e o ITGI são organismos que visam pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia a dia por gerentes de negócios, profissionais da área e profissionais de avaliação. Esse modelo é o COBIT.

Necessidade de um modelo de controle para TI

Como pode ser o controle de TI
Fonte: violetkaipa/shutterstock

A alta direção das organizações empresariais que pretendam ser bem-sucedidas precisa dar à TI a devida relevância e buscar garantir que faça parte da sua abordagem de governança e gestão.

Para implantar uma governança que seja efetiva, é necessário que controles sejam implementados com base em uma metodologia que atinja todos os processos de TI.

Os modelos mais efetivos de controle são organizados em processos e visam proporcionar uma ligação entre os requisitos de governança, os processos e os controles de TI. Nas últimas décadas, mais leis e regulamentos vêm sendo propostos e estabelecidos para atender a essa necessidade.

De acordo com o ISACA (2012, p.15), as organizações e seu corpo diretivo têm empenhado esforços buscando:

• a retenção de informações de alta qualidade para apoiar decisões estratégicas;
• o aumento dos investimentos em TI para atingir os objetivos estratégicos e utilizar seus recursos de forma eficiente e inovadora;
• o alcance de excelência operacional por meio do uso da tecnologia de forma confiável e eficiente;
• a redução do risco de TI e sua manutenção em níveis aceitáveis;
• a otimização do custo dos serviços de TI e das tecnologias que os suportam;
• o cumprimento de leis, regulamentos, acordos contratuais e políticas associadas.

O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de métodos e práticas bem-sucedidas, tais como COBIT, ITIL, normas ligadas à segurança da informação e metodologias para o gerenciamento da qualidade e de projetos, como CMMI, MPS.BR e PMBoK.

Além da adoção desses modelos e práticas, as empresas também vêm necessitando avaliar como estão em relação aos padrões geralmente aceitos em comparação com seus parceiros e organizações similares, o que pode ser feito por intermédio de técnicas de benchmarking.

Aconteceu     

Em dezembro de 2001, o mundo, ainda abalado pelos atentados terroristas ocorridos em 11 de setembro, foi surpreendido por outro evento com proporções globais: a descoberta de manipulações contábeis em uma das empresas mais conceituadas dos Estados Unidos, a Enron.

Essa descoberta deu início a um efeito dominó, com a constatação de práticas de manipulação em várias outras empresas, não só norte-americanas, mas no resto do mundo, resultando em uma crise de confiança em níveis inéditos desde a quebra da bolsa de Nova York em 1929. Resultou no enfraquecimento do grau de confiança dos investidores, abalando o equilíbrio não apenas do mercado daquele país, mas também dos demais.

A Lei Sarbanes Oxley, de 2002, também conhecida como Public Company Accounting Reform and Investor Protection Act of 2002 e comumente chamada SOX ou SarBox, sancionada em 30 de julho de 2002, é uma lei federal dos Estados Unidos em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época. [...] A lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.

Alinhamento estratégico de TI

No mercado de TI, vivemos a “Era dos Modelos e Práticas”: para cada função ou iniciativa dentro de TI, relacionamos práticas para executar processos. Para que essas práticas tenham aderência, são aplicadas dentro de uma abordagem de processos, na qual são definidas as atividades e as etapas destas são medidas por meio de indicadores de performance.

Ao definir uma prática para gestão de TI, necessariamente alguns domínios e controles devem ser considerados para que esse processo tenha, além de eficiência, aderência às atividades da área.

O IT Governance, que, como vimos, é uma entidade que tem em seus papéis definir modelos e práticas de governança de TI, divide esta em domínios para garantir sinergia com a governança corporativa e obter um maior grau de eficiência e controle das ações de TI alinhados à estratégia corporativa. Esses domínios serão discutidos mais adiante.

TI e estratégia corporativa
Fonte: Rawpixel.com/shutterstock

De acordo com o IBGC (Instituto Brasileiro de Governança Corporativa) (2016), a governança corporativa envolve os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e de controle e demais partes interessadas, de forma a viabilizar que as organizações possam ser mais bem dirigidas e monitoradas.

IBGC

As boas práticas de governança corporativa conseguem transformar os princípios básicos dela em recomendações objetivas, buscando o alinhamento de interesses de forma a aumentar o valor e melhorar a qualidade dos serviços e a gestão da organização. Além disso, devem atender às leis e às regulamentações e manter suas informações, seus bens e seus ativos seguros.

Para isso, a adoção de modelos de gestão e governança torna-se essencial. Dentre eles, encontram-se um modelo para controle de TI, que suporte a estratégia organizacional, um para controles internos, que suporte a governança e o gerenciamento de riscos, e o próprio COBIT, objeto de nossa disciplina.

Para cumprir todas essas responsabilidades, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover.

Saiba mais     

No artigo O que é governança de TI?, o autor Douglas Novato (2014) discute por que uma empresa deve implantar métodos de governança de TI:

[...] A implementação efetiva da Governança de TI só é possível com o desenvolvimento de um modelo organizacional específico. Para tanto, devem ser utilizadas, em conjunto, as melhores práticas existentes como o BSC, PMBoK, COBIT, ITIL, CMMI e ISO 17.799, de onde devem ser extraídos os pontos que atinjam os objetivos do programa de Governança. Além disso, é imprescindível levar em conta os aspectos culturais e estruturais da empresa, devido à mudança dos paradigmas existentes. Ou seja, um modelo bem sucedido em uma empresa não obrigatoriamente será bem sucedido em outro e além disso, esse modelo será quase impossível ser utilizado em outro cenário sem nenhuma alteração significativa.

Introdução à governança de TI

O tema forte dentro das organizações nos dias atuais é a governança. Eventos marcantes, como as fraudes em resultados e balanços das empresas Enron e WorldCom, a crise financeira nos Estados Unidos, a falência do Banco Santos, a intervenção no Banco Panamericano e as ações da Polícia Federal brasileira com a Operação Lava Jato e seus desdobramentos, apurando denúncias e esquemas de desvios de recursos financeiros da estatal Petrobrás, são exemplos atuais de falta de controle e alinhamento estratégico dentro das empresas para garantir que o processo de governança esteja sendo executado de acordo com os interesses dos acionistas e das entidades de controle (como o próprio governo).

Dentro das organizações, o papel da TI é estratégico e deve ser tratado com a devida importância, definindo controles e clareando a visão do que ela pode trazer de retorno para organização, garantindo conformidade e alinhamento com seus objetivos e metas.

Governança de TI

Governança de TI
Fonte: Rawpixel.com/Shutterstock

Para servir de insumo às decisões estratégicas, a informação precisa ser tratada como um ativo essencial às organizações empresariais. Os aspectos relacionados a informação, tecnologia, análise de riscos e compliance são críticos para o sucesso dos negócios e a competitividade corporativa. Ao tratar deles, na verdade estamos falando de governança de TI. Mas o que é isso?

Para Peter Weill e Jeanne W. Ross (2005), a governança de TI reúne especificações que servem de apoio para a tomada de decisões, estimulando comportamentos e ações adequados em relação ao uso dos recursos de TI. Ou seja, os autores caracterizam governança como um modelo que define os direitos e as responsabilidades pelas decisões que encorajam comportamentos desejáveis no uso de TI.

A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização.

Fonte: ITGI (2007, p. 8).

Ainda de acordo com o ITGI (2007, p. 8),

a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. Além disso, habilita a organização a obter vantagens de sua informação, de forma a maximizar os benefícios, capitalizar as oportunidades e viabilizar o ganho de poder competitivo.

É claro que podemos encontrar muitas definições de governança de TI, que variam de autor para autor. Mas, em linhas gerais, em sua essência, ela é um conjunto de regras e melhores práticas que, adaptadas à cultura organizacional, servirá para profissionalizar a gestão da TI, visando transformá-la em instrumento de apoio às decisões de negócio.

Assim, a governança de TI garante a capacidade organizacional exercida pela alta direção, pelas gerências de negócios e pela gerência de TI para controlar a formulação e implementação da estratégia da área e, com isso, assegurar o alinhamento entre negócios e TI.

Saiba mais     

No artigo Operação Lava Jato: há limite para a ganância?, publicado no site ERA - Ética e Realidade Atual, Rachel Nigro (2014) afirma:

[...] a confiança sempre foi a moeda mais valiosa na manutenção da ética empresarial e, no fim das contas, do próprio mercado. Valores como honestidade e sinceridade são relativizados apenas em discursos que buscam justificar imoralidades. Não existe uma “ética especial” para os negócios. Existem situações peculiares nos negócios que desafiam as exigências morais, que dificultam a decisão e a ação dos agentes, situações que exigem ponderação, escolha e decisão. Mas as regras são as mesmas: não vale roubar, enganar, mentir. E cada vez mais as empresas se sentem compelidas – pelo bem ou pelas multas – a criar efetivos mecanismos de controle e transparência [...].

Business Activity Monitoring (BAM)

Business Activity Monitoring,ou monitoramento das atividades de negócios (BAM) está entre os mais efetivos conceitos de gestão de performance. Ferramentas BAM são capazes de analisar e reportar dados estratégicos em tempo real, ou seja, as informações publicadas nos dashboards e scorecards não são obtidas diaria, semanal ou mensalmente, mas no momento em que ocorrem ou são captadas.

O uso do BAM permite configurar alertas de processos para as áreas de negócios e construir painéis interativos em tempo real.

BAM.

Fonte: TechnoVectors/ Shutterstock.

Para ilustrar o uso de BAM, vamos imaginar uma grande rede de supermercados que efetua uma grande compra de ovos de páscoa. Cada loja possui seu estoque e terá um perfil de venda, ou seja, um determinado tipo de ovo de páscoa pode faltar ou sobrar. Neste caso as ferramentas de BAM poderão auxiliar o gestor, em tempo real, para redistribuir o estoque em função da demanda de cada ponto de venda. Outra aplicação típica refere-se ao monitoramento de dados de controle de tráfego em grandes cidades.

Business Activity Monitoring (BAM)

De acordo com o Gartner, o Business Activity Monitoring (BAM) descreve os processos e as tecnologias que melhoram a percepção de situação e permitem a análise de indicadores críticos de desempenho de negócios de uma empresa com base em dados em tempo real. O BAM é usado para melhorar a velocidade e a eficácia das operações de negócios, mantendo o controle [...].

O Monitoramento das Atividades de Negócios (BAM) é o termo do Gartner que define como podemos fornecer acesso em tempo real aos indicadores críticos de desempenho de negócios para aumentar a velocidade e a eficácia das operações de negócios. Ao contrário de monitoramento em tempo real tradicional, o BAM vai buscar a informação em múltiplos sistemas de aplicação e também em outras fontes internas e externas, permitindo uma visão mais ampla e mais rica das atividades empresariais. Como tal, tende a ser uma extensão natural dos investimentos que as empresas estão fazendo na integração de aplicações em termos de visualização de dados. [...]

O Gartner estima que um percentual muito pequeno do faturamento dos integradores pode ser efetivamente relacionado ao BAM, mesmo com seu crescimento acentuado nos últimos anos. Muitos deles ainda não possuem uma estratégia relacionada a isso. O cenário do BAM até o final da última década é muito parecido com o do BPM no final dos anos 90, que passou da obscuridade para se tornar um dos pilares da integração de aplicativos, fusões, aquisições e novos desenvolvimentos no processo de condução do negócio, além, é claro, do seu foco em automação de processos.

 O BAM nos próximos anos irá crescer exponencialmente para direcionar toda a integração de aplicações. Fornecedores dependerão destes sistemas para mostrar diferencial competitivo e, de acordo com o Gartner, o BAM é a próxima grande tecnologia que os fornecedores de integração de aplicações querem e precisam. Apesar do seu grande potencial na integração de aplicativos, o BAM também abrange inteligência de negócios, rede e sistemas de gestão, visualização de dados e áreas afins, fortemente apoiado no lado de negócios da empresa.

Fonte: <opservices.com.br>.

Monitoramento e visualização de dados

As ferramentas que permitem a visualização de dados podem condensar milhares de números em uma única imagem e tornar as ferramentas de suporte à decisão mais atraentes, mais fáceis de usar e, principalmente, mais compreensíveis aos usuários e tomadores de decisão.

Estas ferramentas podem incluir imagens digitais, sistemas geográficos, interfaces gráficas com o usuário, gráficos, interfaces de realidade virtual, representações multidimensionais, vídeos, animações etc.

Além disso, estas ferramentas podem ajudar no monitoramento de dados, identificando de forma mais rápida tendências em dados corporativos e de mercado, representando uma enorme vantagem competitiva para a empresa. Assim, associar ferramentas de análise de big data/data mining às ferramentas de visualização pode ser uma combinação excelente para a tomada de decisão gerencial.

As ferramentas de monitoramento e visualização são mais fáceis de serem implementadas quando os dados estão armazenados em um DW. As ferramentas OLAP também podem se beneficiar do DW mostrando as informações de forma tridimensional, ou na forma de cubos.

Dentre os recursos de visualização de dados estão os dashboards e scorecards. Embora muitas vezes sejam vistos como um único conceito, é necessário fazer a distinção entre eles: suas características são apresentadas no quadro e ilustradas na figura seguinte.

Diferenças entre dashboard e scorecard.

	Dashboard	Scorecard
Foco	Tático – tem foco em operações e metas de curto prazo	Estratégico – tem foco em metas de longo prazo
Medidas	Métrica: mostra uma fotografia do desempenho do negócio em um dado momento	Métrica e KPI: mostra o progresso nas atividades do negócio ao longo do tempo
Frequência	Tempo real	Atualizado periodicamente
Propósito	Fornecer visão geral de alto nível da performance atual	Ajudar na execução da estratégia de negócios
Parece-se com	Painel de carro (mostra como o carro está funcionando)	GPS (ajuda a entender onde a empresa está e quando atingirá o destino)

Fonte: baseado em GARETT, 2017.

Os dashboards fornecem informações imediatas sobre o desempenho dos negócios em toda a empresa. Já os scorecards apresentam uma visão consolidada sobre os objetivos estratégicos da empresa. Privilegiam informações estratégicas que são obtidas em um dado momento para análise crítica da alta direção. Scorecardsnão apresentam dados operacionais, como quantidade de chamados por clientes, avaliação de desempenho de colaboradores, dentre outros indicadores específicos. Eles demonstram graficamente o quão próximo ou distante a empresa está dos seus objetivos estratégicos.

Scorecards x dashboards.

Fonte: <image.slidesharecdn.com>.

Os KPIs (Key Performance Indicators,ou Indicadores-Chave de Desempenho) geralmente são definidos com o objetivo de medir as etapas mais relevantes de um processo, visando acompanhar seu progresso. Usando dashboards, muitas empresas desenvolvem “cockpits” (como mostra a figura acima), por meio dos quais podem acompanhar os resultados. O Balanced Scorecard (BSC)é um dos métodos mais utilizados pelas organizações para a definição dos indicadores-chave de desempenho.

Visualização de KPIs.

Fonte: NicoElNino/ shutterstock

Os dashboards e scorecardsfornecem informações imediatas sobre o desempenho dos negócios em toda a empresa. De uma maneira geral, são criados para os gestores que precisam, em dado momento, de uma visão geral do negócio ou de uma operação específica e consideram primordial dispor de uma visualização intuitiva e oportuna dos dados estratégicos, financeiros e operacionais.

Os dashboards fornecem uma representação gráfica do desempenho dos negócios de toda a organização. Os scorecards fornecem uma representação visual dos KPIs, que são cuidadosamente selecionados para ajudar as empresas a medir e gerenciar o desempenho.

As diversas ferramentas para gerenciamento de desempenho, de uma forma geral, apresentam as seguintes características:

• Oferecem recursos para visualização dos dados-chave do desempenho em formato gráfico;
• Mostram os resultados de desempenho rapidamente, utilizando recursos visuais;
• Utilizam dashboards e scorecards como para análise de primeira ordem e análise avançada;
• Monitoram zonas vermelhas e definem níveis limiares para indicadores, de forma a disparar os alertas de entregas;
• Ligam os KPIs individuais às metas da empresa;
Ferramentas da empresa QlickTech

Fonte: <qlik.com>.
• Oferecem scorecards em cascata e dashboards de toda a organização e através da cadeia de valores;
• Enviam dashboards e scorecards via e-mail, de forma programada ou por meio de alertas;
• Atingem todas as pessoas – dos gerentes executivos aos novos funcionários;
• Incorporam todos os dados empresariais, financeiros e operacionais, de todo processo de negócio em todo o mundo.

As principais empresas de soluções de CPM/BI estão melhorando suas ferramentas de visualização de dados. Em 2010, a empresa QlikTech ofereceu suas ferramentas de forma gratuita ao mercado. Atualizado para Qlik, a empresa oferece produtos como o Qlik View e Qlik Sense.

Ferramentas avançadas de visualização e descoberta de dados continuam a despertar grande interesse em função da sua facilidade de uso, de seu apelo visual e de sua capacidade de acelerar o tempo de trabalho, numa época em que ocorre uma explosão de dados.