O BSC e o COBIT

Tanto o COBIT 4.1 quanto o COBIT 5 indicam o BSC (Balanced Scorecard) como um método adequado para contribuir para a tradução da estratégia da organização em objetivos e medidas tangíveis.

Balanced Scorecard
Fonte: PinkBlue/shutterstock

O COBIT 4.1 sugere a implementação do BSC como um método de monitoramento de performance que seja capaz de registrar as metas, obter as medições, apresentar uma visão ampla e sucinta do desempenho da TI e se ajustar ao sistema de monitoramento corporativo (ITGI, 2007, p. 162).

O COBIT 5 indica que as necessidades dos stakeholders podem estar relacionadas a um conjunto de objetivos corporativos genéricos e relaciona-os usando as dimensões do BSC. O guia declara que, embora a lista não seja completa, a maioria das organizações pode ser mapeada em um ou mais desses objetivos corporativos genéricos (ISACA, 2012, p. 19).

Base do BSC: indicadores, métricas e referencial
Fonte: ITGI (2007, p. 9)

Com base na ITIL (2007), o gráfico mostra como o gerenciamento das informações é conseguido utilizando-se três níveis de controle:

• painéis de controles, ou dashboards;
• meios de medição, ou scorecards;
• mecanismo de comparação, ou benchmarking.

Esses controles são conhecidos, em conjunto, como Balanced Scorecard ou BSC. De acordo com seus autores, Kaplan e Norton (1997), “o BSC é uma técnica que visa à integração e balanceamento de todos os principais indicadores de desempenho existentes em uma empresa, desde os financeiros/administrativos até os relativos aos processos internos”.

O uso do BSC permite estabelecer objetivos da qualidade, usando indicadores, para aspectos importantes dentro da organização, de forma a realizar a associação desses indicadores corporativos com os setores e os departamentos, com metas claramente definidas.

Dessa forma, o modelo BSC traduz a missão e a estratégia de uma empresa em objetivos e medidas tangíveis e sinaliza em quais segmentos de mercado se deve competir e que clientes conquistar. Oferece uma visão do futuro e um caminho para chegar até ele.

Assim, pode-se garantir uma abordagem puramente estratégica da TI para atender às necessidades e aos objetivos de negócio, e a área pode ser utilizada como gerador de valor e ferramenta de ganho de eficiência, melhorando os resultados da organização.

Dentro do processo de governança, o COBIT tem um papel tático de garantir os controles, a execução das atividades, a visão de maturidade e os objetivos, com base nos processos e nos indicadores de performance, que trazem uma visão de painel de controles para auxílio à tomada de decisão. O gráfico mostra esta visão.

COBIT: posição tática para a estratégia de TI alinhada aos negócios
Fonte: Elaborado pelo autor

 

A relação do COBIT com o negócio da empresa

Pirâmide organizacional e o processo de tomada de decisão

Conforme fica claro, o COBIT é orientado para os negócios, funcionando como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos instrumentos de controle, nos aspectos técnicos e nos riscos do negócio.

A visão do COBIT em relação ao planejamento estratégico de TI pode ser vista na figura, que apresenta a pirâmide organizacional. Esta se divide em três níveis: estratégico, tático e operacional. No nível estratégico, traçamos os objetivos, no tático, as metas, e, no operacional, as ações a ser realizadas. Essa ordem hierárquica reflete como o processo de tomada de decisão ocorre.

A relação direta da estratégia de negócio com a governança de TI está relacionada à visão de criação de valor. A TI tem um papel de viabilizadora na cadeia de valor, provendo recursos e soluções para criar valor para a organização. O gerenciamento e o controle da informação estão presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos de negócios.

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles ou necessidades de informação da empresa. Os processos de TI podem atender às necessidades da organização de forma mais eficiente e alinhada à estratégia desta, garantindo a entrega dos serviços para gerar valor ao negócio. Nessa ordem, classificar e utilizar os recursos de TI de forma mais eficiente trará mais eficiência para o negócio.

A organização de TI entrega os serviços de acordo com esses objetivos através de um conjunto claramente definido de processos que usam a experiência das pessoas e a infraestrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios.

Fonte: ITGI (2007, p. 14).

O COBIT parte da premissa de que os recursos de TI precisam ser gerenciados por um conjunto de processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a organização consiga alcançar seus objetivos (ISACA, 2007).

O que é o COBIT?

De acordo com a ISACA (2012, p. 15), o COBIT (Control Objectives for Information and Related Technology) fornece um modelo que ajuda as organizações a atingir seus objetivos de governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a redução dos níveis de risco e a otimização dos recursos. A versão 5 do COBIT traz uma visão holística de governança e da gestão de TI, que abrange o negócio de ponta a ponta, incluindo as áreas responsáveis por essa função, considerando os interesses internos e externos relacionados com TI.

O COBIT não determina como os processos devem ser estruturados, mas os controles que eles devem possuir para que a TI cumpra seus objetivos em termos de governança. Ou seja, contribui para:

• o alinhamento e a entrega de valor por parte da área de TI para o negócio;
• a correta alocação e medição dos recursos envolvidos;
• a mitigação dos riscos em TI.

A figura apresenta uma visão da interação do COBIT com o alinhamento de TI e os negócios. Nessa visão, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos da área precisam ser gerenciados por uma série de processos naturalmente agrupados.

Foco em processos e alinhamento de TI com o negócio
Fonte

COBIT como modelo de governança de TI

Iniciamos esse capítulo mostrando a necessidade de um modelo de controle de TI. Depois descrevemos, com base no IT Governance, a missão do modelo COBIT dentro da TI. Veremos que a ISACA e o ITGI são organismos que visam pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia a dia por gerentes de negócios, profissionais da área e profissionais de avaliação. Esse modelo é o COBIT.

Necessidade de um modelo de controle para TI

Como pode ser o controle de TI
Fonte: violetkaipa/shutterstock

A alta direção das organizações empresariais que pretendam ser bem-sucedidas precisa dar à TI a devida relevância e buscar garantir que faça parte da sua abordagem de governança e gestão.

Para implantar uma governança que seja efetiva, é necessário que controles sejam implementados com base em uma metodologia que atinja todos os processos de TI.

Os modelos mais efetivos de controle são organizados em processos e visam proporcionar uma ligação entre os requisitos de governança, os processos e os controles de TI. Nas últimas décadas, mais leis e regulamentos vêm sendo propostos e estabelecidos para atender a essa necessidade.

De acordo com o ISACA (2012, p.15), as organizações e seu corpo diretivo têm empenhado esforços buscando:

• a retenção de informações de alta qualidade para apoiar decisões estratégicas;
• o aumento dos investimentos em TI para atingir os objetivos estratégicos e utilizar seus recursos de forma eficiente e inovadora;
• o alcance de excelência operacional por meio do uso da tecnologia de forma confiável e eficiente;
• a redução do risco de TI e sua manutenção em níveis aceitáveis;
• a otimização do custo dos serviços de TI e das tecnologias que os suportam;
• o cumprimento de leis, regulamentos, acordos contratuais e políticas associadas.

O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de métodos e práticas bem-sucedidas, tais como COBIT, ITIL, normas ligadas à segurança da informação e metodologias para o gerenciamento da qualidade e de projetos, como CMMI, MPS.BR e PMBoK.

Além da adoção desses modelos e práticas, as empresas também vêm necessitando avaliar como estão em relação aos padrões geralmente aceitos em comparação com seus parceiros e organizações similares, o que pode ser feito por intermédio de técnicas de benchmarking.

Aconteceu     

Em dezembro de 2001, o mundo, ainda abalado pelos atentados terroristas ocorridos em 11 de setembro, foi surpreendido por outro evento com proporções globais: a descoberta de manipulações contábeis em uma das empresas mais conceituadas dos Estados Unidos, a Enron.

Essa descoberta deu início a um efeito dominó, com a constatação de práticas de manipulação em várias outras empresas, não só norte-americanas, mas no resto do mundo, resultando em uma crise de confiança em níveis inéditos desde a quebra da bolsa de Nova York em 1929. Resultou no enfraquecimento do grau de confiança dos investidores, abalando o equilíbrio não apenas do mercado daquele país, mas também dos demais.

A Lei Sarbanes Oxley, de 2002, também conhecida como Public Company Accounting Reform and Investor Protection Act of 2002 e comumente chamada SOX ou SarBox, sancionada em 30 de julho de 2002, é uma lei federal dos Estados Unidos em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época. [...] A lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.

Alinhamento estratégico de TI

No mercado de TI, vivemos a “Era dos Modelos e Práticas”: para cada função ou iniciativa dentro de TI, relacionamos práticas para executar processos. Para que essas práticas tenham aderência, são aplicadas dentro de uma abordagem de processos, na qual são definidas as atividades e as etapas destas são medidas por meio de indicadores de performance.

Ao definir uma prática para gestão de TI, necessariamente alguns domínios e controles devem ser considerados para que esse processo tenha, além de eficiência, aderência às atividades da área.

O IT Governance, que, como vimos, é uma entidade que tem em seus papéis definir modelos e práticas de governança de TI, divide esta em domínios para garantir sinergia com a governança corporativa e obter um maior grau de eficiência e controle das ações de TI alinhados à estratégia corporativa. Esses domínios serão discutidos mais adiante.

TI e estratégia corporativa
Fonte: Rawpixel.com/shutterstock

De acordo com o IBGC (Instituto Brasileiro de Governança Corporativa) (2016), a governança corporativa envolve os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e de controle e demais partes interessadas, de forma a viabilizar que as organizações possam ser mais bem dirigidas e monitoradas.

IBGC

As boas práticas de governança corporativa conseguem transformar os princípios básicos dela em recomendações objetivas, buscando o alinhamento de interesses de forma a aumentar o valor e melhorar a qualidade dos serviços e a gestão da organização. Além disso, devem atender às leis e às regulamentações e manter suas informações, seus bens e seus ativos seguros.

Para isso, a adoção de modelos de gestão e governança torna-se essencial. Dentre eles, encontram-se um modelo para controle de TI, que suporte a estratégia organizacional, um para controles internos, que suporte a governança e o gerenciamento de riscos, e o próprio COBIT, objeto de nossa disciplina.

Para cumprir todas essas responsabilidades, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover.

Saiba mais     

No artigo O que é governança de TI?, o autor Douglas Novato (2014) discute por que uma empresa deve implantar métodos de governança de TI:

[...] A implementação efetiva da Governança de TI só é possível com o desenvolvimento de um modelo organizacional específico. Para tanto, devem ser utilizadas, em conjunto, as melhores práticas existentes como o BSC, PMBoK, COBIT, ITIL, CMMI e ISO 17.799, de onde devem ser extraídos os pontos que atinjam os objetivos do programa de Governança. Além disso, é imprescindível levar em conta os aspectos culturais e estruturais da empresa, devido à mudança dos paradigmas existentes. Ou seja, um modelo bem sucedido em uma empresa não obrigatoriamente será bem sucedido em outro e além disso, esse modelo será quase impossível ser utilizado em outro cenário sem nenhuma alteração significativa.

Introdução à governança de TI

O tema forte dentro das organizações nos dias atuais é a governança. Eventos marcantes, como as fraudes em resultados e balanços das empresas Enron e WorldCom, a crise financeira nos Estados Unidos, a falência do Banco Santos, a intervenção no Banco Panamericano e as ações da Polícia Federal brasileira com a Operação Lava Jato e seus desdobramentos, apurando denúncias e esquemas de desvios de recursos financeiros da estatal Petrobrás, são exemplos atuais de falta de controle e alinhamento estratégico dentro das empresas para garantir que o processo de governança esteja sendo executado de acordo com os interesses dos acionistas e das entidades de controle (como o próprio governo).

Dentro das organizações, o papel da TI é estratégico e deve ser tratado com a devida importância, definindo controles e clareando a visão do que ela pode trazer de retorno para organização, garantindo conformidade e alinhamento com seus objetivos e metas.

Governança de TI

Governança de TI
Fonte: Rawpixel.com/Shutterstock

Para servir de insumo às decisões estratégicas, a informação precisa ser tratada como um ativo essencial às organizações empresariais. Os aspectos relacionados a informação, tecnologia, análise de riscos e compliance são críticos para o sucesso dos negócios e a competitividade corporativa. Ao tratar deles, na verdade estamos falando de governança de TI. Mas o que é isso?

Para Peter Weill e Jeanne W. Ross (2005), a governança de TI reúne especificações que servem de apoio para a tomada de decisões, estimulando comportamentos e ações adequados em relação ao uso dos recursos de TI. Ou seja, os autores caracterizam governança como um modelo que define os direitos e as responsabilidades pelas decisões que encorajam comportamentos desejáveis no uso de TI.

A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização.

Fonte: ITGI (2007, p. 8).

Ainda de acordo com o ITGI (2007, p. 8),

a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. Além disso, habilita a organização a obter vantagens de sua informação, de forma a maximizar os benefícios, capitalizar as oportunidades e viabilizar o ganho de poder competitivo.

É claro que podemos encontrar muitas definições de governança de TI, que variam de autor para autor. Mas, em linhas gerais, em sua essência, ela é um conjunto de regras e melhores práticas que, adaptadas à cultura organizacional, servirá para profissionalizar a gestão da TI, visando transformá-la em instrumento de apoio às decisões de negócio.

Assim, a governança de TI garante a capacidade organizacional exercida pela alta direção, pelas gerências de negócios e pela gerência de TI para controlar a formulação e implementação da estratégia da área e, com isso, assegurar o alinhamento entre negócios e TI.

Saiba mais     

No artigo Operação Lava Jato: há limite para a ganância?, publicado no site ERA - Ética e Realidade Atual, Rachel Nigro (2014) afirma:

[...] a confiança sempre foi a moeda mais valiosa na manutenção da ética empresarial e, no fim das contas, do próprio mercado. Valores como honestidade e sinceridade são relativizados apenas em discursos que buscam justificar imoralidades. Não existe uma “ética especial” para os negócios. Existem situações peculiares nos negócios que desafiam as exigências morais, que dificultam a decisão e a ação dos agentes, situações que exigem ponderação, escolha e decisão. Mas as regras são as mesmas: não vale roubar, enganar, mentir. E cada vez mais as empresas se sentem compelidas – pelo bem ou pelas multas – a criar efetivos mecanismos de controle e transparência [...].

Business Activity Monitoring (BAM)

Business Activity Monitoring,ou monitoramento das atividades de negócios (BAM) está entre os mais efetivos conceitos de gestão de performance. Ferramentas BAM são capazes de analisar e reportar dados estratégicos em tempo real, ou seja, as informações publicadas nos dashboards e scorecards não são obtidas diaria, semanal ou mensalmente, mas no momento em que ocorrem ou são captadas.

O uso do BAM permite configurar alertas de processos para as áreas de negócios e construir painéis interativos em tempo real.

BAM.

Fonte: TechnoVectors/ Shutterstock.

Para ilustrar o uso de BAM, vamos imaginar uma grande rede de supermercados que efetua uma grande compra de ovos de páscoa. Cada loja possui seu estoque e terá um perfil de venda, ou seja, um determinado tipo de ovo de páscoa pode faltar ou sobrar. Neste caso as ferramentas de BAM poderão auxiliar o gestor, em tempo real, para redistribuir o estoque em função da demanda de cada ponto de venda. Outra aplicação típica refere-se ao monitoramento de dados de controle de tráfego em grandes cidades.

Business Activity Monitoring (BAM)

De acordo com o Gartner, o Business Activity Monitoring (BAM) descreve os processos e as tecnologias que melhoram a percepção de situação e permitem a análise de indicadores críticos de desempenho de negócios de uma empresa com base em dados em tempo real. O BAM é usado para melhorar a velocidade e a eficácia das operações de negócios, mantendo o controle [...].

O Monitoramento das Atividades de Negócios (BAM) é o termo do Gartner que define como podemos fornecer acesso em tempo real aos indicadores críticos de desempenho de negócios para aumentar a velocidade e a eficácia das operações de negócios. Ao contrário de monitoramento em tempo real tradicional, o BAM vai buscar a informação em múltiplos sistemas de aplicação e também em outras fontes internas e externas, permitindo uma visão mais ampla e mais rica das atividades empresariais. Como tal, tende a ser uma extensão natural dos investimentos que as empresas estão fazendo na integração de aplicações em termos de visualização de dados. [...]

O Gartner estima que um percentual muito pequeno do faturamento dos integradores pode ser efetivamente relacionado ao BAM, mesmo com seu crescimento acentuado nos últimos anos. Muitos deles ainda não possuem uma estratégia relacionada a isso. O cenário do BAM até o final da última década é muito parecido com o do BPM no final dos anos 90, que passou da obscuridade para se tornar um dos pilares da integração de aplicativos, fusões, aquisições e novos desenvolvimentos no processo de condução do negócio, além, é claro, do seu foco em automação de processos.

 O BAM nos próximos anos irá crescer exponencialmente para direcionar toda a integração de aplicações. Fornecedores dependerão destes sistemas para mostrar diferencial competitivo e, de acordo com o Gartner, o BAM é a próxima grande tecnologia que os fornecedores de integração de aplicações querem e precisam. Apesar do seu grande potencial na integração de aplicativos, o BAM também abrange inteligência de negócios, rede e sistemas de gestão, visualização de dados e áreas afins, fortemente apoiado no lado de negócios da empresa.

Fonte: <opservices.com.br>.