Visão geral dos princípios do COBIT 5

De acordo com a ISACA (2012, p. 13), o modelo do COBIT 5 baseia-se em cinco princípios básicos que incluem ampla orientação sobre os habilitadores de governança e gestão de TI da organização.

O foco em processos do COBIT 5 é ilustrado por um modelo de processos de TI que é subdividido em cinco princípios de gestão e auxilia as organizações a atingir seus objetivos de governança na área. O gráfico mostra como esses princípios estão organizados.

COBIT 5: Cinco princípios
Fonte: ISACA (2012, p. 15).

A seguir, faremos um breve resumo dos cinco princípios, de acordo com a ISACA (2012).

• Primeiro princípio - Atender às necessidades das partes interessadas: organizações existem para criar valor para suas partes interessadas (stakeholders), mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e o uso dos recursos. O COBIT 5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI.
• Segundo princípio - Cobrir a organização de ponta a ponta: o COBIT 5 integra a governança corporativa de TI da organização à governança corporativa.
• Terceiro princípio - Aplicar um modelo único integrado: há muitas normas e boas práticas relacionadas à TI, e cada qual provê orientações para um conjunto específico de atividades. O COBIT 5 alinha-se a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como um modelo unificado para a governança e a gestão de TI da organização.
• Quarto princípio - Permitir uma abordagem holística: governança e gestão eficientes e eficazes de TI na organização requerem uma abordagem holística, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização. Habilitadores são geralmente definidos como tudo o que possa ajudar a atingir os objetivos corporativos.
• Quinto princípio - Distinguir a governança da gestão: o modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciados e servem a propósitos diferentes.

Segundo o COBIT, os processos agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos da área para atender às necessidades do negócio.

Publicações do COBIT 5

 As publicações produzidas pelo ISACA, a estrutura e a nova visão do COBIT 5 contêm um modelo para governança e gestão de TI para as organizações. Conforme o gráfico, a família de produtos COBIT 5 é formada pelos seguintes produtos:

• COBIT 5 (o modelo);
• guias de habilitadores do COBIT 5, que detalham os habilitadores de governança e gestão, incluindo: COBIT 5 Habilitador Processos, COBIT 5 Habilitador Informações e outros.
• Guias profissionais do COBIT 5, que incluem: COBIT 5 Implementação, COBIT 5 para Segurança da Informação, COBIT 5 para Risco, COBIT 5 para Garantia (Assurance), COBIT Programa de Avaliação e outros.
• Um ambiente colaborativo online, que é disponibilizado para apoiar o uso do COBIT 5.

Publicações do COBIT: visão macro
Fonte: ISACA (2012, p. 13).

Detalhando um pouco mais, estas são as características da lista de produtos do COBIT 5, conforme apresentado por Thomas (2015):

• Framework: é o documento principal, que apresenta o framework geral de governança de TI do COBIT, incluindo os cinco princípios e os sete habilitadores.
• Habilitador Processos: é um guia que descreve o modelo de referência de processos do COBIT. Para cada processo, são descritos seu propósito, objetivos e métricas, práticas, atividades e matrizes RACI, além das entradas e das saídas.
• Habilitador Informações: é um guia que trata das informações importantes para as organizações. A informação pode ser considerada uma etapa do ciclo da informação de uma organização, no qual os processos de negócios geram e processam os dados, os transformam em informações e conhecimento e, dessa forma, criam valor para a organização.
• Implementação: essa publicação oferece orientação prática à implementação do COBIT 5 e baseia-se em um ciclo de vida de melhoria contínua. Não traz uma abordagem prescritiva nem uma solução completa; é um guia para evitar problemas, destacando as boas práticas e o alcance de bons resultados.
• Segurança da Informação: essa publicação é um guia que incorpora ao COBIT os aspectos de segurança da informação advindos de padrões internacionalmente consagrados, formando o COBIT Security Baseline.
• Garantia: essa publicação tem como foco o trabalho dos auditores, abordando as funções de auditoria. Traz explicações de como esses profissionais podem fornecer uma garantia da conformidade, de forma independente, mas aderente às políticas advindas de diretrizes internas ou de exigências legais, regulatórias ou contratuais externas.
• Risco: essa publicação engloba as atividades e decisões da governança de riscos organizacionais (ERM – enterprise risk management). Considera os riscos de TI de forma mais detalhada e orienta como a organização pode absorver riscos e quais deles está disposta a assumir, medindo suas consequências.
• COBIT 5 online: é um serviço acessível pela internet que oferece novidades e ideias, colaboração e diversas possibilidades para acesso e pesquisas em todos os produtos do método.

Introdução ao COBIT 5

Vamos entender aqui como o COBIT, na versão 5, apresenta os princípios e os habilitadores de governança e gestão de TI da organização por intermédio de suas publicações.

Visão geral do COBIT 5

COBIT
Fonte: Elaborado pelo autor.

De acordo com a ISACA (2012, p. 15), o COBIT 5 fornece um modelo abrangente que auxilia as organizações a atingir seus objetivos de governança e gestão de TI, buscando a criação de valor por intermédio do equilíbrio entre o ganho de benefícios, a redução dos níveis de risco e a otimização do uso dos recursos de TI. O COBIT 5 expressa a visão holística da governança e da gestão de TI, que abrange o negócio de ponta a ponta. O modelo é genérico e muito vantajoso e pode ser implementado em organizações de todos os portes, sejam comerciais, sem fins lucrativos ou públicas.

O COBIT 5 fornece uma nova abordagem sobre governança corporativa e gestão de TI que se baseia na vasta experiência, no uso e na aplicação prática do método por muitas organizações. Alguns fatores para o seu uso e aplicabilidade incluem:

COBIT 5
Fonte

• Poder permitir que mais partes interessadas (TI, negócio, fornecedores) falem sobre as expectativas e os desejos que guardam em relação à TI e a tecnologias relacionadas (que benefícios, em qual nível de risco aceitável e a qual custo) e quais são suas prioridades para garantir que o valor esperado seja efetivamente obtido (ISACA, 2012, p. 17).
• Ter uma abordagem em relação à questão da dependência cada vez maior de parceiros externos de TI e de negócios, tais como terceirizadas, fornecedores, consultores, clientes, provedores de serviços na nuvem e demais serviços, e de um conjunto diversificado de meios e mecanismos internos para entregar o valor esperado (ISACA, 2012, p. 17).
• Ter foco e cultura para tratar a quantidade de informação, selecionando e gerindo aquelas relevantes e confiáveis que levarão às decisões de negócios corretas e eficientes.
• Gerir a TI com foco no negócio e de forma mais pervasiva, considerando-a uma parte integrante do negócio, dos projetos organizacionais, das estruturas organizacionais, da gestão de risco e de políticas, capacidades e processos.


Cobertura de outros padrões e modelos pelo COBIT 5
Fonte: ISACA (2012, p. 65).

• Fornecer mais orientações na área de tecnologias emergentes e inovadoras, criando uma TI transformadora e protagonista.
• Buscar uma integração holística, que cubra o negócio de ponta a ponta, bem como as áreas responsáveis pelas funções de TI.
• Integrar todos os principais modelos e orientações da ISACA, com o foco principal em COBIT, Val IT e Risk IT, mas considerando também o Modelo de Negócios para Segurança da Informação (BMIS), o Modelo de Garantia de TI (ITAF), a publicação intitulada Board Briefing on IT Governance e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organização e forneça uma base para integrar outros modelos, padrões e práticas como um modelo único (ISACA, 2012, p. 17).
• Estabelecer uma conexão com os mais importantes padrões e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBoK), Projects in Controlled Environments 2 (Prince2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO).

Os modelos e os padrões associados ao COBIT ajudarão as partes interessadas a entender como os diversos modelos, boas práticas e padrões se inter-relacionam e como podem ser usadas em conjunto, como mostra o gráfico 3.

Aconteceu     

O que é COSO

[...] Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Em 1992 publicaram o trabalho: Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. ... Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - Committee of Sponsoring Organizations of the Treadway Commission.... uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.

O BSC e o COBIT

Tanto o COBIT 4.1 quanto o COBIT 5 indicam o BSC (Balanced Scorecard) como um método adequado para contribuir para a tradução da estratégia da organização em objetivos e medidas tangíveis.

Balanced Scorecard
Fonte: PinkBlue/shutterstock

O COBIT 4.1 sugere a implementação do BSC como um método de monitoramento de performance que seja capaz de registrar as metas, obter as medições, apresentar uma visão ampla e sucinta do desempenho da TI e se ajustar ao sistema de monitoramento corporativo (ITGI, 2007, p. 162).

O COBIT 5 indica que as necessidades dos stakeholders podem estar relacionadas a um conjunto de objetivos corporativos genéricos e relaciona-os usando as dimensões do BSC. O guia declara que, embora a lista não seja completa, a maioria das organizações pode ser mapeada em um ou mais desses objetivos corporativos genéricos (ISACA, 2012, p. 19).

Base do BSC: indicadores, métricas e referencial
Fonte: ITGI (2007, p. 9)

Com base na ITIL (2007), o gráfico mostra como o gerenciamento das informações é conseguido utilizando-se três níveis de controle:

• painéis de controles, ou dashboards;
• meios de medição, ou scorecards;
• mecanismo de comparação, ou benchmarking.

Esses controles são conhecidos, em conjunto, como Balanced Scorecard ou BSC. De acordo com seus autores, Kaplan e Norton (1997), “o BSC é uma técnica que visa à integração e balanceamento de todos os principais indicadores de desempenho existentes em uma empresa, desde os financeiros/administrativos até os relativos aos processos internos”.

O uso do BSC permite estabelecer objetivos da qualidade, usando indicadores, para aspectos importantes dentro da organização, de forma a realizar a associação desses indicadores corporativos com os setores e os departamentos, com metas claramente definidas.

Dessa forma, o modelo BSC traduz a missão e a estratégia de uma empresa em objetivos e medidas tangíveis e sinaliza em quais segmentos de mercado se deve competir e que clientes conquistar. Oferece uma visão do futuro e um caminho para chegar até ele.

Assim, pode-se garantir uma abordagem puramente estratégica da TI para atender às necessidades e aos objetivos de negócio, e a área pode ser utilizada como gerador de valor e ferramenta de ganho de eficiência, melhorando os resultados da organização.

Dentro do processo de governança, o COBIT tem um papel tático de garantir os controles, a execução das atividades, a visão de maturidade e os objetivos, com base nos processos e nos indicadores de performance, que trazem uma visão de painel de controles para auxílio à tomada de decisão. O gráfico mostra esta visão.

COBIT: posição tática para a estratégia de TI alinhada aos negócios
Fonte: Elaborado pelo autor

 

A relação do COBIT com o negócio da empresa

Pirâmide organizacional e o processo de tomada de decisão

Conforme fica claro, o COBIT é orientado para os negócios, funcionando como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos instrumentos de controle, nos aspectos técnicos e nos riscos do negócio.

A visão do COBIT em relação ao planejamento estratégico de TI pode ser vista na figura, que apresenta a pirâmide organizacional. Esta se divide em três níveis: estratégico, tático e operacional. No nível estratégico, traçamos os objetivos, no tático, as metas, e, no operacional, as ações a ser realizadas. Essa ordem hierárquica reflete como o processo de tomada de decisão ocorre.

A relação direta da estratégia de negócio com a governança de TI está relacionada à visão de criação de valor. A TI tem um papel de viabilizadora na cadeia de valor, provendo recursos e soluções para criar valor para a organização. O gerenciamento e o controle da informação estão presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos de negócios.

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles ou necessidades de informação da empresa. Os processos de TI podem atender às necessidades da organização de forma mais eficiente e alinhada à estratégia desta, garantindo a entrega dos serviços para gerar valor ao negócio. Nessa ordem, classificar e utilizar os recursos de TI de forma mais eficiente trará mais eficiência para o negócio.

A organização de TI entrega os serviços de acordo com esses objetivos através de um conjunto claramente definido de processos que usam a experiência das pessoas e a infraestrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios.

Fonte: ITGI (2007, p. 14).

O COBIT parte da premissa de que os recursos de TI precisam ser gerenciados por um conjunto de processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a organização consiga alcançar seus objetivos (ISACA, 2007).

O que é o COBIT?

De acordo com a ISACA (2012, p. 15), o COBIT (Control Objectives for Information and Related Technology) fornece um modelo que ajuda as organizações a atingir seus objetivos de governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a redução dos níveis de risco e a otimização dos recursos. A versão 5 do COBIT traz uma visão holística de governança e da gestão de TI, que abrange o negócio de ponta a ponta, incluindo as áreas responsáveis por essa função, considerando os interesses internos e externos relacionados com TI.

O COBIT não determina como os processos devem ser estruturados, mas os controles que eles devem possuir para que a TI cumpra seus objetivos em termos de governança. Ou seja, contribui para:

• o alinhamento e a entrega de valor por parte da área de TI para o negócio;
• a correta alocação e medição dos recursos envolvidos;
• a mitigação dos riscos em TI.

A figura apresenta uma visão da interação do COBIT com o alinhamento de TI e os negócios. Nessa visão, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos da área precisam ser gerenciados por uma série de processos naturalmente agrupados.

Foco em processos e alinhamento de TI com o negócio
Fonte

COBIT como modelo de governança de TI

Iniciamos esse capítulo mostrando a necessidade de um modelo de controle de TI. Depois descrevemos, com base no IT Governance, a missão do modelo COBIT dentro da TI. Veremos que a ISACA e o ITGI são organismos que visam pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia a dia por gerentes de negócios, profissionais da área e profissionais de avaliação. Esse modelo é o COBIT.

Necessidade de um modelo de controle para TI

Como pode ser o controle de TI
Fonte: violetkaipa/shutterstock

A alta direção das organizações empresariais que pretendam ser bem-sucedidas precisa dar à TI a devida relevância e buscar garantir que faça parte da sua abordagem de governança e gestão.

Para implantar uma governança que seja efetiva, é necessário que controles sejam implementados com base em uma metodologia que atinja todos os processos de TI.

Os modelos mais efetivos de controle são organizados em processos e visam proporcionar uma ligação entre os requisitos de governança, os processos e os controles de TI. Nas últimas décadas, mais leis e regulamentos vêm sendo propostos e estabelecidos para atender a essa necessidade.

De acordo com o ISACA (2012, p.15), as organizações e seu corpo diretivo têm empenhado esforços buscando:

• a retenção de informações de alta qualidade para apoiar decisões estratégicas;
• o aumento dos investimentos em TI para atingir os objetivos estratégicos e utilizar seus recursos de forma eficiente e inovadora;
• o alcance de excelência operacional por meio do uso da tecnologia de forma confiável e eficiente;
• a redução do risco de TI e sua manutenção em níveis aceitáveis;
• a otimização do custo dos serviços de TI e das tecnologias que os suportam;
• o cumprimento de leis, regulamentos, acordos contratuais e políticas associadas.

O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de métodos e práticas bem-sucedidas, tais como COBIT, ITIL, normas ligadas à segurança da informação e metodologias para o gerenciamento da qualidade e de projetos, como CMMI, MPS.BR e PMBoK.

Além da adoção desses modelos e práticas, as empresas também vêm necessitando avaliar como estão em relação aos padrões geralmente aceitos em comparação com seus parceiros e organizações similares, o que pode ser feito por intermédio de técnicas de benchmarking.

Aconteceu     

Em dezembro de 2001, o mundo, ainda abalado pelos atentados terroristas ocorridos em 11 de setembro, foi surpreendido por outro evento com proporções globais: a descoberta de manipulações contábeis em uma das empresas mais conceituadas dos Estados Unidos, a Enron.

Essa descoberta deu início a um efeito dominó, com a constatação de práticas de manipulação em várias outras empresas, não só norte-americanas, mas no resto do mundo, resultando em uma crise de confiança em níveis inéditos desde a quebra da bolsa de Nova York em 1929. Resultou no enfraquecimento do grau de confiança dos investidores, abalando o equilíbrio não apenas do mercado daquele país, mas também dos demais.

A Lei Sarbanes Oxley, de 2002, também conhecida como Public Company Accounting Reform and Investor Protection Act of 2002 e comumente chamada SOX ou SarBox, sancionada em 30 de julho de 2002, é uma lei federal dos Estados Unidos em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época. [...] A lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.