Introdução ao COBIT 5

Vamos entender aqui como o COBIT, na versão 5, apresenta os princípios e os habilitadores de governança e gestão de TI da organização por intermédio de suas publicações.

Visão geral do COBIT 5

COBIT
Fonte: Elaborado pelo autor.

De acordo com a ISACA (2012, p. 15), o COBIT 5 fornece um modelo abrangente que auxilia as organizações a atingir seus objetivos de governança e gestão de TI, buscando a criação de valor por intermédio do equilíbrio entre o ganho de benefícios, a redução dos níveis de risco e a otimização do uso dos recursos de TI. O COBIT 5 expressa a visão holística da governança e da gestão de TI, que abrange o negócio de ponta a ponta. O modelo é genérico e muito vantajoso e pode ser implementado em organizações de todos os portes, sejam comerciais, sem fins lucrativos ou públicas.

O COBIT 5 fornece uma nova abordagem sobre governança corporativa e gestão de TI que se baseia na vasta experiência, no uso e na aplicação prática do método por muitas organizações. Alguns fatores para o seu uso e aplicabilidade incluem:

COBIT 5
Fonte

• Poder permitir que mais partes interessadas (TI, negócio, fornecedores) falem sobre as expectativas e os desejos que guardam em relação à TI e a tecnologias relacionadas (que benefícios, em qual nível de risco aceitável e a qual custo) e quais são suas prioridades para garantir que o valor esperado seja efetivamente obtido (ISACA, 2012, p. 17).
• Ter uma abordagem em relação à questão da dependência cada vez maior de parceiros externos de TI e de negócios, tais como terceirizadas, fornecedores, consultores, clientes, provedores de serviços na nuvem e demais serviços, e de um conjunto diversificado de meios e mecanismos internos para entregar o valor esperado (ISACA, 2012, p. 17).
• Ter foco e cultura para tratar a quantidade de informação, selecionando e gerindo aquelas relevantes e confiáveis que levarão às decisões de negócios corretas e eficientes.
• Gerir a TI com foco no negócio e de forma mais pervasiva, considerando-a uma parte integrante do negócio, dos projetos organizacionais, das estruturas organizacionais, da gestão de risco e de políticas, capacidades e processos.


Cobertura de outros padrões e modelos pelo COBIT 5
Fonte: ISACA (2012, p. 65).

• Fornecer mais orientações na área de tecnologias emergentes e inovadoras, criando uma TI transformadora e protagonista.
• Buscar uma integração holística, que cubra o negócio de ponta a ponta, bem como as áreas responsáveis pelas funções de TI.
• Integrar todos os principais modelos e orientações da ISACA, com o foco principal em COBIT, Val IT e Risk IT, mas considerando também o Modelo de Negócios para Segurança da Informação (BMIS), o Modelo de Garantia de TI (ITAF), a publicação intitulada Board Briefing on IT Governance e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organização e forneça uma base para integrar outros modelos, padrões e práticas como um modelo único (ISACA, 2012, p. 17).
• Estabelecer uma conexão com os mais importantes padrões e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBoK), Projects in Controlled Environments 2 (Prince2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO).

Os modelos e os padrões associados ao COBIT ajudarão as partes interessadas a entender como os diversos modelos, boas práticas e padrões se inter-relacionam e como podem ser usadas em conjunto, como mostra o gráfico 3.

Aconteceu     

O que é COSO

[...] Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Em 1992 publicaram o trabalho: Internal Control - Integrated Framework (Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. ... Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO - Committee of Sponsoring Organizations of the Treadway Commission.... uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.

O BSC e o COBIT

Tanto o COBIT 4.1 quanto o COBIT 5 indicam o BSC (Balanced Scorecard) como um método adequado para contribuir para a tradução da estratégia da organização em objetivos e medidas tangíveis.

Balanced Scorecard
Fonte: PinkBlue/shutterstock

O COBIT 4.1 sugere a implementação do BSC como um método de monitoramento de performance que seja capaz de registrar as metas, obter as medições, apresentar uma visão ampla e sucinta do desempenho da TI e se ajustar ao sistema de monitoramento corporativo (ITGI, 2007, p. 162).

O COBIT 5 indica que as necessidades dos stakeholders podem estar relacionadas a um conjunto de objetivos corporativos genéricos e relaciona-os usando as dimensões do BSC. O guia declara que, embora a lista não seja completa, a maioria das organizações pode ser mapeada em um ou mais desses objetivos corporativos genéricos (ISACA, 2012, p. 19).

Base do BSC: indicadores, métricas e referencial
Fonte: ITGI (2007, p. 9)

Com base na ITIL (2007), o gráfico mostra como o gerenciamento das informações é conseguido utilizando-se três níveis de controle:

• painéis de controles, ou dashboards;
• meios de medição, ou scorecards;
• mecanismo de comparação, ou benchmarking.

Esses controles são conhecidos, em conjunto, como Balanced Scorecard ou BSC. De acordo com seus autores, Kaplan e Norton (1997), “o BSC é uma técnica que visa à integração e balanceamento de todos os principais indicadores de desempenho existentes em uma empresa, desde os financeiros/administrativos até os relativos aos processos internos”.

O uso do BSC permite estabelecer objetivos da qualidade, usando indicadores, para aspectos importantes dentro da organização, de forma a realizar a associação desses indicadores corporativos com os setores e os departamentos, com metas claramente definidas.

Dessa forma, o modelo BSC traduz a missão e a estratégia de uma empresa em objetivos e medidas tangíveis e sinaliza em quais segmentos de mercado se deve competir e que clientes conquistar. Oferece uma visão do futuro e um caminho para chegar até ele.

Assim, pode-se garantir uma abordagem puramente estratégica da TI para atender às necessidades e aos objetivos de negócio, e a área pode ser utilizada como gerador de valor e ferramenta de ganho de eficiência, melhorando os resultados da organização.

Dentro do processo de governança, o COBIT tem um papel tático de garantir os controles, a execução das atividades, a visão de maturidade e os objetivos, com base nos processos e nos indicadores de performance, que trazem uma visão de painel de controles para auxílio à tomada de decisão. O gráfico mostra esta visão.

COBIT: posição tática para a estratégia de TI alinhada aos negócios
Fonte: Elaborado pelo autor

 

A relação do COBIT com o negócio da empresa

Pirâmide organizacional e o processo de tomada de decisão

Conforme fica claro, o COBIT é orientado para os negócios, funcionando como um modelo e uma ferramenta de suporte que facilita a identificação de deficiências nos instrumentos de controle, nos aspectos técnicos e nos riscos do negócio.

A visão do COBIT em relação ao planejamento estratégico de TI pode ser vista na figura, que apresenta a pirâmide organizacional. Esta se divide em três níveis: estratégico, tático e operacional. No nível estratégico, traçamos os objetivos, no tático, as metas, e, no operacional, as ações a ser realizadas. Essa ordem hierárquica reflete como o processo de tomada de decisão ocorre.

A relação direta da estratégia de negócio com a governança de TI está relacionada à visão de criação de valor. A TI tem um papel de viabilizadora na cadeia de valor, provendo recursos e soluções para criar valor para a organização. O gerenciamento e o controle da informação estão presentes em todas as práticas do COBIT e ajudam a assegurar o alinhamento com os requisitos de negócios.

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles ou necessidades de informação da empresa. Os processos de TI podem atender às necessidades da organização de forma mais eficiente e alinhada à estratégia desta, garantindo a entrega dos serviços para gerar valor ao negócio. Nessa ordem, classificar e utilizar os recursos de TI de forma mais eficiente trará mais eficiência para o negócio.

A organização de TI entrega os serviços de acordo com esses objetivos através de um conjunto claramente definido de processos que usam a experiência das pessoas e a infraestrutura tecnológica para processar aplicativos de negócios de maneira automatizada, aprimorando as informações de negócios.

Fonte: ITGI (2007, p. 14).

O COBIT parte da premissa de que os recursos de TI precisam ser gerenciados por um conjunto de processos agrupados com o objetivo de fornecer informações pertinentes e confiáveis para que a organização consiga alcançar seus objetivos (ISACA, 2007).

O que é o COBIT?

De acordo com a ISACA (2012, p. 15), o COBIT (Control Objectives for Information and Related Technology) fornece um modelo que ajuda as organizações a atingir seus objetivos de governança e gestão de TI, visando à manutenção do equilíbrio entre a obtenção de benefícios, a redução dos níveis de risco e a otimização dos recursos. A versão 5 do COBIT traz uma visão holística de governança e da gestão de TI, que abrange o negócio de ponta a ponta, incluindo as áreas responsáveis por essa função, considerando os interesses internos e externos relacionados com TI.

O COBIT não determina como os processos devem ser estruturados, mas os controles que eles devem possuir para que a TI cumpra seus objetivos em termos de governança. Ou seja, contribui para:

• o alinhamento e a entrega de valor por parte da área de TI para o negócio;
• a correta alocação e medição dos recursos envolvidos;
• a mitigação dos riscos em TI.

A figura apresenta uma visão da interação do COBIT com o alinhamento de TI e os negócios. Nessa visão, para prover as informações de que a empresa necessita para atingir seus objetivos, os recursos da área precisam ser gerenciados por uma série de processos naturalmente agrupados.

Foco em processos e alinhamento de TI com o negócio
Fonte

COBIT como modelo de governança de TI

Iniciamos esse capítulo mostrando a necessidade de um modelo de controle de TI. Depois descrevemos, com base no IT Governance, a missão do modelo COBIT dentro da TI. Veremos que a ISACA e o ITGI são organismos que visam pesquisar, desenvolver, publicar e promover um modelo de controle para governança de TI atualizado e internacionalmente reconhecido para ser adotado por organizações e utilizado no dia a dia por gerentes de negócios, profissionais da área e profissionais de avaliação. Esse modelo é o COBIT.

Necessidade de um modelo de controle para TI

Como pode ser o controle de TI
Fonte: violetkaipa/shutterstock

A alta direção das organizações empresariais que pretendam ser bem-sucedidas precisa dar à TI a devida relevância e buscar garantir que faça parte da sua abordagem de governança e gestão.

Para implantar uma governança que seja efetiva, é necessário que controles sejam implementados com base em uma metodologia que atinja todos os processos de TI.

Os modelos mais efetivos de controle são organizados em processos e visam proporcionar uma ligação entre os requisitos de governança, os processos e os controles de TI. Nas últimas décadas, mais leis e regulamentos vêm sendo propostos e estabelecidos para atender a essa necessidade.

De acordo com o ISACA (2012, p.15), as organizações e seu corpo diretivo têm empenhado esforços buscando:

• a retenção de informações de alta qualidade para apoiar decisões estratégicas;
• o aumento dos investimentos em TI para atingir os objetivos estratégicos e utilizar seus recursos de forma eficiente e inovadora;
• o alcance de excelência operacional por meio do uso da tecnologia de forma confiável e eficiente;
• a redução do risco de TI e sua manutenção em níveis aceitáveis;
• a otimização do custo dos serviços de TI e das tecnologias que os suportam;
• o cumprimento de leis, regulamentos, acordos contratuais e políticas associadas.

O aumento da maturidade empresarial tem levado as organizações a buscar a implantação de métodos e práticas bem-sucedidas, tais como COBIT, ITIL, normas ligadas à segurança da informação e metodologias para o gerenciamento da qualidade e de projetos, como CMMI, MPS.BR e PMBoK.

Além da adoção desses modelos e práticas, as empresas também vêm necessitando avaliar como estão em relação aos padrões geralmente aceitos em comparação com seus parceiros e organizações similares, o que pode ser feito por intermédio de técnicas de benchmarking.

Aconteceu     

Em dezembro de 2001, o mundo, ainda abalado pelos atentados terroristas ocorridos em 11 de setembro, foi surpreendido por outro evento com proporções globais: a descoberta de manipulações contábeis em uma das empresas mais conceituadas dos Estados Unidos, a Enron.

Essa descoberta deu início a um efeito dominó, com a constatação de práticas de manipulação em várias outras empresas, não só norte-americanas, mas no resto do mundo, resultando em uma crise de confiança em níveis inéditos desde a quebra da bolsa de Nova York em 1929. Resultou no enfraquecimento do grau de confiança dos investidores, abalando o equilíbrio não apenas do mercado daquele país, mas também dos demais.

A Lei Sarbanes Oxley, de 2002, também conhecida como Public Company Accounting Reform and Investor Protection Act of 2002 e comumente chamada SOX ou SarBox, sancionada em 30 de julho de 2002, é uma lei federal dos Estados Unidos em resposta aos inúmeros escândalos corporativos e contábeis de grandes proporções ocorridos na época. [...] A lei foi aprovada pela Câmara por votação de 423 a 3 e pelo Senado por 99 a 0.

Alinhamento estratégico de TI

No mercado de TI, vivemos a “Era dos Modelos e Práticas”: para cada função ou iniciativa dentro de TI, relacionamos práticas para executar processos. Para que essas práticas tenham aderência, são aplicadas dentro de uma abordagem de processos, na qual são definidas as atividades e as etapas destas são medidas por meio de indicadores de performance.

Ao definir uma prática para gestão de TI, necessariamente alguns domínios e controles devem ser considerados para que esse processo tenha, além de eficiência, aderência às atividades da área.

O IT Governance, que, como vimos, é uma entidade que tem em seus papéis definir modelos e práticas de governança de TI, divide esta em domínios para garantir sinergia com a governança corporativa e obter um maior grau de eficiência e controle das ações de TI alinhados à estratégia corporativa. Esses domínios serão discutidos mais adiante.

TI e estratégia corporativa
Fonte: Rawpixel.com/shutterstock

De acordo com o IBGC (Instituto Brasileiro de Governança Corporativa) (2016), a governança corporativa envolve os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e de controle e demais partes interessadas, de forma a viabilizar que as organizações possam ser mais bem dirigidas e monitoradas.

IBGC

As boas práticas de governança corporativa conseguem transformar os princípios básicos dela em recomendações objetivas, buscando o alinhamento de interesses de forma a aumentar o valor e melhorar a qualidade dos serviços e a gestão da organização. Além disso, devem atender às leis e às regulamentações e manter suas informações, seus bens e seus ativos seguros.

Para isso, a adoção de modelos de gestão e governança torna-se essencial. Dentre eles, encontram-se um modelo para controle de TI, que suporte a estratégia organizacional, um para controles internos, que suporte a governança e o gerenciamento de riscos, e o próprio COBIT, objeto de nossa disciplina.

Para cumprir todas essas responsabilidades, os executivos devem entender o estágio atual de sua arquitetura de TI e decidir que governança e controles ela deve prover.

Saiba mais     

No artigo O que é governança de TI?, o autor Douglas Novato (2014) discute por que uma empresa deve implantar métodos de governança de TI:

[...] A implementação efetiva da Governança de TI só é possível com o desenvolvimento de um modelo organizacional específico. Para tanto, devem ser utilizadas, em conjunto, as melhores práticas existentes como o BSC, PMBoK, COBIT, ITIL, CMMI e ISO 17.799, de onde devem ser extraídos os pontos que atinjam os objetivos do programa de Governança. Além disso, é imprescindível levar em conta os aspectos culturais e estruturais da empresa, devido à mudança dos paradigmas existentes. Ou seja, um modelo bem sucedido em uma empresa não obrigatoriamente será bem sucedido em outro e além disso, esse modelo será quase impossível ser utilizado em outro cenário sem nenhuma alteração significativa.

Introdução à governança de TI

O tema forte dentro das organizações nos dias atuais é a governança. Eventos marcantes, como as fraudes em resultados e balanços das empresas Enron e WorldCom, a crise financeira nos Estados Unidos, a falência do Banco Santos, a intervenção no Banco Panamericano e as ações da Polícia Federal brasileira com a Operação Lava Jato e seus desdobramentos, apurando denúncias e esquemas de desvios de recursos financeiros da estatal Petrobrás, são exemplos atuais de falta de controle e alinhamento estratégico dentro das empresas para garantir que o processo de governança esteja sendo executado de acordo com os interesses dos acionistas e das entidades de controle (como o próprio governo).

Dentro das organizações, o papel da TI é estratégico e deve ser tratado com a devida importância, definindo controles e clareando a visão do que ela pode trazer de retorno para organização, garantindo conformidade e alinhamento com seus objetivos e metas.

Governança de TI

Governança de TI
Fonte: Rawpixel.com/Shutterstock

Para servir de insumo às decisões estratégicas, a informação precisa ser tratada como um ativo essencial às organizações empresariais. Os aspectos relacionados a informação, tecnologia, análise de riscos e compliance são críticos para o sucesso dos negócios e a competitividade corporativa. Ao tratar deles, na verdade estamos falando de governança de TI. Mas o que é isso?

Para Peter Weill e Jeanne W. Ross (2005), a governança de TI reúne especificações que servem de apoio para a tomada de decisões, estimulando comportamentos e ações adequados em relação ao uso dos recursos de TI. Ou seja, os autores caracterizam governança como um modelo que define os direitos e as responsabilidades pelas decisões que encorajam comportamentos desejáveis no uso de TI.

A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização.

Fonte: ITGI (2007, p. 8).

Ainda de acordo com o ITGI (2007, p. 8),

a governança de TI integra e institucionaliza boas práticas para garantir que a área de TI da organização suporte os objetivos de negócios. Além disso, habilita a organização a obter vantagens de sua informação, de forma a maximizar os benefícios, capitalizar as oportunidades e viabilizar o ganho de poder competitivo.

É claro que podemos encontrar muitas definições de governança de TI, que variam de autor para autor. Mas, em linhas gerais, em sua essência, ela é um conjunto de regras e melhores práticas que, adaptadas à cultura organizacional, servirá para profissionalizar a gestão da TI, visando transformá-la em instrumento de apoio às decisões de negócio.

Assim, a governança de TI garante a capacidade organizacional exercida pela alta direção, pelas gerências de negócios e pela gerência de TI para controlar a formulação e implementação da estratégia da área e, com isso, assegurar o alinhamento entre negócios e TI.

Saiba mais     

No artigo Operação Lava Jato: há limite para a ganância?, publicado no site ERA - Ética e Realidade Atual, Rachel Nigro (2014) afirma:

[...] a confiança sempre foi a moeda mais valiosa na manutenção da ética empresarial e, no fim das contas, do próprio mercado. Valores como honestidade e sinceridade são relativizados apenas em discursos que buscam justificar imoralidades. Não existe uma “ética especial” para os negócios. Existem situações peculiares nos negócios que desafiam as exigências morais, que dificultam a decisão e a ação dos agentes, situações que exigem ponderação, escolha e decisão. Mas as regras são as mesmas: não vale roubar, enganar, mentir. E cada vez mais as empresas se sentem compelidas – pelo bem ou pelas multas – a criar efetivos mecanismos de controle e transparência [...].