COBIT

Um kit de ferramentas para a excelncia na gesto de TI

Eduardo Mayer Fagundes
e-mail: eduardo@efagundes.com

Introduo
Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de
informaes (TI), para manipular os dados operacionais e prover informaes gerenciais
aos executivos para tomadas de decises. A criao e manuteno de uma infra-estrutura
de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes
a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais
benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator
chave para o fracasso de um empreendimento em mercados cada vez mais competitivos.
Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos
associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de
anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e
controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e
adio de melhorias nos processos empresariais. Esse novo movimento conhecido como
Governana em TI, ou "IT Governance".
O termo "IT governance" definido como uma estrutura de relaes e processos que dirige
e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio
atravs do gerenciamento balanceado do risco com o retorno do investimento de TI.
Para muitas organizaes, a informao e a tecnologia que suportam o negcio representa o
seu mais valioso recurso. Alm disso, num ambiente de negcios altamente competitivo e
dinmico requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas
de deciso de forma rpida, constante e com custos cada vez mais baixos.
No existem dvidas sobre o benefcio da tecnologia aplicada aos negcios. Entretanto,
para serem bem sucedidas, as organizaes devem compreender e controlar os riscos
associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and
related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle
das iniciativas de TI nas empresas.

O que o CobiT?
O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems
Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um
sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto
de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas
de gesto do CobiT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar
os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT
independe das plataformas de TI adotadas nas empresas.

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos

baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias
distintas:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em
uma organizao.

Usurios que precisam ter garantias de que os servios de TI que dependem os
seus produtos e servios para os clientes internos e externos esto sendo bem
gerenciados.

Auditores que podem se apoiar nas recomendaes do CobiT para avaliar o
nvel da gesto de TI e aconselhar o controle interno da organizao.
O CobiT est dividido em quatro domnios:

Planejamento e organizao.
Aquisio e implementao.
Entrega e suporte.
Monitorao.

Figura 1: Os quatro domnios do CobiT

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

A figura 1 ilustra a estrutura do CobiT com os quatro domnios, onde claramente est
ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo
CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o
acompanhamento das iniciativas de TI e recomendar a implementao de novas prticas, se
necessrio. O ponto central o gerenciamento da informao com os recursos de TI para
garantir o negcio da organizao.
Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI,
somando 34 processos:
Planejamento e Organizao

Define o plano estratgico de TI

Define a arquitetura da informao

Determina a direo tecnolgica

Define a organizao de TI e seus relacionamentos

Gerencia os investimento de TI

Gerencia a comunicao das direes de TI

Gerencia os recursos humanos

Assegura o alinhamento de TI com os requerimentos externos

Avalia os riscos

Gerencia os projetos

Gerencia a qualidade
Aquisio e implementao

Identifica as solues de automao

Adquire e mantm os softwares

Adquire e mantm a infra-estrutura tecnolgica

Desenvolve e mantm os procedimentos

Instala e certifica softwares

Gerencia as mudanas
Entrega e suporte

Define e mantm os acordos de nveis de servios (SLA)

Gerencia os servios de terceiros

Gerencia a performance e capacidade do ambiente

Assegura a continuidade dos servios

Assegura a segurana dos servios

Identifica e aloca custos

Treina os usurios

Assiste e aconselha os usurios

Gerencia a configurao

Gerencia os problemas e incidentes

Gerencia os dados

Gerencia a infra-estrutura

Gerencia as operaes

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

Monitorao

Monitora os processos

Analisa a adequao dos controles internos

Prove auditorias independentes

Prove segurana independente

Desenvolvimento do CobiT
A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de
informao. Sua segunda edio em 1998 ampliou a base de recursos adicionando o guia
prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance
Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do
modelo de maturidade de governana.
O CobiT recebe um conjunto de contribuies de vrias empresas e organismos
internacionais, entre eles:

Padres tcnicos da ISO, EDIFACT, etc.

Os cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc.
Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE,
TickIT, etc.
Padres profissionais para controle internos e auditoria: COSO, IFAC, AICPA,
CICA, ISACA, IIA, PCIE, GAO, etc.
Prticas e exigncias dos fruns da indstria (ESF, I4) e das plataformas
recomendadas pelos governos (IBAG, NIST, DTI), etc.
Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico
e engenharia de software.

Benefcios do CobiT
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem
demonstrar controles crescentes em segurana. Cada organizao deve compreender seu
prprio desempenho e deve medir seu progresso. O benchmarking com outras
organizaes deve fazer parte da estratgia da empresa para conseguir a melhor
competitividade em TI. As recomendaes de gerenciamento do CobiT com orientao no
modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus
objetivos alinhados com os objetivos da organizao.
Os guidelines de gerenciamento do CobiT focam na gerncia por desempenho usando os
princpios do balanced scorecard. Seus indicadores chaves identificam e medem os
resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos
negcios da organizao.

Ferramentas de Gerenciamento do CobiT

Os modelos de maturidade de governana so usados para o controle dos processos de TI e
fornecem um mtodo eficiente para classificar o estgio da organizao de TI. A
governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

balanceamento do risco e returno do investimento podem ser classificados da seguinte

forma:
0 Inexistente
1 Inicial / Ad Hoc
2 Repetitivo mas intuitivo
3 Processos definidos
4 Processos gerenciveis e medidos
5 Processo otimizados
Essa abordagem derivada do modelo de maturidade para desenvolvimento de software,
Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering
Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do
CobiT um roteiro:

Onde a organizao est hoje

O atual estgio de desenvolvimento da indstria (best-in-class)
O atual estgio dos padres internacionais
Aonde a organizao quer chegar

Os fatores crticos de sucesso definem os desafios mais importantes ou aes de

gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So
definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico,
tcnico, organizacional e de processo.
Os indicadores de objetivos definem como sero mensurados os progressos das aes para
atingir os objetivos da organizao, usualmente expressos nos seguintes termos:

Disponibilidade das informaes necessrias para suportar as necessidades de
negcios

Riscos de falta de integridade e confidencialidade das informaes

Eficincia nos custos dos processos e operaes

Confirmao de confiabilidade, efetividade e conformidade das informaes.
Indicadores de desempenho definem medidas para determinar como os processos de TI
esto sendo executados e se eles permitem atingir os objetivos planejados; so os
indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que
avaliam as boas prticas e habilidades de TI.

Mais informaes
Muitas informaes do CobiT so padres abertos e disponveis gratuitamente para
download no site do IT Governance Institues www.itgovernance.org ou no site do
Information System Audit & Control Association www.isaca.org.

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

DADOS DO AUTOR
Eduardo Mayer Fagundes estuda os impactos da tecnologia da informao e modelos
de gesto de TI nas organizaes, focando em tecnologia, tcnicas e gesto de
pessoas. Seu livro "Como Ingressar nos Negcios Digitais" foi publicado em parceria
com o SEBRAE Nacional com o objetivo de ampliar a viso empresarial no comrcio
eletrnico.
Eduardo graduado em engenharia eltrica, possui especializao em
telecomunicaes e mestre em cincia da computao. Foi professor por mais de 20
anos em conceituadas instituies de ensino. Palestrante em vrios seminrios e congressos. Foi gerente
de infra-estrutura e sistemas da Ford Brasil, responsvel pelo desenho da infra-estrutura de TI da moderna
fbrica da montadora em Camaari-Bahia.
Atualmente diretor de TI (CIO) das empresas do grupo americano AES no Brasil. A AES atua nos
mercados de gerao e distribuio de energia e na rea de telecomunicaes. A AES Eletropaulo, maior
distribuidora de energia da Amrica do Sul, uma das empresas do grupo.
Escreve artigos no site www.efagundes.com.

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.