efagundes.

com

Um kit de ferramentas para a excelncia de TI

COBIT

Introduo
Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e prover informaes gerenciais aos executivos para tomadas de decises. A criao e manuteno de uma infraestrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos empresariais. Esse novo movimento conhecido como Governana em TI, ou "IT Governance". O termo "IT governance" definido como uma estrutura de relaes e processos que dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizaes, a informao e a tecnologia que suportam o negcio representa o seu mais valioso recurso. Alm disso, num ambiente de negcios altamente competitivo e dinmico requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas de deciso de forma rpida, constante e com custos cada vez mais baixos. No existem dvidas sobre o benefcio da tecnologia aplicada aos negcios. Entretanto, para serem bem sucedidas, as organizaes devem compreender e controlar os riscos associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas.

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
O que o CobiT?
O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias distintas:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao. Usurios que precisam ter garantias de que os servios de TI que dependem os seus produtos e servios para os clientes internos e externos esto sendo bem gerenciados. Auditores que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao.

O CobiT est dividido em quatro domnios: 1. 2. 3. 4. Planejamento e organizao. Aquisio e implementao. Entrega e suporte. Monitorao.

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com

Figura 1: Os quatro domnios do CobiT A figura 1 ilustra a estrutura do CobiT com os quatro domnios, onde claramente est ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementao de novas prticas, se necessrio. O ponto central o gerenciamento da informao com os recursos de TI para garantir o negcio da organizao. Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos:

Planejamento e Organizao
1. Define o plano estratgico de TI 2. 3. 4. 5. 6. 7. 8. Define a arquitetura da informao Determina a direo tecnolgica Define a organizao de TI, os seus processos e seus relacionamentos Gerencia os investimentos de TI Comunica os objetivos e direcionamentos gerenciais Gerencia os recursos humanos Gerenciar a qualidade

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
9. Avalia e gerencia os riscos de TI 10. Gerencia os projetos

Aquisio e implementao
1. Identifica as solues de automao 2. 3. 4. 5. 6. 7. Adquire e mantm os softwares Adquire e mantm a infraestrutura tecnolgica Viabiliza a operao e utilizao Adquire recursos de TI Gerencia as mudanas Instala e aprova solues e mudanas

Entrega e suporte
1. Define e mantm os acordos de nveis de servios (SLA) 2. 3. 4. 5. 6. Gerencia os servios de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos servios Assegura a segurana dos servios Identifica e aloca custos

7. Educa e treina os usurios 8. Gerencia a central de servios e incidentes 9. Gerencia a configurao 10. Gerencia os problemas 11. Gerencia os dados 12. Gerencia a infraestrutura 13. Gerencia as operaes

Monitorao
1. 2. 3. 4. Monitora e avalia o desempenho da TI Monitora e avalia os controles internos Assegura a conformidade com requisitos externos Prove governana para a TI

Desenvolvimento do CobiT
A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de informao. Sua segunda edio em 1998 ampliou a base de
Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
recursos adicionando o guia prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do modelo de maturidade de governana. O CobiT recebe um conjunto de contribuies de vrias empresas e organismos internacionais, entre eles:

Padres tcnicos da ISO, EDIFACT, etc. Os cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc. Padres profissionais para controle internos e auditoria: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Prticas e exigncias dos fruns da indstria (ESF, I4) e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.

Benefcios do CobiT
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As recomendaes de gerenciamento do CobiT com orientao no modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Os guidelines de gerenciamento do CobiT focam na gerncia por desempenho usando os princpios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da organizao.

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
Ferramentas de Gerenciamento do CobiT
Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do balanceamento do risco e returno do investimento podem ser classificados da seguinte forma: 0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciveis e medidos 5 Processo otimizados Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model Integrated for Software (SWCMMI), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro:

Onde a organizao est hoje O atual estgio de desenvolvimento da industria (best-in-class) O atual estgio dos padres internacionais Aonde a organizao quer chegar

Os fatores crticos de sucesso definem os desafios mais importantes ou aes de gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico, organizacional e de processo. Os indicadores de objetivos definem como sero mensurados os progressos das aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos:

Disponibilidade das informaes necessrias para suportar as necessidades de negcios Riscos de falta de integridade e confidencialidade das informaes Confirmao de confiabilidade, efetividade e conformidade das informaes. Eficincia nos custos dos processos e operaes

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
Indicadores de desempenho definem medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI. Para avaliao do nvel de maturidade utiliza-se o CobiT Assessment Process(CAP). O processo avalia os seguintes aspectos: propsito do processo; resultados do processo; descrio das prticas recomendadas para o processo (BP Base Practice); entregveis do processo (WP Work Product); e, os processos dependentes ou requeridos para processo. Para todas as BPs associadas ao processo avalia-se a capacidade para atender aos objetivos dos processos de negcio. A partir do resultado da avaliao planejada aes para atingir o nvel ideal de maturidade do processo.

Frameworks de Suporte
Os 34 processos do CobiT podem ser atendidos por outros modelos que definem boas prticas de gesto, tais como: ITIL, PMBOK, CMMI e ISO/IEC 27001 e 27002. Cada um desses modelos possui prticas definidas para a gesto de seus processos. A correta implantao dessas prticas garante que a entrega e qualidade dos produtos e servios atendam as necessidades do negcio. O ITIL (IT Infrastructure Library) um dos modelos de gesto para servios de TI mais adotados pelas organizaes. O ITIL um modelo noproprietrio e pblico que define as melhores prticas para o gerenciamento dos servios de TI. Cada mdulo de gesto do ITIL define uma biblioteca de prticas para melhorar a eficincia de TI, reduzindo os riscos e aumentando a qualidade dos servios e o gerenciamento de sua infra-estrutura. O ITIL foi desenvolvido pela agncia central de computao e telecomunicaes do Reino Unido (CCTA) a partir do incio dos anos 80. O CMMI for software (Capability Maturity Model Integrated for software) um processo desenvolvido pela SEI (Software Engineering Institute, Pittsburg, Estados Unidos) para ajudar as organizaes de software a melhorar seus processos de desenvolvimento. O processo dividido em cinco nveis sequenciais bem definidos: Inicial, Repetvel, Definido, Gerencivel e
Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
Otimizado. Esses cinco nveis provm uma escala crescente para mensurar a maturidade das organizaes de software. Esses nveis ajudam as organizaes a definir prioridades nos esforos de melhoria dos processos. O PMI (Project Management Institute) a uma organizao sem fins lucrativos de profissionais da rea de gerenciamento de projetos. O PMI visa promover e ampliar o conhecimento existente sobre gerenciamento de projetos assim como melhorar o desempenho dos profissionais e organizaes da rea. As definies e processos do PMI esto publicados no PMBOK (Guide to the Project Management Body of Knowledge). Esse manual define e descrevem as habilidades, as ferramentas e as tcnicas para o gerenciamento de um projeto. O gerenciamento de projetos compreende cinco processos Incio, Planejamento, Execuo, Controle e Fechamento, bem com nove reas de conhecimento: Integrao, escopo, tempo, custo, qualidade, recursos humanos, comunicao, anlise de risco e aquisio. Para a gesto da segurana da informao so adotadas as normas da srie ISO/IEC 27000, que contempla:

ISO/IEC 27001, Information Security Management Systems Requirement, definida para prover um modelo para estabelecer,

implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gesto da Segurana da Informao. ISO/IEC 27002, Code of Practice for Information Security Management (substitui a ISO 177799) que tem o objetivo de servir como um guia prtico para desenvolver os procedimentos de segurana da informao e prticas eficientes de gesto da segurana para a organizao. Esses padres devem ser adotados pelas organizaes de TI em maior ou menor escala, dependendo da complexidade do negcio. Quanto mais complexo o negcio mais formal devem ser a implementao dos processos e seu controle. Se analisarmos as tcnicas e as prticas recomendadas por esses padres chegaremos a concluso que so bvias para uma boa gesto de TI, entretanto se as ignorarmos colocaremos em risco a empresa. A adoo de padres requer um controle efetivo que avalie continuamente o desempenho das prticas e das pessoas, garantindo a eficincia da organizao. Um mtodo de acompanhamento das metas pr-definidas pela organizao o Balance Scorecard. Esse processo permite criar sinergia
Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.

efagundes.com
entre as pessoas, assegurar que a estratgia seja implementada e avaliar o desempenho da organizao. Como todo os modelos de gesto, o CobiT prev processos para garantir a melhoria contnua dos processos implantados. A metodologia de melhoria contnua Six-sigma pode ser adotada para atender essa exigncia. O Sixsigma est baseado no PDCA (Plan-Do-Control-Act) do Deming. Resumindo, as organizaes de TI devem adotar um modelo de governana de TI para aumentar sua eficincia e demonstrar que podem agregar valor ao negcio. O CobiT um modelo de gesto de TI reconhecido internacionalmente que define 34 processos de gesto que podem ser implantado utilizando prticas de processos de modelos de gesto especficos. importante atingir o nvel de maturidade de governana de TI compatvel com as necessidades dos processos de negcio.

Mais informaes
Muitas informaes do CobiT so padres abertos e disponveis gratuitamente para download no site do IT Governance Institues www.itgovernance.org ou no site do Information System Audit & Control Association www.isaca.org.

Copyright2011 por Eduardo Mayer Fagundes. Proibida a reproduo total ou parcial sem a prvia autorizao do autor.