Você está na página 1de 9

introduo ao cobit e a governana de ti

Introduo
Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e prover informaes gerenciais aos executivos para tomadas de decises. A criao e manuteno de uma infraestrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos empresariais. Esse novo movimento conhecido como Governana em TI, ou "IT Governance". O termo "IT governance" definido como uma estrutura de relaes e processos que dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizaes, a informao e a tecnologia que suportam o negcio representa o seu mais valioso recurso. Alm disso, num ambiente de negcios altamente competitivo e dinmico requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas de deciso de forma rpida, constante e com custos cada vez mais baixos. No existem dvidas sobre o benefcio da tecnologia aplicada aos negcios. Entretanto, para serem bem sucedidas, as organizaes devem compreender e controlar os riscos associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas.

O que o CobiT?
O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas. O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias distintas:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao. Usurios que precisam ter garantias de que os servios de TI que dependem os seus produtos e servios para os clientes internos e externos esto sendo bem gerenciados. Auditores que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao. 2.Aquisio e implementao. 4. Monitorao.

O CobiT est dividido em quatro domnios:

1. Planejamento e organizao. 3. Entrega e suporte.

Figura 1: Os quatro domnios do CobiT

A figura 1 ilustra a estrutura do CobiT com os quatro domnios, onde claramente est ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementao de novas prticas, se necessrio. O ponto central o gerenciamento da informao com os recursos de TI para garantir o negcio da organizao. Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos:

Planejamento e Organizao 1. Define o plano estratgico de TI 2. Define a arquitetura da informao 3. Determina a direo tecnolgica 4. Define a organizao de TI e seus relacionamentos 5. Gerencia os investimento de TI 6. Gerencia a comunicao das direes de TI 7. Gerencia os recursos humanos 8. Assegura o alinhamento de TI com os requerimentos externos 9. Avalia os riscos 10. Gerencia os projetos 11. Gerencia a qualidade Aquisio e implementao 1. 2. 3. 4. 5. 6. Identifica as solues de automao Adquire e mantm os softwares Adquire e mantm a infra-estrutura tecnolgica Desenvolve e mantm os procedimentos Instala e certifica softwares Gerencia as mudanas

Entrega e suporte 1. Define e mantm os acordos de nveis de servios (SLA) 2. Gerencia os servios de terceiros 3. Gerencia a performance e capacidade do ambiente 4. Assegura a continuidade dos servios 5. Assegura a segurana dos servios 6. Identifica e aloca custos 7. Treina os usurios 8. Assiste e aconselha os usurios 9. Gerencia a configurao 10. Gerencia os problemas e incidentes 11. Gerencia os dados 12. Gerencia a infra-estrutura 13. Gerencia as operaes Monitorao 1. 2. 3. 4. Monitora os processos Analisa a adequao dos controles internos Prove auditorias independentes Prove segurana independente

Desenvolvimento do CobiT
A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de informao. Sua segunda edio em 1998 ampliou a base de recursos adicionando o guia prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do modelo de maturidade de governana.

O CobiT recebe um conjunto de contribuies de vrias empresas e organismos internacionais, entre eles:

Padres tcnicos da ISO, EDIFACT, etc. Os cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc. Padres profissionais para controle internos e auditoria: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Prticas e exigncias dos fruns da indstria (ESF, I4) e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.

Benefcios do CobiT
Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As recomendaes de gerenciamento do CobiT com orientao no modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Os guidelines de gerenciamento do CobiT focam na gerncia por desempenho usando os princpios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da organizao.

Ferramentas de Gerenciamento do CobiT


Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do balanceamento do risco e returno do investimento podem ser classificados da seguinte forma:

0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciveis e medidos 5 Processo otimizados
Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro:

Onde a organizao est hoje O atual estgio de desenvolvimento da industria (best-in-class) O atual estgio dos padres internacionais Aonde a organizao quer chegar

Os fatores crticos de sucesso definem os desafios mais importantes ou aes de gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico, organizacional e de processo. Os indicadores de objetivos definem como sero mensurados os progressos das aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos:

Disponibilidade das informaes necessrias para suportar as necessidades de negcios Riscos de falta de integridade e confidencialidade das informaes Confirmao de confiabilidade, efetividade e conformidade das informaes. Eficincia nos custos dos processos e operaes

Indicadores de desempenho definem medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI.

COBIT, do ingls, Control Objectives for Information and related Technology, um guia de boas prticas apresentado como framework, dirigido para a gesto de tecnologia de informao (TI). Criado e mantido pelo ISACA (Information Systems Audit and Control Association), possui uma serie de recursos que podem servir como um modelo de referncia para gesto da TI, incluindo:

sumrio executivo, framework, controle de objetivos mapas de auditoria, ferramentas para a sua implementao, Guias com tcnicas de gerenciamento.
Especialistas em gesto e institutos independentes recomendam o uso do CobiT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI) percebido, fornecendo mtricas para avaliao dos resultados (KPIs, KGIs e CSFs). O CobiT independe das plataformas de TI adotadas nas empresas, tal como independe do tipo de negcio e do valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa.

by Joo Melo on 04/10/2009

Apesar da Governana de TI ser um tema de responsabilidade da alta liderana da organizao, so normalmente os profissionais da TI que constroem a ponte entre a viso executiva e a proposta de soluo. Este artigo o primeiro de uma srie sobre os fundamentos do CobiT. Nossa proposta promover uma viso introdutria deste framework e facilitar um posterior mergulho no tema para o pblico do Tabuleiro de Projetos.

Os desafios da TI
Todo executivo sabe do valor da informao como um diferencial competitivo para o seu negcio. Gradativamente a TI vai migrando das diretorias de logstica e administrao para uma caixinha ligada diretamente ao CEO, mais investimentos so colocados a disposio de projetos de TI e, cada vez mais, os processos centrais do negcio tornam-se fortemente dependentes de software e hardware. Esse movimento aumenta a presso por resultados. A rea precisa abandonar o perfil caixa-preta e mostrar garantias de retorno para esse movimento estratgico. A Governana de TI se apresenta como um sistema organizacional com processos e estruturas responsveis por garantir que a TI est trabalhando alinhada com o negcio, maximizando resultados e otimizando a aplicao de recursos. Para o ITGI1., a govervana de TI est centrada na gerao de valor, gerenciamento dos riscos e controle da informao, vindo atender a necessidade das organizaes satisfazerem as exigncias de qualidade, fiducirias e de segurana da informao.

Os frameworks de melhores prticas e o CobiT


Em buscas de resposta rpida aos pedidos dos nossos patrocinadores, recorremos aos padres e bibliotecas de conhecimento, por assim dizer, da moda. PMBok, ITIL, CobiT, ISO 17799, CMMI e outros, viraram tbuas de salvao para muitos profissionais. O gerente de TI deve ter o cuidado de consolidar um profundo conhecimento sobre os desafios essenciais da sua organizao e ecossistema (clientes, indstria, fornecedores) e desenvolver habilidades analticas e de liderana capazes de viabilizar a ponte entre

as necessidades e recursos disposio. Da sim, a partir destes pilares, extrair valor de frameworks de melhores prticas, consensuados, escritos e validados por profissionais e instituies de renome e sucesso comprovados com certeza uma mo na roda. O Control Objectives for Information and related Tecnology (CobiT) tem se apresentado como um guarda-chuva para as melhores prticas da TI. Um modelo do que deve ser implementado e medido na TI para faz-la atender as expectativas das organizao. De quebra, servindo tambm como uma bssola para identificao de quais so os demais frameworks necessrios para se aprofundar nos processo crticos. O CobiT foca principalmente no alinhamento entre a TI e o negcio, na entrega de valor, no gerenciamento de recursos, no gerenciamento de riscos e na medio de performance a figura do ITGI que abre este artigo uma imagem tarimbada das reas de foco do CobiT. Estas reas so os tpicos principais que devem preocupar os executivos de TI, o CobiT tenta viabilizar estes resultados determinando um conjunto de 34 processos crticos a serem executados pela TI e uma infra-estrutura com guias e controles para implantao e aprimoramento da aplicao destes processos. O CobiT prope o que deve ser feito ao determinar quais processos devem ser executados e como medir sua efetividade. Diz, por exemplo, que a empresa deve executar o processo Manage Projects e medir sua eficcia com a mtrica Percent of projects meeting stakeholders expectations (on time, on budget and meeting requirementsweighted by importance). Entretanto, no diz como fazer. Para descobrir como gerenciar projetos a empresa vai ter procurar em framework como PMBok e PRINCE2. Para ajudar nesse link o ITGI disponibiliza uma srie de documentos de mapeamento como o Mapping of PMBOK With COBIT 4.0.

itgi: produtos do cobit Todo este conhecimento trabalhado numa srie de produtos voltados para executivos, gerentes e especialistas de governana. A pirmide ao lado organiza os principais documentos que contituem a base do CobiT: Board Briefing on IT Governance; Management guidelines/maturity models; Frameworks; Control objectives; IT Governance Implementation Guide: Using COBIT and Val IT; COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance e IT Assurance Guide: Using COBIT. Boa parte desse material, alm de uma srie artigos e livros complementares so gratuitos e contrados no site da ISACA. Nos prximos artigos vamos dar mais detalhes do funcionamento geral do CobiT.

arquitetura e organizao do cobit


by Joo Melo on 12/10/2009

Dando continuidade a nossa srie de artigos sobre governana de TI, iniciada com introduo ao cobit e a governana de ti, partimos agora para uma viso da estrutura geral do CobiT.

Introduo
Quem leu nosso primeiro artigo viu que o CobiT um framework de melhores prticas generalista. Ele tenta abarcar todos os processos de TI essenciais para o funcionamento adequado da rea. As principais funcionalidades do CobiT so:

Alinhar a TI com o negcio. Implementar as melhores prticas da TI. Apoiar a TI a se adequar s imposies dos rgos regulatrios. Estabelecer uma cultura de gesto baseada em processos.

Outros frameworks de melhores prticas tipo PMBok, ITIL, RUP, CMMi, SCRUM tem uma abordagem tcnica focada. RUP e PMBok, por exemplo, apresentam uma srie de processos; j o CMMi traz uma lista de controles. No CobiT, por outro lado, voc vai encontrar uma organizao mais complexa que passa por processos, controles, modelo de maturidade e mais; como se fosse o canivete suo da TI. Ento quem est acostumado com outras bibliotecas pode estranhar, mas com um pouco calma agente chega l. O mapa do CobiT so seus grandes temas: negcios, processos, controles e desempenho. Eles agrupam os elementos fundamentais da sua estrutura, estudando cada tema separadamente fica fcil consolidar uma viso no final. Vamos l.

Negcios
O CobiT coloca o alinhamento entre a TI e o negcio por meio dos processos de TI como seu principal trabalho. Para guiar este alinhamento precisamos estabelecer os requisitos necessrios para operao dos processos. Os requisitos comeam a ser definidos pelos critrios de informao. So sete critrios bsicos a serem observados pela TI durante todo o ciclo de vida da informao:

Efetividade. Relevncia e pertinncia da informao para os processos de negcio e sua entrega em tempo e custos consistentes. Eficincia. Produo da informao com aproveitamento mximos dos recursos. Confidencialidade. Proteo da informao contra acesso no autorizado. Integridade. Completude e preciso da informao. Disponibilidade. Informao disponvel para o processo de negcio quando for necessria. Conformidade. Adequao a leis, obrigaes contratuais e normas. Confiabilidade. Tem a ver com passagem da informao correta para que gerncia possa cumprir com suas responsabilidades.

itgi (adaptado) - cobit it and business goals Os critrios atuam como requisitos de alto nvel. Trazendo a questo para algo mais palpvel, temos os objetivos da TI. Estes objetivos so definidos por uma cadeia de direcionadores que se inicia na formulao da estratgia da organizao, por sua vez desdobrada em objetivos do negcio e estes, finalmente, em objetivos da TI. Os objetivos do negcio e da TI vo variar de organizao para organizao; entretanto, o CobiT prov uma lista genrica para ambos, vejam na figura ao lado.

Processos
por meio dos seus processos que o CobiT implementa os requisitos de funcionamento da TI. So 34 processos, agrupados em 4 categorias, chamadas de domnios. Os domnios so um tipo de PDCA e se apresentam como:

Plan and Organise (PO). Direcionamento de alto nvel para AI e DS. Acquire and Implement (AI). Desenvolvimento de solues para disponibilizao de novos servios. Deliver and Support (DS). Provimento e sustentao dos servios da TI. Monitor and Evaluate (ME). Monitoramento dos processos para garantir a implementao adequada do direcionamento.

De qualquer forma, os processos so elementos abstratos. Na viso do CobiT, o que faz os processos acontecerem de fato na organizao e assim viabilizar seus objetivos so os recursos da TI:

Aplicaes. Sistemas de informao somados aos processos manuais de processamento da informao. Infra-estrutura. Servidores, roteadores, bancos de dados, sistemas operacionais, etc. O que faz as aplicaes rodarem. Informao. o dado processado pelas aplicaes e utilizado pelo negcio. Pessoas. Independente se interno, terceirizado ou subcontratado, todo o pessoal necessrio para gerenciar e operar a TI.

Agora j comeamos a entender melhor o CobiT, no? Os processos da TI so a parte bsica do framework, fundamental para seu entendimento e implementao. A famosa figura do ITGI que abre este post mostra a ligao entre os conceitos discutidos at agora de critrios de informao e de recursos e processos da TI. Nos prximos artigos iremos explorar alguns processos do CobiT em mais detalhes.

Controles
Uma caracterstica forte do CobiT o controle do que acontece dentro da TI. O ITGI prega que o controle a forma que a organizao tem de garantir que os objetivos definidos esto sendo alcanados com o mnimo de desvios. Os controles

complementam a definio por processos dando instrumentos para a gerncia governar o funcionamento do modelo definido e atuar sobre os riscos e problemas. Sua presena na organizao funciona como indicativo de bom funcionamento. Os controles do CobiT esto distribudos ao longo dos processos, vamos ter controles especficos de cada processo e, tambm, controles genricos aplicveis todos os 34. Um exemplo de controle genrico o PC2 Process Ownership que determina que todo processo deve ter um dono com suas responsabilidades claramente definidas; diferente de um controle especfico para gerenciamento de projetos, como o PO10.2 Project Management Framework que fala da necessidade da organizao ter um framework que defina o seu mtodo para gerenciamento de projetos. bom destacar que para definir, implantar, executar e aprimorar todo esse mundo de controles a organizao vai precisar dispor de tempo e dinheiro. Deve-se ter foco e pragmatismo na escolha dos controles que se quer colocar em prtica. A deciso pauta-se sempre pelos objetivos prioritrios da TI e do negcio.

Desempenho
O negcio d a misso, os processos e controles os meios de alcana-la. O que falta mais? A viso de futuro. Toda organizao precisa criar uma arquitetura que permita auto-avaliao e definio de rumos. Seja para evitar estragos de um funcionamento inadequado ou para determinar o curso de crescimento. No estamos falando aqui do controle dirio, este pedao do CobiT fala da avaliao do prprio plano em prtica.

itgi - generic maturity model Para possibilitar o crescimento orientado da organizao o CobiT define um modelo de maturidade em nveis, nos moldes do CMMi. Os nveis so (0) no existente, (1) ad hoc, (2) repetido, (3) definido, (4) gerenciado e (5) otimizado a figura ao lado explica genericamente o significado de cada nvel. Perceba que eles representam a capacidade real da organizao conforme a prtica dos seus processos e voc vai encontrar na documentao explicaes de como cada um dos 34 processos se comporta nos diferentes nveis de maturidade. Por exemplo, o processo DS2 Manage Third-party Services encontra-se no nvel (3) Definido quando: Well-documented procedures are in place to govern third-party services, with clear processes for vetting and negotiating with vendors. When an agreement for the provision of services is made, the relationship with the third party is purely a contractual one. The nature of the services to be provided is detailed in the contract and includes legal, operational and control requirements. The responsibility for oversight of third-party services is assigned. Contractual terms are based on standardised templates. The business risk associated with the third-party services is assessed and reported. A sacada trazer um mecanismo escalvel, de fcil comunicao entre os diversos nveis da organizao e passvel de comparao contra a indstria. A questo de certificao, muita vezes colocada em primeiro plano pelas organizaes secundria. A necessidade real da maioria da empresas o de instrumentar um roadmap de evoluo com algo mais mais do que o felling dos gestores.

itgi - cobit goals relationship Numa linha mais operacional, mas ainda ligada a questo de performance vale destacar que o CobiT projeta um modelo genrico para acompanhar o desempenho dos processos. Ele baseado na viso de objetivos de TI discutidos na primeira seo do artigo. H o entendimento que o direcionador de alto nvel para a TI so os objetivos do negcio que, por sua vez, definem os objetivos da TI. Os objetivos da TI so implementados por meio de processos e as atividades destes. Seguindo essa lgica, os objetivos da TI podem ser desdobrados em objetivos de processos e estes, em objetivos de atividades. A figura abaixo ilustra o raciocnio.

itgi (modificado) - cobit goals and metrics Para acompanhar o atingimento de cada destes objetivos (negcios, ti, processos e atividades) temos as mtricas de resultados (KGI ou outcome measures) e mtricas de performance (KPI ou performance indicators). A mtrica de resultado determina se um objetivo foi ou no alcanado e s pode ser medida ao final do processo, j a mtrica de performance avisa se o objetivo vai ou no ser atingindo ainda h tempo de se tomar aes preventivas ou corretivas. A mtrica de performance de um objetivo de negcio vira mtrica de resultado para seu objetivos de TI; e assim por diante como vemos na figura ao lado. As mtricas sugeridas pelo CobiT so apresentada em uma seo especfica dentro de cada processo.

Concluso
Vimos os elementos essenciais da arquitetura do CobiT esto baseados nos conceitos de negcios, processos, controles e desempenho. Os critrios de informao e objetivos do negcio e da ti do o norte. Aplicando os recursos da TI sobre os processos conseguimos alcanar os objetivos da rea. Por meio de controles e mtricas garantimos a correta execuo dos processos. Por ltimo, temos um modelo de maturidade que colhe feedback do funcionamento, permitindo organizao se auto-aprimorar. No prximo artigo veremos como estes conceitos se aplicam em alguns dos processos do CobiT.