FRAMEWORK COBIT 4.1

De acordo com ITGI (2010), o framework de governança de TI, COBIT® (Control

Objectives for Information and Related Technology – Objetivos de Controle para Tecnologia

da Informação e Tecnologias Relacionadas), elaborado pelo Instituto de Governança de TI (ITGI – IT Governance Institute), fornece boas práticas por meio de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do COBIT representam o consenso de especialistas. Elas são mais focadas nos controles e menos na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega dos serviços e prover métricas para avaliar quando as coisas saem erradas.

A primeira versão do COBIT foi lançada em 1996 pela ISACA (Information Systems

Audit and Control Association - Associação de Auditoria e Controle de Sistemas de

Informação) como um conjunto de objetivos de controle para as aplicações de negócio. Em 1998, a segunda versão do COBIT foi lançada com a inclusão de uma ferramenta de suporte à implementação e as especificações de objetivos de alto nível e detalhados. Em seguida, em 2000, a terceira versão do COBIT foi lançada com a inclusão de normas e guias associados à gestão. Ainda neste ano, o ITGI se tornou o principal editor do framework. Em 2002, a Sarbanes

Oxley Act (Lei Sarbanes Oxley) foi aprovada, impulsionando a adoção do COBIT nos Estados

Unidos. Por fim, em 2005, a quarta versão do COBIT foi lançada tendo como diferencial a melhoria dos controles a fim de garantir a segurança e a disponibilidade dos ativos de TI das organizações. Em 2007, uma revisão da quarta versão foi lançada com a nomenclatura de COBIT 4.1, incluindo mudanças na descrição dos objetivos e no cascateamento dos processos em relação ao negócio, e processos gerais de TI.

Ainda, de acordo com o ITGI (2010), “A Governança de TI é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da organização”.

O sucesso na entrega de serviços de TI às áreas de negócio está vinculado à implantação de um sistema interno de controles pelos executivos da organização. Nesse sentido, o COBIT contribui, provendo métricas e modelos de maturidade para medir a eficácia da Governança de TI na organização, realizando o alinhamento entre TI e negócio, com a transparência dos papéis, além de buscar a maximização dos benefícios, responsabilidade no uso dos recursos de TI e uma gestão de riscos gerenciada apropriadamente.

O ITGI (2010) afirma que “A mensuração do desempenho é essencial para a Governança de TI. Isto é suportado pelo COBIT, que inclui a definição e o monitoramento dos objetivos de mensuração. Muitas pesquisas identificaram a falta de transparência dos custos, do valor e dos riscos de TI como uma das mais importantes metas da Governança de TI. Embora outras áreas de foco contribuam, a transparência é primariamente atingida através da medição de desempenho.”. Segundo o COBIT 4.1, as áreas de foco da Governança de TI são apresentadas conforme a Figura 4.

Figura 4 – Áreas de Foco na Governança de TI

Os processos do COBIT são subdivididos em quatro domínios e 34 processos, alinhados com as áreas responsáveis por Planejar, Construir, Executar e Monitorar, provendo uma visão total da área de TI. Segundo ITGI (2010), “para que a Governança de TI seja eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados. Geralmente, eles são ordenados por domínios de responsabilidade de planejamento, construção, processamento e monitoramento.” No modelo COBIT, esses domínios são denominados:

 Planejar e Organizar (PO): Provê direção para entrega de soluções (AI) e entrega de serviços (DS);

 Adquirir e Implementar (AI): Provê as soluções e as transforma em serviços;  Entregar e Suportar (DS): Recebe as soluções e as torna passíveis de uso pelos

usuários finais;

 Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a direção definida seja seguida.

A Figura 5 apresenta os quatro domínios de processos.

Figura 5 – Quatro domínio inter-relacionados do COBIT

Fonte: ITGI (2010)

Poucas empresas terão necessidade da aplicação dos 34 processos listados no COBIT 4.1. Assim, apesar de os processos serem utilizados para verificar a totalidade das atividades e responsabilidades na Governança de TI das organizações, os processos podem ser combinados e utilizados de acordo com a necessidade de cada organização. Cada processo tem uma relação com os objetivos de negócio e os de TI, assim como informações sobre os indicadores de medição, atividades-chave, as principais entregas e o responsável por cada uma delas.

De acordo com o ITGI (2010), “O modelo COBIT une os requisitos de negócios para informação aos objetivos dos serviços de TI. O modelo de processos do COBIT permite que as atividades de TI e os recursos que as suportam sejam

apropriadamente gerenciados e controlados com base nos objetivos de controle do COBIT, bem como alinhados e monitorados usando seus objetivos e métricas”. Os recursos de TI são administrados pelos processos de TI, identificados pela organização, necessários para alcançar os objetivos de TI que respondem aos requisitos de negócio. Esse é o princípio do modelo, representado na Figura 6 pelo Cubo do COBIT.

Figura 6 – Cubo do COBIT

Fonte: ITGI (2010)

Dentre os processos do COBIT 4.1, no domínio Monitorar e Avaliar (ME), destaca-se o processo ME4 (Prover Governança de TI). De acordo com a ITGI (2010), esse processo tem por finalidade o estabelecimento de uma efetiva estrutura de Governança que envolve a definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização.

Segundo ITGI (2010), o processo ME4 é subdivido em sete objetivos de controle: 1. ME4.1 Estabelecimento de uma Estrutura de Governança de TI

Definir, estabelecer e alinhar a estrutura de Governança de TI com a Governança organizacional e o ambiente de controle. Basear a estrutura em processos e modelos de controle de TI adequados e implementar práticas e responsabilidades claras para evitar falhas de controle interno e supervisão. Certificar-se de que a estrutura de Governança de TI assegura a conformidade com leis e regulamentos, está alinhada com as estratégias e os objetivos da organização e corresponde a tais estratégias e objetivos. Produzir relatórios sobre o status da Governança de TI e questões relacionadas.

2. ME4.2 Alinhamento Estratégico

Habilitar a Alta Direção no entendimento das questões estratégicas de TI, tais como os papéis de TI, as capacidades e os conhecimentos tecnológicos. Certificar-se de que há um

entendimento compartilhado entre o negócio e a TI quanto ao potencial de contribuição de TI com a estratégia de negócio. Trabalhar com o Conselho de Administração para definir e implementar as estruturas de Governança, como um comitê de estratégia de TI, para dar direção estratégica ao gerenciamento relativo à TI, assegurando que a estratégia e os objetivos sejam propagados de cima para baixo nas unidades de negócio e nas funções de TI e que o crédito e a confiança sejam desenvolvidos entre o negócio e a TI. Permitir o alinhamento de TI ao negócio no que tange à estratégia e à operação, incentivando a corresponsabilidade entre o negócio e a TI para tomar decisões estratégicas e obter os benefícios dos investimentos em TI.

3. ME4.3 Entrega de Valor

Gerenciar os programas de investimentos e demais recursos e serviços de TI para assegurar que eles forneçam o maior valor possível no suporte aos objetivos e estratégia do negócio. Assegurar que sejam alcançados os resultados esperados pelo negócio quanto aos investimentos de TI, que o escopo completo de esforços necessários para o alcance desses resultados seja entendido, que estudos de caso abrangentes e consistentes sejam criados e aprovados pelas partes interessadas, que os ativos e investimentos sejam gerenciados durante seus ciclos de vida econômicos, que exista o gerenciamento ativo da realização dos benefícios (como contribuição com os novos serviços, ganhos de eficiência e resposta rápida para as demandas do cliente). Impor uma abordagem disciplinada de gerenciamento de portfólio, programas e projetos, insistindo que o negócio tenha responsabilidade sobre todos os investimentos de TI e assegurando que a TI otimize os custos da disponibilização dos serviços e da capacidades da TI.

4. ME4.4 Gerenciamento de Recursos

Supervisionar o investimento, o uso e a alocação dos recursos de TI por meio de avaliações periódicas das iniciativas e operações de TI, visando assegurar a existência de recursos suficientes e o alinhamento com objetivos estratégicos e necessidades de negócios atuais e futuras.

5. ME4.5 Gestão de Riscos

Trabalhar com o Conselho de Administração para definir o apetite corporativo por riscos de TI e obter uma razoável segurança de que as práticas de gerenciamento de riscos de TI são adequadas para assegurar que os riscos atuais de TI não excedem o apetite de risco da Alta Direção. Integrar as responsabilidades de gerenciamento de riscos com a organização, assegurando que as áreas de negócios e de TI regularmente avaliem e reportem os riscos relacionados à TI e os seus impactos e que a posição dos riscos de TI da organização seja transparente para todas as partes interessadas.

6. ME4.6 Medição de Desempenho

Confirmar se os objetivos acordados de TI foram atingidos ou excedidos ou se o progresso na direção dos objetivos de TI atende às expectativas. Quando os objetivos acordados não forem atingidos ou o progresso não for como esperado, deve-se revisar as ações de correção. Regularmente, deve-se reportar para a Alta Direção os portfólios, programas e o desempenho de TI relevantes, suportados por relatórios que permitam à Alta Direção revisar o progresso da organização no que diz respeito aos objetivos definidos.

7. _{ME4.7 Avaliação Independente}

Obter avaliação independente (interna ou externa) sobre a conformidade de TI com leis e regulamentos relevantes, como políticas padrões e procedimentos organizacionais, com práticas geralmente aceitas e o efetivo e eficiente desempenho de TI.

A matriz de responsabilidade do processo ME4 define o CEO (Chief Executive Officer – Presidente) como principal responsável pelo processo, e o Conselho de Administração (Board) da empresa, como responsável pela prestação de contas. O processo é responsável por integrar a Governança de TI aos objetivos de Governança Corporativa e ter conformidade com leis, regulamentações e contratos, preparando relatórios gerenciais sobre estratégia, o desempenho e os riscos de TI e atender aos requisitos de Governança em alinhamento com as diretrizes da Alta Direção.