Histórico do COBIT

A auditoria de TI começou como Electronic Data Process, EDP, que em português se traduz como processamento eletrônico de dados, e se desenvolveu em grande parte como resultado do aumento do uso da tecnologia nos sistemas contábeis.

A introdução da TI nos sistemas de contabilidade mudou a forma do processamento dos dados, e a forma do seu armazenamento, de sua recuperação e do seu controle. A instalação e o uso dos primeiros sistemas comerciais foram exclusivamente implementados por grandes empresas, as quais desenvolviam seus próprios aplicativos.

Com a ajuda financeira da IBM, em 1944, foi construído na Universidade de Harvard o primeiro computador eletromecânico, denominado de MARK I. Este equipamento tinha cerca de 15 metros de comprimento, era capaz de executar as quatro operações fundamentais de aritmética e demorava de 3 a 5 segundos para realizar uma operação simples. Dois anos após, surgiu o primeiro computador digital eletrônico de grande escala, projetado pelo Departamento de Material de Guerra do Exército dos EUA, na Universidade de Pensilvânia.

Em 1949, surgiu o Eletronic Delay Storage Automatic Calculator (EDSAC) ou Calculadora Automática com Armazenamento por Retardo Eletrônico (GUINDANI, 2008).

No final da década de 1950, há uma grande mudança, com a introdução de novas máquinas, menores e menos caras.

Desenvolvimentos significativos ocorreram em 1959, ano em que a IBM anunciou o computador 1401. No ano seguinte, com o crescente uso comercial de computadores, surgiu o mainframe IBM 360 (ISACA, 2022). Esta evolução aumentou o uso de computadores nas empresas e com isso veio a necessidade de os auditores familiarizarem-se com os conceitos do EDP (processamento eletrônico de dados) nos negócios, criando a necessidade de controles e auditorias de tecnologia da informação.

Junto com o aumento do uso do computador, veio o surgimento de diferentes tipos de sistemas contábeis. Novos procedimentos redesenharam o fluxo de papel, alteraram as estruturas organizacionais, exigiram um repensar da forma como a informação era apresentada à administração e desafiaram os princípios de controle interno adotados pelos projetistas de sistemas contábeis.

A literatura sobre computadores e processamento eletrônico de dados era escassa e obtida principalmente por meio de artigos difundidos em publicações contábeis e material fornecido pelos fabricantes de equipamentos. A primeira publicação científica sobre o assunto foi editada pelo The Computer Journal¹⁹, cuja primeira edição foi publicada em meados de 1958, pela editora universitária da Universidade de Oxford, Oxford University Press.

Em 1968, o American Institute of Certified Public Accountants fez com que à época as Big Eight, atualmente as Big Four²⁰, participassem do desenvolvimento da auditoria EDP (processamento eletrônico de dados), tendo como resultado o lançamento da obra Auditoria & ED. O livro incluía os procedimentos de auditorias EDP e exemplos de como processar revisões de controles internos.

Em 1969, a Electronic Data Processing Auditors Association (EDPAA), futura ISACA, é incorporada em Los Angeles, Califórnia – EUA, associação que tinha como objetivo produzir diretrizes, procedimentos e normas para as auditorias da EDP. Em 1975, foi publicada a primeira edição de Control Objectives e, no ano seguinte, a EDPAA cria a Fundação dos Auditores EDP (ISACA, 2022).

Em 1994, a organização muda formalmente seu nome de EDPAA para Information Systems Audit and Control Association (ISACA).

A fim de dar suporte aos profissionais de auditoria (financeira) devido ao crescente desenvolvimento dos ambientes automatizados, em 1996, a estrutura do COBIT^® é introduzida e após dois anos a segunda edição do COBIT^® é lançada. Neste mesmo ano, de 1998, é criada o IT Governance Institute (ITGI), com o foco em pesquisas originais de governança de TI e melhores práticas, cujas informações e

19 Disponível em: <https://academic.oup.com/comjnl>. Acesso em: 02 fev. 2022.

20 O termo The Big Four é o apelido usado para se referir coletivamente, atualmente, às quatro maiores redes de serviços profissionais do mundo, compostas pelas redes globais de contabilidade Deloitte, Ernet & Yong, KPMG e PwC. Disponível em:

https://en.wikipedia.org/wiki/Main_P.e.

pesquisas contribuíram para a evolução do COBIT^® em direção a uma estrutura madura de boas práticas para gerenciamento e governança de TI (ISACA, 2022).

A fim de orientar à sua comunidade profissional contra os problemas do tão temido Bug do Milênio²¹, no final do segundo milênio a ISACA forneceu a orientação Y2K e o ano 2000 chegou sem falhas graves nos sistemas computacionais (ISACA, 2022).

A terceira edição do COBIT^® é introduzida em 2001, com novas Diretrizes de Gestão. Em 2002, a ISACA apresenta a certificação Certified Information Security Manager (CISM).

Devido aos escândalos que originaram a Lei Sarbanes-Oxley²² (SOX), as empresas vêm incorporando maior complexidade para a gestão da TI para aumentar a transparência no meio organizacional (COSER, 2017 p. 120). Com a aprovação da Lei Sarbanes-Oxley nos EUA em 2002, as empresas recorrem cada vez mais à ISACA para obterem orientações e conformidade. Lunardi et al. (2014) ressaltam que várias empresas adotam o COBIT^® como um mecanismo de governança de TI como forma de aderir à lei SOX.

Em 2005, é lançado o COBIT^® 4.0 e sua versão 5 em 2012.

Em 2018, a ISACA apresenta uma versão mais recente o COBIT^® 2019, que incluiu um Guia de Design para ajudar as empresas a adaptar

21 O problema teve origem na década de 70 quando as empresas do ramo de programas e computadores, para minimizar o custo da memória, usavam dois dígitos para a representação do ano, muitos equipamentos interpretavam 1999 como “99” e 2000 como “00”. Assim, no primeiro dia de janeiro do ano de 2000, às 00h01min, muitos computadores e utensílios poderiam ter como data o ano 1900 ou simplesmente "00", desencadeando uma série de operações ilógicas e equivocadas.

Foi considerado uma ameaça sem precedentes na história, especialistas previam grandes prejuízos podendo afetar tudo e todos, com estimativas de indenizações judiciais que deveriam superar a marca de 1 trilhão de dólares (GUINDANI, 2008).

22 Sucessivos escândalos de manipulação de demonstrações financeiras ocorridos nas companhias abertas nos Estados Unidos da América, entre outras a Enron, Arthur Andersen, WorldCom e Xerox, motivaram as autoridades reguladoras estadunidense a promulgar a Lei Sarbanes-Oxley (Sox), de autoria dos senadores norte-americanos Paul S. Sarbanes e Michael Oxley. Esta Lei estabeleceu um conjunto de regras ao mundo corporativo, abarcando administradores, auditores, advogados e analistas de mercado. Foram também destinadas regras específicas aos auditores independentes, introduzindo novas regras de independência e renovadas normas de auditoria (auditing standards), bem como a criação de órgão fiscalizador da profissão (PCAOB).

“A Sox é tida como a mais importante legislação do mercado de capitais desde a quebra da bolsa de Nova York, em 1929, e dos atos expedidos pela Securities and Exchange Comission (SEC), a comissão de valores mobiliários estadunidense, em 1933 e 1934” (SILVA, 2008, p. 113).

facilmente suas estruturas para atender às suas necessidades específicas (ISACA, 2022).

A publicação Framework: Introduction and Methodology esclarece que “um dos princípios orientadores aplicados ao longo do desenvolvimento do COBIT^® 2019 foi manter o posicionamento do COBIT^® como um framework guarda-chuva.” Esclarece, ainda, que o Framework não contradiz as orientações, quadros ou regulamentos das normas relacionadas, fornecendo, geralmente, declarações ou referências equivalentes (ISACA, 2018, p. 63).

Desta forma, o COBIT^® nasceu como uma ferramenta com enfoque na auditoria de sistemas e prevenção a fraudes, que com o passar do tempo começou a englobar toda a atividade organizacional relacionada ao uso de Tecnologia da Informação.