O MODELO COBIT

O COBIT é um guia independente de plataforma tecnológica, criado pelo ITGI e recomendado pela Information Systems Audit and Control Association (ISACA). É eficiente como auxílio à Governança de TI, pois trata do gerenciamento e controle das iniciativas de TI alinhados aos objetivos da organização. Para o ITGI (2008a), COBIT oferece melhores práticas e ferramentas para monitorar e gerenciar atividades de TI.

O modelo é um conjunto de melhores práticas aplicável para auditoria e controle de processos de TI (FERNANDES; ABREU, 2008), que representa o consenso de especialistas em governança de TI, ao tempo que descreve modelos de maturidade dos processos. As melhores práticas estão descritas em processos de alto nível e objetivos de controle, com métricas para avaliação dos processos, que têm o propósito de indicar qual o nível de maturidade e onde a gestão do serviço de TI pode melhorar, permitindo o alinhamento entre os objetivos da TI e os objetivos da organização. Segundo Carvalho (2006), ele usa indicadores de desempenho para monitorar e melhorar a qualidade da gestão de TI, ajudando a direcionar os investimentos e a conseguir melhores resultados. O ITGI (2008b) diz que o modelo ajuda a documentar as práticas ideais para um departamento de TI, além de fornecer maneiras de medir, monitorar e comparar resultados com base em métricas, metas e um modelo de maturidade.

O principal objetivo das práticas do COBIT é, de acordo com Fernandes e Abreu (2008, p.175), “contribuir para o sucesso da entrega de produtos e serviços de TI, a partir da perspectiva das necessidades do negócio [grifo dos autores], com foco mais acentuado no controle do que na execução.” O modelo de processos do COBIT, de acordo com o ITGI (2007), permite que as atividades e os recursos de TI sejam gerenciados e controlados de maneira apropriada com base nos objetivos de controle do modelo, e alinhados e monitorados através dos seus objetivos e métricas.

As áreas foco do COBIT, segundo ITGI (2007), são: Alinhamento Estratégico, Entrega de Valor, Mensuração de Desempenho, Gestão de Recursos e Gerenciamento de Risco. O Alinhamento Estratégico tem foco na garantia da ligação entre os planos de negócios e os planos de TI, alinhando as operações de TI com as operações da organização. A área foco Entrega de Valor garante que TI entrega os benefícios previstos na estratégia da organização, procurando otimizar os custos de TI. A Gestão de Recursos refere-se à melhor utilização possível dos investimentos e o gerenciamento apropriado dos recursos críticos de TI, incluídos aí os conhecimentos, as pessoas e a infraestrutura. A Gestão de Risco trata dos riscos identificados, das responsabilidades sobre o tratamento ou mitigação dos riscos, dos requisitos de conformidade e da inserção do gerenciamento de riscos nas atividades da companhia. Mensuração de Desempenho trata do acompanhamento e monitoramento da implementação da estratégia de TI, envolvendo a execução de projetos, o uso dos recursos, a medição de desempenho dos ativos da infraestrutura de TI, a entrega dos serviços e o cumprimento de acordos de nível de serviço. As áreas foco do modelo COBIT estão representados na Figura 4.

A orientação do COBIT para processos se faz presente nos 34 processos de TI que ele descreve, que estão distribuídos em quatro domínios. Cada domínio está associado a uma ou mais áreas foco de Governança de TI. De acordo com o ITGI (2007), os quatro domínios da TI descritos no COBIT são os seguintes:

a) Planejamento e Organização (PO) – é um domínio tático e estratégico, que, através de planejamento, comunicação e gerenciamento, indica como a TI deve atender aos objetivos do negócio;

b) Aquisição e Implementação (AI) – inclui os processos de identificação das necessidades, desenvolvimento, aquisição, implantação e manutenção de soluções de TI;

c) Entrega e Suporte ou Delivery and Support (DS) – inclui os processos de entrega (prestação) dos serviços oferecidos pela TI;

d) Monitoração e Avaliação ou Monitor and Evaluate (ME): inclui os processos relacionados com a qualidade e com a avaliação da TI.

Figura 4 – Áreas foco do modelo COBIT. Fonte: ITGI (2007, p.8)

A Figura 5 mostra os quatro domínios do COBIT e seus relacionamentos, e o Quadro 2 mostra os processos agrupados por domínio.

Figura 5 – Os quatro domínios do COBIT e seus relacionamentos. Fonte: ITGI (2007, p.14)

Assim como a ITIL, o COBIT é um modelo aceito e utilizado internacionalmente, com foco nos objetivos da organização. Por esse motivo, ele vem sendo utilizado em auditorias, avaliações de processos de TI utilizando seu modelo de maturidade, e como base para o alcance de metas organizacionais através do alinhamento dos objetivos da TI. De acordo com o ITGI (2007), a avaliação da capacidade dos processos com base nos modelos de maturidade descritos no COBIT é um fator importante para que se tenha Governança de TI em uma organização. ITGI (2008a) diz que COBIT é baseado em outros frameworks, inclusive na biblioteca ITIL, mas não inclui passos e tarefas em seus processos, pois, embora esteja organizado em domínios e processos, é uma estrutura de controle e gerenciamento, e não um uma estrutura de processos.

DOMÍNIOS PROCESSOS

Planejamento e Organização

PO1 – Definir um plano estratégico de TI PO2 – Definir a arquitetura da informação PO3 – Determinar as diretrizes da tecnologia

PO4 – Definir os processos, organização e relacionamentos de TI PO5 – Gerenciar o investimento de TI

PO6 – Comunicar metas e diretrizes gerenciais PO7 – Gerenciar os recursos humanos de TI PO8 – Gerenciar a qualidade

PO9 – Avaliar a gerenciar os riscos de TI PO10 – Gerenciar projetos

Aquisição e Implementação

AI1 – Identificar soluções automatizadas AI2 – Adquirir e manter software aplicativo AI3 – Adquirir e manter infraestrutura tecnológica AI4 – Habilitar operação e uso

AI5 – Adquirir recursos de TI AI6 – Gerenciar mudanças

AI7 – Instalar e homologar soluções e mudanças Entrega e Suporte DS1 – Definir e gerenciar níveis de serviços

DS2 – Gerenciar serviços terceirizados DS3 – Gerenciar o desempenho e a capacidade DS4 – Assegurar a continuidade dos serviços DS5 – Garantir a segurança dos sistemas DS6 – Identificar e alocar custos DS7 – Educar e treinar usuários

DS8 – Gerenciar a central de serviços e os incidentes DS9 – Gerenciar a configuração

DS10 – Gerenciar problemas DS11 – Gerenciar dados

DS12 – Gerenciar o ambiente físico DS13 – Gerenciar operações

Monitoração e Avaliação ME1 – Monitorar e avaliar o desempenho da TI ME2 – Monitorar e avaliar os controles internos

ME3 – Assegurar conformidade com requisitos externos ME4 – Prover governança de TI

Segundo ITGI (2007, p.10), os benefícios do COBIT são os seguintes: melhor alinhamento com base no foco no negócio; transparência das ações da TI para os executivos; divisão clara das responsabilidades com base na orientação para processos; aceitação geral por terceiros e órgãos reguladores; utilização de linguagem comum, facilitando o entendimento entre as partes interessadas sobre serviços e recursos de TI; melhor controle do ambiente de TI.

Fernandes e Abreu (2008) observam também benefícios na adoção do COBIT: melhoria do entendimento dos processos de TI, clareza quanto às responsabilidades e protocolos de comunicação entre os grupos interessados, clareza sobre a situação atual dos processos de TI e seus pontos de vulnerabilidade, redução da exposição a riscos, maior solidez e assertividade no planejamento das ações de melhoria, maior visibilidade sobre o impacto dos esforços de melhoria nos processos de TI em todos os níveis da organização, redução dos custos operacionais e de propriedade dos aplicativos e infraestrutura de TI e melhoria da imagem da TI para os clientes.

Independente da avaliação da capacidade dos processos por meio do modelo de maturidade do COBIT, a simples adoção de práticas recomendadas pelo modelo já é um forte indicador de que há interesse organizacional em melhorar a Governança de TI.