COBIT Um kit de ferramentas para a excelncia na gesto de TI Eduardo Mayer Fagundes Engenheiro, Mestre e Professor da Universidade Mackenzie e-mail:

eduardo@efagundes.com

Introduo

Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e prover informaes gerenciais aos executivos para tomadas de decises. A criao e manuteno de uma infra-estrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos empresariais. Esse novo movimento conhecido como Governana em TI, ou "IT Governance". O termo "IT governance" definido como uma estrutura de relaes e processos que dirige e controla uma organizao a fim de atingir seu objetivo de adicionar valor ao negcio atravs do gerenciamento balanceado do risco com o retorno do investimento de TI. Para muitas organizaes, a informao e a tecnologia que suportam o negcio representa o seu mais valioso recurso. Alm disso, num ambiente de negcios altamente competitivo e dinmico requerido uma excelente habilidade gerencial, onde TI deve suportar as tomadas de deciso de forma rpida, constante e com custos cada vez mais baixos. No existem dvidas sobre o benefcio da tecnologia aplicada aos negcios. Entretanto, para serem bem sucedidas, as organizaes devem compreender e controlar os riscos associados no uso das novas tecnologias. O CobiT (Control Objectives for Information and related Technology) uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas.

O que o CobiT?

O CobiT um guia para a gesto de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org). O CobiT inclui recursos tais como um sumrio executivo, um framework, controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementao e um guia com tcnicas de gerenciamento. As prticas de gesto do CobiT so recomendadas pelos peritos em gesto de TI que ajudam a otimizar os investimentos de TI e fornecem mtricas para avaliao dos resultados. O CobiT independe das plataformas de TI adotadas nas empresas.

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

O CobiT orientado ao negcio. Fornece informaes detalhadas para gerenciar processos baseados em objetivos de negcios. O CobiT projetado para auxiliar trs audincias distintas: Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organizao. Usurios que precisam ter garantias de que os servios de TI que dependem os seus produtos e servios para os clientes internos e externos esto sendo bem gerenciados. Auditores que podem se apoiar nas recomendaes do CobiT para avaliar o nvel da gesto de TI e aconselhar o controle interno da organizao. O CobiT est dividido em quatro domnios: Planejamento e organizao. Aquisio e implementao. Entrega e suporte. Monitorao.

Figura 1: Os quatro domnios do CobiT

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

A figura 1 ilustra a estrutura do CobiT com os quatro domnios, onde claramente est ligado aos processos de negcio da organizao. Os mapas de controle fornecidos pelo CobiT auxiliam os auditores e gerentes a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementao de novas prticas, se necessrio. O ponto central o gerenciamento da informao com os recursos de TI para garantir o negcio da organizao. Cada domnio cobre um conjunto de processos para garantir a completa gesto de TI, somando 34 processos: Planejamento e Organizao Define o plano estratgico de TI Define a arquitetura da informao Determina a direo tecnolgica Define a organizao de TI e seus relacionamentos Gerencia os investimento de TI Gerencia a comunicao das direes de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade Aquisio e implementao Identifica as solues de automao Adquire e mantm os softwares Adquire e mantm a infra-estrutura tecnolgica Desenvolve e mantm os procedimentos Instala e certifica softwares Gerencia as mudanas Entrega e suporte Define e mantm os acordos de nveis de servios (SLA) Gerencia os servios de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos servios Assegura a segurana dos servios Identifica e aloca custos Treina os usurios Assiste e aconselha os usurios Gerencia a configurao Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operaes

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

Monitorao Monitora os processos Analisa a adequao dos controles internos Prove auditorias independentes Prove segurana independente

Desenvolvimento do CobiT

A primeira publicao foi em 1996 enfocando o controle e anlise dos sistemas de informao. Sua segunda edio em 1998 ampliou a base de recursos adicionando o guia prtico de implementao e execuo. A edio atual, j coordenada pelo IT Governance Institute, introduz as recomendaes de gerenciamento de ambientes de TI dentro do modelo de maturidade de governana. O CobiT recebe um conjunto de contribuies de vrias empresas e organismos internacionais, entre eles: Padres tcnicos da ISO, EDIFACT, etc. Os cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA, etc. Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, etc. Padres profissionais para controle internos e auditoria: COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Prticas e exigncias dos fruns da indstria (ESF, I4) e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.

Benefcios do CobiT

Na era da dependncia eletrnica dos negcios e da tecnologia, as organizaes devem demonstrar controles crescentes em segurana. Cada organizao deve compreender seu prprio desempenho e deve medir seu progresso. O benchmarking com outras organizaes deve fazer parte da estratgia da empresa para conseguir a melhor competitividade em TI. As recomendaes de gerenciamento do CobiT com orientao no modelo de maturidade em governana auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organizao. Os guidelines de gerenciamento do CobiT focam na gerncia por desempenho usando os princpios do balanced scorecard. Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negcios da organizao.

Ferramentas de Gerenciamento do CobiT

Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.

Cobit: Um kit de ferramentas para a excelncia na gesto de TI

balanceamento do risco e returno do investimento podem ser classificados da seguinte forma: 0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciveis e medidos 5 Processo otimizados Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro: Onde a organizao est hoje O atual estgio de desenvolvimento da indstria (best-in-class) O atual estgio dos padres internacionais Aonde a organizao quer chegar Os fatores crticos de sucesso definem os desafios mais importantes ou aes de gerenciamento que devem ser adotadas para colocar sobre controle a gesto de TI. So definidas as aes mais importantes do ponto de vista do que fazer a nvel estratgico, tcnico, organizacional e de processo. Os indicadores de objetivos definem como sero mensurados os progressos das aes para atingir os objetivos da organizao, usualmente expressos nos seguintes termos: Disponibilidade das informaes necessrias para suportar as necessidades de negcios Riscos de falta de integridade e confidencialidade das informaes Eficincia nos custos dos processos e operaes Confirmao de confiabilidade, efetividade e conformidade das informaes. Indicadores de desempenho definem medidas para determinar como os processos de TI esto sendo executados e se eles permitem atingir os objetivos planejados; so os indicadores que definem se os objetivos sero atingidos ou no; so os indicadores que avaliam as boas prticas e habilidades de TI.

Mais informaes

Muitas informaes do CobiT so padres abertos e disponveis gratuitamente para download no site do IT Governance Institues www.itgovernance.org ou no site do Information System Audit & Control Association www.isaca.org.

Copyright2004 por Eduardo Mayer Fagundes. Proibida a reproduo parcial ou total do artigo.