Introduo ao COBIT v4.

1 Parte 1

Meta da aula

Explicar os conceitos iniciais sobre o COBIT .

objetivos

Ao final desta aula, voc dever ser capaz de:

1

Identificar, listar e explicar os principais conceitos sobre o COBIT tais como os critrios de informao, as reas foco da Governana e os indicadores de desempenho e de meta. Listar e exemplificar os domnios do COBIT .

Pr-requisitos
So pr-requisitos para esta aula ter atingido os objetivos das primeiras aulas que tratam do Planejamento Estratgico, da Governana em TI e das duas verses da ITIL, a saber, a verso 2 e a verso 3.

AULA

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Introduo

Vimos que a ITIL possui uma srie de boas prticas para a construo de processos de TI. Mas, a ITIL ajuda a TI a conseguir o alinhamento estratgico? Na verdade, ela no o modelo mais adequado para esse fim. E qual seria o modelo mais adequado ento? Vamos estudar o COBIT a partir desta aula e ver como ele responde a essa questo!

A sigla COBIT significa, em ingls, Objetivos de Controle para a Informao e Tecnologia (Control Objectives for Information and related Technology). Ok, mas de que trata o seu contedo? Costumamos dizer que o contedo do COBIT baseado em controles para a rea de TI diretamente relacionados gesto do negcio. No arriscado dizer que a Governana em TI implementada atravs do COBIT, ou seja, dentro do mbito da TI so os seus objetivos de controle que guiaro quaisquer outras iniciativas da TI, por exemplo, com relao utilizao ou no da ITIL v3, do PMBOK v4, ou de qualquer outra norma, padro ou conjunto de boas prticas voltados para a TI. Voc deve estar imaginando que o COBIT o assunto mais importante desse nosso curso de Governana. Se tivssemos de dar uma resposta rpida, poderamos at dizer que sim! Na verdade, cada assunto importante, dependendo do momento que a empresa estiver passando. Essa ideia ficar mais clara em nossa ltima aula, quando abordaremos o tema Governana em TI envolvendo todos os assuntos vistos no curso. Voc sabe quantos anos se passaram desde a publicao da primeira verso do COBIT? Uma dcada? Duas? A sua primeira verso foi publicada pela ISACF (Information Systems Audit and Control Foundation) em 1994. A ISACF era uma ramificao da ISACA (Information Systems Audit and Control Association) que a associao detentora dos direitos sobre o COBIT. Hoje o ITGI (Information Technology Gover-

116 Governana: Gesto, Auditoria e Tecnologia da Informao

A ISACA ainda mantm o acrnimo por questes de marketing em seu site e em todo o seu material, porm ela no utiliza mais os termos controle, auditoria e sistemas de informao quando a sigla mencionada, isto , ISACA s uma logomarca que um dia significou information systems audit and control association, mas hoje no mais. Um dos motivos bvios para isso o fato de que uma associao para auditoria e controle de sistemas de informao no o que a ISACA representa hoje. Os perfis de seus membros (assim como as suas preocupaes) vo muito alm do controle e auditoria, embora essas duas funes ainda estejam tambm presentes. Atualmente o COBIT se encontra na verso 4.1, publicada em 2007. Sua evoluo atravs dos anos se deu da seguinte forma: 1996 - Verso 1 Foi publicada a primeira verso com foco mais voltado para auditoria e controle de sistemas de informao com base em padres tcnicos, profissionais e regulatrios internacionais. 1998 - Verso 2 Publicao da segunda verso, agora com uma filosofia de que os objetivos de controle deviam ser baseados nos resultados pretendidos pela TI, ou seja, primeiro se pensa onde a TI quer chegar e, depois, em quais objetivos precisam ser estabelecidos para que ela chegue l. Dessa forma o COBIT comeou a servir de ponto de partida para que os executivos de TI gerenciassem os seus processos a fim de atingir os resultados almejados. 2000: Verso 3 Publicao da terceira verso revisada para se adequar a vrios outros modelos, normas, padres e conjuntos de boas prticas que se tornavam famosos naquela poca (tais como a ITIL e o PMBOK). Essa verso marcou a passagem do COBIT da filosofia do controle para a filosofia da gesto e gerenciamento. Era uma adequao viso da TI prestadora de servio que se tornaria muito forte no novo sculo. Observe que naquele ano foram publicadas novas verses da ITIL, do PMBOK, do COBIT e de vrios outros modelos.

CEC I E R J E X T E N S O E M G O V E R N A N A

117

AULA

a funo de garantir a evoluo do COBIT.

nance Institute), organizao criada pela prpria ISACA, desempenha

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Note ainda que a diferena de abordagem, embora sutil, muito importante. A palavra controle traz consigo uma ideia de reatividade muito mais ligada eficincia operacional. J os termos gesto e gerenciamento esto mais ligados a aes proativas necessrias eficcia estratgica. Caso j no tivssemos discutido tanto as diferenas entre essas duas expresses, a diferena poderia mesmo lhe parecer pequena. Esperamos que este no seja mais o seu pensamento. 2005: Verso 4 Em 2005 uma nova verso trouxe tona uma expresso que agora toma conta de todas as discusses dos executivos de TI e de suas equipes: a Governana em TI. A verso 4 do COBIT possua 34 reas de processo e 214 objetivos gerais de controle visando implementao de processos de TI que garantam o alinhamento estratgico. Uma ideia muito clara nessa verso era a de que o novo documento tinha um pblico alvo mais heterogneo formado no s por tcnicos da rea de TI, mas tambm por executivos e auditores, ou at mesmo por gestores
Figura 8.1: Cubo da governana.

de outras reas interessados em interagir melhor com a TI. fato que essa era a ideia desde a verso 2, mas esse objetivo foi inteiramente atingido atravs do novo formato da verso 4 de 2005. Talvez por conta disso, essa verso tenha tornado o COBIT mais conhecido em todo o mundo. 2007: Verso 4.1 Em 2007 houve apenas um incremento do COBIT. A maior mudana aconteceu nos objetivos de controle de cada rea de processo, que foram revisados para orientar melhor a empresa com relao eficcia estratgica da TI, ou seja, a criao de processos efetivos que culminem no alcance de metas e objetivos de negcio. Um fato que chamou a ateno foi o de que o COBIT v4.1 continuou tendo 34 reas de processo. Embora os objetivos de controle tenham diminudo um pouco (de 214 na verso 4 para 210 na verso 4.1), a comunidade passou a crer que o COBIT atingiu a sua maturidade. Isso porque o seu contedo, no que diz respeito s macro reas de processo, parece ter se estabilizado.

118 Governana: Gesto, Auditoria e Tecnologia da Informao

desanimador quando um modelo reconhecido mundialmente muda de forma drstica de uma verso para outra (acrescentando ou retirando contedos). Isso costuma acontecer com modelos pouco amadurecidos. Para a nossa felicidade, esse no parece ser mais o caso do COBIT.

Voc sabia que a ISACA foi fundada antes de o homem ir lua? Em 1967 um pequeno grupo de indivduos com profisses e interesses similares que atuavam em auditoria e testes em sistemas computacionais se encontraram para discutir uma forma de criar um conjunto centralizado de diretrizes de auditoria. Na poca esses sistemas j se tornavam cada vez mais crticos e complexos. Em 1969, ano em que o homem pisou na lua principalmente por causa dos avanos nos sistemas embarcados em aeronaves, o grupo foi fundado formalmente. Hoje a ISACA possui mais de 86.000 membros com os perfis diferenciados de vrios setores da economia e em mais de 160 pases. O site oficial da ISACA o http://www.isaca.org. J o ITGI (IT Governance Institute) foi criado somente em 1998 em reconhecimento ao fato de que a TI se tornava cada vez mais importante dentro das empresas e passava a ser vista como uma rea crtica para o sucesso em atingir os objetivos de negcio. O site oficial do ITGI o http://www.itgi.org. Esse site foi acessado em 30 de dezembro de 2009.

Conceitos essenciais Misso e princpios do COBIT

Agora pare e pense: qual seria a misso do COBIT? A sua misso, conforme descrio no documento do COBIT v4.1, pesquisar, desenvolver, publicar e promover um modelo para a Governana em TI confivel, atualizado e internacionalmente aceito que possa ser adotado por empresas e utilizado no dia a dia por gerentes de negcio, profissionais de TI e auditores. Mas afinal, partindo dessa misso, em que o COBIT pode auxiliar voc no seu trabalho dirio? Bem, talvez ele no lhe ajude diretamente, mas com certeza ele poder auxiliar muito a sua empresa a atingir o alinhamento estratgico da TI, seja qual for o setor onde ela atua.

CEC I E R J E X T E N S O E M G O V E R N A N A

119

AULA

nico fator determinante para se chegar a alguma concluso, sempre

Embora uma informao meramente quantitativa no seja o

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

COSO (C o m mittee of

O contedo da ltima verso do COBIT v4.1 foi escrito para que a sua misso fosse cumprida atravs das seguintes metas: Fornecer uma forma concreta de a empresa implementar o alinhamento entre os objetivos de negcio e os objetivos da TI. Ajudar a alcanar a conformidade regulatria sendo compatvel com os padres de controle e auditoria mais comuns (como o COSO , por exemplo) utilizados por rgos reguladores ou por auditores externos. Ser compatvel com as boas prticas, normas e padres de TI mais reconhecidos e utilizados no mundo. Ser independente de quaisquer tecnologias. Ser um modelo orientado a processos com uma estrutura que permita fcil navegao e pesquisa pelo seu contedo. Fornecer uma linguagem comum que utilize termos e definies que sero entendidos tanto pelos profissionais do provedor de TI na empresa quanto pelos gestores do negcio.

S p o n so r i n g O r g a n i z at i o n s of the Tread w ay C o m m i s sion)

um comit criado em 1985 nos EUA para prevenir fraudes em demonstraes contbeis. Trata-se de uma organizao sem fins lucrativos formada por representantes das principais associaes de classes ligadas rea financeira. Dedica-se melhoria nos relatrios financeiros, sobretudo pelo cumprimento de controles internos e pela aplicao da tica profissional. Atualmente as recomendaes do COSO so amplamente praticadas em todo o mundo, inclusive no Brasil. Voc pode obter mais informaes sobre o COSO no site http://www. coso.org/. Acesso em 01 de novembro de 2009.

que responde a

Requisitos do negcio

direciona os investimentos em

Informao empresarial

COBIT

Recursos de TI

que so usados para

Processos de TI

para entregar

Figura 8.2: Ciclo bsico do COBIT.

120 Governana: Gesto, Auditoria e Tecnologia da Informao

Por ser mais focado em objetivos de negcio, o contedo do COBIT muito abrangente, mas pouco detalhado no que diz respeito a como os processos devem ser implementados. Perceba que vale aqui a seguinte ideia: O COBIT contm muito sobre o que deve ser feito e para que deve ser feito e, por outro lado, contm pouco sobre o como deve ser feito.

Dessa forma a utilizao do COBIT auxiliar a empresa a ligar os objetivos do negcio aos objetivos da TI. Ele cumprir o papel de servir de elo entre o planejamento estratgico da empresa e o plano diretor de TI. Ele ir ajudar a alinhar os objetivos e metas de negcio aos objetivos dos processos operacionais da TI. Como? Vejamos um exemplo. Imagine que uma empresa possua em seu plano estratgico um objetivo do tipo: melhorar o alinhamento estratgico da TI com o negcio. Voc acha isso abstrato? Pois bem, assim so os objetivos estratgicos! Genricos o suficiente para darem uma direo, mas pouco detalhados o suficiente para no limitarem as opes de quem precisa concretiz-los. Por outro lado, eles devem estar relacionados misso da empresa e de acordo com os seus valores e princpios. Um objetivo como esse pode ser desdobrado em vrias metas para a rea de TI. Uma delas, por exemplo, seria garantir que a aquisio e manuteno de software acontecessem de forma alinhada com os requisitos do negcio e que isso fosse feito em tempo hbil e a um custo razovel para a empresa. Como isso se tornaria real? Ora, atravs de um processo de desenvolvimento eficiente e eficaz. E qual o caminho para criar processos de desenvolvimento eficientes e eficazes? Ora, por exemplo, traduzindo os requisitos de negcio para as especificaes de software; aderindo a padres de desenvolvimento para que haja um controle integrado de mudanas; priorizando requisitos de software com base na relevncia para o negcio; e separando as atividades de desenvolvimento, testes e operao. E como a empresa saberia que esse objetivo est sendo atingido? Ora, por exemplo, atravs do nmero de

CEC I E R J E X T E N S O E M G O V E R N A N A

121

AULA

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

problemas operacionais causados por aplicaes que geraram paralisao nos servios; ou atravs do percentual de usurios satisfeitos com as funcionalidades que foram entregues. Voc pode se perguntar: Como afinal o COBIT ajudaria? Em absolutamente tudo. Todas as respostas (e at mesmo as perguntas) no exemplo acima foram extradas do texto do COBIT. O mapeamento com o COBIT imediato bastando para isso analisar a meta estratgica e determinar qual preocupao com relao TI ela expressa. Normalmente as metas estratgicas estaro relacionadas a uma das reas foco da Governana (ou a mais de uma). As reas foco da Governana, segundo o COBIT, so: alinhamento estratgico da TI; entrega de valor pela TI; gerenciamento do risco da TI; gerenciamento dos recursos de TI; e anlise de desempenho da TI. Estudaremos essas reas em nossa prxima aula. Nesse exemplo, para facilitar, a meta j mencionava o alinhamento estratgico da TI. Porm, em qualquer outro caso, traduzir as aspiraes do plano estratgico para as reas foco da Governana no ser difcil. Bem, essa uma forma simples de se pensar em como o COBIT poderia ajudar na prtica. Durante essa aula ainda iremos analisar outros exemplos.

Foco no negcio
De acordo com sua misso, voc sabe qual o principal objetivo do COBIT? Seu principal objetivo ser orientado ao negcio! Mas o que seria um modelo orientado ao negcio afinal? Um modelo orientado ao negcio um modelo construdo no s para os profissionais responsveis pelo provimento dos servios de TI, mas principalmente para os executivos responsveis pelo negcio. O COBIT oferece diretrizes claras para que estes executivos possam tomar decises sobre a TI. O ciclo bsico do COBIT exemplificado na Figura 8.2. Nela os requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam dados que devem atender aos critrios de informao. A informao utilizada para gerar requisitos de negcio. Nesse contexto, informaes teis podem ser previses sobre aspectos econmicos que afetaro o mercado onde a empresa atua; desejo ou necessidade de clientes e usurios por acompanhar inova-

122 Governana: Gesto, Auditoria e Tecnologia da Informao

pelo usurio e o nvel de servio entregue; previses de demandas futuras pelos servios e sobre a capacidade atual da empresa; informaes sobre ameaas e vulnerabilidades que afetam a empresa e sobre os processos de gerenciamento do risco; necessidade de atendimento a normas, leis e regulamentos; ou simplesmente desejo de aumentar o retorno sobre o investimento realizado. Note que somente um conjunto de processos bem-estruturados de TI fornecer servios que garantiro empresa a gerao das informaes vitais tomada de deciso e definio dos requisitos de negcio. Voc j percebe que a informao representa um papel fundamental no COBIT? Gerenciar bem a informao o corao do sistema de Governana em TI e vital para atingir o objetivo de alinhar os processos de TI estratgia da empresa. O COBIT fornece matrizes com metas genricas de negcio e metas genricas de TI e mostra como elas podem ser mapeadas segundo os critrios de informao. Estes exemplos, que so genricos, podem ser usados para guiar a empresa na determinao de suas metas especficas. Alm disso, o COBIT fornece mtricas que permitem mensurar resultados obtidos pelos processos de TI e compar-los com as metas e objetivos que deveriam ser atingidos. Em outras palavras, a empresa pode responder, com relao a cada processo, questo: fazendo isso que conseguiremos chegar aonde queremos chegar? Alm disso, o COBIT herdou os princpios da Governana sobre os quais o COSO foi construdo, a saber: responsabilidade (responsibility), prestao de contas (accountability) e transparncia (transparency).

CEC I E R J E X T E N S O E M G O V E R N A N A

123

AULA

mo mercado; discrepncias existentes entre o nvel de servio desejado

es tecnolgicas; entrada de novos concorrentes disputando o mes-

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Mas voc reconheceria uma meta se a visse? O que so metas de TI e metas do negcio afinal? Vamos tratar melhor desse assunto nas prximas aulas sobre o COBIT. Por hora, tenha em mente que hoje toda empresa usa a TI, de uma forma ou de outra, para operacionalizar iniciativas de negcio. A maneira com que a TI usada pela empresa deve ser representada na forma de metas de TI. Definir o trabalho na forma de metas permite um controle maior sobre o que feito pela TI. Para que as metas de TI sejam adequadas, deve haver direcionamento estratgico expresso na forma de requisitos de negcio (papel desempenhado pelo cliente e pelo usurio) e um entendimento claro sobre o que precisa ser entregue (papel desempenhado pelo provedor de TI). nesse ponto que acontece o alinhamento estratgico. Uma vez que as metas foram definidas, elas precisam ser monitoradas atravs de mtricas a fim de assegurar que as expectativas esto sendo atendidas. Para que o cliente entenda as metas da TI, os objetivos e suas mtricas devem ser expressos em termos de negcio que possam ser facilmente compreendidos. O COBIT possui algumas matrizes que fornecem uma viso sobre como metas genricas de negcio se relacionam com metas especficas de processos da TI e com os critrios de informao.

Atividade prtica 1
Complete as lacunas:
1

1. Os princpios bsicos da Governana so a ____________________, a ____________________ e a ____________________. 2. O COBIT contm muito sobre ____________________ deve ser feito e ____________________ deve ser feito e, por outro lado, contm pouco sobre ____________________ deve ser feito. 3. ____________________ direcionam os investimentos em ____________________ que so usados por ____________________ para entregar ____________________ que respondem aos ____________________.

Respostas
1. Os princpios bsicos da Governana so a responsabilidade, a prestao de contas e a transparncia. 2. O COBIT contm muito sobre o que deve ser e para que deve ser feito e, por outro lado, contm pouco sobre como deve ser feito.

124 Governana: Gesto, Auditoria e Tecnologia da Informao

so usados por processos de TI para entregar informaes empresariais que respondem aos requisitos de negcio.

Os recursos de TI
A empresa precisar implementar um conjunto de processos para atingir as metas de TI. Esses processos consumiro recursos humanos e infraestrutura tecnolgica. Esses recursos constituem a arquitetura de TI da empresa. Para atingir as metas a empresa precisar investir a fim de que os recursos (pessoas e tecnologias) tenham as capacidades adequadas para acompanhar as capacidades do negcio, o que dever resultar nas sadas esperadas. Por exemplo, se uma empresa deseja acelerar o fluxo dos processos de toda sua cadeia produtiva, a fim de entregar mais produtos em menos tempo, ela poder precisar adquirir ferramentas de automatizao e integrao de sistemas (aquisio de um ERP , por exemplo) e treinar seus funcionrios sobre as funcionalidades dessa ferramenta.

prise

ERP (E n t e r R e so u r c e Planning)

Figura 8.3: Recursos humanos da TI.

uma sigla que representa, em portugus, sistemas integrados de gesto empresarial. Esses sistemas se popularizaram na dcada de 1980 e tinham como bandeira a integrao de todos os sistemas de informao da organizao em um s. Normalmente esses sistemas possuem vrios mdulos (financeiro, contbil, de recursos humanos, de fbrica, de vendas, de compras, de marketing, de relacionamento com o cliente, etc). Alguns exemplos de ERP muito usados pelas empresas brasileiras so o SAP, o Microsiga, o Datasul. Na dcada de 1990, algumas grandes empresas tambm optaram por entrar nesse segmento e hoje tambm possuem sistemas ERP consolidados no mercado, tais como a Oracle e a Microsoft. Hoje existem solues de ERP no mercado para praticamente todos os tipos e tamanhos de empresa. Alm disso, em raras excees, algumas empresas optam por desenvolver em casa o seu prprio ERP.

CEC I E R J E X T E N S O E M G O V E R N A N A

125

AULA

3. Requisitos de negcio direcionam os investimentos em recursos de TI que

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

No COBIT os recursos de TI so descritos como aplicaes, como informao, como infraestrutura tecnolgica ou como pessoas. Entende-se por aplicaes sistemas automatizados que processam a informao. Informao o resultado dos dados nas mais variadas formas aps serem processados. A infraestrutura tecnolgica toda forma de hardware, software, sistema operacional, sistemas de gerenciamento de banco de dados, equipamentos de redes e mdias alm do prprio ambiente que suporta a infraestrutura. esta
Figura 8.4: Informao globalizada.

infraestrutura tecnolgica que permite o processamento pelas aplicaes. As pessoas so necessrias para planejar, organi-

zar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar as aplicaes e a tecnologia utilizadas para oferecer os servios. Os recursos humanos podem ser internos, terceirizados ou contratados sob demanda. Assim, repetindo, os recursos da TI segundo o COBIT so: Aplicaes. Informao. Infraestrutura. Pessoas.

Critrios de informao
Uma das caractersticas mais curiosas do COBIT sua abordagem baseada na informao e nos chamados critrios de informao. Voc deve estar se perguntando o que seriam (ou quais seriam) esses critrios. Bem, para satisfazer os objetivos de negcio, a informao precisa ser adequada a certos critrios de controle, aos quais o COBIT se refere como requisitos de negcio para a informao. Com base em filosofias e em reas distintas como a qualidade, a segurana da informao e a rea financeira, foram definidos sete critrios. So eles:

126 Governana: Gesto, Auditoria e Tecnologia da Informao

ou seja, garante que a informao processada de fato aquela que precisa ser processada para manter o negcio. Eficincia A eficincia diz respeito otimizao na utilizao de recursos para processar a informao, ou seja, garante que a informao seja processada em menos tempo, com menos pessoas etc. Confidencialidade Garantia de que a informao sensvel ser protegida contra acessos no autorizados. Integridade Garantia de que a informao fornecida ser exata e completa. Disponibilidade Garantia de que a informao necessria estar disponvel no momento em que ela for necessria. Conformidade Garante que a informao atenda aos objetivos da legislao pertinente e aos arranjos contratuais. A conformidade trata de fatores externos, tais como normas, regulamentos e leis do setor, externos e internos, tais como contratos e outros arranjos estabelecidos com clientes, fornecedores e parceiros. Confiabilidade Garante que a informao necessria ser gerada de maneira apropriada para que os responsveis pelo negcio possam desempenhar o seu papel e cumprir as suas responsabilidades.

CEC I E R J E X T E N S O E M G O V E R N A N A

127

AULA

A eficcia lida com a relevncia e a pertinncia da informao,

Eficcia

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Atividade prtica 2
1. Qual dos itens abaixo no um tipo de recurso de TI segundo o COBIT? a. ( ) Aplicaes. b. ( ) Informao. c. ( ) Relatrios. d. ( ) Pessoas. 2. So critrios de informao no COBIT? a. ( ) Eficincia e autorizao. b. ( ) Continuidade e disponibilidade. c. ( ) Integridade e quantidade. d. ( ) Disponibilidade e confiabilidade. 3. Complete as lacunas: O atendimento conformidade regulatria pode ser uma exigncia externa, tal como uma ____________________ ou um ____________________ do setor ou uma exigncia interna, tal como um ____________________ estabelecido com um ____________________, ____________________ ou ____________________.
1

Respostas
1. Letra c. Os tipos de informao so as aplicaes, a informao, a infra-estrutura tecnologia e as pessoas. 2. Letra d. So sete os critrios: eficincia e a eficcia; confidencialidade, integridade e disponibilidade; confiabilidade e conformidade regulatria. 3. O atendimento conformidade regulatria pode ser uma exigncia externa, tal como uma lei ou um regulamento do setor ou uma exigncia interna, tal como um contrato estabelecido com um terceiro, parceiro ou cliente.

reas de processos e indicadores

Uma dvida que voc pode estar guardando at agora : O que vem a ser exatamente uma rea de processo? fato que a estrutura do COBIT toda orientada a processos. Tudo nele foi escrito com base nos processos, assim como definimos nas primeiras aulas. Chamamos de reas de processo e no processos simplesmente, porque o COBIT no contm a descrio de nenhum processo a exemplo do que acontece na ITIL. Em cada rea so descritas informaes diversas, tais como a sua relevncia segundo as reas foco da Governana em TI (que sero estudadas ainda nesta aula), um resumo das metas de TI, das metas de processo e
Figura 8. 5: Indicadores de desempenho. 128 Governana: Gesto, Auditoria e Tecnologia da Informao

Note que as reas de processo possuem objetivos de controle bem definidos no COBIT. So um total de 34 reas de processo e 210 objetivos de controle divididos entre essas reas. Cada um desses objetivos de controle identificado por duas letras que se referem ao domnio (PO, AI, DS e ME) e dois nmeros separados por um ponto. Por exemplo, o objetivo de controle PO1.2 o objetivo nmero dois da rea nmero um do domnio de planejamento e organizao. A propsito, trata-se do objetivo gerenciamento de valor da TI (IT value management) da rea definir um plano estratgico da TI (Define a strategic IT plan) do domnio PO (Plan and organise). Assim como o PO1.2, existem no COBIT outros 210 objetivos de controle. Voc acha que muita informao? De fato talvez seja, mas como ele foi construdo para servir de material de consulta no dia a dia e tambm para ser amigvel, o COBIT cumpre um papel importantssimo na Governana. Falaremos mais sobre cada uma das reas de processo nas prximas aulas. Por hora, precisamos ressaltar que, alm dos objetivos de controle considerados especficos, o COBIT' tambm possui objetivos genricos, ou seja, aqueles objetivos que devem ser atendidos por todos os 210 processos de todas as 34 reas de todos os quatro domnios (fique tranquilo, pois ainda iremos estud-los nessa aula). Os objetivos de controle genricos so identificados por PCn (Process Control number). So seis os objetivos de controle genricos de todos os processos, a saber: PC1 Objetivos e metas de processo. PC2 Propriedade do processo. PC3 Repetitividade do processo. PC4 Papis e responsabilidades. PC5 Poltica, planos e procedimentos. PC6 Melhoria de desempenho do processo.

CEC I E R J E X T E N S O E M G O V E R N A N A

129

AULA

daremos em detalhes cada um destes itens em nossa prxima aula.

das atividades mais importantes, alm de um resumo das mtricas. Estu-

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Perceba que isso algo muito parecido com o que j havamos visto no caso da ITIL. Ora, parecido justamente porque esses modelos de boas prticas, controles, normas etc. so sempre revisados para serem, at certo ponto, compatveis uns com os outros. Ento, o que os objetivos de controle genrico esto querendo dizer que todo processo precisa ter metas e objetivos; precisa ter um responsvel por ele; precisa ter bem definidos os seus papis e as suas responsabilidades; precisa ser adequadamente documentado e detalhado na forma de polticas, planos e procedimentos; precisa possuir mtricas para que tenha seu desempenho medido e para que possa melhorar continuamente; e precisa ser repetitvel. Opa! O que significa repetitvel? Esse realmente um termo novo no contexto das nossas aulas (mas no nem um pouco novo no contexto de boas prticas). Essa terminologia j vem sendo adotada principalmente na rea da qualidade. Um processo repetitvel quando ele pode ser repetido (bvio) para produzir os mesmos resultados, ou seja, quando um processo pode ser repetido 1.000 vezes e, sob as mesmas condies, produz o mesmo resultado 1.000 vezes. Outro termo s vezes mencionado a reprodutividade. Diz respeito ao fato de que o processo pode ser repetido por 1.000 pessoas diferentes e produzir o mesmo resultado sempre. O COBIT utiliza o termo repetitividade para ambos os casos. O.K. E quanto melhoria contnua? Ora, j sabemos a essa altura que o processo precisa ser medido e j vimos que as medies acontecem de acordo com os indicadores de desempenho. O COBIT traz um novo tipo de indicador, que o indicador de meta COBIT. Alm disso, ele tambm descreve os fatores crticos de sucesso. Os principais indicadores do COBIT so: Indicadores-chave de meta Os indicadores de meta medem o nvel de desempenho do processo no que diz respeito ao alcance de uma meta de mais alto nvel (metas de negcio referentes estratgia). Em ingls os indicadores de meta so conhecidos como KGIs (Key Goal Indicators). Indicadores-chave de desempenho Os indicadores de desempenho possuem o mesmo significado que possuam na ITIL. Eles determinam mtricas para mensurar

130 Governana: Gesto, Auditoria e Tecnologia da Informao

tes operao). Em ingls, voc deve lembrar, os indicadores de desempenho so conhecidos com KPIs (Key Performance Indicators).

Fatores crticos de sucesso

Os fatores crticos de sucesso (Critical Success Factors) dizem respeito a algo sem o qual os processos no podero ser nem eficientes nem eficazes. Como a prpria expresso indica, so fatores crticos e, para eles, no existe meio termo. Ou so cumpridos ou o fracasso ser rpido e certo! importante que voc entenda a diferena entre os indicadores de meta e os indicadores de desempenho. Lembra-se da ideia de que um processo pode ser muito eficiente sem ser eficaz e vice-versa? mais ou menos por a... Vamos analisar um exemplo concreto. Imagine um processo que tenha como meta (de processo) a deteco, anlise e gerenciamento dos acessos aos sistemas de TI. Por trs dessa meta podem existir metas de alto nvel bem claras, como evitar ataques de hackers (meta de TI) e manter a reputao da empresa perante aos seus clientes (meta de negcio). Pois bem, imagine ainda que esse processo est indo muito bem no que diz respeito deteco, anlise e gerenciamento dos acessos. Nesse caso, podemos dizer que o processo est atingindo os seus objetivos? A resposta : depende... E esse o ponto! A empresa pode no estar gozando de uma boa reputao perante os clientes por conta de produtos de m qualidade que foram vendidos ou os hackers em questo podem estar invadindo a empresa usando tcnicas de engenharia social, por exemplo. Tudo isso a despeito do fato de que os acessos esto todos sendo monitorados perfeitamente. Entendeu agora porque os processos precisam de dois tipos de indicadores? Os indicadores de desempenho esto ligados aos objetivos operacionais que o processo visa a atingir (no caso acima, monitorar todos os acessos). J os indicadores de meta esto ligados aos objetivos estratgicos que, atravs do processo, a empresa visa a atingir (no caso acima, preservar a imagem e impedir ataques de hackers). Os indicadores ajudaro a empresa a se manter sempre na direo correta.

CEC I E R J E X T E N S O E M G O V E R N A N A

131

AULA

operacionais inicialmente definidos (metas de processo referen-

at que ponto o processo est atingindo os objetivos ttico-

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Com relao aos fatores crticos, devemos ressaltar que eles so definidos atravs do estudo dos objetivos da organizao e deles so derivados. Quando bem definidos, eles se tornam um ponto de referncia para tudo o que h na organizao. Ou seja, qualquer coisa pode acontecer, menos deixar de cumprir aquilo que um fator crtico de sucesso. Algumas empresas definem seus fatores crticos com base na sua misso, viso e valores.

Atividade prtica 3
1. O que mede o indicador-chave de meta? a. ( b. ( c. ( d. ( ) Nveis de maturidade. ) Desempenho dos processos. ) Grau de controle. ) Alcance de objetivos.
1

2. O que mede o indicador-chave de desempenho? a. ( b. ( c. ( d. ( ) Nveis de maturidade. ) Desempenho dos processos. ) Grau de controle. ) Alcance de objetivos.

Respostas
1. Letra d. O indicador de meta est relacionado eficcia do processo, ou seja, aos objetivos finais que precisam ser alcanados atravs do processo. 2. Letra b. O indicador de desempenho est relacionado eficincia do processo, ou seja, ao desempenho obtido ao executar suas atividades.

Domnios do COBIT
A maior parte do contedo do COBIT v4.1 composta pela descrio de 210 objetivos de controle divididos em 34 reas de processo. Essas 34 reas so, por sua vez, divididas em domnios que, de certa forma, tambm obedecem mesma filosofia da melhoria contnua. Note que a TI dever perseguir a melhoria contnua de cada um dos 210 processos. Por outro lado, a melhoria de todos os processos dentro de um domnio (PO, AI, DS ou ME), tambm significar um esforo

132 Governana: Gesto, Auditoria e Tecnologia da Informao

temos mais uma vez presente a filosofia do famoso ciclo PDCA.

METAS E OBJETIVOS DE NEGCIO

INFORMAO
Eficincia, Efetividade, Conformidade regulatria e Confiabilidade Integridade, Disponibilidade e Confidencialidade

ME Monitorar e avaliar

PO Planejar e organizar

DS Entregar e dar suporte

AI Adquirir e implementar

Figura 8.6: Ciclo de processos segundo os domnios do COBIT.

Planejar e organizar (PO)

O domnio de planejamento e organizao (PO Plan and organise) cobre as estratgias e tticas da empresa e lida com questes sobre como a TI pode contribuir melhor para atingir as metas de negcio. A realizao da viso estratgica precisa ser planejada, comunicada e gerenciada sob diferentes perspectivas. Segundo o COBIT, os processos do domnio PO lidam diretamente com questes como: A TI e a estratgia do negcio esto alinhadas? A empresa est atingindo um timo uso de seus recursos? Todos na empresa entendem as metas e objetivos da TI? Os riscos para a TI so entendidos e gerenciados? A qualidade dos sistemas de TI adequada s necessidades de negcio?

CEC I E R J E X T E N S O E M G O V E R N A N A

133

AULA

contnua est presente de maneira recursiva e sistmica e que, no fundo,

maior de melhoria contnua. Observe que, nesse caso, a ideia da melhoria

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Adquirir e implementar (AI)

Para realizar as estratgias de TI, as solues de TI precisam ser identificadas, desenvolvidas (ou adquiridas) e colocadas em produo. Alm disso, para atingir o mesmo objetivo, mudanas e manutenes precisam ser realizadas de forma planejada. Segundo o COBIT, so os processos do domnio de aquisio e implementao (AI Acquire and implement), que lidam com estes itens. Estes processos respondem a questes como: Os novos projetos so selecionados de forma a entregar produtos e servios que satisfaam s metas de negcio? Os novos projetos so selecionados de forma a entregar produtos e servios no tempo acordado e dentro do oramento? Os novos produtos e servios, quando em produo, atendero s funcionalidades inicialmente previstas pelo usurio? As mudanas no ambiente produo sero feitas sem impactos nos negcios em andamento?

Entregar e dar suporte (DS)

O domnio de entregar e dar suporte (DS Deliver and support) lida com a real efetivao dos servios. Isso inclui a entrega, o gerenciamento da segurana e da continuidade, o suporte ao usurio, o gerenciamento de dados e outras facilidades operacionais. Segundo o COBIT, os processos do domnio DS lidam diretamente com questes como: Os servios de TI esto sendo entregues de acordo com as prioridades do negcio? Os custos da TI esto sendo otimizados? A fora de trabalho capaz de usar os sistemas de TI de forma segura e produtiva? So garantidos os princpios de segurana da informao, tais como a confidencialidade, a integridade e a disponibilidade?

134 Governana: Gesto, Auditoria e Tecnologia da Informao

Todos os processos de TI precisam ser avaliados regularmente segundo critrios de qualidade e conformidade regulatria. Os processos do domnio de monitoramente e avaliao (ME Monitor and evaluate) possuem atividades de gerenciamento do desempenho, monitoramento do controle interno, conformidade regulatria e Governana em TI. Segundo o COBIT, os processos desse domnio lidam diretamente com questes como: O desempenho da TI medido para detector problemas antes que seja tarde demais? O gerenciamento assegura que os controles internos so eficientes e eficazes? Os resultados da TI podem ser mapeados em metas de negcio? Existem controles adequados segurana da informao com relao a confidencialidade, integridade e disponibilidade?

Atividade prtica 4
Os domnios do COBIT so apresentados na forma de um ciclo que se assemelha ao ciclo PDCA. Que paralelo pode ser feito entre os quatro domnios e o ciclo?
2

Resposta
Embora parea muito bvio, deve-se atentar para o fato de que relacionamento no do tipo um-para-um simplesmente. O domnio PO possui processos cujas atividades tm mais a ver com o P (Plan) do PDCA. J os domnios AI e DS esto mais relacionados ao D (Do) do ciclo PDCA. O ME tem a ver tanto com o C (Check),

CEC I E R J E X T E N S O E M G O V E R N A N A

135

AULA

Monitorar e avaliar (ME)

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

quanto com o A (Act). Vale ressaltar que o A (Act) acontece propriamente no momento em que as informaes de negcio orientam a empresa a tomar decises sobre quais metas de negcio so as mais adequadas. Ou seja, no momento em que a informao orientar os requisitos de negcio que, por sua vez, direcionaro investimentos em recursos de TI, que sero utilizados pelos processos de TI. E o ciclo recomea.

Concluso
No incio dessa aula dissemos que a evoluo do COBIT aconteceu ao longo dos anos de modo a deixar para trs o modelo baseado no controle e auditoria para passar a ser um modelo baseado em Governana. Mas o controle no necessrio? Claro que . No s necessrio como o COBIT estudado como um conjunto de controles para a rea de TI. Mas qual o mistrio afinal? O COBIT ou no um conjunto de controles? A diferena sutil mais uma vez. Sutil, porm extremamente importante. O fato que o COBIT, principalmente da verso 4 em diante, passou a ter controles definidos e orientados pelas metas e objetivos de negcio. Percebeu agora a diferena? A TI continua sendo controlada e auditada, porm, o controle parte de objetivos diretamente ligados s metas da organizao. Essa a chave do alinhamento estratgico e a principal ideia dessa aula. Esperamos que voc tenha entendido que o COBIT um documento mais voltado para o negcio cujo contedo foi escrito para ser interpretado por pessoas com perfis diferenciados, principalmente da rea executiva, que tm como misso garantir o alinhamento das metas da TI com as metas de negcio.

136 Governana: Gesto, Auditoria e Tecnologia da Informao

Ttulo: COBIT versus Governana em TI: Quanto ele importante? Objetivo: Se voc ainda tem dvidas sobre como concretizar a Governana de TI na sua empresa, saiba que voc no deve estar sozinho. Esse tipo de sentimento muito comum e praticamente todas as organizaes encontram dificuldades na hora de colocar em prtica a teoria apresentada no COBIT. Os comentrios so sempre parecidos: A teoria relativamente simples, mas a prtica nem tanto. Pois bem, nesse frum vamos trocar ideias e discutir a prtica da Governana nas empresas!

Atividade online
2 Como as empresas tm implementado a Governana em TI? V sala de aula vir- 1 tual e resolva a atividade proposta pelo tutor. O objetivo da atividade , atravs de pesquisa e consulta bibliografia, estudar alguns casos reais de projetos de Governana.

resumo
O COBIT pode ser visto como um modelo com objetivos de controle para a TI voltados para o alinhamento estratgico e Governana. Os princpios da Governana herdados do COSO pelo COBIT so a responsabilidade, a prestao de contas e a transparncia. Os recursos da TI so classificados no COBIT como aplicaes, informao, infraestrutura tecnolgica e pessoas. Os critrios de informao so a eficincia, a eficcia, a confidencialidade, a integridade, a disponibilidade, a confiabilidade e a conformidade regulatria. O COBIT possui um conjunto de 210 objetivos de controle divididos em 34 reas de processo. As 34 reas de processo do COBIT so agrupadas em quatro domnios que representam um ciclo semelhante ao ciclo PDCA.

CEC I E R J E X T E N S O E M G O V E R N A N A

137

AULA

Vamos discutir os assuntos desta aula no frum desta semana?

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

Requisitos de negcio direcionam investimento em recursos de TI. Recursos de TI so utilizados por processo de TI. Processos de TI entregam informao que atendem aos critrios de informao. A informao utilizada para gerar requisitos de negcio.

Informaes sobre a prxima aula

Na prxima aula vamos nos aprofundar ainda mais nos estudos do COBIT. Nesta aula vamos explicar o conceito de maturidade em reas de processo, falar das reas foco da Governana em TI segundo o COBIT e discutir a sua viso integrada, ou seja, como todos os conceitos que acabamos de estudar aqui, e outros que estudaremos, se integram na prtica. Tambm falaremos a respeito de outras publicaes complementares ao COBIT v4.1. Ns nos veremos na prxima aula! At breve.

Atividades Finais
1. A melhor definio para o COBIT seria: a. um conjunto de boas prticas para a TI que contm 34 objetivos de controle divididos em 04 domnios. b. um conjunto de controles para a TI que contm 210 objetivos de controle divididos em 34 domnios. c. um conjunto de boas prticas para a TI que contm 34 objetivos de controle divididos em 04 reas de processo. d. um conjunto de controles para a TI que contm 210 objetivos de controle divididos em 34 reas de processo.

138 Governana: Gesto, Auditoria e Tecnologia da Informao

a. Para melhorar o entendimento desses padres. b. Como um guia para a escolha ou no destes modelos. c. Para validar a correo de cada modelo. d.. Como uma segunda viso sobre os mesmos assuntos. 3. O COBIT v.4.1 promove um elo entre: a. Expectativas dos gestores e responsabilidades da TI. b. Expectativas de auditores e responsabilidade dos gestores. c.. Expectativas do pessoal de TI e responsabilidades dos auditores. d. Expectativas do pessoal de TI e responsabilidade dos gestores. 4. (Analista do MPE-SE FCC/2009) A correta correspondncia entre uma dimenso do modelo COBIT (cubo) e um de seus elementos dimensionais, respectivamente, a. Information Criteria e Fiduciary. b. IT Process e Quality. c. IT Process e People. d. IT Resources e Fiduciary. e. Information Criteria e Process. 5. Explique o que so os domnios, os objetivos de controle e as reas de processo do COBIT v.4.1.

6. Analise a afirmao: Fatores crticos de sucesso so mais adequados para auxiliar na implantao de controles gerenciais da TI durante mudanas organizacionais do que os indicadores de meta.

CEC I E R J E X T E N S O E M G O V E R N A N A

139

AULA

2. Como o COBIT pode ser usado em uma empresa em conjunto com outros padres e boas prticas tais como a ITIL v.3 e a ISO 27000?

Governana em Tecnologia da Informao

| Introduo ao COBIT v4.1 Parte 1

7. (Analista Judicirio do TRT-15 FCC/2009) NO um domnio de governana no framework do COBIT: a. monitorao. b. requisitos e processos. c. aquisio e implementao. d. planejamento e organizao. e. entrega e suporte. 8. (Analista rea 2 BACEN FCC/2006) Com relao ao framework de auditoria de tecnologia da informao COBIT, a definio correta dos Key Performance Indicators : a. So aqueles que definem as medies que dizem gerncia se atingiram ou no seu objetivo final acordado com as reas de negcio. b. So aqueles que definem as questes ou aes mais importantes que a gerncia deve controlar sob os pontos de vista estratgico, tcnico, organizacional ou procedural. c. So aqueles que consistem no desenvolvimento de um mtodo de pontuao em que a organizao pode proceder auto-avaliao. d. So aqueles que definem medies que determinam quo bem os processos de tecnologia da informao esto desempenhando seu papel em alcanar os objetivos propostos. e. So aqueles que definem as mudanas necessrias ao desempenho dos processos de negcio, aps serem constatadas falhas que levaram a problemas nestes processos. 9. (Unio ESAF/2008) Com relao padronizao, medio e controle de processos, correto afirmar que uma organizao deve a. medir o conjunto de prticas, procedimentos e polticas organizacionais, garantindo que os objetivos do negcio sejam atingidos. b. medir os processos com nvel de maturidade mais baixos para definir a estratgia da organizao. c. implementar indicadores de desempenho visando medies que informam alta administrao o quanto os processos esto sendo bem executados, no sentido de viabilizar o atendimento dos objetivos de negcios. d. medir a diagonal principal da matriz de responsabilidades, com o objetivo de associar os papis s suas responsabilidades. e. ignorar sua situao atual e identificar pontos onde possvel a implantao de uma melhoria.

140 Governana: Gesto, Auditoria e Tecnologia da Informao

1. Alternativa d. O COBIT contm 210 objetivos de controle divididos em 34 reas de processo. As 34 reas de processo so divididas em 04 domnios. 2. Alternativa b. O COBIT abrange todas as reas que os outros modelos abordam. Ele servir como um guia mais estratgico a ser utilizado pelos gestores do negcio a fim de definir onde e por que a TI deve melhorar. Uma vez que essa deciso tenha sido tomada, podero entrar em cena (ou no) outros padres, normas e boas prticas. 3. Alternativa a. As expectativas dos gestores da empresa so o reflexo dos requisitos de negcio. O gerenciamento dos processos de TI responsabilidade da TI que deve ser cumprida para que as expectativas da alta direo sejam atendidas. 4. Alternativa a. Examinar o cubo do COBIT e lembrar que os critrios de informao foram baseados em trs reas: qualidade (quality), financeira (fiduciary) e segurana (security). 5. Os domnios so agrupamentos das reas de processo de acordo com as similaridades de seus objetivos. Na verso 4.1 do COBIT, eles so quatro (PO, AI, DS e ME) e normalmente so representados segundo um ciclo que se assemelha muito ao ciclo PDCA. As reas de processo da TI so reas para as quais devem existir processos bem definidos. So 34 reas divididas nos quatro domnios que abordam (ou pretendem abordar) todos os aspectos da TI. Os objetivos de controle representam as metas a serem alcanadas pelos processos de cada rea. Na verso 4.1 h 210 objetivos de controle divididos nas 34 reas de processo. 6. Afirmao falsa. Fatores crticos de sucesso so itens que devem ser atendidos para que as mudanas citadas possam ocorrer (condio sine qua non). Os indicadores de meta so mais adequados quando se quer mensurar resultados da execuo de processo. E o que se quer no proposto (implantao de controles gerenciais). 7. Alternativa b. So 04 domnios do COBIT e requisitos e processos no um deles. 8. Alternativa d. Decorre diretamente da definio de indicador-chave de desempenho. 9. Alternativa c. So os indicadores-chave os responsveis por tornar efetiva a padronizao, medio e controle de processos.

CEC I E R J E X T E N S O E M G O V E R N A N A

141

AULA

Repostas