Prévia do material em texto
GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO Glauber Rogério Barbieri Gonçalves COBIT – Control Objectives for Information and related Technology Objetivos de aprendizagem Ao final deste texto, você deve apresentar os seguintes aprendizados: � Descrever o framework COBIT. � Reconhecer as principais vantagens do COBIT. � Compreender a relevância do COBIT para a governança em TI nas organizações. Introdução A transparência deixou de ser algo que tangencia as organizações para ser necessária à manutenção da empresa no mercado, O relacionamento da empresa com seus públicos exige cada vez mais atitudes transparentes, e os gestores devem incorporar os conceitos da governança corporativa para mapear suas ações e decisões. O atendimento à governança corporativa garantirá a busca por melhores resultados, o que inclui uma maior valorização da empresa, agregando valor ao produto e à marca. Para que a governança seja alcançada, as empresas também necessitam da governança em TI, visto que a quantidade de informações a serem processadas cresce em progressão geométrica. A TI cada vez mais figura-se como suporte obrigatório para que a organização alcance seus objetivos e metas. Para que a governança em TI seja evidenciada e aplicada, necessita de ferramentas para sustentar a grande carga de trabalho à qual estará submetida. Entre essas ferramen- tas surgem os frameworks (conjunto de regras = etapas padronizadas para a resolução de um ou vários problemas), que vêm para auxiliar as organizações na criação de valor para TI. Neste capítulo, você conhecerá o COBIT, seus princípios, estrutura, implementação e capacidade de processos, aliados à governança em TI. A governança em TI Para introduzir o conceito de framework, cabe ressaltar a importância da governança em TI para as organizações. Não se trata do meio, mas do fim no que tange ao alcance dos objetivos e metas, devido à grande complexidade do processamento de informações e grau de transparência exigido pelo mercado das empresas. Mesmo empresas de pequeno porte, se não estiverem bem estruturadas e planejadas, tendem a não permanecer no mercado. Hoje, a velocidade de adaptação tem que ser muito grande, pois há uma exigência para tal, estamos vivendo a era do nanossegundo. E a governança em TI deve ficar em consonância com a governança corporativa para melhorar as práticas empresariais focadas no melhor relacionamento da empresa com os seus públicos. Se os recursos fossem ilimitados, possivelmente a governança em TI não fosse hoje como conhecemos, mas essa premissa não é verdadeira, os recursos são limitados e devem cumprir com o planejado para serem realmente apro- veitados ao máximo para maximizar os resultados esperados. Nesse contexto, é a governança que dará o suporte necessário à empresa para o cumprimento do planejamento estratégico definido pela alta direção (Figura 1). A norma técnica que estabelece um modelo para a governança corporativa em TI é a norma ISO/IEC 38500 (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION, 2015), disponível em: https://goo.gl/RioYK1 COBIT – Control Objectives for Information and related Technology196 Figura 1. Tarefas organizacionais existentes em governança em TI. Fonte: IT Governance Network (c2008-2018). A norma pede que a governança em TI, na organização, seja composta de três tarefas (INTERNATIONAL ORGANIZATION FOR STANDARDIZA- TION, 2015). A primeira é mensurar o uso atual e futuro dos componentes da TI, a segunda é planejar a implementação de projetos de TI para que contemple os objetivos traçados pela organização, e a terceira é monitorar se esses objetivos e metas estão sendo cumpridos de acordo com o investimento feito na área. Cabe ressaltar, caro leitor, os três itens a serem buscados pelos gestores de TI: � Avaliar: planejar corretamente as necessidades atuais da empresa e também as projeções de crescimento para que os investimentos cum- pram com seu papel, que é a manutenção do nível de serviço desejado pela organização. � Dirigir: após o planejamento, os gestores responsáveis pela preparação e implementação dos planos e políticas devem fazer cumprir o que foi alo- cado de recursos para o correto direcionamento proposto pela alta direção. 197COBIT – Control Objectives for Information and related Technology � Monitorar: devem acompanhar todo o projeto com indicadores de de- sempenho, para, assim, tomar ações de correção ou melhoria para que a TI fique em conformidade com as necessidades da organização. No Brasil, seguem informações sobre o ente máximo das normas técnicas: A ABNT é o Foro Nacional de Normalização por reconhecimento da sociedade brasileira desde a sua fundação, em 28 de setembro de 1940, e confirmado pelo governo federal por meio de diversos instrumentos legais. Entidade privada e sem fins lucrativos, a ABNT é membro fundador da International Organization for Standardization (Organização Internacional de Normalização – ISO), da Comisión Panamericana de Normas Técnicas (Comissão Pan-Americana de Normas Técnicas – Copant) e da Asociación Mercosur de Normalización (Associação Mercosul de Normalização – AMN). Desde a sua fundação, é também membro da International Electrotechnical Commission (Comissão Eletrotécnica Internacional – IEC). A ABNT é responsável pela produção das Normas Brasileiras (ABNT NBR), elaboradas por seus Comitês Brasileiros (ABNT/CB), Organismos de Normalização Setorial (ABNT/ ONS) e Comissões de Estudo Especiais (ABNT/CEE). Fonte: Associação Brasileira de Normas Técnicas (c2014). COBIT 5 O Control Objectives for Information and Related Technology, ou sim- plesmente COBIT, é um framework focado na governança em TI nas or- ganizações. É desenvolvido pela Information Systems Audit and Control Association (ISACA). Acesse o link ou o código QR a seguir para saber mais sobre o COBIT. https://goo.gl/tUKFE8 COBIT – Control Objectives for Information and related Technology198 A ISACA é um organismo de classe mundial composto de várias empresas de TI que efetua certificações de segurança, e auditoria de governança e risco internacionalmente reconhecido. O COBIT realiza a integração de outros frameworks publicados pelo insti- tuto, caracterizando-se por ser um conjunto de boas práticas e recomendações de governança em TI. Hoje em sua quinta versão, conta com uma arquitetura formada por quatro domínios que auxiliam as organizações a criar valor para as soluções de TI, mantendo a obtenção de resultados pelo investimento destinado à TI nas empresas e otimizando a utilização dos recursos e os níveis de governança planejados (Figura 2). Foi concebido conforme as exigências do COSO – Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control – Integrated Framework, padrão de controles internos adotado por organizações de todo o mundo no que tange a gerenciamento e gestão de riscos. Figura 2. COBIT 5 como framework da ISACA. Fonte: Architecture Center (c2018). Tem como objetivos centrais ofertar um framework abrangente para otimizar o valor gerado pela TI nas organizações e permitir o gerenciamento da TI de forma transparente e integrada, criando sinergia entre a TI e os demais departamentos da empresa, focada no alcance das metas propostas pela direção da empresa. A Figura 3 mostra a evolução do framework, desde o começo, quando foi utilizado para auditoria e controles de TI, até o momento atual, em que se alinha a outros padrões de mercado como ITIL (Information Technology Infrastructure Library), ISO, Body Project 199COBIT – Control Objectives for Information and related Technology Management of Knowledge, PRINCE2 e The Open Group Architecture Framework (TOGAF). Figura 3. Gráfico demonstrando a evolução do framework. Fonte: MindMeister (c2018). Sendo assim, promove para as organizações um melhor gerenciamento das informações, mantendo qualidade e segurança necessárias para gerar conhecimento e os riscos sobre controle. Além disso, otimiza os custose deixa a empresa adequada com as leis, regulamentos e acordos nos quais está inserida, atendendo, assim, a todos os stakeholders (partes interessadas) da organização. Princípios do COBIT O COBIT é composto por cinco princípios, sobre os quais faremos uma breve explicação (Figura 4). COBIT – Control Objectives for Information and related Technology200 Figura 4. Princípios que compõem o COBIT 5. Fonte: Bissong (2014). Princípio 1: Atender às necessidades dos stakeholders A empresa existe para criar valor aos públicos a ela relacionados (stakehol- ders), como acionistas, fornecedores, clientes, colaboradores e a socie- dade, entre outros. Criar valor significa obter resultados por intermédio de recursos aplicados aos processos, controlando os riscos e atuando com transparência. Nesse princípio, o COBIT definirá quem receberá os benefícios, quem assumirá os riscos e quais serão os recursos necessários (Figura 5). 201COBIT – Control Objectives for Information and related Technology Figura 5. Necessidades relacionadas ao princípio 1. Fonte: Kolb (2014a). As necessidades viram objetivos e metas da estratégia corporativa, e são bem aderentes ao conceito de alinhamento estratégico de TI e do negócio em si. O COBIT aplica o conceito de cascata, a fim de, assim, colocar os objetivos em ordem lógica para viabilizar seu atingimento. Desse modo, são alcançados os objetivos pela sua definição tangível, pois ela alinha o conhecimento do COBIT com o conhecimento do negócio, permanecendo, então, o objetivo comum entre as áreas (Figura 6). COBIT – Control Objectives for Information and related Technology202 Figura 6. Objetivos de áreas segundo o COBIT. Fonte: Redbelt (2017). Princípio 2: Cobrir a organização de ponta a ponta Este segundo princípio diz respeito a deixar toda a organização amparada pela integração da governança corporativa em TI dentro da governança corpora- tiva. Integrando, nela, todos os processos e funções requeridos, a TI deve ser visualizada como um grande ativo da empresa. O nível gerencial assume o papel de responsável por esse alinhamento (Figura 7). 203COBIT – Control Objectives for Information and related Technology Figura 7. Necessidades relacionadas ao princípio 2. Fonte: Kolb (2014b). O objetivo central é a criação de valor, quando os facilitadores de go- vernança (recursos organizacionais usados na governança, como princí- pios, estruturas, processos e práticas) são correlacionados com o escopo da governança (local de aplicação da governança) e os papéis, as atividades e o relacionamento que são a base (mostra quem, como e o que faz cada participante dentro do escopo). Princípio 3: Aplicar um framework único e integrado Esse é o fundamento da integração, ser uma solução única e globalizada, pois incorpora as demais na busca pela governança transparente em TI, ou seja, o COBIT figura-se como integrador para governança e gestão (Figura 8). COBIT – Control Objectives for Information and related Technology204 Figura 8. Mapeamento do CoBIT® 5. Fonte: Swart (c2018). Princípio 4: Possibilitar uma abordagem holística A abordagem holística dentro da organização significa que o projeto deve abranger a empresa como um todo, áreas não podem ser deixadas de lado. O COBIT apoiará a governança e gestão em TI por intermédio de sete viabiliza- dores (fatores que individual e coletivamente influenciarão o funcionamento da governança) (Ver Quadro 1 e Figura 9). Viabilizadores Explanação Princípios, políticas e frameworks São os itens que traduzem o funcionamento desejado à organização. Processos São os processos descritos de uma forma prática, utilizados para atingir as metas e os objetivos propostos. Estruturas organizacionais Representam como a organização está organizada em níveis de decisão e execução. Quadro 1. Fatores que influenciam o funcionamento da governança. (Continua) 205COBIT – Control Objectives for Information and related Technology Fonte: Adaptado de ISACA (c2018b). Viabilizadores Explanação Cultura, ética e comportamento São a base para a formatação da TI. Têm que focar no mesmo objetivo. Informação A informação deve ser única, protegida e ter ampla circulação dentro da empresa para o bom funcionamento da governança. Serviços, infraestrutura e aplicações Incluem todos os recursos de TI que fornecem serviços à organização. Pessoas, habilidades e competências São chave para o sucesso da governança, principalmente na tomada de decisão. Quadro 1. Fatores que influenciam o funcionamento da governança. Figura 9. Necessidades relacionadas ao princípio 4. Fonte: Bakshi (2017). Esses viabilizadores têm, em conjunto, algumas dimensões para que forneçam uma estrutura simples que permita o gerenciamento na busca de resultados bem-sucedidos. As dimensões são os stakeholders (todos os públicos a serem contemplados com a governança e a transparência), os objetivos (que devem ser alcançados e (Continuação) COBIT – Control Objectives for Information and related Technology206 criar valor à organização), o ciclo de vida (pois cada viabilizador é planejado, executado e monitorado para manter a melhoria contínua), e as boas práticas (papel fundamental para a governança, pois são mensuradas também seguindo o fluxo da melhoria contínua). Tudo isso é gerenciado e acompanhado pela gestão, por exemplo, se as necessidades foram atingidas, se os objetivos foram alcançados, se o ciclo ainda está acontecendo, se as boas práticas realmente estão sendo seguidas ou se deve se fazer alguma intervenção para melhorar algum processo. Princípio 5: Separar a governança da gestão Neste momento, devem ser separadas gestão de governança, para que as duas sejam atingidas. A governança, para assegurar que as necessidades sejam aten- didas, ou seja, obrigação da alta direção da empresa para garantir os recursos necessários, tudo bem planejado. A gestão, por sua vez, para certificar que as atividades alinhadas com a direção estratégica estabelecida pela governança sejam planejadas, construídas, executadas e monitoradas. Veremos mais sobre governança e gestão no modelo de referência do COBIT. Modelo de referência de processos do COBIT 5 Aqui, o COBIT subdivide os 37 processos de TI nas duas áreas – governança e gestão –, as quais são divididas em domínios de processos, conforme mostra a Figura 10. Figura 10. Processos de TI nas áreas de governança e gestão. Fonte: Malcher Jr. (2017). 207COBIT – Control Objectives for Information and related Technology A governança tem um domínio de “avaliar, dirigir e monitorar” (EDM) com cinco processos de governança os quais ditam as responsabilidades da alta direção para a utilização dos recursos de TI. Ficam cobertos os processos de uso do framework de governança, o estabe- lecimento das responsabilidades, os fatores de risco e recursos e a transparência exigida por todos os stakeholders. Já o processo de gestão contém quatro domínios de acordo com as áreas de responsabilidade de planejar, criar, executar e monitorar (PBRM), explicados no Quadro 2. Fonte: Adaptado de ISACA (c2018b). Domínio Explanação APO – Alinhar, Planejar e Organizar Diz respeito à forma como a TI contribuirá melhor com o alcance dos objetivos do negócio. Aqui encontram-se os processos referentes à estratégia e às táticas de TI e os gerenciamentos (orçamento, qualidade, riscos e segurança). BAI – Construir, Adquirir e Implementar Refere-se a operacionalizar a estratégia montada em TI, cuida do gerenciamento da disponibilidade e capacidade, das mudanças organizacionais, transição de processos, enfim, auxilia a tornar a TI um ativo da organização. DSS – Entregar, Servir e Suportar Trata da entrega dos serviços para atendimento aos objetivos da organização. O domínio tem poder de gerenciar processos, garantir a segurança da informação, ou seja, controlar os processos do negócio. MEA – Monitorar, Avaliar e Medir Mensura o desempenho dos processos de TI, avaliando aconformidade com os objetivos e com os requisitos externos, garantindo a transparência e a criação de valor. Quadro 2. Quatro domínios de acordo com as áreas de responsabilidade. COBIT – Control Objectives for Information and related Technology208 Veja o quadro-resumo na Figura 11. Figura 11. Resumos dos processos gerenciais de TI. Fonte: Veras (2015). Esses processos são desdobrados em práticas de governança ou práticas de gestão, que perfazem os objetivos do COBIT. Os processos, por sua vez, seguem estruturas e modelos baseados na metodologia de projetos. Enfim, a governança em TI e a governança corporativa podem auxiliar muito as organizações na criação de valor, permitindo que as informações gerem conhecimento por meio de boas práticas e transparência. Sem isso, as organizações encontram barreiras no seu crescimento. 209COBIT – Control Objectives for Information and related Technology A ISACA dispõe de um guia de implementação do COBIT 5, que é baseado em um ciclo de melhoria contínua. O conteúdo é bastante importante para que o COBIT tenha aderência dentro da organização, é documento indispensável para que o framework funcione adequadamente. O guia é apoiado por um conjunto de ferramentas de implementação que contém uma variedade de recursos. Acesse o site da ISACA (c2018a) e obtenha maiores informações, ainda mais se gostar e for exercer papel de gestor ou facilitador dentro de uma organização. Disponível em: https://goo.gl/TA6yP4 ARCHITECTURE CENTER. COBIT5-logo. London, c2018. Disponível em: <https://archi- tecture-center.com/images/course-logo/COBIT5-logo.jpg>. Acesso em: 16 fev. 2018. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Conheça a ABNT. Rio de Janeiro: ABNT, c2014. Disponível em: <http://www.abnt.org.br/abnt/conheca-a-abnt>. Acesso em: 29 jan. 2018. BAKSHI, S. Portfolio, program and project management using COBIT 5. [S.l.]: ISACA, 2017. Disponível em: <http://www.isaca.org/COBIT/focus/Pages/portfolio-program-and- project-management-using-cobit-5.aspx>. Acesso em: 31 jan. 2018. BISSONG, J. COBIT 5 key principles. [S.l.]: ISACA COBIT5 Fundermentals, 2014. Disponível em: <http://jobenoncobit5.blogspot.com.br/2014/01/cobit-5-key-principles.html>. Acesso em: 16 fev. 2018. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 38500:2015. Geneva: ISO, 2015. Disponível em: <https://www.iso.org/standard/62816.html>. Acesso em: 30 jan. 2018. ISACA. COBIT 5 publications directory. [S.l.], c2018a. Disponível em: <http://www.isaca. org/COBIT/Pages/Product-Family.aspx>. Acesso em: 31 jan. 2018. ISACA. What is COBIT 5? [S.l.], c2018b. Disponível em: <http://www.isaca.org/cobit/ pages/default.aspx>. Acesso em: 31 jan. 2018. COBIT – Control Objectives for Information and related Technology210 IT GOVERNANCE NETWORK. Implementing the ISO 38500 standard for corporate gover- nance. [S.l.], c2008-2018. Disponível em: <http://www.itgovernance.co.za/3/index. php/ict-governance/88-it-governance/161-implementing-the-iso-38500-standard- for-corporate-governance>. Acesso em: 16 fev. 2018. KOLB, J. J. Cobit 5: princípio 1. [S.l.]: Compartilhando, 2014a. Disponível em: <http:// jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-1.png>. Acesso em: 16 fev. 2018. KOLB, J. J. Cobit 5: princípio 2. [S.l.]: Compartilhando, 2014b. Disponível em: <http:// jkolb.com.br/wp-content/uploads/2014/11/Cobit-5-princ%C3%ADpio-2.png>. Acesso em: 16 fev. 2018. MALCHER JR., J. Necessidades do negócio. [S.l.], 2017. Disponível em: <http://josemalcher. net/wp-content/uploads/2017/02/image11-1.png>. Acesso em: 31 jan. 2018. MINDMEISTER. Governance of enterprise IT. San Francisco, c2018. Disponível em: <https://www.mindmeister.com/generic_files/get_file/7568876?filetype=image_ file&img=22974780&cb=80b221>. Acesso em: 16 fev. 2018. REDBELT. Visão geral da cascata de objetivos do COBIT 5. São Paulo, 2017. Disponível em: <https://www.redbelt.com.br/blog/wp-content/uploads/2017/11/Bobit-5-2. jpg>. Acesso em: 16 fev. 2018. SWART, D. COBIT 5 mapping. [S.l.]: Pinterest, c2018. Disponível em: <https://br.pinterest. com/pin/480126010250017229/>. Acesso em: 16 fev. 2018. VERAS, M. Governança de TI corporativa. [S.l.], 2015. Disponível em: <http://manoelveras. com.br/blog/wp-content/uploads/2015/04/image004.png>. Acesso em: 31 jan. 2018. Leituras recomendadas ANTÓNIO, N. S. Estratégia organizacional: do posicionamento ao movimento. 2. ed. Lisboa: Sílabo, 2006. BRASIL. Conheça seu direito. Brasília, DF, c2018. Disponível em: <http://www.acesso- ainformacao.gov.br/assuntos/conheca-seu-direito>. Acesso em: 30 jan. 2018. BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Brasília, DF, 2011. Disponível em: <http:// www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 30 jan. 2018. BRASIL. Planalto. Presidência da República. Brasília, DF, c2018. Disponível em: <http:// www2.planalto.gov.br/>. Acesso em: 30 jan. 2018. TRANSPARENCY International. Berlin, c2017. Disponível em: <https://www.transpa- rency.org/>. Acesso em: 30 jan. 2018. 211COBIT – Control Objectives for Information and related Technology