O COBIT (Control Objectives for Information and related Technology) é um dos modelos mais amplamente aceitos de governança e controle de TI utilizado para gerenciar riscos e implementar controles em um ambiente de Tecnologia da Informação (TI) para atingir os objetivos de negócios.
Neste texto, procuro trazer uma visão geral pensando em um público não avançado em COBIT. De certa forma, busco também desmistificar eventuais pensamentos de que o COBIT é “muito complicado” e que só “quem é de TI” tem condições de compreendê-lo. Espero, assim, que o leitor possa enxergar com clareza como o COBIT pode auxiliar as empresas na criação de valor para a TI, mantendo o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e o uso de recursos.
O COBIT foi introduzido para fundir as normas e as melhores práticas de TI existentes em uma estrutura abrangente projetada para alcançar padrões de governança aceitos internacionalmente. Trabalhando a partir dos requisitos estratégicos da organização, o COBIT abrange toda a gama de atividades de TI com foco na realização dos objetivos de controle, em vez da implementação de controles específicos. Como tal, integra e alinha as práticas de TI com a governança organizacional e os requisitos estratégicos. Não é o único conjunto de padrões de uso comum, mas se integra a outros padrões para atingir níveis definidos de controle.
O COBIT 5 é pautado em cima de 5 (cinco) princípios chave de governança e gerenciamento de TI corporativa que permitem que a organização construa um framework efetivo de governança e gestão de TI baseado em um conjunto holístico de 7 habilitadores (ou “enablers”) e que otimizam investimentos em tecnologia e informação utilizados para o benefício das partes interessadas.
A seguir, os 5 (cinco) princípios do COBIT 5:
- Atender as necessidades das partes interessadas
- Cobrir a organização de ponta a ponta
- Aplicar um framework (modelo) único e integrado
- Permitir uma abordagem holística
- Distinguir a governança da gestão
O COBIT tem como principais objetivos:
- Oferecer um framework abrangente que auxilia as organizações a otimizar o valor gerado pela TI;
- Permitir que a TI seja governada e gerenciada de forma holística para toda a organização;
- Criar uma linguagem comum entre TI e negócios para a governança e gestão de TI corporativa.
O que pode ser classificado como melhor prática para uma organização deve ser apropriado para essa organização com base em suas necessidades e capacidades. Os padrões em si não alcançam as melhores práticas, mas requerem seleção, interpretação e implementação cuidadosas para atingir a adequação do controle. Em seu nível mais alto, o COBIT apresenta uma estrutura para controle geral com base em um modelo de processos de TI pretendido como um modelo genérico no qual controles específicos podem ser sobrepostos a fim de alcançar um sistema único de controles internos especificamente adaptado às necessidades de negócios da organização.
O COBIT foi projetado para ser utilizado em diferentes níveis de gerenciamento. Vamos a alguns exemplos não exaustivos:
- A gerência executiva pode utilizá-lo para assegurar que o valor seja obtido com o investimento significativo em TI e para assegurar que o risco e o controle do investimento sejam devidamente equilibrados.
. - Da perspectiva do gerenciamento operacional, o COBIT facilita a obtenção de garantias de que o gerenciamento e o controle dos serviços de TI, sejam internos ou externos, são apropriados.
. - O gerenciamento de TI pode usá-lo como uma ferramenta operacional para assegurar que a estratégia de negócios seja suportada de maneira controlada e gerenciada de forma adequada no fornecimento de serviços de TI.
. - Auditores de Sistemas de Informação (SI) podem utilizar o COBIT para avaliar a adequação dos controles, projetar testes apropriados para determinar a eficácia dos controles e fornecer à administração aconselhamento apropriado sobre o sistema de controles internos da Companhia.
. - Entre outros.
Vale ressaltar que o COBIT é baseado na pesquisa das melhores práticas em uma variedade de ambientes de TI e está sujeito a pesquisas e manutenção contínuas devido à natureza dinâmica da tecnologia da informação. Ele é voltado para todos os aspectos da governança de TI, ao contrário de alguns outros padrões que são específicos, por exemplo, voltado apenas à segurança da informação, por exemplo. Devido ao seu estreito alinhamento com os princípios internacionalmente aceitos de boa governança corporativa, é intrinsecamente aceitável para várias camadas de gestão, bem como para os reguladores.
Os processos, no COBIT, são divididos em áreas de governança e gestão. Essas duas áreas contém um total de 5 (cinco) domínios com nomes de 3 letras e um total de 37 processos de TI, de acordo com o Modelo de Referência de Processos, organizados da seguinte forma:
Processos de Governança:
- Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor – EDM), com 5 processos
Processos de Gestão:
- Alinhar, Planejar e Organizar (Align, Plan and Organise – APO), com 13 processos
- Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI), com 10 processos
- Entregar, Serviços e Suporte (Deliver, Service and Support – DSS), com 6 processos
- Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess – MEA), com 3 processos
Domínio Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor – EDM)
Os processos contidos neste domínio ditam as responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor.
Este domínio EDM cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização (ex.: critérios de investimento), fatores de risco (ex.: apetite ao risco) e recursos (ex.: otimização de recursos), além da transparência da TI para os stakeholders.
Contém os 5 processos a seguir:
- EDM01 – Garantir a Definição e Manutenção do Framework de Governança
- EDM02 – Garantir a Realização de Benefícios
- EDM03 – Garantir a Otimização de Riscos
- EDM04 – Garantir a Otimização de Recursos
- EDM05 – Garantir Transparência para as Partes Interessadas
Domínio Alinhar, Planejar e Organizar (Align, Plan and Organise – APO)
O domínio APO diz respeito à identificação de como a TI pode contribuir melhor com os objetivos corporativos.
Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança.
Contém os 13 processos a seguir:
- APO01 – Gerenciar a Estrutura de Gestão de TI
- APO02 – Gerenciar a Estratégia
- APO03 – Gerenciar a Arquitetura da Organização
- APO04 – Gerenciar a Inovação
- APO05 – Gerenciar o Portfólio
- APO06 – Gerenciar Orçamento e Custos
- APO07 – Gerenciar Recursos Humanos
- APO08 – Gerenciar Relacionamentos
- APO09 – Gerenciar Contratos de Prestação de Serviços
- APO10 – Gerenciar Fornecedores
- APO11 – Gerenciar Qualidade
- APO12 – Gerenciar Riscos
- APO13 – Gerenciar Segurança
Domínio Construir, Adquirir e Implementar (Build, Acquire and Implement – BAI)
O domínio BAI torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados.
Este domínio também endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento.
Contém os 10 processos a seguir:
- BAI01 – Gerenciar Programas e Projetos
- BAI02 – Gerenciar Definição de Requisitos
- BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções
- BAI04 – Gerenciar Disponibilidade e Capacidade
- BAI05 – Gerenciar Capacidade de Mudança Organizacional
- BAI06 – Gerenciar Mudanças
- BAI07 – Gerenciar Aceitação e Transição de Mudança
- BAI08 – Gerenciar Conhecimento
- BAI09 – Gerenciar Ativos
- BAI10 – Gerenciar Configuração
Domínio Entregar, Serviços e Suporte (Deliver, Service and Support – DSS)
O domínio DSS se refere à entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos.
Este domínio inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócio.
Contém os 6 processos a seguir:
- DSS01 – Gerenciar as operações
- DSS02 – Gerenciar Solicitação de Serviços e Incidentes
- DSS03 – Gerenciar Problemas
- DSS04 – Gerenciar Continuidade
- DSS05 – Gerenciar Serviços de Segurança
- DSS06 – Gerenciar os Controles de Processos de Negócio
Domínio Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess – MEA)
O domínio MEA visa monitorar o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos.
Contém os 3 processos a seguir:
- MEA01 – Monitorar, Avaliar e Analisar o Desempenho e Conformidade
- MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno
- MEA03 – Monitorar, Avaliar e Analisar a Conformidade com Requisitos Externos
.
Para detalhes de todos os processos, conferir na publicação complementar COBIT 5: Enabling Processes.
Níveis de Capacidade
O COBIT possui 6 níveis de capacidade, que vão de uma escala de 0 a 5, incluindo uma designação de “processo incompleto” caso suas práticas não atinjam o objetivo do processo.
Cada nível de capacidade de processo possui um conjunto de atributos de processo que devem ser avaliados para o alcance do nível em questão. Os níveis de capacidade são:
- Nível 0 – Processo Incompleto
- Nível 1 – Processo Executado
- Nível 2 – Processo Gerenciado
- Nível 3 – Processo Estabelecido
- Nível 4 – Processo Previsível
- Nível 5 – Processo Otimizado
Cada nível de capacidade apenas pode ser atingido quando o nível anterior tiver sido plenamente alcançado. Por exemplo, uma capacidade de processo Nível 3 (Processo Estabelecido) exige que a definição do processo e os atributos de implantação do processo sejam amplamente atingidos depois que a capacidade dos atributos de processo do Nível 2 (Processo Gerenciado) forem atingidos.
Essas métricas facilitam o julgamento da administração e dos auditores quanto ao grau de conformidade alcançado em cada um dos processos.
Considerações Finais
O COBIT é baseado no entendimento de que o design e a implementação de application controls automatizados são de responsabilidade da TI com base nas necessidades de negócios, conforme especificado pelo proprietário do processo de negócios. Os controles gerais de TI são de responsabilidade direta da função de TI e, portanto, também são cobertos pelo COBIT.
Como mencionado, não é objetivo desta publicação esgotar o tema envolvendo o COBIT, inclusive devido a sua extensão. Há ainda espaço para uma abordagem mais focada em outros aspectos do COBIT, como por exemplo, mas não se limitando a: Modelo de Capacidade de Processo do COBIT 5, o COBIT For Risks, implementação e desafios, fases do ciclo de vida da implementação, mapeamento entre os objetivos de TI e como estes são apoiados pelos processos de TI como parte da cascata de objetivos, assim como os objetivos corporativos são apoiados (ou como se traduzem em) objetivos de TI, correlação do COBIT com os padrões e modelos correlatos mais relevantes, descrição detalhada dos habilitadores do COBIT 5 etc.
Toda e qualquer sugestão é sempre bem vinda, assim como críticas construtivas.
.
(*) Com informações de COBIT 5 e Auditors Guide to Information Systems Auditing.
.