C O B I T    V4.1

Para muitas empresas, informação e tecnologia são os seus maiores valores, mas frequentemente menos entendidos do que os ativos. As empresas bem sucedidas reconhecem os benefícios da tecnologia de informação e usam-nos para atender os interesses de suas partes interessadas. Estas empresas também compreendem e gerenciam os riscos associados, tais como o aumento da conformidade dos regulamentos e da dependência crítica de muitos processos do negócio na tecnologia de informação.

A necessidade para a garantia do valor de TI, a gerência dos riscos relacionados e o aumento dos requisitos para o controle sobre a informação são compreendidos agora como um elemento chave da governança da empresa. O valor, o risco e o controle constituem o núcleo da governança de TI.

Governança é a responsabilidade dos executivos e do comitê de diretores, e consiste na liderança, estrutura organizacional e processos que asseguram que a área de TI da empresa sustenta e estende as estratégias da organização e os objetivos.

Além disso, a governança integra e institucionaliza boas práticas para assegurar-se que a área de TI da empresa suporta os objetivos do negócio. A Governança de TI permite que a empresa obtenha uma total vantagem dessa informação, de modo a maximizar os benefícios, capitalizando oportunidades e ganhando vantagem competitiva. Estes resultados requerem uma estrutura para o controle de TI que compreendam e suportem o comitê de organizações dos patrocinadores da estrutura do controle integrado interno da comissão de Treadway (COSO), estrutura de controle amplamente aceita para a governança da empresa e gerência de risco, e estruturas similares.

As organizações devem satisfazer à qualidade, ao fiduciário e às exigências da segurança para sua informação, quanto para a todos os ativos. O gerenciamento deve também aperfeiçoar o uso de recursos disponível, incluindo aplicações, informação, infra-estrutura e as pessoas. Para descarregar-se destas responsabilidades, assim como para conseguir seus objetivos, a gerência deve compreender o status de sua arquitetura de TI da empresa para decidir o que a governança e o controle deve fornecer.

O controle de objetivos para a informação e tecnologia relacionada(Cobit®) fornece boas práticas através de um domínio e de um processo estruturado e apresenta atividades em uma estrutura gerenciável e lógica. Boas práticas Cobit® representam o consenso dos peritos. São fortemente focados mais no controle e menos na execução. Estas práticas ajudarão a aperfeiçoar investimentos em TI, assegurando a entrega de serviços e fornecendo um indicador que julga quando as coisas vão dar erradas.

Para que seja bem sucedida em entregar de encontro às exigências do negócio, a gerência deve pôr um sistema ou uma estrutura interna de controle no seu devido lugar. A estrutura de controle do Cobit® contribui a estas necessidades da seguinte forma:
• Se integrando às exigências do negócio.
• Organizando as atividades de TI dentro de um modelo de processos geralmente aceito.
• Identificando a maioria de recursos de TI que tem influência sobre a mesma.
• Definindo os objetivos do controle de gerenciamento a serem considerados.

A orientação de negócio do Cobit® consiste em interligar os objetivos do negócio com os objetivos da TI, fornecendo métricas e modelos de maturidade para medir sua efetividade, e identificar as responsabilidades associadas do negócio e os proprietários dos processos de TI.

O processo focal do Cobit® é ilustrado por um modelo de processos que subdivide a TI em quatro domínios e em 34 processos alinhados com as áreas responsáveis pelo planejamento, construção, funcionamento e monitoramento, fornecendo uma visão final da área de TI. Os conceitos de arquitetura da empresa ajudam a identificar os recursos essenciais para o sucesso dos processos, isto é, aplicações, informação, infra-estrutura e a equipe.

Em resumo, para fornecer a informação que a empresa necessita para conseguir seus objetivos, as necessidades de recursos de TI devem ser gerenciadas por um conjunto de processos naturalmente agrupados.

Mas como a empresa consegue da TI o controle das informações que ela necessita? Como gerencia os riscos e a segurança dos recursos de TI dos quais dependem? Como a empresa pode assegurar-se de que a TI esteja alinhada aos seus objetivos e suporte o negócio?

Primeiramente, o gerenciamento necessita controlar os objetivos e definir o objetivo final da política de implementação, planejamento e procedimentos, e as estruturas organizacionais desejadas para fornecer a garantia razoável que:
• Os objetivos de negócio são conseguidos.
• Os eventos indesejados são impedidos ou detectados e corrigidos.

Em segundo, nos ambientes complexos de hoje, a gerência está procurando continuamente pela informação condensada e oportuna para fazer decisões difíceis de valor, risco e para controlá-las rapidamente e com sucesso. O que deve ser medido e como? As empresas necessitam de uma medida objetiva de onde elas estão e onde a melhoria é necessária, e eles necessitam implementar uma ferramenta de gerenciamento para monitorar esta melhoria. A Figura 1 mostra algumas perguntas tradicionais e as ferramentas, de gerenciamento da informação, usadas para encontrar as respostas. Painel de controle (dashboards) necessita de indicadores, cartas de contagem (scorecards) necessitam de medidas e pontos de referência (benchmarking) necessitam de uma escala para a comparação.

Uma resposta à solicitação de determinação e monitoração apropriada do nível de controle e desempenho é a definição de Cobit® de:

• Benchmarking dos processos de TI do desempenho e da capacidade, expressado como modelos de maturidade, derivados do modelo de maturidade de capacidade do instituto de engenharia e software (CMM).
• Objetivos e métricas dos processos de TI para definir e medir seus resultado e desempenho baseado nos princípios de Robert Kaplan e David Norton sobre balanced scorecard nos negócios.
• Objetivos da atividade para começar estes processos sob o controle, baseado nos objetivo de controle do Cobit®.

ESTRUTURA DO COBIT

Missão do Cobit à Pesquisar, desenvolver, publicar e fornecer autoridade, atualizada, de aceitação internacional das estruturas de controle de governança de TI para ser adotada pelas empresas e usada no dia a dia pelo gerente de negócios, profissionais de TI e por profissionais da garantia.

A NECESSIDADE PARA UMA ESTRUTURA DE CONTROLE PARA A GOVERNANÇA DE TI.
Uma estrutura do controle para a governança de TI define as razões para as quais a governança de TI são necessárias, as partes interessadas e o que necessita ser feito.

Porquê

Cada vez mais, a alta gerência está analisando o impacto significativo que a informação pode ter no sucesso da empresa.
A gerência espera uma alta compreensão da forma como a TI é operada e a probabilidade de ser influenciada com sucesso para obter vantagem competitiva. Em particular, a alta gerência necessita saber se a informação está sendo controlada pela empresa de modo que esteja:

• Provavelmente de acordo com seus objetivos.
• Resiliente o suficiente para aprender e adaptar-se.
• Gerenciar judiciosamente os riscos.
• Apropriadamente reconhecedora das oportunidades e agir em cima delas.

As empresas de sucesso compreendem os riscos e exploram os benefícios de TI encontrando maneiras de:

• Alinhar a estratégia de TI com a estratégia de negócio
• Assegurar aos investidores e as partes interessadas que um padrão com os devidos cuidados a respeito da mitigação dos riscos de TI está sendo tratado pela organização.  
• Fazer com que os objetivos e as estratégias se expandam em cascata dentro da empresa.
• Demonstrar o valor dos investimentos em TI.
• Fornecer as estruturas organizacionais que facilitam a implementação da estratégia e dos objetivos
• Criar relacionamentos construtivos e uma comunicação eficaz entre o negócio e a TI, e com os parceiros externos.
• Medir o desempenho da TI.

As empresas não podem entregar eficazmente de acordo com requisitos de governança e de negócios sem adotar e implementar a governança e as estruturas de controle de TI para:

• Fazer uma conexão entre os requisitos do negócio.
• Tornar o desempenho de acordo com a transparência dos requisitos.
• Organizar suas atividades dentro de um modelo de processos geralmente aceito.
• Identificar os recursos principais a serem influenciados.
• Definir os objetivos de controle do gerenciamento a serem considerados.

Além disso, a governança e as estruturas do controle estão transformando uma parte das boas práticas de gerenciamento de TI e estão possibilitando o estabelecimento da governança de TI e a conformidade com o continuo aumento das exigências da regulamentação.
As boas práticas de TI tem se tornado significante devido a um número de fatores:

• Gerentes de negócio e a diretoria exigem um melhor retorno dos investimentos em TI, isto é, que as entregas de TI com relação às necessidades de negócio melhorem os valores das partes interessadas.
• Preocupação com o aumento genérico do nível de gastos em TI.
• A necessidade de estar de acordos com as exigências de regulamentos para o controle da TI em áreas tais como a privacidade e o relatório financeiro (por exemplo, Ato dos E.U. Sarbanes-Oxley, Basileia II) e em setores específicos tais como finanças, farmacêutica e seguro de vida.
• A seleção de provedores de serviços e o gerenciamento de serviços de aquisição e outsourcing.
• Aumento complexo dos riscos relacionados a TI, como a segurança da rede.
• Iniciativas de governança de TI que incluem a adoção de estruturas de controle e as boas práticas para auxiliar o monitoramento e melhorar as atividades críticas de TI aumentando o valor dos negócios e reduzindo os riscos do negócio.
• A necessidade de otimizar os custos seguindo, onde possível, padrões, melhor que os desenvolvido especificamente.
• A maturidade crescente e a aceitação conseqüente de estruturas bem-consideradas, tais como Cobit®, biblioteca de Infra-estrutura de TI (ITIL), ISO 27000 séries de padrões relacionados à segurança da informação, ISO 9001:2000 sistemas de gerenciamento da qualidade, integração do modelo de maturidade da capacidade® (CMMI), projetos em ambientes controlados 2 (PRINCE2) e um guia de conhecimentos de gerenciamento de projetos (PMBOK).
• A necessidade para empresas avaliar como está o seu desempenho contra os padrões geralmente aceitos e com os seus pares (benchmarking).

Quem

A governança e a estrutura de controle necessitam servir a uma variedade de partes interessadas (stakeholds) internas e de externas, cada uma com suas necessidades específicas:

• Partes interessadas dentro da empresa que têm um interesse em gerar valor dos investimentos em TI:

• Aqueles que tomam as decisões de investimento.
• Aqueles que decidem sobre as exigências.
• Aqueles que usam os serviços de TI.

• As partes interessadas internas e externas que o fornecem serviços de TI:

• Aqueles que gerenciam os processos e as organizações de TI.
• Aqueles que desenvolvem a capacidade.
• Aqueles que operam os serviços.

• As partes interessadas internas e externas que têm a responsabilidade do controle/risco:

• Aqueles com responsabilidades de segurança, de privacidade e/ou do risco.
• Aqueles que executam funções da conformidade.
• Aqueles solicitam ou fornecem serviços de garantia.

O Que

Para encontrar as exigências listadas na seção anterior, uma estrutura para governança de TI e controle deve:

• Fornecer foco no negócio para permitir o alinhamento entre o negócio e os objetivos de TI.
• Estabelecer uma orientação a processos para definir o escopo e a sua extensão, com uma estrutura definida permitindo a fácil navegação de seu conteúdo.
• Seja geralmente aceitável sendo consistente com os padrões e as boas práticas de TI e a independência de tecnologias específicas.
• Fornecer uma linguagem comum com um conjunto de termos e definições que são geralmente compreensíveis por todas as partes interessadas.
• Ajudar a estar de acordo com as exigências reguladoras sendo consistente com os padrões de governança corporativa geralmente aceitos (por exemplo, COSO) e os controles de TI esperado por auditores externos e agências reguladoras.

COMO O COBIT® ATENDE AS NECESSIDADES.

Em resposta às necessidades descritas na seção anterior, a estrutura do Cobit® foi criada com um conjunto de características principais a serem focadas no negócio, orientadas a processos, baseadas em controles e dirigidas à mensuração.

Foco no Negócio

A orientação ao negócio é o tema principal do Cobit®. É projetado para não somente ser empregado pelos fornecedores de serviço, usuários e auditores, mas também, e mais importante, para fornecer um guia detalhado para a gerência e os proprietários dos processos do negócio.

A estrutura do Cobit® é baseada nos seguintes princípios (figura 5):
Fornecer a informação de que a empresa precisa para alcançar os objetivos, as necessidades de investimento da empresa e o gerenciamento e controle de recursos de TI usando um conjunto de processos estruturados para fornecer os serviços que entregam as informações solicitadas pela empresa.

O gerenciamento e o controle da informação são o coração da estrutura do Cobit® e ajudam a assegurar o alinhamento com os requisitos do negócio.

Critérios da Informação do Cobit®

Para satisfazer os objetivos do negócio, a informação necessita estar em conformidade com determinados critérios de controle, com o Cobit® que está de acordo com as exigências do negócio para a fornecerem as informações. Baseado na qualidade plena, exigências de segurança e do fiduciário, sobrepondo certamente, critérios da informação são definidas como se segue:

• Eficácia lida com informação com a informação que é relevante e pertinente ao processo do negócio tanto quanto é entregue no prazo acordado, de maneira útil de consistente.

• Eficiência preocupa-se com o fornecimento da informação com o uso ótimo dos recursos (o mais produtivo e econômico).

• Confidencialidade preocupa-se com a proteção da informação sensível contra o acesso desautorizado.

• Integridade relaciona-se à exatidão e à integralidade da informação tanto quanto a sua validade de acordo com valores do negócio e suas expectativas.

• Disponibilidade relaciona-se à informação que está disponível quando solicitado pelo processo do negócio agora e no futuro. Preocupa-se, também, em proteger os recursos necessários e as capacidades associadas.
• Conformidade preocupa-se em estar de acordo com as leis, os regulamentos e os contratos para os quais o processo do negócio está sujeito, isto é, critérios do negócio impostos externamente tanto quanto as políticas internas.

• Confiabilidade relaciona-se ao fornecimento da informação apropriada para a gerência operar a entidade e exercitar seu fiduciário e responsabilidades de governança.

Objetivos do Negócio e Objetivos da TI

Enquanto os critérios da informação fornecem um método genérico definindo os requisitos do negócio, os objetivos da TI fornecem uma base relacionada ao negócio e mais refinada para estabelecer os requisitos do negócio e o desenvolvimento de métricas que permitam mensurar esses objetivos. Toda empresa usa a TI para permitir iniciativas de negócio, e estes podem ser representados como objetivos de negócio para TI. O apêndice I fornece uma matriz de objetivos de negócio genéricos e objetivos de TI e mostra como mapear os critérios da informação. Estes exemplos genéricos podem ser usados como uma guia para determinar os requisitos específicos do negócio, objetivos e métricas para a empresa.

Se a TI é para entregar com sucesso serviços para suportar a estratégia da empresa, a propriedade e a direção dos requisitos dos negócios (cliente) devem ser claros e ter um entendimento claro de como e do que é necessário para a entrega pela TI(o fornecedor). A Figura 6 ilustra como a estratégia da empresa deve ser traduzida pelo negócio nos objetivos relacionados às iniciativas habilitadas pela TI (os objetivos de negócio para TI). Estes objetivos devem conduzir a uma definição clara dos próprios objetivos da TI, que definem por sua vez os recursos e as capacidades (a arquitetura da empresa para TI) requeridas para a TI executar com sucesso parte da estratégia da empresa. 1

Uma vez que os objetivos alinhados tenham sido definidos, necessitam ser monitorados para assegurar-se de que a entrega real esteja de acordo com as expectativas. Isto é conseguido pelas métricas que são derivadas dos objetivos e capturadas em um scorecard de TI.

Para que o cliente compreenda os objetivos da TI e o scorecard da TI, todos estes objetivos e métricas associadas devem ser expressos em termos significativos do negócio para o cliente. Isto, combinado com um alinhamento eficaz da hierarquia dos objetivos, assegurar-se-á de que o negócio possa confirmar que a TI provavelmente suporta os objetivos da empresa.

O apêndice I, tabelas que ligam objetivos e processos, fornecem uma visão global de como os objetivos de negócio genéricos se relacionam aos objetivos de TI, os processos de TI e os critérios da informação. As tabelas ajudam a demonstrar o escopo do Cobit® e o relacionamento total do negócio entre o Cobit® e os diretores da empresa. A figura 6 ilustra como estes diretores vêm o negócio e a camada de governança da empresa, do que a anterior que focaliza mais na funcionalidade e na velocidade da entrega, ao último que focaliza mais na eficiência do custo, no retorno no investimento (ROI) e na conformidade.

A gerência operacional usa processos para organizar e gerenciar as atividades em andamento da TI. O Cobit® fornece um modelo de processos genérico que representa todos os processos encontrados normalmente em funções da TI, fornecendo um modelo de referência comum compreensível para a TI operacional e os gerentes de negócio. Para conseguir o governança eficaz, os controles necessitam ser implementados pelos gerentes operacionais dentro de uma estrutura de controle definida para todos os processos de TI. Desde que os objetivos de controle da TI do Cobit® são organizados pelos processos de TI, a estrutura fornece uma clara conexão entre as exigências da governança de TI, os processos de TI e os controles de TI.

Cada um dos processos de TI do Cobit® tem uma descrição do processo e um número de objetivos do controle. Como um todo, são as características de um processo bem-gerenciado.

Os objetivos do controle são identificados por uma referência de domínio de dois caracteres (PO, AI, DS e ME) mais um número do processo e um número do objetivo do controle. Além dos objetivos do controle, cada processo Cobit® processo tem requisitos de controle genéricos que são identificados por um PCn, para o número do controle do processo. Devem ser considerados junto com os objetivos de controle do processo para ter uma visão completa dos requisitos de controle.

PC1 – Objetivos do Processo e Objetivos
Definição e comunicação específicas, objetivos de processos mensuráveis, de acordo, realísticos, orientada a resultados e oportunos (SMARRT) e objetivos para a execução eficaz de cada processo de TI. Assegurar que estejam conectados aos objetivos do negócio e suportados pelas métricas adequadas.
PC2 – Proprietário do Processo
Atribui um proprietário para cada processo de TI, e define claramente os papéis e as responsabilidades do proprietário do processo. Inclue, por exemplo, a responsabilidade para o projeto do processo, a interação com outros processos, a responsabilidade pelos resultados finais, a medida do desempenho dos processos e a identificação de melhoria das oportunidades.

PC3 – Repetibilidade do Processo
Projeta e estabelece cada processo chave de TI com quem é repetível e consistentemente produz os resultados previstos. Fornecido por uma seqüência lógica, mas flexível e escala uma seqüência de atividades que conduzirão aos resultados desejados sendo ágil o suficiente para tratar das exceções e das emergências. Usa processos consistentes, onde for possível, fazendo sobre medida somente quando inevitável.

PC4 – Papéis  e Responsabilidades
Defina as atividades chaves e as entregas finais do processo. Atribua e comunique papéis e responsabilidades ambíguas para a execução eficaz e eficiente das atividades chaves e de sua documentação tanto quanto a responsabilidade pelos processos finais e entregáveis.

PC5 – Política , planejamentos e procedimentos
Defina e comunica como todas as políticas, planos e procedimentos que o dirigem os processo de TI são documentados, revistos, mantidos, aprovados, armazenados, comunicados e usados para o treinamento. Atribui responsabilidades para cada uma destas atividades e, em horas apropriadas, rever se eles estão sendo executados corretamente. Assegura que as políticas, os planos e os procedimentos são acessíveis, corretos, entendíveis e estão atualizados.

PC6 – Processos de Melhoria de Desempenho
Identifica um conjunto de métricas que fornece a introspecção nos resultados e no desempenho dos processos. Estabelece os alvos que refletem os objetivos dos processos e nos indicadores de desempenho que permitem a realização dos objetivos dos processos. Defina como os dados devem ser obtidos. Compare medidas reais aos alvos e toma uma ação em cima dos desvios, onde necessário. Alinhe as métricas, alvos e os métodos com o enfoque de monitoração de desempenho de toda a TI.