COBIT 2019, o que você precisa saber

O setor de informação e tecnologia não sofre com nenhuma escassez de estruturas, padrões e orientações de melhores práticas com valor potencial significativo. Cada estrutura tem uma proposta de valor única, mas nenhuma consegue fazer tudo o que uma organização precisa.

No entanto, há apenas uma estrutura globalmente conhecida que se concentra na GEIT (governança da informação e tecnologia empresarial), e ela é o COBIT. Embora não seja a única estrutura que deve ser utilizada, certamente é uma que você deve considerar no seu inventário de estruturas.

Uma citação ouvida frequentemente sobre o COBIT é que ele oferece orientações sobre “O que você deve fazer”, enquanto outras estruturas dizem “Como você deve fazer”. Embora muitas estruturas tenham surgido na área de governança, o COBIT ainda é a referência para questões relacionadas à governança de TI. Um aspecto único do COBIT é que ele oferece orientações em um nível que permite que outras estruturas cheguem a um nível mais profundo e sugere quais usar e onde. Uma adoção eficaz do COBIT EXIGE outras estruturas, e ele informa quais são e quando você deve utilizá-las.

Embora o COBIT seja universalmente aceito como uma estrutura para a governança e gerenciamento da informação e tecnologia, muitos países em todo o mundo o adoptaram como um padrão de conformidade nos seus sistemas bancários e outras áreas. Entretanto, para a maioria das organizações, o COBIT está sendo utilizado como uma “estrutura para gerenciar estruturas”. Conforme ilustrado na Figura 1, o COBIT atua como “middleware” entre as ferramentas de governança corporativa e as melhores práticas comumente utilizadas pelos provedores de serviços de TI. Ele é uma ferramenta adequada para ajudar a alinhar estruturas, objetivos, prioridades e atividades entre a empresa e a TI.

Breve histórico do COBIT

Em 1996, a EDP Auditors Association, posteriormente conhecida como ISACA, enxergou a necessidade de fornecer orientações sobre controles de auditoria relacionados aos riscos crescentes e requisitos de conformidade na área da informação e tecnologia aos auditores financeiros. Esse esforço foi fruto de uma publicação que identificou objetivos de controle para informação e tecnologia — denominada COBIT. Embora COBIT originalmente significasse Control Objectives for Information and Related Technologies (Objetivos de Controle para Tecnologias da Informação e Relacionadas), atualmente ele é conhecido simplesmente como COBIT.

O COBIT passou por diversas iterações desde 1996 e hoje surgiu como uma estrutura de governança e gerenciamento de informação e tecnologia reconhecida mundialmente. Conforme ilustrado na Figura 2 abaixo, o COBIT tem sido atualizado regularmente e atualizou suas orientações para se alinhar aos temas mais urgentes do setor. Atualmente, ele combina as reminiscências dos objetivos de controle de auditoria com uma visão moderna de todos os ingredientes necessários para um sistema de governança sustentável e adaptável.

Descrição do COBIT

Muitos aspectos do COBIT podem ser valiosos para qualquer empresa que dependa de serviços relacionados a TI para realizar seus negócios. Há algo no COBIT para todos; você só precisa saber como e onde encontrá-lo. O lançamento inicial da estrutura COBIT (versão 2019) incluiu diversas publicações:

Publicação	Descrição
Introdução e Metodologia	Explica a estrutura geral e partes da estrutura. Atualiza os principais termos, conceitos e princípios de governança. Apresenta o sistema de governança, componentes e objetivos de governança/gerenciamento.
Objetivos de Governança e Gerenciamento	Inclui 40 objetivos de governança e gerenciamento organizados em cinco domínios (Gov/Mgt). Cada objetivo está relacionado a um processo. Para cada objetivo, fornece orientações relacionadas a cada um dos componentes de governança.
Projetando uma solução de governança de informação e tecnologia	Introduz áreas focais e fatores de projeto. Inclui um fluxo de trabalho de projeto que facilita a criação de um sistema de governança personalizado. Utilizado em conjunto com o Guia de Implementação.
Implementação e otimização de uma solução de governança da informação e tecnologia	Atualizado a partir do Guia de Implementação do COBIT 5. Utilizado em conjunto com o Guia de Projeto. Fornece uma abordagem de ciclo de vida de melhoria contínua. Inclui sete fases com três perspectivas.
Guias de Áreas Focais	Descreve um tópico, domínio ou questão de governança que pode ser abordado por um conjunto de objetivos de governança e gerenciamento e seus componentes. Na publicação deste artigo, havia quatro guias de áreas focais: Pequenas e Médias Empresas, DevOps, Risco da Informação e Tecnologia e Segurança da Informação.

Muitas outras publicações complementares foram projetadas para ajudar as empresas a adoptar e adaptar as orientações. Uma lista completa de todos esses documentos pode ser encontrada no site www.isaca.org/cobit.

Considere o COBIT como um guia de alto nível para ajudá-lo a determinar as coisas certas a serem feitas, mas não fornece detalhes sobre como adotá-las. Essencialmente, o COBIT descreve o sistema geral de governança da informação e tecnologia da seguinte maneira:

• Princípios
• Objetivos de Governança e Gerenciamento
• Componentes de governança
• Metas em cascata
• Fatores de projeto
• Implementação
• Áreas focais

Princípios

Como qualquer corpo de conhecimentos sólido, os princípios devem ser os principais guias. O COBIT tem duas categorias de princípios: Princípios de governança e princípios da estrutura. São importantes porque estabelecem as bases para a maneira na qual as organizações podem adotar e adaptar estruturas de acordo com elas.

Objetivos de governança e gerenciamento

Um dos aspectos mais poderosos do COBIT são os objetivos de governança e gerenciamento. Quarenta destes objetivos estão organizados em objetivos de governança (5) e gerenciamento (35). O COBIT endossa uma distinção entre governança e gerenciamento, conforme ilustrado nos objetivos.

Os cinco objetivos de governança estão organizados no domínio de EDM, onde os objetivos de gerenciamento estão sob os domínios APO, BAI, DSS e MEA. Isso é importante porque qualquer órgão de governança de uma organização deve considerar as orientações de EDM, enquanto o gerenciamento é responsável pelos domínios remanescentes. Cada um dos objetivos identificados no COBIT é explicado em maiores detalhes na publicação Objetivos de Governança e Gerenciamento do COBIT 2019, usando o seguinte:

É aqui que as coisas podem ficar um tanto confusas. O COBIT afirma que cada um desses 40 objetivos também é um processo. Como isso ocorre? Leia os componentes de governança a seguir para ver o motivo.

Componentes de governança

O COBIT descreve sete componentes de governança, essencialmente os ingredientes de um sistema de governança. Cada objetivo de governança e gerenciamento é explicado utilizando estes sete componentes e é necessário para atingir os objetivos de governança e gerenciamento. Estes são fatores que, individual e coletivamente, contribuem para o bom funcionamento do sistema de governança de I&T da empresa. Eles interagem entre si, resultando em um sistema de governança holístico para I&T. O tipo de componente mais familiar envolve os processos.

Cascata de metas

A cascata de metas é um dos temas de governança mais facilmente compreendidos, mas também uma das ferramentas mais difíceis e mal aplicadas. O COBIT foi a primeira estrutura a introduzir um modelo no qual as organizações podem vincular as necessidades específicas das partes interessadas a tabelas que vinculam desde metas de nível mais alto da empresa até os objetivos (e processos) de governança e gerenciamento.

Esta é uma ferramenta importante para ajudar as organizações a determinar quais processos são mais valiosos e relevantes com base na consecução das metas empresariais. As informações da cascata de metas podem ser encontradas nas publicações de Introdução e Objetivos de Governança e Gerenciamento do COBIT. Informações detalhadas sobre como aplicar a cascata de metas podem ser encontradas na publicação Objetivos de Governança e Gerenciamentodo COBIT 2019.

Fatores de projeto

Reconhecendo a necessidade de uma ferramenta que ajude as empresas a criar um sistema de governança personalizado, o COBIT criou um conjunto de fatores de projeto que podem ser utilizados para determinar quais partes do COBIT são mais relevantes do que outras com base em diversos critérios.

Considere estes fatores de projeto como insumos ou variáveis para um sistema de governança. O ambiente interno e externo muda constantemente, e para ter um sistema de governança verdadeiramente adaptável e flexível, as organizações estão modificando o seu foco de governança com base nessas mudanças continuamente. O COBIT fornece uma metodologia (ferramenta para download) que recebe informações com base na situação específica de uma empresa e fornece orientações sobre quais objetivos de governança e gerenciamento são mais apropriados para permitir que a empresa atinja suas metas e apoie a estratégia de negócios. Essas informações podem ser encontradas na publicação Projetando uma Solução de Governança da Informação e Tecnologia, também conhecida como “Guia de Projeto”.

Áreas focais

Há informações demais a serem digeridas no COBIT? Existe uma solução para você. Várias publicações de orientação complementares ajudam a dissecar o COBIT nas partes relevantes para uma área ou foco específico. Você é uma organização que se concentra exclusivamente em DevOps? O COBIT oferece um guia de área de Foco para isso. No momento da publicação deste artigo, havia quatro desses guias, incluindo DevOps, Pequenas e Médias Empresas, Risco da Informação e Tecnologia e Segurança da Informação. Fora desses guias de áreas focais, diversas outras publicações informativas vinculam temas atuais ao COBIT, como vários programas de auditoria, implementação da estrutura de segurança cibernética do NIST, e muito mais.

Implementação

As orientações nesta publicação visam auxiliar as empresas na implementação utilizando metodologias ISACA, especialmente aquelas desenvolvidas no COBIT. O guia inclui processos, modelos ilustrativos e orientação estratégica e tática projetados para maximizar os benefícios do CSF e ajudar os profissionais a identificar e atingir os objetivos empresariais para a governança e gerenciamento de I&T.

Gerenciamento de desempenho

O Gerenciamento de Desempenho do COBIT refere-se a até que ponto o sistema de governança e gerenciamento, bem como todos os componentes de uma empresa funcionam e como podem ser melhorados até o nível exigido. Ele inclui métodos e conceitos como níveis de capacidade e níveis de maturidade. O COBIT 2019 baseia-se nos seguintes princípios:

• Simples de entender e usar.
• Consistente e compatível com o modelo conceitual do COBIT.
• Fornecer resultados confiáveis, reproduzíveis e relevantes.
• Deve ser flexível.
• Deve apoiar diferentes tipos de avaliações.

A ISACA possui o modelo CMMI. Portanto, como não é de surpreender, o gerenciamento de desempenho se alinha-se com os conceitos do CMMI e os amplia, ou seja, a escala de 0 a 5 comumente utilizada durante as avaliações.

Usando o COBIT

Como a maioria das estruturas, é difícil ler o material introdutório e dizer: “Ah, entendi”. O COBIT aprendeu com as versões anteriores que às vezes a perfeição pode arruinar o que é bom. A versão anterior, o COBIT 5, tinha enormes quantidades de informações práticas, mas muitos usuários não sabiam como ou onde entrar no modelo para encontrá-las. Com o COBIT 2019, essa experiência foi amplamente realinhada com a experiência do usuário.

Os casos de uso a seguir representam cenários típicos de adoção do COBIT em uma organização.

Há algo no COBIT para todos nós, mas você precisa saber onde procurar. Esta é uma ferramenta poderosa que pode ajudar os membros do conselho, alta administração, gerenciamento de TI, proprietários de processos, auditores, gerentes de serviços e muitos outros a entender as práticas e atividades essenciais relacionadas a cada função. O truque para fazer com que essa estrutura agregue valor à sua organização é integrá-la a outras estruturas, padrões e melhores práticas na sua organização. Para obter mais informações sobre o COBIT, visite o site da ISACA.