O que é esse tal de COBIT e como ajuda a Governança de TI?
Bem, depois de um longo tempo de ausência, estou voltando definitivamente. Desculpem aos que acompanham o blog e ficaram sem artigos e discussões sobre Governança de TI e Gerenciamento de Nível de Serviço.
Gostaria nesse retorno de falar sobre COBIT. Muitas pessoas, quando escutam o termo Governança de TI, pensam diretamente em COBIT. Acham que simplesmente devem implantar COBIT, normalmente por intermédio de uma consultoria, e pronto! Mas, infelizmente, não é tão simples assim.
Como já disse em outros posts, Governança de TI é a formalização do processo de gestão e direcionamento futuro, processos de aprovação, níveis de poder decisório e etc. Isso não é simplesmente implantar um framework, muito menos alguma ferramenta.
Bem, de qualquer modo, COBIT ajuda muito a direcionar o controle da TI. Então vamos falar um pouquinho sobre isso.
1. Qual é a finalidade do COBIT?
A finalidade do COBIT é fornecer aos gerentes e donos de processos de negócios um modelo de governança de TI que ajude em entregar valor com TI e compreender e gerenciar os riscos associados a TI. COBIT ajuda a preencher as lacunas entre requisitos de negócios, necessidades de controle e problemas técnicos. É um modelo de controle para suportar as necessidades de governança de TI e tem como objetivo garantir a integridade das informações e sistemas de informação.
2. Quem está usando o COBIT?
COBIT é usado amplamente por aqueles que têm responsabilidades em processos de negócios e de tecnologia, aqueles que dependem de uma TI relevante, confiável e controlada.
3. Quem são os donos de processos?
COBIT é orientado a processo de TI e, portanto, destina-se em primeiro lugar para os proprietários desses processos, os responsáveis por eles. Referindo-se ao Modelo de Negócios Genéricos de Porter, processos principais (por exemplo, contratos, operações, marketing, vendas) são discutidos, bem como processos de suporte (por exemplo, recursos humanos, administração, tecnologia da informação). Como consequência, COBIT não limita-se apenas a ser aplicado pela TI, mas para o negócio como um todo.
Essa parte, inclusive, se refere a um outro post que fiz “Existe Governança de TI sem Governança Corporativa?”
Essa abordagem resulta do fato de que os donos dos processos são responsáveis pelo desempenho dos mesmos, dos quais IT tornou-se parte integrante e imprescindível. Em outras palavras, eles são mais importantes, mas também devem ser responsáveis pelo seu funcionamento. Como consequência, donos de processos de negócios têm responsabilidade sobre a tecnologia implantada dentro dos limites do seu processo de negócios. Claro, eles vão fazer uso dos serviços fornecidos pelas partes especializadas como a TI tradicional ou serviços terceirizados.
COBIT fornece aos donos de processos de negócios um quadro de controle geral, incluindo as partes de TI relevantes ao funcionamento do referido processo de negócio. Como resultado natural, passa a existir o tão falado “alinhamento de TI e negócio”, por que a parte implantada de TI é exatamente o que o processo de negócio precisa.
4. Por que a orientação do COBIT está voltada para o processo, e não para funções ou aplicações?
O framework do COBIT foi estruturado em 34 que processos de TI de atividades inter-relacionadas. O modelo de processo foi preferido por várias razões. Em primeiro lugar, um processo por sua própria natureza é orientado a resultados, por que tem foco no resultado final, tentando sempre otimizar o uso de recursos (receber mais, usando menos). Em segundo lugar, um processo, especialmente seus objetivos, é mais permanente na sua estrutura de funcionamento e não muda tanto como uma entidade organizacional. Em terceiro lugar, a implantação de TI não pode é restrita a um único departamento e deve envolver usuários, gerentes, bem como especialistas em TI. Neste contexto, o processo de TI permanece como denominador comum – o resultado necessário do processo ainda deve ser atingido.
Para COBIT, aplicativos são tratados como um dos quatro recursos existentes. Portanto, eles devem ser controlados e otimizados a fim de entregar o resultado necessário do processo de negócios.
5. Por que há sobreposição nos objetivos de controle?
A sobreposição nos objetivos de controle, embora não ocorra com frequência, foi intencional. Alguns objetivos de controle transcendem a domínios e processos e, portanto, devem ser repetidos para garantir que eles existem em cada domínio ou processo necessário. Alguns objetivos de controle devem ser os controles cruzados entre si e, portanto, devem ser repetidos para garantir a aplicação consistente em mais de um domínio ou processo.
6. O COBIT tem três dimensões de maturidade. O que elas significam?
As três dimensões são capacidade, cobertura e controle. Elas podem ser usadas ao avaliar a maturidade de um determinado processo de TI em uma situação específica. A aplicação destas dimensões é deixada para que o avaliador/implementador do COBIT decida se e como serão usadas, dependendo do detalhamento necessário da avaliação em curso.
Capacidade é o nível de maturidade necessário para o processo atender às necessidades de negócios (idealmente conduzidos por objetivos de TI e negócio claramente definidos).
A Cobertura é uma medida de desempenho, ou seja, como e onde o recurso precisa ser implantado com base na necessidade dos negócios e as decisões de investimento com base em custos e benefícios. Por exemplo, um alto nível de segurança deverá estar voltado apenas para os sistemas corporativos mais relevantes...
Controle é uma medida de controle real e execução do processo, na gestão de riscos e sobre a entrega efetiva de resultado dos processos de negócio. COBIT fornece um modelo de maturidade genérico para controle interno e os processos PO6 e ME2 podem ajudar a institucionalizar a necessidade de bons controles.
Resumo…
Em resumo, o COBIT tem o objetivo de ser um framework de controle de processos de TI e de negócio, mas deve ser implantado em fases, e com a clara visão de que o COBIT isoladamente não resolve nem institui a Governança de TI. Governança de TI deve ser um processo permanente e gradual de definição e implantação.
Obrigado e até o próximo post,
Ronaldo Smith Jr.