Støtte for terrorisme

O Cobit (Control Objectives for Information and Related Technology) é um framework de governança de TI desenvolvido e mantido pelo ITGI (Information Technology Governance

Institute), que possui modelo de avaliação de maturidade baseado no CMM e estrutura

hierarquizada, calcada em processo e guia de melhores práticas, à semelhança do BPMM do OMG, analisado anteriormente neste capítulo, razão por que se apresenta como candidato mais adequado a compor, juntamente com o mencionado BPMM, a base do modelo de avaliação proposto neste trabalho.

O ITGI (2007a, p.5) reconhece a existência de 34 processos, grupados em quatro domínios, e desdobrados em atividades, cuja estrutura organizacional pode ser vista na Figura 15, na face frontal do denominado cubo do Cobit.

Figura 15 – O cubo do Cobit Fonte: adaptada de ITGI (2007a, p. 25)

Os quatro domínios do Cobit são descritos pelo ITGI (2007a, p. 12) da seguinte forma: a) Planejar e Organizar (PO) – domínio que cobre as estratégias e táticas de TI e

preocupa-se com a identificação da forma como a TI pode contribuir para o alcance dos objetivos de negócio;

b) Adquirir e Implementar (AI) – cuida da realização da estratégia de TI por meio das soluções de TI, que precisam ser identificadas, desenvolvidas ou adquiridas, bem como implementadas e integradas dentro dos processos de negócio. Adicionalmente,

responde pelas mudanças e pela manutenção nos sistemas existentes para mantê-los aderentes aos objetivos de negócio;

c) Entregar e Suportar (DS) – este domínio preocupa-se com a entrega dos serviços atualmente requeridos, compreendendo entrega de serviço, gerenciamento de segurança e continuidade, suporte a serviços para usuários e gerenciamento de dados e de facilidades operacionais;

d) Monitorar e Avaliar (ME) – os processos de TI precisam ser avaliados regularmente quanto a sua qualidade e conformidade com os requisitos de controle. Este domínio cuida do gerenciamento de desempenho, monitoramento dos controles internos, conformidade com marcos regulatórios e governança.

A relação completa dos processos instituídos na versão 4.1 do Cobit é apresentada no quadro 10, organizados segundo adaptação da abordagem apresentada pelo ITGI (2007a, p.26), os quais são desdobrados em objetivos de controle.

Quadro 10 – Processos de TI organizados por objetivo de controle Planejar e

Organizar Adquirir e Implementar Entregar e Suportar Monitorar e Avaliar

1. PO1-Definir um Plano Estratégico 2. PO2-Definir a Arquitetura da Informação 3. PO3-Determinar as Diretrizes Tecnológicas 4. PO4-Definir Processos, Organização e Relacionamentos de TI 5. PO5-Gerir os Investimentos de TI 6. PO6-Comunicar Gestão, Objetivos e Diretrizes 7. PO7-Gerir Recursos humanos 8. PO8-Gerir a Qualidade 9. PO9-Avaliar e Gerir Riscos de TI 10. PO10-Gerir projetos 11. AI1-Identificar Soluções Automatizadas 12. AI2-Adquirir e manter softwares Aplicativos 13. AI3-Adquirir e Manter Infraestrutura Tecnológica 14. AI4-Habilitar Operação e Uso 15. AI5-Contratar Recursos de TI 16. AI6-Gerir Mudanças 17. AI7-Instalar e Homologar Soluções e Mudanças 18. DS1-Definir e Gerir Níveis de Serviço 19. DS2-Gerir Serviços de Terceiros 20. DS3-Gerir Desempenho e Capacidade 21. DS4-Garantir Continuidade de Serviço 22. DS5-Garantir Segurança de Sistemas 23. DS6-Identificar e Alocar Custos 24. DS7-Educar e Treinar Usuários 25. DS8-Gerir Service Desk e Incidentes 26. DS9-Gerir a Configuração 27. DS10-Gerir Problemas 28. DS11-Gerir Dados 29. DS12-Gerir o Ambiente Físico 30. DS13-Gerir Operações 31. ME1-Monitorar e Avaliar o Desempenho da TI 32. ME2-Monitorar e Avaliar os Controles Internos 33. ME3-Garantir Conformidade com Requisitos Externos 34. ME4-Prover Governança de TI

Observando-se a composição do quadro 10, é possível constatar que o primeiro domínio, Planejar e Organizar, possui dez processos, cobrindo os principais aspectos de um processo de planejamento estratégico de TI. O domínio Adquirir e Implementar possui sete processos, relacionados com provimento, manutenção, operação e uso de soluções e infraestrutura de TI. O terceiro domínio, Entregar e Suportar, possui 13 processos, relacionados com serviços prestados pela área de TI para proporcionar condições de uso eficiente e seguro do ambiente e das soluções de TI. O último domínio, Monitorar e Avaliar, tem quatro processos, relacionados com governança, conformidade e controle dos recursos de TI.

Sob cada processo do Cobit encontra-se um conjunto de objetivos de controle, totalizando 210, cada um deles representando um conjunto de requisitos de alto nível, utilizados para fins de controle e avaliação da maturidade dos respectivos processos de TI. As características desses objetivos de controle são (ITGI, 2007a, p. 13):

a) São declarações de ações gerenciais para aumentar valor ou reduzir riscos; b) Consistem de políticas, procedimentos, práticas e estruturas organizacionais;

c) São projetadas para prover garantia razoável de que os objetivos de negócio vão ser alcançados e eventos indesejáveis serão prevenidos ou detectados e corrigidos. A aplicação das práticas do Cobit não precisa ser feita integralmente, abrangendo todos os 210 objetivos de controle. O ITGI (2007a, p. 13) estabelece que a equipe gerencial possa fazer escolhas relativas aos objetivos de controle a serem aplicados, tomando-se por orientação os seguintes princípios:

d) Selecionar aqueles que sejam aplicáveis às características da organização; e) Decidir sobre aqueles que serão implementados;

f) Escolher como implementá-los;

g) Aceitar os riscos de não implementação daqueles que poderiam ser aplicados.

Ao fazer essas escolhas, o administrador deve ter em mente os objetivos que pretende alcançar com a aplicação das boas práticas de TI e atentar para os fatores que as tornam significativas como ferramentas gerenciais (ITGI, 2007a, p. 9):

a) Melhorar o retorno dos investimentos, isto é, a TI entrega o que o negócio necessita; b) Gerenciar questões relativas a aumento do nível de dispêndios;

c) Atender requisitos regulatórios, por exemplo, SOX e Basiléia II;

e) Tratar riscos da TI, a exemplo de segurança de rede;

f) Praticar governança de TI, incluindo adoção de framework de controle e boas práticas para ajudar a melhorar atividades críticas de TI;

g) Otimizar custos por meio da adoção de abordagens padronizadas;

h) Aumentar a maturidade e a consequente aceitação da adoção de frameworks;

i) Avaliar o desempenho da organização em relação aos padrões internos e aos pares (benchmarking).

Essa possibilidade de adoção parcial do Cobit abre caminhos para uma aplicação na forma preconizada pelo modelo de avaliação proposto, enfatizando primordialmente os processos operacionais, e, inclusive, para a pretendida mesclagem de um subconjunto das práticas do Cobit com outro subconjunto de práticas do BPMM, com o objetivo de suprir necessidade de avaliação de processos de negócio habilitado por TI.

Para completar a análise de estrutura do Cobit, resta verificar sua abordagem em relação aos níveis de maturidade e também quanto à associação das diferentes práticas ou objetivos de controle com os respectivos níveis de maturidade. Quanto ao primeiro ponto, o ITGI (2007a, p. 19) define um modelo de maturidade genérico de maturidade para o Cobit, composto de seis níveis, numerado de 0 a 5, cujas definições estão assim especificadas:

a) 0 – Não existente – completa falta de qualquer processo reconhecível. A organização sequer reconhece que haja um problema a ser resolvido;

b) 1 – Inicial/Ad Hoc – há evidências de que a organização reconhece a existência de problemas e que precisa resolvê-los. Entretanto, não há processos padronizados; em vez disso há abordagens ad hoc que pretendem ser aplicadas individualmente, caso a caso. A abordagem global de gerenciamento é desorganizada.

c) 2 – Repetível, mas Intuitivo – processos foram desenvolvidos até o estágio em que procedimentos similares são seguidos por diferentes pessoas que estejam conduzindo a mesma tarefa. Não há treinamento formal ou divulgação de procedimentos padronizados e a responsabilidade é atribuída aos indivíduos. Há um alto grau de confiança no conhecimento de indivíduos e, dessa forma, erros são prováveis.

d) 3 – Processos Definidos – procedimentos foram padronizados, documentados e divulgados por meio de treinamento. É mandatório que esses processos sejam seguidos; contudo, é improvável que desvios sejam detectados. Os procedimentos não são sofisticados, mas são apenas formalização de práticas existentes.

e) Gerenciado e Mensurável – A gerência monitora e mede a conformidade com procedimentos q toma ações quando os processos aparentam não funcionar efetivamente. Os processos estão sob constante melhoria e servem de boas práticas. A automação e ferramentas são usadas de forma limitada e fragmentada.

f) 5 – Otimizado – os processos foram refinados ao nível de boas práticas, com base nos resultados de melhorias contínuas e modelagem de maturidade com outras organizações. A TI é usada de forma integrada para automatizar o fluxo de trabalho, provendo ferramentas para melhorar a qualidade e a efetividade, permitindo rápida adaptação da organização.

Além do modelo genérico de maturidade descrito acima, o ITGI (2007a) define, para cada processo do Cobit, um modelo de maturidade específico, no qual fixa as condições observáveis no processo que o qualifica a ser enquadrado em cada um dos seis níveis de maturidade já mencionados. As dificuldades para utilização desse modelo de maturidade fica por conta do caráter conceitual e, portanto, sujeito à interpretação do leitor, das regras de enquadramento dos processos nos diferentes níveis de maturidade e do não estabelecimento de correspondência das práticas ou objetivos de controle preconizadas para cada processo com os níveis de maturidade.