Governança de TI e COBIT

Veja neste artigo os principais pontos do COBIT, um dos mais usados frameworks de governança de TI, além de informações sobre a certificação COBIT Foundation, oferecida pela ISACA, organização mantenedora deste framework.

A TI muitas vezes é vista pelos executivos de uma empresa (não técnicos) como uma espécie de caixa preta, da qual pouco se sabe e muito se teme.

É difícil, para muitos, saber o que se pode exigir desta vital área da organização, como medir seu desempenho, como, enfim, tirar o maior proveito do, em geral, alto investimento que é demandado por esta área.

Cada vez mais, a informação é um ativo de vital importância para as organizações e a área de Tecnologia da Informação exerce um papel essencial na geração e manutenção deste ativo.

Por um lado, é preciso abrir os olhos do pessoal mais técnico para a necessidade de alinhar os objetivos da TI com os objetivos da organização, gerenciar o risco, estar em dia com a legislação (compliance). Por outro, devemos prover o corpo executivo da organização de uma linguagem não técnica que lhe permita atingir tais objetivos, estendendo a governança corporativa para a Tecnologia da Informação.

A necessidade de uma boa governança de TI tem se tornado preocupação primordial nas organizações.

Esta é uma área bastante promissora para profissionais de TI, de perfil técnico, que queiram alçar novos voos em suas carreiras, mostrando sua capacidade de entender e participar mais efetivamente da parte de negócio, estratégica, da empresa.

Uma forma bastante prática de demonstrar o entendimento deste vocabulário, que é mais ligado à área de negócio que técnica, é certificar-se em algum modelo de governança de TI, dentro os quais, destaca-se o COBIT.

O que é COBIT?

O COBIT é um dos frameworks de governança de TI mais utilizados mundialmente. Nascido da experiência acumulada de anos, das melhores práticas aplicadas pelo mercado, por profissionais de centenas de organizações, é mantido pela ISACA, uma associação global de profissionais de auditoria e controle em sistemas de informação.

O Control Objectives for Information and related Technology (COBIT) fornece um conjunto de boas práticas amplamente utilizadas pelo mercado.

Além disso, o COBIT foi pensado para se adequar ao COSO (“Committe of Sponsoring Organisations of the Treadway Commission’s Internal Control - Integrated Framework”), um modelo de controles internos que é amplamente aceito para governança e gerenciamento de riscos empresariais.

O Framework COBIT

O COBIT tem como objetivo principal o alinhamento entre os objetivos do negócio e os objetivos da TI, fazendo com que a TI atenda às necessidades de negócio (requisitos de negócios) da maneira mais eficiente possível.

Em muitas organizações, a TI parece ter uma vida independente da empresa em que está inserida, muitas vezes sendo difícil para a alta direção compreender, por exemplo, como os investimentos aplicados nesta área ajudam a organização a atingir seus objetivos, suas metas.

O COBIT vai ao encontro desta e outras necessidades, ajudando a guiar os investimentos na área de TI, analisar riscos e atender a legislação pertinente.

Nesta nova perspectiva, os investimentos de TI são guiados pelas necessidades do negócio, sendo usados em processos de TI que entregam algum valor de volta à organização, respondendo aos requisitos de negócios que criaram o ciclo, como mostra a Figura 1.

Figura 1. Alinhamento TI e Negócios

Os objetivos de controle definem as metas da TI, que devem estar alinhadas às metas do negócio. O COBIT foca em cinco pontos, vistos na Figura 2: alinhamento estratégico, entrega de valor, gestão de recursos, gestão de riscos e medir o desempenho. O framework define um conjunto de objetivos de controle para 34 processos de TI (versão 4.1), divididos em quatro domínios: Planejar e Organizar, Adquirir e Implementar, Entregar e Suportar e Monitorar e Avaliar.

Figura 2. Pontos principais do COBIT

Os processos são organizados em domínios de acordo com seus objetivos (Figura 3), mas os processos se comunicam entre si, atravessando as fronteiras dos domínios, uns gerando saídas que funcionam como entrada para os outros.

Figura 3. Os domínios do COBIT

Cada processo traz, além dos objetivos de controle, que são requisitos de alto nível para aplicar a governança corporativa à TI, métricas e modelos de maturidade para cada processo.

As métricas fornecem um meio da organização medir o desempenho do processo.

Os modelos de maturidade são um meio de avaliar quão desenvolvidos estão tais processos na organização, podendo variar desde não-existente até otimizado, como mostra a Figura 4.

Figura 4. Modelo de maturidade dos processos no COBIT

Os modelos de maturidade ajudam a organização a melhorar o nível de maturidade de seus processos.

COBIT Foundation Exam

A ISACA fornece a certificação COBIT Foundation como uma forma dos profissionais demonstrarem seu conhecimento do vocabulário (syllabus) básico do framework.

A prova é feita pela internet, no próprio site da instituição. Consiste de 40 questões de múltipla escolha versando sobre(i):

A pontuação mínima exigida é de 70%, ou seja, 28 questões. A prova tem duração de 60 minutos e pode ser feita em qualquer computador ligado à internet, sem a necessidade de ir a um centro de exames.

Ao final do exame, o candidato já fica sabendo do seu desempenho e, obtendo a pontuação mínima, tem disponível no site da ISACA a opção de imprimir seu certificado.

Apesar da versão atual do COBIT ser a 5, a prova de certificação é oferecida para a versão 4.1 do framework. O certificado, na verdade, não especifica a versão que serviu de base para a aplicação da prova e não possui tempo de validade.

A prova tem valor de U$150,00, que devem ser pagos por meio de um cartão de crédito internacional.

Para comprar o exame, proceda da seguinte maneira:

Entre no site da ISACA (www.isaca.org), passe o mouse sobre Education, clique em eLearning Campus e depois Go to the Campus, como vemos na Figura 5.

Figura 5. Navegando no site - entrando no campus virtual

Aqui você deverá criar uma conta (Create an acoount) e depois voltar a esta mesma página para fazer Login.

Após ter se logado, clique em Catalogue, na tela seguinte em Cobit e, finalmente, Cobit Foundation Exam v 4.1 Portuguese, como vemos na Figura 6.

Figura 6. Navegando no site - comprando a prova de certificação

Agora é só selecionar a prova (em português ou, se preferir, em inglês), colocar no carrinho (AddtoCart) e pagar pelo exame. Você poderá prestar o exame em até 60 dias após a data de pagamento.

Podemos observar que mesmo sendo a versão 5 do COBIT a mais atual, a prova de certificação disponível é para o COBIT 4.1.

Para fazer a prova, depois de ter comprado a mesma, voltando à tela do campus (Go to Campus), aparecerá, na parte esquerda da tela, abaixo de Courses o exame comprado, o qual poderá ser acessado pelo link disponível (Figura 7).

Cuidado para não iniciar o exame sem ter se preparado, pois uma vez iniciado não poderá ser refeito, a não ser pagando-se por uma nova prova. É bom ter certeza que a conexão com a Internet também está em ordem, para evitar que uma falha de conexão no meio da prova venha a causar problemas para o candidato.

Figura 7. Entrando na página do exame

Depois de passar no exame, o usuário poderá achar (tendo feito o login) em Transcripts o link para imprimir seu certificado.

Uma boa leitura do padrão COBIT 4.1, disponível no site, em português (veja link em referências) é uma ótima fonte de informação sobre o framework, pois além de descrever as motivações e objetivos gerais do mesmo contém todos os processos detalhados, mas pode não ser o suficiente para prover o candidato com o conhecimento necessário para passar no exame.

A ISACA fornece em seu site alguns webinars (em inglês) sobre o COBIT. Muitos focam na versão mais nova, mas ainda são pertinentes para os assuntos cobrados na prova.

Procure no site, em Education, por Webinar e irá aparecer uma lista daqueles que já foram apresentados, os quais podem ser acessados gratuitamente. Os slides (em PDF) utilizados na apresentação do webinar também estão disponíveis.

Destacamos, a nível introdutório, 5 Essential Facts About COBIT e A COBIT 5 Overview.

Para acessar os webinars você terá de se cadastrar no site da BrightTalk. Ao clicar sobre o título do webinar, a tela seguinte conterá um link para fazer o cadastro, caso ainda não tenha sido feito. Depois de efetuar o cadastro, se preferir, é possível ver os webinars disponíveis no canal da ISACA dentro do BrightTalk.

Para aqueles que são totalmente leigos no assunto, começar lendo algum material sobre governança de TI é recomendável.

Além do padrão, a prova de certificação versa sobre produtos complementares da ISACA, como o ValIT(ii), que trata de investimentos em TI e o RiskIT(iii), que versa sobre avaliação de riscos relacionados ao uso da TI dentro da organização.

A documentação destes produtos não está disponível para download gratuito, mas é possível ter uma visão geral (overview) dos mesmos no site.

Vale salientar que estes produtos, entre outros, foram incorporados ao COBIT na versão 5, mais atual.

O fato de serem cobrados na prova de certificação, embora vistos como parte acessória do framework, pode explicar por que não existe prova de certificação para a versão 5, como se pode observar no site da ISACA.

A prova testa os conhecimentos básicos do candidato em governança de TI com o uso do COBIT, as questões são diretas, sem "pegadinhas", exigindo mais o uso de raciocínio e bom senso que conhecimento de termos técnicos.

Além de se fazer um bom estudo do padrão, seria aconselhável procurar fazer um simulado antes de realizar a prova, com o intuito de verificar seu nível de conhecimento do assunto. Levando em conta o valor da prova, é importante estar bem preparado para não correr o risco de se precisar repetir o exame.

Considerações finais

Cada vez mais, as empresas investem em governança de TI.

Com o avanço de tecnologias como a Cloud Computing, que leva a infraestrutura de TI cada vez mais para fora das organizações, impactando no tamanho da área dentro da empresa e do número de profissionais de perfil estritamente técnico necessários dentro da organização, estes profissionais precisam achar novos caminhos.

Como bem destaca a própria Intel em relação ao tema, cada vez mais os profissionais de TI precisam "encontrar novas formas de atuação e novas maneiras de mostrarem-se úteis dentro do organograma da empresa"(iv), mostrando que além de um papel técnico são capazes de desempenhar um papel mais estratégico dentro da organização.

A certificação COBIT não é ainda, pelo menos no Brasil, tão procurada quanto outras da área de TI, como ITIL.

Para fazermos uma comparação, se entrarmos uma busca no site LinkedIn, encontraremos, no Brasil, mais de setenta mil profissionais que colocaram ITIL em seu currículo.

Fazendo uma busca por COBIT, no mesmo site, encontraremos, para o Brasil, pouco mais de vinte e oito mil resultados, ou seja, menos da metade, como vemos na Figura 8.

Figura 8. Comparando resultados busca por COBIT e ITIL no LinkedIn

Um ponto que precisa ser melhorado, em relação à certificação COBIT, é a inexistência de um mecanismo no site da ISACA para verificar a validade do certificado emitido.

Uma vez que o certificado é emitido para o usuário na forma de um arquivo de imagem, seria importante que houvesse um número de registro vinculado ao mesmo para permitir a confirmação da sua autenticidade.

Referência Bibliográfica

Confira também

Artigos relacionados