Governança em TI com COBIT: uma visão geral

COBIT (sigla em inglês para “Control Objectives for Information and Related Technology”) é um conjunto de ferramentas (framework) cujo foco principal visa o planejamento e o controle das iniciativas da área de Tecnologia de Informação em uma organização. O órgão responsável pela publicação e trabalhos relativos à evolução do COBIT é conhecido como ISACA (“Information Systems Audit and Control Association” - http://www.isaca.org).

O COBIT encontra-se estruturado em domínios (Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte; Monitoração), processos, níveis de maturidade (possuem similaridade com o CMMI) e indicadores (quantitativos e qualitativos).

Existe, dentro das diversas diretrizes definidas pelo COBIT, uma forte ênfase na auditoria dos processos de TI. Busca-se, assim, o controle dos diversos riscos relacionados à área de tecnologia dentro de uma companhia. Tudo isto é alcançado mediante a utilização de técnicas de gerenciamento, controle de objetivos, auditoria, implementação e avaliação de resultados.

Dentro da área de Gestão de Sistemas de Informação, o COBIT é utilizado como uma ferramenta de governança em TI que possibilita aos níveis gerenciais de uma organização identificar quais controles são necessários. Além disso, permite avaliar a eficácia de tais controles através de ferramentas de auditoria.

O conceito de governança em TI refere-se tanto às atividades que dizem respeito à área de tecnologia de uma companhia, como também aos meios utilizados para monitoração da mesma.

Considerando o cenário econômico e político da última década, o COBIT como ferramenta para a governança em TI teve um aumento considerável em sua aceitação a partir da lei SOX (abreviação de Sarbanes-Oxley). Esta regulamentação foi aprovada em 2002 pelo congresso norte-americano, representando uma reposta incisiva a uma série de escândalos financeiros ocorridos em empresas com falta de transparência em sua gestão.

Assim sendo, companhias que necessitem de adequação a normas regulatórias (como a lei SOX) podem, levando em conta o contexto em que estão inseridas, utilizar-se do COBIT como ferramenta de monitoração e auditoria dos processos em TI. O COBIT também procura conciliar questões técnicas com aspectos relativos ao gerenciamento de riscos das diversas atividades desenvolvidas.

A versão 5.0 deste framework foi lançada em 2012. Isto não significa que as práticas originadas de versões anteriores perderam a validade: muitas organizações já vinham empreendendo esforços na implementação de mecanismos de governança a partir das diretrizes propostas pela versão 4.1, por exemplo.

Cada domínio definido pelo COBIT possui um enfoque específico:

• Planejamento e Organização: envolve o nível estratégico, procurando identificar os caminhos para que a área de TI possa atingir os objetivos das áreas de negócio;
• Aquisição e Implementação: busca realizar as estratégias estabelecidas, focando em seu desenvolvimento ou ainda, efetuando as aquisições que se mostrarem necessárias;
• Entrega e Suporte: há aqui uma preocupação com os produtos e serviços que se deseja obter, levando em conta aspectos como segurança e continuidade;
• Monitoração: enfatiza a avaliação dos processos de TI, através da análise de fatores como qualidade e conformidade das necessidades.

Dentre os diversos tipos de indicadores fornecidos pelo COBIT, merecem destaque:

• Fatores Críticos de Sucesso: correspondem às principais orientações a serem seguidas pela área de Gestão, a fim de com isto obter um controle efetivo sobre os processos;
• Indicadores de Performance: medem a tendência de sucesso da estratégia adotada;
• Indicadores de Objetivos: definem o sucesso ou não da estratégia adotada.

Especialistas na área de TI destacam o fato deste framework poder funcionar em conjunto com outros modelos de qualidade. Um exemplo seria a utilização das técnicas de COBIT juntamente com ITIL (abreviação do inglês “Information Technology Infrastructure Library”).

Esse artigo foi elaborado com a intenção de oferecer uma visão geral do que é o COBIT, além de possíveis cenários que levem à adoção deste no mundo empresarial. O conjunto de práticas e conceitos que compõem este framework é bastante extenso, com excelentes referências e “cases” podendo ser encontrados a partir de pesquisas na Internet ou ainda, no próprio site do órgão que controla o COBIT (ICASA). Até uma próxima oportunidade!