Todo poder ao Cobit

Françoise Terzian

17 de julho de 2008

Conceito

Gerenciar a TI e os seus ativos, processos e suas necessidades é uma tarefa que exige do CIO uma capacidade e tanto. Assim como um super-herói, ele precisa de visão de raio x para alinhar a TI ao negócio, superaudição para captar ruídos de comunicação e velocidade extra para alcançar as metas. Deve ainda acabar com as vulnerabilidades que ameaçam a área, satisfazer usuários e acionistas com serviços de alta qualidade e atender às exigências legais. Só com armas poderosas o CIO é capaz de alcançar tudo isso, e o Cobit desponta como uma das mais eficazes dessas armas.

Sigla de Control Objectives for Information and Related Technology, o Cobit é um guia das melhores práticas para auditoria e governança de TI. Queridinho do setor financeiro, ele pode ser adotado por empresas de qualquer segmento e porte, independentemente das plataformas de hardware e software usadas. Com esse modelo de controle interno em mãos, o CIO passa a gerenciar seu departamento com uma visão holística. “O Cobit é hoje o astro da governança de TI e ajuda a melhorar sua gestão”, diz Jorge Luís Cordenonsi, líder de solução de gerenciamento de serviços de TI da IBM e professor de governança de TI da FGV-EAESP.

Ao seguir o modelo do Cobit, o CIO fortalece sua capacidade de observação e controle do ambiente e pode obter informações sofisticadas sobre o nível de maturidade de cada um de seus processos. O Cobit também aponta o que deve ser melhorado, embora não diga como fazer. Isso é considerado positivo pelos consultores, pois libera a empresa de ter de usar uma solução única e engessada para resolver os problemas da TI.

Caberá ao CIO escolher outros frameworks para potencializar o poder do Cobit. As empresas podem optar por metodologias como Itil, BS7799, CMMi, Balanced Scorecard e Coso, este último um guia das melhores práticas para as áreas financeira e operacional. É possível usar todas essas receitas ou nenhuma. Quem decidirá é a empresa, baseada em suas reais necessidades. Outra razão forte para se render ao modelo do Cobit é a necessidade de atender às exigências da lei Sarbanes-Oxley e das regulamentações da Basiléia II, no caso dos bancos.
|quebra|

Maior intergração

Nascido na auditoria e depois organizado pelo instituto americano IT Governance Institute (ITGI), o Cobit modernizou-se e está bastante integrado na sua versão 4.0, lançada em dezembro de 2005. Atualmente o Cobit é composto de 34 processos de TI, como definição do plano estratégico, gerenciamento de projetos, avaliação de riscos, gerenciamento de mudanças, monitoramento de processos, entre outros. Cada processo se subdivide em objetivos de controle, totalizando 214. Na versão anterior, eram 318. Embora não seja obrigatório adotar todos os processos, acredita-se que quanto maior o número, mais controlado será o ambiente de TI. Segundo o instituto Forrester Research, o Cobit 4.0 surge como uma forte estrutura para a governança de TI, agora ainda mais incrementada, organizada e coerente que sua antecessora, a versão 3.0.1. Seu maior benefício é trazer todas as informações integradas em uma mesma estrutura e organizadas em quatro domínios: planejamento e organização; aquisição e implementação; entrega e suporte; e, por fim, monitoramento e evolução.
“Com a nova versão, o Cobit ficou muito mais factível de ser implementado, já que está mais aderente aos processos do Itil e ainda teve seu desenvolvimento baseado nas dimensões do Balanced Scorecard”, afirma Antonio de Sousa, sócio-diretor da Big Five Consulting e professor do MBA em TI da FIA-USP. Apesar de seus muitos benefícios, Sousa faz um alerta: “Não encare o Cobit como uma fórmula mágica, com implementação fácil e rápida, voltada para qualquer um que lê o livro, e sem necessidade de manutenção”, afirma.

Adoção

Cobit dá o diagnóstico, mas não diz o que fazer

Cobit é um modelo, não uma metodologia ou um software. Portanto, não se implanta Cobit com prazo para início e término. Ele é adotado, observando suas propostas e comparando-as com o estágio atual da empresa, seus processos e o nível de maturidade. Como todas as informações do Cobit são gratuitas, Cesar Augusto Monteiro, sócio-diretor da consultoria IT Partners, diz que o CIO que quiser pode simplesmente ler o material disponível no mercado e partir para a adoção. Mas é importante seguir um roteiro, definindo sempre os próximos passos. A primeira coisa que o CIO precisa saber a respeito do Cobit é que não há regras rígidas a seguir. Seu tempo de adoção também não é cronometrado. Adotar os processos do Cobit para valer é uma tarefa de meses e que só vai surtir efeito se o board da companhia apoiar, se houver uma mudança de cultura e se a própria TI amadurecer juntamente com seus processos.

Se optar pela contratação de uma consultoria, o trabalho envolverá horas de entrevista com os gestores para entender quais são os processos da TI, quem é o responsável pelo que, qual o nível de maturidade de cada processo, entre outras respostas para uma lista considerável de perguntas. Antes de propor uma melhoria, a consultoria deve, ao lado da TI e da área de negócios, observar os 34 processos que compõem o modelo e verificar quais são os mais críticos para sua realidade e em que grau de maturidade eles aparecem na empresa naquele momento.
|quebra|
Essas respostas podem ser obtidas a partir da execução do Diagnóstico de Maturidade, que contempla o mapeamento de todos os processos de TI, identificando qual o respectivo nível de maturidade segundo os critérios do Cobit. São seis os cenários possíveis: desde o inexistente, quando o gerenciamento de processos não é aplicado, até o otimizado, no qual as melhores práticas são seguidas e automatizadas. Dessa forma, pode-se identificar quais são os processos mais críticos a serem implementados na frente. Essa avaliação é feita com base no nível de risco de cada processo para a empresa.

“O Cobit dá o diagnóstico do que fazer, mas não fala como fazer, questão que terá de ser resolvida com a ajuda das melhores práticas de uma série de metodologias”, afirma Monteiro, da IT Partners. Depois de confrontar a análise dos processos com a lista do Cobit, é chegada a hora de adaptá-los. Com isso, o CIO deve definir quais frameworks deve adotar. Os tipos escolhidos dependerão de questões como segurança, desenvolvimento, gerenciamento de serviços e suporte de TI da empresa naquele momento. Definidas as melhorias, depois é arregaçar as mangas e adaptar os processos atuais aos desejados. É nessa hora que o CIO enfrenta os maiores desafios do Cobit. Para amadurecer os processos, a TI terá de mudar. Segundo Monteiro, o Cobit é um projeto que deve agregar valor aos processos, o que significa derrubar barreiras, integrar grupos, chamar o pessoal de desenvolvimento e consertar erros de produção.

Equipe dedicada

Com a necessidade de tantas mexidas, o CIO certamente irá se deparar com resistências, motivo que o levará a adotar o gerenciamento de mudanças. Para conduzir essa fase com maestria, Antonio de Sousa, sócio-diretor da Big Five Consulting, recomenda a criação de uma campanha de conscientização, seguida pela capacitação dos profissionais. “As campanhas devem ser dirigidas separadamente a cada público, mostrando como cada um deve se beneficiar das guias de gerenciamento, implementação de controles e auditoria do Cobit”, diz Sousa.

Jorge Luís Cordenonsi, da IBM, também acredita que o pulo do gato do Cobit está no trabalho de conscientização. Por isso, sugere que o CIO peça o apoio de um executivo forte de negócios e também da área de RH. “É bom que a empresa compreenda que o Cobit deve fazer parte de uma iniciativa maior de governança de TI. Não se deve adotar o Cobit pelo Cobit”, afirma Cordenonsi.

Outra providência a ser tomada pela empresa refere-se ao treinamento e à certificação dos profissionais. “A falta de gente certificada é um problema, já que há a necessidade de garimpar o conteúdo de cada livro do Cobit”, diz Sousa.
Feito isso, a empresa deverá definir uma equipe dedicada ao projeto de adoção do Cobit. Só assim o CIO conseguirá tocar o dia-a-dia da TI em paralelo com essa nova demanda. Além disso, um erro que deve ser evitado refere-se ao pós-adoção do Cobit. Como os ambientes de negócios e TI são muito dinâmicos, o Cobit exige que essas mudanças sejam acompanhadas ao longo do tempo, conforme os critérios definidos no Domínio de Monitoramento. A idéia é assegurar que todos os controles sejam efetivos. Sousa sugere que a TI efetue, de tempos em tempos, o Diagnóstico de Maturidade para assegurar melhoras contínuas.
|quebra|

Tendência

Kit básico do CIO

O Cobit sozinho não consegue colocar em prática uma governança de TI completa e eficaz. Embora seja importante para a grande maioria das empresas, o modelo só conseguirá agregar mais valor à TI se for combinado com algumas metodologias de mercado. Jorge Luís Cordenonsi, da IBM, sugere o uso em conjunto com as melhores práticas do Itil (IT Infrastructure Library) e do ISO 27001.

Como o Cobit será desenhado sob medida para cada empresa, que, nas entrelinhas, colocará em uso uma espécie de My Cobit, é mandatório que outros recursos sejam utilizados para garantir a evolução e a eficiência do ambiente. Segundo Sérgio Rubinato, vice-presidente do itSMF Brasil, o Cobit dá as recomendações para implantar os controles. Já o Itil e o CMMi se encarregam de gerar evidências.

Três-em-um

“O Cobit diz, por exemplo, que você tem de garantir todos os ativos de TI cadastrados, mas não explica como fazer. É aí que entra o Itil, com seu gerenciamento de configuração”, diz Rubinato. Ou seja, o modelo Cobit aponta para onde se deve ir e o Itil ajuda a encontrar o caminho. Para Cesar Augusto Monteiro, da IT Partners, como o Cobit não mostra os passos do que deve ser feito, a TI deve tirar as respostas de outros modelos como o PMI, o Balanced Scorecard e o EFQM (European Foundation for Quality Management). Daí para a frente, dependendo do momento e da necessidade da empresa, outras metodologias surgem. No quesito monitoramento, Six Sigma e ISO 9000 são indicadas.
Com tantas mudanças na gestão da TI, o trio Cobit, Itil e ISO 27001 transformou-se no kit básico do CIO. Integrados, eles funcionam como uma cartilha das melhores práticas. O meio acadêmico americano trabalha no desenvolvimento de um sistema que vai unir as três metodologias. “Assim deve nascer um sistema integrado”, diz Rubinato. A vantagem desse três-em-um seria adotar o sistema de uma só vez. Segundo o Forrester Research, quando o Cobit 4.0 é usado com o BSC a área de TI salta para uma curva surpreendente de maturidade, que resulta numa melhora significativa do gerenciamento dos ativos.
|quebra|

Aplicação

Vivo investe em treinamento

Maior operadora de telefonia celular do país, a Vivo percebeu que precisava falar a linguagem do Cobit para gerir melhor sua TI, já que a área é considerada vital para a operação. De olho em uma melhor governança, a Vivo iniciou a adoção do Cobit em 2004, pelas pernas da TI, mas com uma mão das áreas de auditoria interna e de processos. “O Cobit é o framework mais amplo e com maior abrangência”, afirma Andréia Martins, gerente da divisão de planejamento de sistemas da Vivo.

Para ajudar no processo de adoção do modelo, a Vivo contratou uma consultoria externa e dividiu sua tarefa em três grandes fases: definição do escopo, definição do plano de ação e teste e implementação. Segundo Márcio Araújo, gerente de governança de TI da Vivo, os principais desafios de adoção foram culturais, já que modificaram bastante o dia-a-dia dos profissionais da TI. “As pessoas não estão preparadas para assumir mudanças, razão pela qual investimos bastante em treinamentos variados, com temas sobre processos, gestão e o papel de cada um dentro do projeto”, diz Araújo. As áreas mais exigidas pelo projeto foram as de infra-estrutura e planejamento.

Governança

O Cobit entrou em operação no ano passado na Vivo e, embora sua adoção já tenha ocorrido, Araújo afirma que o processo de monitoração é contínuo. Os resultados obtidos com o modelo começaram a aparecer logo após sua implementação. Eles incluem desde transparência nas operações de TI até uma maior eficiência na resolução de problemas. Aplicado dentro de um conceito maior de governança de TI, o Cobit ajuda na revisão de processos e de pessoas. “Com a metodologia, a área de TI se enxerga e se compreende melhor”, afirma Andréia. Com a missão de ajudar na tarefa de guiar a TI, o Cobit é considerado importante para a Vivo, mas não é visto como ferramenta única e exclusiva para atingir o tão desejado sucesso na governança.
Segundo Araújo, a operadora também usa CMMi para desenvolvimento de sistemas, Itil para infra-estrutura, PMI para gerenciamento de projetos e BS7799 para segurança. “Embora esses modelos tenham surgido em momentos distintos, nossa idéia foi sempre ter tudo integrado”, diz Araújo.
|quebra|

Aplicação

Governança nos Correios

O Cobit entrou inicialmente para a rotina dos Correios pela porta da auditoria interna, no ano 2000. Após analisar o modelo em detalhes, a empresa realizou, dois anos mais tarde, a primeira auditoria na área de TI usando o Cobit 3.0. Posteriormente, a auditoria integrou o Audit Guideline (guia da auditoria) do modelo aos seus procedimentos corporativos. Depois de ganhar o aval da auditoria, foi a vez de a diretoria de tecnologia transformar a governança de TI em um de seus pilares. Com isso, vários treinamentos, palestras e sensibilização em relação ao Cobit foram realizados nos mais diversos níveis da organização e do departamento de TI.

Depois de muitos estudos e análises, foi só no ano seguinte que a diretoria decidiu usar o Cobit para implementar a avaliação de todos os seus processos de TI. Foi aí que os Correios optaram pela contratação de uma consultoria externa para levantar todos os processos contidos no Cobit 3.0, criar um Diagnóstico de Maturidade e elaborar um Guia de Recomendações para efetivação de melhorias e adoção do modelo.

Durante quatro meses, a TI e toda sua infra-estrutura passaram por um diagnóstico minucioso. Seus ativos e processos foram analisados, demonstrando o estágio no qual se encontravam sob o ponto de vista do Cobit. Do diagnóstico de maturidade surgiram informações importantes para a empresa, que descobriu, por exemplo, que, na média, 6% dos 34 processos propostos pelo Cobit apresentavam-se abaixo da média internacional. Foi o diagnóstico de maturidade que mostrou em que estágio a TI dos Correios se encontrava e para onde deveria ir. “O Cobit se apresentou como algo bom para a rotina da tecnologia, um modelo que assegura uma visão sistêmica e integrada”, diz Carlos Henrique de Luca Ribeiro, subchefe da Coordenação de Integração de Projetos (Cipro) da TI dos Correios. Apesar dos benefícios que o modelo promete, Ribeiro sabia que sem a sensibilização de todos os profissionais da tecnologia, o projeto corria o risco de não sair do lugar.

Diante dessa necessidade de preparação para a mudança, toda mão-de-obra da TI foi abastecida com palestras, capacitação e patrocínio da alta gestão. Esse cuidado era necessário para conscientizar os cerca de 800 profissionais que trabalham na diretoria de tecnologia e infra-estrutura da Administração Central dos Correios. No primeiro semestre de 2005, o Cobit entrou em operação.

Diferentemente do que pensava a empresa, que entrega 32 milhões de cartas e objetos por dia, o Cobit trouxe fôlego novo para a TI e os negócios. Além de gerar maior segurança da informação e pessoas mais focadas em processos horizontais entre áreas, o Cobit levou os Correios a acordar para o tema governança corporativa. “Foi graças ao Cobit que passamos a adotar Itil, PMI e CMMi”, diz Ribeiro. Atualmente, os Correios têm cinco profissionais trabalhando em tempo integral no projeto do Cobit.

Qualidade do negócio

Responsável por levantar a bola do Cobit, há seis anos, o departamento de auditoria dos Correios ganhou ao verificar que os processos da TI encontram-se em conformidade com seu manual. Resultado: os Correios passaram a usar a governança de TI como forma de aumentar a qualidade nas operações de coleta, tratamento (triagem) e entrega de objetos. Hoje, há muita TI envolvida nas máquinas de triagem de cartas, na entrega do Sedex 10 e na oferta de outros serviços da empresa. Com o surgimento de uma nova versão do Cobit, no final do ano passado, os Correios decidiram rever seus processos e o grau de maturidade. Uma das mudanças efetuadas na versão 4.0 foi a revisão e a integração dos objetivos de controle, que caíram de 318 para 214. De olho na evolução do modelo, Ribeiro conta que 13 processos dos Correios, de um total de 34 elencados pelo Cobit, foram considerados com baixo nível de maturidade (níveis 1 e 2). Como essa nota baixa pode comprometer o serviço de TI e seu apoio aos negócios, agora a meta é melhorá-los.
|quebra|

Aplicação

Mais disciplina para a TI do banco Panamericano

Transformado em plataforma de negócios, o ambiente de tecnologia vem se tornando cada vez mais complexo e dinâmico, o que dificulta seu gerenciamento. Diante desse cenário, o banco Panamericano, instituição do grupo Silvio Santos focada em financiamento, empréstimo pessoal e consórcio, percebeu que precisava estabelecer métricas e indicadores para cada serviço. “Como o Cobit é uma metodologia bastante completa e que engloba todas as áreas ligadas direta ou indiretamente à TI, decidimos que a mudança não poderia ser radical, mas paulatina”, diz Rodrigo Rodriguez Martin, coordenador de auditoria da divisão financeira do grupo Silvio Santos.

A mesma visão teve Roberto Rigotto, diretor de TI do Panamericano, para quem o Cobit é uma necessidade urgente para quem precisa responder às normas do Banco Central. Foi dessa forma que, em março de 2005, o Panamericano deu os primeiros passos rumo ao modelo. O ponto de partida foi a contratação de uma consultoria, a Big Five Consulting, que se encarregou de dividir o projeto em etapas. A primeira foi a realização de um diagnóstico de maturidade dos objetivos de controle previstos no Cobit.

Controle e qualidade

A partir desse diagnóstico, Martin diz que foi criada uma matriz que leva em consideração o grau de risco de cada objetivo de controle (alto, médio e baixo) em relação à probabilidade de impacto. O projeto previu ainda um gap analisys entre a média de mercado e a maturidade da TI do banco. Feito isso, o Panamericano separou os objetivos de controle em mais três etapas de prioridades: objetivos de alto, médio e baixo riscos.

A estratégia de adoção do Cobit contempla um comitê operacional que discute a implantação de cada objetivo de controle, um comitê executivo que homologa a implantação, além de investimentos em infra-estrutura e treinamento e capacitação. A instituição encontra-se na fase de implantação do modelo. O investimento previsto para três anos de projeto é de cerca de 500 000 reais. “O Cobit traz um controle maior sobre os processos e ainda disciplina a TI”, afirma Rigotto. Dar andamento à implantação do Cobit em paralelo com as inovações e rotinas da TI não é algo fácil. É por isso que Rigotto afirma que projetos como esse levam mais tempo para ser concluídos. Nesse caso, a palavra de ordem é paciência e atenção para realizar todas as etapas com qualidade.
A implantação do Cobit no banco Panamericano deve ser concluída no próximo ano e promete trazer benefícios como a disseminação da cultura do controle na área de TI e o estabelecimento de indicadores, hoje inexistentes. A expectativa é que as mudanças garantam um melhor gerenciamento do negócio. “O Cobit também traz maior tranqüilidade nas decisões que envolvem o equilíbrio entre investimentos, riscos e controles”, afirma Martin.
|quebra|

Aplicação

Ferramenta de integração na Brascan

Quando Alexandre Gonzalez recebeu o convite para assumir a TI do grupo Brascan Brasil, com atuação em áreas diversas, como mineração, energia, engenharia e construção, deparou-se com uma organização dominada por diferentes modelos de arquitetura. Enquanto algumas empresas trabalhavam com desenvolvimento interno e servidores in-house, outras operavam com pacotes e hosting de servidores. Como Gonzalez já havia tido uma experiência positiva com Cobit quando respondia pela TI do Banco Brascan, resolveu aproveitar o modelo para estabelecer uma governança que auxiliasse na integração das áreas de TI. Gonzalez apresentou então ao board da companhia o conceito desse framework e mostrou o quanto ele poderia ajudar a estabelecer uma governança única para as empresas. No final de 2004, o grupo começou a adotar o Cobit. Um workshop foi feito para a área de TI, mas foi só no início deste ano, com o impulso da Sarbanes-Oxley, que o projeto ganhou força. Com a ajuda de uma consultoria externa e de cinco funcionários da TI envolvidos no processo, o projeto deslanchou. Em agosto e setembro últimos, os principais procedimentos e normas foram publicados na intranet e implantados. A TI desenhou um escopo do que acredita ser o My Cobit , o Cobit ideal para a organização, e escreveu os documentos para cada processo e objetivo de controle. “Hoje, usamos fortemente o Cobit para o gerenciamento de mudanças, desenvolvimento, testes e homologação de sistemas. O modelo também é aplicado na administração de serviços de TI e monitoramento”, afirma Gonzalez.
A Brascan já começa a colher os primeiros benefícios gerados pelo Cobit. O principal deles é a transparência dos serviços prestados pela TI, assim como seus objetivos e qualidade. “Outro ponto é a criação de um histórico útil não só para a área de TI como para as áreas de negócios”, diz Gonzalez. Para potencializar os benefícios do Cobit, o grupo pretende adotar o Itil no próximo ano em um dos processos mais importantes da área, a operação. Gonzalez afirma que para a empresa isso tem um peso muito maior do que, por exemplo, o desenvolvimento de sistemas.

Publicado originalmente na Corporate de Novembro de 2006