Maturidade do COBIT (Medição)

Maturidade do COBIT (Medição)

Trata-se de um guia de boas práticas apresentado como framework, dirigido para a gestão de Tecnologia da Informação (TI). Mantido pela ISACA (Information Systems Audit and Control Association), possui uma série de recursos que servem como um modelo de referência para gestão da TI, incluindo um sumário executivo, um framework, objetivos de controle, mapas de auditoria, ferramentas para a sua implementação e, principalmente, um guia com técnicas de gerenciamento. Especialistas em gestão e institutos independentes recomendam o uso do COBIT como meio para otimizar os investimentos de TI, melhorando o retorno sobre o investimento (ROI), fornecendo métricas para avaliação dos resultados [Key Performance Indicators (KPIs), Key Goal Indicators (KGIs) e Critical Success Factors (CSF)].


O COBIT independe das plataformas adotadas nas empresas, do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa.


O COBIT 5 é a versão atualUma das principais alterações em relação à versão anterior, 4.1, é a integração com outros conjuntos de boas práticas e metodologias, como padrões ISO e ITIL, dentre outros.


Auferir conformidade com o COBIT é determinar a maturidade da estrutura de controles de tecnologia da informação ou, traduzindo, da forma como a empresa com o assunto, em níveis de 0 a 5, cada nível correspondendo a uma quantidade de controles implementados e de variações encontradas, mas evidenciadas, quanto à sua eficácia para os negócios, conforme abaixo:


0 – Inexistente (a organização não reconhece a existência de um processo a ser gerenciado).

1 – Inicial (há evidência de que a organização reconhece que o processo existe e que as necessidades devem ser endereçadas. Entretanto não há um processo padronizado e o gerenciamento é caso a caso e desorganizado).

2 – Repetível, porém, intuitivo (os processos são estruturados e procedimentos similares são seguidos por diferentes indivíduos para a mesma tarefa. Há forte dependência do conhecimento individual e existe alguma documentação).

3 – Definido (os processos são padronizados, documentados e comunicados. Entretanto, deixa a cargo dos indivíduos seguirem os processos. Não há certeza de que os desvios serão detectados).

4 – Gerenciado (existe a possibilidade de monitorar e medir a conformidade dos processos com os procedimentos definidos. Há ações para melhoria e uso de algumas ferramentas automatizadas).

5 – Otimizado (os processos foram refinados até alcançar as melhores práticas, com base no resultado de melhoria contínua e comparações com outras organizações. A TI é usada para automatizar os fluxos de trabalho, provendo ferramentas para aumentar a qualidade e efetividade dos processos).


(*) Fragmentos deste material foram retirados de literaturas COBIT.

Qual a importância para a empresa?

Depende da necessidade de cada negócio. Para Bancos ou empresas avaliadas pelas IGCs (Inspeções Gerais de Controle) do Banco Central do Brasil (BACEN) (Bancos, Financeiras, Consórcios, Adquirentes e Redes de Cartões de Crédito, Arranjadores de Pagamento, etc.), a importância é total, pois o mapa de cobrança da referida Agência Regulatória é o COBIT. Para empresas de Telecom, também, mas com a necessidade adicional de complementação de controles com o E-TON (que é outro framework de serviços pautado para o mundo das telecomunicações), e exigido pela Agência Nacional de Telecomunicações (ANATEL). Quanto às demais empresas, se não seguirem outra estratégia de organização e controles, notadamente em grandes estruturas de Datacenters, com grandes volumes de dados e de pessoal, recomenda-se, também, a utilização do COBIT, pois se trata da “melhor prática”, mantida há quase duas décadas, com contribuições de CIOs (Diretores de TI) e pelos responsáveis diretos pelos controles em todo o mundo.


Ter à mão tal framework e atuar com base nele é certeza de estruturar modelos adequados de serviços em TI mas, neste caso particular, a obtenção de “certificados” ou “laudos” de maturidade não são aplicáveis, mas saber como posicionar-se neste particular ajuda bastante a entender o real posicionamento diante desta perspectiva.


Importante ressaltar que o COBIT trata do dia a dia, ou seja, das ações recorrentes e controláveis que existem nos Datacenters. Um framework complementar ao COBIT que a Wa2 também avalia sua maturidade é o ITIL (Information Technology Infrastructure Library), que serve para a implantação de um modelo organizado de Gerenciamento de Mudanças, onde se planeja, executa, testa e monitora qualquer alteração no ambiente de Produção de TI.


Quando se precisa disso?

Pelo menos uma vez ao ano, quando a empresa for avaliada pelas Agências de Regulamentação governamentais, esperando-se que haja evolução no processo de maturidade ou justificativas adequadas para a não evolução. Retornar, neste caso, a um patamar menor do que o atingido no ano anterior equivaleria a ter regressão na evolução escolar, o que é impossível para estudantes e, claro, muito ruim para a imagem da empresa que passar por essa situação, pois se caracteriza por redução de investimentos, notadamente se os controles não evoluídos referirem-se à Segurança, à Operação e Comunicações e à Contingência e Recuperação de Desastres, o que apresenta “liga” muito forte com as estratégias de segurança preconizadas pelas normas da família ISO 27000, complementadas pela norma ISO 22301 (de Continuidade de Negócios). Seguir o COBIT 5 é auxílio certeiro à evolução no processo.


Muito importante atentar que as notas de 0 a 5 são particionadas em pelo menos 0,5 ponto cada. Portanto, a evolução pode se dar por pouco ou muito, mas sempre de modo consistente. Desta forma, como orientação geral, não se deve observar a parte, mas sim o todo, ou seja, avaliar a real condição do ambiente a cada ciclo de verificação de maturidade, agindo de modo pontual a partir dessas análises.


Desafios e tempo de execução

Implantar o COBIT em uma organização é trabalho para vários anos, salvo quando a construção do ambiente se dá com as preocupações devidas. Entretanto, encontrar os níveis de maturidade, iniciados por 0, é atividade a ser realizada desde o primeiro momento e acompanhada ano a ano (no início do processo a cada semestre, de preferência) para “garantir” qualidade às implementações específicas no contexto geral.


O projeto de avaliação de maturidade se realiza em prazos decrescentes a cada ciclo, sendo que os dois primeiros, em geral, no primeiro ano de atuação, e podendo levar até três meses em função dos levantamentos gerais, do estudo da documentação e criação de um documento nos moldes do “Manual do COBIT” e da instrução aos participantes de como o processo ocorrerá a cada ciclo de tempo. Como se trata de trabalho a partir de conhecimento agregado, ou seja, a cada análise se parte da anterior, geralmente quando se atinge um nível intermediário de maturidade (digamos 2 ou 2,5 – baixo, mas crescente), o trabalho de levantamento e apontamento da maturidade se dá entre duas e quatro semanas, dependendo da complexidade de cada item a ser melhorado ou corrigido à frente, de acordo com o trabalho anterior.


Em termos de desafio, o principal que se enfrenta em projetos deste tipo é quando se constrói e se trabalha num mesmo ambiente por muitos anos, com pessoas “viciadas” em determinadas atividades sem os devidos controles, e fazer com que elas se adéquem à nova realidade. Não raro, algumas pessoas são trocadas em processos como estes, pois retrabalho e dispêndio de horas adicionais costumam acontecer com frequência, gerando instabilidade no time e prejuízos ao processo de implantação. Por outro lado, quando se tem um time forte e conhecedor dessas regras, existente na empresa ou vindo de outros ambientes com COBIT implantado, o trabalho costuma fluir com mais facilidade, gerando sinergia e ampliando fortemente os níveis de maturidade a cada novo ciclo de avaliação.


Outro desafio que deve ser enfrentado é o da ação política da empresa frente aos investimentos (sempre necessários) para se crescer no nível de maturidade. O foco da produtividade e do atingimento de resultados constantes pode toldar a visão da alta gestão; então, sempre se recomenda o apoio de especialistas com visão e linguagem adequada para interfacearem com a diretoria, visando a fazê-la entender o que se pretende e o que se pode alcançar com a implementação do COBIT.