SÍNTESE DO COBIT EM RELAÇÃO AOS DEMAIS MODELOS DE MELHORES PRÁTICAS DE TI PARA A ADOÇÃO BEM SUCEDIDA DA GOVERNANÇA MARCELO NOGUEIRA marcelo@noginfo.com.br UNIVERSIDADE PAULISTA - UNIP JAIR MINORO ABE jairabe@uol.com.br UNIVERSIDADE PAULISTA - UNIP Resumo: A COMPETITIVIDADE ENTRE AS EMPRESAS TEM AUMENTADO A PARTIR DO ADVENTO DA GLOBALIZAÇÃO. DESTA FORMA, A GESTÃO DA INFORMAÇÃO TORNOU-SE CRÍTICA PARA OS GESTORES DE TI NAS TOMADAS DE DECISÃO. A ÁREA DA TECNOLOGIA DA INFORMAÇÃO, ALINHADA À ESTRAATÉGIA EMPRESARIAL, PASSOU A SER ELEMENTO ESSENCIAL, DIANTE DA CAPACIDADE DE ELEVAR OS ÍNDICES DE PRODUTIVIDADE E DE PROPICIAR VANTAGENS COMPETITIVAS. PORÉM, A QUALIDADE DOS SERVIÇOS PRESTADOS, AO LONGO DO TEMPO, NÃO TEM APRESENTADO CONFORMIDADE COM OS REQUISITOS DE NEGÓCIOS. UM DOS PRINCIPAIS FATORES IDENTIFICADOS FOI À AUSÊNCIA DE GESTÃO SISTÊMICA NOS ÂMBITOS DE CONTROLE, TRANSPARÊNCIA E MONITORAÇÃO. ESTA DEMANDA ORIGINOU A GOVERNANÇA DE TI. E PARA COMPÔ-LA, VÁRIOS MODELOS DE MELHORES PRÁTICAS FORAM CRIADOS, E AOS POUCOS ESTÃO SENDO ADOTADOS PELAS EMPRESAS. NESTE CENÁRIO DE DIVERSIDADE, A ALTA DIREÇÃO ENCONTRA DIFICULDADES PARA ESCOLHER QUAL MODELO ADOTAR. ATRAVÉS DE UM LEVANTAMENTO BIBLIOGRÁFICO DESSES MODELOS, FOI POSSÍVEL IDENTIFICAR AS SUAS ABRANGÊNCIAS E SUAS RELAÇÕES. ESTE ARTIGO TEM O OBJETIVO DE APRESENTAR AOS PROFISSIONAIS DA ÁREA, UMA SÍNTESE DOS MODELOS E OS RELACIONAMENTOS DE SEUS PROCESSOS COM OS OUTROS MODELOS DE MELHORES PRÁTICAS, PROPICIANDO AO GESTOR, INFORMAÇÕES NECESSÁRIAS PARA APOIAR A DECISÃO DE QUAL MODELO SERÁ O MAIS ADEQUADO PARA AS NECESSIDADES DA EMPRESA. Palavras-chaves: GOVERNANÇA DE TI; COBIT; ITI; PMBOK; SOX, PRINCE2; ISO 17799.
OVERVIEW OF COBIT IN RELATION TO OTHER MODELS OF BEST IT PRACTICES FOR SUCCESSFUL ADOPTION OF GOVERNANCE Abstract: THE COMPETITION BETWEEN COMPANIES HAS INCREASED SINCE THE ADVENT OF GLOBALIZATION. THUS, INFORMATION MANAGEMENT HAS BECOME CRITICAL FOR IT MANAGERS IN DECISION MAKING. THE AREA OF INFORMATION TECHNOLOGY, ALIGNED TO BUSINESS STRATEGY, IT HASS BECOME ESSENTIAL, GIVEN THE ABILITY TO INCREASE LEVELS OF PRODUCTIVITY AND PROVIDE COMPETITIVE ADVANTAGE. HOWEVER, THE QUALITY OF SERVICES PROVIDED, OVER TIME, HAS NOT SHOWN COMPLIANCE WITH THE REQUIREMENTS OF BUSINESS. A KEY FACTOR IDENTIFIED WAS THE ABSENCE OF SYSTEMIC MANAGEMENT IN THE AREAS OF CONTROL, TRANSPARENCY AND MONITORING. THIS DEMAND LED TO IT GOVERNANCE. AND TO WRITE IT, SEVERAL BEST PRACTICE MODELS WERE CREATED, AND GRADUALLY ARE BEING ADOPTED BY ENTERPRISES. IN THIS SCENARIO OF DIVERSITY, SENIOR MANAGEMENT FINDS IT DIFFICULT TO CHOOSE WHICH MODEL TO ADOPT. THROUGH A LITERATURE SURVEY OF THESE MODELS, WE COULD IDENTIFY THEIR RANGES AND THEIR RELATIONSHIPS. THIS ARTICLE AIMS TO PRESENT TO PROFESSIONALS, A SUMMARY OF MODELS AND RELATIONSHIPS OF THEIR PROCESSES WITH OTHER BEST PRACTICE MODELS, PROVIDING THE MANAGER, INFORMATION NECESSARY TO SUPPORT THE DECISION ON WHICH MODEL IS MOST APPROPRIATE FOR THE NEEDS THE COMPANY. Keyword: IT GOVERNANCE, COBIT; ITI; PMBOK; SOX, PRINCE2; ISO 17799. 2
1. Objetivo XVIII SIMPÓSIO DE ENGENHARIA DE PRODUÇÃO O objetivo deste estudo é apresentar uma visão dos modelos de melhores práticas, para contribuir com a alta direção e gestores da área de TI na escolha do modelo de melhores práticas para governança de TI. Este artigo pretende contribuir com outros estudos de adoção e implementação da Governança de TI nas empresas. 2. Introdução Com o advento da globalização, cada vez mais as empresas, buscam apoiar-se na Tecnologia da Informação que possam propiciar relevantes contribuições aos negócios. O grande desafio está em buscar tecnologias que possam de forma real, organizar operacionalmente o processo de informação, minerar dados de forma que possam ser analisados e conseqüentemente encontrar ligações e possíveis informações que levarão a estabelecer estratégias de negócios em mercados ainda não explorados ou não enxergados, obtendo diferenciação e vantagens competitivas. O ambiente da era da informação, tanto para as organizações do setor de produção quanto para as do setor de serviços, exige novas capacidades para assegurar o sucesso competitivo. A capacidade de mobilização e exploração dos ativos intangíveis ou invisíveis tornou-se muito mais decisiva do que investir e gerenciar ativos físicos tangíveis. Os ativos intangíveis permitem que uma empresa (KAPLAN,1997): Desenvolva relacionamentos que conservem a fidelidade dos clientes existentes e permitam que novos segmentos de clientes e áreas de mercado que sejam atendidos com eficácia e eficiência. Lance produtos e serviços inovadores desejados por seus clientes-alvo. Produza bens e serviços personalizados de alta qualidade a preços baixos e com ciclos de produção mais curtos. Mobilize as habilidades e a motivação dos funcionários para a melhoria contínua de processos, qualidade e os tempos de resposta. Utilize tecnologia da informação, bancos de dados e sistemas. Com a implementação da TI, as empresas passaram a enfrentar o ambiente de competição com maiores possibilidades de obtenção de êxito nas suas operações, diante das possibilidades reveladas pelas informações omitidas pelo aglomerado de dados em suas bases. Com a complexidade inerente a área de TI, a qualidade dos serviços prestados, tanto para clientes internos ou externos, tornou-se crítica para o sucesso dos empreendimentos desenvolvidos. Ao longo dos anos de sua existência a área demonstrou dificuldades em implantar modelos sistêmicos de gestão, seja por inexistência cultural ou por resistência a mudanças. Para atender as necessidades de controle, transparência e monitoração, apresenta-se a governança de TI. Com a capacidade de se alinhar às estratégias de negócios da empresa, vem sendo adotada em larga escala pelas empresas que estão focadas em melhorar os serviços de TI prestados (FAGUNDES, 2004). Diante desta demanda, muitos modelos de melhores práticas foram criados e outros adaptados para serem aderentes a Governança de TI. Posta a diversidade dos modelos presentes para adoção, à escolha do modelo mais adequado tornou-se fundamental para o sucesso da implantação da governança de TI, pois cada modelo apresenta particularidades e especificidades, que são objetos de estudo deste artigo. 3
A prática da governança é definida simplesmente como o Ato de governar, ou seja é algo inerente à ação de se comandar um ambiente formado por pessoas, processos e tecnologias. No entanto, o conjunto de atitudes às quais o termo diz respeito atualmente, principalmente quando se fala em governança corporativa, vai muito além disso. Hoje, o termo se refere a uma melhor forma de gerenciar esse ambiente, identificando processos, definindo responsabilidades e, principalmente, mostrando claramente os resultados obtidos para a corporação. Sempre com um objetivo: dar transparência ao negócio (CERIONI,2004). Para compreender os fatores que motivam a adoção, os conceitos de Governança Corporativa e Governança de TI serão apresentados a seguir. 3. Governança Corporativa A Governança Corporativa é o modelo de gestão pelo qual as organizações são administradas e controladas. A Governança Corporativa contempla os seguintes tópicos (Nogueira, 2004): Efetividade e eficiência das operações; Confiabilidade dos relatórios financeiros; Conformidade com leis e regulamentos; Proteção dos ativos; Transparência na relação com os acionistas, colaboradores e clientes; Prestação de contas. Os modelos de melhores práticas da Governança de TI têm por objetivo atender aos requisitos fundamentais que regem a governança corporativa. 4. Governança de TI Atualmente, há uma grande expectativa acerca das aplicações da tecnologia da informação nas empresas, graças às novas alternativas para os negócios que elas proporcionam e às melhorias que trazem aos processos existentes (LAURINDO,2002). Contudo há um questionamento sobre os ganhos reais advindos dos investimentos maciços em tecnologia, pois, muitas vezes, o retorno fica aquém do esperado. Neste contexto, surge a governança de TI e o gerenciamento de riscos como assuntos fundamentais para as empresas e gestores, visto que os maiores riscos a que estão expostas às organizações atualmente, estão relacionados à tecnologia da informação. A Governança de TI define-se com um conjunto de processos e controles que direcionam a estratégia de Tecnologia da Informação, garantindo que a TI possa suportar as estratégias e objetivos do negócio (Nogueira, 2004). Figura 1 Contexto da Governança de TI (Nogueira, 2004). 4
Para a maioria das organizações, a informação e a tecnologia que suportam os negócios representam seus ativos mais valiosos. Em um ambiente cada vez mais competitivo e dinâmico, a administração requer qualidade, funcionalidade e facilidade no uso dos recursos de TI, assim como alta disponibilidade a custos mais baixos. Não há dúvidas quanto aos benefícios do uso da tecnologia, entretanto, para ser bem sucedida, uma organização deve adotar um modelo de gestão que possibilite a eficácia e eficiência da TI. É nesse contexto que o COBIT surge como um guia de melhores práticas para a governança de TI. 5. COBIT O COBIT (Control Objectives for Information and related Technology) pode ser traduzido como Objetivos de Controle para a Informação e Tecnologia relacionada. Publicado pela ISACA (Information Systems Audit and Control Foundation) em 1996, o COBIT está em sua quarta edição, atualmente mantido pelo IT Governance Institute, e compõe a sua estrutura, guias de gerenciamento requeridas pela governança corporativa. O COBIT foi desenvolvido com base no consenso de especialistas de todo o mundo no que concerne as melhores práticas e metodologias, tais como códigos de conduta (Conselho Europeu, OECD, ISACA etc.) critérios de qualificação para os sistemas e processos de TI (ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria etc.), padrões profissionais para controle interno e auditoria (COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO etc.), práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia, tais como os setores financeiro e de telecomunicações (ISACA, 2008). O grande diferencial do COBIT é sua orientação para negócios, o que vem atender as seguintes demandas: Da administração e gerência, visando equilibrar os riscos e os investimentos em controles no ambiente dinâmico de TI; Dos usuários, que dependem dos serviços de TI e seus respectivos controles e mecanismos de segurança para realizar suas atividades; Dos auditores, que podem utilizá-lo para validar suas opiniões ou para recomendar melhorias dos controles internos à administração. As atividades de TI são apresentadas pelo COBIT de forma lógica e estruturada, relacionando riscos de negócios, necessidades de controles e questões técnicas. O COBIT pode ser usado independentemente da plataforma tecnológica adotada pela organização e se aplica também a qualquer segmento de indústria (ITGI, 2008). O COBIT agrupa os processos de TI em 4 domínios abrangentes: Planejamento e Organização; Aquisição e Implementação; Entrega e Suporte; Monitoramento. Figura 2 Estrutura do COBIT (Nogueira, 2004). 5
O COBIT contém 34 Objetivos de Controle de alto nível e 318 objetivos detalhados para os processos de TI. Esses Objetivos de Controle são suportados pelos Guias de Auditoria que possibilitam aos auditores e gerentes revisarem os processos específicos de TI assegurando que os controles sejam suficientes ou que necessitam de melhorias. O terceiro principal componente do COBIT são as Guias de Gerenciamento. Figura 3 COBIT Família de Produtos (Nogueira, 2004). As Guias de Gerenciamento são compostos por: Modelos de Maturidade: São usados para definir o perfil da empresa em relação aos controles adotados para os processos de TI e fornecem um método de nivelação para cada um dos 34 processos de TI, de forma que a organização possa se enquadrar em um ranking de inicial a otimizado (1 a 5). Desta forma, a alta administração tem acesso às seguintes informações: Onde a organização está; A situação atual dos melhores do mercado; Permite visualizar onde a organização quer estar. Figura 4 COBIT Níveis de Maturidade (Nogueira, 2004). Fatores críticos de sucesso: Definem as questões e ações mais importantes para que a gerência possa ter controle sobre os processos de TI. Identificam o que a gerência deve fazer estratégica, técnica, procedural e organizacionalmente. Indicadores chave de metas: definem medidas que informam a gerência, depois do fato ocorrido, se um processo de TI atendeu os requerimentos de negócios. Geralmente expressos em termos dos seguintes critérios de informação: Disponibilidade da informação necessária para suportar o negócio; Redução de riscos de integridade e confidencialidade; Custo-eficiência de processos e operações; Validação da confiabilidade, efetividade e conformidade. 6
Indicadores chave de desempenho: definem medidas para determinar quão bem está sendo realizado um processo de TI visando atingir a meta definida. São os indicadores principais para saber se a meta será ou não atingida e podem também apontar capacidades, práticas e habilidades. As Guias de Gerenciamento trazem as diretrizes para a implementação. O CobiT é um padrão aberto, sendo que seus componentes se encontram disponíveis para download na página do IT Governance Institute ou na página da ISACA, exceto as guias de auditoria. 6. Outros Modelos de Melhores Práticas A seguir, os modelos ITIL, PMBOK, CMMI, ISO/IEC 17799, PRINCE 2 e SOX serão apresentados. 6.1 ITIL O ITIL (Information Technology Infrastructure Library) é o modelo de referência para gerenciamento de processos de TI mais aceito mundialmente. A metodologia foi criada pela secretaria de comércio (Office of Government Commerce, OGC) do governo Inglês, a partir de pesquisas realizadas por Consultores, Especialistas e Doutores, para desenvolver as melhores práticas para a gestão da área de TI nas empresas privadas e públicas. Atualmente se tornou a norma BS-15000, sendo esta um anexo da ISO 9000/2000. O foco deste modelo é descrever os processos necessários para gerenciar a infra-estrutura de TI eficientemente e eficazmente de modo a garantir os níveis de serviço acordados com os clientes internos e externos. Entre os processos que fazem parte do modelo de referência, podemos citar (MANSUR, 2007): Planejamento de serviços; Gerenciamento de incidentes; Problemas; Mudanças; Configuração; Operações; Segurança; Capacidade; Disponibilidade; Custos; Entrada em produção; Testes. Figura 5 ITIL - Processos (Nogueira, 2004). As empresas que o adotaram estão preocupadas em gerar valor do TI para os negócios da empresa e provar este valor de maneira adequada, através de processos corretos. As normas ITIL estão documentadas em aproximadamente 40 livros, onde os principais processos e as recomendações das melhores práticas de TI estão descritas. O ITIL é composto por módulos. Os mais importantes são o "IT Service Support" e o "IT Service Delivery" (BRODBECK, 2008). São Características do ITIL: Modelo de referência para processos de TI não proprietário; Adequado para todas as áreas de atividade; Independente de tecnologia e fornecedor; 7
XVIII SIMPÓSIO DE ENGENHARIA DE PRODUÇÃO Um padrão de fato; Baseado nas melhores práticas; Um modelo de referência para a implementação de processos de TI; Padronização de terminologias; Interdependência de processos; Diretivas básicas para implementação; Diretivas básicas para funções e responsabilidades dentro de cada processo; Checklist testado e aprovado; O que fazer e o que não fazer. 6.2 PMBOK O PMBOK foi desenvolvido contando com a colaboração de várias dezenas de profissionais afiliados ao PMI e de origens diversas. A primeira versão do PMBOK foi publicada em 1996, a segunda em 2000 e a terceira atual versão em 2004. O PMI (Project Management Institute) é uma organização não-governamental respeitada mundialmente no campo da gestão de projetos, de uma maneira geral, e podemos afirmar que é a organização que criou a profissão de gerente de projetos, como hoje é reconhecida. Atualmente com mais de 240 mil membros espalhados em 160 países (ARAGON, 2008). Figura 6 PMBOK Áreas de Conhecimento (PMBOK, 2004). O modelo é estruturado em nove áreas de conhecimento em gerenciamento de projetos: Integração; Escopo; Tempo; Custo; Qualidade; Recursos Humanos; Comunicações; Riscos; e Aquisições de Projetos. Cada área de conhecimento é organizada em cinco grupos de processo: Iniciação; Planejamento; Execução; Monitoramento e Controle; e Encerramento. O objetivo principal do modelo é identificar o subconjunto do conjunto de conhecimentos em gerenciamento de projetos que é amplamente reconhecido como boa prática. O PMBOK não fornece uma descrição detalhada do conjunto de conhecimentos, mas sim uma visão geral, sendo que boa prática significa que existe um acordo geral de que a aplicação correta dessas habilidades, ferramentas e técnicas podem aumentar as chances de sucesso de uma ampla série de projetos diferentes. De acordo com uma pesquisa realizada em 2001 pelo Center for Business Practices em 43 organizações de variados portes, os seguintes benefícios foram obtidos com a implantação da gestão de projetos em organizações de TI: 38,6% foi a melhoria na estimativa de prazo; 32,8% foi a melhoria na estimativa de esforço e de custo; 7,6%% foi a melhoria na estimativa da qualidade; 8
37,8% foi a melhoria na satisfação dos clientes; 37% foi a melhoria no alinhamento dos projetos com as estratégias do negócio; 21,7% foi a melhoria no time-to-maket ; 31,9% foi a melhoria na qualidade; 32,5% foi a melhoria na entrega dos projetos dentro do orçamento; 25,6% foi a melhoria na utilização das horas de trabalho; 32,1% foi a melhoria no desempenho do prazo; 23,8% foi a melhoria no desempenho do custo; 12,9% foi a melhoria na taxa de defeitos; 22,8% foi a melhoria na produtividade do staff do projeto; 23% foi a melhoria no tempo de resposta; O ROI total observado foi de 27,9%. 6.3 CMMI O CMMI (Capability Maturity Model Integrated) foi desenvolvido pelo SEI (Software Engineering Institute), ligado à CMU (Carnegie Mellon University), em Pittsburgh, nos Estados Unidos. O desenvolvimento desse modelo foi financiado pelo DoD, Departamento de Defesa Americano, com o objetivo de se estabelecer um padrão de qualidade para software desenvolvido para as forças armadas (PESSOA&SPINOLA). O CMMI foi concebido para o desenvolvimento de grandes projetos militares e, para a sua aplicação em projetos menores e em outras áreas, é necessário um trabalho cuidadoso de interpretação e adequação à realidade da organização (FIORINI, 1998),(CMMI, 2006). No modelo CMMI foram estabelecidos níveis referentes à maturidade que a organização possui para desenvolver software: Inicial (1), gerenciado (2), definido (3), gerenciado Quantitativamente (4) e otimizado (5). Cada nível de maturidade está dividido em áreas-chave de processo chamadas de PA (Process Area), que estabelecem grandes temas a serem abordados, somando 18 áreas-chave. 6.4 ISO/IEC 17799 Figura 7 CMMI Níveis de Maturidade (CMMI, 2006). A informação é o bem mais importante de uma organização e, portanto, este patrimônio necessita de proteção. A segurança da informação visa proteger a informação contra uma variedade de ameaças, pois esta é uma das formas de garantir a continuidade dos negócios, minimizando riscos e maximizando o retorno de investimentos. A Política de Segurança é um mecanismo preventivo de proteção dos dados e processos importantes de uma organização, que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial, usuários internos e remotos e, também terceiros, além de 9
estabelecer um processo formal para acompanhamento e revisão das melhores práticas de segurança a serem exercidas pela organização (ISO/IEC 17.799, 2005). Para elaborar um processo de política de segurança com qualidade, existe a norma NBR ISO/IEC 17.799 - padrão definitivo em Security Management - uma abordagem única para a definição e implementação de Políticas de Segurança para organizações de todos os portes. Compatibilizando prazos curtos com alta qualidade. 6.5 PRINCE 2 Figura 8 ISO/IEC 17.799 - Processos (ISO/IEC 17.799, 2005). A PRINCE foi estabelecida primeiramente em 1989 pelo CCTA (Central Computer and Telecommunications Agency) do governo britânico. A metodologia PRINCE foi desenvolvida a partir da PROMPTII, uma metodologia de gerenciamento de projetos criada pela empresa Simpact Systems Ltda em 1975, a qual foi adotada pelo CCTA em 1979 como padrão para uso por todos os projetos de sistemas de informação do governo. A PRINCE sucedeu a PROMPTII em 1989 para os projetos do governo britânico (ARAGON, 2008). O CCTA, agora incorporado ao Office of Government Commerce, continuou o desenvolvimento da metodologia e a PRINCE2 foi lançada em 1996, em resposta aos requisitos dos usuários para melhorar a orientação de gestão de projetos para todos os tipos de projeto, além dos projetos de sistemas de informação. Em 2002 foi lançada a terceira edição da metodologia e em 2005 a quarta edição. Da mesma forma que o PMBOK, a PRINCE2 também possui o seu modelo de maturidade. A metodologia PRINCE2 é baseada nas experiências com os projetos, gerentes de projetos e equipes de projeto que contribuíram com os seus erros e acertos e sucessos. A metodologia é, atualmente, o padrão usado pelo governo britânico, sendo também reconhecida e usada no setor privado, tanto na Grã-Bretanha como internacionalmente. A metodologia possui 08 processos: Criando um projeto; Dirigindo um projeto; Iniciando um projeto; Gerenciando as fronteiras de um estágio; Controlando um estágio; Gerenciando a entrega do produto; Fechando um projeto; Planejamento. E possui 07 componentes: Casos de Negócio; Organização; 10
Planos; Controles; Gestão de Riscos; Qualidade no ambiente do projeto; Gestão de configuração; Controle de mudanças. 6.6 SOX Figura 9 PRINCE2 - Fases (PRINCE2, 2005). A Sarbanes-Oxley, ou simplesmente SOX, é uma lei criada nos Estados Unidos para aperfeiçoar os controles financeiros das empresas que possuem capital na Bolsa de Nova York, incluindo cerca de 70 empresas brasileiras. Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos. A lei tem como objetivo restaurar a confiança dos investidores. Para isso ela exige um maior nível de responsabilidade e comprometimento das companhias no que se refere aos processos e controles internos e um aumento na supervisão sobre as demonstrações financeiras. Esta lei é composta pelas as seções (SARBANES-OXLEY, 2006): Seção 1-Títulos e Conteúdos Título I Companhias Públicas Título II Auditoria Independente Título III Responsabilidade Corporativa Título IV Revelações Financeiras Avançadas Título V Análise de Conflito de Interesses Título VI Comissão de Recursos e Autoridade Título VII Estudos e Relatórios Título VIII Responsabilidade Corporativa e Fraudes Criminais Título IX Crimes de Colarinho Branco e Penalidades Avançadas Título X Taxa de Retorno Corporativo Título XI Responsabilidade e Fraudes Corporativas A Lei Sarbanes-Oxley foi uma forma que o governo americano encontrou para, de uma maneira legal, impor as empresas as regras da boa governança corporativa. A SOX torna os executivos explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia da estrutura de controle internos das companhias. A lei Sarbanes-Oxley de 2002 mudou significativamente a visão sobre governança corporativa. Muitas organizações estão nesse momento, planejando e implementando processos que as auxiliarão na avaliação sobre a eficácia dos seus controles internos relacionados à elaboração de suas demonstrações financeiras (Internal Control Over Financial Reporting) (DELOITTE, 2003). 11
A SOX objetiva atender os seguintes aspectos (YOSHIDA, 2007): Restituir a confiança dos investidores nos auditores independentes e nas empresas de capital privado. Aumentar a responsabilidade e comprometimento da direção da empresa, relativamente aos processos e controles internos. Aumentar à supervisão sobre as demonstrações financeiras apresentadas pelas organizações. Especificamente em relação à área de TI, as seções 302 (certificação das indicações financeiras pela diretoria) e 404 (auditoria interna / relatório gerencial atestado por auditor certificado) afetam diretamente, na medida em que na seção 302 atribui à diretoria a responsabilidade pelas informações prestadas oficialmente e a seção 404 trata mais precisamente dos controles internos e dos aspectos relacionados ao trabalho dos auditores externos. 7. Metodologia Figura 10 SOX - Processos (DELLOITE, 2003). Através do levantamento bibliográfico dos modelos de melhores práticas foi possível encontrar os processos do COBIT e dos demais modelos e verificar as suas interligações e relacionamentos. Foi utilizado o modelo COBIT, pois de todos os modelos de melhores práticas, é o mais abrangente em termos de atendimento à gestão de TI (ARAGON, 2008). Desses dados levantados, foi gerada uma planilha, agrupando a partir do COBIT, os outros modelos em colunas, formando assim a visão holística. 8. Visão Holística A palavra hólos veio do grego e significa inteiro; composto. Segundo o dicionário Aurélio, holismo é a tendência a sintetizar unidades em totalidades, que se supõe seja própria do universo. Sintetizar é reunir elementos em um todo; compor. A visão holística do modelo de melhores práticas de TI de uma empresa equivale a se ter uma "imagem única", sintética de todos os elementos da empresa, que normalmente podem ser relacionados a visões parciais abrangendo suas estratégias, atividades, informações, recursos e organização, estrutura da empresa, cultura organizacional, qualificação do pessoal, assim como suas inter-relações. Apresenta-se a seguir o quadro que representa a visão holística do modelo de melhores práticas COBIT em relação os modelos ITIL, PMBOK, CMMI, ISO/IEC 17.799, PRINCE 2 e 12
SOX. Foram adaptadas (ARAGON, 2008) e utilizadas algumas siglas para identificar a abrangência, conforme a legenda a seguir: E Excede; C Cobertura Completa; A Vários Aspectos abordados; NA Não se Aplica. Tabela Visão holística - COBIT x Outros modelos de melhores práticas. 9. Considerações Finais Através do estudo do modelo de melhores práticas COBIT e da contextualização dos modelos ITIL, PMBOK, CMMI, ISO/IEC 17.799, PRINCE 2 e SOX, na revisão dos conceitos de Governança Corporativa e Governança de TI, foi possível identificar que a construção de uma visão holística de um modelo abrangente e a comparação com alguns modelos, seria fundamental para contribuir com o gestor da área, no momento de decidir qual modelo mais adequado adotar e que abrangência ele possui. Em cada situação e para cada caso, buscando atender os requisitos de controle, transparência e monitoração, através dessa visão holística, fornecida por este trabalho, será possível minimizar os riscos da escolha de qual modelo mais adequado para as necessidades da organização. Como trabalho futuro, pretende-se ampliar o estudo na descrição dos processos dos modelos comparados, em relação aos do COBIT, criando uma lista analítica de processos. 10. Referências Bibliográficas BRODBECK, Henrique J., Governança de TI, acessado em 20/05/2008 http://www.inf.ufrgs.br/~brodbeck/ CERIONI, THAIS ALINE, Cada Peça em seu lugar, Information Week, Ed.122, São Paulo, ITMidia, 2004. CMMI, SEI, Software Engineering Institute, Carnegie Melon University, 2006, http://www.sei.cmu.edu, acesso em 20/05/2008. 13
DELLOITE, Lei Sarbanes-Oxley Guia para melhorar a governança corporativa através dos controles internos Deloitte, em http://www.deloitte.com.br, acesso em 20/05/2008. FAGUNDES, Eduardo Mayer, COBIT, Um Kit de Ferramentas para excelência na Gestão de TI, www.efagundes.com.br acesso em 21/03/2008. Fernandes, Aguinaldo Aragon, Implantando Governança de TI, Brasport, RJ, 2008. FIORINI, SOELI T., et al. Engenharia de Software com CMM, Rio de Janeiro, Ed. Brasport, 1998. ISACA, Information System Audit and Control Association, http://www.isaca.org/ acesso em 21/03/2008. ITGI, IT Governance Institute, http://www.itgi.org/, acesso em 21/03/2008. KAPLAN, ROBERT S., et al., A Estratégia em Ação,Ed.Campus, Rio de Janeiro,1997. LAURINDO, FERNANDO J.B., Tecnologia da Informação Eficácia nas organizações, São Paulo, Editora Futura, 2002. Mansur, Ricardo, Governança de TI: Metodologias, Frameworks e Melhores Práticas, Brasport, Rio de Janeiro, 2007. Nogueira, Marcelo, Gestão de Infraestrutura de Tecnologia da Informação com ITIL, WCETE 2004, anais do IEEE Education Society, SP, 2004. Nogueira, Marcelo, Gestão de Riscos em Projetos de Software, WCETE 2004, anais do IEEE Education Society, SP, 2004. Nogueira, Marcelo, Governança de Tecnologia da Informação com COBIT, WCETE 2004, anais do IEEE Education Society, SP, 2004. PESSOA, MARCELO E SPINOLA, MAURO in WEBER, KIVAL CHAVES, et al. Qualidade e Produtividade em Software, São Paulo, Ed. Makron Books, 2001. PMI, PMBOK, Project Management Institute, 2004. SARBANES-OXLEY. http://www.sarbanes-oxley.com acesso em 20/05/2008. YOSHIDA, Marta Harumi, Alinhamento dos Requisitos da Lei Sarbanes-Oxley com o RUP para o processo de desenvolvimento de sistemas, Monografia, Programa de Educação Continuada em Engenharia (PECE), USP, Universidade de São Paulo, SP, 2007. 14