O COBIT 2019 (Control Objectives for Information and Related Technologies) é o framework de governança de TI mais reconhecido globalmente. Desenvolvido pela ISACA, ele não é apenas uma lista de regras técnicas, mas uma ponte estratégica que alinha a tecnologia da informação aos objetivos de negócio de uma organização.
Diferente de versões anteriores, o COBIT 2019 foi desenhado para ser flexível e adaptável à era da transformação digital.
Os 6 Princípios do Sistema de Governança
Para que a governança seja eficaz, o COBIT 2019 estabelece seis princípios fundamentais:
- Prover Valor aos Stakeholders: Equilibrar benefícios, riscos e recursos.
- Abordagem Holística: Considerar componentes que trabalham juntos (processos, pessoas, infraestrutura).
- Sistema de Governança Dinâmico: O sistema deve ser atualizado sempre que o design da governança mudar.
- Governança Distinta de Gestão: Separar claramente quem avalia e direciona (Governança) de quem planeja e executa (Gestão).
- Ajustado às Necessidades da Empresa: Uso de "fatores de design" para personalizar o sistema.
- Sistema de Governança de Ponta a Ponta: Focar em toda a organização, não apenas no departamento de TI.
Estrutura de Objetivos: Governança vs. Gestão
O COBIT 2019 organiza as atividades em 40 Objetivos de Governança e Gestão, divididos em cinco domínios principais:
Domínio de Governança
- EDM (Avaliar, Dirigir e Monitorar): Focado na liderança (Conselho de Administração). Garante que as necessidades dos stakeholders sejam avaliadas e que o desempenho seja monitorado.
Domínios de Gestão
- APO (Alinhar, Planejar e Organizar): Estratégia e organização da TI.
- BAI (Construir, Adquirir e Implementar): Definição e execução de soluções tecnológicas.
- DSS (Entregar, Servir e Suportar): Operação e suporte aos serviços de TI, incluindo segurança.
- MEA (Monitorar, Avaliar e Medir): Avaliação da conformidade e desempenho do sistema.
Aplicações Práticas nas Organizações
O COBIT 2019 não é "tamanho único". Sua aplicação varia conforme a maturidade e o setor da empresa:
- Alinhamento Estratégico: Ajuda a TI a parar de ser vista como um "centro de custos" e passar a ser um "parceiro de valor", garantindo que cada projeto de tecnologia suporte um objetivo de negócio.
- Gestão de Riscos e Compliance: Facilita a conformidade com leis como a LGPD ou GDPR, ao criar processos claros de controle de dados e segurança da informação.
- Otimização de Recursos: Evita o desperdício em tecnologias desnecessárias e foca o orçamento no que traz retorno real.
- Fatores de Design: Uma das maiores inovações da versão 2019. Permite que a empresa ajuste o framework com base no seu perfil de risco, cenário de ameaças, estratégia de nuvem e métodos de trabalho (como Agile ou DevOps).
Resumo de Benefícios
O COBIT 2019 funciona como o "sistema operacional" da governança, permitindo que outros frameworks como ITIL (serviços), ISO 27001 (segurança) e PMBOK (projetos) coexistam de forma organizada.
| Benefício | Descrição |
| Transparência | Melhora a visão dos executivos sobre os riscos de TI. |
| Flexibilidade | Adapta-se a startups ou grandes corporações. |
| Medição | Introduz o conceito de "Níveis de Capacidade" para medir a maturidade dos processos. |
Os Fatores de Design são a grande inovação do COBIT 2019. Eles resolvem o problema do "framework de prateleira", permitindo que você personalize a governança de acordo com o DNA da sua organização.
Pense neles como "controles deslizantes" em uma mesa de som: ao ajustar um fator, você aumenta ou diminui a importância de determinados processos de TI.
Como funcionam os 11 Fatores de Design
O processo de design analisa como cada um desses elementos influencia o sistema de governança:
- Estratégia Empresarial: A empresa foca em inovação, liderança de custo ou serviço ao cliente? Se o foco é inovação, os objetivos de "Gestão de Inovação" ganham prioridade máxima.
- Objetivos Empresariais: Quais metas de negócio (financeiras, de crescimento, de compliance) são mais urgentes?
- Perfil de Risco: Quais riscos a empresa está disposta a correr? (Ex: Cibersegurança, falhas de infraestrutura, riscos regulatórios).
- Problemas Relacionados à TI: A empresa sofre com projetos atrasados, sombra de TI (Shadow IT) ou custos altos? Isso direciona o foco para correção desses gargalos.
- Cenário de Ameaças: A empresa opera em um ambiente de alto risco (como o setor bancário) ou normal?
- Requisitos de Compliance: Quão rigorosa é a regulação (LGPD, normas do Banco Central, etc.)?
- Papel da TI: A TI é apenas um suporte operacional ou é o motor estratégico do negócio?
- Modelo de Origem da TI: A empresa usa nuvem (Cloud), serviços de terceiros (Outsourcing) ou infraestrutura própria (On-premise)?
- Métodos de Implementação de TI: A organização utiliza Agile, DevOps ou o modelo tradicional em cascata (Waterfall)?
- Estratégia de Adoção de Tecnologia: A empresa é uma "early adopter" (adota tecnologias assim que surgem) ou é seguidora e cautelosa?
- Tamanho da Empresa: Micro, Pequena, Média ou Grande empresa.
O Fluxo de Implementação
A aplicação prática desses fatores segue geralmente quatro etapas:
1ª Etapa - Entender o Contexto: Analisar a estratégia e os objetivos da empresa.
2ª Etapa - Determinar o Escopo Inicial: Aplicar os fatores de design para ver quais dos 40 processos do COBIT são mais críticos para aquela realidade.
3ª Etapa - Refinar o Escopo: Ajustar as prioridades com base no cenário de ameaças e métodos de trabalho (Agile/DevOps).
4ª Etapa - Finalizar o Design: Obter um sistema de governança sob medida, com níveis de capacidade sugeridos para cada processo.
Exemplo Prático: Startup vs. Banco Tradicional
| Fator de Design | Startup de Tecnologia | Banco Tradicional |
| Estratégia | Inovação e Agilidade | Conformidade e Estabilidade |
| Cenário de Ameaças | Médio | Altíssimo |
| Métodos de Trabalho | Agile / DevOps | Híbrido (Agile e Tradicional) |
| Foco do COBIT | BAI08 (Gestão do Conhecimento) e APO04 (Inovação) | EDM03 (Gestão de Risco) e MEA03 (Compliance) |
Por que isso é importante?
Sem os fatores de design, uma startup tentaria implementar controles burocráticos de um banco, sufocando a inovação. Já um banco, sem o design correto, poderia negligenciar controles de auditoria essenciais.
Para tornar este plano o mais prático possível, vamos desenhar a implementação para uma Fintech de Médio Porte que está em fase de expansão e precisa se adequar a regulamentações mais rigorosas (como as do Banco Central ou a LGPD), sem perder a agilidade do desenvolvimento DevOps.
Exemplo: Plano de Implementação de Governança de TI. Este plano segue as diretrizes do Guia de Design e Implementação do COBIT 2019.
Fase 1: Diagnóstico e Fatores de Design (O "Porquê")
Antes de instalar ferramentas, definimos as prioridades usando os fatores de design.
- Estratégia: Inovação e crescimento rápido.
- Perfil de Risco: Foco total em Cibersegurança e Continuidade de Negócio (um app fora do ar significa perda imediata de receita).
- Métodos: Agile e DevOps.
- Resultado do Design: O COBIT priorizará os domínios BAI (Construção) e DSS (Entrega/Suporte).
Fase 2: Definição dos Objetivos Prioritários
Com base no perfil acima, selecionamos os processos críticos para o primeiro ano:
- APO12 (Gestão de Riscos): Identificar o que pode dar errado na integração com bancos.
- BAI03 (Gestão de Soluções): Garantir que o código novo seja testado e seguro.
- DSS05 (Gestão de Serviços de Segurança): Proteção contra ataques cibernéticos.
- MEA03 (Gestão de Conformidade): Estar em dia com leis e regulações.
Fase 3: Exemplo Prático de Execução (O "Como")
Vamos aplicar o objetivo DSS05 (Segurança) na prática da Fintech:
| Passo | Atividade Prática | Componente COBIT |
| Ação 1 | Implementar análise automatizada de vulnerabilidades no pipeline de código (CI/CD). | Processo: Integrar segurança no desenvolvimento. |
| Ação 2 | Definir que apenas líderes de tribos (SQUADS) aprovam acessos a dados sensíveis. | Estrutura Organizacional: Papéis e Responsabilidades. |
| Ação 3 | Treinar todos os desenvolvedores em práticas de Secure Coding. | Pessoas, Habilidades e Competências. |
| Ação 4 | Monitorar logs de acesso em tempo real com alertas automáticos. | Informação e Fluxos. |
Fase 4: Medição de Maturidade
O COBIT 2019 usa uma escala de 0 a 5 (baseada no CMMI). Para nossa Fintech:
- Nível 1 (Incompleto): A segurança é feita "de cabeça" pelos devs.
- Nível 2 (Gerenciado): Existem regras de segurança, mas variam entre times.
- Nível 3 (Definido): (Meta da Fintech) Existe um padrão de segurança para toda a empresa, documentado e seguido automaticamente.
Cronograma Sugerido (6 Meses)
- Mês 1: Workshop com a diretoria para definir os Fatores de Design e prioridades.
- Mês 2-3: Mapeamento da situação atual (As-Is) vs. Desejada (To-Be) para os 4 processos escolhidos.
- Mês 4-5: Implementação de mudanças (ex: novos fluxos de aprovação, ferramentas de monitoramento).
- Mês 6: Auditoria interna e ajuste do "Nível de Capacidade".
Dica de Ouro: O "Painel de Controle"
Para que a governança não morra no papel, crie um Dashboard para a diretoria com métricas extraídas do COBIT, como:
- "% de sistemas críticos com plano de desastre testado."
- "Número de incidentes de segurança reportados vs. resolvidos."
- "Custo total da TI em relação ao faturamento da empresa."
Nota: O segredo do COBIT 2019 é não tentar implementar os 40 objetivos de uma vez. Comece pequeno (3 a 5 processos), mostre valor para os diretores e expanda gradualmente.
Importância de se indicar o ROI
Medir o ROI (Retorno sobre Investimento) em Governança de TI com o COBIT 2019 pode parecer desafiador, pois a governança muitas vezes atua na prevenção de perdas e na eficiência operacional, em vez de gerar vendas diretas.
No entanto, para convencer a diretoria (C-Level), precisamos transformar processos em números. Aqui estão as três frentes para calcular esse retorno:
1. Redução de Custos Operacionais (Eficiência)
A governança elimina o "retrabalho" e a "TI das sombras".
- Consolidação de Licenças e Ativos: Ao aplicar o objetivo APO13 (Gestão de Ativos), empresas frequentemente descobrem que gastam de 10% a 20% a mais em softwares duplicados ou subutilizados.
- Redução de Incidentes: Processos bem desenhados (domínio DSS) reduzem o tempo de inatividade (downtime).
- Cálculo: Custo de 1h de sistema fora do ar × Redução de horas de indisponibilidade por ano.
2. Mitigação de Riscos (Segurança e Compliance)
Aqui o ROI é medido pelo "Custo da Não-Conformidade".
- Prevenção de Multas: No Brasil, uma multa da LGPD pode chegar a 2% do faturamento bruto (limitada a R$ 50 milhões). Se o COBIT ajuda a evitar uma única infração, o ROI já se paga.
- Custo de Brechas de Dados: O custo médio de um vazamento de dados no Brasil é de milhões de reais (incluindo perícia, multas e perda de clientes).
- Cálculo: (Probabilidade de Ataque × Impacto Financeiro) antes vs. depois dos controles do COBIT.
3. Alinhamento Estratégico (Valor de Negócio)
Este é o ROI de "Oportunidade". O COBIT garante que a TI invista no que traz dinheiro.
- Time-to-Market: Com processos de desenvolvimento (domínio BAI) mais ágeis e padronizados, um produto chega ao mercado mais rápido.
- Priorização de Projetos: O COBIT ajuda a descartar projetos que não têm aderência à estratégia da empresa, liberando orçamento para o que realmente importa.
Exemplo de Tabela de ROI para Apresentação Executiva
| Categoria | Iniciativa COBIT | Ganho Estimado (Anual) |
| Eficiência | Otimização de processos e automação (APO) | Redução de 15% nos custos operacionais de TI. |
| Risco | Implementação de controles de segurança (DSS) | Prevenção de multas regulatórias e vazamentos. |
| Negócio | Alinhamento de TI com Estratégia (EDM) | Aumento de 10% na entrega de projetos críticos. |
Como apresentar isso na prática? (O Business Case)
Para medir o ROI, você deve estabelecer uma Linha de Base (Baseline) antes de começar:
- Mensure o estado atual: Quantos incidentes temos por mês? Qual o custo da TI em relação ao faturamento?
- Defina Metas (KPIs): "Reduzir o tempo de resposta a incidentes em 30% até o fim do semestre".
- Relatório de Valor: Após a implementação, mostre o quanto foi economizado.
Dica Prática: Use o conceito de "Painel de Valor". Em vez de dizer "melhoramos a governança", diga: "Através do COBIT, reduzimos o risco de paradas críticas de sistema em 40%, protegendo aproximadamente R$ 2 milhões em transações mensais".

0 Comentários