COBIT 2019 - Governança de TI flexível e adaptável à era da Transformação Digital



O COBIT 2019 (Control Objectives for Information and Related Technologies) é o framework de governança de TI mais reconhecido globalmente. Desenvolvido pela ISACA, ele não é apenas uma lista de regras técnicas, mas uma ponte estratégica que alinha a tecnologia da informação aos objetivos de negócio de uma organização.

Diferente de versões anteriores, o COBIT 2019 foi desenhado para ser flexível e adaptável à era da transformação digital.

Os 6 Princípios do Sistema de Governança

Para que a governança seja eficaz, o COBIT 2019 estabelece seis princípios fundamentais:

  1. Prover Valor aos Stakeholders: Equilibrar benefícios, riscos e recursos.
  2. Abordagem Holística: Considerar componentes que trabalham juntos (processos, pessoas, infraestrutura).
  3. Sistema de Governança Dinâmico: O sistema deve ser atualizado sempre que o design da governança mudar.
  4. Governança Distinta de Gestão: Separar claramente quem avalia e direciona (Governança) de quem planeja e executa (Gestão).
  5. Ajustado às Necessidades da Empresa: Uso de "fatores de design" para personalizar o sistema.
  6. Sistema de Governança de Ponta a Ponta: Focar em toda a organização, não apenas no departamento de TI.


Estrutura de Objetivos: Governança vs. Gestão

O COBIT 2019 organiza as atividades em 40 Objetivos de Governança e Gestão, divididos em cinco domínios principais:

Domínio de Governança

  • EDM (Avaliar, Dirigir e Monitorar): Focado na liderança (Conselho de Administração). Garante que as necessidades dos stakeholders sejam avaliadas e que o desempenho seja monitorado.

Domínios de Gestão

  • APO (Alinhar, Planejar e Organizar): Estratégia e organização da TI.
  • BAI (Construir, Adquirir e Implementar): Definição e execução de soluções tecnológicas.
  • DSS (Entregar, Servir e Suportar): Operação e suporte aos serviços de TI, incluindo segurança.
  • MEA (Monitorar, Avaliar e Medir): Avaliação da conformidade e desempenho do sistema.


Aplicações Práticas nas Organizações

O COBIT 2019 não é "tamanho único". Sua aplicação varia conforme a maturidade e o setor da empresa:

  • Alinhamento Estratégico: Ajuda a TI a parar de ser vista como um "centro de custos" e passar a ser um "parceiro de valor", garantindo que cada projeto de tecnologia suporte um objetivo de negócio.
  • Gestão de Riscos e Compliance: Facilita a conformidade com leis como a LGPD ou GDPR, ao criar processos claros de controle de dados e segurança da informação.
  • Otimização de Recursos: Evita o desperdício em tecnologias desnecessárias e foca o orçamento no que traz retorno real.
  • Fatores de Design: Uma das maiores inovações da versão 2019. Permite que a empresa ajuste o framework com base no seu perfil de risco, cenário de ameaças, estratégia de nuvem e métodos de trabalho (como Agile ou DevOps).


Resumo de Benefícios

O COBIT 2019 funciona como o "sistema operacional" da governança, permitindo que outros frameworks como ITIL (serviços), ISO 27001 (segurança) e PMBOK (projetos) coexistam de forma organizada.

Benefício Descrição
Transparência Melhora a visão dos executivos sobre os riscos de TI.
Flexibilidade Adapta-se a startups ou grandes corporações.
Medição Introduz o conceito de "Níveis de Capacidade" para medir a maturidade dos processos.

Os Fatores de Design são a grande inovação do COBIT 2019. Eles resolvem o problema do "framework de prateleira", permitindo que você personalize a governança de acordo com o DNA da sua organização.

Pense neles como "controles deslizantes" em uma mesa de som: ao ajustar um fator, você aumenta ou diminui a importância de determinados processos de TI.


Como funcionam os 11 Fatores de Design

O processo de design analisa como cada um desses elementos influencia o sistema de governança:

  1. Estratégia Empresarial: A empresa foca em inovação, liderança de custo ou serviço ao cliente? Se o foco é inovação, os objetivos de "Gestão de Inovação" ganham prioridade máxima.
  2. Objetivos Empresariais: Quais metas de negócio (financeiras, de crescimento, de compliance) são mais urgentes?
  3. Perfil de Risco: Quais riscos a empresa está disposta a correr? (Ex: Cibersegurança, falhas de infraestrutura, riscos regulatórios).
  4. Problemas Relacionados à TI: A empresa sofre com projetos atrasados, sombra de TI (Shadow IT) ou custos altos? Isso direciona o foco para correção desses gargalos.
  5. Cenário de Ameaças: A empresa opera em um ambiente de alto risco (como o setor bancário) ou normal?
  6. Requisitos de Compliance: Quão rigorosa é a regulação (LGPD, normas do Banco Central, etc.)?
  7. Papel da TI: A TI é apenas um suporte operacional ou é o motor estratégico do negócio?
  8. Modelo de Origem da TI: A empresa usa nuvem (Cloud), serviços de terceiros (Outsourcing) ou infraestrutura própria (On-premise)?
  9. Métodos de Implementação de TI: A organização utiliza Agile, DevOps ou o modelo tradicional em cascata (Waterfall)?
  10. Estratégia de Adoção de Tecnologia: A empresa é uma "early adopter" (adota tecnologias assim que surgem) ou é seguidora e cautelosa?
  11. Tamanho da Empresa: Micro, Pequena, Média ou Grande empresa.


O Fluxo de Implementação

A aplicação prática desses fatores segue geralmente quatro etapas:

1ª Etapa - Entender o Contexto: Analisar a estratégia e os objetivos da empresa.

2ª Etapa - Determinar o Escopo Inicial: Aplicar os fatores de design para ver quais dos 40 processos do COBIT são mais críticos para aquela realidade.

3ª Etapa - Refinar o Escopo: Ajustar as prioridades com base no cenário de ameaças e métodos de trabalho (Agile/DevOps).

4ª Etapa - Finalizar o Design: Obter um sistema de governança sob medida, com níveis de capacidade sugeridos para cada processo.

Exemplo Prático: Startup vs. Banco Tradicional

Fator de Design Startup de Tecnologia Banco Tradicional
Estratégia Inovação e Agilidade Conformidade e Estabilidade
Cenário de Ameaças Médio Altíssimo
Métodos de Trabalho Agile / DevOps Híbrido (Agile e Tradicional)
Foco do COBIT BAI08 (Gestão do Conhecimento) e APO04 (Inovação) EDM03 (Gestão de Risco) e MEA03 (Compliance)

Por que isso é importante?

Sem os fatores de design, uma startup tentaria implementar controles burocráticos de um banco, sufocando a inovação. Já um banco, sem o design correto, poderia negligenciar controles de auditoria essenciais.

Para tornar este plano o mais prático possível, vamos desenhar a implementação para uma Fintech de Médio Porte que está em fase de expansão e precisa se adequar a regulamentações mais rigorosas (como as do Banco Central ou a LGPD), sem perder a agilidade do desenvolvimento DevOps.

Exemplo: Plano de Implementação de Governança de TI. Este plano segue as diretrizes do Guia de Design e Implementação do COBIT 2019.


Fase 1: Diagnóstico e Fatores de Design (O "Porquê")

Antes de instalar ferramentas, definimos as prioridades usando os fatores de design.

  • Estratégia: Inovação e crescimento rápido.
  • Perfil de Risco: Foco total em Cibersegurança e Continuidade de Negócio (um app fora do ar significa perda imediata de receita).
  • Métodos: Agile e DevOps.
  • Resultado do Design: O COBIT priorizará os domínios BAI (Construção) e DSS (Entrega/Suporte).


Fase 2: Definição dos Objetivos Prioritários

Com base no perfil acima, selecionamos os processos críticos para o primeiro ano:

  1. APO12 (Gestão de Riscos): Identificar o que pode dar errado na integração com bancos.
  2. BAI03 (Gestão de Soluções): Garantir que o código novo seja testado e seguro.
  3. DSS05 (Gestão de Serviços de Segurança): Proteção contra ataques cibernéticos.
  4. MEA03 (Gestão de Conformidade): Estar em dia com leis e regulações.


Fase 3: Exemplo Prático de Execução (O "Como")

Vamos aplicar o objetivo DSS05 (Segurança) na prática da Fintech:

Passo Atividade Prática Componente COBIT
Ação 1 Implementar análise automatizada de vulnerabilidades no pipeline de código (CI/CD). Processo: Integrar segurança no desenvolvimento.
Ação 2 Definir que apenas líderes de tribos (SQUADS) aprovam acessos a dados sensíveis. Estrutura Organizacional: Papéis e Responsabilidades.
Ação 3 Treinar todos os desenvolvedores em práticas de Secure Coding. Pessoas, Habilidades e Competências.
Ação 4 Monitorar logs de acesso em tempo real com alertas automáticos. Informação e Fluxos.

Fase 4: Medição de Maturidade

O COBIT 2019 usa uma escala de 0 a 5 (baseada no CMMI). Para nossa Fintech:

  • Nível 1 (Incompleto): A segurança é feita "de cabeça" pelos devs.
  • Nível 2 (Gerenciado): Existem regras de segurança, mas variam entre times.
  • Nível 3 (Definido): (Meta da Fintech) Existe um padrão de segurança para toda a empresa, documentado e seguido automaticamente.

Cronograma Sugerido (6 Meses)

  1. Mês 1: Workshop com a diretoria para definir os Fatores de Design e prioridades.
  2. Mês 2-3: Mapeamento da situação atual (As-Is) vs. Desejada (To-Be) para os 4 processos escolhidos.
  3. Mês 4-5: Implementação de mudanças (ex: novos fluxos de aprovação, ferramentas de monitoramento).
  4. Mês 6: Auditoria interna e ajuste do "Nível de Capacidade".

Dica de Ouro: O "Painel de Controle"

Para que a governança não morra no papel, crie um Dashboard para a diretoria com métricas extraídas do COBIT, como:

  • "% de sistemas críticos com plano de desastre testado."
  • "Número de incidentes de segurança reportados vs. resolvidos."
  • "Custo total da TI em relação ao faturamento da empresa."

Nota: O segredo do COBIT 2019 é não tentar implementar os 40 objetivos de uma vez. Comece pequeno (3 a 5 processos), mostre valor para os diretores e expanda gradualmente.

Importância de se indicar o ROI

Medir o ROI (Retorno sobre Investimento) em Governança de TI com o COBIT 2019 pode parecer desafiador, pois a governança muitas vezes atua na prevenção de perdas e na eficiência operacional, em vez de gerar vendas diretas.

No entanto, para convencer a diretoria (C-Level), precisamos transformar processos em números. Aqui estão as três frentes para calcular esse retorno:

1. Redução de Custos Operacionais (Eficiência)

A governança elimina o "retrabalho" e a "TI das sombras".

  • Consolidação de Licenças e Ativos: Ao aplicar o objetivo APO13 (Gestão de Ativos), empresas frequentemente descobrem que gastam de 10% a 20% a mais em softwares duplicados ou subutilizados.
  • Redução de Incidentes: Processos bem desenhados (domínio DSS) reduzem o tempo de inatividade (downtime).
    • Cálculo: Custo de 1h de sistema fora do ar × Redução de horas de indisponibilidade por ano.

2. Mitigação de Riscos (Segurança e Compliance)

Aqui o ROI é medido pelo "Custo da Não-Conformidade".

  • Prevenção de Multas: No Brasil, uma multa da LGPD pode chegar a 2% do faturamento bruto (limitada a R$ 50 milhões). Se o COBIT ajuda a evitar uma única infração, o ROI já se paga.
  • Custo de Brechas de Dados: O custo médio de um vazamento de dados no Brasil é de milhões de reais (incluindo perícia, multas e perda de clientes).
    • Cálculo: (Probabilidade de Ataque × Impacto Financeiro) antes vs. depois dos controles do COBIT.

3. Alinhamento Estratégico (Valor de Negócio)

Este é o ROI de "Oportunidade". O COBIT garante que a TI invista no que traz dinheiro.

  • Time-to-Market: Com processos de desenvolvimento (domínio BAI) mais ágeis e padronizados, um produto chega ao mercado mais rápido.
  • Priorização de Projetos: O COBIT ajuda a descartar projetos que não têm aderência à estratégia da empresa, liberando orçamento para o que realmente importa.

Exemplo de Tabela de ROI para Apresentação Executiva

Categoria Iniciativa COBIT Ganho Estimado (Anual)
Eficiência Otimização de processos e automação (APO) Redução de 15% nos custos operacionais de TI.
Risco Implementação de controles de segurança (DSS) Prevenção de multas regulatórias e vazamentos.
Negócio Alinhamento de TI com Estratégia (EDM) Aumento de 10% na entrega de projetos críticos.


Como apresentar isso na prática? (O Business Case)

Para medir o ROI, você deve estabelecer uma Linha de Base (Baseline) antes de começar:

  1. Mensure o estado atual: Quantos incidentes temos por mês? Qual o custo da TI em relação ao faturamento?
  2. Defina Metas (KPIs): "Reduzir o tempo de resposta a incidentes em 30% até o fim do semestre".
  3. Relatório de Valor: Após a implementação, mostre o quanto foi economizado.

Dica Prática: Use o conceito de "Painel de Valor". Em vez de dizer "melhoramos a governança", diga: "Através do COBIT, reduzimos o risco de paradas críticas de sistema em 40%, protegendo aproximadamente R$ 2 milhões em transações mensais".

Postar um comentário

0 Comentários