2013©Bridge Consulting All rights reserved
CobiT 5
Apresentação do novo framework da ISACA
2 2013©Bridge Consulting All rights reserved
Apresentação
Este artigo tem como objetivo apresentar a nova versão do modelo de governança de TI, CobiT 5, lançado pela ISACA em 2012. Iremos abordar as principais mudanças do framework em relação à última versão, CobiT 4.1, os conceitos-chave e a análise da Bridge Consulting sobre o posicionamento e aplicabilidade do modelo no mercado atual.
A tecnologia está em permanente transição e a evolução das melhores práticas se mostrou necessária para que os requisitos de negócio sejam plenamente atingidos pela TI. O CobiT 5 utilizou desta premissa e integrou diversos frameworks como o Val IT 2.0 e Risk IT, objetivando potencializar a aplicabilidade nas empresas. A consolidação dos diferentes modelos em um modelo único possibilitou uma navegabilidade mais simples para o usuário, permitindo não apenas maior abrangência como maior eficiência na utilização do framework.
Com o CobiT 5, a ISACA pretende aproximar o framework a outros modelos de referência utilizados por grandes empresas, entre eles o ITIL®. As mudanças são significativas, como por exemplo, a evolução do modelo de avaliação de maturidade que passará nesta nova versão a utilizar a ISO/IEC 15.504 como base para a escala de maturidade, ao invés do CMMI. Além desse exemplo, outras alterações fazem com que o mercado se movimente no sentido de buscar novas informações sobre o modelo.
Ao longo do documento será possível discutir as mudanças presentes no CobiT 5 e apresentar o novo modelo de referência que vem sendo considerado inovador e, ao mesmo tempo, desafiador entre suas diferentes versões.
3 2013©Bridge Consulting All rights reserved
CobiT 4.1 vs CobiT 5 – PRINCIPAIS DIFERENÇAS
O CobiT, em seu novo modelo, trouxe uma série de mudanças em relação à última versão, o CobiT 4.1. A tabela abaixo apresenta as principais diferenças entre as versões:
4 2013©Bridge Consulting All rights reserved
5 2013©Bridge Consulting All rights reserved
O Modelo
1.1 Princípios
O CobiT 5 auxilia as empresas a atingirem os seus objetivos para a governança e gestão da TI, otimizando o valor gerado pela TI e mantendo um equilíbrio entre a realização dos benefícios, a redução dos riscos e utilização de recursos. O framework permite que a TI seja governada e gerida de forma abrangente para toda a empresa, alcançando os interesses dos stakeholders internos e externos da TI.
Neste contexto, o CobiT 5 é baseado em cinco princípios, como mostrado na figura ao lado:
1. Alcançar a necessidade de stakeholders: Ressalta a importância da criação de valores para os stakeholders e, para tal, o CobiT 5 apresenta uma cascata de objetivos que traduz as necessidades das partes interessadas em objetivos de habilitadores, passando por objetivos de negócio e objetivos de TI.
2. Cobrir a empresa fim a fim: Este princípio afirma que o CobiT 5 se integra a qualquer mecanismo de governança já existente na empresa.
3. Aplicar um único e integrado framework: Além de fornecer uma base para integrar outros frameworks, normas e práticas como o ITIL, ISO/IEC 15504 etc., o CobiT 5 integra todo conhecimento existentes em diferentes frameworks da ISACA1.
4. Permitir uma abordagem holística: Lista sete habilitadores para a implantação da governança de TI. Eles são direcionados pela Cascata de Objetivos de modo que um objetivo estratégico do negócio pode definir como os diferentes habilitadores devem ser utilizados, por exemplo, uma necessidade estratégica de excelência em processos pode exigir um número maior de processos críticos, assim como a necessidade de skills e competências específicas.
1 A ISACA (Information Systems Audit and Control Association) é uma associação internacional que
suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades
de auditoria e controle em sistemas de informação. Ela realiza pesquisas na área de governança
corporativa há muitos anos e já produziu muitos frameworks como o COBIT, VAL IT, Risk IT, BMIS, a publicação “Board Briefing on IT Governance” e o ITAF para prover orientação e assistência para empresas.
Habilitadores, no CobiT 5, são fatores que, individualmente e/ou coletivamente, influenciam o funcionamento da governança e gestão de TI.
6 2013©Bridge Consulting All rights reserved
5. Separação de governança e gerenciamento: O CobiT 5, diferente das versões
anteriores, faz uma clara distinção entre governança e gerenciamento. Estas duas disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diferentes.
1.2 Modelo de Referência de Processos
O CobiT 5 fornece um modelo de referência de processos que representa todos os processos relacionados às atividades de TI normalmente encontrados em uma empresa, oferecendo um modelo de referência comum, que seja compreensível tanto para a área operacional de TI e quanto para os gestores do negócio. Esse modelo pode ser encontrado no livro “CobiT 5: Enabling Processes” e é completo e abrangente, mas não deve ser inflexível. Cada empresa deve definir o seu próprio conjunto de processos, tendo em vista o contexto em que está inserida.
Figura 1 - Modelo de Referência de Processos
7 2013©Bridge Consulting All rights reserved
1.3 Modelo de Capacidade de Processos
O modelo de capacidade de processos é baseado na norma internacional ISO/IEC 15504 e foi criado para auxiliar o assessment e as melhorias em processos. O modelo baseia-se em atributos genéricos e suas avaliações são feitas ao longo dos processos propostos no modelo de referência de processos, permitindo a medição da performance e a identificação dos pontos de melhoria dos processos em questão.
No entanto, o CobiT 5 define um método para avaliação de cada atributo e o seu atingimento completo ou parcial irá definir o nível de capacidade do processo. Eles devem ser avaliados na escala utilizada pela ISO/IEC 15504 e apresentada a seguir:
N (Não atingido)—Há pouca ou nenhuma evidência de realização do atributo definido
no processo de avaliação. (0 a 15 por cento atingido)
P (Parcialmente atingido)—Há alguma evidência de uma aproximação e algumas realizações relativas ao atributo. (15 a 50 por cento atingido)
L (Largamente atingido)—Há evidências de uma abordagem sistemática e uma
realização significativa do atributo. Alguma fraqueza relativa a este atributo pode existir. (50 a 85 por cento atingido)
F (Totalmente atingido)—Há evidências de uma abordagem completa e sistemática e
plena realização do atributo. Nenhum deficiência significativa relacionada com este atributo existe. (85 a 100 por cento atingido)
Na figura 2 é apresentado um resumo do modelo de capacidade presente no COBIT 5, o qual é melhor detalhado no recém-lançado Process Assessment Model (PAM): Using COBIT 5.
Figura 2 - Modelo de Capacidade de Processos
Fonte: COBIT® 5, page 42. © 2012 ISACA® All rights reserved.
O atingimento de um determinado nível de capacidade requer que os atributos para este nível estejam “totalmente” ou “em grande parte” (F ou L) alcançados e os atributos para todos os níveis inferiores estejam "totalmente" (F) alcançados.
8 2013©Bridge Consulting All rights reserved
1.4 Análises e conclusões sobre o modelo
O CobiT é hoje uma referência mundial, apresentando um método consistente para a avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de Governança de TI.
O ITGI produziu uma pesquisa sobre governança de TI, Global Status Report on the Governance of Enterprise IT (GEIT), englobando 834 executivos de negócios de 21 países e 10 tipos de indústrias. A pesquisa, como pode ser vista na figura 3, apresentou a evolução desde o ano de 2006 até 2010 na adoção de frameworks de governança de TI pelas empresas, classificando o CobiT em quarto lugar (12,9%) dentre o 14 frameworks utilizados pelo mercado. Esse cenário pode ter motivado a clara aproximação do CobiT a outros frameworks, como pode ser observado na versão 5.
Figura 3 - Tendências no uso de frameworks e normas externas
Fonte: Global Status Report on the Governance of Enterprise IT, page 30. © 2011 ITGI All rights reserved.
Além de possibilitar uma avaliação quantitativa dos processos de TI, o CobiT possui grande aplicabilidade não apenas em empresas privadas, mas também em instituições públicas brasileiras devido a regulamentações e normas instituídas pelo governo.
Um exemplo disso é o acórdão do Tribunal de Contas da União (TCU) que apresenta o CobiT como parâmetro para atingimento dos requisitos de desempenho das áreas de TI, como pode ser visto no trecho:
9 2013©Bridge Consulting All rights reserved
“Em atenção ao Decreto-Lei 200/67, art. 6º, inciso I, e à IN 4/2008 – SLTI/MPOG, art. 3º, institua processo de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação esteja em conformidade com as diretrizes da IN 4/2008-SLTI/MPOG, art. 4º, III, e com as práticas do CobiT 4.1, processo PO1 – Planejamento Estratégico de TI, especialmente no que se refere à aprovação e à publicação do plano” (Acórdão 594/2011).
No entanto, as referências legais ainda apontam o CobiT 4.1, e não o CobiT 5, como publicação de apoio às implementações e as empresas em geral utilizam esta versão como a padrão para os seus projetos de Governança de TI.
Novas publicações sobre a atual versão do CobiT ainda estão sendo desenvolvidas, o método para assessment através do novo modelo de capacidade foi lançado no final de Janeiro de 2013 e, por esse motivo, ainda não é possível observar casos de implementação do CobiT 5. No entanto, já se pode afirmar que a nova versão apresenta um grande salto estratégico, uma vez que aproxima os conceitos Governança de TI e Governança Corporativa.
