Conhecimento em Tecnologia da Informação. CobiT 5. Apresentação do novo framework da ISACA Bridge Consulting All rights reserved

Transcrição

1 Conhecimento em Tecnologia da Informação CobiT 5 Apresentação do novo framework da ISACA

2 Apresentação Este artigo tem como objetivo apresentar a nova versão do modelo de governança de TI, CobiT 5, lançado pela ISACA em Iremos abordar as principais mudanças do framework em relação à última versão, CobiT 4.1, os conceitos-chave e a análise da Bridge Consulting sobre o posicionamento e aplicabilidade do modelo no mercado atual. A tecnologia está em permanente transição e a evolução das melhores práticas se mostrou necessária para que os requisitos de negócio sejam plenamente atingidos pela TI. O CobiT 5 utilizou desta premissa e integrou diversos frameworks como o Val IT 2.0 e Risk IT, objetivando potencializar a aplicabilidade nas empresas. A consolidação dos diferentes modelos em um modelo único possibilitou uma navegabilidade mais simples para o usuário, permitindo não apenas maior abrangência como maior eficiência na utilização do framework. Com o CobiT 5, a ISACA pretende aproximar o framework a outros modelos de referência utilizados por grandes empresas, entre eles o ITIL. As mudanças são significativas, como por exemplo, a evolução do modelo de avaliação de maturidade que passará nesta nova versão a utilizar a ISO/IEC como base para a escala de maturidade, ao invés do CMMI. Além desse exemplo, outras alterações fazem com que o mercado se movimente no sentido de buscar novas informações sobre o modelo. Ao longo do documento será possível discutir as mudanças presentes no CobiT 5 e apresentar o novo modelo de referência que vem sendo considerado inovador e, ao mesmo tempo, desafiador entre suas diferentes versões. 2

3 CobiT 4.1 vs CobiT 5 PRINCIPAIS DIFERENÇAS O CobiT, em seu novo modelo, trouxe uma série de mudanças em relação à última versão, o CobiT 4.1. A tabela abaixo apresenta as principais diferenças entre as versões: Tabela 1 - Quadro comparativo entre o CobiT 4.1 e CobiT 5 3

4 Tabela 2 - Quadro comparativo entre o CobiT 4.1 e CobiT 5 (continuação) 4

5 O Modelo 1.1 Princípios O CobiT 5 auxilia as empresas a atingirem os seus objetivos para a governança e gestão da TI, otimizando o valor gerado pela TI e mantendo um equilíbrio entre a realização dos benefícios, a redução dos riscos e utilização de recursos. O framework permite que a TI seja governada e gerida de forma abrangente para toda a empresa, alcançando os interesses dos stakeholders internos e externos da TI. Neste contexto, o CobiT 5 é baseado em cinco princípios, como mostrado na figura ao lado: 1. Alcançar a necessidade de stakeholders: Ressalta a importância da criação de valores para os stakeholders e, para tal, o CobiT 5 apresenta uma cascata de objetivos que traduz as necessidades das partes interessadas em objetivos de habilitadores, passando por objetivos de negócio e objetivos de TI. 2. Cobrir a empresa fim a fim: Este princípio afirma que o CobiT 5 se integra a qualquer mecanismo de governança já existente na empresa. 3. Aplicar um único e integrado framework: Além de fornecer uma base para integrar outros frameworks, normas e práticas como o ITIL, ISO/IEC etc., o CobiT 5 integra todo conhecimento existentes em diferentes frameworks da ISACA Permitir uma abordagem holística: Lista sete habilitadores para a implantação da governança de TI. Eles são direcionados pela Cascata de Objetivos de modo que um objetivo estratégico do negócio pode definir como os diferentes habilitadores devem ser utilizados, por exemplo, uma necessidade estratégica de excelência em processos pode exigir um número maior de processos críticos, assim como a necessidade de skills e competências específicas. Habilitadores, no CobiT 5, são fatores que, individualmente e/ou coletivamente, influenciam o funcionamento da governança e gestão de TI. 1 A ISACA (Information Systems Audit and Control Association) é uma associação internacional que suporta e patrocina o desenvolvimento de metodologias e certificações para o desempenho das atividades de auditoria e controle em sistemas de informação. Ela realiza pesquisas na área de governança corporativa há muitos anos e já produziu muitos frameworks como o COBIT, VAL IT, Risk IT, BMIS, a publicação Board Briefing on IT Governance e o ITAF para prover orientação e assistência para empresas. 5

6 5. Separação de governança e gerenciamento: O CobiT 5, diferente das versões anteriores, faz uma clara distinção entre governança e gerenciamento. Estas duas disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diferentes. 1.2 Modelo de Referência de Processos O CobiT 5 fornece um modelo de referência de processos que representa todos os processos relacionados às atividades de TI normalmente encontrados em uma empresa, oferecendo um modelo de referência comum, que seja compreensível tanto para a área operacional de TI e quanto para os gestores do negócio. Esse modelo pode ser encontrado no livro CobiT 5: Enabling Processes e é completo e abrangente, mas não deve ser inflexível. Cada empresa deve definir o seu próprio conjunto de processos, tendo em vista o contexto em que está inserida. Figura 1 - Modelo de Referência de Processos Fonte: COBIT 5: Enabling Processes, page ISACA. 6

7 1.3 Modelo de Capacidade de Processos O modelo de capacidade de processos é baseado na norma internacional ISO/IEC e foi criado para auxiliar o assessment e as melhorias em processos. O modelo baseia-se em atributos genéricos e suas avaliações são feitas ao longo dos processos propostos no modelo de referência de processos, permitindo a medição da performance e a identificação dos pontos de melhoria dos processos em questão. No entanto, o CobiT 5 define um método para avaliação de cada atributo e o seu atingimento completo ou parcial irá definir o nível de capacidade do processo. Eles devem ser avaliados na escala utilizada pela ISO/IEC e apresentada a seguir: N (Não atingido) Há pouca ou nenhuma evidência de realização do atributo definido no processo de avaliação. (0 a 15 por cento atingido) P (Parcialmente atingido) Há alguma evidência de uma aproximação e algumas realizações relativas ao atributo. (15 a 50 por cento atingido) L (Largamente atingido) Há evidências de uma abordagem sistemática e uma realização significativa do atributo. Alguma fraqueza relativa a este atributo pode existir. (50 a 85 por cento atingido) F (Totalmente atingido) Há evidências de uma abordagem completa e sistemática e plena realização do atributo. Nenhum deficiência significativa relacionada com este atributo existe. (85 a 100 por cento atingido) O atingimento de um determinado nível de capacidade requer que os atributos para este nível estejam totalmente ou em grande parte (F ou L) alcançados e os atributos para todos os níveis inferiores estejam "totalmente" (F) alcançados. Na figura 2 é apresentado um resumo do modelo de capacidade presente no COBIT 5, o qual é melhor detalhado no recém-lançado Process Assessment Model (PAM): Using COBIT 5. Figura 2 - Modelo de Capacidade de Processos Fonte: COBIT 5, page ISACA. 7

8 1.4 Análises e conclusões sobre o modelo O CobiT é hoje uma referência mundial, apresentando um método consistente para a avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de Governança de TI. O ITGI produziu uma pesquisa sobre governança de TI, Global Status Report on the Governance of Enterprise IT (GEIT), englobando 834 executivos de negócios de 21 países e 10 tipos de indústrias. A pesquisa, como pode ser vista na figura 3, apresentou a evolução desde o ano de 2006 até 2010 na adoção de frameworks de governança de TI pelas empresas, classificando o CobiT em quarto lugar (12,9%) dentre o 14 frameworks utilizados pelo mercado. Esse cenário pode ter motivado a clara aproximação do CobiT a outros frameworks, como pode ser observado na versão 5. Figura 3 - Tendências no uso de frameworks e normas externas Fonte: Global Status Report on the Governance of Enterprise IT, page ITGI. Além de possibilitar uma avaliação quantitativa dos processos de TI, o CobiT possui grande aplicabilidade não apenas em empresas privadas, mas também em instituições públicas brasileiras devido a regulamentações e normas instituídas pelo governo. Um exemplo disso é o acórdão do Tribunal de Contas da União (TCU) que apresenta o CobiT como parâmetro para atingimento dos requisitos de desempenho das áreas de TI, como pode ser visto no trecho: 8

9 Em atenção ao Decreto-Lei 200/67, art. 6º, inciso I, e à IN 4/2008 SLTI/MPOG, art. 3º, institua processo de Planejamento Estratégico de TI, de maneira que o Plano Diretor de Tecnologia da Informação esteja em conformidade com as diretrizes da IN 4/2008-SLTI/MPOG, art. 4º, III, e com as práticas do CobiT 4.1, processo PO1 Planejamento Estratégico de TI, especialmente no que se refere à aprovação e à publicação do plano (Acórdão 594/2011). No entanto, as referências legais ainda apontam o CobiT 4.1, e não o CobiT 5, como publicação de apoio às implementações e as empresas em geral utilizam esta versão como a padrão para os seus projetos de Governança de TI. Novas publicações sobre a atual versão do CobiT ainda estão sendo desenvolvidas, o método para assessment através do novo modelo de capacidade foi lançado no final de Janeiro de 2013 e, por esse motivo, ainda não é possível observar casos de implementação do CobiT 5. No entanto, já se pode afirmar que a nova versão apresenta um grande salto estratégico, uma vez que aproxima os conceitos Governança de TI e Governança Corporativa. 9