2013Bridge Consulting

All rights reserved

CobiT 5

Apresentao do novo framework da ISACA

Conhecimento em Tecnologia da Informao

2
2013Bridge Consulting
All rights reserved


Apresentao

Este artigo tem como objetivo apresentar a nova verso do modelo de governana de TI, CobiT
5, lanado pela ISACA em 2012. Iremos abordar as principais mudanas do framework em
relao ltima verso, CobiT 4.1, os conceitos-chave e a anlise da Bridge Consulting sobre o
posicionamento e aplicabilidade do modelo no mercado atual.
A tecnologia est em permanente transio e a evoluo das melhores prticas se mostrou
necessria para que os requisitos de negcio sejam plenamente atingidos pela TI. O CobiT 5
utilizou desta premissa e integrou diversos frameworks como o Val IT 2.0 e Risk IT, objetivando
potencializar a aplicabilidade nas empresas. A consolidao dos diferentes modelos em um
modelo nico possibilitou uma navegabilidade mais simples para o usurio, permitindo no
apenas maior abrangncia como maior eficincia na utilizao do framework.
Com o CobiT 5, a ISACA pretende aproximar o framework a outros modelos de referncia
utilizados por grandes empresas, entre eles o ITIL. As mudanas so significativas, como por
exemplo, a evoluo do modelo de avaliao de maturidade que passar nesta nova verso a
utilizar a ISO/IEC 15.504 como base para a escala de maturidade, ao invs do CMMI. Alm
desse exemplo, outras alteraes fazem com que o mercado se movimente no sentido de
buscar novas informaes sobre o modelo.
Ao longo do documento ser possvel discutir as mudanas presentes no CobiT 5 e apresentar
o novo modelo de referncia que vem sendo considerado inovador e, ao mesmo tempo,
desafiador entre suas diferentes verses.











3
2013Bridge Consulting
All rights reserved


CobiT 4.1 vs CobiT 5 PRINCIPAIS DIFERENAS

O CobiT, em seu novo modelo, trouxe uma srie de mudanas em relao ltima verso, o
CobiT 4.1. A tabela abaixo apresenta as principais diferenas entre as verses:


Tabela 1 - Quadro comparativo entre o CobiT 4.1 e CobiT 5



4
2013Bridge Consulting
All rights reserved







Tabela 2 - Quadro comparativo entre o CobiT 4.1 e CobiT 5 (continuao)




5
2013Bridge Consulting
All rights reserved


O Modelo
1.1 Princpios

O CobiT 5 auxilia as empresas a atingirem os seus objetivos para a governana e gesto da TI,
otimizando o valor gerado pela TI e mantendo um equilbrio entre a realizao dos benefcios,
a reduo dos riscos e utilizao de recursos. O framework permite que a TI seja governada e
gerida de forma abrangente para toda a empresa, alcanando os interesses dos stakeholders
internos e externos da TI.
Neste contexto, o CobiT 5 baseado em cinco princpios,
como mostrado na figura ao lado:
1. Alcanar a necessidade de stakeholders:
Ressalta a importncia da criao de valores
para os stakeholders e, para tal, o CobiT 5
apresenta uma cascata de objetivos que traduz
as necessidades das partes interessadas em
objetivos de habilitadores, passando por
objetivos de negcio e objetivos de TI.
2. Cobrir a empresa fim a fim: Este princpio afirma que o CobiT 5 se integra a qualquer
mecanismo de governana j existente na empresa.
3. Aplicar um nico e integrado framework: Alm de fornecer uma base para integrar
outros frameworks, normas e prticas como o ITIL, ISO/IEC 15504 etc., o CobiT 5
integra todo conhecimento existentes em diferentes frameworks da ISACA
1
.
4. Permitir uma abordagem holstica: Lista sete habilitadores para a implantao da
governana de TI. Eles so direcionados pela Cascata de Objetivos de modo que um
objetivo estratgico do negcio pode definir como os diferentes habilitadores devem
ser utilizados, por exemplo, uma necessidade estratgica de excelncia em processos
pode exigir um nmero maior de processos crticos, assim como a necessidade de skills
e competncias especficas.




1
A ISACA (Information Systems Audit and Control Association) uma associao internacional que
suporta e patrocina o desenvolvimento de metodologias e certificaes para o desempenho das atividades
de auditoria e controle em sistemas de informao. Ela realiza pesquisas na rea de governana
corporativa h muitos anos e j produziu muitos frameworks como o COBIT, VAL IT, Risk IT, BMIS, a
publicao Board Briefing on IT Governance e o ITAF para prover orientao e assistncia para
empresas.


Habilitadores, no CobiT 5, so fatores que, individualmente e/ou
coletivamente, influenciam o funcionamento da governana e
gesto de TI.


6
2013Bridge Consulting
All rights reserved


5. Separao de governana e gerenciamento: O CobiT 5, diferente das verses
anteriores, faz uma clara distino entre governana e gerenciamento. Estas duas
disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas
organizacionais e servem a propsitos diferentes.

1.2 Modelo de Referncia de Processos

O CobiT 5 fornece um modelo de referncia de processos que representa todos os processos
relacionados s atividades de TI normalmente encontrados em uma empresa, oferecendo um
modelo de referncia comum, que seja compreensvel tanto para a rea operacional de TI e
quanto para os gestores do negcio. Esse modelo pode ser encontrado no livro CobiT
5: Enabling Processes e completo e abrangente, mas no deve ser inflexvel. Cada empresa
deve definir o seu prprio conjunto de processos, tendo em vista o contexto em que est
inserida.

Figura 1 - Modelo de Referncia de Processos
Fonte: COBIT

5: Enabling Processes, page 24. 2012 ISACA

All rights reserved.

7
2013Bridge Consulting
All rights reserved


1.3 Modelo de Capacidade de Processos

O modelo de capacidade de processos baseado na norma internacional ISO/IEC 15504 e foi
criado para auxiliar o assessment e as melhorias em processos. O modelo baseia-se em
atributos genricos e suas avaliaes so feitas ao longo dos processos propostos no modelo
de referncia de processos, permitindo a medio da performance e a identificao dos pontos
de melhoria dos processos em questo.
No entanto, o CobiT 5 define um mtodo para avaliao de cada atributo e o seu atingimento
completo ou parcial ir definir o nvel de capacidade do processo. Eles devem ser avaliados na
escala utilizada pela ISO/IEC 15504 e apresentada a seguir:
N (No atingido)H pouca ou nenhuma evidncia de realizao do atributo definido
no processo de avaliao. (0 a 15 por cento atingido)
P (Parcialmente atingido)H alguma evidncia de uma aproximao e algumas
realizaes relativas ao atributo. (15 a 50 por cento atingido)
L (Largamente atingido)H evidncias de uma abordagem sistemtica e uma
realizao significativa do atributo. Alguma fraqueza relativa a este atributo pode
existir. (50 a 85 por cento atingido)
F (Totalmente atingido)H evidncias de uma abordagem completa e sistemtica e
plena realizao do atributo. Nenhum deficincia significativa relacionada com este
atributo existe. (85 a 100 por cento atingido)






Na figura 2 apresentado um resumo do modelo de capacidade presente no COBIT 5, o qual
melhor detalhado no recm-lanado Process Assessment Model (PAM): Using COBIT 5.

Figura 2 - Modelo de Capacidade de Processos
Fonte: COBIT

5, page 42. 2012 ISACA

All rights reserved.

O atingimento de um determinado nvel de capacidade requer que os
atributos para este nvel estejam totalmente ou em grande parte (F ou L)
alcanados e os atributos para todos os nveis inferiores estejam
"totalmente" (F) alcanados.


8
2013Bridge Consulting
All rights reserved


1.4 Anlises e concluses sobre o modelo

O CobiT hoje uma referncia mundial, apresentando um mtodo consistente para a
avaliao de controles e maturidade de processos de TI e, por esta razo, tem sido adotado em
diversos projetos de Governana de TI.
O ITGI produziu uma pesquisa sobre governana de TI, Global Status Report on the Governance
of Enterprise IT (GEIT), englobando 834 executivos de negcios de 21 pases e 10 tipos de
indstrias. A pesquisa, como pode ser vista na figura 3, apresentou a evoluo desde o ano de
2006 at 2010 na adoo de frameworks de governana de TI pelas empresas, classificando o
CobiT em quarto lugar (12,9%) dentre o 14 frameworks utilizados pelo mercado. Esse cenrio
pode ter motivado a clara aproximao do CobiT a outros frameworks, como pode ser
observado na verso 5.

Figura 3 - Tendncias no uso de frameworks e normas externas
Fonte: Global Status Report on the Governance of Enterprise IT, page 30. 2011 ITGI All rights reserved.

Alm de possibilitar uma avaliao quantitativa dos processos de TI, o CobiT possui grande
aplicabilidade no apenas em empresas privadas, mas tambm em instituies pblicas
brasileiras devido a regulamentaes e normas institudas pelo governo.
Um exemplo disso o acrdo do Tribunal de Contas da Unio (TCU) que apresenta o CobiT
como parmetro para atingimento dos requisitos de desempenho das reas de TI, como pode
ser visto no trecho:


9
2013Bridge Consulting
All rights reserved


Em ateno ao Decreto-Lei 200/67, art. 6, inciso I, e IN 4/2008
SLTI/MPOG, art. 3, institua processo de Planejamento Estratgico de
TI, de maneira que o Plano Diretor de Tecnologia da Informao esteja
em conformidade com as diretrizes da IN 4/2008-SLTI/MPOG, art. 4,
III, e com as prticas do CobiT 4.1, processo PO1 Planejamento
Estratgico de TI, especialmente no que se refere aprovao e
publicao do plano (Acrdo 594/2011).

No entanto, as referncias legais ainda apontam o CobiT 4.1, e no o CobiT 5, como publicao
de apoio s implementaes e as empresas em geral utilizam esta verso como a padro para
os seus projetos de Governana de TI.
Novas publicaes sobre a atual verso do CobiT ainda esto sendo desenvolvidas, o mtodo
para assessment atravs do novo modelo de capacidade foi lanado no final de Janeiro de
2013 e, por esse motivo, ainda no possvel observar casos de implementao do CobiT 5. No
entanto, j se pode afirmar que a nova verso apresenta um grande salto estratgico, uma vez
que aproxima os conceitos Governana de TI e Governana Corporativa.