Este artigo tem como objetivo apresentar a nova verso do modelo de governana de TI, CobiT 5, lanado pela ISACA em 2012. Iremos abordar as principais mudanas do framework em relao ltima verso, CobiT 4.1, os conceitos-chave e a anlise da Bridge Consulting sobre o posicionamento e aplicabilidade do modelo no mercado atual. A tecnologia est em permanente transio e a evoluo das melhores prticas se mostrou necessria para que os requisitos de negcio sejam plenamente atingidos pela TI. O CobiT 5 utilizou desta premissa e integrou diversos frameworks como o Val IT 2.0 e Risk IT, objetivando potencializar a aplicabilidade nas empresas. A consolidao dos diferentes modelos em um modelo nico possibilitou uma navegabilidade mais simples para o usurio, permitindo no apenas maior abrangncia como maior eficincia na utilizao do framework. Com o CobiT 5, a ISACA pretende aproximar o framework a outros modelos de referncia utilizados por grandes empresas, entre eles o ITIL. As mudanas so significativas, como por exemplo, a evoluo do modelo de avaliao de maturidade que passar nesta nova verso a utilizar a ISO/IEC 15.504 como base para a escala de maturidade, ao invs do CMMI. Alm desse exemplo, outras alteraes fazem com que o mercado se movimente no sentido de buscar novas informaes sobre o modelo. Ao longo do documento ser possvel discutir as mudanas presentes no CobiT 5 e apresentar o novo modelo de referncia que vem sendo considerado inovador e, ao mesmo tempo, desafiador entre suas diferentes verses.
3 2013Bridge Consulting All rights reserved
CobiT 4.1 vs CobiT 5 PRINCIPAIS DIFERENAS
O CobiT, em seu novo modelo, trouxe uma srie de mudanas em relao ltima verso, o CobiT 4.1. A tabela abaixo apresenta as principais diferenas entre as verses:
Tabela 1 - Quadro comparativo entre o CobiT 4.1 e CobiT 5
4 2013Bridge Consulting All rights reserved
Tabela 2 - Quadro comparativo entre o CobiT 4.1 e CobiT 5 (continuao)
5 2013Bridge Consulting All rights reserved
O Modelo 1.1 Princpios
O CobiT 5 auxilia as empresas a atingirem os seus objetivos para a governana e gesto da TI, otimizando o valor gerado pela TI e mantendo um equilbrio entre a realizao dos benefcios, a reduo dos riscos e utilizao de recursos. O framework permite que a TI seja governada e gerida de forma abrangente para toda a empresa, alcanando os interesses dos stakeholders internos e externos da TI. Neste contexto, o CobiT 5 baseado em cinco princpios, como mostrado na figura ao lado: 1. Alcanar a necessidade de stakeholders: Ressalta a importncia da criao de valores para os stakeholders e, para tal, o CobiT 5 apresenta uma cascata de objetivos que traduz as necessidades das partes interessadas em objetivos de habilitadores, passando por objetivos de negcio e objetivos de TI. 2. Cobrir a empresa fim a fim: Este princpio afirma que o CobiT 5 se integra a qualquer mecanismo de governana j existente na empresa. 3. Aplicar um nico e integrado framework: Alm de fornecer uma base para integrar outros frameworks, normas e prticas como o ITIL, ISO/IEC 15504 etc., o CobiT 5 integra todo conhecimento existentes em diferentes frameworks da ISACA 1 . 4. Permitir uma abordagem holstica: Lista sete habilitadores para a implantao da governana de TI. Eles so direcionados pela Cascata de Objetivos de modo que um objetivo estratgico do negcio pode definir como os diferentes habilitadores devem ser utilizados, por exemplo, uma necessidade estratgica de excelncia em processos pode exigir um nmero maior de processos crticos, assim como a necessidade de skills e competncias especficas.
1 A ISACA (Information Systems Audit and Control Association) uma associao internacional que suporta e patrocina o desenvolvimento de metodologias e certificaes para o desempenho das atividades de auditoria e controle em sistemas de informao. Ela realiza pesquisas na rea de governana corporativa h muitos anos e j produziu muitos frameworks como o COBIT, VAL IT, Risk IT, BMIS, a publicao Board Briefing on IT Governance e o ITAF para prover orientao e assistncia para empresas.
Habilitadores, no CobiT 5, so fatores que, individualmente e/ou coletivamente, influenciam o funcionamento da governana e gesto de TI.
6 2013Bridge Consulting All rights reserved
5. Separao de governana e gerenciamento: O CobiT 5, diferente das verses anteriores, faz uma clara distino entre governana e gerenciamento. Estas duas disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propsitos diferentes.
1.2 Modelo de Referncia de Processos
O CobiT 5 fornece um modelo de referncia de processos que representa todos os processos relacionados s atividades de TI normalmente encontrados em uma empresa, oferecendo um modelo de referncia comum, que seja compreensvel tanto para a rea operacional de TI e quanto para os gestores do negcio. Esse modelo pode ser encontrado no livro CobiT 5: Enabling Processes e completo e abrangente, mas no deve ser inflexvel. Cada empresa deve definir o seu prprio conjunto de processos, tendo em vista o contexto em que est inserida.
Figura 1 - Modelo de Referncia de Processos Fonte: COBIT
5: Enabling Processes, page 24. 2012 ISACA
All rights reserved.
7 2013Bridge Consulting All rights reserved
1.3 Modelo de Capacidade de Processos
O modelo de capacidade de processos baseado na norma internacional ISO/IEC 15504 e foi criado para auxiliar o assessment e as melhorias em processos. O modelo baseia-se em atributos genricos e suas avaliaes so feitas ao longo dos processos propostos no modelo de referncia de processos, permitindo a medio da performance e a identificao dos pontos de melhoria dos processos em questo. No entanto, o CobiT 5 define um mtodo para avaliao de cada atributo e o seu atingimento completo ou parcial ir definir o nvel de capacidade do processo. Eles devem ser avaliados na escala utilizada pela ISO/IEC 15504 e apresentada a seguir: N (No atingido)H pouca ou nenhuma evidncia de realizao do atributo definido no processo de avaliao. (0 a 15 por cento atingido) P (Parcialmente atingido)H alguma evidncia de uma aproximao e algumas realizaes relativas ao atributo. (15 a 50 por cento atingido) L (Largamente atingido)H evidncias de uma abordagem sistemtica e uma realizao significativa do atributo. Alguma fraqueza relativa a este atributo pode existir. (50 a 85 por cento atingido) F (Totalmente atingido)H evidncias de uma abordagem completa e sistemtica e plena realizao do atributo. Nenhum deficincia significativa relacionada com este atributo existe. (85 a 100 por cento atingido)
Na figura 2 apresentado um resumo do modelo de capacidade presente no COBIT 5, o qual melhor detalhado no recm-lanado Process Assessment Model (PAM): Using COBIT 5.
Figura 2 - Modelo de Capacidade de Processos Fonte: COBIT
5, page 42. 2012 ISACA
All rights reserved.
O atingimento de um determinado nvel de capacidade requer que os atributos para este nvel estejam totalmente ou em grande parte (F ou L) alcanados e os atributos para todos os nveis inferiores estejam "totalmente" (F) alcanados.
8 2013Bridge Consulting All rights reserved
1.4 Anlises e concluses sobre o modelo
O CobiT hoje uma referncia mundial, apresentando um mtodo consistente para a avaliao de controles e maturidade de processos de TI e, por esta razo, tem sido adotado em diversos projetos de Governana de TI. O ITGI produziu uma pesquisa sobre governana de TI, Global Status Report on the Governance of Enterprise IT (GEIT), englobando 834 executivos de negcios de 21 pases e 10 tipos de indstrias. A pesquisa, como pode ser vista na figura 3, apresentou a evoluo desde o ano de 2006 at 2010 na adoo de frameworks de governana de TI pelas empresas, classificando o CobiT em quarto lugar (12,9%) dentre o 14 frameworks utilizados pelo mercado. Esse cenrio pode ter motivado a clara aproximao do CobiT a outros frameworks, como pode ser observado na verso 5.
Figura 3 - Tendncias no uso de frameworks e normas externas Fonte: Global Status Report on the Governance of Enterprise IT, page 30. 2011 ITGI All rights reserved.
Alm de possibilitar uma avaliao quantitativa dos processos de TI, o CobiT possui grande aplicabilidade no apenas em empresas privadas, mas tambm em instituies pblicas brasileiras devido a regulamentaes e normas institudas pelo governo. Um exemplo disso o acrdo do Tribunal de Contas da Unio (TCU) que apresenta o CobiT como parmetro para atingimento dos requisitos de desempenho das reas de TI, como pode ser visto no trecho:
9 2013Bridge Consulting All rights reserved
Em ateno ao Decreto-Lei 200/67, art. 6, inciso I, e IN 4/2008 SLTI/MPOG, art. 3, institua processo de Planejamento Estratgico de TI, de maneira que o Plano Diretor de Tecnologia da Informao esteja em conformidade com as diretrizes da IN 4/2008-SLTI/MPOG, art. 4, III, e com as prticas do CobiT 4.1, processo PO1 Planejamento Estratgico de TI, especialmente no que se refere aprovao e publicao do plano (Acrdo 594/2011).
No entanto, as referncias legais ainda apontam o CobiT 4.1, e no o CobiT 5, como publicao de apoio s implementaes e as empresas em geral utilizam esta verso como a padro para os seus projetos de Governana de TI. Novas publicaes sobre a atual verso do CobiT ainda esto sendo desenvolvidas, o mtodo para assessment atravs do novo modelo de capacidade foi lanado no final de Janeiro de 2013 e, por esse motivo, ainda no possvel observar casos de implementao do CobiT 5. No entanto, j se pode afirmar que a nova verso apresenta um grande salto estratgico, uma vez que aproxima os conceitos Governana de TI e Governana Corporativa.