2. 2Setembro de 2013
Apresentação
Sabemos que a Tecnologia da Informação está em permanente transição e, com isso, a
evolução das melhores práticas de gestão se torna necessária para que as empresas
consigam transformar o uso de TI em um ativo estratégico para seus negócios.
Conforme apresentado no primeiro artigo da Bridge Consulting sobre o CobiT 5, seus
autores utilizaram desta premissa e o framework passou a integrar diversos outros
referenciais como o Val IT 2.0 e o Risk IT, visando potencializar o uso nas empresas. A
consolidação dos diferentes frameworks em um modelo único possibilitou uma
navegabilidade mais simples para o usuário, além de outras características exploradas.
Com o CobiT 5, a ISACA1
pretende aproximar o framework de outros modelos de
referência utilizados por empresas, principalmente o ITIL®, pela sua grande aceitação
no mercado. As mudanças são significativas, como, por exemplo, a evolução do
método de avaliação de maturidade que passará nesta nova versão a utilizar a ISO/IEC
15504 como base, ao invés do CMM.
Um dos principais pontos levantados pelos profissionais de Governança de TI, do
momento do lançamento da versão 5 até agora, é a dificuldade de entendimento de
como será feita essa nova avaliação. Com a descontinuidade da antiga régua de
maturidade, uma nova forma de verificação de controles tem que ser trabalhada por
consultorias, auditores internos ou profissionais de Governança das organizações.
Este artigo tem como objetivo trazer primeiros insights de como está sendo previsto
esse novo método, determinando suas principais etapas de avaliação e, por fim,
apontando uma análise crítica e possíveis dificuldades que os usuários poderão ter ao
lidar com esse novo desafio.
1
A ISACA (www.isaca.org) faz pesquisas na área de governança corporativa há anos e é responsável pela
disponibilização de frameworks como o CobiT, VAL IT, Risk IT, BMIS, a publicação “Board Briefing on IT Governance”
e outros para prover orientação e assistência para empresas.
3. 3Setembro de 2013
O Modelo
1.1 Princípios
Como apresentado no artigo “CobiT 5 – Apresentação do
novo framework da ISACA”, lançado em 6 de fevereiro de
2013 pela Bridge Consulting, o CobiT 5 auxilia as empresas
a atingirem os seus objetivos para a governança e gestão
da TI, otimizando o valor gerado pela TI e mantendo um
equilíbrio entre a realização dos benefícios, a redução dos
riscos e utilização de recursos. O CobiT 5 permite que a TI
seja governada e gerida de forma abrangente para toda a
empresa, alcançando os interesses dos stakeholders
internos e externos da TI.
Neste contexto, o CobiT 5 é baseado em cinco princípios,
como mostrado na figura acima:
1. Alcançar a necessidade de stakeholders: Ressalta a importância da criação de valor
para os stakeholders e, para tal, o CobiT 5 apresenta uma cascata de objetivos que
traduz as necessidades das partes interessadas em habilitadores (enablers), passando
por objetivos de negócio e objetivos de TI.
2. Cobrir a empresa de fim a fim: Este princípio afirma que o CobiT 5 se integra a
qualquer mecanismo de governança já existente na empresa, como o ITIL® ou uma
ISO/IEC 20.000, por exemplo.
3. Aplicar um único e integrado framework: Além de fornecer uma base para integrar
outros frameworks, normas e práticas, o CobiT 5 integra todo conhecimento existente
nos diferentes frameworks da ISACA e de outros institutos.
4. Permitir uma abordagem holística: Lista sete habilitadores para a implementação de
governança de TI. Esses habilitadores (processos, indicadores, entre outros) são
desdobrados desde os objetivos de negócio, passando pelos objetivos de TI até
processos e indicadores.
5. Separação de Governança e Gerenciamento: O CobiT 5, diferente das versões
anteriores, faz uma clara distinção entre Governança e Gerenciamento. Estas duas
disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas
organizacionais e servem a propósitos diferentes.
Figura 1- Princípios do CobiT 5
4. 4Setembro de 2013
1.2 Modelo de Referência de Processos
O CobiT 5 inclui um Modelo de Referência de Processos que define e descreve em detalhes
uma série de processos de governança e gestão. Esse modelo pode ser encontrado no livro
“CobiT 5: Enabling Processes”.
A publicação fornece um modelo que representa todos os processos relacionados às atividades
de TI normalmente encontradas em uma empresa, oferecendo uma abordagem comum, que
seja compreensível para a área técnica de TI e para os gestores do negócio. O modelo de
processos proposto é completo e abrangente, mas não deve ser inflexível. Cada empresa deve
definir o seu próprio conjunto de processos críticos, tendo em vista o contexto em que está
inserida.
Figura 2 - Processos do CobiT 5
O modelo de referência de processos tem as seguintes características:
• Composto por 37 processos (ao invés dos 34 da versão 4.1);
• Possui duas áreas de atividades;
o Governança de TI
o Gerenciamento de TI
• É estruturado em cinco domínios (ao invés de 4 da versão 4.1);
o EDM (Evaluate, Direct and Monitor)
o APO (Align, Plan and Organise)
o BAI (Build, Acquire and Implement)
o DSS (Deliver, Service and Support)
o MEA (Monitor, Evaluate and Assess)
5. 5Setembro de 2013
1.3 Modelo de Maturidade de Processos
Neste capítulo será apresentado o novo modelo de maturidade para os processos do CobiT
que, segundo análises feitas pós-lançamento da versão 5, representa um dos maiores desafios
para os profissionais acostumados com a versão 4 e com a régua de maturidade do CMM.
1.3.1 Níveis de Maturidade
O Modelo de Maturidade de Processos é baseado na norma internacional ISO/IEC 15504,
também conhecida como SPICE (Software Process Improvement and Capability), oriundo do
campo da Engenharia de Software. Este modelo também foi criado para auxiliar o assessment
e as melhorias em processos, provendo meios para medir a desempenho de todos os
processos e permitindo a identificação de pontos de melhoria. Utilizando os mesmos conceitos
da ISO, o CobiT 5 possui seis níveis de maturidade, descritos na tabela abaixo:
Níveis de Maturidade
Nível 0 O processo não está implementado ou falha ao tentar atingir seus objetivos.
Nível 1 O processo implementado atinge os seus objetivos.
Nível 2
O processo é implementado de uma forma gerenciável (planejado, monitorado
e ajustado) e os inputs e outputs são formalmente controlados.
Nível 3
Existe um processo formalmente definido e os outcomes são eventualmente
alcançados.
Nível 4
O processo agora opera dentro dos limites definidos para alcançar os seus
outcomes de forma estável/ previsível.
Nível 5
O processo é continuamente melhorado para alcançar os objetivos de negócio
estabelecidos.
Tabela 1 - Níveis de Maturidade do CobiT 5
O modelo baseia-se no conceito de atributos e suas avaliações são feitas ao longo dos
processos propostos no Modelo de Referência de Processos. Cada nível de maturidade possui
atributos de processos (PA – Process Atribute) específicos que precisam ser avaliados para
total atingimento do nível em questão.
Figura 3 - Atributos de maturidade por nível
Níveis de
maturidade
6. 6Setembro de 2013
Além disso, o CobiT 5 define um método para avaliação de cada atributo de acordo com a
porcentagem de atingimento dos resultados esperados. Eles devem ser avaliados na escala
utilizada pela ISO/IEC 15504 e apresentada a seguir:
Escala Descrição Porcentagem
N
(Não Atingido)
Há pouca ou nenhuma evidência de
realização do atributo definido no processo
de avaliação.
0-15%
P
(Parcialmente Atingido)
Há alguma evidência de uma aproximação e
algumas realizações relativas ao atributo
15-50%
L
(Largamente Atingido)
Há evidências de uma abordagem
sistemática e uma realização significativa do
atributo. Alguma fraqueza relativa a este
atributo pode existir
50-85%
F
(Totalmente Atingido)
Há evidências de uma abordagem completa e
sistemática e plena realização do atributo.
Nenhuma deficiência significativa
relacionada com este atributo
85-100%
Tabela 2 - Escala de atingimento de maturidade
1.3.2 Atributos de Processo
Como apresentado anteriormente, cada nível de maturidade deve ser avaliado de acordo com
atributos específicos. No entanto, o nível 1 apresenta um método de avaliação diferente dos
demais. O Atributo PA 1.1 utiliza práticas e work products (artefatos associados à execução do
processo) específicos de cada processo, enquanto os demais atributos se baseiam em práticas
e work products genéricos.
A seguir são apresentadas as descrições e os resultados esperados para cada atributo, os quais
serão fontes principais para o assessment, de acordo com o nível de maturidade.
Nível 1
O PA 1.1, “Execução do Processo”, avalia se o processo atinge o seu propósito. Portanto, será
avaliado também se as atividades básicas e os work products do processo são executados de
alguma forma, não sendo necessária a formalização e documentação dos mesmos. A avaliação
ocorre como mostrado na figura abaixo:
7. 7Setembro de 2013
Figura 4 - Exemplo de processo e atributos
Nível 2
A partir do nível 2, a avaliação dos atributos é baseada em práticas e work products genéricos
que se aplicam a todos os processos. Esses itens são avaliados de acordo com os objetivos de
cada atributo de processo.
O PA 2.1, Gerenciamento do Desempenho, busca avaliar se a desempenho do processo é
gerenciado, mesmo que em um nível desestruturado e utilizando métodos de controle tácitos.
Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados:
• Objetivos de desempenho do processo estão definidos;
• O desempenho do processo é planejado e monitorado;
• O desempenho do processo é ajustado para atingir o planejado;
• Responsabilidades para execução do processo são definidas, atribuídas e comunicadas;
• Recursos e informações necessárias para executar o processo são identificados, estão
disponíveis, alocados e utilizados; e
• Interface entre as partes envolvidas no processo são gerenciadas para garantir a
eficácia na comunicação e clareza na definição de responsabilidades.
8. 8Setembro de 2013
O PA 2.2, Gerenciamento de Work Products, avalia se os artefatos e informações do processo
são apropriadamente gerenciados. Para o total atingimento dos atributos, os objetivos a seguir
devem ser avaliados:
• Requisitos para os documentos do processo são definidos;
• Requisitos para documentação e controle dos documentos são definidos;
• Os documentos do processo são devidamente identificados e controlados; e
• Os artefatos do processo são revisados de acordo com os critérios definidos e
ajustados para atender aos requisitos.
A avaliação dos objetivos deve ser baseada em evidências que comprovem o seu atingimento,
podendo ser reportes ou registros informais.
Nível 3
O nível 3 utiliza os conceitos de processo padrão e processo definido. Um processo padrão
consiste de normas e/ou políticas instituídas corporativamente e apresenta elementos
principais que terão que ser implantados em um processo definido. Normalmente, o processo
padrão pode ser considerado como uma diretriz de processos oriundos de um comitê de TI ou
de um CIO, o qual deverá ser implantado como um processo definido em diferentes unidades
de negócio da organização, quando aplicável. Por exemplo, uma norma de segurança da
informação pode definir atividades mínimas, papéis e responsabilidades para o tratamento de
incidentes desse tipo, sendo traduzida em um processo definido que é executado pela TI.
O PA 3.1, “Definição do Processo”, busca avaliar se um processo padrão é mantido de forma
que auxilie a implantação de um processo definido. Para o total atingimento dos atributos, os
objetivos a seguir devem ser avaliados:
• Um processo padrão, incluindo orientações para adaptação, é definido e descreve os
elementos fundamentais que devem ser incorporados a um processo definido;
• A sequência e interação do processo padrão com outros processos são determinadas;
• Papéis e competências necessárias para a realização de um processo são identificados
como parte do processo padrão;
• Infraestrutura necessária e ambiente de trabalho para a realização do processo são
identificados; e
• Métodos para monitorar a eficácia e adequação do processo são determinados.
O PA 3.2, “Implantação do Processo”, busca avaliar se um processo padrão é eficientemente
implantado como um processo definido. Para o total atingimento dos atributos, os objetivos a
seguir devem ser avaliados:
• Um processo definido é implantado baseado na escolha e adequação de um processo
padrão;
• Papéis e responsabilidades para executar o processo definido são alocados e
comunicados;
9. 9Setembro de 2013
• Atores do processo definido possuem experiência e são adequadamente treinados
• Recursos e informações necessárias para a execução do processo definido estão
disponíveis, alocados e são utilizados;
• Infraestrutura e ambientes necessários para a execução do processo definido estão
disponíveis, são gerenciados e mantidos; e
• Os dados apropriados são coletados e analisados para entendimento do
comportamento, demonstração da efetividade e avaliação de melhorias contínuas do
processo definido.
Nível 4
O PA 4.1, “Medição de Processo”, busca avaliar se resultados de medição de desempenho do
processo são utilizados para garantir o atingimento de objetivos do processo, em suporte a
metas de negócio. Para o total atingimento dos atributos, os objetivos a seguir devem ser
avaliados:
• Necessidades de informação do processo são definidas de acordo com os objetivos de
negócio;
• Os objetivos de medição do processo são derivados da necessidade de informação do
mesmo;
• Objetivos quantitativos para o desempenho do processo são estabelecidos de acordo
com as necessidades do negócio;
• Medidas e frequência de medição são identificadas e definidas de acordo com os
objetivos de medição do processo e os objetivos quantitativos para o desempenho do
processo; e
• Os resultados de medição são coletados, analisados e reportados a fim de avaliar se os
objetivos quantitativos do processo são atingidos.
O PA 4.2, “Controle de Processo”, busca avaliar se o processo é quantitativamente gerenciado,
de modo que seja estável e previsível dentro de limites preestabelecidos. Para o total
atingimento dos atributos, os objetivos a seguir devem ser avaliados:
• Técnicas de controle e análise são definidas e aplicadas;
• Limites de variação do processo são definidos para uma performance normal do
processo;
• Os dados de medição são analisados para causas especiais de variação;
• Ações corretivas são tomadas para endereçar as variações observadas e
• Os limites de controle são reestabelecido (se necessário) de acordo com ações
corretivas.
10. 10Setembro de 2013
Nível 5
O PA 5.1, “Inovação de Processo”, busca avaliar se mudanças para o processo são identificadas
através de análises de causas comuns de variação no desempenho e da investigação de
abordagens inovadoras para a definição e implementação do processo. Para o total
atingimento dos atributos, os objetivos a seguir devem ser avaliados:
• Objetivos de melhoria do processo são definidos de acordo com os objetivos de
negócio;
• Dados apropriados são analisados para a identificação de causas comuns às variações
do processo;
• Dados apropriados são analisados para identificar oportunidades para melhores
práticas e inovação;
• Oportunidades de melhorias derivadas de novas tecnologias e conceitos de processo
são identificadas; e
• Uma estratégia de implementação é estabelecida para atingimento dos objetivos de
melhoria.
O PA 5.2, “Otimização de Processo”, busca avaliar se mudanças em definições, gerenciamento
e desempenho do processo causaram impactos efetivos no atingimento do objetivo de
melhorias. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados:
• Os impactos de todas as mudanças propostas são avaliados frente aos objetivos do
processo definido e padrão;
• A implementação de todas as mudanças acordadas é gerenciada para garantir que
qualquer interrupção no desempenho do processo é entendida e corrigida; e
• Com base no desempenho atual, a eficácia da mudança no processo é avaliada em
função dos requisitos de produtos definidos e objetivos de processo para determinar
se os resultados são devidos às causas identificadas.
1.3.3 Método de Avaliação
Para todos os níveis de maturidade, é importante que existam evidências de atingimento dos
resultados esperados para cada atributo. Até o nível 2, é aceitável que essas evidências sejam
apresentadas de maneira informal, no entanto, a partir do nível 3, inclusive, essas evidências
precisam estar documentadas e padronizadas.
Além disso, o atingimento de um determinado nível de capacidade requer que os atributos
para este nível estejam “totalmente” ou “largamente” (F ou L) alcançados e os atributos para
todos os níveis inferiores estejam "totalmente" (F) alcançados. Portanto, para atingimento do
nível 2, por exemplo, é preciso que o PA 2.1 e PA 2.2 sejam avaliados como F ou L e o PA 1.1
seja avaliado como F (vide tabela 1 – página 6).
11. 11Setembro de 2013
Conclusão
O CobiT é hoje uma referência mundial, que apresenta um método consistente para a
avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em
diversos projetos de Governança de TI.
O ITGI2
produziu uma pesquisa sobre “Governança de TI, Global Status Report on the
Governance of Enterprise IT (GEIT)”, englobando 834 executivos de negócio de 21 países e 10
tipos de indústrias. A pesquisa apresentou a evolução desde o ano de 2006 até 2010 na
adoção de frameworks de Governança de TI pelas empresas, classificando o CobiT em quarto
lugar (12,9%) dentre os 14 frameworks utilizados pelo mercado. Esse cenário pode ter
motivado a estratégia de aproximação do CobiT a outros frameworks, como pode ser
observado na versão 5.
Apesar do mercado ainda utilizar o CobiT 4.1 como referência, algumas empresas já começam
a se movimentar em direção à versão 5 e a Bridge Consulting já possui iniciativas nesse
sentido.
As informações disponibilizadas ao longo do documento devem ser traduzidas em estratégias
para avaliação e cada empresa deve possuir o seu padrão. A Bridge Consulting utiliza
ferramentas internas para apoiar o assessment em total alinhamento aos métodos descritos
no tópico anterior, como o exemplo abaixo:
Apesar do modelo ainda estar ganhando aceitação no mercado, é possível observar que ele
representa um grande salto estratégico, uma vez que aproxima os conceitos Governança de TI
e Governança Corporativa.
Para conhecer mais sobre nossas pesquisas em relação ao CobiT 5 e sobre atuação de
consultoria, entre em contato através do email contato@bridgeconsulting.com.br.
2
IT Governance Institute® www.itgi.org