CobiT 5. Como avaliar a maturidade dos processos de acordo com o novo modelo? Conhecimento em Tecnologia da Informação

Transcrição

1 Conhecimento em Tecnologia da Informação CobiT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo? 2013 Bridge Consulting All rights reserved

2 Apresentação Sabemos que a Tecnologia da Informação está em permanente transição e, com isso, a evolução das melhores práticas de gestão se torna necessária para que as empresas consigam transformar o uso de TI em um ativo estratégico para seus negócios. Conforme apresentado no primeiro artigo da Bridge Consulting sobre o CobiT 5, seus autores utilizaram desta premissa e o framework passou a integrar diversos outros referenciais como o Val IT 2.0 e o Risk IT, visando potencializar o uso nas empresas. A consolidação dos diferentes frameworks em um modelo único possibilitou uma navegabilidade mais simples para o usuário, além de outras características exploradas. Com o CobiT 5, a ISACA 1 pretende aproximar o framework de outros modelos de referência utilizados por empresas, principalmente o ITIL, pela sua grande aceitação no mercado. As mudanças são significativas, como, por exemplo, a evolução do método de avaliação de maturidade que passará nesta nova versão a utilizar a ISO/IEC como base, ao invés do CMM. Um dos principais pontos levantados pelos profissionais de Governança de TI, do momento do lançamento da versão 5 até agora, é a dificuldade de entendimento de como será feita essa nova avaliação. Com a descontinuidade da antiga régua de maturidade, uma nova forma de verificação de controles tem que ser trabalhada por consultorias, auditores internos ou profissionais de Governança das organizações. Este artigo tem como objetivo trazer primeiros insights de como está sendo previsto esse novo método, determinando suas principais etapas de avaliação e, por fim, apontando uma análise crítica e possíveis dificuldades que os usuários poderão ter ao lidar com esse novo desafio. 1 A ISACA ( faz pesquisas na área de governança corporativa há anos e é responsável pela disponibilização de frameworks como o CobiT, VAL IT, Risk IT, BMIS, a publicação Board Briefing on IT Governance e outros para prover orientação e assistência para empresas. 2

3 O Modelo 1.1 Princípios Como apresentado no artigo CobiT 5 Apresentação do novo framework da ISACA, lançado em 6 de fevereiro de 2013 pela Bridge Consulting, o CobiT 5 auxilia as empresas a atingirem os seus objetivos para a governança e gestão da TI, otimizando o valor gerado pela TI e mantendo um equilíbrio entre a realização dos benefícios, a redução dos riscos e utilização de recursos. O CobiT 5 permite que a TI seja governada e gerida de forma abrangente para toda a empresa, alcançando os interesses dos stakeholders internos e externos da TI. Figura 1- Princípios do CobiT 5 Neste contexto, o CobiT 5 é baseado em cinco princípios, como mostrado na figura acima: 1. Alcançar a necessidade de stakeholders: Ressalta a importância da criação de valor para os stakeholders e, para tal, o CobiT 5 apresenta uma cascata de objetivos que traduz as necessidades das partes interessadas em habilitadores (enablers), passando por objetivos de negócio e objetivos de TI. 2. Cobrir a empresa de fim a fim: Este princípio afirma que o CobiT 5 se integra a qualquer mecanismo de governança já existente na empresa, como o ITIL ou uma ISO/IEC , por exemplo. 3. Aplicar um único e integrado framework: Além de fornecer uma base para integrar outros frameworks, normas e práticas, o CobiT 5 integra todo conhecimento existente nos diferentes frameworks da ISACA e de outros institutos. 4. Permitir uma abordagem holística: Lista sete habilitadores para a implementação de governança de TI. Esses habilitadores (processos, indicadores, entre outros) são desdobrados desde os objetivos de negócio, passando pelos objetivos de TI até processos e indicadores. 5. Separação de Governança e Gerenciamento: O CobiT 5, diferente das versões anteriores, faz uma clara distinção entre Governança e Gerenciamento. Estas duas disciplinas abrangem diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a propósitos diferentes. 3

4 1.2 Modelo de Referência de Processos O CobiT 5 inclui um Modelo de Referência de Processos que define e descreve em detalhes uma série de processos de governança e gestão. Esse modelo pode ser encontrado no livro CobiT 5: Enabling Processes. A publicação fornece um modelo que representa todos os processos relacionados às atividades de TI normalmente encontradas em uma empresa, oferecendo uma abordagem comum, que seja compreensível para a área técnica de TI e para os gestores do negócio. O modelo de processos proposto é completo e abrangente, mas não deve ser inflexível. Cada empresa deve definir o seu próprio conjunto de processos críticos, tendo em vista o contexto em que está inserida. Figura 2 - Processos do CobiT 5 O modelo de referência de processos tem as seguintes características: Composto por 37 processos (ao invés dos 34 da versão 4.1); Possui duas áreas de atividades; o Governança de TI o Gerenciamento de TI É estruturado em cinco domínios (ao invés de 4 da versão 4.1); o EDM (Evaluate, Direct and Monitor) o APO (Align, Plan and Organise) o BAI (Build, Acquire and Implement) o DSS (Deliver, Service and Support) o MEA (Monitor, Evaluate and Assess) 4

5 1.3 Modelo de Maturidade de Processos Neste capítulo será apresentado o novo modelo de maturidade para os processos do CobiT que, segundo análises feitas pós-lançamento da versão 5, representa um dos maiores desafios para os profissionais acostumados com a versão 4 e com a régua de maturidade do CMM Níveis de Maturidade O Modelo de Maturidade de Processos é baseado na norma internacional ISO/IEC 15504, também conhecida como SPICE (Software Process Improvement and Capability), oriundo do campo da Engenharia de Software. Este modelo também foi criado para auxiliar o assessment e as melhorias em processos, provendo meios para medir a desempenho de todos os processos e permitindo a identificação de pontos de melhoria. Utilizando os mesmos conceitos da ISO, o CobiT 5 possui seis níveis de maturidade, descritos na tabela abaixo: Níveis de Maturidade Nível 0 Nível 1 Nível 2 Nível 3 Nível 4 Nível 5 O processo não está implementado ou falha ao tentar atingir seus objetivos. O processo implementado atinge os seus objetivos. O processo é implementado de uma forma gerenciável (planejado, monitorado e ajustado) e os inputs e outputs são formalmente controlados. Existe um processo formalmente definido e os outcomes são eventualmente alcançados. O processo agora opera dentro dos limites definidos para alcançar os seus outcomes de forma estável/ previsível. O processo é continuamente melhorado para alcançar os objetivos de negócio estabelecidos. Tabela 1 - Níveis de Maturidade do CobiT 5 O modelo baseia-se no conceito de atributos e suas avaliações são feitas ao longo dos processos propostos no Modelo de Referência de Processos. Cada nível de maturidade possui atributos de processos (PA Process Atribute) específicos que precisam ser avaliados para total atingimento do nível em questão. Níveis de maturidade Figura 3 - Atributos de maturidade por nível 5

6 Além disso, o CobiT 5 define um método para avaliação de cada atributo de acordo com a porcentagem de atingimento dos resultados esperados. Eles devem ser avaliados na escala utilizada pela ISO/IEC e apresentada a seguir: Escala Descrição Porcentagem N (Não Atingido) Há pouca ou nenhuma evidência de realização do atributo definido no processo de avaliação. 0-15% P (Parcialmente Atingido) Há alguma evidência de uma aproximação e algumas realizações relativas ao atributo 15-50% L (Largamente Atingido) F (Totalmente Atingido) Há evidências de uma abordagem sistemática e uma realização significativa do atributo. Alguma fraqueza relativa a este atributo pode existir Há evidências de uma abordagem completa e sistemática e plena realização do atributo. Nenhuma deficiência significativa relacionada com este atributo Tabela 2 - Escala de atingimento de maturidade 50-85% % Atributos de Processo Como apresentado anteriormente, cada nível de maturidade deve ser avaliado de acordo com atributos específicos. No entanto, o nível 1 apresenta um método de avaliação diferente dos demais. O Atributo PA 1.1 utiliza práticas e work products (artefatos associados à execução do processo) específicos de cada processo, enquanto os demais atributos se baseiam em práticas e work products genéricos. A seguir são apresentadas as descrições e os resultados esperados para cada atributo, os quais serão fontes principais para o assessment, de acordo com o nível de maturidade. Nível 1 O PA 1.1, Execução do Processo, avalia se o processo atinge o seu propósito. Portanto, será avaliado também se as atividades básicas e os work products do processo são executados de alguma forma, não sendo necessária a formalização e documentação dos mesmos. A avaliação ocorre como mostrado na figura abaixo: 6

7 Nível 2 Figura 4 - Exemplo de processo e atributos A partir do nível 2, a avaliação dos atributos é baseada em práticas e work products genéricos que se aplicam a todos os processos. Esses itens são avaliados de acordo com os objetivos de cada atributo de processo. O PA 2.1, Gerenciamento do Desempenho, busca avaliar se a desempenho do processo é gerenciado, mesmo que em um nível desestruturado e utilizando métodos de controle tácitos. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Objetivos de desempenho do processo estão definidos; O desempenho do processo é planejado e monitorado; O desempenho do processo é ajustado para atingir o planejado; Responsabilidades para execução do processo são definidas, atribuídas e comunicadas; Recursos e informações necessárias para executar o processo são identificados, estão disponíveis, alocados e utilizados; e Interface entre as partes envolvidas no processo são gerenciadas para garantir a eficácia na comunicação e clareza na definição de responsabilidades. 7

8 O PA 2.2, Gerenciamento de Work Products, avalia se os artefatos e informações do processo são apropriadamente gerenciados. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Requisitos para os documentos do processo são definidos; Requisitos para documentação e controle dos documentos são definidos; Os documentos do processo são devidamente identificados e controlados; e Os artefatos do processo são revisados de acordo com os critérios definidos e ajustados para atender aos requisitos. A avaliação dos objetivos deve ser baseada em evidências que comprovem o seu atingimento, podendo ser reportes ou registros informais. Nível 3 O nível 3 utiliza os conceitos de processo padrão e processo definido. Um processo padrão consiste de normas e/ou políticas instituídas corporativamente e apresenta elementos principais que terão que ser implantados em um processo definido. Normalmente, o processo padrão pode ser considerado como uma diretriz de processos oriundos de um comitê de TI ou de um CIO, o qual deverá ser implantado como um processo definido em diferentes unidades de negócio da organização, quando aplicável. Por exemplo, uma norma de segurança da informação pode definir atividades mínimas, papéis e responsabilidades para o tratamento de incidentes desse tipo, sendo traduzida em um processo definido que é executado pela TI. O PA 3.1, Definição do Processo, busca avaliar se um processo padrão é mantido de forma que auxilie a implantação de um processo definido. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Um processo padrão, incluindo orientações para adaptação, é definido e descreve os elementos fundamentais que devem ser incorporados a um processo definido; A sequência e interação do processo padrão com outros processos são determinadas; Papéis e competências necessárias para a realização de um processo são identificados como parte do processo padrão; Infraestrutura necessária e ambiente de trabalho para a realização do processo são identificados; e Métodos para monitorar a eficácia e adequação do processo são determinados. O PA 3.2, Implantação do Processo, busca avaliar se um processo padrão é eficientemente implantado como um processo definido. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Um processo definido é implantado baseado na escolha e adequação de um processo padrão; Papéis e responsabilidades para executar o processo definido são alocados e comunicados; 8

9 Atores do processo definido possuem experiência e são adequadamente treinados Recursos e informações necessárias para a execução do processo definido estão disponíveis, alocados e são utilizados; Infraestrutura e ambientes necessários para a execução do processo definido estão disponíveis, são gerenciados e mantidos; e Os dados apropriados são coletados e analisados para entendimento do comportamento, demonstração da efetividade e avaliação de melhorias contínuas do processo definido. Nível 4 O PA 4.1, Medição de Processo, busca avaliar se resultados de medição de desempenho do processo são utilizados para garantir o atingimento de objetivos do processo, em suporte a metas de negócio. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Necessidades de informação do processo são definidas de acordo com os objetivos de negócio; Os objetivos de medição do processo são derivados da necessidade de informação do mesmo; Objetivos quantitativos para o desempenho do processo são estabelecidos de acordo com as necessidades do negócio; Medidas e frequência de medição são identificadas e definidas de acordo com os objetivos de medição do processo e os objetivos quantitativos para o desempenho do processo; e Os resultados de medição são coletados, analisados e reportados a fim de avaliar se os objetivos quantitativos do processo são atingidos. O PA 4.2, Controle de Processo, busca avaliar se o processo é quantitativamente gerenciado, de modo que seja estável e previsível dentro de limites preestabelecidos. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Técnicas de controle e análise são definidas e aplicadas; Limites de variação do processo são definidos para uma performance normal do processo; Os dados de medição são analisados para causas especiais de variação; Ações corretivas são tomadas para endereçar as variações observadas e Os limites de controle são reestabelecido (se necessário) de acordo com ações corretivas. 9

10 Nível 5 O PA 5.1, Inovação de Processo, busca avaliar se mudanças para o processo são identificadas através de análises de causas comuns de variação no desempenho e da investigação de abordagens inovadoras para a definição e implementação do processo. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Objetivos de melhoria do processo são definidos de acordo com os objetivos de negócio; Dados apropriados são analisados para a identificação de causas comuns às variações do processo; Dados apropriados são analisados para identificar oportunidades para melhores práticas e inovação; Oportunidades de melhorias derivadas de novas tecnologias e conceitos de processo são identificadas; e Uma estratégia de implementação é estabelecida para atingimento dos objetivos de melhoria. O PA 5.2, Otimização de Processo, busca avaliar se mudanças em definições, gerenciamento e desempenho do processo causaram impactos efetivos no atingimento do objetivo de melhorias. Para o total atingimento dos atributos, os objetivos a seguir devem ser avaliados: Os impactos de todas as mudanças propostas são avaliados frente aos objetivos do processo definido e padrão; A implementação de todas as mudanças acordadas é gerenciada para garantir que qualquer interrupção no desempenho do processo é entendida e corrigida; e Com base no desempenho atual, a eficácia da mudança no processo é avaliada em função dos requisitos de produtos definidos e objetivos de processo para determinar se os resultados são devidos às causas identificadas Método de Avaliação Para todos os níveis de maturidade, é importante que existam evidências de atingimento dos resultados esperados para cada atributo. Até o nível 2, é aceitável que essas evidências sejam apresentadas de maneira informal, no entanto, a partir do nível 3, inclusive, essas evidências precisam estar documentadas e padronizadas. Além disso, o atingimento de um determinado nível de capacidade requer que os atributos para este nível estejam totalmente ou largamente (F ou L) alcançados e os atributos para todos os níveis inferiores estejam "totalmente" (F) alcançados. Portanto, para atingimento do nível 2, por exemplo, é preciso que o PA 2.1 e PA 2.2 sejam avaliados como F ou L e o PA 1.1 seja avaliado como F (vide tabela 1 página 6). 10

11 Conclusão O CobiT é hoje uma referência mundial, que apresenta um método consistente para a avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de Governança de TI. O ITGI 2 produziu uma pesquisa sobre Governança de TI, Global Status Report on the Governance of Enterprise IT (GEIT), englobando 834 executivos de negócio de 21 países e 10 tipos de indústrias. A pesquisa apresentou a evolução desde o ano de 2006 até 2010 na adoção de frameworks de Governança de TI pelas empresas, classificando o CobiT em quarto lugar (12,9%) dentre os 14 frameworks utilizados pelo mercado. Esse cenário pode ter motivado a estratégia de aproximação do CobiT a outros frameworks, como pode ser observado na versão 5. Apesar do mercado ainda utilizar o CobiT 4.1 como referência, algumas empresas já começam a se movimentar em direção à versão 5 e a Bridge Consulting já possui iniciativas nesse sentido. As informações disponibilizadas ao longo do documento devem ser traduzidas em estratégias para avaliação e cada empresa deve possuir o seu padrão. A Bridge Consulting utiliza ferramentas internas para apoiar o assessment em total alinhamento aos métodos descritos no tópico anterior, como o exemplo abaixo: Apesar do modelo ainda estar ganhando aceitação no mercado, é possível observar que ele representa um grande salto estratégico, uma vez que aproxima os conceitos Governança de TI e Governança Corporativa. Para conhecer mais sobre nossas pesquisas em relação ao CobiT 5 e sobre atuação de consultoria, entre em contato através do contato@bridgeconsulting.com.br. 2 IT Governance Institute 11