Modelo de maturidade do COBIT 4.1

O COBIT 4.1 lida com as três necessidades elencadas, pois oferece às organizações que buscam um modelo de governança de TI:

• um modelo de maturidade, que permite que comparações sejam feitas, de forma a identificar as capacidades que precisam ser aprimoradas;
• objetivos de desempenho e métricas para os processos de TI, que mostram como os processos podem atingir os objetivos de negócios e de TI e como são utilizados para medir o desempenho dos processos internos, com base no BSC;
• objetivos de atividades, que habilitam os processos a atingir seu desempenho efetivo.

Modelo de maturidade do COBIT 4.1
Fonte: ITGI (2007, p. 22).

De acordo com o ITGI (2007, p. 22), o modelo de maturidade para o gerenciamento e controle dos processos de TI do COBIT 4.1 é baseado em um método de avaliar a organização, permitindo que ela seja pontuada de um nível de maturidade não existente (0) a um otimizado (5). Esse enfoque é derivado do modelo de maturidade do CMMI/SEI, definido para a maturidade da capacidade de desenvolvimento de software. O gráfico 16 ilustra esse processo.

Embora siga os conceitos do CMMI/SEI, a implementação do COBIT 4.1 difere deste, pois uma definição genérica é provida para as escalas de maturidade, que são similares às do CMMI, mas interpretadas de acordo com a natureza dos processos de gerenciamento de TI. Além disso, não há intenção de se medir os níveis de maneira precisa ou tentar certificar que aquele nível foi exatamente atingido (ISACA, 2012, p. 19).

Os níveis de maturidade são designados como perfis de processos de TI que a empresa reconheceria como descrição de possíveis situações atuais e futuras. Eles não são designados como um modelo inicial, em que não se pode avançar para o próximo nível sem antes ter cumprido todas as condições do inferior (ISACA, 2012, p. 19).

Esse modelo foi desenvolvido com uma ênfase forte em controles. A vantagem de uma abordagem de modelo de maturidade é a relativa facilidade de os gerentes colocarem a si mesmos em uma escala e avaliar o que está envolvido no aprimoramento da performance, se necessário. A escala inclui o zero, pois é possível que um processo não exista de fato (ISACA, 2012, p. 20).

O modelo de maturidade é uma forma de medir quão bons os processos de gerenciamento são, ou seja, quão capazes eles são. O quanto eles devem ser desenvolvidos ou capacitados deveria primariamente depender dos objetivos de TI e sua conexão com as necessidades de negócios que suportam (ISACA, 2012, p. 21).

É importante ressaltar que os controles a ser aplicados a cada um dos processos devem considerar dois aspectos principais: o apetite de risco da organização e os requisitos de conformidade que sejam aplicáveis.

Cabe aqui uma breve explicação sobre apetite de risco que, de acordo com o site Stakeholder News (2014), é definido como

o apetite de risco é o grau de incerteza que a entidade está disposta a assumir, em antecipação de uma recompensa. O apetite de risco de uma organização mostra o quanto uma organização está disposta a assumir um risco, a fim de crescer. É a quantidade de risco que uma organização está disposta a aceitar para atingir seu objetivo de negócios.

Os níveis da escala do modelo de maturidade do COBIT 4.1 ajudarão os profissionais de TI a indicar aos gerentes onde se encontram as deficiências no gerenciamento do processo e a, juntos, definir as metas para onde devem ir. O nível de maturidade é influenciado pelos objetivos de negócios e pelo ambiente operacional da organização, além de pelas práticas do mercado (ITGI, 2007, p. 23).

Em resumo, o modelo de maturidade fornece um perfil genérico de estágios por meio dos quais cada empresa pode evoluir em gerenciamento e controle de processos de TI.