Apostila
COBIT 5 Framework de Governança e Gestão Corporativa de TI
Luzia Dourado Janeiro, 2015 http://lmdourado.wordpress.com
Olá, entusiastas de governança de TI! Eis que disponibilizo mais uma versão da apostila de COBIT 5 para auiliar nos estudos! evido a grande pro"ura por este material #mais de $%&%%% do'nloads ☺( e ) publi"ação da versão do COBIT 5 em portugu*s, resolvi revisá+lo e atualizá+lo para estar em "onormidade "om a tradução oi"ial& Eu não esperava que esse material pudesse ser tão pro"urado! -uitos estão utilizando esse material para auiliar nos estudos para "on"ursos e ultimamente muitos tamb.m o utilizam "omo orma de revisão para a prova de "ertii"ação& /i"o muito eliz por isso e muito agrade"ida pelo eedba"0 de vo"*s! 1m lembrete2 não ique limitado a essa apostila! Ela oi produzida para que o leitor tome rápido "on3e"imento do rame'or0, por.m, . s4 mais uma erramenta de estudos, o0 63, e nun"a se esqueçam disso2 “O saber a gente aprende com os mestres e com os livros. A sabedoria sabedoria a gente gente aprende aprende com a vida vida e com os hmildes!. hmildes!. Cora Coralina
Bons estudos a todos! eus os abençoe!
Força, Foco e F! 7aneiro, 8%$5
[email protected]
COBIT® é uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de rodutos e marcas registradas odem ser mencionados no decorrer desta aostila! tais marcas s"o utili#adas aenas com $inalidade de ensino! em %ene$&cio e'clusivo do dono da marca! sem inten"o de in$ringir suas regras de utili#a"o. Aostila COBIT de *u#ia +ourado est, licenciado com uma *icena Creative Commons + 6tribuição+ Compartil3aIgual 9&% Interna"ional.
"um#rio $&
I:T;O1<=O &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >
8&
O ?1E @A E :OO &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
>&
EOD1<=O&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
9&
F;I:CGFIOH &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $% Frin"pio $& 6tender 6 tender as ne"essidades das partes interessadas # sta-eholders( &&&&&&&&&&&&&&&&&&&&&&& $$ Frin"pio 8& Cobrir a organização org anização de ponta a ponta &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&& $> Frin"pio >& 6pli"ar um $rameor- Jni"o Jni"o e integrado &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $5 Frin"pio 9& Fossibilitar uma abordagem 3olsti"a &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $K Frin"pio 5& istinguir a governança de gestão &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8%
5&
-OEDO E ;E/E;L:CI6 E F;OCEHHOH&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& F;OCEHHOH&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&& 8$
K&
M1I6 E I-FDE-E:T6<=O &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 85 Criar o ambiente apropriado&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8K ;e"on3e"er os pontos de dor # ain oints( e eventos desen"adeadores # trigger events( &&&& 8K Elaborar "aso de neg4"ios #business "ase( " ase( &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8 Ci"lo de ida de Implementação &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8N
&
-OEDO E C6F6CI6E E F;OCEHHOH &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&& >% ierenças entre o -odelo de -aturidade COBIT 9&$ 9 &$ e o -odelo de Capa"idade COBIT 5 && >% -odelo de -aturidade COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >% -odelo de -aturidade COBIT 5 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >$ ierenças na Fráti"a&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& Fráti"a&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& > Bene"ios das -udanças &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&& >
N&
F;I:CIF6IH I/E;E:<6H O COBIT 5 CO- ;ED6<=O 6O COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9%
6:EO I2 Cas"ata de ObPetivos do COBIT &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 98 6:EO II2 Eemplo E emplo de @abilitador2 Fro"essos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9 6:EO III2 omnios e Fro"essos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9N 6:EO I2 -apeamento de pro"essos COBIT 5 COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 55 6:EO 2 es"rição do Fro"esso Fro" esso B6I%K2 Meren"iar -udanças &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 5 ;E/E;L:CI6H BIBDIOM;A/IC6H &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 5
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
Apostila de CO&IT ' v(.)
1. $%&'(D)*+( 6ntes de introduzir os "on"eitos e detal3es do $rameor- COBIT 5, . ne"essária a deinição de "on"eito de governança e gestão "orporativa de TI&
as o -ue oernança orporatia de &$ 6 norma IHOQIEC >N5%%, que estabele"e um modelo para a Movernança Corporativa de TI no qual o COBIT 5 se baseia, deine oernança orporatia de &$ "omo &$ "omo R$S2 oernança orporatia de &$, se4undo $"(/$6 78500: ;( sistema pelo -ual o uso atual e
or4anizaç=o no alcance de seus o?@etios estrat4icos e monitorar seu uso para realizar os planos. 3 4oernança inclui a estrat4ia e as polAticas para o uso de &$ dentro de uma or4anizaç=o.B.
6 norma orienta que os dirigentes da organização governem a TI por meio de tr*s tareas prin"ipais, "onorme pode ser visto na igura $2 • •
•
3aliar o 3aliar o uso atual e uturo da TI Diri4ir a Diri4ir a preparação e a implementação de planos e polti"as para garantir que o uso da TI atenda aos obPetivos do neg4"io onitorar o onitorar o "umprimento das polti"as e o desempen3o em relação aos planos&
Fi4ura 1 odelo de 4oernança corporatia de &$. Fonte: $"(/$6 78500, p#4. 17 91
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>
Apostila de CO&IT ' v(.)
Hegundo a norma, 6valiar #*valate ( signii"a que os dirigentes devem avaliar o uso atual e uturo da TI, in"luindo as estrat.gias, propostas e arranPos de orne"imento #interno, eterno ou ambos(& :a avaliação do uso da TI, "onv.m que os dirigentes "onsiderem as pressUes eternas e internas que inluen"iam o neg4"io #mudanças te"nol4gi"as, tend*n"ias e"onVmi"as e so"iais e inlu*n"ias polti"as(, e levem em "onta as ne"essidades atuais e uturas do neg4"io& irigir #$irect ( signii"a que os dirigentes devem atribuir responsabilidades para a preparação e implementação dos planos e polti"as que estabeleçamm o dire"ionamento dos investimentos nos proPetos e operaçUes de TI& -onitorar #+onitor ( signii"a que os dirigentes devem monitorar o desempen3o da TI por meio de sistemas de mensuração apropriados, garantindo que esse desempen3o estePa de a"ordo "om os planos e obPetivos "orporativos e que a TI estePa em "onormidade "om as obrigaçUes eternas e práti"as internas de trabal3o&
oernança de &$ e est=o de &$ n=o a mesma coisa 6 governança "orporativa de TI não pode ser "onundida "om o "on"eito de gestão de TI& 6 governança "orporativa de TI está inserida na governança "orporativa da organização, sendo dirigida por esta, e bus"a o dire"ionamento da TI para atender ao neg4"io e o monitoramento para verii"ar a "onormidade "om o dire"ionamento tomado pela administração da organização R8S&
3 4oernança corporatia de &$ n=o de responsa?ilidade eCclusia dos 4estores de &$ e, sim, da alta administraç=o board E. E.
6 est=o de &$, &$, "onorme deinido pela IHOQIEC >N5%% R$S2
est=o de &$, se4undo $"(/$6 78500: ;"istema de controles e processos necess#rios para alcançar os o?@etios estrat4icos esta?elecidos pela direç=o da or4anizaç=o.B.
6 gestão de TI impli"a a utilização sensata de meios #re"ursos, pessoas, pro"essos, práti"as( pra al"ançar um obPetivo& 6tua no planePamento, "onstrução, organização e "ontrole das atividades opera"ionais e se alin3a "om a direção deinida pela organização& Fortanto, a gestão "ontrola tareas opera"ionais, enquanto a governança "ontrola a gestão&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9
Apostila de CO&IT ' v(.)
ara -uG as or4anizaçHes necessitam de 4oernança corporatia de &$ 6s organizaçUes eistem para atender as ne"essidades de suas partes interessadas, ou sePa, partes que se interessam ou são aetadas pela organização, tais "omo a"ionistas, un"ionários, seus "lientes, dentre outros& Fara atender aos seus obPetivos estrat.gi"os, as organizaçUes se esorçam para2 • •
•
• • •
manter inormaçUes de alta qualidade para apoiar de"isUes "orporativas agregar valor ao neg4"io a partir dos investimentos em TI, ou sePa, atingir os obPetivos estrat.gi"os e obter bene"ios para a organização atrav.s da utilização ei"iente e inovadora de TI al"ançar e"el*n"ia opera"ional por meio da apli"ação "oniável e ei"iente da te"nologia manter o ris"o de TI em um nvel a"eitável otimizar o "usto da te"nologia e dos serviços de TI "umprir as leis, regulamentos, a"ordos "ontratuais e polti"as pertinentes "ada vez mais presentes&
6 governança "orporativa de TI auilia as organizaçUes no al"an"e de seus obPetivos estrat.gi"os, por meio da 4eraç=o de alor obtido alor obtido pelo uso da TI, mantendo equilbrio entre a realização de bene"ios e a otimização dos nveis de ris"o e de utilização dos re"ursos& Fara se obter essa geração de valor, . ne"essária a avaliação do uso da TI e das ne"essidades de investimentos nessa área orne"er o dire"ionamento para que a TI atenda aos obPetivos "orporativos e monitorar as açUes rela"ionadas a TI para estar em "onormidade "om o que oi planePado e para dar transpar*n"ias )s partes interessadas sobre os resultados al"ançados& OrganizaçUes bem+su"edidas re"on3e"em que a diretoria e os ee"utivos devem a"eitar que a TI . tão signii"ativa para os neg4"ios "omo qualquer outra parte da organização& iretores e gestores + sePa em unçUes de TI ou de neg4"ios + devem "olaborar e trabal3ar em "onPunto a im de garantir que a TI estePa in"lusa na abordagem de governança e gestão& 6l.m disso, "ada vez mais leis e regulamentos estão sendo aprovados e estabele"idos para atender a essa ne"essidade&
Finalmente, o -ue o (I$& 5 O (I$& 5, 5, desenvolvido e diundido pelo IH6C6 # In$ormation S/stem Audit and Control ( e lançado no inal de 8%$8, um ,ramew de 4oernança e 4est=o corporatia de &$& &$ & ,ramework ork de O $rameor- az az a inte4raç=o do contedo dos principais ,ramew ,ramework ork s publi"ados pelo IH6C6, a saber2 • •
•
COBIT 9&$ al IT, que pode ser usado para "riar valor para o neg4"io por meio de investimentos de TI, sendo "onstitudo por um "onPunto de prin"pios orientadores e "onPunto de pro"essos e mel3ores práti"as para apoiar e aPudar a gestão ee"utiva em nvel empresarial ;is0 IT, dedi"ado a auiliar no geren"iamento de ris"os rela"ionados a TI
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
5
Apostila de CO&IT ' v(.) •
•
• •
#B-IH(, que . uma abordagem 3olsti"a Business 0odel $or In$ormation Securit/ #B-IH(, e orientada ao neg4"io para a gestão de segurança da inormação IT Assurance 1rameor- (ITA1) , um modelo que orne"e orientaçUes sobre a "on"epção, realização e relat4rio de auditoria de TI, deinindo termos e "on"eitos espe"i"os para garantia de TI #TM/( Ta-ing Governance 1orard #TM/( Board Brie2ng on IT Governance 3nd 4dition , que apresenta uma des"rição abrangente dos "on"eitos de governança de TI "omo um livreto de reer*n"ia ou "omo uma erramenta para edu"ar o board e a ger*n"ia ee"utiva .
6l.m disso, ele se alin3a a outros padrUes de mer"ado "omo In$ormation Technolog/ #ITID(, International Organi#ation $or Standardi#ation #IHO(, Bod/ 5ro6ect In$rastructure *i%rar/ #ITID(, 0anagement o$ 7noledge #F-BOW(, F;I:CE8 e The Oen Grou Architecture #TOM6/(& 1rameor- #TOM6/(& O COBIT 5 auilia as organizaçUes na criaç=o de alor para &$, &$ , mantendo o e-uilA?rio entre a realizaç=o de ?ene
•
•
oere"er um $rameor- abrangente que auilia as organizaçUes a otimizar o valor gerado pela TI permitir que a TI sePa governada e geren"iada de orma 3olsti"a para toda a organização& "riar uma linguagem "omum entre TI e neg4"ios para a governança e gestão de TI "orporativa&
ara -uG um noo
•
• •
•
Fermitir que mais partes interessadas alem sobre o que eles esperam da te"nologia da inormação e te"nologias rela"ionadas #que bene"ios e em qual nvel de ris"o a"eitável e a qual "usto( e quais são suas prioridades para garantir que o valor esperado sePa eetivamente obtido 6bordar a questão da depend*n"ia "ada vez maior para o su"esso da organização em par"eiros eternos de TI e de neg4"ios tais "omo ter"eirizadas, orne"edores, "onsultores, "lientes, provedores de serviços na nuvem e demais serviços Tratar a quantidade de inormação, que tem aumentado signii"ativamente 6dministrar TI "ada vez mais pervasiva TI . "ada vez mais uma parte integrante do neg4"io Cobrir o neg4"io de ponta a ponta e todas as áreas responsáveis pelas unçUes de TI&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
K
Apostila de CO&IT ' v(.)
2. ( )6 MN D6 %(O( 6 prin"ipal novidade do COBIT 5 . que ele está
Humário Ee"utivo Componentes e estruturas 5 prin"pios, des"ritos "ada um em um "aptulo distinto isão dos 3abilitadores e suas dimensUes Cas"ata de obPetivos # COBIT Goals Cascade ( -odelo de ;eer*n"ia de Fro"essos Introdução ao Muia de Implementação -odelo de Capa"idade de Fro"essos
6 publi"ação CO&IT '- *nabling rocess descree os processos, o?@etios e mtricas, matriz '3$2, pr#ticas de 4est=o com suas entradas, saAdas e atiidades de
$
Enabler X viabilizador, a"ilitador, 3abilitador& -atriz ;6CI deine o ;esponsável, 6provador, Consultado e Inormado em relação a uma tarea&
8
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
Apostila de CO&IT ' v(.)
6 distinção entre governança e gestão pode ser per"ebida no -odelo de ;eer*n"ia de Fro"essos, que su?diide os 7P processos de &$ em em duas prin"ipais áreas de atividade Y 4oernança e 4est=o Y 4est=o Y que são divididas em domnios de pro"essos, "onorme pode ser visto na tabela $& Nrea Movernança Mestão
tde. de rocessos 5 >8
DomAnios 6valiar, irigir e -onitorar (4valuate! +irect and 0onitor : 4+0) 6lin3ar, FlanePar e Organizar #6lign, Flan and Organise + 6FO( Construir, 6dquirir e Implementar #Build, 6"quire and Implement + B6I( Entregar, Herviços e Huporte #eliver, Hervi"e and Hupport + HH( -onitorar, 6valiar e 6nalisar #-onitor, Evaluate and 6ssess + -E6(
&a?ela 1 uantidade de processos e domAnios de oernança e est=o
(I$& 5 : Focado em 4oernança corporatia de &$ DeiCa clara a distinç=o entre 4oernança e 4est=o Fundamentado em 5 princApios de 4oernança corporatia de &$ Iaseado em um con@unto holAstico de P ena?lers ou ha?ilitadoresE ossui 7P processos de &$ diididos em domAnios de processo de 4oernança e de 4est=o
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
N
Apostila de CO&IT ' v(.)
7. 6O(L)*+( O COBIT surgiu, em $K, "omo um $rameor- para auditoria e "ontroles de TI, "om o"o nos obPetivos de "ontrole& epois, em 8%%%, oi lançada a ter"eira versão "om a in"lusão de orientaçUes para a gestão de TI& Em 8%%5, "om o COBIT 9&%, se tornou o $rameor- de governança de TI, "om a in"lusão de pro"essos de governança e "onormidade #comliance(& E atualmente, na quinta versão, . o $rameor- integrador de governança e gestão de TI "orporativa& 6 igura 8 eibe um resumo da evolução do COBIT&
Fi4ura 2 6oluç=o do (I$&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
Apostila de CO&IT ' v(.)
Q. '$%R$(" Conorme dito anteriormente, o novo $rameor- . . undamentado em 5 princApios de governança "orporativa de TI -ue permitem -ue a or4anizaç=o construa um ,ramewor ,ramework k 7 e(2 $& 6tender as ne"essidades dos sta0e3olders #partes interessadas( 8& Cobrir a organização de ponta a ponta >& 6pli"ar um $rameor- #modelo( Jni"o e integrado 9& Fermitir uma abordagem 3olsti"a 5& istinguir a governança da gestão
Fi4ura 7 S rincApios do (I$& 5 Fonte: (I$& T 5, p.15, U2012 $"33T 912
Cada prin"pio será des"rito a seguir&
>
Enabler X viabilizador, a"ilitador, 3abilitador
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
%$ Apostila de CO&IT ' v(.)
rincApio 1. 3tender as necessidades das partes interessadas stakeholders E 3s or4anizaçHes eCistem para criar alor para as partes interessadas stakeholders E, ou sePa, para todas as partes interessadas #a"ionistas, auditores, orne"edores, "onsultores, alta administração, et"(& Consequentemente, qualquer organização Z "omer"ial ou não Z terá a criaç=o de alor como um o?@etio da 4oernança #igura 9(&
Fi4ura Q (?@etio da oernança. Fonte: (I$& T 5, pa4. 1V, U2012 $"33T 912
( -ue criaç=o de alor riaç=o de Oalor (?tenç=o de ?ene
Os bene"ios podem assumir muitas ormas, por eemplo, inan"eiros para organizaçUes "omer"iais ou de serviço pJbli"o para entidades governamentais& Fortanto, vale risar que a "riação de valor . o obPetivo da governança! Fara "ada parte interessada, a "riação de valor pode representar interesses dierentes e algumas vezes "onlitantes& O sistema de governança abrange nego"iar e de"idir entre os dierentes interesses das partes interessadas e deve "onsiderar a opinião de todos quando são tomadas de"isUes sobre os bene"ios, re"ursos e avaliação dos ris"os& Fara "ada de"isão de governança, as seguintes questUes podem e devem ser eitas2 + ?uem re"ebe os bene"ios + ?uem assume os ris"os + ?uais são os re"ursos ne"essários 6s ne"essidades dos sta-eholders pre"isam ser transormadas em estrat.gias "orporativas& or isso, este princApio est# intimamente inte4rado com o conceito de alinhamento estrat4ico entre &$ e ne4Wcio . Fara isso, "omo pode ser visto na igura 5, 3á um me"anismo denominado Cascata de Ob/etivos do CO&IT ' "om a inalidade de desdobrar2 $$ "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
Apostila de CO&IT ' v(.)
os dire"ionadores #drives( e as ne"essidades dos sta-eholders em obPetivos "orporativos os obPetivos "orporativos em obPetivos de TI os obPetivos de TI em obPetivos o bPetivos para os 3abilitadores&
Fi4ura 5 ascata de (?@etios Fonte: (I$& T 5, p.20, U2012 $"33T 912
Em uma visão %ottom:u, a "as"ata de obPetivos auilia a organização em "omo empregar os 3abilitadores para al"ançar os obPetivos "orporativos de orma mais "on"reta&
3 cascata de o?@etios n=o al4o noo no (I$& 5, pois @# eCistia no (I$& Q.1. %o (I$& Q.1, os o?@etios de &$ s=o desdo?rados em o?@etios de processos -ue por sua ez, desdo?ramse em o?@etios de atiidades. %o (I$& 5, os o?@etios de &$ s=o desdo?rados em o?@etios de ha?ilitadores, sendo rocessos um dos ha?ilitadores. ue ?ene
•
eine obPetivos tangveis e relevantes em vários nveis de responsabilidade /iltra a base de "on3e"imento do COBIT 5, "om base nos obPetivos "orporativos, para etrair a orientação pertinente para in"lusão na implementação, mel3oria ou garantia de proPetos espe"i"os Identii"a e "omuni"a "laramente "omo os 3abilitadores do COBIT #)s vezes muito opera"ionais( são importantes para o al"an"e dos obPetivos "orporativos&
-ais detal3es sobre a Cascata de Ob/etivos do CO&IT ' pode ser visto no 6neo I&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$8
Apostila de CO&IT ' v(.)
rincApio 2. o?rir a or4anizaç=o de ponta a ponta O COBIT 5 trata a governança e gestão de TI "obrindo a organização de ponta a ponta& Isso signii"a que o COBIT 5 R>S2
Integra a governança "orporativa de TI dentro da governança "orporativa da organização o?re todas as
O COBIT 5 orne"e uma visão 3olsti"a e sist*mi"a sobre a governança e gestão de TI da organização #ver prin"pio 9(, que tem por base diversos 3abilitadores& Os 3abilitadores servem para toda a organização, de ponta a ponta, ou sePa, in"luem todas as pessoas e todas as "oisas, internas e eternas, pertinentes ) governança e gestão das inormaçUes e TI da organização, in"lusive as atividades e responsabilidades das unçUes "orporativas de TI bem "omo aquelas não rela"ionadas "om essas unçUes& For meio desse prin"pio, os 4estores de ne4Wcio tGm a responsa?ilidade de tratar a &$ como um atio estrat4ico, estrat4ico , geren"iando a TI da mesma orma "omo geren"iam os outros ativos da organização&
"istema de oernança Fara que a governança "ubra a organização de ponta a ponta, o sistema de governança possui os seguintes "omponentes #igura K(2
Fi4ura Y oernança e est=o de &$ no (I$& 5 Fonte: (I$& T 5, p. 25, U2012 $"33T 912
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$>
Apostila de CO&IT ' v(.)
Ma?ilitadores da 4oernança2 4oernança 2 são os re"ursos organiza"ionais usados na governança "omo prin"pios, estruturas, pro"essos e práti"as& 6scopo da 4oernança2 4oernança2 área em que será apli"ada a governança #toda a organização ou s4 uma parte(& apis, 3tiidades e 'elacionamentos2 'elacionamentos 2 deinem quem está envolvido "om governança, "omo estão envolvidos, o que azem e "omo interagem dentro do es"opo da governança&
6 igura mostra os pap.is, atividades e rela"ionamentos que o"orrem na governança& 6s partes interessadas delegam para o Consel3o de 6dministração a deinição de direção para as atividades de gestão do Corpo iretivo que, por sua vez, instrui e alin3a as operaçUes de TI da organização& Os ee"utores #parte opera"ional da organização( reportam o resultado de suas atividades para o Corpo iretivo, que . monitorado pelo Consel3o de 6dministração que presta "ontas do desempen3o para as partes interessadas& Oale ressaltar -ue o (I$& 5
Fi4ura P apis, 3tiidades e 'elacionamentos. 'elacionamentos. Fonte: (I$& T 5, p. 2Y, U2012 $"33T 912
9
-atriz ;6CI deine o ;esponsável, 6provador, Consultado e Inormado em relação a uma tarea&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$9
Apostila de CO&IT ' v(.)
rincApio 7. 3plicar um ,ramework nico nico e inte4rado (I$& 5 uma estrutura nica e inte4rada, inte4rada , porque integra todos os "on3e"imentos anteriormente dispersos em dierentes $rameor- s da IH6C6, tais "omo o COBIT 9&$, al IT #valor de TI para o neg4"io(, ;is0 IT #ris"o rela"ionado ao uso de TI(, B-IH #segurança(& Está alin3ado "om os mais atuais e relevantes padrUes e $rameor- s utilizados R>S2
de gestão "orporativa2 COHO, COHO E;-, IHOQIEC %%%, IHOQIEC >$%%% ;ela"ionados a TI2 IHOQIEC >N5%%, ITID, IHOQIEC 8%%% series, TOM6/, F-BOWQF;I:CE8, C--I et"&
Isso permite ) organização utilizar o COBIT 5 "omo um integrador dos $rameor- s de governança e de gestão& 6 amlia de produtos do COBIT 5 in"lui os seguintes produtos R9S2
COBIT 5 #o $rameor- ( Muia de 3abilitadores do COBIT 5, no qual os 3abilitadores de governança e gestão são dis"utidos em detal3e& Estes in"luem2 COBIT 52 @abilitador Fro"essos (4na%ling 5rocesses) o COBIT 52 @abilitador Inormação (4na%ling In$ormation) o Outros guias 3abilitadores o Muias proissionais do COBIT 5, que in"luem2 COBIT Implementação o COBIT para Hegurança da Inormação o COBIT para Marantia # Assurance) Assurance) o COBIT para ;is"o o Outros guias proissionais o 1m ambiente "olaborativo on+line, que . disponibilizado para apoiar o uso do COBIT 5
Fi4ura 8 FamAlia de rodutos Fonte: (I$& T 5, p. 28, U2012 $"33T 912
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$5
Apostila de CO&IT ' v(.)
rincApio Q. ossi?ilitar uma a?orda4em holAstica Fara apoiar a governança e a gestão de TI utilizando uma abordagem 3olsti"a #que engloba a organização "omo um todo, in"luindo seus "omponentes e suas inter+relaçUes(, o COBIT 5 deine um "onPunto de P ha?ilitadores. ha?ilitadores.
Ma?ilitadores ena?lersE
Ma?ilitadores Fatores -ue, indiidual e coletiamente, in
Fi4ura V Ma?ilitadores. Fonte: (I$& T 5, p. 2V, U2012 $"33T 912
1. rincApios, polAticas e ,ramework s2 são os ve"ulos que traduzem o "omportamento desePado em um guia práti"o para a gestão diária 2. rocessos rocessos des"revem um "onPunto organizado de práti"as e atividades para atingir determinados obPetivos e produzem um "onPunto de sadas que auiliam no "umprimento dos obPetivos de TI 7. 6struturas or4anizacionais or4anizacionais são as entidades+"3ave responsáveis pela tomada de de"isão em uma organização Q. ultura, tica e comportamento comportamento dos indivduos e da organização muito requentemente subestimada "omo um ator de su"esso nas atividades de governança e gestão 5. $n
$K
Apostila de CO&IT ' v(.)
Y. "eriços, in
6 Inormação, que deve ser geren"iada "omo um re"urso& 6lgumas inormaçUes, tais "omo relat4rios de gestão e inormaçUes de intelig*n"ia organiza"ional são importantes 3abilitadores para a governança e gestão da organização& Herviços, inraestrutura e apli"ativos& Fessoas, 3abilidades e "ompet*n"ias&
1ma organização sempre deverá "onsiderar um "onPunto de 3abilitadores interligados& Ou sePa, "ada 3abilitador2 •
•
:e"essita das inormaçUes dos demais 3abilitadores para ser plenamente eetivo, por eemplo, pro"essos pre"isam de inormaçUes e modelos organiza"ionais ne"essitam de 3abilidades e "omportamento& Froduz resultados para o bene"io dos demais 3abilitadores, por eemplo, os pro"essos geram inormaçUes, e as 3abilidades e o "omportamento tornam os pro"essos ei"ientes&
6ssim, ao tratar da governança e gestão "orporativa de TI, boas de"isUes podem ser tomadas somente quando a natureza sist*mi"a dos arranPos de governança e gestão or "onsiderada& Isto signii"a que, para tratar de qualquer ne"essidade das partes interessadas, a reer*n"ia de todos os 3abilitadores inter+rela"ionados deve ser analisada e tratada, se ne"essário& Esta mentalidade deve ser orientada pela alta administração da organização&
3l4uns ha?ilitadores do (I$& 5 eram tratados no (I$& Q.1: (s recursos de &$ do (I$& Q.1 S processos, aplicaçHes, in
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$
Apostila de CO&IT ' v(.)
DimensHes de ha?ilitadores Todos os 3abilitadores t*m um "onPunto de dimensUes "omuns #igura $%(& Este "onPunto de dimensUes "omuns R9S2 •
• •
6presenta uma maneira "omum, simples e estruturada para tratar dos 3abilitadores Fermite que a organização geren"ie suas interaçUes "ompleas /a"ilita resultados bem su"edidos dos 3abilitadores&
Fi4ura 10 DimensHes de Ma?ilitadores. Fonte: (I$& T 5, p. 70, U2012 $"33T 912
6s quatro dimensUes "omuns para 3abilitadores são2
artes $nteressadas stakeholders E2 "ada 3abilitador tem partes interessadas #partes que desempen3am um papel ativo eQou t*m interesse na ee"ução(& For eemplo, os pro"essos t*m dierentes partes que ee"utam atividades de pro"esso eQou que t*m interesse no resultado do pro"esso estruturas organiza"ionais t*m partes, "ada uma "om seus pr4prios pap.is e interesses, que azem parte da estrutura& Fartes interessadas podem ser internas ou eternas ) organização, todos "om seus interesses e ne"essidades& Eemplos de partes interessadas internas2 ee"utivos de neg4"io, "onsel3o o de administração, gerentes de neg4"io, auditores internos, usuários de TI, et"& Eemplo de partes interessadas eternas2 par"eiros "omer"iais, o orne"edores, governo, "onsumidores, auditores eternos, "onsultores, et"& (?@etios goalsE2 "ada 3abilitador tem uma s.rie de obPetivos e "riam valor pela realização destes obPetivos& Os obPetivos podem ser deinidos em termos de2 ;esultados esperados do 3abilitador 6pli"ação ou operação do pr4prio 3abilitador
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$N
Apostila de CO&IT ' v(.)
Os obPetivos de 3abilitadores são o passo inal da "as"ata de obPetivos do COBIT 5& Os obPetivos são divididos em "ategorias2 ?ualidade intrnse"a2 o quanto os 3abilitadores trabal3am de orma o pre"isa, obPetiva e produzem resultados eatos, obPetivos e "oniáveis& ?ualidade "ontetual2 o quanto os 3abilitadores e seus resultados o atendem ao seu obPetivo levando+se em "onsideração o "onteto em que operam& 6"essibilidade e segurança2 o quanto os 3abilitadores e seus resultados o são a"essveis e seguros& iclo de ida li
erenciamento de Desempenho dos Ma?ilitadores 6s organizaçUes esperam resultados positivos a partir da apli"ação e utilização dos 3abilitadores& Fara geren"iar o desempen3o dos 3abilitadores, as seguintes questUes terão de ser monitoradas e respondidas, "om base em m.tri"as2 • • • •
6s ne"essidades das partes interessadas oram atendidas Os obPetivos dos 3abilitadores oram al"ançados al" ançados O "i"lo de vida do 3abilitador . geren"iado 6s boas práti"as são apli"adas
6s duas primeiras questUes lidam "om o resultado real do 3abilitador e os indi"adores usados para medir se os o?@etios
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
$
Apostila de CO&IT ' v(.)
rincApio 5. Distin4uir a 4oernança de 4est=o COBIT 5 torna "lara a distinção entre governança e gestão& Essas duas áreas abrangem dierentes tipos de atividades, eigem dierentes estruturas organiza"ionais e servem a prop4sitos dierentes& O ponto de vista do COBIT 5 sobre esta undamental distinção entre governança e gestão .2 oernança 3 4oernança 4arante -ue as necessidades, as condiçHes e as opçHes das partes interessadas se@am aaliadas a
:a governança, são dis"utidos e aprovados as polti"as e os planos de alinhamento estrat4ico estrat4ico #FE, FETI(, a implementação de pro"essos e os me"anismos de "ontrole que dire"ionarão a gestão da TI R5S& :a maioria das organizaçUes, a 4oernança de responsa?ilidade do onselho de 3dministraç=o, 3dministraç=o, sob a liderança do presidente& ;esponsabilidades de governança espe"i"as podem ser delegadas a estruturas organiza"ionais espe"iais em um nvel apropriado, espe"ialmente em organizaçUes maiores e "ompleas&
est=o 3 4est=o consiste em plane@ar, construir, eCecutar e monitorar atiidades alinhadas com a direç=o estrat4ica esta?elecida pela 4oernança para atin4ir os o?@etios corporatios.
:a maioria das organizaçUes, a 4est=o da responsa?ilidade da 4erGncia eCecutia , sob a liderança do "3ee diretor ee"utivo #CEO(&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8%
Apostila de CO&IT ' v(.)
5. (D6L( D6 '6F6'[%$3 D6 '(6""(" O modelo de reer*n"ia de pro"esso do COBIT 5 . o su"essor do modelo de pro"esso do COBIT 9&$, e "onta ainda "om a integração dos modelos de pro"esso do ;is0 IT e al IT& O modelo su?diide os 7P processos de &$ em duas principais #reas de atiidade S 4oernança e 4est=o Y 4est=o Y divididas em domnios de pro"essos, "onorme igura $$&
Fi4ura 11 Nreas chae de 4oernança e 4est=o. Fonte: (I$& T 5, p. 7Q, U2012 $"33T 912
rocessos de oernança Cont.m 1 domAnio 3aliar, Diri4ir e onitorar *valate0 $irect and +onitor 1 *$+ E "om 5 processos de 4oernança& 4oernança & Estes pro"essos ditam as responsabilidades da alta direção para a avaliação, dire"ionamento e monitoração do uso dos ativos de TI para a "riação de valor& Este domnio "obre a deinição de um $rameor- de de governança, o estabele"imento das responsabilidades em termos de valor para a organização #e& "rit.rios de investimento(, atores de ris"o #e& apetite ao ris"o( e re"ursos #e& otimização de re"ursos(, al.m da transpar*n"ia da TI para as partes interessadas RKS&
rocessos de est=o Cont.m Q domAnios, domAnios, de a"ordo "om as áreas de responsabilidade de planePar, "riar, ee"utar e monitorar #FB;-( e oere"e "obertura ponta a ponta de TI& Estes domnios são uma evolução da estrutura de domnios e pro"essos do COBIT 9&$& Como pode ser visto, oi a"res"entado um verbo para "ada um dos domnios do COBIT 9&$& Os domnios são2 •
3linhar, lane@ar e (r4anizar Align0 lan lan and Organise Organise 1 AO AO E O domnio 6FO diz respeito ) identii"ação de "omo a TI pode "ontribuir mel3or "om os obPetivos "orporativos& Fro"essos espe"i"os do domnio 6FO estão rela"ionados
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8$
Apostila de CO&IT ' v(.)
"om a estrat.gia e táti"as de TI, arquitetura "orporativa, inovação e geren"iamento de port4lio, orçamento, qualidade, ris"os e segurança& ontm 17 processos& processos& RKS •
onstruir, 3d-uirir e $mplementar &ild0 Ac2ire and Implement 1 &AI E O domnio B6I torna a estrat.gia de TI "on"reta, identii"ando os requisitos para a TI e geren"iando o programa de investimentos em TI e proPetos asso"iados& Este domnio tamb.m endereça o geren"iamento da disponibilidade e "apa"idade mudança organiza"ional geren"iamento de mudanças #TI( a"eite e transição e geren"iamento de ativos, "oniguração e "on3e"imento& ontm 10 processos& processos& RKS
•
6ntre4ar, "eriços e "uporte $eliver0 3ervice and 3pport 1 $33 E O domnio HH se reere ) entrega dos serviços de TI ne"essários para atender aos planos táti"os e estrat.gi"os& O domnio in"lui pro"essos para geren"iar operaçUes, requisiçUes de serviços e in"identes, assim "omo o geren"iamento de problemas, "ontinuidade, serviços de segurança e "ontrole de pro"essos de neg4"io& ontm Y processos& processos& RKS
•
onitorar, 3aliar e 3nalisar +onitor0 *valate and Assess 1 +*A E : 7 processos& processos& O domnio -E6 visa monitorar o desempen3o dos pro"essos de TI, avaliando a "onormidade "om os obPetivos e "om os requisitos eternos& ontm 7 processos.
6 igura $8 eibe os > pro"essos de governança e gestão do COBIT 5& Os detal3es de "ada pro"esso estão no CO&IT '- *nabling rocesses RS.
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
88
Apostila de CO&IT ' v(.)
Fi4ura 12 odelo de 'e
:o COBIT 8 4na%ling 5rocesses , cada um dos 7P processos s=o desdo?rados em pr#ticas de 4oernança ou pr#ticas de 4est=o& 4est=o & Essas práti"as de governança e de gestão são equivalentes aos obPetivos de "ontrole do COBIT 9&$, práti"as de gestão do al IT e do ;is0 IT& :o 6neo III, III, en"ontra+se a relação de todos os pro"essos "om a respe"tiva des"rição de "ada um&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8>
Apostila de CO&IT ' v(.)
6strutura de rocessos
Fara "ada pro"esso, as seguintes inormaçUes são in"ludas, de a"ordo "om o modelo de pro"esso anteriormente epli"ado2
Identii"ação do pro"esso2 HH, -E6( e o nJmero do pro"esso Dabel do Fro"esso2 o domnio #E-, 6FO, B6I, HH, :ome do Fro"esso2 breve des"rição do pro"esso Area do pro"esso2 governança ou gestão :ome de domnio es"rição Y uma visão do que o pro"esso az e "omo o pro"esso al"ança seu prop4sito Frop4sito do Fro"esso Y des"rição geral do prop4sito do pro"esso Inormação de obPetivos em "as"ata Y reer*n"ia e des"rição dos obPetivos rela"ionados "om a TI que são essen"ialmente suportados pelo pro"esso e m.tri"as para medir o al"an"e dos obPetivos rela"ionados "om a TI& ObPetivos de pro"essos e m.tri"as Y um "onPunto de metas de pro"esso e um nJmero limitado de eemplo de m.tri"as& -atriz ;6CI Y uma sugestão de atribuição de nvel de responsabilidade por práti"as de pro"essos para dierentes unçUes e estruturas& es"rição detal3ada de práti"as de pro"esso Y para "ada práti"a2 Ttulo da Fráti"a e des"rição Entradas e sadas da práti"a, "om indi"ação de origem e destino 6s atividades de pro"esso, detal3ando ainda mais as práti"as Muias rela"ionados #related guidance(2 asso"ia "ada pro"esso do COBIT a outros $rameor- s que podem ser usados para implementar o pro"esso&
Como eemplo, vePa o 6neo I que I que "ont.m a des"rição do pro"esso B6I%K2 Meren"iar -udanças&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
89
Apostila de CO&IT ' v(.)
Y. )$3 D6 $L66%&3*+( 6 IH6C6 oere"e um guia de implementação em sua publi"ação CO&IT ' Implementation , que . baseado em um "i"lo de vida de mel3oria "ontnua& :ão se destina a ser uma abordagem pres"ritiva, nem uma solução "ompleta, mas sim um guia para evitar os problemas mais "omuns en"ontrados, alavan"ar as boas práti"as e aPudar na geração de resultados esperados& O guia tamb.m . apoiado por um "onPunto de erramentas de implementação "ontendo uma variedade de re"ursos& O seu "onteJdo in"lui R9S2
/erramentas de autoavaliação, medição e diagn4sti"o 6presentaçUes destinadas a vários pJbli"os 6rtigos rela"ionados epli"açUes adi"ionais
:o do"umento relativo ao $rameor- COBIT 5 . apresentada uma introdução ) implementação e ao "i"lo de vida de mel3oria "ontnua&
as como começar a implementaç=o O COBIT 5 apresenta uma abordagem de implementação baseada na mel3oria "ontnua, sendo ne"essário2
Criar o ambiente apropriado para a implementação ;e"on3e"er os pontos de dor # ain ain oints ( tpi"os e eventos desen"adeadores # trigger events( 6dotar um "i"lo de vida de implementação Elaborar "aso de neg4"ios #business "ase( para a implementação e mel3oria da governança e gestão de TI&
6ntes da implementação "ada organização pre"isa desenoler seu prWprio road map ou plano de implementaç=o, implementaç=o , levando em "onsideração o seu "onteto, ou sePa, atores do ambiente interno e eterno espe"i"o da organização, tais "omo2 • • • • • • • • • •
[ti"a e "ultura Deis, regulamentos e polti"as apli"áveis -issão, visão e valores Folti"as e práti"as de governança Flano de neg4"ios # %usiness lan( e intençUes estrat.gi"as -odelo de un"ionamento e nvel de maturidade Estilo de gestão 6petite ao ris"o Capa"idades e re"ursos disponveis Fráti"as da indJstria
6 abordagem ideal ) governança e gestão "orporativa de TI será dierente para "ada organização e o "onteto deve ser entendido e "onsiderado a im de adotar e adaptar o COBIT "om ei"i*n"ia na implementação dos 3abilitadores de governança e gestão de TI da organização& "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
85
Apostila de CO&IT ' v(.)
riar o am?iente apropriado Em seguida, . importante ter um am?iente apropriado para se implementar a 4oernança corporatia de &$& &$ &
"omente se conse4ue implementar 4oernança corporatia de & $ se houer patrocAnio da alta direç=o da or4anizaç=o!
1ma das mel3ores maneiras de obter esse patro"nio e ormalizar essa implementação, orne"endo um me"anismo para os ee"utivos e para o "onsel3o de administração # %oard ( monitorar e dire"ionar a TI . estabele"er um omitG 6strat4ico e 6Cecutio de &$. Este &$. Este "omit* atua em nome do "onsel3o de administração #para o qual deve prestar "ontas( e . responsável por deinir "omo a TI . utilizada dentro da organização e por tomar de"isUes importantes rela"ionadas "om TI que aetam a organização& Este "omit* pre"isa ser presidido por um ee"utivo de neg4"io #idealmente um membro do %oard ( e terá "omo membros representantes das prin"ipais áreas de neg4"io da organização, al.m do CIO ou diretor de TI&
'econhecer os pontos de dor pain pointsE e eentos desencadeadores trigger eventsE Fara indi"ar a ne"essidade de uma mel3or governança e gestão de TI "orporativa "o rporativa podem eistir uma s.rie de atores denominados pontos de dor pain pointsE ou eentos desencadeadores trigger events E que podem ser utilizados "omo o ponto de partida para ini"iativas de implementação& Fontos de dor são problemas que a organização está enrentando ou os pontos ra"os da organização& Eemplos de alguns dos pontos de dor "onorme identii"ados no CO&IT ' Implementation são2 •
•
•
• • • • • •
/rustração do neg4"io "om ini"iativas ra"assadas, elevando os "ustos de TI e uma per"epção de baio valor para o neg4"io In"identes signii"ativos rela"ionados "om ris"os de TI para o neg4"io, tais "omo perda de dados ou al3a em proPetos Froblemas "om ter"eirização da prestação de serviços, tais "omo o não "umprimento de orma "onsistente dos nveis de serviço a"ordados 6us*n"ia de "umprimento de requisitos legais ou "ontratuais ;esultados da auditoria sobre o ra"o desempen3o de TI /al3a de transpar*n"ia nos gastos de TI esperd"io de re"ursos em proPetos que não geram valor para o neg4"io Insatisação da equipe de TI ;elut^n"ia dos membros do "onsel3o ou diretores em se envolver "om a implementação&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8K
Apostila de CO&IT ' v(.)
6l.m desses pontos de dor, outros eventos em ambiente interno e eterno da empresa podem sinalizar ou desen"adear açUes de governança e gestão "orporativa de TI, ou sePa, que az a TI atuar em resposta a esses eventos& Eemplos de evento de gatil3o # trigger events( são2 • • • • • • •
/usão, aquisição ou alienação -udança no mer"ado, na e"onomia ou na posição "ompetitiva -udança no modelo opera"ional de neg4"ios ou a"ordos de orne"imento :ovas eig*n"ias regulat4rias ou de "onormidade -udança signii"ativa de te"nologia ou mudança de paradigma 6uditoria eterna& 1ma nova estrat.gia ou de neg4"io&
6la?orar caso de ne4Wcios ?usiness caseE Fara garantir o su"esso de ini"iativas de implementação pelo uso do COBIT, a ne"essidade de agir deve ser amplamente re"on3e"ida e "omuni"ada dentro da organização& 3 iniciatia dee ser de propriedade de um patrocinador, enoler todas partes interessadas e ser ?aseada em um caso de ne4Wcio bsiness caseE& Ini"ialmente, isto pode ser eito em alto nvel do ponto de vista estrat.gi"o, "omeçando "om uma "ompreensão "lara dos resultados de neg4"io desePados e progredindo para uma des"rição detal3ada das tareas "rti"as e metas, bem "omo pap.is+"3ave e responsabilidades& ( caso de ne4Wcio uma
•
•
• •
• •
Os bene"ios almePados para a organização, seu alin3amento "om a estrat.gia de neg4"ios e os respe"tivos responsáveis pelo bene"io #que serão os responsáveis na organização pela sua garantia(& Isto pode basear+se em pontos ra"os e eventos desen"adeadores 6s mudanças de neg4"ios ne"essárias para "riar o valor previsto& Isso poderia ser baseado em an#lise de gap e deve indi"ar "laramente o que está in"ludo no es"opo e o que não está Os investimentos ne"essários para realizar as mudanças na governança e gestão de TI #"om base em estimativas de proPetos ne"essários( O "ustos opera"ionais de TI e do neg4"io O ris"o inerente nas ini"iativas, in"luindo quaisquer restriçUes ou depend*n"ias #"om base em desaios e atores de su"esso( Fap.is, responsabilidades e obrigaçUes rela"ionados "om a ini"iativa Como o investimento e a "riação de valor serão monitorados durante todo o "i"lo de vida e"onVmi"o, e "omo os indi"adores serão utilizados #"om base em obPetivos e m.tri"as(&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8
Apostila de CO&IT ' v(.)
O "aso de neg4"io não . um do"umento estáti"o deinitivo, mas uma erramenta opera"ional e din^mi"a que deve ser "ontinuamente atualizada para reletir a atual visão do uturo para que uma visão da viabilidade do programa possa ser mantida&
iclo de Oida de $mplementaç=o 6 apli"ação de uma abordagem de "i"lo de vida de mel3oria "ontnua orne"e um m.todo para as organizaçUes enrentarem a "ompleidade e os desaios normalmente en"ontrados durante a implementação da governança "orporativa de TI& Eistem 7 componentes inter+rela"ionados componentes inter+rela"ionados neste "i"lo de vida2
iclo de ida principal de melhoria contAnua Este não . um proPeto isolado& apacitaç=o da mudança S aborda os aspe"tos "omportamentais e "ulturais, de orma a garantir que todas as partes interessadas estão preparadas e "omprometidas "om as mudanças ne"essárias para al"ançar um estado uturo desePado& est=o do pro4rama
O "i"lo de vida possui P 2
Fi4ura 17 Fases do iclo de Oida. Fonte: (I$& T 5, p. 7V, U2012 $"33T 912
Fase 1 uais s=o os direcionadores2 direcionadores2 "omeça "om o re"on3e"imento e a"eitação da ne"essidade de uma ini"iativa de implementação ou mel3oria& Identii"a os pontos de dor atuais e os dire"ionadores de mudança que "ria um desePo de mudança nos nveis de gestão "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8N
Apostila de CO&IT ' v(.)
ee"utiva& 1m dire"ionador de mudança . um evento interno ou eterno, "ondição ou problema que serve "omo um estmulo para a mudança& Fase 2 S (nde estamos a4ora2 a4ora2 está o"ada em deinir o es"opo da ini"iativa de implementação ou mel3oria utilizando o mapeamento dos obPetivos "orporativos "om os obPetivos de TI para os pro"essos de TI asso"iados, "onsiderando "omo "enários de ris"o tamb.m poderiam desta"ar os prin"ipais pro"essos em que se deve "on"entrar& 1ma vez priorizados os obPetivos "orporativos, obPetivos de TI e pro"essos asso"iados mais importantes, . realizado uma avaliação do estado atual, e problemas ou dei"i*n"ias são identii"ados realizando+se uma avaliação de "apa"idade de pro"esso nos pro"essos "rti"os sele"ionados& 6 presença de pontos de dor espe"i"os tamb.m poderia "ontribuir para a seleção de pro"essos de TI em que se deve "on"entrar& Ini"iativas em larga es"ala devem ser estruturadas "omo várias iteraçUes do "i"lo de vida Y para qualquer ini"iativa de implementação superior a seis meses, 3á um ris"o de perda da din^mi"a, o"o e adesão das partes interessadas& Fase 7 S (nde -ueremos estar: um estar: um obPetivo de mel3oria . deinido e seguido por uma análise mais detal3ada para identii"ar as la"unas e as possveis soluçUes& evem ser priorizadas as ini"iativas que são mais á"eis de realizar e as sus"eptveis de produzir os maiores bene"ios& Fase Q S ( -ue precisa ser
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
8
Apostila de CO&IT ' v(.)
P. (D6L( D6 33$D3D6 D6 '(6""(" 1suários do COBIT 9&$ estão amiliarizados "om o modelo de maturidade de pro"esso in"ludo nesse $rameor- & Este modelo . utilizado para medir o nvel de maturidade atual #_as+ is]( dos pro"essos rela"ionados a TI de uma organização, para deinir o nvel de maturidade desePado #_to+be]( e para determinar o ga entre eles e "omo mel3orar o pro"esso para al"ançar o nvel de maturidade desePado R9S& O COBIT 5 apresenta um novo modelo para a avaliação da capacidade dos capacidade dos pro"essos de TI da organização baseado na norma IHOQIEC $55%9 de Engen3aria de Hot'are #norma de avaliação de pro"essos(& Este modelo vai al"ançar os mesmos obPetivos gerais de avaliação do pro"esso e suporte a mel3oria de pro"essos, ou sePa, ele propor"ionará meios para medir o desempen3o de qualquer um dos pro"essos de governança #baseados em E-( ou pro"essos de gestão #baseados em FB;-( e permitirá a identii"ação das áreas que pre"isam ser mel3oradas& Os detal3es da abordagem de avaliação de "apa"idade COBIT 5 estão "ontidos na publi"ação CO&IT 4 rocess Assessment +odel 5A+6- 7sing CO&IT '. Embora esta abordagem orneça inormaçUes valiosas sobre o estado dos pro"essos, ale lem?rar -ue processos s=o apenas um dos sete ha?ilitadores de 4oernança e 4est=o& 4est=o & For "onsequ*n"ia, as avaliaçUes de pro"esso não irão orne"er um quadro "ompleto sobre o estado de governança de uma organização& Fara isso, os outros ha?ilitadores precisam ser aaliados tam?m!
ara se o?ter um -uadro completo so?re o estado de 4oernança de uma or4anizaç=o, todos os ha?ilitadores precisam ser aaliados!
Di
•
•
Em primeiro lugar, uma avaliação deverá ser realizada para "onirmar se os obPetivos de "ontrole do pro"esso oram atingidos Em seguida, o modelo de maturidade que eiste para "ada pro"esso pode ser usado para obter o nvel de maturidade do pro"esso 6l.m disso, o modelo de maturidade gen.ri"o do COBIT 9&$ orne"e seis atributos distintos apli"áveis para "ada pro"esso e que aPudam na obtenção de uma visão mais detal3ada do nvel de maturidade dos pro"essos
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>%
Apostila de CO&IT ' v(.) •
Controles de pro"essos são obPetivos de "ontrole gen.ri"os que tamb.m pre"isam ser analisados quando uma avaliação do pro"esso or realizada& Controles de pro"essos se sobrepUem par"ialmente "om os atributos gen.ri"os do modelo de maturidade&
Fi4ura 1Q odelo de aturidade do (I$& Q.1. Fonte: : (I$& T 5, p. Q7, U2012 $"33T 912
odelo de apacidade (I$& 5 O modelo de "apa"idade de pro"essos do COBIT 5 . eibido na igura $5&
Fi4ura 15 odelo de apacidade de rocessos. Fonte: (I$& T 5, p. QQ, U2012 $"33T 912
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>$
Apostila de CO&IT ' v(.)
%Aeis de capacidade O modelo "ont.m Y nAeis de capacidade, capacidade, em uma es"ala de % a 5, por.m "om nome e signii"ado bem dierentes dos nveis de maturidade do COBIT 9&$& ada nAel de capacidade de processo possui um con@unto de atri?utos de processo -ue deem ser aaliados para o alcance do nAel em -uest=o& -uest=o & Os nveis de "apa"idade são2 %Ael 0 rocesso $ncompleto: $ncompleto: o pro"esso não oi implementado ou não atingiu seu obPetivo& :esse nvel, 3á pou"a ou nen3uma evid*n"ia de realização sistemáti"a da inalidade do pro"esso& %Ael 1 rocesso 6Cecutado2 6Cecutado 2 o pro"esso está implementado e atinge seu obPetivo& Fossui o atributo F6$&$ Y esempen3o do Fro"esso #Fro"ess Ferorman"e(& %Ael 2 rocesso erenciado2 erenciado 2 o pro"esso realizado anteriormente des"rito . implementado de orma geren"iada #planePado, monitorado e aPustado( e seus produtos de trabal3o estão devidamente estabele"idos, "ontrolados e mantidos& Fossui os atributos F68&$ Y Meren"iamento de esempen3o #Ferorman"e -anagement( e F68&8 Y Meren"iamento de Froduto de Trabal3o #`or0 Frodu"t -anagement(& %Ael 7 rocesso 6sta?elecido2 6sta?elecido 2 o pro"esso geren"iado anteriormente des"rito . implementado usando um pro"esso deinido que . "apaz de al"ançar os seus resultados de pro"esso& Fossui os atributos F6>&$ Y einição de Fro"esso #Fro"ess einition( e F6>&8 Y Implementação de Fro"esso #Fro"ess eploment(& %Ael Q rocesso reisAel2 reisAel 2 o pro"esso estabele"ido anteriormente des"rito opera dentro de limites deinidos para al"ançar seus resultados de pro"esso& Fossui os atributos F69&$ Y Meren"iamento do Fro"esso #Fro"ess -anagement( e F69&8 Y Controle do Fro"esso #Fro"ess Control(& %Ael 5 rocesso (timizado2 (timizado 2 o pro"esso previsvel anteriormente des"rito . "ontinuamente mel3orado para atender aos obPetivos "orporativos& Fossui os atributos F65&$ Y Inovação de Fro"esso #Fro"ess Innovation( e F65&8 Y Otimização de Fro"esso #Fro"ess Optimization(&
ada nAel de capacidade sW pode ser alcançado -uando o nAel in
For eemplo, uma "apa"idade de pro"esso nvel > #Fro"esso Estabele"ido(, eige que os atributos einição de Fro"essos e Implementação do Fro"esso sePam amplamente realizados, al.m da plena realização dos atributos do nvel de "apa"idade 8 #F ro"esso Meren"iado(&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>8
Apostila de CO&IT ' v(.)
3tri?utos de processo 6tributos de pro"esso #F6 Y Fro"ess 6ttributes( determinam se um pro"esso al"ançou um determinado nvel de "apa"idade, medindo um aspe"to parti"ular da "apa"idade de um pro"esso& ada nAel de capacidade de processo possui um con@unto de atri?utos de processo -ue deem ser aaliados para o alcance do nAel em -uest=o& -uest=o & Os atributos de pro"esso são2
F6$&$ Y esempen3o do Fro"esso F ro"esso #Fro"ess Ferorman"e( F68&$ Y Mestão do esempen3o #Ferorman"e -anagement( F68&8 Y Mestão dos Frodutos de Trabal3o #`or0 Frodu"t -anagement( F6>&$ Y einição do Fro"esso #Fro"ess einition( F6>&8 Y Implementação do Fro"esso #Fro"ess eploment( F69&$ Y Mestão do Fro"esso #Fro"ess -anagement( F69&8 Y Controle do Fro"esso #Fro"ess Control( F65&$ Y Inovação do Fro"esso #Fro"ess Innovation( F65&8 Y Otimização do Fro"esso #Fro"ess Optimization(
ale desta"ar que o nvel $ apresenta um m.todo de avaliação dierente dos demais& O 6tributo F6 $&$ Y Ee"ução do Fro"esso utiliza práti"as e produtos de trabal3o #arteatos asso"iados ) ee"ução do pro"esso( espe"i"os de "ada pro"esso, enquanto os demais atributos se baseiam em práti"as e produtos de trabal3o gen.ri"os apli"áveis a todos os pro"essos R$>S& 6 seguir são apresentadas as des"riçUes e os resultados esperados para "ada atributo R$>SR$9S& 31.1 S Desempenho do rocesso2 rocesso2 avalia se o pro"esso atinge o seu obPetivo& [ avaliado se as atividades bási"as e os produtos de trabal3o do pro"esso são ee"utados de alguma orma, não sendo ne"essária a ormalização e do"umentação dos mesmos& 32.1 S est=o do Desempenho: avalia se o desempen3o do pro"esso . geren"iado& Como resultado da plena realização desse atributo2
os obPetivos de desempen3o do pro"esso são deinidos o desempen3o do pro"esso . planePado, monitorado e aPustado para atingir o planePado responsabilidades para ee"ução do pro"esso são deinidas, atribudas e "omuni"adas re"ursos e inormaçUes ne"essárias para ee"utar o pro"esso são identii"ados, estão disponveis, alo"ados e utilizados intera"e entre as partes envolvidas no pro"esso são geren"iadas para garantir a ei"á"ia na "omuni"ação e "lareza na deinição de responsabilidades&
32.2 S est=o dos rodutos de &ra?alho: avalia se os produtos de trabal3o produzido pelo pro"esso são apropriadamente geren"iados& Como resultado da plena realização desse atributo2
requisitos para os produtos de trabal3o do pro"esso são deinidos
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>>
Apostila de CO&IT ' v(.)
requisitos para do"umentação e "ontrole dos produtos de trabal3o são deinidos produtos de trabal3o do pro"esso são devidamente identii"ados e "ontrolados produtos de trabal3o do pro"esso são revisados de a"ordo "om os "rit.rios deinidos e aPustados para atender aos requisitos&
37.1 S De
um pro"esso padrão, in"luindo orientaçUes para adaptação, . deinido e des"reve os elementos undamentais que devem ser in"orporados a um pro"esso deinido a sequ*n"ia e interação do pro"esso padrão "om outros pro"essos são determinadas pap.is e "ompet*n"ias ne"essárias para a realização de um pro"esso são identii"ados "omo parte do pro"esso padrão inraestrutura ne"essária e ambiente de trabal3o para a realização do pro"esso são identii"ados m.todos para monitorar a ei"á"ia e adequação do pro"esso são determinados&
37.2 S $mplementaç=o do rocesso: bus"a avaliar se um pro"esso padrão . ei"ientemente implantado "omo um pro"esso deinido& Como resultado da plena realização desse atributo2
um pro"esso deinido . implantado baseado na es"ol3a e adequação de um pro"esso padrão pap.is e responsabilidades para ee"utar o pro"esso deinido são alo"ados e "omuni"ados atores do pro"esso deinido possuem eperi*n"ia e são adequadamente treinados re"ursos e inormaçUes ne"essárias para a ee"ução do pro"esso deinido estão disponveis, alo"ados e são utilizados inraestrutura e ambientes ne"essários para a ee"ução do pro"esso deinido estão disponveis, são geren"iados e mantidos os dados apropriados são "oletados e analisados para entendimento do "omportamento, demonstração da eetividade e avaliação de mel3orias "ontnuas do pro"esso deinido&
3Q.1 S est=o do rocesso: bus"a rocesso: bus"a avaliar se resultados de medição de desempen3o do pro"esso são utilizados para garantir o atingimento de obPetivos do pro"esso, em suporte a metas de neg4"io& Como resultado da plena realização desse atributo2
ne"essidades de inormação do pro"esso são deinidas de a"ordo "om os obPetivos de neg4"io os obPetivos de medição do pro"esso são derivados da ne"essidade de inormação do mesmo obPetivos quantitativos para o desempen3o do pro"esso são estabele"idos de a"ordo "om as ne"essidades do neg4"io
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>9
Apostila de CO&IT ' v(.)
medidas e requ*n"ia de medição são identii"adas e deinidas de a"ordo "om os obPetivos de medição do pro"esso e os obPetivos quantitativos para o desempen3o do pro"esso os resultados de medição são "oletados, analisados e reportados a im de aval iar e os obPetivos quantitativos do pro"esso são atingidos&
3Q.2 S ontrole do rocesso: bus"a avaliar se o pro"esso . quantitativamente geren"iado, de modo que sePa estável e previsvel dentro de limites preestabele"idos& Como resultado da plena realização desse atributo2
t."ni"as de "ontrole e análise são deinidas e apli"adas limites de variação do pro"esso são deinidos para uma perorman"e normal do pro"esso os dados de medição são analisados para "ausas espe"iais de variação açUes "orretivas são tomadas para endereçar as variaçUes observadas e os limites de "ontrole são reestabele"ido #se ne"essário( de a"ordo "om açUes "orretivas&
35.1 S $noaç=o do rocesso: rocesso: bus"a avaliar se mudanças para o pro"esso são identii"adas atrav.s de análises de "ausas "omuns de variação no desempen3o e da investigação de abordagens inovadoras para a deinição e implementação do pro"esso& Como resultado da plena realização desse atributo2
obPetivos de mel3oria do pro"esso são deinidos de a"ordo "om os obPetivos de neg4"io dados apropriados são analisados para a identii"ação de "ausas "omuns )s variaçUes do pro"esso dados apropriados são analisados para identii"ar oportunidades para mel3ores práti"as e inovação oportunidades de mel3orias derivadas de novas te"nologias e "on"eitos de pro"esso são identii"adas uma estrat.gia de implementação . estabele"ida para atingimento dos obPetivos de mel3oria&
35.2 S (timizaç=o do rocesso: bus"a avaliar se mudanças em deiniçUes, geren"iamento e desempen3o do pro"esso "ausaram impa"tos eetivos no atingimento do obPetivo de mel3orias& Como resultado da plena realização desse atributo2
os impa"tos de todas as mudanças propostas são avaliados rente aos obPetivos do pro"esso deinido e padrão a implementação de todas as mudanças a"ordadas . geren"iada para garantir que qualquer interrupção no desempen3o do pro"esso . entendida e "orrigida "om base no desempen3o atual, a ei"á"ia da mudança no pro"esso . avaliada em unção dos requisitos de produtos deinidos e obPetivos de pro"esso para determinar se os resultados são devidos )s "ausas identii"adas&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>5
Apostila de CO&IT ' v(.)
Cada atributo de pro"esso . avaliado "om base na seguinte es"ala2 6scala % n=o alcançadoE parcialmente alcançadoE L lar4amente alcançadoE
F totalmente alcançadoE
Descriç=o @á pou"a ou nen3uma evid*n"ia de realização do atributo de pro"esso no pro"esso avaliado @á alguma evid*n"ia de realização do atributo de pro"esso no pro"esso avaliado& 6lguns aspe"tos da realização do atributo podem ser imprevisveis& @á evid*n"ias de uma realização signii"ativa do atributo de pro"esso no pro"esso avaliado& 6lgumas raquezas rela"ionadas a este atributo podem eistir no pro"esso avaliado& @á evid*n"ias de uma realização "ompleta do atributo de pro"esso no pro"esso avaliado& :ão 3á dei"i*n"ias signii"ativas asso"iadas a este atributo no pro"esso avaliado
] de realizaç=o % a $5 $5 a 5%
5% a N5
N5 a $%%
&a?ela 2 6scala de aaliaç=o d os atri?utos de processo. Fonte: 917
( alcance de um determinado nAel de capacidade re-uer -ue os atri?utos para este nAel este@am totalmente ou lar4amente F ou LE alcançados e os atri?utos para todos os nAeis inS
Fi4ura 1Y 3aliaç=o dos atri?utos por nAel de capacidade. Fonte: 915
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>K
Apostila de CO&IT ' v(.)
Di
•
•
•
Embora sePa tentador "omparar os resultados da avaliação entre COBIT 9&$ e COBIT 5 por "ausa da aparente semel3ança "om a es"ala de nJmeros e palavras usadas para des"rever estas, tal "omparação . di"il por "ausa da dierenças no es"opo, no o"o e na intenção, "omo pode ser visto na tabela $& Em geral, a pontuaç=o ser# menor com o modelo de capacidade de processo do (I$& 5& 5& :o modelo de maturidade do COBIT 9&$, um pro"esso pode atingir nvel $ ou 8, sem al"ançar plenamente todos os obPetivos do pro"esso no COBIT 5, isso resultará em uma pontuação mais baia de % ou $& %=o eCiste mais um modelo de maturidade especA
( modelo de maturidade do (I$& Q.1 n=o considerado compatAel com o modelo da $"(/$6 1550Q por-ue os mtodos usam di
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>
Apostila de CO&IT ' v(.)
%Aeis de aturidade (I$& Q.1E C %Aeis de apacidade de rocesso (I$& 5E (I$& Q.1 (I$& 5 com ?ase na $"(/$6 1550QE %Ael 5: rocesso (timizado + (timizado + pro"essos são %Ael 5: rocesso em (timizaç=o + (timizaç=o + o nvel reinados ao nvel de boa práti"a, baseados nos 9 Fro"esso Frevisvel . "ontinuamente resultados de mel3oria "ontnua e modelagem mo delagem mel3orado para atender obPetivos da maturidade "om outras organizaçUes& 6 TI . "orporativos atuais ou previstos& utilizada de orma integrada para automatizar o luo de trabal3o, orne"endo erramentas para mel3orar a qualidade e ei"á"ia, azendo "om que a organização se adapte rapidamente& %Ael Q: erenciado e ensur#el + ensur#el + %Ael Q: rocesso reisAel + reisAel + o nvel > geren"iamento monitora e mede "onormidade Fro"esso Estabele"ido agora opera dentro "om pro"edimentos e toma açUes onde de limites deinidos para al"ançar seus pro"essos pare"em não un"ionar eetivamente& resultados de pro"esso& Fro"essos estão sob mel3oria "onstante e orne"em boa práti"a& 6utomação e erramentas são usadas de orma limitada ou ragmentada& %Ael 7: rocesso De
%Ael 7: rocesso 6sta?elecido + 6sta?elecido + o nvel 8 Fro"esso Meren"iado . agora implementado usando um pro"esso deinido que . "apaz de al"ançar seus resulados de pro"esso&
%Ael 2: rocesso erenciado + erenciado + o nvel $ Fro"esso ;ealizado . agora implementado de orma geren"iada #planePado, monitorado e aPustado( e seus produtos de trabal3o são estabele"idos, "ontrolados e mantidos apropriadamente& %Ael 1: rocesso 'ealizado 'ealizado + o pro"esso implementado al"ança seu prop4sito de pro"esso&
%Ael 22 22 ;epetvel mas Intuitivo + pro"essos são desenvolvidos de orma que pro"edimentos similiares são seguidos por pessoas dierentes que estão ee"utando a mesma tarea& :ão 3á treinamento ou "omuni"ação ormal de pro"edimentos padronizados e a responsabilidade . deiada a "argo do indivduo& @á um alto grau de "oniança no "on3e"imento (?s.: possAel -ue al4um processo dos indivduos e, portanto, erros podem o"orrer& classi
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>N
Apostila de CO&IT ' v(.)
Iene
-aior *nase no pro"esso que está sendo realizado para "onirmar que está eetivamente al"ançando seus obPetivos e os resultados esperados& Himplii"ação do "onteJdo por meio da eliminação da dupli"ação, porque a avaliação do modelo de maturidade do COBIT 9&$ eigia o uso de diversos "omponentes espe"i"os, in"lusive o modelo de maturidade gen.ri"o, modelos de maturidades do pro"esso, obPetivos de "ontrole e "ontroles de pro"esso para apoiar a avaliação do pro"esso& -aior "oniabilidade e repetitividade das atividades e análises da avaliação da "apa"idade do pro"esso, reduzindo debates e desentendimentos entre as partes interessadas em relação aos resultados da avaliação& -aior uso dos resultados da avaliação da "apa"idade do pro"esso, visto que o novo modelo estabele"e uma base para a realização de avaliaçUes mais rigorosas e ormais, tanto para inalidades internas "omo eternas em poten"ial& Conormidade "om um padrão de avaliação de pro"esso geralmente a"eito e, portanto, um orte apoio ) abordagem de avaliação do pro"esso no mer"ado&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
>
Apostila de CO&IT ' v(.)
8. '$%$3$" D$F6'6%*3" D( (I$& 5 ( '6L3*+( 3( (I$& Q.1 O COBIT 5 troue uma s.rie de mudanças em relação ) Jltima versão, o CobiT 9&$& 6 tabela abaio apresenta as prin"ipais dierenças entre as versUes RSR$KS2
(O6'%3%* 3 6 6"&+(
(I$& Q.1 (I$& 5 :ão dieren"ia "laramente @á uma dieren"iação "lara entre domnios de Movernança e de domnios de Movernança e de Mestão Mestão de TI de TI
$%&6'3*+( D(" (D6L("
/rame'or0s "omo COBIT 9&$, ;al Integra dierentes rame'or0s e IT! 9is- IT e ITI* são tratados normas de Movernança de TI em um separadamente Jni"o modelo
'$%R$("
:ão se baseia nos prin"pios de :ovos prin"pios de governança Movernança de TI #MEIT( "onorme "orporativa de TI2 previsto nos rame'or0s ;al IT e $& 6tender as ne"essidades dos sta0e3olders #partes interessadas( 9is- IT 8& Cobrir a organização de ponta a ponta >& 6pli"ar um rame'or0 #modelo( Jni"o e integrado 9& Fermitir uma abordagem 3olsti"a 5& istinguir a governança da gestão
M3I$L$&3D(' 6"
Esse "on"eito . diundido na Mrande enoque nos 3abilitadores& estrutura do do"umento, não Hão apresentados "ategorias2 possuindo um t4pi"o espe"i"o $&Frin"pios, polti"as e rame'or0s que o aborde de orma individual& 8&Fro"essos >&Estruturas organiza"ionais 9&Cultura, .ti"a e "omportamento 5& Inormação K&Herviços, inraestrutura e apli"açUes &Fessoas, 3abilidades e "ompet*n"ias
(D6L( D6 -odelo de pro"essos "ontendo 9 '(6""(" domnios de gestão que "ontemplam >9 pro"essos
-odelo de pro"essos apresenta $ domnio de Movernança #"om 5 pro"essos( e 9 domnios de gestão #"om >8 pro"essos( que "ontemplam > pro"essos, "obrindo atividades "orporativas de ponta a ponta, ou sePa, das áreas de neg4"io e unçUes de TI&
(IJ6&$O(" 6 6presenta "as"ata de obPetivos, &'$3" desdobrando os obPetivos de neg4"io em obPetivos de TI, que por sua vez eram desdobrados em obPetivos de pro"essos e estes em obPetivos de atividades& 6presenta alguns pou"os eemplos de m.tri"as para os obPetivos de TI,
COBIT 5 segue o mesmo "on"eito de obPetivos m.tri"as "omo no COBIT 9&$, al IT e ;is0IT& Os obPetivos de neg4"ios são desdobrados em obPetivos de TI, e estes em obPetivos de 3abilitadores que reletem uma visão de nvel "orporativo& 6presenta maior nJmero de eemplos
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9%
Apostila de CO&IT ' v(.)
obPetivos de pro"esso e obPetivos de m.tri"as para os obPetivos de TI e de atividades& obPetivos de pro"essos& 6pesar de serem apresentadas m.tri"as em um nvel a menos do que na versão anterior #não possui obPetivos de atividades(, essas inormaçUes são apresentadas de maneira mais estruturada& 6%&'3D3" 6 6presenta entradas e sadas 6presenta entradas e sadas para "ada "3RD3" somente para os pro"essos& práti"a de geren"iamento& 'N&$3" 6 @á obPetivos e práti"as de "ontrole& 3&$O$D3D6"
6s práti"as de gestão e de governança do são equivalentes aos obPetivos de "ontrole do COBIT 9&$ e dos pro"essos de al IT e ;is0 IT& 6s atividades do COBIT 5 são equivalentes )s práti"as de "ontrole do COBIT 9&$ e das práti"as do al IT e ;is0 IT&
3&'$_ '3$
6presenta nJmero reduzido de pap.is para os pro"essos de TI&
/orne"e uma matriz ;6CI es"revendo pap.is e responsabilidades de orma similar ao COBIT 9&$, por.m oere"e uma gama mais "ompleta, detal3ada e mais "lara dos pap.is para "ada práti"a de geren"iamento, permitindo uma mel3or deinição das responsabilidades dos pap.is ou nvel de envolvimento na "on"epção e implementação de pro"essos&
(D6L( D6 -odelo de maturidade de 33$D3D6 pro"essos baseado no C-#Capa"it -aturit -odel(& :o modelo de maturidade, os atributos utilizados para avaliação estão presentes em todos os nveis e evoluem de a"ordo "om a maturidade do pro"esso&
COBIT 5 des"ontinua o modelo de maturidade& -odelo de "apa"idade de pro"essos baseado na norma IHOQIEC $55%9& :o modelo de "apa"idade, os atributos são gen.ri"os e e"lusivos para "ada nvel, ou sePa, "ada nvel de "apa"idade será determinado por um ou dois atributos espe"i"os& O modelo de maturidade do COBIT 9&$ não . "onsiderado "ompatvel "om o modelo da IHOQIEC $55%9 porque os m.todos usam dierentes atributos e es"alas de medição&
&a?ela Q Di
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9$
Apostila de CO&IT ' v(.)
3%6`( $: ascata de (?@etios do CO&IT ' 6 Cascata de Ob/etivos do CO&IT '0 de a"ordo "om a igura $, tem a inalidade de desdobrar R9S2
dire"ionadores #drivers( e as ne"essidades das partes interessadas em obPetivos "orporativos obPetivos "orporativos em obPetivos de TI obPetivos de TI em obPetivos para os 3abilitadores&
Fi4ura 1P ascata de (?@etios. Fonte: (I$& T 5, p. 20, U2012 $"33T 912
Esse desdobramento . des"rito nos quatro passos a seguir2
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
98
Apostila de CO&IT ' v(.)
asso 1: Direcionadores de artes $nteressadas "taKeholdersE $n
6s ne"essidades das partes interessadas são inluen"iadas por um nJmero de dire"ionadores #ou motivadores(, "omo por eemplo, mudanças na estrat.gia do neg4"io, mudança no ambiente do neg4"io #entrada de novos "on"orrentes(, mudanças nas leis e regulamentos vigentes e novas te"nologias& Tomando a legislação "omo eemplo de dire"ionador, tem+se, no Brasil, a Dei nc $8&K5, mais "on3e"ida "omo o -ar"o Civil da Internet, que estabele"e prin"pios, garantias, direitos e deveres para o uso da Internet no Brasil& 1m dos temas que a lei trata . a neutralidade da rede, em que o \responsável pela transmissão, "omutação ou roteamento tem o dever de tratar de orma isonVmi"a quaisquer pa"otes de dados, sem distinção por "onteJdo, origem e destino, serviço, terminal ou apli"ação& R$%S\ Isso visa garantir que todos os "onteJdos e usuários sePam tratados da mesma maneira& Como eemplo práti"o, as operadoras de tele"omuni"açUes, que proveem o a"esso ) Internet, podem ter uma oerta diversii"ada de banda, mas não podem bloquear ou limitar a velo"idade de tráego, dentro do pa"ote de banda "ontratado, para determinados apli"ativos, sites ou "onteJdos na rede R$$S& 6l.m disso, a lei determina que as operadoras deverão garantir a qualidade "ontratada da "oneão ) internet& Essa lei pode se tornar um dire"ionador de partes interessadas de uma operadora de tele"omuni"açUes, inluen"iando as ne"essidades destas2 as dos usuários de internet #parte interessada eterna(, que agora tem a garantia de que a qualidade de sua "oneão será "onorme "ontratado, e "aso não sePa, poderá re"lamar seus direitos, e as do Consel3o de 6dministração da operadora de tele"omuni"açUes #parte interessada interna(, que pre"isa se preo"upar em adaptar o neg4"io para atender a essa obrigação #Pá que deverá modii"ar a oerta de seus serviços(, pois "aso não "umpram, poderá o"orrer a perda de "lientes, impa"tando na "riação de valor para o neg4"io&
asso 2: %ecessidades das artes $nteressadas "taKeholdersE desdo?radas em (?@etios orporatios
6s ne"essidades das partes interessadas podem ser rela"ionadas a um "onPunto de obPetivos "orporativos gen.ri"os deinidos pelo COBIT 5& O do"umento do $rameor- deine obPetivos "orporativos gen.ri"os que podem ser desenvolvidos usando as dimensUes do #BHC( e representam uma lista de obPetivos "omumente usados por uma Balanced Scoredcard #BHC( organização& Embora essa lista não sePa eaustiva, a maioria dos obPetivos espe"i"os de uma organização pode ser mapeada para um ou mais obPetivos "orporativos gen.ri"os& O mapeamento das ne"essidades das partes interessadas, em ormato de perguntas, em obPetivos "orporativos . apresentado no ap*ndi"e do do"umento do $rameor- &
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9>
Apostila de CO&IT ' v(.)
6 lista de $ obPetivos "orporativos gen.ri"os deinidos pelo COBIT 5, "omo mostrado na igura $N, in"luem as seguintes inormaçUes2 • • •
6 dimensão BHC ao qual o obPetivo "orporativo perten"e ObPetivos "orporativos O rela"ionamento do obPetivo "orporativo "om os tr*s obPetivos prin"ipais de governança Y realização de bene"ios, otimização de ris"o e otimização de re"ursos #F indi"a rela"ionamento primário e H rela"ionamento se"undário(&
Fi4ura 18 (?@etios corporatios. Fonte: (I$& T 5, p. 21, U2012 $"33T 912
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
99
Apostila de CO&IT ' v(.)
asso 7: (?@etios corporatios desdo?rados em (?@etios de &$
O al"an"e dos obPetivos "orporativos eige uma s.rie de resultados rela"ionados a TI 5, que são representados pelos obPetivos rela"ionados a TI& COBIT 5 deine $ obPetivos rela"ionados a TI, , "onorme apresentado na igura $2
Fi4ura 1V (?@etios de &$. Fonte: (I$& T 5, p. 21, U2012 $"33T 912
6 tabela de mapeamento dos obPetivos "orporativos em obPetivos de TI está apresentada no 6p*ndi"e B do do"umento do rame'or0, e demonstra "omo "ada obPetivo "orporativo . apoiado por diversos obPetivos de TI&
asso Q: (?@etios de &$ desdo?rados em (?@etios de Ma?ilitadores
6tingir os obPetivos rela"ionados a TI requer a apli"ação e uso bem+su"edidos de um "onPunto de 3abilitadores& @abilitadores in"luem2
Frin"pios, polti"as e $rameor- s Fro"essos Estruturas organiza"ionais Cultura, .ti"a e "omportamento
5
Os resultados de TI não são obviamente o Jni"o bene"io intermediário ne"essário para a "onse"ução dos obPetivos "orporativos& Todas as demais áreas un"ionais de uma organização, tais "omo inanças e mar0eting, tamb.m "ontribuem para a "onse"ução dos obPetivos "orporativos, mas no "onteto do COBIT 5 somente as atividades e os obPetivos de TI são "onsiderados
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
95
Apostila de CO&IT ' v(.)
Inormação Herviços, inraestrutura e apli"açUes Fessoas, 3abilidades e "ompet*n"ias
Fara "ada 3abilitador, um "onPunto de obPetivos espe"i"os e relevantes pode ser deinido para suportar os obPetivos rela"ionados a TI& Fara o 3abilitador Fro"essos #igura 8%(, por eemplo, os obPetivos e suas m.tri"as são orne"idos nas des"riçUes detal3adas de "ada pro"esso& O do"umento do COBIT 5, em seu 6p*ndi"e C, "ont.m o mapeamento entre os obPetivos de TI e os pro"essos pertinentes, que por sua vez "ont*m os respe"tivos obPetivos do pro"esso&
)sando a ascata de (?@etios do (I$& 5 com 3tenç=o
3 cascata de o?@etios com suas ta?elas de mapeamento entre os o?@etios corporatios e os o?@etios de &$ e entre os o?@etios de & $ e os ha?ilitadores do (I$& 5 inclusie processosE n=o contm a erdade uniersal, e os usu#rios n=o deem tentar us#lo de uma
@á várias razUes para isso, entre as quais2
Cada organização tem prioridades dierentes em seus obPetivos, e essas prioridades podem mudar "om o tempo& 6s tabelas de mapeamento não azem distinção entre o porte da organização eQou o setor em que ela está inserida& Elas representam uma esp."ie de denominador "omum de "omo, no geral, os dierentes nveis de obPetivos se inter+rela"ionam& Os indi"adores usados no mapeamento "onsideram dois nveis de import^n"ia ou relev^n"ia, sugerindo a eist*n"ia de dis"retos nveis de relev^n"ia, "onsiderando que, de ato, o mapeamento será pare"ido "om uma "onstante "om vários nveis de "orrespond*n"ia& "o rrespond*n"ia&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9K
Apostila de CO&IT ' v(.)
3%6`( $$: 6Cemplo de Ma?ilitador: M a?ilitador: rocessos
Fi4ura 20 Ma?ilitador rocessos. Fonte: (I$& T 5, p. P7, U2012 $"33T 912
artes $nteressadas2 $nteressadas2 "omo pode ser visto na igura 8%, partes interessadas do pro"esso in"luem todos os atores do pro"esso, ou sePa, todas as partes que são responsáveis, pra o qual são prestadas "ontas, "onsultadas e inormadas #;6CI( para as atividades do pro"esso& For isso, a matriz ;6CI para "ada pro"esso des"rita no COBIT 8 4na%ling 5rocess pode ser utilizada& (?@etios2 (?@etios2 para "ada pro"esso, os obPetivos adequados e m.tri"as rela"ionadas pre"isam ser deinidos& For eemplo, para o pro"esso de 6FO%N Meren"iar rela"ionamentos pode+se en"ontrar um "onPunto de obPetivos de pro"esso e m.tri"as, tais "omo2 •
•
ObPetivo2 estrat.gias de neg4"ios, planos e requisitos são bem "ompreendidos, do"umentados e aprovados& -.tri"a2 Fer"entual de programas alin3ados "om os requisitos de neg4"io
iclo de ida2 ida 2 "ada pro"esso tem um "i"lo de vida, ou sePa, ele tem que ser "riado, ee"utado e monitorado e aPustado quando ne"essário& Fara se deinir um pro"esso, pode+se usar vários elementos do COBIT 8 4na%ling 5rocess, ou sePa, deinir responsabilidades e dividir o pro"esso em práti"as e atividades, e deinir produtos de trabal3o do pro"esso #entradas e sadas(& :uma ase posterior, o pro"esso pre"isa ser mais robusto e ei"iente, e para essa inalidade . ne"essário elevar o nvel de "apa"idade do pro"esso& Ioas pr#ticas2 pr#ticas2 COBIT 8 4na%ling 5rocess des"reve para "ada pro"esso as boas práti"as em termos de práti"as de pro"esso, atividades e atividades detal3adas&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9
Apostila de CO&IT ' v(.)
3%6`( $$$: DomAnios e rocessos D(R%$( 3O3L$3', D$'$$' 6 (%$&('3' 6DE 3aliar, Diri4ir e onitorar
Marantir a einição e E-%$ -anutenção do 1rameor- de de Movernança
E-%8
E-%>
E-%9
E-%5
6nalisa e arti"ula os requisitos para a governança "orporativa de TI, "olo"a em práti"a e mant.m estruturas, prin"pios, pro"essos e práti"as, "om "lareza de responsabilidades e autoridade para al"ançar a missão, as metas e os obPetivos da organização&
Marantir a ;ealização de Bene"ios
Otimiza a "ontribuição de valor para o neg4"io a partir dos pro"essos de neg4"ios, serviços e ativos de TI resultantes de investimentos realizados na TI a "ustos a"eitáveis&
Marantir a Otimização de ;is"os
6ssegura que o apetite e toler^n"ia a ris"os da organização são "ompreendidos, arti"ulados e "omuni"ados e que o ris"o ao valor da organização rela"ionado ao uso de TI . identii"ado e "ontrolado&
Marantir a Otimização de ;e"ursos
6ssegura que as "apa"idades adequadas e sui"ientes rela"ionadas ) TI #pessoas, pro"essos e te"nologia( estão disponveis para apoiar os obPetivos da organização de orma ei"az a um "usto 4timo&
Marantir Transpar*n"ia para as Fartes Interessadas
6ssegura que a medição e relat4rios de desempen3o e "onormidade da TI "orporativa sePam transparentes para os sta0e3olders aprovarem as metas, m.tri"as e as açUes "orretivas ne"essárias&
&a?ela 5 DomAnio 3aliar, Diri4ir e onitorar 6DE
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9N
Apostila de CO&IT ' v(.)
D(R%$( 3L$%M3', L3%6J3' 6 ('3%$_3' 3(E 3linhar, lane@ar e (r4anizar
6FO%$
6FO%8
6FO%>
Meren"iar a Estrutura de Mestão de TI
Es"lare"e e mant.m a missão e visão da governança de TI da organização& Implementa e mant.m me"anismos e autoridades para geren"iar a inormação e o uso da TI na organização&
Meren"iar a Estrat.gia
/orne"e uma visão 3olsti"a do neg4"io e ambiente de TI atual, a direção utura, e as ini"iativas ne"essárias para migrar para o ambiente uturo desePado&
Meren"iar a 6rquitetura da Organização
Estabele"e uma arquitetura "omum que "onsiste em pro"essos de neg4"ios, inormaçUes, dados, apli"ação e te"nologia para realizar de orma ei"az e ei"iente as estrat.gias de neg4"io e de TI por meio da "riação de modelos e práti"as+"3ave que des"revem arquitetura de lin3a de base&
6FO%9
Meren"iar a Inovação
6FO%5
Meren"iar o Fort4lio
-ant.m uma "ons"i*n"ia de TI e tend*n"ias de serviços rela"ionados, identii"a oportunidades de inovação e planePa "omo se benei"iar da inovação em relação )s ne"essidades do neg4"io& Inluen"ia o planePamento estrat.gi"o e as de"isUes de arquitetura "orporativa& Ee"uta o "onPunto de orientaçUes estrat.gi"as para os investimentos alin3ados "om a visão de arquitetura "orporativa e as "ara"tersti"as desePadas do investimento e "onsiderar as restriçUes de re"ursos e de orçamento& 6valia, prioriza programas e serviços, geren"ia demanda dentro das restriçUes de re"ursos e de orçamento, "om base no seu alin3amento "om os obPetivos estrat.gi"os e ris"o& -ove programas sele"ionados para o port4lio de serviços para ee"ução& -onitora o desempen3o de todo o port4lio de serviços e programas, propondo os aPustes ne"essários em resposta ao programa e desempen3o do serviço ou mudança de prioridades da organização&
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
9
Apostila de CO&IT ' v(.)
6FO%K
6FO%
3linhar, lane@ar e (r4anizar cont.E Meren"iar as atividades inan"eiras rela"ionadas a TI tantos nas unçUes de neg4"ios "omo de TI, abrangendo orçamento, geren"iamento de "ustos e bene"ios e Meren"iar Orçamento e Custos priorização dos gastos "om o uso de práti"as ormais de orçamento e de um sistema Pusto e equitativo de alo"ação de "ustos para a organização& /orne"e uma abordagem estruturada para garantir a estruturação ideal, "olo"ação, direitos de de"isão e as 3abilidades dos re"ursos 3umanos& Isso in"lui a "omuni"ação Meren"iar ;e"ursos @umanos de pap.is e responsabilidades deinidas, planos de aprendizagem e de "res"imento, e as epe"tativas de desempen3o, "om o apoio de pessoas "ompetentes e motivadas&
Meren"iar ;ela"ionamentos
Meren"ia o rela"ionamento entre o neg4"io e TI de uma maneira ormal e transparente, que garanta o"o na realização de um obPetivo "omum&
Meren"iar Contratos de Frestação de Herviços
6lin3a serviços de TI e nveis de serviço "om as ne"essidades e epe"tativas da organização, in"luindo identii"ação, espe"ii"ação, proPeto, publi"ação, a"ordo, e a"ompan3amento de serviços de TI, nveis de serviço e indi"adores de desempen3o&
Meren"iar /orne"edores
Meren"ia serviços rela"ionados a TI prestados por todos os tipos de orne"edores para atender )s ne"essidades organiza"ionais, in"luindo a seleção de orne"edores, gestão de rela"ionamentos, gestão de "ontratos e revisão e monitoramento de desempen3o de orne"edores para a eetividade e "onormidade&
Meren"iar ?ualidade
eine e "omuni"a os requisitos de qualidade em todos os pro"essos, os pro"edimentos pro" edimentos e os resultados das organizaçUes, in"luindo "ontroles, monitoramento "ontnuo, e o uso de práti"as "omprovadas e padrUes na mel3oria "ontnua e esorços de ei"i*n"ia&
6FO$8
Meren"iar ;is"os
Identii"ar "ontinuamente, avaliar e reduzir os ris"os rela"ionados a TI dentro dos nveis de toler^n"ia estabele"idos pela diretoria ee"utiva da organização&
6FO$>
Meren"iar Hegurança
eine, opera e monitora um sistema para a gestão de segurança da inormação&
6FO%N
6FO%
6FO
%$6FO$$
&a?ela Y DomAnio 3linhar, lane@ar e (r4anizar 3(E
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
5%
Apostila de CO&IT ' v(.)
D(R%$( (%"&')$', 3D)$'$' 6 $L66%&3' I3$E onstruir, 3d-uirir e $mplementar
B6I%$
Meren"iar Frogramas e FroPetos
Meren"iar todos os programas e proPetos do port4lio de investimentos em alin3amento "om a estrat.gia da organização e de orma "oordenada& Ini"ia, planePa, "ontrola e ee"uta programas e proPetos, e inaliza "om uma revisão p4s+implementação&
B6I%8
Identii"a soluçUes e analisa os requisitos antes da aquisição ou "riação para assegurar que eles estão em "onormidade "om os requisitos estrat.gi"os "orporativos que "obrem os pro"essos de neg4"io, apli"açUes, inormaçUesQ Meren"iar einição de ;equisitos dados, inra+estrutura e serviços& Coordena "om as partes interessadas aetadas a revisão r evisão de opçUes viáveis, in"luindo "ustos e bene"ios, análise de ris"o e aprovação de requisitos e soluçUes propostas&
B6I%>
Meren"iar Identii"ação e esenvolvimento de HoluçUes
Estabele"e e mant.m soluçUes identii"adas em "onormidade "om os requisitos da organização abrangendo design, desenvolvimento, aquisiçãoQter"eirização e par"erias "om orne"edoresQvendedores& Meren"ia "oniguração, teste de preparação, testes, requisitos de gestão e manutenção dos pro"essos de neg4"io, apli"açUes, inormaçUesQdados, inra+estrutura e serviços&
Meren"iar isponibilidade e Capa"idade
Equilibra as ne"essidades atuais e uturas de disponibilidade, desempen3o e "apa"idade de prestação de serviços de baio "usto& In"lui a avaliação de "apa"idades atuais, a previsão das ne"essidades uturas "om base em requisitos de neg4"ios, análise de impa"tos nos neg4"ios e avaliação de ris"o para planePar e implementar açUes para atender as ne"essidades identii"adas&
Meren"iar Capa"idade de -udança Organiza"ional
-aimiza a probabilidade de implementar "om su"esso a mudança organiza"ional sustentável em toda a organização de orma rápida e "om ris"o reduzido, "obrindo o "i"lo de vida "ompleto da mudança e todas as partes interessadas aetadas no neg4"io e TI&
B6I%9
B6I%5
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
5$
Apostila de CO&IT ' v(.)
B6I%K
B6I%
B6I%N
B6I%
B6I
%$onstruir, 3d-uirir e $mplementar cont.E Meren"ia todas as mudanças de uma maneira m aneira "ontrolada, in"luindo mudanças de padrão e de manutenção de emerg*n"ia rela"ionadas "om os pro"essos de neg4"io, apli"açUes e inraestrutura& Isto in"lui os padrUes de Meren"iar -udanças mudança e pro"edimentos, avaliação de impa"to, priorização e autorização, mudanças emergen"iais, a"ompan3amento, elaboração de relat4rios, en"erramento e do"umentação&
Meren"iar 6"eitação e Transição de -udança
6"eita e produz ormalmente novas soluçUes opera"ionais, in"luindo planePamento de implementação do sistema, e "onversão de dados, testes de a"eitação, "omuni"ação, preparação de liberação, promoção para produção de pro"essos de neg4"ios e serviços de TI novos ou alterados, suporte de produção e uma revisão p4s+implementação&
Meren"iar Con3e"imento
-ant.m a disponibilidade de "on3e"imento relevante, atual, validado e "oniável para suportar todas as atividades do pro"esso e a"ilitar a tomada de de"isão& Flano para a identii"ação, "oleta, organização, manutenção, utilização e retirada de "on3e"imento&
Meren"iar 6tivos
Meren"ia os ativos de TI atrav.s de seu "i"lo de vida para assegurar que seu uso agrega valor a um "usto ideal& Os ativos permane"em opera"ionais e isi"amente protegidos e aqueles que são undamentais para apoiar a "apa"idade de serviço são "oniáveis e disponveis&
Meren"iar Coniguração
eine e mant.m as des"riçUes e as relaçUes entre os prin"ipais re"ursos e as "apa"idades ne"essárias para prestar serviços de TI, in"luindo a "oleta de inormaçUes de "oniguração, o estabele"imento de lin3as de base, verii"ação e auditoria de inormaçUes de "oniguração e atualizar o reposit4rio de "oniguração&
&a?ela P DomAnio onstruir, 3d-uirir e $mplementar I3$E
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
58
Apostila de CO&IT ' v(.)
D(R%$( 6%&'63', "6'O$*(" 6 ")('&6 D""E 6ntre4ar, "eriços e "uporte
HH%$
HH%8
HH%>
HH%9
HH%5
HH%K
Meren"iar as operaçUes
Coordena e ee"uta as atividades e pro"edimentos opera"ionais ne"essários para entregar serviços de TI internos e ter"eirizados, in"luindo a ee"ução de pro"edimentos opera"ionais, padrUes pr.+deinidos e as atividades eigidas&
Meren"iar Holi"itação de Herviços e In"identes
/orne"er uma resposta rápida e ei"az )s soli"itaçUes dos usuários e resolução de todos os tipos de in"identes& ;estaurar o serviço normal re"orde e atender )s soli"itaçUes dos usuários e registro, investigar, diagnosti"ar, es"alar e solu"ionar in"identes&
Meren"iar Froblemas
Identii"a e "lassii"a os problemas e suas "ausas+razes e orne"e resolução para prevenir in"identes re"orrentes& /orne"e re"omendaçUes de mel3orias&
Meren"iar Continuidade
Estabele"e e mant.m um plano para permitir o neg4"io e TI responder a in"identes e interrupçUes, a im de "ontinuar a operação de pro"essos "rti"os de neg4"ios e serviços de TI ne"essários e mant.m a disponibilidade de inormaçUes em um nvel a"eitável para a organização&
Frotege inormaçUes da organização para manter o nvel de ris"o a"eitável para a segurança da inormação da organização, de Meren"iar Herviços de Hegurança a"ordo "om a polti"a de segurança& Estabele"e e mant.m as unçUes de segurança da inormação e privil.gios de a"esso e realiza o monitoramento de segurança& eine e mant.m "ontroles de pro"esso de neg4"io apropriados para assegurar que as Meren"iar os Controles de inormaçUes rela"ionadas e pro"essadas Fro"essos de :eg4"io satisaz todos os requisitos de "ontrole de inormaçUes relevantes& &a?ela 8 DomAnio 6ntre4ar, "eriços e "uporte D""E
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
5>
Apostila de CO&IT ' v(.)
D(R%$( (%$&('3', 3O3L$3' 6 3%3L$"3' 63E onitorar, 3aliar e 3nalisar
-E6%$
-E6%8
-E6%>
-onitorar, 6valiar e 6nalisar o esempen3o e Conormidade
Coleta, valida e avalia os obPetivos e m.tri"as do pro"esso de neg4"ios e de TI& -onitora se os pro"essos estão realizando "onorme metas e m.tri"as de desempen3o e "onormidade a"ordadas e orne"e inormação que . sistemáti"a e oportuna&
-onitorar, 6valiar e 6nalisar o Histema de Controle Interno
-onitora e avalia "ontinuamente o ambiente de "ontrole, in"luindo auto+avaliaçUes e análises de avaliaçUes independentes& Fermite a gestão de identii"ar dei"i*n"ias de "ontrole e inei"i*n"ias e ini"iar açUes de mel3oria&
-onitorar, 6valiar e 6nalisar a Conormidade "om ;equisitos Eternos
6valia se pro"essos de TI e pro"essos de neg4"ios suportados pela TI estão em "onormidade "om as leis, regulamentos e eig*n"ias "ontratuais& Obt.m a garantia de que os requisitos oram identii"ados e respeitados, e integrá+los ) "onormidade "om o "umprimento global da organização&
&a?ela V DomAnio onitorar, 3aliar e 3nalisar 63E
"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com
59
Apostila de CO&IT ' v(.)
3%6`( $O: apeamento de processos (I$& 5 ` (I$& Q.1 Esse mapeamento . uma adaptação da tabela de mapeamento dos obPetivos de "ontrole do COBIT 9&$ para as práti"as de geren"iamento do COBIT 5 RS& Os pro"essos desta"ados em verde são novos pro"essos do COBIT5& 3aliar, Diri4ir e onitorar 6DE E-%$ Marantir a einição e -anutenção FO> eterminar a ireção Te"nol4gi"a do /rame'or0 de Movernança -E9 /orne"er Movernança de TI FO$ einir um Flano Estrat.gi"o de TI E-%8 Marantir a ;ealização de Bene"ios -E9 /orne"er Movernança de TI FOK Comuni"ar -etas e iretivas iretivas Meren"iais E-%> Marantir a Otimização de ;is"os FO 6valiar e Meren"iar ;is"os -E9 /orne"er Movernança de TI E-%9 Marantir a Otimização de ;e"ursos -E9 /orne"er /orne"er Movernança Movernança de TI E-%5 Marantir Transpar*n"ia para as + Fartes Interessadas &a?ela 10 (I$& 5 C (I$& Q.1: DomAnio 6D. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T 9V
3linhar, lane@ar e (r4anizar 3(E FO8 einir a 6rquitetura de Inormação FO> eterminar a ireção Te"nol4gi"a FO9 einir Fro"essos de TI, Organização e 6FO%$ Meren"iar a Estrutura de Mestão de ;ela"ionamento TI FOK Comuni"ar -etas e iretivas iretivas Meren"iais FO Meren"iar ;e"ursos @umanos FO 6valiar e Meren"iar ;is"os FO$ einir um Flano Estrat.gi"o de TI 6FO%8 Meren"iar a Estrat.gia FO> eterminar a ireção Te"nol4gi"a 6FO%> Meren"iar a 6rquitetura da FO8 einir a 6rquitetura de Inormação Organização FO> eterminar a ireção Te"nol4gi"a 6FO%9 Meren"iar a Inovação FO> eterminar a ireção Te"nol4gi"a FO$ einir um Flano Estrat.gi"o de TI 6FO%5 Meren"iar o Fort4lio FO5 Meren"iar o Investimento em TI HK Identii"ar e 6lo"ar Custos 6FO%K Meren"iar Orçamento e Custos FO5 Meren"iar o Investimento em TI H Edu"ar e Treinar usuários FO9 einir Fro"essos de TI, Organização e 6FO% Meren"iar ;e"ursos @umanos ;ela"ionamento FO Meren"iar ;e"ursos @umanos 6FO%N Meren"iar ;ela"ionamentos + 6FO% Meren"iar Contratos de Frestação H$ einir nveis de Herviços de Herviços 6I5 Obter ;e"ursos de TI 6FO$% Meren"iar /orne"edores H8 Meren"iar Herviços de Ter"eiros FO9 einir Fro"essos de TI, Organização e 6FO$$ Meren"iar ?ualidade ;ela"ionamento FON Meren"iar ?ualidade 6FO$8 Meren"iar ;is"os FO 6valiar e Meren"iar ;is"os 6FO$> Meren"iar Hegurança H5 Marantir Hegurança dos Histemas &a?ela 11 (I$& 5 C (I$& Q.1: DomAnio 3(. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V
"#ia $orado
lmdorado.wordpress.com
lmdorado%hotmail.com
55
Apostila de CO&IT ' v(.)
onstruir, 3d-uirir e $mplementar I3$E B6I%$ Meren"iar Frogramas e FroPetos FO$% Meren"iar FroPetos B6I%8 Meren"iar einição de ;equisitos 6I$ Identii"ar soluçUes automatizadas Controles 6C 6I8 6dquirir e manter sot'are apli"ativo B6I%> Meren"iar Identii"ação e esenvolvimento de HoluçUes
6I> 6dquirir e manter arquitetura te"nol4gi"a 6I5 Obter ;e"ursos de TI
B6I%9 Meren"iar isponibilidade e Capa"idade B6I%5 Meren"iar Capa"idade de -udança Organiza"ional B6I%K Meren"iar -udanças B6I% Meren"iar 6"eitação e Transição de -udança B6I%N Meren"iar Con3e"imento BI6% Meren"iar 6tivos B6I$% Meren"iar Coniguração
H> Meren"iar Ferorman"e e Capa"idade 6I9 -anter operação e uso 6I Instalar e "ertii"ar HoluçUes e -udanças 6IK Meren"iar mudanças 6I Instalar e "ertii"ar HoluçUes e -udanças 6I9 -anter operação e uso + H Meren"iar a Coniguração
&a?ela 12 (I$& 5 C (I$& Q.1: DomAnio I3$. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V
6ntre4ar, "eriços e "uporte D""E H$$ Meren"iar ados HH%$ Meren"iar as operaçUes H$8 Meren"iar os 6mbientes /si"os H$> Meren"iar OperaçUes H5 Marantir Hegurança dos Histemas HH%8 Meren"iar Holi"itação de Herviços e HN Meren"iar Hervi"e es0 e In"identes In"identes H Meren"iar a Coniguração HH%> Meren"iar Froblemas H$% Meren"iar Froblemas H9 Marantir Continuidade dos Herviços HH%9 Meren"iar Continuidade H$$ Meren"iar ados H5 Marantir Hegurança dos Histemas H$$ Meren"iar ados HH%5 Meren"iar Herviços de Hegurança H$8 Meren"iar os 6mbientes /si"os H$> Meren"iar OperaçUes HH%K Meren"iar os Controles de Fro"essos Controles 6C de :eg4"io H$$ Meren"iar ados &a?ela 17 (I$& 5 C (I$& Q.1: DomAnio D"". Fonte: (I$& T 5: 6 na?lin4 rocess, p. 21P, U2012 $"33T9V
onitorar, 3aliar e 3nalisar 63E -E6%$ -onitorar, 6valiar e 6nalisar o -E$ -onitorar e 6valiar a Ferorman"e de esempen3o e Conormidade TI -E6%8 -onitorar, 6valiar e 6nalisar o -E8 -onitorar e 6valiar Controle Interno Histema de Controle Interno -E9 /orne"er Movernança de TI -E6%> -onitorar, 6valiar e 6nalisar a -E> 6ssegurar Conormidade ;egulat4ria Conormidade "om ;equisitos Eternos &a?ela 1Q (I$& 5 C (I$& Q.1: DomAnio 63. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V
"#ia $orado
lmdorado.wordpress.com
lmdorado%hotmail.com
5K
Apostila de CO&IT ' v(.)
3%6`( O: Descriç=o do rocesso I3$0Y: erenciar udanças
&a?ela 15 rocesso I3$0Y erenciar udanças Fonte: (I$& T 5: 6na?lin4 rocess, p. 1QV, U2012 $"33T 9V
"#ia $orado
lmdorado.wordpress.com
lmdorado%hotmail.com
5
Apostila de CO&IT ' v(.)
&a?ela 1Y rocesso I3$0Y erenciar udanças cont.E Fonte: (I$& T 5: 6na?lin4 rocess, p. 150, U2012 $"33T 9V
"#ia $orado
lmdorado.wordpress.com
lmdorado%hotmail.com
5N
Apostila de CO&IT ' v(.)
'6F6'[%$3" I$IL$('NF$3" R$S International Organization or Htandardization& $"(/$6 78500 S orporate 4oernance o< in 4est=o dos processos e seriços. ;io seriços. ;io de 7aneiro2 Brasport, 8%%K& R>S az, `esle& alestra (I$& 5: 3spectos erais. erais. II Enauti& 8%$>& 6"esso em2 3ttp2QQ'''&t"&d&gov&brQsesetQen"ontrodetiQdo'nloadQCOBIT 58%-I:I8%C1;HO8%E:61TI8%+8%K8%+8%8%$>8%+8%/O;-6T6O&pd R9S& (I$& 5: 3 Iusiness Framework de abril de 8%$9& Estabele"e prin"pios, garantias, direitos e deveres para o uso da Internet no Brasil& 6"esso em2 3ttp2QQ'''&planalto&gov&brQ""ivil%>Qato8%$$+8%$9Q8%$9QleiQl$8K5&3tm R$$S CMI&br& ( $.?r e o arco iil da $nternet& $nternet & 6"esso em2 3ttp2QQ'''&"gi&br R$8S (I$& R$8S (I$& 5: odelo orporatio para oernança e est=o de &$ da (r4anizaç=o, 1H6, 8%$8 R$>S (I$& 5 omo aaliar a maturidade dos processos de acordo com o noo modelo, modelo , Bridge Consulting, 8%$>& 6"esso em2 3ttp2QQ'''&blog&bridge"onsulting&"om&brQ'p+ "ontentQuploadsQ8%$>Q%QCobiT56valiaC>6C>6>ode-aturidade&pd R$9S CO&IT rocess Assessment +odel 5A+6- 7sing CO&IT 8.( & 1H6, 8%$$& R$5S $$%F72Y odelos de ualidade de " ario L. brtes. 6"esso em2 3ttp2QQ'''&i"&uni"amp&brQh"ortesQin>8KQtranspQ"ap&pd R$KS (I$& 5: 3presentaç=o do noo & 6"esso em2 3ttp2QQ'''&blog&bridge"onsulting&"om&brQ'p+ "ontentQuploadsQ8%$>Q%8Q6presentaC>6C>6>o+do+CobiT+5&pd "#ia $orado
lmdorado.wordpress.com
lmdorado%hotmail.com
5