COBIT 5: Resumo Por Luzia Dourado

Apostila

COBIT 5 Framework de Governança e Gestão Corporativa de TI

Luzia Dourado Janeiro, 2015 http://lmdourado.wordpress.com

Olá, entusiastas de governança de TI! Eis que disponibilizo mais uma versão da apostila de COBIT 5 para auiliar nos estudos! evido a grande pro"ura por este material #mais de $%&%%% do'nloads ☺( e ) publi"ação da versão do COBIT 5 em portugu*s, resolvi revisá+lo e atualizá+lo para estar em "onormidade "om a tradução oi"ial& Eu não esperava que esse material pudesse ser tão pro"urado! -uitos estão utilizando esse material para auiliar nos estudos para "on"ursos e ultimamente muitos tamb.m o utilizam "omo orma de revisão para a prova de "ertii"ação& /i"o muito eliz por isso e muito agrade"ida pelo eedba"0 de vo"*s! 1m lembrete2 não ique limitado a essa apostila! Ela oi produzida para que o leitor tome rápido "on3e"imento do rame'or0, por.m, . s4 mais uma erramenta de estudos, o0 63, e nun"a se esqueçam disso2 “O saber a gente aprende com os mestres e com os livros. A sabedoria sabedoria a gente gente aprende aprende com a vida vida e com os hmildes!. hmildes!. Cora Coralina

Bons estudos a todos! eus os abençoe!

Força, Foco e F! 7aneiro, 8%$5

[email protected]

COBIT® é uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de rodutos e marcas registradas odem ser mencionados no decorrer desta aostila! tais marcas s"o utili#adas aenas com $inalidade de ensino! em %ene$&cio e'clusivo do dono da marca! sem inten"o de in$ringir suas regras de utili#a"o. Aostila COBIT  de *u#ia +ourado est, licenciado com uma *icena Creative Commons + 6tribuição+ Compartil3aIgual 9&% Interna"ional.

"um#rio $&

I:T;O1<=O &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >

8&

O ?1E @A E :OO &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 

>&

EOD1<=O&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 

9&

F;I:CGFIOH &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $% Frin"pio $& 6tender 6 tender as ne"essidades das partes interessadas # sta-eholders( &&&&&&&&&&&&&&&&&&&&&&& $$ Frin"pio 8& Cobrir a organização org anização de ponta a ponta &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&& $> Frin"pio >& 6pli"ar um $rameor- Jni"o Jni"o e integrado &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $5 Frin"pio 9& Fossibilitar uma abordagem 3olsti"a &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& $K Frin"pio 5& istinguir a governança de gestão &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8%

5&

-OEDO E ;E/E;L:CI6 E F;OCEHHOH&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& F;OCEHHOH&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&& 8$

K&

M1I6 E I-FDE-E:T6<=O &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 85 Criar o ambiente apropriado&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8K ;e"on3e"er os pontos de dor # ain oints( e eventos desen"adeadores # trigger events( &&&& 8K Elaborar "aso de neg4"ios #business "ase( " ase( &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8 Ci"lo de ida de Implementação &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 8N

&

-OEDO E C6F6CI6E E F;OCEHHOH &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&& >% ierenças entre o -odelo de -aturidade COBIT 9&$ 9 &$ e o -odelo de Capa"idade COBIT 5 && >% -odelo de -aturidade COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >% -odelo de -aturidade COBIT 5 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& >$ ierenças na Fráti"a&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& Fráti"a&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& > Bene"ios das -udanças &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&& >

N&

F;I:CIF6IH I/E;E:<6H O COBIT 5 CO- ;ED6<=O 6O COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9%

6:EO I2 Cas"ata de ObPetivos do COBIT  &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 98 6:EO II2 Eemplo E emplo de @abilitador2 Fro"essos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9 6:EO III2 omnios e Fro"essos &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 9N 6:EO I2 -apeamento de pro"essos COBIT 5  COBIT 9&$ &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 55 6:EO 2 es"rição do Fro"esso Fro" esso B6I%K2 Meren"iar -udanças &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 5 ;E/E;L:CI6H BIBDIOM;A/IC6H &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 5

"#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com

Apostila de CO&IT ' v(.)

1. $%&'(D)*+( 6ntes de introduzir os "on"eitos e detal3es do $rameor- COBIT 5, . ne"essária a deinição de "on"eito de governança e gestão "orporativa de TI&

as o -ue  oernança orporatia de &$ 6 norma IHOQIEC >N5%%, que estabele"e um modelo para a Movernança Corporativa de TI no qual o COBIT 5 se baseia, deine oernança orporatia de &$ "omo &$ "omo R$S2 oernança orporatia de &$, se4undo $"(/$6 78500: ;( sistema pelo -ual o uso atual e or4anizaç=o no alcance de seus o?@etios estrat4icos e monitorar seu uso para realizar os planos. 3 4oernança inclui a estrat4ia e as polAticas para o uso de &$ dentro de uma or4anizaç=o.B.

6 norma orienta que os dirigentes da organização governem a TI por meio de tr*s tareas prin"ipais, "onorme pode ser visto na igura $2 • •

•

3aliar o 3aliar o uso atual e uturo da TI Diri4ir a Diri4ir a preparação e a implementação de planos e polti"as para garantir que o uso da TI atenda aos obPetivos do neg4"io onitorar o onitorar o "umprimento das polti"as e o desempen3o em relação aos planos&

Fi4ura 1  odelo de 4oernança corporatia de &$. Fonte: $"(/$6 78500, p#4. 17 91


>


Hegundo a norma, 6valiar #*valate ( signii"a que os dirigentes devem avaliar o uso atual e uturo da TI, in"luindo as estrat.gias, propostas e arranPos de orne"imento #interno, eterno ou ambos(& :a avaliação do uso da TI, "onv.m que os dirigentes "onsiderem as pressUes eternas e internas que inluen"iam o neg4"io #mudanças te"nol4gi"as, tend*n"ias e"onVmi"as e so"iais e inlu*n"ias polti"as(, e levem em "onta as ne"essidades atuais e uturas do neg4"io& irigir #$irect ( signii"a que os dirigentes devem atribuir responsabilidades para a preparação e implementação dos planos e polti"as que estabeleçamm o dire"ionamento dos investimentos nos proPetos e operaçUes de TI& -onitorar #+onitor ( signii"a que os dirigentes devem monitorar o desempen3o da TI por meio de sistemas de mensuração apropriados, garantindo que esse desempen3o estePa de a"ordo "om os planos e obPetivos "orporativos e que a TI estePa em "onormidade "om as obrigaçUes eternas e práti"as internas de trabal3o&

oernança de &$ e est=o de &$ n=o  a mesma coisa 6 governança "orporativa de TI não pode ser "onundida "om o "on"eito de gestão de TI& 6 governança "orporativa de TI está inserida na governança "orporativa da organização, sendo dirigida por esta, e bus"a o dire"ionamento da TI para atender ao neg4"io e o monitoramento para verii"ar a "onormidade "om o dire"ionamento tomado pela administração da organização R8S&

3 4oernança corporatia de &$ n=o  de responsa?ilidade eCclusia dos 4estores de &$ e, sim, da alta administraç=o  board E. E.

6 est=o de &$, &$, "onorme deinido pela IHOQIEC >N5%% R$S2

est=o de &$, se4undo $"(/$6 78500: ;"istema de controles e processos necess#rios para alcançar os o?@etios estrat4icos esta?elecidos pela direç=o da or4anizaç=o.B.

6 gestão de TI impli"a a utilização sensata de meios #re"ursos, pessoas, pro"essos, práti"as( pra al"ançar um obPetivo& 6tua no planePamento, "onstrução, organização e "ontrole das atividades opera"ionais e se alin3a "om a direção deinida pela organização& Fortanto, a gestão "ontrola tareas opera"ionais, enquanto a governança "ontrola a gestão&


9


ara -uG as or4anizaçHes necessitam de 4oernança corporatia de &$ 6s organizaçUes eistem para atender as ne"essidades de suas partes interessadas, ou sePa, partes que se interessam ou são aetadas pela organização, tais "omo a"ionistas, un"ionários, seus "lientes, dentre outros& Fara atender aos seus obPetivos estrat.gi"os, as organizaçUes se esorçam para2 • •

•

• • •

manter inormaçUes de alta qualidade para apoiar de"isUes "orporativas agregar valor ao neg4"io a partir dos investimentos em TI, ou sePa, atingir os obPetivos estrat.gi"os e obter bene"ios para a organização atrav.s da utilização ei"iente e inovadora de TI al"ançar e"el*n"ia opera"ional por meio da apli"ação "oniável e ei"iente da te"nologia manter o ris"o de TI em um nvel a"eitável otimizar o "usto da te"nologia e dos serviços de TI "umprir as leis, regulamentos, a"ordos "ontratuais e polti"as pertinentes "ada vez mais presentes&

6 governança "orporativa de TI auilia as organizaçUes no al"an"e de seus obPetivos estrat.gi"os, por meio da 4eraç=o de alor obtido alor obtido pelo uso da TI, mantendo equilbrio entre a realização de bene"ios e a otimização dos nveis de ris"o e de utilização dos re"ursos& Fara se obter essa geração de valor, . ne"essária a avaliação do uso da TI e das ne"essidades de investimentos nessa área orne"er o dire"ionamento para que a TI atenda aos obPetivos "orporativos e monitorar as açUes rela"ionadas a TI para estar em "onormidade "om o que oi planePado e para dar transpar*n"ias )s partes interessadas sobre os resultados al"ançados& OrganizaçUes bem+su"edidas re"on3e"em que a diretoria e os ee"utivos devem a"eitar que a TI . tão signii"ativa para os neg4"ios "omo qualquer outra parte da organização& iretores e gestores + sePa em unçUes de TI ou de neg4"ios + devem "olaborar e trabal3ar em "onPunto a im de garantir que a TI estePa in"lusa na abordagem de governança e gestão& 6l.m disso, "ada vez mais leis e regulamentos estão sendo aprovados e estabele"idos para atender a essa ne"essidade&

Finalmente, o -ue  o (I$& 5 O (I$& 5, 5, desenvolvido e diundido pelo IH6C6 # In$ormation S/stem Audit and Control ( e lançado no inal de 8%$8,  um ,ramew de 4oernança e 4est=o corporatia de &$& &$ & ,ramework ork de O $rameor- az az a inte4raç=o do contedo dos principais ,ramew ,ramework ork s publi"ados pelo IH6C6, a saber2 • •

•

COBIT 9&$ al IT, que pode ser usado para "riar valor para o neg4"io por meio de investimentos de TI, sendo "onstitudo por um "onPunto de prin"pios orientadores e "onPunto de pro"essos e mel3ores práti"as para apoiar e aPudar a gestão ee"utiva em nvel empresarial ;is0 IT, dedi"ado a auiliar no geren"iamento de ris"os rela"ionados a TI


5

Apostila de CO&IT ' v(.) •

•

• •

#B-IH(, que . uma abordagem 3olsti"a Business 0odel $or In$ormation Securit/ #B-IH(, e orientada ao neg4"io para a gestão de segurança da inormação IT Assurance 1rameor- (ITA1) , um modelo que orne"e orientaçUes sobre a "on"epção, realização e relat4rio de auditoria de TI, deinindo termos e "on"eitos espe"i"os para garantia de TI #TM/( Ta-ing Governance 1orard #TM/( Board Brie2ng on IT Governance 3nd 4dition , que apresenta uma des"rição abrangente dos "on"eitos de governança de TI "omo um livreto de reer*n"ia ou "omo uma erramenta para edu"ar o board e a ger*n"ia ee"utiva .

6l.m disso, ele se alin3a a outros padrUes de mer"ado "omo In$ormation Technolog/ #ITID(, International Organi#ation $or Standardi#ation #IHO(, Bod/ 5ro6ect In$rastructure *i%rar/ #ITID(, 0anagement o$ 7noledge #F-BOW(, F;I:CE8 e The Oen Grou Architecture #TOM6/(& 1rameor- #TOM6/(& O COBIT 5 auilia as organizaçUes na criaç=o de alor para &$, &$ , mantendo o e-uilA?rio entre a realizaç=o de ?ene
•

•

oere"er um $rameor- abrangente que auilia as organizaçUes a otimizar o valor gerado pela TI permitir que a TI sePa governada e geren"iada de orma 3olsti"a para toda a organização& "riar uma linguagem "omum entre TI e neg4"ios para a governança e gestão de TI "orporativa&

ara -uG um noo
•

• •

•

Fermitir que mais partes interessadas alem sobre o que eles esperam da te"nologia da inormação e te"nologias rela"ionadas #que bene"ios e em qual nvel de ris"o a"eitável e a qual "usto( e quais são suas prioridades para garantir que o valor esperado sePa eetivamente obtido 6bordar a questão da depend*n"ia "ada vez maior para o su"esso da organização em par"eiros eternos de TI e de neg4"ios tais "omo ter"eirizadas, orne"edores, "onsultores, "lientes, provedores de serviços na nuvem e demais serviços Tratar a quantidade de inormação, que tem aumentado signii"ativamente 6dministrar TI "ada vez mais pervasiva TI . "ada vez mais uma parte integrante do neg4"io Cobrir o neg4"io de ponta a ponta e todas as áreas responsáveis pelas unçUes de TI&


K


2. ( )6 MN D6 %(O( 6 prin"ipal novidade do COBIT 5 . que ele está
Humário Ee"utivo Componentes e estruturas 5 prin"pios, des"ritos "ada um em um "aptulo distinto isão dos  3abilitadores e suas dimensUes Cas"ata de obPetivos # COBIT  Goals Cascade ( -odelo de ;eer*n"ia de Fro"essos Introdução ao Muia de Implementação -odelo de Capa"idade de Fro"essos

6 publi"ação CO&IT '- *nabling rocess descree os processos, o?@etios e mtricas, matriz '3$2, pr#ticas de 4est=o com suas entradas, saAdas e atiidades de
$

Enabler X viabilizador, a"ilitador, 3abilitador& -atriz ;6CI deine o ;esponsável, 6provador, Consultado e Inormado em relação a uma tarea&

8





6 distinção entre governança e gestão pode ser per"ebida no -odelo de ;eer*n"ia de Fro"essos, que su?diide os 7P processos de &$ em em duas prin"ipais áreas de atividade Y 4oernança e 4est=o Y 4est=o Y que são divididas em domnios de pro"essos, "onorme pode ser visto na tabela $& Nrea Movernança Mestão

tde. de rocessos 5 >8

DomAnios 6valiar, irigir e -onitorar (4valuate! +irect and 0onitor : 4+0) 6lin3ar, FlanePar e Organizar #6lign, Flan and Organise + 6FO( Construir, 6dquirir e Implementar #Build, 6"quire and Implement + B6I( Entregar, Herviços e Huporte #eliver, Hervi"e and Hupport + HH( -onitorar, 6valiar e 6nalisar #-onitor, Evaluate and 6ssess + -E6(

&a?ela 1 uantidade de processos e domAnios de oernança e est=o

(I$& 5 :  Focado em 4oernança corporatia de &$  DeiCa clara a distinç=o entre 4oernança e 4est=o  Fundamentado em 5 princApios de 4oernança corporatia de &$  Iaseado em um con@unto holAstico de P ena?lers ou ha?ilitadoresE  ossui 7P processos de &$ diididos em domAnios de processo de 4oernança e de 4est=o


N


7. 6O(L)*+( O COBIT surgiu, em $K, "omo um $rameor- para auditoria e "ontroles de TI, "om o"o nos obPetivos de "ontrole& epois, em 8%%%, oi lançada a ter"eira versão "om a in"lusão de orientaçUes para a gestão de TI& Em 8%%5, "om o COBIT 9&%, se tornou o $rameorde governança de TI, "om a in"lusão de pro"essos de governança e "onormidade #comliance(& E atualmente, na quinta versão, . o $rameor- integrador de governança e gestão de TI "orporativa& 6 igura 8 eibe um resumo da evolução do COBIT&

Fi4ura 2  6oluç=o do (I$&





Q. '$%R$(" Conorme dito anteriormente, o novo $rameor- . . undamentado em 5 princApios de governança "orporativa de TI -ue permitem -ue a or4anizaç=o construa um ,ramewor ,ramework k 7 e(2 $& 6tender as ne"essidades dos sta0e3olders #partes interessadas( 8& Cobrir a organização de ponta a ponta >& 6pli"ar um $rameor- #modelo( Jni"o e integrado 9& Fermitir uma abordagem 3olsti"a 5& istinguir a governança da gestão

Fi4ura 7 S rincApios do (I$& 5 Fonte: (I$& T 5, p.15, U2012 $"33T 912

Cada prin"pio será des"rito a seguir&

>

Enabler X viabilizador, a"ilitador, 3abilitador


%$ Apostila de CO&IT ' v(.)

rincApio 1. 3tender as necessidades das partes interessadas stakeholders E 3s or4anizaçHes eCistem para criar alor para as partes interessadas  stakeholders E, ou sePa, para todas as partes interessadas #a"ionistas, auditores, orne"edores, "onsultores, alta administração, et"(& Consequentemente, qualquer organização Z "omer"ial ou não Z terá a criaç=o de alor como um o?@etio da 4oernança #igura 9(&

Fi4ura Q  (?@etio da oernança. Fonte: (I$& T 5, pa4. 1V, U2012 $"33T 912

( -ue  criaç=o de alor riaç=o de Oalor (?tenç=o de ?ene
Os bene"ios podem assumir muitas ormas, por eemplo, inan"eiros para organizaçUes "omer"iais ou de serviço pJbli"o para entidades governamentais& Fortanto, vale risar que a "riação de valor . o obPetivo da governança! Fara "ada parte interessada, a "riação de valor pode representar interesses dierentes e algumas vezes "onlitantes& O sistema de governança abrange nego"iar e de"idir entre os dierentes interesses das partes interessadas e deve "onsiderar a opinião de todos quando são tomadas de"isUes sobre os bene"ios, re"ursos e avaliação dos ris"os& Fara "ada de"isão de governança, as seguintes questUes podem e devem ser eitas2 + ?uem re"ebe os bene"ios + ?uem assume os ris"os + ?uais são os re"ursos ne"essários 6s ne"essidades dos sta-eholders pre"isam ser transormadas em estrat.gias "orporativas& or isso, este princApio est# intimamente inte4rado com o conceito de alinhamento estrat4ico entre &$ e ne4Wcio . Fara isso, "omo pode ser visto na igura 5, 3á um me"anismo denominado Cascata de Ob/etivos do CO&IT ' "om a inalidade de desdobrar2 $$ "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com

Apostila de CO&IT ' v(.)   

os dire"ionadores #drives( e as ne"essidades dos sta-eholders em obPetivos "orporativos os obPetivos "orporativos em obPetivos de TI os obPetivos de TI em obPetivos o bPetivos para os 3abilitadores&

Fi4ura 5  ascata de (?@etios Fonte: (I$& T 5, p.20, U2012 $"33T 912

Em uma visão %ottom:u, a "as"ata de obPetivos auilia a organização em "omo empregar os 3abilitadores para al"ançar os obPetivos "orporativos de orma mais "on"reta&

3 cascata de o?@etios n=o  al4o noo no (I$& 5, pois @# eCistia no (I$& Q.1. %o (I$& Q.1, os o?@etios de &$ s=o desdo?rados em o?@etios de processos -ue por sua ez, desdo?ramse em o?@etios de atiidades. %o (I$& 5, os o?@etios de &$ s=o desdo?rados em o?@etios de ha?ilitadores, sendo rocessos um dos ha?ilitadores. ue ?ene
•

eine obPetivos tangveis e relevantes em vários nveis de responsabilidade /iltra a base de "on3e"imento do COBIT 5, "om base nos obPetivos "orporativos, para etrair a orientação pertinente para in"lusão na implementação, mel3oria ou garantia de proPetos espe"i"os Identii"a e "omuni"a "laramente "omo os 3abilitadores do COBIT #)s vezes muito opera"ionais( são importantes para o al"an"e dos obPetivos "orporativos&

-ais detal3es sobre a Cascata de Ob/etivos do CO&IT ' pode ser visto no 6neo I&


$8


rincApio 2. o?rir a or4anizaç=o de ponta a ponta O COBIT 5 trata a governança e gestão de TI "obrindo a organização de ponta a ponta& Isso signii"a que o COBIT 5 R>S2 





Integra a governança "orporativa de TI dentro da governança "orporativa da organização o?re todas as
O COBIT 5 orne"e uma visão 3olsti"a e sist*mi"a sobre a governança e gestão de TI da organização #ver prin"pio 9(, que tem por base diversos 3abilitadores& Os 3abilitadores servem para toda a organização, de ponta a ponta, ou sePa, in"luem todas as pessoas e todas as "oisas, internas e eternas, pertinentes ) governança e gestão das inormaçUes e TI da organização, in"lusive as atividades e responsabilidades das unçUes "orporativas de TI bem "omo aquelas não rela"ionadas "om essas unçUes& For meio desse prin"pio, os 4estores de ne4Wcio tGm a responsa?ilidade de tratar a &$ como um atio estrat4ico, estrat4ico , geren"iando a TI da mesma orma "omo geren"iam os outros ativos da organização&

"istema de oernança Fara que a governança "ubra a organização de ponta a ponta, o sistema de governança possui os seguintes "omponentes #igura K(2

Fi4ura Y  oernança e est=o de &$ no (I$& 5 Fonte: (I$& T 5, p. 25, U2012 $"33T 912


$>

Apostila de CO&IT ' v(.) 





Ma?ilitadores da 4oernança2 4oernança 2 são os re"ursos organiza"ionais usados na governança "omo prin"pios, estruturas, pro"essos e práti"as& 6scopo da 4oernança2 4oernança2 área em que será apli"ada a governança #toda a organização ou s4 uma parte(& apis, 3tiidades e 'elacionamentos2 'elacionamentos 2 deinem quem está envolvido "om governança, "omo estão envolvidos, o que azem e "omo interagem dentro do es"opo da governança&

6 igura  mostra os pap.is, atividades e rela"ionamentos que o"orrem na governança& 6s partes interessadas delegam para o Consel3o de 6dministração a deinição de direção para as atividades de gestão do Corpo iretivo que, por sua vez, instrui e alin3a as operaçUes de TI da organização& Os ee"utores #parte opera"ional da organização( reportam o resultado de suas atividades para o Corpo iretivo, que . monitorado pelo Consel3o de 6dministração que presta "ontas do desempen3o para as partes interessadas& Oale ressaltar -ue o (I$& 5
Fi4ura P  apis, 3tiidades e 'elacionamentos. 'elacionamentos. Fonte: (I$& T 5, p. 2Y, U2012 $"33T 912

9

-atriz ;6CI deine o ;esponsável, 6provador, Consultado e Inormado em relação a uma tarea&


$9


rincApio 7. 3plicar um ,ramework nico nico e inte4rado (I$& 5  uma estrutura nica e inte4rada, inte4rada , porque integra todos os "on3e"imentos anteriormente dispersos em dierentes $rameor- s da IH6C6, tais "omo o COBIT 9&$, al IT #valor de TI para o neg4"io(, ;is0 IT #ris"o rela"ionado ao uso de TI(, B-IH #segurança(& Está alin3ado "om os mais atuais e relevantes padrUes e $rameor- s utilizados R>S2  

de gestão "orporativa2 COHO, COHO E;-, IHOQIEC %%%, IHOQIEC >$%%% ;ela"ionados a TI2 IHOQIEC >N5%%, ITID, IHOQIEC 8%%% series, TOM6/, F-BOWQF;I:CE8, C--I et"&

Isso permite ) organização utilizar o COBIT 5 "omo um integrador dos $rameor- s de governança e de gestão& 6 amlia de produtos do COBIT 5 in"lui os seguintes produtos R9S2  





COBIT 5 #o $rameor- ( Muia de 3abilitadores do COBIT 5, no qual os 3abilitadores de governança e gestão são dis"utidos em detal3e& Estes in"luem2 COBIT 52 @abilitador Fro"essos (4na%ling 5rocesses) o COBIT 52 @abilitador Inormação (4na%ling In$ormation) o Outros guias 3abilitadores o Muias proissionais do COBIT 5, que in"luem2 COBIT  Implementação o COBIT  para Hegurança da Inormação o COBIT  para Marantia # Assurance) Assurance) o COBIT  para ;is"o o Outros guias proissionais o 1m ambiente "olaborativo on+line, que . disponibilizado para apoiar o uso do COBIT 5

Fi4ura 8  FamAlia de rodutos Fonte: (I$& T 5, p. 28, U2012 $"33T 912


$5


rincApio Q. ossi?ilitar uma a?orda4em holAstica Fara apoiar a governança e a gestão de TI utilizando uma abordagem 3olsti"a #que engloba a organização "omo um todo, in"luindo seus "omponentes e suas inter+relaçUes(, o COBIT 5 deine um "onPunto de P ha?ilitadores. ha?ilitadores.

Ma?ilitadores ena?lersE

Ma?ilitadores Fatores -ue, indiidual e coletiamente, in
Fi4ura V  Ma?ilitadores. Fonte: (I$& T 5, p. 2V, U2012 $"33T 912

1. rincApios, polAticas e ,ramework s2 são os ve"ulos que traduzem o "omportamento desePado em um guia práti"o para a gestão diária 2. rocessos rocessos des"revem um "onPunto organizado de práti"as e atividades para atingir determinados obPetivos e produzem um "onPunto de sadas que auiliam no "umprimento dos obPetivos de TI 7. 6struturas or4anizacionais or4anizacionais são as entidades+"3ave responsáveis pela tomada de de"isão em uma organização Q. ultura, tica e comportamento comportamento dos indivduos e da organização muito requentemente subestimada "omo um ator de su"esso nas atividades de governança e gestão 5. $n
$K


Y. "eriços, in
 

6 Inormação, que deve ser geren"iada "omo um re"urso& 6lgumas inormaçUes, tais "omo relat4rios de gestão e inormaçUes de intelig*n"ia organiza"ional são importantes 3abilitadores para a governança e gestão da organização& Herviços, inraestrutura e apli"ativos& Fessoas, 3abilidades e "ompet*n"ias&

1ma organização sempre deverá "onsiderar um "onPunto de 3abilitadores interligados& Ou sePa, "ada 3abilitador2 •

•

:e"essita das inormaçUes dos demais 3abilitadores para ser plenamente eetivo, por eemplo, pro"essos pre"isam de inormaçUes e modelos organiza"ionais ne"essitam de 3abilidades e "omportamento& Froduz resultados para o bene"io dos demais 3abilitadores, por eemplo, os pro"essos geram inormaçUes, e as 3abilidades e o "omportamento tornam os pro"essos ei"ientes&

6ssim, ao tratar da governança e gestão "orporativa de TI, boas de"isUes podem ser tomadas somente quando a natureza sist*mi"a dos arranPos de governança e gestão or "onsiderada& Isto signii"a que, para tratar de qualquer ne"essidade das partes interessadas, a reer*n"ia de todos os 3abilitadores inter+rela"ionados deve ser analisada e tratada, se ne"essário& Esta mentalidade deve ser orientada pela alta administração da organização&

3l4uns ha?ilitadores do (I$& 5 eram tratados no (I$& Q.1: (s recursos de &$ do (I$& Q.1 S processos, aplicaçHes, in

$


DimensHes de ha?ilitadores Todos os 3abilitadores t*m um "onPunto de dimensUes "omuns #igura $%(& Este "onPunto de dimensUes "omuns R9S2 •

• •

6presenta uma maneira "omum, simples e estruturada para tratar dos 3abilitadores Fermite que a organização geren"ie suas interaçUes "ompleas /a"ilita resultados bem su"edidos dos 3abilitadores&

Fi4ura 10  DimensHes de Ma?ilitadores. Fonte: (I$& T 5, p. 70, U2012 $"33T 912

6s quatro dimensUes "omuns para 3abilitadores são2 



artes $nteressadas stakeholders E2 "ada 3abilitador tem partes interessadas #partes que desempen3am um papel ativo eQou t*m interesse na ee"ução(& For eemplo, os pro"essos t*m dierentes partes que ee"utam atividades de pro"esso eQou que t*m interesse no resultado do pro"esso estruturas organiza"ionais t*m partes, "ada uma "om seus pr4prios pap.is e interesses, que azem parte da estrutura& Fartes interessadas podem ser internas ou eternas ) organização, todos "om seus interesses e ne"essidades& Eemplos de partes interessadas internas2 ee"utivos de neg4"io, "onsel3o o de administração, gerentes de neg4"io, auditores internos, usuários de TI, et"& Eemplo de partes interessadas eternas2 par"eiros "omer"iais, o orne"edores, governo, "onsumidores, auditores eternos, "onsultores, et"& (?@etios goalsE2 "ada 3abilitador tem uma s.rie de obPetivos e "riam valor pela realização destes obPetivos& Os obPetivos podem ser deinidos em termos de2  ;esultados esperados do 3abilitador  6pli"ação ou operação do pr4prio 3abilitador


$N






Os obPetivos de 3abilitadores são o passo inal da "as"ata de obPetivos do COBIT 5& Os obPetivos são divididos em "ategorias2 ?ualidade intrnse"a2 o quanto os 3abilitadores trabal3am de orma o pre"isa, obPetiva e produzem resultados eatos, obPetivos e "oniáveis& ?ualidade "ontetual2 o quanto os 3abilitadores e seus resultados o atendem ao seu obPetivo levando+se em "onsideração o "onteto em que operam& 6"essibilidade e segurança2 o quanto os 3abilitadores e seus resultados o são a"essveis e seguros& iclo de ida li
erenciamento de Desempenho dos Ma?ilitadores 6s organizaçUes esperam resultados positivos a partir da apli"ação e utilização dos 3abilitadores& Fara geren"iar o desempen3o dos 3abilitadores, as seguintes questUes terão de ser monitoradas e respondidas, "om base em m.tri"as2 • • • •

6s ne"essidades das partes interessadas oram atendidas Os obPetivos dos 3abilitadores oram al"ançados al" ançados O "i"lo de vida do 3abilitador . geren"iado 6s boas práti"as são apli"adas

6s duas primeiras questUes lidam "om o resultado real do 3abilitador e os indi"adores usados para medir se os o?@etios

$


rincApio 5. Distin4uir a 4oernança de 4est=o COBIT 5 torna "lara a distinção entre governança e gestão& Essas duas áreas abrangem dierentes tipos de atividades, eigem dierentes estruturas organiza"ionais e servem a prop4sitos dierentes& O ponto de vista do COBIT 5 sobre esta undamental distinção entre governança e gestão .2 oernança 3 4oernança 4arante -ue as necessidades, as condiçHes e as opçHes das partes interessadas se@am aaliadas a
:a governança, são dis"utidos e aprovados as polti"as e os planos de alinhamento estrat4ico estrat4ico #FE, FETI(, a implementação de pro"essos e os me"anismos de "ontrole que dire"ionarão a gestão da TI R5S& :a maioria das organizaçUes, a 4oernança  de responsa?ilidade do onselho de 3dministraç=o, 3dministraç=o, sob a liderança do presidente& ;esponsabilidades de governança espe"i"as podem ser delegadas a estruturas organiza"ionais espe"iais em um nvel apropriado, espe"ialmente em organizaçUes maiores e "ompleas&

est=o 3 4est=o consiste em plane@ar, construir, eCecutar e monitorar atiidades alinhadas com a direç=o estrat4ica esta?elecida pela 4oernança para atin4ir os o?@etios corporatios.

:a maioria das organizaçUes, a 4est=o  da responsa?ilidade da 4erGncia eCecutia , sob a liderança do "3ee diretor ee"utivo #CEO(&


8%


5. (D6L( D6 '6F6'[%$3 D6 '(6""(" O modelo de reer*n"ia de pro"esso do COBIT 5 . o su"essor do modelo de pro"esso do COBIT 9&$, e "onta ainda "om a integração dos modelos de pro"esso do ;is0 IT e al IT& O modelo su?diide os 7P processos de &$ em duas principais #reas de atiidade S 4oernança e 4est=o Y 4est=o Y divididas em domnios de pro"essos, "onorme igura $$&

Fi4ura 11  Nreas chae de 4oernança e 4est=o. Fonte: (I$& T 5, p. 7Q, U2012 $"33T 912

rocessos de oernança Cont.m 1 domAnio 3aliar, Diri4ir e onitorar  *valate0 $irect and +onitor 1 *$+ E "om 5 processos de 4oernança& 4oernança & Estes pro"essos ditam as responsabilidades da alta direção para a avaliação, dire"ionamento e monitoração do uso dos ativos de TI para a "riação de valor& Este domnio "obre a deinição de um $rameorde de governança, o estabele"imento das responsabilidades em termos de valor para a organização #e& "rit.rios de investimento(, atores de ris"o #e& apetite ao ris"o( e re"ursos #e& otimização de re"ursos(, al.m da transpar*n"ia da TI para as partes interessadas RKS&

rocessos de est=o Cont.m Q domAnios, domAnios, de a"ordo "om as áreas de responsabilidade de planePar, "riar, ee"utar e monitorar #FB;-( e oere"e "obertura ponta a ponta de TI& Estes domnios são uma evolução da estrutura de domnios e pro"essos do COBIT 9&$& Como pode ser visto, oi a"res"entado um verbo para "ada um dos domnios do COBIT 9&$& Os domnios são2 •

3linhar, lane@ar e (r4anizar  Align0 lan lan and Organise Organise 1 AO AO E O domnio 6FO diz respeito ) identii"ação de "omo a TI pode "ontribuir mel3or "om os obPetivos "orporativos& Fro"essos espe"i"os do domnio 6FO estão rela"ionados


8$


"om a estrat.gia e táti"as de TI, arquitetura "orporativa, inovação e geren"iamento de port4lio, orçamento, qualidade, ris"os e segurança& ontm 17 processos& processos& RKS •

onstruir, 3d-uirir e $mplementar  &ild0 Ac2ire and Implement 1 &AI E O domnio B6I torna a estrat.gia de TI "on"reta, identii"ando os requisitos para a TI e geren"iando o programa de investimentos em TI e proPetos asso"iados& Este domnio tamb.m endereça o geren"iamento da disponibilidade e "apa"idade mudança organiza"ional geren"iamento de mudanças #TI( a"eite e transição e geren"iamento de ativos, "oniguração e "on3e"imento& ontm 10 processos& processos& RKS

•

6ntre4ar, "eriços e "uporte  $eliver0 3ervice and 3pport 1 $33 E O domnio HH se reere ) entrega dos serviços de TI ne"essários para atender aos planos táti"os e estrat.gi"os& O domnio in"lui pro"essos para geren"iar operaçUes, requisiçUes de serviços e in"identes, assim "omo o geren"iamento de problemas, "ontinuidade, serviços de segurança e "ontrole de pro"essos de neg4"io& ontm Y processos& processos& RKS

•

onitorar, 3aliar e 3nalisar +onitor0 *valate and Assess 1 +*A E : 7 processos& processos& O domnio -E6 visa monitorar o desempen3o dos pro"essos de TI, avaliando a "onormidade "om os obPetivos e "om os requisitos eternos& ontm 7 processos.

6 igura $8 eibe os > pro"essos de governança e gestão do COBIT 5& Os detal3es de "ada pro"esso estão no CO&IT '- *nabling rocesses RS.


88


Fi4ura 12  odelo de 'e
:o COBIT 8 4na%ling 5rocesses , cada um dos 7P processos s=o desdo?rados em pr#ticas de 4oernança ou pr#ticas de 4est=o& 4est=o & Essas práti"as de governança e de gestão são equivalentes aos obPetivos de "ontrole do COBIT 9&$, práti"as de gestão do al IT e do ;is0 IT& :o 6neo III, III, en"ontra+se a relação de todos os pro"essos "om a respe"tiva des"rição de "ada um&


8>


6strutura de rocessos

Fara "ada pro"esso, as seguintes inormaçUes são in"ludas, de a"ordo "om o modelo de pro"esso anteriormente epli"ado2 

  









Identii"ação do pro"esso2  HH, -E6( e o nJmero do pro"esso  Dabel do Fro"esso2 o domnio #E-, 6FO, B6I, HH,  :ome do Fro"esso2 breve des"rição do pro"esso  Area do pro"esso2 governança ou gestão  :ome de domnio es"rição Y uma visão do que o pro"esso az e "omo o pro"esso al"ança seu prop4sito Frop4sito do Fro"esso Y des"rição geral do prop4sito do pro"esso Inormação de obPetivos em "as"ata Y reer*n"ia e des"rição dos obPetivos rela"ionados "om a TI que são essen"ialmente suportados pelo pro"esso e m.tri"as para medir o al"an"e dos obPetivos rela"ionados "om a TI& ObPetivos de pro"essos e m.tri"as Y um "onPunto de metas de pro"esso e um nJmero limitado de eemplo de m.tri"as& -atriz ;6CI Y uma sugestão de atribuição de nvel de responsabilidade por práti"as de pro"essos para dierentes unçUes e estruturas& es"rição detal3ada de práti"as de pro"esso Y para "ada práti"a2  Ttulo da Fráti"a e des"rição  Entradas e sadas da práti"a, "om indi"ação de origem e destino  6s atividades de pro"esso, detal3ando ainda mais as práti"as Muias rela"ionados #related guidance(2 asso"ia "ada pro"esso do COBIT a outros $rameor- s que podem ser usados para implementar o pro"esso&

Como eemplo, vePa o 6neo I que I que "ont.m a des"rição do pro"esso B6I%K2 Meren"iar -udanças&


89


Y. )$3 D6 $L66%&3*+( 6 IH6C6 oere"e um guia de implementação em sua publi"ação CO&IT ' Implementation , que . baseado em um "i"lo de vida de mel3oria "ontnua& :ão se destina a ser uma abordagem pres"ritiva, nem uma solução "ompleta, mas sim um guia para evitar os problemas mais "omuns en"ontrados, alavan"ar as boas práti"as e aPudar na geração de resultados esperados& O guia tamb.m . apoiado por um "onPunto de erramentas de implementação "ontendo uma variedade de re"ursos& O seu "onteJdo in"lui R9S2   

/erramentas de autoavaliação, medição e diagn4sti"o 6presentaçUes destinadas a vários pJbli"os 6rtigos rela"ionados epli"açUes adi"ionais

:o do"umento relativo ao $rameor- COBIT 5 . apresentada uma introdução ) implementação e ao "i"lo de vida de mel3oria "ontnua&

as como começar a implementaç=o O COBIT 5 apresenta uma abordagem de implementação baseada na mel3oria "ontnua, sendo ne"essário2  

 

Criar o ambiente apropriado para a implementação ;e"on3e"er os pontos de dor # ain ain oints ( tpi"os e eventos desen"adeadores # trigger events( 6dotar um "i"lo de vida de implementação Elaborar "aso de neg4"ios #business "ase( para a implementação e mel3oria da governança e gestão de TI&

6ntes da implementação "ada organização pre"isa desenoler seu prWprio road map ou plano de implementaç=o, implementaç=o , levando em "onsideração o seu "onteto, ou sePa, atores do ambiente interno e eterno espe"i"o da organização, tais "omo2 • • • • • • • • • •

[ti"a e "ultura Deis, regulamentos e polti"as apli"áveis -issão, visão e valores Folti"as e práti"as de governança Flano de neg4"ios # %usiness lan( e intençUes estrat.gi"as -odelo de un"ionamento e nvel de maturidade Estilo de gestão 6petite ao ris"o Capa"idades e re"ursos disponveis Fráti"as da indJstria

6 abordagem ideal ) governança e gestão "orporativa de TI será dierente para "ada organização e o "onteto deve ser entendido e "onsiderado a im de adotar e adaptar o COBIT "om ei"i*n"ia na implementação dos 3abilitadores de governança e gestão de TI da organização& "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com

85


riar o am?iente apropriado Em seguida, . importante ter um am?iente apropriado para se implementar a 4oernança corporatia de &$& &$ &

"omente se conse4ue implementar 4oernança corporatia de & $ se houer patrocAnio da alta direç=o da or4anizaç=o!

1ma das mel3ores maneiras de obter esse patro"nio e ormalizar essa implementação, orne"endo um me"anismo para os ee"utivos e para o "onsel3o de administração # %oard ( monitorar e dire"ionar a TI . estabele"er um omitG 6strat4ico e 6Cecutio de &$. Este &$. Este "omit* atua em nome do "onsel3o de administração #para o qual deve prestar "ontas( e . responsável por deinir "omo a TI . utilizada dentro da organização e por tomar de"isUes importantes rela"ionadas "om TI que aetam a organização& Este "omit* pre"isa ser presidido por um ee"utivo de neg4"io #idealmente um membro do %oard ( e terá "omo membros representantes das prin"ipais áreas de neg4"io da organização, al.m do CIO ou diretor de TI&

'econhecer os pontos de dor  pain pointsE e eentos desencadeadores  trigger eventsE Fara indi"ar a ne"essidade de uma mel3or governança e gestão de TI "orporativa "o rporativa podem eistir uma s.rie de atores denominados pontos de dor  pain pointsE ou eentos desencadeadores trigger events E que podem ser utilizados "omo o ponto de partida para ini"iativas de implementação& Fontos de dor são problemas que a organização está enrentando ou os pontos ra"os da organização& Eemplos de alguns dos pontos de dor "onorme identii"ados no CO&IT ' Implementation são2 •

•

•

• • • • • •

/rustração do neg4"io "om ini"iativas ra"assadas, elevando os "ustos de TI e uma per"epção de baio valor para o neg4"io In"identes signii"ativos rela"ionados "om ris"os de TI para o neg4"io, tais "omo perda de dados ou al3a em proPetos Froblemas "om ter"eirização da prestação de serviços, tais "omo o não "umprimento de orma "onsistente dos nveis de serviço a"ordados 6us*n"ia de "umprimento de requisitos legais ou "ontratuais ;esultados da auditoria sobre o ra"o desempen3o de TI /al3a de transpar*n"ia nos gastos de TI esperd"io de re"ursos em proPetos que não geram valor para o neg4"io Insatisação da equipe de TI ;elut^n"ia dos membros do "onsel3o ou diretores em se envolver "om a implementação&


8K


6l.m desses pontos de dor, outros eventos em ambiente interno e eterno da empresa podem sinalizar ou desen"adear açUes de governança e gestão "orporativa de TI, ou sePa, que az a TI atuar em resposta a esses eventos& Eemplos de evento de gatil3o # trigger events( são2 • • • • • • •

/usão, aquisição ou alienação -udança no mer"ado, na e"onomia ou na posição "ompetitiva -udança no modelo opera"ional de neg4"ios ou a"ordos de orne"imento :ovas eig*n"ias regulat4rias ou de "onormidade -udança signii"ativa de te"nologia ou mudança de paradigma 6uditoria eterna& 1ma nova estrat.gia ou de neg4"io&

6la?orar caso de ne4Wcios ?usiness caseE Fara garantir o su"esso de ini"iativas de implementação pelo uso do COBIT, a ne"essidade de agir deve ser amplamente re"on3e"ida e "omuni"ada dentro da organização& 3 iniciatia dee ser de propriedade de um patrocinador, enoler todas partes interessadas e ser ?aseada em um caso de ne4Wcio  bsiness caseE& Ini"ialmente, isto pode ser eito em alto nvel do ponto de vista estrat.gi"o, "omeçando "om uma "ompreensão "lara dos resultados de neg4"io desePados e progredindo para uma des"rição detal3ada das tareas "rti"as e metas, bem "omo pap.is+"3ave e responsabilidades& ( caso de ne4Wcio  uma
•

•

• •

• •

Os bene"ios almePados para a organização, seu alin3amento "om a estrat.gia de neg4"ios e os respe"tivos responsáveis pelo bene"io #que serão os responsáveis na organização pela sua garantia(& Isto pode basear+se em pontos ra"os e eventos desen"adeadores 6s mudanças de neg4"ios ne"essárias para "riar o valor previsto& Isso poderia ser baseado em an#lise de gap e deve indi"ar "laramente o que está in"ludo no es"opo e o que não está Os investimentos ne"essários para realizar as mudanças na governança e gestão de TI #"om base em estimativas de proPetos ne"essários( O "ustos opera"ionais de TI e do neg4"io O ris"o inerente nas ini"iativas, in"luindo quaisquer restriçUes ou depend*n"ias #"om base em desaios e atores de su"esso( Fap.is, responsabilidades e obrigaçUes rela"ionados "om a ini"iativa Como o investimento e a "riação de valor serão monitorados durante todo o "i"lo de vida e"onVmi"o, e "omo os indi"adores serão utilizados #"om base em obPetivos e m.tri"as(&


8


O "aso de neg4"io não . um do"umento estáti"o deinitivo, mas uma erramenta opera"ional e din^mi"a que deve ser "ontinuamente atualizada para reletir a atual visão do uturo para que uma visão da viabilidade do programa possa ser mantida&

iclo de Oida de $mplementaç=o 6 apli"ação de uma abordagem de "i"lo de vida de mel3oria "ontnua orne"e um m.todo para as organizaçUes enrentarem a "ompleidade e os desaios normalmente en"ontrados durante a implementação da governança "orporativa de TI& Eistem 7 componentes inter+rela"ionados componentes inter+rela"ionados neste "i"lo de vida2  



iclo de ida principal de melhoria contAnua  Este não . um proPeto isolado& apacitaç=o da mudança S aborda os aspe"tos "omportamentais e "ulturais, de orma a garantir que todas as partes interessadas estão preparadas e "omprometidas "om as mudanças ne"essárias para al"ançar um estado uturo desePado& est=o do pro4rama

O "i"lo de vida possui P 2

Fi4ura 17  Fases do iclo de Oida. Fonte: (I$& T 5, p. 7V, U2012 $"33T 912

Fase 1 uais s=o os direcionadores2 direcionadores2 "omeça "om o re"on3e"imento e a"eitação da ne"essidade de uma ini"iativa de implementação ou mel3oria& Identii"a os pontos de dor atuais e os dire"ionadores de mudança que "ria um desePo de mudança nos nveis de gestão "#ia $orado lmdorado.wordpress.com lmdorado%hotmail.com

8N


ee"utiva& 1m dire"ionador de mudança . um evento interno ou eterno, "ondição ou problema que serve "omo um estmulo para a mudança& Fase 2 S (nde estamos a4ora2 a4ora2 está o"ada em deinir o es"opo da ini"iativa de implementação ou mel3oria utilizando o mapeamento dos obPetivos "orporativos "om os obPetivos de TI para os pro"essos de TI asso"iados, "onsiderando "omo "enários de ris"o tamb.m poderiam desta"ar os prin"ipais pro"essos em que se deve "on"entrar& 1ma vez priorizados os obPetivos "orporativos, obPetivos de TI e pro"essos asso"iados mais importantes, . realizado uma avaliação do estado atual, e problemas ou dei"i*n"ias são identii"ados realizando+se uma avaliação de "apa"idade de pro"esso nos pro"essos "rti"os sele"ionados& 6 presença de pontos de dor espe"i"os tamb.m poderia "ontribuir para a seleção de pro"essos de TI em que se deve "on"entrar& Ini"iativas em larga es"ala devem ser estruturadas "omo várias iteraçUes do "i"lo de vida Y para qualquer ini"iativa de implementação superior a seis meses, 3á um ris"o de perda da din^mi"a, o"o e adesão das partes interessadas& Fase 7 S (nde -ueremos estar: um estar: um obPetivo de mel3oria . deinido e seguido por uma análise mais detal3ada para identii"ar as la"unas e as possveis soluçUes& evem ser priorizadas as ini"iativas que são mais á"eis de realizar e as sus"eptveis de produzir os maiores bene"ios& Fase Q S ( -ue precisa ser

8


P. (D6L( D6 33$D3D6 D6 '(6""(" 1suários do COBIT 9&$ estão amiliarizados "om o modelo de maturidade de pro"esso in"ludo nesse $rameor- & Este modelo . utilizado para medir o nvel de maturidade atual #_as+ is]( dos pro"essos rela"ionados a TI de uma organização, para deinir o nvel de maturidade desePado #_to+be]( e para determinar o ga entre eles e "omo mel3orar o pro"esso para al"ançar o nvel de maturidade desePado R9S& O COBIT 5 apresenta um novo modelo para a avaliação da capacidade dos capacidade dos pro"essos de TI da organização baseado na norma IHOQIEC $55%9 de Engen3aria de Hot'are #norma de avaliação de pro"essos(& Este modelo vai al"ançar os mesmos obPetivos gerais de avaliação do pro"esso e suporte a mel3oria de pro"essos, ou sePa, ele propor"ionará meios para medir o desempen3o de qualquer um dos pro"essos de governança #baseados em E-( ou pro"essos de gestão #baseados em FB;-( e permitirá a identii"ação das áreas que pre"isam ser mel3oradas& Os detal3es da abordagem de avaliação de "apa"idade COBIT 5 estão "ontidos na publi"ação CO&IT 4 rocess Assessment +odel 5A+6- 7sing CO&IT '. Embora esta abordagem orneça inormaçUes valiosas sobre o estado dos pro"essos, ale lem?rar -ue processos s=o apenas um dos sete ha?ilitadores de 4oernança e 4est=o& 4est=o & For "onsequ*n"ia, as avaliaçUes de pro"esso não irão orne"er um quadro "ompleto sobre o estado de governança de uma organização& Fara isso, os outros ha?ilitadores precisam ser aaliados tam?m!

ara se o?ter um -uadro completo so?re o estado de 4oernança de uma or4anizaç=o, todos os ha?ilitadores precisam ser aaliados!

Di
•

•

Em primeiro lugar, uma avaliação deverá ser realizada para "onirmar se os obPetivos de "ontrole do pro"esso oram atingidos Em seguida, o modelo de maturidade que eiste para "ada pro"esso pode ser usado para obter o nvel de maturidade do pro"esso 6l.m disso, o modelo de maturidade gen.ri"o do COBIT 9&$ orne"e seis atributos distintos apli"áveis para "ada pro"esso e que aPudam na obtenção de uma visão mais detal3ada do nvel de maturidade dos pro"essos


>%

Apostila de CO&IT ' v(.) •

Controles de pro"essos são obPetivos de "ontrole gen.ri"os que tamb.m pre"isam ser analisados quando uma avaliação do pro"esso or realizada& Controles de pro"essos se sobrepUem par"ialmente "om os atributos gen.ri"os do modelo de maturidade&

Fi4ura 1Q  odelo de aturidade do (I$& Q.1. Fonte: : (I$& T 5, p. Q7, U2012 $"33T 912

odelo de apacidade (I$& 5 O modelo de "apa"idade de pro"essos do COBIT 5 . eibido na igura $5&

Fi4ura 15  odelo de apacidade de rocessos. Fonte: (I$& T 5, p. QQ, U2012 $"33T 912


>$


%Aeis de capacidade O modelo "ont.m Y nAeis de capacidade, capacidade, em uma es"ala de % a 5, por.m "om nome e signii"ado bem dierentes dos nveis de maturidade do COBIT 9&$& ada nAel de capacidade de processo possui um con@unto de atri?utos de processo -ue deem ser aaliados para o alcance do nAel em -uest=o& -uest=o & Os nveis de "apa"idade são2 %Ael 0  rocesso $ncompleto: $ncompleto: o pro"esso não oi implementado ou não atingiu seu obPetivo& :esse nvel, 3á pou"a ou nen3uma evid*n"ia de realização sistemáti"a da inalidade do pro"esso& %Ael 1  rocesso 6Cecutado2 6Cecutado 2 o pro"esso está implementado e atinge seu obPetivo& Fossui o atributo F6$&$ Y esempen3o do Fro"esso #Fro"ess Ferorman"e(& %Ael 2  rocesso erenciado2 erenciado 2 o pro"esso realizado anteriormente des"rito . implementado de orma geren"iada #planePado, monitorado e aPustado( e seus produtos de trabal3o estão devidamente estabele"idos, "ontrolados e mantidos& Fossui os atributos F68&$ Y Meren"iamento de esempen3o #Ferorman"e -anagement( e F68&8 Y Meren"iamento de Froduto de Trabal3o #òr0 Frodu"t -anagement(& %Ael 7  rocesso 6sta?elecido2 6sta?elecido 2 o pro"esso geren"iado anteriormente des"rito . implementado usando um pro"esso deinido que . "apaz de al"ançar os seus resultados de pro"esso& Fossui os atributos F6>&$ Y einição de Fro"esso #Fro"ess einition( e F6>&8 Y Implementação de Fro"esso #Fro"ess eploment(& %Ael Q  rocesso reisAel2 reisAel 2 o pro"esso estabele"ido anteriormente des"rito opera dentro de limites deinidos para al"ançar seus resultados de pro"esso& Fossui os atributos F69&$ Y Meren"iamento do Fro"esso #Fro"ess -anagement( e F69&8 Y Controle do Fro"esso #Fro"ess Control(& %Ael 5  rocesso (timizado2 (timizado 2 o pro"esso previsvel anteriormente des"rito . "ontinuamente mel3orado para atender aos obPetivos "orporativos& Fossui os atributos F65&$ Y Inovação de Fro"esso #Fro"ess Innovation( e F65&8 Y Otimização de Fro"esso #Fro"ess Optimization(&

ada nAel de capacidade sW pode ser alcançado -uando o nAel in
For eemplo, uma "apa"idade de pro"esso nvel > #Fro"esso Estabele"ido(, eige que os atributos einição de Fro"essos e Implementação do Fro"esso sePam amplamente realizados, al.m da plena realização dos atributos do nvel de "apa"idade 8 #F ro"esso Meren"iado(&


>8


3tri?utos de processo 6tributos de pro"esso #F6 Y Fro"ess 6ttributes( determinam se um pro"esso al"ançou um determinado nvel de "apa"idade, medindo um aspe"to parti"ular da "apa"idade de um pro"esso& ada nAel de capacidade de processo possui um con@unto de atri?utos de processo -ue deem ser aaliados para o alcance do nAel em -uest=o& -uest=o & Os  atributos de pro"esso são2         

F6$&$ Y esempen3o do Fro"esso F ro"esso #Fro"ess Ferorman"e( F68&$ Y Mestão do esempen3o #Ferorman"e -anagement( F68&8 Y Mestão dos Frodutos de Trabal3o #òr0 Frodu"t -anagement( F6>&$ Y einição do Fro"esso #Fro"ess einition( F6>&8 Y Implementação do Fro"esso #Fro"ess eploment( F69&$ Y Mestão do Fro"esso #Fro"ess -anagement( F69&8 Y Controle do Fro"esso #Fro"ess Control( F65&$ Y Inovação do Fro"esso #Fro"ess Innovation( F65&8 Y Otimização do Fro"esso #Fro"ess Optimization(

ale desta"ar que o nvel $ apresenta um m.todo de avaliação dierente dos demais& O 6tributo F6 $&$ Y Ee"ução do Fro"esso utiliza práti"as e produtos de trabal3o #arteatos asso"iados ) ee"ução do pro"esso( espe"i"os de "ada pro"esso, enquanto os demais atributos se baseiam em práti"as e produtos de trabal3o gen.ri"os apli"áveis a todos os pro"essos R$>S& 6 seguir são apresentadas as des"riçUes e os resultados esperados para "ada atributo R$>SR$9S& 31.1 S Desempenho do rocesso2 rocesso2 avalia se o pro"esso atinge o seu obPetivo& [ avaliado se as atividades bási"as e os produtos de trabal3o do pro"esso são ee"utados de alguma orma, não sendo ne"essária a ormalização e do"umentação dos mesmos& 32.1 S est=o do Desempenho: avalia se o desempen3o do pro"esso . geren"iado& Como resultado da plena realização desse atributo2  







os obPetivos de desempen3o do pro"esso são deinidos o desempen3o do pro"esso . planePado, monitorado e aPustado para atingir o planePado responsabilidades para ee"ução do pro"esso são deinidas, atribudas e "omuni"adas re"ursos e inormaçUes ne"essárias para ee"utar o pro"esso são identii"ados, estão disponveis, alo"ados e utilizados intera"e entre as partes envolvidas no pro"esso são geren"iadas para garantir a ei"á"ia na "omuni"ação e "lareza na deinição de responsabilidades&

32.2 S est=o dos rodutos de &ra?alho: avalia se os produtos de trabal3o produzido pelo pro"esso são apropriadamente geren"iados& Como resultado da plena realização desse atributo2 

requisitos para os produtos de trabal3o do pro"esso são deinidos


>>

Apostila de CO&IT ' v(.) 

 

requisitos para do"umentação e "ontrole dos produtos de trabal3o são deinidos produtos de trabal3o do pro"esso são devidamente identii"ados e "ontrolados produtos de trabal3o do pro"esso são revisados de a"ordo "om os "rit.rios deinidos e aPustados para atender aos requisitos&

37.1 S De








um pro"esso padrão, in"luindo orientaçUes para adaptação, . deinido e des"reve os elementos undamentais que devem ser in"orporados a um pro"esso deinido a sequ*n"ia e interação do pro"esso padrão "om outros pro"essos são determinadas pap.is e "ompet*n"ias ne"essárias para a realização de um pro"esso são identii"ados "omo parte do pro"esso padrão inraestrutura ne"essária e ambiente de trabal3o para a realização do pro"esso são identii"ados m.todos para monitorar a ei"á"ia e adequação do pro"esso são determinados&

37.2 S $mplementaç=o do rocesso: bus"a avaliar se um pro"esso padrão . ei"ientemente implantado "omo um pro"esso deinido& Como resultado da plena realização desse atributo2 











um pro"esso deinido . implantado baseado na es"ol3a e adequação de um pro"esso padrão pap.is e responsabilidades para ee"utar o pro"esso deinido são alo"ados e "omuni"ados atores do pro"esso deinido possuem eperi*n"ia e são adequadamente treinados re"ursos e inormaçUes ne"essárias para a ee"ução do pro"esso deinido estão disponveis, alo"ados e são utilizados inraestrutura e ambientes ne"essários para a ee"ução do pro"esso deinido estão disponveis, são geren"iados e mantidos os dados apropriados são "oletados e analisados para entendimento do "omportamento, demonstração da eetividade e avaliação de mel3orias "ontnuas do pro"esso deinido&

3Q.1 S est=o do rocesso: bus"a rocesso: bus"a avaliar se resultados de medição de desempen3o do pro"esso são utilizados para garantir o atingimento de obPetivos do pro"esso, em suporte a metas de neg4"io& Como resultado da plena realização desse atributo2 





ne"essidades de inormação do pro"esso são deinidas de a"ordo "om os obPetivos de neg4"io os obPetivos de medição do pro"esso são derivados da ne"essidade de inormação do mesmo obPetivos quantitativos para o desempen3o do pro"esso são estabele"idos de a"ordo "om as ne"essidades do neg4"io


>9

Apostila de CO&IT ' v(.) 



medidas e requ*n"ia de medição são identii"adas e deinidas de a"ordo "om os obPetivos de medição do pro"esso e os obPetivos quantitativos para o desempen3o do pro"esso os resultados de medição são "oletados, analisados e reportados a im de aval iar e os obPetivos quantitativos do pro"esso são atingidos&

3Q.2 S ontrole do rocesso: bus"a avaliar se o pro"esso . quantitativamente geren"iado, de modo que sePa estável e previsvel dentro de limites preestabele"idos& Como resultado da plena realização desse atributo2       

t."ni"as de "ontrole e análise são deinidas e apli"adas limites de variação do pro"esso são deinidos para uma perorman"e normal do pro"esso os dados de medição são analisados para "ausas espe"iais de variação açUes "orretivas são tomadas para endereçar as variaçUes observadas e os limites de "ontrole são reestabele"ido #se ne"essário( de a"ordo "om açUes "orretivas&

35.1 S $noaç=o do rocesso: rocesso: bus"a avaliar se mudanças para o pro"esso são identii"adas atrav.s de análises de "ausas "omuns de variação no desempen3o e da investigação de abordagens inovadoras para a deinição e implementação do pro"esso& Como resultado da plena realização desse atributo2 









obPetivos de mel3oria do pro"esso são deinidos de a"ordo "om os obPetivos de neg4"io dados apropriados são analisados para a identii"ação de "ausas "omuns )s variaçUes do pro"esso dados apropriados são analisados para identii"ar oportunidades para mel3ores práti"as e inovação oportunidades de mel3orias derivadas de novas te"nologias e "on"eitos de pro"esso são identii"adas uma estrat.gia de implementação . estabele"ida para atingimento dos obPetivos de mel3oria&

35.2 S (timizaç=o do rocesso: bus"a avaliar se mudanças em deiniçUes, geren"iamento e desempen3o do pro"esso "ausaram impa"tos eetivos no atingimento do obPetivo de mel3orias& Como resultado da plena realização desse atributo2 





os impa"tos de todas as mudanças propostas são avaliados rente aos obPetivos do pro"esso deinido e padrão a implementação de todas as mudanças a"ordadas . geren"iada para garantir que qualquer interrupção no desempen3o do pro"esso . entendida e "orrigida "om base no desempen3o atual, a ei"á"ia da mudança no pro"esso . avaliada em unção dos requisitos de produtos deinidos e obPetivos de pro"esso para determinar se os resultados são devidos )s "ausas identii"adas&


>5


Cada atributo de pro"esso . avaliado "om base na seguinte es"ala2 6scala % n=o alcançadoE  parcialmente alcançadoE L lar4amente alcançadoE

F totalmente alcançadoE

Descriç=o @á pou"a ou nen3uma evid*n"ia de realização do atributo de pro"esso no pro"esso avaliado @á alguma evid*n"ia de realização do atributo de pro"esso no pro"esso avaliado& 6lguns aspe"tos da realização do atributo podem ser imprevisveis& @á evid*n"ias de uma realização signii"ativa do atributo de pro"esso no pro"esso avaliado& 6lgumas raquezas rela"ionadas a este atributo podem eistir no pro"esso avaliado& @á evid*n"ias de uma realização "ompleta do atributo de pro"esso no pro"esso avaliado& :ão 3á dei"i*n"ias signii"ativas asso"iadas a este atributo no pro"esso avaliado

] de realizaç=o % a $5 $5 a 5%

5% a N5

N5 a $%%

&a?ela 2 6scala de aaliaç=o d os atri?utos de processo. Fonte: 917

( alcance de um determinado nAel de capacidade re-uer -ue os atri?utos para este nAel este@am totalmente ou lar4amente F ou LE alcançados e os atri?utos para todos os nAeis inS

Fi4ura 1Y 3aliaç=o dos atri?utos por nAel de capacidade. Fonte: 915


>K


Di
•

•

•

Embora sePa tentador "omparar os resultados da avaliação entre COBIT 9&$ e COBIT 5 por "ausa da aparente semel3ança "om a es"ala de nJmeros e palavras usadas para des"rever estas, tal "omparação . di"il por "ausa da dierenças no es"opo, no o"o e na intenção, "omo pode ser visto na tabela $& Em geral, a pontuaç=o ser# menor com o modelo de capacidade de processo do (I$& 5& 5& :o modelo de maturidade do COBIT 9&$, um pro"esso pode atingir nvel $ ou 8, sem al"ançar plenamente todos os obPetivos do pro"esso  no COBIT 5, isso resultará em uma pontuação mais baia de % ou $& %=o eCiste mais um modelo de maturidade especA
( modelo de maturidade do (I$& Q.1 n=o  considerado compatAel com o modelo da $"(/$6 1550Q por-ue os mtodos usam di

>


%Aeis de aturidade (I$& Q.1E C %Aeis de apacidade de rocesso (I$& 5E (I$& Q.1 (I$& 5 com ?ase na $"(/$6 1550QE %Ael 5: rocesso (timizado + (timizado + pro"essos são %Ael 5: rocesso em (timizaç=o + (timizaç=o + o nvel reinados ao nvel de boa práti"a, baseados nos 9 Fro"esso Frevisvel . "ontinuamente resultados de mel3oria "ontnua e modelagem mo delagem mel3orado para atender obPetivos da maturidade "om outras organizaçUes& 6 TI . "orporativos atuais ou previstos& utilizada de orma integrada para automatizar o luo de trabal3o, orne"endo erramentas para mel3orar a qualidade e ei"á"ia, azendo "om que a organização se adapte rapidamente& %Ael Q: erenciado e ensur#el + ensur#el + %Ael Q: rocesso reisAel + reisAel + o nvel > geren"iamento monitora e mede "onormidade Fro"esso Estabele"ido agora opera dentro "om pro"edimentos e toma açUes onde de limites deinidos para al"ançar seus pro"essos pare"em não un"ionar eetivamente& resultados de pro"esso& Fro"essos estão sob mel3oria "onstante e orne"em boa práti"a& 6utomação e erramentas são usadas de orma limitada ou ragmentada& %Ael 7: rocesso De
%Ael 7: rocesso 6sta?elecido + 6sta?elecido + o nvel 8 Fro"esso Meren"iado . agora implementado usando um pro"esso deinido que . "apaz de al"ançar seus resulados de pro"esso&

%Ael 2: rocesso erenciado + erenciado + o nvel $ Fro"esso ;ealizado . agora implementado de orma geren"iada #planePado, monitorado e aPustado( e seus produtos de trabal3o são estabele"idos, "ontrolados e mantidos apropriadamente& %Ael 1: rocesso 'ealizado 'ealizado + o pro"esso implementado al"ança seu prop4sito de pro"esso&

%Ael 22 22 ;epetvel mas Intuitivo + pro"essos são desenvolvidos de orma que pro"edimentos similiares são seguidos por pessoas dierentes que estão ee"utando a mesma tarea& :ão 3á treinamento ou "omuni"ação ormal de pro"edimentos padronizados e a responsabilidade . deiada a "argo do indivduo& @á um alto grau de "oniança no "on3e"imento (?s.:  possAel -ue al4um processo dos indivduos e, portanto, erros podem o"orrer& classi

>N


Iene








-aior *nase no pro"esso que está sendo realizado para "onirmar que está eetivamente al"ançando seus obPetivos e os resultados esperados& Himplii"ação do "onteJdo por meio da eliminação da dupli"ação, porque a avaliação do modelo de maturidade do COBIT 9&$ eigia o uso de diversos "omponentes espe"i"os, in"lusive o modelo de maturidade gen.ri"o, modelos de maturidades do pro"esso, obPetivos de "ontrole e "ontroles de pro"esso para apoiar a avaliação do pro"esso& -aior "oniabilidade e repetitividade das atividades e análises da avaliação da "apa"idade do pro"esso, reduzindo debates e desentendimentos entre as partes interessadas em relação aos resultados da avaliação& -aior uso dos resultados da avaliação da "apa"idade do pro"esso, visto que o novo modelo estabele"e uma base para a realização de avaliaçUes mais rigorosas e ormais, tanto para inalidades internas "omo eternas em poten"ial& Conormidade "om um padrão de avaliação de pro"esso geralmente a"eito e, portanto, um orte apoio ) abordagem de avaliação do pro"esso no mer"ado&


>


8. '$%$3$" D$F6'6%*3" D( (I$& 5 ( '6L3*+( 3( (I$& Q.1 O COBIT 5 troue uma s.rie de mudanças em relação ) Jltima versão, o CobiT 9&$& 6 tabela abaio apresenta as prin"ipais dierenças entre as versUes RSR$KS2

(O6'%3%* 3 6 6"&+(

(I$& Q.1 (I$& 5 :ão dieren"ia "laramente @á uma dieren"iação "lara entre domnios de Movernança e de domnios de Movernança e de Mestão Mestão de TI de TI

$%&6'3*+( D(" (D6L("

/rame'or0s "omo COBIT 9&$, ;al Integra dierentes rame'or0s e IT! 9is- IT e ITI* são tratados normas de Movernança de TI em um separadamente Jni"o modelo

'$%R$("

:ão se baseia nos prin"pios de :ovos prin"pios de governança Movernança de TI #MEIT( "onorme "orporativa de TI2 previsto nos rame'or0s ;al IT e $& 6tender as ne"essidades dos sta0e3olders #partes interessadas( 9is- IT 8& Cobrir a organização de ponta a ponta >& 6pli"ar um rame'or0 #modelo( Jni"o e integrado 9& Fermitir uma abordagem 3olsti"a 5& istinguir a governança da gestão

M3I$L$&3D(' 6"

Esse "on"eito . diundido na Mrande enoque nos 3abilitadores& estrutura do do"umento, não Hão apresentados  "ategorias2 possuindo um t4pi"o espe"i"o $&Frin"pios, polti"as e rame'or0s que o aborde de orma individual& 8&Fro"essos >&Estruturas organiza"ionais 9&Cultura, .ti"a e "omportamento 5& Inormação K&Herviços, inraestrutura e apli"açUes &Fessoas, 3abilidades e "ompet*n"ias

(D6L( D6 -odelo de pro"essos "ontendo 9 '(6""(" domnios de gestão que "ontemplam >9 pro"essos

-odelo de pro"essos apresenta $ domnio de Movernança #"om 5 pro"essos( e 9 domnios de gestão #"om >8 pro"essos( que "ontemplam > pro"essos, "obrindo atividades "orporativas de ponta a ponta, ou sePa, das áreas de neg4"io e unçUes de TI&

(IJ6&$O(" 6 6presenta "as"ata de obPetivos, &'$3" desdobrando os obPetivos de neg4"io em obPetivos de TI, que por sua vez eram desdobrados em obPetivos de pro"essos e estes em obPetivos de atividades& 6presenta alguns pou"os eemplos de m.tri"as para os obPetivos de TI,

COBIT 5 segue o mesmo "on"eito de obPetivos m.tri"as "omo no COBIT 9&$, al IT e ;is0IT& Os obPetivos de neg4"ios são desdobrados em obPetivos de TI, e estes em obPetivos de 3abilitadores que reletem uma visão de nvel "orporativo& 6presenta maior nJmero de eemplos


9%


obPetivos de pro"esso e obPetivos de m.tri"as para os obPetivos de TI e de atividades& obPetivos de pro"essos& 6pesar de serem apresentadas m.tri"as em um nvel a menos do que na versão anterior #não possui obPetivos de atividades(, essas inormaçUes são apresentadas de maneira mais estruturada& 6%&'3D3" 6 6presenta entradas e sadas 6presenta entradas e sadas para "ada "3RD3" somente para os pro"essos& práti"a de geren"iamento& 'N&$3" 6 @á obPetivos e práti"as de "ontrole& 3&$O$D3D6"

6s práti"as de gestão e de governança do são equivalentes aos obPetivos de "ontrole do COBIT 9&$ e dos pro"essos de al IT e ;is0 IT& 6s atividades do COBIT 5 são equivalentes )s práti"as de "ontrole do COBIT 9&$ e das práti"as do al IT e ;is0 IT&

3&'$_ '3$

6presenta nJmero reduzido de pap.is para os pro"essos de TI&

/orne"e uma matriz ;6CI es"revendo pap.is e responsabilidades de orma similar ao COBIT 9&$, por.m oere"e uma gama mais "ompleta, detal3ada e mais "lara dos pap.is para "ada práti"a de geren"iamento, permitindo uma mel3or deinição das responsabilidades dos pap.is ou nvel de envolvimento na "on"epção e implementação de pro"essos&

(D6L( D6 -odelo de maturidade de 33$D3D6 pro"essos baseado no C-#Capa"it -aturit -odel(& :o modelo de maturidade, os atributos utilizados para avaliação estão presentes em todos os nveis e evoluem de a"ordo "om a maturidade do pro"esso&

COBIT 5 des"ontinua o modelo de maturidade& -odelo de "apa"idade de pro"essos baseado na norma IHOQIEC $55%9& :o modelo de "apa"idade, os atributos são gen.ri"os e e"lusivos para "ada nvel, ou sePa, "ada nvel de "apa"idade será determinado por um ou dois atributos espe"i"os& O modelo de maturidade do COBIT 9&$ não . "onsiderado "ompatvel "om o modelo da IHOQIEC $55%9 porque os m.todos usam dierentes atributos e es"alas de medição&

&a?ela Q Di

9$


3%6`( $: ascata de (?@etios do CO&IT ' 6 Cascata de Ob/etivos do CO&IT '0 de a"ordo "om a igura $, tem a inalidade de desdobrar R9S2   

dire"ionadores #drivers( e as ne"essidades das partes interessadas em obPetivos "orporativos obPetivos "orporativos em obPetivos de TI obPetivos de TI em obPetivos para os 3abilitadores&

Fi4ura 1P  ascata de (?@etios. Fonte: (I$& T 5, p. 20, U2012 $"33T 912

Esse desdobramento . des"rito nos quatro passos a seguir2


98


asso 1: Direcionadores de artes $nteressadas "taKeholdersE $n
6s ne"essidades das partes interessadas são inluen"iadas por um nJmero de dire"ionadores #ou motivadores(, "omo por eemplo, mudanças na estrat.gia do neg4"io, mudança no ambiente do neg4"io #entrada de novos "on"orrentes(, mudanças nas leis e regulamentos vigentes e novas te"nologias& Tomando a legislação "omo eemplo de dire"ionador, tem+se, no Brasil, a Dei nc $8&K5, mais "on3e"ida "omo o -ar"o Civil da Internet, que estabele"e prin"pios, garantias, direitos e deveres para o uso da Internet no Brasil& 1m dos temas que a lei trata . a neutralidade da rede, em que o \responsável pela transmissão, "omutação ou roteamento tem o dever de tratar de orma isonVmi"a quaisquer pa"otes de dados, sem distinção por "onteJdo, origem e destino, serviço, terminal ou apli"ação& R$%S\ Isso visa garantir que todos os "onteJdos e usuários sePam tratados da mesma maneira& Como eemplo práti"o, as operadoras de tele"omuni"açUes, que proveem o a"esso ) Internet, podem ter uma oerta diversii"ada de banda, mas não podem bloquear ou limitar a velo"idade de tráego, dentro do pa"ote de banda "ontratado, para determinados apli"ativos, sites ou "onteJdos na rede R$$S& 6l.m disso, a lei determina que as operadoras deverão garantir a qualidade "ontratada da "oneão ) internet& Essa lei pode se tornar um dire"ionador de partes interessadas de uma operadora de tele"omuni"açUes, inluen"iando as ne"essidades destas2 as dos usuários de internet #parte interessada eterna(, que agora tem a garantia de que a qualidade de sua "oneão será "onorme "ontratado, e "aso não sePa, poderá re"lamar seus direitos, e as do Consel3o de 6dministração da operadora de tele"omuni"açUes #parte interessada interna(, que pre"isa se preo"upar em adaptar o neg4"io para atender a essa obrigação #Pá que deverá modii"ar a oerta de seus serviços(, pois "aso não "umpram, poderá o"orrer a perda de "lientes, impa"tando na "riação de valor para o neg4"io&

asso 2: %ecessidades das artes $nteressadas "taKeholdersE desdo?radas em (?@etios orporatios

6s ne"essidades das partes interessadas podem ser rela"ionadas a um "onPunto de obPetivos "orporativos gen.ri"os deinidos pelo COBIT 5& O do"umento do $rameordeine obPetivos "orporativos gen.ri"os que podem ser desenvolvidos usando as dimensUes do #BHC( e representam uma lista de obPetivos "omumente usados por uma Balanced Scoredcard #BHC( organização& Embora essa lista não sePa eaustiva, a maioria dos obPetivos espe"i"os de uma organização pode ser mapeada para um ou mais obPetivos "orporativos gen.ri"os& O mapeamento das ne"essidades das partes interessadas, em ormato de perguntas, em obPetivos "orporativos . apresentado no ap*ndi"e  do do"umento do $rameor- &


9>


6 lista de $ obPetivos "orporativos gen.ri"os deinidos pelo COBIT 5, "omo mostrado na igura $N, in"luem as seguintes inormaçUes2 • • •

6 dimensão BHC ao qual o obPetivo "orporativo perten"e ObPetivos "orporativos O rela"ionamento do obPetivo "orporativo "om os tr*s obPetivos prin"ipais de governança Y realização de bene"ios, otimização de ris"o e otimização de re"ursos #F indi"a rela"ionamento primário e H rela"ionamento se"undário(&

Fi4ura 18  (?@etios corporatios. Fonte: (I$& T 5, p. 21, U2012 $"33T 912


99


asso 7: (?@etios corporatios desdo?rados em (?@etios de &$

O al"an"e dos obPetivos "orporativos eige uma s.rie de resultados rela"ionados a TI 5, que são representados pelos obPetivos rela"ionados a TI& COBIT 5 deine $ obPetivos rela"ionados a TI, , "onorme apresentado na igura $2

Fi4ura 1V  (?@etios de &$. Fonte: (I$& T 5, p. 21, U2012 $"33T 912

6 tabela de mapeamento dos obPetivos "orporativos em obPetivos de TI está apresentada no 6p*ndi"e B do do"umento do rame'or0, e demonstra "omo "ada obPetivo "orporativo . apoiado por diversos obPetivos de TI&

asso Q: (?@etios de &$ desdo?rados em (?@etios de Ma?ilitadores

6tingir os obPetivos rela"ionados a TI requer a apli"ação e uso bem+su"edidos de um "onPunto de 3abilitadores& @abilitadores in"luem2    

Frin"pios, polti"as e $rameor- s Fro"essos Estruturas organiza"ionais Cultura, .ti"a e "omportamento

5

Os resultados de TI não são obviamente o Jni"o bene"io intermediário ne"essário para a "onse"ução dos obPetivos "orporativos& Todas as demais áreas un"ionais de uma organização, tais "omo inanças e mar0eting, tamb.m "ontribuem para a "onse"ução dos obPetivos "orporativos, mas no "onteto do COBIT 5 somente as atividades e os obPetivos de TI são "onsiderados


95

Apostila de CO&IT ' v(.)   

Inormação Herviços, inraestrutura e apli"açUes Fessoas, 3abilidades e "ompet*n"ias

Fara "ada 3abilitador, um "onPunto de obPetivos espe"i"os e relevantes pode ser deinido para suportar os obPetivos rela"ionados a TI& Fara o 3abilitador Fro"essos #igura 8%(, por eemplo, os obPetivos e suas m.tri"as são orne"idos nas des"riçUes detal3adas de "ada pro"esso& O do"umento do COBIT 5, em seu 6p*ndi"e C, "ont.m o mapeamento entre os obPetivos de TI e os pro"essos pertinentes, que por sua vez "ont*m os respe"tivos obPetivos do pro"esso&

)sando a ascata de (?@etios do (I$& 5 com 3tenç=o

3 cascata de o?@etios  com suas ta?elas de mapeamento entre os o?@etios corporatios e os o?@etios de &$ e entre os o?@etios de & $ e os ha?ilitadores do (I$& 5 inclusie processosE  n=o contm a erdade uniersal, e os usu#rios n=o deem tentar us#lo de uma
@á várias razUes para isso, entre as quais2 





Cada organização tem prioridades dierentes em seus obPetivos, e essas prioridades podem mudar "om o tempo& 6s tabelas de mapeamento não azem distinção entre o porte da organização eQou o setor em que ela está inserida& Elas representam uma esp."ie de denominador "omum de "omo, no geral, os dierentes nveis de obPetivos se inter+rela"ionam& Os indi"adores usados no mapeamento "onsideram dois nveis de import^n"ia ou relev^n"ia, sugerindo a eist*n"ia de dis"retos nveis de relev^n"ia, "onsiderando que, de ato, o mapeamento será pare"ido "om uma "onstante "om vários nveis de "orrespond*n"ia& "o rrespond*n"ia&


9K


3%6`( $$: 6Cemplo de Ma?ilitador: M a?ilitador: rocessos

Fi4ura 20  Ma?ilitador rocessos. Fonte: (I$& T 5, p. P7, U2012 $"33T 912

artes $nteressadas2 $nteressadas2 "omo pode ser visto na igura 8%, partes interessadas do pro"esso in"luem todos os atores do pro"esso, ou sePa, todas as partes que são responsáveis, pra o qual são prestadas "ontas, "onsultadas e inormadas #;6CI( para as atividades do pro"esso& For isso, a matriz ;6CI para "ada pro"esso des"rita no COBIT 8 4na%ling 5rocess pode ser utilizada& (?@etios2 (?@etios2 para "ada pro"esso, os obPetivos adequados e m.tri"as rela"ionadas pre"isam ser deinidos& For eemplo, para o pro"esso de 6FO%N Meren"iar rela"ionamentos pode+se en"ontrar um "onPunto de obPetivos de pro"esso e m.tri"as, tais "omo2 •

•

ObPetivo2 estrat.gias de neg4"ios, planos e requisitos são bem "ompreendidos, do"umentados e aprovados& -.tri"a2 Fer"entual de programas alin3ados "om os requisitos de neg4"io

iclo de ida2 ida 2 "ada pro"esso tem um "i"lo de vida, ou sePa, ele tem que ser "riado, ee"utado e monitorado e aPustado quando ne"essário& Fara se deinir um pro"esso, pode+se usar vários elementos do COBIT 8 4na%ling 5rocess, ou sePa, deinir responsabilidades e dividir o pro"esso em práti"as e atividades, e deinir produtos de trabal3o do pro"esso #entradas e sadas(& :uma ase posterior, o pro"esso pre"isa ser mais robusto e ei"iente, e para essa inalidade . ne"essário elevar o nvel de "apa"idade do pro"esso& Ioas pr#ticas2 pr#ticas2 COBIT 8 4na%ling 5rocess des"reve para "ada pro"esso as boas práti"as em termos de práti"as de pro"esso, atividades e atividades detal3adas&


9


3%6`( $$$: DomAnios e rocessos D(R%$( 3O3L$3', D$'$$' 6 (%$&('3' 6DE 3aliar, Diri4ir e onitorar

Marantir a einição e E-%$ -anutenção do 1rameorde de Movernança

E-%8

E-%>

E-%9

E-%5

6nalisa e arti"ula os requisitos para a governança "orporativa de TI, "olo"a em práti"a e mant.m estruturas, prin"pios, pro"essos e práti"as, "om "lareza de responsabilidades e autoridade para al"ançar a missão, as metas e os obPetivos da organização&

Marantir a ;ealização de Bene"ios

Otimiza a "ontribuição de valor para o neg4"io a partir dos pro"essos de neg4"ios, serviços e ativos de TI resultantes de investimentos realizados na TI a "ustos a"eitáveis&

Marantir a Otimização de ;is"os

6ssegura que o apetite e toler^n"ia a ris"os da organização são "ompreendidos, arti"ulados e "omuni"ados e que o ris"o ao valor da organização rela"ionado ao uso de TI . identii"ado e "ontrolado&

Marantir a Otimização de ;e"ursos

6ssegura que as "apa"idades adequadas e sui"ientes rela"ionadas ) TI #pessoas, pro"essos e te"nologia( estão disponveis para apoiar os obPetivos da organização de orma ei"az a um "usto 4timo&

Marantir Transpar*n"ia para as Fartes Interessadas

6ssegura que a medição e relat4rios de desempen3o e "onormidade da TI "orporativa sePam transparentes para os sta0e3olders aprovarem as metas, m.tri"as e as açUes "orretivas ne"essárias&

&a?ela 5 DomAnio 3aliar, Diri4ir e onitorar 6DE


9N


D(R%$( 3L$%M3', L3%6J3' 6 ('3%$_3' 3(E 3linhar, lane@ar e (r4anizar

6FO%$

6FO%8

6FO%>

Meren"iar a Estrutura de Mestão de TI

Es"lare"e e mant.m a missão e visão da governança de TI da organização& Implementa e mant.m me"anismos e autoridades para geren"iar a inormação e o uso da TI na organização&

Meren"iar a Estrat.gia

/orne"e uma visão 3olsti"a do neg4"io e ambiente de TI atual, a direção utura, e as ini"iativas ne"essárias para migrar para o ambiente uturo desePado&

Meren"iar a 6rquitetura da Organização

Estabele"e uma arquitetura "omum que "onsiste em pro"essos de neg4"ios, inormaçUes, dados, apli"ação e te"nologia para realizar de orma ei"az e ei"iente as estrat.gias de neg4"io e de TI por meio da "riação de modelos e práti"as+"3ave que des"revem arquitetura de lin3a de base&

6FO%9

Meren"iar a Inovação

6FO%5

Meren"iar o Fort4lio

-ant.m uma "ons"i*n"ia de TI e tend*n"ias de serviços rela"ionados, identii"a oportunidades de inovação e planePa "omo se benei"iar da inovação em relação )s ne"essidades do neg4"io& Inluen"ia o planePamento estrat.gi"o e as de"isUes de arquitetura "orporativa& Ee"uta o "onPunto de orientaçUes estrat.gi"as para os investimentos alin3ados "om a visão de arquitetura "orporativa e as "ara"tersti"as desePadas do investimento e "onsiderar as restriçUes de re"ursos e de orçamento& 6valia, prioriza programas e serviços, geren"ia demanda dentro das restriçUes de re"ursos e de orçamento, "om base no seu alin3amento "om os obPetivos estrat.gi"os e ris"o& -ove programas sele"ionados para o port4lio de serviços para ee"ução& -onitora o desempen3o de todo o port4lio de serviços e programas, propondo os aPustes ne"essários em resposta ao programa e desempen3o do serviço ou mudança de prioridades da organização&


9


6FO%K

6FO%

3linhar, lane@ar e (r4anizar cont.E Meren"iar as atividades inan"eiras rela"ionadas a TI tantos nas unçUes de neg4"ios "omo de TI, abrangendo orçamento, geren"iamento de "ustos e bene"ios e Meren"iar Orçamento e Custos priorização dos gastos "om o uso de práti"as ormais de orçamento e de um sistema Pusto e equitativo de alo"ação de "ustos para a organização& /orne"e uma abordagem estruturada para garantir a estruturação ideal, "olo"ação, direitos de de"isão e as 3abilidades dos re"ursos 3umanos& Isso in"lui a "omuni"ação Meren"iar ;e"ursos @umanos de pap.is e responsabilidades deinidas, planos de aprendizagem e de "res"imento, e as epe"tativas de desempen3o, "om o apoio de pessoas "ompetentes e motivadas&

Meren"iar ;ela"ionamentos

Meren"ia o rela"ionamento entre o neg4"io e TI de uma maneira ormal e transparente, que garanta o"o na realização de um obPetivo "omum&

Meren"iar Contratos de Frestação de Herviços

6lin3a serviços de TI e nveis de serviço "om as ne"essidades e epe"tativas da organização, in"luindo identii"ação, espe"ii"ação, proPeto, publi"ação, a"ordo, e a"ompan3amento de serviços de TI, nveis de serviço e indi"adores de desempen3o&

Meren"iar /orne"edores

Meren"ia serviços rela"ionados a TI prestados por todos os tipos de orne"edores para atender )s ne"essidades organiza"ionais, in"luindo a seleção de orne"edores, gestão de rela"ionamentos, gestão de "ontratos e revisão e monitoramento de desempen3o de orne"edores para a eetividade e "onormidade&

Meren"iar ?ualidade

eine e "omuni"a os requisitos de qualidade em todos os pro"essos, os pro"edimentos pro" edimentos e os resultados das organizaçUes, in"luindo "ontroles, monitoramento "ontnuo, e o uso de práti"as "omprovadas e padrUes na mel3oria "ontnua e esorços de ei"i*n"ia&

6FO$8

Meren"iar ;is"os

Identii"ar "ontinuamente, avaliar e reduzir os ris"os rela"ionados a TI dentro dos nveis de toler^n"ia estabele"idos pela diretoria ee"utiva da organização&

6FO$>

Meren"iar Hegurança

eine, opera e monitora um sistema para a gestão de segurança da inormação&

6FO%N

6FO%

6FO

%$6FO$$

&a?ela Y DomAnio 3linhar, lane@ar e (r4anizar 3(E


5%


D(R%$( (%"&')$', 3D)$'$' 6 $L66%&3' I3$E onstruir, 3d-uirir e $mplementar

B6I%$

Meren"iar Frogramas e FroPetos

Meren"iar todos os programas e proPetos do port4lio de investimentos em alin3amento "om a estrat.gia da organização e de orma "oordenada& Ini"ia, planePa, "ontrola e ee"uta programas e proPetos, e inaliza "om uma revisão p4s+implementação&

B6I%8

Identii"a soluçUes e analisa os requisitos antes da aquisição ou "riação para assegurar que eles estão em "onormidade "om os requisitos estrat.gi"os "orporativos que "obrem os pro"essos de neg4"io, apli"açUes, inormaçUesQ Meren"iar einição de ;equisitos dados, inra+estrutura e serviços& Coordena "om as partes interessadas aetadas a revisão r evisão de opçUes viáveis, in"luindo "ustos e bene"ios, análise de ris"o e aprovação de requisitos e soluçUes propostas&

B6I%>

Meren"iar Identii"ação e esenvolvimento de HoluçUes

Estabele"e e mant.m soluçUes identii"adas em "onormidade "om os requisitos da organização abrangendo design, desenvolvimento, aquisiçãoQter"eirização e par"erias "om orne"edoresQvendedores& Meren"ia "oniguração, teste de preparação, testes, requisitos de gestão e manutenção dos pro"essos de neg4"io, apli"açUes, inormaçUesQdados, inra+estrutura e serviços&

Meren"iar isponibilidade e Capa"idade

Equilibra as ne"essidades atuais e uturas de disponibilidade, desempen3o e "apa"idade de prestação de serviços de baio "usto& In"lui a avaliação de "apa"idades atuais, a previsão das ne"essidades uturas "om base em requisitos de neg4"ios, análise de impa"tos nos neg4"ios e avaliação de ris"o para planePar e implementar açUes para atender as ne"essidades identii"adas&

Meren"iar Capa"idade de -udança Organiza"ional

-aimiza a probabilidade de implementar "om su"esso a mudança organiza"ional sustentável em toda a organização de orma rápida e "om ris"o reduzido, "obrindo o "i"lo de vida "ompleto da mudança e todas as partes interessadas aetadas no neg4"io e TI&

B6I%9

B6I%5


5$


B6I%K

B6I%

B6I%N

B6I%

B6I

%$onstruir, 3d-uirir e $mplementar cont.E Meren"ia todas as mudanças de uma maneira m aneira "ontrolada, in"luindo mudanças de padrão e de manutenção de emerg*n"ia rela"ionadas "om os pro"essos de neg4"io, apli"açUes e inraestrutura& Isto in"lui os padrUes de Meren"iar -udanças mudança e pro"edimentos, avaliação de impa"to, priorização e autorização, mudanças emergen"iais, a"ompan3amento, elaboração de relat4rios, en"erramento e do"umentação&

Meren"iar 6"eitação e Transição de -udança

6"eita e produz ormalmente novas soluçUes opera"ionais, in"luindo planePamento de implementação do sistema, e "onversão de dados, testes de a"eitação, "omuni"ação, preparação de liberação, promoção para produção de pro"essos de neg4"ios e serviços de TI novos ou alterados, suporte de produção e uma revisão p4s+implementação&

Meren"iar Con3e"imento

-ant.m a disponibilidade de "on3e"imento relevante, atual, validado e "oniável para suportar todas as atividades do pro"esso e a"ilitar a tomada de de"isão& Flano para a identii"ação, "oleta, organização, manutenção, utilização e retirada de "on3e"imento&

Meren"iar 6tivos

Meren"ia os ativos de TI atrav.s de seu "i"lo de vida para assegurar que seu uso agrega valor a um "usto ideal& Os ativos permane"em opera"ionais e isi"amente protegidos e aqueles que são undamentais para apoiar a "apa"idade de serviço são "oniáveis e disponveis&

Meren"iar Coniguração

eine e mant.m as des"riçUes e as relaçUes entre os prin"ipais re"ursos e as "apa"idades ne"essárias para prestar serviços de TI, in"luindo a "oleta de inormaçUes de "oniguração, o estabele"imento de lin3as de base, verii"ação e auditoria de inormaçUes de "oniguração e atualizar o reposit4rio de "oniguração&

&a?ela P DomAnio onstruir, 3d-uirir e $mplementar I3$E


58


D(R%$( 6%&'63', "6'O$*(" 6 ")('&6 D""E 6ntre4ar, "eriços e "uporte

HH%$

HH%8

HH%>

HH%9

HH%5

HH%K

Meren"iar as operaçUes

Coordena e ee"uta as atividades e pro"edimentos opera"ionais ne"essários para entregar serviços de TI internos e ter"eirizados, in"luindo a ee"ução de pro"edimentos opera"ionais, padrUes pr.+deinidos e as atividades eigidas&

Meren"iar Holi"itação de Herviços e In"identes

/orne"er uma resposta rápida e ei"az )s soli"itaçUes dos usuários e resolução de todos os tipos de in"identes& ;estaurar o serviço normal re"orde e atender )s soli"itaçUes dos usuários e registro, investigar, diagnosti"ar, es"alar e solu"ionar in"identes&

Meren"iar Froblemas

Identii"a e "lassii"a os problemas e suas "ausas+razes e orne"e resolução para prevenir in"identes re"orrentes& /orne"e re"omendaçUes de mel3orias&

Meren"iar Continuidade

Estabele"e e mant.m um plano para permitir o neg4"io e TI responder a in"identes e interrupçUes, a im de "ontinuar a operação de pro"essos "rti"os de neg4"ios e serviços de TI ne"essários e mant.m a disponibilidade de inormaçUes em um nvel a"eitável para a organização&

Frotege inormaçUes da organização para manter o nvel de ris"o a"eitável para a segurança da inormação da organização, de Meren"iar Herviços de Hegurança a"ordo "om a polti"a de segurança& Estabele"e e mant.m as unçUes de segurança da inormação e privil.gios de a"esso e realiza o monitoramento de segurança& eine e mant.m "ontroles de pro"esso de neg4"io apropriados para assegurar que as Meren"iar os Controles de inormaçUes rela"ionadas e pro"essadas Fro"essos de :eg4"io satisaz todos os requisitos de "ontrole de inormaçUes relevantes& &a?ela 8 DomAnio 6ntre4ar, "eriços e "uporte D""E


5>


D(R%$( (%$&('3', 3O3L$3' 6 3%3L$"3' 63E onitorar, 3aliar e 3nalisar

-E6%$

-E6%8

-E6%>

-onitorar, 6valiar e 6nalisar o esempen3o e Conormidade

Coleta, valida e avalia os obPetivos e m.tri"as do pro"esso de neg4"ios e de TI& -onitora se os pro"essos estão realizando "onorme metas e m.tri"as de desempen3o e "onormidade a"ordadas e orne"e inormação que . sistemáti"a e oportuna&

-onitorar, 6valiar e 6nalisar o Histema de Controle Interno

-onitora e avalia "ontinuamente o ambiente de "ontrole, in"luindo auto+avaliaçUes e análises de avaliaçUes independentes& Fermite a gestão de identii"ar dei"i*n"ias de "ontrole e inei"i*n"ias e ini"iar açUes de mel3oria&

-onitorar, 6valiar e 6nalisar a Conormidade "om ;equisitos Eternos

6valia se pro"essos de TI e pro"essos de neg4"ios suportados pela TI estão em "onormidade "om as leis, regulamentos e eig*n"ias "ontratuais& Obt.m a garantia de que os requisitos oram identii"ados e respeitados, e integrá+los ) "onormidade "om o "umprimento global da organização&

&a?ela V DomAnio onitorar, 3aliar e 3nalisar 63E


59


3%6`( $O: apeamento de processos (I$& 5 ` (I$& Q.1 Esse mapeamento . uma adaptação da tabela de mapeamento dos obPetivos de "ontrole do COBIT 9&$ para as práti"as de geren"iamento do COBIT 5 RS& Os pro"essos desta"ados em verde são novos pro"essos do COBIT5& 3aliar, Diri4ir e onitorar 6DE E-%$ Marantir a einição e -anutenção FO> eterminar a ireção Te"nol4gi"a do /rame'or0 de Movernança -E9 /orne"er Movernança de TI FO$ einir um Flano Estrat.gi"o de TI E-%8 Marantir a ;ealização de Bene"ios -E9 /orne"er Movernança de TI FOK Comuni"ar -etas e iretivas  iretivas Meren"iais E-%> Marantir a Otimização de ;is"os FO 6valiar e Meren"iar ;is"os -E9 /orne"er Movernança de TI E-%9 Marantir a Otimização de ;e"ursos -E9 /orne"er /orne"er Movernança Movernança de TI E-%5 Marantir Transpar*n"ia para as + Fartes Interessadas &a?ela 10 (I$& 5 C (I$& Q.1: DomAnio 6D. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T 9V

3linhar, lane@ar e (r4anizar 3(E FO8 einir a 6rquitetura de Inormação FO> eterminar a ireção Te"nol4gi"a FO9 einir Fro"essos de TI, Organização e 6FO%$ Meren"iar a Estrutura de Mestão de ;ela"ionamento TI FOK Comuni"ar -etas e iretivas  iretivas Meren"iais FO Meren"iar ;e"ursos @umanos FO 6valiar e Meren"iar ;is"os FO$ einir um Flano Estrat.gi"o de TI 6FO%8 Meren"iar a Estrat.gia FO> eterminar a ireção Te"nol4gi"a 6FO%> Meren"iar a 6rquitetura da FO8 einir a 6rquitetura de Inormação Organização FO> eterminar a ireção Te"nol4gi"a 6FO%9 Meren"iar a Inovação FO> eterminar a ireção Te"nol4gi"a FO$ einir um Flano Estrat.gi"o de TI 6FO%5 Meren"iar o Fort4lio FO5 Meren"iar o Investimento em TI HK Identii"ar e 6lo"ar Custos 6FO%K Meren"iar Orçamento e Custos FO5 Meren"iar o Investimento em TI H Edu"ar e Treinar usuários FO9 einir Fro"essos de TI, Organização e 6FO% Meren"iar ;e"ursos @umanos ;ela"ionamento FO Meren"iar ;e"ursos @umanos 6FO%N Meren"iar ;ela"ionamentos + 6FO% Meren"iar Contratos de Frestação H$ einir nveis de Herviços de Herviços 6I5 Obter ;e"ursos de TI 6FO$% Meren"iar /orne"edores H8 Meren"iar Herviços de Ter"eiros FO9 einir Fro"essos de TI, Organização e 6FO$$ Meren"iar ?ualidade ;ela"ionamento FON Meren"iar ?ualidade 6FO$8 Meren"iar ;is"os FO 6valiar e Meren"iar ;is"os 6FO$> Meren"iar Hegurança H5 Marantir Hegurança dos Histemas &a?ela 11 (I$& 5 C (I$& Q.1: DomAnio 3(. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V

"#ia $orado

lmdorado.wordpress.com

lmdorado%hotmail.com

55


onstruir, 3d-uirir e $mplementar I3$E B6I%$ Meren"iar Frogramas e FroPetos FO$% Meren"iar FroPetos B6I%8 Meren"iar einição de ;equisitos 6I$ Identii"ar soluçUes automatizadas Controles 6C 6I8 6dquirir e manter sot'are apli"ativo B6I%> Meren"iar Identii"ação e esenvolvimento de HoluçUes

6I> 6dquirir e manter arquitetura te"nol4gi"a 6I5 Obter ;e"ursos de TI

B6I%9 Meren"iar isponibilidade e Capa"idade B6I%5 Meren"iar Capa"idade de -udança Organiza"ional B6I%K Meren"iar -udanças B6I% Meren"iar 6"eitação e Transição de -udança B6I%N Meren"iar Con3e"imento BI6% Meren"iar 6tivos B6I$% Meren"iar Coniguração

H> Meren"iar Ferorman"e e Capa"idade 6I9 -anter operação e uso 6I Instalar e "ertii"ar HoluçUes e -udanças 6IK Meren"iar mudanças 6I Instalar e "ertii"ar HoluçUes e -udanças 6I9 -anter operação e uso + H Meren"iar a Coniguração

&a?ela 12 (I$& 5 C (I$& Q.1: DomAnio I3$. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V

6ntre4ar, "eriços e "uporte D""E H$$ Meren"iar ados HH%$ Meren"iar as operaçUes H$8 Meren"iar os 6mbientes /si"os H$> Meren"iar OperaçUes H5 Marantir Hegurança dos Histemas HH%8 Meren"iar Holi"itação de Herviços e HN Meren"iar Hervi"e es0 e In"identes In"identes H Meren"iar a Coniguração HH%> Meren"iar Froblemas H$% Meren"iar Froblemas H9 Marantir Continuidade dos Herviços HH%9 Meren"iar Continuidade H$$ Meren"iar ados H5 Marantir Hegurança dos Histemas H$$ Meren"iar ados HH%5 Meren"iar Herviços de Hegurança H$8 Meren"iar os 6mbientes /si"os H$> Meren"iar OperaçUes HH%K Meren"iar os Controles de Fro"essos Controles 6C de :eg4"io H$$ Meren"iar ados &a?ela 17 (I$& 5 C (I$& Q.1: DomAnio D"". Fonte: (I$& T 5: 6 na?lin4 rocess, p. 21P, U2012 $"33T9V

onitorar, 3aliar e 3nalisar 63E -E6%$ -onitorar, 6valiar e 6nalisar o -E$ -onitorar e 6valiar a Ferorman"e de esempen3o e Conormidade TI -E6%8 -onitorar, 6valiar e 6nalisar o -E8 -onitorar e 6valiar Controle Interno Histema de Controle Interno -E9 /orne"er Movernança de TI -E6%> -onitorar, 6valiar e 6nalisar a -E> 6ssegurar Conormidade ;egulat4ria Conormidade "om ;equisitos Eternos &a?ela 1Q (I$& 5 C (I$& Q.1: DomAnio 63. Fonte: (I$& T 5: 6na?lin4 rocess, p. 21P, U2012 $"33T9V

"#ia $orado



5K


3%6`( O: Descriç=o do rocesso I3$0Y: erenciar udanças

&a?ela 15 rocesso I3$0Y erenciar udanças Fonte: (I$& T 5: 6na?lin4 rocess, p. 1QV, U2012 $"33T 9V

"#ia $orado



5


&a?ela 1Y rocesso I3$0Y erenciar udanças cont.E Fonte: (I$& T 5: 6na?lin4 rocess, p. 150, U2012 $"33T 9V

"#ia $orado



5N


'6F6'[%$3" I$IL$('NF$3" R$S International Organization or Htandardization& $"(/$6 78500 S orporate 4oernance o< in 4est=o dos processos e seriços. ;io seriços. ;io de 7aneiro2 Brasport, 8%%K& R>S az, èsle& alestra (I$& 5: 3spectos erais. erais. II Enauti& 8%$>& 6"esso em2 3ttp2QQ'''&t"&d&gov&brQsesetQen"ontrodetiQdo'nloadQCOBIT 58%-I:I8%C1;HO8%E:61TI8%+8%K8%+8%8%$>8%+8%/O;-6T6O&pd R9S& (I$& 5: 3 Iusiness Framework de abril de 8%$9& Estabele"e prin"pios, garantias, direitos e deveres para o uso da Internet no Brasil& 6"esso em2 3ttp2QQ'''&planalto&gov&brQ""ivil%>Qato8%$$+8%$9Q8%$9QleiQl$8K5&3tm R$$S CMI&br& ( $.?r e o arco iil da $nternet& $nternet & 6"esso em2 3ttp2QQ'''&"gi&br R$8S (I$& R$8S (I$& 5: odelo orporatio para oernança e est=o de &$ da (r4anizaç=o, 1H6, 8%$8 R$>S (I$& 5 omo aaliar a maturidade dos processos de acordo com o noo modelo, modelo , Bridge Consulting, 8%$>& 6"esso em2 3ttp2QQ'''&blog&bridge"onsulting&"om&brQ'p+ "ontentQuploadsQ8%$>Q%QCobiT56valiaC>6C>6>ode-aturidade&pd R$9S CO&IT rocess Assessment +odel 5A+6- 7sing CO&IT 8.( & 1H6, 8%$$& R$5S $$%F72Y  odelos de ualidade de "  ario L. brtes. 6"esso em2 3ttp2QQ'''&i"&uni"amp&brQh"ortesQin>8KQtranspQ"ap&pd R$KS (I$& 5: 3presentaç=o do noo & 6"esso em2 3ttp2QQ'''&blog&bridge"onsulting&"om&brQ'p+ "ontentQuploadsQ8%$>Q%8Q6presentaC>6C>6>o+do+CobiT+5&pd "#ia $orado



5

COBIT 5: Resumo Por Luzia Dourado

Recommend Documents