Você está na página 1de 60

Apostila

COBIT 5
Framework de Governana e Gesto
Corporativa de TI

Luzia Dourado
Janeiro, 2015
http://lmdourado.wordpress.com

Ol, entusiastas de governana de TI!


Eis que disponibilizo mais uma verso da apostila de COBIT 5 para auxiliar
nos estudos!
Devido a grande procura por este material (mais de 10.000 downloads )
e publicao da verso do COBIT 5 em portugus, resolvi revis-lo e
atualiz-lo para estar em conformidade com a traduo oficial.
Eu no esperava que esse material pudesse ser to procurado! Muitos
esto utilizando esse material para auxiliar nos estudos para concursos e
ultimamente muitos tambm o utilizam como forma de reviso para a
prova de certificao. Fico muito feliz por isso e muito agradecida pelo
feedback de vocs!
Um lembrete: no fique limitado a essa apostila! Ela foi produzida para
que o leitor tome rpido conhecimento do framework, porm, s mais
uma ferramenta de estudos, ok?
Ah, e nunca se esqueam disso:
O saber a gente aprende com os mestres e com os livros.
A sabedoria a gente aprende com a vida e com os humildes.
Cora Coralina

Bons estudos a todos! Deus os abenoe!

Fora, Foco e F!
Janeiro, 2015

lmdourado@hotmail.com

COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e
marcas registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com
finalidade de ensino, em benefcio exclusivo do dono da marca, sem inteno de infringir suas regras de
utilizao.
Apostila COBIT 5 de Luzia Dourado est licenciado com uma Licena Creative Commons - AtribuioCompartilhaIgual 4.0 Internacional.

Sumrio
1.

INTRODUO ........................................................................................................................ 3

2.

O QUE H DE NOVO? ............................................................................................................ 7

3.

EVOLUO............................................................................................................................. 9

4.

PRINCPIOS .......................................................................................................................... 10
Princpio 1. Atender as necessidades das partes interessadas (stakeholders) ....................... 11
Princpio 2. Cobrir a organizao de ponta a ponta ................................................................ 13
Princpio 3. Aplicar um framework nico e integrado ............................................................ 15
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 16
Princpio 5. Distinguir a governana de gesto ....................................................................... 20

5.

MODELO DE REFERNCIA DE PROCESSOS........................................................................... 21

6.

GUIA DE IMPLEMENTAO ................................................................................................. 25


Criar o ambiente apropriado ................................................................................................... 26
Reconhecer os pontos de dor (pain points) e eventos desencadeadores (trigger events) .... 26
Elaborar caso de negcios (business case) ............................................................................. 27
Ciclo de Vida de Implementao............................................................................................. 28

7.

MODELO DE CAPACIDADE DE PROCESSOS ......................................................................... 30


Diferenas entre o Modelo de Maturidade COBIT 4.1 e o Modelo de Capacidade COBIT 5 .. 30
Modelo de Maturidade COBIT 4.1 ...................................................................................... 30
Modelo de Maturidade COBIT 5 ......................................................................................... 31
Diferenas na Prtica............................................................................................................... 37
Benefcios das Mudanas ........................................................................................................ 39

8.

PRINCIPAIS DIFERENAS DO COBIT 5 COM RELAO AO COBIT 4.1 .................................. 40

ANEXO I: Cascata de Objetivos do COBIT 5 ................................................................................. 42


ANEXO II: Exemplo de Habilitador: Processos ............................................................................ 47
ANEXO III: Domnios e Processos ................................................................................................ 48
ANEXO IV: Mapeamento de processos COBIT 5 X COBIT 4.1 ...................................................... 55
ANEXO V: Descrio do Processo BAI06: Gerenciar Mudanas .................................................. 57
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 59

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2

1. INTRODUO
Antes de introduzir os conceitos e detalhes do framework COBIT 5, necessria a
definio de conceito de governana e gesto corporativa de TI.

Mas o que Governana Corporativa de TI?


A norma ISO/IEC 38500, que estabelece um modelo para a Governana Corporativa de
TI no qual o COBIT 5 se baseia, define Governana Corporativa de TI como [1]:
Governana Corporativa de TI, segundo ISO/IEC 38500:
O sistema pelo qual o uso atual e futuro da TI dirigido e controlado.
A governana corporativa de TI envolve a avaliao e a direo do uso da TI
para dar suporte organizao no alcance de seus objetivos estratgicos e
monitorar seu uso para realizar os planos.
A governana inclui a estratgia e as polticas para o uso de TI dentro de uma
organizao..

A norma orienta que os dirigentes da organizao governem a TI por meio de trs


tarefas principais, conforme pode ser visto na figura 1:

Avaliar o uso atual e futuro da TI;


Dirigir a preparao e a implementao de planos e polticas para garantir que o uso
da TI atenda aos objetivos do negcio;
Monitorar o cumprimento das polticas e o desempenho em relao aos planos.

Figura 1 - Modelo de governana corporativa de TI.


Fonte: ISO/IEC 38500, pg. 13 [1]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2


Segundo a norma, Avaliar (Evaluate) significa que os dirigentes devem avaliar o uso
atual e futuro da TI, incluindo as estratgias, propostas e arranjos de fornecimento (interno,
externo ou ambos). Na avaliao do uso da TI, convm que os dirigentes considerem as
presses externas e internas que influenciam o negcio (mudanas tecnolgicas, tendncias
econmicas e sociais e influncias polticas), e levem em conta as necessidades atuais e futuras
do negcio.
Dirigir (Direct) significa que os dirigentes devem atribuir responsabilidades para a
preparao e implementao dos planos e polticas que estabeleamm o direcionamento dos
investimentos nos projetos e operaes de TI.
Monitorar (Monitor) significa que os dirigentes devem monitorar o desempenho da TI
por meio de sistemas de mensurao apropriados, garantindo que esse desempenho esteja de
acordo com os planos e objetivos corporativos e que a TI esteja em conformidade com as
obrigaes externas e prticas internas de trabalho.

Governana de TI e Gesto de TI no a mesma coisa?


A governana corporativa de TI no pode ser confundida com o conceito de gesto de TI.
A governana corporativa de TI est inserida na governana corporativa da organizao, sendo
dirigida por esta, e busca o direcionamento da TI para atender ao negcio e o monitoramento
para verificar a conformidade com o direcionamento tomado pela administrao da
organizao [2].

A governana corporativa de TI no de responsabilidade exclusiva dos gestores


de TI e, sim, da alta administrao (board).

A Gesto de TI, conforme definido pela ISO/IEC 38500 [1]:

Gesto de TI, segundo ISO/IEC 38500:


Sistema de controles e processos necessrios para alcanar os objetivos
estratgicos estabelecidos pela direo da organizao..

A gesto de TI implica a utilizao sensata de meios (recursos, pessoas, processos,


prticas) pra alcanar um objetivo. Atua no planejamento, construo, organizao e controle
das atividades operacionais e se alinha com a direo definida pela organizao.
Portanto, a gesto controla tarefas operacionais, enquanto a governana controla a
gesto.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2


Para qu as organizaes necessitam de governana corporativa de TI?
As organizaes existem para atender as necessidades de suas partes interessadas, ou
seja, partes que se interessam ou so afetadas pela organizao, tais como acionistas,
funcionrios, seus clientes, dentre outros.
Para atender aos seus objetivos estratgicos, as organizaes se esforam para:

manter informaes de alta qualidade para apoiar decises corporativas;


agregar valor ao negcio a partir dos investimentos em TI, ou seja, atingir os
objetivos estratgicos e obter benefcios para a organizao atravs da
utilizao eficiente e inovadora de TI;
alcanar excelncia operacional por meio da aplicao confivel e eficiente da
tecnologia;
manter o risco de TI em um nvel aceitvel;
otimizar o custo da tecnologia e dos servios de TI;
cumprir as leis, regulamentos, acordos contratuais e polticas pertinentes cada
vez mais presentes.

A governana corporativa de TI auxilia as organizaes no alcance de seus objetivos


estratgicos, por meio da gerao de valor obtido pelo uso da TI, mantendo equilbrio entre a
realizao de benefcios e a otimizao dos nveis de risco e de utilizao dos recursos. Para se
obter essa gerao de valor, necessria a avaliao do uso da TI e das necessidades de
investimentos nessa rea; fornecer o direcionamento para que a TI atenda aos objetivos
corporativos e monitorar as aes relacionadas a TI para estar em conformidade com o que foi
planejado e para dar transparncias s partes interessadas sobre os resultados alcanados.
Organizaes bem-sucedidas reconhecem que a diretoria e os executivos devem aceitar
que a TI to significativa para os negcios como qualquer outra parte da organizao.
Diretores e gestores - seja em funes de TI ou de negcios - devem colaborar e trabalhar em
conjunto a fim de garantir que a TI esteja inclusa na abordagem de governana e gesto. Alm
disso, cada vez mais leis e regulamentos esto sendo aprovados e estabelecidos para atender a
essa necessidade.

Finalmente, o que o COBIT 5?


O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit and Control)
e lanado no final de 2012, um framework de governana e gesto corporativa de TI.
O framework faz a integrao do contedo dos principais frameworks publicados pelo
ISACA, a saber:

COBIT 4.1;
Val IT, que pode ser usado para criar valor para o negcio por meio de
investimentos de TI, sendo constitudo por um conjunto de princpios
orientadores e conjunto de processos e melhores prticas para apoiar e ajudar a
gesto executiva em nvel empresarial;
Risk IT, dedicado a auxiliar no gerenciamento de riscos relacionados a TI;

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2

Business Model for Information Security (BMIS), que uma abordagem holstica
e orientada ao negcio para a gesto de segurana da informao;
IT Assurance Framework (ITAF), um modelo que fornece orientaes sobre a
concepo, realizao e relatrio de auditoria de TI, definindo termos e
conceitos especficos para garantia de TI;
Taking Governance Forward (TGF);
Board Brieng on IT Governance 2nd Edition, que apresenta uma descrio
abrangente dos conceitos de governana de TI como um livreto de referncia ou
como uma ferramenta para educar o board e a gerncia executiva.

Alm disso, ele se alinha a outros padres de mercado como Information Technology
Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project
Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture
Framework (TOGAF).
O COBIT 5 auxilia as organizaes na criao de valor para TI, mantendo o equilbrio
entre a realizao de benefcios e a otimizao dos nveis de risco e o uso de recursos. Tem
como objetivos:

oferecer um framework abrangente que auxilia as organizaes a otimizar o


valor gerado pela TI;
permitir que a TI seja governada e gerenciada de forma holstica para toda a
organizao.
criar uma linguagem comum entre TI e negcios para a governana e gesto de
TI corporativa.

Para qu um novo framework?


O COBIT 5 fornece a prxima gerao de orientaes da ISACA sobre governana
corporativa e gesto de TI. Baseia-se em mais de 15 anos de uso e aplicao prtica do COBIT
por muitas organizaes e usurios das comunidades de negcios, TI, risco, segurana e
garantia. Os principais fatores para o desenvolvimento do COBIT 5 incluem as necessidades de:

Permitir que mais partes interessadas falem sobre o que eles esperam da
tecnologia da informao e tecnologias relacionadas (que benefcios e em qual
nvel de risco aceitvel e a qual custo) e quais so suas prioridades para garantir
que o valor esperado seja efetivamente obtido;
Abordar a questo da dependncia cada vez maior para o sucesso da
organizao em parceiros externos de TI e de negcios tais como terceirizadas,
fornecedores, consultores, clientes, provedores de servios na nuvem e demais
servios;
Tratar a quantidade de informao, que tem aumentado significativamente;
Administrar TI cada vez mais pervasiva; TI cada vez mais uma parte integrante
do negcio;
Cobrir o negcio de ponta a ponta e todas as reas responsveis pelas funes
de TI.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2

2. O QUE H DE NOVO?
A principal novidade do COBIT 5 que ele est focado em governana corporativa de TI,
deixando claro a distino entre governana e gesto, a fim de se aumentar a utilizao
corporativa deste framework, ressaltando o papel da alta administrao nas tomadas de
decises de TI.
O novo framework fundamentado em 5 princpios de governana corporativa de TI
que permitem que a organizao construa um framework efetivo de governana e gesto de
TI baseado em um conjunto holstico de 7 enablers1 (ou habilitadores) que otimizam
investimentos em tecnologia e informao utilizados para o benefcio das partes
interessadas.
O COBIT 5 permite que a TI seja governada e gerida de forma holstica para toda a
organizao, abrangendo o negcio de ponta a ponta bem como todas as reas responsveis
pelas funes de TI, levando em considerao os interesses internos e externos relacionados
com TI. O framework genrico e til para organizaes de todos os portes, sejam comerciais,
sem fins lucrativos ou pblicas.
Em sua quinta verso, o COBIT se tornou uma famlia de produtos, ou seja, as
informaes referentes ao framework (COBIT 5) est em uma publicao separada da que
contm as informaes relativas aos processos (COBIT 5: Enabling Process), alm de conter
outras publicaes relativas implementao, segurana da informao, riscos, qualidade,
dentre outros. A publicao referente ao COBIT 5 disponibilizada de forma gratuita mediante
cadastro prvio no site da ISACA, porm a publicao COBIT 5: Enabling Process paga para
quem no membro da ISACA.
A publicao COBIT 5 (framework) o principal produto da famlia, contendo:
Sumrio Executivo
Componentes e estruturas
5 princpios, descritos cada um em um captulo distinto
Viso dos 7 habilitadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos
A publicao COBIT 5: Enabling Process descreve os processos, objetivos e mtricas,
matriz RACI2, prticas de gesto com suas entradas, sadas e atividades de forma mais
organizada em formato de tabela, facilitando a leitura. Ao final de cada processo, h uma
seo denominada Related Guidance que associa cada processo do COBIT com outros
frameworks que podem ser utilizados para implementar o processo.

1
2

Enabler = viabilizador, facilitador, habilitador.


Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2


A distino entre governana e gesto pode ser percebida no Modelo de Referncia de
Processos, que subdivide os 37 processos de TI em duas principais reas de atividade
governana e gesto que so divididas em domnios de processos, conforme pode ser visto
na tabela 1.
rea
Governana
Gesto

Qtde. de
Processos
5
32

Domnios
Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
Alinhar, Planejar e Organizar (Align, Plan and Organise - APO);
Construir, Adquirir e Implementar (Build, Acquire and Implement
- BAI);
Entregar, Servios e Suporte (Deliver, Service and Support - DSS)
Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess MEA)

Tabela 1 Quantidade de processos e domnios de Governana e Gesto

COBIT 5 :
Focado em governana corporativa de TI
Deixa clara a distino entre governana e gesto
Fundamentado em 5 princpios de governana corporativa de TI
Baseado em um conjunto holstico de 7 enablers (ou habilitadores)
Possui 37 processos de TI divididos em domnios de processo de
governana e de gesto

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2

3. EVOLUO
O COBIT surgiu, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e conformidade (compliance). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa. A figura 2 exibe um resumo da evoluo do COBIT.

Figura 2 - Evoluo do COBIT

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2

4. PRINCPIOS
Conforme dito anteriormente, o novo framework fundamentado em 5 princpios de
governana corporativa de TI que permitem que a organizao construa um framework
efetivo de governana e gesto de TI baseado em um conjunto holstico de 7 enablers3 (ou
habilitadores) que otimizam investimentos em tecnologia e informao utilizados para o
benefcio das partes interessadas.
Os 5 princpios so (figura 3):
1. Atender as necessidades dos stakeholders (partes interessadas)
2. Cobrir a organizao de ponta a ponta
3. Aplicar um framework (modelo) nico e integrado
4. Permitir uma abordagem holstica
5. Distinguir a governana da gesto

Figura 3 Princpios do COBIT 5


Fonte: COBIT 5, p.15, 2012 ISACA [12]

Cada princpio ser descrito a seguir.

Enabler = viabilizador, facilitador, habilitador

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

10

Apostila de COBIT 5 v1.2

Princpio 1. Atender as necessidades das partes interessadas (stakeholders)


As organizaes existem para criar valor para as partes interessadas (stakeholders), ou
seja, para todas as partes interessadas (acionistas, auditores, fornecedores, consultores, alta
administrao, etc). Consequentemente, qualquer organizao comercial ou no ter a
criao de valor como um objetivo da governana (figura 4).

Figura 4 - Objetivo da Governana. Fonte: COBIT 5, pag. 19, 2012 ISACA [12]

O que criao de valor?


Criao de Valor
Obteno de benefcios por meio da otimizao do uso de recursos e dos
riscos a um nvel aceitvel.

Os benefcios podem assumir muitas formas, por exemplo, financeiros para


organizaes comerciais ou de servio pblico para entidades governamentais. Portanto, vale
frisar que a criao de valor o objetivo da governana! Para cada parte interessada, a criao
de valor pode representar interesses diferentes e algumas vezes conflitantes.
O sistema de governana abrange negociar e decidir entre os diferentes interesses das
partes interessadas e deve considerar a opinio de todos quando so tomadas decises sobre
os benefcios, recursos e avaliao dos riscos.
Para cada deciso de governana, as seguintes questes podem e devem ser feitas:
- Quem recebe os benefcios?
- Quem assume os riscos?
- Quais so os recursos necessrios?
As necessidades dos stakeholders precisam ser transformadas em estratgias
corporativas. Por isso, este princpio est intimamente integrado com o conceito de
alinhamento estratgico entre TI e negcio.
Para isso, como pode ser visto na figura 5, h um mecanismo denominado Cascata de
Objetivos do COBIT 5 com a finalidade de desdobrar:
11
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Apostila de COBIT 5 v1.2


os direcionadores (drives) e as necessidades dos stakeholders em objetivos
corporativos;
os objetivos corporativos em objetivos de TI;
os objetivos de TI em objetivos para os habilitadores.

Figura 5 - Cascata de Objetivos


Fonte: COBIT 5, p.20, 2012 ISACA [12]

Em uma viso bottom-up, a cascata de objetivos auxilia a organizao em como


empregar os habilitadores para alcanar os objetivos corporativos de forma mais concreta.

A cascata de objetivos no algo novo no COBIT 5, pois j existia no COBIT 4.1.


No COBIT 4.1, os objetivos de TI so desdobrados em objetivos de processos que
por sua vez, desdobram-se em objetivos de atividades.
No COBIT 5, os objetivos de TI so desdobrados em objetivos de habilitadores,
sendo Processos um dos habilitadores.
Que benefcios so obtidos por meio dessa cascata de objetivos?
A cascata de objetivos permite a definio de prioridades para implementao, melhoria
e garantia de governana corporativa de TI, com base em objetivos estratgicos e riscos
relacionados. Na prtica, a cascata de objetivos:

Define objetivos tangveis e relevantes em vrios nveis de responsabilidade;


Filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos,
para extrair a orientao pertinente para incluso na implementao, melhoria
ou garantia de projetos especficos;
Identifica e comunica claramente como os habilitadores do COBIT (s vezes
muito operacionais) so importantes para o alcance dos objetivos corporativos.

Mais detalhes sobre a Cascata de Objetivos do COBIT 5 pode ser visto no Anexo I.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

12

Apostila de COBIT 5 v1.2

Princpio 2. Cobrir a organizao de ponta a ponta


O COBIT 5 trata a governana e gesto de TI cobrindo a organizao de ponta a ponta.
Isso significa que o COBIT 5 [3]:
Integra a governana corporativa de TI dentro da governana corporativa da
organizao;
Cobre todas as funes e processos necessrios para regular e controlar as
informaes da organizao e tecnologias correlatas onde quer que essas
informaes possam ser processadas;
No foca apenas nas funes de TI, mas trata a informao e tecnologia
relacionadas como ativos que precisam ser tratados como qualquer outro ativo por
todos na organizao.
O COBIT 5 fornece uma viso holstica e sistmica sobre a governana e gesto de TI da
organizao (ver princpio 4), que tem por base diversos habilitadores. Os habilitadores servem
para toda a organizao, de ponta a ponta, ou seja, incluem todas as pessoas e todas as coisas,
internas e externas, pertinentes governana e gesto das informaes e TI da organizao,
inclusive as atividades e responsabilidades das funes corporativas de TI bem como aquelas
no relacionadas com essas funes.
Por meio desse princpio, os gestores de negcio tm a responsabilidade de tratar a TI
como um ativo estratgico, gerenciando a TI da mesma forma como gerenciam os outros
ativos da organizao.

Sistema de Governana
Para que a governana cubra a organizao de ponta a ponta, o sistema de governana
possui os seguintes componentes (figura 6):

Figura 6 - Governana e Gesto de TI no COBIT 5


Fonte: COBIT 5, p. 25, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

13

Apostila de COBIT 5 v1.2


Habilitadores da governana: so os recursos organizacionais usados na governana
como princpios, estruturas, processos e prticas.
Escopo da governana: rea em que ser aplicada a governana (toda a organizao
ou s uma parte).
Papis, Atividades e Relacionamentos: definem quem est envolvido com
governana, como esto envolvidos, o que fazem e como interagem dentro do escopo
da governana.
A figura 7 mostra os papis, atividades e relacionamentos que ocorrem na governana.
As partes interessadas delegam para o Conselho de Administrao a definio de direo para
as atividades de gesto do Corpo Diretivo que, por sua vez, instrui e alinha as operaes de TI
da organizao. Os executores (parte operacional da organizao) reportam o resultado de
suas atividades para o Corpo Diretivo, que monitorado pelo Conselho de Administrao que
presta contas do desempenho para as partes interessadas.
Vale ressaltar que o COBIT 5 fornece, para cada processo, matrizes RACI4, em que
esto includos papeis relacionados a TI e ao negcio.

Figura 7 - Papis, Atividades e Relacionamentos. Fonte: COBIT 5, p. 26, 2012 ISACA [12]

Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

14

Apostila de COBIT 5 v1.2

Princpio 3. Aplicar um framework nico e integrado


COBIT 5 uma estrutura nica e integrada, porque integra todos os conhecimentos
anteriormente dispersos em diferentes frameworks da ISACA, tais como o COBIT 4.1, Val IT
(valor de TI para o negcio), Risk IT (risco relacionado ao uso de TI), BMIS (segurana). Est
alinhado com os mais atuais e relevantes padres e frameworks utilizados [3]:
de gesto corporativa: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000;
Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2,
CMMI etc.
Isso permite organizao utilizar o COBIT 5 como um integrador dos frameworks de
governana e de gesto.
A famlia de produtos do COBIT 5 inclui os seguintes produtos [4]:
COBIT 5 (o framework)
Guia de habilitadores do COBIT 5, no qual os habilitadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Habilitador Processos (Enabling Processes)
o COBIT 5: Habilitador Informao (Enabling Information)
o Outros guias habilitadores
Guias profissionais do COBIT 5, que incluem:
o COBIT 5 Implementao
o COBIT 5 para Segurana da Informao
o COBIT 5 para Garantia (Assurance)
o COBIT 5 para Risco
o Outros guias profissionais
Um ambiente colaborativo on-line, que disponibilizado para apoiar o uso do COBIT 5

Figura 8 - Famlia de Produtos


Fonte: COBIT 5, p. 28, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

15

Apostila de COBIT 5 v1.2

Princpio 4. Possibilitar uma abordagem holstica


Para apoiar a governana e a gesto de TI utilizando uma abordagem holstica (que
engloba a organizao como um todo, incluindo seus componentes e suas inter-relaes), o
COBIT 5 define um conjunto de 7 habilitadores.

Habilitadores (enablers)

Habilitadores
Fatores que, individual e coletivamente, influenciam o funcionamento da
governana e gesto corporativas de TI.
Os habilitadores so orientados pela cascata de objetivos, ou seja, objetivos de TI em
nveis mais alto definem o que os diferentes habilitadores devero alcanar.
O framework COBIT 5 define 7 categorias de habilitadores (figura 9):

Figura 9 - Habilitadores. Fonte: COBIT 5, p. 29, 2012 ISACA [12]

1. Princpios, polticas e frameworks: so os veculos que traduzem o comportamento


desejado em um guia prtico para a gesto diria;
2. Processos descrevem um conjunto organizado de prticas e atividades para atingir
determinados objetivos e produzem um conjunto de sadas que auxiliam no cumprimento dos
objetivos de TI;
3. Estruturas organizacionais so as entidades-chave responsveis pela tomada de
deciso em uma organizao;
4. Cultura, tica e comportamento dos indivduos e da organizao; muito
frequentemente subestimada como um fator de sucesso nas atividades de governana e
gesto;
5. Informao est difundida por toda organizao. Representa todas as informaes
produzidas e utilizadas pela organizao. imprescindvel para manter a organizao em
funcionamento e bem governada;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

16

Apostila de COBIT 5 v1.2


6. Servios, infraestrutura e aplicaes inclui a infraestrutura, tecnologia e aplicaes
que fornecem organizao os servios de TI;
7. Pessoas, habilidades e competncias esto associadas s pessoas e so necessrias
para que as atividades sejam executadas com sucesso e para que decises e aes corretivas
sejam realizadas de forma correta.
Alguns dos habilitadores definidos acima tambm so recursos da organizao que
devem ser gerenciados e governados. Isto se aplica:
A Informao, que deve ser gerenciada como um recurso. Algumas
informaes, tais como relatrios de gesto e informaes de inteligncia
organizacional so importantes habilitadores para a governana e gesto da
organizao.
Servios, infraestrutura e aplicativos.
Pessoas, habilidades e competncias.
Uma organizao sempre dever considerar um conjunto de habilitadores interligados.
Ou seja, cada habilitador:

Necessita das informaes dos demais habilitadores para ser plenamente


efetivo, por exemplo, processos precisam de informaes e modelos
organizacionais necessitam de habilidades e comportamento.
Produz resultados para o benefcio dos demais habilitadores, por exemplo, os
processos geram informaes, e as habilidades e o comportamento tornam os
processos eficientes.

Assim, ao tratar da governana e gesto corporativa de TI, boas decises podem ser
tomadas somente quando a natureza sistmica dos arranjos de governana e gesto for
considerada. Isto significa que, para tratar de qualquer necessidade das partes interessadas, a
referncia de todos os habilitadores inter-relacionados deve ser analisada e tratada, se
necessrio. Esta mentalidade deve ser orientada pela alta administrao da organizao.

Alguns habilitadores do COBIT 5 eram tratados no COBIT 4.1:


Os recursos de TI do COBIT 4.1 processos, aplicaes, informao e infraestrutura so considerados habilitadores no COBIT 5.
O habilitador 1.Princpios, polticas e estruturas foi mencionado em alguns
processos do COBIT 4.1.
O habilitador 2.Processos era a parte central no COBIT 4.1.
O habilitador 3.Estruturas organizacionais estava implcito, atravs dos papis
responsvel, consultado ou informado na matriz RACI.
O habilitador 4.Cultura, tica e comportamento foi mencionado em alguns
processos do COBIT 4.1.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

17

Apostila de COBIT 5 v1.2


Dimenses de habilitadores
Todos os habilitadores tm um conjunto de dimenses comuns (figura 10). Este
conjunto de dimenses comuns [4]:

Apresenta uma maneira comum, simples e estruturada para tratar dos


habilitadores;
Permite que a organizao gerencie suas interaes complexas;
Facilita resultados bem sucedidos dos habilitadores.

Figura 10 - Dimenses de Habilitadores.


Fonte: COBIT 5, p. 30, 2012 ISACA [12]

As quatro dimenses comuns para habilitadores so:


Partes Interessadas (stakeholders): cada habilitador tem partes interessadas (partes
que desempenham um papel ativo e/ou tm interesse na execuo). Por exemplo, os
processos tm diferentes partes que executam atividades de processo e/ou que tm
interesse no resultado do processo; estruturas organizacionais tm partes, cada uma
com seus prprios papis e interesses, que fazem parte da estrutura.
Partes interessadas podem ser internas ou externas organizao, todos com seus
interesses e necessidades.
o Exemplos de partes interessadas internas: executivos de negcio, conselho
de administrao, gerentes de negcio, auditores internos, usurios de TI,
etc.
o Exemplo de partes interessadas externas: parceiros comerciais,
fornecedores, governo, consumidores, auditores externos, consultores,
etc.
Objetivos (goals): cada habilitador tem uma srie de objetivos e criam valor pela
realizao destes objetivos.
Os objetivos podem ser definidos em termos de:
Resultados esperados do habilitador
Aplicao ou operao do prprio habilitador
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

18

Apostila de COBIT 5 v1.2


Os objetivos de habilitadores so o passo final da cascata de objetivos do COBIT 5. Os
objetivos so divididos em categorias:
o Qualidade intrnseca: o quanto os habilitadores trabalham de forma
precisa, objetiva e produzem resultados exatos, objetivos e confiveis.
o Qualidade contextual: o quanto os habilitadores e seus resultados
atendem ao seu objetivo levando-se em considerao o contexto em que
operam.
o Acessibilidade e segurana: o quanto os habilitadores e seus resultados
so acessveis e seguros.
Ciclo de vida (life cycle): cada habilitador tem um ciclo de vida, desde sua criao,
passando por sua vida til/operacional at chegar ao descarte.
As fases do ciclo de vida consistem em:
Planejar (inclui o desenvolvimento de conceitos e seleo de conceitos)
Projetar
Construir/adquirir/criar/implementar
Utilizar/operar
Avaliar/monitor
Atualizar/eliminar
Boas prticas (good practices): para cada um dos habilitadores, boas prticas podem
ser definidas. Boas prticas apoiam a realizao dos objetivos do habilitador. Boas
prticas fornecem exemplos ou sugestes sobre a melhor forma de implementar o
habilitador, e quais os produtos de trabalho, entradas e sadas so necessrios.

Gerenciamento de Desempenho dos Habilitadores


As organizaes esperam resultados positivos a partir da aplicao e utilizao dos
habilitadores. Para gerenciar o desempenho dos habilitadores, as seguintes questes tero de
ser monitoradas e respondidas, com base em mtricas:

As necessidades das partes interessadas foram atendidas?


Os objetivos dos habilitadores foram alcanados?
O ciclo de vida do habilitador gerenciado?
As boas prticas so aplicadas?

As duas primeiras questes lidam com o resultado real do habilitador e os indicadores usados
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do habilitador e
os indicadores para medir se os objetivos sero atingidos podem ser chamadas de
"indicadores de desempenho (lead indicators).
Como exemplo de um habilitador na prtica, veja no Anexo II.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

19

Apostila de COBIT 5 v1.2

Princpio 5. Distinguir a governana de gesto


COBIT 5 torna clara a distino entre governana e gesto. Essas duas reas abrangem
diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a
propsitos diferentes. O ponto de vista do COBIT 5 sobre esta fundamental distino entre
governana e gesto :
Governana
A governana garante que as necessidades, as condies e as opes das
partes interessadas sejam avaliadas a fim de determinar os objetivos
corporativos acordados e equilibrados; define a direo por meio de
priorizao e tomada de deciso; e prov monitoramento de desempenho e
conformidade com relao aos objetivos estabelecidos.

Na governana, so discutidos e aprovados as polticas e os planos de alinhamento


estratgico (PE, PETI), a implementao de processos e os mecanismos de controle que
direcionaro a gesto da TI [5].
Na maioria das organizaes, a governana de responsabilidade do Conselho de
Administrao, sob a liderana do presidente. Responsabilidades de governana especficas
podem ser delegadas a estruturas organizacionais especiais em um nvel apropriado,
especialmente em organizaes maiores e complexas.

Gesto
A gesto consiste em planejar, construir, executar e monitorar atividades
alinhadas com a direo estratgica estabelecida pela governana para
atingir os objetivos corporativos.

Na maioria das organizaes, a gesto da responsabilidade da gerncia executiva, sob


a liderana do chefe diretor executivo (CEO).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

20

Apostila de COBIT 5 v1.2

5. MODELO DE REFERNCIA DE PROCESSOS


O modelo de referncia de processo do COBIT 5 o sucessor do modelo de processo do
COBIT 4.1, e conta ainda com a integrao dos modelos de processo do Risk IT e Val IT. O
modelo subdivide os 37 processos de TI em duas principais reas de atividade governana e
gesto divididas em domnios de processos, conforme figura 11.

Figura 11 - reas chave de governana e gesto.


Fonte: COBIT 5, p. 34, 2012 ISACA [12]

Processos de Governana
Contm 1 domnio Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
com 5 processos de governana. Estes processos ditam as responsabilidades da alta direo
para a avaliao, direcionamento e monitorao do uso dos ativos de TI para a criao de
valor. Este domnio cobre a definio de um framework de governana, o estabelecimento das
responsabilidades em termos de valor para a organizao (ex. critrios de investimento),
fatores de risco (ex. apetite ao risco) e recursos (ex. otimizao de recursos), alm da
transparncia da TI para as partes interessadas [6].

Processos de Gesto
Contm 4 domnios, de acordo com as reas de responsabilidade de planejar, criar,
executar e monitorar (PBRM) e oferece cobertura ponta a ponta de TI. Estes domnios so uma
evoluo da estrutura de domnios e processos do COBIT 4.1. Como pode ser visto, foi
acrescentado um verbo para cada um dos domnios do COBIT 4.1. Os domnios so:

Alinhar, Planejar e Organizar (Align, Plan and Organise - APO)


O domnio APO diz respeito identificao de como a TI pode contribuir melhor com
os objetivos corporativos. Processos especficos do domnio APO esto relacionados

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

21

Apostila de COBIT 5 v1.2


com a estratgia e tticas de TI, arquitetura corporativa, inovao e gerenciamento de
portflio, oramento, qualidade, riscos e segurana. Contm 13 processos. [6]

Construir, Adquirir e Implementar (Build, Acquire and Implement - BAI)


O domnio BAI torna a estratgia de TI concreta, identificando os requisitos para a TI e
gerenciando o programa de investimentos em TI e projetos associados. Este domnio
tambm enderea o gerenciamento da disponibilidade e capacidade; mudana
organizacional; gerenciamento de mudanas (TI); aceite e transio; e gerenciamento
de ativos, configurao e conhecimento. Contm 10 processos. [6]

Entregar, Servios e Suporte (Deliver, Service and Support - DSS)


O domnio DSS se refere entrega dos servios de TI necessrios para atender aos
planos tticos e estratgicos. O domnio inclui processos para gerenciar operaes,
requisies de servios e incidentes, assim como o gerenciamento de problemas,
continuidade, servios de segurana e controle de processos de negcio. Contm 6
processos. [6]

Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess - MEA) : 3 processos.


O domnio MEA visa monitorar o desempenho dos processos de TI, avaliando a
conformidade com os objetivos e com os requisitos externos. Contm 3 processos.

A figura 12 exibe os 37 processos de governana e gesto do COBIT 5. Os detalhes de


cada processo esto no COBIT 5: Enabling Processes [9].

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

22

Apostila de COBIT 5 v1.2

Figura 12 - Modelo de Referncia de Processos.


Fonte: COBIT 5, p. 35, 2012 ISACA [12]

No COBIT 5: Enabling Processes, cada um dos 37 processos so desdobrados em


prticas de governana ou prticas de gesto. Essas prticas de governana e de gesto so
equivalentes aos objetivos de controle do COBIT 4.1, prticas de gesto do Val IT e do Risk IT.
No Anexo III, encontra-se a relao de todos os processos com a respectiva descrio de
cada um.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

23

Apostila de COBIT 5 v1.2


Estrutura de Processos

Para cada processo, as seguintes informaes so includas, de acordo com o modelo de


processo anteriormente explicado:
Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.
Matriz RACI uma sugesto de atribuio de nvel de responsabilidade por prticas de
processos para diferentes funes e estruturas.
Descrio detalhada de prticas de processo para cada prtica:
Ttulo da Prtica e descrio;
Entradas e sadas da prtica, com indicao de origem e destino;
As atividades de processo, detalhando ainda mais as prticas;
Guias relacionados (related guidance): associa cada processo do COBIT a outros
frameworks que podem ser usados para implementar o processo.

Como exemplo, veja o Anexo IV que contm a descrio do processo BAI06: Gerenciar
Mudanas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

24

Apostila de COBIT 5 v1.2

6. GUIA DE IMPLEMENTAO
A ISACA oferece um guia de implementao em sua publicao COBIT 5
Implementation, que baseado em um ciclo de vida de melhoria contnua. No se destina a
ser uma abordagem prescritiva, nem uma soluo completa, mas sim um guia para evitar os
problemas mais comuns encontrados, alavancar as boas prticas e ajudar na gerao de
resultados esperados. O guia tambm apoiado por um conjunto de ferramentas de
implementao contendo uma variedade de recursos. O seu contedo inclui [4]:
Ferramentas de autoavaliao, medio e diagnstico
Apresentaes destinadas a vrios pblicos
Artigos relacionados explicaes adicionais
No documento relativo ao framework COBIT 5 apresentada uma introduo
implementao e ao ciclo de vida de melhoria contnua.

Mas como comear a implementao?


O COBIT 5 apresenta uma abordagem de implementao baseada na melhoria contnua,
sendo necessrio:
Criar o ambiente apropriado para a implementao;
Reconhecer os pontos de dor (pain points) tpicos e eventos desencadeadores (trigger
events);
Adotar um ciclo de vida de implementao;
Elaborar caso de negcios (business case) para a implementao e melhoria da
governana e gesto de TI.
Antes da implementao cada organizao precisa desenvolver seu prprio road map
ou plano de implementao, levando em considerao o seu contexto, ou seja, fatores do
ambiente interno e externo especfico da organizao, tais como:

tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana
Plano de negcios (business plan) e intenes estratgicas
Modelo de funcionamento e nvel de maturidade
Estilo de gesto
Apetite ao risco
Capacidades e recursos disponveis
Prticas da indstria

A abordagem ideal governana e gesto corporativa de TI ser diferente para cada


organizao e o contexto deve ser entendido e considerado a fim de adotar e adaptar o COBIT
com eficincia na implementao dos habilitadores de governana e gesto de TI da
organizao.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

25

Apostila de COBIT 5 v1.2

Criar o ambiente apropriado


Em seguida, importante ter um ambiente apropriado para se implementar a
governana corporativa de TI.

Somente se consegue implementar governana corporativa de TI se houver


patrocnio da alta direo da organizao!

Uma das melhores maneiras de obter esse patrocnio e formalizar essa implementao,
fornecendo um mecanismo para os executivos e para o conselho de administrao (board)
monitorar e direcionar a TI estabelecer um Comit Estratgico e Executivo de TI. Este comit
atua em nome do conselho de administrao (para o qual deve prestar contas) e responsvel
por definir como a TI utilizada dentro da organizao e por tomar decises importantes
relacionadas com TI que afetam a organizao. Este comit precisa ser presidido por um
executivo de negcio (idealmente um membro do board) e ter como membros
representantes das principais reas de negcio da organizao, alm do CIO ou diretor de TI.

Reconhecer os pontos de dor (pain points) e eventos desencadeadores (trigger


events)
Para indicar a necessidade de uma melhor governana e gesto de TI corporativa podem
existir uma srie de fatores denominados pontos de dor (pain points) ou eventos
desencadeadores (trigger events) que podem ser utilizados como o ponto de partida para
iniciativas de implementao.
Pontos de dor so problemas que a organizao est enfrentando ou os pontos fracos
da organizao. Exemplos de alguns dos pontos de dor conforme identificados no COBIT 5
Implementation so:

Frustrao do negcio com iniciativas fracassadas, elevando os custos de TI e


uma percepo de baixo valor para o negcio;
Incidentes significativos relacionados com riscos de TI para o negcio, tais como
perda de dados ou falha em projetos;
Problemas com terceirizao da prestao de servios, tais como o no
cumprimento de forma consistente dos nveis de servio acordados;
Ausncia de cumprimento de requisitos legais ou contratuais;
Resultados da auditoria sobre o fraco desempenho de TI;
Falha de transparncia nos gastos de TI;
Desperdcio de recursos em projetos que no geram valor para o negcio;
Insatisfao da equipe de TI;
Relutncia dos membros do conselho ou diretores em se envolver com a
implementao.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

26

Apostila de COBIT 5 v1.2


Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear aes de governana e gesto corporativa de TI, ou seja, que
faz a TI atuar em resposta a esses eventos. Exemplos de evento de gatilho (trigger events) so:

Fuso, aquisio ou alienao;


Mudana no mercado, na economia ou na posio competitiva;
Mudana no modelo operacional de negcios ou acordos de fornecimento;
Novas exigncias regulatrias ou de conformidade;
Mudana significativa de tecnologia ou mudana de paradigma;
Auditoria externa.
Uma nova estratgia ou de negcio.

Elaborar caso de negcios (business case)


Para garantir o sucesso de iniciativas de implementao pelo uso do COBIT, a
necessidade de agir deve ser amplamente reconhecida e comunicada dentro da organizao. A
iniciativa deve ser de propriedade de um patrocinador, envolver todas partes interessadas e
ser baseada em um caso de negcio (business case). Inicialmente, isto pode ser feito em alto
nvel do ponto de vista estratgico, comeando com uma compreenso clara dos resultados de
negcio desejados e progredindo para uma descrio detalhada das tarefas crticas e metas,
bem como papis-chave e responsabilidades. O caso de negcio uma ferramenta valiosa
disponvel para a gesto para orientar a criao de valor para o negcio. Um caso de negcio
justifica um projeto ou soluo proposta com base nos seus benefcios esperados e serve para
dar suporte deciso de implementar ou no tal projeto ou soluo.
No mnimo, o caso de negcios deve incluir o seguinte:

Os benefcios almejados para a organizao, seu alinhamento com a estratgia


de negcios e os respectivos responsveis pelo benefcio (que sero os
responsveis na organizao pela sua garantia). Isto pode basear-se em pontos
fracos e eventos desencadeadores;
As mudanas de negcios necessrias para criar o valor previsto. Isso poderia
ser baseado em anlise de gap e deve indicar claramente o que est includo no
escopo e o que no est;
Os investimentos necessrios para realizar as mudanas na governana e gesto
de TI (com base em estimativas de projetos necessrios);
O custos operacionais de TI e do negcio;
O risco inerente nas iniciativas, incluindo quaisquer restries ou dependncias
(com base em desafios e fatores de sucesso);
Papis, responsabilidades e obrigaes relacionados com a iniciativa;
Como o investimento e a criao de valor sero monitorados durante todo o
ciclo de vida econmico, e como os indicadores sero utilizados (com base em
objetivos e mtricas).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

27

Apostila de COBIT 5 v1.2


O caso de negcio no um documento esttico definitivo, mas uma ferramenta
operacional e dinmica que deve ser continuamente atualizada para refletir a atual viso do
futuro para que uma viso da viabilidade do programa possa ser mantida.

Ciclo de Vida de Implementao


A aplicao de uma abordagem de ciclo de vida de melhoria contnua fornece um
mtodo para as organizaes enfrentarem a complexidade e os desafios normalmente
encontrados durante a implementao da governana corporativa de TI.
Existem 3 componentes inter-relacionados neste ciclo de vida:
Ciclo de vida principal de melhoria contnua - Este no um projeto isolado.
Capacitao da mudana aborda os aspectos comportamentais e culturais, de
forma a garantir que todas as partes interessadas esto preparadas e
comprometidas com as mudanas necessrias para alcanar um estado futuro
desejado.
Gesto do programa
O ciclo de vida possui 7 fases como est ilustrado na figura 13:

Figura 13 - Fases do Ciclo de Vida.


Fonte: COBIT 5, p. 39, 2012 ISACA [12]

Fase 1- Quais so os direcionadores?: comea com o reconhecimento e aceitao da


necessidade de uma iniciativa de implementao ou melhoria. Identifica os pontos de dor
atuais e os direcionadores de mudana que cria um desejo de mudana nos nveis de gesto
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

28

Apostila de COBIT 5 v1.2


executiva. Um direcionador de mudana um evento interno ou externo, condio ou
problema que serve como um estmulo para a mudana.
Fase 2 Onde estamos agora?: est focada em definir o escopo da iniciativa de
implementao ou melhoria utilizando o mapeamento dos objetivos corporativos com os
objetivos de TI para os processos de TI associados, considerando como cenrios de risco
tambm poderiam destacar os principais processos em que se deve concentrar. Uma vez
priorizados os objetivos corporativos, objetivos de TI e processos associados mais importantes,
realizado uma avaliao do estado atual, e problemas ou deficincias so identificados
realizando-se uma avaliao de capacidade de processo nos processos crticos selecionados. A
presena de pontos de dor especficos tambm poderia contribuir para a seleo de processos
de TI em que se deve concentrar. Iniciativas em larga escala devem ser estruturadas como
vrias iteraes do ciclo de vida para qualquer iniciativa de implementao superior a seis
meses, h um risco de perda da dinmica, foco e adeso das partes interessadas.
Fase 3 Onde queremos estar?: um objetivo de melhoria definido e seguido por uma
anlise mais detalhada para identificar as lacunas e as possveis solues. Devem ser
priorizadas as iniciativas que so mais fceis de realizar e as susceptveis de produzir os
maiores benefcios.
Fase 4 O que precisa ser feito?: planeja solues prticas por meio da definio de
projetos apoiados por casos de negcios justificveis. Um plano de mudana para execuo
tambm desenvolvido. Um caso de negcio bem desenvolvido ajuda a garantir que os
benefcios do projeto so identificados e monitorados.
Fase 5 Como chegaremos l?: as solues propostas so implementadas na forma de
prticas dirias. As medidas podem ser definidas e o monitoramento estabelecido, utilizando
metas e indicadores do COBIT para garantir que o alinhamento de negcios seja alcanado e
mantido e o desempenho possa ser medido.
Fase 6 J chegamos l?: concentra-se na operao sustentvel dos habilitadores novos
ou melhorados e o monitoramento da realizao dos benefcios esperados.
Fase 7 Como mantemos essa dinmica?: o sucesso global da iniciativa revisado,
outros requisitos para a governana ou gesto de organizaes de TI so identificadas e a
necessidade de melhoria contnua reforada.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

29

Apostila de COBIT 5 v1.2

7. MODELO DE CAPACIDADE DE PROCESSOS


Usurios do COBIT 4.1 esto familiarizados com o modelo de maturidade de processo
includo nesse framework. Este modelo utilizado para medir o nvel de maturidade atual (asis) dos processos relacionados a TI de uma organizao, para definir o nvel de maturidade
desejado (to-be) e para determinar o gap entre eles e como melhorar o processo para
alcanar o nvel de maturidade desejado [4].
O COBIT 5 apresenta um novo modelo para a avaliao da capacidade dos processos de
TI da organizao baseado na norma ISO/IEC 15504 de Engenharia de Software (norma de
avaliao de processos).
Este modelo vai alcanar os mesmos objetivos gerais de avaliao do processo e suporte
a melhoria de processos, ou seja, ele proporcionar meios para medir o desempenho de
qualquer um dos processos de governana (baseados em EDM) ou processos de gesto
(baseados em PBRM) e permitir a identificao das reas que precisam ser melhoradas.
Os detalhes da abordagem de avaliao de capacidade COBIT 5 esto contidos na
publicao COBIT Process Assessment Model (PAM): Using COBIT 5.
Embora esta abordagem fornea informaes valiosas sobre o estado dos processos,
vale lembrar que processos so apenas um dos sete habilitadores de governana e gesto.
Por consequncia, as avaliaes de processo no iro fornecer um quadro completo sobre o
estado de governana de uma organizao. Para isso, os outros habilitadores precisam ser
avaliados tambm!

Para se obter um quadro completo sobre o estado de governana de uma


organizao, todos os habilitadores precisam ser avaliados!

Diferenas entre o Modelo de Maturidade COBIT 4.1 e o Modelo de


Capacidade COBIT 5
Modelo de Maturidade COBIT 4.1
Para utilizar o modelo de maturidade do COBIT 4.1 para a melhoria do processo so
necessrios os seguintes componentes do COBIT 4.1 (figura 14):

Em primeiro lugar, uma avaliao dever ser realizada para confirmar se os objetivos
de controle do processo foram atingidos;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos aplicveis para cada processo e que ajudam na obteno de uma viso mais
detalhada do nvel de maturidade dos processos;

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

30

Apostila de COBIT 5 v1.2

Controles de processos so objetivos de controle genricos que tambm precisam ser


analisados quando uma avaliao do processo for realizada. Controles de processos se
sobrepem parcialmente com os atributos genricos do modelo de maturidade.

Figura 14 - Modelo de Maturidade do COBIT 4.1.


Fonte: : COBIT 5, p. 43, 2012 ISACA [12]

Modelo de Maturidade COBIT 5


O modelo de capacidade de processos do COBIT 5 exibido na figura 15.

Figura 15 - Modelo de Capacidade de Processos.


Fonte: COBIT 5, p. 44, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

31

Apostila de COBIT 5 v1.2


Nveis de capacidade
O modelo contm 6 nveis de capacidade, em uma escala de 0 a 5, porm com nome e
significado bem diferentes dos nveis de maturidade do COBIT 4.1. Cada nvel de capacidade
de processo possui um conjunto de atributos de processo que devem ser avaliados para o
alcance do nvel em questo.
Os nveis de capacidade so:
Nvel 0 - Processo Incompleto: o processo no foi implementado ou no atingiu seu
objetivo. Nesse nvel, h pouca ou nenhuma evidncia de realizao sistemtica da finalidade
do processo.
Nvel 1 - Processo Executado: o processo est implementado e atinge seu objetivo.
Possui o atributo PA1.1 Desempenho do Processo (Process Performance).
Nvel 2 - Processo Gerenciado: o processo realizado anteriormente descrito
implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de
trabalho esto devidamente estabelecidos, controlados e mantidos. Possui os atributos PA2.1
Gerenciamento de Desempenho (Performance Management) e PA2.2 Gerenciamento de
Produto de Trabalho (Work Product Management).
Nvel 3 - Processo Estabelecido: o processo gerenciado anteriormente descrito
implementado usando um processo definido que capaz de alcanar os seus resultados de
processo. Possui os atributos PA3.1 Definio de Processo (Process Definition) e PA3.2
Implementao de Processo (Process Deployment).
Nvel 4 - Processo Previsvel: o processo estabelecido anteriormente descrito opera
dentro de limites definidos para alcanar seus resultados de processo. Possui os atributos
PA4.1 Gerenciamento do Processo (Process Management) e PA4.2 Controle do Processo
(Process Control).
Nvel 5 - Processo Otimizado: o processo previsvel anteriormente descrito
continuamente melhorado para atender aos objetivos corporativos. Possui os atributos PA5.1
Inovao de Processo (Process Innovation) e PA5.2 Otimizao de Processo (Process
Optimization).

Cada nvel de capacidade s pode ser alcanado quando o nvel inferior for
plenamente alcanado!

Por exemplo, uma capacidade de processo nvel 3 (Processo Estabelecido), exige que os
atributos Definio de Processos e Implementao do Processo sejam amplamente realizados,
alm da plena realizao dos atributos do nvel de capacidade 2 (Processo Gerenciado).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

32

Apostila de COBIT 5 v1.2


Atributos de processo
Atributos de processo (PA Process Attributes) determinam se um processo alcanou
um determinado nvel de capacidade, medindo um aspecto particular da capacidade de um
processo. Cada nvel de capacidade de processo possui um conjunto de atributos de processo
que devem ser avaliados para o alcance do nvel em questo. Os 9 atributos de processo so:
PA1.1 Desempenho do Processo (Process Performance)
PA2.1 Gesto do Desempenho (Performance Management)
PA2.2 Gesto dos Produtos de Trabalho (Work Product Management)
PA3.1 Definio do Processo (Process Definition)
PA3.2 Implementao do Processo (Process Deployment)
PA4.1 Gesto do Processo (Process Management)
PA4.2 Controle do Processo (Process Control)
PA5.1 Inovao do Processo (Process Innovation)
PA5.2 Otimizao do Processo (Process Optimization)

Vale destacar que o nvel 1 apresenta um mtodo de avaliao diferente dos demais. O
Atributo PA 1.1 Execuo do Processo utiliza prticas e produtos de trabalho (artefatos
associados execuo do processo) especficos de cada processo, enquanto os demais
atributos se baseiam em prticas e produtos de trabalho genricos aplicveis a todos os
processos [13].
A seguir so apresentadas as descries e os resultados esperados para cada atributo
[13][14].
PA1.1 Desempenho do Processo: avalia se o processo atinge o seu objetivo. avaliado
se as atividades bsicas e os produtos de trabalho do processo so executados de alguma
forma, no sendo necessria a formalizao e documentao dos mesmos.
PA2.1 Gesto do Desempenho: avalia se o desempenho do processo gerenciado.
Como resultado da plena realizao desse atributo:
os objetivos de desempenho do processo so definidos;
o desempenho do processo planejado, monitorado e ajustado para atingir o
planejado;
responsabilidades para execuo do processo so definidas, atribudas e
comunicadas;
recursos e informaes necessrias para executar o processo so identificados,
esto disponveis, alocados e utilizados;
interface entre as partes envolvidas no processo so gerenciadas para garantir a
eficcia na comunicao e clareza na definio de responsabilidades.
PA2.2 Gesto dos Produtos de Trabalho: avalia se os produtos de trabalho produzido
pelo processo so apropriadamente gerenciados. Como resultado da plena realizao desse
atributo:
requisitos para os produtos de trabalho do processo so definidos;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

33

Apostila de COBIT 5 v1.2


requisitos para documentao e controle dos produtos de trabalho so
definidos;
produtos de trabalho do processo so devidamente identificados e controlados;
produtos de trabalho do processo so revisados de acordo com os critrios
definidos e ajustados para atender aos requisitos.
PA3.1 Definio do Processo: busca avaliar se um processo padro mantido de
forma que auxilie a implantao de um processo definido. Como resultado da plena realizao
desse atributo:
um processo padro, incluindo orientaes para adaptao, definido e
descreve os elementos fundamentais que devem ser incorporados a um
processo definido;
a sequncia e interao do processo padro com outros processos so
determinadas;
papis e competncias necessrias para a realizao de um processo so
identificados como parte do processo padro;
infraestrutura necessria e ambiente de trabalho para a realizao do processo
so identificados;
mtodos para monitorar a eficcia e adequao do processo so determinados.
PA3.2 Implementao do Processo: busca avaliar se um processo padro
eficientemente implantado como um processo definido. Como resultado da plena realizao
desse atributo:
um processo definido implantado baseado na escolha e adequao de um
processo padro;
papis e responsabilidades para executar o processo definido so alocados e
comunicados;
atores do processo definido possuem experincia e so adequadamente
treinados;
recursos e informaes necessrias para a execuo do processo definido esto
disponveis, alocados e so utilizados;
infraestrutura e ambientes necessrios para a execuo do processo definido
esto disponveis, so gerenciados e mantidos;
os dados apropriados so coletados e analisados para entendimento do
comportamento, demonstrao da efetividade e avaliao de melhorias
contnuas do processo definido.
PA4.1 Gesto do Processo: busca avaliar se resultados de medio de desempenho do
processo so utilizados para garantir o atingimento de objetivos do processo, em suporte a
metas de negcio. Como resultado da plena realizao desse atributo:
necessidades de informao do processo so definidas de acordo com os
objetivos de negcio;
os objetivos de medio do processo so derivados da necessidade de
informao do mesmo;
objetivos quantitativos para o desempenho do processo so estabelecidos de
acordo com as necessidades do negcio;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

34

Apostila de COBIT 5 v1.2


medidas e frequncia de medio so identificadas e definidas de acordo com
os objetivos de medio do processo e os objetivos quantitativos para o
desempenho do processo;
os resultados de medio so coletados, analisados e reportados a fim de avaliar
e os objetivos quantitativos do processo so atingidos.
PA4.2 Controle do Processo: busca avaliar se o processo quantitativamente
gerenciado, de modo que seja estvel e previsvel dentro de limites preestabelecidos. Como
resultado da plena realizao desse atributo:
tcnicas de controle e anlise so definidas e aplicadas;
limites de variao do processo so definidos para uma performance normal do
processo;
os dados de medio so analisados para causas especiais de variao;
aes corretivas so tomadas para enderear as variaes observadas e
os limites de controle so reestabelecido (se necessrio) de acordo com aes
corretivas.
PA5.1 Inovao do Processo: busca avaliar se mudanas para o processo so
identificadas atravs de anlises de causas comuns de variao no desempenho e da
investigao de abordagens inovadoras para a definio e implementao do processo. Como
resultado da plena realizao desse atributo:
objetivos de melhoria do processo so definidos de acordo com os objetivos de
negcio;
dados apropriados so analisados para a identificao de causas comuns s
variaes do processo;
dados apropriados so analisados para identificar oportunidades para melhores
prticas e inovao;
oportunidades de melhorias derivadas de novas tecnologias e conceitos de
processo so identificadas;
uma estratgia de implementao estabelecida para atingimento dos
objetivos de melhoria.
PA5.2 Otimizao do Processo: busca avaliar se mudanas em definies,
gerenciamento e desempenho do processo causaram impactos efetivos no atingimento do
objetivo de melhorias. Como resultado da plena realizao desse atributo:
os impactos de todas as mudanas propostas so avaliados frente aos objetivos
do processo definido e padro;
a implementao de todas as mudanas acordadas gerenciada para garantir
que qualquer interrupo no desempenho do processo entendida e corrigida;
com base no desempenho atual, a eficcia da mudana no processo avaliada
em funo dos requisitos de produtos definidos e objetivos de processo para
determinar se os resultados so devidos s causas identificadas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

35

Apostila de COBIT 5 v1.2


Cada atributo de processo avaliado com base na seguinte escala:
Escala
N
(no alcanado)
P
(parcialmente
alcanado)

Descrio
H pouca ou nenhuma evidncia de realizao
do atributo de processo no processo avaliado
H alguma evidncia de realizao do atributo
de processo no processo avaliado.
Alguns aspectos da realizao do atributo
podem ser imprevisveis.
L
H evidncias de uma realizao significativa do
(largamente alcanado) atributo de processo no processo avaliado.
Algumas fraquezas relacionadas a este atributo
podem existir no processo avaliado.
F
H evidncias de uma realizao completa do
(totalmente alcanado) atributo de processo no processo avaliado.
No h deficincias significativas associadas a
este atributo no processo avaliado

% de realizao
0% a 15%
15% a 50%

50% a 85%

85% a 100%

Tabela 2 Escala de avaliao dos atributos de processo.


Fonte: [13]

O alcance de um determinado nvel de capacidade requer que os atributos para


este nvel estejam totalmente ou largamente (F ou L) alcanados e os atributos
para todos os nveis inferiores estejam "totalmente" (F) alcanados.
Portanto, para o alcance do nvel 2, por exemplo, preciso que o PA 2.1 e PA 2.2 sejam
avaliados como F ou L e o PA 1.1 seja avaliado como F (figura 16). [13]

Figura 16 Avaliao dos atributos por nvel de capacidade.


Fonte: [15]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

36

Apostila de COBIT 5 v1.2

Diferenas na Prtica
A partir das descries anteriores, evidente que h algumas diferenas prticas
associadas com a mudana no modelo de avaliao dos processos. Os usurios precisam estar
cientes dessas mudanas e estar preparado para lev-los em conta em seus planos de ao. As
principais alteraes a serem consideradas incluem:

Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para
descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.

O modelo de maturidade do COBIT 4.1 no considerado compatvel com o


modelo da ISO/IEC 15504 porque os mtodos usam diferentes atributos e escalas
de medio!

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

37

Apostila de COBIT 5 v1.2


Nveis de Maturidade (COBIT 4.1) x Nveis de Capacidade de Processo (COBIT 5)
COBIT 4.1
COBIT 5 (com base na ISO/IEC 15504)
Nvel 5: Processo Otimizado - processos so
Nvel 5: Processo em Otimizao - o nvel
refinados ao nvel de boa prtica, baseados nos 4 Processo Previsvel continuamente
resultados de melhoria contnua e modelagem
melhorado para atender objetivos
da maturidade com outras organizaes. A TI corporativos atuais ou previstos.
utilizada de forma integrada para automatizar o
fluxo de trabalho, fornecendo ferramentas para
melhorar a qualidade e eficcia, fazendo com
que a organizao se adapte rapidamente.
Nvel 4: Gerenciado e Mensurvel Nvel 4: Processo Previsvel - o nvel 3
gerenciamento monitora e mede conformidade Processo Estabelecido agora opera dentro
com procedimentos e toma aes onde
de limites definidos para alcanar seus
processos parecem no funcionar efetivamente. resultados de processo.
Processos esto sob melhoria constante e
fornecem boa prtica. Automao e ferramentas
so usadas de forma limitada ou fragmentada.
Nvel 3: Processo Definido - procedimentos so
padronizados, documentados e comunicados
por meio de treinamento. obrigtorio que
estes processos sejam seguidos; entretanto,
pouco provvel que desvios sejam detectados.
Os prprios procedimentos no so sofisticados,
mas so a formalizao de prticas existentes.

Nvel 3: Processo Estabelecido - o nvel 2


Processo Gerenciado agora
implementado usando um processo
definido que capaz de alcanar seus
resulados de processo.

Nvel 2: Processo Gerenciado - o nvel 1


Processo Realizado agora implementado
de forma gerenciada (planejado,
monitorado e ajustado) e seus produtos
de trabalho so estabelecidos,
controlados e mantidos apropriadamente.
Nvel 1: Processo Realizado - o processo
implementado alcana seu propsito de
processo.

Nvel 2: Repetvel mas Intuitivo - processos so


desenvolvidos de forma que procedimentos
similiares so seguidos por pessoas diferentes
que esto executando a mesma tarefa. No h
treinamento ou comunicao formal de
procedimentos padronizados e a
responsabilidade deixada a cargo do indivduo.
H um alto grau de confiana no conhecimento Obs.: possvel que algum processo
dos indivduos e, portanto, erros podem ocorrer. classificado como nvel 1 seja classificado
como nvel 0 de acordo com a ISO/IEC
Nvel 1: Inicial/Ad-hoc - h evidncia que a
organizao reconheceu que questes existem e 15504, se o resultado do processo no for
alcanado.
precisam ser tratadas. No h, entretanto,
nenhum processo padronizado; em vez disto,
existem abordagens ad hoc que tendem a ser
aplicadas por indivduos. A abordagem geral de
gerenciamento desorganizada.
Nvel 0: No existente - completa falta de
Nvel 0: Processo Incompleto - o processo
qualquer processo reconhecvel. A organizao no implementado ou no consegue
ainda no reconheceu que existe uma questo a alcanar seu propsito
ser tratada.
Tabela 3 - Comparao Niveis de Maturidade COBIT 4 x Nveis de Capacidade COBIT 5. Fonte: COBIT 5, p. 46,
2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

38

Apostila de COBIT 5 v1.2

Benefcios das Mudanas


Os benefcios do modelo de capacidade de processo do COBIT 5, comparados com os
modelos de maturidade do COBIT 4.1 incluem:
Maior nfase no processo que est sendo realizado para confirmar que est
efetivamente alcanando seus objetivos e os resultados esperados.
Simplificao do contedo por meio da eliminao da duplicao, porque a
avaliao do modelo de maturidade do COBIT 4.1 exigia o uso de diversos
componentes especficos, inclusive o modelo de maturidade genrico, modelos
de maturidades do processo, objetivos de controle e controles de processo para
apoiar a avaliao do processo.
Maior confiabilidade e repetitividade das atividades e anlises da avaliao da
capacidade do processo, reduzindo debates e desentendimentos entre as partes
interessadas em relao aos resultados da avaliao.
Maior uso dos resultados da avaliao da capacidade do processo, visto que o
novo modelo estabelece uma base para a realizao de avaliaes mais
rigorosas e formais, tanto para finalidades internas como externas em potencial.
Conformidade com um padro de avaliao de processo geralmente aceito e,
portanto, um forte apoio abordagem de avaliao do processo no mercado.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

39

Apostila de COBIT 5 v1.2

8. PRINCIPAIS DIFERENAS DO COBIT 5 COM RELAO AO COBIT 4.1


O COBIT 5 trouxe uma srie de mudanas em relao ltima verso, o CobiT 4.1. A
tabela abaixo apresenta as principais diferenas entre as verses [7][16]:

GOVERNAN
A E GESTO

COBIT 4.1
COBIT 5
No
diferencia
claramente H uma diferenciao clara entre
domnios de Governana e de domnios de Governana e de Gesto
Gesto de TI
de TI

INTEGRAO
DOS
MODELOS

Frameworks como COBIT 4.1, Val Integra diferentes frameworks e


IT, Risk IT e ITIL so tratados normas de Governana de TI em um
separadamente
nico modelo

PRINCPIOS

No se baseia nos princpios de


Governana de TI (GEIT) conforme
previsto nos frameworks Val IT e
Risk IT

Novos princpios de governana


corporativa de TI:
1. Atender as necessidades dos
stakeholders (partes interessadas)
2. Cobrir a organizao de ponta a
ponta
3. Aplicar um framework (modelo)
nico e integrado
4. Permitir uma abordagem holstica
5. Distinguir a governana da gesto

HABILITADOR
ES

Esse conceito difundido na


estrutura do documento, no
possuindo um tpico especfico
que o aborde de forma individual.

Grande enfoque nos habilitadores.


So apresentados 7 categorias:
1.Princpios, polticas e frameworks
2.Processos
3.Estruturas organizacionais
4.Cultura, tica e comportamento
5. Informao
6.Servios, infraestrutura e aplicaes
7.Pessoas, habilidades e competncias

MODELO DE Modelo de processos contendo 4 Modelo de processos apresenta 1


PROCESSOS
domnios
de
gesto
que domnio de Governana (com 5
contemplam 34 processos
processos) e 4 domnios de gesto
(com 32 processos) que contemplam
37 processos, cobrindo atividades
corporativas de ponta a ponta, ou
seja, das reas de negcio e funes
de TI.
OBJETIVOS E Apresenta cascata de objetivos,
MTRICAS
desdobrando os objetivos de
negcio em objetivos de TI, que
por sua vez eram desdobrados em
objetivos de processos e estes em
objetivos de atividades.
Apresenta alguns poucos exemplos
de mtricas para os objetivos de TI,

COBIT 5 segue o mesmo conceito de


objetivos mtricas como no COBIT 4.1,
Val IT e RiskIT. Os objetivos de
negcios so desdobrados em
objetivos de TI, e estes em objetivos
de habilitadores que refletem uma
viso de nvel corporativo.
Apresenta maior nmero de exemplos

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

40

Apostila de COBIT 5 v1.2


objetivos de processo e objetivos de mtricas para os objetivos de TI e
de atividades.
objetivos de processos.
Apesar de serem apresentadas
mtricas em um nvel a menos do que
na verso anterior (no possui
objetivos de atividades), essas
informaes so apresentadas de
maneira mais estruturada.
ENTRADAS E Apresenta entradas e sadas Apresenta entradas e sadas para cada
SADAS
somente para os processos.
prtica de gerenciamento.
PRTICAS E H objetivos e prticas de controle.
ATIVIDADES

MATRIZ RACI

As prticas de gesto e de governana


do so equivalentes aos objetivos de
controle do COBIT 4.1 e dos processos
de Val IT e Risk IT.
As atividades do COBIT 5 so
equivalentes s prticas de controle
do COBIT 4.1 e das prticas do Val IT e
Risk IT.

Apresenta nmero reduzido de Fornece uma matriz RACI escrevendo


papis para os processos de TI.
papis e responsabilidades de forma
similar ao COBIT 4.1, porm oferece
uma gama mais completa, detalhada e
mais clara dos papis para cada
prtica de gerenciamento, permitindo
uma melhor definio das
responsabilidades dos papis ou nvel
de envolvimento na concepo e
implementao de processos.

MODELO DE Modelo
de
maturidade
de
CAPACIDADE
processos baseado no CMM
(Capacity Maturity Model).
No modelo de maturidade, os
atributos utilizados para avaliao
esto presentes em todos os nveis
e evoluem de acordo com a
maturidade do processo.

COBIT 5 descontinua o modelo de


maturidade.
Modelo de capacidade de processos
baseado na norma ISO/IEC 15504.
No modelo de capacidade, os
atributos so genricos e exclusivos
para cada nvel, ou seja, cada nvel de
capacidade ser determinado por um
ou dois atributos especficos.
O modelo de maturidade do COBIT 4.1
no considerado compatvel com o
modelo da ISO/IEC 15504 porque os
mtodos usam diferentes atributos e
escalas de medio.

Tabela 4 Diferenas entre COBIT 4.1 e COBIT 5.


Fonte: [7][16] adaptado

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

41

Apostila de COBIT 5 v1.2

ANEXO I: Cascata de Objetivos do COBIT 5


A Cascata de Objetivos do COBIT 5, de acordo com a figura 17, tem a finalidade de
desdobrar [4]:
direcionadores (drivers) e as necessidades das partes interessadas em objetivos
corporativos;
objetivos corporativos em objetivos de TI;
objetivos de TI em objetivos para os habilitadores.

Figura 17 - Cascata de Objetivos.


Fonte: COBIT 5, p. 20, 2012 ISACA [12]

Esse desdobramento descrito nos quatro passos a seguir:

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

42

Apostila de COBIT 5 v1.2


Passo 1: Direcionadores de Partes Interessadas (Stakeholders) Influenciam as
Necessidades dos Stakeholders

As necessidades das partes interessadas so influenciadas por um nmero de


direcionadores (ou motivadores), como por exemplo, mudanas na estratgia do negcio,
mudana no ambiente do negcio (entrada de novos concorrentes), mudanas nas leis e
regulamentos vigentes e novas tecnologias.
Tomando a legislao como exemplo de direcionador, tem-se, no Brasil, a Lei n 12.965,
mais conhecida como o Marco Civil da Internet, que estabelece princpios, garantias, direitos e
deveres para o uso da Internet no Brasil. Um dos temas que a lei trata a neutralidade da
rede, em que o "responsvel pela transmisso, comutao ou roteamento tem o dever de
tratar de forma isonmica quaisquer pacotes de dados, sem distino por contedo, origem e
destino, servio, terminal ou aplicao. [10]" Isso visa garantir que todos os contedos e
usurios sejam tratados da mesma maneira. Como exemplo prtico, as operadoras de
telecomunicaes, que proveem o acesso Internet, podem ter uma oferta diversificada de
banda, mas no podem bloquear ou limitar a velocidade de trfego, dentro do pacote de
banda contratado, para determinados aplicativos, sites ou contedos na rede [11]. Alm disso,
a lei determina que as operadoras devero garantir a qualidade contratada da conexo
internet.
Essa lei pode se tornar um direcionador de partes interessadas de uma operadora de
telecomunicaes, influenciando as necessidades destas: as dos usurios de internet (parte
interessada externa), que agora tem a garantia de que a qualidade de sua conexo ser
conforme contratado, e caso no seja, poder reclamar seus direitos, e as do Conselho de
Administrao da operadora de telecomunicaes (parte interessada interna), que precisa se
preocupar em adaptar o negcio para atender a essa obrigao (j que dever modificar a
oferta de seus servios), pois caso no cumpram, poder ocorrer a perda de clientes,
impactando na criao de valor para o negcio.

Passo 2: Necessidades das Partes Interessadas (Stakeholders) desdobradas em


Objetivos Corporativos

As necessidades das partes interessadas podem ser relacionadas a um conjunto de


objetivos corporativos genricos definidos pelo COBIT 5. O documento do framework define
objetivos corporativos genricos que podem ser desenvolvidos usando as dimenses do
Balanced Scoredcard (BSC) e representam uma lista de objetivos comumente usados por uma
organizao. Embora essa lista no seja exaustiva, a maioria dos objetivos especficos de uma
organizao pode ser mapeada para um ou mais objetivos corporativos genricos. O
mapeamento das necessidades das partes interessadas, em formato de perguntas, em
objetivos corporativos apresentado no apndice D do documento do framework.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

43

Apostila de COBIT 5 v1.2


A lista de 17 objetivos corporativos genricos definidos pelo COBIT 5, como mostrado na
figura 18, incluem as seguintes informaes:

A dimenso BSC ao qual o objetivo corporativo pertence;


Objetivos corporativos;
O relacionamento do objetivo corporativo com os trs objetivos principais de
governana realizao de benefcios, otimizao de risco e otimizao de recursos
(P indica relacionamento primrio e S relacionamento secundrio).

Figura 18 - Objetivos corporativos.


Fonte: COBIT 5, p. 21, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

44

Apostila de COBIT 5 v1.2


Passo 3: Objetivos corporativos desdobrados em Objetivos de TI

O alcance dos objetivos corporativos exige uma srie de resultados relacionados a TI5,
que so representados pelos objetivos relacionados a TI. COBIT 5 define 17 objetivos
relacionados a TI, , conforme apresentado na figura 19:

Figura 19 - Objetivos de TI. Fonte: COBIT 5, p. 21, 2012 ISACA [12]

A tabela de mapeamento dos objetivos corporativos em objetivos de TI est


apresentada no Apndice B do documento do framework, e demonstra como cada objetivo
corporativo apoiado por diversos objetivos de TI.

Passo 4: Objetivos de TI desdobrados em Objetivos de Habilitadores

Atingir os objetivos relacionados a TI requer a aplicao e uso bem-sucedidos de um


conjunto de habilitadores. Habilitadores incluem:
Princpios, polticas e frameworks
Processos
Estruturas organizacionais
Cultura, tica e comportamento
5

Os resultados de TI no so obviamente o nico benefcio intermedirio necessrio para a consecuo


dos objetivos corporativos. Todas as demais reas funcionais de uma organizao, tais como finanas e
marketing, tambm contribuem para a consecuo dos objetivos corporativos, mas no contexto do
COBIT 5 somente as atividades e os objetivos de TI so considerados

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

45

Apostila de COBIT 5 v1.2


Informao
Servios, infraestrutura e aplicaes
Pessoas, habilidades e competncias
Para cada habilitador, um conjunto de objetivos especficos e relevantes pode ser
definido para suportar os objetivos relacionados a TI. Para o habilitador Processos (figura 20),
por exemplo, os objetivos e suas mtricas so fornecidos nas descries detalhadas de cada
processo. O documento do COBIT 5, em seu Apndice C, contm o mapeamento entre os
objetivos de TI e os processos pertinentes, que por sua vez contm os respectivos objetivos do
processo.

Usando a Cascata de Objetivos do COBIT 5 com Ateno

A cascata de objetivos - com suas tabelas de mapeamento entre os objetivos


corporativos e os objetivos de TI e entre os objetivos de TI e os habilitadores do
COBIT 5 (inclusive processos) - no contm a verdade universal, e os usurios no
devem tentar us-lo de uma forma puramente mecnica, mas sim como um
orientador.

H vrias razes para isso, entre as quais:


Cada organizao tem prioridades diferentes em seus objetivos, e essas
prioridades podem mudar com o tempo.
As tabelas de mapeamento no fazem distino entre o porte da organizao
e/ou o setor em que ela est inserida. Elas representam uma espcie de
denominador comum de como, no geral, os diferentes nveis de objetivos se
inter-relacionam.
Os indicadores usados no mapeamento consideram dois nveis de importncia
ou relevncia, sugerindo a existncia de discretos nveis de relevncia,
considerando que, de fato, o mapeamento ser parecido com uma constante
com vrios nveis de correspondncia.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

46

Apostila de COBIT 5 v1.2

ANEXO II: Exemplo de Habilitador: Processos

Figura 20 - Habilitador Processos.


Fonte: COBIT 5, p. 73, 2012 ISACA [12]

Partes Interessadas: como pode ser visto na figura 20, partes interessadas do processo
incluem todos os atores do processo, ou seja, todas as partes que so responsveis, pra o qual
so prestadas contas, consultadas e informadas (RACI) para as atividades do processo. Por isso,
a matriz RACI para cada processo descrita no COBIT 5: Enabling Process pode ser utilizada.
Objetivos: para cada processo, os objetivos adequados e mtricas relacionadas precisam
ser definidos. Por exemplo, para o processo de APO08 Gerenciar relacionamentos pode-se
encontrar um conjunto de objetivos de processo e mtricas, tais como:

Objetivo: estratgias de negcios, planos e requisitos so bem compreendidos,


documentados e aprovados.
Mtrica: Percentual de programas alinhados com os requisitos de negcio

Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.
Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

47

Apostila de COBIT 5 v1.2

ANEXO III: Domnios e Processos


DOMNIO AVALIAR, DIRIGIR E MONITORAR (EDM)
Avaliar, Dirigir e Monitorar

Garantir a Definio e
EDM01 Manuteno do Framework de
Governana

EDM02

EDM03

EDM04

EDM05

Analisa e articula os requisitos para a governana


corporativa de TI, coloca em prtica e mantm
estruturas, princpios, processos e prticas, com
clareza de responsabilidades e autoridade para
alcanar a misso, as metas e os objetivos da
organizao.

Garantir a Realizao de
Benefcios

Otimiza a contribuio de valor para o negcio a


partir dos processos de negcios, servios e ativos
de TI resultantes de investimentos realizados na TI
a custos aceitveis.

Garantir a Otimizao de
Riscos

Assegura que o apetite e tolerncia a riscos da


organizao so compreendidos, articulados e
comunicados e que o risco ao valor da organizao
relacionado ao uso de TI identificado e
controlado.

Garantir a Otimizao de
Recursos

Assegura que as capacidades adequadas e


suficientes relacionadas TI (pessoas, processos e
tecnologia) esto disponveis para apoiar os
objetivos da organizao de forma eficaz a um
custo timo.

Garantir Transparncia para as


Partes Interessadas

Assegura que a medio e relatrios de


desempenho e conformidade da TI corporativa
sejam transparentes para os stakeholders
aprovarem as metas, mtricas e as aes
corretivas necessrias.

Tabela 5 Domnio Avaliar, Dirigir e Monitorar (EDM)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

48

Apostila de COBIT 5 v1.2

DOMNIO ALINHAR, PLANEJAR E ORGANIZAR (APO)


Alinhar, Planejar e Organizar

APO01

APO02

APO03

Gerenciar a Estrutura de Gesto


de TI

Esclarece e mantm a misso e viso da


governana de TI da organizao.
Implementa e mantm mecanismos e
autoridades para gerenciar a informao e o
uso da TI na organizao.

Gerenciar a Estratgia

Fornece uma viso holstica do negcio e


ambiente de TI atual, a direo futura, e as
iniciativas necessrias para migrar para o
ambiente futuro desejado.

Gerenciar a Arquitetura da
Organizao

Estabelece uma arquitetura comum que


consiste em processos de negcios,
informaes, dados, aplicao e tecnologia
para realizar de forma eficaz e eficiente as
estratgias de negcio e de TI por meio da
criao de modelos e prticas-chave que
descrevem arquitetura de linha de base.

APO04

Gerenciar a Inovao

APO05

Gerenciar o Portflio

Mantm uma conscincia de TI e tendncias


de servios relacionados, identifica
oportunidades de inovao e planeja como se
beneficiar da inovao em relao s
necessidades do negcio.
Influencia o planejamento estratgico e as
decises de arquitetura corporativa.
Executa o conjunto de orientaes
estratgicas para os investimentos alinhados
com a viso de arquitetura corporativa e as
caractersticas desejadas do investimento e
considerar as restries de recursos e de
oramento.
Avalia, prioriza programas e servios,
gerencia demanda dentro das restries de
recursos e de oramento, com base no seu
alinhamento com os objetivos estratgicos e
risco.
Move programas selecionados para o
portflio de servios para execuo.
Monitora o desempenho de todo o portflio
de servios e programas, propondo os ajustes
necessrios em resposta ao programa e
desempenho do servio ou mudana de
prioridades da organizao.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

49

Apostila de COBIT 5 v1.2

APO06

APO07

Alinhar, Planejar e Organizar (cont.)


Gerenciar as atividades financeiras
relacionadas a TI tantos nas funes de
negcios como de TI, abrangendo oramento,
gerenciamento de custos e benefcios e
Gerenciar Oramento e Custos
priorizao dos gastos com o uso de prticas
formais de oramento e de um sistema justo
e equitativo de alocao de custos para a
organizao.
Fornece uma abordagem estruturada para
garantir a estruturao ideal, colocao,
direitos de deciso e as habilidades dos
recursos humanos. Isso inclui a comunicao
Gerenciar Recursos Humanos
de papis e responsabilidades definidas,
planos de aprendizagem e de crescimento, e
as expectativas de desempenho, com o apoio
de pessoas competentes e motivadas.

Gerenciar Relacionamentos

Gerencia o relacionamento entre o negcio e


TI de uma maneira formal e transparente,
que garanta foco na realizao de um
objetivo comum.

Gerenciar Contratos de Prestao


de Servios

Alinha servios de TI e nveis de servio com


as necessidades e expectativas da
organizao, incluindo identificao,
especificao, projeto, publicao, acordo, e
acompanhamento de servios de TI, nveis de
servio e indicadores de desempenho.

Gerenciar Fornecedores

Gerencia servios relacionados a TI prestados


por todos os tipos de fornecedores para
atender s necessidades organizacionais,
incluindo a seleo de fornecedores, gesto
de relacionamentos, gesto de contratos e
reviso e monitoramento de desempenho de
fornecedores para a efetividade e
conformidade.

Gerenciar Qualidade

Define e comunica os requisitos de qualidade


em todos os processos, os procedimentos e
os resultados das organizaes, incluindo
controles, monitoramento contnuo, e o uso
de prticas comprovadas e padres na
melhoria contnua e esforos de eficincia.

APO12

Gerenciar Riscos

Identificar continuamente, avaliar e reduzir


os riscos relacionados a TI dentro dos nveis
de tolerncia estabelecidos pela diretoria
executiva da organizao.

APO13

Gerenciar Segurana

Define, opera e monitora um sistema para a


gesto de segurana da informao.

APO08

APO09

APO10

APO11

Tabela 6 Domnio Alinhar, Planejar e Organizar (APO)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

50

Apostila de COBIT 5 v1.2

DOMNIO CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)


Construir, Adquirir e Implementar

BAI01

Gerenciar Programas e Projetos

Gerenciar todos os programas e projetos do


portflio de investimentos em alinhamento
com a estratgia da organizao e de forma
coordenada. Inicia, planeja, controla e executa
programas e projetos, e finaliza com uma
reviso ps-implementao.

BAI02

Identifica solues e analisa os requisitos antes


da aquisio ou criao para assegurar que eles
esto em conformidade com os requisitos
estratgicos corporativos que cobrem os
processos de negcio, aplicaes, informaes/
Gerenciar Definio de Requisitos
dados, infra-estrutura e servios. Coordena
com as partes interessadas afetadas a reviso
de opes viveis, incluindo custos e
benefcios, anlise de risco e aprovao de
requisitos e solues propostas.

BAI03

Gerenciar Identificao e
Desenvolvimento de Solues

Estabelece e mantm solues identificadas


em conformidade com os requisitos da
organizao abrangendo design,
desenvolvimento, aquisio/terceirizao e
parcerias com fornecedores/vendedores.
Gerencia configurao, teste de preparao,
testes, requisitos de gesto e manuteno dos
processos de negcio, aplicaes,
informaes/dados, infra-estrutura e servios.

Gerenciar Disponibilidade e
Capacidade

Equilibra as necessidades atuais e futuras de


disponibilidade, desempenho e capacidade de
prestao de servios de baixo custo. Inclui a
avaliao de capacidades atuais, a previso das
necessidades futuras com base em requisitos
de negcios, anlise de impactos nos negcios
e avaliao de risco para planejar e
implementar aes para atender as
necessidades identificadas.

Gerenciar Capacidade de
Mudana Organizacional

Maximiza a probabilidade de implementar com


sucesso a mudana organizacional sustentvel
em toda a organizao de forma rpida e com
risco reduzido, cobrindo o ciclo de vida
completo da mudana e todas as partes
interessadas afetadas no negcio e TI.

BAI04

BAI05

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

51

Apostila de COBIT 5 v1.2

BAI06

BAI07

BAI08

BAI09

BAI10

Construir, Adquirir e Implementar (cont.)


Gerencia todas as mudanas de uma maneira
controlada, incluindo mudanas de padro e de
manuteno de emergncia relacionadas com
os processos de negcio, aplicaes e
infraestrutura. Isto inclui os padres de
Gerenciar Mudanas
mudana e procedimentos, avaliao de
impacto, priorizao e autorizao, mudanas
emergenciais, acompanhamento, elaborao
de relatrios, encerramento e documentao.

Gerenciar Aceitao e Transio


de Mudana

Aceita e produz formalmente novas solues


operacionais, incluindo planejamento de
implementao do sistema, e converso de
dados, testes de aceitao, comunicao,
preparao de liberao, promoo para
produo de processos de negcios e servios
de TI novos ou alterados, suporte de produo
e uma reviso ps-implementao.

Gerenciar Conhecimento

Mantm a disponibilidade de conhecimento


relevante, atual, validado e confivel para
suportar todas as atividades do processo e
facilitar a tomada de deciso. Plano para a
identificao, coleta, organizao,
manuteno, utilizao e retirada de
conhecimento.

Gerenciar Ativos

Gerencia os ativos de TI atravs de seu ciclo de


vida para assegurar que seu uso agrega valor a
um custo ideal. Os ativos permanecem
operacionais e fisicamente protegidos e
aqueles que so fundamentais para apoiar a
capacidade de servio so confiveis e
disponveis.

Gerenciar Configurao

Define e mantm as descries e as relaes


entre os principais recursos e as capacidades
necessrias para prestar servios de TI,
incluindo a coleta de informaes de
configurao, o estabelecimento de linhas de
base, verificao e auditoria de informaes de
configurao e atualizar o repositrio de
configurao.

Tabela 7 Domnio Construir, Adquirir e Implementar (BAI)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

52

Apostila de COBIT 5 v1.2

DOMNIO ENTREGAR, SERVIOS E SUPORTE (DSS)


Entregar, Servios e Suporte

DSS01

DSS02

DSS03

DSS04

DSS05

DSS06

Gerenciar as operaes

Coordena e executa as atividades e


procedimentos operacionais necessrios para
entregar servios de TI internos e terceirizados,
incluindo a execuo de procedimentos
operacionais, padres pr-definidos e as
atividades exigidas.

Gerenciar Solicitao de Servios


e Incidentes

Fornecer uma resposta rpida e eficaz s


solicitaes dos usurios e resoluo de todos
os tipos de incidentes. Restaurar o servio
normal; recorde e atender s solicitaes dos
usurios e registro, investigar, diagnosticar,
escalar e solucionar incidentes.

Gerenciar Problemas

Identifica e classifica os problemas e suas


causas-razes e fornece resoluo para prevenir
incidentes recorrentes. Fornece
recomendaes de melhorias.

Gerenciar Continuidade

Estabelece e mantm um plano para permitir o


negcio e TI responder a incidentes e
interrupes, a fim de continuar a operao de
processos crticos de negcios e servios de TI
necessrios e mantm a disponibilidade de
informaes em um nvel aceitvel para a
organizao.

Protege informaes da organizao para


manter o nvel de risco aceitvel para a
segurana da informao da organizao, de
Gerenciar Servios de Segurana acordo com a poltica de segurana. Estabelece
e mantm as funes de segurana da
informao e privilgios de acesso e realiza o
monitoramento de segurana.
Define e mantm controles de processo de
negcio apropriados para assegurar que as
Gerenciar os Controles de
informaes relacionadas e processadas
Processos de Negcio
satisfaz todos os requisitos de controle de
informaes relevantes.
Tabela 8 Domnio Entregar, Servios e Suporte (DSS)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

53

Apostila de COBIT 5 v1.2

DOMNIO MONITORAR, AVALIAR E ANALISAR (MEA)


Monitorar, Avaliar e Analisar

MEA01

MEA02

MEA03

Monitorar, Avaliar e Analisar o


Desempenho e Conformidade

Coleta, valida e avalia os objetivos e mtricas


do processo de negcios e de TI. Monitora se
os processos esto realizando conforme metas
e mtricas de desempenho e conformidade
acordadas e fornece informao que
sistemtica e oportuna.

Monitorar, Avaliar e Analisar o


Sistema de Controle Interno

Monitora e avalia continuamente o ambiente


de controle, incluindo auto-avaliaes e
anlises de avaliaes independentes. Permite
a gesto de identificar deficincias de controle
e ineficincias e iniciar aes de melhoria.

Monitorar, Avaliar e Analisar a


Conformidade com Requisitos
Externos

Avalia se processos de TI e processos de


negcios suportados pela TI esto em
conformidade com as leis, regulamentos e
exigncias contratuais. Obtm a garantia de
que os requisitos foram identificados e
respeitados, e integr-los conformidade com
o cumprimento global da organizao.

Tabela 9 Domnio Monitorar, Avaliar e Analisar (MEA)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

54

Apostila de COBIT 5 v1.2

ANEXO IV: Mapeamento de processos COBIT 5 X COBIT 4.1


Esse mapeamento uma adaptao da tabela de mapeamento dos objetivos de
controle do COBIT 4.1 para as prticas de gerenciamento do COBIT 5 [9]. Os processos
destacados em verde so novos processos do COBIT5.
Avaliar, Dirigir e Monitorar (EDM)
EDM01 Garantir a Definio e Manuteno PO3 Determinar a Direo Tecnolgica
do Framework de Governana
ME4 Fornecer Governana de TI
PO1 Definir um Plano Estratgico de TI
EDM02 Garantir a Realizao de Benefcios
ME4 Fornecer Governana de TI
PO6 Comunicar Metas e Diretivas Gerenciais
EDM03 Garantir a Otimizao de Riscos
PO9 Avaliar e Gerenciar Riscos
ME4 Fornecer Governana de TI
EDM04 Garantir a Otimizao de Recursos ME4 Fornecer Governana de TI
EDM05 Garantir Transparncia para as
Partes Interessadas
Tabela 10 COBIT 5 x COBIT 4.1: Domnio EDM. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA [9]

Alinhar, Planejar e Organizar (APO)


PO2 Definir a Arquitetura de Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir Processos de TI, Organizao e
APO01 Gerenciar a Estrutura de Gesto de
Relacionamento
TI
PO6 Comunicar Metas e Diretivas Gerenciais
PO7 Gerenciar Recursos Humanos
PO9 Avaliar e Gerenciar Riscos
PO1 Definir um Plano Estratgico de TI
APO02 Gerenciar a Estratgia
PO3 Determinar a Direo Tecnolgica
APO03 Gerenciar a Arquitetura da
PO2 Definir a Arquitetura de Informao
Organizao
PO3 Determinar a Direo Tecnolgica
APO04 Gerenciar a Inovao
PO3 Determinar a Direo Tecnolgica
PO1 Definir um Plano Estratgico de TI
APO05 Gerenciar o Portflio
PO5 Gerenciar o Investimento em TI
DS6 Identificar e Alocar Custos
APO06 Gerenciar Oramento e Custos
PO5 Gerenciar o Investimento em TI
DS7 Educar e Treinar usurios
PO4 Definir Processos de TI, Organizao e
APO07 Gerenciar Recursos Humanos
Relacionamento
PO7 Gerenciar Recursos Humanos
APO08 Gerenciar Relacionamentos
APO09 Gerenciar Contratos de Prestao
DS1 Definir nveis de Servios
de Servios
AI5 Obter Recursos de TI
APO10 Gerenciar Fornecedores
DS2 Gerenciar Servios de Terceiros
PO4 Definir Processos de TI, Organizao e
APO11 Gerenciar Qualidade
Relacionamento
PO8 Gerenciar Qualidade
APO12 Gerenciar Riscos
PO9 Avaliar e Gerenciar Riscos
APO13 Gerenciar Segurana
DS5 Garantir Segurana dos Sistemas
Tabela 11 COBIT 5 x COBIT 4.1: Domnio APO. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Luzia Dourado lmdourado.wordpress.com

lmdourado@hotmail.com

55

Apostila de COBIT 5 v1.2


Construir, Adquirir e Implementar (BAI)
BAI01 Gerenciar Programas e Projetos
PO10 Gerenciar Projetos
BAI02 Gerenciar Definio de Requisitos
AI1 Identificar solues automatizadas
Controles AC
AI2 Adquirir e manter software aplicativo
BAI03 Gerenciar Identificao e
Desenvolvimento de Solues

AI3 Adquirir e manter arquitetura


tecnolgica
AI5 Obter Recursos de TI

BAI04 Gerenciar Disponibilidade e


Capacidade
BAI05 Gerenciar Capacidade de Mudana
Organizacional
BAI06 Gerenciar Mudanas
BAI07 Gerenciar Aceitao e Transio de
Mudana
BAI08 Gerenciar Conhecimento
BIA09 Gerenciar Ativos
BAI10 Gerenciar Configurao

DS3 Gerenciar Performance e Capacidade


AI4 Manter operao e uso
AI7 Instalar e certificar Solues e Mudanas
AI6 Gerenciar mudanas
AI7 Instalar e certificar Solues e Mudanas
AI4 Manter operao e uso
DS9 Gerenciar a Configurao

Tabela 12 COBIT 5 x COBIT 4.1: Domnio BAI. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Entregar, Servios e Suporte (DSS)


DS11 Gerenciar Dados
DSS01 Gerenciar as operaes
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
DS5 Garantir Segurana dos Sistemas
DSS02 Gerenciar Solicitao de Servios e
DS8 Gerenciar Service Desk e Incidentes
Incidentes
DS9 Gerenciar a Configurao
DSS03 Gerenciar Problemas
DS10 Gerenciar Problemas
DS4 Garantir Continuidade dos Servios
DSS04 Gerenciar Continuidade
DS11 Gerenciar Dados
DS5 Garantir Segurana dos Sistemas
DS11 Gerenciar Dados
DSS05 Gerenciar Servios de Segurana
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
DSS06 Gerenciar os Controles de Processos Controles AC
de Negcio
DS11 Gerenciar Dados
Tabela 13 COBIT 5 x COBIT 4.1: Domnio DSS. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Monitorar, Avaliar e Analisar (MEA)


MEA01 Monitorar, Avaliar e Analisar o
ME1 Monitorar e Avaliar a Performance de
Desempenho e Conformidade
TI
MEA02 Monitorar, Avaliar e Analisar o
ME2 Monitorar e Avaliar Controle Interno
Sistema de Controle Interno
ME4 Fornecer Governana de TI
MEA03 Monitorar, Avaliar e Analisar a
ME3 Assegurar Conformidade Regulatria
Conformidade com Requisitos Externos
Tabela 14 COBIT 5 x COBIT 4.1: Domnio MEA. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Luzia Dourado lmdourado.wordpress.com

lmdourado@hotmail.com

56

Apostila de COBIT 5 v1.2

ANEXO V: Descrio do Processo BAI06: Gerenciar Mudanas

Tabela 15 Processo BAI06 Gerenciar Mudanas Fonte: COBIT 5: Enabling Process, p. 149, 2012 ISACA [9]

Luzia Dourado lmdourado.wordpress.com

lmdourado@hotmail.com

57

Apostila de COBIT 5 v1.2

Tabela 16 Processo BAI06 Gerenciar Mudanas (cont.) Fonte: COBIT 5: Enabling Process, p. 150, 2012 ISACA
[9]

Luzia Dourado lmdourado.wordpress.com

lmdourado@hotmail.com

58

Apostila de COBIT 5 v1.2

REFERNCIAS BIBLIOGRFICAS
[1] International Organization for Standardization. ISO/IEC 38500 Corporate governance of
information technology. ISO, 2008, 22p.
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.
[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf
[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012
[5] PwC. Por que conhecer o COBIT 5.
Acesso em: www.pwc.com.br/
[6] GAEA. Compreendendo os principais conceitos do COBIT 5.
Acesso em: http://www.gaea.com.br/cms/compreendendo-os-principais-conceitos-do-COBIT 5-parte-v/
[7] ISACA. Comparing COBIT 4.1 and COBIT 5.
Acesso em: http://www.isaca.org/COBIT /Documents/Compare-with-4.1.pdf
[8] Gentil, Frederico A. S., Novidades do COBIT 5.
Acesso em: http://fredgentil.com.br/artigos/novidades-do-COBIT -5/
[9] ISACA. COBIT 5: Enabling Process. USA, 2012.
[10] BRASIL. Lei n 12.965/2014, de 23 de abril de 2014. Estabelece princpios, garantias,
direitos e deveres para o uso da Internet no Brasil.
Acesso em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
[11] CGI.br. O CGI.br e o Marco Civil da Internet. Acesso em: http://www.cgi.br
[12] COBIT 5: Modelo Corporativo para Governana e Gesto de TI da Organizao, USA,
2012
[13] COBIT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo?,
Bridge Consulting, 2013. Acesso em: http://www.blog.bridgeconsulting.com.br/wpcontent/uploads/2013/09/CobiT_5_Avalia%C3%A7%C3%A3o_de_Maturidade.pdf
[14] COBIT Process Assessment Model (PAM): Using COBIT 4.1. USA, 2011.
[15] IINF326 - Modelos de Qualidade de SW - Mario L. Crtes. Acesso em:
http://www.ic.unicamp.br/~cortes/inf326/transp/cap7.pdf
[16] COBIT 5: Apresentao do novo framework da ISACA, Bridge Consulting, 2013. Acesso
em: http://www.blog.bridgeconsulting.com.br/wpcontent/uploads/2013/02/Apresenta%C3%A7%C3%A3o-do-CobiT-5.pdf
Luzia Dourado lmdourado.wordpress.com

lmdourado@hotmail.com

59