Governana, Gesto, Risco,

Conformidade e Valor - GGRCV

16 de Maro de 2012
Ian Lawrence Webster, CGEIT, CRISC
Presidente
ISACA Captulo Braslia

ISACA
A ISACA mundial constituda por pessoas em busca de uma fonte
centralizada de informaes e orientaes no crescente campo de
controles de auditoria de sistemas computacionais.
Inicialmente conhecida como uma Associao de Auditoria e Controle
de Sistemas de Informao (traduo de Sistema de Informao de
Auditoria e Controle de Associao ISACA), atualmente sua sigla
reflete um amplo leque de profissionais de governana de TI.
Tem 95.000 membros, que vivem e trabalham em mais de 160 pases,
sejam auditores, consultores, educadores, profissionais de segurana,
reguladores, diretores de informao e auditores internos.

ISACA Braslia Chapter

Constitudo em novembro/2008, o Captulo Braslia, apesar de sua inata
afiliao com a Associao internacional, uma entidade sem fins lucrativos
e independente de qualquer outra associao, empresa ou entidade.
Com foco nos campos inter-relacionados de Governana de TI, auditoria de
sistemas de informao, segurana da informao, controle e conformidade,
so objetivos do Captulo:
Promover a educao e apoiar e expandir o conhecimento e as
habilidades de seus membros;
Encorajar o compartilhamento aberto de tcnicas, estratgias e resoluo
de problemas;
Promover comunicao adequada para manter os membros informados
sobre eventos;
Comunicar aos gerentes, auditores, universidades e profissionais de
sistemas de informao a importncia de estabelecer controles
necessrios para garantir a adequada governana de TI e a efetiva
organizao e utilizao de recursos de TI;
Promover certificaes profissionais da Associao e de Governana de
TI.

COBIT: Agora, uma estrutura de negcios completo

para a Governance of Enterprise IT (GEIT)

Evolution of scope

Governance of Enterprise IT
IT Governance
Management

(2008)

Control
Risk IT
(2009)

Audit
COBIT1

1996

2012 ISACA.

Val IT 2.0

COBIT2

1998

COBIT3

2000

All rights reserved.

COBIT4.0/4.1 COBIT 5

2005/7

2012

COBIT 5
O COBIT 5 um grande avano estratgico,
atualizando a nova gerao de frameworks da ISACA no
que diz respeito ao assunto Governana Corporativa de TI.
Baseado em mais de 15 anos de uso prtico e aplicao do
COBIT por muitas empresas e usurios de negcio, de TI,
de segurana e comunidades de auditoria, o COBIT 5 est
sendo projetado para atender as atuais necessidades dos
dirigentes de negcio e permanecer alinhado com os
atuais pensamentos em Governana Corporativa e as
tcnicas de Gesto de TI.

Five COBIT 5 Principles

O Cincos Principios do COBIT:
1. Atender as Necessidades do Stakeholder
2. Cobrir ponto o ponto ao Negcio
3. Aplicar um Framework Integrado e singular
4. Facilitar uma abordagem Holistico
5. Separar Governana da Gesto

2012 ISACA.

All rights reserved.

COBIT 5 - Objetivos
COBIT 4.1 Control
Objectives

Val IT 2 Key
Management Practices

Risk IT Management
Practices
Business Model for
Information Security BMIS
Information Technology
Assurance Framework
- ITAF

Mapear

Mapear

Mapear

Prover a renovao e fortalecimento do

framework de governana e gesto das
informaes da organizao e tecnologia
relacionada, aproveitando o framework
COBIT j aceito mundialmente, linkando,
reforando, integrando e consolidando
todos os principais frameworks e guias
da ISACA
COBIT 5 Management &
Governance Practices

Taking Governance Forward

Mapear

Mapear

Board Briefing

Estrutura de Governana e
Gesto
Um framework ponto-ao-ponto para todo o Negcio,
endereando a governana e a gesto da informao
das tecnologia relacionadas.
O Framework, COBIT 5:
Guia de Referencia de
Processos e Guia de Implementao.
Por essa razo, o framework do COBIT 5 deixa claro a
distino entre governana e gesto.
As duas disciplinas incluem os tipos de atividades que
necessitam de diferentes estruturas organizacionais e
servem a propsitos diferentes.

Governana e Gesto
Governana

O termo Governana
derivado do verbo Grego
Kuberno significando para
dirigir.
Governana refere-se a todas
possibilidades e mecanismos
que ajudam as mltiplas partes
do ngocio a avaliar
condies e opes;
determinando tambm a direo;
o monitorarmento , a
conformidade, o desempenho e
o progresso, alinhando, desta
forma, os planos e os objetivos
do ngocio, visando satisfazer
as metas especficas da
organizao.

Gesto

A Gesto sempre diferenciada

da governana , ou seja, h
distino entre comprometido
(governana) e envolvido
(gesto).
Gesto implica na utilizao
criteriosa de meios (recursos,
pessoas, processos, prticas)
para alcanar um fim
identificado. um meio ou
instrumento pelo qual o rgo de
administrao consegue um
resultado ou objetivo.
A Gesto atua sobre o
planejamento, construo,
organizao e controle das
atividades operacionais e se
alinha com a direo definida
pelo rgo de administrao.

Principios COBIT 5
Principio 1: Cobit 5 Integrator
Framework -architecture
Principios 2 e 3: Stakeholder
Valuedriven and Business - focused
Principio 4: Cobit 5 Enablers for
Governance and Management
Principio 5: Governance - and
Management - structured
COBIT 5 um framework integrador porque:
Reune a orientao da ISACA existente em matria de governana e
gesto de empresas de TI
Alinha as normas mais recentes com outras normas e estruturas
Fornece uma arquitetura simples para a estruturao de materiais de
orientao e produz um resultado consistente no produto final

COBIT 5 Familia de Produtos

2012 ISACA.

All rights reserved.

11

Arquitetura do COBIT 5
Stakeholder
Needs

Governance
Objectives:
Value

Existing ISACA
Guidance
(COBIT, Val IT,
Risk IT, BMIS, )

(Benefits, Risk, Resource)

Other
Standards
and
Frameworks

COBIT 5
Enablers
Processes
Culture,
Ethics,
Behaviour

Service
Capabilities

Skills and
Competencies

Principles and
Policies

Organisational
Structures

Information

COBIT 5 Knowledge Base

Current guidance and contents
Structure for future contents

Knowledge Base
Content Filter

COBIT 5 Product Family

COBIT 5: The Framework
COBIT 5 Enabler Guides
COBIT 5 : Process Reference Guide

Other Enabler
Guidance

COBIT 5 Practice Guides

COBIT 5 : Framework Implementation
Guide

Other Practice
Guides

COBIT 5 for Security

COBIT 5 Online Collaborative Environment

Objetivos da Governana
Val IT, Risk IT, BMIS, ITAF,
Board Briefing,Taking Governance Forward,
ITIL, Padres ISO

Value Creation (Criao

de valor) significa realizar
benefcios otimizando
custos, recursos e riscos.

Empresas
existem
para criar valor para
seus stakeholders, de
modo que o objetivo
de governana para
qualquer empresa comercial ou no-
value creation.

Toda organizao atua em um contexto diferente;

este contexto determinado por fatores externos
(mercado, indstria, geopoltica, etc) e fatores
internos (cultura, organizao, apetite pelo risco,
etc), isso exige que cada organizao construa seu
prprio sitema personalizado de governana e
gesto. A estrutura do COBIT 5, o modelo de gesto
e governana e os modelos Enablers (facilitador) se
aplicam a todos os contextos e facilitam essa
personalizao.

Governana em COBIT 5
Governance Enablers
Governance enablers
so os recursos
organizacionais, tais
como frameworks,
princpios, estrutura,
processos e prticas,
para o qual ou atravs
do qual ao dirigida e
objetivos podem ser
atingidos. Facilitadores
tambm incluem
recursos da empresa,
por exemplo,
capacidades de servio
(infraestrutura de TI,
aplicaes, etc),
pessoas e informaes.

Governance Scope
A Governana pode
ser aplicada a toda a
empresa, uma
entidade, um ativo
tangvel ou intangvel,
etc Ou seja, possvel
definir diferentes vises
da empresa em que a
governaa aplicada.

Atender as Necessidades do
Stakeholder
Necessidades das partes
interessadas tm de ser
transformado em uma estratgia
de recurso da negcio.
Os 5 metas em cascata do
COBIT traduz as necessidades
das partes interessadas em
metas especficas, acionveis e
personalizadas dentro do
contexto da empresa,
relacionados os objetivos de TI e
metas facilitadores.
2012 ISACA.

All rights reserved.

15

Governana - Funo, Atividades e

Relacionamentos
Os Papis, Atividades e Relacionamentos
Um quarto elemento se refere aos papis,
atividades e relacionamentos de governana.
Esse elemento define quem est envolvido na
governana, como eles esto envolvidos, o
que eles fazem e como eles interagem no
mbito de qualquer sistema de governo. Em
COBIT 5, h diferenciao clara entre
governana e gesto nos domnios da
governana, bem como a diferenciao entre a
interface entre eles e os atores envolvidos.

Cobrir ponto o ponto ao Negcio

Componentes
chaves do
sistema
governana

2012 ISACA.

All rights reserved.

17

A proposta dos enablers

O objetivo do Enablers (facilitadores) promover a
implementao de um modelo de desempenho e sistema de
gesto da TI corporativa.
Os Facilitadores so amplamente definidos como qualquer coisa
que possa ajudar a alcanar os objetivos de governana das
empresas. Isso inclui recursos, tais como informaes e pessoas.
O Framework COBIT 5 enumera sete categorias de facilitadores:
Processos
Princpios e polticas
Estruturas organizacionais
Habilidades e competncias
Cultura e comportamento
Capacidades de Servio
Informao

Enabler-based
COBIT 5 Enablers Modelo Sistemica com Interao dos Enablers
COBIT 5 Enablers
Facilitadores
so
aqueles
elementos tangveis e intangveis
que premitem o funcionamento
de alguma coisa, neste caso, a
governana e a gesto sobre a
empresa de TI. Facilitadores so
movidos
pela
cascata
de
objetivos descritos na seo 3: o
alto nvel de TI relacionado com
metas definem o que os
diferentes facilitadores devem
alcanar.

Descrio dos Enablers

Service capabilities Incluem a infra-estrutura,
tecnologia e aplicativos que
suprem a empresa com
informaes e
processamento de
informaes e servios
Skills and
competences - Esto
ligados as pessoas e so
necessrios para a
concluso bem sucedida
de todas as atividades
e para tomada de
decises corretas
Principles and policies So o veculo para traduzir o
comportamento desejado em
orientaes prticas para
daytogesto do dia

Processes - Descreve um conjunto

organizado de prticas e atividades
para atingir certos objetivos e produzir
um conjunto de sadas que permita
alcanar objetivos gerais de TI.
Culture, ethics,
behaviour - Dos
indivduos e da
organizao; muitas vezes
subestimado como um
fator de sucesso em
arranjos de governana e
gesto
Organisational structures So a chave da tomada de
deciso entidades em uma
organizao
Information - Permeia toda a organizao. A Informao
necessria para manter a organizao funcionando e bem
governada, mas no nvel operacional, a informao muitas
vezes o produto chave da prpria empresa.

Enabler-based

Modelo Process Enabler

Goals and metrics Objetivos do
processo so definidos como "uma
Good practices
declarao descrevendo o
Processo interno de boas
A processresultado
is defined
as adecollection
or esto
moredescritas
kinds nos
of
desejado
um processo.of activities that takes one
prticas
resultado
pode
ser umthat
artefato,
input andUm
creates
an
output
is of value to the organisation.
nveis de detalhe em
uma mudana significativa de um
cascata, ou seja, prticas,
estado ou uma melhoria
atividades e atividades
significativa a capacidade de outros
detalhadas.
processos ".

Stakeholders Os processos tm
partes internas e externas, cada
uma com seus prprios papis.
Partes interessadas e seus nveis
de responsabilidade so
documentadas em grficos RACI,
que so um atributo do processo.

Life Cycle - Cada processo tem um

ciclo de vida, ou seja, definido,
criado, operado, monitorado e
ajustado / atualizado ou aposentado.
Prticas de processo genrico, tais
como as definidas no modelo de
avaliao de processos COBIT, com
base na ISO / IEC 15504, podem
ajudar a definir, executar, monitorar e
otimizar processos.

Attributes H uma srie de

atributos especficos do processo
definido no modelo de processo
COBIT 5. Estas incluem:
Entradas e sadas, o nvel de
capacidade do processo, grfico
RACI, etc.

Guia de Referncia do Processo

A publicao separada que se expande sobre o

modelo de processo Enabler (facilitador)
Contm todos os detalhes dos processos
COBIT em uma maneira similar a
documentao do processo em COBIT 4.1

Modelo Process e Enabler

Facilitadores
Processo

Informao

Principios e
Polticas

Partes
Interessadas

Componentes

Metas &
Metricas

Estruturas
Organizacionais

Cultura, tica e
Comportamento

Ciclio de
Vida

Habilidades e
Competncias

Capacidade
de Servios

Melhores
Praticas

Atributos

A Seperao de Governana da
Gesto

Processos de Governana e
Gesto
Os quatro domnios de gesto

O COBIT 5 modelo de referncia do processo divide

os processos de
alinham-se com as reas de
governana e gesto de empresas de TI em duas principais
reaspelo
responsabilidade

planejamento,construo,
execuo e monitoramento (PBRMuma evoluo do COBIT 4.1
O domnio GOVERNANA, contm
domnios), proporciona uma
cinco processos de governana;
cobertura end-to-end de TI. Cada
dentro de cada processo so
domnio contm uma srie de
definidas formas de avaliar, dirigir e
processos, como no COBIT 4.1 e
monitorar as prticas.
verses anteriores. Embora, como
descrito anteriormente a maioria
dos processos requeiram
"planejamento", "implementao",
"execuo" e "monitorizao"
atividades dentro do processo ou
dentro da questo especfica a ser
abordada (por exemplo, a
segurana),
Em COBIT 5, os processos tambm abrangem todaqualidade,
a gama de
negcioseles
e so
colocados em domnios e alinhados
atividades relacionadas governana e gesto de empresas
de TI, efetivando o
com a rea mais relevante da
modelo de processo em toda a empresa.
atividade quando de TI em nvel
corporativo.

Diferena entre COBIT 4.1e 5

COBIT 4.1

PO
Plan &
Organise

COBIT 5

PO 1
PO 2

GOVERNANA

AI
Arquire &
Implement

GERENCIAMENTO

rea
Evaluate, Direct &
Monitor
EDM

DS
Deliver &
Support

5 Processos

ME
Monitor &
Evaluate

Align, Plan & Organise APO

12 Processos
Build, Arquire &
Implement - BA
8 Processos
Deliver, Service &
Support (Run) - DSS
8 Processos

Domnio

Monitor, Evaluate &

Assess - MEA

Processo
Domnio

3 Processos

Diferena entre COBIT 4.1e 5

COBIT 4.1

Descrio

COBIT 5

PO10.1

Programme Management Framework

BAI1.1

PO10.2

Project Management Framework

BAI1.1

PO10.3

Project Management Approach

BAI1.1

PO10.4

Stakeholder Commitment

BAI1.3

PO10.5

Project Scope Statement

BAI1.7

PO10.6

Project Phase Initiation

BAI1.7

PO10.7

Integrated Project Plan

BAI1.8

PO10.8

Project Resources

BAI1.8

PO10.9

Project Risk Management

BAI1.10

PO10.10

Project Quality Plan

BAI1.9

PO10.11

Project Change Control

BAI1.11

PO10.12

Project Planning of Assurance Methods

BAI1.8

PO10.13

Project Performance Measurement, Reporting and Monitoring

BAI1.6; BAI1.11

PO10.14

Project Closure

BAI1.13

Diferena RACI Charts

2012 ISACA.

All rights reserved.

29

Modelo de Referencia dos Processos

2010 ISACA.

All rights reserved.

30

Estrutura de Processos
COBIT 5
APO05 Manage Portfolio

Area: Management
Domain: Align, Plan and Organise

Process Description
Process Purpose Statement
The process supports the achievement of a set of IT--related goals,
which support the achievement of a set of enterprise goals:
IT--related Goal

P/S

Related Metrics

Process Goals and Metrics

Process Goal

Related Metrics

RACI Chart
Process Practices, Inputs/Outputs and Activities
Practice
Activities

Inputs

Outputs

Exemplo Processo Governana

Exemplo Process Gesto

Objetivos do Negcio e da TI

Viso BSC
Finanas, Cliente, Interna
e Aprendizagem e
crescimento

Viso BSC
Finanas, Cliente, Interna
e Aprendizagem e
crescimento

Categorias de Habilidades

Guia de Implementao

Documento separado

Com base na
publicao atual de
implementao e
orientao

O Novo Processo do COBIT

Capability Assessment
H uma srie de benefcios em faz-lo:
Confirmar que um processo est prestes a atingir sua
finalidade e seja possvel entregar seus resultados como
esperado.
COBIT
5
Simplificao
do processo
e avaliao do contedo
de
COBIT
4.1
apoio. Maturidade do
Capacidade do
Confiabilidade e repetibilidade de atividades do processo
Processo
Processo
de capacidade de avaliaofoie substitudo
debates. por
Reduo das divergncias entre as partes interessadas
Baseado na ISO
sobre os resultados da avaliao.
15504 IEC e o
Aumentou a usabilidade dos resultados do processo de
Programa de
avaliao das capacidades. A nova abordagem
Avaliao do COBIT
estabelece uma base para mais formal e avaliaes
(CAP)
rigorosas a serem executadas para fins internos e
externos.
Forte apoio para abordagem do processo de avaliao no
mercado.

O Novo Processo do COBIT

Capability Assessment
COBIT 4.1/5

2012 ISACA.

All rights reserved.

38

Modelo de Capacidade do
Processo - Comparativo
COBIT 4.1
Maturity Model
Levels

COBIT 5 ISO/IEC
15504 Based
Capability Levels

Meaning of the COBIT 5 ISO/IEC 15504 Based

Capability Levels

5. Optimised

5. Optimised

Continuously improved to meet relevant current and projected

enterprise goals.

4. Managed and
Measurable

4. Predictable

Operates within defined limits to achieve its process outcomes.

3. Defined

3. Established

Implemented using a defined process that is capable of

achieving its process outcomes.

2. Managed

Implemented in a managed fashion (planned, monitored and

adjusted) and its work products are appropriately established,
controlled and maintained.

N/A

N/A

1. Performed

Process achieves its process purpose.

2. Repeatable
1. AdHoc
0. Nonexistent

0. Incomplete

Not implemented or little or no evidence of any systematic

achievement of the process purpose.

Context

Enterprise view/
corporate knowledge

Instance view/
individual knowledge

Modelo de Capacidade do
Processo

Comparitivo entre a Tabela dos Atributos de Maturidade

(COBIT 4.1) e os Atributos dos Processos
(COBIT 5)

COBIT 5 Produtos de Apoio Futuros

Practice Guides:
COBIT 5 for Information Security
COBIT 5 for Assurance
COBIT 5 for Risk

Enabler Guides:
COBIT 5: Enabling Information

COBIT Online Replacement

COBIT Assessment Programme:
Process Assessment Model (PAM): Using COBIT 5
Assessor Guide : Using COBIT 5
Self-assessment Guide: Using COBIT 5
2012 ISACA.

All rights reserved.

42

Muito obrigado!
Ian Lawrence Webster, CGEIT, CRISC
presidente@isaca-brasilia.org
www.isaca-brasilia.org.br