Você está na página 1de 120

Fundamentos

do COBIT 5
Luiz Claudio Diogo Reis

A RNP Rede Nacional de Ensino


e Pesquisa qualificada como
uma Organizao Social (OS),
sendo ligada ao Ministrio da
Cincia, Tecnologia e Inovao
(MCTI)

responsvel

pelo

Programa Interministerial RNP,


que conta com a participao dos
ministrios da Educao (MEC), da
Sade (MS) e da Cultura (MinC).
Pioneira no acesso Internet no
Brasil, a RNP planeja e mantm a
rede Ip, a rede ptica nacional
acadmica de alto desempenho.
Com Pontos de Presena nas
27 unidades da federao, a rede
tem mais de 800 instituies
conectadas. So aproximadamente
3,5 milhes de usurios usufruindo
de uma infraestrutura de redes
avanadas para comunicao,
computao e experimentao,
que contribui para a integrao
entre o sistema de Cincia e
Tecnologia, Educao Superior,
Sade e Cultura.

Ministrio da
Cultura
Ministrio da
Sade
Ministrio da
Educao
Ministrio da
Cincia, Tecnologia
e Inovao

Fundamentos

do COBIT 5

Luiz Claudio Diogo Reis

Fundamentos

do COBIT 5

Luiz Claudio Diogo Reis

Rio de Janeiro
Escola Superior de Redes
2015

Copyright 2015 Rede Nacional de Ensino e Pesquisa RNP


Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral

Nelson Simes
Diretor de Servios e Solues

Jos Luiz Ribeiro Filho

Escola Superior de Redes


Coordenao

Luiz Coelho
Edio

Lincoln da Mata
Reviso tcnica

Edson Kowask Bezerra e Fabio Barros


Equipe ESR (em ordem alfabtica)
Adriana Pierro, Alynne Figueiredo, Celia Maciel, Derlina Miranda, Elimria Barbosa,
Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato,
Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramao

Tecnodesign
Verso

1.0.0

Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio

Escola Superior de Redes

Rua Lauro Mller, 116 sala 1103


22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
R375f
Reis, Luiz Claudio Diogo

Fundamentos do COBIT 5 / Luiz Claudio Diogo Reis. Rio de Janeiro: RNP/ESR, 2015.

116 p. : il. ; 27,5 cm.

ISBN 978-85-63630-05-6


1. COBIT 5 (padro de gerenciamento de tecnologia da informao). 2. Tecnologia de

informao medidas de segurana. 3. Tecnologia de informao Gesto. I. Ttulo

CDD 004

Sumrio
sumario
A metodologia da ESRvii
Sobre o cursoviii
A quem se destinaviii
Convenes utilizadas neste livroix
Permisses de usoix
Comentrios e perguntasx
Sobre os autoresx

1. Governana Corporativa de TI
Introduo1
Tecnologia da Informao (TI) aplicada aos negcios 2
Exerccio de fixao 1 3
Exerccio de fixao 2 5
Componentes da governana de TI5
Alinhamento estratgico de TI5
Princpios de TI5
Aplicaes de TI6
Infraestrutura de TI6
Demandas de TI6
Terceirizao dos servios de TI6
Segurana da informao6

iii

Capacitao de recursos humanos6


Organizao dos processos de TI7
Investimentos e custos de TI7
Relacionamento com clientes internos e externos7
Desempenho de TI7
Requisitos de conformidade 8
Exerccio de fixao 3 8
Desafios para a governana e gesto de TI nas organizaes9
Introduo s estruturas de governana de TI10
Principais modelos de governana de TI10
Exerccio de fixao 4 12
Exerccio de fixao 5 15
Exerccio de fixao 6 17
Em busca da governana corporativa de TI17
Exerccio de fixao 7 18

2. Os cinco princpios do COBIT 5


1o princpio: atender s necessidades das partes interessadas20
Exerccio de fixao 1 21
2 princpio: cobrir a organizao de ponta a ponta22
Exerccios de fixao 2 24
3o princpio: Aplicar uma estrutura nica e integrada26
Exerccio de fixao 3 27
4 princpio: Permitir uma abordagem holstica27
Introduo aos sete habilitadores do COBIT 5 28
Exerccio de fixao 4 29
5 Princpio: separar a governana da gesto29
Exerccio de fixao 5 33
Interaes entre governana e gesto no COBIT33
Exerccio de fixao 6 35

iv

3. Cascata de objetivos do COBIT


Introduo37
Exerccio de fixao 1 38
Os quatro passos do processo da cascata de objetivos do COBIT 39
10 Passo: as tendncias das partes interessadas influenciam as suas necessidades39
Exerccio de fixao 2 39
20 Passo: cascasta das necessidades das partes interessadas em objetivos corporativos40
Exerccio de fixao 3
Exerccio de fixao 4

40
42

30 Passo: escalonamento dos objetivos corporativos em objetivos de TI43


Exerccio de fixao 5

44

Mapeamento entre os objetivos de TI e os processos do COBIT44


Exerccio de fixao 6

45

4 0 Passo: escalonamento dos objetivos de TI em metas do habilitador46


Adaptao da cascata de objetivos do COBIT47
Exerccio de fixao 7

48

4. Dimenses dos sete habilitadores do COBIT


Introduo 49
Dimenses comuns dos habilitadores50
Exerccio de fixao 1

54

Dimenso controle de desempenho do habilitador54


Exerccio de fixao 2

55

As dimenses do habilitador Princpios, Polticas e Modelos na prtica57


Relaes com outros habilitadores58
Exerccio de fixao 3

59

Explorando as dimenses do habilitador Processos59


Exerccios de fixao 4
Exerccio de fixao 5
Exerccio de fixao 6
Exerccio de fixao 7

64

64
67

69

Explorando o habilitador Informao69


Exerccio de fixao 8
Exerccio de fixao 9

73
73

Exerccio de fixao 10
Exerccio de fixao 11
Exerccio de fixao 12

74

75

77

5. Guia de Implementao do COBIT


Introduo79
Ferramentas de Implementao 79
Exerccio de fixao 1
Exerccio de fixao 2
Exerccio de fixao 3
Exerccio de fixao 4

81
81

83
87

Premissas para elaborao do estudo de caso87

6. Avaliao da Capacidade de Processo


Introduo89
Modelo de Maturidade de Processo 90
Exerccio de fixao 1

91

Avaliao de Capacidade de Processo91


Exerccio de fixao 2
Exerccio de fixao 3
Exerccio de fixao 4

93
93

94

Modelo de Referncia de Processo do COBIT 594


Exerccio de fixao 5

98

Avaliao da Capacidade do Processo99


Exerccio de fixao 6

vi

101

Escola Superior de Redes


A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias em TIC para o corpo tcnico-administrativo das universidades federais, escolas
tcnicas e unidades federais de pesquisa. Sua misso fundamental realizar a capacitao
tcnica do corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital
e Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e
execuo de planos de capacitao para formao de multiplicadores para projetos educacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR
A filosofia pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpicos da realidade do profissional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profissional.
A aprendizagem entendida como a resposta do aluno ao desafio de situaes-problema
semelhantes s encontradas na prtica profissional, que so superadas por meio de anlise, sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do
problema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para
as atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de
aprendizagem no considerada uma simples exposio de conceitos e informaes.
O instrutor busca incentivar a participao dos alunos continuamente.

vii

As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das


atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de
atuao do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de
tempo para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor
levanta questes sobre o contedo dos slides em vez de apenas apresent-los, convidando
a turma reflexo e participao. Isso evita que as apresentaes sejam montonas e que
o aluno se coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).
Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades
proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar
dvidas e oferecer explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das solues possveis para
resolv-la, devendo ater-se quelas que geram maior dificuldade e polmica. Os alunos so
convidados a comentar as solues encontradas e o instrutor retoma tpicos que tenham
gerado dvidas, estimulando a participao dos alunos. O instrutor sempre estimula os
alunos a encontrarem solues alternativas s sugeridas por ele e pelos colegas e, caso
existam, a coment-las.

Sobre o curso
O curso apresenta o Modelo Corporativo para Governana e Gesto de TI da Organizao
COBIT 5, publicado pela ISACA, apresentando e descrevendo seus princpios e seus
habilitadores, buscando desenvolver competncias nos fundamentos do COBIT 5, para a
partir da iniciar sua implementao na organizao e de acordo com as recomendaes
dos rgos de controle. O aluno trabalhar com o livro de apoio e com o livro publicado
pela ISACA que ser baixado do site. Sero detalhados os princpios, os habilitadores, o
guia de implementao, o modelo de capacidade, como fazer o mapeamento detalhado
dos objetivos corporativos e dos objetivos de TI e como fazer o alinhamento destes com
as necessidades das partes interessadas. O curso mescla a parte terica com atividades
prticas para consolidar o conhecimento e exemplificar com a realidades das diversas
organizaes. Atravs deste curso o aluno adquirir os conhecimentos e habilidades para o
entendimento e compreenso dos fundamentos do COBIT 5.

A quem se destina
O curso destina-se aos gestores e profissionais de TIC que necessitam aprender e conhecer o
Modelo Corporativo para Governana e Gesto de TI da Organizao COBIT 5 para iniciar sua
aplicao e implementao da governana nas atividades da organizao. Tambm podero
participar quaisquer outros profissionais que desejem obter e desenvolver competncias
sobre Governana e COBIT 5.

viii

Convenes utilizadas neste livro


As seguintes convenes tipogrficas so usadas neste livro:
Itlico
Indica nomes de arquivos e referncias bibliogrficas relacionadas ao longo do texto.

Largura constante
Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da
sada de comandos. Comandos que sero digitados pelo usurio so grifados em negrito
e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no
Windows C:\).

Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.

Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.

Smbolo d
Indica um documento como referncia complementar.

Smbolo v
Indica um vdeo como referncia complementar.

Smbolo s
Indica um arquivo de adio como referncia complementar.

Smbolo !
Indica um aviso ou precauo a ser considerada.

Smbolo p
Indica questionamentos que estimulam a reflexo ou apresenta contedo de apoio ao
entendimento do tema em questo.

Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.

Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: TORRES, Pedro et al. Administrao de Sistemas Linux: Redes e Segurana.
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

ix

Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br

Sobre os autores
Luiz Claudio Diogo Reis Mestre em Tecnologia pelo CEFET/RJ na linha de pesquisa Gesto
da Inovao e Informao Tecnolgica. MBA em Gesto da Tecnologia de Informao e
Negcios Virtuais pelo CEFET/RJ. Especialista em Auditoria de Sistemas de Informao pela
Universidade Estcio de S e em Padres Internacionais de Auditoria pela Universidade
Catlica de Brasilia (UCB). Graduado em Matemtica pela Universidade do Estado do Rio
de Janeiro (UERJ) e na Lngua Inglesa pela Universidade de Michigan. Profissional com
certificao internacional CISA - Certified Information Systems Auditor e CRISC - Certified in
Risk and Information Systems Control pela ISACA - Information Systems Audit and Control
Association. Certificado em Segurana da Informao com o ttulo MCSO - Modulo Certified
Security Officer mantido pela Modulo Security Solutions. Profissional Certificado e acreditado
no COBIT5 Foundation pela APMGroup. Auditor Snior de Tecnologia da Informao pela
Instituio Financeira CAIXA ECONMICA FEDERAL com 17 anos de experincia em auditorias de gesto, de processos e de sistemas de informao. Instrutor, tutor e mentor em
Aes Educacionais estratgicas da Universidade CAIXA. Palestrante em eventos nacionais
e internacionais sobre IT GRC&A - Governana, Risco, Compliance e Auditoria desde 2009.
Docente em disciplinas de Gesto de Processos de Negcio, Planejamento Estratgico,
Governana de TI, Gerenciamento de Projetos, Gerenciamento de Servios de TI, Segurana
da Informao, Segurana em Aplicativos, Gesto de Riscos, Continuidade de Negcios e
Auditoria de TI. Atua em trabalho voluntrio desde 2012 na ISACA - Captulo Rio de Janeiro e
atualmente ocupa o cargo de Presidente na Associao. Instrutor e facilitador em programas
de capacitao de lderes, gestores e profissionais de negcio para o desenvolvimento de
habilidades gerenciais.
Edson Kowask Bezerra profissional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informao, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de
grande porte do setor de telecomunicaes, financeiro, energia, indstria e governo. Com
vasta experincia nos temas de segurana e governana, tem atuado tambm como palestrante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em
segurana e governana. professor e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.

Fbio Gomes Barros Mestre em Gesto do Conhecimento e da Tecnologia da Informao


(TI) pela Universidade Catlica de Braslia (2013). tambm especialista em Telemtica (2002)
e Gesto de Projetos (2007), ambas pela Universidade Federal de Pernambuco. Graduado
em Engenharia Eletrnica pela Universidade de Pernambuco (1999). Atualmente
Analista em Tecnologia da Informao do Ministrio da Integrao Nacional e docente da
Escola Nacional de Administrao Pblica (ENAP) e da Escola Superior de Redes (ESR) da
Rede Nacional de Pesquisa (RNP). Tem experincia na reas de Telecomunicaes e Tecnologia da Informao, com nfase em Gesto e Governana de TI. Possui as certificaes PMP
(Project Management Professional) concedida pelo Project Management Institute e COBIT 5
Foundation pelo ISACA.

xi

xii

1
Governana Corporativa de TI
a abrangncia e a aplicao da governana de TI nas organizaes; Identificar os
desafios para a governana de TI; Conhecer as boas prticas e padres de mercado
relacionados governana de TI; Entender o contexto da governana corporativa
de TI proposto pelo COBIT 5; Aplicar o conhecimento em atividades prticas sobre
governana corporativa de TI.

Tecnologia da informao aplicada aos negcios; Governana de TI; Componentes

conceitos

da governana de TI; Desafios para a governana e gesto de TI nas organizaes;


Pesquisas sobre os benefcios da governana de TI; Principais modelos e padres
de governana de TI; Introduo ao Modelo Corporativo COBIT 5; Fatores motivadores
para desenvolvimento do Modelo Corporativo COBIT 5; Famlia de produtos do COBIT 5;
Governana corporativa de TI no contexto do COBIT 5.

Introduo
Organizaes:

11 Tm objetivos de negcios diferentes e necessidades especficas.


TI:
11 Possui hoje papel significativo em todo o ciclo de vida da informao das empresas.
Reis (2012) apud Baldridge et al. (1971), descreve que as organizaes variam significativamente entre si em funo de sua natureza, tipos de clientes, tecnologias aplicadas, capacidade tcnica, estruturas organizacionais, modelos de gesto e forma de relacionamento
com terceiros e fornecedores.
Assim, cada organizao tem objetivos de negcios e necessidades especficas segundo as
suas diretrizes estratgicas, de forma que duas organizaes no so necessariamente iguais.
Com o avano e o uso intensivo da Tecnologia de Informao (TI) para automatizao e
suporte dos processos organizacionais, a TI passou a desempenhar papel significativo em
todo o ciclo de vida da informao das empresas para a realizao de negcios e tomada de
deciso. Esse ciclo abrange as etapas de criao, manipulao e descarte da informao.

Captulo 1 - Governana Corporativa de TI

objetivos

Analisar a importncia da TI aplicada aos negcios; Compreender o contexto,

Na atual Era do Conhecimento, a Tecnologia da Informao (TI) est em pleno processo de


evoluo e cada vez mais presente nos ambientes sociais, culturais e corporativos. O uso
de tecnologias emergentes tm impulsionado uma mudana significativa na forma de
realizao de negcios.
Neste cenrio, as empresas pblicas e privadas estiveram, ao longo dos anos, apropriando-se
do uso de recursos de TI para melhorar os processos de negcios e sua relao com os
clientes. Algumas organizaes esto em um nvel de maturidade mais avanado, outras em
fase intermediria de desenvolvimento e algumas, ainda, em estgio inicial.
Mas, o que Tecnologia da Informao (TI) e como ela se aplica aos negcios?

Tecnologia da Informao (TI) aplicada aos negcios


Na viso de Henderson & Venkatraman (1993), a Tecnologia da Informao (TI) corresponde
a um sistema que abrange concepes tcnicas e de gerenciamento do capital humano.
Para Rezende (2008), a TI representa um recurso tecnolgico das organizaes para guarda,
gerao e uso da informao e do conhecimento, contemplando sistemas aplicativos, de
telecomunicaes e de gesto de dados e de informaes. Alm disso, em um cenrio
global de competitividade dos negcios, a informao representa um ativo essencial para as
organizaes obterem diferencial estratgico.
O ITGI (2007) descreve a TI como um conjunto de processos que depende da interao entre
elementos de natureza humana, organizacional e tecnolgica, compreendendo, portanto,
a trade pessoas, processos e tecnologias.

Pessoas

TI
e
Negcio
Processos

Tecnologias

Baseado nesses conceitos, observamos que a gesto da TI aplicada aos negcios no uma
atividade simples de ser conduzida pelas organizaes. Entretanto, para Rezende (2008),
a gesto da TI representa um fator crtico de sucesso para gerao de valor e de benefcios
para as organizaes.

Para pensar
Segundo Reis (2012), Planejamento e Gesto da Tecnologia abrange o processo de
Fundamentos do COBIT 5

planejamento e alinhamento estratgico de TI, a organizao e estruturao da rea

de TI, as polticas, padres e programas de capacitao continuada, a arquitetura e


gesto da informao, os servios de atendimento e suporte aos usurios e a infraestrutura tecnolgica.

Figura 1.1
Trade Pessoas,
Processos e
Tecnologias.
Adaptado de
ITGI (2007).

Portanto, garantir a gesto eficiente dos recursos de TI representa um desafio para as


organizaes modernas, pois essa atividade abrange aspectos complexos de natureza
tcnica e humana que precisam interagir para obter sinergia entre as reas de negcio
e de TI das organizaes.
Assim, em ambientes organizacionais complexos, com uso intenso de TI e regulamentado
por leis e diretrizes de controles, a rea de TI sofre um grande impacto em funo da
necessidade de prover, manter e gerir os recursos de TI de forma eficiente, eficaz, segura
e disponvel para todos os interessados nas atividades de negcio da instituio.
Esse cenrio requer que as organizaes mantenham estruturas organizacionais e pessoas
capacitadas para liderar e governar esse ambiente de negcio complexo, de forma adequada
s suas necessidades e pelo uso de modelos de referncia de mercado adotados como boas
prticas para a gesto e a governana de TI.

Exerccio de fixao 1 e
Tecnologia da Informao (TI) aplicada aos negcios
Responda as questes a seguir considerando o contexto da organizao onde voc trabalha.
Entre a trade Pessoas, Processos e Tecnologias, na sua viso, qual desses fatores o
mais importante para o sucesso da gesto da Tecnologia da Informao na sua organizao?
Justifique.

Descreva duas boas prticas de gesto de TI adotadas na sua organizao relacionadas a


cada um dos componentes da trade Pessoas, Processos e Tecnologias.
Pessoas:

Tecnologias:

Captulo 1 - Governana Corporativa de TI

Processos:

O que governana de TI?


A rea de TI tem como atividade principal o atendimento s necessidades e estratgias de
negcio, tendo como prerrogativa a conformidade em relao a leis, normas e regulamentaes internas e externas. Esses requisitos negociais e legais variam de acordo com o tipo,
finalidade, ramo de atuao e exigncias regulatrias das organizaes.
Esse contexto introduz um conceito muito discutido e debatido na gesto de negcios na
atualidade, denominado Governana de TI.
Segundo Fernandes & Abreu (2008), o principal objetivo da governana de TI alinhar a
Tecnologia da Informao (TI) aos requisitos de negcio, tendo como base a continuidade
dos negcios, o atendimento s estratgias de negcios e o atendimento a regulamentaes
internas e externas.
Weill & Ross (2004) conceituam a governana de TI como um instrumento para a definio
dos direitos de deciso e das responsabilidades da administrao para encorajar comportamentos desejveis no uso da TI.

A governana de TI de responsabilidade da alta administrao na liderana, nas


estruturas organizacionais e nos processos para garantir que a TI da empresa sustente e entenda as estratgias e objetivos de negcio da organizao (ITGI, 2007).

Baseado nesses conceitos, Fernandes & Abreu (2008) identificam os principais objetivos e responsabilidades da rea de TI relacionados governana, conforme demonstrado na figura 1.2.

Objetivos da Governana de TI
Posicionamento da TI em relao s reas de negcio
A TI deve entender as estratgias de negcio e traduz-las em planos para sistemas,
aplicaes, solues, processos e infraestrutura.

Alinhamento das iniciativas de TI com a estratgia de negcio


A TI deve priorizar o que foi planejado tendo em vista as necessidades e prioridades
do negcio e as restries de recursos humanos e nanceiros.

Alinhamento dos recursos de TI s necessidades de negcio


A TI deve planejar e priorizar a implantao de projetos e servios de acordo com
necessidades de negcios de curto, mdio e longo prazos.

Provimento dos servios de TI s necessidades de negcio


A TI deve executar projetos e servios de acordo com os processos de gesto operacional
previamente denidos e com os recursos apropriados.

Fundamentos do COBIT 5

Gerenciamento do risco e continuidade dos negcios

A TI deve manter processos para gerenciamento da segurana da informao, mitigao


de risco e continuidade operacional de negcios.

Responsabilidade sobre as decises e aes relacionadas a TI


A TI deve identicar as responsabilidades sobre a tomada de decises e necessidades
de investimentos em recursos de TI para os negcios.

Figura 1.2
Os objetivos da
Governana de TI.

Exerccio de fixao 2 e
O que governana de TI?
Defina, com suas palavras, governana de TI.

Cite trs objetivos da governana de TI propostos por Fernandes & Abreu (2008).

Componentes da governana de TI
Governana de TI:

11 Vrios mecanismos e componentes que integrados permitem o desdobramento da


estratgia de TI.

Plano Diretor de
Tecnologia da
Informao (PDTI) o
instrumento de
diagnstico, planejamento e gesto dos
recursos e processos
de Tecnologia da
Informao que visa
atender s necessidades tecnolgicas e
de informao de um
rgo ou entidade para
um determinado
perodo (IN 04/2014,
Art. 2, inciso XXVII)

22 Plano Estratgico de TI.


22 Plano Operacional de TI.
Segundo Weill & Ross (2004) e Fernandes & Abreu (2009), a governana de TI compreende
vrios mecanismos e componentes que, logicamente integrados, permitem o desdobramento da estratgia de TI (Plano Estratgico de TI) para suporte e operacionalizao dos
produtos e servios utilizando recursos de TI (Plano Operacional de TI).
Esse processo deve ser executado em sintonia com o Plano Estratgico Institucional (PEI), de
forma a obter eficincia e eficcia na gesto dos recursos de TI pela organizao, quando da
implementao do Plano Estratgico de Tecnologia da Informao.
No mbito da Administrao Pblica Federal, o Plano Diretor de Tecnologia da Informao
(PDTI) representa um instrumento de planejamento de TI, utilizado no contexto dos rgos
pblicos (Reis, 2012).
A seguir, relacionamos os principais componentes e mecanismos aplicados a TI para que as
empresas possam prover a governana de TI de forma eficiente e eficaz.

Alinhamento estratgico de TI
O alinhamento estratgico TI busca a integrao e adequao da TI da empresa em relao
s necessidades de negcio atuais e futuras em termos de arquitetura, infraestrutura, aplicaes, processos e estrutura organizacional.

Princpios de TI
Os princpios de TI representam as regras e padres definidos pela alta administrao da
empresa nas quais todos os envolvidos com as operaes da organizao devem seguir.
Os princpios de TI subsidiam o processo de tomada de deciso sobre a arquitetura de TI,
a infraestrutura de TI, a aquisio e o desenvolvimento de aplicaes, a formulao de

Captulo 1 - Governana Corporativa de TI

polticas e a gesto de ativos de operaes de TI.


5

Aplicaes de TI
As aplicaes de TI referem-se s solues de negcios provenientes dos sistemas de
informao e disponibilizao de servios de TI desenvolvidos, adquiridos e mantidos pela
empresa para atendimento s necessidades estratgicas, operacionais e de continuidade
dos negcios.
A estratgia da organizao sobre as aplicaes de TI determinam aquelas que devero ser
desenvolvidas, mantidas, melhoradas, substitudas e implantadas, considerando as necessidades de negcio.

Infraestrutura de TI
A infraestrutura de TI relaciona-se capacidade tcnica e humana de TI disponvel na organizao, abrangendo servios compartilhados, confiveis e usados por mltiplas aplicaes.
Tambm define os servios de TI requeridos pelo negcio em termos de gesto de dados,
comunicaes, gesto de ativos de TI, disponibilidade, segurana da informao, padres de
interfaces e recursos computacionais necessrios para apoiar a estratgia de negcio.
A infraestrutura de TI tambm pode ser usada como servio de conexo entre parceiros e
fornecedores de solues de TI para a empresa.

Demandas de TI
A capacidade de atendimento da TI define a quantidade de recursos humanos necessrios
para atender s demandas de TI relacionadas a sistemas e servios.
Outro fator importante que requer acompanhamento no processo de gesto de demandas
refere-se qualidade, ao tempo de atendimento e ao custo das demandas de TI.

Terceirizao dos servios de TI


A estratgia de terceirizao (outsourcing) dos servios de TI abrange a definio do escopo
dos servios para outsourcing e as alternativas de parceria entre a instituio contratante e
a provedora dos servios.
A terceirizao tambm envolve processos para a gesto do desempenho dos fornecedores
ou prestadores de servios de TI, considerando o portflio de servios a serem executados
pelo provedor contratado.

Segurana da informao
A segurana da informao consiste no estabelecimento de polticas, diretrizes e aes
referentes segurana dos aplicativos, da infraestrutura, dos dados, das informaes,

Fundamentos do COBIT 5

das pessoas, das organizaes parceiras e dos fornecedores na relao de negcio com a

empresa contratante.

Capacitao de recursos humanos


Recursos humanos capacitados de TI relacionam-se s competncias conjunto de conhecimentos, habilidades e atitudes: requeridas e necessrias para o desenvolvimento e
implantao das iniciativas e solues de TI baseadas nas necessidades de negcio e, considerando, ainda, as atividades, processos e servios de TI adotados pela empresa.

Organizao dos processos de TI


A organizao dos processos de TI relaciona-se forma de como os servios e produtos de
TI so desenvolvidos, gerenciados e entregues aos usurios e clientes.
A organizao dos processos de TI requer a definio de responsabilidades, papis e processos internos de acordo com as necessidades de negcio da empresa, considerado, ainda,
as necessidades especficas de TI.

Investimentos e custos de TI
Os investimentos e custos de TI referem-se a aspectos financeiros, dos recursos de TI envolvidos
no gerenciamento e suporte dos negcios, tais como aplicaes, infraestrutura e pessoas.
Os custos de TI devem ser identificados, analisados, monitorados e controlados regularmente
para garantir melhor retorno sobre os investimentos, gastos e despesas relacionadas.
O gerenciamento do portflio de TI representa uma boa prtica para a priorizao, seleo,
monitorao, controle, entre outros, dos investimentos de TI baseada nos projetos estratgicos
e ativos prioritrios, de forma a integrar e alinhar os objetivos estratgicos de negcios aos
objetivos de especficos de TI.

Relacionamento com clientes internos e externos


O relacionamento com clientes trata da interao dos usurios internos e externos com a rea de
TI, abrangendo processos que devem definir os responsveis pela solicitao de servios, os procedimentos operacionais, indicadores de avaliao, canais de comunicao, capacitao e treinamento dos usurios sobre o uso dos recursos tecnolgicos e desenvolvimento dos projetos.
De forma similar, o relacionamento com os fornecedores e terceiros trata de aspectos operacionais de TI, tais como os procedimentos previstos para atendimento das demandas de
servios, o relacionamento com os parceiros, o acompanhamento e o controle dos Acordos
de Nvel Operacional (ANO) e dos contratos de apoio, a qualidade dos servios prestados e o
desempenho dos fornecedores.

Desempenho de TI
A alta administrao deve estabelecer indicadores para medir o desempenho da rea
de TI em relao ao atingimento das metas, segundo as estratgias e necessidades de
negcio da empresa.

metas de desempenho compatveis com os objetivos de negcios definidos para a prestao


dos servios de TI.
Em nvel operacional, usual a formalizao de nveis de servios denominados Acordos de Nvel
de Servios (ANS), firmados entre area de TI e areas de negocio e Acordos de Nvel Operacional
(ANO), firmados entre TI e fornecedores internos, abrangendo todo o ciclo de atividades de TI.
Dessa forma, os indicadores estratgicos e operacionais orientam a gesto da TI, os controles
operacionais e o estabelecimento de necessidades de melhorias nos nveis de servios.
Assim, a gesto do desempenho de TI refere-se ao monitoramento dos objetivos de desempenho das operaes de servios em termos de desenvolvimento de aplicaes, suporte a

Captulo 1 - Governana Corporativa de TI

Assim, os objetivos de desempenho direcionam a administrao da TI para atendimento s

servios, entrega de servios, segurana da informao e monitoramento dos acordos firmados.


7

Requisitos de conformidade
As organizaes devem considerar as leis, regulamentos e normas internas e externas
quando da definio dos requisitos de negcio. A rea de TI, ao desenvolver solues de
negcio, deve atentar para as funcionalidades de compliance definidas pelas reas de
negcio quando do planejamento e gesto de solues de TI, para suportar as estratgias e
objetivos da empresa.
Componentes do sistema de governana:
11 Alinhamento estratgico de TI;
11 Princpios de TI;
11 Aplicaes de TI;
11 Infraestrutura de TI;
11 Demandas de TI;
11 Terceirizao dos servios de TI;
11 Segurana da informao;
11 Capacitao de recursos humanos;
11 Organizao dos processos de TI;
11 Investimentos e custeio de TI;
11 Relacionamento com clientes internos e externos;
11 Desempenho de TI;
11 Requisitos de conformidade.

Exerccio de fixao 3 e
Componentes da governana de TI
Responda as questes a seguir, considerando o contexto da organizao onde voc trabalha.
Cite duas boas prticas adotadas em sua organizao para cada um dos componentes de
governana de TI relacionados a seguir.
Princpios de TI:

Fundamentos do COBIT 5

Infraestrutura de TI:

Demandas de TI:

Desempenho de TI:

Desafios para a governana e gesto de TI nas organizaes


Como consequncia da necessidade do uso de recursos tecnolgicos pelas organizaes
para suportar os processos de negcio, os gestores e lderes de TI devem somar esforos
no sentido de:
11 Manter informaes confiveis para apoiar decises de negcios;
11 Agregar valor ao negcio com base nos investimentos em TI;
11 Atingir os objetivos estratgicos apoiados por recursos de TI;
11 Obter benefcios para a organizao pelo uso eficiente e inovador de TI;
11 Alcanar a excelncia operacional pela aplicao eficiente e eficaz de recursos de TI;
11 Manter o risco de TI em um nvel aceitvel;
11 Otimizar o custo da tecnologia e dos servios de TI;
11 Cumprir leis, regulamentos, contratos, polticas e normas externas.
O atendimento, cumprimento e manuteno de todas essas atividades no dia a dia das
organizaes no algo simples de ser executado. Essas tarefas requerem planejamento
e gesto sobre as diversas atividades de TI desenvolvidas pela empresa para atender s
necessidades de negcio. Assim, na prtica, essas atividades representam um dos grandes
desafios para os gestores de TI.
Vejamos a seguir por que a governana de TI um instrumento importante para a gesto
das organizaes tendo como pressuposto os benefcios oriundos da sua implementao.

Pesquisas sobre os benefcios da governana de TI


Em pesquisa realizada pela PwC com mais de 800 profissionais de TI e de negcios em 21
pases sobre os benefcios da governana de TI para as organizaes participantes, os resultados indicam que para:
11 38%: houve reduo dos custos de TI;
11 28,1%: houve melhoria da competitividade dos negcios;

Em relao aos benefcios menos tangveis, os resultados identificaram como melhorias:


11 42,2%: da gesto do risco de TI;
11 39,6%: da comunicao e relacionamentos entre as reas de negcio e de TI;
11 37,3%: da execuo de TI para consecuo dos objetivos corporativos.

Para pensar
Atualmente, argumenta-se que o valor de TI das organizaes deriva-se diretamente
da eficincia do sistema de governana de TI. O que voc acha?

Captulo 1 - Governana Corporativa de TI

11 27,1%: houve aumento do retorno sobre os investimentos em TI.

Outro estudo realizado com 250 organizaes em todo o mundo identificou que aquelas
com melhor governana de TI tiveram rentabilidade pelo menos 20% maior do que s de
baixa maturidade em governana, considerando os mesmos parmetros da pesquisa.
Outro estudo de caso no setor areo concluiu que a implementao e a garantia contnua da
governana corporativa de TI melhoraram a confiana entre o negcio e a TI, resultando em
um aprimoramento do alinhamento dos investimentos para os objetivos estratgicos.
Nesse cenrio, outros benefcios mais tangveis foram relatados na pesquisa, tais como
a reduo do custo fixo de TI por unidade de produo comercial e a liberao de investimentos para a inovao.
Um estudo de caso no setor financeiro demonstrou que as empresas com melhores abordagens governana de TI obtiveram as maiores pontuaes de maturidade do alinhamento

d
Para mais informaes
sobre os resultados da
pesquisa, consulte
ISACA (2013).

entre o negcio e TI.

Introduo s estruturas de governana de TI


A governana de TI requer um efetivo acompanhamento sobre o gerenciamento dos processos e atividades de TI que influenciam e afetam a realizao dos negcios e, consequentemente, o atingimento das metas e estratgias da organizao.
Como descrito anteriormente, o desafio das organizaes para a governana de TI requer
a implantao de aes de liderana e gesto estratgica que dependem de um amplo e
diferenciado conjunto de requisitos tcnicos e humanos relacionados a TI.
Os componentes do sistema de governana so diversos e abrangentes. Portanto, se faz
necessrio definir um escopo, ou seja, uma estrutura, um modelo a ser utilizado e aplicado
pelas organizaes para prover a governana de TI. H diversos modelos de boas prticas e
padres relacionados governana de TI (Fernandes e Abreu, 2008).
A seguir, analisaremos os principais modelos (frameworks) de governana de TI adotados
pelas organizaes.

Principais modelos de governana de TI


Na viso de Fernandes e Abreu (2008), a governana de TI busca o compartilhamento de decises de TI com os principais dirigentes da organizao e o estabelecimento de regras e procedimentos para o uso eficiente e eficaz da tecnologia da informao por todos os interessados
nas atividades da empresa, a exemplo de clientes, funcionrios, reas de negcio, governo e
fornecedores, de forma a determinar como a TI dever prover os servios para a organizao.
Nas duas ltimas dcadas, com a evoluo da TI, diversos modelos de boas prticas aplicados a TI vm sendo desenvolvidos. Alguns desses modelos so inditos, enquanto outros
foram construdos a partir dos anteriores (Fernandes & Abreu, 2008).

Fundamentos do COBIT 5

A tabela 1.1 apresenta uma sntese com os principais modelos relacionados governana de

10

TI vigente nos meios acadmico e profissional.

l
Um modelo constitui
uma abstrao
simplificada da
realidade envolvendo
a descrio ou
representao de um
objeto a partir de
determinado ponto de
vista, e voltado a um
propsito especfico
(Soares Neto, 1993).

Escopo

COBIT 4.1: Control Objectives


for Information and Related
Technology

Modelo aplicvel governana, gesto, auditoria e controle dos processos


de TI, abrangendo as etapas de planejamento, execuo e monitorao
das atividades de TI. Esse modelo abrange 34 processos de TI em quatro
domnios inter-relacionados.

TOGAF: The Open Group Architecture Forum

Modelo de arquitetura corporativa que prov uma abordagem global ao


design, planejamento, implementao e governana em quatro nveis
(Negcios, Aplicao, Dados e Tecnologia). Esse modelo possibilita a projeo de arquiteturas futuras baseando-se no estado atual da arquitetura
organizacional.

ISO 31000:2009

ISO 31000:2009 uma norma ABNT para estabelecer princpios e diretrizes


genricas sobre o processo de gesto de riscos, suas etapas e requisitos.

COSO: Committee of Sponsoring


Organizations of the Tradeway
Commission

O COSO uma estrutura de gerenciamento de riscos corporativos capaz


de fornecer os princpios e conceitos fundamentais utilizando uma linguagem comum. O processo de gerenciamento de riscos corporativos
composto por oito componentes inter-relacionados.

CMMI: Capability Maturity Model


Integration

Modelo aplicvel ao desenvolvimento de produtos e projetos de sistemas


de informao (aplicativos e softwares).

ITIL: Information Technology


Infrastructure Library

Modelo aplicvel infraestrutura de Tecnologia da Informao, compreendendo os servios de TI, segurana, gerenciamento de infraestrutura,
gesto financeira, gesto de ativos e aplicativos.

ISO 20000

Padro ABNT construdo a partir dos requisitos e evoluo do modelo ITIL.

ISO 22301: Gesto de Continuidade de Negcios

Norma ABNT utilizada para ajudar as organizaes aminimizar o risco associado a acontecimentos disruptivos que podem impactar a disponibilidade
dos negcios e servios. Essa norma especifica os requisitos para manter
um sistema de gesto de continuidade de negcios para recuperar eventos
que possam interromper o funcionamento normal de uma organizao.

ISO 38500

Padro ABNT que especifica os requisitos e componentes aplicveis


governana de TI para as organizaes.

BS 7799, ISO/IEC 27001 e ISO/IEC


17799: Cdigo de Prtica para a
gesto da segurana da informao

Modelos aplicados Gesto da Segurana da Informao

eSCM-SP Service Provider


Capability Maturity Model

Modelo aplicado ao outsourcing em servios de TI.

PRINCE2: Projects IN Controlled


Environments 2

Modelo aplicado ao gerenciamento de projetos.

PMBOK: Project Management


Body of Knowledge

Modelo aplicado gesto de projetos, que consolida uma base de conhecimento e disciplinas relacionadas ao gerenciamento de projetos.

BSC: Balanced Scoredcard

Modelo de planejamento e gesto de desempenho da estratgia organizacional proposto por Kaplan.

Seis Sigma

Modelo utilizado para a melhoria da qualidade de processos organizacionais.

SAS 70: Statements on Auditing


Standards for services organizations

Padro que contempla regras de auditoria para empresas prestadoras


de servios.

RISK IT

Modelo de gerenciamento de risco de TI adotado pela ISACA baseado na


ISO 31000:2009.

VAL IT

Modelo de governana baseado no COBIT 4.1 que inclui orientaes e


processos de suporte relacionados avaliao e seleo de investimentos
de negcio viabilizados por TI, bem como os benefcios da realizao e
entrega de valor desses investimentos.

COBIT 5

Modelo para a governana corporativa de TI desenvolvido a partir de cinco


princpios e baseado em sete habilitadores.

Captulo 1 - Replicao

Modelo de boas prticas

11

Principais padres de Governana de TI:


11 CMMI (Capability Maturity Model - Integration ou Modelo de Maturidade em Capacitao
- Integrao);
11 ITIL - Information Technology Infrastructure Library;
11 COSO - Committee of Sponsoring Organizations of the Treadway Commission;
11 ISO 38500 - Governana Corporativa para Tecnologia da Informao;
11 ISO 27001 - Tecnologia da informao - tcnicas de segurana - sistemas de gerncia da
segurana da informao - requisitos;
11 PRINCE2 - Project In a Controlled Environment;
11 PMBok - Project Management Body of Knowledge;
11 BSC - Balanced scorecard;
11 COBIT.
Baseado nessa lista, possvel concluir que cada modelo tem um propsito, escopo e objetivo
definido. Alguns modelos so especficos, outros abrangentes e complementares entre si.
Entre esses modelos de governana, a ISACA vem conduzindo pesquisas que demonstram
o valor do COBIT para as organizaes. O conjunto de dados resultante dessas pesquisas
oferece diversas oportunidades de anlise e pode esclarecer o relacionamento entre a
governana corporativa de TI e o desempenho das empresas.
No mbito da Administrao Pblica Federal (APF), os rgos de controle externos, em suas
auditorias anuais, tm recomendado o uso do COBIT e do ITIL como instrumentos de referncia para a governana de TI nas empresas pblicas.

Exerccio de fixao 4 e
Principais modelos de governana de TI
Relacione os modelos e padres de mercado com a sua principal finalidade, identificando a
definio mais precisa para cada uma das questes a seguir.

2. Gerenciamento de servios de TI

3. Governana corporativa de TI

4. Arquitetura organizacional
5. Ambiente de controle

6. Planejamento e desempenho

7. Gesto de Projetos
8. Continuidade de negcios

Fundamentos do COBIT 5

1. Gesto de riscos

12

TOGAF
ISO 31000
BSC
ISO 22301
COBIT 5
PRINCE2
ITIL
COSO

O livro COBIT 5 Modelo Corporativo


para Governana e
Gesto de TI da
Organizao pode ser
obtido no site
http://www.isaca.org

Introduo ao Modelo Corporativo COBIT 5


O COBIT 5, publicado pela ISACA em 10 de abril de 2013, fornece guias e orientaes fundamentais para a implementao da governana corporativa e gesto da TI para as organizaes.
Essa publicao fruto de mais de 15 anos de uso e aplicao prtica do modelo COBIT 4.1,
a partir das experincias de lderes organizacionais e de usurios das comunidades de negcios, TI, risco, segurana e auditoria mantidas pela ISACA.
O modelo COBIT 5, designado simplesmente como COBIT, est estruturado em 10 sees:
um sumrio executivo, oito captulos e apndices de A-H, conforme demonstrado na figura 1.3.
A: Referncias
B: Mapeamento Detalhado dos Objetivos
Corporativos e Objetivos de TI
C: Mapeamento Detalhado dos Objetivos
de TI e de Processos de TI
D: Necessidades das partes interessadas e
Objetivos Corporativos
Sumrio Executivo

Viso global do modelo

Captulo 1

1 Princpio do COBIT

Captulo 2

Apndices

E: Mapeamento do COBIT 5 com principais


padres do mercado
F: Comparao entre o Modelo de
Informaes do COBIT 5 e os Critrios
de Informaes do COBIT 4.1
G: Descrio detalhada dos Habilitadores
do COBIT 5
Apndice H. Glossrio

COBIT 5
2 Princpio do COBIT

Captulo 3

Captulo 8

Modelo de Capacidade de Processo do COBIT

3 Princpio do COBIT

Captulo 4

Captulo 7

Guia de implementao do COBIT

4 Princpio do COBIT

Captulo 5

Captulo 6

5 Princpio do COBIT

Fatores motivacionais para publicao do COBIT


De acordo com a ISACA (2013), os principais fatores para o desenvolvimento do COBIT so:
Envolvimento das partes interessadas com a TI
O envolvimento das partes interessadas tem como objetivo determinar o que eles esperam da
TI para atingir nveis otimizados de benefcios, risco e custos aceitveis. As partes interessadas
devem identificar as prioridades dos negcios para garantir que o valor esperado de TI seja
efetivamente obtido, em curto, mdio ou longo prazo.
As expectativas divergentes e/ou conflitantes devem ser tratadas com eficincia e transparncia, para no impactar no atingimento aos resultados organizacionais.
Dependncia de provedores de TI
As organizaes esto cada vez mais dependentes de terceiros, fornecedores, consultores,
clientes e/ou provedores de servios de TI para a realizao de negcios. Assim, os fornecedores
de servios de TI so partes essenciais para as organizaes manterem seus negcios e efetivamente agregarem valor s partes interessadas e aos negcios com o uso de recursos de TI.

Captulo 1 - Replicao

Figura 1.3
Viso sistmica
do framework
COBIT 5.
Elaborado
pelo autor.

13

Relevncia da informao
A informao um ativo essencial para tomada de decises, porm a quantidade de informao vem aumentando significativamente no contexto organizacional. Dessa forma, as
organizaes devem ter um processo definido para selecionar as informaes com base em
critrios pr-estabelecidos, tais como relevncia, credibilidade e transparncia.

Quando a informao gerenciada de forma oportuna e qualificada, ela auxilia


o processo de tomada de decises pela rea de negcio de forma eficiente e eficaz.

Em ambientes complexos, as organizaes necessitam de um modelo de tratamento de


informao para garantir efetividade em sua gesto. Recentemente, a ISACA publicou o guia
COBIT 5 Habilitador Informao (Enabling Information), que estabelece um modelo e critrios
para a gesto da informao nas organizaes.
TI como parte integrante do negcio
A TI cada vez mais uma parte integrante do negcio, portanto no deve ser considerada
como um nicho e separada do negcio. A Tecnologia da Informao deve estar inserida como
parte integrante dos projetos empresariais, estruturas organizacionais, gesto de risco, polticas, capacidades, processos, entre outras funes e atividades da arquitetura empresarial.
Esse cenrio requer que os executivos de negcio tenham competncias em TI para tomada
de decises e operaes relacionadas a TI.
Por outro lado, as funes da rea de TI esto em crescente evoluo. Assim, a administrao de TI deve fundamentar-se em uma abordagem holstica e integrada, diretamente
relacionada ao negcio.
Orientaes para tecnologias emergentes e inovadoras
Tecnologias inovadoras esto relacionadas criatividade, novas ideias e ao desenvolvimento
de produtos e servios para alavancagem de novos negcios e fidelizao de clientes (atuais
e futuros).
Inovao pressupe a concepo e o desenvolvimento de produtos, a modelagem de processos de produo e da cadeia de suprimentos visando fornecer produtos com alto nvel de
eficincia, com estabelecimento de prazos para entrega dos servios.
Cobertura do negcio pela TI
As organizaes que utilizam a TI para alavancagem de negcio e como um diferencial competitivo possuem a maior parte de seus processos crticos sustentados por TI. Essa situao caracteriza a cobertura do negcio de ponta a ponta e em todas as reas responsveis pelas funes de

Fundamentos do COBIT 5

TI. Essa estrutura requer processos de governana e de gesto de TI eficientes e eficazes.

14

Na concepo do COBIT, a eficincia na gesto depende de diversos fatores, tais como estruturas organizacionais, polticas e cultura organizacional.
Esses fatores esto presentes e interagem com os processos de trabalho vigentes na organizao, ampliando os desafios de governana e de gesto das organizaes.

w
Para mais informaes
sobre o COBIT 5
Enabling Information,
consulte
www.isaca.org/cobit.

l
Melhoria dos controles sobre as solues de TI
As solues de TI tm como propsitos criao de valor para a organizao atravs do uso
eficiente e inovador de TI, da satisfao dos usurios com os servios de TI, do cumprimento
de leis, regulamentos, acordos contratuais e polticas internas e da melhoria do relacionamento entre as necessidades organizacionais e os objetivos de TI.
Esses requisitos, atuando de forma integrada e seguindo as diretrizes organizacionais, promovem a melhoria dos controles institucionais sobre as solues de TI.
Alinhamento a padres e estruturas de mercado
A integrao e o alinhamento entre padres e prticas de mercado auxiliam as partes interessadas (stakeholders) no entendimento de como os diversos modelos, boas prticas e
padres se inter-relacionam e como eles podem ser usados em conjunto.
Dentre as boas prticas, o COBIT destaca o Information Technology Infrastructure Library
(ITIL), The Open Group Architecture Forum (TOGAF), Project Management Body of Knowledge
(PMBOK), PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO), entre outras normas internacionais no
padro ISO.
Nesse contexto, o COBIT tem como propsito cobrir toda a organizao e fornecer uma base
para integrar outras estruturas, padres e prticas como uma estrutura nica de integrao.
Integrao das principais estruturas e orientaes da ISACA
O COBIT 5 tem como foco principal a integrao entre os modelos COBIT 4.1, Val IT e Risk IT.
O COBIT 5 considera, ainda, o Modelo de Negcios para Segurana da Informao (BMIS), a
Estrutura de Avaliao de TI (ITAF) e as publicaes Board Briefing on IT Governance e Taking
Governance Forward (TGF).
Dessa forma, o COBIT 5 integra e consolida o uso e aplicao de diversos padres desenvolvidos pela ISACA, reunindo o arcabouo terico em um nico modelo de referncia.

Exerccio de fixao 5 e
Motivaes para a publicao do Modelo Corporativo COBIT
Diversos fatores motivacionais foram importantes para a publicao do COBIT 5. Entre
esses, a Melhoria dos controles sobre as solues de TI representa um tpico essencial
e que avaliado pelos rgos de controle externo nas auditorias realizadas no mbito das
organizaes pblicas.
Os controles institucionais na gesto pblica so definidos como prticas adotadas pela empresa
pblica para certificar-se de que os parmetros estabelecidos atendem finalidade pblica.
Aplicando o conceito de controle institucional ao processo de desenvolvimento de solues
e servios de TI em sua organizao, cite trs prticas de gesto e atividades adotadas pela
rea ou gestor de TI no processo de desenvolvimento de aplicativos de sua organizao.

Captulo 1 - Replicao

Na gesto pblica, o
ato de controle
institucional significa
uma ao em que a
prpria organizao se
encarrega de examinar
se a atividade
governamental atendeu
finalidade pblica,
legislao e aos
princpios aplicveis ao
setor pblico.

15

Famlia de Produtos do Modelo Corporativo COBIT 5


O COBIT 5 composto por um conjunto de publicaes denominados Famlia de Produtos
COBIT 5, cuja estrutura est representada na figura 1.4.

Famlia de Produtos: COBIT 5


COBIT 5
Guias Habilitadores
COBIT 5

Outros guias
habilitadores

COBIT 5

Habilitador Processos

Habilitador Informao

COBIT 5 Professional Guides


COBIT 5

Implementao

COBIT 5

para Segurana da Informao

COBIT 5

para Garantia

COBIT 5

para Risco

Outros Guias
Prossionais

Ambiente Colaborativo Online do COBIT 5


A figura 1.4 mostra que a famlia de produtos do COBIT formada pelas seguintes
publicaes-chave:
COBIT 5
Trata-se do modelo COBIT 5 Modelo Corporativo para Governana e Gesto de TI da Organizao,
isto , do COBIT 5 propriamente dito. Essa publicao apresenta uma viso holstica do
modelo COBIT, sendo composta por princpios, habilitadores, modelo de capacidade, entre
outros assuntos que abordaremos nessa publicao em captulos posteriores.
COBIT 5 Guias Habilitadores
Trata-se de um conjunto de guias dos habilitadores (Enabler Guides). Esses guias compreendem as publicaes COBIT 5 Enabling Processes, COBIT 5 Enabling Information e outros
guias relacionados, denominados Other Enabler Guides, que sero desenvolvidos pela
ISACA futuramente.
COBIT 5 Guias Profissionais
Trata-se de um conjunto de Guias Profissionais utilizados para as atividades prticas de
implementao do modelo (COBIT 5 Implementao), segurana da informao (COBIT 5
for Information Security), auditoria (COBIT 5 for Assurance) e gerenciamento de risco (COBIT 5
for Risk), alm de outros guias profissionais relacionados (Others Professional Guides), que
sero desenvolvidos pela ISACA futuramente.
Ambiente colaborativo online

Fundamentos do COBIT 5

Trata-se de um ambiente de colaborao usado pelos membros da ISACA para compartilha-

16

mento das boas prticas no uso do COBIT 5.


Em sntese, a famlia do COBIT 5 tem como principais objetivos:
11 Reunir as publicaes COBIT 4.1, Val IT 2.0, Risk IT e BMIS (Business Model for Information
Security) da ISACA em uma estrutura nica;
11 Ampliar as reas de TI que necessitam de contedos mais elaborados e atualizados;
11 Alinhar-se com outros padres e principais estruturas de mercado;

Figura 1.4
Famlia de Produtos
do COBIT.

11 Definir um conjunto de habilitadores de governana e gesto a partir de uma


estrutura bsica;
11 Possibilitar a incluso de novos contedos base de conhecimento definidos no COBIT;
11 Fornecer uma slida e abrangente base de referncia de boas prticas em TI.

Para pensar
O escopo dessa publicao abrange estritamente o documento COBIT 5 Modelo
Corporativo para Governana e Gesto de TI da Organizao, que ser detalhada
nos captulos subsequentes.

Para mais informaes sobre as demais publicaes da ISACA relacionadas ao COBIT 5,


consulte o site www.isaca.org/cobit.

Exerccio de fixao 6 e
Famlia de produtos do Modelo Corporativo COBIT 5
Relacione os documentos que compem a famlia de produtos do COBIT 5.

Em busca da governana corporativa de TI


A TI representa um recurso indispensvel aos negcios e fator diferencial de competitividade para as estratgias e objetivos organizacionais. Assim, a governana e a gesto
eficiente e estratgica dos recursos de TI representam elementos essenciais para que as
organizaes sejam bem-sucedidas nos negcios.
Em um contexto organizacional cujos processos de negcio so suportados por TI, cada vez
se torna mais difcil e complexo desassociar o binmio Negcio x TI.
Ademais, diretores e gestores de TI possuem um papel primordial para o sucesso dos negcios, no qual se deve ter como premissa uma atuao em conjunto das reas de negcio e
de TI. Esse o comeo para incluir a TI no contexto da governana corporativa e da gesto
estratgica das organizaes.
Na prtica, a rea de TI, apropriando-se de boas prticas de governana e de gesto, acrescida pela necessidade de realizar negcios de forma eficiente e segura, e, ainda, segundo as
estratgias da organizao, considerada no COBIT como unidade motriz e desencadeadora

Dessa forma, a integrao da governana de TI governana corporativa da organizao


desencadeia o conceito de governana corporativa de TI, tornando-se o ponto de partida
para implantao da governana corporativa em qualquer organizao.
Nesse cenrio, o COBIT, atuando como uma estrutura nica integrada, pode auxiliar as organizaes a atingirem seus objetivos de negcio, mantendo a governana e a gesto de TI em
um nvel adequado s necessidades e estrutura da organizao.

Captulo 1 - Replicao

de eventos impulsionadores da implantao da governana corporativa.

17

Assim, o principal objetivo da governana corporativa de TI relaciona-se criao de valor


atravs de TI, mantendo o equilbrio entre a realizao de benefcios (negcios) e a otimizao dos nveis de risco e de recursos utilizados.
Nessa perspectiva, o COBIT, composto por uma srie de prticas de governana, de gesto
e de atividades, estabelece diversos mecanismos para que a rea de TI seja governada e
gerida de forma holstica para entender o negcio como um todo, no se restringindo a
questes especficas de TI.
Esse o caminho em busca da governana corporativa de TI. O que voc acha?
Esse cenrio requer que os executivos de negcio tenham competncias em TI para tomada
de decises e operaes de TI, bem como os executivos de TI tenham conhecimento sobre
as prticas, atividades e diretrizes de negcio.

Exerccio de fixao 7 e
Em busca da governana corporativa de TI
Como voc relaciona o Modelo Corporativo COBIT 5 e a governana de TI?

Fundamentos do COBIT 5

Defina governana corporativa de TI.

18

l
A TI cada vez mais
parte integrante do
negcio e no deve ser
considerada como um
nicho, separada e
desvinculada do
negcio. Pelo contrrio,
a Tecnologia da
Informao deve estar
inserida como parte
integrante dos projetos
empresariais, estruturas organizacionais,
gesto de risco,
polticas, capacidades,
processos, entre outras
funes e atividades
da arquitetura
empresarial.

2
objetivos

Os cinco princpios do COBIT 5


Conhecer os cinco princpios do COBIT 5 para a governana e gesto de TI das
organizaes; Analisar a influncia dos princpios do COBIT 5 na governana e gesto
de TI das organizaes; Aplicar o conhecimento dos princpios do COBIT 5 no
contexto das organizaes.

organizao de ponta a ponta; 3 princpio: aplicar uma estrutura nica e integrada;


4 princpio: permitir uma abordagem holstica; 5 princpio: separar a governana
da gesto; Inter-relacionamento dos cinco princpios do COBIT 5; Aplicao prtica

conceitos

1 princpio: atender s necessidades das partes interessadas; 2 princpio: cobrir a

dos cinco princpios do COBIT 5 nas organizaes.

A figura 2.1 apresenta uma viso sistmica dos cinco princpios do COBIT 5.

Principios do COBIT 5
1. Atender s
necessidades
das partes
interessadas

Figura 2.1
Viso sistmica dos
Cinco Princpios do
COBIT 5.

4. Permitir uma
abordagem
holistica

Princpios
do COBIT 5

2. Cobrir a
empresa de
Ponta a Ponta

3. Aplicar uma
estrutura
nica integrada

Captulo 2 - Os cinco princpios do COBIT 5

5. Separar a
governana
da gesto

19

1o princpio: atender s necessidades das partes interessadas


As partes interessadas (stakeholders) representam a razo da existncia das organizaes. As organizaes existem para atender a um determinado propsito. Portanto, devem
criar valor para as suas partes interessadas, de forma a manter o equilbrio entre a realizao de benefcios e a otimizao do risco e dos recursos. Consequentemente, qualquer
organizao, independentemente do porte, natureza e finalidade, deve ter a criao de valor
como um dos objetivos de governana.
O COBIT 5 pressupe que as organizaes possuem objetivos estratgicos diferenciados,
isto , cada organizao singular, considerando os diversos fatores associados aos
negcios e aos ambientes interno e externo. Esse cenrio tambm se aplica aos negcios
e servios suportados por TI, pois o ambiente de TI deve estar adequado s estratgias e

Stakeholders
Representam as partes
interessadas de uma
organizao. Qualquer
pessoa responsvel por
uma expectativa,
necessidade ou
interesse nas atividades
da organizao.
Exemplos de stakeholders: usurios, gestores,
governo, fornecedores,
clientes e sociedade.

necessidades de negcio da organizao.

O alinhamento entre negcio e TI fundamental para o atingimento da estratgia


da organizao.
Baseado na figura 2.2, no contexto do COBIT 5, a governana tem por objetivo criar valor
pela realizao de benefcios com otimizao do risco e dos recursos, a partir das necessidades das partes interessadas.

Objetivo da Governana: Criao de Valor


Necessidade das
partes interessadas

Objetivo da Governana: Criao de valor


Realizao de benefcios

Otimizao do risco

Otimizao dos recursos

Figura 2.2
Objetivo da
Governana.

Necessidades das partes interessadas


O COBIT 5 pressupe que cada organizao deve identificar as necessidades das suas partes
interessadas, traduzi-las em termos de objetivos corporativos de alto nvel e, posteriormente,
identificar os objetivos de TI correspondentes. As necessidades das partes interessadas
podem relacionar-se a aspectos sociais, econmicos, tecnolgicos e ambientais, por exemplo.
Realizao de benefcios

Fundamentos do COBIT 5

Os benefcios para a organizao podem relacionar-se a aspectos financeiros, sociais, tecno-

20

lgicos e/ou ambientais. A realizao de benefcios organizacionais est diretamente relacionada misso da empresa, isto , sua razo de existir, considerando, ainda, sua natureza,
porte, rea de atuao e objetivos de negcio.

l
A criao de valor para
a organizao
atingida quando h um
equilbrio entre a
realizao de benefcios, a otimizao de
riscos e a otimizao
de recursos.

Para pensar
Em um cenrio de constante mudana, a organizao deve considerar a manuteno
e ampliao dos benefcios de negcios atuais, a introduo de novos benefcios, bem
como a eliminao de iniciativas que no criam o valor esperado para os negcios.
Otimizao de riscos
Segundo a ISO GUIA 73 Gesto de riscos - Vocabulrio, risco a combinao da probabilidade
de um evento e suas consequncias. Como um dos objetivos da governana, a otimizao do
risco implica o seu reconhecimento, a sua avaliao de impacto e probabilidade de ocorrncia,
bem como o desenvolvimento de estratgias para minimizar o risco, reduzir seu efeito negativo
e/ou transferi-lo, de forma a administr-lo no contexto da empresa e de seu apetite de risco.
Otimizao de recursos
Os recursos esto relacionados aos ativos da empresa (pessoas, processos e tecnologia) que
podem ajud-la a atingir seus objetivos de negcio, por isso, representam um dos objetivos
de governana. A otimizao de recursos envolve o uso eficaz, eficiente e responsvel de
recursos humanos, financeiros, tecnolgicos, entre outros.
Equilbrio entre benefcios, riscos e recursos
Como as organizaes possuem diversas partes interessadas, a expresso criar valor pode
ter significados diferentes e, por vezes, conflitantes para cada uma dessas partes interessadas no contexto da organizao.
Sob essa perspectiva, uma boa prtica de governana descrita no COBIT 5 relaciona-se
negociao e deciso entre os interesses de valor diversas partes interessadas envolvidos
no processo de tomada de deciso na organizao a partir do estabelecimento de comits
estratgicos decisrios.
Assim, um bom sistema de governana deve considerar todas as partes interessadas ao
tomar decises sobre a avaliao dos recursos, benefcios organizacionais e apetite de risco.
Consequentemente, para cada deciso das partes interessadas, as seguintes questes
devem ser consideradas no ambiente organizacional:
11 Para quem so os benefcios?
11 Quem assume o risco?

Exerccio de fixao 1 e
1 princpio do COBIT
Responda as quatro questes a seguir no contexto da organizao onde voc trabalha:
Quem so as principais partes interessadas da sua organizao?

Captulo 2 - Os cinco princpios do COBIT 5

11 Que recursos so necessrios?

21

Quais so as principais necessidades dessas partes interessadas?

As partes interessadas possuem interesses conflitantes? Em caso positivo, h mecanismos


e/ou procedimentos definidos para conciliar os interesses divergentes?

Na sua viso, a TI efetivamente atende s necessidades das partes interessadas? Como a


TI atua ou poderia atuar para criar valor para o sistema de governana da organizao, de
forma a atender s necessidades dos stakeholders?

2 princpio: cobrir a organizao de ponta a ponta


O COBIT considera que a governana e a gesto da TI so aplicveis a toda a organizao.
Para isso, o modelo adota o termo ponta a ponta. Assim, a governana abrange as reas
estratgicas, tticas e operacionais das organizaes, bem como todas as pessoas responsveis pelo desenvolvimento de suas atividades no contexto da empresa.
Nessa perspectiva, o COBIT tem como propsito:
11 Integrar a governana de TI governana da organizao, isto , o sistema de governana
corporativa de TI deve estar alinhado a quaisquer outros sistemas de governana;
11 Cobrir todas as funes e processos necessrios para regular e controlar as informaes
da organizao e as tecnologias utilizadas.
Sob esse princpio, o COBIT abrange todos os processos de negcio e servios suportados
por TI, sejam eles providos interna ou externamente organizao. Outro fator essencial
est vinculado ao relacionamento entre todos os atores, processos e recursos relacionados
governana e gesto de TI da organizao, tais como a definio de atividades e responsabilidades das funes corporativas de negcio e de TI.

Fundamentos do COBIT 5

Governana de ponta a ponta

22

A abordagem governana de ponta a ponta proposta no COBIT est representada na figura


2.3. Esse esquema, oriundo do princpio anterior (figura 2.2), identifica os principais componentes de um sistema de governana e a interao as partes envolvidas nessa estrutura.

Componentes so Sistema de Governana no COBIT 5


Objetivo da Governana: Criao de valor
Realizao de benefcios

Otimizao do risco

Habilitadores da Governana

Figura 2.3
Componentes
do sistema de
governana.

Otimizao dos recursos

Escopo da Governana

Funes, atividades e relacionamentos

A criao de valor representa o principal objetivo da governana, conforme descrito no


Princpio 1. O princpio 2 detalha cada componente do sistema de governana proposto no
COBIT, no contexto da abordagem de ponta a ponta.
Habilitadores da governana
11 Algo (tangvel ou intangvel) que auxilia na realizao bem-sucedida da governana.

11 Fatores que interferem na realizao do sucesso da governana.


11 Componentes essenciais e necessrios governana corporativa.
O COBIT define sete habilitadores para um eficiente sistema de governana:
11 1: Princpios, Polticas e Modelos;
11 2: Processos;
11 3: Estruturas Organizacionais;
11 4: Cultura, tica e Comportamento;
11 5: Informao;
11 6: Servios, Infraestrutura e Aplicativos;
11 7: Pessoas, Habilidades e Competncias, por meio dos quais todas as aes de governana devem ser orientadas para alcance dos objetivos corporativos.
importante destacar que, a falta de pessoas, polticas ou deficincias na tomada de
as partes interessadas, e consequentemente impactar em uma governana bem-sucedida.
Assim, os habilitadores so elementos essenciais para o sucesso da governana.
Considerando a importncia e abrangncia dos habilitadores de governana e de gesto
propostos pelo COBIT, o captulo 4 Dimenses dos Sete Habilitadores do COBIT 5 descreve
detalhadamente esses sete fatores e o inter-relacionamento entre eles para o sucesso da
governana e gesto nas organizaes.

Escopo da governana
O escopo da governana abrange toda a organizao, rea de negcios, ativo tangvel ou
intangvel. Assim, podem-se definir diferentes vises da organizao na qual a governana
aplicvel. A definio do escopo do sistema de governana da organizao fundamental

Captulo 2 - Os cinco princpios do COBIT 5

deciso nos negcios, por exemplo, pode afetar a capacidade da organizao criar valor para

23

para conduzir os esforos necessrios e sua aplicao na organizao segundo as diferentes


abordagens. O escopo pode estar relacionado gesto de projetos, avaliao de riscos,
segurana da informao, desenvolvimento de sistemas, entre outros. Cada organizao
deve definir o escopo da governana.
Funes, atividades e relacionamentos
Esse componente genrico da abordagem de governana refere-se s funes, atividades
e relacionamentos para o sucesso do sistema de governana. Esse sistema identifica os
principais componentes a serem adotados em uma estrutura organizacional. A figura 2.4
demonstra o fluxo de como esse processo ocorre na prtica e como se d as interaes
entre as diferentes funes na organizao.
Esse esquema origina-se da expanso da parte inferior da figura 2.3, mais precisamente do
componente Funes, atividades e relacionamentos do sistema de governana.

Sistema de Governana: Principais funes, atividades e relacionamentos


Funes, atividades e relacionamentos

Proprietrios e
Partes Interessadas

Delegar
Presta conta

Conselho de
Administrao

Denir
Orientao
Monitorar

Corpo
Diretivo

Instruir e
Alinhar
Reportar

Como se pode observar, esse sistema define os atores envolvidos na governana, suas
relaes e interaes dentro do escopo de um sistema genrico de governana. A figura 2.3
mostra atividades organizacionais relacionadas governana e gesto.
Como o COBIT distingue as atividades de governana e de gesto em domnios especficos,
esse assunto est detalhado no princpio 5, Distinguir Governana de Gesto, que tambm

Operaes
e Execuo

Figura 2.4
Principais funes,
atividades e
relacionamentos
em um sistema de
governana.

retrata a interao entre essas duas disciplinas.

Exerccios de fixao 2 e
2 princpio do COBIT
Identifique e defina os trs componentes fundamentais da abordagem de governana de
ponta a ponta proposta pelo COBIT.

Fundamentos do COBIT 5

Componente 1:

24

Componente 2:

w
Consulte o site www.
takinggovernanceforward.org para
aprofundamento de
conhecimento sobre o
funcionamento da
estrutura de governana proposta no
COBIT.

Componente 3:

Responda as trs questes a seguir considerando o contexto da organizao onde voc trabalha.
Entre os sete habilitadores de governana, identifique os dois menos evoludos e que necessitam de maior atuao da alta administrao, para a melhoria da eficincia e eficcia do
sistema de governana.

A alta administrao definiu o escopo da abordagem de governana? Qual o escopo de


governana? Que critrios foram utilizados na sua definio?

Baseado na figura 2.4 e, considerando a estrutura organizacional de TI, identifique as principais funes e atividades relacionadas governana.
Responsveis e Participantes:

Administrao:

Operaes e Execuo:

Captulo 2 - Os cinco princpios do COBIT 5

Corpo Diretivo:

25

3o princpio: Aplicar uma estrutura nica e integrada


Conforme descrito no captulo 1, h diversas normas ISO, padres de mercado e boas
prticas relacionadas Tecnologia da Informao (TI). Cada estrutura composta por
orientaes especficas para um subconjunto de atividades de TI dependendo do escopo e
abrangncia do modelo de referncia utilizado.
O COBIT tem como terceiro princpio atuar como uma estrutura unificada integrada de alto
nvel para a governana e gesto de TI da organizao, alinhando-se aos outros padres,
modelos e frameworks de boas prticas de TI.

COBIT 5: estrutura nica, como uma fonte consistente e integrada de orientao em


uma linguagem comum, no tcnica e agnstico-tecnolgica.

Assim, o COBIT pode ser considerado como uma estrutura nica e integrada, porque tem
como premissa as seguintes prerrogativas:
11 Baseia-se em uma arquitetura simples para estruturao dos guias de orientaes,
a partir de um conjunto de produtos;
11 Alinha-se com outros padres e estruturas de mercado, permitindo que a organizao
use esse modelo como elemento integrador da estrutura de governana e de gesto;
11 completo na cobertura da empresa, fornecendo uma base para integrar com outras
estruturas, padres e prticas utilizadas;
11 Integra o conhecimento oriundo de outros padres da ISACA, a exemplo do COBIT 4,1,
Val IT, Risk IT, BMIS, a publicao Board Briefing on IT Governance e ITAF.
COBIT 5 como modelo integrado de boas prticas
A figura 2.5 sintetiza como o COBIT 5 utilizado como uma estrutura integrada para ser

Fundamentos do COBIT 5

considerado um modelo nico para o sistema de governana das organizaes.

26

w
Para ampliar o
conhecimento sobre os
diversos padres da
ISACA que foram
usados como subsdio
para elaborao do
COBIT 5 , consulte o
site http://www.isaca.
org/Knowledge-Center.

COBIT 5: Estrura nica e integrada

Orientaes da ISACA
(COBIT, Val IT, Risk IT,
BMIS e ITAF)

Publicaes de
Orientaes da ISACA

Base de
conhecimento
do COBIT 5
Orientao e
contedo atuais
Estrutura para
contedos futuros

Outros Padres
e Estruturas

COBIT 5
habilitadores

Contedo para a
Base de conhecimento

Famlia de Produtos COBIT 5


COBIT 5
Guias Habilitadores do COBIT 5

Figura 2.5
Componentes
da base de
conhecimento
do COBIT.

Guias Prossionais do COBIT 5


Ambiente Colaborativo
Online do COBIT 5

Essa figura retrata a Base de Conhecimento do COBIT 5 como modelo e estrutura central
de orientao de boas prticas de mercado aplicadas TI, sendo sustentado por trs
elementos principais:
11 Orientaes e publicaes da ISACA e demais e estruturas de mercado;
11 Habilitadores do COBIT 5;
11 Famlia de produtos do COBIT 5.

Exerccio de fixao 3 e
3 princpio do COBIT
como modelo de referncia padro para o sistema de governana das organizaes?

4 princpio: Permitir uma abordagem holstica


Segundo o princpio Permitir uma abordagem holstica, a governana e a gesto de TI das
organizaes, para serem eficientes e eficazes, requerem uma abordagem sistmica que
considere diversos componentes interligados.

Captulo 2 - Os cinco princpios do COBIT 5

Por que o COBIT pode ser considerado uma estrutura nica e integrada para ser usado

27

Assim, o COBIT define um conjunto de Guias Habilitadores para apoiar a implementao de um


sistema abrangente de governana e de gesto de TI para as organizaes. Esses guias habilitadores tm como objetivo facilitar e auxiliar a organizao a atingir os objetivos corporativos.

Introduo aos sete habilitadores do COBIT 5


Habilitadores so fatores que, individualmente e/ou em conjunto, influenciam se algo vai

funcionar efetivamente ou no em um contexto definido.


O COBIT define sete categorias de habilitadores para a governana e gesto de TI das
organizaes, conforme demonstrado na figura 2.6.

Habilitadores do COBIT 5
3. Estruturas
Organizacionais

2. Processos

4. Cultura, tica e
Comportamento

1. Princpios, Polticas e Modelos

5. Informao

6. Servios, Infraestrutura
e Aplicativos

6. Pessoas, Habilidades
e Competncias

Recursos

Figura 2.6
Os sete
habilitadores
do COBIT 5.

Fundamentos do COBIT 5

A tabela 2.1 descreve sucintamente cada um dos sete habilitadores definidos no COBIT.

28

Habilitador

Descrio

1. Princpios, Polticas
e Modelos

So instrumentos para traduzir o comportamento desejado pela alta administrao numa orientao prtica para o cotidiano da gesto.

2. Processos

Representa um conjunto de prticas e atividades para consecuo de determinados objetivos, produzindo um conjunto de resultados em apoio consecuo
geral dos objetivos de TI.

3. Estruturas
organizacionais

Representa as principais entidades de tomada de deciso em uma organizao.

4. Cultura, tica e
comportamento

Representa um fator de sucesso nas atividades de governana e gesto relacionada s pessoas e organizao, ainda que subestimado pela administrao.
o conjunto de crenas, ideias, prticas e comportamentos, individuais e coletivos. Pertencem aos indivduos e, de forma coletiva, organizao.

5. Informao

Permeia toda a organizao e inclui toda a informao produzida e utilizada pela


organizao. necessria para manter a organizao em movimento e bem regulada, mas ao nvel operacional, muitas vezes o principal produto da organizao..

6. Servios, infraestrutura
e aplicativos

Representa os recursos tecnolgicos que fornecem organizao os servios


relacionados a TI.

7. Pessoas, habilidades
e competncias

Representa as pessoas necessrias para realizao bem-sucedida de todas as


atividades da organizao e, ainda, auxilia o processo de tomada de decises.
Tabela 2.1
Descrio dos
sete habilitadores
do COBIT.

Na prtica, os sete habilitadores, introduzidos no COBIT pelo Princpio 4: permitir uma


Abordagem Holstica esto presentes em todos os setores e atividades das organizaes,
conforme descrito no Princpio 2 Cobrir a organizao de ponta a ponta, incluindo todos
os recursos, atividades e responsabilidades das pessoas envolvidas.
Nesse contexto, o COBIT busca fornecer uma base de conhecimento essencial para que a alta
administrao tenha uma viso sistmica sobre governana e gesto de TI da organizao
como um todo.

A anlise detalhada
dos guias habilitadores
(Enabler Guides) no
faz parte do escopo
dessa publicao.
Para mais informaes
sobre esses guias,
acesse
www.isaca.org/cobit5.

Vejamos um exemplo prtico dos habilitadores em ao para o processo Prestar Servios de


TI, que demonstra a importncia e a necessidade da interao entre os sete habilitadores do
COBIT para uma prestao de servios bem-sucedida.
Prestar Servios Operacionais de TI aos usurios exige capacidade de servio (infraestrutura
e aplicativos), pessoas qualificadas e com o comportamento necessrio. Diversos processos
de prestao de servios tambm devem ser implementados e apoiados por estruturas
organizacionais adequadas para a gesto eficiente da informao de negcios.
O captulo 4 Dimenses dos sete habilitadores do COBIT dessa publicao detalha o contedo dos habilitadores do COBIT 5.

Exerccio de fixao 4 e
4 princpio do COBIT
Quais so os sete habilitadores definidos pelo COBIT no princpio 4?

Os sete habilitadores do COBIT influenciam o sucesso do sistema de governana e de gesto


de sua organizao? Justifique sua resposta.

5 Princpio: separar a governana da gesto


A estrutura do modelo de referncia de processos do COBIT distingue governana de
gesto. Para o COBIT, essas duas disciplinas compreendem atividades e estruturas organizacionais diferenciadas, bem como possuem propsitos e objetivos distintos.
A figura 2.7 identifica a diferena entre essas duas reas no COBIT, demonstrando que cada
uma delas possui objetivos e atividades especificas no contexto das organizaes.

Captulo 2 - Replicao

29

Separao Entre Governana e Gesto No Cobit 5


Necessidade do Negcio

Governana

Avaliar

Orientar

Feedback da Gesto

Monitorar

Gesto
Planejar (APO)

Desenvolver (BAI)

Executar (DSS)

Monitorar (MEA)

Conceito de Governana
A Governana deve garantir que as necessidades, condies e direcionamento das partes
interessadas sejam avaliados a fim de determinar objetivos corporativos equilibrados e
consensuais a serem alcanados. A Governana define a orientao, a tomada de deciso
e monitora o desempenho e a conformidade em relao s orientaes e aos objetivos
convencionados.
Conceito de Gesto
A Gesto responsvel pelo planejamento, criao, execuo e monitoramento das atividades em consonncia com a orientao definida pela rea de governana a fim de atingir
os objetivos corporativos.
Na maioria das organizaes, a governana geralmente de responsabilidade do Conselho
de Administrao (CA), sob a liderana do presidente. Todavia, em organizaes mais
complexas e de grande porte, as responsabilidades de governana especficas podem ser
delegadas a estruturas organizacionais de menor nvel.
Por outro lado, a responsabilidade sobre a gesto, na maioria das organizaes, cabe
Diretoria Executiva (DE), sob a liderana do Diretor Executivo (CEO). Assim, cada organizao
possui estrutura organizacional diferenciada, de acordo com suas necessidades, porte, objetivos de negcio e legislaes especficas.
Ainda, considerando a distino entre governana e gesto, o COBIT, com nfase no habilitador
Processos, define um conjunto de processos especficos para cada uma dessas duas reas.
Modelo de referncia de processos

Fundamentos do COBIT 5

O COBIT sugere que as organizaes implementem processos de governana e de gesto de

30

tal forma que as principais reas das estruturas organizacionais estejam cobertas por um
modelo de referncia.
A figura 2.8 mostra o conjunto dos 37 processos do modelo de referncia descritos no
COBIT. Esses processos esto divididos em 5 processos para a governana de TI e em 32
processos para a gesto de TI.

Figura 2.7
Distino entre
governana e
gesto no COBIT.

Processos para a Governana Corporativa de TI (avaliar, dirigir, monitorar)


EDM01
Assegurar o
direcionamento
e manuteno
do modelo
de Governana

EDM02
Assegurar
entega de
benefcios

EDM02
Assegurar
otimizao
do risco

EDM02
Assegurar
otimizao
dos recursos

EDM02
Assegurar
transparncia
s partes
interessadas

Processos para o Gerenciamento Corporativo de TI (planejar, construir, executar, monitorar)


Alinhar, Planejar e Organizar

Monitorar, Avaliar e Analisar

APO01
Gerenciar o
modelo de
Gesto de TI

APO02
Gerenciar a
estratgia

APO03
Gerenciar a
arquitetura
organizacional

APO04
Gerenciar
a inovao

APO05
Gerenciar
potiflio

APO06
Gerenciar
oramento
e custos

APO07
Gerenciar
recursos
humanos

APO08
Gerenciar
relacionamentos

APO09
Gerenciar
acordos de
servio

APO10
Gerenciar
fornecedores

APO11
Gerenciar
qualidade

APO12
Gerenciar
risco

MEA01
Monitorar, avaliar e
certicar o desempenho
e a conformidade

APO13
Gerenciar
conguraes

Construir, Adquirir e Implementar


BAI01
Gerenciar
programas
e projetos

BAI02
Gerenciar
denio de
requisies

BAI05
Gerenciar
capacidade de
mudana organizacional
BAI08
Gerenciar
conhecimento

APO09
Gerenciar
ativos

BAI03
Gerenciar prospeco
e construo
de solues
BAI06
Gerenciar
mudanas

BAI04
Gerenciar
disponibilidade
e capacidade

BAI07
Gerenciar
Aceitao e
transio de mudana

MEA02
Monitorar, avaliar e
certicar o sistema de
controles internos

APO10
Gerenciar
conguraes

Entregar, Prestar Servios e Suportar


DSS02
Gerenciar requisitos
de servios e incidentes

DSS03
Gerenciar
problemas

DSS04
Gerenciar
continuidade

DSS05
Gerenciar servios
de segurana

DSS06
Gerenciar controles de
processos de negcios

Figura 2.8
Modelo de
Referncia
de Processos
do COBIT 5.

MEA02
Monitorar, avaliar e
certicar a conformidade
com os requisitos externos

Cada domnio contm os processos alocados conforme acordo com a rea de atividade mais
relevante considerando a TI em nvel corporativo.

Captulo 2 - Replicao

DSS01
Gerenciar
operaes

31

O modelo de referncia de processo do COBIT 5 o sucessor do modelo de processo do


COBIT 4.1 e conta ainda com a integrao dos modelos de processo da ISACA Risk IT e Val IT.
11 A rea Processos para a Governana relaciona os cinco processos de governana constantes do domnio Avaliar, Dirigir e Monitorar (EDM).
11 A rea Processos para Gesto relaciona os quatro domnios dos processos de gesto
constantes dos domnios Alinhar, Planejar e Organizar, Desenvolver, Adquirir e Implementar, Executar, Atender e Apoiar e Monitorar, Avaliar e Analisar completando o
ciclo de gesto Planejar, Criar, Executar e Monitorar (PBRM).
A representao dos nomes e domnios est em consonncia com as designaes das reas
principais e usam mais um verbo para descrev-las:
11 Alinhar, Planejar e Organizar (APO);
11 Desenvolver, Adquirir e Implementar (BAI);
11 Executar, Atender e Apoiar (DSS);
11 Monitorar, Avaliar e Analisar (MEA).
O modelo de referncia do COBIT 5 apresenta os processos normalmente encontrados nas
organizaes cujos processos so suportados e relacionados a TI. Assim, o COBIT fornece
uma diretriz comum para gestores de negcios e de TI aplicarem nas organizaes, com
nfase nas necessidades de negcio e de TI.

Esse modelo no o nico modelo de processo possvel. Cada empresa deve definir
seu conjunto de processos, levando em considerao sua situao especfica.

Incorporar um modelo operacional e uma linguagem comum para todas as partes da


organizao envolvidas com atividades de TI uma das etapas mais importantes e crticas
da boa governana.
O modelo proposto pelo COBIT oferece uma estrutura para medir e monitorar o desempenho de TI, de forma a possibilitar a sua avaliao, comunicao entre os provedores de
servio e melhor integrao com as prticas de gesto organizacional.
Consideraes sobre o modelo de referncia de processos
O modelo de referncia de processos do COBIT representa uma evoluo em relao ao
padro COBIT 4.1 no que tange estrutura de processos e domnios do padro anterior.
Este modelo de referncia:
11 No prescritivo e nico;
11 Descreve os possveis processos de uma organizao;

Fundamentos do COBIT 5

11 adaptvel s necessidades da organizao;

32

11 Identifica os objetivos de governana e de gesto;


11 Pressupe o porte, a complexidade e a natureza da organizao;
11 Alinha-se aos objetivos estratgicos da organizao.
O detalhamento de cada um dos processos, segundo o modelo de referncia definido pelo
COBIT, consta da publicao COBIT 5 Modelo de Referncia de Processos, fora do escopo
dessa publicao.

w
Consulte
www.isaca.org/cobit
para mais
consideraes
sobre o Modelo
de Processos do
COBIT 4.1.

Exerccio de fixao 5 e
5 princpio do COBIT
Conceitue Governana e Gesto no contexto do COBIT.
Governana:

Gesto:

Relacione (1) Processo de Governana de TI e (2) Processo de Gesto de TI no contexto do


modelo de referncia de processos do COBIT.

Garantir a realizao de benefcios

Gerenciar inovao

Gerenciar mudanas

Garantir otimizao do risco

Gerenciar ativos

Gerenciar portflio

Garantir otimizao de recursos

Gerenciar fornecedores

Gerenciar estratgia

Garantir a transparncia

Interaes entre governana e gesto no COBIT


A definio das estruturas de governana e gesto deve levar em considerao as necessidades especficas das organizaes. As definies de governana e de gesto incluem
diversas atividades e responsabilidades no gerenciamento dessas duas estruturas, por
parte das organizaes.
Considerando o papel da estrutura de governana: de avaliar, direcionar e monitorar
diversas interaes so exigidas entre a governana e a gesto, a fim de resultar em um
sistema de governana eficiente e eficaz.
A tabela 2.2 apresenta uma anlise em alto nvel entre essas interaes, tendo como par-

Captulo 2 - Replicao

metro os sete habilitadores do COBIT.

33

Interaes entre Governana e Gesto no COBIT 5


Habilitador

Interao: Governana x Gesto

Processos

O modelo de processo do COBIT 5 (COBIT 5: Enabling Processes) faz


uma distino entre processos de governana de gesto, inclusive
com definio de prticas e atividades de cada um. O modelo
de processo tambm inclui as tabelas RACI que descrevem as
responsabilidades das diferentes estruturas organizacionais e suas
funes na organizao.

Informao

O modelo de processo descreve entradas e sadas das diferentes


prticas do processo para outros processos, inclusive as informaes trocadas entre os processos de governana e de gesto.
Informaes usadas para avaliar, orientar e monitorar a TI da
organizao so trocadas ente a governana e a gesto, conforme
descrio nas entradas e sadas do modelo de processo.

Estruturas
organizacionais

Diversas estruturas organizacionais so definidas em cada


empresa; estruturas podem ser definidas no mbito da governana ou da gesto, dependendo da sua composio e do escopo
das decises. Como a governana define a orientao, h uma
interao entre as decises tomadas pelas estruturas de governana, a exemplo de deciso sobre o portflio de investimentos e a
definio de apetite ao risco

Princpios,
Polticas e
Modelos

Princpios, polticas e estruturas representam o veculo pelo


qual as decises de governana so institucionalizadas na organizao e por esse motivo, constituem uma interao entre as
decises de governana (definio da orientao) e a gesto
(execuo de decises).

Cultura, tica e
comportamento

O comportamento um habilitador essencial da boa governana e


gesto da organizao Ele fica no topo liderando por exemplos
e , portanto, uma interao importante entre a governana
e a gesto.

Pessoas,
habilidades
e competncias

As atividades de governana e gesto requerem conjuntos de habilidades diferentes, mas uma habilidade essencial para os membros
do rgo de governana e de gesto entender as duas tarefas e
como elas se diferenciam.

Servios,
infraestrutura
e aplicativos

Servios so necessrios, apoiados por aplicativos e infraestrutura


que proporcionem ao rgo de governana informaes adequadas e apoio s seguintes atividades de governana: avaliao,
definio da orientao e monitoramento.

O COBIT tambm pressupe que a governana de TI esteja integrada governana corporativa,


de forma que:
11 Abranja todas as funes e processos corporativos suportados por TI;
11 Trate a Tecnologia da Informao e tecnologias relacionadas como um ativo essencial
para a organizao;

Fundamentos do COBIT 5

11 Concentre-se prioritariamente nas funes de TI;

34

11 Considere a harmonia entre os sete habilitadores de governana e gesto de TI aplicvel


na organizao.
Nesse contexto, o COBIT destaca a importncia das polticas, diretrizes estratgicas, estrutura organizacional e processos decisrios na conduo dos negcios, e que esses fatores
podem abranger tanto aspectos internos e externos ao ambiente organizacional.

Tabelas RACI
Tabela ou Matriz RACI
uma ferramenta
empregada para atribuir
papis e responsabilidades, em processos,
projetos, servios ou
mesmo no contexto de
um departamento
/ funo.
R: Responsvel
A: prestA conta
C: Comunicado
I: Informado

Tabel 2.2
Interaes entre
Governana e
Gesto no COBIT.

Consideraes finais
Os cinco princpios do COBIT 5, atuando de forma harmnica, possibilitam que a organizao
crie uma estrutura eficiente de governana e de gesto, de forma a otimizar os investimentos
e uso dos recursos de TI seguindo as orientaes das partes interessadas.
Os sete habilitadores definidos pelo COBIT 5 no so aplicveis apenas governana e gesto de
TI. Pelo contrrio, sua aplicao abrange toda a organizao. Assim, esses habilitadores tambm
so considerados componentes essenciais e necessrios governana e gesto corporativa.
Os habilitadores devem ser compreendidos de forma holstica e, ainda, considerando a
influncia de um determinado fator sobre os demais. Cada habilitador necessita de informaes dos demais para obter resultado efetivo.
Por exemplo, processos precisam de informaes e estruturas organizacionais necessitam
de pessoas capacitadas e com habilidades e comportamentos adequados. Adicionalmente,
os processos em operao geram informaes e as habilidades e o comportamento das
pessoas tornam os processos eficientes, produzindo resultados para o benefcio dos demais
habilitadores harmonicamente.
Assim, ao tratar da governana e da gesto de TI da organizao, boas decises podem ser
tomadas somente quando esta natureza sistmica dos arranjos de governana e de gesto
for considerada no contexto da organizao.
Na prtica, essa dinmica significa que, para tratar de qualquer necessidade das partes
interessadas, a referncia a todos os habilitadores inter-relacionados deve ser considerada,
compreendida e orientada pela alta administrao da empresa.
O captulo 4, Dimenses dos Sete Habilitadores do COBIT 5, detalha como os sete habilitadores
do COBIT 5 influenciam o sucesso da governana e gesto corporativa de TI nas organizaes.

Exerccio de fixao 6 e
Interaes entre governana e gesto no COBIT
Responda as questes a seguir considerando o contexto da organizao onde voc trabalha.
As estruturas funcionais de governana e de gesto de TI esto definidas e segregadas?
De que forma? Como ocorre a interao entre essas duas reas?

A cultura organizacional um dos sete habilitadores do COBIT. A cultura est associada a um


padro de comportamentos, convices, assunes, atitudes e formas de fazer as coisas.
de TI? A cultura representa um fator restritivo governana e gesto eficiente?
Justifique sua resposta.

Captulo 2 - Replicao

Como voc avalia a cultura na sua organizao com foco no sucesso da governana e gesto

35

36

Fundamentos do COBIT 5

3
objetivos

Cascata de objetivos do COBIT


Conhecer as etapas do processo da cascata de objetivos do COBIT;
Analisar os benefcios do processo da cascata de objetivos do COBIT;
Aplicar, em atividades prticas, o processo da cascata de objetivos do COBIT.

Viso geral dos quatro passos do processo da cascata de objetivos do COBIT;

conceitos

1 Passo: as diretrizes das partes interessadas influenciam as suas necessidades;


2 Passo: escalonamento das necessidades das partes interessadas em objetivos
corporativos; 3 Passo: escalonamento dos objetivos corporativos em objetivos de TI;
4 Passo: cascata dos objetivos de TI em metas do habilitador; Benefcios do processo
da cascata de objetivos do COBIT; Aplicao prtica da estrutura do processo da
cascatade objetivos do COBIT.

Introduo
Organizaes:

11 Operam em contextos diversos.


11 Determinados por fatores externos.
Por isso, cada organizao precisa de sistema de governana e gesto personalizado.

(exemplo: mercado, tecnologias, leis e geopolticas) e fatores internos (por exemplo: cultura,
estrutura organizacional, pessoas e apetite ao risco), consequentemente cada organizao
Cascata de objetivos
Traduo dos objetivos
corporativos de alto
nvel em objetivos de TI
especficos e gerenciveis, mapeando-os em
prticas e processos
especficos.

exige um sistema de governana e gesto diferenciado e personalizado.


No captulo 2, analisamos que o COBIT tem como 1 princpio O atendimento s necessidades dos stakeholders. Nessa perspectiva, o COBIT pressupe que as necessidades das
partes interessadas sejam transformadas em uma estratgia acessvel pela organizao.
O processo de transformao das expectativas e tendncias das partes interessadas na
realizao de objetivos de negcio denominado, no COBIT, como cascata de objetivos.

Captulo 3 - Escalonamento de objetivos do COBIT

As organizaes operam em contextos diferentes e determinados por fatores externos

37

Cascata de objetivos do COBIT 5


Tendncia das partes interessadas (Ambiente, Evoluo tecnolgica, etc.)
Inuncia

Necessidade das partes interessadas


Realizao de Benefcios

Otimizao do Risco

Otimizao dos Recursos

Desmembra-se

Objetivos Corporativos
Desmembra-se

Objetivos de TI
Desmembra-se

Objetivos do Habilitador

Figura 3.1
CAscata de
Objetivos
do COBIT.

Baseado na figura 3.1, podemos concluir que o processo de cascata traduz as necessidades
das partes interessadas em objetivos corporativos especficos que requerem objetivos de TI,
estabelecendo metas para cada um dos sete habilitadores do COBIT 5.
Esse processo permite a configurao de objetivos especficos em cada nvel e rea da organizao, em consonncia com os objetivos gerais e as exigncias das partes interessadas.
Na prtica, esse processo auxilia e apoia efetiva e continuamente o alinhamento entre as necessidades corporativas (processos e produtos) e de TI (servios e solues) para os negcios.
A cascata de objetivos do COBIT est estruturado em quatro passos fundamentais:
11 As diretrizes das partes interessadas influenciam as suas necessidades;
11 Cascata das necessidades dos stakeholders em objetivos corporativos;
11 Cascata dos objetivos corporativos em objetivos de TI;
11 Cascata dos objetivos de TI em metas do habilitador.

Exerccio de fixao 1 e
Introduo ao escalonamento de objetivos do COBIT

Fundamentos do COBIT 5

Defina o processo da cascata de objetivos do COBIT.

38

Identifique os quatro passos do processo da cascata de objetivos do COBIT.


1 Passo:

l
Analisaremos os quatro
passos do processo da
cascata de objetivos do
COBIT ao longo desse
captulo.

2 Passo:

3 Passo:

4 Passo:

Os quatro passos do processo da cascata de objetivos do COBIT


Analisamos, a seguir, cada um dos quatro passos do processo da cascata de objetivos do COBIT.

10 Passo: as tendncias das partes interessadas influenciam as suas necessidades


As diretrizes das partes interessadas so influenciadas por diversos fatores, tais como
mudanas no ambiente de negcio, regulamentaes internas e externas, polticas de
governo e tendncias sociais, ambientais e tecnolgicas, entre outros.
Assim, conforme descrito anteriormente, as iniciativas das partes interessadas devem considerar fatores internos e externos ao ambiente organizacional.

Exerccio de fixao 2 e
10 Passo do processo da cascata de objetivos do COBIT
Qual o objetivo do 1 Passo do processo da cascata do COBIT?

Responda a questo a seguir, considerando o contexto da organizao onde voc trabalha.

influenciadas pelo ambiente interno e/ou externo, e quais fatores (tecnolgicos, ambientais,
sociais, polticos etc.) so preponderantes nessa anlise, de forma a completar a tabela a
seguir com as informaes requeridas:
Descrio das diretrizes das
partes interessadas

Influncia do ambiente
(interno e/ou externo)

Fatores predominantes

Captulo 3 - Escalonamento de objetivos do COBIT

Identifique trs diretrizes das partes interessadas e relacione se essas diretrizes so

39

20 Passo: cascasta das necessidades das partes interessadas


em objetivos corporativos
Primeiramente, o COBIT define, de forma ampla e genrica, que as necessidades das partes
interessadas relacionam-se a um conjunto de 17 objetivos corporativos de alto nvel.
Esses objetivos corporativos foram estabelecidos com base em pesquisas e experincias
de profissionais em diversas localidades do mundo, quando do desenvolvimento do COBIT,
conforme informao disponvel em www.isaca.org.cobit.

lModelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Objetivos
Corporativos do COBIT
5" no captulo 2

Esses objetivos no so exaustivos, mas representam um norteador para as empresas analisarem suas estratgias organizacionais e utilizar a cascata do COBIT como instrumento de
referncia de mercado.
Em seguida, os 17 objetivos corporativos definidos no COBIT so vinculados s quatro
dimenses (Financeira, Cliente, Processos Internos e Aprendizagem e Crescimento) do
modelo BSC: Balanced ScoreCard (KAPLAN, 1992).
Cada um dos 17 objetivos corporativos genricos do COBIT relaciona-se a uma das quatro
dimenses do modelo BSC.

Balanced ScoreCard
Metodologia disponvel
e aceita no mercado,
desenvolvida por
Kaplan & Norton
(1992), da Harvard
Business School, para
definir indicadores de
desempenho.

Ainda no processo de mapeamento entre os objetivos corporativos e as dimenses BSC, o


COBIT identifica a marcao (P = Primria e S = Secundria), relacionando esses parmetros a cada um dos trs focos de governana (Realizao de Benefcios, Otimizao de Risco
e Otimizao de Recursos), de forma a completar a tabela com a referncia P ou S.
Assim, por exemplo, o objetivo corporativo 5 Transparncia financeira relaciona-se
dimenso Financeira do modelo BSC, e tem como objetivos de governana Primrio (P) a
realizao de benefcios e Secundrio (S) tanto a otimizao de risco quanto de recursos.
Na prtica, as organizaes podem estabelecer seus objetivos de negcio e, em seguida,
comparar as metas institucionais aos parmetros (indicadores) adotados no COBIT, alm de
verificar a sua adequao em relao a esse modelo de referncia.
Essa a proposta do COBIT. Assim, cada organizao deve estabelecer seus objetivos corporativos e de TI e compar-los com o COBIT.

Exerccio de fixao 3 e
20 Passo do processo cascata de objetivos do COBIT
Qual o objetivo do 2 Passo do processo cascata do COBIT?

Fundamentos do COBIT 5

Identifique os objetivos corporativos do COBIT associados dimenso Cliente do BSC.

40

Responda a questo a seguir, considerando o contexto da organizao onde voc trabalha.


Identifique trs objetivos corporativos definidos para a sua organizao previstos no Plano
Estratgico Institucional (PEI).

l
Os objetivos corporativos so, normalmente,
definidos quando da
elaborao do
Planejamento
Estratgico da
Instituio (PEI).

Objetivo corporativo 1:

Objetivo corporativo 2:

Objetivo corporativo 3:

H relao entre esses objetivos corporativos e os 17 definidos no COBIT (figura 3.1)? Justifique.

Entre os objetivos corporativos definidos no COBIT, cite trs que podem ser utilizados no
contexto da sua organizao. Justifique.

Necessidades das partes interessadas relacionadas a TI


Ao relacionar o Passo 1, As diretrizes das partes interessadas influenciam as suas necessidades, e o Passo 2, Cascata das necessidades das partes interessadas em objetivos corporativos, no tocante s necessidades especficas dos stakeholders relacionadas a TI, o COBIT
identificou uma srie de preocupaes (em forma de perguntas) sobre a efetividade da TI
que esses stakeholders normalmente questionam com a alta administrao, para obter um
melhor resultado sobre o uso dos recursos de TI.
Essas preocupaes esto listadas na tabela 3.2 e vinculam-se, quando pertinentes, a um ou
mais de um objetivo corporativo do COBIT entre os 17 definidos pelo modelo.
Na viso das partes interessadas, caso essas preocupaes no sejam contempladas dentro
do escopo do processo de governana e gesto de TI da organizao, a ausncia ou ineficincia
desses requisitos podem comprometer o sucesso de iniciativas dessa natureza.

As necessidades partes interessadas, especficas de TI, devem ser incorporadas aos


objetivos corporativos.

As necessidades partes interessadas esto relacionadas s atividades de TI da organizao e


so decorrentes de situaes que podem influenciar algum critrio da informao, tais como
eficincia, eficcia, acesso e segurana.

Captulo 3 - Escalonamento de objetivos do COBIT

Para pensar

41

Exerccio de fixao 4 e
Necessidades partes interessadas relacionadas a TI
O COBIT define como objetivo corporativo 8. Respostas rpidas para um ambiente de negcios em mudana. Utilizando a tabela 3.2 como referncia, identifique cinco necessidades
dos stakeholders relacionadas a requisito de negcio.

Responda a questo a seguir, considerando o contexto da organizao onde voc trabalha.


A tabela a seguir foi extrada da tabela 3.2, e est considerando apenas as preocupaes
partes interessadas, em forma de perguntas, relacionadas ao objetivo corporativo 7.
Continuidade e disponibilidade dos servios da empresa do COBIT.
Necessidades partes interessadas relacionadas continuidade e disponibilidade dos
servios de TI
Como fao para obter valor com o uso de TI?
Os usurios finais esto satisfeitos com a qualidade do servio de TI?
Considerei todos os riscos de TI?
Estou conduzindo uma slida e eficiente operao de Tecnologia da Informao?
As informaes que estou processando esto bem protegidas?
Quo crtica TI para a sustentao da empresa? O que fazer se ela no estiver disponvel?
Complete a tabela a seguir identificando trs prticas ou atividades que voc adota (ou
poderia adotar) em sua organizao para minimizar cada uma das cinco preocupaes dos
stakeholders. Responda essa questo em forma de tpicos, relacionadas ao objetivo corporativo 7. Continuidade e disponibilidade dos servios de TI.
Preocupaes partes
interessadas de TI
Garantir o valor de TI
e a satisfao dos
usurios finais

O que fazemos (podemos fazer) em nossa organizao.


1.
2.
3.
1.

Gerenciar os riscos de TI

2.

Fundamentos do COBIT 5

3.
Gerenciar as
operaes de TI

Garantir a segurana das


informaes

Garantir a disponibilidade
dos servios crticos de TI
42

1.
2.
3.
1.
2.
3.
1.
2.
3.

30 Passo: escalonamento dos objetivos corporativos em objetivos de TI


A realizao dos objetivos corporativos exige uma srie de resultados de TI que, no COBIT,
so representados pelos objetivos de TI.
O COBIT estabeleceu os objetivos de TI de acordo com as dimenses do Balanced
ScoreCard (BSC), adaptando o modelo tradicional BSC a um modelo BSC relacionado a TI,
denominado BSC de TI.
Objetivos de TI

Financeira

Objetivo da informao / tecnologia relacionada


01

Alinhamento da estratgia de negcios e de TI

02

Conformidade de TI e suporte para conformidade dos


negcios com leis e regulamentos externos

03

Compromisso da gesto executiva com a tomada de


decises de TI

04

Gesto de risco corporativo de TI

05

Benefcios realizados pelo portflio de servios e


investimentos facilitados pela TI

06

Transparncia dos custos, benefcios e riscos de TI

07

Prestao de Servios de TI em consonncia com os


requisitos de negcio

08

Uso adequado de aplicativos e de solues tecnolgicas


e automatizadas

09

Agilidade de TI

10

Segurana da Informao, infraestrutura de processamento


e aplicativos

11

Otimizao de ativos, recursos e capacidades de TI

12

Capacitao e apoio aos processos de negcios atravs da integrao de aplicativos e tecnologia nos processos de negcio

13

Execuo de programas que gerem benefcios, dentro do


prazo e do oramento e que atendam s exigncias e padres
de qualidade

14

Disponibilidade de informaes teis e confiveis para a tomada


de deciso

15

Conformidade de TI com as polticas internas

16

Equipes de TI e de negcios motivadas e competentes

17

Conhecimento, expertise e iniciativas para inovao


dos negcios

Cliente

Interna

Tabela 3.1
Objetivos de TI
no COBIT.

Aprendizado e
Crescimento

Nessa tabela, os 17 objetivos de TI esto relacionados s quatro dimenses do modelo BSC.


O COBIT tambm disponibiliza um mapeamento entre os objetivos corporativos e os
objetivos de TI.

Captulo 3 - Escalonamento de objetivos do COBIT

Dimenso
BSC de TI

43

Por exemplo, o objetivo corporativo 15. Conformidade com polticas internas est associado aos objetivos de TI conformidade de TI em relao conformidade dos negcios,
gesto de risco de TI, segurana da informao, infraestrutura de processamento e aplicativos e conformidade de TI com polticas internas.
Cada um desses objetivos de TI possui um grau de relevncia Primrio (P) ou Secundrio (S)
relacionado ao objetivo corporativo; e, ainda, os objetivos de TI so identificados a cada uma
das quatro dimenses da matriz BSC.

l
Modelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Mapeamento
dos Objetivos
Corporativos do
COBIT 5 em Objetivos
de TI" no Apendice B

Essa tabela pode ser utilizada pelas organizaes como um instrumento de referncia para avaliao da eficincia e eficcia do modelo de governana corporativa
de TI vigente na instituio.

Exerccio de fixao 5 e
30 Passo: cascata dos objetivos corporativos em objetivos de TI
Utilizando a tabela 3.4 como referncia, identifique os objetivos de TI relacionados ao
objetivo corporativo 9. Disponibilidade de informaes para tomada de deciso, o grau de
correlao (P = Primrio) ou (S = Secundrio) e a dimenso correspondente na matriz BSC.
Objetivo Corporativo 9. Disponibilidade de informaes para tomada de deciso
Objetivos de TI

Dimenso BSC

Dimenso BSC de TI

Primrio/Secundrio

Antes de iniciarmos o detalhamento do quarto passo do processo de escalonamento de objetivos


do COBIT, analisaremos a relao entre os objetivos de TI e os processos do COBIT definidos no
modelo de referncia de processos demonstrado na figura 2.8.

Mapeamento entre os objetivos de TI e os processos do COBIT


Para facilitar a aplicao do COBIT no contexto das organizaes, o modelo apresenta um

Fundamentos do COBIT 5

mapeamento entre os objetivos de TI e o modelo de referncia de processos do COBIT. Esse


mapeamento identifica os processos de TI mais importantes e que apoiam os objetivos de TI
definidos no COBIT para atingimento das metas e estratgias de negcio.
As organizaes podem utilizar essas tabelas como referncia para implementao do
modelo COBIT para a governana e gesto de TI, no que se refere ao habilitador processo.
Essas tabelas representam um recurso essencial para as organizaes. Baseando-se em
suas necessidades de negcio relacionadas a TI, a organizao deve identificar os processos
crticos e os requisitos necessrios para priorizao e implementao dos processos do
COBIT para atingimento das metas e estratgias de negcio.
44

l
Modelo Corporativo
para Governana e
Gesto de TI da
Organizao, vide a
figura "Mapeamento
dos Objetivos de TI do
COBIT em Processos"
no Apendice C.

Para pensar
Conforme referenciado no captulo 2, apenas os processos no so suficientes para
garantirem o sucesso e o atingimento da meta organizacional, isto , os demais habilitadores so importantes e requerem um conjunto de objetivos bem definidos.

Exerccio de fixao 6 e
Mapeamento entre os objetivos de TI e os processos do COBIT
Identifique os objetivos de TI em relao a cada um dos trs processos do COBIT listados a
seguir e complete a tabela com as informaes pertinentes.
Processo do COBIT

Objetivos de TI

APO4 Gerenciar
inovao

BAI09 Gerenciar
Ativos

DSS03 Gerenciar
Problemas

O Comit de Governana de TI de uma empresa de cosmticos efetuou um levantamento


das fragilidades da empresa e identificou as seguintes situaes:
11 No h alinhamento estratgico entre as reas negcio e de TI;

11 No h perspectivas de iniciativas inovadores baseadas em solues de TI.


Supondo que voc seja membro do Comit de Governana da empresa: aps participar de
um curso sobre o COBIT e, tambm, com base na tabela 3.5, voc recomendou o processo
AP02 Gerenciar a Estratgia como essencial para a organizao, com base nas fragilidades
identificadas. Justifique a sua resposta.

Captulo 3 - Escalonamento de objetivos do COBIT

11 Baixa satisfao dos usurios em relao aos servios prestados pela rea de TI;

45

40 Passo: escalonamento dos objetivos de TI em metas do habilitador


O COBIT descreve que, para atingir os objetivos de TI, necessrio obter sinergia entre os
sete habilitadores de governana e gesto, conforme descrito no captulo 2 (Princpio 4:
permitir uma Abordagem Holstica).
Os sete habilitadores do COBIT: (1) Princpios, Polticas e Modelos; (2) Processos; (3) Estruturas Organizacionais; (4) Cultura, tica e Comportamento; (5) Informao; (6) Servios,
Infraestrutura e Aplicativos; (7) Pessoas, Habilidades e Competncias. Nesse cenrio, o COBIT
5 define, para cada um dos sete habilitadores, um conjunto especfico de metas relevantes
para apoiar os objetivos de TI.
Os sete habilitadores definidos no COBIT possuem um conjunto de dimenses comuns ou
genricas, conforme demonstrado na figura 3.7.

Controle de desempenho
do Habilitador

Dimenso do Habilitador

Habilitadores genricos do COBIT 5


Partes interessadas

Metas

Internos
Externos

As necessidades das
partes interessadas
foram consideradas?

Qualidade Intrnseca
Qualidade Contextual
Conabilidade

Ciclo de Vida

Boas prticas

Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte

As metas do
Habilitador
foram atingidas?

Mtricas para consecuo das metas


(Indicadores de Resultado)

Orientaes
Produtos de Trabalho

O Ciclo de Vida
controlado?

Boas prticas
foram aplicadas?

Mtricas para consecuo das prticas


(Indicadores de Direo)

Baseado nessa figura, observamos que o COBIT define quatro dimenses comuns (partes
interessadas, Metas, Ciclo de Vida e Boas Prticas) para os sete habilitadores definidos no modelo.

Cascata de objetivos do COBIT na prtica organizacional

Figura 3.2
Dimenses
genricas dos
habilitadores
do COBIT.

Na prtica, cada organizao deve estabelecer seus objetivos corporativos especficos, que
so mapeados a partir dos objetivos corporativos genricos previstos no COBIT, relacio-

Fundamentos do COBIT 5

nando cada objetivo a uma das quatro dimenses da matriz BSC.

46

Os resultados de TI no so exclusivamente o nico benefcio intermedirio necessrio para


a consecuo dos objetivos corporativos. Outras reas da organizao (exemplo: finanas,
marketing e vendas) tambm contribuem para a consecuo dos objetivos corporativos,
porm, no contexto do COBIT, esse modelo considera estritamente as atividades e os objetivos corporativos relacionados a TI.

l
O detalhamento
dos sete habilitadores
do COBIT esto
descritos no captulo 4,
Dimenses dos
Sete Habilitadores do
COBIT 5.

Benefcios da cascata escalonamento de objetivos do COBIT


O escalonamento de objetivos definido no COBIT um processo utilizado para permitir a
definio das prioridades de implementao, melhoria e garantia da governana corporativa
de Tecnologia da Informao, com base nos objetivos estratgicos da organizao e no seu
apetite de risco. Na prtica, o escalonamento de objetivos do COBIT tem como propsito:
11 Definir as metas e os objetivos relevantes em nveis diferenciados de responsabilidade;

Para pensar
A cascata de objetivos do COBIT no contm a verdade universal.
Filtrar a base de conhecimento do COBIT, a partir dos objetivos corporativos visando a
melhoria e/ou garantia de projetos organizacionais especficos;
11 Identificar e comunicar a importncia dos sete habilitadores para atingimento dos
objetivos corporativos.

Adaptao da cascata de objetivos do COBIT


Os usurios no devem usar a cascata de objetivos do COBIT de uma forma puramente
mecnica, mas como uma diretriz, considerando que:
11 Cada organizao tem prioridades diferentes em seus objetivos, que podem inclusive
sofrer mudanas com o tempo;
11 As tabelas de mapeamento no fazem distino entre o porte da organizao e/ou o
setor em que ela est inserida;
Os indicadores usados no mapeamento consideram apenas dois nveis de importncia ou
relevncia: (P) ou (S); porm, na prtica, cada organizao pode utilizar outros nveis.

Os nveis de relevncia (P) ou (S) no so os nicos nveis que podem ser utilizados
pelas organizaes. Na prtica, outros nveis, como discretos e/ou ponderados
tambm podem ser considerados, adaptados e customizados ao modelo COBIT.

Nesse cenrio, o primeiro passo que uma organizao deve tomar para usar a cascata de
objetivos do COBIT customizar o mapeamento, levando em considerao o seu contexto
organizacional, ou seja, a organizao deve criar sua prpria cascata de objetivos, de acordo
com suas necessidades e realidade, para, em seguida, compar-lo com o COBIT e, se for o

Captulo 3 - Replicao

caso, refin-lo.

47

Exerccio de fixao 7 e
Consideraes sobre a cascata de objetivos do COBIT
Identifique os propsitos da cascata de objetivos do COBIT.

O processo cascata de objetivos do COBIT representa uma verdade universal. Justifique.

Identifique os principais desafios e dificultadores para a implementao do processo

Fundamentos do COBIT 5

cascata de objetivos do COBIT na sua organizao.

48

4
Conhecer as dimenses genricas dos sete habilitadores do COBIT; Analisar as
dimenses genricas dos sete habilitadores do COBIT; Identificar as dimenses
especficas dos sete habilitadores do COBIT; Analisar as dimenses especficas
dos sete habilitadores do COBIT.

Dimenses genricas dos sete habilitadores do COBIT; Dimenses do habilitador


Princpios, Polticas e Modelos; Dimenses do habilitador Processos;
Cultura, tica e Comportamento; Dimenses do habilitador Informao;
Dimenses do habilitador Servios, Infraestrutura e Aplicativos; Dimenses do
habilitador Pessoas, Habilidades e Competncias; Aplicao prtica das dimenses

conceitos

Dimenses do habilitador Estruturas Organizacionais; Dimenses do habilitador

dos sete habilitadores do COBIT; Benefcios do uso das dimenses dos habilitadores
do COBIT.

Introduo
Os sete habilitadores definidos no COBIT possuem um conjunto de dimenses genricas
(comuns), conforme demonstrado na figura 4.1.

Captulo 4 - Dimenses dos sete habilitadores do COBIT

objetivos

Dimenses dos sete habilitadores


do COBIT

49

Controle de desempenho
do Habilitador

Dimenso do Habilitador

Habilitadores genricos do COBIT 5


Partes interessadas
Internos
Externos

As necessidades das
partes interessadas
foram consideradas?

Metas
Qualidade Intrnseca
Qualidade Contextual
Conabilidade

As metas do
Habilitador
foram atingidas?

Mtricas para consecuo das metas


(Indicadores de Resultado)

Ciclo de Vida

Boas prticas

Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte

Orientaes
Produtos de Trabalho

O Ciclo de Vida
controlado?

Boas prticas
foram aplicadas?

Mtricas para consecuo das prticas


(Indicadores de Direo)

Baseado nessa figura, observamos que o COBIT define quatro dimenses comuns (Partes
interessadas, Metas, Ciclo de Vida e Boas Prticas) para cada um dos sete habilitadores
definidos no modelo.

Dimenses comuns dos habilitadores

Figura 4.1
Dimenses
genricas dos
habilitadores
do COBIT.

Partes interessadas
Internos
Externos

Figura 4.2
Tipos de partes
interessadas.

Conforme analisado no captulo 2, as partes interessadas podem ser internas ou externas


organizao. A figura 4.2 faz referncia a esses tipos de partes interessadas. Cada organizao possui um conjunto de partes interessadas.
A figura 4.3 apresenta uma relao genrica dss principais partes interessadas internos e
externos, que pode ser aplicvel a qualquer tipo de organizao. Chief Information Officer

Fundamentos do COBIT 5

(CIO), clientes internos, clientes externos, fornecedores e a sociedade so exemplos de

50

partes interessadas .

Principais Partes Interessadas


Internos

Externos

Diretoria
Diretor Executivo (CEO)
Diretor Financeiro (CFO)
Diretor de Informtica (CIO)
Diretor de Risco (CRO)
Executivos de Negcios
Responsveis por processos comerciais
Gerentes de negcios
Gerentes de risco
Gerentes de segurana
Gerentes de servios
Gerentes de Recursos Humanos (RH)
Auditores internos
Diretores de privacidade
Usurios de TI
Gerentes de TI

Para pensar
No captulo 2, analisamos que as partes interessadas possuem seus prprios interesses e necessidades e que, s vezes, podem ser conflitantes.

No captulo 3, analisamos que as necessidades dss partes interessadas devem ser traduzidas em objetivos corporativos. Porm, como as expectativas das partes interessadas nem
sempre so uniformes, o COBIT prev que essas diferenas sejam analisadas e alinhadas
quando do estabelecimento dos objetivos de TI.
Cada habilitador do COBIT tem pelo menos uma parte interessada.

O COBIT tem como premissa que cada um dos sete habilitadores possui pelo menos uma
parte interessada que desempenha um papel atuante e/ou tenha algum interesse no
resultado do habilitador.
Por exemplo, os processos tm diversas partes que executam suas atividades e/ou que
tenham algum interesse nos resultados do processo; estruturas organizacionais podem ter
diversos gestores e tcnicos, cada um com sua funo, responsabilidade e interesses nos
negcios que fazem parte do processo de tomada de deciso da empresa. Determinada
informao ter valor e significado para alguns grupos de interessados; para outros a informao no ter aplicabilidade.

Captulo 4 - Dimenses dos sete habilitadores do COBIT

Figura 4.3
Principais partes
interessadas
internas e externos.

Parceiros comerciais
Fornecedores
Acionistas
Reguladores/Governo
Usurios externos
Clientes
Organizaes de normatizao
Auditores externos
Consultores

51

Metas
O COBIT define as metas dos sete habilitadores em termos de resultados esperados de cada
habilitador no contexto de sua aplicao, e tem como expectativa um resultado bem-sucedido
de sua prpria operao.
Assim, cada habilitador deve estabelecer metas especficas e, ao atingi-las, propiciam a
gerao de valor para a organizao.

As metas dos habilitadores equivalem aos resultados esperados. Cada habilitador


deve estabelecer metas especficas para gerar valor para a organizao.

Conforme detalhado no captulo 3, as metas dos habilitadores representam a ltima etapa


do processo de cascata de objetivos do COBIT. Neste captulo vamos detalhar as metas dos
habilitadores definidas no COBIT.
As metas dos habilitadores esto divididas em trs categorias, conforme a figura 4.4:
11 Qualidade intrnseca;
11 Qualidade contextual;
11 Acessibilidade e segurana.

Metas
Qualidade Intrnseca
Qualidade Contextual
Conabilidade

Figura 4.4
Metas dos
habilitadores.

Qualidade intrnseca
Essa categoria define em que medida os habilitadores atuam de forma precisa, objetiva e
produzem resultados exatos, objetivos e confiveis.
Qualidade contextual
Essa categoria define em que medida os habilitadores e os resultados oriundos deles
cumprem sua meta levando-se em considerao o contexto em que eles operam.
Os resultados, por sua vez, devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensveis e aplicveis.

Fundamentos do COBIT 5

Acessibilidade e segurana

52

Essa categoria define em que medida os habilitadores e seus resultados so acessveis e


seguros. Engloba dois aspectos essenciais:
11 Disponibilidade: os habilitadores devem estar disponveis quando, e se, necessrio.
11 Acesso seguro: os habilitadores devem gerar resultados seguros e o acesso deve ser restrito
queles que efetivamente esto autorizados (direito de acesso) e necessitam do acesso.

Ciclo de Vida
Cada habilitador tem um ciclo de vida, desde sua criao, passando por sua vida til ou operacional at chegar ao descarte. Esse ciclo, por exemplo, se aplica aos habilitadores informaes, estruturas organizacionais, processos e polticas organizacionais.

Ciclo de Vida

Figura 4.5
Fases do ciclo
de vida dos
habilitadores.

Planejamento
Projeto
Desenvolvimento
Implementao
Operao
Monitorao
Atualizao/Descarte

O COBIT define sete fases para o ciclo de vida dos habilitadores:


11 Planejamento;
11 Projeo;
11 Desenvolvimento/aquisio/criao;
11 Implementao;
11 Operao/uso;
11 Monitorao/avaliao;
11 Atualizao/descarte.
Boas prticas
Boas prticas so definidas para cada um dos sete habilitadores. Boas prticas apoiam a
consecuo das metas do habilitador. Boas prticas oferecem exemplos ou sugestes de
como implementar com sucesso o habilitador, bem como auxiliam na identificao dos produtos do trabalho ou as entradas e sadas necessrias.

Boas prticas
Orientaes
Produtos de Trabalho

Figura 4.6
Boas prticas

d
A publicao COBIT 5:
Habilitador Processos
apresenta diversas
aplicaes de boas
prticas para o
habilitador processos
do COBIT.

Boas prticas representam um conjunto de orientaes e produtos de trabalho aplicado


no ambiente organizacional visando melhoria dos processos de negcio e a obteno de
resultados bem-sucedidos.
Conforme definido na figura 4.6, as Boas Prticas no COBIT so compostas por orientaes e
produtos de trabalho.
A ISACA recomenda o uso de guias orientadores para atendimento s boas prticas. Para
mais informaes, consulte www.isaca.org.

Captulo 4 - Dimenses dos sete habilitadores do COBIT

Boas prticas
Atividades ou processos comprovados e
aplicados com sucesso
por diversas empresas,
sendo utilizadas para
produzir resultados
confiveis.

53

Exerccio de fixao 1 e
Dimenses comuns dos habilitadores do COBIT
Quais so as quatro dimenses genricas dos habilitadores do COBIT?

O que a dimenso metas dos habilitadores representa para a governana e gesto de TI


das organizaes?

Defina o que so boas prticas.

Dimenso controle de desempenho do habilitador


Conforme demonstrado na figura 4.1, os habilitadores do COBIT esto estruturados em uma
dimenso denominada controle de desempenho do habilitador.
Na prtica, as organizaes devem esperar resultados positivos na aplicao e uso dos
habilitadores. Inicialmente, para controlar o desempenho dos habilitadores, quatro
questes-chave podem atuar como um mecanismo de acompanhamento da efetividade
dos habilitadores, de forma que, com base em mtricas, os habilitadores possam periodicamente serem reavaliados.

54

Controle de desempenho
do Habilitador

Fundamentos do COBIT 5

A figura 4.7 sintetiza as quatro dimenses de controle de desempenho do habilitador.

As necessidades das
partes interessadas
foram consideradas?

As metas do
Habilitador
foram atingidas?

Mtricas para consecuo das metas


(Indicadores de Resultado)

O Ciclo de Vida
controlado?

Boas prticas
foram aplicadas?

Mtricas para consecuo das prticas


(Indicadores de Direo)

Nesse esquema, cada dimenso do habilitador possui uma questo chave para controle
do seu desempenho. A tabela 4.1 relaciona as questes-chave associadas dimenso de
controle de desempenho dos habilitadores.

Figura 4.7
Controle de
desempenho
do habilitador.

Tabela 4.1
Questes chave
para as dimenses
dos habilitadores.

Dimenso

Questo chave

Partes interessadas

As necessidades das partes interessadas foram consideradas?

Metas

As metas do habilitador foram atingidas?

Ciclo de vida

O ciclo de vida do habilitador controlado?

Boas prticas

Boas prticas foram aplicadas?

Indicadores e mtricas para os habilitadores


Conforme demonstrado na figura 4.7, no COBIT os habilitadores podem ser mensurados por
dois indicadores-chave:
11 Indicadores de resultado;
11 Indicadores de direo.
Indicadores de resultado
O indicador de resultado do habilitador est associado s duas primeiras dimenses descritas na tabela 4.1 (Partes interessadas e Metas), e trata das mtricas usadas para aferir em
que nvel ou medida as metas foram efetivamente atingidas.
Indicadores de direo
O indicador de direo do habilitador est associado s duas ltimas dimenses descritas
na tabela 4.1 (Ciclo de vida e Boas Prticas), e trata do funcionamento do habilitador propriamente dito e se as mtricas esto definidas.
Benefcios das dimenses genricas dos habilitadores
Esse modelo genrico das dimenses dos habilitadores tm como premissa os seguintes
benefcios:

Esse assunto est


descrito no Apndice G
do modelo COBIT 5
disponvel em www.
isaca.org/cobit, sendo
um timo instrumento
para aprofundamento
de conhecimento.

11 Aplicao de linguagem simples e estruturada para descrever os sete habilitadores;


11 Controle individualizado de cada habilitador e sua influncia ou interao entre os demais;
11 Anlise dos resultados de desempenho dos sete habilitadores como um todo.
At o momento, analisamos as dimenses genricas dos habilitadores do COBIT, entretanto,
essas dimenses possuem abordagens e enfoques diferenciados, dependendo da abrangncia e objetivo do habilitador especfico para a governana e gesto de TI da empresa.
A partir dessa etapa, vamos explorar as dimenses especficas de cada um dos sete habilitadores do COBIT.

Exerccio de fixao 2 e
Dimenso controle de desempenho do habilitador
Qual a principal diferena entre indicadores de resultado e indicadores de direo?

Captulo 4 - Dimenses dos sete habilitadores do COBIT

55

Quais so os benefcios do Modelo Genrico das Dimenses dos Habilitadores do COBIT?

Explorando as dimenses do habilitador Princpios, Polticas e Modelos


Princpios, Polticas e Modelos so instrumentos para transmitir as regras da organizao
em apoio aos objetivos de governana e valores da empresa.
Consideraes sobre Princpios
Os Princpios de uma organizao esto associados misso, viso e valores da organizao
perante suas partes interessadas e os negcios que a empresa realiza. Os Princpios devem ser:
11 Limitados;
11 Escritos em linguagem simples;
11 Claros em relao aos valores fundamentais da organizao
Consideraes sobre Polticas
As Polticas devem fornecer orientaes detalhadas sobre como colocar os princpios em
prtica. As polticas influenciam como o processo de tomada de deciso se alinha aos princpios da organizao.
As polticas devem ser atualizadas e revisadas sempre que pertinente, e as pessoas devem
ser informadas sobre suas as alteraes. Boas polticas so:
11 Efetivas: atingem o objetivo estabelecido;
11 Eficientes: garantem que os princpios sejam implementados da maneira mais eficiente;
11 No intrusivas: parecem lgicas para aqueles que devem cumpri-las; no criam resistncia desnecessria.

Para pensar
Toda organizao deve implementar mecanismos de fcil acesso s politicas para
que todas as partes interessada possam consult-las e segui-las. As partes interessada devem saber onde encontrar as polticas.

As polticas so um componente essencial de um sistema corporativo de controle interno, cujo


principal propsito administrar o risco. Como parte das atividades de governana de riscos, a

Fundamentos do COBIT 5

inclinao da empresa ao risco deve ser definida e refletida nas polticas. Assim, uma empresa

56

avessa ao risco tem polticas mais restritas do que outra com forte inclinao ao risco.
Consideraes sobre Modelos
Os Modelos de governana e gesto de TI devem fornecer administrao estrutura, orientao, ferramentas, entre outros elementos, de forma a possibilitar que a organizao implemente um sistema de governana e de gesto de TI adequados necessidade da empresa.

A tabela 1.1, do captulo 1, descreve os principais modelos disponveis no mercado e


utilizados pelas organizaes atualmente, tais como COBIT 5, COBIT 4.1, VAL IT, ITIL,
ISO 31000 e ISO 27000.
Os Modelos devem ser:
11 Abrangentes;
11 Abertos e flexveis;
11 Atuais (em relao orientao da empresa e objetivos de governana e gesto);
11 Disponveis e acessveis para as partes interessada.

As dimenses do habilitador Princpios, Polticas


e Modelos na prtica
Comparado s dimenses genricas dos habilitadores do COBIT descrito na figura 4.1,
o habilitador Princpios, Polticas e Modelos destaca-se pela aplicao e uso de boas prticas
(orientaes e produtos de trabalho) nas atividades organizacionais.
Como boas prticas no contexto desse habilitador, o COBIT destaca prticas e produtos de
trabalho, conforme descrito a seguir.
11 Prticas: estrutura de Controle, Princpios, Estrutura da Poltica, Escopo e Validade;
11 Produtos do Trabalho (Entradas/Sadas): declaraes das Polticas.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no
habilitador Princpios, Polticas e Modelos, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos e/ou externos organizao. As partes interessadas so de dois tipos: alguns definem e estabelecem as polticas da organizao; outros
devem seguir e cumprir as polticas. Exemplos: conselho, diretoria executiva, diretores de
conformidade, gerentes de risco, auditores internos e externos, prestadores de servios,
clientes e agncias reguladoras.
Metas e mtricas

para transmitir as regras da organizao em apoio aos objetivos de governana e valores


da empresa.
Assim, o cumprimento das diretrizes da organizao deve ser medido pelo nvel de aderncia, conformidade e atendimento pelos funcionrios das metas estabelecidas pela alta
administrao para esse habilitador.
Ciclo de vida
11 Modelos: so instrumentos importantes porque fornecem uma base para definir orientaes consistentes para a organizao e so usados como alicerce para formulao das polticas. Algumas organizaes utilizam modelos de mercado; outras customizam os modelos
existentes ou desenvolvem um proprietrio, considerando suas necessidades especficas.
11 Princpios: so a razo de ser de ser de uma organizao e no sofrem alteraes frequentes.
11 Polticas: possuem uma vida til; algumas permanecem por tempo indeterminado porque

Captulo 4 - Dimenses dos sete habilitadores do COBIT

Os Princpios, Polticas e Modelos so instrumentos definidos pelo Conselho ou Diretoria

57

so mandatrias; outras necessitam de reformulao para melhor adequao ao negcio.


Assim, as organizaes podem manter uma estrutura de polticas para fornecer uma base
em que um conjunto de polticas consistentes pode ser criado, acessado e atualizado
sempre que necessrio.
Mudanas nas polticas requerem um controle efetivo sobre a atualizao e efetividade
desses instrumentos de gesto, portanto, as polticas possuem um ciclo de vida que deve
apoiar a consecuo das metas definidas pela organizao.
Boas prticas
Boas prticas exigem que as Polticas faam parte de uma estrutura de governana e gesto
de TI da organizao, fornecendo uma hierarquia em que esses instrumentos devem fazer
claramente uma conexo com os princpios subjacentes. As boas prticas relacionadas a
Polticas incluem os seguintes requisitos:
11 Escopo e validade;
11 Consequncias de no cumprimento;
11 Meios para tratar das excees;
11 Mecanismos para aferir o cumprimento da poltica (verificao e medio);
11 Estruturas de governana e gesto que podem fornecer orientaes sobre as afirmaes
das polticas;
11 Polticas alinhadas inclinao do risco da empresa;
11 Polticas revalidadas e/ou atualizadas, sempre que necessrio.

Relaes com outros habilitadores


As interaes do habilitador Princpios, Polticas e Modelos com os demais
habilitadores incluem:
11 Valores culturais e ticos da empresa, que refletem e devem estimular o comportamento desejado, consequentemente, h interao com o habilitador Cultura, tica e Comportamento;
11 Polticas que so materializadas pelas prticas e atividades dos Processos que correspondem ao mecanismo mais importante para execuo e operacionalizao das
orientaes da administrao;
Esses exemplos demonstram que o habilitador Princpios, Polticas e Modelos interage com os habilitadores Cultura, tica e Comportamento, Processos, Estruturas
Organizacionais e Informaes.

11 Estruturas Organizacionais que definem e implementam as polticas em determinadas

Fundamentos do COBIT 5

reas de negcio e de controle, e atividades relacionadas estrutura que devem ser defi-

58

nidas e orientadas pelas polticas;


11 Polticas representam uma fonte de Informaes dentro de uma organizao.

l
Dependendo do
ambiente em que a
empresa opera, poder
haver diferentes graus
de requisitos regulatrios para um controle
interno efetivo e,
consequentemente,
uma forte estrutura de
poltica, com alteraes
frequentes.

Exerccio de fixao 3 e
Quais so os principais objetivos do habilitador Princpios, Polticas e Modelos?

Responda as trs questes a seguir, considerando o contexto da organizao onde


voc trabalha.
O habilitador Princpios, Polticas e Modelos est presente e operante em sua organizao?
Justifique.

Identifique uma poltica vigente em sua organizao e verifique se esse documento contempla os requisitos de Boas Prticas indicadas pelo COBIT, tais como: escopo e validade,
consequncias de no cumprimento, tratamento de excees; procedimentos de controle e
monitorao; estrutura de governana e de gesto; inclinao ao risco da empresa; e periodicidade de manuteno.

Explorando as dimenses do habilitador Processos


Consideraes sobre o habilitador Processos: um processo definido como um conjunto
de prticas influenciadas pelas polticas e procedimentos da organizao, alimentado por
diversas fontes, inclusive outros processos, que manipula as entradas e produz resultados.
O COBIT define um modelo de referncia de processo que descreve em detalhes os 37 processos de governana e gesto, conforme descrito no captulo 2. Esse modelo representa os
processos normalmente encontrados nas atividades de TI das organizaes.
O modelo do COBIT completo e abrangente, mas no o nico modelo possvel. Cada
empresa deve definir seu prprio conjunto de processos, considerando suas necessidades.
Incorporar um modelo operacional de processos e uma linguagem comum para todas as
reas da empresa envolvidas nas atividades de TI uma atividade importante e crticas da

A publicao COBIT 5
Habilitador Processos
conceitua as prticas
de gesto e governana
e seus relacionamentos
para cada processo
definido no Modelo de
Referncia de
Processos do COBIT.

boa governana. O modelo de processos deve fornecer uma estrutura para medio e monitoramento do desempenho de TI, comunicao com os prestadores de servios e integrao
das boas prticas de gesto.
A seguir, vamos identificar cada componente da Dimenso Genrica do habilitador Processos.
Prticas
As prticas de governana e gesto no COBIT fornecem um conjunto completo de requisitos
em alto nvel para a prtica eficaz da governana e gesto de TI da organizao para cada

Captulo 4 - Replicao

um dos 37 processos do COBIT.


59

Segundo o COBIT, as prticas representam:


11 Declaraes de aes para realizao de benefcios, otimizao do nvel de risco e
otimizao dos recursos;
11 Alinhamento aos padres e boas prticas geralmente aceitas;
11 Aes genricas, portanto, adaptveis para cada organizao;
11 Cobertura abrangente (de ponta a ponta) para processos de negcio e de TI.
Cada organizao, baseada em sua estrutura de governana e gesto, deve identificar as
prticas relacionadas ao processos de forma que:
11 Selecione aquelas que sero aplicveis e possam ser efetivamente implementadas;
11 Acrescente e/ou ajuste as prticas, sempre que necessrio;
11 Define e adicione prticas no relacionadas a TI para integrao aos processos de negcios;
11 Customize a implementao das prticas considerando variveis como frequncia,
amplitude, automao e responsabilidade;
11 Aceite o risco de no implementar determinadas prticas.
Atividades
As atividades representam um conjunto completo de tarefas genricas e especficas que
fornecem uma abordagem que inclui as aes necessrias para alcanar o propsito das
prticas de governana e gesto.
Assim, as atividades fornecem orientaes em alto nvel, a um nvel a seguir das prticas de
governana e de gesto, para avaliar o desempenho do processo e considerar potenciais
melhorias. As atividades representam as principais aes tomadas na operao do processo, e podem ser definidas como orientaes para alcanar as prticas de gesto para
obter sucesso na governana e gesto de TI da empresa.
As atividades do COBIT disponibilizam informaes sobre como, por que e o que implementar
em cada prtica de governana e gesto para melhorar o desempenho da TI, gerenciar o
risco de Tecnologia da Informao e melhorar a prestao de servios de TI. As atividades
descritas no COBIT so teis para os seguintes pblicos-alvo:
11 Gestores, prestadores de servios, usurios finais e profissionais de TI que precisam
planejar, desenvolver, executar ou monitorar a TI da empresa;
11 Auditores, profissionais de controle e consultores que podem opinar sobre os processos
atuais e propostas de melhorias necessrias.
Enfim, as atividades so importantes porque:
11 Descrevem um conjunto de etapas de implementao orientadas s aes necessrias
para atingir o objetivo da prtica de gesto e/ou governana relacionada;

Fundamentos do COBIT 5

11 Consideram as entradas e sadas do processo;

60

11 Possuem como base os padres e boas prticas geralmente aceitos;


11 Apoiam o estabelecimento de funes e responsabilidades bem definidas;
11 Devem ser adaptadas e desenvolvidas em procedimentos especficos adequados
empresa, no sendo consideradas prescritivas.

Atividades detalhadas

Para informao acerca


das orientaes
especificas para
prticas, consulte www.
isaca.org/cobit.

As atividades podem no ter um nvel suficiente de detalhamento para a implementao,


portanto orientaes adicionais podem ser requisitadas.
O detalhamento das atividades pode ser obtido a partir de padres e boas prticas especficos, tais como ITIL, ISO/IEC srie 27000 e PRINCE2. A ISACA, conforme previsto nos
produtos da famlia do COBIT, desenvolver orientaes especficas com detalhamento
necessrio sobre como implementar as prticas relacionadas.

As dimenses do habilitador Processos na prtica


Comparado s dimenses genricas dos habilitadores do COBIT descritas na figura 4.1,
o habilitador Processos destaca-se pela aplicao e uso de boas prticas (orientaes e
produtos de trabalho) nas atividades organizacionais, em especial no que tange s Prticas,
Atividades e Atividades Detalhadas dos processos.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Processos, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos ou externos, cada um desempenhando suas
funes. No COBIT, os nveis de responsabilidade das partes interessadas esto descritos
e documentados pelas tabelas RACI. Exemplos: clientes, parceiros comerciais, acionistas,
conselho de administrao, funcionrios e voluntrios.
Metas
As metas do processo so definidas como uma declarao que descreve o resultado
esperado de um processo. O resultado esperado pode ser definido como um artefato, uma
mudana significativa ou melhoria na capacidade de outros processos, pois depende do
escopo e abrangncia do processo.
Conforme analisado no captulo 3, no processo de escalonamento de objetivos do COBIT as
metas do processo apoiam os objetivos de TI, que por sua vez apoiam os objetivos corporativos. As metas do processo abrangem as duas categorias:
11 Metas intrnsecas: relacionam-se qualidade intrnseca do processo, ou seja, exatido
e consonncia com as boas prticas e ao cumprimento de regulamentaes (normas
internas e externas);
11 Metas contextuais: tm relao com a customizao e adaptao do processo necessidade e realidade especfica da empresa, ou seja, abrangendo aspectos de significado,
compreensvel e facilidade de aplicao;
11 Metas de acessibilidade e segurana: relacionam-se confidencialidade, quando necessria, do processo, ou seja, o conhecimento do processo pelos responsveis e acessibilidade queles que efetivamente precisam ter acesso.
Em cada nvel do escalonamento de objetivos do COBIT e, consequentemente, tambm para
os processos, mtricas so definidas para aferir em que medida os objetivos so atingidos.
Mtricas podem ser definidas como uma entidade quantificvel que permite medir a consecuo da meta de um processo.

Captulo 4 - Replicao

61

Para pensar
Para que o habilitador Processo seja eficaz e eficiente, as mtricas devem ser definidas
para medir em qual medida os resultados esperados do processo foram atingidos.

As mtricas devem ser SMART, isto , especficas, mensurveis, acionveis, pertinentes


e tempestivas.
O controle de desempenho do habilitador deve descrever em qual medida as boas prticas
foram aplicadas, portanto, mtricas podem ser definidas para auxiliar a medio do controle
de desempenho do habilitador processo.
Ciclo de vida
Um processo definido, criado, operado, monitorado, atualizado e at encerrado, se for o
caso. Os processos podem possuir ciclos de vida diferenciados, considerando as necessidades de negcio da organizao.
Prticas de processos genricas, tais como as definidas no modelo de avaliao de processo
do COBIT baseado na ISO/IEC 15504, podem auxiliar a definio, execuo, monitoramento e
otimizao dos processos.
Boas prticas
O COBIT 5 j descreve prticas e atividades relacionadas governana e gesto de TI. Por outro
lado, as atividades detalhadas esto sendo desenvolvidas em guias profissionais pela ISACA.

Para pensar
Orientaes adicionais sobre os processos podem ser obtidas atravs de padres e
estruturas relacionados no final de cada processo de governana e gesto de TI.

Atualmente, as orientaes sobre as boas prticas relacionadas aos processos esto


descritas em padres e estruturas relacionadas, referenciadas ao fim das atividades
detalhadas de cada um dos 37 processos de governana e gesto de TI.
As boas prticas relacionadas aos processos esto descritas no incio do detalhamento do
habilitador Processos. Boas prticas externas podem existir em qualquer nvel de detalhamento e a maioria se refere a outros padres e modelos. Os usurios, quando necessrio,
devem consultar essas boas prticas externas, visto que o COBIT est alinhado com esses
padres e, quando pertinente, as informaes de mapeamento sero disponibilizadas.

Fundamentos do COBIT 5

Entradas e sadas

62

As entradas e sadas do COBIT so os produtos do trabalho ou artefatos do processo considerados necessrios para apoiar a operao do processo. So recursos que possibilitam
decises importantes, fornecem um registro e uma prova de auditoria das atividades do
processo, e permitem o acompanhamento em caso de incidente. As entradas e sadas so
definidas para um nvel da prtica de governana e de gesto e pode incluir alguns produtos
do trabalho usados somente no prprio processo ou podem ser entradas para outros.

A publicao COBIT 5:
Habilitador Processos
contm um modelo de
referncia de processo
que descreve as boas
prticas dos processos
em trs nveis
especficos (Prticas,
Atividades e Atividades
Detalhadas).

As entradas e sadas previstas no COBIT no so consideradas uma lista completa e


nica, porque fluxos de informaes adicionais podem ser definidos, dependendo do
ambiente e da estrutura do processo e da necessidade especfica da empresa.

Controle de Desempenho do Habilitador


Essa dimenso idntica dimenso genrica, baseando-se em quatro questes chave.
Em relao s mtricas para o habilitador processo, os dois primeiros indicadores de resultado tratam do resultado efetivo do processo, isto , se foram utilizadas mtricas para mensurar e em qual medida elas foram efetivamente atingidas. O COBIT 5: Habilitador Processos
define diversas mtricas para cada meta do processo avaliado. Por outro lado, os dois
ltimos indicadores de direo tratam do funcionamento real do prprio habilitador e as
mtricas para sua finalidade.
Nvel de Capacidade do Processo

Para pensar
O COBIT possui um esquema de Avaliao da Capacidade do Processo baseado
na ISO/IEC 15504 - Tecnologia da informao - Avaliao de processo Parte 1:
Conceitos. vocabulrio.

O nvel de capacidade do processo mede a consecuo das metas e a aplicao das boas
prticas. O detalhamento da avaliao da capacidade do processo est descrito no captulo 6.

w Relaes com outros habilitadores

As interaes entre o habilitador Processos e os demais ocorrem atravs das


seguintes relaes:
11 Processos necessitam de informaes (como um dos tipos de entrada) e podem produzir
informaes (como um produto do trabalho);
11 Processos necessitam de estruturas organizacionais e funes para operacionalizao,
conforme tabela RACI;
11 Processos produzem, e tambm requerem, capacidades de servio (infraestrutura
e aplicativos);
11 Processos interagem e podem depender de outros processos;
11 Processos produzem ou necessitam de polticas e procedimentos para garantir a consistncia da implementao e execuo;
11 Aspectos culturais e comportamentais determinam a qualidade da execuo dos processos.
Captulo 4 - Replicao

Para mais informaes


e orientaes sobre
o modelo de capacidade de processo,
consulte o site
www.isaca.org/cobit.

63

Exerccios de fixao 4 e
Suponha que voc seja o responsvel pela implementao do modelo de referncia de processos do COBIT em sua organizao. Descreva as principais etapas que voc dever seguir
para implementar esse modelo.

Exerccio de fixao 5 e
No habilitador Processo, por que o COBIT define as atividades como elementos importantes
e essenciais para implementao das prticas de gesto e governana?

Explorando o habilitador Estruturas Organizacionais


Consideraes sobre o habilitador Estruturas Organizacionais
A estrutura organizacional representa a hierarquia das funes e a organizao do processo
Fundamentos do COBIT 5

de tomada de deciso em uma organizao. Nesse contexto, o modelo de referncia de

64

processo do COBIT inclui tabelas RACI, que abordam diversas funes e estruturas para o
processo hierrquico de tomada de deciso.

A tabela 4.2, descreve algumas funes existentes nas organizaes atualmente


Estruturas Organizacionais
Funo

Descrio

Conselho

O grupo de executivos mais antigos e/ou conselheiros no executivos da empresa


responsveis pela governana da empresa e controle geral dos seus recursos

Diretor Executivo

Diretor com o maior nvel de autoridade, responsvel pela administrao da empresa


como um todo.

Diretor Financeiro

O diretor mais antigo da empresa, responsvel por todos os aspectos da administrao


financeira, inclusive riscos e controles financeiros bem como pela confiabilidade e
exatido das contas

Diretor de
Operaes

O diretor mais antigo da empresa, responsvel pela operao da empresa

Diretor de Riscos

O diretor mais antigo da empresa, responsvel por todos os aspectos da gesto de


risco da empresa. A funo do diretor de risco de TI pode ser criada para supervisionar
os riscos de TI

Diretor de
Informtica

O diretor mais antigo da empresa, responsvel pelo alinhamento de TI com as estratgias de negcios e responsvel pelo planejamento, mobilizao de recursos e administrao da prestao de servios e solues de TI em apoio aos objetivos corporativos

Diretor de Segurana
da Informao

O diretor mais antigo da empresa, responsvel pela segurana das informaes da


empresa em todas as suas formas

Executivo de
Negcios

O administrador snior responsvel pela operao de uma unidade de negcios ou


subsidiria especfica

Responsvel pelo
Processo de Negcios

Pessoa responsvel pela execuo de um processo e consecuo de seus objetivos,


orientao de melhorias no processo e aprovao de mudanas no processo

Chefe de RH

O diretor mais antigo de uma empresa responsvel pelo planejamento e pelas polticas
de recursos humanos daquela empresa

Chefe de
Desenvolvimento

Funcionrio antigo responsvel pelos processos de desenvolvimento e solues de TI

Chefe de
Operaes de TI

Funcionrio antigo responsvel pelos ambientes operacionais e pela estrutura de TI

Chefe de
administrao de TI

Funcionrio antigo responsvel pelos registros de TI e pelos assuntos administrativos


relacionados a TI

Gerente de Servios

Pessoa que administra o desenvolvimento, implementao, avaliao e o controle contnuo de produtos e servios novos e j existentes para um cliente especfico (usurio)
ou grupo de clientes (usurios)

Tabela 4.2
Principais funes
nas estruturas
organizacionais.

Essas funes no necessariamente correspondem s reais funes das empresas, mas, no


obstante, agregam valor no sentido de que o objetivo descrito da estrutura ou funo pode
ser vlido para a maioria delas.

l
Responsvel no sentido
de prestar contas pelos
resultados das
atividades que executa.

empresas, mas atuar como um instrumento de referncia e consulta pelas organizaes.


As dimenses do habilitador Estruturas Organizacionais na prtica
Comparado s dimenses genricas dos habilitadores do COBIT, descritas na figura 4.1, o
habilitador Estruturas Organizacionais destaca-se pelas Prticas (Princpios Operacionais,
Amplitude de Controle ou Escopo, Nvel de Autoridade, Delegao de Autoridade e Pro-

Captulo 4 - Replicao

A finalidade da tabela RACI no prescrever funes organizacionais universais para as

cessos de Escalao e Produtos de Trabalho Deciso).


65

Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Estruturas Organizacionais, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos e externos organizao, e incluem os representantes da estrutura hierrquica, entidades organizacionais, clientes, fornecedores e
reguladores. As funes da estrutura organizacional referem-se aos processos de tomadas
de deciso, influncia e assessoramento. Os interesses das partes interessadas tambm
podem variar em funo das decises estabelecidas nas diversas reas e nveis de negcio.
Metas
As metas para o habilitador Estrutura Organizacional incluem sua prpria organizao, princpios operacionais definidos e uso de boas prticas. Como resultado, esse habilitador abrange
atividades e decises relacionadas aos responsveis pelas reas de governana e gesto.
Ciclo de vida
Cada estrutura organizacional tem um ciclo de vida. As reas so criadas, colocadas em
operao, ajustadas e, em alguns casos, extintas.
As partes interessadas, em funo da necessidade de negcios da organizao, podem estabelecer a criao de unidades definindo um motivo, responsabilidades e objetivos.
Boas prticas
A tabela 4.2, adaptada do COBIT, relaciona as boas prticas para o habilitador Estrutura
Organizacional.
Boas prticas

Descrio

Princpios
operacionais

Disposies prticas sobre como a estrutura operar, definindo frequncia de reunies, normas de documentao e organizao interna.

Composio

As estruturas organizacionais so formadas por membros que podem ser representantes (partes interessadas) internos ou externos.

Amplitude
de controle

Os limites dos direitos de deciso da estrutura organizacional so baseados em controles preestabelecidos.

Nvel de autoridade
ou direitos de deciso

Representam as decises que a estrutura est autorizada a tomar, em funo das


atividades que realizam no dia a dia.

Delegao
de autoridade

A estrutura pode delegar (um subconjunto de) direitos de deciso a outras estruturas
subordinadas a ela.

Procedimentos
de escalao

O caminho da escalao de uma estrutura descreve as aes necessrias no caso de


problemas ou conflitos relacionados tomada de deciso.

Fundamentos do COBIT 5

Relaes com outros habilitadores

66

Tabela 4.2
Boas prticas
para o habilitador
Estrutura
Organizacional.

As interaes com outros habilitadores incluem:


11 Tabelas RACI associam as atividades do processo s estruturas organizacionais e/ou
funes individuais na empresa. As tabelas so teis porque descrevem o nvel de
envolvimento de cada funo na organizao em relao s prticas definidas para os
processos, identificando os responsveis, consultados ou informados;
11 Cultura, tica e comportamento determinam a eficincia e eficcia das estruturas organizacionais e de suas decises;

11 A composio da estrutura organizacional dever considerar as habilidades e expertise


de seus membros;
11 Os princpios de ordem e operao das estruturas organizacionais so orientados pelas
polticas adotadas pela administrao;
11 As estruturas organizacionais requerem entradas (geralmente informaes) antes que
ela possa tomar decises com base em informaes, e isso produz sadas, por exemplo,
decises. Outras, ainda, outras informaes ou solicitaes de entradas adicionais.

Exerccio de fixao 6 e
Identifique as boas prticas definidas pelo COBIT no habilitador Estrutura Organizacional.

Explorando o habilitador Cultura, tica e Comportamento


Cultura, tica e comportamento referem-se ao conjunto de comportamentos individuais e
coletivos de cada organizao.
Esse conjunto de fatores (tica organizacional, tica individual, cultura organizacional, rela-

A forma como a
empresa encara os
fatores positivos e
negativos relacionam-se
aprendizagem
organizacional
(empresa que aprende).

nas empresas.
O COBIT destaca trs comportamentos que podem ser significativos no contexto organizacional:
11 Comportamento relativo assuno de riscos pela empresa;
11 Comportamento relativo ao cumprimento das polticas;
11 Comportamento relativo a resultados negativos, prejuzos ou perda de oportunidades.
Algumas empresas, baseando-se no sentimento de perda, utilizam essa prtica como procedimento de melhoria; outras adotam um sentimento de culpa sem tratar da causa raiz.
Comparado s dimenses genricas dos habilitadores do COBIT, descrita na figura 4.1, o
habilitador Cultura, tica e Comportamento destaca-se pelas Prticas (comunicao, execuo, incentivos e recompensas, conscientizao, regras e normas e liderana) adotadas
pelas organizaes.
Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Cultura, tica e Comportamento, conforme anlise a seguir.
Partes interessadas
As partes interessadas podem ser internos ou externos organizao. Os internos incluem
toda a empresa e os externos incluem agentes reguladores, por exemplo, auditores
externos ou rgos de fiscalizao.

Captulo 4 - Replicao

es interpessoais, objetivos e ambies pessoais) orienta o comportamento das pessoas

67

Para pensar
Algumas partes interessadas tratam da definio, implementao e execuo dos
comportamentos desejados; outros devem se alinhar s normas e aos regulamentos
previamente definidos.

Metas
As metas desse habilitador se referem a:
11 tica organizacional, determinada pelos valores que norteiam a existncia da empresa;
11 tica individual, determinada pelos valores pessoais de cada funcionrio da empresa e
dependente de fatores externos como religio, etnicidade, contexto socioeconmico,
localizao fsica e experincias pessoais;
11 Comportamentos individuais, que determinam coletivamente a cultura de uma empresa.
Ciclo de vida
Cultura organizacional, postura tica e comportamento individual possuem ciclos de vida.
Considerando a cultura organizacional atual, fatores positivos e negativos, uma empresa
pode identificar as mudanas necessrias e atuar na sua implementao.
Na dimenso Boas Prticas, o COBIT descreve algumas tcnicas que podem ser utilizadas
nas organizaes para melhoria do clima organizacional e ambiente organizacional.
Boas prticas
As boas prticas para criao, incentivo e manuteno do comportamento desejado incluem:
11 Comunicao para toda a empresa dos comportamentos desejados e valores corporativos subjacentes;
11 Conscientizao do comportamento desejado, reforada pela liderana pelo exemplo a
partir de comportamentos exercidos pela alta administrao e outras lideranas;
11 Incentivos para encorajar e convencer a adoo de comportamento desejado, considerando a conexo entre o comportamento individual e o esquema de recompensas
adotado como poltica de RH;
11 Regulamentos e normas que fornecem mais orientaes sobre o comportamento organizacional desejado, definidas claramente em princpios e polticas adotadas pela empresa.
Relaes com outros habilitadores
As interaes com outros habilitadores incluem:
11 As partes interessadas, pois caso eles no executem as atividades dos processos con Fundamentos do COBIT 5

forme esperado e se seu comportamento no estiver em conformidade, os resultados


dos processos no sero alcanados;
11 As estruturas organizacionais so projetadas e criadas de acordo com o manual, mas
se suas decises no forem implementadas por causa de comportamentos (exemplo:
agendas pessoais e falta de incentivos), as estruturas decisrias no estaro agindo com
base em uma governana e gesto de TI em nvel aceitvel;
11 Os valores corporativos e o comportamento desejado devem ser estabelecidos nos
Princpios e Polticas da organizao como um mecanismo de comunicao importante
para a empresa.
68

Exerccio de fixao 7 e
Como o COBIT caracteriza as Metas do Habilitador Cultura, tica e Comportamentos?

Explorando o habilitador Informao


Esse habilitador refere-se s informaes importantes para a organizao, sejam elas automatizadas, manuais, estruturadas, desestruturadas, formais ou informais.
O COBIT define seis atributos para informao, conforme descrito a seguir:
Atributos da informao:
11 Fsico: veculo e mdia;
11 Emprico: interface do usurio;
11 Sinttico: linguagem e formato;
11 Semntico: significado, tipo, atualizao e nvel;
11 Pragmtico: uso, considerando elementos como reteno, poder, contingncia e inovao;
11 Social: contexto organizacional.
Introduo ao Ciclo da Informao
O esquema da figura 4.8 apresenta as etapas do Ciclo da Informao, proposto pelo COBIT.

Ciclo da Informao

Gerar e Processar

Processos de Negcios

Orientar

Processos de TI

Figura 4.8
Ciclo da
Informao.

Transformar

Informao

Transformar

Conhecimento

Criar

Captulo 4 - Replicao

valor

Dados

69

Nesse esquema, os processos de negcio geram e processam dados, transformando-os em


informaes e conhecimento e, por fim, devem criar valor para a empresa. Os processos de
TI auxiliam a organizao na gerao de valor, auxiliando na melhoria dos processos.
As dimenses do habilitador Informao na prtica
Comparado s dimenses genricas dos habilitadores do COBIT, descritas na figura 4.1, o habilitador Informao destaca-se pelas Metas. Todavia, as demais dimenses genricas dos habilitadores tambm esto presentes no habilitador Informao, conforme demonstrado a seguir:
Partes interessadas
As partes interessadas podem ser internos ou externos empresa. As partes interessadas
representam as partes envolvidas que se preocupam e/ou esto interessados no fluxo da
informao gerada pela organizao.
O COBIT define diferentes categorias de funes de tratamento da informao. Tais como
arquiteto, administrador, fiducirio, fornecedor, beneficirio, modelador, gerente de qualidade, gerente de segurana, custodiantes e clientes.
11 Gerador: responsvel pela gerao da informao;
11 Custodiante: responsvel pela salvaguarda da informao;
11 Cliente: responsvel pelo uso da informao.
Na prtica, as funes das partes interessadas podem ser definidas de acordo com cada
fase do ciclo da informao proposto pelo COBIT, tais como planejadores, modeladores e
usurios da informao.
A dimenso stakeholder da informao no independente, isto , cada fase do ciclo de vida
ter participantes diferentes e com necessidades e interesses distintos pelo recurso.
Metas
As metas do habilitador Informao so:
Qualidade intrnseca
Essa dimenso requer saber em que medida os valores dos dados esto em conformidade
com os valores reais e efetivos. Essa dimenso inclui:
11 Exatido: em que medida a informao correta e confivel;
11 Objetividade: em que medida a informao imparcial e sem preconceitos;
11 Credibilidade: em que medida a informao verdadeira e crvel;
11 Reputao: em que medida a informao aceita em termos de fonte ou contedo.
Qualidade contextual

Fundamentos do COBIT 5

Essa dimenso considera em que medida a informao aplicvel tarefa do usurio da

70

informao e apresentada de forma clara e inteligvel, reconhecendo que a qualidade da


informao depende do contexto de sua aplicao.
Essa dimenso inclui requisitos relacionados a:
11 Relevncia: em que medida a informao aplicvel e til tarefa em questo;
11 Completude: de que forma a informao completa e abrangente para a tarefa;
11 Atualizao: em que medida a informao est atualizada para a tarefa em questo;

11 Suficincia: de que forma o volume de informao adequado para a tarefa;


11 Conciso: em que medida a informao representada de forma compacta e concisa;
11 Consistncia: de que forma a informao apresentada em formato adequado;
11 Interpretao: em que medida a informao apresentada em linguagens e smbolos
adequados e definidos;
11 Compreenso: de que forma a informao facilmente compreendida;
11 Manipulao: em que medida a informao facilmente manipulada e aplicada a diferentes tarefas.
Segurana e acessibilidade
Essa dimenso est associada em que medida a informao consultada, contemplando:
11 Disponibilidade o agilidade: em que medida a informao disponibilizada facilmente
quando necessria, bem como sua recuperao;
11 Acesso restrito: em que medida o acesso informao restrito e adequado s partes
autorizadas.
Ciclo de Vida
O ciclo de vida da informao (figura 4.9) deve ser considerado e diferentes abordagens
podem ser necessrias para a informao nas diversas fases do seu ciclo de vida. O habilitador Informao do COBIT destaca as seguintes etapas para o ciclo da informao:
11 Planejar: fase em que a criao e o uso dos recursos da informao so preparados.
Nessa fase, as atividades referem-se identificao dos objetivos, o planejamento da
arquitetura da informao e a elaborao dos padres e definies, tais como definies
e procedimentos de coleta de dados;
11 Projetar: fase em que se destaca a modelagem e design da informao;
11 Desenvolver/adquirir: fase em que os recursos de informao so adquiridos, englobando a criao dos registros de dados, alimentao de dados e carregamento de
arquivos externos, por exemplo;
11 Usar/operar: fase que abrange o armazenamento, o compartilhamento e o uso dos
recursos de informao;
11 Armazenamento: fase em que a informao armazenada eletronicamente por meio de
arquivos eletrnicos, bancos de dados e/ou Data Warehouses; em cpia impressa por
meio de documentos em papel ou pela memria humana pelo conhecimento tcito das
pessoas;
11 Compartilhamento: fase em que a informao disponibilizada para uso atravs de um
mtodo de distribuio. As atividades nessa fase se referem aos processos de alocao
da informao em locais onde ela pode ser acessada e usada (por exemplo, distribuio
11 Uso: fase em que a informao usada para atingir os objetivos de negcio. As atividades nessa fase se referem aos tipos de uso de informao (por exemplo, tomada de
deciso gerencial, processo automatizados de execuo) e a atividades de recuperao e
converso de informaes de um formato para outro;
11 Monitoramento: fase onde assegurado que os recursos da informao continuam funcionando adequadamente. As atividades nessa fase se referem manuteno da atualizao da informao, aperfeioamento, limpeza, mescla e remoo de dados duplicados

Captulo 4 - Replicao

de documentos por e-mail);

nos diversos banco de dados;


71

11 Descarte: fase em que os recursos da informao so descartados quando no tm mais


utilidade. As atividades nessa fase se referem ao arquivamento e destruio da informao.
Informao um habilitador de governana corporativa; por essa razo, o uso da informao
deve ser pensado como a finalidade para a qual as partes interessadas responsveis necessitam da informao ao assumir suas funes, realizar suas atividades e interagir entre si.
As interaes entre os participantes exigem fluxos de informaes cujos objetivos referem-se
a funes de responsabilidade, delegao, monitoramento, definio da orientao, alinhamento, execuo e controle.
Boas prticas
O conceito de informao compreendido de forma diferente em distintas disciplinas tais
como Economia, Teoria da Comunicao, Cincia da Informao, Gesto do Conhecimento e
Sistemas da Informao; portanto, no h uma definio consagrada mundialmente sobre
em que consiste a informao. A natureza da informao pode, contudo, ser esclarecida
atravs da definio e descrio de suas propriedades.
O COBIT define um modelo em seis nveis para estruturar as diferentes propriedades da
informao. Esses nveis apresentam atributos contnuos, que variam desde o mundo fsico
da informao, onde os atributos se conectam com as tecnologias da informao e os meios
para a captura, armazenamento, processamento, distribuio e apresentao da informao, at o mundo social do uso, compreenso e ao relacionados informao.
As descries a seguir se referem s camadas e atributos da informao:
11 Camada do mundo fsico: o mundo onde todos os fenmenos que podem ser empiricamente observados acontecem;
11 Portador/mdia de informao: atributo que identifica o portador fsico da informao;
por exemplo, papel, sinais eltricos e ondas sonoras;
11 Camada emprica: a observao emprica dos sinais usados para codificar a informao
e sua distino entre si e do rudo de fundo;
11 Canal de acesso informao: atributo que identifica o canal de acesso da informao,
por exemplo, interfaces de usurios;
11 Camada sinttica: regras e princpios para criao de sentenas em linguagens naturais
ou artificiais. A sintaxe se refere forma da informao;
11 Cdigo/linguagem: atributo que identifica a linguagem ou formato representacional
usado para codificar a informao e as regras para combinao dos smbolos da linguagem para formar estruturas sintticas;
11 Camada semntica: regras e princpios para construo do significado a partir das
estruturas sintticas. Semntica se refere ao significado da informao;

Fundamentos do COBIT 5

11 Tipo de informao: atributo que identifica o tipo da informao, por exemplo, infor-

72

mao financeira ou no financeira, informao com origem interna ou externa, valores


previstos/esperados ou observados, valores planejados ou realizados;
11 Atualizao da informao: atributo que identifica a linha do tempo atribuda informao, por exemplo, informao no passado, presente ou futuro;
11 Nvel da informao: atributo que identifica o grau de detalhamento da informao, por
exemplo, vendas anuais, trimestrais, mensais;

l
Na prtica, a informao mantida
eletronicamente na
fase de compartilhamento do ciclo de vida
pode sobrepor-se, em
grande medida, fase
de armazenamento,
por exemplo, quando
do compartilhando da
informao atravs de
acesso ao bancos de
dados, servidores de
arquivos/documentos.

11 Camada pragmtica: regras e estruturas para construo de estruturas de linguagem


mais amplas que atendam a finalidades especficas na comunicao humana. Pragmtica
se refere ao uso da informao;
11 Perodo de reteno: atributo que identifica o tempo que a informao pode ser retida
antes de ser destruda;
11 Status da informao: atributo que identifica se a informao operacional ou histrica;
11 Inovao: atributo que identifica se a informao cria novo conhecimento ou confirma
conhecimento j existente, por exemplo, informao ou confirmao;
11 Contingncia: atributo que identifica as informaes necessrias para preceder essa
informao (para ela ser considerada uma informao);

O Apndice F do COBIT
fornece uma descrio
detalhada sobre
como os critrios de
qualidade de informao so comparados
com os critrios
de Informao do
COBIT 4.1. Acesse
www.isaca.org/cobit.

linguagem no nvel pragmtico da semitica, por exemplo, contratos, legislao e cultura;


11 Contexto: o atributo que identifica o contexto em que a informao faz sentido, usada,
tem valor etc. Por exemplo, contexto cultural, contexto de domnio de assunto.
Os investimentos na melhoria da informao tecnolgica devem ser baseados em estudos
de caso com anlise do custo-benefcio. Custos e benefcios no se referem somente a
fatores tangveis e mensurveis, mas devem considerar fatores intangveis como vantagem
competitiva, satisfao do cliente e incerteza tecnolgica. Consulte o COBIT Enabling
Process, em www.isaca.org/cobit, para detalhamento do processo de investimentos em TI.
A publicao COBIT 5: Habilitador Informao, disponvel em www.isaca.org/cobit, detalha os
principais aspectos do habilitador informao definido no COBIT.

Exerccio de fixao 8 e
Identifique os seis atributos para informao definidos pelo COBIT.

Exerccio de fixao 9 e
Identifique os nove requisitos definidos na dimenso Qualidade Contextual do habilitador
Informao no COBIT.

Captulo 4 - Replicao

11 Camada do mundo social: o mundo construdo socialmente pelo uso de estruturas de

73

Exerccio de fixao 10 e
Para o habilitador Informao, o COBIT define cinco especificaes de camadas para a informao. Identifique essas camadas e o que cada uma representa para o negcio em termos
de atributos da informao para a fase de especificao de um novo projeto de desenvolvimento de aplicativo.

Explorando o habilitador Servios, Infraestrutura e Aplicativos


A capacidade de prestao de servios refere-se aos recursos aplicativos e infraestrutura
provida pela prestao de servios por parte da rea de TI.
Ao comparar as especificidades do habilitador Servios, Infraestrutura e Aplicativos com a
descrio do habilitador genrico representado pela figura 4.1, temos como destaque:
11 Partes interessadas: representam a capacidade de gerao de servio. Os servios
podem ser prestados por partes interessadas internos ou externos. Os usurios dos servios tambm podem ser internos (usurios de negcios) ou externos (parceiros, clientes
e fornecedores). Os interesses de cada parte interessada devem ser identificados e sero
concentrados na prestao de servios adequados ou pela entrega dos servios solicitados pelos fornecedores;
11 Metas: as metas de capacidade do nvel de servio podem ser expressas em termos de
servios (aplicativos, infraestrutura e tecnologia) e de nveis de servio, levando-se em
considerao quais servios e respectivos nveis so mais econmicos para a organizao. As metas relacionam-se aos servios, como esses so prestados e quais resultados so identificados;
11 Ciclo de vida: as capacidades de servio possuem um ciclo de vida. As capacidades de
servio futuras ou planejadas so normalmente descritas em uma arquitetura que pode
abranger novos aplicativos e modelos de infraestrutura. As atuais capacidades de servio
usadas ou operadas para prestar os atuais servios de TI so descritas em uma arquitetura de referncia. Dependendo do tempo de durao da arquitetura-alvo, uma arquitetura de transio tambm pode ser definida, que mostra a evoluo corporativa desde a
Fundamentos do COBIT 5

arquitetura de referncia at a arquitetura-alvo;


11 Boas prticas: as boas prticas das capacidades de servio incluem:
22 Definio dos princpios de arquitetura: diretrizes gerais que norteiam a implementao e o uso dos recursos de TI da organizao.
Exemplos de possveis princpios de arquitetura:
11 Reaproveitamento: componentes comuns da arquitetura devem ser usados ao projetar
e implementar solues, como parte das arquiteturas-alvo ou de transio;
74

11 Compra ou desenvolvimento: as solues devem ser compradas, a menos que haja uma
justificativa aprovada para seu desenvolvimento interno.
11 Simplicidade: a arquitetura corporativa deve ser projetada e mantida da forma mais
simples possvel, e ainda atender aos requisitos da empresa;
11 Agilidade: a arquitetura corporativa deve ser gil para satisfazer as necessidades de
mudana dos negcios de forma eficaz e eficiente;
11 Abertura: a arquitetura corporativa deve alavancar os padres abertos do setor.
Definies de modelo apropriado
A organizao, sob a tica da arquitetura mais adequada, deve atender s necessidades de
diferentes partes interessadas. Esses so os modelos, catlogos e matrizes usados para
descrever as arquiteturas de referncia, ou de transio; por exemplo, a arquitetura de
um aplicativo poderia ser descrita por meio de um diagrama de interface de aplicativo que
mostra os aplicativos em uso (ou planejados) e as interfaces entre eles.
Dispor de um arquivo de arquitetura
O arquivo pode ser usado para armazenar diferentes tipos de sadas arquitetnicas, inclusive princpios e padres de arquitetura, modelos de referncia de arquitetura, bem como
outros servios de arquitetura, e que definem os mdulos de servio como aplicativos que
proporcionam funcionalidade aos negcios; infraestrutura de tecnologia como hardware,
software de sistema e infraestrutura de rede; e infraestrutura fsica.
Definio de nveis de servios
Os nveis de servio que devem ser definidos e atingidos pelos prestadores de servios.
As boas prticas representam estruturas de arquitetura e capacidades de servio e atuam
como diretrizes, modelos ou padres que podem ser usados para acelerar a criao dos
servios da arquitetura, tais como TOGAF e ITIL.
Relaes com outros habilitadores
As interaes com outros habilitadores incluem:
11 Informao: as capacidades de servio podem ser alavancadas pelos processos de prestao de servios internos e externos;
11 Cultura e comportamento: os aspectos culturais e comportamentais so pertinentes
quando a organizao baseia-se em uma cultura orientada ao servio.

Exerccio de fixao 11 e
Princpios de arquitetura representam diretrizes gerais que norteiam a implementao e o
uso dos recursos de TI da organizao. Identifique trs elementos norteadores de princpios

Captulo 4 - Replicao

de TI propostos como exemplos no COBIT.

75

Habilitador Pessoas, Habilidades e Competncias


Ao comparar o modelo genrico proposto pelo COBIT na figura 4.1, o habilitador Pessoas,
Habilidades e Competncias destaca:
Partes interessadas
As habilidades e competncias podem ser encontradas em partes interessadas internas e
externas organizao, na qual esses podem assumir funes de administradores de negcios, de projeto, parceiros, concorrentes, recrutadores, instrutores, desenvolvedores e especialistas tcnicos em TI; alm disso, cada funo exige um conjunto de habilidades distintas.
Metas
As metas das habilidades e competncias esto relacionadas com os nveis de educao
e qualificao, habilidades tcnicas, nveis de experincia, conhecimento e habilidades
comportamentais necessrias para realizar e desenvolver as atividades do processo com
sucesso. As metas dos funcionrios incluem nveis corretos de disponibilidade de pessoal e
ndice de rotatividade.
Ciclo de vida
Habilidades e competncias tm um ciclo de vida. Uma organizao tem de saber qual sua
atual base de habilidades e planejar o que ela projeta para o futuro. Isso influenciado pela
estratgia (entre outras coisas) e pelos objetivos corporativos. As habilidades podem ser
desenvolvidas (por exemplo, com treinamento) ou adquiridas (por exemplo, com recrutamento) e implantadas nas diversas funes da estrutura organizacional. As habilidades
devem ser transferidas, por exemplo, se uma atividade for automatizada ou terceirizada.
Periodicamente a organizao deve avaliar a base de competncias para compreender a
evoluo ocorrida, que ser alimentada ao processo de planejamento do prximo perodo.
Ainda, essa avaliao pode ser alimentada ao processo de recompensa e reconhecimento de
Recursos Humanos.
Boas prticas
As boas prticas de habilidades e competncias incluem a definio de requisitos de qualificao claros e objetivos de cada funo desempenhada pelos diversos participantes. Isso
pode ser descrito em diferentes nveis de habilidades em diversas categorias. Para cada
nvel de habilidade apropriado em cada categoria de habilidade, uma definio da habilidade dever ser disponibilizada. As categorias de habilidade correspondem s atividades de
TI assumidas, por exemplo, gesto da informao, anlise de negcios.
Relaes com outros habilitadores
As interaes com outros habilitadores incluem:

Fundamentos do COBIT 5

11 Processos e Estrutura Organizacional: habilidades e competncias so necessrias para


realizar as atividades do processo e tomar decises em estruturas organizacionais; por
outro lado, alguns processos visam apoiar o ciclo de vida das habilidades e competncias;
11 Cultura, tica e comportamento: esse habilitador possui uma relao com as habilidades comportamentais que orientam o comportamento do indivduo e so influenciadas pela tica da pessoa e da empresa;
11 Informaes: as definies de habilidades e comportamentos utilizam-se de informaes para as quais boas prticas do habilitador devem ser consideradas.
76

l
O Skills Framework
for the Information
Age (SFIA) fornece
definies detalhadas
de habilidades para as
diversas atividades dos
profissionais de TI.

Exerccio de fixao 12 e
Considerando o habilitador Pessoas, Habilidades e Competncias, como a sua empresa
implementa na prtica um plano de desenvolvimento de habilidades e competncias para os

Captulo 4 - Replicao

profissionais de TI?

77

78

Fundamentos do COBIT 5

5
objetivos

Guia de Implementao do COBIT


Conhecer as etapas para implementao do COBIT; Conhecer as ferramentas de
implementao do COBIT; Identificar os requisitos necessrios em cada fase do
processo de implementao do COBIT; Identificar os fatores crticos de sucesso na
implementao do COBIT; Aplicar o roadmap na implementao do COBIT.

da organizao; Etapa 2: criao do ambiente apropriado; Ferramentas de


implementao; Planejamento da implementao do COBIT; Reconhecimento
dos pontos fracos e eventos desencadeadores; Capacitao da mudana; Roadmap

conceitos

Etapas do processo de implementao do COBIT; Etapa 1: entendendo o contexto

para implementao do COBIT.

Introduo
Para as organizaes agregarem valor e obterem benefcios do uso e implementao do
COBIT, faz-se necessrio adapt-lo para atender s necessidades especficas da empresa.
Assim, as etapas de planejamento e definio do escopo da implementao do COBIT tem
papel fundamental para o sucesso no uso do modelo pela organizao.
A implementao do COBIT nas organizaes deve levar em considerao fatores tangveis e
intangveis no contexto da empresa. Em relao aos componentes intangveis, necessrio
cultura e comportamento das pessoas para aceitao ou rejeio do modelo.
O documento denominado COBIT 5 Implementao no prescritivo e completo, mas estabelece boas prticas para minimizar eventuais obstculos na sua implementao, de forma a
auxiliar as organizaes na consecuo de melhores resultados com a adoo do COBIT.

Ferramentas de Implementao
O guia de orientao COBIT 5 implementao composto por um kit de ferramentas, contendo uma variedade de recursos, tais como:
11 Ferramentas de autoavaliao, medio e diagnstico;
11 Disponibilizao de informaes relevantes as partes interessadas envolvidas;
11 Artigos relacionados e explicaes adicionais acerca do uso do documento.

Captulo 5 - Guia de Implementao do COBIT

w
Para mais informaes
sobre o kit de
ferramentas de
implementao, acesse
www.isaca.org/cobit e
consulte a publicao
COBIT 5 Implementation. Esse guia
representa uma
orientao prtica para
implementao do
modelo COBIT 5
baseado no ciclo de
vida de melhoria
contnua de processos.

que as organizaes considerem desafios relacionados s mudanas internas e externas,

79

Fatores crticos de sucesso na implementao do COBIT


H diversos fatores crticos de sucesso para que a implementao do COBIT seja eficiente.
O guia de implementao do COBIT 5 sugere cinco fatores essenciais para o sucesso da
implementao do modelo:
11 Orientao e compromisso contnuo da alta administrao;
11 Apoio das partes interessadas aos processos de governana e gesto de TI da organizao;
11 Garantia de comunicao efetiva e capacitao das mudanas necessrias;
11 Adaptao do COBIT para atendimento s necessidades e ao contexto da organizao;
11 Foco em resultados rpidos e priorizao das aes em melhorias mais benficas e fceis.
Normalmente, as iniciativas de TI falham devido falta ou inadequao de orientao, apoio
ou superviso das partes interessadas envolvidos com a implementao da governana
ou gesto de TI.
Assim, apoio e orientao dos principais partes interessadas so elementos crticos para o
sucesso na implementao do COBIT. Ainda, em um ambiente corporativo fragilizado, isto
, em que o modelo operacional de negcios no claro e objetivo e no h efetividade nos
habilitadores de governana em nvel corporativo, o apoio e a participao das partes interessadas so, ainda, mais instrumentos importantes e crticos.
Planejamento da implementao do COBIT
O planejamento da implementao do COBIT uma etapa essencial para o sucesso de sua
implementao. Nessa etapa, algumas situaes so essenciais e devem fazer parte do contexto de implementao do modelo conforme descrito na tabela a seguir:
Etapa

Descrio

Elaborao de um
estudo de caso

O estudo de caso representa o ponto de partida para a implementao e melhoria da governana e gesto de TI da organizao. Todos os esforos devem concentrar-se no escopo da
implementao do modelo a partir das necessidades especficas
da empresa.

Reconhecimento
dos pontos fracos

A identificao de falhas e anlise de gaps em relao ao estgio


atual dos sete habilitadores do COBIT fundamental para a
implementao de melhorias na governana e gesto de TI da
organizao.

Para pensar
O reconhecimento de pontos fracos auxiliam a criao de um ambiente apropriado

Fundamentos do COBIT 5

para a implementao do COBIT.

80

As organizaes passam por transformaes no dia a dia e enfrentam um processo contnuo


de mudanas nos negcios. A rea de TI como parte integrante desse processo no pode
ficar alheia a esse cenrio.

Exerccio de fixao 1 e
Em sua organizao, a rea de TI est efetivamente pronta e preparada para assumir os
desafios relacionados Governana de TI? A organizao j identificou seus pontos fracos
e consequncias (eventos desencadeadores) para que a implementao do COBIT tenha
sucesso na instituio. Justifique sua resposta.

Exerccio de fixao 2 e
Na condio de gestor de TI de sua organizao, o que voc faria para iniciar a implementao do COBIT? Por onde comear? Exemplifique sua resposta com um caso aplicativo.

Etapas para implementao do COBIT


O COBIT indica duas etapas fundamentais para sua implementao:
11 Etapa 1: entendendo o contexto da organizao;
11 Etapa 2: criao do Ambiente Apropriado.
Etapa 1: entendendo o contexto da organizao
A governana e gesto de TI em uma organizao no ocorre por acaso. Toda instituio
deve elaborar seu prprio plano ou roteiro de implementao que, entre outros aspectos,

11 tica e cultura;
11 Leis, regulamentos e polticas aplicveis;
11 Misso, viso e valores;
11 Polticas e prticas de governana;
11 Plano de negcios e intenes estratgicas;
11 Modelo operacional e nvel de maturidade;
11 Estilo de gesto;
11 Inclinao ou apetite ao risco;
11 Capacidades e recursos disponveis;
11 Prticas especficas do setor ou indstria da empresa.

Captulo 5 - Guia de Implementao do COBIT

deve contemplar fatores especficos do ambiente interno e externo, tais como:

81

Para pensar
Cabe esclarecer que o COBIT um modelo sustentado por outros modelos, boas
prticas e padres, portanto, a adaptao desses instrumentos conceituais e prticos tambm devem ser considerados pela equipe de implementao para atender
requisitos especficos desses padres relacionados.
A abordagem ideal governana e gesto de TI deve ser especfica para cada organizao.
O contexto da empresa deve ser compreendido, entendido e considerado pelos implementadores do COBIT a fim de customizar o modelo sua necessidade. Esse entendimento
fundamental para obter sucesso e eficincia na implementao dos habilitadores de governana e gesto de TI na organizao como um todo.
Etapa 2: criao do ambiente apropriado
Os habilitadores do COBIT fornecem uma soluo que trata das necessidades e problemas
reais da empresa, em vez de servir como fins em si mesmos.
Assim, o diagnstico baseado nos pontos fracos e nas tendncias atuais devem ser identificados e aceitos pela administrao como diretrizes a serem tratadas para sensibilizar,
criar consenso e gerar um compromisso de ao por todos o responsveis e envolvidos na
rea de TI.
O compromisso e a adeso das partes interessadas devem ser considerados desde o incio
da implementao, com a obteno do compromisso, dos recursos necessrios para apoiar
o programa e o estabelecimento de um estudo de caso.
As principais funes e responsabilidades devem ser definidas e o compromisso de todos os
colaboradores envolvidos, considerado.
Estruturas e processos apropriados para superviso e orientao devero ser criados e
mantidos para garantir o alinhamento contnuo das abordagens de governana e gesto de
risco em toda a empresa.
Reconhecimento dos pontos fracos e eventos desencadeadores
H diversos fatores que podem indicar a necessidade de melhoria da governana e da
gesto de TI nas organizaes.
Usando os pontos fracos mapeados ou eventos desencadeadores como ponto de partida para
as iniciativas de implementao, o estabelecimento de um estudo de caso de melhoria da
governana ou gesto de TI da empresa propicia a identificao das necessidades de melhorias com base nos problemas prticos ou cotidianos que so vivenciados. Isso aumentar a
adeso e criar o senso de urgncia na empresa necessrio para iniciar a implementao.

Fundamentos do COBIT 5

Esse cenrio propicia uma plataforma para a introduo de novas mudanas e pode ajudar na

82

obteno do compromisso e apoio da alta administrao para mudanas mais profundas.


O COBIT relaciona alguns pontos fracos mais comuns para os quais os habilitadores de
governana ou gesto de TI podem ser o ponto de partida como soluo para implementao do modelo:
11 Frustrao da empresa com iniciativas fracassadas, aumentando os custos de TI e a percepo de baixo valor do negcio;

11 Incidentes significativos relacionados ao risco de TI, tais como perda de dados ou falhas
em projetos;
11 Problemas com prestao de servios terceirizados pelo no cumprimento dos nveis de
servio acordados;
11 No cumprimento das exigncias regulatrias ou contratuais;
11 Limitao por parte da rea de TI da capacidade de inovao da empresa e da agilidade
do negcio;
11 Relatos regulares da auditoria sobre o fraco desempenho de TI e/ou de problemas com a
qualidade do servio de TI prestados;
11 Gastos com TI encobertos e/ou desnecessrios;
11 Duplicao ou sobreposio das iniciativas ou desperdcio de recursos, tais como resciso
prematura de projetos;
11 Recursos de TI insuficientes, pessoal com habilidades inadequadas, insatisfeitos
ou desmotivados;
11 Mudanas na capacitao de TI que no atendem s necessidades da empresa e
demoram a dar retorno ou estouram o oramento;
11 Membros do conselho, executivos ou gerentes seniores que relutam em se envolver com
TI ou falta de responsveis pela rea de TI da empresa comprometidos e satisfeitos;
11 Modelos operacionais de TI muito complexos.
Alm desses pontos fracos, O COBIT tambm relaciona outros eventos envolvendo os
ambientes interno e externo organizao, que podem sinalizar a necessidade de rever o
foco na governana e gesto de TI, tais como:
11 Fuso, aquisio ou alienao de outras organizaes;
11 Mudana no mercado, na economia ou na posio competitiva;
11 Mudana no modelo operacional da empresa ou nos arranjos de terceirizao;
11 Novas exigncias regulatrias ou de conformidade;
11 Mudana significativa de tecnologia;
11 Foco ou projeto de governana para toda a empresa;
11 Mudanas nas lideranas da alta administrao da organizao;
11 Auditoria interna, externa ou avaliaes de consultorias;

Cada organizao deve identificar seus pontos fracos e consequncias oriundas das
falhas e/ou vulnerabilidades relacionadas.

Exerccio de fixao 3 e
Baseando-se nos pontos fracos exemplificados pelo COBIT, relacione os trs que voc
entende que so os mais crticos e que se aplicam no contexto da empresa em que voc
trabalha. Em seguida, identifique duas boas prticas que podem ser utilizadas para
melhorar o cenrio de governana e gesto no contexto da empresa.

Captulo 5 - Guia de Implementao do COBIT

11 Novas prioridades ou estratgias de negcios.

83

Pontos fracos

Aes para melhorias


1.
2.
3.
4.
5.
1.
2.
3.
4.
5.

Capacitao da mudana
O sucesso da implementao do COBIT depende da implantao da mudana adequada
com foco nos habilitadores da governana e gesto apropriados.
Em muitas empresas, h pouca nfase na gesto dos aspectos humanos, comportamentais
e culturais da mudana e motivao das partes interessadas para aceitar a mudana.
No se pode pressupor que as partes interessadas envolvidos com os sete habilitadores
aceitaro prontamente e adotaro a mudana. A possibilidade de ignorarem e/ou resistirem
mudana deve ser contemplada por meio de uma abordagem estruturada e proativa.
A conscientizao do programa de implementao deve ser alcanada atravs de um plano
de comunicao eficiente que defina o que ser comunicado, de que forma e por quem, ao
longo das vrias fases do programa.
Melhoria sustentvel pode ser conseguida obtendo-se o compromisso das partes interessadas.
Esse compromisso deve considerar a participao, tempo de dedicao e comunicao ampla
de todos os atores envolvidos, especialmente a alta administrao, para o sucesso da mudana.
Em outras palavras, as barreiras humanas, comportamentais e culturais devem ser superadas
de modo que haja um interesse comum em adotar corretamente a mudana, infundir a
vontade de adotar a mudana e garantir a capacidade de adot-la.
Abordagem ao ciclo de vida
Um ambiente adequado para implementao do COBIT um dos requisitos necessrios
para minimizar os riscos e atingir o sucesso da implementao ou da melhoria dos processos.
O ciclo de vida da implementao proposto no COBIT apresenta um modelo para ser utili-

Fundamentos do COBIT 5

zado pelas organizaes. Esse modelo foi estruturado considerando a complexidade e os

84

desafios geralmente encontrados em sua implementao.


Componentes do ciclo de vida
Os trs componentes inter-relacionados do ciclo de vida so:
11 Ciclo de vida principal de melhoria contnua;
11 Capacitao da mudana.

Gesto do programa
Veja no quadro a seguir uma breve descrio dessas etapas:
Componente

Descrio

Ciclo de vida principal de


melhoria contnua

O projeto deve englobar toda organizao, no


podendo ser tratado isoladamente.

Capacitao da mudana

O projeto deve contemplar uma abordagem aos


aspectos comportamentais e culturais da organizao.

Gesto do programa

O programa deve ser gerenciado continuamente para


identificao de gargalos.

As sete fases do ciclo de vida


A figura 5.1 ilustra as sete fases do ciclo de vida de implementao do COBIT:

Planej
ar o programa

4. O
que precisa ser feito?
Gesto do Programa (anel externo)
Capacitao da mudana (anel intermedirio)
Ciclo de via de melhoria contnua (anel interno)
Fonte: www.isaca.org

A seguir, vamos analisar cada uma dessas fases.

lt a d
su

re
ro

im
de

un

o
ir
n
e
D

gu

de
On
.
3

Captulo 5 - Guia de Implementao do COBIT

ti c a r o s p a p i s

a d n ir o
o
alv
o
Id e n

om

ia

C o n s tr u ir
m elh oria s

De
t
es

ca

Incorporar n
ova
s
abordage
ns

Operar e m
edi
r
i

ar

e oportunidades

or
e

nt

ar

m
os
l
?

le m

lh

er

la
no

as

os agora?
estam
nde
2. O

Imp

me
Op

ro
ta

u
ec
re
Ex
ga
he
oc
om
5. C

sa

s
lema
rob
ir p
n
De

rar
ito
on lisar
M na
a
e

a
Estab
elec
er
od
de m
ud
es
an
ej
a
o
Reco
nhe
ce
nece
r
ssi
a
da
de
de a
gir

ple
ue
me
re
nta
m
o
os
es
tar
?

r
nte
Ma

a equipe
mar
For
tao
lemen
imp
de

Realizar ben
efci
os

a
ar
lis
a
An

1. Qua
is s
oo
sD
ire
cio
Inici
na
ar o
do
pro
gra
re
m

iar o
Aval
tual
ado a
est

6. J chegam
os l
?

o
om

ncia?
dist
ssa
e
os
tem
n
a
cia
m
ec

s?

7.
C

Figura 5.1
Fases do ciclo
de vida de
implementao
do COBIT.

85

1 Fase
Essa fase inicia com o reconhecimento e aceitao da necessidade ou iniciativa da implementao do COBIT, identificando os pontos fracos para criar o desejo de mudana nos
nveis de gesto executiva da empresa.
2 Fase
Essa fase concentra-se na definio do escopo da implementao, usando o mapeamento
dos objetivos corporativos do COBIT em objetivos de TI, conforme visto no captulo 3, considerando, ainda, os cenrios de risco dos principais processos relacionados.
Diagnsticos de alto nvel so ferramentas essenciais para definir o escopo e compreender
as reas prioritrias para concentrar os esforos de sua aplicao. Uma avaliao do atual
estado ento realizada, e os problemas e deficincias dos processos so identificados por
meio de uma avaliao da capacidade.
3 Fase
Nessa fase, define-se uma meta de melhoria para, em seguida, realizar uma anlise mais
detalhada segundo as orientaes do COBIT para identificar falhas e possveis solues.
As solues propostas podem apresentar resultados rpidos, enquanto outras podero
exigir atividades mais desafiadoras em um prazo maior.
O COBIT sugere priorizar as iniciativas mais fceis de alcanar e que produziro os melhores
benefcios para a organizao.
4 Fase
Essa fase estabelece o planejamento de solues prticas pela definio de projetos
apoiados por estudos de casos justificveis. Um plano de mudana para a implementao
do COBIT tambm deve ser desenvolvido nessa fase. Um estudo de caso bem elaborado
ajuda a garantir que os benefcios do projeto sejam identificados e monitorados.
5 Fase
Nessa fase, as solues propostas so implementadas em forma de prticas dirias.
As mtricas e o monitoramento so definidos e estabelecidos com o uso das metas e
mtricas abordados no captulo 4.
Essa sistemtica garante que o alinhamento da empresa seja atingido e mantido, e o desempenho
possa ser medido. O sucesso exige demonstrao de envolvimento e empenho pela alta administrao, bem como a responsabilidade dos envolvidos das reas de TI e de administrao.
6 Fase
Essa fase concentra-se na operao sustentvel dos habilitadores, bem como no monitora-

Fundamentos do COBIT 5

mento da consecuo dos benefcios esperados.

86

7 Fase
Fase que se baseia na anlise de novos requisitos para a governana e gesto de TI da
empresa, identificando necessidades de melhoria contnua. O ciclo de vida deve ser seguido
de forma interativa paralelamente criao de uma abordagem sustentvel governana e
gesto de TI da empresa.

Exerccio de fixao 4 e
O roadmap do COBIT est estruturado em sete etapas. Baseando-se na figura 5.1, escreva
sucintamente o objetivo de cada fase.

Premissas para elaborao do estudo de caso


O estudo de caso o primeiro passo para implementao do COBIT. O sucesso na implementao do COBIT depende da divulgao, da necessidade de agir e de comunicao por
toda a organizao.
Uma boa prtica sugere o uso da tcnica toque de despertar, na qual os pontos fracos
devem ser identificados.
O nvel de urgncia dos riscos deve ser discutido entre os principais partes interessadas
envolvidos nos processos de TI da organizao. Todos os responsveis devem ter clara compreenso dos resultados empresariais desejados. Deve-se definir as tarefas e metas crticas
das funes e responsabilidades.
O estudo de caso uma valiosa ferramenta de que dispe a administrao para orientao
na criao de valor para a empresa e deve incluir, no mnimo, as seguintes situaes:
11 Os benefcios almejados para a empresa, seu alinhamento com a estratgia de negcios e
11 As mudanas nos negcios necessrias para criar o valor esperado, que pode basear-se
em verificaes de integridade e anlises de falhas na capacidade, e devem indicar claramente o escopo definido;
11 Os investimentos necessrios para criar as mudanas na governana e gesto de TI
da empresa;
11 Os custos fixos do negcio e de TI;
11 Os benefcios esperados da operao aps a mudana;
11 O risco inerente e quaisquer restries ou dependncias, baseando-se nos fatores
de sucesso;
11 Funes e responsabilidades definidas;
11 Monitoramento e mtrica dos investimentos e da criao de valor durante o ciclo de vida

Captulo 5 - Guia de Implementao do COBIT

os respectivos responsveis;

econmico, para atingimento das metas e resultados.


87

O estudo de caso no um documento esttico, mas uma ferramenta operacional dinmica


que deve ser continuamente atualizada para refletir a atual viso de futuro para identificao
da manuteno da viabilidade do programa.
Pode ser difcil quantificar os benefcios da implementao ou das iniciativas de implementao, e cuidados devero ser tomados para comprometimento somente com benefcios
realistas e atingveis. Estudos realizados em diversas empresas (benchmarking) podem

Fundamentos do COBIT 5

oferecer informaes teis sobre os benefcios que foram alcanados.

88

6
Avaliao da Capacidade de
Processo
atributos e nveis do Modelo Capacidade de Processo; Revisar os atributos e nveis
do Modelo de Maturidade de Processo do COBIT 4.1; Comparar os Modelos de
Maturidade e de Capacidade de Processo do COBIT; Identificar os benefcios do
Modelo de Capacidade de Processo; Efetuar uma avaliao prtica da capacidade
de processo do COBIT.

de Processo; Comparativo entre os Modelos de Maturidade e de Capacidade de


Processo; Benefcios do Modelo de Capacidade de Processo do COBIT; Atributos do
Modelo de Avaliao da Capacidade de Processo; Aplicao prtica do Modelo de

conceitos

Modelo de Avaliao da Maturidade de Processo; Modelo de Avaliao da Capacidade

Avaliao da Capacidade de Processo.

Introduo
Os modelos COBIT 4.1, RISK IT e Val IT adotavam um Modelo de Maturidade de Processo para
mensurao dos resultados dos processos de governana e de gesto de TI de uma organizao.
Por outro lado, o COBIT 5 utiliza-se de um Modelo de Capacidade de processo para mensurao do resultado e desempenho dos processos de TI.
Esse captulo tem como propsito:
11 Revisar os conceitos fundamentais do Modelo de Maturidade de Processo do COBIT 4.1;
11 Aprofundaremos o conhecimento sobre o Modelo de Capacidade de Processo;
11 Efetuar um comparativo entre os modelos de maturidade e de capacidade;
11 Realizar um estudo de caso prtico com uso do Modelo de Capacidade.

Captulo 6 - Avaliao da Capacidade de Processo

objetivos

Conhecer o Modelo de Capacidade de Processo do COBIT 5; Aprender sobre os

89

Modelo de Maturidade de Processo


Principais objetivos do Modelo de Maturidade de Processo do COBIT 4.1
Medir a maturidade atual ou o estgio em que se encontram os processos de TI da organizao.
Definir o estado de maturidade desejado e entendido como meta para a organizao.
Determinar a diferena entre os dois estgios (atual e desejado).
Melhorar o processo para atingir o nvel de maturidade desejado.
Nveis e Atributos do Modelo de Maturidade do COBIT 4.1
O Modelo de Maturidade do COBIT 4.1 usa nveis e atributos para mensurar a maturidade
dos processos de TI, conforme demonstrado na figura 6.1.

Tabela 6.1
Principais objetivos
do Modelo de
Maturidade de
Processo do
COBIT 4.1.

Modelo de Maturidade
(1 por processo)

Inexistente

Inicial /
Ad hoc

Repetvel

Processo
Denido

Gerenciado e
Mensurvel

Otimizado

Nvel 0
de maturidade

Nvel 1
de maturidade

Nvel 2
de maturidade

Nvel 3
de maturidade

Nvel 4
de maturidade

Nvel 5
de maturidade

Atributos Genricos do Modelo de Maturidade


Conscientizao
e Comunicao

Polticas, Planos,
Procedimentos

Ferramentas
e Automao

Controles de Processo do COBIT 4.1

Habilidades
e Expertise

Responsabilidade e
Responsabilizao

Objetivos de Controle do COBIT 4.1

Como se pode observar, os nveis de maturidade variam entre Inexistente (nvel 0) e


Otimizado (nvel 5). Quanto mais alto o nvel, significa que mais bem estruturada ser a
maturidade (resultado) do processo.
Ainda, baseado na figura 6.1, tem-se que o Modelo de Maturidade de Processo composto
por seis atributos denominados Conscientizao e Comunicao, Polticas, Planos, Ferramentas e Automao, Habilidades e Expertise, Responsabilidade e Responsabilizao e

Fundamentos do COBIT 5

Definio de Metas e Medio. O modelo de maturidade do COBIT 4.1 usado para:

90

11 Avaliao de melhoria do processo;


11 Avaliar a maturidade do processo;
11 Definio do nvel de maturidade desejado para um determinado processo;
11 Identificao das falhas de um processo para confirmar se os objetivos de controle do
processo foram atingidos;
11 Obteno do perfil de maturidade do processo.

Denio
de Metas
e Medio

Figura 6.1
Atributos genricos
do Modelo de
Maturidade do
COBIT 4.1.

O modelo de maturidade genrico possui seis atributos distintos aplicveis para cada processo e que auxiliam a organizao na obteno de uma viso mais detalhada do nvel de
maturidade dos processos.

Exerccio de fixao 1 e
Relacione os seis nveis de maturidade de processo adotado pelo COBIT 4.1.

d Avaliao de Capacidade de Processo


O COBIT 5, por outro lado, no usa mais o termo maturidade como instrumento de medio
dos processos, mas sim o termo capacidade. Os modelos de capacidade e de maturidade so
distintos, mas h um relacionamento comum entre eles, conforme analisaremos neste captulo.
O modelo de avaliao de Processo sistematizado pelo PAM abrange os outros seis habilitadores do modelo COBIT 5 (captulo 2), e no apenas Processos, como acontecia com o
modelo de maturidade do COBIT 4.1.
Assim, embora o PAM fornea informaes valiosas sobre o atual estgio dos processos de TI,
esses, na prtica, representam apenas um dos sete habilitadores de governana e de gesto.
Baseado no COBIT 5, as avaliaes dos processos no representam o quadro completo do estado
de governana e de gesto de uma empresa, uma vez que os demais habilitadores tambm
devem ser analisados no contexto de governana e gesto corporativa em uma organizao.
Modelo de Avaliao de Capacidade de Processo (PAM): Atributos e Nveis
A Avaliao de Capacidade de Processos do COBIT est baseada na ISO/IEC 15504, que um
padro reconhecido internacionalmente. Esse modelo de capacidade baseia-se no padro
de Avaliao de Processo de Engenharia de Software.
A avaliao de capacidade do modelo baseado na ISO/IEC 15504 proporcionar meios para
medir o desempenho de qualquer um dos processos de governana (Domnio EDM) ou de
gesto (Domnio PBRM). O modelo de avaliao baseado na ISO/IEC 15504 permite a identificao das reas e processos que precisam ser melhoradas.
A figura 6.2 apresenta os nveis e atributos genricos de Avaliao da Capacidade de Processo
do COBIT baseada na ISO/IEC 15504.

Captulo 6 - Avaliao da Capacidade de Processo

A publicao COBIT
Process Assessment
Model (PAM): Using
COBIT 4.1, da
ISACA, tem como
propsito apresentar
os mecanismos
para Avaliao da
Capacidade dos
Processos (PAM).

91

Atributos Genricos de Capacidade de Processo


Atributos de
Execuo
(PA) 1.1
Execuo do
Processo
Processo
Inexistente

PA 2.1

PA 2.2

PA 3.1

PA 3.2

PA 4.1

PA 4.2

PA 5.1

PA 5.2

Gesto
Gesto dos Denio Implementao Gesto
Controle Inovao Otimizao
da
produtos
do
do
do
do
do
do
Execuo de trabalho Processo Processo
Processo Processo Processo Processo

Processo
Executados

Processo
Gerenciado

Processo
Estabelecido

Modelo de Avaliao de Processo do COBIT 5


Indicadores de Desempenho

Processo
Previsvel

Processo
Otimizado

Modelo de Avaliao de Processo do COBIT 5


Indicadores de Capacidade

Resultados do processo
Prticas Bsicas
(Prticas de Governana
/ Gesto)

Produtos do Trabalho
(Entradas / Sadas)

Prticas
Genricas

Recursos
Genricos

Como se pode observar, os Nveis de Capacidade de Processo variam entre Inexistente,


Executado, Gerenciado, Estabelecido, Previsvel e Otimizado. Cada nvel composto por
atributos mnimos que devem estar presentes para determinao do nvel de capacidade a
ser atribudo ao processo sob avaliao.
O Processo de Avaliao do COBIT 5 mede o quanto um dado processo atinge atributos
especficos relativos a esse processo, sendo denominado Atributos do Processo.
Esse processo de avaliao contempla nove atributos de processo baseado na ISO/IEC
15504-2, conforme relacionados a seguir:
11 PA1.1: desempenho (execuo) do processo;
11 PA2.1: gesto de produto de trabalho;
11 PA2.2: gesto de desempenho (execuo);
11 PA3.1: definio do processo;
11 PA3.2: implantao do processo;
11 PA4.1: medio do processo;
11 PA4.2: controle do processo;
11 PA5.1: inovao do processo;
11 PA5.2: otimizao contnua.

Fundamentos do COBIT 5

Nveis de Avaliao da Capacidade de Processo

92

Um determinado processo pode atingir seis nveis de capacidade, de acordo com o seu
estgio de implementao, variando da denominao de Inexistente at o nvel
Otimizado, conforme descrito na tabela 6.2.

Produto de
Trabalho
Genricos

Figura 6.2
Atributos da
Capacidade de
Processo do
COBIT 5.

Nvel de Capacidade

Descrio do processo

(0) Processo Inexistente

O processo no foi implementado ou no atingiu seu objetivo.


H pouca ou nenhuma evidncia de qualquer realizao sistemtica
do objetivo do processo.

(1) Processo Executado (um atributo)

O processo implementado atinge seu objetivo.

(2) Processo Gerenciado (dois atributos)

O processo est implementado de forma planejada, monitorada


e ajustada, e seus produtos de trabalho foram adequadamente
estabelecidos, controlados e mantidos.

(3) Processo estabelecido (dois atributos)

O processo implementado utilizando um processo definido,


capaz de atingir seus resultados.

(4) Processo Previsvel (dois atributos)

O processo opera dentro dos limites definidos para produzir seus


resultados esperados.

(5) Processo Otimizado (dois atributos)

O processo continuamente melhorado, visando realizao dos


objetivos corporativos pertinentes, atuais ou previstos.

Podemos observar que nveis de capacidade mais altos requerem a incorporao de


diferentes atributos.

Para pensar
H uma diferena significativa entre a capacidade de processos de nvel 1 e os nveis
de capacidade mais elevados.

Exerccio de fixao 2 e
Qual a principal diferena entre os nveis de capacidade 0 e 1 do COBIT?

Exerccio de fixao 3 e
Como podemos garantir que o processo de Gesto de Mudanas em uma organizao est
no nvel 5?

Nveis de Capacidade de Processo na prtica


Para atingir a capacidade de processo de nvel 1, h a necessidade de que o atributo de
desempenho do processo seja amplamente atingido, isto , que o processo seja realizado
com sucesso e os resultados esperados sejam obtidos pela empresa.
O atingimento da capacidade de nvel 1 deve ser considerado uma importante conquista
para a empresa, ainda que representa um nvel baixo de capacidade para o processo.

Captulo 6 - Avaliao da Capacidade de Processo

Tabela 6.2
Nveis de
Capacidade de
Processo.

93

Cada empresa definir sua meta ou nvel desejado. Na prtica, as empresas tero
dificuldades para implementar nveis de capacidade mais elevados.
Um determinado nvel de capacidade s pode ser atingido quando o nvel acima tiver sido
plenamente alcanado.
Por exemplo, uma capacidade de processo nvel 3 (processo estabelecido) exige que a definio do processo e dos atributos de implantao sejam amplamente atingidos aps a consecuo plena dos atributos de uma capacidade de processo nvel 2 (processo gerenciado).

Exerccio de fixao 4 e
Identifique os principais desafios e dificultadores para implementao de nveis de capacidade mais elevados em sua organizao.

Modelo de Referncia de Processo do COBIT 5


O modelo de referncia de processos do COBIT Enabling Process, em conformidade com
o ISO/IEC 15504, define os requisitos mnimos para avaliao dos processos nas reas de
governana e de gesto de uma organizao. O padro ISO/IEC 15504 tem como pressupostos que:
11 O processo deve ser descrito em termos de objetivo e resultados;
11 A descrio do processo no ter de medio alm ou a seguir do nvel 1.
Dessa forma, nenhuma caracterstica de um atributo de processo alm do nvel 1 poder
constar na descrio do processo; se um processo for medido e monitorado ou formalmente
descrito, no poder constar da descrio do processo ou de qualquer das prticas ou atividades de gesto a seguir desse nvel.
Na prtica, essa sistemtica indica que as descries de um determinado processo, previsto
na publicao COBIT 5 Habilitador Processo, contm apenas os passos necessrios para a
realizao das metas e objetivos do processo.
Historicamente, alguns modelos (COBIT, ITIL, PRINCE 2) adotaram a abordagem CMM: SEI
(Software Engineering Institute), que combina avaliaes de capacidade e de Maturidade em
uma nica avaliao. A ISO 15504, por outro lado, estabelece duas avaliaes distintas:
11 Uma avaliao da maturidade realizada em nvel organizacional e usa uma escala de
Fundamentos do COBIT 5

medida diferente de uma avaliao de capacidade, alm de diferentes critrios e atributos;


11 Uma avaliao de capacidade realizada em nvel de processo e usada para fins de
melhoria de processos.
Matematicamente, no se pode combinar uma avaliao de capacidade de diversos processos para obter uma avaliao da organizao. Isso funciona para o CMMI/SEI, porque
ele est avaliando um nico processo, o de desenvolvimento de engenharia de software
ou desenvolvimento de aplicaes. Todavia, a maioria dos modelos, como o COBIT, contm
mais de 10 processos.
94

A ISO/IEC 15504 estabelece que prticas de governana e de gesto, quando executadas de


forma consistente, contribuem para o alcance da finalidade do processo e que os produtos
de trabalho (artefato associado com a execuo de um processo) devem ser definidos em
termos de entradas e sadas do processo.
Comparativo entre os Modelos de Maturidade e de Capacidade
Os atributos dos modelos de maturidade do COBIT 4.1 e de capacidade do COBIT 5, at certa
medida, se sobrepem. A figura 6.3 apresenta uma tabela comparativa entre os atributos de
maturidade e de capacidade, destacando aqueles em comum.

Otimizao do
processo

Inovao do
processo

Controle do
processo

Gesto do
processo

Implementao
do processo

Denio do
processo

Gesto de Produto
do Trabalho

Gesto de
Desempenho

Atributo de Capacidade de Processo do COBIT 5

Desempenho
do processo

Atributo de
Maturidade
do COBIT 4.1

Conscientizao
e Comunicao

Polticas, planos
e procedimentos

Ferramentas
e Automao
Habilidades
e expertise
Responsabilidade
Denio de
metas e medio
H diferenas prticas associadas mudana nos modelos de Avaliao de Processo.
Os profissionais envolvidos com atividades de Avaliao de Processo devem conhecer essas
mudanas e estarem prontos para consider-las em suas tarefas nas organizaes.
Captulo 6 - Avaliao da Capacidade de Processo

Figura 6.3
Tabela comparativa
entre os Modelos
de Maturidade e
Capacidade.

95

As principais mudanas consideradas esto descritas na tabela 6.3.


Comparao entre Nveis de Maturidade (COBIT 4.1) e de Capacidade de Processo (COBIT 5)
Nvel do Modelo de Maturidade
5. Otimizado: os processos esto refinados no nvel
de boa prtica, com base nos resultados de melhorias contnuas e modelagem da maturidade com
outras organizaes.
A TI aplicada de forma integrada para automatizar
o fluxo de trabalho, oferecendo ferramentas para
melhoria da qualidade e da eficcia, fazendo com
que a organizao se adapte rapidamente.
4. Controlado e Mensurvel: a administrao
monitora e mede a conformidade com os procedimentos, e toma medidas quando parecer que os
processos no esto funcionando efetivamente. Os
processos esto em constante melhoria e resultam
em boas prticas. Automao e ferramentas so
utilizadas de maneira limitada ou fragmentada.
3. Processo Estabelecido: os procedimentos foram
padronizados, documentados e comunicados por
meio de treinamento.
Seguir esses processos obrigatrio; no entanto,
improvvel que os desvios sejam detectados. Os
procedimentos, por si s, no so sofisticados, mas
so a formalizao das prticas existentes.

Nvel de Capacidade de Processo

Contexto

Nvel 5: processo Otimizado O


processo Previsvel (nvel 4) continuamente melhorado de modo a
atender aos objetivos corporativos
pertinentes, atuais ou previstos.

Nvel 4: processo Previsvel O processo Estabelecido (nvel 3) opera


com limites definidos, atingidos
nos resultados do processo.

Viso da
Organizao
Conhecimento
Corporativo

Nvel 3: processo Estabelecido O


processo Gerenciado (nvel 2)
implementado usando um processo definido capaz de atingir os
resultados do processo.
Nvel 2: processo Gerenciado O
processo Executado, nvel 1,
implementado de forma gerenciada (planejado, monitorado
e ajustado) e seus produtos do
trabalho so adequadamente estabelecidos, controlados e mantidos.

2. Repetvel, mas intuitivo: os processos se desenvolveram at o estgio em que procedimentos


semelhantes so adotados por diferentes pessoas
que realizam o mesmo trabalho. No h treinamento formal ou comunicao de procedimentos
padro, e a responsabilidade fica a critrio do
indivduo. H um alto grau de confiana no conhecimento das pessoas e, portanto, erros so possveis.

Fundamentos do COBIT 5

1. Inicial ou Ad hoc: h evidncias de que a organizao tenha reconhecido a existncia de problemas


que deveriam ser tratados. Contudo, no h processos padronizados; em vez disso, h abordagens
ad hoc, que tendem a ser aplicadas individualmente
ou com base em cada caso. A abordagem geral da
gesto desorganizada.

96

0. Inexistente: completa falta de processos reconhecveis. A organizao no reconheceu que existe


um problema a ser tratado.

Nvel 1: processo Executado O


processo implementado atinge a
finalidade do processo.
Nota: provvel que alguns processos classificados como Modelo
de Maturidade Nvel 1 sejam
classificados como nvel 0 na ISO/
IEC15504, se os resultados do processo no forem alcanados.

Viso de Instncia
Conhecimento
Individual

Nvel 1: processo Executado O


processo implementado atinge a
finalidade do processo.
Nota: possvel que alguns processos classificados como Modelo
de Maturidade Nvel 1 sejam
classificados como nvel 0 na ISO/
IEC15504, se os resultados do processo no forem alcanados.
Nvel 0: processo incompleto O
processo no foi implementado ou
no cumpre sua finalidade.
Tabela 6.3
Comparativo entre
os Modelos de
Maturidade e de
Capacidade.

A tabela 6.3 demonstra que, comparando os instrumentos de medio dos modelos COBIT 4.1
e COBIT 5 e, principalmente, as modificaes implementadas no modelo COBIT 5, observa-se:
11 Dificuldade de comparao entre os resultados da avaliao nos modelos COBIT 4.1 e
COBIT 5, apesar das aparentes semelhanas (nmero de escalas e termos para descrev-las);
11 As pontuaes na avaliao usando o COBIT 5 so inferiores a do COBIT 4.1;
11 Contedo simplificado atravs da eliminao de duplicao, especialmente com o
COBIT 4.1, que tinha a duplicao de objetivos de controle e as atividades RACI.
11 Maior confiabilidade e repetibilidade de atividades e avaliaes de capacidade do processo, reduzindo debates e divergncias entre as partes interessadas sobre os resultados
obtidos (baseada em evidncias);
11 Aumento da usabilidade da avaliao da capacidade do processo, devido ao maior rigor
do processo de avaliao;
11 Conformidade com uma norma de avaliao de processo geralmente aceita e, portanto,
com um forte apoio do mercado.
No modelo de maturidade do COBIT 4.1, um processo poderia atingir o nvel 1 ou 2 sem
atingir plenamente todos os objetivos do processo; no nvel de capacidade de processo do
COBIT 5, isso resultar em uma pontuao mais baixa, de 0 ou 1.

As escalas de capacidade do COBIT 4.1 e do COBIT 5 descritas na tabela 6.2 e 6.3


podem ser utilizadas como um mapeamento aproximado entre os modelos.

Assim, baseando-se na tabela 6.2, as organizaes que utilizam a abordagem dos


atributos do modelo de maturidade do COBIT 4.1 podem reutilizar os atuais dados da sua
avaliao e reclassific-los segundo as avaliaes de atributos do COBIT 5, previsto nesse
modelo de capacidade.
A nomenclatura e o significado dos nveis de capacidade definidos para o ISO/IEC 15504 so
distintos dos atuais nveis de maturidade dos processos do COBIT 4.1. Na ISO/IEC 15504, os
nveis de capacidade so definidos por um conjunto de nove atributos de processo. Esses
atributos abrangem alguns fundamentos cobertos pelos atuais atributos de maturidade
e/ou controles de processos do COBIT 4.1, mas somente at certa medida.

porque a abordagem da avaliao da capacidade baseada na ISO/IEC 15504 no pressupe


essa sistemtica.
Os atributos de maturidade do COBIT 4.1 e os atributos de capacidade de processo
do COBIT 5 no so idnticos.
Considerando as mudanas entre os modelos COBIT 4.1 e COBIT 5, consulte o Apndice X,
Anlise comparativa entre os modelos de avaliao de processos do COBIT 4.1 e COBIT 5,
do Modelo COBIT 5, em www.isaca.org/cobit, que representa um material complementar
para aprofundamento do conhecimento sobre as mudanas nos modelos.

Captulo 6 - Avaliao da Capacidade de Processo

Para o COBIT 5, no h um modelo de maturidade especfico por processo detalhado,

97

Avaliao da Capacidade de Processo na prtica


A abordagem do COBIT 5 define as informaes requeridas no modelo de referncia de
processo, que ser utilizado como referncia para avaliao.
Nessa etapa, a avaliao da capacidade de processo deve contemplar:
11 Descrio do processo e do objetivo;
11 Prticas bsicas de governana ou gesto, conforme o processo do COBIT 5;
11 Produtos de trabalho equivalentes s entradas e sadas do COBIT 5.
No COBIT 5, o modelo de avaliao fornece uma escala de medio para cada atributo de
capacidade e orientao sobre como aplic-la; ento, para cada processo, uma avaliao
pode ser feita para cada um dos nove atributos de capacidade.

Exerccio de fixao 5 e
Relacione as principais diferenas entre uma avaliao de capacidade processo baseado
no COBIT 5 e uma avaliao de maturidade baseada no COBIT 4.1. Utilize as figuras 6.1 e 6.2
como referncia para essa questo. Consulte, caso necessrio, o Apndice X em
www.isaca.org/cobit para realizar essa atividade.

Os benefcios do modelo de capacidade de processo do COBIT 5, comparados com os


modelos de maturidade do COBIT 4.1, incluem:
11 Maior nfase no processo que est sendo realizado, para confirmar se est efetivamente
alcanando seus objetivos e os resultados esperados;
11 Simplificao do contedo, eliminando duplicidades de anlise, porque a avaliao do
modelo de maturidade do COBIT 4.1 exigia outros componentes (modelo de maturidade
genrico, modelo de maturidade do processo, objetivos de controle e objetivos de controles detalhados);
11 Maior confiabilidade e receptibilidade das atividades e anlises da avaliao da capacidade do processo, reduzindo debates e desentendimentos entre os participantes em

Fundamentos do COBIT 5

relao aos resultados da avaliao;

98

11 Maior uso dos resultados da avaliao da capacidade do processo, visto que o novo
modelo estabelece uma base para a realizao de avaliaes mais rigorosas e formais,
tanto para finalidades internas como externas em potencial;
11 Conformidade com um padro de avaliao de processo geralmente aceito e, portanto,
um forte apoio abordagem de avaliao do processo no mercado.

l
O Roteiro de atividades
6 apresenta um Estudo
de Caso para o
processo APO 4
Gesto da Inovao
exemplificando um
caso prtico para uso
do modelo.

Correspondncia entre os Nveis e os Atributos de Maturidade e de Capacidade

Tabela 6.4
Nveis e Atributos
de Maturidade
e de Capacidade.

COBIT 4.1

ISO IEC 15504

Nvel de maturidade

Nvel de capacidade

5 Otimizado

5 Otimizado

4 Gerenciado
e Mensurvel

4 Previsvel

3 Definido

3 Estabelecido

2 Repetvel,
mas intuitivo

2 Gerenciado

PA 2.2 Gerenciamento dos Produtos


de Trabalho

1 Inicial/ad hoc

1 Executado

PA 1.1 Execuo do Processo

O No existente

0 Incompleto

Descrio dos atributos


PA 5.1 Inovao de Processo
PA 5.2 Otimizao de Processo
PA 4.1 Medio do Processo
PA 4.2 Controle do Processo
PA 3.1 Definio do Processo
PA 3.2 Implantao do Processo
PA 2.1 Gerenciamento da Execuo

Descrio dos Atributos dos Processo: PA 1.1, PA 2.1 e PA 2.2


Atributo

Descrio

PA 1.1 Execuo do Processo

O atributo de desempenho do processo uma medida de quanto a finalidade


do processo atingida. Como resultado da realizao plena desse atributo, o
processo atinge seus resultados definidos.
Uma medida de quanto a execuo do processo gerenciada. Como resultado
da realizao plena desse atributo:
11Os objetivos de desempenho do processo so identificados.
11O desempenho do processo planejado e monitorado.

PA 2.1 Gesto da Execuo

11O desempenho do processo ajustado para atender aos planos.

11Responsabilidades e autorizaes para a execuo do processo so definidas,


atribudas e comunicadas.
11Os recursos e as informaes necessrios execuo do processo so identificados, disponibilizado, atribudos e utilizados.
11As interfaces entre as partes envolvidas so gerenciadas para assegurar a
comunicao efetiva e a designao clara de responsabilidades.

Uma medida de quanto os produtos de trabalho produzidos pelo processo


so adequadamente gerenciados. Como resultado da realizao plena desse
atributo:
11Os requisitos para os produtos de trabalho do processo so definidos.
PA 2.2 Gesto dos Produtos
de Trabalho

11Os requisitos para documentao e controle dos produtos de trabalho so


definidos.
11Os produtos de trabalho esto devidamente identificados, documentados
e controlados.

Tabela 6.5
Atributos PA 1.1, PA
2.1 e PA 2.2.

Avaliao da Capacidade do Processo


O padro ISO/IEC 15504 estabelece que as avaliaes da capacidade do processo podem ser
realizadas para diversas finalidades e com diferentes graus de rigor, podendo ser de carter
interno, com foco nas comparaes entre as reas da empresa e/ou melhoria no processo
interno; ou externas, com foco na avaliao, relatrio e certificao formal.

Captulo 6 - Replicao

11Os produtos de trabalho so revisados de acordo com as disposies previstas, e ajustados conforme necessrio, para atender os requisitos.

99

Objetivos da avaliao de processo baseado na ISO/IEC 15504:


11 Permitir ao rgo de governana e administrao avaliar o desempenho da capacidade
do processo;
11 Permitir verificaes de integridade do estado atual e do estado desejado em alto
nvel, a fim de apoiar a tomada de deciso pelo rgo de governana e pela administrao em relao melhoria do processo;
11 Proporcionar anlises de falhas e informaes para planejamento de melhorias, a fim de
apoiar as definies de projetos de melhorias justificveis;
11 Oferecer ao rgo de governana e administrao classificaes para as avaliaes, a
fim de medir e monitorar as capacidades atuais.
A avaliao distingue entre a capacidade de avaliao nvel 1 e os nveis mais altos. De fato,
conforme descrito, a capacidade de processo nvel 1 descreve se um processo atinge os
objetivos desejados e , portanto, um nvel muito importante a ser atingido e fundamental
para permitir que os nveis de capacidade mais altos sejam alcanados.
Passo a passo da Avaliao da Capacidade do Processo
Para avaliar se um processo atinge seus objetivos, ou seja, a capacidade nvel 1, podemos
adotar os seguintes passos:
1. Analise os resultados do processo conforme sua descrio detalhada e utilize a escala de
classificao ISO/IEC 15504 para atribuir uma classificao ao grau de realizao de cada
objetivo. A escala formada pelos parmetros da tabela 6.6:
Nvel

Percentual de realizao

Descrio

N (No atingido)

0 a 15%

H pouca ou nenhuma evidncia da realizao do atributo para o processo.

P (Parcialmente
atingido)

> 15 a 50%

H alguma evidncia de uma abordagem para realizar o


atributo e alguma realizao do atributo. Alguns aspectos
da realizao do atributo podem ser imprevisveis.

> 50 a 85%

H evidncias de uma abordagem sistemtica para realizar o atributo e uma realizao significativa do atributo.
Algumas fraquezas relacionadas a esse atributo podem
existir no processo avaliado.

> 85 a 100%

H evidncia de uma abordagem completa e sistemtica para realizar o atributo e a realizao completa do
atributo. No h deficincias significativas em relao e
esse atributo.

L (Largamente
atingido)

F (Completamente
atingido)

2. Em seguida, as prticas do processo (governana ou gesto) devem ser avaliadas


utilizando a mesma escala de avaliao, que expressa em qual medida as prticas bsicas
foram aplicadas.

Fundamentos do COBIT 5

3. Para refinar a avaliao, os produtos do trabalho tambm devem ser levados em conside-

100

rao, para determinar em qual medida um atributo de avaliao especfico foi atingido.
A definio dos nveis de capacidade desejados critrio de cada empresa. Muitas empresas
tero a ambio de verem todos os seus processos atingirem, no mnimo, a capacidade nvel 1.
Por qu? Se esse nvel no for atingido, os motivos da no realizao desse nvel ficam evidentes
em funo da abordagem explicada anteriormente e um plano de melhoria deve ser definido.

Tabela 6.6
Parmetros para
avaliao da
capacidade.

Se o resultado do processo no for atingido de forma consistente, o processo no atingir


seu objetivo e ter de ser melhorado.
A avaliao das prticas do processo revelar quais prticas esto faltando ou falhando, permitindo que a implementao e/ou melhoria dessas prticas seja adotada, permitindo assim
que todos os resultados do processo possam ser atingidos.

Programa de Avaliao da Capacidade de Processo do COBIT


A ISO/IEC 15504-4 identifica o processo de avaliao como uma atividade que pode ser
realizada como parte de uma iniciativa de melhoria de processo ou como parte de uma
abordagem de determinao da capacidade do processo.
O objetivo da determinao da capacidade do processo identificar os pontos fortes, os
pontos fracos e os riscos do processo. Ainda, um processo de avaliao de capacidade
fornece uma metodologia repetvel, compreensvel, lgica, confivel e robusta para avaliar a
capacidade dos processos de TI.
O Programa de Avaliao do COBIT permite a uma empresa obter uma avaliao independente e certificada, alinhada com a norma internacional ISO/IEC 15.504. O Programa de
Avaliao do COBIT compreende:
11 Avaliaes formais efetuadas por avaliadores credenciados;
11 Autoavaliaes (menos rigorosas) para anlise de lacunas internas e planejamento de
melhoria de processo.

Exerccio de fixao 6 e
Um determinado processo possui cerca de 40% de realizao dos resultados esperados. O

Captulo 6 - Replicao

que significa esse percentual em termos de avaliao de capacidade definida pelo COBIT 5?

101

102

Fundamentos do COBIT 5

Luiz Claudio Diogo Reis Mestre em Tecnologia pelo


CEFET/RJ na linha de pesquisa Gesto da Inovao e
Informao Tecnolgica. MBA em Gesto da Tecnologia de
Informao e Negcios Virtuais pelo CEFET/RJ. Especialista
em Auditoria de Sistemas de Informao pela Universidade
Estcio de S e em Padres Internacionais de Auditoria
pela Universidade Catlica de Brasilia (UCB). Graduado em
Matemtica pela Universidade do Estado do Rio de Janeiro
(UERJ) e na Lngua Inglesa pela Universidade de Michigan.
Profissional com certificao internacional CISA - Certified
Information Systems Auditor e CRISC - Certified in Risk
and Information Systems Control pela ISACA - Information
Systems Audit and Control Association. Certificado em Segurana da Informao com o ttulo MCSO - Modulo Certified
Security Officer mantido pela Modulo Security Solutions.
Profissional Certificado e acreditado no COBIT5 Foundation
pela APMGroup. Auditor Snior de Tecnologia da Informao pela Instituio Financeira CAIXA ECONMICA FEDERAL
com 17 anos de experincia em auditorias de gesto, de
processos e de sistemas de informao. Instrutor, tutor e
mentor em Aes Educacionais estratgicas da Universidade
CAIXA. Palestrante em eventos nacionais e internacionais
sobre IT GRC&A - Governana, Risco, Compliance e Auditoria
desde 2009. Docente em disciplinas de Gesto de Processos
de Negcio, Planejamento Estratgico, Governana de TI,
Gerenciamento de Projetos, Gerenciamento de Servios
de TI, Segurana da Informao, Segurana em Aplicativos,
Gesto de Riscos, Continuidade de Negcios e Auditoria
de TI. Atua em trabalho voluntrio desde 2012 na ISACA
- Captulo Rio de Janeiro e atualmente ocupa o cargo de
Presidente na Associao. Instrutor e facilitador em programas de capacitao de lderes, gestores e profissionais de
negcio para o desenvolvimento de habilidades gerenciais.

LIVRO DE APOIO AO CURSO

O curso Fundamentos do COBIT 5 tem como objetivo


desenvolver nos alunos as competncias e habilidades
nos fundamentos do modelo de governana COBIT 5,
reconhecido e aceito mundialmente como um modelo
para se implementar a governana em qualquer tipo de
organizao. O curso apresenta a estrutura do modelo,
seus princpios e habilitadores. O aluno aprender como
utilizar o COBIT 5 e como implement-lo dentro da sua
estrutura organizacional.

ISBN 978-85-63630-53-7

9 788563 630537