Apostilacobit5 PDF

Luzia Dourado
Maio, 2014

Apostila
COBIT 5
Framework de Governana e Gesto
Corporativa de TI

Apostila de COBIT 5 v1.1

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Caros concurseiros!
Eis que disponibilizo mais uma verso da apostila de COBIT 5
para auxiliar nos estudos! Devido a grande procura por este
material (mais de 2900 downloads), resolvi revis-lo e
increment-lo com informaes que possam facilitar o
entendimento desse assunto.
Vale lembrar que este material pode auxiliar tambm aqueles
que buscam obter a certificao. Espero que seja til!!!
Bons estudos a todos! Deus os abenoe!
Fora, Foco e F!
Luzia Dourado.
lmdourado@hotmail.com
COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e marcas
registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com finalidade de
ensino, em benefcio exclusivo do dono da marca, sem inteno de infringir suas regras de utilizao.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com

Sumrio
INTRODUO ................................................................................................................................ 1
PRINCIPAIS NOVIDADES DO COBIT 5............................................................................................. 3
EVOLUO DO COBIT 5 ................................................................................................................. 5
PRINCPIOS DO COBIT 5................................................................................................................. 5
Princpio 1. Atender as necessidades dos stakeholders............................................................ 6
Princpio 2. Cobrir a organizao de ponta a ponta .................................................................. 8
Princpio 3. Aplicar um framework nico e integrado .............................................................. 9
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 11
Princpio 5. Separar a governana de gesto .......................................................................... 14
MODELO DE REFERNCIA DE PROCESSOS DO COBIT 5 ............................................................... 15
Estrutura de Processos ............................................................................................................ 17
GUIA DE IMPLEMENTAO DO COBIT 5 ..................................................................................... 18
Ciclo de Vida de Implementao ............................................................................................. 20
MODELO DE CAPACIDADE DE PROCESSOS ................................................................................. 22
Diferenas entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade do COBIT
5 ............................................................................................................................................... 23
PRINCIPAIS MUDANAS DO COBIT 5 COM RELAO AO COBIT 4.1 ........................................... 28
ANEXO I: COBIT 5 Goals Cascade ................................................................................................ 31
ANEXO II: Exemplo de Viabilizador: Processos ........................................................................... 35
ANEXO III: DOMNIOS E PROCESSOS DO COBIT 5 ....................................................................... 36
ANEXO IV: Descrio do Processo BAI06: Gerenciar Mudanas ................................................. 42
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 44


Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 1

INTRODUO

Antes de introduzirmos os conceitos e detalhes do framework COBIT 5, necessria a
definio de conceito de governana e gesto corporativa de TI.
Mas o que Governana Corporativa de TI?
A norma ISO/IEC 38500, que estabelece um modelo para a Governana Corporativa de
TI no qual o COBIT 5 se baseia, define Governana Corporativa de TI como:
O sistema pelo qual o uso atual e futuro da TI dirigido e controlado. A governana
corporativa de TI envolve a avaliao e a direo do uso da TI para dar suporte
organizao no alcance de seus objetivos estratgicos e monitorar seu uso para realizar os
planos. A governana inclui a estratgia e as polticas para o uso de TI dentro de uma
organizao.[1].
A norma orienta que os diretores da organizao governem a TI por meio de trs tarefas
principais:
Avaliar o uso atual e futuro da TI;
Orientar a preparao e a implementao de planos e polticas para garantir que o uso
da TI atenda aos objetivos do negcio;
Monitorar o cumprimento das polticas e o desempenho em relao aos planos.

Figura 1 - Modelo de governana corporativa de TI. Fonte: ISO/IEC 38500, pg. 13



Segundo a norma, Avaliar (Evaluate) significa que os diretores devem avaliar o uso atual
e futuro da TI, incluindo as estratgias, propostas e arranjos de fornecimento (interno, externo
ou ambos).
Dirigir (Direct) significa que os diretores devem atribuir responsabilidades para a
preparao e implementao dos planos e polticas que estabelecem o direcionamento dos
investimentos nos projetos e operaes de TI.
Monitorar (Monitor) significa que os diretores devem monitorar o desempenho da TI
por meio de sistemas de mensurao apropriados, garantindo que esse desempenho esteja de
acordo com os planos e objetivos de negcio e que a TI esteja em conformidade com as
obrigaes externas e prticas internas de trabalho.
Governana de TI e Gesto de TI no a mesma coisa?
A governana corporativa de TI no pode ser confundida com o conceito de gesto de TI.
A governana corporativa de TI est inserida na governana corporativa da organizao e
dirigida por esta, e busca o direcionamento da TI para atender ao negcio e o monitoramento
para verificar a conformidade com o direcionamento tomado pela administrao da
organizao [2]. A governana corporativa de TI no de responsabilidade exclusiva dos
gestores de TI e, sim, da alta administrao (board).
A Gesto de TI, conforme definido pela ISO/IEC 38500 o sistema de controles e processos
necessrios para alcanar os objetivos estratgicos estabelecidos pela direo da
organizao [1]. A gesto de TI implica a utilizao sensata de meios (recursos, pessoas,
processos, prticas) pra alcanar um objetivo. Atua no planejamento, construo, organizao
e controle das atividades operacionais e se alinha com a direo definida pela organizao.
Portanto, a gesto controla tarefas operacionais, enquanto a governana controla a
gesto.
Finalmente, o que o COBIT 5?
O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit and Control)
e lanado no final de 2012, um framework de governana e gesto corporativa de TI.
O framework faz a integrao do contedo dos principais frameworks publicados pelo
ISACA: COBIT 4.1; Val IT; Risk IT; Business Model for Information Security (BMIS); IT Assurance
Framework (ITAF); Taking Governance Forward (TGF); e Board Brieng on IT Governance 2nd
Edition.
Alm disso, ele se alinha a outros padres de mercado como Information Technology
Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project
Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture
Framework (TOGAF).
O COBIT 5 ajuda as organizaes a criar valor para TI, mantendo o equilbrio entre a
realizao de benefcios e a otimizao dos nveis de risco e o uso de recursos. Tem como
objetivos:


oferecer um framework abrangente que auxilia as organizaes a otimizar o
valor gerado pela TI;
permitir que a TI seja governada e gerenciada de forma holstica para toda a
organizao.
criar uma linguagem comum entre TI e negcios para a governana e gesto de
TI corporativa.
Mas quais so os benefcios do COBIT 5 para as organizaes?
COBIT 5 ajuda as organizaes de todos os tamanhos a:
Manter informaes de alta qualidade para suportar as decises de negcios;
Gerar valor dos investimentos em TI, ou seja, atingir metas estratgicas e
entregar benefcios de negcio por meio do efetivo uso da TI;
Atingir a excelncia operacional por meio da aplicao confivel e eficiente da
tecnologia;
Manter riscos relacionados com a TI em um nvel aceitvel;
Otimizar o custo de servios de TI;
Manter a conformidade com leis, regulamentos, acordos contratuais e polticas.
Como esses benefcios podem ser obtidos a fim de criar valor para os
stakeholders (partes interessadas) das organizaes?
A entrega de valor para os stakeholders requer uma boa governana e gesto dos
ativos de informao e de tecnologia. Para se obter essa governana, os Conselhos de
administrao, executivos e gestores devem tratar a TI como qualquer outra parte
significante do negcio.
Alm disso, os requisitos legais, regulatrios e contratuais relacionados ao uso da TI
pelas organizaes tm aumentado, de modo que a TI tambm poder ser uma ameaa caso
no funcione propriamente.
Portanto, COBIT 5 prov um framework que auxilia as organizaes a atingirem suas
metas e entregar valor por meio de uma efetiva governana e gesto da TI corporativa [3].
PRINCIPAIS NOVIDADES DO COBIT 5

A principal novidade do COBIT 5 que ele est focado em governana corporativa de TI,
deixando claro a distino entre governana e gesto, a fim de se aumentar a utilizao
corporativa deste framework, ressaltando o papel da alta administrao nas tomadas de
decises de TI.
O novo framework fundamentado em 5 princpios de governana corporativa de TI
que permitem que a organizao construa um framework efetivo de governana e gesto de


TI baseado em um conjunto holstico de 7 enablers
1
(ou viabilizadores) que otimizam
investimentos em tecnologia e informao utilizados para o benefcio dos stakeholders.
COBIT 5 se tornou uma famlia de produtos, ou seja, as informaes referentes ao
framework (COBIT 5) est em uma publicao separada da que contm as informaes
relativas aos processos (COBIT 5: Enabling Process), alm de conter outras publicaes
relativas implementao, segurana da informao, riscos, qualidade, dentre outros. A
publicao referente ao framework disponibilizada de forma gratuita mediante cadastro
prvio no site da ISACA, porm a publicao COBIT 5: Enabling Process paga para quem no
membro da ISACA.
A publicao COBIT 5 (framework) o principal produto da famlia, contendo:
Sumrio Executivo
Componentes e estruturas
5 princpios, em que cada princpio descrito em um captulo
Viso dos 7 viabilizadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos
A publicao COBIT 5: Enabling Process descreve os processos, objetivos e mtricas,
matriz RACI, prticas de gesto com suas entradas, sadas e atividades de forma mais
organizada em formato de tabela, facilitando a leitura. Ao final de cada processo, h uma
seo denominada Related Guidance que associa cada processo do COBIT com outros
frameworks que podem ser utilizados para implementar o processo.
A distino ente governana e gesto pode ser percebida no Modelo de Referncia de
Processos, que subdivide os 37 processos de TI em duas principais reas de atividade
governana e gesto que so divididas em domnios de processos. Os 5 processos de
governana compem o domnio Avaliar, dirigir e monitorar (EDM) e os 32 processos de
gesto compem os 4 domnios:
Alinhar, Planejar e Organizar (APO);
Construir, Adquirir e Implementar (BAI);
Entregar, Servir e Suportar (DSS) e
Monitorar, Avaliar e Medir (MEA).

1
Enabler = viabilizador, facilitador, habilitador



EVOLUO DO COBIT 5

O COBIT comeou, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e compliance (conformidade). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa.

Figura 2 - Evoluo do COBIT
PRINCPIOS DO COBIT 5

O framework baseia-se em 5 princpios:

Figura 3 Princpios do COBIT 5 Fonte: COBIT 5, Figura 2, 2012 ISACA



1. Atender as necessidades dos stakeholders
2. Cobrir a organizao de ponta a ponta
3. Aplicar um framework nico e integrado
4. Possibilitar uma abordagem holstica
5. Separar a governana da gesto

A seguir segue a descrio de cada princpio:

Princpio 1. Atender as necessidades dos stakeholders

As organizaes existem para criar valor para os stakeholders, ou seja, para todas as
partes interessadas (acionistas, auditores, fornecedores, consultores, alta administrao, etc).
O que criao de valor?
A criao de valor significa obter benefcios por meio da otimizao do uso de recursos
e dos riscos a um nvel aceitvel. Esse o objetivo da governana! Para cada stakeholder, a
criao de valor pode representar interesses diferentes e algumas vezes conflitantes.
O sistema de governana abrange negociar e decidir entre os diferentes interesses dos
stakeholders e deve considerar a opinio de todos quando so tomadas decises sobre os
benefcios, recursos e avaliao dos riscos.
Para cada deciso de governana, as seguintes questes podem e devem ser feitas:
- Quem recebe os benefcios?
- Quem assume os riscos?
- Quais so os recursos necessrios?

Figura 4 - Objetivo da Governana
Fonte: COBIT 5, Figura 3, 2012 ISACA

As necessidades dos stakeholders precisam ser transformadas em estratgias
corporativas. Por isso, este princpio est intimamente alinhado com o conceito de
alinhamento estratgico entre TI e negcio.


Para isso, h um mecanismo denominado COBIT 5 Goals Cascade (cascata de objetivos)
com a finalidade de desdobrar:
- os drivers (direcionadores ou motivadores) e as necessidades dos stakeholders em
objetivos de negcio;
- os objetivos de negcio em objetivos de TI;
- os objetivos de TI em objetivos para os viabilizadores.
Vale ressaltar que a cascata de objetivos no algo novo no COBIT 5, pois j existia no
COBIT 4.1.

Figura 5 - Cascata de Objetivos

Em uma viso bottom-up, a cascata de objetivos auxilia a organizao em como
empregar os viabilizadores para alcanar os objetivos de negcio de forma mais concreta.
Que benefcios so obtidos por meio dessa cascata de objetivos?
A cascata de objetivos permite a definio de prioridades para implementao,
aprimoramento e garantia de governana corporativa de TI, com base em objetivos
estratgicos e riscos relacionados. Na prtica, a cascata de objetivos:
Define objetivos tangveis e relevantes em vrios nveis;
Filtra a base de conhecimento do COBIT com base nos objetivos de negcio
relevantes para implementao;
Identifica e comunica claramente como os viabilizadores do COBIT (s vezes
muito operacionais) so importantes para o alcance dos objetivos de negcio.


Mais detalhes sobre o COBIT 5 Goals Cascade pode ser visto no Anexo I.

Princpio 2. Cobrir a organizao de ponta a ponta

O COBIT 5 trata a governana e gesto de TI cobrindo a organizao de ponta a ponta.
Isso significa que o COBIT 5 [3]:
Integra a governana corporativa de TI dentro da governana corporativa;
Cobre todas as funes e processos requeridos dentro da organizao;
No foca apenas nas funes de TI, mas trata a informao e tecnologia
relacionadas como ativos que precisam ser tratados como qualquer outro ativo por
todos na organizao.
Por meio desse princpio, os gestores de negcio tm a responsabilidade de tratar a TI
como um ativo estratgico, gerenciando a TI da mesma forma como gerenciam os outros
ativos da organizao.
Sistema de Governana
Para que a governana cubra a organizao de ponta a ponta, o sistema de governana
possui os seguintes componentes:

Figura 6 - Governana de Gesto Fonte: COBIT 5, Figura 8, 2012 ISACA

Viabilizadores da governana: so os recursos organizacionais usados na governana
como princpios, estruturas, processos e prticas.
Escopo da governana: rea em que ser aplicada a governana (toda a organizao
ou s uma parte).
Papis, Atividades e Relacionamentos: define quem est envolvido com governana,
como so envolvidos, o que fazem e como interagem dentro do escopo da
governana.


A figura abaixo mostra os papis, atividades e relacionamentos que ocorrem na
governana. Os stakeholders (partes interessadas) delegam para o corpo de governana
estabelecer uma direo para as atividades de gesto que, por sua vez, instrui e alinha as
operaes de TI da organizao. Os executores (parte operacional da organizao) reportam o
resultado de suas atividades para a gesto que monitorada pelo corpo de governana que
presta contas do desempenho para os stakeholders.
Vale ressaltar que o COBIT 5 fornece, para cada processo, matrizes RACI de
responsabilidade, em que esto includos papeis relacionados a TI e ao negcio.

Figura 7 - Papis, Atividades e Relacionamentos. Fonte: COBIT 5, Figura 8, 2012 ISACA

Princpio 3. Aplicar um framework nico e integrado

COBIT 5 uma estrutura nica e integrada, porque integra todos os conhecimentos
anteriormente dispersos em diferentes frameworks da ISACA, tais como o COBIT 4.1, Val IT
(valor de TI para o negcio), Risk IT (risco relacionado ao uso de TI), BMIS (segurana). Est
alinhado com os mais atuais e relevantes padres e frameworks utilizados [3]:
de gesto corporativa: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000;
Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2,
CMMI etc.
Isso permite organizao utilizar o COBIT 5 como um integrador dos frameworks de
governana e de gesto.


Figura 8 - Padres cobertos pelo COBIT 5. Fonte: COBIT 5, Figura 25, 2012 ISACA

A famlia de produtos do COBIT 5 inclui os seguintes produtos [4]:

Figura 9 - Famlia de Produtos Fonte: COBIT 5, Figura 1, 2012 ISACA

COBIT 5 (o framework)
COBIT 5 Enabler Guides, no qual os viabilizadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Enabling Processes
o COBIT 5: Enabling Information
o Outros guias enabler
COBIT 5 Professional Guides, que incluem:
o COBIT 5 Implementation
o COBIT 5 for Information Security


o COBIT 5 for Assurance
o COBIT 5 for Risk
o Outros guias profissionais

Princpio 4. Possibilitar uma abordagem holstica

Para apoiar a governana e a gesto de TI utilizando uma abordagem que engloba a
organizao como um todo, incluindo seus componentes e suas inter-relaes, o COBIT 5
define um conjunto de 7 viabilizadores.
Viabilizadores (enablers)
Viabilizadores so fatores que, individual e coletivamente, influenciam o funcionamento
da governana e gesto corporativa de TI [2].
O framework COBIT 5 define 7 categorias de viabilizadores:
1. Princpios, polticas e frameworks: so os veculos que traduzem o comportamento
desejado em um guia prtico para a gesto cotidiana;
2. Processos: descreve um conjunto organizado de prticas e atividades para atingir
certos objetivos e produzir um conjunto de sadas que auxiliem no cumprimento das metas
relacionadas a TI;
3. Estruturas organizacionais: so as entidades-chave, responsveis pela tomada de
deciso em uma organizao;
4. Cultura, tica e comportamento: dos indivduos e da organizao; muito
frequentemente subestimada como um fator de sucesso nas atividades de governana e
gesto;
5. Informao: est difundida por toda organizao. Representa todas as informaes
produzidas e utilizadas pela organizao. imprescindvel para manter a organizao em
funcionamento e bem governada;
6. Servios, infraestrutura e aplicaes: inclui a infraestrutura, tecnologia e aplicaes
que fornecem organizao os servios de TI;
7. Pessoas, habilidades e competncias: est relacionado com as pessoas e so
requeridas para que as atividades sejam executadas com sucesso e para que decises e aes
corretivas sejam realizadas de forma correta.


Figura 10 - Viabilizadores. Fonte: COBIT 5, Figura 12, 2012 ISACA

Alguns viabilizadores do COBIT 5 eram tratados no COBIT 4.1:
Os recursos de TI do COBIT 4.1 processos, aplicaes, informao e infra-
estrutura so considerados viablilizadores no COBIT 5.
O viabilizador 1.Princpios, polticas e estruturas foi mencionado em alguns
processos do COBIT 4.1.
O viabilizador 2.Processos foi fundamental para o uso no COBIT 4.1.
O viabilizador 3.Estruturas organizacionais estava implcito, atravs dos papis
responsvel, consultado ou informado na matriz RACI.
O viabilizador 4.Cultura, tica e comportamento foi mencionado em alguns
processos do COBIT 4.1.
Dimenses de viabilizadores
Todos os viabilizadores tm um conjunto de dimenses comuns. Este conjunto de
dimenses comuns [4]:
Fornece uma maneira comum, simples e estruturada para lidar com
viabilizadores;
Permite que a organizao gerencie suas interaes complexas;
Facilita resultados bem sucedidos dos viabilizadores.


Figura 11 - Dimenses de Viabilizadores. Fonte: COBIT 5, Figura 13, 2012 ISACA

As quatro dimenses comuns para viabilizadores so:
Stakeholders: cada viabilizador tem stakeholders (partes que desempenham um papel
ativo e/ou tm interesse na execuo). Por exemplo, os processos tm diferentes
partes que executam atividades de processo e/ou que tm interesse no resultado do
processo; estruturas organizacionais tm partes, cada uma com seus prprios papis e
interesses, que fazem parte da estrutura.
Os stakeholders podem ser internos ou externos organizao, todos com seus
interesses e necessidades.
o Exemplos de stakeholders internos: executivos de negcio, conselho de
administrao, gerentes de negcio, auditores internos, usurios de TI, etc.
o Exemplo de stakeholders externos: parceiros comerciais, fornecedores,
governo, consumidores, auditores externos, consultores, etc.
Objetivos (goals): cada viabilizador tem uma srie de objetivos e fornece valor pela
realizao destes objetivos.
Os objetivos podem ser definidos em termos de:
Resultados esperados do viabilizador
Aplicao ou operao do prprio viabilizador
Os objetivos de viabilizadores so o passo final da cascata de objetivos do COBIT 5. Os
objetivos so divididos em categorias:
o Qualidade intrnseca: medida em que viabilizadores funcionam com
preciso, objetividade e fornecem informaes precisas e objetivas.
o Qualidade contextual: medida em que viabilizadores e seus resultados
atendem ao propsito, dado o contexto em que operam.
o Acessibilidade e segurana: medida em que viabilizadores e seus
resultados so acessveis e seguros.
Ciclo de vida (life cycle): cada viabilizador tem um ciclo de vida, ou seja, definido,
criado, operado, monitorado e ajustado/atualizado ou aposentado.

As fases do ciclo de vida consistem em:


Planejar (inclui o desenvolvimento de conceitos e seleo de conceitos)
Projetar
Construir/adquirir/criar/implementar
Utilizar/operar
Avaliar/monitor
Atualizar/eliminar
Boas prticas (good practices): para cada um dos viabilizadores, boas prticas podem
ser definidas. Boas prticas apoiam a realizao dos objetivos do viabilizador. Boas
prticas fornecem exemplos ou sugestes sobre a melhor forma de implementar o
viabilizador, e quais os produtos de trabalho, entradas e sadas so necessrios.
Gerenciamento de Desempenho dos Viabilizadores (Enabler Performance
Management)
As organizaes esperam resultados positivos a partir da aplicao e utilizao dos
viabilizadores. Para gerenciar o desempenho dos viabilizadores, as seguintes questes tero de
ser monitoradas e respondidas, com base em mtricas:
As necessidades dos stakeholders foram atendidas?
Os objetivos dos viabilizadores foram alcanados?
O ciclo de vida do viabilizador gerenciado?
As boas prticas so aplicadas?
As duas primeiras questes lidam com o resultado real do viabilizador e as mtricas usadas
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do viabilizador e
as mtricas para medir se os objetivos sero atingidos podem ser chamadas de "indicadores
de desempenho (lead indicators).
Como exemplo de um viabilizador na prtica, veja no Anexo II.

Princpio 5. Separar a governana de gesto

COBIT 5 torna clara a distino entre governana e gesto. Essas duas reas abrangem
diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a
propsitos diferentes.
A governana assegura que as necessidades, as condies e as opes dos stakeholders
sejam avaliadas para determinar os objetivos de negcio a serem alcanados; define a direo
por meio de priorizao e tomada de deciso; e prov monitoramento de desempenho e
conformidade com relao aos objetivos.
Na governana, so discutidos e aprovados as polticas e os planos de alinhamento
estratgico (PE, PETI), a implementao de processos e os mecanismos de controle que
direcionaro a gesto da TI [5].


Na maioria das organizaes, a governana de responsabilidade do Conselho de
Administrao (ou Corpo Diretivo), sob a liderana do presidente. Responsabilidades de
governana especficas podem ser delegadas a estruturas organizacionais especiais em um
nvel apropriado, especialmente em organizaes maiores e complexas.
A gesto consiste em planejar, construir, executar e monitorar atividades alinhadas
com a direo estratgica estabelecida pela governana para atingir os objetivos de negcios.
Na maioria das organizaes, a gesto da responsabilidade da gerncia executiva, sob a
liderana do chefe diretor executivo (CEO).
MODELO DE REFERNCIA DE PROCESSOS DO COBIT 5

O modelo de referncia de processos do COBIT 5 subdivide os 37 processos de TI em
duas principais reas de atividade governana e gesto divididas em domnios de
processos, conforme figura abaixo:

Figura 12 - reas chave de governana e gesto. Fonte: COBIT 5, Figura 15, 2012 ISACA

Processos de Governana
Contm 1 domnio Avaliar, Dirigir e Monitorar (EDM) com 5 processos de governana.
Estes processos ditam as responsabilidades da alta direo para a avaliao, direcionamento e
monitorao do uso dos ativos de TI para a criao de valor. Este domnio cobre a definio de
um framework de governana, o estabelecimento das responsabilidades em termos de valor
para a organizao (ex. critrios de investimento), fatores de risco (ex. apetite ao risco) e
recursos (ex. otimizao de recursos), alm da transparncia da TI para as partes interessadas
(stakeholders) [6].



Processos de Gesto
Contm 4 domnios, de acordo com as reas de responsabilidade de planejar, criar,
executar e monitorar (PBRM) e oferece cobertura ponta a ponta de TI. Estes domnios so uma
evoluo da estrutura de domnios e processos do COBIT 4.1. Como pode ser visto, foi
acrescentado um verbo para cada um dos domnios do COBIT 4.1. Os domnios so:
Alinhar, Planejar e Organizar (APO)
O domnio APO diz respeito identificao de como a TI pode contribuir melhor com
os objetivos de negcio. Processos especficos do domnio APO esto relacionados com
a estratgia e tticas de TI, arquitetura corporativa, inovao e gerenciamento de
portflio, oramento, qualidade, riscos e segurana. Contm 13 processos. [6]
Costruir, Adquirir e Implementar (BAI)
O domnio BAI torna a estratgia de TI concreta, identificando os requisitos para a TI e
gerenciando o programa de investimentos em TI e projetos associados. Este domnio
tambm enderea o gerenciamento da disponibilidade e capacidade; mudana
organizacional; gerenciamento de mudanas (TI); aceite e transio; e gerenciamento
de ativos, configurao e conhecimento. Contm 10 processos. [6]
Entregar, Servir e Suportar (DSS)
O domnio DSS se refere entrega dos servios de TI necessrios para atender aos
planos tticos e estratgicos. O domnio inclui processos para gerenciar operaes,
requisies de servios e incidentes, assim como o gerenciamento de problemas,
continuidade,servios de segurana e controle de processos de negcio. Contm 6
processos. [6]
Monitorar, Avaliar e Medir (MEA) : 3 processos.
O domnio MEA visa monitorar o desempenho dos processos de TI, avaliando a
conformidade com os objetivos e com os requisitos externos. Contm 3 processos.

A figura abaixo exibe os 37 processos de governana e gesto do COBIT 5. Os detalhes
de cada processo esto no COBIT 5: Enabling Processes [9].


Figura 13 - Modelo de Referncia de Processos. Fonte: COBIT 5, Figura 16, 2012 ISACA

No COBIT 5: Enabling Processes, cada um dos 37 processos so desdobrados em
prticas de governana ou prticas de gesto. Essas prticas de governana e de gesto so
equivalentes aos objetivos de controle do COBIT 4.1, prticas de gesto do Val IT e do Risk IT.
No Anexo III, encontra-se a relao de todos os processos com a respectiva descrio de
cada um.
Estrutura de Processos

Para cada processo, as seguintes informaes so includas, de acordo com o modelo de
processo anteriormente explicado:
Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.


Matriz RACI uma sugesto de atribuio de nvel de responsabilidade por prticas de
processos para diferentes funes e estruturas.
Descrio detalhada de prticas de processo para cada prtica:
Ttulo da Prtica e descrio;
Entradas e sadas da prtica, com indicao de origem e destino;
As atividades de processo, detalhando ainda mais as prticas;
Guias relacionados (related guidance): associa cada processo do COBIT a outros
frameworks que podem ser usados para implementar o processo.
Como exemplo, veja o Anexo IV que contm a descrio do processo BAI06: Gerenciar
Mudanas.
GUIA DE IMPLEMENTAO DO COBIT 5

A ISACA oferece um guia de implementao em sua publicao COBIT 5
Implementation, que baseado em um ciclo de vida de melhoria contnua. No se destina a
ser uma abordagem prescritiva, nem uma soluo completa, mas sim um guia para evitar os
problemas mais comuns encontrados, alavancar as boas prticas e ajudar na gerao de
resultados esperados. O guia tambm apoiado por um conjunto de ferramentas de
implementao contendo uma variedade de recursos. O seu contedo inclui [4]:
Auto-avaliao, medio e ferramentas de diagnstico
Apresentaes destinadas a vrios pblicos
Artigos relacionados e mais explicaes
No documento relativo ao framework COBIT 5 apresentada uma introduo
implementao e ao ciclo de vida de melhoria contnua e destaca uma srie de tpicos
importantes do COBIT 5 Implementation, tais como:
Fazer um plano de negcios (business case) para a implementao e melhoria da
governana e gesto de TI
Reconhecer os pontos de dor (pontos fracos) tpicos e eventos de disparo
Criar o ambiente adequado para a implementao
Utilizar COBIT para identificar lacunas e orientar o desenvolvimento de viabilizadores,
como polticas, processos, princpios, estruturas organizacionais, e os papis e
responsabilidades
Mas como comear a implementao?
Cada organizao precisa desenvolver seu prprio road map ou plano de
implementao, levando em considerao o seu contexto, ou seja, fatores do ambiente
interno e externo especfico da organizao, tais como:
tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana


Plano de negcios (business plan) e intenes estratgicas
Modelo de funcionamento e nvel de maturidade
Estilo de gesto
O apetite pelo risco
Capacidades e recursos disponveis
Prticas da indstria
Em seguida, importante ter um ambiente apropriado para se implementar a
governana corporativa de TI. Somente se consegue implementar governana corporativa de
TI se houver patrocnio da alta direo da organizao! Uma das melhores maneiras de obter
esse patrocnio e formalizar essa implementao, fornecendo um mecanismo para os
executivos e para o conselho de administrao (board) monitorar e direcionar a TI
estabelecer um Comit Estratgico e Executivo de TI. Este comit atua em nome do conselho
de administrao (para o qual deve prestar contas) e responsvel por definir como a TI
utilizada dentro da organizao e por tomar decises importantes relacionadas com TI que
afetam a organizao. Este comit precisa ser presidido por um executivo de negcio
(idealmente um membro do board) e ter como membros representantes das principais reas
de negcio da organizao, alm do CIO ou diretor de TI.
Para indicar a necessidade de uma melhor governana e gesto de TI corporativa podem
existir uma srie de fatores denominados pontos de dor (pain points) ou eventos de gatilho
(trigger events) que podem ser utilizados como o ponto de partida para iniciativas de
implementao.
Pontos de dor so problemas que a organizao est enfrentando ou os pontos fracos
da organizao. Exemplos de alguns dos pontos de dor conforme identificados no COBIT 5
Implementation so:
Frustrao do negcio com iniciativas fracassadas, elevando os custos de TI e
uma percepo de baixo valor para o negcio;
Incidentes significativos relacionados com riscos de TI, tais como perda de
dados;
Problemas de prestao de servios de terceirizao, como falha consistente
para atender aos nveis de servio acordados;
Ausncia de cumprimento de requisitos legais ou contratuais;
Resultados da auditoria sobre o mau desempenho de TI;
Falha de transparncia nos gastos de TI;
Desperdcio de recursos em projetos que no geram valor para o negcio;
Insatisfao da equipe de TI;
Relutncia dos membros do conselho ou diretores em se envolver com a
implementao.
Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear um foco na governana e gesto corporativa de TI. Exemplos
de evento de gatilho (trigger events) so:
Fuso, aquisio ou alienao;
Mudana no mercado, na economia ou na posio competitiva;


Mudana no modelo operacional de negcios ou acordos de fornecimento;
Novas exigncias regulatrias ou de conformidade;
Mudana significativa de tecnologia ou mudana de paradigma;
Auditoria externa.
Para garantir o sucesso de iniciativas de implementao pelo uso do COBIT, a
necessidade de agir deve ser amplamente reconhecida e comunicada dentro da organizao. A
iniciativa deve ser de propriedade de um patrocinador, envolver todos os stakeholders e ser
baseada em um caso de negcio (business case). Inicialmente, esta pode estar em uma
perspectiva estratgica, comeando com uma compreenso clara dos resultados de negcio
desejados e progredindo para uma descrio detalhada das tarefas crticas e metas, bem como
papis-chave e responsabilidades. O caso de negcio uma ferramenta valiosa disponvel para
a gesto para orientar a criao de valor para o negcio. No mnimo, o plano de negcios deve
incluir o seguinte:
Os benefcios a serem alcanados e o seu alinhamento com a estratgia de
negcios;
As mudanas de negcios necessrias para criar o valor previsto. Isso poderia
ser baseado em anlise de gap e deve indicar claramente o que est no escopo
e o que est fora do escopo;
Os investimentos necessrios para realizar as mudanas na governana e gesto
de TI (com base em estimativas de projetos necessrios);
O custos operacionais de TI e do negcio;
O risco inerente nas iniciativas, incluindo quaisquer restries ou dependncias
(com base em desafios e fatores de sucesso);
Papis, responsabilidades e obrigaes relacionados com a iniciativa;
Como o investimento e a criao de valor sero monitorados durante todo o
ciclo de vida econmico, e as mtricas a serem utilizadas (com base em
objetivos e mtricas).

Ciclo de Vida de Implementao

A aplicao de uma abordagem de ciclo de vida de melhoria contnua fornece um
mtodo para as organizaes enfrentarem a complexidade e os desafios normalmente
encontrados durante a implementao da governana corporativa de TI.
Existem 3 componentes inter-relacionados neste ciclo de vida:
Melhoria contnua (ncleo)
Habilitao de mudana (2 anel)
Gesto do programa (3 anel)
O ciclo de vida possui 7 fases como est ilustrado na figura abaixo [4]:


Figura 14 - Fases do Ciclo de Vida. Fonte: COBIT 5, Figura 17, 2012 ISACA

Fase 1: comea com o reconhecimento e concordncia da necessidade de uma iniciativa
de implementao ou melhoria. Identifica os pontos de dor atuais e cria um desejo de
mudana nos nveis de gesto executiva.
Fase 2: est focada em definir o escopo da iniciativa de implementao ou melhoria
utilizando o mapeamento dos objetivos de negcio com os objetivos de TI para os processos
de TI associados, considerando como cenrios de risco tambm poderiam destacar os
processos-chave em que se deve concentrar. Uma avaliao do estado atual ento realizada,
e problemas ou deficincias so identificados pela realizao de uma avaliao de capacidade
de processo. Iniciativas em larga escala devem ser estruturadas como vrias iteraes do ciclo
de vida para qualquer iniciativa de implementao superior a seis meses, h um risco de
perder o impulso e o foco dos stakeholders.
Fase 3: um meta de melhoria definida e seguida por uma anlise mais detalhada para
identificar as lacunas e as possveis solues. Deve ser dada prioridade s iniciativas que so
mais fceis de realizar e as susceptveis de produzir os maiores benefcios.
Fase 4: planeja solues prticas atravs da definio de projetos apoiados por casos de
negcios justificveis. Um plano de mudana para execuo tambm desenvolvido. Um caso
de negcio bem desenvolvido ajuda a garantir que os benefcios do projeto so identificados e
monitorados.
Fase 5: as solues propostas so implementadas nas prticas do dia-a-dia. As medidas
podem ser definidas e o monitoramento estabelecido, utilizando metas e mtricas do COBIT
para garantir que o alinhamento de negcios seja alcanado e mantido e o desempenho possa
ser medido.
Fase 6: incide sobre a operao sustentvel dos viabilizadores novos ou melhorados e o
monitoramento da realizao dos benefcios esperados.


Fase 7: o sucesso global da iniciativa revista, outras exigncias para a governana ou
gesto de organizaes de TI so identificadas e a necessidade de melhoria contnua
reforada.
MODELO DE CAPACIDADE DE PROCESSOS

Usurios do COBIT 4.1 esto familiarizados com o modelo de maturidade de processo
includo nesse framework. Este modelo utilizado para medir o nvel de maturidade atual (as-
is) dos processos relacionados a TI de uma organizao, para definir o nvel de maturidade
desejado (to-be) e para determinar o gap entre eles e como melhorar o processo para
alcanar o nvel de maturidade desejado [4] .
O COBIT 5 apresenta um novo modelo para a avaliao da capacidade dos processos de
TI da organizao baseado na norma ISO/IEC 15504 de Engenharia de Software (norma de
avaliao de processos).
Este modelo vai alcanar os mesmos objetivos gerais de avaliao do processo e suporte
a melhoria de processos, ou seja, ir fornecer um meio de mensurar o desempenho de
qualquer um dos processos de governana ou de gesto.
Os detalhes da abordagem de avaliao de capacidade COBIT 5 esto contidos na
publicao COBIT Process Assessment Model (PAM): Using COBIT 5.
Embora esta abordagem fornea informaes valiosas sobre o estado dos processos,
vale lembrar que processos so apenas um dos sete viabilizadores de governana e gesto.
Por consequncia, as avaliaes de processo no iro fornecer um quadro completo sobre o
estado de governana de uma organizao. Para isso, os outros viabilizadores precisam ser
avaliados tambm.



Diferenas entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de
Capacidade do COBIT 5

Para utilizar o modelo de maturidade do COBIT 4.1 para a melhoria do processo so
necessrios os seguintes componentes do COBIT 4.1:
Em primeiro lugar, uma avaliao precisa ser feita se os objetivos de controle para o
processo forem cumpridas;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos que so aplicveis para cada processo e que ajudam na obteno de uma
viso mais detalhada sobre o nvel de maturidade dos processos;
Controles de processos so objetivos de controle genrico que tambm precisam ser
revistos quando uma avaliao do processo realizada. Controles de processos se
sobrepem parcialmente com os atributos do modelo de maturidade genrico.

Figura 15 - Modelo de Maturidade do COBIT 4.1. Fonte: : COBIT 5, Figura 18, 2012 ISACA

O modelo de capacidade de processos do COBIT 5 exibido na figura abaixo.


Figura 16 - Modelo de Capacidade de Processos. Fonte: COBIT 5, Figura 19, 2012 ISACA

O modelo contm 6 nveis de capacidade, em uma escala de 0 a 5, porm com nome e
significado bem diferentes dos nveis de maturidade do COBIT 4.1 e 9 atributos de processo
(PA Process Attributes). Atributos de processo determinam se um processo alcanou um
determinado nvel de capacidade, medindo um aspecto particular da capacidade de um
processo. Cada nvel de capacidade de processo possui um conjunto de atributos de processo
que devem ser avaliados para o alcance do nvel em questo. Os atributos de processo so:
PA1.1 Process Performance
PA2.1 Performance Management
PA2.2 Work Product Management
PA3.1 Process Definition
PA3.2 Process Deployment
PA4.1 Process Management
PA4.2 Process Control
PA5.1 Process Innovation
PA5.2 Process Optimization

Cada atributo de processo avaliado com base na seguinte escala:
N (no alcanado): h pouca ou nenhuma evidncia de realizao do atributo de
processo no processo avaliado (0% a 15% de realizao).
P (parcialmente alcanado): h alguma evidncia de realizao do atributo de
processo no processo avaliado. Alguns aspectos da realizao do atributo podem ser
imprevisveis (15% a 50% de realizao).


L (largamente alcanado): h evidncia de uma realizao significativa do atributo de
processo no processo avaliado. Algumas fraquezas relacionadas a este atributo podem
existir no processo avaliado (50% a 85% de realizao).
F (totalmente alcanado): h evidncia de uma realizao completa do atributo de
processo no processo avaliado. No h deficincias significativas associadas a este
atributo no processo avaliado (85% a 100% de realizao).
Os nveis de capacidade so:
Nvel 0 - Processo Incompleto: o processo no est implementado ou no atinge seu
objetivo. Nesse nvel, h pouca ou nenhuma evidncia de realizao sistemtica da finalidade
do processo.
Nvel 1 - Processo Realizado: possui o atributo PA1.1 Process Performance
(Desempenho do Processo). O processo est implementado e atinge seu objetivo.
Nvel 2 - Processo Gerenciado: possui os atributos PA2.1 Performance Management
(Gerenciamento de Desempenho) e PA2.2 Work Product Management (Gerenciamento de
Produto de Trabalho). O processo realizado anteriormente descrito implementado de forma
gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho esto
devidamente estabelecidos, controlados e mantidos.
Nvel 3 - Processo Estabelecido: possui os atributos PA3.1 Process Definition
(Definio de Processo) e PA3.2 Process Deployment (Implementao de Processo). O
processo gerenciado anteriormente descrito implementado usando um processo definido
que capaz de alcanar os seus resultados de processo.
Nvel 4 - Processo Previsvel: possui os atributos PA4.1 Process Management
(Gerenciamento do Processo) e PA4.2 Process Control (Controle do Processo). O processo
estabelecido anteriormente descrito opera dentro de limites definidos para alcanar seus
resultados de processo.
Nvel 5 - Processo Em Otimizao: possui os atributos PA5.1 Process Innovation
(Inovao de Processo) e PA5.2 Process Optimization (Otimizao de Processo). O processo
previsvel anteriormente descrito continuamente melhorado para atender aos objetivos de
negcio.
Cada nvel de capacidade s pode ser alcanado quando o nvel inferior for
plenamente alcanado. Por exemplo, uma capacidade de processo nvel 3 (Processo
Estabelecido), exige que os atributos Definio de Processos e Implementao do Processo
sejam amplamente realizados, alm da plena realizao dos atributos do nvel de capacidade 2
(Processo Gerenciado).
A partir das descries anteriores, evidente que h algumas diferenas prticas
associadas com a mudana no modelo de avaliao dos processos. Os usurios precisam estar
cientes dessas mudanas e estar preparado para lev-los em conta em seus planos de ao. As
principais alteraes a serem consideradas incluem:
Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para


descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.



Comparao Tabela de Nveis de Maturidade (COBIT 4.1) Nveis de Capacidade de Processo (COBIT 5)
COBIT 4.1 COBIT 5
Nvel 5: Processo Otimizado - processos so
refinados ao nvel de boa prtica, baseados nos
resultados de melhoria contnua. A TI utilizada de
forma integrada para automatizar o fluxo de trbalho,
fornecendo ferramentas para melhorar a qualidade
e efetividade, fazendo com que a organizao seja
rpida para se adaptar.
Nvel 5: Processo em Otimizao - o nvel 4 Processo
Previsvel continuamente melhorado para atender
metas de negcio atuais e projetadas.
Nvel 4: Gerenciado e Mensurvel - gerenciamento
monitora e mede conformidade com procedimentos
e toma aes onde processos parecem no funcionar
efetivamente. Processos esto sob melhoria
constante e fornecem boa prtica. Automao e
ferramentas so usadas de forma limitada ou
fragmentada.
Nvel 4: Processo Previsvel - o nvel 3 Processo
Estabelecido agora opera dentro de limites definidos
para alcanar seus resultados de processo.
Nvel 3: Processo Definido - procedimentos so
padronizados, documentados e comunicados por
meio de treinamento. obrigtorio que estes
processos sejam seguidos; entretanto, pouco
provvel que desvios sejam detectados. Os prprios
procedimentos no so sofisticados, mas so a
formalizao de prticas existentes.
Nvel 3: Processo Estabelecido - o nvel 2 Processo
Gerenciado agora implementado usando um
processo definido que capaz de alcanar seus
resulados de processo.
Nvel 2: Processo Gerenciado - o nvel 1 Processo
Realizado agora implementado de forma gerenciada
(planejado, monitorado e ajustado) e seus produtos de
trabalho so estabelecidos, controlados e mantidos
apropriadamente.
Nvel 2: Repetvel mas Intuitivo - processos so
desenvolvidos de forma que procedimentos
similiares so seguidos por pessoas diferentes que
esto executando a mesma tarefa. No h
treinamento ou comunicao formal de
procedimentos padronizados e a responsabilidade
deixada a cargo do indivduo. H um alto grau de
confiana no conhecimento dos indivduos e,
portanto, erros podem ocorrer.
Nvel 1: Processo Realizado - o processo
implementado alcana seu propsito de processo.

Obs.: possvel que algum processo classificado como
nvel 1 seja classificado como nvel 0 de acordo com a
ISO/IEC 15504, se o resultado do processo no for
alcanado.
Nvel 1: Inicial/Ad-hoc - h evidncia que a
organizao reconheceu que questes existem e
precisam ser tratadas. No h, entretanto, nenhum
processo padronizado; em vez disto, existem
abordagens ad hoc que tendem a ser aplicadas por
indivduos. A abordagem geral de gerenciamento
desorganizada.
Nvel 0: No existente - completa falta de qualquer
processo reconhecvel. A organizao ainda no
reconheceu que existe uma questo a ser tratada.
Nvel 0: Processo Incompleto - o processo no
implementado ou no consegue alcanar seu propsito
Tabela 1 - Comparao Niveis de Maturidade COBIT 4 x Nveis de Capacidade COBIT 5



PRINCIPAIS MUDANAS DO COBIT 5 COM RELAO AO COBIT 4.1

As principais mudanas no COBIT 5 com relao ao COBIT 4.1 so [7]:
1. Novos princpios de governana corporativa de TI, conforme visto na seo Princpios
do COBIT 5.
2. Aumento do foco nos viabilizadores (enablers)
Os recursos de TI do COBIT 4.1 processos, aplicaes, informao e infra-estrutura
so considerados viablilizadores no COBIT 5.
O viabilizador 1.Princpios, polticas e estruturas foi mencionado em alguns processos do
COBIT 4.1.
O viabilizador 2.Processos era a parte central no COBIT 4.1.
O viabilizador 3.Estruturas organizacionais estava implcito, atravs dos papis
responsvel, consultado ou informado na matriz RACI.
O viabilizador 4.Cultura, tica e comportamento foi mencionado em alguns processos do
COBIT 4.1.
3. Novo Modelo de Referncia de Processos
COBIT 5 baseia-se no modelo de referncia com um novo domnio de governana e
vrios processos novos e modificados que agora cobrem atividades corporativas de ponta a
ponta, ou seja, das reas de negcio e funes de TI.
COBIT 5 consolida COBIT 4.1, Val IT e Risk IT em um nico framework e est atualizado
para se alinhar com as melhores prticas atuais-por exemplo, ITIL, TOGAF.
4. Processos novos e modificados
Outra mudana visvel do COBIT 5 ocorre nos domnios e processos [8]. Na verso 4.1
havia quatro domnios e 34 processos. Na verso 5, h cinco domnios e 37 processos.
COBIT 5 introduz cinco novos processos de governana no domnio EDM (Avaliar, Dirigir
e Monitorar), sendo os outros quatro domnios sofreram mudana com relao ao COBIT 4.1 e
esto definidos como processos de gesto, conforme tabela abaixo [8]:
COBIT 4.1 COBIT 5
Plan and Organize
(Planejar e Organizar)
10 processos
Align, Plan and organize
(Alinhar, Planejar e organizar)
13 processos
Acquire and Implement
(Adquirir e Implementar)
Build, Acquire and Implement
(Construir, Adquirir e Implementar)


7 processos 10 processos
Deliver and Support
(Entregar e Suportar)
13 processos
Deliver, Service and Support
(Entregar, Servir e Suportar)
6 processos
Monitor and Evaluate
(Monitorar e Avaliar)
4 processos
Monitor, Evaluate and Assess
(Monitorar, Avaliar e Medir)
3 processos
Figura 17 - Comparativo COBIT 4.1 x COBIT 5
H vrios processos novos e modificados, em particular [7]:
APO03 Gerenciar a Arquitetura Corporativa
APO04 Gerenciar a Inovao
APO05 Gerenciar o Portflio
APO06 Gerenciar Oramento e Custos
APO08 Gerenciar as Relaes
APO13 Gerenciar a Segurana
BAI05 Gerenciar a Implementao de Mudana Organizacional
BAI08 Gerenciar o Conhecimento
BAI09 Gerenciar os Ativos
DSS05 Gerenciar Servios de Segurana
DSS06 Gerenciar os Controles de Processos de Negcio
Os processos do COBIT 5 cobrem as atividades de negcio e de TI de ponta a ponta, ou
seja, uma viso completa de nvel corporativo, alm de tornar o envolvimento,
responsabilidades e obrigaes dos stakeholders no uso de TI mais explcita e transparente.
5. Prticas e atividades
As prticas de gesto e de governana do COBIT 5 so equivalentes aos objetivos de
controle do COBIT 4.1 e dos processos de Val IT e Risk IT. As atividades do COBIT 5 so
equivalentes s prticas de controle do COBIT 4.1 e das prticas do Val IT e Risk IT.
6. Objetivos e Mtricas
COBIT 5 segue os mesmos conceitos de objetivos e mtricas do COBIT 4.1, Val IT e Risk
IT.
7. Entradas e sadas
COBIT 5 prov entradas e sadas para cada prtica de gesto, enquanto o COBIT 4.1
prov somente no nvel de processo. Isso fornece um guia mais detalhado para o desenho dos
processos.
8. Matriz RACI


COBIT 5 fornece uma matriz RACI descrevendo papis e responsabilidades de forma
similar ao COBIT 4.1, porm oferece uma gama mais completa, detalhada e mais clara dos
papis para cada prtica de gesto, permitindo uma melhor definio das responsabilidades
dos papis ou nvel de envolvimento na concepo e implementao de processos.
9. Modelo de Capacidade de Processo
COBIT 5 descontinua o modelo de maturidade baseado no CMM e usado pelo COBIT
4.1. COBIT 5 apoiado pelo novo modelo de capacidade de processos baseado na norma
ISO/IEC 15504.
O modelo de maturidade do COBIT 4.1, Val IT e Risk IT baseadas em CMM no so
considerados compatveis com o modelo ISO/IEC 15504 no qual o COBIT 5 se baseia, porque os
modelos usam diferentes atributos e escalas de medio.



ANEXO I: COBIT 5 Goals Cascade

O COBIT 5 Goals Cascade (cascata de objetivos) tem a finalidade de desdobrar [4]:
- os direcionadores (drivers) e as necessidades dos stakeholders em objetivos de
negcio;
- os objetivos de negcio em objetivos de TI;
- os objetivos de TI em objetivos para os viabilizadores.

Figura 18 - Cascata de Objetivos. Fonte: COBIT 5, Figura 14, 2012 ISACA

Esse desdobramento descrito nos quatro passos a seguir:
Passo 1: Direcionadores de Stakeholders (Stakeholder Drivers) influenciam as
Necessidades dos Stakeholders
As necessidades dos stakeholders so influenciadas por um nmero de direcionadores
(ou motivadores), como por exemplo, mudanas na estratgia do negcio, mudana no
ambiente do negcio (entrada de novos concorrentes), mudanas nas leis e regulamentos
vigentes e novas tecnologias.
Tomando a legislao como exemplo de direcionador, tem-se, no Brasil, a Lei n 12.965,
mais conhecida como o Marco Civil da Internet, que estabelece princpios, garantias, direitos e
deveres para o uso da Internet no Brasil. Um dos temas que a lei trata a neutralidade da
rede, em que o "responsvel pela transmisso, comutao ou roteamento tem o dever de
tratar de forma isonmica quaisquer pacotes de dados, sem distino por contedo, origem e
destino, servio, terminal ou aplicao. [10]" Isso visa garantir que todos os contedos e
usurios sejam tratados da mesma maneira. Como exemplo prtico, as operadoras de


telecomunicaes, que proveem o acesso Internet, podem ter uma oferta diversificada de
banda, mas no podem bloquear ou limitar a velocidade de trfego, dentro do pacote de
banda contratado, para determinados aplicativos, sites ou contedos na rede [11]. Alm disso,
a lei determina que as operadoras devero garantir a qualidade contratada da conexo
internet.
Essa lei se torna um direcionador de stakeholders influencia as necessidades dos
stakeholders: as dos usurios de internet (stakeholder externo), que agora tem a garantia de
que a qualidade de sua conexo ser conforme contratado, e caso no seja, poder reclamar
seus direitos, e as do corpo diretivo da operadora de telecomunicaes (stakeholder interno),
que precisa se preocupar em adaptar o negcio para atender a essa obrigao (j que dever
modificar a oferta de seus servios), pois caso no cumpram, poder ocorrer a perda de
clientes, impactando na criao de valor para o negcio.
Passo 2: Necessidades dos Stakeholders desdobrados em Objetivos de Negcio
As necessidades dos stakeholders podem ser relacionadas a um conjunto de objetivos
de negcio genricos definidos pelo COBIT 5. O framework define 17 objetivos de negcio
genricos que podem ser desenvolvidos usando as dimenses do Balanced Scoredcard (BSC) e
representam uma lista de objetivos comumente usados por uma organizao. Embora essa
lista no seja exaustiva, a maioria dos objetivos especficos de uma organizao pode ser
mapeada para um ou mais objetivos de negcio genricos.
A lista de objetivos de negcio genricos, como mostrado na figura abaixo, incluem as
seguintes informaes:
A dimenso BSC ao qual o objetivo pertence;
Objetivos de negcio;
O relacionamento do objetivo de negcio com os trs objetivos principais de
governana realizao de benefcios, otimizao de risco e otimizao de recursos
(P indica relacionamento primrio e S relacionamento secundrio).


Figura 19 - Objetivos de Negcio.

Passo 3: Objetivos de Negcio desdobrados em Objetivos de TI
O alcance dos objetivos de negcio exige uma srie de resultados relacionados a TI, que
so representados pelos objetivos relacionados a TI. COBIT 5 define 17 objetivos relacionados
a TI, fornecendo exemplos de mtricas para mensurar cada um dos objetivos. As mtricas dos
objetivos de TI podem ser vistas no detalhamento do viabilizador Processos. A lista de
objetivos de TI exibida na figura abaixo:

Figura 20 - Objetivos de TI. Fonte: COBIT 5, Figura 5, 2012 ISACA



Passo 4: Objetivos de TI desdobrados em Objetivos de Viabilizadores
Alcanar os objetivos relacionados a TI requer a aplicao e uso bem-sucedidos de um
conjunto de viabilizadores. Viabilizadores incluem:
Princpios, polticas e frameworks
Processos
Estruturas organizacionais
Cultura, tica e comportamento
Informao
Servios, infraestrutura e aplicaes
Pessoas, habilidades e competncias

Para cada viabilizador, um conjunto de objetivos especficos e relevantes pode ser
definido para suportar os objetivos relacionados a TI. Para o viabilizador Processos, por
exemplo, os objetivos e suas mtricas so fornecidos nas descries detalhadas de cada
processo.



ANEXO II: Exemplo de Viabilizador: Processos

Figura 21 - Viabilizador Processos. Fonte: Fonte: COBIT 5, Figura 29, 2012 ISACA

Stakeholders: stakeholders do processo incluem todos os atores do processo, ou seja,
todos as partes que so responsveis, pra o qual so prestadas contas, consultadas e
informadas (RACI) para as atividades do processo. Por isso, a matriz RACI para cada processo
descrita no COBIT 5: Enabling Process pode ser utilizada.
Objetivos: para cada processo, os objetivos adequados e mtricas relacionadas precisam
ser definidos. Por exemplo, para o processo de APO08 Gerenciar relacionamentos pode-se
encontrar um conjunto de objetivos de processo e mtricas, tais como:
Objetivo: estratgias de negcios, planos e requisitos so bem compreendidos,
documentados e aprovados.
Mtrica: Percentual de programas alinhados com os requisitos de negcio
Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.
Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.


ANEXO III: DOMNIOS E PROCESSOS DO COBIT 5

Avaliar, Dirigir e Monitorar
EDM01
Assegurar o Estabelecimento e
Manuteno do Framework de
Governana
Analisa e articula os requisitos para a governana corporativa de TI, coloca em prtica e mantm
estruturas, princpios, processos e prticas, com clareza de responsabilidades e autoridade para
alcanar a misso, as metas e os objetivos da organizao.
EDM02 Assegurar a Entrega de Benefcios
Otimiza a contribuio de valor para o negcio a partir dos processos de negcios, servios e ativos de
TI resultantes de investimentos realizados pela TI a custos aceitveis.
EDM03 Assegurar a Otimizao de Riscos
Assegura que o apetite e tolerncia a riscos da organizao so compreendidos, articulados e
comunicados e que o risco ao valor da organizao relacionado ao uso de TI identificado e
controlado.
EDM04 Assegurar a Otimizao de Recursos
Assegura que as capacidades adequadas e suficientes relacionadas TI (pessoas, processos e
tecnologia) esto disponveis para apoiar os objetivos da organizao de forma eficaz a um custo
timo.
EDM05
Assegurar a Transparncia para as partes
interessadas
Assegura que a medio e relatrios de desempenho e conformidade da TI corporativa sejam
transparentes para os stakeholders aprovarem as metas, mtricas e as aes corretivas necessrias.


Alinhar, Planejar e Organizar
APO01 Gerenciar o Framework de Gesto de TI
Esclarece e mantm a misso e viso da governana de TI da organizao. Implementa e mantm
mecanismos e autoridades para gerenciar a informao e o uso da TI na organizao.
APO02 Gerenciar a Estratgia
Fornece uma viso holstica do negcio e ambiente de TI atual, a direo futura, e as iniciativas
necessrias para migrar para o ambiente futuro desejado.
APO03 Gerenciar a Arquitetura Corporativa
Estabelece uma arquitetura comum que consiste em processos de negcios, informaes, dados,
aplicao e tecnologia para realizar de forma eficaz e eficiente as estratgias de negcio e de TI por
meio da criao de modelos e prticas-chave que descrevem arquitetura de linha de base.
APO04 Gerenciar a Inovao
Mantm uma conscincia de TI e tendncias de servios relacionados, identifica oportunidades de
inovao e planeja como se beneficiar da inovao em relao s necessidades do negcio. Influencia
o planejamento estratgico e as decises de arquitetura corporativa.
APO05 Gerenciar o Portflio
Executa o conjunto de orientaes estratgicas para os investimentos alinhados com a viso de
arquitetura corporativa e as caractersticas desejadas do investimento e considerar as restries de
recursos e de oramento. Avalia, prioriza programas e servios, gerencia demanda dentro das
restries de recursos e de oramento, com base no seu alinhamento com os objetivos estratgicos e
risco. Move programas selecionados para o portflio de servios para execuo. Monitora o
desempenho de todo o portflio de servios e programas, propondo os ajustes necessrios em
resposta ao programa e desempenho do servio ou mudana de prioridades da organizao.
APO06 Gerenciar Oramento e Custos
Administrar as atividades financeiras relacionadas a TI tantos nas funes de negcios e de TI,
abrangendo oramento, gesto de custos e benefcios e priorizao dos gastos com o uso de prticas
formais de oramento e de um sistema justo e equitativo de alocao de custos para a organizao.
APO07 Gerenciar Recursos Humanos
Fornece uma abordagem estruturada para garantir a estruturao ideal, colocao, direitos de deciso
e as habilidades dos recursos humanos. Isso inclui a comunicao de papis e responsabilidades
definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio
de pessoas competentes e motivadas.
APO08 Gerenciar as Relaes
Gerencia o relacionamento entre o negcio e TI de uma maneira formal e transparente, que garanta
foco na realizao de um objetivo comum.


APO09 Gerenciar os Acordos de Servio
Alinha servios de TI e nveis de servio com as necessidades e expectativas da organizao, incluindo
identificao, especificao, projeto, publicao, acordo, e acompanhamento de servios de TI, nveis
de servio e indicadores de desempenho.
APO10 Gerenciar os Fornecedores
Gerencia servios relacionados a TI prestados por todos os tipos de fornecedores para atender s
necessidades organizacionais, incluindo a seleo de fornecedores, gesto de relacionamentos, gesto
de contratos e reviso e monitoramento de desempenho de fornecedores para a efetividade e
conformidade.
APO11 Gerenciar a Qualidade
Define e comunica os requisitos de qualidade em todos os processos, os procedimentos e os
resultados das organizaes, incluindo controles, monitoramento contnuo, e o uso de prticas
comprovadas e padres na melhoria contnua e esforos de eficincia.
APO12 Gerenciar os Riscos
Identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos nveis de tolerncia
estabelecidos pela diretoria executiva da organizao.
APO13 Gerenciar a Segurana Define, opera e monitora um sistema para a gesto de segurana da informao.



Construir, Adquirir e Implementar
BAI01 Gerenciar Programas e Projetos
Gerenciar todos os programas e projetos do portflio de investimentos em alinhamento com a
estratgia da organizao e de forma coordenada. Inicia, planeja, controla e executa programas e
projetos, e finaliza com uma reviso ps-implementao.
BAI02 Gerenciar a Definio de Requisitos
Identifica solues e analisa os requisitos antes da aquisio ou criao para assegurar que eles esto
em conformidade com os requisitos estratgicos corporativos que cobrem os processos de negcio,
aplicaes, informaes/ dados, infra-estrutura e servios. Coordena com as partes interessadas
afetadas a reviso de opes viveis, incluindo custos e benefcios, anlise de risco e aprovao de
requisitos e solues propostas.
BAI03
Gerenciar a Identificao e Construo de
Solues
Estabelece e mantm solues identificadas em conformidade com os requisitos da organizao
abrangendo design, desenvolvimento, aquisio/terceirizao e parcerias com
fornecedores/vendedores. Gerencia configurao, teste de preparao, testes, requisitos de gesto e
manuteno dos processos de negcio, aplicaes, informaes/dados, infra-estrutura e servios.
BAI04 Gerenciar a Disponibilidade e Capacidade
Equilibra as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestao
de servios de baixo custo. Inclui a avaliao de capacidades atuais, a previso das necessidades
futuras com base em requisitos de negcios, anlise de impactos nos negcios e avaliao de risco
para planejar e implementar aes para atender as necessidades identificadas.
BAI05
Gerenciar a Implementao de Mudana
Organizacional
Maximiza a probabilidade de implementar com sucesso a mudana organizacional sustentvel em toda
a organizao de forma rpida e com risco reduzido, cobrindo o ciclo de vida completo da mudana e
todas as partes interessadas afetadas no negcio e TI.
BAI06 Gerenciar Mudanas
Gerencia todas as mudanas de uma maneira controlada, incluindo mudanas de padro e de
manuteno de emergncia relacionadas com os processos de negcio, aplicaes e infraestrutura.
Isto inclui os padres de mudana e procedimentos, avaliao de impacto, priorizao e autorizao,
mudanas emergenciais, acompanhamento, elaborao de relatrios, encerramento e documentao.
BAI07 Gerenciar Aceite e Transio de Mudana
Aceita e produz formalmente novas solues operacionais, incluindo planejamento de implementao
do sistema, e converso de dados, testes de aceitao, comunicao, preparao de liberao,
promoo para produo de processos de negcios e servios de TI novos ou alterados, suporte de
produo e uma reviso ps-implementao.


BAI08 Gerenciar o Conhecimento
Mantm a disponibilidade de conhecimento relevante, atual, validado e confivel para suportar todas
as atividades do processo e facilitar a tomada de deciso. Plano para a identificao, coleta,
organizao, manuteno, utilizao e retirada de conhecimento.
BAI09 Gerenciar os Ativos
Gerencia os ativos de TI atravs de seu ciclo de vida para assegurar que seu uso agrega valor a um
custo ideal. Os ativos permanecem operacionais e fisicamente protegidos e aqueles que so
fundamentais para apoiar a capacidade de servio so confiveis e disponveis.
BAI10 Gerenciar a Configurao
Define e mantm as descries e as relaes entre os principais recursos e as capacidades necessrias
para prestar servios de TI, incluindo a coleta de informaes de configurao, o estabelecimento de
linhas de base, verificao e auditoria de informaes de configurao e atualizar o repositrio de
configurao.



Entregar, Servir e Suportar
DSS01 Gerenciar as operaes
Coordena e executa as atividades e procedimentos operacionais necessrios para entregar servios de
TI internos e terceirizados, incluindo a execuo de procedimentos operacionais, padres pr-
definidos e as atividades exigidas.
DSS02
Gerenciar Requisies de Servio e
Incidentes
Fornecer uma resposta rpida e eficaz s solicitaes dos usurios e resoluo de todos os tipos de
incidentes. Restaurar o servio normal; recorde e atender s solicitaes dos usurios e registro,
investigar, diagnosticar, escalar e solucionar incidentes.
DSS03 Gerenciar Problemas
Identifica e classifica os problemas e suas causas-razes e fornece resoluo para prevenir incidentes
recorrentes. Fornece recomendaes de melhorias.
DSS04 Gerenciar a Continuidade
Estabelece e mantm um plano para permitir o negcio e TI responder a incidentes e interrupes, a
fim de continuar a operao de processos crticos de negcios e servios de TI necessrios e mantm a
disponibilidade de informaes em um nvel aceitvel para a organizao.
DSS05 Gerenciar Servios de Segurana
Protege informaes da organizao para manter o nvel de risco aceitvel para a segurana da
informao da organizao, de acordo com a poltica de segurana. Estabelece e mantm as funes
de segurana da informao e privilgios de acesso e realiza o monitoramento de segurana.
DSS06
Gerenciar os Controles de Processos de
Negcio
Define e mantm controles de processo de negcio apropriados para assegurar que as informaes
relacionadas e processadas satisfaz todos os requisitos de controle de informaes relevantes.

Monitorar, Avaliar e Medir
MEA01
Monitorar, Avaliar e Medir o Desempenho
e Conformidade
Coleta, valida e avalia os objetivos e mtricas do processo de negcios e de TI. Monitora se os
processos esto realizando conforme metas e mtricas de desempenho e conformidade acordadas e
fornece informao que sistemtica e oportuna.
MEA02
Monitorar, Avaliar e Medir o Sistema de
Controle Interno
Monitora e avalia continuamente o ambiente de controle, incluindo auto-avaliaes e anlises de
avaliaes independentes. Permite a gesto de identificar deficincias de controle e ineficincias e
iniciar aes de melhoria.
MEA03
Monitorar, Avaliar e Medir a
Conformidade com Requisitos Externos
Avalia se processos de TI e processos de negcios suportados pela TI esto em conformidade com as
leis, regulamentos e exigncias contratuais. Obtm a garantia de que os requisitos foram identificados
e respeitados, e integr-los conformidade com o cumprimento global da organizao.


ANEXO IV: Descrio do Processo BAI06: Gerenciar Mudanas





REFERNCIAS BIBLIOGRFICAS

[1] International Organization for Standardization. ISO/IEC 38500 Corporate governance of
information technology. ISO, 2008, 22p.
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.
[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf
[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012
[5] PwC. Por que conhecer o COBIT 5.
Acesso em: www.pwc.com.br/

[6] GAEA. Compreendendo os principais conceitos do COBIT 5.
Acesso em: http://www.gaea.com.br/cms/compreendendo-os-principais-conceitos-do-COBIT -
5-parte-v/

[7] ISACA. Comparing COBIT 4.1 and COBIT 5.
Acesso em: http://www.isaca.org/COBIT /Documents/Compare-with-4.1.pdf

[8] Gentil, Frederico A. S., Novidades do COBIT 5.
Acesso em: http://fredgentil.com.br/artigos/novidades-do-COBIT -5/

[9] ISACA. COBIT 5: Enabling Process. USA, 2012.
[10] BRASIL. Lei n 12.965/2014, de 23 de abril de 2014. Estabelece princpios, garantias,
direitos e deveres para o uso da Internet no Brasil.
Acesso em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

[11] CGI.br. O CGI.br e o Marco Civil da Internet.
Acesso em: http://www.cgi.br

Apostilacobit5 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostilacobit5 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Luzia Dourado

Você também pode gostar