COBIT 5

O objetivo principal da Governanca de TI e alinhar a TI aos requisitos do negocio.

Promover o posicionamento mais claro e consistente da TI em relacao as demais areas de
negocios da empresa, traduzindo as estrategias dos negocios em planos, aplicacoes, infraestrutura
de TI, processos;
Promover o alinhamento da arquitetura de TI as necessidades do negocio, visando o presente
e o futuro;
Prover a TI com estrutura suficiente para gestao do risco e compliance;
A informacao e, um recurso chave para todas as empresas. Cientes desta realidade, as corporacoes e
seus executivos precisam:
Manter informacoes de qualidade para dar suporte as decisoes de negocio;
Gerar valor dos investimentos em TI, atingir metas estrategicas e entregar beneficios de
negocio por meio do efetivo uso da TI;
Conseguir excelencia operacional atraves da aplicacao eficiente e confiavel da tecnologia;
Manter os riscos de TI a um nivel aceitavel;
Otimizar o custo dos servicos de TI.
O COBIT 5 habilita a TI a ser governada e gerenciada de uma forma holistica para toda a empresa,
cuidando, de ponta-a-ponta, do negocio e das areas funcionais de TI, considerando os interesses de
stakeholders internos e externos.
O COBIT 5, desenvolvido pela ISACA (Information Systems Audit and 76830276004
Control Association), e generico e utilizavel por empresas de todos os tamanhos, sejam elas
comerciais, sem fins lucrativos ou orgaos publicos.

Sua estrutura e composta pelos seguintes produtos:

O COBIT 5 (framework)
Os Guias Habilitadores, cuja publicacao principal e o COBIT 5: Enabling Processes
publicacao paga, que inclui detalhes sobre os 37 processos, entradas, saidas, responsabilidades
pelas atividades e outros. Ainda, associa os processos com outros frameworks do mercado.
Os Guias Profissionais, com destaque para o COBIT 5: Implementation, COBIT 5 for
Information Security, COBIT 5 for Assurance e COBIT 5 for Risk.
Ambiente online colaborativo, para oferecer suporte ao uso do COBIT 5.

Ainda, o COBIT 5 busca conexao e alinhamento a outros frameworks e padroes do mercado, como a ITIL,
TOGAF, PMBOK, PRINCE2, COSO e padroes ISO (em especial a ISO/IEC 38500:2008 Governanca
Corporativa da Tecnologia da Informacao).
O COBIT 5 faz uma distincao clara entre Governanca e Gerenciamento, e esta distincao tambem deve ser
bastante clara para voce. Pro COBIT:
2.3 Governanca x Gerenciamento

governanca

A
assegura que as necessidades, as condicoes e as opcoes dos stakeholders sejam
avaliadas para determinar os objetivos empresarias a serem alcancados;
Define a direcao por meio de priorizacao e tomada de decisao;
Monitora o desempenho e conformidade com relacao aos objetivos.

A responsabilidade pela

Governanca e da alta direcao,

embora algumas responsabilidades especificas possam ser

delegadas para estruturas organizacionais especiais, no nivel apropriado, em particular para organizacoes
grandes e complexas.

gerenciamento (gestao)

Planeja, constroi, executa e monitorar atividades alinhadas com a direcao estrategica estabelecida pela
governanca para atingir os objetivos empresariais. Na maioria das organizacoes, o gerenciamento e
responsabilidade da gerencia

executiva, sob a lideranca do chefe diretor executivo (CEO).

Principios do COBIT 5
O COBIT 5 e norteado por cinco principios:

1 - Atendendo as necessidades dos stakeholders

(Meeting Stakeholders Needs)
Empresas existem para criar valor para os seus stakeholders. Por consequencia, criar valor sera um
objetivo da governanca.
Criar valor e alcancar beneficios otimizando a utilizacao de recursos a um risco aceitavel. Beneficios
podem assumir varias formas, por exemplo, lucro (fins comerciais) ou prestacao de servico publico
(entidades governamentais). Stakeholders distintos podem enxergar valor sob oticas distintas, e ate mesmo
conflitantes, o que torna a governanca uma tarefa nao trivial. Nesse sentido, o COBIT 5 apresenta a cascata
de metas (COBIT 5 Goals Cascade), que e um mecanismo a ser utilizado para traduzir as necessidades dos
stakeholders em metas empresariais (de negocio), metas de TI relacionadas e metas habilitadoras. Tais metas
devem ser especificas, tangiveis e customizadas para a organizacao.
A cascata possui 4 passos, a saber:
Passo 1. O Direcionamento do stakeholder influencia suas necessidades
Passo 2. As necessidades cascateiam para as metas de negocio
Passo 3. Metas de negocio cascateiam para metas de TI relacionadas

Passo 4. Metas de TI relacionadas cascateiam para metas habilitadoras

2 - Cobrindo a empresa de ponta-a-ponta

(Covering the Enterprise End-to-End)
O COBIT 5 trata a governanca e a gestao da TI de ponta-a-ponta. Isso implica em:
Integracao da governanca de TI com a governanca corporativa, ou seja, o modelo proposto pelo
COBIT 5 se integra sem problemas com qualquer metodologia de governanca corporativa;

Cobertura de todas as funcoes e processos requeridos para governar e gerenciar a TI na organizacao.

Dado esse escopo,o COBIT 5 trata de todos os servicos de TI internos e externos, bem como os
processos de negocio internos e externos .
Essa abordagem de Governanca de ponta-a-ponta se da por meio do Escopo de Governanca, dos
Habilitadores da Governanca e dos Papeis, Atividades e Relacionamentos.

76830276004
Essa abordagem de Governanca de ponta-a-ponta se da por meio do Escopo de Governanca, dos
Habilitadores da Governanca e dos Papeis, Atividades e Relacionamentos.
Escopo de Governanca: a governanca pode ser aplicada em toda a organizacao, em uma entidade, em
um ativo tangivel ou intangivel. E essencial definir o escopo da Governanca.
Habilitadores da Governanca: sao os recursos organizacionais que podem ser aplicados na Governanca,
como os frameworks, principios, estruturas, processos e praticas. Tambem incluem os recursos empresariais
(infraestrutura, aplicacoes, pessoas a informacao).
Papeis, Atividades e Relacionamentos: Definem quem esta envolvido com a governanca, como estao
envolvidos, o que eles fazem, como interagem.

3 - Aplicando um framework unico e integrado

(Applying a Single Integrated Framework)
O COBIT 5 e um framework unico e integrado porque:

Esta alinhado com outros padroes e frameworks recentes, ainda podendo ser utilizado como
framework de integracao de governanca e gestao;
Integra todo o conhecimento disperso em diferentes frameworks da ISACA, como COBIT, Val IT,
Risk IT, BMIS e outros.

4 - Possibilitando uma abordagem holistica

(Enabling a Holistic Approach)
Os Habilitadores (Enablers) sao fatores que, individualmente e coletivamente, influenciam algo que devera
funcionar no caso, a governanca e
gerenciamento de TI. Os habilitadores sao guiados pelas metas de TI, que, por sua vez, sao guiadas pelas
metas de negocio.
O COBIT 5 possui sete

categorias de habilitadores, a saber:

Principios, politicas e frameworks

: veiculos que traduzem o comportamento desejado em guias
praticos para o gerenciamento cotidiano;
Processos: conjunto organizado de praticas e atividades para alcancar certos objetivos, e producao de um
conjunto de saidas que servirao para o alcance das metas de TI;
Estruturas organizacionais: entidades-chave, tomadoras de decisoes em uma empresa;
Cultura,etica e comportamento: com frequencia, tais elementos sao subestimados como fator de sucesso,
tanto dos individuos como da corporacao como um todo;

Informacao: toda a informacao produzida e utilizada pela empresa. Mantem a organizacao

funcionando e bem governada. No nivel operacional, frequentemente e o produto-chave da empresa;

Servicos, infraestrutura e aplicativos: toda a infraestrutura, tecnologia e aplicativos que fornece a

empresa servicos e capacidade de processamento de TI;

Pessoas, habilidades e competencias: necessarias para a realizacao com sucesso das atividades e
tomar decisoes corretas e acoes corretivas.

* - As quatro dimensoes sao dos Habilitadores:

Stakeholders: cada habilitador tera interessados que participam ativamente ou possuem interesse no
habilitador;
Metas (goals): cada habilitador tera um numero de metas. As metas sao o passo final na cascata de objetivos
do COBIT 5. Podem ser categorizadas em:
o Qualidade intrinseca: medida em que habilitadores funcionam com precisao, objetividade e fornecem
informacoes precisas e objetivas.
o Qualidade contextual: medida em que habilitadores e seus resultados atendem ao proposito, dado o
contexto em que operam.
o Acesso e seguranca: medida em que habilitadores e seus resultados sao acessiveis e seguros.
Ciclo de vida: cada habilitador possui um ciclo de vida, desde o seu inicio, passando por uma fase
operacional ate o seu descarte. Sao fases do ciclo de vida:
o Planejar
o Projetar
o Construir/Adquirir/Criar/Implementar o Usar/Operar

o Avaliar/Monitorar
o Atualizar/Descartar
Boas praticas: para cada habilitador, boas praticas podem ser definidas. Boas praticas apoiam a consecucao
das metas do

76830276004
habilitador. Boas praticas fornecem exemplos ou sugestoes sobre a melhor forma de implementar o
habilitador, e quais os produtos de trabalho, entradas e saidas sao necessarios.

Gerenciamento de desempenho dos Habilitadores

As corporacoes esperam resultados positivos dos aplicativos e do uso dos habilitadores. Para gerenciar a
performance dos habilitadores, algumas questoes devem ser monitoradas para serem respondidas, com base
em metricas:
- As necessidades dos stakeholders foram atendidas?
- As metas dos habilitadores foram alcancadas? - O ciclo de vida do habilitador e gerenciado?
- As boas praticas sao aplicadas?
As duas primeiras questoes lidam com a saida atual do habilitador. A medida usada para medir o alcance das
metas podem ser chamadas de lag indicators, ou metricas para o alcance das metas.
As duas ultimas questoes, por seu turno, lidam com o funcionamento atual do indicador, e as metricas podem
ser chamadas de lead indicators, ou metricas para aplicacao da pratica.

5 - Separando a Governanca do Gerenciamento

(Separating Governance from Management)
Modelo de Referencia de Processos
O Cobit 5 possui 37 processos, agrupados em um dominio de governanca e quatro dominios de
gerenciamento. Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os
objetivos de governanca e gerenciamento sejam alcancados. Pequenas empresas poderao possuir menos
processos; organizacoes maiores e mais complexas podem ver muitos processos, todos cobrindo os mesmos
objetivos.

Sao eles:
Avaliar, Dirigir e Monitorar (EDM) - Este dominio lista as

responsabilidades da alta direcao para a avaliacao, direcionamento e

monitoracao do uso dos ativos de TI para a criacao de valor. Este dominio cobre
a definicao de um framework de governanca, o estabelecimento das responsabilidades em termos de valor
para a organizacao (ex. criterios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex.
otimizacao de recursos), alem da transparencia da TI para os stakeholders. Seus cinco processos sao:
EDM01 Assegurar o Estabelecimento e Manutencao do Framework de Governanca
EDM02 Assegurar a Entrega de Beneficios
EDM03 Assegurar a Otimizacao de Riscos
EDM04 Assegurar a Otimizacao de Recursos
EDM05 - Assegurar a Transparencia para as partes interessadas

Alinhar, Planejar e Organizar (APO)

Este dominio diz respeito a identificacao de como a TI pode
contribuir melhor com os objetivos de negocio. Processos especificos do dominio APO estao
relacionados com a estrategia e taticas de TI, arquitetura corporativa, inovacao e gerenciamento de
portfolio, orcamento, qualidade, riscos e seguranca. Seus 13 processos sao:
APO01 Gerenciar o Framework de Gestao de TI APO02 Gerenciar a Estrategia
APO03 Gerenciar a Arquitetura Corporativa APO04 Gerenciar a Inovacao
APO05 Gerenciar o Portfolio
APO06 Gerenciar Orcamento e Custos APO07 Gerenciar Recursos Humanos APO08 Gerenciar as
Relacoes
APO09 Gerenciar os Acordos de Servico APO10 Gerenciar os Fornecedores APO11 Gerenciar a
Qualidade
APO12 Gerenciar os Riscos
APO13 Gerenciar a Seguranca
Construir, Adquirir e Implementar (BAI) - torna a estrategia de TI concreta, identificando os requisitos
para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este dominio tambem
endereca o gerenciamento da disponibilidade e capacidade; mudanca organizacional; gerenciamento de
mudancas (TI); aceite e transicao; e gerenciamento de ativos, configuracao e conhecimento. Possui 10
processos, a saber:
BAI01 Gerenciar Programas e Projetos BAI02 Gerenciar a Definicao de Requisitos
BAI03 Gerenciar a Identificacao e Construcao de Solucoes BAI04 Gerenciar a Disponibilidade e
Capacidade
BAI05 Gerenciar a Implementacao de Mudanca Organizacional BAI06 Gerenciar Mudancas
BAI07 Gerenciar Aceitacao da Mudanca e Transicao BAI08 Gerenciar o Conhecimento
BAI09 Gerenciar os Ativos
BAI10 Gerenciar a Configuracao
Entregar, Servir e Suportar (DSS) - Este dominio se refere a entrega dos servicos de TI necessarios para
atender aos planos taticos e estrategicos. O dominio inclui processos para gerenciar operacoes, requisicoes de
servicos e
incidentes, assim como o gerenciamento de problemas, continuidade, servicos de seguranca e controle
de processos de negocio. Sao os seus seis processos:
DSS01 Gerenciar as Operacoes
DSS02 Gerenciar Requisicoes de Servico e Incidentes DSS03 Gerenciar Problemas
DSS04 Gerenciar a Continuidade
DSS05 Gerenciar Servicos de Seguranca
DSS06 Gerenciar os Controles de Processos de Negocio
Monitorar, Avaliar e Medir (MEA) - monitora o desempenho dos processos de TI, avaliando a
conformidade com os objetivos e com os requisitos externos. Contem 3 processos:

MEA01 Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 Monitorar, Avaliar e Medir
o Sistema de Controle Interno
MEA03 Monitorar, Avaliar e Medir a Conformidade com Requisitos

Modelo de capacidade do COBIT 5

O COBIT 5 apresenta um modelo para a avaliacao da capacidade dos processos de TI da organizacao,
baseado na norma internacionalmente reconhecida ISO/IEC 15504 de Engenharia de Software.

Existem seis niveis de capacidade que um processo pode alcancar, incluindo um processo incompleto
nivel 0, para processos que nao alcancam o seu proposito:
Nivel 0 - Processo Incompleto: o processo nao esta implementado ou nao atinge seu objetivo. Nesse nivel,
ha pouca ou nenhuma evidencia de realizacao sistematica do proposito do processo.
Nivel 1 - Processo Realizado: o processo esta implementado e atinge seu proposito.
Nivel 2 - Processo Gerenciado: o processo previamente descrito como realizado agora e implementado de
forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estao devidamente
estabelecidos, controlados e mantidos.
Nivel 3 - Processo Estabelecido: o processo previamente descrito como gerenciado agora e implementado
usando um processo definido que e capaz de alcancar os seus resultados de processo.
Nivel 4 - Processo Previsivel: o processo previamente descrito como estabelecido agora opera dentro de
limites definidos para alcancar seus resultados de processo.
Nivel 5 - Processo Em Otimizacao: o processo previamente descrito como previsivel e continuamente
melhorado para atender aos objetivos de negocio.

Para avaliar os atributos de processo, utiliza-se uma escala oriunda da ISO/IEC 15504, na qual:
N (nao alcancado): ha pouca ou nenhuma evidencia de realizacao do atributo de processo no processo
avaliado (0% a 15% de realizacao).
P (parcialmente alcancado): ha alguma evidencia de realizacao do atributo de processo no processo

avaliado. Alguns aspectos da realizacao do atributo podem ser imprevisiveis (15% a 50% de realizacao).
L (largamente alcancado): ha evidencia de uma realizacao significativa do atributo de processo no processo
avaliado. Algumas fraquezas relacionadas a este atributo podem existir no processo avaliado (50% a 85% de
realizacao).
F (totalmente alcancado): ha evidencia de uma realizacao completa do atributo de processo no processo
avaliado. Nao ha deficiencias significativas associadas a este atributo no processo avaliado (85% a 100% de
realizacao).

Eneablers

Principios

1- Principios, Politicas e Frameworks 1 - Atendendo as necessidades dos

Dominios de Governanca
Avaliar, Dirigir e Monitorar

stakeholders
2 - Processos

2- Cobrindo a empresa de ponta-a-ponta EDM01 Assegurar o

Estabelecimento e Manutencao do
Framework de Governanca

3 - Estruturas organizacionais

3- Aplicando um framework unico e

integrado

EDM02 Assegurar a Entrega de

Beneficios

4- Cultura, Etica e comportamaneto

4 -Possibilitando uma abordagem

holistica

EDM03 Assegurar a Otimizacao de

Riscos

5 - Informacao

5 - Separando a Governanca do
Gerenciamento

EDM04 Assegurar a Otimizacao de

Recursos

6 Servicos, infraestrutura e
aplicativos

EDM05 - Assegurar a Transparencia

para as partes interessadas

7- Pessoas, habilidades e
competencias

Dominios de Gestao
Alinhar, Planejar e
Organizar (APO)

Construir, Adquirir e
Implementar (BAI)

Entregar, Servir e
Suportar (DSS)

Monitorar, Avaliar e
Medir (MEA)

APO01 Gerenciar o
BAI01 Gerenciar
Framework de Gestao de Programas e Projetos
TI

DSS01 Gerenciar as
Operacoes

MEA01 Monitorar,
Avaliar e Medir o
Desempenho e
Conformidade

APO02 Gerenciar a
Estrategia

BAI02 Gerenciar a
Definicao de Requisitos

DSS02 Gerenciar
MEA02 Monitorar,
Requisicoes de Servico e Avaliar e Medir o
Incidentes
Sistema de Controle
Interno

APO03 Gerenciar a
Arquitetura Corporativa

BAI03 Gerenciar a
Identificacao e
Construcao de Solucoes

DSS03 Gerenciar
Problemas

MEA03 Monitorar,
Avaliar e Medir a
Conformidade com
Requisitos
Externos

APO04 Gerenciar a
Inovacao

BAI04 Gerenciar a
Disponibilidade e
Capacidade

DSS04 Gerenciar a
Continuidade

APO05 Gerenciar o

BAI05 Gerenciar a

DSS05 Gerenciar

Portfolio

Implementacao de
Servicos de Seguranca
Mudanca Organizacional

APO06 Gerenciar
Orcamento e Custos

BAI06 Gerenciar
Mudancas

APO07 Gerenciar
Recursos Humanos

BAI07 Gerenciar
Aceitacao da Mudanca e
Transicao

APO08 Gerenciar as
Relacoes

BAI08 Gerenciar o
Conhecimento

APO09 Gerenciar os
Acordos de Servico

BAI09 Gerenciar os
Ativos

APO10 Gerenciar os
Fornecedores

BAI10 Gerenciar a
Configuracao

DSS06 Gerenciar os
Controles de Processos
de Negocio

APO11 Gerenciar a
Qualidade
APO12 Gerenciar os
Riscos
APO13 Gerenciar a
Seguranca

Modelo de Capacidade - ISO/IEC 15504 de Engenharia de Software

Nivel 0

Nivel 1

Processo
Incompleto

Processo
Realizado

o processo nao
esta
implementado ou
nao atinge seu
objetivo.
Nesse
nivel, ha pouca ou
nenhuma
evidencia
de
realizacao
sistematica
do
proposito
do
processo.

o
processo
esta
implementad
o e atinge seu
proposito.

Nivel 2
Processo
Gerenciado

o
processo
previamente
descrito como
realizado
agora
e
implementado
de
forma
gerenciada
(planejado,
monitorado e
ajustado)
e
seus produtos
de
trabalho
estao
devidamente
estabelecidos,
controlados e
mantidos.

Nivel 3
Processo
Estabelecido

o
processo
previamente
descrito
como
gerenciado agora
e implementado
usando
um
processo
definido que e
capaz
de
alcancar os seus
resultados
de
processo.

Nivel 4 Processo
Previsivel

o
processo
previamente
descrito
como
estabelecido agora
opera dentro de
limites
definidos
para alcancar seus
resultados
de
processo.

Nivel 5
Processo Em
Otimizacao

o
processo
previamente descrito
como previsivel e
continuamente
melhorado
para
atender aos objetivos
de negocio.