Escolar Documentos
Profissional Documentos
Cultura Documentos
IMPLEMENTAO
ISACA
Com 95.000 membros em 160 pases, a ISACA (www.isaca.org) lder global no fornecimento de informaes,
certificaes, padres, apoio e experincia para a garantia e segurana relacionadas a sistemas de informao (SI),
governana corporativa e gesto da Tecnologia da Informao (TI), alm de conformidade e riscos a ela relacionados.
Fundada em 1969, sem fins lucrativos, a ISACA acolhe conferncias internacionais independentes, publica o ISACA
Journal e desenvolve padres internacionais para auditoria e controle de SI que ajudam seus membros a garantir a
confiana e o valor dos sistemas de informao. Tambm promove e certifica os seguintes conhecimentos e habilidades de
ponta a ponta em TI que so mundialmente respeitadas Certified Information Systems Auditor (CISA), Certified
Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) e Certified in Risk
and Information Systems Control (CRISC). A ISACA atualiza continuamente o COBIT, o que ajuda os
profissionais de TI e os lderes organizacionais a cumprirem suas responsabilidades de gesto e governana de TI,
especialmente nas reas de garantia, segurana, risco e controle, e entrega de valor para o negcio.
Declarao de Qualidade
Esta obra foi traduzida da verso em Ingls do COBIT 5 Implementation para o Portugus Brasileiro com a colaborao
dos captulos de Braslia e Rio de Janeiro sob coordenao do ISACA Captulo So Paulo detentor da permisso legal
outorgada pela ISACA. O ISACA Captulo So Paulo assume total responsabilidade pela preciso e fidelidade da traduo.
Quality Statement
This Work is translated into Brazilian Portuguese from the English language version of COBIT 5 Implementation by the
ISACA Sao Paulo Chapter with the permission of ISACA. The ISACA Sao Paulo Chapter assumes sole
responsibility for the accuracy and faithfulness of the translation.
Aviso Legal
A ISACA desenvolveu esta publicao, o COBIT 5 Implementation (a Obra), essencialmente como um recurso
educacional para profissionais de Governana Corporativa de TI (GEIT), garantia, risco e segurana. A ISACA no afirma
que o uso de qualquer parte da Obra garantir um resultado bem-sucedido. A Obra no deve ser considerada como
contendo todas as informaes, procedimentos e testes adequados ou exclusiva de outras informaes, procedimentos e
testes que sejam voltados obteno dos mesmos resultados. Ao determinar a adequao de qualquer informao,
procedimento ou teste especfico, os leitores devero aplicar seu prprio julgamento profissional s circunstncias
especficas de GEIT, garantia, risco e segurana apresentados pelos sistemas ou ambientes de tecnologia da informao
particulares.
Disclaimer
ISACA has designed this publication, COBIT5 Implementation (the Work), primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of
the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the
same results. In determining the propriety of any specific information, procedure or test, readers should apply their own
professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the particular
systems or information technology environment.
Direitos de Uso
2012 ISACA. Todos os direitos reservados. Para orientaes de uso, vide www.isaca.org/COBITuse.
Copyright
2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Tel: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Websit e: www.isaca.org
2
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Feedback: www.isaca.org/cobit
Participe do ISACA Knowledge Center: www.isaca.org/knowledge-center
Siga a ISACA no Twitter: https://twitter.com/ISACANews
Junte-se discusso do COBIT no Twitter: #COBIT
Junte-se ISACA no LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Curta a ISACA no Facebook: www.facebook.com/ISACAHQ
COBIT 5 Implementation
ISBN 978-1-60420-292-2
3
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginaintencionalmentedeixadaembranco
4
Personal Copy of: Mr. Wanderley Martins Junior
RECONHECIMENTOS
RECONHECIMENTOS
AISACAgostariadereconhecer:
Fora Tarefa COBIT 5 (20092011)
John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, EUA, Co-presidente
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., Reino
Unido, Co-presidente
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Austrlia
Elisabeth Judit Antonsson, CISM, Nordea Bank, Sucia
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Steven De Haes, Ph.D., University of Antwerp Management School, Blgica
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Austrlia
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, ustria
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, EUA
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, Holanda
Vernon Richard Poole, CISM, CGEIT, Sapphire, Reino Unido
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, ndia
Equipe de Desenvolvimento
Gert du Preez, CGEIT, PwC, Canad
Gary Hardy, CGEIT, IT Winners, frica do Sul
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Blgica
Revisores Especialistas
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, EUA
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Blgica
Christophe Burtin, CISA, ITIL LA 27001, Strategy and Governance, Luxemburgo
Ben Farhangui, Atos Worldline, Blgica
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, EUA
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
John Manzini, ITIL, Denel Aviation, frica do Sul
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colmbia
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, frica do Sul
Martin Rosenberg, Ph.D., Cloud Governance Ltd., Reino Unido
Claus Rosenquist, CISA, CISSP, Nets Holding, Dinamarca
Michael Shortt, CISA, CGEIT, Governance Realm IT, frica do Sul
Ant Smith, Ph.D., JD Group, frica do Sul
Greet Volders, CGEIT, Voquals N.V., Blgica
Charl Weitz, CISA, Metropolitan, frica do Sul
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, frica do Sul
Conselho de Administrao da ISACA
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Presidente Internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grcia, Vice-Presidente
Gregory T. Grocholski, CISA, The Dow Chemical Co., EUA, Vice-Presidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrlia, Vice-Presidente
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., ndia, Vice-Presidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., EUA, Vice-Presidente
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia, Vice-Presidente
Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (aposentado), EUA, Ex-Presidente Internacional
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Rssia, Ex-Presidente Internacional
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, Reino Unido, Diretor
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Diretor
5
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Reconhecimentos(Cont)
Conselho de Conhecimento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Presidente
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, EUA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Cingapura
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, EUA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (aposentado), Canad
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana
Comit do Modelo (2009-2012)
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana, Presidente
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management, Blgica,
Ex-Vice-Presidente
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Sushil Chatterji, CGEIT, Edutech Enterprises, Cingapura
Sergio Fleginsky, CISA, Akzo Nobel, Uruguai
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, EUA
Mario C. Micallef, CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, EUA
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstIS, Ravenswood Consultants Ltd., Reino
Unido
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (aposentado), Canad
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Sua
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia
Robert E. Stroud, CGEIT, CA Inc., EUA
Afiliados e Patrocinadores da ISACA e do IT Governance Institute (ITGI)
American Institute of Certified Public Accountants
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institute of Management Accountants Inc.
Captulos da ISACA
. ITGI Frana
. ITGI Japo
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
Enterprise GRC Solutions Inc.
Hewlett-Packard
IBM
Symantec Corp.
Reconhecimento da traduo para a lngua portuguesa
Coordenao
Jose Luis Diniz, CGEIT, ITIL Expert, DNZ Consultoria - Captulo So Paulo
Edson Kowask, CRISC, Rede Nacional de Ensino e Pesquisa (RNP) Capitulo Braslia
Voluntrios
Alessandro Manotti, CISM, CISA, Ita Unibanco
Alexandre Rodrigues da Silva, CISA, Ford Motor Company
Bruno Domingos Rodrigues, ITIL Expert, PMP, ISO 20000, COBIT 5, Val IT Treinamento e Consultoria Empresarial
Bruno Henrique Montenegro Ferreira, COBIT 5 Foundation & Implementation, Ministrio Pblico de Pernambuco
Eberson de Almeida Campos, MBA, CGEIT, COBIT, ITIL, Bradesco S/A
Edson Kowask, CRISC, Rede Nacional de Ensino e Pesquisa (RNP)
Eduardo Filho, COBIT 4.1, ISO 27000 LA, ITIL V3, Sonda IT
6
Personal Copy of: Mr. Wanderley Martins Junior
RECONHECIMENTOS
Eduardo Massaru Kono, CISA, COBIT, MBA, Volkswagen Servios Financeiros
Fabio Justo Hildebrand, CISA, CISSP, CISM, CGEIT, Ace Group
Jose Alex Belarmino, COBIT, ITIL, SOA/PPO/RCV/OSA, OCEB, Hewlett-Packard, FAESA
Juliano Augusto Martins de Oliveira, CISA, CISM, COBIT Fundation e ITIL Fundation, Serasa Experian
Julio Graziano Pontes, CISM, CISSP, CCSK, QSA, ISO 27000 LA, FireMon LLC
Leandro Pfeifer Macedo, CRISC, ITSM, MCSO, Lpfeifer Ltda.
Marcelo Silva Cunha, MSc, Prodasen
Marcus Garcia de Almeira, Mestre em Cincia, Gesto e TI; Ps Graduao em Gesto do Conhecimento; Doutorado em
Educao, PROFISSIONAIS.COM, Lume Tecnologia, Futuro Eventos
Monica Keiko Kosaka, Segurana da Informao, Tokio Marine Seguradora S/A
Nathlia Galhego, COBIT 4.1,ISO 27001 LA, Teleperformance
Nestor N. de Albuquerque, MsC, Processware
Paulo Keglevich, MSc, CSM, PMP, PBA ITILv3, CGEIT, COBIT5, MSP, P3O e PRINCE2, KSC Projetos & Solues
Rosvelt S. Santos, CGEIT, TOTVS
7
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
8
Personal Copy of: Mr. Wanderley Martins Junior
NDICE
NDICE
Captulo 1 Introduo .........................................................................................................................................................13
Objetivos e Escopo do Guia ...............................................................................................................................................14
Captulo 2 Posicionando a GEIT .......................................................................................................................................17
Entendimento do Contexto .................................................................................................................................................17
O que a GEIT? .............................................................................................................................................................17
Por que a GEIT to importante? ..................................................................................................................................17
O que a GEIT Deve Proporcionar? ................................................................................................................................18
Potencializao do COBIT 5 e Integrao de Modelos, Padres e Boas Prticas ..............................................................19
Princpios e Habilitadores ..............................................................................................................................................19
captulo 3 Primeiros Passos em Direo GEIT ..............................................................................................................21
Criao do Ambiente Adequado ........................................................................................................................................21
Aplicao da Abordagem de Ciclo de Vida de Melhoria Contnua ...................................................................................22
1 Fase - Quais So os Direcionadores? .........................................................................................................................24
2 Fase - Onde Estamos Agora? .....................................................................................................................................24
3 Fase - Onde Queremos Chegar? .................................................................................................................................24
4 Fase - O Que Deve Ser Feito? ....................................................................................................................................24
5 Fase - Como Chegamos L? ......................................................................................................................................24
6 Fase - J Chegamos L? .............................................................................................................................................24
7 Fase - Como Mantemos Essa Dinmica? ...................................................................................................................24
Primeiros Passos - Identificar a Necessidade de Agir: Reconhecer Dificuldades e Eventos Desencadeadores .................25
Dificuldades Mais Comuns ............................................................................................................................................25
Eventos Desencadeadores nos Ambientes Internos e Externos......................................................................................26
Envolvimento das partes interessadas ............................................................................................................................27
Reconhecimento dos Papis e Requisitos das Partes Interessadas .....................................................................................28
Partes Interessadas Internas............................................................................................................................................28
Partes Interessadas Externas...........................................................................................................................................30
Avaliao Independente e o Papel dos Auditores ..........................................................................................................30
Captulo 4 Identificao dos Desafios e Fatores de Sucesso da Implementao ............................................................31
Criao do Ambiente Adequado ........................................................................................................................................31
1 Fase - Quais So os Direcionadores? .........................................................................................................................31
2 Fase - Onde Estamos Agora? e 3 Fase - Onde Queremos Chegar? ...........................................................................32
4 Fase - O Que Deve Ser Feito? ....................................................................................................................................34
5 Fase - Como Chegamos L? ......................................................................................................................................35
6 Fase - J Chegamos L? e 7 Fase - Como Mantemos Essa Dinmica?.....................................................................37
Captulo 5 Habilitando a Mudana ...................................................................................................................................39
A Necessidade de Habilitao para a Mudana .................................................................................................................39
Habilitao da Mudana da Implementao da GEIT ....................................................................................................40
As Fases do Ciclo de Vida de Habilitao da Mudana Criam o Ambiente Adequado .....................................................40
1 Fase - Estabelecendo o Desejo de Mudana ..............................................................................................................41
2 Fase - Formar uma Equipe de Implementao Efetiva...............................................................................................41
3 Fase - Comunicar a Viso Desejada ...........................................................................................................................41
4 Fase - Capacitar Especialistas e Identificar Resultados Rpidos................................................................................41
5 Fase - Facilitar a Operao e o Uso............................................................................................................................42
6 Fase - Incorporar Novas Abordagens .........................................................................................................................42
7 Fase - Manter .............................................................................................................................................................42
Captulo 6 Atividades, papis e responsabilidades do clico de vida da implementao .................................................43
Introduo ..........................................................................................................................................................................43
1 Fase - Quais So os Direcionadores? .........................................................................................................................43
2 Fase - Onde Estamos Agora? .....................................................................................................................................46
3 Fase - Onde Queremos Chegar? .................................................................................................................................49
4 Fase - O Que Necessita Ser Feito? .............................................................................................................................52
5 Fase - Como Chegamos l? ........................................................................................................................................55
6 Fase -J Chegamos L? ..............................................................................................................................................58
7 Fase - Como Mantemos a Dinmica? ........................................................................................................................60
Captulo 7 Uso os Componentes do Cobit 5 ......................................................................................................................63
9
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Consideraes sobre Transio para Usurios do COBIT 4.1, Val IT e Risk IT ...............................................................63
Planejamento e Escopo ......................................................................................................................................................65
Controle de Desempenho ...............................................................................................................................................66
Prticas e Atividades de Governana e Gesto ..............................................................................................................66
Papis e Responsabilidades ............................................................................................................................................66
Apndice A Mapeamento de Dificuldades (Pain Points) em Processos do Cobit 5........................................................67
Apndice B Exemplo de Matriz de Deciso ......................................................................................................................69
Apndice C Mapeamento de Exemplos de Cenrios de Risco em Processos do Cobit 5 ...............................................73
Apndice D Exemplo de Caso de negcio ..........................................................................................................................79
Sumrio Executivo .............................................................................................................................................................79
Referncia (Ver Captulo 2. Posicionamento GEIT) ..........................................................................................................80
Desafios de Negcio (Ver Captulo 3. Primeiros Passos - Identificar a Necessidade de Agir: Reconhecer Pontos Fracos e
Eventos Desencadeadores) .................................................................................................................................................80
Anlise de Lacunas (Gap) e Objetivos ...........................................................................................................................81
Alternativas Consideradas ..............................................................................................................................................81
Soluo Proposta ................................................................................................................................................................81
1 Fase. Pr-planejamento (Ver Captulo 3. Primeiros Passos em Direo a GEIT) ......................................................81
2 Fase. Implementao do Programa (Ver Captulo 3. Aplicao da Abordagem do Ciclo de Vida de Melhoria
Contnua)........................................................................................................................................................................82
Escopo do Programa ......................................................................................................................................................82
Metodologia e Alinhamento do Programa (Ver Captulo 6. Tarefas, papis e Responsabilidades do Ciclo de Vida da
Implementao) ..............................................................................................................................................................82
Entregveis do Programa (Ver Captulo 6. Tarefas, Papis e Responsabilidades do Ciclo de Vida da Implementao)
........................................................................................................................................................................................82
Riscos do Programa (Ver Captulo 5. Capacitao da Mudana) ..................................................................................83
Participantes (Ver Captulo 3. Reconhecimento das Papis e Responsabilidades dos Participantes) ............................83
Anlise de Custo-Benefcio ............................................................................................................................................83
Desafios e Fatores de Sucesso (Ver Captulo 4. Identificao dos Desafios e Fatores de Sucesso da Implementao) 84
Apndice E Tabela de Atributos de Maturidade do COBIT 4 ........................................................................................87
10
Personal Copy of: Mr. Wanderley Martins Junior
LISTA DE FIGURAS
LISTA DE FIGURAS
Figura 1 - Famlia de Produtos COBIT 5 ...............................................................................................................................13
Figura 2- Princpios do COBIT 5 ...........................................................................................................................................19
Figura 3 - Papis na Criao do Ambiente Adequado............................................................................................................22
Figura 4 - Tabela RACI de Criao do Ambiente Adequado .................................................................................................22
Figura 5 - Componentes do Ciclo de Vida .............................................................................................................................23
Figura 6 - 7 Fases de Implementao do Ciclo de Vida .........................................................................................................23
Figura 7 - Viso Geral das Partes Interessadas Internas de GEIT ..........................................................................................28
Figura 8 - Exemplos de Participantes Externos GEIT............................................................................................................30
Figura 9 - 1 Fase - Quais So os Direcionadores? ................................................................................................................31
Figura 10 - 2 Fase - Onde Estamos Agora? e 3 Fase - Onde Queremos Chegar? ................................................................33
Figura 11 - 4 Fase - O Que Deve Ser Feito? .........................................................................................................................34
Figura 12 - 5 Fase - Como Chegamos L? ............................................................................................................................35
Figura 13 - 6 Fase - J Chegamos L? e 7 Fase - Como Mantemos Essa Dinmica? ..........................................................37
Figura 14 - 7 Fases do Ciclo de Vida da Implementao .......................................................................................................40
Figura 15 - Fase 1 do da Melhoria Continua do Ciclo de Vida ..............................................................................................43
Figura 16 - Papis na 1 Fase .................................................................................................................................................44
Figura 17 - Descrio da 1 Fase ............................................................................................................................................44
Figura 18 - Tabela RACI da 1 Fase.......................................................................................................................................45
Figura 19 - 2 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................46
Figura 20 - Papis na 2 Fase ................................................................................................................................................46
Figura 21 - Descrio da 2 Fase ............................................................................................................................................46
Figura 22 - Tabela RACI da 2 Fase.......................................................................................................................................49
Figura 23 - 3 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................49
Figura 24 - Papis na 3 Fase .................................................................................................................................................49
Figura 25 - Descrio da 3 Fase ............................................................................................................................................50
Figura 26 - Tabela RACI da Fase 3 ........................................................................................................................................52
Figura 27 - 4 Fase do Ciclo de Vida......................................................................................................................................52
Figura 28 - Papis na 1 Fase .................................................................................................................................................53
Figura 29 - Descrio da 4 Fase ............................................................................................................................................53
Figura 30 - Tabela RACI da 4 Fase.......................................................................................................................................55
Figura 31 - 5 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................55
Figura 32 Papis da Fase 5 .................................................................................................................................................56
Figura 33 - Descrio da 5 Fase ............................................................................................................................................56
Figura 34 - Tabela RACI da 5 Fase.......................................................................................................................................57
Figura 35 - 6 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................58
Figura 36 - Papis na 6 Fase .................................................................................................................................................58
Figura 37 - Descrio da 5 Fase ............................................................................................................................................59
Figura 38 - Tabela RACI da 6 Fase.......................................................................................................................................60
Figura 39 - 7 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................60
Figura 40 Papis da Fase 7 .................................................................................................................................................61
Figura 41 - Descrio da 7 Fase ............................................................................................................................................61
Figura 42 Tabela RACI da 7 Fase ......................................................................................................................................62
Figura 43 - Princpios do COBIT 5 ........................................................................................................................................63
Figura 44 - Modelo de Referncia de Processo do COBIT 5 .................................................................................................67
Figura 45 Mapeamento de Dificuldades em Processos do COBIT 5 ..................................................................................68
Figura 46 - Exemplo de Matriz de Deciso ............................................................................................................................69
Figura 47 - Cenrios de Risco e Capacidades de Processo do COBIT 5................................................................................73
Figura 48 Desafios e Aes Planejadas da Acme Corporation ...........................................................................................84
Figura 49 Tabela de Maturidade do COBIT 4.1..................................................................................................................87
11
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
12
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 1
INTRODUO
CAPTULO 1
INTRODUO
O COBIT 5 Implementao complementa o COBIT 5 (figura 1). O objetivo deste guia de referncia fornecer uma
abordagem de boas prticas para implementao da Governana Corporativa de TI (Governance of Enterprise IT - GEIT)
com base em um ciclo de vida de melhoria contnua que deve ser adaptado para atender s necessidades especficas da
organizao.
Figura1FamliadeProdutosCOBIT5
O modelo do COBIT 5 baseia-se em cinco princpios bsicos, que so cobertos em detalhe, e inclui ampla orientao sobre
os habilitadores para a Governana e Gesto Corporativa de TI.
A famlia de produtos COBIT 5 inclui os seguintes produtos:
. COBIT 5 (o modelo)
. Guias habilitadores do COBIT 5, onde os habilitadores de governana e gesto so discutidos em detalhe. Estes incluem:
COBIT 5: Habilitando Processos
COBIT 5: Habilitando Informaes
Outros guias habilitadores (vide www.isaca.org/cobit)
. Guias profissionais do COBIT 5, que incluem:
COBIT 5 Implementao
COBIT 5 para Segurana da Informao
COBIT 5 para Garantia (Assurance)
COBIT 5 para Risco
Outros guias profissionais (vide www.isaca.org/cobit)
. Um ambiente colaborativo on-line, que estar disponvel para apoiar o uso do COBIT 5
13
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
parte cada vez maior de cada aspecto do negcio e da vida pblica, a necessidade de gerar maior valor a partir dos
investimentos em TI e gerenciar a crescente variedade de riscos de TI nunca foi to grande. O aumento da regulao
tambm est gerando uma maior conscientizao entre os conselhos de administrao em relao importncia de um
ambiente de TI bem controlado e a necessidade de cumprimento das obrigaes legais, regulamentares e contratuais
A governana corporativa da TI efetiva resultar em melhor desempenho da organizao, bem como o cumprimento das
exigncias externas, mas o sucesso da implementao ainda permanece ilusrio para muitas organizaes. A governana
corporativa da TI efetiva exige uma srie de habilitadores com papis, responsabilidades e obrigaes que se encaixem no
estilo e nas normas operacionais da organizao. Isto inclui cultura e comportamento apropriados, princpios de orientao
e polticas, estruturas organizacionais, processos de governana e gesto bem definidos e administrados, e informao
necessria para apoiar a tomada de deciso, solues e servios de apoio alm das habilidades apropriadas de governana e
gesto.
AmelhoriadaGovernana
CorporativadeTI(GEIT)
amplamentereconhecida
pelaaltaadministrao
comoumaparteessencialda
governanacorporativa.
ObjetivoseEscopodoGuia
No COBIT 5 Implementao, a nfase sobre a viso de toda a organizao em relao governana de TI. Este guia e o
COBIT 5 reconhecem que a informao e as tecnologias da informao so pervasivas nas organizaes e que no
possvel e nem seria uma boa prtica separar os negcios das atividades relacionadas TI. A governana e gesto
corporativa de TI devem, portanto, ser executadas como parte integrante da governana corporativa, cobrindo o negcio de
ponta a ponta, bem como as reas funcionais sob responsabilidade da TI.
Este guia tambm apoiado por um kit de ferramentas de implementao que contm uma variedade de recursos que sero
continuamente aprimorados e disponibilizados como download para os membros da ISACA em: www.isaca.org/cobit. Seu
contedo inclui:
ImplementaesGEITdevemser
gerenciadascomoprogramas
patrocinadospelagerncia
executiva,adequadamente
delimitadosecomobjetivos
atingveisdefinidos.
Este guia no pretende ser uma abordagem prescritiva, nem uma soluo completa, mas sim um guia para evitar as
armadilhas, difundir as boas prticas mais recentes e auxiliar na criao de resultados de sucesso de governana e gesto ao
14
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 1
INTRODUO
longo do tempo. Cada organizao aplicar seu prprio plano ou guia de implementao especfico, dependendo,
obviamente, de fatores tais como seu setor e ambiente de negcios bem como de sua cultura e objetivos. Igualmente
importante ser o atual ponto de partida. Poucas organizaes no tero modelos de GEIT ou processos em seu ambiente,
ainda que no sejam atualmente reconhecidas dessa forma. Assim, a nfase deve basear-se naquilo que a organizao j
adotou, especialmente aproveitando as atuais abordagens de sucesso em nvel corporativo que possam ser adotadas e, se
necessrio, adaptadas para TI em vez de reinventar algo diferente. Alm disso, as melhorias anteriores obtidas com o uso
do COBIT 4.1 ou outros padres e boas prticas no precisam ser reformuladas, mas podem, e devem basear-se no uso do
COBIT 5 e neste guia atualizado como parte permanente da melhoria contnua.
Ser benfico para os usurios deste guia a familiarizao com a GEIT como um tema e para a equipe de implementao
obter o conhecimento especializado necessrio para implementar GEIT com sucesso usando o COBIT 5. A realizao de
programas educacionais relacionados permitir o entendimento adequado dos conceitos do COBIT 5, como utilizar seus
componentes e como aplicar este mtodo de implementao, bem como outras orientaes correlatas fornecidas pela
ISACA, inclusive avaliao da capacidade do processo e atividades de garantia baseadas no COBIT 5. O programa de
Certificao em Governana Corporativa de TI (Certified in the Governance of Enterprise IT - CGEIT) da ISACA tambm
apoia o desenvolvimento e o reconhecimento das habilidades e competncia de governana de TI.
O COBIT 5 pode ser obtido livremente a partir do website: www.isaca.org/cobit. Um link para os produtos ISACA
disponveis para apoiar a implementao tambm foi disponibilizado nesta pgina.
Este guia reflete o melhor entendimento e experincias prticas das implementaes GEIT, lies aprendidas ao aplicar e
usar verses anteriores, bem como as atualizaes feitas na orientao de GEIT da ISACA. Visto que TI um tema em
constante transformao, os usurios deste guia tambm devem se manter informados sobre as publicaes profissionais da
ISACA bem como os padres e melhores prticas de outras organizaes que possam ser lanados periodicamente para
abordar os novos temas emergentes.
15
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginaintencionalmentedeixadaembranco
16
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 2
POSICIONANDO A GEIT
CAPTULO 2
POSICIONANDO A GEIT
EntendimentodoContexto
A Governana Corporativa de TI (GEIT) no ocorre no vcuo. A implementao ocorre em diferentes condies e
circunstncias que so determinadas por diversos fatores nos ambientes interno e externo, tais como:
OqueaGEIT?
Os termos governana, governana corporativa e GEIT podem ter significados diferentes para muitas pessoas e
organizaes dependendo (entre outras coisas) do contexto organizacional, por exemplo, maturidade, setor e ambiente
regulatrio ou o contexto individual, por exemplo, cargo, formao e experincia. Para fornecer uma base para o resto
deste guia, forneceremos explicaes nesta seo, mas deve-se reconhecer que haver pontos de vista diferentes. A melhor
abordagem basear-se em e aprimorar as atuais abordagens de modo a incluir TI em vez de desenvolver uma nova
abordagem apenas para TI.
Governana derivada do verbo grego kuberno que significa orientar. Um sistema de governana permite que
diversos participantes de uma organizao tenham uma opinio organizada na avaliao das condies e opes, definio
da orientao e controle do desempenho em comparao com os objetivos corporativos. Definir e manter a abordagem
adequada de governana uma responsabilidade do conselho de administrao ou rgo equivalente.
O COBIT 5 define a governana como:
A governana garante que as necessidades, condies e opes das partes interessadas sejam avaliadas a fim de
determinar os objetivos corporativos equilibrados e consensuais a serem alcanados; define a orientao e a tomada de
deciso; e monitora o desempenho e a conformidade em relao aos objetivos definidos.
GEIT no uma disciplina isolada, mas parte integrante da governana corporativa. Embora a necessidade de governana
em um nvel organizacional seja orientada principalmente pela criao de valor para a parte interessada e demanda
transparncia e gesto eficaz do risco da organizao, as oportunidades significativas, custos e riscos associados TI
requerem um dedicado, porm integrado, foco em GEIT. GEIT permite que a organizao tire o mximo proveito de TI,
maximize os benefcios, capitalize as oportunidades e obtenha vantagem competitiva.
PorqueaGEITtoimportante?
No mundo todo, as organizaes - sejam pblicas ou privadas, grandes ou pequenas - cada vez mais entendem que a
informao um recurso essencial e que TI um ativo estratgico e importante contribuinte para o sucesso.
TI pode ser um recurso importante para ajudar as organizaes a atingir seus objetivos mais importantes. Para
exemplificar, TI pode representar o principal fator de reduo de custos para grandes operaes tais como fuses,
aquisies e alienaes. TI pode permitir a automao dos principais processos, tais como a cadeia de abastecimento, e
pode ser o alicerce para novas estratgias de negcios ou modelos de negcios, aumentando assim a competitividade e
permitindo a inovao, como, por exemplo, a entrega digital de produtos (ex: msica vendida e entregue on-line). TI pode
permitir maior familiaridade do cliente, por exemplo, por coleta e minerao de dados em diversos sistemas e fornecendo
uma viso dos clientes em 360 graus. TI constitui a base da economia em rede atingindo quaisquer localizaes
geogrficas e silos organizacionais para fornecer maneiras novas e inovadoras de criao de valor. A maioria das
organizaes reconhece a informao e o uso de TI como ativos crticos que devem ser gerenciados adequadamente.
Embora TI tenha potencial para a transformao do negcio, ela, frequentemente, representa um investimento bastante
significativo. Em muitos casos, o real custo de TI no transparente e os oramentos so espalhados pelas unidades de
negcios, funes e reas geogrficas sem superviso geral. A maior parte das despesas geralmente dedicada para
17
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
iniciativas de manuteno das operaes (custos operacionais e de manuteno ps-implementao) ao contrrio das
iniciativas para a inovao ou transformao. Quando os recursos so gastos em iniciativas estratgicas, eles geralmente
no produzem os resultados esperados. Muitas organizaes ainda no conseguem demonstrar de forma concreta e
palpvel o valor gerado para o negcio atravs de investimentos relacionados a TI e esto se concentrando em GEIT como
um mecanismo para tratar esta situao.
Alm disso, a economia em rede apresenta um espectro de risco de TI, como a
indisponibilidade de sistemas de negcios voltados para o cliente, divulgao de
dados de clientes ou dados confidenciais perdidos devido a uma arquitetura de
TI inflexvel. A necessidade de gerenciar esses e outros tipos de riscos
relacionados TI outro direcionador para a melhoria da GEIT.
AltimapesquisasobreGEIT
revelouumasriede
resultadospositivosdeTIe
denegciosdecorrentesdas
prticasdeGEIT.
. 46% dos entrevistados estavam planejando grandes implementaes ou atualizaes dos sistemas de TI
. 45% estavam planejando iniciativas relacionadas a dados ou informaes
Esses so exemplos de iniciativas que geralmente tm complexos ambientes de partes interessadas (diversas partes
interessadas de diferentes unidades de negcios e TI) que refora a necessidade de habilitadores adequados de GEIT.
Alm disso, a pesquisa sobre GEIT revelou uma srie de resultados positivos de TI e de negcios decorrentes das prticas
de GEIT.
. Aproximadamente 47% dos entrevistados ainda pode aumentar significativamente a maturidade de sua GEIT.
. Embora apenas cerca de 5% dos entrevistados tenham indicado que no consideram a GEIT importante, 23%
responderam que esto apenas comeando a avaliar o que deve ser feito.
. Realizao dos benefcios - Criar mais valor para a organizao por meio de TI, manter e aumentar o valor derivado dos
atuais investimentos em TI, e eliminar ativos e iniciativas de TI que no esto criando o valor esperado pela organizao.
Os princpios bsicos de valor de TI so a prestao de servios e solues adequadas a finalidades especficas, dentro do
prazo e do oramento, e a gerao de benefcios financeiros e no financeiros que foram previstos. O valor criado por TI
deve estar diretamente alinhado aos valores em que o negcio estiver concentrado e medido de tal forma a mostrar com
transparncia os impactos e a contribuio dos investimentos habilitados por TI no processo de criao de valor da
organizao.
. Otimizao de riscos -Avaliar o risco do negcio associado ao uso, responsabilidade, operao, envolvimento, influncia
e adoo de TI na organizao. O risco do negcio relacionado TI inclui eventos de TI que poderiam afetar o negcio.
1
ITGI, Global Status Report on the Governance of Enterprise IT (GEIT), EUA, 2011
18
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 2
POSICIONANDO A GEIT
Enquanto a entrega de valor concentra-se na criao de valor, a gesto de risco concentra-se na preservao do valor. A
gesto do risco de TI deve ser integrada abordagem de gesto de risco da organizao para garantir um foco em TI pela
organizao e ser medida de tal forma a demonstrar com transparncia os impactos e a contribuio da otimizao do
risco do negcio relacionado TI na preservao do valor.
. Otimizao de recursos - Garantir que as capacidades adequadas sejam adotadas para execuo do plano estratgico e
que os recursos suficientes, apropriados e eficientes sejam fornecidos. A otimizao de recursos garante que uma
infraestrutura de TI integrada e econmica seja fornecida, nova tecnologia seja introduzida conforme exigido pelo
negcio e os sistemas obsoletos sejam atualizados ou substitudos. Tambm reconhece a importncia das pessoas, alm
do hardware e software, e, portanto, concentra-se em fornecer treinamento, promovendo a reteno e garantindo a
competncia das pessoas chaves da TI.
Alinhamento estratgico e medio do desempenho tambm so importantes e aplicveis de modo geral a todas as
atividades para assegurar que os objetivos de TI estejam alinhados aos objetivos corporativos.
PotencializaodoCOBIT5eIntegraodeModelos,PadreseBoasPrticas
O Conselho de Administrao deve impor a adoo e adaptao de um modelo
GEIT tal como o COBIT 5 como parte integrante da governana corporativa. O
modelo define a abordagem geral e posteriormente a orientao fornecida por
normas especficas e boas prticas podem ser utilizadas na elaborao de
polticas especficas, processos, prticas e procedimentos. Ao trabalhar dentro de
uma modelo e alavancar boas prticas, os processos de governana adequados e
demais habilitadores podem ser desenvolvidos e otimizados de modo que a
GEIT opere eficientemente como parte da prtica normal das atividades
estabelecendo uma cultura de apoio demonstrada pela alta administrao. O
alinhamento com o COBIT deve resultar tambm em auditorias externas mais
rpidas e eficientes visto que o COBIT amplamente aceito como base para os
procedimentos de auditoria de TI.
OConselhode
Administraodeveimpora
adoodeummodeloGEIT
comoparteintegranteda
governanacorporativa.
O modelo e os habilitadores resultantes devem estar alinhados e em harmonia com (entre outros):
. Aumento na criao de valor com o uso de TI; satisfao do usurio com a participao e servios de TI; reduo do risco
de TI; alm de conformidade com as leis, regulamentos e exigncias contratuais
Figura2PrincpiosdoCOBIT5
19
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Os habilitadores que devem ser considerados para ajudar a promover a realizao dos objetivos do modelo organizacional
e entregar valor so:
. EDM01 Garantir a Definio e Manuteno do Modelo de Governana (cultura, tica e comportamento; princpios,
polticas e modelos; estruturas organizacionais; e processos)
. APO01 Gerenciar a Estrutura de Gesto de TI (cultura, tica e comportamento; princpios, polticas e modelos; estruturas
organizacionais; e processos)
20
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
CriaodoAmbienteAdequado
importante a existncia de um ambiente adequado ao implementar as
melhorias GEIT. Isto ajuda a garantir que a iniciativa seja controlada e
adequadamente orientada e apoiada pela administrao. Grandes
iniciativas de TI geralmente falham devido inadequada orientao,
apoio e superviso da alta gerncia. As implementaes GEIT no so
diferentes; elas tm maiores chances de sucesso se forem bem
controladas e administradas.
Agernciaexecutivadeve
especificareconceberosprincpios
deorientao,direitosdedecisoe
modelosderesponsabilidadepela
governanacorporativadeTI
Umadasmelhoresformasde
formalizaraGEIT,melhorara
supervisoexecutivaedoConselho
deAdministrao,edefinira
direodasatividadesdeTIa
criaodeumcomitexecutivode
estratgiadeTI.
As figuras 3 e 4 ilustram exemplos de papis genricos dos principais participantes e as responsabilidades dos principais
envolvidos com a implementao ao criar o ambiente adequado para sustentar a governana e garantir resultados positivos.
Tabelas semelhantes so fornecidas para cada fase do ciclo de vida da implementao apresentado na prxima seo.
2
3
21
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura3PapisnaCriaodoAmbienteAdequado
Quando voc pertencer a
Definir a orientao do programa, assegurar o alinhamento com a gesto de risco e a governana corporativa,
aprovar os principais papis do programa e definir as responsabilidades, alm de oferecer apoio visvel e
compromisso. Patrocinar, comunicar e promover a iniciativa definida.
Gerncia do negcio
Alocar participantes e lderes adequados para promover o comprometimento e apoiar o programa. Designar os
principais papis do programa bem como definir e atribuir responsabilidades.
Gerncia de TI
Garantir que a rea de negcios e os executivos entendam e apreciem as questes e objetivos de TI em alto
nvel. Designar os principais papis do programa bem como definir e atribuir responsabilidades. Indicar uma
pessoa para dirigir o programa em acordo com as reas de negcios.
Auditoria interna
Definir o papel e o sistema de relatrios para participao da auditoria. Garantir um nvel adequado de
participao da auditoria seja fornecido durante a vigncia do programa.
Figura4TabelaRACIdeCriaodoAmbienteAdequado
AplicaodaAbordagemdeCiclodeVidadeMelhoriaContnua
Aplicar uma abordagem de ciclo de vida de melhoria contnua fornece um mtodo para as organizaes tratarem a
complexidade e desafios geralmente encontrados durante a implementao da GEIT. Existem trs componentes interrelacionados ao ciclo de vida, conforme ilustrado na figura 5: o ciclo de vida de melhoria contnua GEIT, a capacitao da
mudana (abordando os aspectos culturais e comportamentais da implementao ou melhoria) e a gesto do programa. Na
figura 5, as iniciativas so representadas como ciclos de vida contnuos para enfatizar o fato de que no se tratam de
atividades isoladas, mas parte de um processo contnuo de implementao e melhoria que com o tempo se tornam
atividade normal, ocasio em que o programa poder ser encerrado.
As sete fases do ciclo de vida da implementao so ilustradas na figura 6. O programa de implementao e melhoria
geralmente contnuo e iterativo. Durante a ltima fase, novos objetivos e requisitos sero identificados e um novo ciclo
ser iniciado.
Verificaes de integridade, avaliaes e auditorias em alto nvel frequentemente desencadeiam a considerao de uma
iniciativa da GEIT e esses resultados podem ser usados como dados de entrada para a 1 fase.
22
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
Figura5ComponentesdoCiclodeVida
Figura67FasesdeImplementaodoCiclodeVida
23
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
1FaseQuaisSoosDirecionadores?
A 1 Fase identifica os atuais indicadores da mudana e cria nos nveis de gerncia executiva um desejo de mudana que
ento expresso em um esboo de caso de negcio (business case). Um indicador de mudana pode ser um evento interno
ou externo, condio ou questo importante que serve como um estmulo mudana. Eventos, tendncias (indstria,
mercado ou tcnica), deficincias no desempenho, implementaes de software e at mesmo os objetivos corporativos
podem agir como indicadores da mudana. O risco associado implementao do programa ser descrito no caso de
negcio e controlado durante todo o ciclo de vida. A preparao, manuteno e monitoramento do caso de negcio so
disciplinas fundamentais e importantes para justificar, apoiar e garantir os resultados de sucesso de qualquer iniciativa,
inclusive as melhorias da GEIT. Elas garantem o foco contnuo nos benefcios do programa e na sua realizao. O
Apndice D contm um exemplo de caso de negcio GEIT.
2FaseOndeEstamosAgora?
A 2 Fase alinha os objetivos de TI s estratgias e ao risco da organizao e prioriza os objetivos corporativos, objetivos
de TI e processos mais importantes. O COBIT 5 fornece um mapeamento genrico dos objetivos corporativos para TI
relacionados com metas e processos de TI para ajudar na seleo. De acordo com os objetivos corporativos e objetivos de
TI selecionados, so identificados processos crticos que devem ter capacidade suficiente para garantir resultados positivos.
A administrao deve conhecer sua capacidade atual e onde podem existir deficincias. Isto alcanado atravs da
avaliao do status atual da capacidade dos processos selecionados.
3FaseOndeQueremosChegar?
A 3 Fase define uma meta de melhoria seguida por uma anlise de falhas para identificao de possveis solues.
Algumas solues traro resultados rpidos enquanto outras, mais desafiadoras, constituem tarefas de longo prazo.
Prioridade deve ser dada aos projetos mais fceis de realizar e que provavelmente traro os melhores benefcios. Tarefas
em longo prazo devem ser divididas em partes gerenciveis.
4FaseOQueDeveSerFeito?
A 4 Fase planeja solues prticas e viveis definindo projetos apoiados por estudos de caso justificveis e desenvolvendo
um plano de implementao para a mudana. Um caso de negcio bem desenvolvido ajudar a garantir que os benefcios
do projeto sejam identificados e continuamente monitorados.
5FaseComoChegamosL?
A 5 Fase prev a implementao das solues propostas em prticas dirias bem como a criao de medidas e sistemas de
monitoramento para garantir que o alinhamento do negcio seja alcanado e o desempenho possa ser medido. O sucesso
exige o envolvimento, conscientizao e comunicao, entendimento e compromisso da alta administrao, bem como o
empenho dos donos dos processos de TI e de negcios.
6FaseJChegamosL?
A 6 Fase se concentra na transio sustentvel das prticas melhoradas de governana e gesto em operaes rotineiras do
negcio e no monitoramento da consecuo das melhorias com o uso das mtricas de desempenho e benefcios esperados.
7FaseComoMantemosEssaDinmica?
A 7 Fase analisa o sucesso global da iniciativa, identifica novos requisitos de governana e gesto e refora a necessidade
de melhoria contnua. Tambm prioriza novas oportunidades de aperfeioamento da GEIT.
O programa e o gerenciamento do projeto baseiam-se em boas prticas e prev pontos de controle em cada uma das sete
fases a fim de garantir que o desempenho do programa esteja sob controle, o caso de negcio e o risco devem ser
atualizados e o planejamento da prxima fase deve ser ajustado conforme necessrio. Supe-se que a abordagem padro da
organizao deva ser seguida. Mais orientaes sobre a gesto do programa e do projeto podem ser encontradas no
processo BAI01 do COBIT 5. Embora no sejam explicitamente mencionados em nenhuma das fases, relatrios esto
includos em todas as fases e iteraes.
O tempo gasto por fase poder ser muito diferente dependendo (entre outros fatores) do ambiente da organizao, de sua
maturidade, bem como o escopo da implementao ou da iniciativa de melhoria. No entanto, o tempo total gasto em cada
iterao do ciclo de vida completo ideal no deve ultrapassar seis meses, com aplicao progressiva das melhorias; caso
contrrio, h risco de perda da dinmica, foco e adeso dos participantes. O objetivo entrar em um ritmo de melhorias
regulares. Iniciativas em larga escala devem ser estruturadas como mltiplas iteraes do ciclo de vida.
Com o tempo, o ciclo de vida ser seguido iterativamente criando assim uma abordagem sustentvel. Isto se tornar uma
prtica comercial normal quando as fases do ciclo de vida passarem a ser atividades cotidianas e a melhoria contnua
ocorrer naturalmente.
24
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
PrimeirosPassosIdentificaraNecessidadedeAgir:ReconhecerDificuldadeseEventos
Desencadeadores
Muitos fatores podem indicar a necessidade de prticas GEIT novas ou
revisadas. No entanto importante observar que esses sintomas podem
no apenas indicar problemas subjacentes que devem ser abordados, mas
tambm podem ser indicativos de outros problemas (ou uma combinao
de fatores). Por exemplo, se o negcio tem a percepo de que os custos
de TI so inaceitavelmente altos, isto pode decorrer de problemas com a
governana e/ou gerenciamento (tais como critrios inadequados
utilizados no processo de gesto dos investimentos em TI), mas tambm
pode ser devido falta anterior de investimentos em TI que agora se
manifesta na necessidade de investimentos significativos.
Aousarasdificuldadesou
eventosdesencadeadores
comopontodepartidapara
iniciativasdeGEIT,ocasode
negcioparamelhoriadaGEIT
podeestarrelacionadoaos
problemasqueestosendo
enfrentados,oqueaumentar
aadesoaocasosdenegcio
(businesscase).
DificuldadesMaisComuns
Prticas GEIT novas ou revisadas geralmente podem resolver ou ser parte de uma soluo para os seguintes sintomas:
. Frustrao do negcio com iniciativas fracassadas, aumentando os custos da TI e a percepo de baixo valor ao
negcio - Embora muitas organizaes continuem aumentando seus investimentos em tecnologia da informao, o valor
desses investimentos e o desempenho geral da TI so frequentemente questionados ou no realizados em sua plenitude.
Isto pode indicar um problema de GEIT onde a comunicao entre as reas de TI e de negcio deve ser aperfeioada e
uma viso comum sobre o papel e o valor da TI deve ser estabelecida. Pode tambm ser uma consequncia de
mecanismos imprecisos de formulao, proposta e aprovao de projeto e portflio.
. Incidentes significativos relacionados ao risco do negcio inerente TI, tais como perda de dados ou falha no
projeto - Esses incidentes significativos muitas vezes so a ponta do iceberg e os impactos podem ser exacerbados se
receberem ateno pblica e/ou da imprensa. Investigaes adicionais geralmente levam identificao de
desalinhamentos estruturais e mais profundos ou at mesmo completa falta de uma cultura de conscientizao do risco
de TI na organizao. Prticas GEIT mais robustas so ento requeridas para a obteno de uma viso completa e um
slido entendimento do risco inerente TI e de como este deve ser gerenciado.
. Problemas com a entrega de servios terceirizados, tais como o no cumprimento de forma consistente dos nveis
de servio definidos - Problemas com a prestao de servio por prestadores de servios externos podem decorrer de
problemas com a governana tais como a falta de definio ou inadequao da personalizao dos processos de
gerenciamento dos servios de terceiros (inclusive controle e monitoramento) com as respectivas responsabilidades e
obrigaes para cumprimento dos requisitos de servio de TI do negcio.
. Falha no cumprimento das exigncias regulatrias ou contratuais - Em muitas organizaes, mecanismos de
governana ineficazes ou ineficientes impedem a integrao completa com importantes leis, regulaes e termos
contratuais em sistemas organizacionais ou carecem de uma abordagem para sua gesto. Requisitos de regulaes e
conformidade esto aumentando cada vez mais em todo o mundo e impactam frequentemente as atividades habilitadoras
de TI.
. Limitaes da TI em agregar s capacidades de inovao e agilidade de negcios da organizao - Uma queixa
comum que o papel da TI o de prover suporte, enquanto h um requerimento para que as capacidades de inovao
proporcionem vantagem competitiva. Esses so sintomas que podem indicar a falta de um alinhamento bidirecional real
entre as reas de negcios e a TI, que pode ser devido a problemas de comunicao ou ao fraco envolvimento da rea de
negcios na tomada de decises de TI. Tambm pode ser devido ao envolvimento de TI pela rea de negcios em um
estgio muito avanado durante o planejamento estratgico e as iniciativas orientadas ao negcio. Este problema
geralmente pode indicar que as condies econmicas exigem respostas rpidas da organizao tais como o lanamento
de novos produtos ou servios.
. Achados das auditorias regulares sobre o fraco desempenho da TI ou relatrios de problemas com a qualidade de
servios de TI - Isto pode ser um indicativo de que os nveis de servio no foram adotados ou no esto funcionando
bem, ou do envolvimento inadequado da rea de negcios na tomada de decises de TI.
. Gastos ocultos e no autorizados com TI - Uma viso suficientemente transparente e abrangente dos gastos e
investimentos em TI muitas vezes inexiste. Gastos com TI muitas vezes podem ser escondidos nos oramentos da
25
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
unidade de negcios ou no classificados como despesas de TI na contabilidade, criando assim uma viso geral distorcida
dos custos de TI.
. Duplicao ou sobreposio de iniciativas ou desperdcio de recursos - Isto geralmente se deve falta de uma viso
de portflio/holstica de todas iniciativas de TI e indica que as capacidades da estrutura de processo e deciso em torno do
gerenciamento de portflio e desempenho no esto adequadas.
. Recursos de TI insuficientes, pessoal com competncias inadequadas ou pessoal com esgotamento/insatisfaoEssas so questes importantes da gesto de recursos humanos de TI que exigem efetiva superviso e boa governana
para assegurar que a gesto de pessoas e o desenvolvimento de competncias sejam abordadas efetivamente. Pode
tambm ser um indicativo (entre outros fatores) de fragilidades subjacentes na gesto da demanda de TI e nas prticas
internas de prestao de servios.
. Mudanas habilitadas pela TI frequentemente no cumprem as necessidades do negcio com resultados
atemporais ou acima do orado Essas dificuldades poderiam estar relacionadas a problemas com o alinhamento entre
a TI e o negcio, a definio dos requisitos do negcio, a falta de um processo de percepo de benefcios ou ainda a
implementao impreciso de processos de gerenciamento de projeto/programa.
. Esforos mltiplos e complexos para garantia da TI - Isso poderia ser um indicativo da fraca coordenao entre o
negcio e a TI em relao necessidade e execuo das anlises de garantia de TI. Uma causa subjacente poderia ser o
baixo nvel de confiana em TI pelo negcio, fazendo com que a rea de negcios inicie suas prprias anlises, ou falta
da devida prestao de contas por parte da rea de negcios pelas anlises de garantia de TI, fazendo com que o negcio
no tenha conhecimento sobre sua ocorrncia.
. Membros do conselho, executivos ou gerentes seniores que relutam em se envolver com a TI, ou a falta de
patrocinadores de TI comprometidos e satisfeitos Essas dificuldades frequentemente referem-se falta de
entendimento do negcio e clareza da TI, a falta de visibilidade de TI em nveis apropriados, a falta de estruturas de
gerenciamento ou problemas com os mandatos do conselho, geralmente causados pela pobre comunicao entre as reas
de negcios e de TI e a incompreenso do negcio e da TI pelos patrocinadores de negcio da TI.
. Modelos operacionais de TI complexos - A complexidade inerente, por exemplo, em organizaes de TI
descentralizadas ou federadas que frequentemente possuem diferentes estruturas, prticas e polticas requer um forte foco
em GEIT para garantir a tomada de deciso de TI otimizada bem como operaes eficazes e eficientes. Este ponto de dor
geralmente se torna mais significativo com a globalizao porque cada territrio ou regio pode ter fatores relativos a
ambientes internos e externos especficos e potencialmente isolados a serem tratados.
EventosDesencadeadoresnosAmbientesInternoseExternos
Alm dos sintomas descritos anteriormente, outros eventos nos ambientes internos e externos da organizao, tais como os
seguintes, podem sinalizar ou chamar a ateno para GEIT e posicion-la no topo da agenda da organizao:
. Fuso, aquisio ou alienao - As consequncias estratgicas e operacionais relativas TI podem ser significativas
aps uma fuso, aquisio ou alienao. Durante as diligncias da auditoria haver a necessidade de obter um
entendimento das questes de TI no(s) ambiente(s). Alm disso, entre todos os outros requisitos de integrao ou
reestruturao, haver a necessidade de projetar os mecanismos GEIT adequados para o novo ambiente.
. Uma mudana no mercado, posio econmica ou competitiva - Por exemplo, uma recesso econmica poderia levar
as organizaes a revisar os mecanismos de GEIT para permitir a otimizao de custos em larga escala ou a melhoria do
desempenho.
. Mudanas no modelo operacional do negcio ou acordos de terceirizao - Por exemplo, uma mudana de um
modelo descentralizado ou federado para um modelo operacional mais centralizado exigir mudanas nas prticas GEIT
para permitir uma tomada de deciso de TI mais centralizada. Outro exemplo poderia ser a implementao de centros de
servios compartilhados para reas tais como financeira, recursos humanos (RH) ou aquisies. Isto pode provocar
impactos sobre a TI tais como a consolidao de aplicativos de TI fragmentados ou domnios de infraestrutura com as
respectivas mudanas nas estruturas ou processos de tomada de deciso de TI que os regem. A terceirizao de algumas
funes de TI e processos de negcios podem levar, de forma semelhante, a um foco em GEIT.
. Novos requisitos regulatrios ou de conformidade - Para exemplificar, requisitos de gerao de relatrios de
governana corporativa mais amplos e regulamentaes financeiras provocam a necessidade de melhorar a GEIT e o foco
na privacidade da informao causados pelo carter pervasivo da TI.
. Mudana significativa na tecnologia ou mudana de paradigma - Um exemplo a migrao de algumas organizaes
para uma arquitetura orientada a servio (SOA) e a computao em nuvem (cloud computing). Isto muda
fundamentalmente a forma que a infraestrutura e a funcionalidade do aplicativo desenvolvida e entregue, o que tambm
pode exigir mudanas na forma em que os processos e demais habilitadores correlatos so governados e gerenciados.
. Um foco ou projeto de governana em toda a organizao - Esses projetos provocaro iniciativas na rea GEIT.
. Um novo Diretor de TI (CIO), Diretor Financeiro (CFO), Diretor-Executivo (CEO) ou membro do conselho - A
nomeao de novos representantes do C-level pode provocar, frequentemente, uma avaliao dos atuais mecanismos e
iniciativas de GEIT para tratar eventuais reas fracas identificadas.
. Auditoria externa ou avaliaes de consultores - Uma avaliao feita por um terceiro independente em comparao
com as prticas apropriadas normalmente pode representar o ponto de partida de uma iniciativa de melhoria de GEIT.
26
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
. Uma nova estratgia ou prioridade de negcio - A busca de uma nova estratgia de negcios ter implicaes GEIT.
Por exemplo, uma estratgia de negcios de se aproximar dos clientes - ou seja, conhecer quem eles so, seus requisitos e
como responder a esses requisitos da melhor maneira possvel - pode requerer mais liberdade da tomada de deciso de TI
para uma unidade de negcios/pas em oposio tomada de deciso centralizada em nvel corporativo ou da
controladora (holding).
. Desejo de melhorar significativamente o valor a ser adicionado a partir da TI - A necessidade de aumentar a
vantagem competitiva, ser inovador, otimizar ativos ou criar novas oportunidades de negcios pode chamar a ateno
para a GEIT.
A necessidade de agir deve ser reconhecida e amplamente estimulada e comunicada. Esta comunicao pode ser feita na
forma deu um alerta (quando as dificuldades aparecerem) ou uma expresso da oportunidade de melhoria a ser
perseguida e dos benefcios que sero percebidos. Os pontos fracos atuais de dor ou os eventos desencadeadores da GEIT
fornecem um ponto de partida - a identificao destes pode geralmente normalmente ser feita por meio de avaliaes de
alto nvel de integridade, diagnsticos ou avaliaes de capacidade em alto nvel. Essas tcnicas tm a vantagem de criar
consenso sobre as questes a serem abordadas. Pode ser benfico solicitar a um terceiro para que este realize uma reviso a
fim de obter uma opinio independente e objetiva em alto nvel sobre a situao atual, o que poder aumentar a adeso
causa.
necessrio buscar o compromisso e a adeso do conselho e da gerncia executiva desde o incio. Para isso, o programa
de GEIT e seus objetivos e benefcios, devem ser claramente expressos em termos de negcio. O nvel correto de urgncia
deve ser incutido, e a diretoria, o conselho de administrao e a gerncia executiva devem ter conhecimento do valor que a
TI bem governada e gerenciada pode acrescentar organizao bem como, do risco de no agir. Isto tambm ir assegurar
que o alinhamento entre o programa de GEIT e os objetivos e estratgia corporativos, objetivos organizacionais para a TI,
governana corporativa e iniciativas ERM (se houver) sejam considerados desde o incio. A identificao e realizao de
alguns resultados rpidos (problemas visveis que podem ser abordados de forma relativamente rpida e ajudar a
estabelecer a credibilidade da iniciativa global, demonstrando seus benefcios) pode ser um mecanismo til para a obteno
do compromisso do conselho.
Como a direo foi definida no topo, uma viso geral da capacitao da mudana dever ser adotada em todos os nveis. A
escala e escopo mais amplos da mudana devem ser entendidos primeiramente em termos de negcios, mas tambm a
partir de uma perspectiva humana e comportamental. Todas as partes interessadas envolvidas com ou afetadas pela
mudana devem ser identificadas e suas posies em relao mudana estabelecidas. A pesquisa4 de GEIT em 2011
demonstrou que a conduo da mudana pode ser um dos maiores desafios implementao de GEIT: 38% dos
entrevistados mencionaram a gesto de gerenciamento da mudana como um desafio e 41% reportou problemas de
comunicao. Um motivador-chave importante para a mudana a identificao de incentivos para os gerentes de TI e de
negcios promoverem a implementao de GEIT.
Envolvimentodaspartesinteressadas
H muitas partes interessadas que devem colaborar para atingir o objetivo geral de melhoria no desempenho de TI. O
COBIT 5 baseia-se nas necessidades das partes interessadas e a abordagem fornecida neste guia ajudar a desenvolver um
entendimento comum e bem definido sobre o que deve ser feito atingido para responder s preocupaes especficas das
partes interessadas de forma coordenada e harmonizada. As partes interessadas mais importantes e suas preocupaes so:
. Diretoria e gerncia executiva - Como definimos e aplicamos a orientao da organizao para o uso de TI e monitorar
a criao dos habilitadores de GEIT pertinentes e necessrios de Governana e Gesto Corporativa de TI (GEIT) de modo
a criar valor para o negcio e mitigar o risco de TI?
. Gerncia executiva de negcios, gerncia de TI e responsveis pelos processos - Como capacitamos a organizao
para definir/alinhar os objetivos de TI a fim de assegurar a criao de valor ao negcio com o uso de TI, bem como, a
mitigao do risco de TI?
. Gerncia de negcios, gerncia de TI e responsveis pelos processos - Como planejamos, criamos, entregamos e
monitoramos as informaes, solues de TI e a capacidade dos servios conforme exigido pelo negcio e orientado pela
diretoria?
. Especialistas em risco, conformidade e leis - Como nos asseguramos que estamos em conformidade com as polticas,
regulamentaes, leis e contratos, e que o risco foi identificado, avaliado e mitigado?
. Auditoria interna - Como oferecemos garantia independente sobre a entrega de valor e mitigao do risco?
Os fatores-chave para o sucesso da implementao so:
27
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
. O foco inicial em resultados rpidos e na priorizao das melhorias mais benficas que so mais fceis de implementar
com o intuito de demonstrar a vantagem e criar confiana para mais melhorias.
ReconhecimentodosPapiseRequisitosdasPartesInteressadas
PartesInteressadasInternas
A figura 7 fornece uma viso geral das partes interessadas internas, suas responsabilidades mais importantes e obrigaes
em alto nvel mais importantes no processo de melhoria e de seus interesses nos resultados do programa de implementao.
Estes so exemplos genricos. Como tal, adaptaes, ampliaes e personalizaes podem ser necessrias.
Figura7VisoGeraldasPartesInteressadasInternasdeGEIT
Partes Interessadas
Internas
Diretoria e gerncia
executiva
Gerncia de negcios e
responsveis pelos
processos de negcios
Diretor de TI (CIO)
Gerncia de TI e
responsveis pelos
processos de TI, por
exemplo, chefe de
operaes, arquiteto-chefe,
gerente de segurana de TI,
especialista em gesto de
continuidade do negcio
28
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
Figura7VisoGeraldasPartesInteressadasInternasdeGEIT
Partes Interessadas
Internas
Especialistas em
conformidade, gesto de
risco e leis
Auditoria interna
Equipe de implementao
(equipe combinada de
negcios e de TI, formada
por pessoas das categorias
anteriores de participantes)
Funcionrios
Apoiar a GEIT.
29
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
PartesInteressadasExternas
Alm das partes interessadas internas relacionados na figura 7, tambm h diversas outras partes externas. Embora essas
partes no tenham nenhuma obrigao ou responsabilidade direta no programa de melhoria, elas podem ter exigncias que
devem ser atendidas. A figura 8 apresenta exemplos genricos.
Figura8ExemplosdeParticipantesExternosGEIT
Participantes Externos
Prestadores de servio de TI
A gesto da organizao deve assegurar que haja um alinhamento e conexo entre a GEIT da organizao e a
governana e gesto dos servios que eles prestam.
Reguladores
Clientes
Os clientes podem ser afetados pelo grau em que os objetivos de GEIT forem cumpridos. Um exemplo a
gesto de risco de negcio relacionado TI. Se uma organizao for exposta no domnio de segurana, por
exemplo, atravs da perda dos dados bancrios do cliente, o cliente ser afetado. O cliente tem um interesse
indireto nos resultados positivos do programa de implementao.
Auditores externos
Auditores externos podem ser capazes de ter um maior nvel conforto nos controles de TI em decorrncia de
um programa efetivo de implementao estando interessados em aspectos de conformidade regulatria e
relatrios financeiros.
Parceiros comerciais que usam operaes eletrnicas automatizadas junto organizao podem ter um
interesse nos resultados do programa de implementao em relao melhoria da integridade, segurana e
convenincia da informao. Eles tambm podem estar interessados em conformidade regulatria e
certificaes de padres internacionais que poderiam ser resultados do programa.
AvaliaoIndependenteeoPapeldosAuditores
Os gerentes de TI e partes interessadas de TI devem ter conhecimento do papel dos profissionais de auditoria - eles podem
ser auditores internos, auditores externos, auditores dos padres ISO/IEC ou qualquer profissional contratado para fazer
uma avaliao dos servios e processos de TI. Cada vez mais, a diretoria e a gerncia executiva iro buscar assessoria e
opinies independentes em relao s funes e servios crticos de TI. H tambm um aumento geral na necessidade de
demonstrar a conformidade com as regulamentaes nacionais e internacionais.
30
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
Experincias com implementaes de GEIT demonstraram que pode haver diversas questes prticas que devem ser
superadas para o sucesso da iniciativa e para a sustentao da melhoria contnua. Este captulo descreve diversos destes
desafios, bem como, as possveis causas raiz e os fatores que devem ser considerados para garantir assegurar resultados
positivos.
CriaodoAmbienteAdequado
1FaseQuaisSoosDirecionadores?
A figura 9 relaciona os desafios e suas causas raiz e fatores de sucesso na 1 fase.
Figura91FaseQuaisSoosDirecionadores?
Desafios
Causas raiz
. Preocupao com mais um projeto com probabilidade de fracasso falta de confiana na gesto de TI
. Comunicao pobre das questes e benefcios da governana benefcios e prazos no so claramente articulados
. Ausncia de executivo snior disposto a patrocinar ou assumir a responsabilidade
. Baixa percepo da credibilidade da funo de TI O Diretor de TI no impe respeito suficiente
. A gerncia executiva acredita que a GEIT de responsabilidade exclusiva da gesto de TI
. Ausncia de equipe adequada (especialistas) responsveis pela GEIT ou falta das habilidades necessrias para
assumir a tarefa
. Tornar a GEIT, item de discusso da agenda da diretoria, comit de auditoria e comit de risco.
. Criar um comit ou alavancar um comit j existente, como o comit executivo de estratgia de TI, para ficar
encarregado e prestar contas pela ao.
. Evitar fazer com que a GEIT parea ser uma soluo a procura de um problema - deve haver uma necessidade real
e benefcio potencial.
. Identificar e comunicar pontos fracos que podem motivar um desejo de mudana do status quo.
. Utilizar linguagem, abordagens e comunicaes apropriados ao pblico alvo evitar jarges e termos que eles no
reconheam.
. Definir e acordar (conjuntamente com a rea de negcios) sobre o valor esperado de TI.
. Expressar os benefcios em termos/mtricas de negcio.
. Obter, se necessrio, apoio e capacitao junto a auditores externos, consultores e/ou assessores.
. Desenvolver princpios de orientao que definam o tom e contexto para o esforo da transformao.
. Produzir imperativos com base no esforo da transformao especfica para a organizao, criando a confiana e a
parceria necessrias para o sucesso.
. Produzir um caso de negcio adaptado ao pblico alvo que demonstre os benefcios para o negcio relativos ao
investimento proposto para TI.
. Priorizar e alinhar o caso de negcio com base no foco estratgico e nos pontos fracos atuais da organizao.
. Alinhar o caso de negcio aos objetivos gerais de governana corporativa.
. Obter formao e treinamento em questes e modelos de GEIT.
Desafios
Causas raiz
. GEIT no uma prioridade para os executivos de negcios (no um indicador chave de desempenho [KPI Key
Performance Indicator])
IMPLEMENTAO
Figura91FaseQuaisSoosDirecionadores?
. Obstculos entre TI e o negcio inibem a participao.
. Ausncia de papis e responsabilidades bem definidas para envolvimento da rea de negcios
. Principais executivos de negcio e formadores de opinio no envolvidos ou engajados
. Entendimento limitado dos benefcios e valor da GEIT pelos executivos de negcios e responsveis pelos processos
Fatores de sucesso
. Incentivar a alta administrao e o comit executivo de estratgia de TI a definir as obrigaes e insistir nos papis e
responsabilidades da rea de negcios em relao GEIT.
. Encontrar aqueles que acreditam usurios da rea de negcios que reconhecem o valor de uma melhor GEIT.
. Promover o pensamento livre e o empoderamento, mas somente de acordo com polticas bem definidas e uma
estrutura de governana.
. Assegurar que os responsveis pela mudana e sua direo obtenham o apoio do patrocinador.
. Criar fruns para a participao da rea de negcios - ex: comit executivo de estratgia de TI e realizar seminrios
(workshops) para discutir abertamente os atuais problemas e oportunidades para melhoria.
Causas raiz
. Liderana de TI com experincia tcnica operacional no envolvida suficientemente nas questes relativas aos
negcios da organizao
. Se necessrio, reorganizar os papis da gesto de TI e implementar interligaes formais com outras funes da
organizao, ex: finanas e RH.
. Assegurar que o Diretor de TI tenha experincia em negcios. Considerar a nomeao de um Diretor de Informtica
proveniente da rea de negcios.
. Usar consultores para criar uma forte estratgia de GEIT orientada ao negcio.
. Criar mecanismos de governana, tais como, gerentes de relacionamento de negcio dentro de TI, para permitir uma
compreenso mais ampla do negcio.
Desafios
Causas Raiz
Fatores de Sucesso
. Levantar os problemas e preocupaes junto aos executivos da diretoria, incluindo no executivos, sobre o risco da
m governana, com base em problemas reais relativos conformidade e ao desempenho da organizao.
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
Figura102FaseOndeEstamosAgora?e3FaseOndeQueremosChegar?
Desafios
Causas raiz
Desafios
Causas raiz
. Programa de melhoria inadequadamente sequenciado e com falta de uma clara associao entre os benefcios e o
custo das melhorias
. Priorizao de solues complexas e custosas em vez de solues mais fceis e de baixo custo
. Oramento significativo de TI e mo de obra j comprometidos com a manuteno da infraestrutura existente,
limitando assim a inclinao a dirigir fundos ou tempo da equipe dedicada a tratar da GEIT da organizao
Fatores de sucesso
. Identificar reas em infraestrutura, processos e RH, ex., Padronizao, nveis mais altos de maturidade e menos
incidentes, onde a eficincia e economia de custos diretos podem ser feitas por uma melhor governana.
Causas raiz
. Problemas antigos sustentados por um fraco histrico de TI em relao entrega de projetos e servios
. Falta de entendimento por TI dos problemas com o negcio e vice-versa
. Escopo e expectativas mal articulados e administrados
. Papis, responsabilidades e obrigaes por prestar contas de governana pouco claras em relao ao negcio,
causando abdicao das decises principais
. Fomentar a comunicao aberta e transparente sobre o desempenho, como conexes com a gesto do desempenho
corporativo.
. Identificar e comunicar evidncias de problemas reais, riscos que devem ser evitados e benefcios a serem obtidos
(em termos de negcios) em relao s melhorias propostas.
IMPLEMENTAO
4FaseOQueDeveSerFeito?
A figura 11 relaciona os desafios e suas causas raiz e fatores de sucesso na 4 fase.
Figura114FaseOQueDeveSerFeito?
Desafios
Causas raiz
. Considerao insuficiente das mudanas culturais, percepes das partes interessadas e mudanas organizacionais
necessrias
. Considerao insuficiente dos pontos fortes atuais e prticas de governana de TI e da organizao como um todo
Fatores de sucesso
. Fazer uma avaliao das partes interessadas e concentrar-se em um plano de capacitao da mudana.
. Basear-se em e usar os atuais pontos fortes e boas prticas de TI e da organizao como um todo. Evitar reinventar
a roda apenas para TI.
Causas raiz
Fatores de sucesso
Causas raiz
Fatores de sucesso
. Formar e treinar em COBIT 5, outros padres e melhores prticas correlatas, bem como neste mtodo de
implementao.
Resistncia mudana
Causas raiz
Resistncia uma resposta comportamental natural quando o status quo ameaado, mas tambm
pode indicar uma preocupao subjacente como, por exemplo:
. Buscar resultados rpidos e que podem ser obtidos com mais facilidade como fomentadores para os valores criados.
. Tornar modelos genricos tais como o COBIT 5 relevantes para o contexto da organizao.
. Focar no planejamento da capacitao da mudana, como por exemplo:
Desenvolvimento
Treinamento
34
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
Figura114FaseOQueDeveSerFeito?
Instruo
Orientao
Transferncia de habilidades
Causas raiz
. Especialistas externos projetando solues isoladas ou impondo solues sem a explicao adequada.
. Equipe de GEIT interna operando de forma isolada e agindo como um substituto informal dos verdadeiros
responsveis donos dos pelos processos, causando mal-entendidos e resistncia mudana.
. Apoio e orientao inadequados dos principais participantes, resultando em projetos de GEIT que produzem novas
polticas e procedimentos que no tm um responsvel vlido
Fatores de sucesso
. Forar a transferncia de conhecimento dos especialistas externos para os responsveis pelos processos.
. Delegar responsabilidade e dar poder aos responsveis pelos donos dos processos.
Desafios
Dificuldade de integrar a abordagem de governana interna com os modelos de governana dos parceiros
terceirizados
Causas raiz
Fatores de sucesso
. Evidenciar a correspondncia (atravs de auditoria e anlise de documentos) dos processos do prestador de servio,
pessoas e tecnologia com as prticas e nveis de GEIT requeridos.
5FaseComoChegamosL?
A figura 12 relaciona os desafios e suas causas raiz e fatores de sucesso na 5 fase.
Figura125FaseComoChegamosL?
Desafios
Causas raiz
Fatores de sucesso
. Gerenciar as expectativas.
. Seguir os princpios de orientao.
. Manter a simplicidade, o realismo e a praticidade.
. Dividir o projeto geral em projetos menores e atingveis, gerando experincia e benefcios.
. Garantir que o escopo da implementao sustente os requisitos e todos os participantes tenham o mesmo
entendimento daquilo que o escopo abranger.
IMPLEMENTAO
Figura125FaseComoChegamosL?
. Potencializar os mecanismos existentes e as formas de trabalho.
. Garantir a compreenso adequada sobre o ambiente de negcios.
Desafios
Tentativa de fazer muito de uma s vez; resolver problemas muito complexos e/ou difceis
Causas raiz
. Falta de entendimento do escopo e do esforo (tambm em relao aos aspectos humanos, criando uma linguagem
comum)
. Criar confiana. Ter as habilidades e experincia para manter a implementao simples e prtica.
. Reutilizar o que j existe como base
Desafios
TI e/ou negcios no modo "apagar incndio" e/ou no priorizando bem e incapaz de concentrar-se na
governana
Causas raiz
Fatores de sucesso
. Abordar as causas raiz no ambiente operacional (interveno externa, priorizao da TI pela administrao).
. Aplicar uma disciplina mais rigorosa sobre os requisitos do negcio ou sua gesto.
. Usar recursos externos, quando apropriado.
. Obter assessoria externa.
Desafios
Causas raiz
Fatores de sucesso
Desenvolvimento
Treinamento
Instruo
Orientao
Feedback sobre o processo de recrutamento
Treinamentos cruzados
36
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
6FaseJChegamosL?e7FaseComoMantemosEssaDinmica?
A figura 13 relaciona os desafios e suas causas raiz e fatores de sucesso da 6 e 7 Fases.
Figura136FaseJChegamosL?e7FaseComoMantemosEssaDinmica?
Desafios
Causas raiz
Fatores de sucesso
Causas raiz
Fatores de sucesso
Desafios
Causas raiz
Fatores de sucesso
. Garantir que a alta direo comunique e reforce regularmente a necessidade de servios robustos e confiveis,
solues e boa governana. Comunicar s partes interessadas, o sucesso das melhorias j alcanadas.
37
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
38
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 5
HABILITANDO A MUDANA
CAPTULO 5
HABILITANDO A MUDANA
ANecessidadedeHabilitaoparaaMudana
A implementao ou melhoria bem sucedida depende da implementao da mudana apropriada (as boas prticas) de
forma correta. Muitas organizaes focam significativamente no primeiro aspecto, mas no enfatizam suficientemente a
gesto dos aspectos humanos, comportamentais e culturais da mudana e no motivam as partes interessadas em aderir
mudana. A habilitao da mudana um dos maiores desafios da implementao da GEIT.
No se deve presumir que as diversas partes interessadas, envolvidas ou afetadas pelos novos ou revisados arranjos de
governana necessariamente aceitaro e adotaro prontamente a mudana. A possibilidade de desconhecimento e/ou
resistncia mudana deve ser abordada por meio de uma abordagem estruturada e proativa. Alm disso, a conscientizao
ideal do programa deve ser alcanada atravs de um plano de comunicao que defina o que ser comunicado, de que
forma e por quem, durante todas as fases do programa.
Ao analisar uma recente e importante iniciativa de transformao de
TI, o Departamento de Assuntos de Veteranos dos EUA (VA)
observou: O principal desafio que o VA enfrentar para alcanar esta
transformao ser obter a aceitao e o apoio de todo o pessoal,
inclusive liderana, gerentes de nvel mdio e pessoal de campo.5 O
VA afirmou que seu esforo no ter sucesso se tratar somente da
transformao tecnolgica; ele reconhece que o fator humano
necessrio para obter a aceitao, mudar a organizao e a forma como
os negcios so conduzidos so crticos para o sucesso.
Muitasorganizaesnoenfatizam
suficientementeagestodos
aspectoshumanos,
comportamentaiseculturaisda
mudanaenomotivamos
participantesemaderirmudana.
. Avaliar o impacto da mudana sobre a organizao, seus funcionrios e demais partes interessadas
. Estabelecer a condio futura (viso) em termos humanos/ comportamentais e as respectivas medidas que a descrevem
. Criar planos de resposta mudana para administrar pro-ativamente os impactos da mudana e maximizar o
compromisso durante o processo. Esses planos podero incluir treinamento, comunicao, projeto de organizao (o
contedo do trabalho, estrutura organizacional), redesenho de processos e atualizao dos sistemas de gerenciamento de
desempenho.
. Medir continuamente o progresso da mudana em relao condio futura desejada
Em termos de uma tpica implementao da GEIT, o objetivo da habilitao da mudana fazer com que as partes
interessadas da organizao, das reas de TI e de negcios, por exemplo, liderem e incentivem o pessoal de todos os nveis
a trabalhar de acordo com a nova forma desejada. Exemplos do comportamento desejado incluem:
5 Walters, Jonathan; Transforming Information Technology at the Department of Veterans Affairs, IBM Center for the Business of
Government, EUA, 2009
39
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
HabilitaodaMudanadaImplementaodaGEIT
Diversas abordagens habilitadoras da mudana foram definidas nos ltimos anos e elas fornecem informaes valiosas que
podem ser utilizadas durante o ciclo de vida da implementao.
Obstculoshumanos,
comportamentaiseculturais
devemsersuperadospara
criaruminteressecomum
emadotar,incutiravontade
deadotareassegurara
capacidadedeadotarum
novocaminho.
A abordagem de Kotter foi escolhida como um exemplo e adaptada aos requisitos especficos de uma implementao ou
melhoria da GEIT. Isto ilustrado pelo ciclo de vida de habilitao da mudana contido na figura 14.
As seguintes subsees criam uma viso em alto nvel, porm holstica, discutindo cada fase do ciclo de vida de habilitao
da mudana aplicado a uma tpica implementao da GEIT.
Figura147FasesdoCiclodeVidadaImplementao
AsFasesdoCiclodeVidadeHabilitaodaMudanaCriamoAmbienteAdequado
O ambiente da organizao como um todo deve ser analisado para determinar a abordagem mais apropriada de habilitao
da mudana. Isto incluir aspectos tais como o estilo de gesto, cultura (formas de trabalhar), relacionamentos formais e
informais, bem como atitudes. Tambm importante entender as demais iniciativas da organizao ou de TI em
andamento ou planejadas para garantir que as dependncias e impactos sejam considerados.
Deve-se assegurar desde o incio que as habilidades, competncias e experincia necessrias para habilitao da mudana
sejam disponibilizadas e utilizadas, por exemplo, envolvendo os recursos da funo de RH ou obtendo ajuda externa.
Como uma sada (resultado) desta fase, o equilbrio adequado das atividades diretivas e inclusivas de habilitao da
mudana necessrias para gerar benefcios sustentveis pode ser projetado.
Kotter, John; Leading Change, Harvard Business School Press, EUA, 1996
40
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 5
HABILITANDO A MUDANA
1FaseEstabelecendooDesejodeMudana
O objetivo desta fase entender a amplitude e profundidade da mudana desejada, as diversas partes interessadas afetadas,
a natureza de seu impacto e o envolvimento necessrio de cada uma das partes interessadas, bem como a prontido e
capacidade atual de aceitar a mudana.
Os atuais pontos fracos e eventos desencadeadores podem fornecer uma boa base para estabelecer o desejo de mudana. O
despertar e uma comunicao inicial sobre o programa pode estar relacionada a problemas reais que a organizao possa
estar enfrentando. Alm disso, os benefcios iniciais podem estar associados s reas mais visveis da organizao, criando
uma plataforma para mudanas futuras com maior compromisso e adeso.
Embora a comunicao seja o fio condutor de toda a iniciativa de implementao ou melhoria, a comunicao inicial ou
divulgao inicial ou o despertar um dos mais importantes e deve demonstrar o compromisso da alta administrao.
Portanto, ela deve ser comunicada preferencialmente pelo comit executivo ou pelo Diretor-Presidente.
2FaseFormarumaEquipedeImplementaoEfetiva
As dimenses a considerar na montagem de uma equipe de implementao eficiente incluem a participao das reas
envolvidas de TI e de negcios bem como o conhecimento e competncia, experincia, credibilidade e autoridade dos
membros da equipe. A obteno de uma viso independente e objetiva, como as de participantes externos tais como
consultores e de um agente da mudana, poderiam ser altamente benficas ao auxiliar o processo de implementao ou
abordar a falta de habilidades que possam existir na organizao. Portanto, outra dimenso a considerar o mescla
adequada de recursos internos e externos.
A essncia da equipe deve ser o compromisso com:
3FaseComunicaraVisoDesejada
Um plano em alto nvel de capacitao da mudana deve ser desenvolvido em conjunto com o plano geral do programa.
Um componente importante do plano de capacitao da mudana a estratgia de comunicao, que deve definir quem so
os principais grupos de pblicos, seus perfis de comportamento, informaes requeridas, canais de comunicao e seus
princpios.
A viso desejada do programa de implementao ou melhoria deve ser comunicada na linguagem daqueles afetados por
ela. A comunicao deve conter a justificativa para a mudana e seus benefcios bem como os impactos da no
implementao da mudana (propsito), a viso (panorama), o roteiro para a realizao da viso (plano) e o envolvimento
exigido das diversas partes interessadas (participantes).7 A alta administrao deve encarregar-se de entregar as principais
mensagens (como, por exemplo, a viso desejada). Deve ser observado na comunicao que ambos os aspectos
comportamental/cultural e lgico devem ser abordados, e que a nfase est na comunicao bidirecional. Crticas,
sugestes e outros comentrios devem ser retidos e analisados.
4FaseCapacitarEspecialistaseIdentificarResultadosRpidos
Quando as principais melhorias so projetadas e criadas, os planos de resposta mudana sero desenvolvidos a fim de
capacitar os diversos especialistas. Seu escopo pode incluir:
. Mudanas no projeto organizacional tais como descrio de cargo ou estrutura das equipes
. Mudanas operacionais tais como fluxos de processo ou logstica
. Mudanas na gesto de recursos humanos tais como treinamento e/ou mudanas na gesto de desempenho ou sistemas de
bonificao
Todos os resultados rpidos que possam ser obtidos so importantes do ponto de vista de capacitao da mudana. Eles
podem estar relacionados aos pontos fracos e eventos desencadeadores discutidos no Captulo 3. Resultados rpidos
visveis e inequvocos podem criar fora e credibilidade para o programa e ajudar a enfrentar qualquer ceticismo que possa
existir.
Os quatro Ps (propsito, panorama, plano e participantes) foram extrados de: Bridges, William; Managing Transitions: Making the
Most of Change, Addison-Wesley, EUA, 1999
41
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
imperativo usar uma abordagem participativa na concepo e criao das principais melhorias. Ao envolver as pessoas
afetadas pela mudana no projeto real, por exemplo, atravs de seminrios (workshops) e sesses de anlise, a adeso pode
ser ampliada.
5FaseFacilitaraOperaoeoUso
Quando as iniciativas so implementadas dentro do ciclo de vida principal da implementao, os planos de resposta
mudana tambm sero implementados. Os resultados rpidos identificados sero compreendidos como base, e os aspectos
comportamentais e culturais da transio mais ampla sero abordados (questes como lidar com o medo da perda de
responsabilidade, novas expectativas e tarefas desconhecidas).
importante equilibrar as intervenes em grupo e individuais para aumentar o envolvimento a fim de garantir que todas
as partes interessadas obtenham uma viso holstica da mudana.
As solues sero implementadas, e durante este processo, orientao e treinamento sero crticos para garantir a aceitao
no ambiente do usurio. Os requisitos e objetivos da mudana definidos inicialmente devem ser revistos a fim garantir que
foram devidamente considerados.
As medidas de sucesso devem ser definidas e ambas devem incluir medidas de negcios difceis e medidas de percepo
que acompanhem como as pessoas se sentem em relao mudana.
6FaseIncorporarNovasAbordagens
Asmudanassosustentadas
pelaspartesinteressadasque
lideramporexemplo,atravs
doreforodaconscientizao
edeumacampanhade
comunicaocontnua.
7FaseManter
As mudanas so mantidas atravs do reforo da conscientizao e de uma campanha de comunicao contnua, e so
mantidas e demonstradas pelo constante compromisso da alta administrao.
Os planos de aes corretivos so implementados, as lies aprendidas so retidas e o conhecimento compartilhado em
toda a organizao.
42
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Introduo
A melhoria contnua da GEIT alcanada com o uso das sete fases do ciclo de vida da implementao. Cada fase
descrita com:
. Uma tabela que resume as responsabilidades de cada grupo de especialistas na fase. Observe que esses papis so
genricos e cada papel no deve necessariamente existir como uma funo especfica.
1FaseQuaisSoosDirecionadores?
As figuras 15, 16, 17 e 18 descrevem a 1 Fase.
Figura15Fase1dodaMelhoriaContinuadoCiclodeVida
43
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura16Papisna1Fase
Quando voc pertencer a...
Diretoria e administrao
Fornecer orientao em relao s necessidades das partes interessadas, estratgia de negcios, prioridades,
objetivos e princpios de orientao em relao governana e gesto de TI da organizao. Aprovar a
abordagem em alto nvel.
Administrao do negcio
Juntamente com TI, garantir que as necessidades das partes interessadas e os objetivos corporativos sejam
definidos com a clareza suficiente para permitir a interpretao em objetivos corporativos de TI, e fornecer
dados para entendimento do risco e das prioridades.
Gerncia de TI
Reunir os requisitos e objetivos de todas as partes interessadas, obtendo um consenso sobre a abordagem e o
escopo. Fornecer recomendao e orientao em relao s questes de TI.
Auditoria interna
Fornecer recomendao e desafiar as atividades e aes propostas, garantindo assim que os objetivos e
tomada de decises so feitas de maneira equilibrada. Fornecer recomendao sobre os controles e prticas
de gesto de riscos e abordagens.
Fornecer recomendao e orientao sobre o risco, conformidade e questes jurdicas. Garantir que a
abordagem proposta pelos gestores apropriada para atender o risco e cumprir os requisitos de conformidade
e jurdicos.
1 Fase
Quais So os Direcionadores?
Objetivo da fase
Descrio da fase
Esta fase articula as justificativas para agir dentro do contexto organizacional. Neste mbito o contexto,
objetivos e a atual cultura de governana do programa so definidos. O caso de negcio inicial do conceito do
programa definido. A adeso e o compromisso de todas as principais partes interessadas so obtidos.
Tarefas de capacitao de
mudana (CE)
Figura17Descrioda1Fase
44
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura17Descrioda1Fase
estrutura de governana equivalente) a fim de criar conscientizao sobre o programa, seus motivadores
e seus objetivos entre todos os participantes.
9. Eliminar quaisquer falsos sinais de segurana ou complacncia destacando, por exemplo, nmeros
relativos conformidade ou excees.
10. Incutir o nvel adequado de urgncia, dependendo da prioridade e do impacto da mudana.
Tarefas da gesto do programa
(PM)
Iniciar o programa:
1. Fornecer orientao estratgica em alto nvel e definir os objetivos do programa em alto nvel em
consenso com o comit executivo de estratgia de TI ou equivalente (se houver).
2. Definir e atribuir os papis e responsabilidades do programa em alto nvel, desde o patrocinador
executivo at o gerente do programa alm de todos os participantes importantes.
3. Criar as linhas gerais do caso de negcio indicando os fatores de sucesso a serem usados para permitir
o monitoramento do desempenho e a divulgao dos sucessos da melhoria na governana.
4. Obter o patrocnio executivo.
Entrada
45
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
2FaseOndeEstamosAgora?
As figuras 19, 20, 21 e 22 descrevem a 2 Fase
Figura192FasedoCiclodeVidadeMelhoriaContnua
Figura20Papisna2Fase
Quando voc pertencer a...
Diretoria e administrao
Administrao do negcio
Gerncia de TI
Garantir avaliaes abertas e justas das atividades de TI. Orientar a avaliao das prticas atuais. Obter
consenso.
Auditoria interna
Prestar assessoria, fornecer dados e ajudar nas avaliaes do estado atual. Se necessrio, verificar os
resultados da avaliao de forma independente.
Analisar a avaliao para garantir que o risco, conformidade e questes jurdicas tenham sido adequadamente
consideradas.
Figura21Descrioda2Fase
2 Fase
Objetivo da fase
Garantir que a equipe do programa conhea e entenda os objetivos corporativos e como as funes de
negcios e de TI devem criar valor a partir da TI para sustentar os objetivos corporativos, inclusive os projetos
significativos em andamento. Identificar os processos crticos ou outros habilitadores a ser considerados no
plano de melhoria. Identificar as prticas de gesto apropriadas para cada processo selecionado. Obter um
entendimento da atitude atual e futura da organizao quanto a sua posio em relao ao risco em geral e ao
risco de TI e determinar como isso afetar o programa. Determinar a atual capacidade dos processos
selecionados. Entender a capacidade da organizao e a capacidade para a mudana.
Descrio da fase
Esta fase identifica os objetivos corporativos e de TI, ou seja, como TI contribui com os objetivos corporativos
identificados atravs de suas solues e servios.
O foco est na identificao e anlise de como a TI cria valor para a organizao habilitando a transformao
do negcio de forma gil, tornando os atuais processos de negcios mais eficientes, tornando a organizao
mais eficaz, e atendendo aos requisitos de governana tais como gesto de risco, garantindo a segurana e
cumprindo as exigncias legais e regulatrias.
46
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura21Descrioda2Fase
2 Fase
Tarefas de capacitao de
mudana (CE)
47
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura21Descrioda2Fase
2 Fase
Entrada
. Planos de continuidade do negcio (Business Continuity Plan - BCPs), anlises de impacto, exigncias
regulatrias, arquiteturas da organizao, acordos de nvel de servio (Service Level Agreement - SLAs),
acordos de nvel operacional (Operational Level Agreement - OLAs)
. Programa de investimentos e portflios de projetos, planos de programas e projetos, metodologias de
gesto de projetos, relatrios de projetos
Recursos da ISACA
. COBIT 5 (objetivos corporativos escalonamento dos objetivos de TI e mapeamento das necessidades dos
participantes em objetivos), www.isaca.org/cobit
. COBIT 5: Habilitando Processos APO01; APO02; APO05; APO12; BAI01; MEA01; MEA02; MEA03 (usados
para a seleo do processo bem como para o planejamento e implementao do programa)
48
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura22TabelaRACIda2Fase
3FaseOndeQueremosChegar?
As figuras 23, 24, 25 e 26 descrevem a 3 Fase.
Figura233FasedoCiclodeVidadeMelhoriaContnua
Figura24Papisna3Fase
Quando voc pertencer a...
Diretoria e administrao
Administrao do negcio
Auxiliar TI com a definio das metas de capacidade. Garantir que as solues previstas estejam alinhadas aos
objetivos corporativos.
Gerncia de TI
Aplicar critrios profissionais na formulao dos planos e iniciativas de melhoria prioritrios. Obter consenso
sobre a meta de capacidade necessria. Garantir que as solues previstas estejam alinhadas aos objetivos de
TI.
Auditoria interna
Prestar assessoria e auxiliar com o posicionamento do propsito-alvo e priorizao dos problemas a serem
resolvidos. Se necessrio, verificar os resultados da avaliao atravs de consultores independentes.
Analisar os planos para garantir que o risco, conformidade e questes jurdicas tenham sido adequadamente
considerados.
49
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura25Descrioda3Fase
3 Fase
Objetivo da fase
Determinar a capacidade desejada para cada um dos processos selecionados. Determinar as diferenas entre
as posies atual e desejadas dos processos selecionados, e converter essas diferenas em oportunidades de
melhoria. Usar estas informaes para criar um caso de negcio detalhado e um plano do programa em alto
nvel.
Descrio da fase
Com base nos atuais nveis de capacidade de processo, e com o uso dos resultados da anlise dos objetivos
corporativos em relao aos objetivos de TI e a identificao da importncia do processo realizada
anteriormente, o nvel de capacidade desejado deve ser determinado para cada processo. O nvel escolhido
deve levar em considerao as referncias internas e externas disponveis. importante assegurar a
adequao do nvel escolhido ao negcio.
Depois que a atual capacidade do processo tiver sido determinada e a capacidade alvo planejada, as
diferenas entre os estados atual e desejado devero ser avaliadas e as oportunidades de melhoria
identificadas. Aps estas diferenas tiverem sido definidas, as causas raiz, problemas comuns, risco residual,
os atuais pontos fortes e melhores prticas para eliminar essas diferenas devero ser determinados.
Esta fase poder identificar algumas melhorias relativamente fceis de implementar tais como a melhoria do
treinamento, o compartilhamento das boas prticas e a padronizao de procedimentos; entretanto, a anlise
de falhas provavelmente exigir experincia considervel em tcnicas de gesto de negcios e de TI para o
desenvolvimento de solues prticas. Tambm ser necessria experincia no entendimento da mudana
comportamental e organizacional.
Poder ser necessrio o entendimento de tcnicas de processo, negcios avanados e expertise tcnica, bem
como conhecimento do negcio e dos aplicativos e servios de gerenciamento do sistema. Para garantir que
esta fase seja executada com eficcia, importante que a equipe trabalhe em conjunto com os responsveis
pelos processos de negcios e de TI e demais participantes necessrios, envolvendo especialistas internos.
Se necessrio, assessoria externa tambm dever ser obtida. O risco que no puder ser mitigado aps a
eliminao das diferenas dever ser identificado e formalmente aceito pela administrao.
2.
Analisar falhas
3.
Tarefas de capacitao de
mudana (CE)
50
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura25Descrioda3Fase
3 Fase
Descrever o guia de implementao em alto nvel para alcanar a viso (planejamento para a mudana)
bem como o envolvimento exigido dos participantes (papel desempenhado na mudana).
7. Usar a alta administrao para entregar as principais mensagens para definir a linha de orientao no
topo da organizao.
8. Usar agentes da mudana para comunicaes informais em adio s formais.
9. Comunicar atravs da ao - a equipe de orientao deve dar o exemplo.
10. Utilizar a empatia sempre que necessrio para levar as pessoas a mudar de comportamento.
11. Capturar o feedback da comunicao inicial (crticas e sugestes) e adaptar a estratgia de comunicao
de forma correspondente.
Tarefas da gesto do programa
(PM)
Entrada
1.
2.
3.
4.
5.
6.
51
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura26TabelaRACIdaFase3
4FaseOQueNecessitaSerFeito?
As figuras 27, 28, 29 e 30 descrevem a 4 Fase.
Figura274FasedoCiclodeVida
52
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura28Papisna1Fase
Quando voc pertencer a...
Diretoria e administrao
Considerar e desafiar propostas, apoiar aes justificadas, fornecer oramentos e definir prioridades, conforme
o caso.
Administrao do negcio
Juntamente com TI, garantir que as aes de melhoria propostas sejam alinhadas aos objetivos corporativos e
de TI definidos e que quaisquer atividades que exijam dados (entrada) ou ao da organizao sejam
apoiadas. Garantir que os recursos necessrios ao negcio sejam alocados e disponibilizados. Definir junto a TI
as mtricas para medir os resultados do programa de melhoria.
Gerncia de TI
Garantir a viabilidade e razoabilidade do plano do programa. Garantir que o plano seja atingvel e que hajam
recursos disponveis para executar o plano. Considerar o plano juntamente com as prioridades do portflio da
organizao de investimentos capacitados por TI a fim de definir uma base para o financiamento do
investimento.
Auditoria interna
Fornecer a garantia independente de que os problemas identificados so vlidos, os estudos de caso sero
apresentados de forma objetiva e precisa e os planos paream atingveis. Prestar consultoria e orientao de
especialistas, se for o caso.
Garantir que os problemas identificados relacionados ao risco, conformidade e questes jurdicas estejam
sendo tratados e as propostas estejam em conformidade com as polticas e regulamentos pertinentes.
Figura29Descrioda4Fase
1 Fase
Objetivo da fase
Converter as oportunidades de melhoria em projetos de contribuio justificveis. Priorizar e focar nos projetos
de alto impacto. Integrar os projetos de melhoria no plano geral do programa. Obter resultados rpidos.
Descrio da fase
Quando todas as iniciativas de melhoria em potencial forem identificadas, estas iniciativas devem ser
priorizadas em projetos formais e justificveis. Os projetos com alto benefcio e relativamente fceis de
implementar devem primeiramente ser selecionados e convertidos em projetos formais e justificveis, cada um
com um plano de projeto que inclua a contribuio do projeto aos objetivos do programa. importante verificar
se os objetivos ainda esto em conformidade com os direcionadores de valor e risco originais. Os projetos
sero includos em um caso de negcio do programa atualizado. Detalhes de quaisquer propostas do projeto
de melhoria no aprovadas devem ser armazenados em um registro para possvel considerao futura e as
oportunidades devem ser apresentadas aos patrocinadores para sua reavaliao e, conforme o caso, suas
recomendaes devero ser reenviadas em uma data posterior.
Com base em um quadro de oportunidades, as definies do projeto, o plano de recursos e o oramento de TI
e as melhorias identificadas e priorizadas so agora transformadas em um conjunto de projetos documentados
que apoiam o programa de melhoria geral. O impacto da execuo do programa sobre a organizao
determinado e um plano de mudana preparado descrevendo as atividades do programa que, em termos
prticos, garantiro que as melhorias proporcionadas pelos projetos sero aplicadas na organizao de forma
sustentvel. Um elemento importante nesta fase a definio de mtricas -ou seja, as mtricas de sucesso do
programa - que mediro a probabilidade de as melhorias do processo gerarem os benefcios do negcio
original. A programao completa do programa de melhoria deve ser documentada em uma tabela Gantt.
Novos projetos podem identificar uma necessidade de mudar ou melhorar as estruturas organizacionais ou
outros facilitadores necessrios para sustentar a governana eficaz. Se for o caso, poder ser necessrio
incluir aes para melhoria do ambiente (conforme descrito no Captulo 5).
53
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura29Descrioda4Fase
1 Fase
Considerar a viabilidade, associ-la novamente aos orientadores de valor e risco originais e definir os
projetos a serem includos no caso de negcio para aprovao.
Registrar os projetos e iniciativas no aprovados em um livro de registros para possvel considerao
futura.
Tarefas de capacitao de
mudana (CE)
Entrada
Sada
54
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura29Descrioda4Fase
1 Fase
. Plano do programa que sequencia os planos individuais de acordo com os recursos alocados, prioridades e
resultados
. Planos do projeto e procedimentos de reporte capacitados atravs dos recursos dedicados, ex: habilidades,
investimento
. Mtricas de sucesso
Figura30TabelaRACIda4Fase
5FaseComoChegamosl?
As figuras 31, 32, 33 e 34 descrevem a 5 fase.
Figura315FasedoCiclodeVidadeMelhoriaContnua
55
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura32PapisdaFase5
Quando voc pertencer a...
Diretoria e administrao
Administrao do negcio
Gerncia de TI
Garantir que a implementao inclua todo o escopo de atividades necessrias (ex: mudanas na poltica e nos
processos, solues de tecnologia, mudanas organizacionais, novas papis e responsabilidades, outros
facilitadores) e que sejam prticos e atingveis e que possam ser adotados e usados. Garantir que os
responsveis pelo processo sejam envolvidos, adotem a nova abordagem e respondam pelos processos
resultantes. Solucionar os problemas e gerenciar o risco encontrado durante a implementao.
Auditoria interna
Analisar e fornecer dados (entrada) durante a implementao a fim de evitar a identificao de habilitadores
ausentes e especialmente os principais controles aps o fato. Fornecer orientao sobre a implementao dos
aspectos de controle. Se necessrio, fornecer um servio de anlise de risco do projeto/implementao,
monitorando o risco que possa comprometer a implementao e fornecendo feedback independente s equipes
do programa e do projeto.
Fornecer a orientao necessria sobre risco, conformidade e aspectos legais durante a implementao.
Figura33Descrioda5Fase
5 Fase
Como Chegamos l?
Objetivo da fase
Descrio da fase
Os projetos de melhoria aprovados, inclusive as atividades de mudana necessrias, agora esto prontos para
implementao, de modo que as solues definidas pelo programa podem agora ser adquiridas ou
desenvolvidas e implementadas na organizao. Desta forma, os projetos se tornam parte do ciclo de vida
normal de desenvolvimento e devem ser regidos pelos mtodos de gesto de projeto e programa definidos. A
implementao da soluo deve estar em consonncia com as definies do projeto aprovado e do plano de
mudana para que as melhorias sejam sustentveis.
Esta fase geralmente exigir mais esforo e tempo entre todas as fases do ciclo de vida. recomendado,
entretanto, que a dimenso e o tempo total no seja excessivo garantindo que seja gerencivel e que os
benefcios sejam realizados em um prazo razovel. Isto particularmente verdadeiro nas primeiras iteraes,
uma vez que tambm ser uma experincia de aprendizado para todos os envolvidos.
Monitorar o desempenho de cada projeto para garantir que os objetivos estejam sendo alcanados. Enviar
relatrios de volta aos participantes em intervalos regulares para garantir que o progresso seja entendido e
esteja no caminho certo.
Implementar as melhorias:
1. Desenvolver e, quando necessrio, adquirir solues que incluam todo o escopo das atividades
necessrias, ex: cultura, tica e comportamento; estruturas organizacionais; princpios e polticas;
processos; capacidades de servio; habilidades e competncias; e informao.
2. Ao usar as boas prticas, adotar e adaptar a orientao disponvel a fim de adequar a abordagem da
organizao s polticas e procedimentos.
3. Testar a praticidade e adequao das solues no ambiente de produo.
4. Implementar as solues levando em considerao os processos existentes e requisitos de migrao.
Tarefas de capacitao de
mudana (CE)
56
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura33Descrioda5Fase
5 Fase
Como Chegamos l?
7.
8.
Executar o plano:
1. Garantir que a execuo do programa tenha como base um plano de projetos atualizado e integrado
(negcios e TI) dentro do programa.
2. Orientar e monitorar a contribuio de todos os projetos no programa para garantir a obteno dos
resultados esperados.
3. Fornecer regularmente relatrios atualizados aos participantes para garantir que o progresso seja
entendido e esteja no caminho certo.
4. Documentar e monitorar os riscos e problemas significativos do programa, e definir aes corretivas.
5. Aprovar o incio de cada fase importante do programa e comunicar isso a todos os participantes.
6. Aprovar eventuais mudanas importantes nos planos do projeto e do programa.
Entrada
Recursos da ISACA
Sada
. Melhorias implementadas
. Planos de resposta mudana implementados.
. Resultados rpidos obtidos e visibilidade do sucesso da mudana
. Comunicaes do sucesso
. Papis e responsabilidades definidas e comunicadas no ambiente de negcios de forma habitual
. Logs de mudana do projeto e logs de problemas/risco
. Medidas definidas do negcio e da percepo do sucesso
. Benefcios acompanhados para monitorar a realizao
Figura34TabelaRACIda5Fase
57
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
6FaseJChegamosL?
As figuras 35, 36, 37 e 38 descrevem a 6 fase.
Figura356FasedoCiclodeVidadeMelhoriaContnua
Figura36Papisna6Fase
Quando voc pertencer a...
Diretoria e administrao
Avaliar o desempenho no cumprimento dos objetivos originais e confirmar a obteno dos resultados
desejados. Considerar a necessidade de reorientar as atividades futuras e aplicar medidas corretivas. Auxiliar
na resoluo de problemas significativos, se necessrio.
Administrao do negcio
Gerncia de TI
Fornecer feedback e considerar a eficcia da contribuio de TI iniciativa. Usar resultados positivos para
melhorar as atuais atividades de TI. Monitorar os projetos com base na sua criticidade conforme forem
desenvolvidos, usando tcnicas de gesto do programa e do projeto, e preparar-se para alterar o plano e/ou
cancelar um ou mais projetos ou aplicar outra ao corretiva se os indicadores prvios mostrarem que um
projeto est no caminho errado e pode no atender s metas crticas. Usar as lies aprendidas para adaptar e
melhorar a abordagem de TI s futuras iniciativas.
Auditoria interna
Fornecer avaliao independente da eficcia e eficincia geral da iniciativa. Fornecer feedback e considerar a
eficcia da contribuio da auditoria iniciativa. Usar os resultados positivos para melhorar as atuais atividades
relacionadas auditoria. Usar as lies aprendidas para adaptar e melhorar a abordagem da auditoria s
iniciativas futuras.
58
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura37Descrioda5Fase
6 Fase
J Chegamos L?
Objetivo da fase
Descrio da fase
essencial que as melhorias descritas no programa sejam monitoradas atravs dos objetivos de TI e das
metas do processo usando tcnicas adequadas tais como um scorecard equilibrado de TI (BSC) e de um
registro de benefcios para verificar se os resultados da mudana foram atingidos. Isto garantir que as
iniciativas permaneam no caminho certo de acordo com os objetivos corporativos e de TI originais e
continuem a gerar os benefcios esperados do negcio. Para cada mtrica, as metas precisam ser definidas,
comparadas regularmente com a realidade e comunicadas atravs de um relatrio de desempenho.
Para garantir o sucesso, crucial que os resultados positivos e negativos das medies de desempenho
sejam reportados a todas as partes interessadas, o que criar confiana e permitir que quaisquer aes
corretivas sejam tomadas em tempo hbil. Os projetos devem ser monitorados conforme so desenvolvidos,
usando tcnicas de gesto de programa e de projeto, e a preparao deve ser feita para alterar o plano e/ou
cancelar o projeto se os primeiros indicadores mostrarem que um projeto est no caminho errado e pode no
atender s metas crticas.
Operar e medir:
1. Definir as metas de cada mtrica para um prazo definido. As metas devem permitir que o desempenho e
as aes de melhoria de TI sejam monitoradas e o sucesso ou possveis falhas determinadas.
2. Quando possvel, obter as atuais medidas vigentes destas mtricas.
3. Reunir as medidas vigentes e compar-las com as metas regularmente, ex: mensalmente, e investigar
eventuais variaes significativas.
4. Quando variaes indicarem que aes corretivas so necessrias, desenvolver e determinar as medidas
corretivas propostas.
5. Ajustar as metas de longo prazo com base na experincia, se necessrio.
6. Comunicar os resultados positivos e negativos do monitoramento do desempenho s partes
interessadas, com recomendaes para quaisquer medidas corretivas.
Tarefas de capacitao de
mudana (CE)
Realizar os benefcios:
1. Monitorar o desempenho geral do programa em comparao com os objetivos do business case.
2. Monitorar o desempenho do investimento (custo comparado ao oramento e realizao de benefcios).
3. Documentar as lies aprendidas (positivas e negativas) para iniciativas de melhoria subsequentes.
Entrada
. Melhorias implementadas.
. Planos de resposta mudana implementados.
. Resultados rpidos obtidos e comunicaes do sucesso.
. Papis e responsabilidades definidos e comunicados no ambiente normal de negcio.
. Logs de mudana do projeto e logs de problema/risco.
. Medidas de sucesso do negcio e da percepo definidas.
. Objetivos de TI e metas do processo de TI identificadas em decorrncia das anlises de requisitos.
. Mtricas e/ou processos de registro existentes (scorecards)
. Benefcios do caso de negcio (business case).
59
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura37Descrioda5Fase
6 Fase
J Chegamos L?
. COBIT 5: Habilitando Processos (como dados (entrada) de boas prticas e EDM05, APO05, BAI01,
MEA01), www.isaca.org/cobit
7FaseComoMantemosaDinmica?
As figuras 39, 40, 41 e 42 descrevem a 7 fase.
Figura397FasedoCiclodeVidadeMelhoriaContnua
60
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
Figura40PapisdaFase7
Quando voc pertencer a...
Diretoria e administrao
Fornecer orientao, definir os objetivos e alocar as papis e responsabilidades para abordagem corporativa
contnua e melhoria do GEIT. Continuar a definir o tom no alto escalo, desenvolver estruturas
organizacionais e incentivar uma cultura de boa governana e prestao de contas para responsabilidade entre
os executivos de negcios e de TI. Garantir que TI est ciente e, se apropriado, envolvida nos novos objetivos e
requisitos do negcio da forma mais oportuna possvel.
Administrao do negcio
Demonstrar apoio e compromisso continuando a trabalhar positivamente com TI para melhorar a GEIT e tornla uma atividade normal de negcio. Verificar se os novos objetivos da GEIT esto alinhados aos atuais
objetivos corporativos.
Gerncia de TI
Orientar e exercer uma forte liderana para sustentar a dinmica do programa de melhoria. Participar das
atividades de governana como parte da prtica normal de negcio. Criar polticas, padres e processos para
garantir que a governana se torne uma atividade normal de negcio.
Auditoria interna
Fornecer dados (entrada) objetivos e construtivos, incentivar a auto avaliao e garantir administrao que a
governana est trabalhando eficientemente, criando assim confiana em TI. Fornecer auditorias contnuas
com base em uma abordagem de governana integrada usando critrios compartilhados com as reas de TI e
de negcio com base no modelo do COBIT.
Trabalhar com as reas de TI e de negcio para antecipar as exigncias legais e regulatrias e identificar e
responder ao risco relacionado de TI como uma atividade normal na GEIT.
Figura41Descrioda7Fase
6 Fase
Objetivo da fase
Avaliar os resultados e a experincia obtidos com o programa. Registrar e compartilhar quaisquer lies
aprendidas. Melhorar as estruturas organizacionais, processos, papis e responsabilidades para mudar o
comportamento da organizao de modo que a GEIT se torne uma atividade normal de negcio e
constantemente otimizada. Garantir que novas aes necessrias orientem as demais iteraes do ciclo de
vida.
Monitorar continuamente o desempenho, garantir que os resultados sejam reportados regularmente e orientar
o compromisso e a propriedade da prestao de contas e responsabilidades.
Descrio da fase
Esta fase permite que a equipe determine se o programa produziu os resultados esperados. Isto pode ser feito
comparando os resultados com o critrio de sucesso original e reunindo o feedback da equipe de
implementao e partes interessadas atravs de entrevistas, seminrios e pesquisas de satisfao. As lies
aprendidas podem conter informaes valiosas para os membros da equipe e partes interessadas do projeto
para uso em iniciativas contnuas e projetos de melhoria. Isto envolve o monitoramento contnuo, reporte
regular e transparente e a confirmao os prestadores de contas das
Demais melhorias so identificadas e usadas como dados (entrada) na prxima iterao do ciclo de vida.
Nesta fase, a organizao deve basear-se nos sucessos e nas lies aprendidas com o(s) projeto(s) de
implementao da governana para criar e reforar o compromisso entre as partes interessadas em TI e
negcios para um continuo aperfeioamento da governana de TI.
Polticas, estruturas organizacionais, papis e responsabilidades e processos de governana devem ser
desenvolvidos e otimizados de modo que GEIT opere efetivamente como parte da prtica normal de negcio e
haja uma cultura de apoio a ela, demonstrada pela alta administrao.
Monitorar e avaliar:
1. Identificar novos objetivos e requisitos de governana com base nas experincias obtidas, atuais
objetivos de negcio para TI ou outros eventos desencadeadores:
a.
b.
c.
d.
2.
61
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura41Descrioda7Fase
3.
Comunicar os requisitos das novas melhorias s partes interessadas e document-las para uso como
entrada na prxima iterao do ciclo de vida.
Tarefas de capacitao de
mudana (CE)
Sustentar:
1. Fornecer um reforo consciente e uma campanha de comunicao contnua, bem como demonstrar o
compromisso contnuo da alta administrao.
2. Confirmar a conformidade com os objetivos e requisitos.
3. Monitorar continuamente a eficcia da mudana em si, as atividades de capacitao da mudana e a
adeso das partes interessadas.
4. Implementar planos de ao corretiva quando necessrio.
5. Fornecer feedback sobre o desempenho, recompensar objetivos alcanados e divulgar os sucessos.
6. Basear-se nas lies aprendidas.
7. Compartilhar o conhecimento da iniciativa com toda a organizao.
Entrada
Recursos da ISACA
Sada
62
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 7
USO OS COMPONENTES DO COBIT 5
CAPTULO 7
USO OS COMPONENTES DO COBIT 5
ConsideraessobreTransioparaUsuriosdoCOBIT4.1,ValITeRiskIT
Os usurios do COBIT 4.1, Val IT e Risk IT que j esto envolvidos em atividades de implementao da Governana e
Gesto Corporativa de TI - GEIT podem passar a usar o COBIT 5 e beneficiar-se da mais recente e aperfeioada orientao
oferecida durante as prximas iteraes do ciclo de vida de melhoria de suas organizaes. O COBIT 5 baseia-se nas
verses anteriores do COBIT, Val IT e Risk IT de modo que as organizaes tambm podem se basear naquilo que
desenvolveram utilizando as verses anteriores. As implementaes sero sempre adaptadas ao ambiente e s necessidades
especficas da organizao seguindo a verso do COBIT mais recente e outras orientaes, conforme apropriado. Estes
materiais continuaro a evoluir com o tempo de acordo com a mudana das condies e o aperfeioamento das prticas. Os
princpios do COBIT 5 so apresentados na figura 43.
Figura43PrincpiosdoCOBIT5
Segue abaixo um resumo das principais mudanas no COBIT 5 e como elas podem afetar a implementao.
Novos princpios da GEIT:
. Maior foco nos habilitadores - O COBIT 5 introduz um maior foco nos habilitadores necessrios para uma GEIT
eficiente, alm dos modelos de habilitadores do processo conhecidos. Estes habilitadores adicionais tambm so
referenciados em diversos processos do COBIT 5 conforme descrio no Captulo 2.
. Novo Modelo de Referncia de Processo - O COBIT 5 baseia-se em um modelo de processo revisado com um novo
domnio de governana e diversos processos novos e modificados que agora cobrem as atividades corporativas de ponta a
ponta, ou seja, negcios e TI. O COBIT 5 consolida o COBIT 4.1, Val IT e Risk IT em um nico modelo renovado para
se alinhar s boas prticas atuais. O novo modelo pode ser usado como um guia para ajustar, conforme necessrio, o
prprio modelo de processo da organizao.
. Processos novos e modificados:
O COBIT 5 apresenta cinco novos processos de governana que potencializaram e melhoraram as abordagens de
governana do COBIT 4.1, Val IT e Risk IT e ajudaro a aperfeioar e fortalecer as prticas da Governana e Gesto
Corporativa de TI - GEIT em nvel de gesto executiva integradas s prticas de governana corporativa existentes e
alinhadas ao ISO/IEC 38500.
O COBIT 5 simplificou os processos de gesto e integrando o contedo do COBIT 4.1, Val IT e Risk IT em um nico
modelo. COBIT 5: Habilitando Processos fornece uma referncia cruzada completa no Apndice A. Diversos
processos foram criados e modificados para refletir o pensamento atual, especificamente em:
APO03 Gerenciar Arquitetura da Organizao.
APO04 Gerenciar Inovao.
APO05 Gerenciar Portflio
APO06 Gerenciar Oramento e Custos.
APO08 Gerenciar Relacionamentos.
APO13 Gerenciar Segurana.
BAI05 Gerenciar Capacitao da Mudana Organizacional.
BAI08 Gerenciar Conhecimento
BAI09 Gerenciar Ativos
63
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
DSS05 Gerenciar Servios de Segurana.
DSS06 Gerenciar Controles do Processo de Negcio.
Os processos do COBIT 5 agora abordam de ponta a ponta as atividades do negcio e de TI, ou seja, uma viso
corporativa completa. Dessa maneira provendo uma cobertura mais holstica e completa das prticas, refletindo a
disposio presente na organizao em relao ao uso de TI. Isto torna o envolvimento, responsabilidades e prestao
de contas as partes interessadas da rea de negcios explcitas e transparentes.
. Prticas e atividades:
A governana do COBIT 5 ou prticas de gerenciamento so equivalentes aos objetivos de controle do COBIT 4.1 e
processos do Val IT e Risk IT.
As atividades do COBIT 5 so equivalentes s prticas de controle do COBIT 4.1 e prticas de gerenciamento do Val
IT e Risk IT.
O COBIT 5 integra e atualiza todo o contedo anterior em um nico e novo modelo, com um nvel consistente de
detalhamento, com toda a orientao fornecida no COBIT 5: Habilitando Processos, facilitando aos usurios o
entendimento e o uso deste material ao implementar as melhorias.
. Metas e mtricas:
O COBIT 5 segue os mesmos conceitos de metas e mtricas do COBIT 4.1, Val IT e Risk IT, mas estes esto
renomeados em objetivos corporativos, metas de TI e metas do processo, refletindo assim uma viso do nvel
corporativo macro.
O COBIT 5 fornece um escalonamento revisado dos objetivos com base agora nos objetivos corporativos que orientam
os objetivos de TI que, por sua vez, so apoiados por processos crticos. Isto semelhante ao escalonamento de
objetivos do COBIT 4.1 com um conjunto atualizado de objetivos e relacionamentos, alm de relacionamentos
primrios e secundrios mais detalhados. Este escalonamento continua sendo uma ferramenta importante na definio
do alinhamento estratgico e escopo dos processos importantes.
O COBIT 5 fornece exemplos de metas e mtricas da organizao, processos e nveis de prtica de gesto. Isto
diferente do COBIT 4.1, Val IT e Risk IT, que cobriam um nvel menor.
. Entradas e sadas:
O COBIT 5 fornece entradas e sadas para cada prtica de gesto, sendo que o COBIT 4.1 fornece isto somente ao
nvel de processo. Isto oferece uma orientao mais detalhada para o desenvolvimento de processos incluindo produtos
do trabalho crticos e auxiliando na integrao dos processos.
. Tabelas RACI:
O COBIT 5 disponibiliza uma tabela RACI que descreve as papis e responsabilidades de forma semelhante ao
COBIT 4.1, Val IT e Risk IT.
O COBIT 5 disponibiliza uma srie de tabelas genricas e de especialistas em TI e em negcios mais completa,
detalhada e clara do que o COBIT 4.1 para cada prtica de gesto, habilitando uma melhor definio das
responsabilidades do especialista ou nvel de envolvimento no desenvolvimento e implementao dos processos.
. Modelos e avaliaes de maturidade da capacidade do processo (consultar tambm a 2 e 3 Fases na discusso do
ciclo de vida da implementao):
O COBIT 5 interrompe a abordagem da maturidade de capacidade com base no modelo do Capability Maturity Model
(CMM) do COBIT 4.1, Val IT e Risk IT, e agora apoia um novo esquema de avaliao de capacidade com base no
ISO/IEC 15504. Uma orientao sobre como realizar uma auto avaliao de capacidade ser fornecida no guia de auto
avaliao planejado para o COBIT 5.
Segue abaixo um resumo de como fazer uma anlise de deficincias com base no padro:
64
Personal Copy of: Mr. Wanderley Martins Junior
CAPTULO 7
USO OS COMPONENTES DO COBIT 5
Classificaes de atributos do processo desequilibradas dentro dos nveis de capacidade necessrios para atingir um
As abordagens do COBIT 4.1, Val IT e Risk IT com base no CMM no so consideradas compatveis com a abordagem do
COBIT 5 - ISO/IEC 15504 pois os mtodos usam atributos e escalas de medio diferentes. A abordagem do COBIT 5
considerada pela ISACA por ser mais robusta, confivel e repetitiva e tambm apoiar uma avaliao formal por
avaliadores credenciados, permitindo organizao obter uma avaliao independente e certificada, alinhada ao padro
ISO/IEC. O Captulo 8 do COBIT 5 fornece uma descrio completa do novo modelo de capacidade de processo do
COBIT 5 e como ele se compara abordagem anterior usada no COBIT 4.1, Val IT e Risk IT.
Os usurios do COBIT 4.1, Val IT e Risk IT que desejam adotar a nova abordagem do COBIT 5 devero realinhar suas
classificaes anteriores, adotar e aprender o novo mtodo e iniciar um novo conjunto de avaliaes para obter os
benefcios desta nova abordagem. Embora algumas das informaes reunidas nas avaliaes anteriores possam ser
reutilizadas, ser necessrio cuidado na migrao desta informao porque h diferenas significativas nos requisitos.
Os usurios do COBIT 4.1, Val IT e Risk IT que desejam continuar com a abordagem baseada no CMM, seja como uma
abordagem parcial ou contnua, podem usar a orientao do COBIT 5, mas devem usar a tabela de atributos genricos do
COBIT 4.1 sem os modelos de maturidade em alto nvel. O procedimento em linhas gerais o seguinte:
1.
2.
3.
4.
5.
Comparar o escopo do processo com as prticas e atividades de governana e gesto do COBIT 5 a fim de identificar
eventuais falhas (assumindo que a administrao tenha aceitado e concordado com o escopo integral da orientao do
COBIT 5). Para atender ao nvel 3 (definido) e acima, todas as prticas devero ter sido contempladas.
Comparar o detalhamento do processo com a tabela de atributos de maturidade do COBIT 4.1 (Apndice E) e avaliar o
nvel alcanado por cada atributo. Alm disso, ao avaliar cada atributo, considerar se as seguintes orientaes de
processo do COBIT 5 esto sendo bem aplicadas de modo geral:
Conscientizao e comunicao - EDM01.02 e APO01.04
Polticas, planos e procedimentos - EDM01.02, APO01.03 e APO01.08
Ferramentas e automao - APO03.02
Habilidades e expertise - APO07.03
Responsabilidade e obrigao - Tabela RACI do processo e EDM01.02 e APO01.02
Definio e medio das metas - APO07.04 e MEA01
Comparar com qualquer caso de negcio e modelos disponveis que possam existir para verificar a razoabilidade da
avaliao.
Definir o nvel geral de maturidade para o atributo com o nvel mais baixo (a menos que um atributo no seja
considerado de forma substancialmente significativa para a capacidade do processo) embora tambm considerando a
cobertura das prticas de governana e gesto. Usar classificaes com nmeros inteiros ao invs de "fraes" ou
porcentagens. O xito em um nvel alcanado somente quando todos os pontos de melhoria forem atendidos. A
administrao necessita de uma viso transparente e realista se esta ter de patrocinar as melhorias.
Analisar a diferena entre os nveis atuais e esperados considerando os pontos fortes e fracos do atual processo em
comparao com a orientao sobre as prticas e atividades de governana e gesto do COBIT 5, os habilitadores do
COBIT 5 e outros padres e boas prticas significativas.
PlanejamentoeEscopo
O COBIT 5 e o material de apoio deste guia so uma forma eficiente de entender as prioridades e requisitos do negcio e
de governana e este conhecimento pode ser utilizado ao implementar habilitadores de governana e gesto melhorados.
Esta abordagem tambm aprimora a elaborao dos estudos de caso de melhorias na governana, obtendo o apoio das
partes interessadas bem como a realizao e monitoramento dos benefcios esperados.
A relao pode ser resumida neste fluxo descendente. O COBIT 5 ajuda a garantir o alinhamento estratgico e orienta
sobre o que fazer, apoiado pelo escalonamento dos objetivos corporativos em objetivos de TI para os processos de TI
fornecidos e explicados conforme a seguir:
- Objetivos corporativos
- Objetivos de TI
- Requisitos de Governana e Gesto
- Processos crticos de TI
- Prticas e atividades de governana e gesto priorizadas
65
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Ter um claro reconhecimento das atuais necessidades da parte interessada em relao Governana e Gesto Corporativa
de TI GEIT (conforme descrito no Captulo 3, figuras 7 e 8 e mencionado no COBIT 5) e dos atuais objetivos
corporativos e como eles afetam a Governana e Gesto Corporativa de TI GEIT muito til por trs motivos:
ControledeDesempenho
Um princpio importante de boa governana o de que a administrao deve fornecer orientao usando objetivos
claramente definidos e comunicados e ento gerenciar a adeso aos objetivos atravs da aplicao das prticas adequadas.
Monitorar o desempenho usando mtricas permite que a administrao garanta o alcance dos objetivos.
Os objetivos corporativos e de TI do COBIT 5 so usados como uma base para definir as metas de TI e definir uma
estrutura de medio de desempenho. Os objetivos de TI so expressos como metas e devem ser alinhados aos objetivos
corporativos. O COBIT 5 fornece estruturas para definir estes objetivos em trs nveis: Organizao, TI em geral e
Processos de TI. Estes objetivos so baseados em mtricas conhecidas como medies de resultado porque medem o
resultado do objetivo desejado. As mtricas em um nvel especfico tambm atuam como orientadores de desempenho
visando o alcance dos objetivos em alto nvel. Estas metas e mtricas podem ser usadas para definir os objetivos e
monitorar o desempenho implementando uma anlise por pontos (scorecards) e relatrios de desempenho, e tambm para
orientar melhorias.
O COBIT 5 fornece orientao sobre como dividir e classificar os objetivos corporativos e criar mtricas de
monitoramento com base no Balanced Scorecard (BSC).
PrticaseAtividadesdeGovernanaeGesto
O COBIT 5 simplifica a distino entre as prticas de governana e de gesto com a adio de um novo domnio de
governana. O modelo do COBIT 5 explica as diferenas entre governana e gesto de TI na organizao. A elaborao de
processos e procedimentos especficos com base no COBIT 5 deve sempre se adequar s necessidades da cultura, estilo de
gesto e ambiente de TI da organizao. A orientao contida no COBIT 5 deve ser adaptada de forma adequada.
Sugerimos a adoo das boas prticas recomendadas, porm devem ser adaptadas de modo a serem prticas e apropriadas a
cada objetivo e necessidade da organizao. As atividades fornecem orientao sobre o que deve ser implementado para
cumprir uma prtica de gesto especfica.
As prticas e atividades do COBIT 5 baseiam-se nos atuais padres e boas prticas pertinentes que tambm devem ser
utilizados para obter uma orientao mais detalhada.
PapiseResponsabilidades
Para cada processo, o COBIT 5 fornece exemplos de tabelas RACI que indicam quem o Responsvel, quem Presta
Contas e quem deve ser Consultado ou Informado sobre as atividades do processo para uma srie de especialistas comuns
(de ponta a ponta, negcios e TI). Os especialistas podem ser pessoas (tais como o Diretor Financeiro ou Diretor de
Operaes) ou estruturas (tais como a administrao ou comit de risco corporativo). Definir a responsabilidade e a
obrigao um princpio importante da GEIT da organizao. Estas tabelas podem ser usadas como uma base para adaptar
as tabelas RACI especficas para os processos de TI.
66
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE A
MAPEAMENTO DE DIFICULDADES (PAIN POINTS) EM PROCESSOS DO COBIT 5
APNDICE A
MAPEAMENTO DE DIFICULDADES (PAIN POINTS) EM PROCESSOS DO COBIT 5
A figura 44 mostra o conjunto completo com os 37 processos de governana e de gesto do COBIT 5. O detalhamento dos
processos, de acordo com o modelo de processo descrito anteriormente, foi includo no COBIT 5: Habilitando Processos.
Figura44ModelodeRefernciadeProcessodoCOBIT5
67
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
A figura 45 fornece exemplos de pontos fracos (discutidos no Captulo 3) e exemplos de processos do COBIT 5 que
podem ser selecionados para a respectiva orientao sobre estes pontos fracos.
Figura45MapeamentodeDificuldadesemProcessosdoCOBIT5
Dificuldades
Processos do COBIT 5
Problemas com a prestao de servios terceirizados tais como nveis de servio acordados que
no esto sendo atingidos de forma consistente
EDM03, MEA03
MEA02
EDM04, APO07
MEA02
68
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE B
EXEMPLO DE MATRIZ DE DECISO
APNDICE B
EXEMPLO DE MATRIZ DE DECISO
A figura 46 um exemplo de como identificar as principais reas que exigem papis e responsabilidades de tomada de
deciso bem definidas. Ele disponibilizado como um guia e, se considerado til, pode ser modificado e adaptado para se
adequar organizao e aos requisitos especficos da organizao.
Figura46ExemplodeMatrizdeDeciso
Gesto de TI
Gesto do Negcio
Funcionrios
Estratgia do
negcio
A/R
A/R
A/R
A/R
Comit de Segurana
Governana
Comit de Estratgia de TI
Escopo
Comit Executivo
Tpico de Deciso
corporativos
Polticas de TI
Estratgia de TI
Orientao da
tecnologia de TI
Mtodos e modelos
de TI
Arquitetura
corporativa
69
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Figura46ExemplodeMatrizdeDeciso
Gesto de TI
Gesto do Negcio
Funcionrios
C/I
C/I
C/I
A/R
Comit de Segurana
Escopo
Comit de Estratgia de TI
Tpico de Deciso
Comit Executivo
Investimento
habilitado por TI e
priorizao do
programa
Gesto,
monitoramento e
avaliao de SLAs
Gerenciamento de
aplicativos de TI
70
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE B
EXEMPLO DE MATRIZ DE DECISO
Figura46ExemplodeMatrizdeDeciso
Comit de Segurana
Gesto de TI
Gesto do Negcio
Funcionrios
A/R
C/I
A/R
C/I
A/R
C/I
Comit de Estratgia de TI
Escopo
Comit Executivo
Tpico de Deciso
. Manuteno da infraestrutura de TI
. Definio das polticas, planos e procedimentos de segurana
de TI e monitoramento, deteco, relatrio e soluo de
vulnerabilidades e incidentes de segurana
. Entendimento dos requisitos, vulnerabilidades e ameaas
relativas segurana em alinhados com os requisitos do
negcio e o impacto sobre ele
. Gesto das identificaes e autorizaes do usurio de forma
padronizada
. Testar a segurana regularmente
Aquisio e
contratos
Conformidade de TI
71
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
72
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE C
MAPEAMENTO DE EXEMPLOS DE CENRIOS DE RISCO EM PROCESSOS DO COBIT 5
APNDICE C
MAPEAMENTO DE EXEMPLOS DE CENRIOS DE RISCO EM PROCESSOS DO COBIT 5
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
Novas tecnologias
Seleo de tecnologia
IMPLEMENTAO
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
Economia do projeto de TI
GEIT
e de TI
Realizao do projeto
74
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE C
MAPEAMENTO DE EXEMPLOS DE CENRIOS DE RISCO EM PROCESSOS DO COBIT 5
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
desenvolvimento de TI terceirizado
Qualidade do projeto
programa/projeto
Conformidade regulatria
Roubo de infraestrutura
Pessoal de TI
principais funcionrios de TI
IMPLEMENTAO
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
Integridade do software
Infraestrutura (hardware)
Desempenho do software
Capacidade do sistema
Obsolescncia do software de
infraestrutura
aplicativos crticos
. Problemas de desempenho intermitentes
com sistema de software importante
software
capacidade e desempenho
agilidade
software em operao
. Uso de sistema de banco de dados obsoleto
capacidade e desempenho
recursos
atuais problemas de capacidade de TI
Ataques lgicos
os sistemas
. Ataque de negao de servio
. Desfigurao do Website
. Espionagem industrial
ativos de TI
segurana
76
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE C
MAPEAMENTO DE EXEMPLOS DE CENRIOS DE RISCO EM PROCESSOS DO COBIT 5
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
Mdia da informao
ativos de TI
telecomunicaes, eletricidade)
. Falhas constantes ou prolongadas nas
instalaes
fornecedores de utilitrios
sindicato de trabalhadores
Invaso lgica
Conformidade contratual
Ambiental
servio
fornecedor
Aes da natureza
. Terremoto
. Tsunami
. Fortes tempestades/furaces
. Incndios de grandes propores
77
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
78
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE D
EXEMPLO DE CASO DE NEGCIO
APNDICE D
EXEMPLO DE CASO DE NEGCIO
Obs.: Este exemplo fornecido como um guia genrico e no prescritivo para incentivar a elaborao de um caso de
negcio que justifique o investimento em um programa de implementao da GEIT. Cada organizao tem seus prprios
motivos para melhorar a GEIT e sua prpria abordagem para preparao dos estudos de caso, que pode variar desde uma
abordagem detalhada com nfase nos benefcios quantificados at uma abordagem de nvel e qualidade mais elevados. As
organizaes devem seguir o atual caso de negcio interno e as abordagens de justificativa do investimento, se houver, e
usar este exemplo e a orientao contida nesta publicao para ajudar a se concentrar em todos os problemas que devem
ser abordados. Mais orientaes sobre a elaborao dos estudos de caso podem ser encontradas no processo APO05 do
COBIT 5 e no The Business Case Guide: Using Val IT 2.0.
O exemplo de cenrio de uma grande organizao multinacional com uma combinao de unidades de negcios
tradicionais bem estabelecidas e com novos negcios com base na Internet que adotam as tecnologias mais recentes.
Muitas das unidades de negcios foram adquiridas e esto presentes em diversos pases com diferentes ambientes polticos,
culturais e econmicos locais. A gerncia executiva do grupo central tem sido influenciada pela orientao de governana
corporativa mais recente, inclusive o COBIT, que tem sido usada de forma centralizada por algum tempo. Eles querem
garantir que a rpida expanso e adoo de TI avanada em muitos de seus negcios crie o valor esperado e ainda gerencie
os novos riscos significativos. Eles instruram, entretanto, a adoo pela organizao de uma abordagem GEIT uniforme
que tambm inclui o envolvimento das funes de auditoria e de risco bem como o relatrio anual interno da administrao
da unidade de negcios sobre a adequao dos controles em todas as entidades.
Embora o exemplo seja derivado de situaes reais, ele no reflete o caso de uma organizao real especfica.
SumrioExecutivo
Este caso de negcio documenta as linhas gerais do escopo do programa GEIT proposto pela Acme Corporation com base
no COBIT.
necessrio um caso de negcio adequado para garantir que a diretoria da Acme Corporation e que cada unidade de
negcios adote a iniciativa, identifique os potenciais benefcios e ento monitore o caso de negcio para garantir que os
benefcios esperados sejam obtidos.
O escopo inclui todas as entidades de negcios que constituem a Acme Corporation. Deve-se reconhecer que alguma forma
de priorizao ser aplicada sobre todas as entidades para cobertura inicial pelo programa GEIT, devido aos recursos
limitados do programa.
H uma srie de participantes interessados nos resultados do programa GEIT, que vo desde o conselho de administrao
da Acme Corporation at a administrao local de cada entidade, bem como participantes externos tais como acionistas e
rgos governamentais.
Alguns desafios significativos devem ser considerados, alm do risco, na implementao do programa GEIT na escala
global necessria. Um dos aspectos mais desafiadores a natureza empreendedora de muitos dos negcios de Internet, bem
como o modelo de negcios descentralizado ou federativa existente na Acme Corporation.
O objetivo do programa GEIT ser atingido concentrando-se na capacidade dos processos da Acme Corporation e outros
facilitadores em relao aos definidos no COBIT, relevantes a cada unidade de negcios. Os processos relevantes e
priorizados que recebero ateno em cada entidade sero identificados atravs de uma abordagem de seminrios
(workshop) facilitada pelos membros do programa GEIT, comeando com os objetivos corporativos de cada unidade, bem
como os cenrios de risco de TI do negcio aplicados unidade de negcios especfica.
O objetivo do programa GEIT garantir que as estruturas de governana adequadas sejam adotadas e aumentar o nvel de
capacidade e adequao dos processos de TI relevantes, com a expectativa de que conforme a capacidade de um processo
de TI aumente, o risco associado diminua proporcionalmente e sua eficincia e qualidade aumentem. Desta forma, os reais
benefcios do negcio podem ser obtidos em cada unidade de negcios.
Uma vez que o processo de avaliao do nvel de capacidade dentro de cada unidade de negcios houver sido estabelecido,
espera-se que as auto avaliaes continuem em cada unidade de negcios como uma prtica de negcios normal.
O programa GEIT ser realizado em duas fases distintas. A primeira a fase de desenvolvimento, onde a equipe
desenvolver e testar a abordagem e o conjunto de ferramentas que ser usado na Acme Corporation. No final da 1 fase,
os resultados sero apresentados administrao do grupo para aprovao final. Uma vez que a aprovao final tiver sido
obtida na forma de um caso de negcio aprovado, o programa GEIT ser implementado na entidade de acordo com a sua
definio.
79
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Deve-se observar que no responsabilidade do programa GEIT implementar as aes corretivas identificadas em cada
unidade de negcios. O programa GEIT meramente reportar o progresso informado por cada unidade de negcios, de
forma consolidada.
O desafio final que dever ser atingido pelo programa GEIT o de reportar os resultados de forma sustentvel de agora em
diante. Este aspecto tomar tempo e bastante discusso e o desenvolvimento ter de ser dedicado a isso, o que resultar em
um aperfeioamento dos atuais mecanismos de reporte e painis de resultados corporativos.
Um oramento inicial para a fase de desenvolvimento do programa GEIT ter sido elaborado. O oramento ser detalhado
em uma tabela separada. Um oramento detalhado tambm ser concludo para a 2 fase do projeto e enviado para
aprovao pela administrao do grupo.
Referncia(VerCaptulo2.PosicionamentoGEIT)
GEIT uma parte integral da governana corporativa geral e concentra-se no desempenho de TI e na gesto do risco
atribuvel s dependncias de TI que a organizao tem.
TI est integrada s operaes dos negcios da Acme Corporation e para muitos, especialmente os negcios de Internet,
est no centro de suas operaes. Portanto, GEIT segue a estrutura de gesto do grupo, um formato descentralizado. A
gesto de cada subsidiria/unidade de negcios responsvel por garantir que os processos adequados sejam
implementados visando a GEIT.
Anualmente, a gesto de cada subsidiria importante obrigada a enviar um relatrio formal por escrito ao comit de risco
apropriado, que um subconjunto da diretoria, sobre em que medida a poltica GEIT foi implementada durante o exerccio
financeiro. Excees significativas devem ser reportadas em cada reunio do comit de risco em questo.
O conselho de administrao, com o auxlio dos comits de risco e do conselho fiscal, garantir que o desempenho da
GEIT do grupo seja avaliado, monitorado, reportado e divulgado em uma declarao sobre a GEIT como parte do relatrio
integrado. Essa declarao ter como base os relatrios obtidos junto s equipes de auditoria interna, risco e conformidade
e administrao de cada subsidiria importante a fim de fornecer aos participantes internos e externos informaes
relevantes e confiveis sobre a qualidade do desempenho GEIT do grupo.
Os servios de auditoria interna garantiro administrao e ao conselho fiscal a adequao e eficincia da GEIT.
O risco de TI do negcio ser reportado e discutido como parte de um processo de gesto de risco nos registros de riscos
apresentados ao comit de risco pertinente.
DesafiosdeNegcio(VerCaptulo3.PrimeirosPassosIdentificaraNecessidadedeAgir:
ReconhecerPontosFracoseEventosDesencadeadores)
Devido natureza penetrante de TI e ao ritmo das mudanas tecnolgicas, uma estrutura confivel necessria para
controlar adequadamente todo o ambiente de TI e evitar falhas no controle que possam expor a organizao a um risco
inaceitvel.
A inteno no impedir o funcionamento das operaes de TI das diversas entidades operacionais. Em vez disso,
pretende-se melhorar o perfil de risco das entidades de modo a fazer sentido para os negcios e ainda aumentar a qualidade
e eficincia do servio, e ao mesmo tempo alcanar explicitamente a conformidade no apenas com a diretriz de GEIT do
grupo Acme Corporation, mas tambm com quaisquer outros requisitos legislativos, regulatrios e/ou contratuais.
Alguns exemplos de pontos de ateno enfrentados so:
. Esforos de garantia de TI complicados devido natureza empreendedora de muitas das unidades de negcios
. Modelos de operao de TI complexos devido aos modelos de negcios com base nos servios de internet em uso
. Entidades geograficamente dispersas, compostas por diversas culturas e idiomas
. O modelo de controle de negcios descentralizado/federado e altamente autnomo empregado no grupo
. Nveis razoveis de implementao de gesto de TI, considerando-se uma fora de trabalho de TI altamente tcnica e, s
vezes, voltil
. Equilbrio por TI da orientao da organizao relativa s capacidades de inovao e agilidade do negcio com a
necessidade de administrar o risco e ter o controle adequado
. Resultados de auditoria regular sobre os fracos controles de TI e problemas reportados sobre a qualidade do servio de TI
. Prestao de servios novos e inovadores em um mercado altamente competitivo com sucesso e dentro do prazo
80
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE D
EXEMPLO DE CASO DE NEGCIO
AnlisedeLacunas(Gap)eObjetivos
No h atualmente no mbito do grupo uma abordagem ou um modelo de GEIT nem o uso de boas prticas e padres de
TI. No mbito de unidade de negcios local h diversos nveis de adoo de boas prticas em relao GEIT.
Consequentemente, muito pouca ateno dada tradicionalmente ao nvel de capacidade do processo de TI. Com base na
experincia, os nveis geralmente so baixos.
O objetivo do programa GEIT , portanto, aumentar o nvel de capacidade e adequao dos processos e controles de TI
adequados para cada unidade de negcios, de forma priorizada.
O resultado deve ser a identificao e articulao do risco significativo e a administrao deve estar em condies de tratar
o risco e informar sobre seu status. Conforme o nvel de capacidade de cada unidade de negcios aumenta, o perfil de risco
de TI do negcio de cada entidade deve diminuir e a qualidade e eficincia devem aumentar na mesma proporo.
Em ltima anlise, o valor do negcio dever aumentar em funo da eficincia da GEIT.
AlternativasConsideradas
H muitas estruturas de TI, cada uma tentando manter aspectos especficos de TI sob controle. O modelo do COBIT
considerado por muitos a lder mundial em modelos de controle e de GEIT. O modelo do COBIT foi implementado por
algumas subsidirias do grupo. Tambm foi especificamente mencionada no relatrio do King III8 como um possvel
modelo a ser implementada para GEIT.
O COBIT foi escolhido pela Acme Corporation como a estrutura preferida para implementao GEIT e dever, portanto,
ser adotado por todas as subsidirias.
O COBIT no precisa ser necessariamente adotado em sua totalidade; somente as reas pertinentes subsidiria ou
unidade de negcios especfica devero ser implementadas; considerando o seguinte:
1.
2.
3.
4.
5.
6.
Quando outras estruturas j tiverem sido implementadas em uma subsidiria ou unidade de negcios especfica, ou sua
implementao estiver programada para o futuro, tal implementao dever ser mapeada no COBIT para fins de relatrio,
auditoria e clareza do controle interno.
SoluoProposta
O programa GEIT est sendo planejado em duas fases distintas.
1Fase.Prplanejamento(VerCaptulo3.PrimeirosPassosemDireoaGEIT)
A 1 Fase do programa GEIT a fase de desenvolvimento. Durante esta fase do programa os seguintes passos devero ser
concludos:
1.
2.
3.
4.
81
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
12. Apresentao do caso de negcio e da abordagem definitivos, inclusive um plano de implementao para aprovao
pela gerncia executiva da Acme Corporation
2Fase.ImplementaodoPrograma(VerCaptulo3.AplicaodaAbordagemdoCiclodeVidade
MelhoriaContnua)
O programa GEIT foi projetado para iniciar um programa permanente de melhoria contnua, com base em um ciclo de vida
iterativo facilitado, seguindo estas etapas:
1.
2.
3.
4.
5.
6.
7.
Determinar os orientadores de melhoria GEIT, a partir de uma perspectiva da Acme Corporation Group e outra da
unidade de negcios.
Determinar o atual status GEIT.
Determinar a condio de GEIT desejada (para curto e longo prazos).
Determinar o que deve ser implementado no mbito da unidade de negcios para facilitar os objetivos corporativos
locais, alinhando-se assim s expectativas do grupo.
Implementar os projetos de melhoria identificados e definidos no mbito da unidade de negcios local.
Realizar e monitorar os benefcios.
Sustentar a nova forma de trabalho mantendo o impulso.
EscopodoPrograma
O programa GEIT cobrir o seguinte:
1.
2.
3.
Todas as entidades do grupo; contudo, as entidades devero ser priorizadas para interao, devido aos recursos
limitados do programa.
O mtodo de priorizao. Ser necessrio defini-lo junto gesto da corporao, mas isso poder ser feito com base no
(a):
a. Tamanho do investimento
b. Ganhos/contribuio ao grupo
c. Perfil de risco a partir de uma perspectiva de grupo
d. Uma combinao dos itens 'a' at 'c'.
A lista de entidades a serem contempladas durante o atual exerccio financeiro. Isto ainda deve ser finalizado e
definido junto gesto da corporao.
MetodologiaeAlinhamentodoPrograma(VerCaptulo6.Tarefas,papiseResponsabilidadesdoCiclo
deVidadaImplementao)
O programa GEIT ser regido usando uma abordagem de seminrios (workshop) facilitada e interativa com todas as
entidades.
A abordagem comea com os objetivos de negcio e os responsveis pelos objetivos, geralmente o Diretor-Presidente
(CEO) e o Diretor Financeiro (CFO). Esta abordagem dever garantir que os resultados do programa estejam estritamente
alinhados aos resultados e prioridades previstos para o negcio.
Uma vez que os objetivos de negcio tenham sido cobertos, o foco volta-se ento para as operaes de TI, geralmente sob
o controle do Diretor de Tecnologia (CTO) ou do Diretor de Informtica (CIO), onde mais detalhes sobre o risco de TI do
negcio e os objetivos de TI so considerados.
Os objetivos de negcio e de TI, assim como o risco de TI do negcio, so ento combinados em uma ferramenta (com
base na orientao do COBIT) que fornecer um conjunto de reas de enfoque dentro dos processos do COBIT para
considerao pela unidade de negcios. Desta forma, a unidade de negcios estar apta a priorizar seus esforos de
correo no tratamento das reas de risco de TI.
EntregveisdoPrograma(VerCaptulo6.Tarefas,PapiseResponsabilidadesdoCiclodeVidada
Implementao)
Conforme mencionado anteriormente, um objetivo geral do programa de GEIT incluir as boas prticas GEIT nas
operaes contnuas das diversas entidades do grupo.
Resultados especficos sero produzidos pelo programa GEIT de modo que a corporao possa medir a realizao dos
resultados pretendidos pelo programa GEIT. Isto incluir o seguinte:
1.
2.
82
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE D
EXEMPLO DE CASO DE NEGCIO
3.
4.
5.
6.
habilitadores recomendados
c. O exposto acima ser derivado da ferramenta de avaliao do programa GEIT
Relatrios gerais do progresso da cobertura pretendida das unidades de negcios da corporao pelo programa GEIT
sero produzidos.
Relatrios consolidados do grupo cobriro:
a. O progresso das unidades de negcios envolvidas com seus projetos de implementao definidos com base no
monitoramento das mtricas de desempenho aprovadas
b. Viso consolidada do risco de TI sobre as entidades da Acme Corporation
c. Requisitos especficos do(s) comit(s) de risco
Sero produzidos relatrios financeiros sobre o oramento do programa em comparao com o valor real gasto.
Sero feitos monitoramento e relatrios do benefcio em comparao com metas e mtricas de valor definidas pelas
unidades de negcios.
RiscosdoPrograma(VerCaptulo5.CapacitaodaMudana)
Em seguida sero considerados possveis tipos de risco para um incio bem-sucedido e xito permanente do programa
GEIT da Acme Corporation. Esses riscos sero mitigados focando na capacitao da mudana e sero monitorados e
abordados continuamente atravs das anlises do programa e do registro de riscos. Estes tipos de risco so:
1.
2.
3.
4.
5.
6.
7.
Compromisso e apoio ao programa pela administrao, em nvel de grupo e tambm em nvel de unidade de negcios
local
Demonstrao da real criao de valor e dos benefcios para cada entidade local por meio da adoo do programa. As
entidades locais podem desejar adotar o processo para o valor que criaro, em vez de faz-lo por causa da poltica
vigente.
Participao ativa da administrao local na implementao do programa
Identificao dos principais participantes de cada entidade para participao no programa
Compreenso (Insight) do negcio nas classificaes de gesto de TI
Integrao bem-sucedida com quaisquer iniciativas de governana e conformidade existentes dentro do grupo
As estruturas de comit adequadas para supervisionar o programa. Por exemplo, o progresso geral do programa GEIT
pode se tornar um item da agenda do comit executivo de TI. Equivalentes locais tambm teriam de ser constitudos.
Isto poderia ser replicado geograficamente e ainda em nvel de sociedade holding local, conforme o caso.
Participantes(VerCaptulo3.ReconhecimentodasPapiseResponsabilidadesdosParticipantes)
Os seguintes especialistas foram identificados como participantes no resultado do programa GEIT:
1.
2.
3.
4.
5.
6.
7.
Comit de Risco
Comit executivo de TI
Equipe de governana
Equipe de conformidade
Gerncia regional
Gerncia executiva em nvel de entidade local (inclusive gerncia de TI)
Servios de auditoria interna
Uma estrutura definitiva com os nomes dos especialistas ser compilada e publicada aps consulta gesto do grupo.
O programa GEIT necessita que os participantes identificados forneam o seguinte:
1.
2.
Orientao geral sobre o programa GEIT. Isto inclui decises sobre temas importantes relacionados governana
definidos em uma tabela RACI do grupo de acordo com a orientao do COBIT, bem como a definio das
prioridades, aprovao dos financiamentos e dos objetivos de valor.
Aceitao dos resultados, bem como o monitoramento dos benefcios esperados, do programa GEIT
AnlisedeCustoBenefcio
O programa dever identificar os benefcios esperados e monitorar se o real valor do negcio est sendo gerado pelo
investimento realizado. A gerncia local dever motivar e sustentar o programa. Uma slida GEIT dever produzir os
seguintes benefcios que sero definidos como metas especficas para cada unidade de negcios, monitorados e depois
medidos durante a implementao para garantir que sejam realizados:
1.
2.
3.
4.
5.
IMPLEMENTAO
6.
Reduo do custo das operaes de TI e/ou maior produtividade de TI realizando um trabalho mais consistente em
menos tempo e com menos recursos
Os custos centrais incluiro o tempo necessrio para a gesto do programa pelo grupo, recursos para consultoria externa e
cursos de formao inicial. Estes custos centrais foram estimados na 1 Fase. O custo dos seminrios (workshops) de
avaliao da gerncia e dos responsveis pelos processos de cada unidade de negcios ser financiado localmente e um
oramento ser fornecido. Iniciativas especficas para melhoria de projetos de cada unidade de negcios sero estimadas na
2 Fase e consideradas caso a caso e tambm como um todo. Isto permitir que o grupo maximize a eficincia e
padronizao.
DesafioseFatoresdeSucesso(VerCaptulo4.IdentificaodosDesafioseFatoresdeSucessoda
Implementao)
A figura 48 resume os desafios que poderiam afetar o programa GEIT durante o perodo de implementao do programa e
os fatores de sucesso crticos que devem ser abordados para garantir que o resultado seja bem-sucedido.
Figura48DesafioseAesPlanejadasdaAcmeCorporation
Desafio
Treinamento e orientao.
Resistncia mudana
Adoo de melhorias
. Gerenciar as expectativas.
. Mant-las simples, realistas e prticas.
. Dividir o projeto geral em pequenos projetos atingveis, gerando experincia
e benefcios.
84
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE D
EXEMPLO DE CASO DE NEGCIO
Figura48DesafioseAesPlanejadasdaAcmeCorporation
Desafio
Usar uma abordagem caso a caso com princpios definidos para a entidade
local. Sua implementao deve ser prtica.
. Desenvolvimento
. Treinamento
. Acompanhamento
. Orientao
. Feedback sobre os processos de recrutamento
. Habilidades cruzadas
85
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
86
Personal Copy of: Mr. Wanderley Martins Junior
APNDICE E
TABELA DE ATRIBUTOS DE MATURIDADE DO COBIT 4.1
APNDICE E
TABELA DE ATRIBUTOS DE MATURIDADE DO COBIT 4.1
Figura 49 Tabela de Maturidade do COBIT 4.1
87
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
Pginaintencionalmentedeixadaembranco
88
Personal Copy of: Mr. Wanderley Martins Junior