COBIT-5-Implementation Res Por 0815

Implementao
Personal Copy of: Mr. Wanderley Martins Junior
IMPLEMENTAO
ISACA
Com 95.000 membros em 160 pases, a ISACA (www.isaca.org) lder global no fornecimento de informaes,
certificaes, padres, apoio e experincia para a garantia e segurana relacionadas a sistemas de informao (SI),
governana corporativa e gesto da Tecnologia da Informao (TI), alm de conformidade e riscos a ela relacionados.
Fundada em 1969, sem fins lucrativos, a ISACA acolhe conferncias internacionais independentes, publica o ISACA
Journal e desenvolve padres internacionais para auditoria e controle de SI que ajudam seus membros a garantir a
confiana e o valor dos sistemas de informao. Tambm promove e certifica os seguintes conhecimentos e habilidades de
ponta a ponta em TI que so mundialmente respeitadas Certified Information Systems Auditor (CISA), Certified
Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) e Certified in Risk
and Information Systems Control (CRISC). A ISACA atualiza continuamente o COBIT, o que ajuda os
profissionais de TI e os lderes organizacionais a cumprirem suas responsabilidades de gesto e governana de TI,
especialmente nas reas de garantia, segurana, risco e controle, e entrega de valor para o negcio.
Declarao de Qualidade
Esta obra foi traduzida da verso em Ingls do COBIT 5 Implementation para o Portugus Brasileiro com a colaborao
dos captulos de Braslia e Rio de Janeiro sob coordenao do ISACA Captulo So Paulo detentor da permisso legal
outorgada pela ISACA. O ISACA Captulo So Paulo assume total responsabilidade pela preciso e fidelidade da traduo.
Quality Statement
This Work is translated into Brazilian Portuguese from the English language version of COBIT 5 Implementation by the
ISACA Sao Paulo Chapter with the permission of ISACA. The ISACA Sao Paulo Chapter assumes sole
responsibility for the accuracy and faithfulness of the translation.
Aviso Legal
A ISACA desenvolveu esta publicao, o COBIT 5 Implementation (a Obra), essencialmente como um recurso
educacional para profissionais de Governana Corporativa de TI (GEIT), garantia, risco e segurana. A ISACA no afirma
que o uso de qualquer parte da Obra garantir um resultado bem-sucedido. A Obra no deve ser considerada como
contendo todas as informaes, procedimentos e testes adequados ou exclusiva de outras informaes, procedimentos e
testes que sejam voltados obteno dos mesmos resultados. Ao determinar a adequao de qualquer informao,
procedimento ou teste especfico, os leitores devero aplicar seu prprio julgamento profissional s circunstncias
especficas de GEIT, garantia, risco e segurana apresentados pelos sistemas ou ambientes de tecnologia da informao
particulares.
Disclaimer
ISACA has designed this publication, COBIT5 Implementation (the Work), primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of
the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the
same results. In determining the propriety of any specific information, procedure or test, readers should apply their own
professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the particular
systems or information technology environment.
Direitos de Uso
2012 ISACA. Todos os direitos reservados. Para orientaes de uso, vide www.isaca.org/COBITuse.
Copyright
2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 EUA
Tel: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Websit e: www.isaca.org
2
IMPLEMENTAO
Feedback: www.isaca.org/cobit
Participe do ISACA Knowledge Center: www.isaca.org/knowledge-center
Siga a ISACA no Twitter: https://twitter.com/ISACANews
Junte-se discusso do COBIT no Twitter: #COBIT
Junte-se ISACA no LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial
Curta a ISACA no Facebook: www.facebook.com/ISACAHQ
COBIT 5 Implementation
ISBN 978-1-60420-292-2
3
IMPLEMENTAO
Pginaintencionalmentedeixadaembranco
4
RECONHECIMENTOS
RECONHECIMENTOS
AISACAgostariadereconhecer:
Fora Tarefa COBIT 5 (20092011)
John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, EUA, Co-presidente
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., Reino
Unido, Co-presidente
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Austrlia
Elisabeth Judit Antonsson, CISM, Nordea Bank, Sucia
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Steven De Haes, Ph.D., University of Antwerp Management School, Blgica
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Austrlia
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, ustria
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, EUA
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, Holanda
Vernon Richard Poole, CISM, CGEIT, Sapphire, Reino Unido
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, ndia
Equipe de Desenvolvimento
Gert du Preez, CGEIT, PwC, Canad
Gary Hardy, CGEIT, IT Winners, frica do Sul
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Blgica
Revisores Especialistas
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, EUA
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Blgica
Christophe Burtin, CISA, ITIL LA 27001, Strategy and Governance, Luxemburgo
Ben Farhangui, Atos Worldline, Blgica
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, EUA
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
John Manzini, ITIL, Denel Aviation, frica do Sul
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colmbia
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, frica do Sul
Martin Rosenberg, Ph.D., Cloud Governance Ltd., Reino Unido
Claus Rosenquist, CISA, CISSP, Nets Holding, Dinamarca
Michael Shortt, CISA, CGEIT, Governance Realm IT, frica do Sul
Ant Smith, Ph.D., JD Group, frica do Sul
Greet Volders, CGEIT, Voquals N.V., Blgica
Charl Weitz, CISA, Metropolitan, frica do Sul
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, frica do Sul
Conselho de Administrao da ISACA
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Presidente Internacional
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grcia, Vice-Presidente
Gregory T. Grocholski, CISA, The Dow Chemical Co., EUA, Vice-Presidente
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrlia, Vice-Presidente
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., ndia, Vice-Presidente
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., EUA, Vice-Presidente
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia, Vice-Presidente
Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (aposentado), EUA, Ex-Presidente Internacional
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Rssia, Ex-Presidente Internacional
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, Reino Unido, Diretor
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Diretor
5
IMPLEMENTAO
Reconhecimentos(Cont)
Conselho de Conhecimento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Presidente
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, EUA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Cingapura
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, EUA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (aposentado), Canad
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana
Comit do Modelo (2009-2012)
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana, Presidente
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management, Blgica,
Ex-Vice-Presidente
Steven A. Babb, CGEIT, CRISC, Betfair, Reino Unido
Sushil Chatterji, CGEIT, Edutech Enterprises, Cingapura
Sergio Fleginsky, CISA, Akzo Nobel, Uruguai
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, EUA
Mario C. Micallef, CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, EUA
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstIS, Ravenswood Consultants Ltd., Reino
Unido
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (aposentado), Canad
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Sua
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia
Robert E. Stroud, CGEIT, CA Inc., EUA
Afiliados e Patrocinadores da ISACA e do IT Governance Institute (ITGI)
American Institute of Certified Public Accountants
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institute of Management Accountants Inc.
Captulos da ISACA
. ITGI Frana
. ITGI Japo
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
Enterprise GRC Solutions Inc.
Hewlett-Packard
IBM
Symantec Corp.
Reconhecimento da traduo para a lngua portuguesa
Coordenao
Jose Luis Diniz, CGEIT, ITIL Expert, DNZ Consultoria - Captulo So Paulo
Edson Kowask, CRISC, Rede Nacional de Ensino e Pesquisa (RNP) Capitulo Braslia
Voluntrios
Alessandro Manotti, CISM, CISA, Ita Unibanco
Alexandre Rodrigues da Silva, CISA, Ford Motor Company
Bruno Domingos Rodrigues, ITIL Expert, PMP, ISO 20000, COBIT 5, Val IT Treinamento e Consultoria Empresarial
Bruno Henrique Montenegro Ferreira, COBIT 5 Foundation & Implementation, Ministrio Pblico de Pernambuco
Eberson de Almeida Campos, MBA, CGEIT, COBIT, ITIL, Bradesco S/A
Edson Kowask, CRISC, Rede Nacional de Ensino e Pesquisa (RNP)
Eduardo Filho, COBIT 4.1, ISO 27000 LA, ITIL V3, Sonda IT
6
RECONHECIMENTOS
Eduardo Massaru Kono, CISA, COBIT, MBA, Volkswagen Servios Financeiros
Fabio Justo Hildebrand, CISA, CISSP, CISM, CGEIT, Ace Group
Jose Alex Belarmino, COBIT, ITIL, SOA/PPO/RCV/OSA, OCEB, Hewlett-Packard, FAESA
Juliano Augusto Martins de Oliveira, CISA, CISM, COBIT Fundation e ITIL Fundation, Serasa Experian
Julio Graziano Pontes, CISM, CISSP, CCSK, QSA, ISO 27000 LA, FireMon LLC
Leandro Pfeifer Macedo, CRISC, ITSM, MCSO, Lpfeifer Ltda.
Marcelo Silva Cunha, MSc, Prodasen
Marcus Garcia de Almeira, Mestre em Cincia, Gesto e TI; Ps Graduao em Gesto do Conhecimento; Doutorado em
Educao, PROFISSIONAIS.COM, Lume Tecnologia, Futuro Eventos
Monica Keiko Kosaka, Segurana da Informao, Tokio Marine Seguradora S/A
Nathlia Galhego, COBIT 4.1,ISO 27001 LA, Teleperformance
Nestor N. de Albuquerque, MsC, Processware
Paulo Keglevich, MSc, CSM, PMP, PBA ITILv3, CGEIT, COBIT5, MSP, P3O e PRINCE2, KSC Projetos & Solues
Rosvelt S. Santos, CGEIT, TOTVS
7
IMPLEMENTAO
Pginadeixadaintencionalmenteembranco
8
NDICE
NDICE
Captulo 1 Introduo .........................................................................................................................................................13
Objetivos e Escopo do Guia ...............................................................................................................................................14
Captulo 2 Posicionando a GEIT .......................................................................................................................................17
Entendimento do Contexto .................................................................................................................................................17
O que a GEIT? .............................................................................................................................................................17
Por que a GEIT to importante? ..................................................................................................................................17
O que a GEIT Deve Proporcionar? ................................................................................................................................18
Potencializao do COBIT 5 e Integrao de Modelos, Padres e Boas Prticas ..............................................................19
Princpios e Habilitadores ..............................................................................................................................................19
captulo 3 Primeiros Passos em Direo GEIT ..............................................................................................................21
Criao do Ambiente Adequado ........................................................................................................................................21
Aplicao da Abordagem de Ciclo de Vida de Melhoria Contnua ...................................................................................22
1 Fase - Quais So os Direcionadores? .........................................................................................................................24
2 Fase - Onde Estamos Agora? .....................................................................................................................................24
3 Fase - Onde Queremos Chegar? .................................................................................................................................24
4 Fase - O Que Deve Ser Feito? ....................................................................................................................................24
5 Fase - Como Chegamos L? ......................................................................................................................................24
6 Fase - J Chegamos L? .............................................................................................................................................24
7 Fase - Como Mantemos Essa Dinmica? ...................................................................................................................24
Primeiros Passos - Identificar a Necessidade de Agir: Reconhecer Dificuldades e Eventos Desencadeadores .................25
Dificuldades Mais Comuns ............................................................................................................................................25
Eventos Desencadeadores nos Ambientes Internos e Externos......................................................................................26
Envolvimento das partes interessadas ............................................................................................................................27
Reconhecimento dos Papis e Requisitos das Partes Interessadas .....................................................................................28
Partes Interessadas Internas............................................................................................................................................28
Partes Interessadas Externas...........................................................................................................................................30
Avaliao Independente e o Papel dos Auditores ..........................................................................................................30
Captulo 4 Identificao dos Desafios e Fatores de Sucesso da Implementao ............................................................31
Criao do Ambiente Adequado ........................................................................................................................................31
2 Fase - Onde Estamos Agora? e 3 Fase - Onde Queremos Chegar? ...........................................................................32
4 Fase - O Que Deve Ser Feito? ....................................................................................................................................34
5 Fase - Como Chegamos L? ......................................................................................................................................35
6 Fase - J Chegamos L? e 7 Fase - Como Mantemos Essa Dinmica?.....................................................................37
Captulo 5 Habilitando a Mudana ...................................................................................................................................39
A Necessidade de Habilitao para a Mudana .................................................................................................................39
Habilitao da Mudana da Implementao da GEIT ....................................................................................................40
As Fases do Ciclo de Vida de Habilitao da Mudana Criam o Ambiente Adequado .....................................................40
1 Fase - Estabelecendo o Desejo de Mudana ..............................................................................................................41
2 Fase - Formar uma Equipe de Implementao Efetiva...............................................................................................41
3 Fase - Comunicar a Viso Desejada ...........................................................................................................................41
4 Fase - Capacitar Especialistas e Identificar Resultados Rpidos................................................................................41
5 Fase - Facilitar a Operao e o Uso............................................................................................................................42
6 Fase - Incorporar Novas Abordagens .........................................................................................................................42
7 Fase - Manter .............................................................................................................................................................42
Captulo 6 Atividades, papis e responsabilidades do clico de vida da implementao .................................................43
Introduo ..........................................................................................................................................................................43
2 Fase - Onde Estamos Agora? .....................................................................................................................................46
3 Fase - Onde Queremos Chegar? .................................................................................................................................49
4 Fase - O Que Necessita Ser Feito? .............................................................................................................................52
5 Fase - Como Chegamos l? ........................................................................................................................................55
6 Fase -J Chegamos L? ..............................................................................................................................................58
7 Fase - Como Mantemos a Dinmica? ........................................................................................................................60
Captulo 7 Uso os Componentes do Cobit 5 ......................................................................................................................63
9
IMPLEMENTAO
Consideraes sobre Transio para Usurios do COBIT 4.1, Val IT e Risk IT ...............................................................63
Planejamento e Escopo ......................................................................................................................................................65
Controle de Desempenho ...............................................................................................................................................66
Prticas e Atividades de Governana e Gesto ..............................................................................................................66
Papis e Responsabilidades ............................................................................................................................................66
Apndice A Mapeamento de Dificuldades (Pain Points) em Processos do Cobit 5........................................................67
Apndice B Exemplo de Matriz de Deciso ......................................................................................................................69
Apndice C Mapeamento de Exemplos de Cenrios de Risco em Processos do Cobit 5 ...............................................73
Apndice D Exemplo de Caso de negcio ..........................................................................................................................79
Sumrio Executivo .............................................................................................................................................................79
Referncia (Ver Captulo 2. Posicionamento GEIT) ..........................................................................................................80
Desafios de Negcio (Ver Captulo 3. Primeiros Passos - Identificar a Necessidade de Agir: Reconhecer Pontos Fracos e
Eventos Desencadeadores) .................................................................................................................................................80
Anlise de Lacunas (Gap) e Objetivos ...........................................................................................................................81
Alternativas Consideradas ..............................................................................................................................................81
Soluo Proposta ................................................................................................................................................................81
1 Fase. Pr-planejamento (Ver Captulo 3. Primeiros Passos em Direo a GEIT) ......................................................81
2 Fase. Implementao do Programa (Ver Captulo 3. Aplicao da Abordagem do Ciclo de Vida de Melhoria
Contnua)........................................................................................................................................................................82
Escopo do Programa ......................................................................................................................................................82
Metodologia e Alinhamento do Programa (Ver Captulo 6. Tarefas, papis e Responsabilidades do Ciclo de Vida da
Implementao) ..............................................................................................................................................................82
Entregveis do Programa (Ver Captulo 6. Tarefas, Papis e Responsabilidades do Ciclo de Vida da Implementao)
........................................................................................................................................................................................82
Riscos do Programa (Ver Captulo 5. Capacitao da Mudana) ..................................................................................83
Participantes (Ver Captulo 3. Reconhecimento das Papis e Responsabilidades dos Participantes) ............................83
Anlise de Custo-Benefcio ............................................................................................................................................83
Desafios e Fatores de Sucesso (Ver Captulo 4. Identificao dos Desafios e Fatores de Sucesso da Implementao) 84
Apndice E Tabela de Atributos de Maturidade do COBIT 4 ........................................................................................87
10
LISTA DE FIGURAS
LISTA DE FIGURAS
Figura 1 - Famlia de Produtos COBIT 5 ...............................................................................................................................13
Figura 2- Princpios do COBIT 5 ...........................................................................................................................................19
Figura 3 - Papis na Criao do Ambiente Adequado............................................................................................................22
Figura 4 - Tabela RACI de Criao do Ambiente Adequado .................................................................................................22
Figura 5 - Componentes do Ciclo de Vida .............................................................................................................................23
Figura 6 - 7 Fases de Implementao do Ciclo de Vida .........................................................................................................23
Figura 7 - Viso Geral das Partes Interessadas Internas de GEIT ..........................................................................................28
Figura 8 - Exemplos de Participantes Externos GEIT............................................................................................................30
Figura 9 - 1 Fase - Quais So os Direcionadores? ................................................................................................................31
Figura 10 - 2 Fase - Onde Estamos Agora? e 3 Fase - Onde Queremos Chegar? ................................................................33
Figura 11 - 4 Fase - O Que Deve Ser Feito? .........................................................................................................................34
Figura 12 - 5 Fase - Como Chegamos L? ............................................................................................................................35
Figura 13 - 6 Fase - J Chegamos L? e 7 Fase - Como Mantemos Essa Dinmica? ..........................................................37
Figura 14 - 7 Fases do Ciclo de Vida da Implementao .......................................................................................................40
Figura 15 - Fase 1 do da Melhoria Continua do Ciclo de Vida ..............................................................................................43
Figura 16 - Papis na 1 Fase .................................................................................................................................................44
Figura 17 - Descrio da 1 Fase ............................................................................................................................................44
Figura 18 - Tabela RACI da 1 Fase.......................................................................................................................................45
Figura 19 - 2 Fase do Ciclo de Vida de Melhoria Contnua ..................................................................................................46
Figura 20 - Papis na 2 Fase ................................................................................................................................................46
Figura 26 - Tabela RACI da Fase 3 ........................................................................................................................................52
Figura 27 - 4 Fase do Ciclo de Vida......................................................................................................................................52
Figura 32 Papis da Fase 5 .................................................................................................................................................56
Figura 40 Papis da Fase 7 .................................................................................................................................................61
Figura 42 Tabela RACI da 7 Fase ......................................................................................................................................62
Figura 43 - Princpios do COBIT 5 ........................................................................................................................................63
Figura 44 - Modelo de Referncia de Processo do COBIT 5 .................................................................................................67
Figura 45 Mapeamento de Dificuldades em Processos do COBIT 5 ..................................................................................68
Figura 46 - Exemplo de Matriz de Deciso ............................................................................................................................69
Figura 47 - Cenrios de Risco e Capacidades de Processo do COBIT 5................................................................................73
Figura 48 Desafios e Aes Planejadas da Acme Corporation ...........................................................................................84
Figura 49 Tabela de Maturidade do COBIT 4.1..................................................................................................................87
11
IMPLEMENTAO
12
CAPTULO 1
INTRODUO
CAPTULO 1
INTRODUO
O COBIT 5 Implementao complementa o COBIT 5 (figura 1). O objetivo deste guia de referncia fornecer uma
abordagem de boas prticas para implementao da Governana Corporativa de TI (Governance of Enterprise IT - GEIT)
com base em um ciclo de vida de melhoria contnua que deve ser adaptado para atender s necessidades especficas da
organizao.
Figura1FamliadeProdutosCOBIT5
O modelo do COBIT 5 baseia-se em cinco princpios bsicos, que so cobertos em detalhe, e inclui ampla orientao sobre
os habilitadores para a Governana e Gesto Corporativa de TI.
A famlia de produtos COBIT 5 inclui os seguintes produtos:
. COBIT 5 (o modelo)
. Guias habilitadores do COBIT 5, onde os habilitadores de governana e gesto so discutidos em detalhe. Estes incluem:
COBIT 5: Habilitando Processos
COBIT 5: Habilitando Informaes
Outros guias habilitadores (vide www.isaca.org/cobit)
. Guias profissionais do COBIT 5, que incluem:
COBIT 5 Implementao
COBIT 5 para Segurana da Informao
COBIT 5 para Garantia (Assurance)
COBIT 5 para Risco
Outros guias profissionais (vide www.isaca.org/cobit)
. Um ambiente colaborativo on-line, que estar disponvel para apoiar o uso do COBIT 5
Esta publicao estruturada da seguinte forma:
. O Captulo 2 explica o posicionamento da GEIT dentro de uma organizao

. O Captulo 3 discute os primeiros passos para melhorar a GEIT
. O Captulo 4 explica os desafios da implementao e fatores de sucesso
. O Captulo 5 discute a habilitao da mudana comportamental e organizacional relacionada GEIT
. O Captulo 6 detalha a implementao da melhoria contnua, incluindo a habilitao para a mudana e a gesto do
programa
. O Captulo 7 discute o uso do COBIT 5 e de seus componentes

. Diversos apndices tambm foram includos:
O Apndice A apresenta os processos do COBIT 5 e mapeia dificuldades para os processos
O Apndice B apresenta um exemplo de matriz de deciso
O Apndice C mapeia exemplos de cenrios de risco em processos do COBIT 5
O Apndice D apresenta um exemplo de caso de negcio
O Apndice E contm a tabela de atributos de maturidade do COBIT 4.1
A melhoria da GEIT amplamente reconhecida pela alta administrao como uma parte essencial da Governana
Corporativa. Em um momento em que a importncia da informao e a difuso da tecnologia da informao (TI) so uma
13
IMPLEMENTAO
parte cada vez maior de cada aspecto do negcio e da vida pblica, a necessidade de gerar maior valor a partir dos
investimentos em TI e gerenciar a crescente variedade de riscos de TI nunca foi to grande. O aumento da regulao
tambm est gerando uma maior conscientizao entre os conselhos de administrao em relao importncia de um
ambiente de TI bem controlado e a necessidade de cumprimento das obrigaes legais, regulamentares e contratuais
A governana corporativa da TI efetiva resultar em melhor desempenho da organizao, bem como o cumprimento das
exigncias externas, mas o sucesso da implementao ainda permanece ilusrio para muitas organizaes. A governana
corporativa da TI efetiva exige uma srie de habilitadores com papis, responsabilidades e obrigaes que se encaixem no
estilo e nas normas operacionais da organizao. Isto inclui cultura e comportamento apropriados, princpios de orientao
e polticas, estruturas organizacionais, processos de governana e gesto bem definidos e administrados, e informao
necessria para apoiar a tomada de deciso, solues e servios de apoio alm das habilidades apropriadas de governana e
gesto.
AmelhoriadaGovernana
CorporativadeTI(GEIT)
amplamentereconhecida
pelaaltaadministrao
comoumaparteessencialda
governanacorporativa.
A ISACA pesquisou durante muitos anos esta importante rea da governana

corporativa para aprimorar o pensamento internacional e fornecer orientaes
para a avaliao, direcionamento e monitoramento do uso corporativo de TI.
A ISACA desenvolveu o modelo COBIT 5 para ajudar as organizaes a
implementar slidos habilitadores de governana; de fato, a implementao de
uma boa GEIT praticamente impossvel sem o envolvimento de um modelo de
governana eficaz. Boas prticas e padres tambm esto disponveis para
sustentar o COBIT 5.
Modelos, boas prticas e padres so teis somente se forem adotadas e

adaptadas de forma eficaz. H desafios que devem ser superados e problemas que devem ser tratados para implementao
com sucesso da governana corporativa da TI. O Conselho de Administrao e os gerentes precisam aceitar maior
responsabilidade pela TI, prover princpios para orientao e modelos, e incutir uma mentalidade e cultura diferentes para
entregar o valor de TI.
ObjetivoseEscopodoGuia
No COBIT 5 Implementao, a nfase sobre a viso de toda a organizao em relao governana de TI. Este guia e o
COBIT 5 reconhecem que a informao e as tecnologias da informao so pervasivas nas organizaes e que no
possvel e nem seria uma boa prtica separar os negcios das atividades relacionadas TI. A governana e gesto
corporativa de TI devem, portanto, ser executadas como parte integrante da governana corporativa, cobrindo o negcio de
ponta a ponta, bem como as reas funcionais sob responsabilidade da TI.
Este guia tambm apoiado por um kit de ferramentas de implementao que contm uma variedade de recursos que sero
continuamente aprimorados e disponibilizados como download para os membros da ISACA em: www.isaca.org/cobit. Seu
contedo inclui:
. Ferramentas de autoavaliao, medio e diagnstico

. Apresentaes
. Artigos relacionados e explicaes adicionais
Um dos motivos mais comuns pelo qual algumas implementaes GEIT falham que elas no so iniciadas e gerenciadas
adequadamente como programas que garantam a realizao dos benefcios. Programas GEIT devem ser patrocinados pela
gerncia executiva, adequadamente delimitados e com objetivos atingveis definidos de modo que a organizao possa
absorver o ritmo da mudana conforme planejado. A gesto do programa , ento, considerada parte integrante do ciclo de
vida da implementao.
ImplementaesGEITdevemser
gerenciadascomoprogramas
patrocinadospelagerncia
executiva,adequadamente
delimitadosecomobjetivos
atingveisdefinidos.
Supe-se tambm que, enquanto uma abordagem ao programa e ao projeto

seja recomendada para conduzir eficientemente as iniciativas de melhoria,
o objetivo tambm estabelecer uma prtica comum do negcio e uma
abordagem sustentvel para governana e gesto corporativa de TI como
qualquer outro aspecto de governana corporativa. Por estes motivos, a
abordagem implementao baseia-se no empoderamento do negcio e
partes interessadas de TI para que possam assumir a responsabilidade pelas
decises e atividades relativas governana e gesto de TI, facilitando e
habilitando a mudana. O programa de implementao ser encerrado
quando o processo de concentrao nas prioridades de TI e melhorias da
governana estiverem gerando um benefcio mensurvel e tiver sido
incorporado nas atividades rotineiras do negcio.
Este guia no pretende ser uma abordagem prescritiva, nem uma soluo completa, mas sim um guia para evitar as
armadilhas, difundir as boas prticas mais recentes e auxiliar na criao de resultados de sucesso de governana e gesto ao
14
CAPTULO 1
INTRODUO
longo do tempo. Cada organizao aplicar seu prprio plano ou guia de implementao especfico, dependendo,
obviamente, de fatores tais como seu setor e ambiente de negcios bem como de sua cultura e objetivos. Igualmente
importante ser o atual ponto de partida. Poucas organizaes no tero modelos de GEIT ou processos em seu ambiente,
ainda que no sejam atualmente reconhecidas dessa forma. Assim, a nfase deve basear-se naquilo que a organizao j
adotou, especialmente aproveitando as atuais abordagens de sucesso em nvel corporativo que possam ser adotadas e, se
necessrio, adaptadas para TI em vez de reinventar algo diferente. Alm disso, as melhorias anteriores obtidas com o uso
do COBIT 4.1 ou outros padres e boas prticas no precisam ser reformuladas, mas podem, e devem basear-se no uso do
COBIT 5 e neste guia atualizado como parte permanente da melhoria contnua.
Ser benfico para os usurios deste guia a familiarizao com a GEIT como um tema e para a equipe de implementao
obter o conhecimento especializado necessrio para implementar GEIT com sucesso usando o COBIT 5. A realizao de
programas educacionais relacionados permitir o entendimento adequado dos conceitos do COBIT 5, como utilizar seus
componentes e como aplicar este mtodo de implementao, bem como outras orientaes correlatas fornecidas pela
ISACA, inclusive avaliao da capacidade do processo e atividades de garantia baseadas no COBIT 5. O programa de
Certificao em Governana Corporativa de TI (Certified in the Governance of Enterprise IT - CGEIT) da ISACA tambm
apoia o desenvolvimento e o reconhecimento das habilidades e competncia de governana de TI.
O COBIT 5 pode ser obtido livremente a partir do website: www.isaca.org/cobit. Um link para os produtos ISACA
disponveis para apoiar a implementao tambm foi disponibilizado nesta pgina.
Este guia reflete o melhor entendimento e experincias prticas das implementaes GEIT, lies aprendidas ao aplicar e
usar verses anteriores, bem como as atualizaes feitas na orientao de GEIT da ISACA. Visto que TI um tema em
constante transformao, os usurios deste guia tambm devem se manter informados sobre as publicaes profissionais da
ISACA bem como os padres e melhores prticas de outras organizaes que possam ser lanados periodicamente para
abordar os novos temas emergentes.
15
IMPLEMENTAO
16
CAPTULO 2
POSICIONANDO A GEIT
CAPTULO 2
POSICIONANDO A GEIT
EntendimentodoContexto
A Governana Corporativa de TI (GEIT) no ocorre no vcuo. A implementao ocorre em diferentes condies e
circunstncias que so determinadas por diversos fatores nos ambientes interno e externo, tais como:
. A tica e cultura da comunidade

. Leis, polticas e regulamentos em vigor
. Padres internacionais
. Prticas do setor
. O ambiente competitivo
. Os seguintes componentes da organizao:
Misso, viso, objetivos e valores
Polticas e prticas de governana
Cultura e estilo de gesto
Modelos de papis e responsabilidades
Planos de negcios e intenes estratgicas
Modelo operacional e nvel de maturidade
A implementao da GEIT em cada organizao ser, portanto, diferente e o contexto precisa ser entendido e considerado
no projeto do ambiente GEIT ideal, seja novo ou aperfeioado.
OqueaGEIT?
Os termos governana, governana corporativa e GEIT podem ter significados diferentes para muitas pessoas e
organizaes dependendo (entre outras coisas) do contexto organizacional, por exemplo, maturidade, setor e ambiente
regulatrio ou o contexto individual, por exemplo, cargo, formao e experincia. Para fornecer uma base para o resto
deste guia, forneceremos explicaes nesta seo, mas deve-se reconhecer que haver pontos de vista diferentes. A melhor
abordagem basear-se em e aprimorar as atuais abordagens de modo a incluir TI em vez de desenvolver uma nova
abordagem apenas para TI.
Governana derivada do verbo grego kuberno que significa orientar. Um sistema de governana permite que
diversos participantes de uma organizao tenham uma opinio organizada na avaliao das condies e opes, definio
da orientao e controle do desempenho em comparao com os objetivos corporativos. Definir e manter a abordagem
adequada de governana uma responsabilidade do conselho de administrao ou rgo equivalente.
O COBIT 5 define a governana como:
A governana garante que as necessidades, condies e opes das partes interessadas sejam avaliadas a fim de
determinar os objetivos corporativos equilibrados e consensuais a serem alcanados; define a orientao e a tomada de
deciso; e monitora o desempenho e a conformidade em relao aos objetivos definidos.
GEIT no uma disciplina isolada, mas parte integrante da governana corporativa. Embora a necessidade de governana
em um nvel organizacional seja orientada principalmente pela criao de valor para a parte interessada e demanda
transparncia e gesto eficaz do risco da organizao, as oportunidades significativas, custos e riscos associados TI
requerem um dedicado, porm integrado, foco em GEIT. GEIT permite que a organizao tire o mximo proveito de TI,
maximize os benefcios, capitalize as oportunidades e obtenha vantagem competitiva.
PorqueaGEITtoimportante?
No mundo todo, as organizaes - sejam pblicas ou privadas, grandes ou pequenas - cada vez mais entendem que a
informao um recurso essencial e que TI um ativo estratgico e importante contribuinte para o sucesso.
TI pode ser um recurso importante para ajudar as organizaes a atingir seus objetivos mais importantes. Para
exemplificar, TI pode representar o principal fator de reduo de custos para grandes operaes tais como fuses,
aquisies e alienaes. TI pode permitir a automao dos principais processos, tais como a cadeia de abastecimento, e
pode ser o alicerce para novas estratgias de negcios ou modelos de negcios, aumentando assim a competitividade e
permitindo a inovao, como, por exemplo, a entrega digital de produtos (ex: msica vendida e entregue on-line). TI pode
permitir maior familiaridade do cliente, por exemplo, por coleta e minerao de dados em diversos sistemas e fornecendo
uma viso dos clientes em 360 graus. TI constitui a base da economia em rede atingindo quaisquer localizaes
geogrficas e silos organizacionais para fornecer maneiras novas e inovadoras de criao de valor. A maioria das
organizaes reconhece a informao e o uso de TI como ativos crticos que devem ser gerenciados adequadamente.
Embora TI tenha potencial para a transformao do negcio, ela, frequentemente, representa um investimento bastante
significativo. Em muitos casos, o real custo de TI no transparente e os oramentos so espalhados pelas unidades de
negcios, funes e reas geogrficas sem superviso geral. A maior parte das despesas geralmente dedicada para
17
IMPLEMENTAO
iniciativas de manuteno das operaes (custos operacionais e de manuteno ps-implementao) ao contrrio das
iniciativas para a inovao ou transformao. Quando os recursos so gastos em iniciativas estratgicas, eles geralmente
no produzem os resultados esperados. Muitas organizaes ainda no conseguem demonstrar de forma concreta e
palpvel o valor gerado para o negcio atravs de investimentos relacionados a TI e esto se concentrando em GEIT como
um mecanismo para tratar esta situao.
Alm disso, a economia em rede apresenta um espectro de risco de TI, como a
indisponibilidade de sistemas de negcios voltados para o cliente, divulgao de
dados de clientes ou dados confidenciais perdidos devido a uma arquitetura de
TI inflexvel. A necessidade de gerenciar esses e outros tipos de riscos
relacionados TI outro direcionador para a melhoria da GEIT.
AltimapesquisasobreGEIT
revelouumasriede
resultadospositivosdeTIe
denegciosdecorrentesdas
prticasdeGEIT.
A importncia da GEIT tambm pode ser atribuda ao complexo ambiente

regulatrio enfrentado pelas organizaes em muitas indstrias e territrios
atualmente, muitas vezes se estendendo diretamente para TI. A ateno
fornecida aos relatrios financeiros tem impulsionado um importante foco correspondente sobre a importncia dos
controles relacionados TI. O uso de boas prticas tais como o COBIT tem sido obrigatria em alguns pases e indstrias
como, por exemplo, a Banking Regulation and Supervision Agency (BRSA) da Turquia, que determinou que todos os
bancos em operao na Turquia devem adotar as melhores prticas do COBIT ao gerenciar os processos de TI. O relatrio
sobre Governana Corporativa na frica do Sul - King III - inclui, pela primeira vez em um cdigo nacional de
governana, um princpio para implementar a GEIT e recomenda a adoo de modelos tais como o COBIT. Um modelo de
governana de TI pode permitir que requisitos de conformidade complexos sejam atingidos com maior eficincia e
eficcia.
A ltima pesquisa1 sobre GEIT realizada pela ISACA e PwC examinou as principais iniciativas de TI planejadas pelos
entrevistados nos prximos 12 meses:
. 46% dos entrevistados estavam planejando grandes implementaes ou atualizaes dos sistemas de TI
. 45% estavam planejando iniciativas relacionadas a dados ou informaes
Esses so exemplos de iniciativas que geralmente tm complexos ambientes de partes interessadas (diversas partes
interessadas de diferentes unidades de negcios e TI) que refora a necessidade de habilitadores adequados de GEIT.
Alm disso, a pesquisa sobre GEIT revelou uma srie de resultados positivos de TI e de negcios decorrentes das prticas
de GEIT.
. 38% dos entrevistados mencionaram custos de TI mais baixos

. 27% tiveram um retorno maior sobre os investimentos em TI
. 42% dos entrevistados relataram uma melhor gesto do risco de TI
. 28% mencionaram o aumento da competitividade do negcio
A pesquisa tambm demonstrou que:
. Aproximadamente 47% dos entrevistados ainda pode aumentar significativamente a maturidade de sua GEIT.
. Embora apenas cerca de 5% dos entrevistados tenham indicado que no consideram a GEIT importante, 23%
responderam que esto apenas comeando a avaliar o que deve ser feito.
. 29% adotaram apenas algumas medidas especficas.

OqueaGEITDeveProporcionar?
Fundamentalmente, GEIT diz respeito criao de valor de TI para o negcio e mitigao do risco de TI. Isso
alcanado pela disponibilidade e gesto adequada de recursos e pela medio do desempenho para monitoramento do
progresso em relao aos objetivos estabelecidos.
A GEIT tem como foco os seguintes objetivos:
. Realizao dos benefcios - Criar mais valor para a organizao por meio de TI, manter e aumentar o valor derivado dos
atuais investimentos em TI, e eliminar ativos e iniciativas de TI que no esto criando o valor esperado pela organizao.
Os princpios bsicos de valor de TI so a prestao de servios e solues adequadas a finalidades especficas, dentro do
prazo e do oramento, e a gerao de benefcios financeiros e no financeiros que foram previstos. O valor criado por TI
deve estar diretamente alinhado aos valores em que o negcio estiver concentrado e medido de tal forma a mostrar com
transparncia os impactos e a contribuio dos investimentos habilitados por TI no processo de criao de valor da
organizao.
. Otimizao de riscos -Avaliar o risco do negcio associado ao uso, responsabilidade, operao, envolvimento, influncia
e adoo de TI na organizao. O risco do negcio relacionado TI inclui eventos de TI que poderiam afetar o negcio.
1
ITGI, Global Status Report on the Governance of Enterprise IT (GEIT), EUA, 2011
18
CAPTULO 2
POSICIONANDO A GEIT
Enquanto a entrega de valor concentra-se na criao de valor, a gesto de risco concentra-se na preservao do valor. A
gesto do risco de TI deve ser integrada abordagem de gesto de risco da organizao para garantir um foco em TI pela
organizao e ser medida de tal forma a demonstrar com transparncia os impactos e a contribuio da otimizao do
risco do negcio relacionado TI na preservao do valor.
. Otimizao de recursos - Garantir que as capacidades adequadas sejam adotadas para execuo do plano estratgico e
que os recursos suficientes, apropriados e eficientes sejam fornecidos. A otimizao de recursos garante que uma
infraestrutura de TI integrada e econmica seja fornecida, nova tecnologia seja introduzida conforme exigido pelo
negcio e os sistemas obsoletos sejam atualizados ou substitudos. Tambm reconhece a importncia das pessoas, alm
do hardware e software, e, portanto, concentra-se em fornecer treinamento, promovendo a reteno e garantindo a
competncia das pessoas chaves da TI.
Alinhamento estratgico e medio do desempenho tambm so importantes e aplicveis de modo geral a todas as
atividades para assegurar que os objetivos de TI estejam alinhados aos objetivos corporativos.
PotencializaodoCOBIT5eIntegraodeModelos,PadreseBoasPrticas
O Conselho de Administrao deve impor a adoo e adaptao de um modelo
GEIT tal como o COBIT 5 como parte integrante da governana corporativa. O
modelo define a abordagem geral e posteriormente a orientao fornecida por
normas especficas e boas prticas podem ser utilizadas na elaborao de
polticas especficas, processos, prticas e procedimentos. Ao trabalhar dentro de
uma modelo e alavancar boas prticas, os processos de governana adequados e
demais habilitadores podem ser desenvolvidos e otimizados de modo que a
GEIT opere eficientemente como parte da prtica normal das atividades
estabelecendo uma cultura de apoio demonstrada pela alta administrao. O
alinhamento com o COBIT deve resultar tambm em auditorias externas mais
rpidas e eficientes visto que o COBIT amplamente aceito como base para os
procedimentos de auditoria de TI.
OConselhode
Administraodeveimpora
adoodeummodeloGEIT
comoparteintegranteda
governanacorporativa.
O modelo e os habilitadores resultantes devem estar alinhados e em harmonia com (entre outros):
. As polticas, estratgias, planos de negcios e de governana, e abordagens de auditoria

. Um modelo de Gesto de Risco da Organizao (Enterprise Risk Management - ERM)
. A organizao de governana existente na organizao, modelos e processos
O COBIT 5 destina-se a organizaes de todos os tipos e tamanhos, inclusive de setores pblicos e sem fins lucrativos, e
foi projetado para entregar benefcios de negcio para as organizaes, incluindo:
. Aumento na criao de valor com o uso de TI; satisfao do usurio com a participao e servios de TI; reduo do risco
de TI; alm de conformidade com as leis, regulamentos e exigncias contratuais
. O desenvolvimento de mais solues e servios de TI com foco no negcio

. Maior envolvimento de toda a organizao com as atividades de TI
PrincpioseHabilitadores
O COBIT 5 baseia-se em cinco princpios e sete habilitadores. Os princpios que fundamentam o COBIT 5 so
identificados na figura 2.
Figura2PrincpiosdoCOBIT5
19
IMPLEMENTAO
Os habilitadores que devem ser considerados para ajudar a promover a realizao dos objetivos do modelo organizacional
e entregar valor so:
. Princpios, polticas e modelos

. Processos
. Estruturas organizacionais
. Cultura, tica e comportamento
. Informao
. Servios, infraestrutura e aplicativos
. Pessoas, habilidades e competncias
O COBIT 5 inclui processos que ajudam a orientar a criao e manuteno dos habilitadores de governana e gesto:
. EDM01 Garantir a Definio e Manuteno do Modelo de Governana (cultura, tica e comportamento; princpios,
polticas e modelos; estruturas organizacionais; e processos)
. APO01 Gerenciar a Estrutura de Gesto de TI (cultura, tica e comportamento; princpios, polticas e modelos; estruturas
organizacionais; e processos)
. APO03 Gerenciar Arquitetura da Organizao (informao; servios, infraestrutura e aplicativos)

. APO07 Gerenciar Recursos Humanos (pessoas, habilidades e competncias)
Os processos de governana e gesto do COBIT 5 garantem que as organizaes organizem suas atividades de TI de uma
forma reproduzvel e confivel. O modelo de referncia de processo do COBIT 5, com cinco domnios e 37 processos que
formam o modelo da orientao detalhada de processo do COBIT 5, descrito de forma detalhada no COBIT 5:
Habilitando Processos.
O COBIT 5 baseia-se em uma viso corporativa e est alinhado s boas prticas de governana corporativa, permitindo que
a GEIT seja implementada como parte integrante da governana corporativa mais ampla. O COBIT 5 tambm fornece uma
base para integrar efetivamente outros modelos, padres e prticas utilizadas, tais como Information Technology
Infrastructure Library (ITIL), The Open Group Architecture Forum (TOGAF) e International Organization for
Standardization (ISO)/International Electrotechnical Commission (IEC) 27000. Tambm est alinhado ao padro de GEIT,
ISO/IEC 38500:2008, que define os princpios em alto nvel para a governana de TI, cobrindo a responsabilidade,
estratgia, aquisio, desempenho, conformidade e comportamento humano que o corpo diretivo, como o Conselho de
Administrao, deve avaliar, orientar e monitorar. O COBIT 5 um modelo nico primordial que serve como uma fonte
consistente e integrada de orientao com uma linguagem comum no tcnica e tecnologicamente agnstica.
20
CAPTULO 3
PRIMEIROS PASSOS EM DIREO GEIT
CAPTULO 3
CriaodoAmbienteAdequado
importante a existncia de um ambiente adequado ao implementar as
melhorias GEIT. Isto ajuda a garantir que a iniciativa seja controlada e
adequadamente orientada e apoiada pela administrao. Grandes
iniciativas de TI geralmente falham devido inadequada orientao,
apoio e superviso da alta gerncia. As implementaes GEIT no so
diferentes; elas tm maiores chances de sucesso se forem bem
controladas e administradas.
Agernciaexecutivadeve
especificareconceberosprincpios
deorientao,direitosdedecisoe
modelosderesponsabilidadepela
governanacorporativadeTI
O apoio e orientao inadequados das partes chaves interessadas podem,

por exemplo, resultar em iniciativas GEIT que iro produzir novas
polticas e procedimentos sem a devida responsabilidade. Melhorias de processo provavelmente no se tornaro prticas de
negcio usuais se no houver uma estrutura de gesto que atribua papis e responsabilidades, comprometida com sua
operao contnua e monitoramento das conformidades.
Portanto, um ambiente adequado deve ser criado e mantido para garantir que GEIT seja implementada como parte
integrante de uma abordagem de governana corporativa. Isto deve incluir a direo e superviso adequadas da iniciativa
da implementao, incluindo os princpios de orientao. O objetivo fornecer o compromisso, orientao e controle de
atividades suficientes de modo que haja um alinhamento com os objetivos corporativos e apoio adequado implementao
por parte da diretoria e da gerncia executiva.
A experincia tem mostrado que em alguns casos uma iniciativa da GEIT identifica deficincias significativas na
governana corporativa. O sucesso da GEIT muito mais difcil dentro de um ambiente de governana corporativa fraca,
portanto o apoio e participao ativa da alta administrao se tornam ainda mais crticos. O conselho de administrao
deve ter conscincia da necessidade de melhorar a governana como um todo e o risco da GEIT falhar se isto no for
considerado.
Independentemente de o tamanho da implementao ser grande ou pequena, a gerncia executiva deve ser envolvida na
orientao da criao das modelos de governana adequadas. As atividades iniciais geralmente incluem a avaliao das
prticas atuais e do projeto das estruturas melhoradas. Em alguns casos, pode levar a uma reorganizao da organizao,
bem como da funo de TI e sua relao com as unidades de negcios.
A gerncia executiva deve definir e manter o modelo de governana isto significa especificar as estruturas, processos e prticas da GEIT
alinhados com os princpios definidos do projeto de governana,
modelos de tomada de deciso, nveis de autoridade bem como a
informao necessria para a tomada de deciso informada.2
A gerncia executiva tambm deve atribuir papis e responsabilidades
bem definidos para orientao do programa de melhoria da GEIT.
Umadasmelhoresformasde
formalizaraGEIT,melhorara
supervisoexecutivaedoConselho
deAdministrao,edefinira
direodasatividadesdeTIa
criaodeumcomitexecutivode
estratgiadeTI.
Uma das melhores formas de formalizar a GEIT e fornecer um

mecanismo para orientao e superviso das atividades de TI pela
Conselho de administrao a criao de um comit executivo
estratgico de TI.3 Este comit atuar em nome do Conselho de Administrao (a quem deve reportar) e responsvel pela
forma como TI usada dentro da organizao e pela tomada de importantes decises de TI que afetam a Organizao. Ela
deve ter um mandato claramente definido, e melhor presidido por um executivo da rea de negcios (preferencialmente
um membro do conselho) e composto por executivos de negcios seniores que representam as principais unidades de
negcios, alm do Diretor de Informtica (CIO) e, se necessrio, outros gerentes seniores de TI. As reas de auditoria
interna e de risco devem desempenhar um papel consultivo.
Os executivos devem tomar decises com base em diversas opinies de gerentes, auditores e demais especialistas em TI e
negcios. O Modelo do COBIT 5 facilita isto, fornecendo uma linguagem comum para os executivos comunicarem as
metas, objetivos e resultados esperados.
As figuras 3 e 4 ilustram exemplos de papis genricos dos principais participantes e as responsabilidades dos principais
envolvidos com a implementao ao criar o ambiente adequado para sustentar a governana e garantir resultados positivos.
Tabelas semelhantes so fornecidas para cada fase do ciclo de vida da implementao apresentado na prxima seo.
2
3
O Apndice B apresenta um exemplo de matriz de deciso.

Muitas vezes chamado de comit diretor de TI, conselho de TI, comit executivo de TI ou comit de governana de TI.
21
IMPLEMENTAO
Figura3PapisnaCriaodoAmbienteAdequado
Quando voc pertencer a
Sua funo na criao do ambiente adequado ser
Conselho e gerncia executiva
Definir a orientao do programa, assegurar o alinhamento com a gesto de risco e a governana corporativa,
aprovar os principais papis do programa e definir as responsabilidades, alm de oferecer apoio visvel e
compromisso. Patrocinar, comunicar e promover a iniciativa definida.
Gerncia do negcio
Alocar participantes e lderes adequados para promover o comprometimento e apoiar o programa. Designar os
principais papis do programa bem como definir e atribuir responsabilidades.
Gerncia de TI
Garantir que a rea de negcios e os executivos entendam e apreciem as questes e objetivos de TI em alto
nvel. Designar os principais papis do programa bem como definir e atribuir responsabilidades. Indicar uma
pessoa para dirigir o programa em acordo com as reas de negcios.
Auditoria interna
Definir o papel e o sistema de relatrios para participao da auditoria. Garantir um nvel adequado de
participao da auditoria seja fornecido durante a vigncia do programa.
rea de risco, conformidade e

jurdica
Garantir um nvel adequado de participao durante a vigncia do programa.
Figura4TabelaRACIdeCriaodoAmbienteAdequado
AplicaodaAbordagemdeCiclodeVidadeMelhoriaContnua
Aplicar uma abordagem de ciclo de vida de melhoria contnua fornece um mtodo para as organizaes tratarem a
complexidade e desafios geralmente encontrados durante a implementao da GEIT. Existem trs componentes interrelacionados ao ciclo de vida, conforme ilustrado na figura 5: o ciclo de vida de melhoria contnua GEIT, a capacitao da
mudana (abordando os aspectos culturais e comportamentais da implementao ou melhoria) e a gesto do programa. Na
figura 5, as iniciativas so representadas como ciclos de vida contnuos para enfatizar o fato de que no se tratam de
atividades isoladas, mas parte de um processo contnuo de implementao e melhoria que com o tempo se tornam
atividade normal, ocasio em que o programa poder ser encerrado.
As sete fases do ciclo de vida da implementao so ilustradas na figura 6. O programa de implementao e melhoria
geralmente contnuo e iterativo. Durante a ltima fase, novos objetivos e requisitos sero identificados e um novo ciclo
ser iniciado.
Verificaes de integridade, avaliaes e auditorias em alto nvel frequentemente desencadeiam a considerao de uma
iniciativa da GEIT e esses resultados podem ser usados como dados de entrada para a 1 fase.
22
CAPTULO 3
Figura5ComponentesdoCiclodeVida
Figura67FasesdeImplementaodoCiclodeVida
23
IMPLEMENTAO
1FaseQuaisSoosDirecionadores?
A 1 Fase identifica os atuais indicadores da mudana e cria nos nveis de gerncia executiva um desejo de mudana que
ento expresso em um esboo de caso de negcio (business case). Um indicador de mudana pode ser um evento interno
ou externo, condio ou questo importante que serve como um estmulo mudana. Eventos, tendncias (indstria,
mercado ou tcnica), deficincias no desempenho, implementaes de software e at mesmo os objetivos corporativos
podem agir como indicadores da mudana. O risco associado implementao do programa ser descrito no caso de
negcio e controlado durante todo o ciclo de vida. A preparao, manuteno e monitoramento do caso de negcio so
disciplinas fundamentais e importantes para justificar, apoiar e garantir os resultados de sucesso de qualquer iniciativa,
inclusive as melhorias da GEIT. Elas garantem o foco contnuo nos benefcios do programa e na sua realizao. O
Apndice D contm um exemplo de caso de negcio GEIT.
2FaseOndeEstamosAgora?
A 2 Fase alinha os objetivos de TI s estratgias e ao risco da organizao e prioriza os objetivos corporativos, objetivos
de TI e processos mais importantes. O COBIT 5 fornece um mapeamento genrico dos objetivos corporativos para TI
relacionados com metas e processos de TI para ajudar na seleo. De acordo com os objetivos corporativos e objetivos de
TI selecionados, so identificados processos crticos que devem ter capacidade suficiente para garantir resultados positivos.
A administrao deve conhecer sua capacidade atual e onde podem existir deficincias. Isto alcanado atravs da
avaliao do status atual da capacidade dos processos selecionados.
3FaseOndeQueremosChegar?
A 3 Fase define uma meta de melhoria seguida por uma anlise de falhas para identificao de possveis solues.
Algumas solues traro resultados rpidos enquanto outras, mais desafiadoras, constituem tarefas de longo prazo.
Prioridade deve ser dada aos projetos mais fceis de realizar e que provavelmente traro os melhores benefcios. Tarefas
em longo prazo devem ser divididas em partes gerenciveis.
4FaseOQueDeveSerFeito?
A 4 Fase planeja solues prticas e viveis definindo projetos apoiados por estudos de caso justificveis e desenvolvendo
um plano de implementao para a mudana. Um caso de negcio bem desenvolvido ajudar a garantir que os benefcios
do projeto sejam identificados e continuamente monitorados.
5FaseComoChegamosL?
A 5 Fase prev a implementao das solues propostas em prticas dirias bem como a criao de medidas e sistemas de
monitoramento para garantir que o alinhamento do negcio seja alcanado e o desempenho possa ser medido. O sucesso
exige o envolvimento, conscientizao e comunicao, entendimento e compromisso da alta administrao, bem como o
empenho dos donos dos processos de TI e de negcios.
6FaseJChegamosL?
A 6 Fase se concentra na transio sustentvel das prticas melhoradas de governana e gesto em operaes rotineiras do
negcio e no monitoramento da consecuo das melhorias com o uso das mtricas de desempenho e benefcios esperados.
7FaseComoMantemosEssaDinmica?
A 7 Fase analisa o sucesso global da iniciativa, identifica novos requisitos de governana e gesto e refora a necessidade
de melhoria contnua. Tambm prioriza novas oportunidades de aperfeioamento da GEIT.
O programa e o gerenciamento do projeto baseiam-se em boas prticas e prev pontos de controle em cada uma das sete
fases a fim de garantir que o desempenho do programa esteja sob controle, o caso de negcio e o risco devem ser
atualizados e o planejamento da prxima fase deve ser ajustado conforme necessrio. Supe-se que a abordagem padro da
organizao deva ser seguida. Mais orientaes sobre a gesto do programa e do projeto podem ser encontradas no
processo BAI01 do COBIT 5. Embora no sejam explicitamente mencionados em nenhuma das fases, relatrios esto
includos em todas as fases e iteraes.
O tempo gasto por fase poder ser muito diferente dependendo (entre outros fatores) do ambiente da organizao, de sua
maturidade, bem como o escopo da implementao ou da iniciativa de melhoria. No entanto, o tempo total gasto em cada
iterao do ciclo de vida completo ideal no deve ultrapassar seis meses, com aplicao progressiva das melhorias; caso
contrrio, h risco de perda da dinmica, foco e adeso dos participantes. O objetivo entrar em um ritmo de melhorias
regulares. Iniciativas em larga escala devem ser estruturadas como mltiplas iteraes do ciclo de vida.
Com o tempo, o ciclo de vida ser seguido iterativamente criando assim uma abordagem sustentvel. Isto se tornar uma
prtica comercial normal quando as fases do ciclo de vida passarem a ser atividades cotidianas e a melhoria contnua
ocorrer naturalmente.
24
CAPTULO 3
PrimeirosPassosIdentificaraNecessidadedeAgir:ReconhecerDificuldadeseEventos
Desencadeadores
Muitos fatores podem indicar a necessidade de prticas GEIT novas ou
revisadas. No entanto importante observar que esses sintomas podem
no apenas indicar problemas subjacentes que devem ser abordados, mas
tambm podem ser indicativos de outros problemas (ou uma combinao
de fatores). Por exemplo, se o negcio tem a percepo de que os custos
de TI so inaceitavelmente altos, isto pode decorrer de problemas com a
governana e/ou gerenciamento (tais como critrios inadequados
utilizados no processo de gesto dos investimentos em TI), mas tambm
pode ser devido falta anterior de investimentos em TI que agora se
manifesta na necessidade de investimentos significativos.
Aousarasdificuldadesou
eventosdesencadeadores
comopontodepartidapara
iniciativasdeGEIT,ocasode
negcioparamelhoriadaGEIT
podeestarrelacionadoaos
problemasqueestosendo
enfrentados,oqueaumentar
aadesoaocasosdenegcio
(businesscase).
Ao reconhecer as dificuldades ou eventos desencadeadores como o ponto

de partida para as iniciativas GEIT, o estudo de caso (business case) da
melhoria estar relacionado aos problemas que esto sendo enfrentados,
o que aumentar a adeso. Um sentido de urgncia, necessrio para dar
incio implementao, pode ser criado na organizao. Alm disso,
resultados rpidos podem ser identificados e o valor agregado pode ser demonstrado nas reas mais visveis ou
reconhecidas da organizao. Isto prov uma plataforma para a introduo de mudanas adicionais e pode auxiliar na
obteno de amplo compromisso e apoio da alta administrao para mudanas mais amplas.
DificuldadesMaisComuns
Prticas GEIT novas ou revisadas geralmente podem resolver ou ser parte de uma soluo para os seguintes sintomas:
. Frustrao do negcio com iniciativas fracassadas, aumentando os custos da TI e a percepo de baixo valor ao
negcio - Embora muitas organizaes continuem aumentando seus investimentos em tecnologia da informao, o valor
desses investimentos e o desempenho geral da TI so frequentemente questionados ou no realizados em sua plenitude.
Isto pode indicar um problema de GEIT onde a comunicao entre as reas de TI e de negcio deve ser aperfeioada e
uma viso comum sobre o papel e o valor da TI deve ser estabelecida. Pode tambm ser uma consequncia de
mecanismos imprecisos de formulao, proposta e aprovao de projeto e portflio.
. Incidentes significativos relacionados ao risco do negcio inerente TI, tais como perda de dados ou falha no
projeto - Esses incidentes significativos muitas vezes so a ponta do iceberg e os impactos podem ser exacerbados se
receberem ateno pblica e/ou da imprensa. Investigaes adicionais geralmente levam identificao de
desalinhamentos estruturais e mais profundos ou at mesmo completa falta de uma cultura de conscientizao do risco
de TI na organizao. Prticas GEIT mais robustas so ento requeridas para a obteno de uma viso completa e um
slido entendimento do risco inerente TI e de como este deve ser gerenciado.
. Problemas com a entrega de servios terceirizados, tais como o no cumprimento de forma consistente dos nveis
de servio definidos - Problemas com a prestao de servio por prestadores de servios externos podem decorrer de
problemas com a governana tais como a falta de definio ou inadequao da personalizao dos processos de
gerenciamento dos servios de terceiros (inclusive controle e monitoramento) com as respectivas responsabilidades e
obrigaes para cumprimento dos requisitos de servio de TI do negcio.
. Falha no cumprimento das exigncias regulatrias ou contratuais - Em muitas organizaes, mecanismos de
governana ineficazes ou ineficientes impedem a integrao completa com importantes leis, regulaes e termos
contratuais em sistemas organizacionais ou carecem de uma abordagem para sua gesto. Requisitos de regulaes e
conformidade esto aumentando cada vez mais em todo o mundo e impactam frequentemente as atividades habilitadoras
de TI.
. Limitaes da TI em agregar s capacidades de inovao e agilidade de negcios da organizao - Uma queixa
comum que o papel da TI o de prover suporte, enquanto h um requerimento para que as capacidades de inovao
proporcionem vantagem competitiva. Esses so sintomas que podem indicar a falta de um alinhamento bidirecional real
entre as reas de negcios e a TI, que pode ser devido a problemas de comunicao ou ao fraco envolvimento da rea de
negcios na tomada de decises de TI. Tambm pode ser devido ao envolvimento de TI pela rea de negcios em um
estgio muito avanado durante o planejamento estratgico e as iniciativas orientadas ao negcio. Este problema
geralmente pode indicar que as condies econmicas exigem respostas rpidas da organizao tais como o lanamento
de novos produtos ou servios.
. Achados das auditorias regulares sobre o fraco desempenho da TI ou relatrios de problemas com a qualidade de
servios de TI - Isto pode ser um indicativo de que os nveis de servio no foram adotados ou no esto funcionando
bem, ou do envolvimento inadequado da rea de negcios na tomada de decises de TI.
. Gastos ocultos e no autorizados com TI - Uma viso suficientemente transparente e abrangente dos gastos e
investimentos em TI muitas vezes inexiste. Gastos com TI muitas vezes podem ser escondidos nos oramentos da
25
IMPLEMENTAO
unidade de negcios ou no classificados como despesas de TI na contabilidade, criando assim uma viso geral distorcida
dos custos de TI.
. Duplicao ou sobreposio de iniciativas ou desperdcio de recursos - Isto geralmente se deve falta de uma viso
de portflio/holstica de todas iniciativas de TI e indica que as capacidades da estrutura de processo e deciso em torno do
gerenciamento de portflio e desempenho no esto adequadas.
. Recursos de TI insuficientes, pessoal com competncias inadequadas ou pessoal com esgotamento/insatisfaoEssas so questes importantes da gesto de recursos humanos de TI que exigem efetiva superviso e boa governana
para assegurar que a gesto de pessoas e o desenvolvimento de competncias sejam abordadas efetivamente. Pode
tambm ser um indicativo (entre outros fatores) de fragilidades subjacentes na gesto da demanda de TI e nas prticas
internas de prestao de servios.
. Mudanas habilitadas pela TI frequentemente no cumprem as necessidades do negcio com resultados
atemporais ou acima do orado Essas dificuldades poderiam estar relacionadas a problemas com o alinhamento entre
a TI e o negcio, a definio dos requisitos do negcio, a falta de um processo de percepo de benefcios ou ainda a
implementao impreciso de processos de gerenciamento de projeto/programa.
. Esforos mltiplos e complexos para garantia da TI - Isso poderia ser um indicativo da fraca coordenao entre o
negcio e a TI em relao necessidade e execuo das anlises de garantia de TI. Uma causa subjacente poderia ser o
baixo nvel de confiana em TI pelo negcio, fazendo com que a rea de negcios inicie suas prprias anlises, ou falta
da devida prestao de contas por parte da rea de negcios pelas anlises de garantia de TI, fazendo com que o negcio
no tenha conhecimento sobre sua ocorrncia.
. Membros do conselho, executivos ou gerentes seniores que relutam em se envolver com a TI, ou a falta de
patrocinadores de TI comprometidos e satisfeitos Essas dificuldades frequentemente referem-se falta de
entendimento do negcio e clareza da TI, a falta de visibilidade de TI em nveis apropriados, a falta de estruturas de
gerenciamento ou problemas com os mandatos do conselho, geralmente causados pela pobre comunicao entre as reas
de negcios e de TI e a incompreenso do negcio e da TI pelos patrocinadores de negcio da TI.
. Modelos operacionais de TI complexos - A complexidade inerente, por exemplo, em organizaes de TI
descentralizadas ou federadas que frequentemente possuem diferentes estruturas, prticas e polticas requer um forte foco
em GEIT para garantir a tomada de deciso de TI otimizada bem como operaes eficazes e eficientes. Este ponto de dor
geralmente se torna mais significativo com a globalizao porque cada territrio ou regio pode ter fatores relativos a
ambientes internos e externos especficos e potencialmente isolados a serem tratados.
EventosDesencadeadoresnosAmbientesInternoseExternos
Alm dos sintomas descritos anteriormente, outros eventos nos ambientes internos e externos da organizao, tais como os
seguintes, podem sinalizar ou chamar a ateno para GEIT e posicion-la no topo da agenda da organizao:
. Fuso, aquisio ou alienao - As consequncias estratgicas e operacionais relativas TI podem ser significativas
aps uma fuso, aquisio ou alienao. Durante as diligncias da auditoria haver a necessidade de obter um
entendimento das questes de TI no(s) ambiente(s). Alm disso, entre todos os outros requisitos de integrao ou
reestruturao, haver a necessidade de projetar os mecanismos GEIT adequados para o novo ambiente.
. Uma mudana no mercado, posio econmica ou competitiva - Por exemplo, uma recesso econmica poderia levar
as organizaes a revisar os mecanismos de GEIT para permitir a otimizao de custos em larga escala ou a melhoria do
desempenho.
. Mudanas no modelo operacional do negcio ou acordos de terceirizao - Por exemplo, uma mudana de um
modelo descentralizado ou federado para um modelo operacional mais centralizado exigir mudanas nas prticas GEIT
para permitir uma tomada de deciso de TI mais centralizada. Outro exemplo poderia ser a implementao de centros de
servios compartilhados para reas tais como financeira, recursos humanos (RH) ou aquisies. Isto pode provocar
impactos sobre a TI tais como a consolidao de aplicativos de TI fragmentados ou domnios de infraestrutura com as
respectivas mudanas nas estruturas ou processos de tomada de deciso de TI que os regem. A terceirizao de algumas
funes de TI e processos de negcios podem levar, de forma semelhante, a um foco em GEIT.
. Novos requisitos regulatrios ou de conformidade - Para exemplificar, requisitos de gerao de relatrios de
governana corporativa mais amplos e regulamentaes financeiras provocam a necessidade de melhorar a GEIT e o foco
na privacidade da informao causados pelo carter pervasivo da TI.
. Mudana significativa na tecnologia ou mudana de paradigma - Um exemplo a migrao de algumas organizaes
para uma arquitetura orientada a servio (SOA) e a computao em nuvem (cloud computing). Isto muda
fundamentalmente a forma que a infraestrutura e a funcionalidade do aplicativo desenvolvida e entregue, o que tambm
pode exigir mudanas na forma em que os processos e demais habilitadores correlatos so governados e gerenciados.
. Um foco ou projeto de governana em toda a organizao - Esses projetos provocaro iniciativas na rea GEIT.
. Um novo Diretor de TI (CIO), Diretor Financeiro (CFO), Diretor-Executivo (CEO) ou membro do conselho - A
nomeao de novos representantes do C-level pode provocar, frequentemente, uma avaliao dos atuais mecanismos e
iniciativas de GEIT para tratar eventuais reas fracas identificadas.
. Auditoria externa ou avaliaes de consultores - Uma avaliao feita por um terceiro independente em comparao
com as prticas apropriadas normalmente pode representar o ponto de partida de uma iniciativa de melhoria de GEIT.
26
CAPTULO 3
. Uma nova estratgia ou prioridade de negcio - A busca de uma nova estratgia de negcios ter implicaes GEIT.
Por exemplo, uma estratgia de negcios de se aproximar dos clientes - ou seja, conhecer quem eles so, seus requisitos e
como responder a esses requisitos da melhor maneira possvel - pode requerer mais liberdade da tomada de deciso de TI
para uma unidade de negcios/pas em oposio tomada de deciso centralizada em nvel corporativo ou da
controladora (holding).
. Desejo de melhorar significativamente o valor a ser adicionado a partir da TI - A necessidade de aumentar a
vantagem competitiva, ser inovador, otimizar ativos ou criar novas oportunidades de negcios pode chamar a ateno
para a GEIT.
A necessidade de agir deve ser reconhecida e amplamente estimulada e comunicada. Esta comunicao pode ser feita na
forma deu um alerta (quando as dificuldades aparecerem) ou uma expresso da oportunidade de melhoria a ser
perseguida e dos benefcios que sero percebidos. Os pontos fracos atuais de dor ou os eventos desencadeadores da GEIT
fornecem um ponto de partida - a identificao destes pode geralmente normalmente ser feita por meio de avaliaes de
alto nvel de integridade, diagnsticos ou avaliaes de capacidade em alto nvel. Essas tcnicas tm a vantagem de criar
consenso sobre as questes a serem abordadas. Pode ser benfico solicitar a um terceiro para que este realize uma reviso a
fim de obter uma opinio independente e objetiva em alto nvel sobre a situao atual, o que poder aumentar a adeso
causa.
necessrio buscar o compromisso e a adeso do conselho e da gerncia executiva desde o incio. Para isso, o programa
de GEIT e seus objetivos e benefcios, devem ser claramente expressos em termos de negcio. O nvel correto de urgncia
deve ser incutido, e a diretoria, o conselho de administrao e a gerncia executiva devem ter conhecimento do valor que a
TI bem governada e gerenciada pode acrescentar organizao bem como, do risco de no agir. Isto tambm ir assegurar
que o alinhamento entre o programa de GEIT e os objetivos e estratgia corporativos, objetivos organizacionais para a TI,
governana corporativa e iniciativas ERM (se houver) sejam considerados desde o incio. A identificao e realizao de
alguns resultados rpidos (problemas visveis que podem ser abordados de forma relativamente rpida e ajudar a
estabelecer a credibilidade da iniciativa global, demonstrando seus benefcios) pode ser um mecanismo til para a obteno
do compromisso do conselho.
Como a direo foi definida no topo, uma viso geral da capacitao da mudana dever ser adotada em todos os nveis. A
escala e escopo mais amplos da mudana devem ser entendidos primeiramente em termos de negcios, mas tambm a
partir de uma perspectiva humana e comportamental. Todas as partes interessadas envolvidas com ou afetadas pela
mudana devem ser identificadas e suas posies em relao mudana estabelecidas. A pesquisa4 de GEIT em 2011
demonstrou que a conduo da mudana pode ser um dos maiores desafios implementao de GEIT: 38% dos
entrevistados mencionaram a gesto de gerenciamento da mudana como um desafio e 41% reportou problemas de
comunicao. Um motivador-chave importante para a mudana a identificao de incentivos para os gerentes de TI e de
negcios promoverem a implementao de GEIT.
Envolvimentodaspartesinteressadas
H muitas partes interessadas que devem colaborar para atingir o objetivo geral de melhoria no desempenho de TI. O
COBIT 5 baseia-se nas necessidades das partes interessadas e a abordagem fornecida neste guia ajudar a desenvolver um
entendimento comum e bem definido sobre o que deve ser feito atingido para responder s preocupaes especficas das
partes interessadas de forma coordenada e harmonizada. As partes interessadas mais importantes e suas preocupaes so:
. Diretoria e gerncia executiva - Como definimos e aplicamos a orientao da organizao para o uso de TI e monitorar
a criao dos habilitadores de GEIT pertinentes e necessrios de Governana e Gesto Corporativa de TI (GEIT) de modo
a criar valor para o negcio e mitigar o risco de TI?
. Gerncia executiva de negcios, gerncia de TI e responsveis pelos processos - Como capacitamos a organizao
para definir/alinhar os objetivos de TI a fim de assegurar a criao de valor ao negcio com o uso de TI, bem como, a
mitigao do risco de TI?
. Gerncia de negcios, gerncia de TI e responsveis pelos processos - Como planejamos, criamos, entregamos e
monitoramos as informaes, solues de TI e a capacidade dos servios conforme exigido pelo negcio e orientado pela
diretoria?
. Especialistas em risco, conformidade e leis - Como nos asseguramos que estamos em conformidade com as polticas,
regulamentaes, leis e contratos, e que o risco foi identificado, avaliado e mitigado?
. Auditoria interna - Como oferecemos garantia independente sobre a entrega de valor e mitigao do risco?
Os fatores-chave para o sucesso da implementao so:
. A alta administrao fornece a orientao e a ordem.

. Todas as partes entendem os objetivos corporativos e de TI.
. Existncia de comunicao efetiva e habilitao das mudanas organizacionais e processuais necessrias.
. Personalizao do modelo e boas prticas para atender aos propsitos e o estilo da organizao.
4
Op cit ITGI GEIT Status Report
27
IMPLEMENTAO
. O foco inicial em resultados rpidos e na priorizao das melhorias mais benficas que so mais fceis de implementar
com o intuito de demonstrar a vantagem e criar confiana para mais melhorias.
ReconhecimentodosPapiseRequisitosdasPartesInteressadas
PartesInteressadasInternas
A figura 7 fornece uma viso geral das partes interessadas internas, suas responsabilidades mais importantes e obrigaes
em alto nvel mais importantes no processo de melhoria e de seus interesses nos resultados do programa de implementao.
Estes so exemplos genricos. Como tal, adaptaes, ampliaes e personalizaes podem ser necessrias.
Figura7VisoGeraldasPartesInteressadasInternasdeGEIT
Partes Interessadas
Internas
Importantes Obrigaes e Responsabilidades em

Alto Nvel
Interesse nos Resultados do Programa de

Implementao
Diretoria e gerncia
executiva
Definir a orientao geral, o contexto, e objetivos do

programa de melhoria e garantir o alinhamento com
a estratgia de negcios, governana e gesto de
risco da organizao. Fornecer apoio e compromisso
visveis para a iniciativa, inclusive as os papis de
patrocnio e promoo da iniciativa. Aprovar os
resultados do programa e assegurar que os
benefcios esperados sejam alcanados e as
medidas corretivas sejam tomadas conforme
apropriado. Garantir que os recursos necessrios
(financeiros, humanos e outros) estejam disponveis
para a iniciativa. Definir a orientao no topo e
liderar por exemplos.
A diretoria e a gerncia executiva esto interessadas em

obter o mximo dos benefcios para o negcio a partir do
programa de implementao. Elas desejam assegurar
que todas as questes e reas importantes sejam
abordadas, as atividades necessrias sejam realizadas e
os resultados esperados sejam obtidos com sucesso.
Gerncia de negcios e
responsveis pelos
processos de negcios
Fornecer recursos de negcios aplicveis equipe

de implementao principal. Trabalhar com TI para
assegurar que os resultados do programa de
melhoria estejam alinhados e apropriados ao
ambiente de negcios da organizao, bem como, a
entrega de valor entregue e a gesto do o risco
gerenciado. Apoiar visivelmente o programa de
melhoria e trabalhar com TI para resolver os
problemas que surgirem. Assegurar que a rea de
negcios seja adequadamente envolvida durante a
implementao e transio para o ambiente de
produo.
Estas partes interessadas gostariam que o programa

resultasse em um melhor alinhamento entre TI e o
ambiente geral de negcios e suas reas especficas.
Diretor de TI (CIO)
Exercer liderana sobre o programa e fornecer os

recursos de TI aplicveis equipe de
implementao principal. Trabalhar com a gerncia e
executivos de negcios para definir os objetivos,
orientao e abordagem adequados ao programa.
O Diretor de Informtica TI deseja garantir que todos os

objetivos da implementao da GEIT sejam atingidos.
Para o Diretor de TI, o programa deve resultar em
mecanismos que possam melhorar continuamente o
relacionamento e o alinhamento com o negcio (inclusive
ter uma viso compartilhada sobre desempenho de TI),
conduzir a uma melhor administrao gesto da oferta e
demanda de TI e aperfeioar a gesto de risco de
negcio relacionado TI.
Gerncia de TI e
responsveis pelos
processos de TI, por
exemplo, chefe de
operaes, arquiteto-chefe,
gerente de segurana de TI,
especialista em gesto de
continuidade do negcio
Exercer liderana sobre os fluxos de trabalho do

programa e recursos aplicveis e fornecer recursos
para a equipe de implementao. Fazer
consideraes importantes na avaliao do
desempenho atual e definio das metas de
melhoria para as reas de processo com os
respectivos domnios. Fornecer dados sobre boas
prticas pertinentes que deveriam ser incorporadas
e prestar recomendaes especializadas. Garantir
que o caso de negcio e o plano do programa sejam
realistas e realizveis.
Essas partes esto interessadas em garantir que a

iniciativa de melhoria resulte em melhor governana geral
de TI e de suas reas individuais e que os dados das
reas de negcios necessrios para isso sejam obtidos
da melhor forma possvel.
28
CAPTULO 3
Figura7VisoGeraldasPartesInteressadasInternasdeGEIT
Partes Interessadas
Internas
Importantes Obrigaes e Responsabilidades em

Alto Nvel
Interesse nos Resultados do Programa de

Implementao
Especialistas em
conformidade, gesto de
risco e leis
Participar conforme necessrio durante todo o

programa e fornecer dados sobre os assuntos
relevantes de conformidade, gesto de risco e leis.
Assegurar o alinhamento com a abordagem geral
ERM (se houver) e confirmar se os principais
objetivos de conformidade e gesto de risco foram
alcanados, se os problemas foram considerados e
se os benefcios atingidos. Fornecer as orientaes
necessrias durante a implementao.
As partes interessadas querem garantir que a iniciativa

seja adotada ou que melhore os mecanismos a fim de
assegurar a conformidade legal e contratual, bem como,
a efetiva gesto de risco de negcio relacionado TI, e
que estes estejam alinhados s abordagens que possam
existir em toda a organizao.
Auditoria interna
Participar conforme necessrio durante todo o

programa e fornecer opinies e recomendaes de
auditoria sobre os principais problemas. Prestar
recomendao em relao aos problemas
vivenciados e entradas sobre as abordagens e
prticas de controle. Analisar a viabilidade dos
estudos de caso e os planos de implementao.
Fornecer orientaes quando necessrias durante a
implementao. Um papel potencial tambm
poderia ser de verificar os resultados da avaliao
de forma independente.
Estas partes interessadas esto atentas aos resultados

do programa de implementao no que diz respeito s
abordagens e prticas de controle, e como os
mecanismos adotados ou aperfeioados habilitaro o
tratamento dos atuais apontamentos de auditoria.
Equipe de implementao
(equipe combinada de
negcios e de TI, formada
por pessoas das categorias
anteriores de participantes)
Orientar, projetar, controlar, direcionar e executar o

programa de ponta a ponta a partir da identificao
dos objetivos e requisitos at a eventual avaliao
do programa em comparao com os objetivos do
caso de negcio e a identificao de novos
desencadeadores e objetivos para os novos ciclos
de implementao ou melhoria adicionais. Assegurar
a transferncia de habilidades durante a transio
desde o ambiente de implementao at os
ambientes de operao, uso e manuteno.
A equipe quer garantir que todos os resultados

esperados da iniciativa de GEIT sejam obtidos e
maximizados.
Funcionrios
Apoiar a GEIT.
As partes interessadas esto atentas aos impactos que a

iniciativa ter em seu dia a dia - seus empregos, papis,
e responsabilidades e atividades.
29
IMPLEMENTAO
PartesInteressadasExternas
Alm das partes interessadas internas relacionados na figura 7, tambm h diversas outras partes externas. Embora essas
partes no tenham nenhuma obrigao ou responsabilidade direta no programa de melhoria, elas podem ter exigncias que
devem ser atendidas. A figura 8 apresenta exemplos genricos.
Figura8ExemplosdeParticipantesExternosGEIT
Participantes Externos
Interesse nos Resultados do Programa de Implementao
Prestadores de servio de TI
A gesto da organizao deve assegurar que haja um alinhamento e conexo entre a GEIT da organizao e a
governana e gesto dos servios que eles prestam.
Reguladores
Reguladores esto interessados em saber se os resultados do programa de implementao atendem e/ou

fornecem estruturas e mecanismos para satisfazer todos os requisitos regulamentares e de conformidade
aplicveis.
Acionistas (quando pertinente)
Os acionistas podem basear parcialmente suas decises de investimentos no estado de governana

corporativa organizao e seu histrico nesta rea.
Clientes
Os clientes podem ser afetados pelo grau em que os objetivos de GEIT forem cumpridos. Um exemplo a
gesto de risco de negcio relacionado TI. Se uma organizao for exposta no domnio de segurana, por
exemplo, atravs da perda dos dados bancrios do cliente, o cliente ser afetado. O cliente tem um interesse
indireto nos resultados positivos do programa de implementao.
Auditores externos
Auditores externos podem ser capazes de ter um maior nvel conforto nos controles de TI em decorrncia de
um programa efetivo de implementao estando interessados em aspectos de conformidade regulatria e
relatrios financeiros.
Parceiros comerciais, por

exemplo, fornecedores
Parceiros comerciais que usam operaes eletrnicas automatizadas junto organizao podem ter um
interesse nos resultados do programa de implementao em relao melhoria da integridade, segurana e
convenincia da informao. Eles tambm podem estar interessados em conformidade regulatria e
certificaes de padres internacionais que poderiam ser resultados do programa.
AvaliaoIndependenteeoPapeldosAuditores
Os gerentes de TI e partes interessadas de TI devem ter conhecimento do papel dos profissionais de auditoria - eles podem
ser auditores internos, auditores externos, auditores dos padres ISO/IEC ou qualquer profissional contratado para fazer
uma avaliao dos servios e processos de TI. Cada vez mais, a diretoria e a gerncia executiva iro buscar assessoria e
opinies independentes em relao s funes e servios crticos de TI. H tambm um aumento geral na necessidade de
demonstrar a conformidade com as regulamentaes nacionais e internacionais.
30
CAPTULO 4
IDENTIFICAO DOS DESAFIOS E FATORES DE SUCESSO DA IMPLEMENTAO
CAPTULO 4
Experincias com implementaes de GEIT demonstraram que pode haver diversas questes prticas que devem ser
superadas para o sucesso da iniciativa e para a sustentao da melhoria contnua. Este captulo descreve diversos destes
desafios, bem como, as possveis causas raiz e os fatores que devem ser considerados para garantir assegurar resultados
positivos.
CriaodoAmbienteAdequado
A figura 9 relaciona os desafios e suas causas raiz e fatores de sucesso na 1 fase.
Figura91FaseQuaisSoosDirecionadores?
Desafios
Falta de adeso, compromisso e apoio da alta administrao

Dificuldade em demonstrar o valor e benefcios
Causas raiz
. Falta de entendimento (e comprovao) da importncia, urgncia e valor da melhoria da governana da organizao

. Entendimento pobre do escopo da GEIT e das diferenas entre governana e gesto de TI
. Implementao conduzida por uma reao em curto prazo a um problema em vez de uma mais ampla e proativa
justificativa para a melhoria
. Preocupao com mais um projeto com probabilidade de fracasso falta de confiana na gesto de TI
. Comunicao pobre das questes e benefcios da governana benefcios e prazos no so claramente articulados
. Ausncia de executivo snior disposto a patrocinar ou assumir a responsabilidade
. Baixa percepo da credibilidade da funo de TI O Diretor de TI no impe respeito suficiente
. A gerncia executiva acredita que a GEIT de responsabilidade exclusiva da gesto de TI
. Ausncia de equipe adequada (especialistas) responsveis pela GEIT ou falta das habilidades necessrias para
assumir a tarefa
. Uso desinformado de modelos disponveis/falta de treinamento e conscientizao

. Posicionamento incorreto da GEIT no contexto da governana corporativa atual
. Iniciativa conduzida por entusiastas convertidos que pregam abordagens rgidas, exatamente como listadas nos
livros
Fatores de sucesso
. Tornar a GEIT, item de discusso da agenda da diretoria, comit de auditoria e comit de risco.
. Criar um comit ou alavancar um comit j existente, como o comit executivo de estratgia de TI, para ficar
encarregado e prestar contas pela ao.
. Evitar fazer com que a GEIT parea ser uma soluo a procura de um problema - deve haver uma necessidade real
e benefcio potencial.
. Identificar lder(es) e patrocinador(es) com a autoridade, conhecimento e credibilidade para assumir a

responsabilidade pelo sucesso da implementao.
. Identificar e comunicar pontos fracos que podem motivar um desejo de mudana do status quo.
. Utilizar linguagem, abordagens e comunicaes apropriados ao pblico alvo evitar jarges e termos que eles no
reconheam.
. Definir e acordar (conjuntamente com a rea de negcios) sobre o valor esperado de TI.
. Expressar os benefcios em termos/mtricas de negcio.
. Obter, se necessrio, apoio e capacitao junto a auditores externos, consultores e/ou assessores.
. Desenvolver princpios de orientao que definam o tom e contexto para o esforo da transformao.
. Produzir imperativos com base no esforo da transformao especfica para a organizao, criando a confiana e a
parceria necessrias para o sucesso.
. Produzir um caso de negcio adaptado ao pblico alvo que demonstre os benefcios para o negcio relativos ao
investimento proposto para TI.
. Priorizar e alinhar o caso de negcio com base no foco estratgico e nos pontos fracos atuais da organizao.
. Alinhar o caso de negcio aos objetivos gerais de governana corporativa.
. Obter formao e treinamento em questes e modelos de GEIT.
Desafios
Dificuldade na obteno da participao necessria da rea de negcios

Dificuldade na identificao de participantes e especialistas
Causas raiz
. GEIT no uma prioridade para os executivos de negcios (no um indicador chave de desempenho [KPI Key
Performance Indicator])
. Preferncia da gesto de TI em trabalhar em isolamento provando o conceito antes de envolver o cliente

31
IMPLEMENTAO
Figura91FaseQuaisSoosDirecionadores?
. Obstculos entre TI e o negcio inibem a participao.
. Ausncia de papis e responsabilidades bem definidas para envolvimento da rea de negcios
. Principais executivos de negcio e formadores de opinio no envolvidos ou engajados
. Entendimento limitado dos benefcios e valor da GEIT pelos executivos de negcios e responsveis pelos processos
Fatores de sucesso
. Incentivar a alta administrao e o comit executivo de estratgia de TI a definir as obrigaes e insistir nos papis e
responsabilidades da rea de negcios em relao GEIT.
. Adotar um processo para envolver as partes interessadas.

. Explicar claramente e incutir os benefcios do negcio.
. Explicar o risco do no envolvimento.
. Identificar servios crticos ou iniciativas importantes de TI e us-los como pilotos/modelos para o envolvimento da
rea de negcios na melhoria da GEIT.
. Encontrar aqueles que acreditam usurios da rea de negcios que reconhecem o valor de uma melhor GEIT.
. Promover o pensamento livre e o empoderamento, mas somente de acordo com polticas bem definidas e uma
estrutura de governana.
. Assegurar que os responsveis pela mudana e sua direo obtenham o apoio do patrocinador.
. Criar fruns para a participao da rea de negcios - ex: comit executivo de estratgia de TI e realizar seminrios
(workshops) para discutir abertamente os atuais problemas e oportunidades para melhoria.
. Envolver os representantes do negcio nas avaliaes de alto nvel da situao atual.

Desafio
Falta de insight do negcio entre a gesto de TI
Causas raiz
. Liderana de TI com experincia tcnica operacional no envolvida suficientemente nas questes relativas aos
negcios da organizao
. Gesto de TI isolada dentro da organizao no envolvida em altos escales

. Processo de relacionamento com o negcio fraco
. Herana de fraco desempenho percebido que tem levado TI e o Diretor de TI a um modo de operao defensiva
. Diretor de Informtica e gesto de TI em uma posio vulnervel, relutantes em revelar fraquezas internas
Fatores de Sucesso
. Criar credibilidade baseando-se em sucessos e no desempenho de profissionais respeitados de TI.

. A gesto de TI deveria ser, idealmente, um membro permanente do comit executivo a fim de assegurar que a gesto
de TI tenha a compreenso organizacional adequada e seja envolvida nas novas iniciativas desde o incio.
. Implementar um processo efetivo de relacionamento com a rea de negcios.

. Convidar a participao e envolvimento da rea de negcios. Considerar a alocao de pessoal de negcios em TI e
vice-versa com o intuito de ganhar experincia e melhorar a comunicao.
. Se necessrio, reorganizar os papis da gesto de TI e implementar interligaes formais com outras funes da
organizao, ex: finanas e RH.
. Assegurar que o Diretor de TI tenha experincia em negcios. Considerar a nomeao de um Diretor de Informtica
proveniente da rea de negcios.
. Usar consultores para criar uma forte estratgia de GEIT orientada ao negcio.
. Criar mecanismos de governana, tais como, gerentes de relacionamento de negcio dentro de TI, para permitir uma
compreenso mais ampla do negcio.
Desafios
Falta de poltica e orientao atuais da organizao

Fraca governana atual da organizao
Causas Raiz
. Problemas de compromisso e liderana, possivelmente devidos imaturidade organizacional

. Cultura atual autocrtica, com base em comandos individuais em vez de uma poltica corporativa
. Promoo da cultura do pensamento livre e abordagens informais em vez de um ambiente de controle
. Fraca gesto de risco da organizao
Fatores de Sucesso
. Levantar os problemas e preocupaes junto aos executivos da diretoria, incluindo no executivos, sobre o risco da
m governana, com base em problemas reais relativos conformidade e ao desempenho da organizao.
. Levantar os problemas junto ao comit de auditoria ou auditoria interna.

. Obter informaes e orientaes dos auditores externos.
. Considerar como a cultura talvez tenha de ser modificada para permitir a melhoria das prticas de governana.
. Levantar a questo junto ao Diretor-Presidente e diretoria.
. Garantir que a gesto de risco seja aplicada em toda a organizao.
2FaseOndeEstamosAgora?e3FaseOndeQueremosChegar?
A figura 10 relaciona os desafios e suas causas raiz e fatores de sucesso para as 2 e 3 Fases.
32
CAPTULO 4
Figura102FaseOndeEstamosAgora?e3FaseOndeQueremosChegar?
Desafios
Incapacidade de obter e sustentar o apoio aos objetivos de melhoria

Falha de comunicao entre TI e o negcio
Causas raiz
. Motivos justificveis para agir no claramente articulados ou no existentes

. Os benefcios percebidos no justificam suficientemente o investimento necessrio (custo)
. Preocupao com a perda de produtividade ou eficincia devido mudana
. Falta de responsabilidades bem definidas para patrocnio e compromisso com os objetivos de melhoria
. Falta de estruturas apropriadas com o envolvimento de negcios desde a estratgia at os nveis ttico e operacional
. Forma inadequada de comunicao (no mantendo a simplicidade, no usando linguagem simplificada e de
negcios, no compatveis com as polticas e cultura) ou no adaptando o estilo aos diferentes pblicos-alvo
. Caso de negcio para melhorias mal desenvolvido ou mal articulado

. Foco insuficiente na capacitao de mudana e na obteno da adeso em todos os nveis necessrios
Fatores de sucesso
. Desenvolver o entendimento consensual do valor da melhoria da GEIT da organizao.

. Dispor das estruturas apropriadas, ex: comit diretor de TI, comit de auditoria, para facilitar a comunicao e
aceitao dos objetivos, definir agenda de reunies para discutir o status da estratgia, esclarecer mal-entendidos e
compartilhar informaes.
. Implementar um processo efetivo de relacionamento com a rea de negcios.
. Desenvolver e executar uma estratgia de capacitao de mudana e um plano de comunicao que explique a
necessidade de atingir um nvel mais alto de maturidade.
. Usar a linguagem correta e terminologia comum adaptando o estilo aos subgrupos de pblicos-alvo (tornar o assunto
interessante, utilizar recursos visuais).
. Desenvolver o caso de negcio de GEIT inicial e produzir um caso de negcio detalhado para especificao das
melhorias especficas, com uma clara articulao do risco. Foco no valor agregado ao negcio (expresso em termos
de negcios), bem como, nos custos.
. Formar e treinar em COBIT 5 e neste mtodo de implementao.
Desafios
O custo das melhorias supera os benefcios observados
Causas raiz
. Tendncia a se concentrar exclusivamente na melhoria dos controles e do desempenho e no em melhorias de

eficincia e inovao
. Programa de melhoria inadequadamente sequenciado e com falta de uma clara associao entre os benefcios e o
custo das melhorias
. Priorizao de solues complexas e custosas em vez de solues mais fceis e de baixo custo
. Oramento significativo de TI e mo de obra j comprometidos com a manuteno da infraestrutura existente,
limitando assim a inclinao a dirigir fundos ou tempo da equipe dedicada a tratar da GEIT da organizao
Fatores de sucesso
. Identificar reas em infraestrutura, processos e RH, ex., Padronizao, nveis mais altos de maturidade e menos
incidentes, onde a eficincia e economia de custos diretos podem ser feitas por uma melhor governana.
. Priorizar com base no benefcio e na facilidade de implementao, especialmente resultados rpidos.

Desafios
Falta de confiana e bons relacionamentos entre TI e a organizao
Causas raiz
. Problemas antigos sustentados por um fraco histrico de TI em relao entrega de projetos e servios
. Falta de entendimento por TI dos problemas com o negcio e vice-versa
. Escopo e expectativas mal articulados e administrados
. Papis, responsabilidades e obrigaes por prestar contas de governana pouco claras em relao ao negcio,
causando abdicao das decises principais
. Falta de informaes de apoio e mtricas para ilustrar a necessidade de melhoria

. Relutncia em perder uma argumentao, resistncia geral mudana
Fatores de sucesso
. Fomentar a comunicao aberta e transparente sobre o desempenho, como conexes com a gesto do desempenho
corporativo.
. Focar nas interfaces do negcio e mentalidade de servio.

. Publicar os resultados positivos e as lies aprendidas para ajudar a estabelecer e manter a credibilidade.
. Garantir que o Diretor de TI tenha credibilidade e liderana para criar confiana e relacionamentos.
. Formalizar os papis e responsabilidades da governana nos negcios de modo que as obrigaes de prestar contas
pelas decises sejam claras.
. Identificar e comunicar evidncias de problemas reais, riscos que devem ser evitados e benefcios a serem obtidos
(em termos de negcios) em relao s melhorias propostas.
. Focar no planejamento de capacitao da mudana.

33
IMPLEMENTAO
4FaseOQueDeveSerFeito?
Figura114FaseOQueDeveSerFeito?
Desafios
Incapacidade de entender o ambiente
Causas raiz
. Considerao insuficiente das mudanas culturais, percepes das partes interessadas e mudanas organizacionais
necessrias
. Considerao insuficiente dos pontos fortes atuais e prticas de governana de TI e da organizao como um todo
Fatores de sucesso
. Fazer uma avaliao das partes interessadas e concentrar-se em um plano de capacitao da mudana.
. Basear-se em e usar os atuais pontos fortes e boas prticas de TI e da organizao como um todo. Evitar reinventar
a roda apenas para TI.
. Entender os diferentes pblicos, seus objetivos e modo de pensar

Desafios
Diversos nveis de complexidade (tcnico, organizacional, modelo operacional)
Causas raiz
. Fraco entendimento das prticas de GEIT

. Tentativa de implementar muita coisa de uma s vez
. Priorizao de melhorias crticas e difceis com pouca experincia prtica
. Modelos operacionais complexos e/ou mltiplos modelos operacionais
Fatores de sucesso
. Formar e treinar em COBIT 5 e neste mtodo de implementao.

. Dividir em projetos menores, dando um passo de cada vez, e priorizar resultados rpidos.
. Levantar as necessidades de melhoria dos diversos pblicos, correlacion-las, prioriz-las, e mape-las no programa
de capacitao de mudana.
. Concentrar-se nas prioridades do negcio ao fasear a implementao.

Desafios
Dificuldade de entendimento do COBIT 5 e modelos, procedimentos e prticas correlatas
Causas raiz
. Habilidades e conhecimento inadequados

. Copiar as melhores prticas, sem adapt-las
. Focar somente nos procedimentos e no nos demais habilitadores tais como, nos papis e responsabilidades bem
como nas habilidades aplicadas
Fatores de sucesso
. Formar e treinar em COBIT 5, outros padres e melhores prticas correlatas, bem como neste mtodo de
implementao.
. Se necessrio, obter orientao e suporte externos qualificados e experientes.

. Adaptar e personalizar as melhores prticas para adequ-las ao ambiente corporativo.
. Considerar e tratar as habilidades, papis e responsabilidades, responsabilidade pelos processos, metas e objetivos,
bem como, os demais facilitadores habilitadores necessrios ao elaborar os processos
Desafios
Resistncia mudana
Causas raiz
Resistncia uma resposta comportamental natural quando o status quo ameaado, mas tambm
pode indicar uma preocupao subjacente como, por exemplo:
. Incompreenso do que necessrio e do por que til

. Percepo de que a carga de trabalho e o custo aumentaro
. Relutncia em admitir deficincias
. Sndrome de "no foi inventado aqui", sustentada por modelos de governana genricas foradas para
implementao na Organizao
. Pensamento arraigado/ameaa aos papis funo ou base de poder

Fatores de sucesso
. Concentrar as comunicaes de conscientizao em pontos fracos e direcionadores especficos.

. Aumentar a conscincia, treinando os gerentes e participantes das reas de TI e de negcios.
. Usar um agente de mudana experiente com habilidades em TI e em negcios.
. Acompanhar os marcos regulares, com o uso de metas regulares, para garantir que os benefcios da implementao
sejam percebidos pelas partes envolvidas.
. Buscar resultados rpidos e que podem ser obtidos com mais facilidade como fomentadores para os valores criados.
. Tornar modelos genricos tais como o COBIT 5 relevantes para o contexto da organizao.
. Focar no planejamento da capacitao da mudana, como por exemplo:
Desenvolvimento
Treinamento
34
CAPTULO 4
Figura114FaseOQueDeveSerFeito?
Instruo
Orientao
Transferncia de habilidades
. Organizar viagens de exposio itinerantes e encontrar lderes para promover os benefcios.

Desafios
Falha na adoo das melhorias
Causas raiz
. Especialistas externos projetando solues isoladas ou impondo solues sem a explicao adequada.
. Equipe de GEIT interna operando de forma isolada e agindo como um substituto informal dos verdadeiros
responsveis donos dos pelos processos, causando mal-entendidos e resistncia mudana.
. Apoio e orientao inadequados dos principais participantes, resultando em projetos de GEIT que produzem novas
polticas e procedimentos que no tm um responsvel vlido
Fatores de sucesso
. Envolver os responsveis pelo processo e os demais participantes durante o projeto.

. Usar pilotos e programas demonstrativos (demos), se for o caso, para treinar e obter adeso e apoio.
. Comear com resultados rpidos, demonstrar os benefcios e evoluir a partir dali.
. Procurar lderes que desejam melhorar, em vez ao invs de forar as pessoas resistentes.
. Incentivar uma estrutura de gesto que atribua papis e responsabilidades, seja comprometida com sua operao
contnua e monitore a conformidade.
. Forar a transferncia de conhecimento dos especialistas externos para os responsveis pelos processos.
. Delegar responsabilidade e dar poder aos responsveis pelos donos dos processos.
Desafios
Dificuldade de integrar a abordagem de governana interna com os modelos de governana dos parceiros
terceirizados
Causas raiz
. Receio em revelar prticas inadequadas

. Falha em definir e/ou compartilhar os requisitos de GEIT com o prestador terceirizado
. Diviso pouco clara dos papis e responsabilidades
. Diferenas na abordagem e expectativas
Fatores de sucesso
. Envolver fornecedores/terceiros na implementao e atividades operacionais, se for o caso.

. Incorporar as condies e o direito de auditoria nos contratos.
. Procurar formas de integrar estruturas e abordagens.
. Atribuir papis, responsabilidades e estruturas de governana junto aos terceiros, logo no incio, e no como uma
reflexo tardia.
. Evidenciar a correspondncia (atravs de auditoria e anlise de documentos) dos processos do prestador de servio,
pessoas e tecnologia com as prticas e nveis de GEIT requeridos.
5FaseComoChegamosL?
Figura125FaseComoChegamosL?
Desafios
Falha na realizao dos compromissos de implementao
Causas raiz
. Objetivos excessivamente otimistas, subestimao dos esforos necessrios

. TI no modo "apagar incndio", somente reativo aos problemas e com foco em questes operacionais
. Falta de recursos ou capacidade dedicados
. Prioridades alocadas incorretamente
. Escopo no alinhado aos requisitos ou mal interpretado pelos implementadores
. Princpios de gesto do programa, por exemplo, caso de negcio, mal aplicados
. Conhecimento insuficiente do ambiente de negcios, por exemplo, do modelo operacional
Fatores de sucesso
. Gerenciar as expectativas.
. Seguir os princpios de orientao.
. Manter a simplicidade, o realismo e a praticidade.
. Dividir o projeto geral em projetos menores e atingveis, gerando experincia e benefcios.
. Garantir que o escopo da implementao sustente os requisitos e todos os participantes tenham o mesmo
entendimento daquilo que o escopo abranger.
. Concentrar-se nas implementaes que agreguem valor ao negcio.

. Assegurar que os recursos dedicados sejam alocados.
. Aplicar a gesto do programa e os princpios de governana.
35
IMPLEMENTAO
Figura125FaseComoChegamosL?
. Potencializar os mecanismos existentes e as formas de trabalho.
. Garantir a compreenso adequada sobre o ambiente de negcios.
Desafios
Tentativa de fazer muito de uma s vez; resolver problemas muito complexos e/ou difceis
Causas raiz
. Falta de entendimento do escopo e do esforo (tambm em relao aos aspectos humanos, criando uma linguagem
comum)
. Falta de capacidade de entendimento para absorver a mudana (muitas outras iniciativas)

. Falta de planejamento e gesto formais do programa; falta de criao de uma base e amadurecimento do esforo a
partir dali
. Presso indevida para implementao

. Deixar de tirar proveito dos resultados rpidos
. Reinventar a roda e no aproveitar a base que j est implementada
. Falta de percepo de cenrio organizacional
. Falta de habilidades
Fatores de sucesso
. Aplicar princpios de gesto do projeto e do programa.

. Usar marcos.
. Priorizar tarefas 80/20 (80% do benefcio com 20% do esforo) e tomar cuidado com a ordem correta do
sequenciamento. Capitalizar os resultados rpidos
. Criar confiana. Ter as habilidades e experincia para manter a implementao simples e prtica.
. Reutilizar o que j existe como base
Desafios
TI e/ou negcios no modo "apagar incndio" e/ou no priorizando bem e incapaz de concentrar-se na
governana
Causas raiz
. Falta de recursos ou habilidades

. Falta de processos internos, ineficincias internas
. Falta de uma forte liderana forte de TI
. Excesso de solues alternativas dede contorno
Fatores de sucesso
. Aplicar as boas prticas de liderana.

. Obter o comprometimento e conduo da alta administrao de modo que as pessoas possam se concentrar na
GEIT.
. Abordar as causas raiz no ambiente operacional (interveno externa, priorizao da TI pela administrao).
. Aplicar uma disciplina mais rigorosa sobre os requisitos do negcio ou sua gesto.
. Usar recursos externos, quando apropriado.
. Obter assessoria externa.
Desafios
Falta de habilidades e competncias de TI necessrias, por exemplo, entendimento da governana, gesto,

negcios, processos, habilidades sociais
Causas raiz
. Entendimento insuficiente do COBIT e das melhores prticas de gerenciamento de TI

. Habilidades em gerenciamento e negcios frequentemente no so includas no treinamento
. Pessoal de TI no interessado em reas no tcnicas
. Pessoal do negcio no interessado em TI
Fatores de sucesso
. Foco no planejamento da habilitao da mudana:
Desenvolvimento
Treinamento
Instruo
Orientao
Feedback sobre o processo de recrutamento
Treinamentos cruzados
36
CAPTULO 4
6FaseJChegamosL?e7FaseComoMantemosEssaDinmica?
A figura 13 relaciona os desafios e suas causas raiz e fatores de sucesso da 6 e 7 Fases.
Figura136FaseJChegamosL?e7FaseComoMantemosEssaDinmica?
Desafios
Falha em adotar ou aplicar as melhorias
Causas raiz
. Solues muito complexas ou impraticveis

. Solues desenvolvidas de forma isolada pelos consultores ou uma equipe de especialistas
. Melhores prticas copiadas, mas no personalizadas para ajustar-se operao da organizao
. Solues no assumidas pelos proprietrios responsveis pelos processos e/ou pela equipe
. Organizao sem papis e responsabilidades bem definidos
. A alta direo no est exigindo e apoiando a mudana
. Resistncia mudana
. Fraco entendimento de como aplicar os novos processos ou ferramentas desenvolvidos
. As habilidades e perfil no correspondem aos requisitados pela funo
Fatores de sucesso
. Foco em resultados rpidos e projetos gerenciveis.

. Implementar pequenas melhorias a fim de testar a abordagem e certificar-se de que funciona.
. Envolver os proprietrios dos processos e as demais partes interessadas no desenvolvimento da melhoria.
. Certificar-se de que os papis e responsabilidades so claras e aceitas, alterando papis e descries de cargo, se
necessrio.
. Direcionar a melhoria a partir da alta direo, em toda a organizao.

. Aplicar o treinamento adequado, sempre que necessrio.
. Desenvolver processos antes de tentar automatizar.
. Reorganizar, se necessrio, para estabelecer uma melhor responsabilidade pelos processos.
. Identificar os papis (especialmente aqueles que so fundamentais para a adoo bem sucedida) de acordo com as
capacidades e caractersticas individuais.
. Prover formao e treinamento eficazes.

Desafios
Dificuldade em demonstrar ou comprovar os benefcios
Causas raiz
. Objetivos e mtricas no estabelecidas ou funcionando sem eficincia

. Acompanhamento dos benefcios no aplicado aps a implementao
. Perda do foco sobre os benefcios e o valor a serem obtidos
. M comunicao dos resultados positivos
Fatores de sucesso
. Definir objetivos claros, mensurveis e realistas (o resultado esperado da melhoria).

. Definir mtricas de desempenho prticas (para monitorar se a melhoria est atingindo os objetivos).
. Produzir relatrios para demonstrar como o desempenho est sendo medido.
. Comunicar em termos de negcio, os resultados e benefcios que esto sendo obtidos.
. Implementar ganhos rpidos e entregar solues em curto espao de tempo
Desafios
Perda de interesse e dinmica
Causas raiz
. Melhoria contnua no faz parte da cultura da organizao

. A alta direo no est orientando resultados sustentveis
. Recursos destinados a "apagar incndios" e prestao do servio, no melhoria
. Pessoal desmotivado, no consegue ver o benefcio da adoo e implementao da mudana
Fatores de sucesso
. Garantir que a alta direo comunique e reforce regularmente a necessidade de servios robustos e confiveis,
solues e boa governana. Comunicar s partes interessadas, o sucesso das melhorias j alcanadas.
. Revisitar as partes interessadas e obter o seu apoio para alimentar a dinmica.

. Se os recursos so escassos, crie oportunidades para implementar as melhorias como parte da rotina diria de
trabalho.
. Foco em tarefas de melhoria regulares e gerenciveis.

. Obter auxlio externo, mas continuar engajado.
. Alinhar os sistemas de recompensas pessoais com os processos, objetivos e mtricas de melhoria de desempenho
da organizao.
37
IMPLEMENTAO
38
CAPTULO 5
HABILITANDO A MUDANA
CAPTULO 5
ANecessidadedeHabilitaoparaaMudana
A implementao ou melhoria bem sucedida depende da implementao da mudana apropriada (as boas prticas) de
forma correta. Muitas organizaes focam significativamente no primeiro aspecto, mas no enfatizam suficientemente a
gesto dos aspectos humanos, comportamentais e culturais da mudana e no motivam as partes interessadas em aderir
mudana. A habilitao da mudana um dos maiores desafios da implementao da GEIT.
No se deve presumir que as diversas partes interessadas, envolvidas ou afetadas pelos novos ou revisados arranjos de
governana necessariamente aceitaro e adotaro prontamente a mudana. A possibilidade de desconhecimento e/ou
resistncia mudana deve ser abordada por meio de uma abordagem estruturada e proativa. Alm disso, a conscientizao
ideal do programa deve ser alcanada atravs de um plano de comunicao que defina o que ser comunicado, de que
forma e por quem, durante todas as fases do programa.
Ao analisar uma recente e importante iniciativa de transformao de
TI, o Departamento de Assuntos de Veteranos dos EUA (VA)
observou: O principal desafio que o VA enfrentar para alcanar esta
transformao ser obter a aceitao e o apoio de todo o pessoal,
inclusive liderana, gerentes de nvel mdio e pessoal de campo.5 O
VA afirmou que seu esforo no ter sucesso se tratar somente da
transformao tecnolgica; ele reconhece que o fator humano
necessrio para obter a aceitao, mudar a organizao e a forma como
os negcios so conduzidos so crticos para o sucesso.
Muitasorganizaesnoenfatizam
suficientementeagestodos
aspectoshumanos,
comportamentaiseculturaisda
mudanaenomotivamos
participantesemaderirmudana.
O COBIT 5 define a habilitao da mudana como:

Um processo sistemtico de garantia de que todas as partes interessadas estejam preparadas e
comprometidas com as mudanas necessrias transformao da condio atual para a condio
desejada.
As principais partes interessadas devero ser envolvidas. Em um alto nvel, a capacitao da mudana geralmente implica:
. Avaliar o impacto da mudana sobre a organizao, seus funcionrios e demais partes interessadas
. Estabelecer a condio futura (viso) em termos humanos/ comportamentais e as respectivas medidas que a descrevem
. Criar planos de resposta mudana para administrar pro-ativamente os impactos da mudana e maximizar o
compromisso durante o processo. Esses planos podero incluir treinamento, comunicao, projeto de organizao (o
contedo do trabalho, estrutura organizacional), redesenho de processos e atualizao dos sistemas de gerenciamento de
desempenho.
. Medir continuamente o progresso da mudana em relao condio futura desejada
Em termos de uma tpica implementao da GEIT, o objetivo da habilitao da mudana fazer com que as partes
interessadas da organizao, das reas de TI e de negcios, por exemplo, liderem e incentivem o pessoal de todos os nveis
a trabalhar de acordo com a nova forma desejada. Exemplos do comportamento desejado incluem:
. Seguir os processos definidos

. Participar das estruturas de GEIT definidas, como aprovador de mudanas ou conselho consultivo
. Aplicar os princpios de orientao, polticas, padres, processos ou prticas definidas, tais como uma poltica de novos
investimentos ou de segurana
Isto pode ser alcanado obtendo-se o compromisso das partes interessadas (com diligncia e o devido cuidado, liderana e
atravs de comunicao e suporte aos envolvidos na fora de trabalho) e conscientizando-os dos benefcios. Se necessrio,
pode ser requerido reforar a conformidade. Em outras palavras, os obstculos humanos, comportamentais e culturais
devem ser superados para criar um interesse comum em adotar, incutir a vontade de adotar e assegurar a capacidade de
adotar um novo caminho. Pode ser til recorrer aos critrios de habilitao da mudana disponveis na organizao ou, se
necessrio, de consultores externos para facilitar a mudana de comportamento.
5 Walters, Jonathan; Transforming Information Technology at the Department of Veterans Affairs, IBM Center for the Business of
Government, EUA, 2009
39
IMPLEMENTAO
HabilitaodaMudanadaImplementaodaGEIT
Diversas abordagens habilitadoras da mudana foram definidas nos ltimos anos e elas fornecem informaes valiosas que
podem ser utilizadas durante o ciclo de vida da implementao.
Obstculoshumanos,
comportamentaiseculturais
devemsersuperadospara
criaruminteressecomum
emadotar,incutiravontade
deadotareassegurara
capacidadedeadotarum
novocaminho.
Uma das abordagens de habilitao da mudana mais amplamente aceitas foi

desenvolvida por John Kotter:6
1. Criar um senso de urgncia.
2. Formar uma poderosa coalizo para guiar.
3. Criar uma viso bem clara e express-la de forma simples.
4. Comunicar a viso.
5. Capacitar outras pessoas a agir com esta viso.
6. Planejar e produzir resultados rpidos.
7. Consolidar as melhorias e produzir mais mudanas.
8. Institucionalizar novas abordagens.
A abordagem de Kotter foi escolhida como um exemplo e adaptada aos requisitos especficos de uma implementao ou
melhoria da GEIT. Isto ilustrado pelo ciclo de vida de habilitao da mudana contido na figura 14.
As seguintes subsees criam uma viso em alto nvel, porm holstica, discutindo cada fase do ciclo de vida de habilitao
da mudana aplicado a uma tpica implementao da GEIT.
Figura147FasesdoCiclodeVidadaImplementao
AsFasesdoCiclodeVidadeHabilitaodaMudanaCriamoAmbienteAdequado
O ambiente da organizao como um todo deve ser analisado para determinar a abordagem mais apropriada de habilitao
da mudana. Isto incluir aspectos tais como o estilo de gesto, cultura (formas de trabalhar), relacionamentos formais e
informais, bem como atitudes. Tambm importante entender as demais iniciativas da organizao ou de TI em
andamento ou planejadas para garantir que as dependncias e impactos sejam considerados.
Deve-se assegurar desde o incio que as habilidades, competncias e experincia necessrias para habilitao da mudana
sejam disponibilizadas e utilizadas, por exemplo, envolvendo os recursos da funo de RH ou obtendo ajuda externa.
Como uma sada (resultado) desta fase, o equilbrio adequado das atividades diretivas e inclusivas de habilitao da
mudana necessrias para gerar benefcios sustentveis pode ser projetado.
Kotter, John; Leading Change, Harvard Business School Press, EUA, 1996
40
CAPTULO 5
1FaseEstabelecendooDesejodeMudana
O objetivo desta fase entender a amplitude e profundidade da mudana desejada, as diversas partes interessadas afetadas,
a natureza de seu impacto e o envolvimento necessrio de cada uma das partes interessadas, bem como a prontido e
capacidade atual de aceitar a mudana.
Os atuais pontos fracos e eventos desencadeadores podem fornecer uma boa base para estabelecer o desejo de mudana. O
despertar e uma comunicao inicial sobre o programa pode estar relacionada a problemas reais que a organizao possa
estar enfrentando. Alm disso, os benefcios iniciais podem estar associados s reas mais visveis da organizao, criando
uma plataforma para mudanas futuras com maior compromisso e adeso.
Embora a comunicao seja o fio condutor de toda a iniciativa de implementao ou melhoria, a comunicao inicial ou
divulgao inicial ou o despertar um dos mais importantes e deve demonstrar o compromisso da alta administrao.
Portanto, ela deve ser comunicada preferencialmente pelo comit executivo ou pelo Diretor-Presidente.
2FaseFormarumaEquipedeImplementaoEfetiva
As dimenses a considerar na montagem de uma equipe de implementao eficiente incluem a participao das reas
envolvidas de TI e de negcios bem como o conhecimento e competncia, experincia, credibilidade e autoridade dos
membros da equipe. A obteno de uma viso independente e objetiva, como as de participantes externos tais como
consultores e de um agente da mudana, poderiam ser altamente benficas ao auxiliar o processo de implementao ou
abordar a falta de habilidades que possam existir na organizao. Portanto, outra dimenso a considerar o mescla
adequada de recursos internos e externos.
A essncia da equipe deve ser o compromisso com:
. Uma clara viso do sucesso e metas ambiciosas

. Extrair o melhor de cada membro da equipe, em todas as ocasies
. Clareza e transparncia nos processos, responsabilidades e comunicaes da equipe
. Integridade, apoio e compromisso com o sucesso mtuo
. Responsabilidade mtua e responsabilidade coletiva
. Medio contnua de seu desempenho prprio e a maneira como ele se comporta em equipe
. Sair da sua zona de conforto, sempre buscando formas de melhorar, descobrindo novas possibilidades e aderindo
mudana
importante identificar potenciais agentes da mudana em diferentes partes da organizao que possa suportar a viso e
desdobrar em mudana a nveis inferiores para a equipe principal.
3FaseComunicaraVisoDesejada
Um plano em alto nvel de capacitao da mudana deve ser desenvolvido em conjunto com o plano geral do programa.
Um componente importante do plano de capacitao da mudana a estratgia de comunicao, que deve definir quem so
os principais grupos de pblicos, seus perfis de comportamento, informaes requeridas, canais de comunicao e seus
princpios.
A viso desejada do programa de implementao ou melhoria deve ser comunicada na linguagem daqueles afetados por
ela. A comunicao deve conter a justificativa para a mudana e seus benefcios bem como os impactos da no
implementao da mudana (propsito), a viso (panorama), o roteiro para a realizao da viso (plano) e o envolvimento
exigido das diversas partes interessadas (participantes).7 A alta administrao deve encarregar-se de entregar as principais
mensagens (como, por exemplo, a viso desejada). Deve ser observado na comunicao que ambos os aspectos
comportamental/cultural e lgico devem ser abordados, e que a nfase est na comunicao bidirecional. Crticas,
sugestes e outros comentrios devem ser retidos e analisados.
4FaseCapacitarEspecialistaseIdentificarResultadosRpidos
Quando as principais melhorias so projetadas e criadas, os planos de resposta mudana sero desenvolvidos a fim de
capacitar os diversos especialistas. Seu escopo pode incluir:
. Mudanas no projeto organizacional tais como descrio de cargo ou estrutura das equipes
. Mudanas operacionais tais como fluxos de processo ou logstica
. Mudanas na gesto de recursos humanos tais como treinamento e/ou mudanas na gesto de desempenho ou sistemas de
bonificao
Todos os resultados rpidos que possam ser obtidos so importantes do ponto de vista de capacitao da mudana. Eles
podem estar relacionados aos pontos fracos e eventos desencadeadores discutidos no Captulo 3. Resultados rpidos
visveis e inequvocos podem criar fora e credibilidade para o programa e ajudar a enfrentar qualquer ceticismo que possa
existir.
Os quatro Ps (propsito, panorama, plano e participantes) foram extrados de: Bridges, William; Managing Transitions: Making the
Most of Change, Addison-Wesley, EUA, 1999
41
IMPLEMENTAO
imperativo usar uma abordagem participativa na concepo e criao das principais melhorias. Ao envolver as pessoas
afetadas pela mudana no projeto real, por exemplo, atravs de seminrios (workshops) e sesses de anlise, a adeso pode
ser ampliada.
5FaseFacilitaraOperaoeoUso
Quando as iniciativas so implementadas dentro do ciclo de vida principal da implementao, os planos de resposta
mudana tambm sero implementados. Os resultados rpidos identificados sero compreendidos como base, e os aspectos
comportamentais e culturais da transio mais ampla sero abordados (questes como lidar com o medo da perda de
responsabilidade, novas expectativas e tarefas desconhecidas).
importante equilibrar as intervenes em grupo e individuais para aumentar o envolvimento a fim de garantir que todas
as partes interessadas obtenham uma viso holstica da mudana.
As solues sero implementadas, e durante este processo, orientao e treinamento sero crticos para garantir a aceitao
no ambiente do usurio. Os requisitos e objetivos da mudana definidos inicialmente devem ser revistos a fim garantir que
foram devidamente considerados.
As medidas de sucesso devem ser definidas e ambas devem incluir medidas de negcios difceis e medidas de percepo
que acompanhem como as pessoas se sentem em relao mudana.
6FaseIncorporarNovasAbordagens
Asmudanassosustentadas
pelaspartesinteressadasque
lideramporexemplo,atravs
doreforodaconscientizao
edeumacampanhade
comunicaocontnua.
Quando resultados slidos so obtidos, as novas maneiras de trabalhar devem se

tornar parte da cultura da organizao e enraizadas em suas normas e valores (a
forma como fazemos as coisas por aqui), por exemplo, implementando polticas,
padres e procedimentos. As mudanas implementadas devem ser
acompanhadas, a eficcia dos planos de resposta mudana deve ser avaliada e
as medidas corretivas tomadas conforme o caso. Isto pode incluir a aplicao da
conformidade onde ainda for necessrio.
A estratgia de comunicao deve ser mantida para sustentar a constante
conscientizao.
7FaseManter
As mudanas so mantidas atravs do reforo da conscientizao e de uma campanha de comunicao contnua, e so
mantidas e demonstradas pelo constante compromisso da alta administrao.
Os planos de aes corretivos so implementados, as lies aprendidas so retidas e o conhecimento compartilhado em
toda a organizao.
42
CAPTULO 6
ATIVIDADES, PAPIS E RESPONSABILIDADES DO CLICO DE VIDA DA IMPLEMENTAO
CAPTULO 6
Introduo
A melhoria contnua da GEIT alcanada com o uso das sete fases do ciclo de vida da implementao. Cada fase
descrita com:
. Uma tabela que resume as responsabilidades de cada grupo de especialistas na fase. Observe que esses papis so
genricos e cada papel no deve necessariamente existir como uma funo especfica.
. Uma tabela para cada fase contendo:

Objetivo da fase
Descrio da fase
Tarefas de melhoria contnua
Tarefas de capacitao de mudana
Tarefas de gerenciamento do programa
Exemplos das entradas provavelmente necessrias
Sugesto da ISACA e de outros modelos a serem utilizados
Os resultados (sadas) que devem ser produzidos
. Uma tabela RACI que descreve quem o responsvel, prestador de contas, consultado e informado pelas principais
atividades selecionadas entre as tarefas de melhoria contnua (continual improvement - CI), habilitao da mudana
(change enablement - CE) e gerenciamento do programa (programme management - PM), com as respectivas referncias
cruzadas. As atividades cobertas pela tabela RACI so as mais importantes, por exemplo, atividades que produzem
resultados ou sadas para a prxima fase, que tm metas associadas a elas ou que so crticas para o sucesso da iniciativa
geral. Nem todas as atividades foram includas, com a finalidade de manter este guia conciso.
Este guia no pretende ser prescritivo, mas sim uma fase genrica e um plano de tarefas que devem ser adaptadas a fim de
atender uma implementao especfica.
As figuras 15, 16, 17 e 18 descrevem a 1 Fase.
Figura15Fase1dodaMelhoriaContinuadoCiclodeVida
43
IMPLEMENTAO
Figura16Papisna1Fase
Quando voc pertencer a...
Sua funo nesta fase ...
Diretoria e administrao
Fornecer orientao em relao s necessidades das partes interessadas, estratgia de negcios, prioridades,
objetivos e princpios de orientao em relao governana e gesto de TI da organizao. Aprovar a
abordagem em alto nvel.
Administrao do negcio
Juntamente com TI, garantir que as necessidades das partes interessadas e os objetivos corporativos sejam
definidos com a clareza suficiente para permitir a interpretao em objetivos corporativos de TI, e fornecer
dados para entendimento do risco e das prioridades.
Gerncia de TI
Reunir os requisitos e objetivos de todas as partes interessadas, obtendo um consenso sobre a abordagem e o
escopo. Fornecer recomendao e orientao em relao s questes de TI.
Auditoria interna
Fornecer recomendao e desafiar as atividades e aes propostas, garantindo assim que os objetivos e
tomada de decises so feitas de maneira equilibrada. Fornecer recomendao sobre os controles e prticas
de gesto de riscos e abordagens.

jurdica
Fornecer recomendao e orientao sobre o risco, conformidade e questes jurdicas. Garantir que a
abordagem proposta pelos gestores apropriada para atender o risco e cumprir os requisitos de conformidade
e jurdicos.
1 Fase
Quais So os Direcionadores?
Objetivo da fase
Obter um entendimento do contexto e objetivos do programa e da atual abordagem de governana. Definir o

caso de negcio inicial do conceito do programa. Obter a adeso e o compromisso de todas as principais
partes interessadas.
Descrio da fase
Esta fase articula as justificativas para agir dentro do contexto organizacional. Neste mbito o contexto,
objetivos e a atual cultura de governana do programa so definidos. O caso de negcio inicial do conceito do
programa definido. A adeso e o compromisso de todas as principais partes interessadas so obtidos.

(CI)
Reconhecer a necessidade de agir:

1. Identificar o atual contexto de governana, TI aplicado ao negcio e pontos fracos de TI e eventos e
sintomas que desencadeiam a necessidade de agir.
2. Identificar os indicadores de governana e de negcios e os requisitos de conformidade para melhoria da
GEIT e avaliar as atuais necessidades das partes interessadas.
3. Identificar as prioridades do negcio e a estratgia de negcios dependentes de TI, inclusive os projetos
atuais significativos.
4. Alinhar com as polticas, estratgias e princpios orientadores da organizao e quaisquer iniciativas de
governana em andamento.
5. Aumentar a conscientizao executiva da importncia de TI e o valor da GEIT da organizao.
6. Definir a poltica, objetivos, princpios orientadores e as metas de melhoria da GEIT em alto nvel.
7. Garantir que os executivos e a diretoria entendam e aprovem a abordagem em alto nvel e aceitem o
risco de no tomar nenhuma ao em relao s questes importantes.
Tarefas de capacitao de
mudana (CE)
Criar o desejo de mudana:

1. Garantir a integrao com as abordagens ou programas corporativos globais de habilitao de
mudanas, caso existam.
2. Analisar o ambiente organizacional em que a mudana deve ser habilitada, inclusive a estrutura
organizacional, estilo(s) de administrao, cultura, formas de trabalho, relacionamentos formais e
informais, bem como atitudes.
3. Determinar outras iniciativas corporativas em andamento ou planejadas a fim de entender as
dependncias ou impactos da mudana.
4. Entender a amplitude e profundidade da mudana.
5. Identificar os participantes envolvidos na iniciativa das diversas reas da organizao (ex.: negcios, TI,
auditoria, gesto de risco) bem como os diferentes nveis (ex.: executivos, gerentes de nvel mdio) e
considerar suas necessidades.
6. Determinar o nvel de apoio e envolvimento necessrio de cada grupo de participantes ou participante
individual, sua influncia e o impacto da iniciativa de mudana sobre eles.
7. Determinar a prontido e a capacidade de implementar a mudana de cada grupo de participantes ou
participante individual.
8. Estabelecer a divulgao inicial, usando os pontos fracos e eventos desencadeadores como ponto de
partida, e que seja comunicada pelo comit executivo de estratgia de TI ou pelo comit diretor (ou uma
Figura17Descrioda1Fase
44
CAPTULO 6
estrutura de governana equivalente) a fim de criar conscientizao sobre o programa, seus motivadores
e seus objetivos entre todos os participantes.
9. Eliminar quaisquer falsos sinais de segurana ou complacncia destacando, por exemplo, nmeros
relativos conformidade ou excees.
10. Incutir o nvel adequado de urgncia, dependendo da prioridade e do impacto da mudana.
Tarefas da gesto do programa
(PM)
Iniciar o programa:
1. Fornecer orientao estratgica em alto nvel e definir os objetivos do programa em alto nvel em
consenso com o comit executivo de estratgia de TI ou equivalente (se houver).
2. Definir e atribuir os papis e responsabilidades do programa em alto nvel, desde o patrocinador
executivo at o gerente do programa alm de todos os participantes importantes.
3. Criar as linhas gerais do caso de negcio indicando os fatores de sucesso a serem usados para permitir
o monitoramento do desempenho e a divulgao dos sucessos da melhoria na governana.
4. Obter o patrocnio executivo.
Entrada
. Polticas, estratgias, planos de negcios e de governana e relatrios de auditoria da organizao.

. Outras iniciativas corporativas importantes entre as quais poder haver dependncias ou impactos.
. Relatrios de desempenho do comit diretor de TI, estatsticas do help desk, pesquisas com o cliente de TI
ou outros dados que indiquem os atuais problemas de TI.
. Quaisquer estudos de caso e histrias de sucesso teis e relevantes sobre o setor, em

www.isaca.org/cobitcasestudies
. Requisitos especficos do cliente, estratgias de marketing e atendimento, posio de mercado, declaraes

da viso e misso da organizao.
Recursos da ISACA
. COBIT 5 (objetivos corporativos, habilitadores)

. COBIT 5: Habilitando Processos (EDM01, APO01 e MEA01), www.isaca.org/cobit
. COBIT 5 Implementao (apndices A. Mapeamento de Pontos Fracos em Processos do COBIT 5, B.
Exemplo de Matriz de Deciso e D. Exemplo de Caso de negcio)
. Produtos de apoio da ISACA conforme definio mais atual em www.isaca.org

. O Guia: Using Val IT 2.0
Sada
. Linhas gerais do caso de negcio

. O Guia: Using Val IT 2.0
. Mapa de participantes identificados, inclusive o apoio e envolvimento necessrios, influncia e impacto, e o
entendimento definido dos esforos necessrios para administrar a mudana humana
. Divulgao inicial do programa (todos os participantes)

. Comunicao de incio do programa (partes interessadas chaves)
Figura18TabelaRACIda1Fase
45
IMPLEMENTAO
2FaseOndeEstamosAgora?
As figuras 19, 20, 21 e 22 descrevem a 2 Fase
Figura192FasedoCiclodeVidadeMelhoriaContnua
Verificar e interpretar os resultados/concluses das avaliaes.
Auxiliar TI com ponderao das avaliaes atuais fornecendo a viso do cliente.
Gerncia de TI
Garantir avaliaes abertas e justas das atividades de TI. Orientar a avaliao das prticas atuais. Obter
consenso.
Auditoria interna
Prestar assessoria, fornecer dados e ajudar nas avaliaes do estado atual. Se necessrio, verificar os
resultados da avaliao de forma independente.

jurdica
Analisar a avaliao para garantir que o risco, conformidade e questes jurdicas tenham sido adequadamente
consideradas.
2 Fase
Onde Estamos Agora?
Objetivo da fase
Garantir que a equipe do programa conhea e entenda os objetivos corporativos e como as funes de
negcios e de TI devem criar valor a partir da TI para sustentar os objetivos corporativos, inclusive os projetos
significativos em andamento. Identificar os processos crticos ou outros habilitadores a ser considerados no
plano de melhoria. Identificar as prticas de gesto apropriadas para cada processo selecionado. Obter um
entendimento da atitude atual e futura da organizao quanto a sua posio em relao ao risco em geral e ao
risco de TI e determinar como isso afetar o programa. Determinar a atual capacidade dos processos
selecionados. Entender a capacidade da organizao e a capacidade para a mudana.
Descrio da fase
Esta fase identifica os objetivos corporativos e de TI, ou seja, como TI contribui com os objetivos corporativos
identificados atravs de suas solues e servios.
O foco est na identificao e anlise de como a TI cria valor para a organizao habilitando a transformao
do negcio de forma gil, tornando os atuais processos de negcios mais eficientes, tornando a organizao
mais eficaz, e atendendo aos requisitos de governana tais como gesto de risco, garantindo a segurana e
cumprindo as exigncias legais e regulatrias.
46
CAPTULO 6
2 Fase
Onde Estamos Agora?

Com base no perfil de risco da organizao, seu histrico e inclinao ao risco, bem como o risco efetivo da
habilitao de benefcio/valor, definir o risco da habilitao do benefcio/valor, risco na entrega de
programas/projetos e na prestao do servio/operaes de TI para os objetivos corporativos e de TI. O
Apndice C contm uma tabela mapeando cenrios de risco genricos aos processos do COBIT 5 que podem
ser usados para apoiar esta anlise.
O entendimento dos motivadores de negcio e governana alm e uma avaliao de risco, so usados para se
concentrar nos processos crticos garantindo que os objetivos de TI sejam alcanados. Ento, necessrio
definir o nvel de maturidade, gesto e execuo desses processos, com base nas descries, polticas,
padres, procedimentos e especificaes tcnicas desses processos, a fim de determinar se so capazes de
apoiar os requisitos de TI e do negcio. Isto alcanado avaliando a capacidade de cada processo.
A presena de pontos fracos especficos em uma organizao tambm poderia contribuir com a seleo dos
processos de TI nos quais se concentrar.
O Apndice A deste documento contm exemplos de mapeamentos de pontos fracos comuns (discutidos no
Captulo 4) em processos do COBIT 5. H tambm uma ilustrao de todos os 37 processos contidos no
modelo de referncia de processo.

(CI)
Avaliar o estado atual:

1. Entender como TI deve apoiar os atuais objetivos da organizao (o material 'cascata de objetivos do
COBIT 5' contido no COBIT 5 Modelo Corporativo para a Governana e Gesto de TI da Organizao e
no COBIT 5: Habilitando Processos, apresenta exemplos genricos e relacionamentos que podem ser
usados):
2. Identificar os principais objetivos corporativos e de apoio, relacionados a TI.
3. Definir a importncia e natureza das contribuies de TI (solues e servios) necessrias para sustentar
os objetivos corporativos.
4. Identificar os principais problemas e pontos fracos da governana relacionados s solues e servios
atuais e necessrios no futuro, a arquitetura da organizao necessria para apoiar os objetivos de TI,
bem como quaisquer restries ou limitaes.
5. Identificar e selecionar os processos crticos para apoiar os objetivos de TI e, se for o caso, as principais
prticas de gesto de cada processo selecionado.
6. Avaliar o risco de habilitao do benefcio/valor, risco na entrega de programas/projetos e na prestao
de servio/ operaes de TI relacionados aos processos crticos de TI.
7. Identificar e selecionar os processos de TI, crticos para garantir que o risco seja evitado.
8. Entender a posio de aceitao do risco definida pela administrao.
9. Avaliar o desempenho real (consultar o Captulo 7. Uso dos Componentes do COBIT 5):
10. Definir o mtodo para realizao da anlise.
11. Documentar o entendimento de como o processo atual realmente trata das prticas de gesto
selecionadas anteriormente.
12. Analisar o atual nvel de capacidade.
13. Definir a atual classificao de capacidade do processo.
mudana (CE)
Formar uma equipe eficaz de implementao:

1. Montar uma equipe principal com pessoal de TI e de negcios com conhecimento, habilidade, perfil,
experincia, credibilidade e autoridade adequados para conduzir a iniciativa. Identificar a pessoa
adequada (lder eficaz e digno da confiana dos participantes) para liderar esta equipe. Considerar o uso
de terceiros, tais como consultores, como parte da equipe para fornecer uma viso independente e
objetiva, ou para preencher quaisquer lacunas de habilidades que possam existir.
2. Identificar e administrar qualquer potencial interesses declarado que possa existir dentro da equipe para
criar o nvel necessrio de confiana.
3. Criar o ambiente adequado para o trabalho em equipe. Isto inclui garantir que possa haver necessrio
envolvimento e tempo dedicado.
4. Realizar um seminrio (workshop) para criar consenso (viso compartilhada) dentro da equipe e adotar
uma conveno para a iniciativa de mudana.
5. Identificar agentes de mudana com os quais a equipe principal possa trabalhar usando o princpio de
cadeia de patrocnio (ter patrocinadores em diversos nveis da hierarquia apoiando a viso, disseminando
a ideia de benefcios rpidos, desencadeando as mudanas nos nveis inferiores, trabalhando com os
resistentes e cticos que possam existir) a fim de garantir a ampla adeso dos participantes durante cada
fase do ciclo de vida.
6. Documentar os pontos fortes identificados durante a avaliao do estado atual que podem ser usados
como elementos positivos nas comunicaes, bem como potenciais benefcios rpidos que possam ser
alavancados sob a perspectiva de habilitao de mudanas.

(PM)
Definir os problemas e oportunidades:

7. Analisar e avaliar o caso de negcio preliminar, a viabilidade do programa e o potencial retorno sobre o
investimento (Return on Investment - ROI).
47
IMPLEMENTAO
2 Fase
Onde Estamos Agora?

8.
9.
Entrada
Atribuir papis, responsabilidades e responsveis pelos processos e assegurar o compromisso e apoio

dos participantes afetados na definio e execuo do programa.
Identificar os desafios e fatores de sucesso.
. Caso de negcio preliminar

. Papis e responsabilidades em alto nvel
. Mapa de das partes interessadas identificadas identificados, incluindo apoio e envolvimento necessrios,
influncia e impacto, bem como a prontido e capacidade para implementar ou aderir mudana
. Divulgao inicial do programa (toda as partes interessadas)

. Comunicado de incio do programa (todas as partes interessadas)
. Planos e estratgias de TI e de negcios
. Descries de processos, polticas, padres, procedimentos e especificaes tcnicas de TI
. Entendimento da contribuio de TI e do negcio
. Relatrios de auditoria, poltica de gesto de risco, relatrios/painis (dashboards)/scorecards ndices de
desempenho de TI (scorecards)
. Planos de continuidade do negcio (Business Continuity Plan - BCPs), anlises de impacto, exigncias
regulatrias, arquiteturas da organizao, acordos de nvel de servio (Service Level Agreement - SLAs),
acordos de nvel operacional (Operational Level Agreement - OLAs)
. Programa de investimentos e portflios de projetos, planos de programas e projetos, metodologias de
gesto de projetos, relatrios de projetos
Recursos da ISACA
. COBIT 5 (objetivos corporativos escalonamento dos objetivos de TI e mapeamento das necessidades dos
participantes em objetivos), www.isaca.org/cobit
. COBIT 5: Habilitando Processos APO01; APO02; APO05; APO12; BAI01; MEA01; MEA02; MEA03 (usados
para a seleo do processo bem como para o planejamento e implementao do programa)
. COBIT 5 Implementao (Captulo 5. Capacitao da Mudana e Apndice E. COBIT 4.1 Tabela de

Atributos de Maturidade)
. Guia de auto avaliao do COBIT 5 (publicao em elaborao)

. Produtos de apoio da ISACA conforme definio atual em www.isaca.org
Sada
. Objetivos corporativos definidos para TI e o impacto sobre TI

. Um entendimento consensual do risco e impactos decorrentes do no alinhamento dos objetivos de TI e
falhas na execuo do projeto e prestao do servio
. Processos e metas selecionados

. Classificao da capacidade atual dos processos selecionados
. Posio de aceitao ao risco e perfil de risco
. Risco na habilitao do valor agregado, entrega do programa/projeto e avaliaes de risco s
operaes/servios de TI.
. Pontos fortes nos quais se basear

. Agentes da mudana em diferentes partes e em diferentes nveis da organizao
. Equipe principal com papis e responsabilidades atribudas
. Avaliao das linhas gerais do caso de negcio
. Entendimento consensual dos problemas e desafios (inclusive com nveis de capacidade dos processos)
***
48
CAPTULO 6
3FaseOndeQueremosChegar?
Definir prioridades, cronogramas e expectativas em relao capacidade futura exigida de TI.
Auxiliar TI com a definio das metas de capacidade. Garantir que as solues previstas estejam alinhadas aos
objetivos corporativos.
Gerncia de TI
Aplicar critrios profissionais na formulao dos planos e iniciativas de melhoria prioritrios. Obter consenso
sobre a meta de capacidade necessria. Garantir que as solues previstas estejam alinhadas aos objetivos de
TI.
Auditoria interna
Prestar assessoria e auxiliar com o posicionamento do propsito-alvo e priorizao dos problemas a serem
resolvidos. Se necessrio, verificar os resultados da avaliao atravs de consultores independentes.

jurdica
Analisar os planos para garantir que o risco, conformidade e questes jurdicas tenham sido adequadamente
considerados.
49
IMPLEMENTAO
3 Fase
Onde Queremos Chegar?
Objetivo da fase
Determinar a capacidade desejada para cada um dos processos selecionados. Determinar as diferenas entre
as posies atual e desejadas dos processos selecionados, e converter essas diferenas em oportunidades de
melhoria. Usar estas informaes para criar um caso de negcio detalhado e um plano do programa em alto
nvel.
Descrio da fase
Com base nos atuais nveis de capacidade de processo, e com o uso dos resultados da anlise dos objetivos
corporativos em relao aos objetivos de TI e a identificao da importncia do processo realizada
anteriormente, o nvel de capacidade desejado deve ser determinado para cada processo. O nvel escolhido
deve levar em considerao as referncias internas e externas disponveis. importante assegurar a
adequao do nvel escolhido ao negcio.
Depois que a atual capacidade do processo tiver sido determinada e a capacidade alvo planejada, as
diferenas entre os estados atual e desejado devero ser avaliadas e as oportunidades de melhoria
identificadas. Aps estas diferenas tiverem sido definidas, as causas raiz, problemas comuns, risco residual,
os atuais pontos fortes e melhores prticas para eliminar essas diferenas devero ser determinados.
Esta fase poder identificar algumas melhorias relativamente fceis de implementar tais como a melhoria do
treinamento, o compartilhamento das boas prticas e a padronizao de procedimentos; entretanto, a anlise
de falhas provavelmente exigir experincia considervel em tcnicas de gesto de negcios e de TI para o
desenvolvimento de solues prticas. Tambm ser necessria experincia no entendimento da mudana
comportamental e organizacional.
Poder ser necessrio o entendimento de tcnicas de processo, negcios avanados e expertise tcnica, bem
como conhecimento do negcio e dos aplicativos e servios de gerenciamento do sistema. Para garantir que
esta fase seja executada com eficcia, importante que a equipe trabalhe em conjunto com os responsveis
pelos processos de negcios e de TI e demais participantes necessrios, envolvendo especialistas internos.
Se necessrio, assessoria externa tambm dever ser obtida. O risco que no puder ser mitigado aps a
eliminao das diferenas dever ser identificado e formalmente aceito pela administrao.

(CI)
Definir o estado desejado e analisar as falhas:

1. Definir a meta de melhoria:
2.
Analisar falhas
3.
Usar o entendimento da capacidade atual (por atributo) e compar-la ao nvel de capacidade

desejado.
Potencializar os atuais pontos fortes sempre que possvel para corrigir as falhas, e buscar a
orientao nas prticas e atividades de gesto do COBIT 5 e outras boas prticas e padres
especficos tais como ITIL/IEC 27000, TOGAF e Project Management Body of Knowledge
(PMBOK) para corrigir outras falhas.
Identificar padres que indiquem as causas raiz a serem abordadas.
Identificar melhorias potenciais:
mudana (CE)
Com base nos requisitos de desempenho e conformidade da organizao, definir os nveis

iniciais ideais da capacidade a ser atingida a curto e a longo prazo em cada processo.
Na medida do possvel, avaliar o desempenho interno a fim de identificar as melhores
prticas que possam ser adotadas.
Na medida do possvel, avaliar o desempenho externo junto a concorrentes e colegas para
ajudar a decidir sobre adequao do nvel-alvo definido.
Fazer uma validao de senso comum da razoabilidade do nvel desejado (de forma
isolada ou como um todo), observando o que for atingvel e desejvel e possa ter o maior
impacto positivo dentro do prazo escolhido.
Agrupar falhas em melhorias potenciais.

Identificar o risco residual no mitigado e garantir aceitao formal.
Descrever e comunicar o resultado (sada) desejado:

1. Descrever o plano e objetivos de habilitao da mudana em alto nvel, que iro incluir as seguintes
tarefas e componentes.
2. Desenvolver uma estratgia de comunicao (inclusive os principais grupos de pblico, o perfil
comportamental e as informaes necessrias por grupo, mensagens principais, canais de comunicao
ideais, bem como os princpios de comunicao) a fim de aumentar a conscientizao e a adeso.
3. Assegurar a vontade de participar (quadro da mudana).
4. Articular as justificativas e os benefcios da mudana a fim de apoiar a viso e descrever os impacto(s) de
no implementar a mudana (objetivo da mudana).
5. Referir-se novamente aos objetivos da iniciativa nas comunicaes e demonstrar como a mudana
gerar o benefcio.
50
CAPTULO 6
3 Fase
Onde Queremos Chegar?

6.
Descrever o guia de implementao em alto nvel para alcanar a viso (planejamento para a mudana)
bem como o envolvimento exigido dos participantes (papel desempenhado na mudana).
7. Usar a alta administrao para entregar as principais mensagens para definir a linha de orientao no
topo da organizao.
8. Usar agentes da mudana para comunicaes informais em adio s formais.
9. Comunicar atravs da ao - a equipe de orientao deve dar o exemplo.
10. Utilizar a empatia sempre que necessrio para levar as pessoas a mudar de comportamento.
11. Capturar o feedback da comunicao inicial (crticas e sugestes) e adaptar a estratgia de comunicao
de forma correspondente.
(PM)
Definir o guia de implementao:
Entrada
. Objetivos corporativos definidos e o impacto sobre os objetivos de TI

. Classificao da capacidade atual dos processos selecionados
. Definio dos objetivos de TI
. Processos e metas selecionados
. Posio de aceitao do risco e perfil de risco
. Avaliao do risco de capacitao do benefcio/valor, execuo do programa/projeto e avaliaes de risco
1.
2.
3.
4.
5.
6.
Definir a orientao, escopo, benefcios e objetivos do programa em alto nvel.

Garantir o alinhamento dos objetivos com as estratgias de TI e de negcios.
Considerar o risco e ajustar o escopo de forma correspondente.
Considerar as implicaes da habilitao da mudana.
Obter os oramentos necessrios e definir as obrigaes e responsabilidades do programa.
Criar e avaliar um caso de negcio detalhado, oramento, prazos e o plano do programa em alto nvel.
das operaes de TI/prestao do servio
. Pontos fortes nos quais se basear

. Agentes da mudana em diferentes partes e em diferentes nveis da organizao
. Equipe principal e as papis e responsabilidades atribudas
. Avaliao das linhas gerais do caso de negcio
. Desafios e fatores de sucesso.
. Benchmarks de capacidade interna e externas
. Boas prticas do COBIT 5 e outras referncias
. Anlise da parte interessada
Recursos da ISACA
. COBIT 5 (objetivos corporativos), www.isaca.org/cobit

. COBIT 5: Habilitando Processos (prticas e atividades de gesto para definio do estado-alvo e anlise de
falhas; APO01, APO02)
. Guia de auto avaliao do COBIT 5 (publicao planejada)

. Produtos de apoio da ISACA - ex: mapeamentos do COBIT 4.1 para outros modelos e melhores prticas
conforme definio atual em www.isaca.org
Sada
. Classificao da capacidade alvo dos processos selecionados

. Descrio das oportunidades de melhoria
. Documento de resposta ao risco, inclusive o risco no mitigado
. Plano e objetivos de habilitao da mudana
. Estratgia de comunicao e comunicao da viso de mudana cobrindo os quatro Ps (panorama,
propsito, plano e participante)
. Caso de negcio detalhado

. Plano do programa em alto nvel
. Principais mtricas a serem utilizadas para acompanhar o programa e o desempenho operacional
51
IMPLEMENTAO
Figura26TabelaRACIdaFase3
4FaseOQueNecessitaSerFeito?
Figura274FasedoCiclodeVida
52
CAPTULO 6
Considerar e desafiar propostas, apoiar aes justificadas, fornecer oramentos e definir prioridades, conforme
o caso.
Juntamente com TI, garantir que as aes de melhoria propostas sejam alinhadas aos objetivos corporativos e
de TI definidos e que quaisquer atividades que exijam dados (entrada) ou ao da organizao sejam
apoiadas. Garantir que os recursos necessrios ao negcio sejam alocados e disponibilizados. Definir junto a TI
as mtricas para medir os resultados do programa de melhoria.
Gerncia de TI
Garantir a viabilidade e razoabilidade do plano do programa. Garantir que o plano seja atingvel e que hajam
recursos disponveis para executar o plano. Considerar o plano juntamente com as prioridades do portflio da
organizao de investimentos capacitados por TI a fim de definir uma base para o financiamento do
investimento.
Auditoria interna
Fornecer a garantia independente de que os problemas identificados so vlidos, os estudos de caso sero
apresentados de forma objetiva e precisa e os planos paream atingveis. Prestar consultoria e orientao de
especialistas, se for o caso.

jurdica
Garantir que os problemas identificados relacionados ao risco, conformidade e questes jurdicas estejam
sendo tratados e as propostas estejam em conformidade com as polticas e regulamentos pertinentes.
1 Fase
O Que Deve Ser Feito?
Objetivo da fase
Converter as oportunidades de melhoria em projetos de contribuio justificveis. Priorizar e focar nos projetos
de alto impacto. Integrar os projetos de melhoria no plano geral do programa. Obter resultados rpidos.
Descrio da fase
Quando todas as iniciativas de melhoria em potencial forem identificadas, estas iniciativas devem ser
priorizadas em projetos formais e justificveis. Os projetos com alto benefcio e relativamente fceis de
implementar devem primeiramente ser selecionados e convertidos em projetos formais e justificveis, cada um
com um plano de projeto que inclua a contribuio do projeto aos objetivos do programa. importante verificar
se os objetivos ainda esto em conformidade com os direcionadores de valor e risco originais. Os projetos
sero includos em um caso de negcio do programa atualizado. Detalhes de quaisquer propostas do projeto
de melhoria no aprovadas devem ser armazenados em um registro para possvel considerao futura e as
oportunidades devem ser apresentadas aos patrocinadores para sua reavaliao e, conforme o caso, suas
recomendaes devero ser reenviadas em uma data posterior.
Com base em um quadro de oportunidades, as definies do projeto, o plano de recursos e o oramento de TI
e as melhorias identificadas e priorizadas so agora transformadas em um conjunto de projetos documentados
que apoiam o programa de melhoria geral. O impacto da execuo do programa sobre a organizao
determinado e um plano de mudana preparado descrevendo as atividades do programa que, em termos
prticos, garantiro que as melhorias proporcionadas pelos projetos sero aplicadas na organizao de forma
sustentvel. Um elemento importante nesta fase a definio de mtricas -ou seja, as mtricas de sucesso do
programa - que mediro a probabilidade de as melhorias do processo gerarem os benefcios do negcio
original. A programao completa do programa de melhoria deve ser documentada em uma tabela Gantt.
Novos projetos podem identificar uma necessidade de mudar ou melhorar as estruturas organizacionais ou
outros facilitadores necessrios para sustentar a governana eficaz. Se for o caso, poder ser necessrio
incluir aes para melhoria do ambiente (conforme descrito no Captulo 5).

(CI)
Projetar e aplicar as melhorias:

1. Para cada melhoria, considerar o benefcio potencial e a facilidade de implementao (custo, esforo,
sustentabilidade).
2. Traar melhorias em um quadro de oportunidades a fim de identificar as aes prioritrias (com base no
benefcio e facilidade de implementao).
3. Concentrar-se em alternativas que apresentem alto benefcio/facilidade de implementao.
4. Considerar quaisquer outras aes que demonstrem alto benefcio/facilidade de implementao para
possveis melhorias em menor escala (decompor em melhorias menores e reavaliar os benefcios e
facilidade de implementao).
5. Priorizar e selecionar as melhorias.
6. Analisar as melhorias selecionadas com o detalhamento necessrio para a definio do projeto em alto
nvel, considerando a abordagem, resultados, recursos necessrios, custos estimados, cronogramas
estimados, dependncias e risco do projeto. Usar as boas prticas e padres disponveis para refinar
ainda mais os requisitos de melhoria detalhados. Debater com os gerentes e as equipes responsveis
pela rea do processo.
53
IMPLEMENTAO
1 Fase

7.
8.
Considerar a viabilidade, associ-la novamente aos orientadores de valor e risco originais e definir os
projetos a serem includos no caso de negcio para aprovao.
Registrar os projetos e iniciativas no aprovados em um livro de registros para possvel considerao
futura.
mudana (CE)
Capacitar especialistas e identificar resultados rpidos:

1. Obter adeso envolvendo no projeto as pessoas afetadas pela mudana atravs de mecanismos tais
como seminrios (workshops) ou processos de anlise e atribuindo a elas a responsabilidade pela
aceitao da qualidade dos resultados.
2. Elaborar planos de resposta mudana para gerenciar pro-ativamente os impactos da mudana e
maximizar a participao em todo o processo de implementao (isto poderia incluir mudanas
organizacionais tais como descrio de cargos ou estrutura organizacional; mudanas na gesto de
pessoas tais como treinamento; sistemas de controle de desempenho; ou sistemas de
incentivos/remunerao e gratificao).
3. Identificar resultados rpidos que comprovem o conceito do programa de melhoria. Estes devem ser
visveis e sem ambiguidades, gerar dinmica e fornecer um reforo positivo do processo.
4. Se possvel, basear-se em quaisquer dos pontos fortes existentes identificados na 2 fase a fim de gerar
resultados rpidos.
5. Identificar os pontos fortes nos atuais processos da organizao que podem ser potencializados. Por
exemplo, pontos fortes no gerenciamento do projeto podem existir em outras reas da organizao tais
como desenvolvimento de produtos (evitar reinventar a roda e alinhar-se sempre que possvel s atuais
abordagens da organizao).

(PM)
Desenvolver o plano do programa:

1. Organizar os projetos em potencial no programa geral, na sequncia preferida, considerando a
contribuio aos resultados desejados, os recursos necessrios e as dependncias.
2. Usar as tcnicas de gesto de portflio para garantir que o programa esteja em conformidade com os
objetivos estratgicos e que TI possua um conjunto equilibrado de iniciativas.
3. Identificar o impacto do programa de melhoria sobre as organizaes de TI e do negcio e indicar como a
dinmica de melhoria dever ser mantida.
4. Desenvolver um plano de mudana documentando qualquer migrao, converso, teste, treinamento,
processo ou outras atividades que possam ser includas no programa como parte da implementao.
5. Identificar e definir as mtricas para medir os resultados do programa de melhoria em termos dos fatores
de sucesso do programa original.
6. Orientar a alocao e priorizao dos recursos do negcio, de TI e de auditoria necessrios
consecuo dos objetivos do programa e do projeto.
7. Definir um portflio dos projetos que produziro os resultados previstos pelo programa.
8. Definir os resultados necessrios, considerando todo o escopo de atividades necessrias para cumprir os
objetivos.
9. Indicar, se necessrio, comits diretores de projeto para projetos especficos do programa.
10. Definir os planos do projeto e procedimentos de relatrio a fim de permitir que o progresso seja
monitorado.
Entrada
. Classificao de maturidade alvo dos processos selecionados

. Descrio das oportunidades de melhoria
. Documento de resposta ao risco
. Plano e objetivos de capacitao da mudana
. Estratgia de comunicao e comunicao da viso de mudana cobrindo os quatro Ps (panorama,
propsito, plano e participante)
. Caso de negcio detalhado

. Planilha de oportunidades, boas prticas e padres, avaliaes externas e avaliaes tcnicas
. Quadro de oportunidades, definies de projeto, plano de gesto do portflio do projeto, plano de recursos e
oramento de TI
. Pontos fortes identificados nas fases anteriores

Recursos da ISACA
. COBIT 5 (modelos de facilitador), www.isaca.org/cobit

. COBIT 5: Habilitando Processos (APO05, APO12, BAI01; metas e mtricas)
Sada
. Definies do projeto de melhoria

. Planos definidos de resposta mudana
. Resultados rpidos identificados
. Registro de projetos no aprovados
54
CAPTULO 6
1 Fase
. Plano do programa que sequencia os planos individuais de acordo com os recursos alocados, prioridades e
resultados
. Planos do projeto e procedimentos de reporte capacitados atravs dos recursos dedicados, ex: habilidades,
investimento
. Mtricas de sucesso
5FaseComoChegamosl?
As figuras 31, 32, 33 e 34 descrevem a 5 fase.
55
IMPLEMENTAO
Figura32PapisdaFase5
Monitorar a implementao e fornecer apoio e orientao conforme necessrio.
Responsabilizar-se pela participao da organizao na implementao, especialmente quando os processos

de negcios forem afetados e os processos de TI exigirem o envolvimento do usurio/cliente.
Gerncia de TI
Garantir que a implementao inclua todo o escopo de atividades necessrias (ex: mudanas na poltica e nos
processos, solues de tecnologia, mudanas organizacionais, novas papis e responsabilidades, outros
facilitadores) e que sejam prticos e atingveis e que possam ser adotados e usados. Garantir que os
responsveis pelo processo sejam envolvidos, adotem a nova abordagem e respondam pelos processos
resultantes. Solucionar os problemas e gerenciar o risco encontrado durante a implementao.
Auditoria interna
Analisar e fornecer dados (entrada) durante a implementao a fim de evitar a identificao de habilitadores
ausentes e especialmente os principais controles aps o fato. Fornecer orientao sobre a implementao dos
aspectos de controle. Se necessrio, fornecer um servio de anlise de risco do projeto/implementao,
monitorando o risco que possa comprometer a implementao e fornecendo feedback independente s equipes
do programa e do projeto.

jurdica
Fornecer a orientao necessria sobre risco, conformidade e aspectos legais durante a implementao.
5 Fase
Como Chegamos l?
Objetivo da fase
Implementar os projetos de melhoria detalhados, potencializando as capacidades, padres e prticas de

gesto do projeto e do programa da organizao. Monitorar, medir e reportar o andamento do projeto.
Descrio da fase
Os projetos de melhoria aprovados, inclusive as atividades de mudana necessrias, agora esto prontos para
implementao, de modo que as solues definidas pelo programa podem agora ser adquiridas ou
desenvolvidas e implementadas na organizao. Desta forma, os projetos se tornam parte do ciclo de vida
normal de desenvolvimento e devem ser regidos pelos mtodos de gesto de projeto e programa definidos. A
implementao da soluo deve estar em consonncia com as definies do projeto aprovado e do plano de
mudana para que as melhorias sejam sustentveis.
Esta fase geralmente exigir mais esforo e tempo entre todas as fases do ciclo de vida. recomendado,
entretanto, que a dimenso e o tempo total no seja excessivo garantindo que seja gerencivel e que os
benefcios sejam realizados em um prazo razovel. Isto particularmente verdadeiro nas primeiras iteraes,
uma vez que tambm ser uma experincia de aprendizado para todos os envolvidos.
Monitorar o desempenho de cada projeto para garantir que os objetivos estejam sendo alcanados. Enviar
relatrios de volta aos participantes em intervalos regulares para garantir que o progresso seja entendido e
esteja no caminho certo.

(CI)
Implementar as melhorias:
1. Desenvolver e, quando necessrio, adquirir solues que incluam todo o escopo das atividades
necessrias, ex: cultura, tica e comportamento; estruturas organizacionais; princpios e polticas;
processos; capacidades de servio; habilidades e competncias; e informao.
2. Ao usar as boas prticas, adotar e adaptar a orientao disponvel a fim de adequar a abordagem da
organizao s polticas e procedimentos.
3. Testar a praticidade e adequao das solues no ambiente de produo.
4. Implementar as solues levando em considerao os processos existentes e requisitos de migrao.
mudana (CE)
Capacitar a operao e o uso:

1. Basear-se na dinmica e credibilidade que possam ser criadas pelos resultados rpidos, e ento
introduzir aspectos de mudana mais amplos e desafiadores.
2. Comunicar os resultados rpidos obtidos e reconhecer e recompensar os responsveis por eles.
3. Implementar os planos de resposta mudana.
4. Garantir que a base mais ampla dos especialistas tenha as habilidades, recursos e conhecimento, bem
como a adeso e o compromisso com a mudana.
5. Equilibrar as intervenes individuais e em grupo para garantir que uma viso holstica da mudana seja
obtida pelos participantes.
6. Planejar os aspectos culturais e comportamentais da transio mais ampla (tratando o medo de perda de
responsabilidade/independncia/poder de deciso, novas expectativas e tarefas desconhecidas).
56
CAPTULO 6
5 Fase
Como Chegamos l?
7.
8.
Comunicar as papis e responsabilidades pelo uso.

Definir as medidas de sucesso, inclusive aquelas do ponto de vista da organizao e medidas de
percepo.
9. Implementar orientao e treinamento para garantir a absoro e a adeso.
10. Fechar o ciclo e garantir que todos os requisitos da mudana tenham sido abordados.
11. Monitorar a eficcia da capacitao da mudana e aplicar as aes corretivas quando necessrio.

(PM)
Executar o plano:
1. Garantir que a execuo do programa tenha como base um plano de projetos atualizado e integrado
(negcios e TI) dentro do programa.
2. Orientar e monitorar a contribuio de todos os projetos no programa para garantir a obteno dos
resultados esperados.
3. Fornecer regularmente relatrios atualizados aos participantes para garantir que o progresso seja
entendido e esteja no caminho certo.
4. Documentar e monitorar os riscos e problemas significativos do programa, e definir aes corretivas.
5. Aprovar o incio de cada fase importante do programa e comunicar isso a todos os participantes.
6. Aprovar eventuais mudanas importantes nos planos do projeto e do programa.
Entrada
. Definies do projeto de melhoria

. Planos de resposta mudana definidos
. Resultados rpidos identificados
. Registro de projetos no aprovados
. Plano do programa com os recursos alocados, prioridades e resultados
. Planos do projeto e procedimentos de relatrio
. Mtricas do sucesso
. Definies do projeto, Grfico de Gantt do projeto, planos de resposta mudana, estratgia de mudana
. Planos integrados do projeto e do programa
Recursos da ISACA
. COBIT 5: Habilitando Processos (como entrada de boas prticas e BAI01), www.isaca.org/cobit

Sada
. Melhorias implementadas
. Planos de resposta mudana implementados.
. Resultados rpidos obtidos e visibilidade do sucesso da mudana
. Comunicaes do sucesso
. Papis e responsabilidades definidas e comunicadas no ambiente de negcios de forma habitual
. Logs de mudana do projeto e logs de problemas/risco
. Medidas definidas do negcio e da percepo do sucesso
. Benefcios acompanhados para monitorar a realizao
57
IMPLEMENTAO
6FaseJChegamosL?
Avaliar o desempenho no cumprimento dos objetivos originais e confirmar a obteno dos resultados
desejados. Considerar a necessidade de reorientar as atividades futuras e aplicar medidas corretivas. Auxiliar
na resoluo de problemas significativos, se necessrio.
Fornecer feedback e considerar a eficcia da contribuio da organizao iniciativa. Usar os resultados

positivos para melhorar as atuais atividades relacionadas ao negcio. Usar as lies aprendidas para adaptar e
melhorar a abordagem da organizao s futuras iniciativas.
Gerncia de TI
Fornecer feedback e considerar a eficcia da contribuio de TI iniciativa. Usar resultados positivos para
melhorar as atuais atividades de TI. Monitorar os projetos com base na sua criticidade conforme forem
desenvolvidos, usando tcnicas de gesto do programa e do projeto, e preparar-se para alterar o plano e/ou
cancelar um ou mais projetos ou aplicar outra ao corretiva se os indicadores prvios mostrarem que um
projeto est no caminho errado e pode no atender s metas crticas. Usar as lies aprendidas para adaptar e
melhorar a abordagem de TI s futuras iniciativas.
Auditoria interna
Fornecer avaliao independente da eficcia e eficincia geral da iniciativa. Fornecer feedback e considerar a
eficcia da contribuio da auditoria iniciativa. Usar os resultados positivos para melhorar as atuais atividades
relacionadas auditoria. Usar as lies aprendidas para adaptar e melhorar a abordagem da auditoria s
iniciativas futuras.

jurdica
Avaliar se a iniciativa melhorou a capacidade da organizao de identificar e gerenciar o risco e os requisitos

legais, regulatrios e contratuais. Fornecer feedback e fazer as recomendaes necessrias s melhorias.
58
CAPTULO 6
6 Fase
J Chegamos L?
Objetivo da fase
Integrar as mtricas de desempenho do projeto e a realizao de benefcios do programa de melhoria da

governana geral no sistema de medio de desempenho em relao ao monitoramento regular e contnuo.
Descrio da fase
essencial que as melhorias descritas no programa sejam monitoradas atravs dos objetivos de TI e das
metas do processo usando tcnicas adequadas tais como um scorecard equilibrado de TI (BSC) e de um
registro de benefcios para verificar se os resultados da mudana foram atingidos. Isto garantir que as
iniciativas permaneam no caminho certo de acordo com os objetivos corporativos e de TI originais e
continuem a gerar os benefcios esperados do negcio. Para cada mtrica, as metas precisam ser definidas,
comparadas regularmente com a realidade e comunicadas atravs de um relatrio de desempenho.
Para garantir o sucesso, crucial que os resultados positivos e negativos das medies de desempenho
sejam reportados a todas as partes interessadas, o que criar confiana e permitir que quaisquer aes
corretivas sejam tomadas em tempo hbil. Os projetos devem ser monitorados conforme so desenvolvidos,
usando tcnicas de gesto de programa e de projeto, e a preparao deve ser feita para alterar o plano e/ou
cancelar o projeto se os primeiros indicadores mostrarem que um projeto est no caminho errado e pode no
atender s metas crticas.

(CI)
Operar e medir:
1. Definir as metas de cada mtrica para um prazo definido. As metas devem permitir que o desempenho e
as aes de melhoria de TI sejam monitoradas e o sucesso ou possveis falhas determinadas.
2. Quando possvel, obter as atuais medidas vigentes destas mtricas.
3. Reunir as medidas vigentes e compar-las com as metas regularmente, ex: mensalmente, e investigar
eventuais variaes significativas.
4. Quando variaes indicarem que aes corretivas so necessrias, desenvolver e determinar as medidas
corretivas propostas.
5. Ajustar as metas de longo prazo com base na experincia, se necessrio.
6. Comunicar os resultados positivos e negativos do monitoramento do desempenho s partes
interessadas, com recomendaes para quaisquer medidas corretivas.
mudana (CE)
Incorporar novas abordagens:

1. Garantir que novas formas de trabalho se tornem parte da cultura corporativa (a forma como fazemos as
coisas por aqui), ou seja, as enraizado nas normas e valores da organizao. Isto importante para
concretizar os resultados a serem alcanados.
2. Na transio do modo de projeto para a atividade normal de negcio, os comportamentos devem ser
moldados pelas descries de cargo revisadas, sistemas de remunerao e gratificao, KPIs e
procedimentos operacionais implementados atravs dos planos de resposta mudana.
3. Monitorar se as papis e responsabilidades atribudas foram assumidas.
4. Acompanhar a mudana e avaliar a eficcia dos planos de resposta mudana, associando os
resultados s metas e aos objetivos originais da mudana. Isto deve incluir severas medidas ao negcio
e medidas de percepo, ex: pesquisas de percepo, sesses de feedback, formulrios de avaliao de
treinamento.
5. Potencializar reas de excelncia para fornecer uma fonte de inspirao.
6. Manter a estratgia de comunicao para atingir uma conscientizao contnua e destacar os sucessos.
7. Garantir que haja comunicao aberta entre todos os atores com o objetivo de solucionar problemas.
8. Quanto problemas que no puderem ser resolvidos, escalar aos responsveis.
9. Se ainda for necessrio, aplicar a mudana por meio do gerenciamento da autoridade.
10. Documentar lies de habilitao aprendidas com mudanas para futuras iniciativas de implementao.

(PM)
Realizar os benefcios:
1. Monitorar o desempenho geral do programa em comparao com os objetivos do business case.
2. Monitorar o desempenho do investimento (custo comparado ao oramento e realizao de benefcios).
3. Documentar as lies aprendidas (positivas e negativas) para iniciativas de melhoria subsequentes.
Entrada
. Melhorias implementadas.
. Planos de resposta mudana implementados.
. Resultados rpidos obtidos e comunicaes do sucesso.
. Papis e responsabilidades definidos e comunicados no ambiente normal de negcio.
. Logs de mudana do projeto e logs de problema/risco.
. Medidas de sucesso do negcio e da percepo definidas.
. Objetivos de TI e metas do processo de TI identificadas em decorrncia das anlises de requisitos.
. Mtricas e/ou processos de registro existentes (scorecards)
. Benefcios do caso de negcio (business case).
59
IMPLEMENTAO
6 Fase
J Chegamos L?
. Planos de resposta mudana e estratgia de comunicao

Recursos da ISACA
. COBIT 5: Habilitando Processos (como dados (entrada) de boas prticas e EDM05, APO05, BAI01,
MEA01), www.isaca.org/cobit

Sada
. Processos de registro de medidas (Scorecards) do projeto e programa atualizados.

. Medidas de eficcia da mudana (medidas do negcio e das percepes.)
. Relatrio explicando os resultados dos processos de registros de medida (scorecard)
. Melhorias enraizadas nas operaes.
. Principais mtricas adicionadas na abordagem contnua de medio do desempenho de TI.
7FaseComoMantemosaDinmica?
60
CAPTULO 6
Figura40PapisdaFase7
Fornecer orientao, definir os objetivos e alocar as papis e responsabilidades para abordagem corporativa
contnua e melhoria do GEIT. Continuar a definir o tom no alto escalo, desenvolver estruturas
organizacionais e incentivar uma cultura de boa governana e prestao de contas para responsabilidade entre
os executivos de negcios e de TI. Garantir que TI est ciente e, se apropriado, envolvida nos novos objetivos e
requisitos do negcio da forma mais oportuna possvel.
Demonstrar apoio e compromisso continuando a trabalhar positivamente com TI para melhorar a GEIT e tornla uma atividade normal de negcio. Verificar se os novos objetivos da GEIT esto alinhados aos atuais
objetivos corporativos.
Gerncia de TI
Orientar e exercer uma forte liderana para sustentar a dinmica do programa de melhoria. Participar das
atividades de governana como parte da prtica normal de negcio. Criar polticas, padres e processos para
garantir que a governana se torne uma atividade normal de negcio.
Auditoria interna
Fornecer dados (entrada) objetivos e construtivos, incentivar a auto avaliao e garantir administrao que a
governana est trabalhando eficientemente, criando assim confiana em TI. Fornecer auditorias contnuas
com base em uma abordagem de governana integrada usando critrios compartilhados com as reas de TI e
de negcio com base no modelo do COBIT.

jurdica
Trabalhar com as reas de TI e de negcio para antecipar as exigncias legais e regulatrias e identificar e
responder ao risco relacionado de TI como uma atividade normal na GEIT.
6 Fase
Como Mantemos essa Dinmica?
Objetivo da fase
Avaliar os resultados e a experincia obtidos com o programa. Registrar e compartilhar quaisquer lies
aprendidas. Melhorar as estruturas organizacionais, processos, papis e responsabilidades para mudar o
comportamento da organizao de modo que a GEIT se torne uma atividade normal de negcio e
constantemente otimizada. Garantir que novas aes necessrias orientem as demais iteraes do ciclo de
vida.
Monitorar continuamente o desempenho, garantir que os resultados sejam reportados regularmente e orientar
o compromisso e a propriedade da prestao de contas e responsabilidades.
Descrio da fase
Esta fase permite que a equipe determine se o programa produziu os resultados esperados. Isto pode ser feito
comparando os resultados com o critrio de sucesso original e reunindo o feedback da equipe de
implementao e partes interessadas atravs de entrevistas, seminrios e pesquisas de satisfao. As lies
aprendidas podem conter informaes valiosas para os membros da equipe e partes interessadas do projeto
para uso em iniciativas contnuas e projetos de melhoria. Isto envolve o monitoramento contnuo, reporte
regular e transparente e a confirmao os prestadores de contas das
Demais melhorias so identificadas e usadas como dados (entrada) na prxima iterao do ciclo de vida.
Nesta fase, a organizao deve basear-se nos sucessos e nas lies aprendidas com o(s) projeto(s) de
implementao da governana para criar e reforar o compromisso entre as partes interessadas em TI e
negcios para um continuo aperfeioamento da governana de TI.
Polticas, estruturas organizacionais, papis e responsabilidades e processos de governana devem ser
desenvolvidos e otimizados de modo que GEIT opere efetivamente como parte da prtica normal de negcio e
haja uma cultura de apoio a ela, demonstrada pela alta administrao.

(CI)
Monitorar e avaliar:
1. Identificar novos objetivos e requisitos de governana com base nas experincias obtidas, atuais
objetivos de negcio para TI ou outros eventos desencadeadores:
a.
b.
c.
d.
2.
Recolher feedback e conduzir uma pesquisa de satisfao com as partes interessadas.

Medir e reportar os resultados reais em comparao com as medidas de sucesso do
projeto originalmente definidas e incorporar o monitoramento e reporte contnuos.
Realizar um processo facilitado de reviso e anlise de projeto com os membros da
equipe e as partes interessadas do projeto para registro e aprovao das lies
aprendidas.
Buscar novas oportunidades de alto impacto e baixo custo para melhorar ainda mais a
GEIT.
Identificar as lies aprendidas.
61
IMPLEMENTAO
3.
Comunicar os requisitos das novas melhorias s partes interessadas e document-las para uso como
entrada na prxima iterao do ciclo de vida.
mudana (CE)
Sustentar:
1. Fornecer um reforo consciente e uma campanha de comunicao contnua, bem como demonstrar o
compromisso contnuo da alta administrao.
2. Confirmar a conformidade com os objetivos e requisitos.
3. Monitorar continuamente a eficcia da mudana em si, as atividades de capacitao da mudana e a
adeso das partes interessadas.
4. Implementar planos de ao corretiva quando necessrio.
5. Fornecer feedback sobre o desempenho, recompensar objetivos alcanados e divulgar os sucessos.
6. Basear-se nas lies aprendidas.
7. Compartilhar o conhecimento da iniciativa com toda a organizao.

(PM)
Analisar a eficcia do programa:

1. No encerramento do programa, garantir que acontea uma reviso do programa e aprovao das
concluses.
2. Revisar a eficcia do programa.
Entrada
. Indicadores do projeto e do programa atualizados.

. Medidas da eficcia da mudana (medidas do negcio e das percepes)
. Relatrio explicando os resultados dos indicadores
. Relatrio de reviso da ps-implementao
. Relatrios de desempenho
. Estratgia de TI e do negcio
. Novos desencadeadores tais como novos requisitos regulatrios
Recursos da ISACA
. COBIT 5: Habilitando Processos (EDM01, APO01, BAI08 e MEA01), www.isaca.org/cobit

Sada
. Recomendaes para novas atividades GEIT

. Pesquisa de satisfao das partes interessadas.
. Documentao das histrias de sucesso e lies aprendidas
. Plano de comunicao contnuo
. Esquema de gratificao por desempenho
62
CAPTULO 7
USO OS COMPONENTES DO COBIT 5
CAPTULO 7
ConsideraessobreTransioparaUsuriosdoCOBIT4.1,ValITeRiskIT
Os usurios do COBIT 4.1, Val IT e Risk IT que j esto envolvidos em atividades de implementao da Governana e
Gesto Corporativa de TI - GEIT podem passar a usar o COBIT 5 e beneficiar-se da mais recente e aperfeioada orientao
oferecida durante as prximas iteraes do ciclo de vida de melhoria de suas organizaes. O COBIT 5 baseia-se nas
verses anteriores do COBIT, Val IT e Risk IT de modo que as organizaes tambm podem se basear naquilo que
desenvolveram utilizando as verses anteriores. As implementaes sero sempre adaptadas ao ambiente e s necessidades
especficas da organizao seguindo a verso do COBIT mais recente e outras orientaes, conforme apropriado. Estes
materiais continuaro a evoluir com o tempo de acordo com a mudana das condies e o aperfeioamento das prticas. Os
princpios do COBIT 5 so apresentados na figura 43.
Figura43PrincpiosdoCOBIT5
Segue abaixo um resumo das principais mudanas no COBIT 5 e como elas podem afetar a implementao.
Novos princpios da GEIT:
. Maior foco nos habilitadores - O COBIT 5 introduz um maior foco nos habilitadores necessrios para uma GEIT
eficiente, alm dos modelos de habilitadores do processo conhecidos. Estes habilitadores adicionais tambm so
referenciados em diversos processos do COBIT 5 conforme descrio no Captulo 2.
. Novo Modelo de Referncia de Processo - O COBIT 5 baseia-se em um modelo de processo revisado com um novo
domnio de governana e diversos processos novos e modificados que agora cobrem as atividades corporativas de ponta a
ponta, ou seja, negcios e TI. O COBIT 5 consolida o COBIT 4.1, Val IT e Risk IT em um nico modelo renovado para
se alinhar s boas prticas atuais. O novo modelo pode ser usado como um guia para ajustar, conforme necessrio, o
prprio modelo de processo da organizao.
. Processos novos e modificados:
O COBIT 5 apresenta cinco novos processos de governana que potencializaram e melhoraram as abordagens de
governana do COBIT 4.1, Val IT e Risk IT e ajudaro a aperfeioar e fortalecer as prticas da Governana e Gesto
Corporativa de TI - GEIT em nvel de gesto executiva integradas s prticas de governana corporativa existentes e
alinhadas ao ISO/IEC 38500.
O COBIT 5 simplificou os processos de gesto e integrando o contedo do COBIT 4.1, Val IT e Risk IT em um nico
modelo. COBIT 5: Habilitando Processos fornece uma referncia cruzada completa no Apndice A. Diversos
processos foram criados e modificados para refletir o pensamento atual, especificamente em:
APO03 Gerenciar Arquitetura da Organizao.
APO04 Gerenciar Inovao.
APO05 Gerenciar Portflio
APO06 Gerenciar Oramento e Custos.
APO08 Gerenciar Relacionamentos.
APO13 Gerenciar Segurana.
BAI05 Gerenciar Capacitao da Mudana Organizacional.
BAI08 Gerenciar Conhecimento
BAI09 Gerenciar Ativos
63
IMPLEMENTAO
DSS05 Gerenciar Servios de Segurana.
DSS06 Gerenciar Controles do Processo de Negcio.
Os processos do COBIT 5 agora abordam de ponta a ponta as atividades do negcio e de TI, ou seja, uma viso
corporativa completa. Dessa maneira provendo uma cobertura mais holstica e completa das prticas, refletindo a
disposio presente na organizao em relao ao uso de TI. Isto torna o envolvimento, responsabilidades e prestao
de contas as partes interessadas da rea de negcios explcitas e transparentes.
. Prticas e atividades:
A governana do COBIT 5 ou prticas de gerenciamento so equivalentes aos objetivos de controle do COBIT 4.1 e
processos do Val IT e Risk IT.
As atividades do COBIT 5 so equivalentes s prticas de controle do COBIT 4.1 e prticas de gerenciamento do Val
IT e Risk IT.
O COBIT 5 integra e atualiza todo o contedo anterior em um nico e novo modelo, com um nvel consistente de
detalhamento, com toda a orientao fornecida no COBIT 5: Habilitando Processos, facilitando aos usurios o
entendimento e o uso deste material ao implementar as melhorias.
. Metas e mtricas:
O COBIT 5 segue os mesmos conceitos de metas e mtricas do COBIT 4.1, Val IT e Risk IT, mas estes esto
renomeados em objetivos corporativos, metas de TI e metas do processo, refletindo assim uma viso do nvel
corporativo macro.
O COBIT 5 fornece um escalonamento revisado dos objetivos com base agora nos objetivos corporativos que orientam
os objetivos de TI que, por sua vez, so apoiados por processos crticos. Isto semelhante ao escalonamento de
objetivos do COBIT 4.1 com um conjunto atualizado de objetivos e relacionamentos, alm de relacionamentos
primrios e secundrios mais detalhados. Este escalonamento continua sendo uma ferramenta importante na definio
do alinhamento estratgico e escopo dos processos importantes.
O COBIT 5 fornece exemplos de metas e mtricas da organizao, processos e nveis de prtica de gesto. Isto
diferente do COBIT 4.1, Val IT e Risk IT, que cobriam um nvel menor.
. Entradas e sadas:
O COBIT 5 fornece entradas e sadas para cada prtica de gesto, sendo que o COBIT 4.1 fornece isto somente ao
nvel de processo. Isto oferece uma orientao mais detalhada para o desenvolvimento de processos incluindo produtos
do trabalho crticos e auxiliando na integrao dos processos.
. Tabelas RACI:
O COBIT 5 disponibiliza uma tabela RACI que descreve as papis e responsabilidades de forma semelhante ao
COBIT 4.1, Val IT e Risk IT.
O COBIT 5 disponibiliza uma srie de tabelas genricas e de especialistas em TI e em negcios mais completa,
detalhada e clara do que o COBIT 4.1 para cada prtica de gesto, habilitando uma melhor definio das
responsabilidades do especialista ou nvel de envolvimento no desenvolvimento e implementao dos processos.
. Modelos e avaliaes de maturidade da capacidade do processo (consultar tambm a 2 e 3 Fases na discusso do
ciclo de vida da implementao):
O COBIT 5 interrompe a abordagem da maturidade de capacidade com base no modelo do Capability Maturity Model
(CMM) do COBIT 4.1, Val IT e Risk IT, e agora apoia um novo esquema de avaliao de capacidade com base no
ISO/IEC 15504. Uma orientao sobre como realizar uma auto avaliao de capacidade ser fornecida no guia de auto
avaliao planejado para o COBIT 5.
Segue abaixo um resumo de como fazer uma anlise de deficincias com base no padro:
. Identificar e priorizar reas de melhoria (conforme definio na 3 Fase) considerando:

Pontos fortes, pontos fracos e riscos identificados
Objetivos corporativos
Oportunidades para melhorar o nvel de satisfao do cliente
Orientao do COBIT 5 e outros padres e boas prticas relacionadas
Referncias que fornecem uma estrutura bsica de comparao para os resultados da avaliao
Atuais metas e mtricas de desempenho do processo que possam indicar as causas razes dos orientadores de melhoria
Risco de no concluir os objetivos de melhoria estabelecidos
. Analisar a avaliao dos pontos fortes e fracos:
Os pontos fortes so identificados como processos com as mais elevadas classificaes de nvel de capacidade de
processo. Considerar:
A experincia de boas prticas que possam ser seguidas e institucionalizadas
A oportunidade para melhoria da eficcia dos processos inter-relacionados
Os pontos fortes so identificados e derivados de:
Classificaes baixas em atributos do processo
Processos com prticas ausentes (considerar as prticas e atividades de gesto do COBIT 5 e de outros habilitadores
bem como os padres e boas prticas relacionados) necessrias para atingir a meta do processo
64
CAPTULO 7
Classificaes de atributos do processo desequilibradas dentro dos nveis de capacidade necessrios para atingir um
objetivo corporativo especfico

Classificaes baixas de atributos do processo em um grupo de processos avaliados podem indicar pontos fracos em
categorias especficas do processo (por exemplo, pontuao baixa no nvel 2 da capacidade do processo pode significar
um ponto fraco nas categorias de processo de Gesto e Suporte).
Da mesma forma, as classificaes de atributos dos processos correlatos devem ser comparadas. Aes de melhoria
podem ser necessrias para corrigir eventuais desequilbrios.
As abordagens do COBIT 4.1, Val IT e Risk IT com base no CMM no so consideradas compatveis com a abordagem do
COBIT 5 - ISO/IEC 15504 pois os mtodos usam atributos e escalas de medio diferentes. A abordagem do COBIT 5
considerada pela ISACA por ser mais robusta, confivel e repetitiva e tambm apoiar uma avaliao formal por
avaliadores credenciados, permitindo organizao obter uma avaliao independente e certificada, alinhada ao padro
ISO/IEC. O Captulo 8 do COBIT 5 fornece uma descrio completa do novo modelo de capacidade de processo do
COBIT 5 e como ele se compara abordagem anterior usada no COBIT 4.1, Val IT e Risk IT.
Os usurios do COBIT 4.1, Val IT e Risk IT que desejam adotar a nova abordagem do COBIT 5 devero realinhar suas
classificaes anteriores, adotar e aprender o novo mtodo e iniciar um novo conjunto de avaliaes para obter os
benefcios desta nova abordagem. Embora algumas das informaes reunidas nas avaliaes anteriores possam ser
reutilizadas, ser necessrio cuidado na migrao desta informao porque h diferenas significativas nos requisitos.
Os usurios do COBIT 4.1, Val IT e Risk IT que desejam continuar com a abordagem baseada no CMM, seja como uma
abordagem parcial ou contnua, podem usar a orientao do COBIT 5, mas devem usar a tabela de atributos genricos do
COBIT 4.1 sem os modelos de maturidade em alto nvel. O procedimento em linhas gerais o seguinte:
1.
2.
3.
4.
5.
Comparar o escopo do processo com as prticas e atividades de governana e gesto do COBIT 5 a fim de identificar
eventuais falhas (assumindo que a administrao tenha aceitado e concordado com o escopo integral da orientao do
COBIT 5). Para atender ao nvel 3 (definido) e acima, todas as prticas devero ter sido contempladas.
Comparar o detalhamento do processo com a tabela de atributos de maturidade do COBIT 4.1 (Apndice E) e avaliar o
nvel alcanado por cada atributo. Alm disso, ao avaliar cada atributo, considerar se as seguintes orientaes de
processo do COBIT 5 esto sendo bem aplicadas de modo geral:
Conscientizao e comunicao - EDM01.02 e APO01.04
Polticas, planos e procedimentos - EDM01.02, APO01.03 e APO01.08
Ferramentas e automao - APO03.02
Habilidades e expertise - APO07.03
Responsabilidade e obrigao - Tabela RACI do processo e EDM01.02 e APO01.02
Definio e medio das metas - APO07.04 e MEA01
Comparar com qualquer caso de negcio e modelos disponveis que possam existir para verificar a razoabilidade da
avaliao.
Definir o nvel geral de maturidade para o atributo com o nvel mais baixo (a menos que um atributo no seja
considerado de forma substancialmente significativa para a capacidade do processo) embora tambm considerando a
cobertura das prticas de governana e gesto. Usar classificaes com nmeros inteiros ao invs de "fraes" ou
porcentagens. O xito em um nvel alcanado somente quando todos os pontos de melhoria forem atendidos. A
administrao necessita de uma viso transparente e realista se esta ter de patrocinar as melhorias.
Analisar a diferena entre os nveis atuais e esperados considerando os pontos fortes e fracos do atual processo em
comparao com a orientao sobre as prticas e atividades de governana e gesto do COBIT 5, os habilitadores do
COBIT 5 e outros padres e boas prticas significativas.
PlanejamentoeEscopo
O COBIT 5 e o material de apoio deste guia so uma forma eficiente de entender as prioridades e requisitos do negcio e
de governana e este conhecimento pode ser utilizado ao implementar habilitadores de governana e gesto melhorados.
Esta abordagem tambm aprimora a elaborao dos estudos de caso de melhorias na governana, obtendo o apoio das
partes interessadas bem como a realizao e monitoramento dos benefcios esperados.
A relao pode ser resumida neste fluxo descendente. O COBIT 5 ajuda a garantir o alinhamento estratgico e orienta
sobre o que fazer, apoiado pelo escalonamento dos objetivos corporativos em objetivos de TI para os processos de TI
fornecidos e explicados conforme a seguir:
- Objetivos corporativos
- Objetivos de TI
- Requisitos de Governana e Gesto
- Processos crticos de TI
- Prticas e atividades de governana e gesto priorizadas
65
IMPLEMENTAO
Ter um claro reconhecimento das atuais necessidades da parte interessada em relao Governana e Gesto Corporativa
de TI GEIT (conforme descrito no Captulo 3, figuras 7 e 8 e mencionado no COBIT 5) e dos atuais objetivos
corporativos e como eles afetam a Governana e Gesto Corporativa de TI GEIT muito til por trs motivos:
. As necessidades do participante e os objetivos corporativos influenciam os requisitos e prioridades da Governana e

Gesto Corporativa de TI. Por exemplo, pode haver um foco na reduo de custo, conformidade ou lanamento de um
novo produto da organizao, cada um dos quais poderia colocar uma nfase diferente nas atuais prioridades de
governana.
. As necessidades do participante e os objetivos corporativos ajudam a se concentrar nos pontos certos ao aperfeioar a
Governana e Gesto Corporativa de TI GEIT na organizao.
. TI auxilia as funes de TI e do negcio a realizar um melhor planejamento futuro das oportunidades para agregar valor
organizao. O COBIT 5 fornece uma orientao til e exemplos para a definio dos objetivos corporativos e objetivos
de TI bem como seu inter-relacionamento. Um conjunto genrico de objetivos corporativos e objetivos de TI
apresentado de forma escalonada no COBIT 5 e no COBIT 5: Habilitando Processos. Estes exemplos permitem que os
usurios do COBIT relacionem seu atual ambiente corporativo e de TI com objetivos especficos mapeando-os ento em
processos que possam ser pertinentes no alcance bem-sucedido destes objetivos.
ControledeDesempenho
Um princpio importante de boa governana o de que a administrao deve fornecer orientao usando objetivos
claramente definidos e comunicados e ento gerenciar a adeso aos objetivos atravs da aplicao das prticas adequadas.
Monitorar o desempenho usando mtricas permite que a administrao garanta o alcance dos objetivos.
Os objetivos corporativos e de TI do COBIT 5 so usados como uma base para definir as metas de TI e definir uma
estrutura de medio de desempenho. Os objetivos de TI so expressos como metas e devem ser alinhados aos objetivos
corporativos. O COBIT 5 fornece estruturas para definir estes objetivos em trs nveis: Organizao, TI em geral e
Processos de TI. Estes objetivos so baseados em mtricas conhecidas como medies de resultado porque medem o
resultado do objetivo desejado. As mtricas em um nvel especfico tambm atuam como orientadores de desempenho
visando o alcance dos objetivos em alto nvel. Estas metas e mtricas podem ser usadas para definir os objetivos e
monitorar o desempenho implementando uma anlise por pontos (scorecards) e relatrios de desempenho, e tambm para
orientar melhorias.
O COBIT 5 fornece orientao sobre como dividir e classificar os objetivos corporativos e criar mtricas de
monitoramento com base no Balanced Scorecard (BSC).
PrticaseAtividadesdeGovernanaeGesto
O COBIT 5 simplifica a distino entre as prticas de governana e de gesto com a adio de um novo domnio de
governana. O modelo do COBIT 5 explica as diferenas entre governana e gesto de TI na organizao. A elaborao de
processos e procedimentos especficos com base no COBIT 5 deve sempre se adequar s necessidades da cultura, estilo de
gesto e ambiente de TI da organizao. A orientao contida no COBIT 5 deve ser adaptada de forma adequada.
Sugerimos a adoo das boas prticas recomendadas, porm devem ser adaptadas de modo a serem prticas e apropriadas a
cada objetivo e necessidade da organizao. As atividades fornecem orientao sobre o que deve ser implementado para
cumprir uma prtica de gesto especfica.
As prticas e atividades do COBIT 5 baseiam-se nos atuais padres e boas prticas pertinentes que tambm devem ser
utilizados para obter uma orientao mais detalhada.
PapiseResponsabilidades
Para cada processo, o COBIT 5 fornece exemplos de tabelas RACI que indicam quem o Responsvel, quem Presta
Contas e quem deve ser Consultado ou Informado sobre as atividades do processo para uma srie de especialistas comuns
(de ponta a ponta, negcios e TI). Os especialistas podem ser pessoas (tais como o Diretor Financeiro ou Diretor de
Operaes) ou estruturas (tais como a administrao ou comit de risco corporativo). Definir a responsabilidade e a
obrigao um princpio importante da GEIT da organizao. Estas tabelas podem ser usadas como uma base para adaptar
as tabelas RACI especficas para os processos de TI.
66
APNDICE A
MAPEAMENTO DE DIFICULDADES (PAIN POINTS) EM PROCESSOS DO COBIT 5
APNDICE A
MAPEAMENTO DE DIFICULDADES (PAIN POINTS) EM PROCESSOS DO COBIT 5
A figura 44 mostra o conjunto completo com os 37 processos de governana e de gesto do COBIT 5. O detalhamento dos
processos, de acordo com o modelo de processo descrito anteriormente, foi includo no COBIT 5: Habilitando Processos.
Figura44ModelodeRefernciadeProcessodoCOBIT5
67
IMPLEMENTAO
A figura 45 fornece exemplos de pontos fracos (discutidos no Captulo 3) e exemplos de processos do COBIT 5 que
podem ser selecionados para a respectiva orientao sobre estes pontos fracos.
Figura45MapeamentodeDificuldadesemProcessosdoCOBIT5
Dificuldades
Processos do COBIT 5
Frustrao da organizao com as iniciativas fracassadas, elevando os custos de TI e a

percepo de baixo valor do negcio
EDM02, APO01, APO02, APO05, APO07,

BAI01, BAI02
Incidentes significativos relacionados ao risco de TI da organizao tais como perda de dados ou

falha de projeto
EDM03, APO09, APO12, Domnio DSS
Problemas com a prestao de servios terceirizados tais como nveis de servio acordados que
no esto sendo atingidos de forma consistente
EDM04, APO09, APO10
No cumprimento dos requisitos regulatrios ou contratuais
EDM03, MEA03
TI limitando as capacidades de inovao da organizao e a agilidade dos negcios
EDM04, APO02, APO04
Resultados regulares de auditoria reportando baixo desempenho de TI ou problemas reportados

com a qualidade do servio de TI
MEA02
Despesas com TI Ocultas ou No Autorizadas
EDM02, APO05, APO06
Duplicao ou sobreposio entre iniciativas, ou desperdcio de recursos
EDM02, EDM04, APO05, BAI01
Recursos de TI insuficientes, pessoal com habilidades inadequadas ou esgotamento/insatisfao

do pessoal
EDM04, APO07
Mudanas habilitadas por TI que geralmente no cumprem as necessidades do negcio e

entregues com atraso ou acima do oramento.
APO02, APO05, BAI01
Esforos mltiplos e complexos de garantia de TI
MEA02
Membros da diretoria ou alta administrao relutantes em envolver-se com TI, ou falta de

patrocinadores de TI da rea de negcios comprometidos e satisfeitos
EDM01, EDM02, APO01, APO02
Modelos complexos de operao de TI
EDM01, APO01, APO02, MEA01
68
APNDICE B
EXEMPLO DE MATRIZ DE DECISO
APNDICE B
A figura 46 um exemplo de como identificar as principais reas que exigem papis e responsabilidades de tomada de
deciso bem definidas. Ele disponibilizado como um guia e, se considerado til, pode ser modificado e adaptado para se
adequar organizao e aos requisitos especficos da organizao.
Figura46ExemplodeMatrizdeDeciso
Gesto de TI
Gesto do Negcio
Funcionrios
Estratgia do
negcio
A/R
A/R
A/R
A/R
Comit Diretor do Projeto
. Alinhamento com a governana corporativa

. Definio dos princpios, estruturas e objetivos
. Definio das metas e objetivos corporativos
. Deciso de onde e como TI pode facilitar e apoiar os objetivos
Comit de Segurana
Governana
Comit de Estratgia de TI
Escopo
Comit Executivo
Tpico de Deciso
Comit Diretor do Programa
Responsvel, PrestA Contas, Consultado, Informado

(RACI)
corporativos
Polticas de TI
. Fornecimento de polticas exatas, compreensveis e

aprovadas, procedimentos, diretrizes e outros documentos s
partes interessadas.
. Desenvolvimento e implementao das polticas de TI
. Execuo das polticas de TI
Estratgia de TI
. Incorporao da gesto de TI e do negcio na converso dos

requisitos do negcio em ofertas de servio e
desenvolvimento de estratgias para a realizao destes
servios de forma transparente e eficiente
. Envolvimento com a rea de negcios e a alta administrao
no alinhamento do planejamento estratgico de TI com as
atuais e futuras necessidades do negcio
. Entendimento das atuais capacidades de TI
. Criao de um esquema de priorizao dos objetivos
corporativos que quantifique os requisitos do negcio
Orientao da
tecnologia de TI
Mtodos e modelos
de TI
Arquitetura
corporativa
. Disponibilizao de plataformas adequadas aos aplicativos do

negcio em consonncia com a arquitetura de TI e os padres
tecnolgicos definidos
. Criao de um plano de aquisio de tecnologia alinhado ao
plano de infraestrutura tecnolgica
. Planejamento da manuteno da infraestrutura
. Criao de estruturas organizacionais de TI transparentes,

flexveis e responsivas e definio e implementao de
processos de TI que integrem os responsveis, papis e
responsabilidades nos processos de negcios e de deciso
. Definio de uma estrutura de processo de TI
. Definio de rgos e estruturas organizacionais apropriadas
. Definio de papis e responsabilidade
. Definio e implementao da arquitetura e padres que

reconheam e potencializem as oportunidades tecnolgicas
. Criao de um frum para orientar a arquitetura e verificar a

conformidade
. Definio de um plano de arquitetura equilibrado em relao
ao custo, risco e requisitos
69
IMPLEMENTAO
Gesto de TI
Gesto do Negcio
Funcionrios
C/I
C/I
C/I
A/R
Comit de Segurana
Escopo
Tpico de Deciso
Comit Executivo

(RACI)
. Definio da arquitetura de informao, inclusive a definio

de uma modelagem de dados corporativos que incorpore um
esquema de classificao de dados
. Garantia da exatido da arquitetura da informao e da
modelagem de dados
. Atribuio da responsabilidade pelos dados
. Classificao da informao com o uso do esquema de
classificao definido
Investimento
habilitado por TI e
priorizao do
portflio
. Tomada de decises eficazes e eficientes sobre o portflio e

sobre os investimentos habilitados por TI
. Previso e alocao de oramentos

. Definio de critrios formais de investimento
. Medio e avaliao do valor do negcio em comparao com
a previso
Investimento
habilitado por TI e
priorizao do
programa
Gesto,
monitoramento e
avaliao de SLAs
Gerenciamento de
aplicativos de TI
. Definio e acompanhamento dos oramentos de TI em

consonncia com a estratgia de TI e as decises de
investimento
. Definio da abordagem de gesto do programa e do projeto
aplicada aos projetos de TI e permitindo a participao das
partes interessadas no monitoramento do risco do projeto e
andamento
. Definio e aplicao das estruturas e abordagens do
programa e do projeto
. Emisso das diretrizes de gesto do projeto
. Realizao do planejamento de cada projeto detalhado no
portflio do projeto
. Identificao dos requisitos do servio, definio dos nveis de

servio e monitoramento do cumprimento dos nveis de
servio
. Formalizao dos acordos internos e externos alinhados com
os requisitos e a capacidade de entrega
. Relatrio sobre o cumprimento dos nveis de servio
(relatrios e reunies)
. Identificao e comunicao ao planejamento estratgico dos
requisitos de servio novos e atualizados
. Cumprimento dos nveis de servio operacionais relativos ao
processamento de dados programado, proteo dos dados
(sada) confidenciais e monitoramento e manuteno da
infraestrutura
. Identificao de solues com viabilidade tcnica e boa

relao custo-benefcio
. Definio dos requisitos tcnicos e do negcio

. Realizao de estudos de viabilidade conforme definio nos
padres de desenvolvimento
. Aprovao (ou rejeio) de requisitos e viabilidade dos

resultados do estudo
. Garantia de haver um processo de desenvolvimento oportuno

e com boa relao custo-benefcio
70
APNDICE B
Comit de Segurana
Gesto de TI
Gesto do Negcio
Funcionrios
A/R
C/I
A/R
C/I
A/R
C/I
Escopo
Comit Executivo
Tpico de Deciso

(RACI)
. Converso dos requisitos do negcio em especificaes do

projeto
. Aderncia de todas as modificaes aos padres de

desenvolvimento
. Separao das atividades de desenvolvimento, teste e

operao
Gesto da
infraestrutura de TI
Segurana de TI
. Operao do ambiente de TI alinhada com os nveis de

servio acordados e instrues definidas
. Manuteno da infraestrutura de TI
. Definio das polticas, planos e procedimentos de segurana
de TI e monitoramento, deteco, relatrio e soluo de
vulnerabilidades e incidentes de segurana
. Entendimento dos requisitos, vulnerabilidades e ameaas
relativas segurana em alinhados com os requisitos do
negcio e o impacto sobre ele
. Gesto das identificaes e autorizaes do usurio de forma
padronizada
. Testar a segurana regularmente
Aquisio e
contratos
Conformidade de TI
. Aquisio e manuteno dos recursos de TI que respondem

estratgia de entrega, definindo uma infraestrutura de TI
integrada e padronizada e reduzindo o risco de aquisio de
TI
. Obteno de assessoria jurdica e contratual profissional
. Definio de procedimentos e padres de aquisio
. Aquisio de hardware, software e servios solicitados em
alinhados com os procedimentos definidos
. Identificao de todas as leis aplicveis, regulamentos e

contratos e o respectivo nvel de conformidade de TI e
otimizao dos processos de TI para reduo do risco de no
conformidade
. Identificao dos requisitos legais, regulatrios e contratuais
relacionados a TI
. Avaliao do impacto dos requisitos de conformidade
. Monitoramento e relatrio sobre a conformidade com estes
requisitos
71
IMPLEMENTAO
72
APNDICE C
MAPEAMENTO DE EXEMPLOS DE CENRIOS DE RISCO EM PROCESSOS DO COBIT 5
APNDICE C
Figura47CenriosdeRiscoeCapacidadesdeProcessodoCOBIT5
Cenrio de Risco
Se o cenrio for
significativo e
inerentemente provvel...
Capacidades de Processo do COBIT 5
...considerando estes exemplos

negativos...
...ento considerar se estes processos do COBIT 5

necessitam de melhoria. NOTA: Nesta coluna, ao
lado do nmero de cada processo, apresentamos
um exemplo de processo a ser considerado. Estes
no so os nomes dos processos.
Risco de capacitao do benefcio/valor

Seleo do programa de TI
. Programas incorretos selecionados para

implementao e no alinhados estratgia
corporativa e suas prioridades
. Duplicao entre iniciativas diferentes
. Um programa novo e importante gera
incompatibilidade no longo prazo com a
arquitetura corporativa
Novas tecnologias
. Falha na adoo e explorao de novas

tecnologias ( por exemplo: funcionalidade,
otimizao) em tempo hbil
. Tendncias tecnolgicas novas e
importantes no identificadas
. Incapacidade de usar a tecnologia para
obter os resultados desejados (ex: falha na
aplicao das mudanas necessrias na
organizao ou no modelo de negcios)
Seleo de tecnologia
. Seleo de tecnologias incorretas (ou seja,

custo, desempenho, caractersticas,
compatibilidade) na implementao
. APO02 Alinhamento das estratgias de TI e de negcios

. APO03 Compatibilidades com a arquitetura corporativa
. APO04 Identificao de oportunidades de inovao
. APO05 Decises da gesto do portflio
. BAI01 Planejamento e coordenao da gesto do
programa
. EDM04 Orientao e/ou previso da gesto dos recursos

. APO02 Estratgia de identificao de oportunidades
tecnolgicas
. APO03 Arquitetura corporativa alinhada s atuais

tendncias tecnolgicas
. APO04 Identificao de novas e importantes tendncias

tecnolgicas
. BAI02 Capacidade de usar a nova tecnologia para definir

novos modelos de negcios
. BAI03 Adoo e explorao de novas tecnologias

. APO02 Seleo de tecnologia estratgica eficiente
. APO03 Consistncia com a tecnologia da arquitetura
corporativa
. BAI03 Identificao e criao de solues

. APO13 Impactos sobre a segurana da seleo da
tecnologia
Tomada de deciso de
investimento em TI
. Gerentes de negcios ou representantes

no envolvidos nas tomadas de deciso de
investimento em TI importantes em relao
s oportunidades de novos aplicativos,
priorizao ou novas tecnologias
. EDM02 Orientao e/ou superviso da gesto de valor

. APO02 Envolvimento da rea de negcios no
planejamento estratgico de TI
. APO03 Investimento adequado meta da arquitetura

corporativa
. APO05 Decises da gesto do portflio

. APO06 Monitoramento do investimento
. APO08 Entendimento das expectativas do negcio e das
oportunidades de alavancagem de TI
Responsabilidade sobre TI
. A rea de negcios no assume

responsabilidade sobre as reas de TI que
deveria, tais como requisitos funcionais,
prioridades de desenvolvimento e
oportunidades de avaliao atravs de
novas tecnologias
. BAI01 Sequenciamento das fases de gesto do programa

. EDM01-05 Responsabilidade da gesto executiva pelas
decises de TI
. APO01 Papis e responsabilidades das reas de negcios

e de TI
. APO09 Contratos de prestao de servio bem definidos e

aprovados
. APO10 Contratos e relacionamentos bem definidos e

gerenciados com os fornecedores
. BAI05 Capacitao das mudanas organizacionais em

relao responsabilidade de TI e GEIT
Concluso do projeto de TI
. Projetos fracassados devido ao custo,

atrasos, indefinio do escopo ou alteraes
nas prioridades do negcio no concludos
em tempo hbil
. EDM01 Polticas, estruturas organizacionais e funes

GEIT
. EDM02 Monitoramento da governana do valor

. EDM04 Monitoramento da governana dos recursos
73
IMPLEMENTAO
Cenrio de Risco
Se o cenrio for
significativo e

negativos...

. BAI01 Sequenciamento das fases de gesto do

programa/projeto
. APO05 Tomada de deciso eficiente relativa gesto do

portflio
Economia do projeto de TI
. Estouro do oramento de um projeto de TI

isolado

. BAI01 Monitoramento do desempenho
GEIT
. Estouros de oramento consistentes e

importantes de projetos de TI
. Falta de viso sobre o projeto e a economia

do portflio
. EDM02 Monitoramento da governana dos valores

. EDM04 Monitoramento da governana dos recursos
. BAI01 Planejamento e monitoramento da gesto do
projeto/ programa
Risco de realizao do programa/projeto

Agilidade e flexibilidade da
arquitetura
. Arquitetura de TI complexa e inflexvel

obstruindo novas evolues e ampliaes
. APO01 Processos de TI e de negcios definidos e

eficientes
. EDM04 Governana sobre a otimizao dos recursos

. APO02 Planejamento estratgico de resposta
. APO03 Manuteno da arquitetura corporativa
. APO04 Inovao e incio da mudana
. APO05 Tomada de deciso sobre a gesto do portflio
. BAI02,03 Mtodos do ciclo de vida de desenvolvimento
rpido
. APO13 Segurana da manuteno em um ambiente gil e

flexvel
Integrao de TI aos processos
de negcios
. Grande dependncia e uso da computao
do usurio final e solues especficas para

importantes necessidades de informao
. Solues de TI isoladas e no integradas
em apoio aos processos de negcios
. APO01 Papis e responsabilidades das reas de negcios
GEIT
e de TI
. APO02 Alinhamento das estratgias de TI e de negcios

. APO03 Projetos e decises relativos arquitetura
. APO08 Relaes entre negcios e TI
. BAI02 Definio e entendimento dos requisitos do negcio
. BAI03 Adaptao dos processos de negcios s novas
solues de TI
. BAI05 Gerenciamento das mudanas organizacionais em

relao a TI
Implementao de software
. Falhas operacionais aps a colocao de

um novo software em ambiente de produo
. Usurios sem preparao para usar e
explorar o novo software
. APO11 Atividades consistentes e eficientes de controle da

qualidade
. BAI01 Gesto do projeto

. BAI02 Definies dos requisitos
. BAI03 Desenvolvimento de solues
. BAI05 Gesto das mudanas organizacionais referentes
implementao do software
Realizao do projeto
. Eventual atraso na realizao do projeto de

TI pelo departamento de desenvolvimento
interno
. Atrasos constantes e importantes na
realizao do projeto de TI
. BAI06 Gesto da mudana

. BAI07 Testes completos da soluo
. BAI08 Apoio ao conhecimento
GEIT
. EDM02 Monitoramento da governana dos valores

74
APNDICE C
Cenrio de Risco
Se o cenrio for
significativo e

negativos...

. Atrasos excessivos em um projeto de
. BAI01 Planejamento e monitoramento da gesto do
desenvolvimento de TI terceirizado
Qualidade do projeto
. Qualidade insatisfatria dos resultados do

projeto devido ao software, documentao
ou conformidade com os requisitos
funcionais
programa/projeto
. APO03 Padres da arquitetura

. APO11 Atividades consistentes e eficientes de controle da
qualidade
. BAI01 Planejamento e monitoramento do controle de

qualidade do programa/projeto
Riscos de Entrega de Servios/Operaes de TI

Condio da tecnologia de
infraestrutura
. Tecnologia de TI obsoleta, como redes,

segurana e armazenamento, no pode
satisfazer novos requerimentos do negcio
. EDM04 Direo e/ou superviso da gesto de recursos

. APO02 Reconhecer e tratar estrategicamente questes da
capacidade atual da TI
. APO03 A Manuteno de arquitetura corporativa

. APO04 Identificar tendncias tecnolgicas importantes
. BAI03 Manuteno da infraestrutura
. BAI04 Planejando e abordando as questes de
capacidade e desempenho
Obsolescncia do software
. Software obsoleto, insuficientemente

documentado, com alto custo de
manuteno, difcil de ser ampliado ou no
integrado arquitetura atual
. BAI09 Manuteno de ativos

. EDM04 Orientao e/ou previso da gesto dos recursos
. APO02 Reconhecimento e abordagem estratgica dos
atuais problemas de capacidade de TI

tecnolgicas
Conformidade regulatria
. No conformidade com os regulamentos de

contabilidade ou produo
. BAI03 Manuteno dos aplicativos

. BAI09 Manuteno dos ativos
. DSS06 Controles dos processos de negcios
. EDM01 Polticas e papis de conformidade de GEIT
. APO01 Polticas e orientao sobre a conformidade
regulatria
. APO02 Planejamento dos requisitos regulatrios

. BAI02 Identificao e definio dos requisitos regulatrios
. BAI 03 Monitoramento dos requisitos de conformidade e
status atual
Seleo/desempenho de
fornecedores terceirizados
Roubo de infraestrutura
. Suporte inadequado e prestao dos

servios pelos fornecedores no alinhados
aos SLAs
. Desempenho inadequado do prestador de
servio terceirizado de acordo com o
contrato de terceirizao em grande escala
e longo prazo
. Roubo de laptop com dados confidenciais

. Roubo de um nmero considervel de
servidores de desenvolvimento
. APO10 Escolha, gesto e relacionamentos eficazes com

fornecedores
. BAI03 Gesto eficaz de aquisies
. APO01 Polticas e orientao sobre a proteo dos ativos

. APO07 Verificao das referncias e antecedentes dos
novos funcionrios e organizaes contratadas
. BAI03 Proteo de ativos crticos durante as atividades de

manuteno
Destruio da infraestrutura
. Destruio do banco de dados devido
Pessoal de TI
. Destruio acidental de laptops pessoais

. Sada ou indisponibilidade prolongada dos
sabotagem ou outras causas
principais funcionrios de TI
. DSS05 Medidas de segurana fsica

. DSS01 Gesto da proteo do ambiente e das instalaes
. APO07 Desenvolvimento e reteno de recursos humanos
de TI
. BAI08 Gesto do conhecimento tcito

75
IMPLEMENTAO
Cenrio de Risco
Se o cenrio for
significativo e

negativos...

. Principal equipe de desenvolvimento

deixando a organizao
Competncia e habilidades de
TI
Integridade do software
. Incapacidade de recrutar pessoal de TI

. Falta ou incompatibilidade das habilidades
em TI necessrias devido s novas
tecnologias ou outras situaes
. Falta de conhecimento do negcio pelo
pessoal de TI
. Modificao intencional do software

acarretando dados incorretos ou aes
fraudulentas
. Modificao no intencional do software
acarretando resultados inesperados
. Erros no intencionais de configurao e
gerenciamento da mudana
Infraestrutura (hardware)
. Configurao incorreta de componentes de

hardware
. Dano de servidores crticos no centro de
processamento de dados devido a acidentes
ou outras causas
. Adulterao intencional de hardware tais
como dispositivos de segurana
Desempenho do software
Capacidade do sistema
Obsolescncia do software de
infraestrutura
. APO07 Definio e desenvolvimento dos requisitos de

competncia do pessoal das reas de TI e de negcios
. BAI08 Apoio ao conhecimento

. BAI02 Definio dos requisitos de controle do aplicativo
. BAI07 Prticas de testes e aceitao
. BAI10 Dados de configurao
. DSS05 Controles de acesso
. DSS06 Controles de processos do negcio
. BAI03 Proteo de ativos crticos durante as atividades de
manuteno
. BAI10 Dados de configurao

. Constante mau funcionamento de
. BAI03 Garantia da qualidade do desenvolvimento do
aplicativos crticos
. Problemas de desempenho intermitentes
com sistema de software importante
. BAI04 Planejamento e abordagem dos problemas de
. Incapacidade dos sistemas de processar o
software
. DSS03 Anlise de causa raiz e soluo do problema

. APO03 Princpios da arquitetura para escalabilidade e
nmero de operaes quando o nmero de

usurios aumenta
. Incapacidade dos sistemas de gerenciar as
cargas do sistema quando novos aplicativos
ou iniciativas so implementados

. BAI04 Planejamento e tratamento dos problemas de
agilidade
. Uso de verses sem suporte de sistemas de
. EDM04 Orientao e/ou superviso da gesto dos
software em operao
. Uso de sistema de banco de dados obsoleto
. APO02 Reconhecimento e abordagem estratgica dos
recursos
atuais problemas de capacidade de TI

tecnolgicas

. DSS03 Problemas relacionados a Malware nos controles
dos processos de negcios
Malware
. Intruso de Malware em servidores

operacionais crticos
. Infeco constante de laptops com Malware
Ataques lgicos
. APO01 Polticas e orientao sobre o uso de software

. DSS05 Deteco de software mal intencionado
. Ataque por vrus

. Usurios no autorizados tentando invadir
. APO01 Polticas e orientao sobre a proteo e uso dos
os sistemas
. Ataque de negao de servio
. Desfigurao do Website
. Espionagem industrial
. BAI03 Requisitos de segurana das solues

. DSS05 Controles de acesso e monitoramento da
ativos de TI
segurana
76
APNDICE C
Cenrio de Risco
Se o cenrio for
significativo e

negativos...

Mdia da informao
. Perda/divulgao de mdias portteis (ex:
. APO01 Polticas e orientao sobre a proteo e uso dos
CD, dispositivos USB, discos portteis)

contendo dados confidenciais
. Perda da mdia de backup
. Divulgao acidental de informaes
confidenciais devido ao no cumprimento
das diretrizes de tratamento da informao
Desempenho das instalaes
ativos de TI
. DSS05, 06 Proteo dos dispositivos de armazenamento e

mdia mveis e/ou removveis
. Falhas intermitentes nas instalaes (ex:
. APO08 Relacionamentos/gesto dos principais
telecomunicaes, eletricidade)
. Falhas constantes ou prolongadas nas
instalaes
. DSS01 Gesto da proteo do ambiente e das instalaes

. Instalaes e construes inacessveis devido a greve em
fornecedores de utilitrios
sindicato de trabalhadores
. Principais funcionrios indisponveis devido a greve

Pessoal chave indisponvel devido a greve
Integridade dos (bancos de)

dados
. Alterao intencional nos dados (ex:
Invaso lgica
. Usurios que contornam os direitos de
contabilidade, dados sobre segurana,

resultados das vendas)
. Corrupo do banco de dados (ex: banco de
dados de clientes ou operaes)
acesso lgico
. Usurios que obtm acesso a informaes

no autorizadas
Erros operacionais de TI
. Usurios que roubam dados confidenciais

. Erros do operador durante o backup,
Conformidade contratual
. Entrada de informaes incorretas

. No conformidade com os contratos de
atualizaes ou manuteno dos sistemas
licena de software (ex: uso e/ou

distribuio de software no licenciado)
. Obrigaes contratuais no cumpridas pelo
prestador do servio perante os clientes
. APO07 Relacionamentos do pessoal e indivduos chave

. BAI08 Gesto do conhecimento da equipe
. APO03 Arquitetura da informao e classificao de dados
. BAI03 Padres de desenvolvimento
. DSS01 Gerenciamento do armazenamento dos dados
. DSS05 Controles de acesso
. APO01 Polticas e orientao sobre proteo e uso dos
ativos de TI
. DSS05 Controles de acesso e monitoramento da

segurana
. APO07 Polticas de funcionrios contratados

. APO07 Treinamento de funcionrios
. DSS01 Procedimentos operacionais
. DSS06 Controles de processos do negcio
. APO09 Monitoramento de contratos de prestao de
servio
. APO10 Monitoramento dos contratos e relaes com o

fornecedor
. DSS02 Gesto de licenas de software

. BAI 03 Monitoramento dos requisitos de conformidade
contratual e do status atual
Ambiental
. No conformidade com os contratos de
. APO09 Monitoramento de contratos de prestao de
licena de software (ex: uso e/ou

distribuio de software no licenciado)
. Obrigaes contratuais no cumpridas pelo
prestador do servio perante os clientes
. APO10 Monitoramento dos contratos e relaes com o
servio
fornecedor
. DSS02 Gesto de licenas de software

. BAI 03 Monitoramento dos requisitos de conformidade
contratual e do status atual
Aes da natureza
. Terremoto
. Tsunami
. Fortes tempestades/furaces
. Incndios de grandes propores
. DSS01 Gesto do ambiente e das instalaes

. DSS05 Segurana fsica
. DSS04 Gerenciar Continuidade
77
IMPLEMENTAO
78
APNDICE D
EXEMPLO DE CASO DE NEGCIO
APNDICE D
Obs.: Este exemplo fornecido como um guia genrico e no prescritivo para incentivar a elaborao de um caso de
negcio que justifique o investimento em um programa de implementao da GEIT. Cada organizao tem seus prprios
motivos para melhorar a GEIT e sua prpria abordagem para preparao dos estudos de caso, que pode variar desde uma
abordagem detalhada com nfase nos benefcios quantificados at uma abordagem de nvel e qualidade mais elevados. As
organizaes devem seguir o atual caso de negcio interno e as abordagens de justificativa do investimento, se houver, e
usar este exemplo e a orientao contida nesta publicao para ajudar a se concentrar em todos os problemas que devem
ser abordados. Mais orientaes sobre a elaborao dos estudos de caso podem ser encontradas no processo APO05 do
COBIT 5 e no The Business Case Guide: Using Val IT 2.0.
O exemplo de cenrio de uma grande organizao multinacional com uma combinao de unidades de negcios
tradicionais bem estabelecidas e com novos negcios com base na Internet que adotam as tecnologias mais recentes.
Muitas das unidades de negcios foram adquiridas e esto presentes em diversos pases com diferentes ambientes polticos,
culturais e econmicos locais. A gerncia executiva do grupo central tem sido influenciada pela orientao de governana
corporativa mais recente, inclusive o COBIT, que tem sido usada de forma centralizada por algum tempo. Eles querem
garantir que a rpida expanso e adoo de TI avanada em muitos de seus negcios crie o valor esperado e ainda gerencie
os novos riscos significativos. Eles instruram, entretanto, a adoo pela organizao de uma abordagem GEIT uniforme
que tambm inclui o envolvimento das funes de auditoria e de risco bem como o relatrio anual interno da administrao
da unidade de negcios sobre a adequao dos controles em todas as entidades.
Embora o exemplo seja derivado de situaes reais, ele no reflete o caso de uma organizao real especfica.
SumrioExecutivo
Este caso de negcio documenta as linhas gerais do escopo do programa GEIT proposto pela Acme Corporation com base
no COBIT.
necessrio um caso de negcio adequado para garantir que a diretoria da Acme Corporation e que cada unidade de
negcios adote a iniciativa, identifique os potenciais benefcios e ento monitore o caso de negcio para garantir que os
benefcios esperados sejam obtidos.
O escopo inclui todas as entidades de negcios que constituem a Acme Corporation. Deve-se reconhecer que alguma forma
de priorizao ser aplicada sobre todas as entidades para cobertura inicial pelo programa GEIT, devido aos recursos
limitados do programa.
H uma srie de participantes interessados nos resultados do programa GEIT, que vo desde o conselho de administrao
da Acme Corporation at a administrao local de cada entidade, bem como participantes externos tais como acionistas e
rgos governamentais.
Alguns desafios significativos devem ser considerados, alm do risco, na implementao do programa GEIT na escala
global necessria. Um dos aspectos mais desafiadores a natureza empreendedora de muitos dos negcios de Internet, bem
como o modelo de negcios descentralizado ou federativa existente na Acme Corporation.
O objetivo do programa GEIT ser atingido concentrando-se na capacidade dos processos da Acme Corporation e outros
facilitadores em relao aos definidos no COBIT, relevantes a cada unidade de negcios. Os processos relevantes e
priorizados que recebero ateno em cada entidade sero identificados atravs de uma abordagem de seminrios
(workshop) facilitada pelos membros do programa GEIT, comeando com os objetivos corporativos de cada unidade, bem
como os cenrios de risco de TI do negcio aplicados unidade de negcios especfica.
O objetivo do programa GEIT garantir que as estruturas de governana adequadas sejam adotadas e aumentar o nvel de
capacidade e adequao dos processos de TI relevantes, com a expectativa de que conforme a capacidade de um processo
de TI aumente, o risco associado diminua proporcionalmente e sua eficincia e qualidade aumentem. Desta forma, os reais
benefcios do negcio podem ser obtidos em cada unidade de negcios.
Uma vez que o processo de avaliao do nvel de capacidade dentro de cada unidade de negcios houver sido estabelecido,
espera-se que as auto avaliaes continuem em cada unidade de negcios como uma prtica de negcios normal.
O programa GEIT ser realizado em duas fases distintas. A primeira a fase de desenvolvimento, onde a equipe
desenvolver e testar a abordagem e o conjunto de ferramentas que ser usado na Acme Corporation. No final da 1 fase,
os resultados sero apresentados administrao do grupo para aprovao final. Uma vez que a aprovao final tiver sido
obtida na forma de um caso de negcio aprovado, o programa GEIT ser implementado na entidade de acordo com a sua
definio.
79
IMPLEMENTAO
Deve-se observar que no responsabilidade do programa GEIT implementar as aes corretivas identificadas em cada
unidade de negcios. O programa GEIT meramente reportar o progresso informado por cada unidade de negcios, de
forma consolidada.
O desafio final que dever ser atingido pelo programa GEIT o de reportar os resultados de forma sustentvel de agora em
diante. Este aspecto tomar tempo e bastante discusso e o desenvolvimento ter de ser dedicado a isso, o que resultar em
um aperfeioamento dos atuais mecanismos de reporte e painis de resultados corporativos.
Um oramento inicial para a fase de desenvolvimento do programa GEIT ter sido elaborado. O oramento ser detalhado
em uma tabela separada. Um oramento detalhado tambm ser concludo para a 2 fase do projeto e enviado para
aprovao pela administrao do grupo.
Referncia(VerCaptulo2.PosicionamentoGEIT)
GEIT uma parte integral da governana corporativa geral e concentra-se no desempenho de TI e na gesto do risco
atribuvel s dependncias de TI que a organizao tem.
TI est integrada s operaes dos negcios da Acme Corporation e para muitos, especialmente os negcios de Internet,
est no centro de suas operaes. Portanto, GEIT segue a estrutura de gesto do grupo, um formato descentralizado. A
gesto de cada subsidiria/unidade de negcios responsvel por garantir que os processos adequados sejam
implementados visando a GEIT.
Anualmente, a gesto de cada subsidiria importante obrigada a enviar um relatrio formal por escrito ao comit de risco
apropriado, que um subconjunto da diretoria, sobre em que medida a poltica GEIT foi implementada durante o exerccio
financeiro. Excees significativas devem ser reportadas em cada reunio do comit de risco em questo.
O conselho de administrao, com o auxlio dos comits de risco e do conselho fiscal, garantir que o desempenho da
GEIT do grupo seja avaliado, monitorado, reportado e divulgado em uma declarao sobre a GEIT como parte do relatrio
integrado. Essa declarao ter como base os relatrios obtidos junto s equipes de auditoria interna, risco e conformidade
e administrao de cada subsidiria importante a fim de fornecer aos participantes internos e externos informaes
relevantes e confiveis sobre a qualidade do desempenho GEIT do grupo.
Os servios de auditoria interna garantiro administrao e ao conselho fiscal a adequao e eficincia da GEIT.
O risco de TI do negcio ser reportado e discutido como parte de um processo de gesto de risco nos registros de riscos
apresentados ao comit de risco pertinente.
DesafiosdeNegcio(VerCaptulo3.PrimeirosPassosIdentificaraNecessidadedeAgir:
ReconhecerPontosFracoseEventosDesencadeadores)
Devido natureza penetrante de TI e ao ritmo das mudanas tecnolgicas, uma estrutura confivel necessria para
controlar adequadamente todo o ambiente de TI e evitar falhas no controle que possam expor a organizao a um risco
inaceitvel.
A inteno no impedir o funcionamento das operaes de TI das diversas entidades operacionais. Em vez disso,
pretende-se melhorar o perfil de risco das entidades de modo a fazer sentido para os negcios e ainda aumentar a qualidade
e eficincia do servio, e ao mesmo tempo alcanar explicitamente a conformidade no apenas com a diretriz de GEIT do
grupo Acme Corporation, mas tambm com quaisquer outros requisitos legislativos, regulatrios e/ou contratuais.
Alguns exemplos de pontos de ateno enfrentados so:
. Esforos de garantia de TI complicados devido natureza empreendedora de muitas das unidades de negcios
. Modelos de operao de TI complexos devido aos modelos de negcios com base nos servios de internet em uso
. Entidades geograficamente dispersas, compostas por diversas culturas e idiomas
. O modelo de controle de negcios descentralizado/federado e altamente autnomo empregado no grupo
. Nveis razoveis de implementao de gesto de TI, considerando-se uma fora de trabalho de TI altamente tcnica e, s
vezes, voltil
. Equilbrio por TI da orientao da organizao relativa s capacidades de inovao e agilidade do negcio com a
necessidade de administrar o risco e ter o controle adequado
. A definio dos nveis de risco e de tolerncia de cada unidade de negcios

. O aumento da necessidade de se concentrar no cumprimento dos requisitos de conformidade regulatria (privacidade) e
contratuais (indstria de cartes de pagamento - payment card industry [PCI])
. Resultados de auditoria regular sobre os fracos controles de TI e problemas reportados sobre a qualidade do servio de TI
. Prestao de servios novos e inovadores em um mercado altamente competitivo com sucesso e dentro do prazo
80
APNDICE D
AnlisedeLacunas(Gap)eObjetivos
No h atualmente no mbito do grupo uma abordagem ou um modelo de GEIT nem o uso de boas prticas e padres de
TI. No mbito de unidade de negcios local h diversos nveis de adoo de boas prticas em relao GEIT.
Consequentemente, muito pouca ateno dada tradicionalmente ao nvel de capacidade do processo de TI. Com base na
experincia, os nveis geralmente so baixos.
O objetivo do programa GEIT , portanto, aumentar o nvel de capacidade e adequao dos processos e controles de TI
adequados para cada unidade de negcios, de forma priorizada.
O resultado deve ser a identificao e articulao do risco significativo e a administrao deve estar em condies de tratar
o risco e informar sobre seu status. Conforme o nvel de capacidade de cada unidade de negcios aumenta, o perfil de risco
de TI do negcio de cada entidade deve diminuir e a qualidade e eficincia devem aumentar na mesma proporo.
Em ltima anlise, o valor do negcio dever aumentar em funo da eficincia da GEIT.
AlternativasConsideradas
H muitas estruturas de TI, cada uma tentando manter aspectos especficos de TI sob controle. O modelo do COBIT
considerado por muitos a lder mundial em modelos de controle e de GEIT. O modelo do COBIT foi implementado por
algumas subsidirias do grupo. Tambm foi especificamente mencionada no relatrio do King III8 como um possvel
modelo a ser implementada para GEIT.
O COBIT foi escolhido pela Acme Corporation como a estrutura preferida para implementao GEIT e dever, portanto,
ser adotado por todas as subsidirias.
O COBIT no precisa ser necessariamente adotado em sua totalidade; somente as reas pertinentes subsidiria ou
unidade de negcios especfica devero ser implementadas; considerando o seguinte:
1.
2.
3.
4.
5.
6.
A fase de desenvolvimento de cada entidade no ciclo de vida do negcio

Os objetivos corporativos de cada entidade
A importncia de TI para a unidade de negcios
O risco de TI do negcio enfrentado por cada entidade
Requisitos legais e contratuais
Quaisquer outros motivos pertinentes
Quando outras estruturas j tiverem sido implementadas em uma subsidiria ou unidade de negcios especfica, ou sua
implementao estiver programada para o futuro, tal implementao dever ser mapeada no COBIT para fins de relatrio,
auditoria e clareza do controle interno.
SoluoProposta
O programa GEIT est sendo planejado em duas fases distintas.
1Fase.Prplanejamento(VerCaptulo3.PrimeirosPassosemDireoaGEIT)
A 1 Fase do programa GEIT a fase de desenvolvimento. Durante esta fase do programa os seguintes passos devero ser
concludos:
1.
2.
3.
4.
Finalizao da estrutura da equipe principal entre o suporte da gesto de riscos e a TI do grupo

Concluso do treinamento bsico do COBIT pela equipe principal
Seminrio (workshop) com a equipe principal conduzido para definir uma abordagem para o grupo
Criao de uma comunidade online dentro da Acme Corporation para atuar como um repositrio para
compartilhamento do conhecimento
5. Identificao de todos os participantes e suas necessidades
6. Clarificao e realinhamento, se necessrio, das atuais estruturas do comit, papis e responsabilidades, regras de
deciso e sistemas de relatrios
7. Desenvolvimento e manuteno de um caso de negcio do programa GEIT como uma base para a implementao do
programa com sucesso
8. Plano de comunicao dos princpios de orientao, polticas e benefcios esperados ao longo do programa
9. Desenvolvimento das ferramentas de relatrio e avaliao a serem usadas durante a vigncia do programa e alm
10. Teste da abordagem em uma entidade local. Esta atividade foi escolhida para facilitar a logstica e o refinamento da
abordagem e das ferramentas.
11. Piloto da abordagem refinada em uma das entidades externas. Isto se destina a entender e quantificar as dificuldades
de execuo da fase de avaliao do programa GEIT sob condies de negcios mais desafiadoras.
King III o Cdigo de Governana Corporativa da frica do Sul.
81
IMPLEMENTAO
12. Apresentao do caso de negcio e da abordagem definitivos, inclusive um plano de implementao para aprovao
pela gerncia executiva da Acme Corporation
2Fase.ImplementaodoPrograma(VerCaptulo3.AplicaodaAbordagemdoCiclodeVidade
MelhoriaContnua)
O programa GEIT foi projetado para iniciar um programa permanente de melhoria contnua, com base em um ciclo de vida
iterativo facilitado, seguindo estas etapas:
1.
2.
3.
4.
5.
6.
7.
Determinar os orientadores de melhoria GEIT, a partir de uma perspectiva da Acme Corporation Group e outra da
unidade de negcios.
Determinar o atual status GEIT.
Determinar a condio de GEIT desejada (para curto e longo prazos).
Determinar o que deve ser implementado no mbito da unidade de negcios para facilitar os objetivos corporativos
locais, alinhando-se assim s expectativas do grupo.
Implementar os projetos de melhoria identificados e definidos no mbito da unidade de negcios local.
Realizar e monitorar os benefcios.
Sustentar a nova forma de trabalho mantendo o impulso.
EscopodoPrograma
O programa GEIT cobrir o seguinte:
1.
2.
3.
Todas as entidades do grupo; contudo, as entidades devero ser priorizadas para interao, devido aos recursos
limitados do programa.
O mtodo de priorizao. Ser necessrio defini-lo junto gesto da corporao, mas isso poder ser feito com base no
(a):
a. Tamanho do investimento
b. Ganhos/contribuio ao grupo
c. Perfil de risco a partir de uma perspectiva de grupo
d. Uma combinao dos itens 'a' at 'c'.
A lista de entidades a serem contempladas durante o atual exerccio financeiro. Isto ainda deve ser finalizado e
definido junto gesto da corporao.
MetodologiaeAlinhamentodoPrograma(VerCaptulo6.Tarefas,papiseResponsabilidadesdoCiclo
deVidadaImplementao)
O programa GEIT ser regido usando uma abordagem de seminrios (workshop) facilitada e interativa com todas as
entidades.
A abordagem comea com os objetivos de negcio e os responsveis pelos objetivos, geralmente o Diretor-Presidente
(CEO) e o Diretor Financeiro (CFO). Esta abordagem dever garantir que os resultados do programa estejam estritamente
alinhados aos resultados e prioridades previstos para o negcio.
Uma vez que os objetivos de negcio tenham sido cobertos, o foco volta-se ento para as operaes de TI, geralmente sob
o controle do Diretor de Tecnologia (CTO) ou do Diretor de Informtica (CIO), onde mais detalhes sobre o risco de TI do
negcio e os objetivos de TI so considerados.
Os objetivos de negcio e de TI, assim como o risco de TI do negcio, so ento combinados em uma ferramenta (com
base na orientao do COBIT) que fornecer um conjunto de reas de enfoque dentro dos processos do COBIT para
considerao pela unidade de negcios. Desta forma, a unidade de negcios estar apta a priorizar seus esforos de
correo no tratamento das reas de risco de TI.
EntregveisdoPrograma(VerCaptulo6.Tarefas,PapiseResponsabilidadesdoCiclodeVidada
Implementao)
Conforme mencionado anteriormente, um objetivo geral do programa de GEIT incluir as boas prticas GEIT nas
operaes contnuas das diversas entidades do grupo.
Resultados especficos sero produzidos pelo programa GEIT de modo que a corporao possa medir a realizao dos
resultados pretendidos pelo programa GEIT. Isto incluir o seguinte:
1.
2.
O programa GEIT facilitar o compartilhamento do conhecimento interno atravs da plataforma intranet e

potencializar os atuais relacionamentos com os fornecedores para o benefcio das unidades de negcios individuais.
Relatrios detalhados sobre cada interao de facilitao com as unidades de negcios sero elaborados. Os relatrios
incluiro:
a. Os atuais objetivos de negcio priorizados e os respectivos objetivos de TI baseados no COBIT
b. O risco de TI identificado pela unidade de negcios em um formato padronizado, e as reas de enfoque definidas
para receber a ateno da unidade de negcios, com base nos processos e prticas do COBIT e outros
82
APNDICE D
3.
4.
5.
6.
habilitadores recomendados
c. O exposto acima ser derivado da ferramenta de avaliao do programa GEIT
Relatrios gerais do progresso da cobertura pretendida das unidades de negcios da corporao pelo programa GEIT
sero produzidos.
Relatrios consolidados do grupo cobriro:
a. O progresso das unidades de negcios envolvidas com seus projetos de implementao definidos com base no
monitoramento das mtricas de desempenho aprovadas
b. Viso consolidada do risco de TI sobre as entidades da Acme Corporation
c. Requisitos especficos do(s) comit(s) de risco
Sero produzidos relatrios financeiros sobre o oramento do programa em comparao com o valor real gasto.
Sero feitos monitoramento e relatrios do benefcio em comparao com metas e mtricas de valor definidas pelas
unidades de negcios.
RiscosdoPrograma(VerCaptulo5.CapacitaodaMudana)
Em seguida sero considerados possveis tipos de risco para um incio bem-sucedido e xito permanente do programa
GEIT da Acme Corporation. Esses riscos sero mitigados focando na capacitao da mudana e sero monitorados e
abordados continuamente atravs das anlises do programa e do registro de riscos. Estes tipos de risco so:
1.
2.
3.
4.
5.
6.
7.
Compromisso e apoio ao programa pela administrao, em nvel de grupo e tambm em nvel de unidade de negcios
local
Demonstrao da real criao de valor e dos benefcios para cada entidade local por meio da adoo do programa. As
entidades locais podem desejar adotar o processo para o valor que criaro, em vez de faz-lo por causa da poltica
vigente.
Participao ativa da administrao local na implementao do programa
Identificao dos principais participantes de cada entidade para participao no programa
Compreenso (Insight) do negcio nas classificaes de gesto de TI
Integrao bem-sucedida com quaisquer iniciativas de governana e conformidade existentes dentro do grupo
As estruturas de comit adequadas para supervisionar o programa. Por exemplo, o progresso geral do programa GEIT
pode se tornar um item da agenda do comit executivo de TI. Equivalentes locais tambm teriam de ser constitudos.
Isto poderia ser replicado geograficamente e ainda em nvel de sociedade holding local, conforme o caso.
Participantes(VerCaptulo3.ReconhecimentodasPapiseResponsabilidadesdosParticipantes)
Os seguintes especialistas foram identificados como participantes no resultado do programa GEIT:
1.
2.
3.
4.
5.
6.
7.
Comit de Risco
Comit executivo de TI
Equipe de governana
Equipe de conformidade
Gerncia regional
Gerncia executiva em nvel de entidade local (inclusive gerncia de TI)
Servios de auditoria interna
Uma estrutura definitiva com os nomes dos especialistas ser compilada e publicada aps consulta gesto do grupo.
O programa GEIT necessita que os participantes identificados forneam o seguinte:
1.
2.
Orientao geral sobre o programa GEIT. Isto inclui decises sobre temas importantes relacionados governana
definidos em uma tabela RACI do grupo de acordo com a orientao do COBIT, bem como a definio das
prioridades, aprovao dos financiamentos e dos objetivos de valor.
Aceitao dos resultados, bem como o monitoramento dos benefcios esperados, do programa GEIT
AnlisedeCustoBenefcio
O programa dever identificar os benefcios esperados e monitorar se o real valor do negcio est sendo gerado pelo
investimento realizado. A gerncia local dever motivar e sustentar o programa. Uma slida GEIT dever produzir os
seguintes benefcios que sero definidos como metas especficas para cada unidade de negcios, monitorados e depois
medidos durante a implementao para garantir que sejam realizados:
1.
2.
3.
4.
5.
Maximizao da realizao das oportunidades de negcios atravs de TI e mitigao do risco de TI do negcio em

nveis aceitveis, garantindo assim que o risco seja responsavelmente ponderado em relao s oportunidades contidas
em todas as iniciativas do negcio
Apoio aos objetivos corporativos por meio dos investimentos principais e dos retornos ideais sobre os investimentos,
alinhando assim as iniciativas e objetivos de TI diretamente com a estratgia de negcios
Conformidade legislativa, regulatria e contratual e conformidade com a poltica interna e os regulamentos
Uma abordagem consistente para medio e monitoramento do progresso, eficincia e eficcia
Maior qualidade do servio prestado
83
IMPLEMENTAO
6.
Reduo do custo das operaes de TI e/ou maior produtividade de TI realizando um trabalho mais consistente em
menos tempo e com menos recursos
Os custos centrais incluiro o tempo necessrio para a gesto do programa pelo grupo, recursos para consultoria externa e
cursos de formao inicial. Estes custos centrais foram estimados na 1 Fase. O custo dos seminrios (workshops) de
avaliao da gerncia e dos responsveis pelos processos de cada unidade de negcios ser financiado localmente e um
oramento ser fornecido. Iniciativas especficas para melhoria de projetos de cada unidade de negcios sero estimadas na
2 Fase e consideradas caso a caso e tambm como um todo. Isto permitir que o grupo maximize a eficincia e
padronizao.
DesafioseFatoresdeSucesso(VerCaptulo4.IdentificaodosDesafioseFatoresdeSucessoda
Implementao)
A figura 48 resume os desafios que poderiam afetar o programa GEIT durante o perodo de implementao do programa e
os fatores de sucesso crticos que devem ser abordados para garantir que o resultado seja bem-sucedido.
Figura48DesafioseAesPlanejadasdaAcmeCorporation
Desafio
Fatores de Sucesso Crticos - Aes Planejadas
Incapacidade de obter e manter apoio para os objetivos de

melhoria
Mitigar atravs das estruturas de comit do grupo (a ser definido e constitudo).
Falha de comunicao entre as reas de TI e de negcios
Envolver todos os participantes.
O custo das melhorias supera os benefcios observados
Foco na identificao do benefcio.
Falta de confiana e bons relacionamentos entre TI e a

organizao
. Fomentar uma comunicao aberta e transparente sobre o desempenho,

associada ao controle de desempenho corporativo.
. Focar nas interfaces do negcio e mentalidade do servio.

. Publicar os resultados positivos e as lies aprendidas para ajudar a criar e
manter a credibilidade.
. Garantir a credibilidade e liderana do Diretor de Informtica na criao de

confiana e dos relacionamentos.
. Formalizar as papis e responsabilidades da governana da organizao de

modo que a responsabilidade pelas decises seja clara.
. Identificar e comunicar indcios de problemas reais, riscos que devam ser

evitados e benefcios a serem realizados (em termos de negcios) em
relao aos investimentos propostos.
. Focar no planejamento da capacitao de mudana.
Falta de conhecimento do ambiente da Acme pelos
responsveis pelo programa GEIT
Aplicar uma metodologia de avaliao consistente.
Diversos nveis de complexidade (tcnico, organizacional,

modelo operacional)
Tratar as entidades conforme o caso. Benefcios das lies aprendidas e

compartilhamento do conhecimento.
Conhecimento dos modelos, procedimentos e prticas GEIT
Treinamento e orientao.
Resistncia mudana
Garantir que a implementao do ciclo de vida tambm inclua atividades de

capacitao da mudana.
Adoo de melhorias
Capacitar o fortalecimento local em nvel de entidade.
Dificuldade de integrar GEIT aos modelos de governana dos

parceiros terceirizados
. Envolver fornecedores/terceiros na atividades GEIT.

. Incorporar condies e direito de auditoria nos contratos.
Falha em entender os compromissos de implementao GEIT
. Gerenciar as expectativas.
. Mant-las simples, realistas e prticas.
. Dividir o projeto geral em pequenos projetos atingveis, gerando experincia
e benefcios.
Tentativa de fazer muito de uma s vez; abordagem muito

complexa e/ou problemas graves de TI
. Aplicar princpios de gesto de projetos e de programas.

. Usar marcos.
84
APNDICE D
Figura48DesafioseAesPlanejadasdaAcmeCorporation
Desafio
Fatores de Sucesso Crticos - Aes Planejadas
. Priorizar tarefas 80/20 (80% de benefcio com 20% de esforo) e tomar

cuidado com a ordem correta de sequenciamento; capitalizar os resultados
rpidos.
. Criar confiana; possuir as habilidades e a experincia para manter isso de
forma simples e prtica.
. Reutilizar o que j existe como base.
TI no modo "apagar incndio" e/ou no priorizando
corretamente e incapaz de focar na GEIT
. Aplicar as habilidades de boa liderana.

. Obter o compromisso e orientao da alta gesto de modo que as pessoas
possam se concentrar na GEIT.
. enderear as causas raiz no ambiente operacional (interveno externa,

priorizao da gesto de TI).
. Aplicar uma disciplina mais rigorosa sobre/gesto dos requisitos do negcio.

. Obter assessoria externa.
Habilidades e competncias de TI necessrias no adotadas,
ex: entendimento do negcio, processos, habilidades sociais
Focar no planejamento da capacitao da mudana:
Melhorias no adotadas ou aplicadas
Usar uma abordagem caso a caso com princpios definidos para a entidade
local. Sua implementao deve ser prtica.
Benefcios difceis de demonstrar ou comprovar
Identificar as mtricas de desempenho.
Perda de interesse e impulso
Criar o compromisso em nvel de grupo, inclusive comunicao.
. Desenvolvimento
. Treinamento
. Acompanhamento
. Orientao
. Feedback sobre os processos de recrutamento
. Habilidades cruzadas
85
IMPLEMENTAO
86
APNDICE E
TABELA DE ATRIBUTOS DE MATURIDADE DO COBIT 4.1
APNDICE E
TABELA DE ATRIBUTOS DE MATURIDADE DO COBIT 4.1
Figura 49 Tabela de Maturidade do COBIT 4.1
87
IMPLEMENTAO
88

COBIT-5-Implementation Res Por 0815

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

COBIT-5-Implementation Res Por 0815

Enviado por

Direitos autorais:

Formatos disponíveis

Implementao

Personal Copy of: Mr. Wanderley Martins Junior

Esta publicao estruturada da seguinte forma:

. O Captulo 2 explica o posicionamento da GEIT dentro de uma organizao

. O Captulo 7 discute o uso do COBIT 5 e de seus componentes

A ISACA pesquisou durante muitos anos esta importante rea da governana

Modelos, boas prticas e padres so teis somente se forem adotadas e

. Ferramentas de autoavaliao, medio e diagnstico

Supe-se tambm que, enquanto uma abordagem ao programa e ao projeto

. A tica e cultura da comunidade

A importncia da GEIT tambm pode ser atribuda ao complexo ambiente

. 38% dos entrevistados mencionaram custos de TI mais baixos

. 29% adotaram apenas algumas medidas especficas.

. As polticas, estratgias, planos de negcios e de governana, e abordagens de auditoria

. O desenvolvimento de mais solues e servios de TI com foco no negcio

. Princpios, polticas e modelos

. APO03 Gerenciar Arquitetura da Organizao (informao; servios, infraestrutura e aplicativos)

O apoio e orientao inadequados das partes chaves interessadas podem,

Uma das melhores formas de formalizar a GEIT e fornecer um

O Apndice B apresenta um exemplo de matriz de deciso.

Sua funo na criao do ambiente adequado ser

Conselho e gerncia executiva

rea de risco, conformidade e

Garantir um nvel adequado de participao durante a vigncia do programa.

Ao reconhecer as dificuldades ou eventos desencadeadores como o ponto

. A alta administrao fornece a orientao e a ordem.

Op cit ITGI GEIT Status Report

Importantes Obrigaes e Responsabilidades em

Interesse nos Resultados do Programa de

Definir a orientao geral, o contexto, e objetivos do

A diretoria e a gerncia executiva esto interessadas em

Fornecer recursos de negcios aplicveis equipe

Estas partes interessadas gostariam que o programa

Exercer liderana sobre o programa e fornecer os

O Diretor de Informtica TI deseja garantir que todos os

Exercer liderana sobre os fluxos de trabalho do

Essas partes esto interessadas em garantir que a

Importantes Obrigaes e Responsabilidades em

Interesse nos Resultados do Programa de

Participar conforme necessrio durante todo o

As partes interessadas querem garantir que a iniciativa

Participar conforme necessrio durante todo o

Estas partes interessadas esto atentas aos resultados

Orientar, projetar, controlar, direcionar e executar o

A equipe quer garantir que todos os resultados

As partes interessadas esto atentas aos impactos que a

Interesse nos Resultados do Programa de Implementao

Reguladores esto interessados em saber se os resultados do programa de implementao atendem e/ou

Acionistas (quando pertinente)

Os acionistas podem basear parcialmente suas decises de investimentos no estado de governana

Parceiros comerciais, por

Falta de adeso, compromisso e apoio da alta administrao

. Falta de entendimento (e comprovao) da importncia, urgncia e valor da melhoria da governana da organizao

. Uso desinformado de modelos disponveis/falta de treinamento e conscientizao

. Identificar lder(es) e patrocinador(es) com a autoridade, conhecimento e credibilidade para assumir a

Dificuldade na obteno da participao necessria da rea de negcios

. Preferncia da gesto de TI em trabalhar em isolamento provando o conceito antes de envolver o cliente

. Adotar um processo para envolver as partes interessadas.

. Envolver os representantes do negcio nas avaliaes de alto nvel da situao atual.

Falta de insight do negcio entre a gesto de TI

. Gesto de TI isolada dentro da organizao no envolvida em altos escales

. Criar credibilidade baseando-se em sucessos e no desempenho de profissionais respeitados de TI.

. Implementar um processo efetivo de relacionamento com a rea de negcios.

Falta de poltica e orientao atuais da organizao