Você está na página 1de 60

Apostila

COBIT 5
Framework de Governana e Gesto
Corporativa de TI

Luzia Dourado
Janeiro, 2015

http://lmdourado.wordpress.com
Ol, entusiastas de governana de TI!

Eis que disponibilizo mais uma verso da apostila de COBIT 5 para auxiliar
nos estudos!

Devido a grande procura por este material (mais de 10.000 downloads )


e publicao da verso do COBIT 5 em portugus, resolvi revis-lo e
atualiz-lo para estar em conformidade com a traduo oficial.

Eu no esperava que esse material pudesse ser to procurado! Muitos


esto utilizando esse material para auxiliar nos estudos para concursos e
ultimamente muitos tambm o utilizam como forma de reviso para a
prova de certificao. Fico muito feliz por isso e muito agradecida pelo
feedback de vocs!

Um lembrete: no fique limitado a essa apostila! Ela foi produzida para


que o leitor tome rpido conhecimento do framework, porm, s mais
uma ferramenta de estudos, ok?

Ah, e nunca se esqueam disso:

O saber a gente aprende com os mestres e com os livros.


A sabedoria a gente aprende com a vida e com os humildes.
Cora Coralina

Bons estudos a todos! Deus os abenoe!

Fora, Foco e F!
Janeiro, 2015

lmdourado@hotmail.com

COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e
marcas registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com
finalidade de ensino, em benefcio exclusivo do dono da marca, sem inteno de infringir suas regras de
utilizao.

Apostila COBIT 5 de Luzia Dourado est licenciado com uma Licena Creative Commons - Atribuio-
CompartilhaIgual 4.0 Internacional.
Sumrio
1. INTRODUO ........................................................................................................................ 3
2. O QUE H DE NOVO? ............................................................................................................ 7
3. EVOLUO............................................................................................................................. 9
4. PRINCPIOS .......................................................................................................................... 10
Princpio 1. Atender as necessidades das partes interessadas (stakeholders) ....................... 11
Princpio 2. Cobrir a organizao de ponta a ponta ................................................................ 13
Princpio 3. Aplicar um framework nico e integrado ............................................................ 15
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 16
Princpio 5. Distinguir a governana de gesto ....................................................................... 20
5. MODELO DE REFERNCIA DE PROCESSOS........................................................................... 21
6. GUIA DE IMPLEMENTAO ................................................................................................. 25
Criar o ambiente apropriado ................................................................................................... 26
Reconhecer os pontos de dor (pain points) e eventos desencadeadores (trigger events) .... 26
Elaborar caso de negcios (business case) ............................................................................. 27
Ciclo de Vida de Implementao............................................................................................. 28
7. MODELO DE CAPACIDADE DE PROCESSOS ......................................................................... 30
Diferenas entre o Modelo de Maturidade COBIT 4.1 e o Modelo de Capacidade COBIT 5 .. 30
Modelo de Maturidade COBIT 4.1 ...................................................................................... 30
Modelo de Maturidade COBIT 5 ......................................................................................... 31
Diferenas na Prtica............................................................................................................... 37
Benefcios das Mudanas ........................................................................................................ 39
8. PRINCIPAIS DIFERENAS DO COBIT 5 COM RELAO AO COBIT 4.1 .................................. 40
ANEXO I: Cascata de Objetivos do COBIT 5 ................................................................................. 42
ANEXO II: Exemplo de Habilitador: Processos ............................................................................ 47
ANEXO III: Domnios e Processos ................................................................................................ 48
ANEXO IV: Mapeamento de processos COBIT 5 X COBIT 4.1 ...................................................... 55
ANEXO V: Descrio do Processo BAI06: Gerenciar Mudanas .................................................. 57
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 59

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com


Apostila de COBIT 5 v1.2

1. INTRODUO

Antes de introduzir os conceitos e detalhes do framework COBIT 5, necessria a


definio de conceito de governana e gesto corporativa de TI.

Mas o que Governana Corporativa de TI?

A norma ISO/IEC 38500, que estabelece um modelo para a Governana Corporativa de


TI no qual o COBIT 5 se baseia, define Governana Corporativa de TI como [1]:

Governana Corporativa de TI, segundo ISO/IEC 38500:

O sistema pelo qual o uso atual e futuro da TI dirigido e controlado.


A governana corporativa de TI envolve a avaliao e a direo do uso da TI
para dar suporte organizao no alcance de seus objetivos estratgicos e
monitorar seu uso para realizar os planos.
A governana inclui a estratgia e as polticas para o uso de TI dentro de uma
organizao..

A norma orienta que os dirigentes da organizao governem a TI por meio de trs


tarefas principais, conforme pode ser visto na figura 1:

Avaliar o uso atual e futuro da TI;


Dirigir a preparao e a implementao de planos e polticas para garantir que o uso
da TI atenda aos objetivos do negcio;
Monitorar o cumprimento das polticas e o desempenho em relao aos planos.

Figura 1 - Modelo de governana corporativa de TI.


Fonte: ISO/IEC 38500, pg. 13 [1]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 3


Apostila de COBIT 5 v1.2

Segundo a norma, Avaliar (Evaluate) significa que os dirigentes devem avaliar o uso
atual e futuro da TI, incluindo as estratgias, propostas e arranjos de fornecimento (interno,
externo ou ambos). Na avaliao do uso da TI, convm que os dirigentes considerem as
presses externas e internas que influenciam o negcio (mudanas tecnolgicas, tendncias
econmicas e sociais e influncias polticas), e levem em conta as necessidades atuais e futuras
do negcio.

Dirigir (Direct) significa que os dirigentes devem atribuir responsabilidades para a


preparao e implementao dos planos e polticas que estabeleamm o direcionamento dos
investimentos nos projetos e operaes de TI.

Monitorar (Monitor) significa que os dirigentes devem monitorar o desempenho da TI


por meio de sistemas de mensurao apropriados, garantindo que esse desempenho esteja de
acordo com os planos e objetivos corporativos e que a TI esteja em conformidade com as
obrigaes externas e prticas internas de trabalho.

Governana de TI e Gesto de TI no a mesma coisa?

A governana corporativa de TI no pode ser confundida com o conceito de gesto de TI.


A governana corporativa de TI est inserida na governana corporativa da organizao, sendo
dirigida por esta, e busca o direcionamento da TI para atender ao negcio e o monitoramento
para verificar a conformidade com o direcionamento tomado pela administrao da
organizao [2].

A governana corporativa de TI no de responsabilidade exclusiva dos gestores


de TI e, sim, da alta administrao (board).

A Gesto de TI, conforme definido pela ISO/IEC 38500 [1]:

Gesto de TI, segundo ISO/IEC 38500:

Sistema de controles e processos necessrios para alcanar os objetivos


estratgicos estabelecidos pela direo da organizao..

A gesto de TI implica a utilizao sensata de meios (recursos, pessoas, processos,


prticas) pra alcanar um objetivo. Atua no planejamento, construo, organizao e controle
das atividades operacionais e se alinha com a direo definida pela organizao.

Portanto, a gesto controla tarefas operacionais, enquanto a governana controla a


gesto.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 4


Apostila de COBIT 5 v1.2

Para qu as organizaes necessitam de governana corporativa de TI?

As organizaes existem para atender as necessidades de suas partes interessadas, ou


seja, partes que se interessam ou so afetadas pela organizao, tais como acionistas,
funcionrios, seus clientes, dentre outros.

Para atender aos seus objetivos estratgicos, as organizaes se esforam para:

manter informaes de alta qualidade para apoiar decises corporativas;


agregar valor ao negcio a partir dos investimentos em TI, ou seja, atingir os
objetivos estratgicos e obter benefcios para a organizao atravs da
utilizao eficiente e inovadora de TI;
alcanar excelncia operacional por meio da aplicao confivel e eficiente da
tecnologia;
manter o risco de TI em um nvel aceitvel;
otimizar o custo da tecnologia e dos servios de TI;
cumprir as leis, regulamentos, acordos contratuais e polticas pertinentes cada
vez mais presentes.

A governana corporativa de TI auxilia as organizaes no alcance de seus objetivos


estratgicos, por meio da gerao de valor obtido pelo uso da TI, mantendo equilbrio entre a
realizao de benefcios e a otimizao dos nveis de risco e de utilizao dos recursos. Para se
obter essa gerao de valor, necessria a avaliao do uso da TI e das necessidades de
investimentos nessa rea; fornecer o direcionamento para que a TI atenda aos objetivos
corporativos e monitorar as aes relacionadas a TI para estar em conformidade com o que foi
planejado e para dar transparncias s partes interessadas sobre os resultados alcanados.

Organizaes bem-sucedidas reconhecem que a diretoria e os executivos devem aceitar


que a TI to significativa para os negcios como qualquer outra parte da organizao.
Diretores e gestores - seja em funes de TI ou de negcios - devem colaborar e trabalhar em
conjunto a fim de garantir que a TI esteja inclusa na abordagem de governana e gesto. Alm
disso, cada vez mais leis e regulamentos esto sendo aprovados e estabelecidos para atender a
essa necessidade.

Finalmente, o que o COBIT 5?

O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit and Control)
e lanado no final de 2012, um framework de governana e gesto corporativa de TI.

O framework faz a integrao do contedo dos principais frameworks publicados pelo


ISACA, a saber:

COBIT 4.1;
Val IT, que pode ser usado para criar valor para o negcio por meio de
investimentos de TI, sendo constitudo por um conjunto de princpios
orientadores e conjunto de processos e melhores prticas para apoiar e ajudar a
gesto executiva em nvel empresarial;
Risk IT, dedicado a auxiliar no gerenciamento de riscos relacionados a TI;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 5
Apostila de COBIT 5 v1.2

Business Model for Information Security (BMIS), que uma abordagem holstica
e orientada ao negcio para a gesto de segurana da informao;
IT Assurance Framework (ITAF), um modelo que fornece orientaes sobre a
concepo, realizao e relatrio de auditoria de TI, definindo termos e
conceitos especficos para garantia de TI;
Taking Governance Forward (TGF);
Board Brieng on IT Governance 2nd Edition, que apresenta uma descrio
abrangente dos conceitos de governana de TI como um livreto de referncia ou
como uma ferramenta para educar o board e a gerncia executiva.

Alm disso, ele se alinha a outros padres de mercado como Information Technology
Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project
Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture
Framework (TOGAF).

O COBIT 5 auxilia as organizaes na criao de valor para TI, mantendo o equilbrio


entre a realizao de benefcios e a otimizao dos nveis de risco e o uso de recursos. Tem
como objetivos:

oferecer um framework abrangente que auxilia as organizaes a otimizar o


valor gerado pela TI;
permitir que a TI seja governada e gerenciada de forma holstica para toda a
organizao.
criar uma linguagem comum entre TI e negcios para a governana e gesto de
TI corporativa.

Para qu um novo framework?

O COBIT 5 fornece a prxima gerao de orientaes da ISACA sobre governana


corporativa e gesto de TI. Baseia-se em mais de 15 anos de uso e aplicao prtica do COBIT
por muitas organizaes e usurios das comunidades de negcios, TI, risco, segurana e
garantia. Os principais fatores para o desenvolvimento do COBIT 5 incluem as necessidades de:

Permitir que mais partes interessadas falem sobre o que eles esperam da
tecnologia da informao e tecnologias relacionadas (que benefcios e em qual
nvel de risco aceitvel e a qual custo) e quais so suas prioridades para garantir
que o valor esperado seja efetivamente obtido;
Abordar a questo da dependncia cada vez maior para o sucesso da
organizao em parceiros externos de TI e de negcios tais como terceirizadas,
fornecedores, consultores, clientes, provedores de servios na nuvem e demais
servios;
Tratar a quantidade de informao, que tem aumentado significativamente;
Administrar TI cada vez mais pervasiva; TI cada vez mais uma parte integrante
do negcio;
Cobrir o negcio de ponta a ponta e todas as reas responsveis pelas funes
de TI.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 6


Apostila de COBIT 5 v1.2

2. O QUE H DE NOVO?

A principal novidade do COBIT 5 que ele est focado em governana corporativa de TI,
deixando claro a distino entre governana e gesto, a fim de se aumentar a utilizao
corporativa deste framework, ressaltando o papel da alta administrao nas tomadas de
decises de TI.

O novo framework fundamentado em 5 princpios de governana corporativa de TI


que permitem que a organizao construa um framework efetivo de governana e gesto de
TI baseado em um conjunto holstico de 7 enablers1 (ou habilitadores) que otimizam
investimentos em tecnologia e informao utilizados para o benefcio das partes
interessadas.

O COBIT 5 permite que a TI seja governada e gerida de forma holstica para toda a
organizao, abrangendo o negcio de ponta a ponta bem como todas as reas responsveis
pelas funes de TI, levando em considerao os interesses internos e externos relacionados
com TI. O framework genrico e til para organizaes de todos os portes, sejam comerciais,
sem fins lucrativos ou pblicas.

Em sua quinta verso, o COBIT se tornou uma famlia de produtos, ou seja, as


informaes referentes ao framework (COBIT 5) est em uma publicao separada da que
contm as informaes relativas aos processos (COBIT 5: Enabling Process), alm de conter
outras publicaes relativas implementao, segurana da informao, riscos, qualidade,
dentre outros. A publicao referente ao COBIT 5 disponibilizada de forma gratuita mediante
cadastro prvio no site da ISACA, porm a publicao COBIT 5: Enabling Process paga para
quem no membro da ISACA.

A publicao COBIT 5 (framework) o principal produto da famlia, contendo:

Sumrio Executivo
Componentes e estruturas
5 princpios, descritos cada um em um captulo distinto
Viso dos 7 habilitadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos

A publicao COBIT 5: Enabling Process descreve os processos, objetivos e mtricas,


matriz RACI2, prticas de gesto com suas entradas, sadas e atividades de forma mais
organizada em formato de tabela, facilitando a leitura. Ao final de cada processo, h uma
seo denominada Related Guidance que associa cada processo do COBIT com outros
frameworks que podem ser utilizados para implementar o processo.

1
Enabler = viabilizador, facilitador, habilitador.
2
Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 7
Apostila de COBIT 5 v1.2

A distino entre governana e gesto pode ser percebida no Modelo de Referncia de


Processos, que subdivide os 37 processos de TI em duas principais reas de atividade
governana e gesto que so divididas em domnios de processos, conforme pode ser visto
na tabela 1.

Qtde. de
rea Domnios
Processos
Governana 5 Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
Gesto 32 Alinhar, Planejar e Organizar (Align, Plan and Organise - APO);
Construir, Adquirir e Implementar (Build, Acquire and Implement
- BAI);
Entregar, Servios e Suporte (Deliver, Service and Support - DSS)
Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess -
MEA)

Tabela 1 Quantidade de processos e domnios de Governana e Gesto

COBIT 5 :
Focado em governana corporativa de TI
Deixa clara a distino entre governana e gesto
Fundamentado em 5 princpios de governana corporativa de TI
Baseado em um conjunto holstico de 7 enablers (ou habilitadores)
Possui 37 processos de TI divididos em domnios de processo de
governana e de gesto

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 8


Apostila de COBIT 5 v1.2

3. EVOLUO

O COBIT surgiu, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e conformidade (compliance). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa. A figura 2 exibe um resumo da evoluo do COBIT.

Figura 2 - Evoluo do COBIT

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 9


Apostila de COBIT 5 v1.2

4. PRINCPIOS

Conforme dito anteriormente, o novo framework fundamentado em 5 princpios de


governana corporativa de TI que permitem que a organizao construa um framework
efetivo de governana e gesto de TI baseado em um conjunto holstico de 7 enablers3 (ou
habilitadores) que otimizam investimentos em tecnologia e informao utilizados para o
benefcio das partes interessadas.

Os 5 princpios so (figura 3):

1. Atender as necessidades dos stakeholders (partes interessadas)


2. Cobrir a organizao de ponta a ponta
3. Aplicar um framework (modelo) nico e integrado
4. Permitir uma abordagem holstica
5. Distinguir a governana da gesto

Figura 3 Princpios do COBIT 5


Fonte: COBIT 5, p.15, 2012 ISACA [12]

Cada princpio ser descrito a seguir.

3
Enabler = viabilizador, facilitador, habilitador

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 10


Apostila de COBIT 5 v1.2

Princpio 1. Atender as necessidades das partes interessadas (stakeholders)

As organizaes existem para criar valor para as partes interessadas (stakeholders), ou


seja, para todas as partes interessadas (acionistas, auditores, fornecedores, consultores, alta
administrao, etc). Consequentemente, qualquer organizao comercial ou no ter a
criao de valor como um objetivo da governana (figura 4).

Figura 4 - Objetivo da Governana. Fonte: COBIT 5, pag. 19, 2012 ISACA [12]

O que criao de valor?

Criao de Valor

Obteno de benefcios por meio da otimizao do uso de recursos e dos


riscos a um nvel aceitvel.

Os benefcios podem assumir muitas formas, por exemplo, financeiros para


organizaes comerciais ou de servio pblico para entidades governamentais. Portanto, vale
frisar que a criao de valor o objetivo da governana! Para cada parte interessada, a criao
de valor pode representar interesses diferentes e algumas vezes conflitantes.

O sistema de governana abrange negociar e decidir entre os diferentes interesses das


partes interessadas e deve considerar a opinio de todos quando so tomadas decises sobre
os benefcios, recursos e avaliao dos riscos.

Para cada deciso de governana, as seguintes questes podem e devem ser feitas:

- Quem recebe os benefcios?


- Quem assume os riscos?
- Quais so os recursos necessrios?
As necessidades dos stakeholders precisam ser transformadas em estratgias
corporativas. Por isso, este princpio est intimamente integrado com o conceito de
alinhamento estratgico entre TI e negcio.

Para isso, como pode ser visto na figura 5, h um mecanismo denominado Cascata de
Objetivos do COBIT 5 com a finalidade de desdobrar:
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 11
Apostila de COBIT 5 v1.2

os direcionadores (drives) e as necessidades dos stakeholders em objetivos


corporativos;
os objetivos corporativos em objetivos de TI;
os objetivos de TI em objetivos para os habilitadores.

Figura 5 - Cascata de Objetivos


Fonte: COBIT 5, p.20, 2012 ISACA [12]

Em uma viso bottom-up, a cascata de objetivos auxilia a organizao em como


empregar os habilitadores para alcanar os objetivos corporativos de forma mais concreta.

A cascata de objetivos no algo novo no COBIT 5, pois j existia no COBIT 4.1.


No COBIT 4.1, os objetivos de TI so desdobrados em objetivos de processos que
por sua vez, desdobram-se em objetivos de atividades.
No COBIT 5, os objetivos de TI so desdobrados em objetivos de habilitadores,
sendo Processos um dos habilitadores.

Que benefcios so obtidos por meio dessa cascata de objetivos?

A cascata de objetivos permite a definio de prioridades para implementao, melhoria


e garantia de governana corporativa de TI, com base em objetivos estratgicos e riscos
relacionados. Na prtica, a cascata de objetivos:

Define objetivos tangveis e relevantes em vrios nveis de responsabilidade;


Filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos,
para extrair a orientao pertinente para incluso na implementao, melhoria
ou garantia de projetos especficos;
Identifica e comunica claramente como os habilitadores do COBIT (s vezes
muito operacionais) so importantes para o alcance dos objetivos corporativos.

Mais detalhes sobre a Cascata de Objetivos do COBIT 5 pode ser visto no Anexo I.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 12


Apostila de COBIT 5 v1.2

Princpio 2. Cobrir a organizao de ponta a ponta

O COBIT 5 trata a governana e gesto de TI cobrindo a organizao de ponta a ponta.


Isso significa que o COBIT 5 [3]:

Integra a governana corporativa de TI dentro da governana corporativa da


organizao;
Cobre todas as funes e processos necessrios para regular e controlar as
informaes da organizao e tecnologias correlatas onde quer que essas
informaes possam ser processadas;
No foca apenas nas funes de TI, mas trata a informao e tecnologia
relacionadas como ativos que precisam ser tratados como qualquer outro ativo por
todos na organizao.

O COBIT 5 fornece uma viso holstica e sistmica sobre a governana e gesto de TI da


organizao (ver princpio 4), que tem por base diversos habilitadores. Os habilitadores servem
para toda a organizao, de ponta a ponta, ou seja, incluem todas as pessoas e todas as coisas,
internas e externas, pertinentes governana e gesto das informaes e TI da organizao,
inclusive as atividades e responsabilidades das funes corporativas de TI bem como aquelas
no relacionadas com essas funes.

Por meio desse princpio, os gestores de negcio tm a responsabilidade de tratar a TI


como um ativo estratgico, gerenciando a TI da mesma forma como gerenciam os outros
ativos da organizao.

Sistema de Governana

Para que a governana cubra a organizao de ponta a ponta, o sistema de governana


possui os seguintes componentes (figura 6):

Figura 6 - Governana e Gesto de TI no COBIT 5


Fonte: COBIT 5, p. 25, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 13


Apostila de COBIT 5 v1.2

Habilitadores da governana: so os recursos organizacionais usados na governana


como princpios, estruturas, processos e prticas.
Escopo da governana: rea em que ser aplicada a governana (toda a organizao
ou s uma parte).
Papis, Atividades e Relacionamentos: definem quem est envolvido com
governana, como esto envolvidos, o que fazem e como interagem dentro do escopo
da governana.

A figura 7 mostra os papis, atividades e relacionamentos que ocorrem na governana.


As partes interessadas delegam para o Conselho de Administrao a definio de direo para
as atividades de gesto do Corpo Diretivo que, por sua vez, instrui e alinha as operaes de TI
da organizao. Os executores (parte operacional da organizao) reportam o resultado de
suas atividades para o Corpo Diretivo, que monitorado pelo Conselho de Administrao que
presta contas do desempenho para as partes interessadas.

Vale ressaltar que o COBIT 5 fornece, para cada processo, matrizes RACI4, em que
esto includos papeis relacionados a TI e ao negcio.

Figura 7 - Papis, Atividades e Relacionamentos. Fonte: COBIT 5, p. 26, 2012 ISACA [12]

4
Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 14
Apostila de COBIT 5 v1.2

Princpio 3. Aplicar um framework nico e integrado

COBIT 5 uma estrutura nica e integrada, porque integra todos os conhecimentos


anteriormente dispersos em diferentes frameworks da ISACA, tais como o COBIT 4.1, Val IT
(valor de TI para o negcio), Risk IT (risco relacionado ao uso de TI), BMIS (segurana). Est
alinhado com os mais atuais e relevantes padres e frameworks utilizados [3]:

de gesto corporativa: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000;


Relacionados a TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2,
CMMI etc.

Isso permite organizao utilizar o COBIT 5 como um integrador dos frameworks de


governana e de gesto.

A famlia de produtos do COBIT 5 inclui os seguintes produtos [4]:

COBIT 5 (o framework)
Guia de habilitadores do COBIT 5, no qual os habilitadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Habilitador Processos (Enabling Processes)
o COBIT 5: Habilitador Informao (Enabling Information)
o Outros guias habilitadores
Guias profissionais do COBIT 5, que incluem:
o COBIT 5 Implementao
o COBIT 5 para Segurana da Informao
o COBIT 5 para Garantia (Assurance)
o COBIT 5 para Risco
o Outros guias profissionais
Um ambiente colaborativo on-line, que disponibilizado para apoiar o uso do COBIT 5

Figura 8 - Famlia de Produtos


Fonte: COBIT 5, p. 28, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 15


Apostila de COBIT 5 v1.2

Princpio 4. Possibilitar uma abordagem holstica

Para apoiar a governana e a gesto de TI utilizando uma abordagem holstica (que


engloba a organizao como um todo, incluindo seus componentes e suas inter-relaes), o
COBIT 5 define um conjunto de 7 habilitadores.

Habilitadores (enablers)

Habilitadores

Fatores que, individual e coletivamente, influenciam o funcionamento da


governana e gesto corporativas de TI.

Os habilitadores so orientados pela cascata de objetivos, ou seja, objetivos de TI em


nveis mais alto definem o que os diferentes habilitadores devero alcanar.

O framework COBIT 5 define 7 categorias de habilitadores (figura 9):

Figura 9 - Habilitadores. Fonte: COBIT 5, p. 29, 2012 ISACA [12]

1. Princpios, polticas e frameworks: so os veculos que traduzem o comportamento


desejado em um guia prtico para a gesto diria;
2. Processos descrevem um conjunto organizado de prticas e atividades para atingir
determinados objetivos e produzem um conjunto de sadas que auxiliam no cumprimento dos
objetivos de TI;
3. Estruturas organizacionais so as entidades-chave responsveis pela tomada de
deciso em uma organizao;
4. Cultura, tica e comportamento dos indivduos e da organizao; muito
frequentemente subestimada como um fator de sucesso nas atividades de governana e
gesto;
5. Informao est difundida por toda organizao. Representa todas as informaes
produzidas e utilizadas pela organizao. imprescindvel para manter a organizao em
funcionamento e bem governada;

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 16


Apostila de COBIT 5 v1.2

6. Servios, infraestrutura e aplicaes inclui a infraestrutura, tecnologia e aplicaes


que fornecem organizao os servios de TI;
7. Pessoas, habilidades e competncias esto associadas s pessoas e so necessrias
para que as atividades sejam executadas com sucesso e para que decises e aes corretivas
sejam realizadas de forma correta.
Alguns dos habilitadores definidos acima tambm so recursos da organizao que
devem ser gerenciados e governados. Isto se aplica:

A Informao, que deve ser gerenciada como um recurso. Algumas


informaes, tais como relatrios de gesto e informaes de inteligncia
organizacional so importantes habilitadores para a governana e gesto da
organizao.
Servios, infraestrutura e aplicativos.
Pessoas, habilidades e competncias.

Uma organizao sempre dever considerar um conjunto de habilitadores interligados.


Ou seja, cada habilitador:

Necessita das informaes dos demais habilitadores para ser plenamente


efetivo, por exemplo, processos precisam de informaes e modelos
organizacionais necessitam de habilidades e comportamento.
Produz resultados para o benefcio dos demais habilitadores, por exemplo, os
processos geram informaes, e as habilidades e o comportamento tornam os
processos eficientes.

Assim, ao tratar da governana e gesto corporativa de TI, boas decises podem ser
tomadas somente quando a natureza sistmica dos arranjos de governana e gesto for
considerada. Isto significa que, para tratar de qualquer necessidade das partes interessadas, a
referncia de todos os habilitadores inter-relacionados deve ser analisada e tratada, se
necessrio. Esta mentalidade deve ser orientada pela alta administrao da organizao.

Alguns habilitadores do COBIT 5 eram tratados no COBIT 4.1:

Os recursos de TI do COBIT 4.1 processos, aplicaes, informao e infra-


estrutura so considerados habilitadores no COBIT 5.
O habilitador 1.Princpios, polticas e estruturas foi mencionado em alguns
processos do COBIT 4.1.
O habilitador 2.Processos era a parte central no COBIT 4.1.
O habilitador 3.Estruturas organizacionais estava implcito, atravs dos papis
responsvel, consultado ou informado na matriz RACI.
O habilitador 4.Cultura, tica e comportamento foi mencionado em alguns
processos do COBIT 4.1.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 17


Apostila de COBIT 5 v1.2

Dimenses de habilitadores

Todos os habilitadores tm um conjunto de dimenses comuns (figura 10). Este


conjunto de dimenses comuns [4]:

Apresenta uma maneira comum, simples e estruturada para tratar dos


habilitadores;
Permite que a organizao gerencie suas interaes complexas;
Facilita resultados bem sucedidos dos habilitadores.

Figura 10 - Dimenses de Habilitadores.


Fonte: COBIT 5, p. 30, 2012 ISACA [12]

As quatro dimenses comuns para habilitadores so:

Partes Interessadas (stakeholders): cada habilitador tem partes interessadas (partes


que desempenham um papel ativo e/ou tm interesse na execuo). Por exemplo, os
processos tm diferentes partes que executam atividades de processo e/ou que tm
interesse no resultado do processo; estruturas organizacionais tm partes, cada uma
com seus prprios papis e interesses, que fazem parte da estrutura.
Partes interessadas podem ser internas ou externas organizao, todos com seus
interesses e necessidades.
o Exemplos de partes interessadas internas: executivos de negcio, conselho
de administrao, gerentes de negcio, auditores internos, usurios de TI,
etc.
o Exemplo de partes interessadas externas: parceiros comerciais,
fornecedores, governo, consumidores, auditores externos, consultores,
etc.
Objetivos (goals): cada habilitador tem uma srie de objetivos e criam valor pela
realizao destes objetivos.
Os objetivos podem ser definidos em termos de:
Resultados esperados do habilitador
Aplicao ou operao do prprio habilitador
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 18
Apostila de COBIT 5 v1.2

Os objetivos de habilitadores so o passo final da cascata de objetivos do COBIT 5. Os


objetivos so divididos em categorias:
o Qualidade intrnseca: o quanto os habilitadores trabalham de forma
precisa, objetiva e produzem resultados exatos, objetivos e confiveis.
o Qualidade contextual: o quanto os habilitadores e seus resultados
atendem ao seu objetivo levando-se em considerao o contexto em que
operam.
o Acessibilidade e segurana: o quanto os habilitadores e seus resultados
so acessveis e seguros.
Ciclo de vida (life cycle): cada habilitador tem um ciclo de vida, desde sua criao,
passando por sua vida til/operacional at chegar ao descarte.
As fases do ciclo de vida consistem em:
Planejar (inclui o desenvolvimento de conceitos e seleo de conceitos)
Projetar
Construir/adquirir/criar/implementar
Utilizar/operar
Avaliar/monitor
Atualizar/eliminar
Boas prticas (good practices): para cada um dos habilitadores, boas prticas podem
ser definidas. Boas prticas apoiam a realizao dos objetivos do habilitador. Boas
prticas fornecem exemplos ou sugestes sobre a melhor forma de implementar o
habilitador, e quais os produtos de trabalho, entradas e sadas so necessrios.

Gerenciamento de Desempenho dos Habilitadores

As organizaes esperam resultados positivos a partir da aplicao e utilizao dos


habilitadores. Para gerenciar o desempenho dos habilitadores, as seguintes questes tero de
ser monitoradas e respondidas, com base em mtricas:

As necessidades das partes interessadas foram atendidas?


Os objetivos dos habilitadores foram alcanados?
O ciclo de vida do habilitador gerenciado?
As boas prticas so aplicadas?

As duas primeiras questes lidam com o resultado real do habilitador e os indicadores usados
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do habilitador e
os indicadores para medir se os objetivos sero atingidos podem ser chamadas de
"indicadores de desempenho (lead indicators).

Como exemplo de um habilitador na prtica, veja no Anexo II.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 19


Apostila de COBIT 5 v1.2

Princpio 5. Distinguir a governana de gesto

COBIT 5 torna clara a distino entre governana e gesto. Essas duas reas abrangem
diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a
propsitos diferentes. O ponto de vista do COBIT 5 sobre esta fundamental distino entre
governana e gesto :

Governana

A governana garante que as necessidades, as condies e as opes das


partes interessadas sejam avaliadas a fim de determinar os objetivos
corporativos acordados e equilibrados; define a direo por meio de
priorizao e tomada de deciso; e prov monitoramento de desempenho e
conformidade com relao aos objetivos estabelecidos.

Na governana, so discutidos e aprovados as polticas e os planos de alinhamento


estratgico (PE, PETI), a implementao de processos e os mecanismos de controle que
direcionaro a gesto da TI [5].

Na maioria das organizaes, a governana de responsabilidade do Conselho de


Administrao, sob a liderana do presidente. Responsabilidades de governana especficas
podem ser delegadas a estruturas organizacionais especiais em um nvel apropriado,
especialmente em organizaes maiores e complexas.

Gesto

A gesto consiste em planejar, construir, executar e monitorar atividades


alinhadas com a direo estratgica estabelecida pela governana para
atingir os objetivos corporativos.

Na maioria das organizaes, a gesto da responsabilidade da gerncia executiva, sob


a liderana do chefe diretor executivo (CEO).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 20


Apostila de COBIT 5 v1.2

5. MODELO DE REFERNCIA DE PROCESSOS

O modelo de referncia de processo do COBIT 5 o sucessor do modelo de processo do


COBIT 4.1, e conta ainda com a integrao dos modelos de processo do Risk IT e Val IT. O
modelo subdivide os 37 processos de TI em duas principais reas de atividade governana e
gesto divididas em domnios de processos, conforme figura 11.

Figura 11 - reas chave de governana e gesto.


Fonte: COBIT 5, p. 34, 2012 ISACA [12]

Processos de Governana

Contm 1 domnio Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
com 5 processos de governana. Estes processos ditam as responsabilidades da alta direo
para a avaliao, direcionamento e monitorao do uso dos ativos de TI para a criao de
valor. Este domnio cobre a definio de um framework de governana, o estabelecimento das
responsabilidades em termos de valor para a organizao (ex. critrios de investimento),
fatores de risco (ex. apetite ao risco) e recursos (ex. otimizao de recursos), alm da
transparncia da TI para as partes interessadas [6].

Processos de Gesto

Contm 4 domnios, de acordo com as reas de responsabilidade de planejar, criar,


executar e monitorar (PBRM) e oferece cobertura ponta a ponta de TI. Estes domnios so uma
evoluo da estrutura de domnios e processos do COBIT 4.1. Como pode ser visto, foi
acrescentado um verbo para cada um dos domnios do COBIT 4.1. Os domnios so:

Alinhar, Planejar e Organizar (Align, Plan and Organise - APO)

O domnio APO diz respeito identificao de como a TI pode contribuir melhor com
os objetivos corporativos. Processos especficos do domnio APO esto relacionados

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 21


Apostila de COBIT 5 v1.2

com a estratgia e tticas de TI, arquitetura corporativa, inovao e gerenciamento de


portflio, oramento, qualidade, riscos e segurana. Contm 13 processos. [6]

Construir, Adquirir e Implementar (Build, Acquire and Implement - BAI)

O domnio BAI torna a estratgia de TI concreta, identificando os requisitos para a TI e


gerenciando o programa de investimentos em TI e projetos associados. Este domnio
tambm enderea o gerenciamento da disponibilidade e capacidade; mudana
organizacional; gerenciamento de mudanas (TI); aceite e transio; e gerenciamento
de ativos, configurao e conhecimento. Contm 10 processos. [6]

Entregar, Servios e Suporte (Deliver, Service and Support - DSS)

O domnio DSS se refere entrega dos servios de TI necessrios para atender aos
planos tticos e estratgicos. O domnio inclui processos para gerenciar operaes,
requisies de servios e incidentes, assim como o gerenciamento de problemas,
continuidade, servios de segurana e controle de processos de negcio. Contm 6
processos. [6]

Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess - MEA) : 3 processos.

O domnio MEA visa monitorar o desempenho dos processos de TI, avaliando a


conformidade com os objetivos e com os requisitos externos. Contm 3 processos.

A figura 12 exibe os 37 processos de governana e gesto do COBIT 5. Os detalhes de


cada processo esto no COBIT 5: Enabling Processes [9].

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 22


Apostila de COBIT 5 v1.2

Figura 12 - Modelo de Referncia de Processos.


Fonte: COBIT 5, p. 35, 2012 ISACA [12]

No COBIT 5: Enabling Processes, cada um dos 37 processos so desdobrados em


prticas de governana ou prticas de gesto. Essas prticas de governana e de gesto so
equivalentes aos objetivos de controle do COBIT 4.1, prticas de gesto do Val IT e do Risk IT.

No Anexo III, encontra-se a relao de todos os processos com a respectiva descrio de


cada um.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 23


Apostila de COBIT 5 v1.2

Estrutura de Processos

Para cada processo, as seguintes informaes so includas, de acordo com o modelo de


processo anteriormente explicado:

Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.
Matriz RACI uma sugesto de atribuio de nvel de responsabilidade por prticas de
processos para diferentes funes e estruturas.
Descrio detalhada de prticas de processo para cada prtica:
Ttulo da Prtica e descrio;
Entradas e sadas da prtica, com indicao de origem e destino;
As atividades de processo, detalhando ainda mais as prticas;
Guias relacionados (related guidance): associa cada processo do COBIT a outros
frameworks que podem ser usados para implementar o processo.

Como exemplo, veja o Anexo IV que contm a descrio do processo BAI06: Gerenciar
Mudanas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 24


Apostila de COBIT 5 v1.2

6. GUIA DE IMPLEMENTAO

A ISACA oferece um guia de implementao em sua publicao COBIT 5


Implementation, que baseado em um ciclo de vida de melhoria contnua. No se destina a
ser uma abordagem prescritiva, nem uma soluo completa, mas sim um guia para evitar os
problemas mais comuns encontrados, alavancar as boas prticas e ajudar na gerao de
resultados esperados. O guia tambm apoiado por um conjunto de ferramentas de
implementao contendo uma variedade de recursos. O seu contedo inclui [4]:

Ferramentas de autoavaliao, medio e diagnstico


Apresentaes destinadas a vrios pblicos
Artigos relacionados explicaes adicionais

No documento relativo ao framework COBIT 5 apresentada uma introduo


implementao e ao ciclo de vida de melhoria contnua.

Mas como comear a implementao?

O COBIT 5 apresenta uma abordagem de implementao baseada na melhoria contnua,


sendo necessrio:

Criar o ambiente apropriado para a implementao;


Reconhecer os pontos de dor (pain points) tpicos e eventos desencadeadores (trigger
events);
Adotar um ciclo de vida de implementao;
Elaborar caso de negcios (business case) para a implementao e melhoria da
governana e gesto de TI.

Antes da implementao cada organizao precisa desenvolver seu prprio road map
ou plano de implementao, levando em considerao o seu contexto, ou seja, fatores do
ambiente interno e externo especfico da organizao, tais como:

tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana
Plano de negcios (business plan) e intenes estratgicas
Modelo de funcionamento e nvel de maturidade
Estilo de gesto
Apetite ao risco
Capacidades e recursos disponveis
Prticas da indstria

A abordagem ideal governana e gesto corporativa de TI ser diferente para cada


organizao e o contexto deve ser entendido e considerado a fim de adotar e adaptar o COBIT
com eficincia na implementao dos habilitadores de governana e gesto de TI da
organizao.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 25
Apostila de COBIT 5 v1.2

Criar o ambiente apropriado

Em seguida, importante ter um ambiente apropriado para se implementar a


governana corporativa de TI.

Somente se consegue implementar governana corporativa de TI se houver


patrocnio da alta direo da organizao!

Uma das melhores maneiras de obter esse patrocnio e formalizar essa implementao,
fornecendo um mecanismo para os executivos e para o conselho de administrao (board)
monitorar e direcionar a TI estabelecer um Comit Estratgico e Executivo de TI. Este comit
atua em nome do conselho de administrao (para o qual deve prestar contas) e responsvel
por definir como a TI utilizada dentro da organizao e por tomar decises importantes
relacionadas com TI que afetam a organizao. Este comit precisa ser presidido por um
executivo de negcio (idealmente um membro do board) e ter como membros
representantes das principais reas de negcio da organizao, alm do CIO ou diretor de TI.

Reconhecer os pontos de dor (pain points) e eventos desencadeadores (trigger


events)

Para indicar a necessidade de uma melhor governana e gesto de TI corporativa podem


existir uma srie de fatores denominados pontos de dor (pain points) ou eventos
desencadeadores (trigger events) que podem ser utilizados como o ponto de partida para
iniciativas de implementao.

Pontos de dor so problemas que a organizao est enfrentando ou os pontos fracos


da organizao. Exemplos de alguns dos pontos de dor conforme identificados no COBIT 5
Implementation so:

Frustrao do negcio com iniciativas fracassadas, elevando os custos de TI e


uma percepo de baixo valor para o negcio;
Incidentes significativos relacionados com riscos de TI para o negcio, tais como
perda de dados ou falha em projetos;
Problemas com terceirizao da prestao de servios, tais como o no
cumprimento de forma consistente dos nveis de servio acordados;
Ausncia de cumprimento de requisitos legais ou contratuais;
Resultados da auditoria sobre o fraco desempenho de TI;
Falha de transparncia nos gastos de TI;
Desperdcio de recursos em projetos que no geram valor para o negcio;
Insatisfao da equipe de TI;
Relutncia dos membros do conselho ou diretores em se envolver com a
implementao.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 26


Apostila de COBIT 5 v1.2

Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear aes de governana e gesto corporativa de TI, ou seja, que
faz a TI atuar em resposta a esses eventos. Exemplos de evento de gatilho (trigger events) so:

Fuso, aquisio ou alienao;


Mudana no mercado, na economia ou na posio competitiva;
Mudana no modelo operacional de negcios ou acordos de fornecimento;
Novas exigncias regulatrias ou de conformidade;
Mudana significativa de tecnologia ou mudana de paradigma;
Auditoria externa.
Uma nova estratgia ou de negcio.

Elaborar caso de negcios (business case)

Para garantir o sucesso de iniciativas de implementao pelo uso do COBIT, a


necessidade de agir deve ser amplamente reconhecida e comunicada dentro da organizao. A
iniciativa deve ser de propriedade de um patrocinador, envolver todas partes interessadas e
ser baseada em um caso de negcio (business case). Inicialmente, isto pode ser feito em alto
nvel do ponto de vista estratgico, comeando com uma compreenso clara dos resultados de
negcio desejados e progredindo para uma descrio detalhada das tarefas crticas e metas,
bem como papis-chave e responsabilidades. O caso de negcio uma ferramenta valiosa
disponvel para a gesto para orientar a criao de valor para o negcio. Um caso de negcio
justifica um projeto ou soluo proposta com base nos seus benefcios esperados e serve para
dar suporte deciso de implementar ou no tal projeto ou soluo.

No mnimo, o caso de negcios deve incluir o seguinte:

Os benefcios almejados para a organizao, seu alinhamento com a estratgia


de negcios e os respectivos responsveis pelo benefcio (que sero os
responsveis na organizao pela sua garantia). Isto pode basear-se em pontos
fracos e eventos desencadeadores;
As mudanas de negcios necessrias para criar o valor previsto. Isso poderia
ser baseado em anlise de gap e deve indicar claramente o que est includo no
escopo e o que no est;
Os investimentos necessrios para realizar as mudanas na governana e gesto
de TI (com base em estimativas de projetos necessrios);
O custos operacionais de TI e do negcio;
O risco inerente nas iniciativas, incluindo quaisquer restries ou dependncias
(com base em desafios e fatores de sucesso);
Papis, responsabilidades e obrigaes relacionados com a iniciativa;
Como o investimento e a criao de valor sero monitorados durante todo o
ciclo de vida econmico, e como os indicadores sero utilizados (com base em
objetivos e mtricas).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 27


Apostila de COBIT 5 v1.2

O caso de negcio no um documento esttico definitivo, mas uma ferramenta


operacional e dinmica que deve ser continuamente atualizada para refletir a atual viso do
futuro para que uma viso da viabilidade do programa possa ser mantida.

Ciclo de Vida de Implementao

A aplicao de uma abordagem de ciclo de vida de melhoria contnua fornece um


mtodo para as organizaes enfrentarem a complexidade e os desafios normalmente
encontrados durante a implementao da governana corporativa de TI.

Existem 3 componentes inter-relacionados neste ciclo de vida:

Ciclo de vida principal de melhoria contnua - Este no um projeto isolado.


Capacitao da mudana aborda os aspectos comportamentais e culturais, de
forma a garantir que todas as partes interessadas esto preparadas e
comprometidas com as mudanas necessrias para alcanar um estado futuro
desejado.
Gesto do programa

O ciclo de vida possui 7 fases como est ilustrado na figura 13:

Figura 13 - Fases do Ciclo de Vida.


Fonte: COBIT 5, p. 39, 2012 ISACA [12]

Fase 1- Quais so os direcionadores?: comea com o reconhecimento e aceitao da


necessidade de uma iniciativa de implementao ou melhoria. Identifica os pontos de dor
atuais e os direcionadores de mudana que cria um desejo de mudana nos nveis de gesto

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 28


Apostila de COBIT 5 v1.2

executiva. Um direcionador de mudana um evento interno ou externo, condio ou


problema que serve como um estmulo para a mudana.

Fase 2 Onde estamos agora?: est focada em definir o escopo da iniciativa de


implementao ou melhoria utilizando o mapeamento dos objetivos corporativos com os
objetivos de TI para os processos de TI associados, considerando como cenrios de risco
tambm poderiam destacar os principais processos em que se deve concentrar. Uma vez
priorizados os objetivos corporativos, objetivos de TI e processos associados mais importantes,
realizado uma avaliao do estado atual, e problemas ou deficincias so identificados
realizando-se uma avaliao de capacidade de processo nos processos crticos selecionados. A
presena de pontos de dor especficos tambm poderia contribuir para a seleo de processos
de TI em que se deve concentrar. Iniciativas em larga escala devem ser estruturadas como
vrias iteraes do ciclo de vida para qualquer iniciativa de implementao superior a seis
meses, h um risco de perda da dinmica, foco e adeso das partes interessadas.

Fase 3 Onde queremos estar?: um objetivo de melhoria definido e seguido por uma
anlise mais detalhada para identificar as lacunas e as possveis solues. Devem ser
priorizadas as iniciativas que so mais fceis de realizar e as susceptveis de produzir os
maiores benefcios.

Fase 4 O que precisa ser feito?: planeja solues prticas por meio da definio de
projetos apoiados por casos de negcios justificveis. Um plano de mudana para execuo
tambm desenvolvido. Um caso de negcio bem desenvolvido ajuda a garantir que os
benefcios do projeto so identificados e monitorados.

Fase 5 Como chegaremos l?: as solues propostas so implementadas na forma de


prticas dirias. As medidas podem ser definidas e o monitoramento estabelecido, utilizando
metas e indicadores do COBIT para garantir que o alinhamento de negcios seja alcanado e
mantido e o desempenho possa ser medido.

Fase 6 J chegamos l?: concentra-se na operao sustentvel dos habilitadores novos


ou melhorados e o monitoramento da realizao dos benefcios esperados.

Fase 7 Como mantemos essa dinmica?: o sucesso global da iniciativa revisado,


outros requisitos para a governana ou gesto de organizaes de TI so identificadas e a
necessidade de melhoria contnua reforada.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 29


Apostila de COBIT 5 v1.2

7. MODELO DE CAPACIDADE DE PROCESSOS

Usurios do COBIT 4.1 esto familiarizados com o modelo de maturidade de processo


includo nesse framework. Este modelo utilizado para medir o nvel de maturidade atual (as-
is) dos processos relacionados a TI de uma organizao, para definir o nvel de maturidade
desejado (to-be) e para determinar o gap entre eles e como melhorar o processo para
alcanar o nvel de maturidade desejado [4].

O COBIT 5 apresenta um novo modelo para a avaliao da capacidade dos processos de


TI da organizao baseado na norma ISO/IEC 15504 de Engenharia de Software (norma de
avaliao de processos).

Este modelo vai alcanar os mesmos objetivos gerais de avaliao do processo e suporte
a melhoria de processos, ou seja, ele proporcionar meios para medir o desempenho de
qualquer um dos processos de governana (baseados em EDM) ou processos de gesto
(baseados em PBRM) e permitir a identificao das reas que precisam ser melhoradas.

Os detalhes da abordagem de avaliao de capacidade COBIT 5 esto contidos na


publicao COBIT Process Assessment Model (PAM): Using COBIT 5.

Embora esta abordagem fornea informaes valiosas sobre o estado dos processos,
vale lembrar que processos so apenas um dos sete habilitadores de governana e gesto.
Por consequncia, as avaliaes de processo no iro fornecer um quadro completo sobre o
estado de governana de uma organizao. Para isso, os outros habilitadores precisam ser
avaliados tambm!

Para se obter um quadro completo sobre o estado de governana de uma


organizao, todos os habilitadores precisam ser avaliados!

Diferenas entre o Modelo de Maturidade COBIT 4.1 e o Modelo de


Capacidade COBIT 5

Modelo de Maturidade COBIT 4.1

Para utilizar o modelo de maturidade do COBIT 4.1 para a melhoria do processo so


necessrios os seguintes componentes do COBIT 4.1 (figura 14):

Em primeiro lugar, uma avaliao dever ser realizada para confirmar se os objetivos
de controle do processo foram atingidos;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos aplicveis para cada processo e que ajudam na obteno de uma viso mais
detalhada do nvel de maturidade dos processos;

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 30


Apostila de COBIT 5 v1.2

Controles de processos so objetivos de controle genricos que tambm precisam ser


analisados quando uma avaliao do processo for realizada. Controles de processos se
sobrepem parcialmente com os atributos genricos do modelo de maturidade.

Figura 14 - Modelo de Maturidade do COBIT 4.1.


Fonte: : COBIT 5, p. 43, 2012 ISACA [12]

Modelo de Capacidade COBIT 5

O modelo de capacidade de processos do COBIT 5 exibido na figura 15.

Figura 15 - Modelo de Capacidade de Processos.


Fonte: COBIT 5, p. 44, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 31


Apostila de COBIT 5 v1.2

Nveis de capacidade

O modelo contm 6 nveis de capacidade, em uma escala de 0 a 5, porm com nome e


significado bem diferentes dos nveis de maturidade do COBIT 4.1. Cada nvel de capacidade
de processo possui um conjunto de atributos de processo que devem ser avaliados para o
alcance do nvel em questo.

Os nveis de capacidade so:

Nvel 0 - Processo Incompleto: o processo no foi implementado ou no atingiu seu


objetivo. Nesse nvel, h pouca ou nenhuma evidncia de realizao sistemtica da finalidade
do processo.

Nvel 1 - Processo Executado: o processo est implementado e atinge seu objetivo.


Possui o atributo PA1.1 Desempenho do Processo (Process Performance).

Nvel 2 - Processo Gerenciado: o processo realizado anteriormente descrito


implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de
trabalho esto devidamente estabelecidos, controlados e mantidos. Possui os atributos PA2.1
Gerenciamento de Desempenho (Performance Management) e PA2.2 Gerenciamento de
Produto de Trabalho (Work Product Management).

Nvel 3 - Processo Estabelecido: o processo gerenciado anteriormente descrito


implementado usando um processo definido que capaz de alcanar os seus resultados de
processo. Possui os atributos PA3.1 Definio de Processo (Process Definition) e PA3.2
Implementao de Processo (Process Deployment).

Nvel 4 - Processo Previsvel: o processo estabelecido anteriormente descrito opera


dentro de limites definidos para alcanar seus resultados de processo. Possui os atributos
PA4.1 Gerenciamento do Processo (Process Management) e PA4.2 Controle do Processo
(Process Control).

Nvel 5 - Processo Otimizado: o processo previsvel anteriormente descrito


continuamente melhorado para atender aos objetivos corporativos. Possui os atributos PA5.1
Inovao de Processo (Process Innovation) e PA5.2 Otimizao de Processo (Process
Optimization).

Cada nvel de capacidade s pode ser alcanado quando o nvel inferior for
plenamente alcanado!

Por exemplo, uma capacidade de processo nvel 3 (Processo Estabelecido), exige que os
atributos Definio de Processos e Implementao do Processo sejam amplamente realizados,
alm da plena realizao dos atributos do nvel de capacidade 2 (Processo Gerenciado).

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 32


Apostila de COBIT 5 v1.2

Atributos de processo

Atributos de processo (PA Process Attributes) determinam se um processo alcanou


um determinado nvel de capacidade, medindo um aspecto particular da capacidade de um
processo. Cada nvel de capacidade de processo possui um conjunto de atributos de processo
que devem ser avaliados para o alcance do nvel em questo. Os 9 atributos de processo so:

PA1.1 Desempenho do Processo (Process Performance)


PA2.1 Gesto do Desempenho (Performance Management)
PA2.2 Gesto dos Produtos de Trabalho (Work Product Management)
PA3.1 Definio do Processo (Process Definition)
PA3.2 Implementao do Processo (Process Deployment)
PA4.1 Gesto do Processo (Process Management)
PA4.2 Controle do Processo (Process Control)
PA5.1 Inovao do Processo (Process Innovation)
PA5.2 Otimizao do Processo (Process Optimization)

Vale destacar que o nvel 1 apresenta um mtodo de avaliao diferente dos demais. O
Atributo PA 1.1 Execuo do Processo utiliza prticas e produtos de trabalho (artefatos
associados execuo do processo) especficos de cada processo, enquanto os demais
atributos se baseiam em prticas e produtos de trabalho genricos aplicveis a todos os
processos [13].

A seguir so apresentadas as descries e os resultados esperados para cada atributo


[13][14].

PA1.1 Desempenho do Processo: avalia se o processo atinge o seu objetivo. avaliado


se as atividades bsicas e os produtos de trabalho do processo so executados de alguma
forma, no sendo necessria a formalizao e documentao dos mesmos.

PA2.1 Gesto do Desempenho: avalia se o desempenho do processo gerenciado.


Como resultado da plena realizao desse atributo:

os objetivos de desempenho do processo so definidos;


o desempenho do processo planejado, monitorado e ajustado para atingir o
planejado;
responsabilidades para execuo do processo so definidas, atribudas e
comunicadas;
recursos e informaes necessrias para executar o processo so identificados,
esto disponveis, alocados e utilizados;
interface entre as partes envolvidas no processo so gerenciadas para garantir a
eficcia na comunicao e clareza na definio de responsabilidades.

PA2.2 Gesto dos Produtos de Trabalho: avalia se os produtos de trabalho produzido


pelo processo so apropriadamente gerenciados. Como resultado da plena realizao desse
atributo:

requisitos para os produtos de trabalho do processo so definidos;


Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 33
Apostila de COBIT 5 v1.2

requisitos para documentao e controle dos produtos de trabalho so


definidos;
produtos de trabalho do processo so devidamente identificados e controlados;
produtos de trabalho do processo so revisados de acordo com os critrios
definidos e ajustados para atender aos requisitos.

PA3.1 Definio do Processo: busca avaliar se um processo padro mantido de


forma que auxilie a implantao de um processo definido. Como resultado da plena realizao
desse atributo:

um processo padro, incluindo orientaes para adaptao, definido e


descreve os elementos fundamentais que devem ser incorporados a um
processo definido;
a sequncia e interao do processo padro com outros processos so
determinadas;
papis e competncias necessrias para a realizao de um processo so
identificados como parte do processo padro;
infraestrutura necessria e ambiente de trabalho para a realizao do processo
so identificados;
mtodos para monitorar a eficcia e adequao do processo so determinados.

PA3.2 Implementao do Processo: busca avaliar se um processo padro


eficientemente implantado como um processo definido. Como resultado da plena realizao
desse atributo:

um processo definido implantado baseado na escolha e adequao de um


processo padro;
papis e responsabilidades para executar o processo definido so alocados e
comunicados;
atores do processo definido possuem experincia e so adequadamente
treinados;
recursos e informaes necessrias para a execuo do processo definido esto
disponveis, alocados e so utilizados;
infraestrutura e ambientes necessrios para a execuo do processo definido
esto disponveis, so gerenciados e mantidos;
os dados apropriados so coletados e analisados para entendimento do
comportamento, demonstrao da efetividade e avaliao de melhorias
contnuas do processo definido.

PA4.1 Gesto do Processo: busca avaliar se resultados de medio de desempenho do


processo so utilizados para garantir o atingimento de objetivos do processo, em suporte a
metas de negcio. Como resultado da plena realizao desse atributo:

necessidades de informao do processo so definidas de acordo com os


objetivos de negcio;
os objetivos de medio do processo so derivados da necessidade de
informao do mesmo;
objetivos quantitativos para o desempenho do processo so estabelecidos de
acordo com as necessidades do negcio;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 34
Apostila de COBIT 5 v1.2

medidas e frequncia de medio so identificadas e definidas de acordo com


os objetivos de medio do processo e os objetivos quantitativos para o
desempenho do processo;
os resultados de medio so coletados, analisados e reportados a fim de avaliar
e os objetivos quantitativos do processo so atingidos.

PA4.2 Controle do Processo: busca avaliar se o processo quantitativamente


gerenciado, de modo que seja estvel e previsvel dentro de limites preestabelecidos. Como
resultado da plena realizao desse atributo:

tcnicas de controle e anlise so definidas e aplicadas;


limites de variao do processo so definidos para uma performance normal do
processo;
os dados de medio so analisados para causas especiais de variao;
aes corretivas so tomadas para enderear as variaes observadas e
os limites de controle so reestabelecido (se necessrio) de acordo com aes
corretivas.

PA5.1 Inovao do Processo: busca avaliar se mudanas para o processo so


identificadas atravs de anlises de causas comuns de variao no desempenho e da
investigao de abordagens inovadoras para a definio e implementao do processo. Como
resultado da plena realizao desse atributo:

objetivos de melhoria do processo so definidos de acordo com os objetivos de


negcio;
dados apropriados so analisados para a identificao de causas comuns s
variaes do processo;
dados apropriados so analisados para identificar oportunidades para melhores
prticas e inovao;
oportunidades de melhorias derivadas de novas tecnologias e conceitos de
processo so identificadas;
uma estratgia de implementao estabelecida para atingimento dos
objetivos de melhoria.

PA5.2 Otimizao do Processo: busca avaliar se mudanas em definies,


gerenciamento e desempenho do processo causaram impactos efetivos no atingimento do
objetivo de melhorias. Como resultado da plena realizao desse atributo:

os impactos de todas as mudanas propostas so avaliados frente aos objetivos


do processo definido e padro;
a implementao de todas as mudanas acordadas gerenciada para garantir
que qualquer interrupo no desempenho do processo entendida e corrigida;
com base no desempenho atual, a eficcia da mudana no processo avaliada
em funo dos requisitos de produtos definidos e objetivos de processo para
determinar se os resultados so devidos s causas identificadas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 35


Apostila de COBIT 5 v1.2

Cada atributo de processo avaliado com base na seguinte escala:

Escala Descrio % de realizao


N H pouca ou nenhuma evidncia de realizao 0% a 15%
(no alcanado) do atributo de processo no processo avaliado
P H alguma evidncia de realizao do atributo 15% a 50%
(parcialmente de processo no processo avaliado.
alcanado) Alguns aspectos da realizao do atributo
podem ser imprevisveis.
L H evidncias de uma realizao significativa do 50% a 85%
(largamente alcanado) atributo de processo no processo avaliado.
Algumas fraquezas relacionadas a este atributo
podem existir no processo avaliado.
F H evidncias de uma realizao completa do 85% a 100%
(totalmente alcanado) atributo de processo no processo avaliado.
No h deficincias significativas associadas a
este atributo no processo avaliado
Tabela 2 Escala de avaliao dos atributos de processo.
Fonte: [13]

O alcance de um determinado nvel de capacidade requer que os atributos para


este nvel estejam totalmente ou largamente (F ou L) alcanados e os atributos
para todos os nveis inferiores estejam "totalmente" (F) alcanados.

Portanto, para o alcance do nvel 2, por exemplo, preciso que o PA 2.1 e PA 2.2 sejam
avaliados como F ou L e o PA 1.1 seja avaliado como F (figura 16). [13]

Figura 16 Avaliao dos atributos por nvel de capacidade.


Fonte: [15]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 36


Apostila de COBIT 5 v1.2

Diferenas na Prtica

A partir das descries anteriores, evidente que h algumas diferenas prticas


associadas com a mudana no modelo de avaliao dos processos. Os usurios precisam estar
cientes dessas mudanas e estar preparado para lev-los em conta em seus planos de ao. As
principais alteraes a serem consideradas incluem:

Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para
descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.

O modelo de maturidade do COBIT 4.1 no considerado compatvel com o


modelo da ISO/IEC 15504 porque os mtodos usam diferentes atributos e escalas
de medio!

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 37


Apostila de COBIT 5 v1.2

Nveis de Maturidade (COBIT 4.1) x Nveis de Capacidade de Processo (COBIT 5)


COBIT 4.1 COBIT 5 (com base na ISO/IEC 15504)
Nvel 5: Processo Otimizado - processos so Nvel 5: Processo em Otimizao - o nvel
refinados ao nvel de boa prtica, baseados nos 4 Processo Previsvel continuamente
resultados de melhoria contnua e modelagem melhorado para atender objetivos
da maturidade com outras organizaes. A TI corporativos atuais ou previstos.
utilizada de forma integrada para automatizar o
fluxo de trabalho, fornecendo ferramentas para
melhorar a qualidade e eficcia, fazendo com
que a organizao se adapte rapidamente.
Nvel 4: Gerenciado e Mensurvel - Nvel 4: Processo Previsvel - o nvel 3
gerenciamento monitora e mede conformidade Processo Estabelecido agora opera dentro
com procedimentos e toma aes onde de limites definidos para alcanar seus
processos parecem no funcionar efetivamente. resultados de processo.
Processos esto sob melhoria constante e
fornecem boa prtica. Automao e ferramentas
so usadas de forma limitada ou fragmentada.
Nvel 3: Processo Definido - procedimentos so Nvel 3: Processo Estabelecido - o nvel 2
padronizados, documentados e comunicados Processo Gerenciado agora
por meio de treinamento. obrigtorio que implementado usando um processo
estes processos sejam seguidos; entretanto, definido que capaz de alcanar seus
pouco provvel que desvios sejam detectados. resulados de processo.
Os prprios procedimentos no so sofisticados,
mas so a formalizao de prticas existentes.
Nvel 2: Processo Gerenciado - o nvel 1
Processo Realizado agora implementado
de forma gerenciada (planejado,
monitorado e ajustado) e seus produtos
de trabalho so estabelecidos,
controlados e mantidos apropriadamente.
Nvel 2: Repetvel mas Intuitivo - processos so Nvel 1: Processo Realizado - o processo
desenvolvidos de forma que procedimentos implementado alcana seu propsito de
similiares so seguidos por pessoas diferentes processo.
que esto executando a mesma tarefa. No h
treinamento ou comunicao formal de
procedimentos padronizados e a
responsabilidade deixada a cargo do indivduo.
H um alto grau de confiana no conhecimento Obs.: possvel que algum processo
dos indivduos e, portanto, erros podem ocorrer. classificado como nvel 1 seja classificado
Nvel 1: Inicial/Ad-hoc - h evidncia que a como nvel 0 de acordo com a ISO/IEC
organizao reconheceu que questes existem e 15504, se o resultado do processo no for
precisam ser tratadas. No h, entretanto, alcanado.
nenhum processo padronizado; em vez disto,
existem abordagens ad hoc que tendem a ser
aplicadas por indivduos. A abordagem geral de
gerenciamento desorganizada.
Nvel 0: No existente - completa falta de Nvel 0: Processo Incompleto - o processo
qualquer processo reconhecvel. A organizao no implementado ou no consegue
ainda no reconheceu que existe uma questo a alcanar seu propsito
ser tratada.
Tabela 3 - Comparao Niveis de Maturidade COBIT 4 x Nveis de Capacidade COBIT 5. Fonte: COBIT 5, p. 46,
2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 38


Apostila de COBIT 5 v1.2

Benefcios das Mudanas

Os benefcios do modelo de capacidade de processo do COBIT 5, comparados com os


modelos de maturidade do COBIT 4.1 incluem:

Maior nfase no processo que est sendo realizado para confirmar que est
efetivamente alcanando seus objetivos e os resultados esperados.
Simplificao do contedo por meio da eliminao da duplicao, porque a
avaliao do modelo de maturidade do COBIT 4.1 exigia o uso de diversos
componentes especficos, inclusive o modelo de maturidade genrico, modelos
de maturidades do processo, objetivos de controle e controles de processo para
apoiar a avaliao do processo.
Maior confiabilidade e repetitividade das atividades e anlises da avaliao da
capacidade do processo, reduzindo debates e desentendimentos entre as partes
interessadas em relao aos resultados da avaliao.
Maior uso dos resultados da avaliao da capacidade do processo, visto que o
novo modelo estabelece uma base para a realizao de avaliaes mais
rigorosas e formais, tanto para finalidades internas como externas em potencial.
Conformidade com um padro de avaliao de processo geralmente aceito e,
portanto, um forte apoio abordagem de avaliao do processo no mercado.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 39


Apostila de COBIT 5 v1.2

8. PRINCIPAIS DIFERENAS DO COBIT 5 COM RELAO AO COBIT 4.1

O COBIT 5 trouxe uma srie de mudanas em relao ltima verso, o CobiT 4.1. A
tabela abaixo apresenta as principais diferenas entre as verses [7][16]:

COBIT 4.1 COBIT 5


GOVERNAN No diferencia claramente H uma diferenciao clara entre
A E GESTO domnios de Governana e de domnios de Governana e de Gesto
Gesto de TI de TI
INTEGRAO Frameworks como COBIT 4.1, Val Integra diferentes frameworks e
DOS IT, Risk IT e ITIL so tratados normas de Governana de TI em um
MODELOS separadamente nico modelo

PRINCPIOS No se baseia nos princpios de Novos princpios de governana


Governana de TI (GEIT) conforme corporativa de TI:
previsto nos frameworks Val IT e 1. Atender as necessidades dos
Risk IT stakeholders (partes interessadas)
2. Cobrir a organizao de ponta a
ponta
3. Aplicar um framework (modelo)
nico e integrado
4. Permitir uma abordagem holstica
5. Distinguir a governana da gesto

HABILITADOR Esse conceito difundido na Grande enfoque nos habilitadores.


ES estrutura do documento, no So apresentados 7 categorias:
possuindo um tpico especfico 1.Princpios, polticas e frameworks
que o aborde de forma individual. 2.Processos
3.Estruturas organizacionais
4.Cultura, tica e comportamento
5. Informao
6.Servios, infraestrutura e aplicaes
7.Pessoas, habilidades e competncias

MODELO DE Modelo de processos contendo 4 Modelo de processos apresenta 1


PROCESSOS domnios de gesto que domnio de Governana (com 5
contemplam 34 processos processos) e 4 domnios de gesto
(com 32 processos) que contemplam
37 processos, cobrindo atividades
corporativas de ponta a ponta, ou
seja, das reas de negcio e funes
de TI.

OBJETIVOS E Apresenta cascata de objetivos, COBIT 5 segue o mesmo conceito de


MTRICAS desdobrando os objetivos de objetivos mtricas como no COBIT 4.1,
negcio em objetivos de TI, que Val IT e RiskIT. Os objetivos de
por sua vez eram desdobrados em negcios so desdobrados em
objetivos de processos e estes em objetivos de TI, e estes em objetivos
objetivos de atividades. de habilitadores que refletem uma
Apresenta alguns poucos exemplos viso de nvel corporativo.
de mtricas para os objetivos de TI, Apresenta maior nmero de exemplos
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 40
Apostila de COBIT 5 v1.2

objetivos de processo e objetivos de mtricas para os objetivos de TI e


de atividades. objetivos de processos.
Apesar de serem apresentadas
mtricas em um nvel a menos do que
na verso anterior (no possui
objetivos de atividades), essas
informaes so apresentadas de
maneira mais estruturada.
ENTRADAS E Apresenta entradas e sadas Apresenta entradas e sadas para cada
SADAS somente para os processos. prtica de gerenciamento.
PRTICAS E H objetivos e prticas de controle. As prticas de gesto e de governana
ATIVIDADES do so equivalentes aos objetivos de
controle do COBIT 4.1 e dos processos
de Val IT e Risk IT.
As atividades do COBIT 5 so
equivalentes s prticas de controle
do COBIT 4.1 e das prticas do Val IT e
Risk IT.
MATRIZ RACI Apresenta nmero reduzido de Fornece uma matriz RACI escrevendo
papis para os processos de TI. papis e responsabilidades de forma
similar ao COBIT 4.1, porm oferece
uma gama mais completa, detalhada e
mais clara dos papis para cada
prtica de gerenciamento, permitindo
uma melhor definio das
responsabilidades dos papis ou nvel
de envolvimento na concepo e
implementao de processos.

MODELO DE Modelo de maturidade de COBIT 5 descontinua o modelo de


CAPACIDADE processos baseado no CMM maturidade.
(Capacity Maturity Model). Modelo de capacidade de processos
No modelo de maturidade, os baseado na norma ISO/IEC 15504.
atributos utilizados para avaliao No modelo de capacidade, os
esto presentes em todos os nveis atributos so genricos e exclusivos
e evoluem de acordo com a para cada nvel, ou seja, cada nvel de
maturidade do processo. capacidade ser determinado por um
ou dois atributos especficos.
O modelo de maturidade do COBIT 4.1
no considerado compatvel com o
modelo da ISO/IEC 15504 porque os
mtodos usam diferentes atributos e
escalas de medio.
Tabela 4 Diferenas entre COBIT 4.1 e COBIT 5.
Fonte: [7][16] adaptado

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 41


Apostila de COBIT 5 v1.2

ANEXO I: Cascata de Objetivos do COBIT 5

A Cascata de Objetivos do COBIT 5, de acordo com a figura 17, tem a finalidade de


desdobrar [4]:

direcionadores (drivers) e as necessidades das partes interessadas em objetivos


corporativos;
objetivos corporativos em objetivos de TI;
objetivos de TI em objetivos para os habilitadores.

Figura 17 - Cascata de Objetivos.


Fonte: COBIT 5, p. 20, 2012 ISACA [12]

Esse desdobramento descrito nos quatro passos a seguir:

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 42


Apostila de COBIT 5 v1.2

Passo 1: Direcionadores de Partes Interessadas (Stakeholders) Influenciam as


Necessidades dos Stakeholders

As necessidades das partes interessadas so influenciadas por um nmero de


direcionadores (ou motivadores), como por exemplo, mudanas na estratgia do negcio,
mudana no ambiente do negcio (entrada de novos concorrentes), mudanas nas leis e
regulamentos vigentes e novas tecnologias.

Tomando a legislao como exemplo de direcionador, tem-se, no Brasil, a Lei n 12.965,


mais conhecida como o Marco Civil da Internet, que estabelece princpios, garantias, direitos e
deveres para o uso da Internet no Brasil. Um dos temas que a lei trata a neutralidade da
rede, em que o "responsvel pela transmisso, comutao ou roteamento tem o dever de
tratar de forma isonmica quaisquer pacotes de dados, sem distino por contedo, origem e
destino, servio, terminal ou aplicao. [10]" Isso visa garantir que todos os contedos e
usurios sejam tratados da mesma maneira. Como exemplo prtico, as operadoras de
telecomunicaes, que proveem o acesso Internet, podem ter uma oferta diversificada de
banda, mas no podem bloquear ou limitar a velocidade de trfego, dentro do pacote de
banda contratado, para determinados aplicativos, sites ou contedos na rede [11]. Alm disso,
a lei determina que as operadoras devero garantir a qualidade contratada da conexo
internet.

Essa lei pode se tornar um direcionador de partes interessadas de uma operadora de


telecomunicaes, influenciando as necessidades destas: as dos usurios de internet (parte
interessada externa), que agora tem a garantia de que a qualidade de sua conexo ser
conforme contratado, e caso no seja, poder reclamar seus direitos, e as do Conselho de
Administrao da operadora de telecomunicaes (parte interessada interna), que precisa se
preocupar em adaptar o negcio para atender a essa obrigao (j que dever modificar a
oferta de seus servios), pois caso no cumpram, poder ocorrer a perda de clientes,
impactando na criao de valor para o negcio.

Passo 2: Necessidades das Partes Interessadas (Stakeholders) desdobradas em


Objetivos Corporativos

As necessidades das partes interessadas podem ser relacionadas a um conjunto de


objetivos corporativos genricos definidos pelo COBIT 5. O documento do framework define
objetivos corporativos genricos que podem ser desenvolvidos usando as dimenses do
Balanced Scoredcard (BSC) e representam uma lista de objetivos comumente usados por uma
organizao. Embora essa lista no seja exaustiva, a maioria dos objetivos especficos de uma
organizao pode ser mapeada para um ou mais objetivos corporativos genricos. O
mapeamento das necessidades das partes interessadas, em formato de perguntas, em
objetivos corporativos apresentado no apndice D do documento do framework.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 43


Apostila de COBIT 5 v1.2

A lista de 17 objetivos corporativos genricos definidos pelo COBIT 5, como mostrado na


figura 18, incluem as seguintes informaes:

A dimenso BSC ao qual o objetivo corporativo pertence;


Objetivos corporativos;
O relacionamento do objetivo corporativo com os trs objetivos principais de
governana realizao de benefcios, otimizao de risco e otimizao de recursos
(P indica relacionamento primrio e S relacionamento secundrio).

Figura 18 - Objetivos corporativos.


Fonte: COBIT 5, p. 21, 2012 ISACA [12]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 44


Apostila de COBIT 5 v1.2

Passo 3: Objetivos corporativos desdobrados em Objetivos de TI

O alcance dos objetivos corporativos exige uma srie de resultados relacionados a TI5,
que so representados pelos objetivos relacionados a TI. COBIT 5 define 17 objetivos
relacionados a TI, , conforme apresentado na figura 19:

Figura 19 - Objetivos de TI. Fonte: COBIT 5, p. 21, 2012 ISACA [12]

A tabela de mapeamento dos objetivos corporativos em objetivos de TI est


apresentada no Apndice B do documento do framework, e demonstra como cada objetivo
corporativo apoiado por diversos objetivos de TI.

Passo 4: Objetivos de TI desdobrados em Objetivos de Habilitadores

Atingir os objetivos relacionados a TI requer a aplicao e uso bem-sucedidos de um


conjunto de habilitadores. Habilitadores incluem:

Princpios, polticas e frameworks


Processos
Estruturas organizacionais
Cultura, tica e comportamento

5
Os resultados de TI no so obviamente o nico benefcio intermedirio necessrio para a consecuo
dos objetivos corporativos. Todas as demais reas funcionais de uma organizao, tais como finanas e
marketing, tambm contribuem para a consecuo dos objetivos corporativos, mas no contexto do
COBIT 5 somente as atividades e os objetivos de TI so considerados
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 45
Apostila de COBIT 5 v1.2

Informao
Servios, infraestrutura e aplicaes
Pessoas, habilidades e competncias

Para cada habilitador, um conjunto de objetivos especficos e relevantes pode ser


definido para suportar os objetivos relacionados a TI. Para o habilitador Processos (figura 20),
por exemplo, os objetivos e suas mtricas so fornecidos nas descries detalhadas de cada
processo. O documento do COBIT 5, em seu Apndice C, contm o mapeamento entre os
objetivos de TI e os processos pertinentes, que por sua vez contm os respectivos objetivos do
processo.

Usando a Cascata de Objetivos do COBIT 5 com Ateno

A cascata de objetivos - com suas tabelas de mapeamento entre os objetivos


corporativos e os objetivos de TI e entre os objetivos de TI e os habilitadores do
COBIT 5 (inclusive processos) - no contm a verdade universal, e os usurios no
devem tentar us-lo de uma forma puramente mecnica, mas sim como um
orientador.

H vrias razes para isso, entre as quais:

Cada organizao tem prioridades diferentes em seus objetivos, e essas


prioridades podem mudar com o tempo.
As tabelas de mapeamento no fazem distino entre o porte da organizao
e/ou o setor em que ela est inserida. Elas representam uma espcie de
denominador comum de como, no geral, os diferentes nveis de objetivos se
inter-relacionam.
Os indicadores usados no mapeamento consideram dois nveis de importncia
ou relevncia, sugerindo a existncia de discretos nveis de relevncia,
considerando que, de fato, o mapeamento ser parecido com uma constante
com vrios nveis de correspondncia.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 46


Apostila de COBIT 5 v1.2

ANEXO II: Exemplo de Habilitador: Processos

Figura 20 - Habilitador Processos.


Fonte: COBIT 5, p. 73, 2012 ISACA [12]

Partes Interessadas: como pode ser visto na figura 20, partes interessadas do processo
incluem todos os atores do processo, ou seja, todas as partes que so responsveis, pra o qual
so prestadas contas, consultadas e informadas (RACI) para as atividades do processo. Por isso,
a matriz RACI para cada processo descrita no COBIT 5: Enabling Process pode ser utilizada.

Objetivos: para cada processo, os objetivos adequados e mtricas relacionadas precisam


ser definidos. Por exemplo, para o processo de APO08 Gerenciar relacionamentos pode-se
encontrar um conjunto de objetivos de processo e mtricas, tais como:

Objetivo: estratgias de negcios, planos e requisitos so bem compreendidos,


documentados e aprovados.
Mtrica: Percentual de programas alinhados com os requisitos de negcio

Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.

Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 47


Apostila de COBIT 5 v1.2

ANEXO III: Domnios e Processos

DOMNIO AVALIAR, DIRIGIR E MONITORAR (EDM)

Avaliar, Dirigir e Monitorar


Analisa e articula os requisitos para a governana
corporativa de TI, coloca em prtica e mantm
Garantir a Definio e
estruturas, princpios, processos e prticas, com
EDM01 Manuteno do Framework de
clareza de responsabilidades e autoridade para
Governana
alcanar a misso, as metas e os objetivos da
organizao.

Otimiza a contribuio de valor para o negcio a


Garantir a Realizao de partir dos processos de negcios, servios e ativos
EDM02
Benefcios de TI resultantes de investimentos realizados na TI
a custos aceitveis.

Assegura que o apetite e tolerncia a riscos da


organizao so compreendidos, articulados e
Garantir a Otimizao de
EDM03 comunicados e que o risco ao valor da organizao
Riscos
relacionado ao uso de TI identificado e
controlado.

Assegura que as capacidades adequadas e


suficientes relacionadas TI (pessoas, processos e
Garantir a Otimizao de
EDM04 tecnologia) esto disponveis para apoiar os
Recursos
objetivos da organizao de forma eficaz a um
custo timo.

Assegura que a medio e relatrios de


desempenho e conformidade da TI corporativa
Garantir Transparncia para as
EDM05 sejam transparentes para os stakeholders
Partes Interessadas
aprovarem as metas, mtricas e as aes
corretivas necessrias.
Tabela 5 Domnio Avaliar, Dirigir e Monitorar (EDM)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 48


Apostila de COBIT 5 v1.2

DOMNIO ALINHAR, PLANEJAR E ORGANIZAR (APO)

Alinhar, Planejar e Organizar


Esclarece e mantm a misso e viso da
governana de TI da organizao.
Gerenciar a Estrutura de Gesto
APO01 Implementa e mantm mecanismos e
de TI
autoridades para gerenciar a informao e o
uso da TI na organizao.

Fornece uma viso holstica do negcio e


ambiente de TI atual, a direo futura, e as
APO02 Gerenciar a Estratgia
iniciativas necessrias para migrar para o
ambiente futuro desejado.

Estabelece uma arquitetura comum que


consiste em processos de negcios,
informaes, dados, aplicao e tecnologia
Gerenciar a Arquitetura da
APO03 para realizar de forma eficaz e eficiente as
Organizao
estratgias de negcio e de TI por meio da
criao de modelos e prticas-chave que
descrevem arquitetura de linha de base.
Mantm uma conscincia de TI e tendncias
de servios relacionados, identifica
oportunidades de inovao e planeja como se
APO04 Gerenciar a Inovao beneficiar da inovao em relao s
necessidades do negcio.
Influencia o planejamento estratgico e as
decises de arquitetura corporativa.
Executa o conjunto de orientaes
estratgicas para os investimentos alinhados
com a viso de arquitetura corporativa e as
caractersticas desejadas do investimento e
considerar as restries de recursos e de
oramento.
Avalia, prioriza programas e servios,
gerencia demanda dentro das restries de
recursos e de oramento, com base no seu
APO05 Gerenciar o Portflio
alinhamento com os objetivos estratgicos e
risco.
Move programas selecionados para o
portflio de servios para execuo.
Monitora o desempenho de todo o portflio
de servios e programas, propondo os ajustes
necessrios em resposta ao programa e
desempenho do servio ou mudana de
prioridades da organizao.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 49


Apostila de COBIT 5 v1.2

Alinhar, Planejar e Organizar (cont.)


Gerenciar as atividades financeiras
relacionadas a TI tantos nas funes de
negcios como de TI, abrangendo oramento,
gerenciamento de custos e benefcios e
APO06 Gerenciar Oramento e Custos
priorizao dos gastos com o uso de prticas
formais de oramento e de um sistema justo
e equitativo de alocao de custos para a
organizao.
Fornece uma abordagem estruturada para
garantir a estruturao ideal, colocao,
direitos de deciso e as habilidades dos
recursos humanos. Isso inclui a comunicao
APO07 Gerenciar Recursos Humanos
de papis e responsabilidades definidas,
planos de aprendizagem e de crescimento, e
as expectativas de desempenho, com o apoio
de pessoas competentes e motivadas.
Gerencia o relacionamento entre o negcio e
TI de uma maneira formal e transparente,
APO08 Gerenciar Relacionamentos
que garanta foco na realizao de um
objetivo comum.

Alinha servios de TI e nveis de servio com


as necessidades e expectativas da
Gerenciar Contratos de Prestao organizao, incluindo identificao,
APO09
de Servios especificao, projeto, publicao, acordo, e
acompanhamento de servios de TI, nveis de
servio e indicadores de desempenho.

Gerencia servios relacionados a TI prestados


por todos os tipos de fornecedores para
atender s necessidades organizacionais,
incluindo a seleo de fornecedores, gesto
APO10 Gerenciar Fornecedores
de relacionamentos, gesto de contratos e
reviso e monitoramento de desempenho de
fornecedores para a efetividade e
conformidade.
Define e comunica os requisitos de qualidade
em todos os processos, os procedimentos e
os resultados das organizaes, incluindo
APO11 Gerenciar Qualidade
controles, monitoramento contnuo, e o uso
de prticas comprovadas e padres na
melhoria contnua e esforos de eficincia.
Identificar continuamente, avaliar e reduzir
os riscos relacionados a TI dentro dos nveis
APO12 Gerenciar Riscos
de tolerncia estabelecidos pela diretoria
executiva da organizao.

Define, opera e monitora um sistema para a


APO13 Gerenciar Segurana
gesto de segurana da informao.
Tabela 6 Domnio Alinhar, Planejar e Organizar (APO)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 50


Apostila de COBIT 5 v1.2

DOMNIO CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

Construir, Adquirir e Implementar


Gerenciar todos os programas e projetos do
portflio de investimentos em alinhamento
com a estratgia da organizao e de forma
BAI01 Gerenciar Programas e Projetos
coordenada. Inicia, planeja, controla e executa
programas e projetos, e finaliza com uma
reviso ps-implementao.

Identifica solues e analisa os requisitos antes


da aquisio ou criao para assegurar que eles
esto em conformidade com os requisitos
estratgicos corporativos que cobrem os
processos de negcio, aplicaes, informaes/
BAI02 Gerenciar Definio de Requisitos
dados, infra-estrutura e servios. Coordena
com as partes interessadas afetadas a reviso
de opes viveis, incluindo custos e
benefcios, anlise de risco e aprovao de
requisitos e solues propostas.
Estabelece e mantm solues identificadas
em conformidade com os requisitos da
organizao abrangendo design,
desenvolvimento, aquisio/terceirizao e
Gerenciar Identificao e
BAI03 parcerias com fornecedores/vendedores.
Desenvolvimento de Solues
Gerencia configurao, teste de preparao,
testes, requisitos de gesto e manuteno dos
processos de negcio, aplicaes,
informaes/dados, infra-estrutura e servios.
Equilibra as necessidades atuais e futuras de
disponibilidade, desempenho e capacidade de
prestao de servios de baixo custo. Inclui a
avaliao de capacidades atuais, a previso das
Gerenciar Disponibilidade e
BAI04 necessidades futuras com base em requisitos
Capacidade
de negcios, anlise de impactos nos negcios
e avaliao de risco para planejar e
implementar aes para atender as
necessidades identificadas.
Maximiza a probabilidade de implementar com
sucesso a mudana organizacional sustentvel
Gerenciar Capacidade de em toda a organizao de forma rpida e com
BAI05
Mudana Organizacional risco reduzido, cobrindo o ciclo de vida
completo da mudana e todas as partes
interessadas afetadas no negcio e TI.

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 51


Apostila de COBIT 5 v1.2

Construir, Adquirir e Implementar (cont.)


Gerencia todas as mudanas de uma maneira
controlada, incluindo mudanas de padro e de
manuteno de emergncia relacionadas com
os processos de negcio, aplicaes e
infraestrutura. Isto inclui os padres de
BAI06 Gerenciar Mudanas
mudana e procedimentos, avaliao de
impacto, priorizao e autorizao, mudanas
emergenciais, acompanhamento, elaborao
de relatrios, encerramento e documentao.

Aceita e produz formalmente novas solues


operacionais, incluindo planejamento de
implementao do sistema, e converso de
Gerenciar Aceitao e Transio dados, testes de aceitao, comunicao,
BAI07
de Mudana preparao de liberao, promoo para
produo de processos de negcios e servios
de TI novos ou alterados, suporte de produo
e uma reviso ps-implementao.
Mantm a disponibilidade de conhecimento
relevante, atual, validado e confivel para
suportar todas as atividades do processo e
BAI08 Gerenciar Conhecimento facilitar a tomada de deciso. Plano para a
identificao, coleta, organizao,
manuteno, utilizao e retirada de
conhecimento.
Gerencia os ativos de TI atravs de seu ciclo de
vida para assegurar que seu uso agrega valor a
um custo ideal. Os ativos permanecem
BAI09 Gerenciar Ativos operacionais e fisicamente protegidos e
aqueles que so fundamentais para apoiar a
capacidade de servio so confiveis e
disponveis.
Define e mantm as descries e as relaes
entre os principais recursos e as capacidades
necessrias para prestar servios de TI,
incluindo a coleta de informaes de
BAI10 Gerenciar Configurao
configurao, o estabelecimento de linhas de
base, verificao e auditoria de informaes de
configurao e atualizar o repositrio de
configurao.
Tabela 7 Domnio Construir, Adquirir e Implementar (BAI)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 52


Apostila de COBIT 5 v1.2

DOMNIO ENTREGAR, SERVIOS E SUPORTE (DSS)

Entregar, Servios e Suporte


Coordena e executa as atividades e
procedimentos operacionais necessrios para
entregar servios de TI internos e terceirizados,
DSS01 Gerenciar as operaes
incluindo a execuo de procedimentos
operacionais, padres pr-definidos e as
atividades exigidas.
Fornecer uma resposta rpida e eficaz s
solicitaes dos usurios e resoluo de todos
Gerenciar Solicitao de Servios os tipos de incidentes. Restaurar o servio
DSS02
e Incidentes normal; recorde e atender s solicitaes dos
usurios e registro, investigar, diagnosticar,
escalar e solucionar incidentes.
Identifica e classifica os problemas e suas
causas-razes e fornece resoluo para prevenir
DSS03 Gerenciar Problemas
incidentes recorrentes. Fornece
recomendaes de melhorias.
Estabelece e mantm um plano para permitir o
negcio e TI responder a incidentes e
interrupes, a fim de continuar a operao de
DSS04 Gerenciar Continuidade processos crticos de negcios e servios de TI
necessrios e mantm a disponibilidade de
informaes em um nvel aceitvel para a
organizao.
Protege informaes da organizao para
manter o nvel de risco aceitvel para a
segurana da informao da organizao, de
DSS05 Gerenciar Servios de Segurana acordo com a poltica de segurana. Estabelece
e mantm as funes de segurana da
informao e privilgios de acesso e realiza o
monitoramento de segurana.
Define e mantm controles de processo de
negcio apropriados para assegurar que as
Gerenciar os Controles de
DSS06 informaes relacionadas e processadas
Processos de Negcio
satisfaz todos os requisitos de controle de
informaes relevantes.
Tabela 8 Domnio Entregar, Servios e Suporte (DSS)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 53


Apostila de COBIT 5 v1.2

DOMNIO MONITORAR, AVALIAR E ANALISAR (MEA)

Monitorar, Avaliar e Analisar


Coleta, valida e avalia os objetivos e mtricas
do processo de negcios e de TI. Monitora se
Monitorar, Avaliar e Analisar o os processos esto realizando conforme metas
MEA01
Desempenho e Conformidade e mtricas de desempenho e conformidade
acordadas e fornece informao que
sistemtica e oportuna.

Monitora e avalia continuamente o ambiente


de controle, incluindo auto-avaliaes e
Monitorar, Avaliar e Analisar o
MEA02 anlises de avaliaes independentes. Permite
Sistema de Controle Interno
a gesto de identificar deficincias de controle
e ineficincias e iniciar aes de melhoria.
Avalia se processos de TI e processos de
negcios suportados pela TI esto em
Monitorar, Avaliar e Analisar a conformidade com as leis, regulamentos e
MEA03 Conformidade com Requisitos exigncias contratuais. Obtm a garantia de
Externos que os requisitos foram identificados e
respeitados, e integr-los conformidade com
o cumprimento global da organizao.
Tabela 9 Domnio Monitorar, Avaliar e Analisar (MEA)

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 54


Apostila de COBIT 5 v1.2

ANEXO IV: Mapeamento de processos COBIT 5 X COBIT 4.1

Esse mapeamento uma adaptao da tabela de mapeamento dos objetivos de


controle do COBIT 4.1 para as prticas de gerenciamento do COBIT 5 [9]. Os processos
destacados em verde so novos processos do COBIT5.

Avaliar, Dirigir e Monitorar (EDM)


EDM01 Garantir a Definio e Manuteno PO3 Determinar a Direo Tecnolgica
do Framework de Governana ME4 Fornecer Governana de TI
PO1 Definir um Plano Estratgico de TI
EDM02 Garantir a Realizao de Benefcios
ME4 Fornecer Governana de TI
PO6 Comunicar Metas e Diretivas Gerenciais
EDM03 Garantir a Otimizao de Riscos PO9 Avaliar e Gerenciar Riscos
ME4 Fornecer Governana de TI
EDM04 Garantir a Otimizao de Recursos ME4 Fornecer Governana de TI
EDM05 Garantir Transparncia para as
-
Partes Interessadas
Tabela 10 COBIT 5 x COBIT 4.1: Domnio EDM. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA [9]

Alinhar, Planejar e Organizar (APO)


PO2 Definir a Arquitetura de Informao
PO3 Determinar a Direo Tecnolgica
PO4 Definir Processos de TI, Organizao e
APO01 Gerenciar a Estrutura de Gesto de
Relacionamento
TI
PO6 Comunicar Metas e Diretivas Gerenciais
PO7 Gerenciar Recursos Humanos
PO9 Avaliar e Gerenciar Riscos
PO1 Definir um Plano Estratgico de TI
APO02 Gerenciar a Estratgia
PO3 Determinar a Direo Tecnolgica
APO03 Gerenciar a Arquitetura da PO2 Definir a Arquitetura de Informao
Organizao PO3 Determinar a Direo Tecnolgica
APO04 Gerenciar a Inovao PO3 Determinar a Direo Tecnolgica
PO1 Definir um Plano Estratgico de TI
APO05 Gerenciar o Portflio
PO5 Gerenciar o Investimento em TI
DS6 Identificar e Alocar Custos
APO06 Gerenciar Oramento e Custos
PO5 Gerenciar o Investimento em TI
DS7 Educar e Treinar usurios
PO4 Definir Processos de TI, Organizao e
APO07 Gerenciar Recursos Humanos
Relacionamento
PO7 Gerenciar Recursos Humanos
APO08 Gerenciar Relacionamentos -
APO09 Gerenciar Contratos de Prestao
DS1 Definir nveis de Servios
de Servios
AI5 Obter Recursos de TI
APO10 Gerenciar Fornecedores
DS2 Gerenciar Servios de Terceiros
PO4 Definir Processos de TI, Organizao e
APO11 Gerenciar Qualidade Relacionamento
PO8 Gerenciar Qualidade
APO12 Gerenciar Riscos PO9 Avaliar e Gerenciar Riscos
APO13 Gerenciar Segurana DS5 Garantir Segurana dos Sistemas
Tabela 11 COBIT 5 x COBIT 4.1: Domnio APO. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 55


Apostila de COBIT 5 v1.2

Construir, Adquirir e Implementar (BAI)


BAI01 Gerenciar Programas e Projetos PO10 Gerenciar Projetos
BAI02 Gerenciar Definio de Requisitos AI1 Identificar solues automatizadas
Controles AC

AI2 Adquirir e manter software aplicativo


BAI03 Gerenciar Identificao e
Desenvolvimento de Solues AI3 Adquirir e manter arquitetura
tecnolgica

AI5 Obter Recursos de TI


BAI04 Gerenciar Disponibilidade e
DS3 Gerenciar Performance e Capacidade
Capacidade
AI4 Manter operao e uso
BAI05 Gerenciar Capacidade de Mudana
Organizacional
AI7 Instalar e certificar Solues e Mudanas
BAI06 Gerenciar Mudanas AI6 Gerenciar mudanas
BAI07 Gerenciar Aceitao e Transio de
AI7 Instalar e certificar Solues e Mudanas
Mudana
BAI08 Gerenciar Conhecimento AI4 Manter operao e uso
BIA09 Gerenciar Ativos -
BAI10 Gerenciar Configurao DS9 Gerenciar a Configurao
Tabela 12 COBIT 5 x COBIT 4.1: Domnio BAI. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Entregar, Servios e Suporte (DSS)


DS11 Gerenciar Dados
DSS01 Gerenciar as operaes DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
DS5 Garantir Segurana dos Sistemas
DSS02 Gerenciar Solicitao de Servios e
DS8 Gerenciar Service Desk e Incidentes
Incidentes
DS9 Gerenciar a Configurao
DSS03 Gerenciar Problemas DS10 Gerenciar Problemas
DS4 Garantir Continuidade dos Servios
DSS04 Gerenciar Continuidade
DS11 Gerenciar Dados
DS5 Garantir Segurana dos Sistemas
DS11 Gerenciar Dados
DSS05 Gerenciar Servios de Segurana
DS12 Gerenciar os Ambientes Fsicos
DS13 Gerenciar Operaes
DSS06 Gerenciar os Controles de Processos Controles AC
de Negcio DS11 Gerenciar Dados
Tabela 13 COBIT 5 x COBIT 4.1: Domnio DSS. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Monitorar, Avaliar e Analisar (MEA)


MEA01 Monitorar, Avaliar e Analisar o ME1 Monitorar e Avaliar a Performance de
Desempenho e Conformidade TI
MEA02 Monitorar, Avaliar e Analisar o ME2 Monitorar e Avaliar Controle Interno
Sistema de Controle Interno ME4 Fornecer Governana de TI
MEA03 Monitorar, Avaliar e Analisar a
ME3 Assegurar Conformidade Regulatria
Conformidade com Requisitos Externos
Tabela 14 COBIT 5 x COBIT 4.1: Domnio MEA. Fonte: COBIT 5: Enabling Process, p. 217, 2012 ISACA[9]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 56


Apostila de COBIT 5 v1.2

ANEXO V: Descrio do Processo BAI06: Gerenciar Mudanas

Tabela 15 Processo BAI06 Gerenciar Mudanas Fonte: COBIT 5: Enabling Process, p. 149, 2012 ISACA [9]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 57


Apostila de COBIT 5 v1.2

Tabela 16 Processo BAI06 Gerenciar Mudanas (cont.) Fonte: COBIT 5: Enabling Process, p. 150, 2012 ISACA
[9]

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 58


Apostila de COBIT 5 v1.2

REFERNCIAS BIBLIOGRFICAS

[1] International Organization for Standardization. ISO/IEC 38500 Corporate governance of


information technology. ISO, 2008, 22p.

[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.

[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf

[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012

[5] PwC. Por que conhecer o COBIT 5.


Acesso em: www.pwc.com.br/

[6] GAEA. Compreendendo os principais conceitos do COBIT 5.


Acesso em: http://www.gaea.com.br/cms/compreendendo-os-principais-conceitos-do-COBIT -
5-parte-v/

[7] ISACA. Comparing COBIT 4.1 and COBIT 5.


Acesso em: http://www.isaca.org/COBIT /Documents/Compare-with-4.1.pdf

[8] Gentil, Frederico A. S., Novidades do COBIT 5.


Acesso em: http://fredgentil.com.br/artigos/novidades-do-COBIT -5/

[9] ISACA. COBIT 5: Enabling Process. USA, 2012.

[10] BRASIL. Lei n 12.965/2014, de 23 de abril de 2014. Estabelece princpios, garantias,


direitos e deveres para o uso da Internet no Brasil.
Acesso em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

[11] CGI.br. O CGI.br e o Marco Civil da Internet. Acesso em: http://www.cgi.br

[12] COBIT 5: Modelo Corporativo para Governana e Gesto de TI da Organizao, USA,


2012

[13] COBIT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo?,
Bridge Consulting, 2013. Acesso em: http://www.blog.bridgeconsulting.com.br/wp-
content/uploads/2013/09/CobiT_5_Avalia%C3%A7%C3%A3o_de_Maturidade.pdf

[14] COBIT Process Assessment Model (PAM): Using COBIT 4.1. USA, 2011.

[15] IINF326 - Modelos de Qualidade de SW - Mario L. Crtes. Acesso em:


http://www.ic.unicamp.br/~cortes/inf326/transp/cap7.pdf

[16] COBIT 5: Apresentao do novo framework da ISACA, Bridge Consulting, 2013. Acesso
em: http://www.blog.bridgeconsulting.com.br/wp-
content/uploads/2013/02/Apresenta%C3%A7%C3%A3o-do-CobiT-5.pdf

Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 59