Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila COBIT 5 v1.1
Apostila COBIT 5 v1.1
COBIT 5
Framework de Governana e Gesto
Corporativa de TI
Luzia Dourado
Maio, 2014
Apostila de COBIT 5 v1.1
Caros concurseiros!
Fora, Foco e F!
Luzia Dourado.
lmdourado@hotmail.com
COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e marcas
registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com finalidade de
ensino, em benefcio exclusivo do dono da marca, sem inteno de infringir suas regras de utilizao.
Sumrio
INTRODUO ................................................................................................................................ 1
PRINCIPAIS NOVIDADES DO COBIT 5............................................................................................. 3
EVOLUO DO COBIT 5 ................................................................................................................. 5
PRINCPIOS DO COBIT 5................................................................................................................. 5
Princpio 1. Atender as necessidades dos stakeholders............................................................ 6
Princpio 2. Cobrir a organizao de ponta a ponta .................................................................. 8
Princpio 3. Aplicar um framework nico e integrado .............................................................. 9
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 11
Princpio 5. Separar a governana de gesto .......................................................................... 14
MODELO DE REFERNCIA DE PROCESSOS DO COBIT 5 ............................................................... 15
Estrutura de Processos ............................................................................................................ 17
GUIA DE IMPLEMENTAO DO COBIT 5 ..................................................................................... 18
Ciclo de Vida de Implementao............................................................................................. 20
MODELO DE CAPACIDADE DE PROCESSOS ................................................................................. 22
Diferenas entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade do COBIT
5 ............................................................................................................................................... 23
PRINCIPAIS MUDANAS DO COBIT 5 COM RELAO AO COBIT 4.1 ........................................... 28
ANEXO I: COBIT 5 Goals Cascade ................................................................................................ 31
ANEXO II: Exemplo de Viabilizador: Processos ........................................................................... 35
ANEXO III: DOMNIOS E PROCESSOS DO COBIT 5 ....................................................................... 36
ANEXO IV: Descrio do Processo BAI06: Gerenciar Mudanas ................................................. 42
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 44
INTRODUO
A norma orienta que os diretores da organizao governem a TI por meio de trs tarefas
principais:
Segundo a norma, Avaliar (Evaluate) significa que os diretores devem avaliar o uso atual
e futuro da TI, incluindo as estratgias, propostas e arranjos de fornecimento (interno, externo
ou ambos).
A Gesto de TI, conforme definido pela ISO/IEC 38500 o sistema de controles e processos
necessrios para alcanar os objetivos estratgicos estabelecidos pela direo da
organizao [1]. A gesto de TI implica a utilizao sensata de meios (recursos, pessoas,
processos, prticas) pra alcanar um objetivo. Atua no planejamento, construo, organizao
e controle das atividades operacionais e se alinha com a direo definida pela organizao.
O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit and Control)
e lanado no final de 2012, um framework de governana e gesto corporativa de TI.
Alm disso, ele se alinha a outros padres de mercado como Information Technology
Infrastructure Library (ITIL), International Organization for Standardization (ISO), Body Project
Management of Knowledge (PMBOK), PRINCE2 e The Open Group Architecture
Framework (TOGAF).
O COBIT 5 ajuda as organizaes a criar valor para TI, mantendo o equilbrio entre a
realizao de benefcios e a otimizao dos nveis de risco e o uso de recursos. Tem como
objetivos:
Como esses benefcios podem ser obtidos a fim de criar valor para os
stakeholders (partes interessadas) das organizaes?
A entrega de valor para os stakeholders requer uma boa governana e gesto dos
ativos de informao e de tecnologia. Para se obter essa governana, os Conselhos de
administrao, executivos e gestores devem tratar a TI como qualquer outra parte
significante do negcio.
A principal novidade do COBIT 5 que ele est focado em governana corporativa de TI,
deixando claro a distino entre governana e gesto, a fim de se aumentar a utilizao
corporativa deste framework, ressaltando o papel da alta administrao nas tomadas de
decises de TI.
Sumrio Executivo
Componentes e estruturas
5 princpios, em que cada princpio descrito em um captulo
Viso dos 7 viabilizadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos
1
Enabler = viabilizador, facilitador, habilitador
EVOLUO DO COBIT 5
O COBIT comeou, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e compliance (conformidade). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa.
PRINCPIOS DO COBIT 5
As organizaes existem para criar valor para os stakeholders, ou seja, para todas as
partes interessadas (acionistas, auditores, fornecedores, consultores, alta administrao, etc).
A criao de valor significa obter benefcios por meio da otimizao do uso de recursos
e dos riscos a um nvel aceitvel. Esse o objetivo da governana! Para cada stakeholder, a
criao de valor pode representar interesses diferentes e algumas vezes conflitantes.
Para cada deciso de governana, as seguintes questes podem e devem ser feitas:
Mais detalhes sobre o COBIT 5 Goals Cascade pode ser visto no Anexo I.
Sistema de Governana
Vale ressaltar que o COBIT 5 fornece, para cada processo, matrizes RACI de
responsabilidade, em que esto includos papeis relacionados a TI e ao negcio.
Figura 8 - Padres cobertos pelo COBIT 5. Fonte: COBIT 5, Figura 25, 2012 ISACA
COBIT 5 (o framework)
COBIT 5 Enabler Guides, no qual os viabilizadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Enabling Processes
o COBIT 5: Enabling Information
o Outros guias enabler
COBIT 5 Professional Guides, que incluem:
o COBIT 5 Implementation
o COBIT 5 for Information Security
Viabilizadores (enablers)
Dimenses de viabilizadores
As duas primeiras questes lidam com o resultado real do viabilizador e as mtricas usadas
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do viabilizador e
as mtricas para medir se os objetivos sero atingidos podem ser chamadas de "indicadores
de desempenho (lead indicators).
COBIT 5 torna clara a distino entre governana e gesto. Essas duas reas abrangem
diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a
propsitos diferentes.
Figura 12 - reas chave de governana e gesto. Fonte: COBIT 5, Figura 15, 2012 ISACA
Processos de Governana
Processos de Gesto
O domnio APO diz respeito identificao de como a TI pode contribuir melhor com
os objetivos de negcio. Processos especficos do domnio APO esto relacionados com
a estratgia e tticas de TI, arquitetura corporativa, inovao e gerenciamento de
portflio, oramento, qualidade, riscos e segurana. Contm 13 processos. [6]
O domnio DSS se refere entrega dos servios de TI necessrios para atender aos
planos tticos e estratgicos. O domnio inclui processos para gerenciar operaes,
requisies de servios e incidentes, assim como o gerenciamento de problemas,
continuidade,servios de segurana e controle de processos de negcio. Contm 6
processos. [6]
Figura 13 - Modelo de Referncia de Processos. Fonte: COBIT 5, Figura 16, 2012 ISACA
Estrutura de Processos
Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 17
Apostila de COBIT 5 v1.1
Como exemplo, veja o Anexo IV que contm a descrio do processo BAI06: Gerenciar
Mudanas.
tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana
Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear um foco na governana e gesto corporativa de TI. Exemplos
de evento de gatilho (trigger events) so:
O ciclo de vida possui 7 fases como est ilustrado na figura abaixo [4]:
Figura 14 - Fases do Ciclo de Vida. Fonte: COBIT 5, Figura 17, 2012 ISACA
Fase 3: um meta de melhoria definida e seguida por uma anlise mais detalhada para
identificar as lacunas e as possveis solues. Deve ser dada prioridade s iniciativas que so
mais fceis de realizar e as susceptveis de produzir os maiores benefcios.
Fase 4: planeja solues prticas atravs da definio de projetos apoiados por casos de
negcios justificveis. Um plano de mudana para execuo tambm desenvolvido. Um caso
de negcio bem desenvolvido ajuda a garantir que os benefcios do projeto so identificados e
monitorados.
Este modelo vai alcanar os mesmos objetivos gerais de avaliao do processo e suporte
a melhoria de processos, ou seja, ir fornecer um meio de mensurar o desempenho de
qualquer um dos processos de governana ou de gesto.
Embora esta abordagem fornea informaes valiosas sobre o estado dos processos,
vale lembrar que processos so apenas um dos sete viabilizadores de governana e gesto.
Por consequncia, as avaliaes de processo no iro fornecer um quadro completo sobre o
estado de governana de uma organizao. Para isso, os outros viabilizadores precisam ser
avaliados tambm.
Em primeiro lugar, uma avaliao precisa ser feita se os objetivos de controle para o
processo forem cumpridas;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos que so aplicveis para cada processo e que ajudam na obteno de uma
viso mais detalhada sobre o nvel de maturidade dos processos;
Controles de processos so objetivos de controle genrico que tambm precisam ser
revistos quando uma avaliao do processo realizada. Controles de processos se
sobrepem parcialmente com os atributos do modelo de maturidade genrico.
Figura 15 - Modelo de Maturidade do COBIT 4.1. Fonte: : COBIT 5, Figura 18, 2012 ISACA
Figura 16 - Modelo de Capacidade de Processos. Fonte: COBIT 5, Figura 19, 2012 ISACA
Cada nvel de capacidade s pode ser alcanado quando o nvel inferior for
plenamente alcanado. Por exemplo, uma capacidade de processo nvel 3 (Processo
Estabelecido), exige que os atributos Definio de Processos e Implementao do Processo
sejam amplamente realizados, alm da plena realizao dos atributos do nvel de capacidade 2
(Processo Gerenciado).
Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para
descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.
Comparao Tabela de Nveis de Maturidade (COBIT 4.1) Nveis de Capacidade de Processo (COBIT 5)
COBIT 4.1 COBIT 5
Nvel 5: Processo Otimizado - processos so Nvel 5: Processo em Otimizao - o nvel 4 Processo
refinados ao nvel de boa prtica, baseados nos Previsvel continuamente melhorado para atender
resultados de melhoria contnua. A TI utilizada de metas de negcio atuais e projetadas.
forma integrada para automatizar o fluxo de trbalho,
fornecendo ferramentas para melhorar a qualidade
e efetividade, fazendo com que a organizao seja
rpida para se adaptar.
Nvel 4: Gerenciado e Mensurvel - gerenciamento Nvel 4: Processo Previsvel - o nvel 3 Processo
monitora e mede conformidade com procedimentos Estabelecido agora opera dentro de limites definidos
e toma aes onde processos parecem no funcionar para alcanar seus resultados de processo.
efetivamente. Processos esto sob melhoria
constante e fornecem boa prtica. Automao e
ferramentas so usadas de forma limitada ou
fragmentada.
Nvel 3: Processo Definido - procedimentos so Nvel 3: Processo Estabelecido - o nvel 2 Processo
padronizados, documentados e comunicados por Gerenciado agora implementado usando um
meio de treinamento. obrigtorio que estes processo definido que capaz de alcanar seus
processos sejam seguidos; entretanto, pouco resulados de processo.
provvel que desvios sejam detectados. Os prprios
procedimentos no so sofisticados, mas so a
formalizao de prticas existentes.
Nvel 2: Processo Gerenciado - o nvel 1 Processo
Realizado agora implementado de forma gerenciada
(planejado, monitorado e ajustado) e seus produtos de
trabalho so estabelecidos, controlados e mantidos
apropriadamente.
Nvel 2: Repetvel mas Intuitivo - processos so Nvel 1: Processo Realizado - o processo
desenvolvidos de forma que procedimentos implementado alcana seu propsito de processo.
similiares so seguidos por pessoas diferentes que
esto executando a mesma tarefa. No h
treinamento ou comunicao formal de
procedimentos padronizados e a responsabilidade
deixada a cargo do indivduo. H um alto grau de Obs.: possvel que algum processo classificado como
confiana no conhecimento dos indivduos e, nvel 1 seja classificado como nvel 0 de acordo com a
portanto, erros podem ocorrer. ISO/IEC 15504, se o resultado do processo no for
Nvel 1: Inicial/Ad-hoc - h evidncia que a alcanado.
organizao reconheceu que questes existem e
precisam ser tratadas. No h, entretanto, nenhum
processo padronizado; em vez disto, existem
abordagens ad hoc que tendem a ser aplicadas por
indivduos. A abordagem geral de gerenciamento
desorganizada.
Nvel 0: No existente - completa falta de qualquer Nvel 0: Processo Incompleto - o processo no
processo reconhecvel. A organizao ainda no implementado ou no consegue alcanar seu propsito
reconheceu que existe uma questo a ser tratada.
Tabela 1 - Comparao Niveis de Maturidade COBIT 4 x Nveis de Capacidade COBIT 5
COBIT 5 consolida COBIT 4.1, Val IT e Risk IT em um nico framework e est atualizado
para se alinhar com as melhores prticas atuais-por exemplo, ITIL, TOGAF.
Outra mudana visvel do COBIT 5 ocorre nos domnios e processos [8]. Na verso 4.1
havia quatro domnios e 34 processos. Na verso 5, h cinco domnios e 37 processos.
COBIT 5 introduz cinco novos processos de governana no domnio EDM (Avaliar, Dirigir
e Monitorar), sendo os outros quatro domnios sofreram mudana com relao ao COBIT 4.1 e
esto definidos como processos de gesto, conforme tabela abaixo [8]:
10 processos 13 processos
7 processos 10 processos
13 processos 6 processos
4 processos 3 processos
Figura 17 - Comparativo COBIT 4.1 x COBIT 5
5. Prticas e atividades
6. Objetivos e Mtricas
COBIT 5 segue os mesmos conceitos de objetivos e mtricas do COBIT 4.1, Val IT e Risk
IT.
7. Entradas e sadas
COBIT 5 prov entradas e sadas para cada prtica de gesto, enquanto o COBIT 4.1
prov somente no nvel de processo. Isso fornece um guia mais detalhado para o desenho dos
processos.
8. Matriz RACI
telecomunicaes, que proveem o acesso Internet, podem ter uma oferta diversificada de
banda, mas no podem bloquear ou limitar a velocidade de trfego, dentro do pacote de
banda contratado, para determinados aplicativos, sites ou contedos na rede [11]. Alm disso,
a lei determina que as operadoras devero garantir a qualidade contratada da conexo
internet.
O alcance dos objetivos de negcio exige uma srie de resultados relacionados a TI, que
so representados pelos objetivos relacionados a TI. COBIT 5 define 17 objetivos relacionados
a TI, fornecendo exemplos de mtricas para mensurar cada um dos objetivos. As mtricas dos
objetivos de TI podem ser vistas no detalhamento do viabilizador Processos. A lista de
objetivos de TI exibida na figura abaixo:
Figura 21 - Viabilizador Processos. Fonte: Fonte: COBIT 5, Figura 29, 2012 ISACA
Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.
Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.
Mantm a disponibilidade de conhecimento relevante, atual, validado e confivel para suportar todas
as atividades do processo e facilitar a tomada de deciso. Plano para a identificao, coleta,
BAI08 Gerenciar o Conhecimento organizao, manuteno, utilizao e retirada de conhecimento.
Gerencia os ativos de TI atravs de seu ciclo de vida para assegurar que seu uso agrega valor a um
custo ideal. Os ativos permanecem operacionais e fisicamente protegidos e aqueles que so
BAI09 Gerenciar os Ativos fundamentais para apoiar a capacidade de servio so confiveis e disponveis.
Define e mantm as descries e as relaes entre os principais recursos e as capacidades necessrias
para prestar servios de TI, incluindo a coleta de informaes de configurao, o estabelecimento de
linhas de base, verificao e auditoria de informaes de configurao e atualizar o repositrio de
BAI10 Gerenciar a Configurao configurao.
REFERNCIAS BIBLIOGRFICAS
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.
[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf
[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012