Escolar Documentos
Profissional Documentos
Cultura Documentos
Apostila Cobit 5 - V1.2 - Errata
Apostila Cobit 5 - V1.2 - Errata
COBIT 5
Framework de Governana e Gesto
Corporativa de TI
Luzia Dourado
Janeiro, 2015
http://lmdourado.wordpress.com
Ol, entusiastas de governana de TI!
Eis que disponibilizo mais uma verso da apostila de COBIT 5 para auxiliar
nos estudos!
Fora, Foco e F!
Janeiro, 2015
lmdourado@hotmail.com
COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e
marcas registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com
finalidade de ensino, em benefcio exclusivo do dono da marca, sem inteno de infringir suas regras de
utilizao.
Apostila COBIT 5 de Luzia Dourado est licenciado com uma Licena Creative Commons - Atribuio-
CompartilhaIgual 4.0 Internacional.
Sumrio
1. INTRODUO ........................................................................................................................ 3
2. O QUE H DE NOVO? ............................................................................................................ 8
3. EVOLUO........................................................................................................................... 10
4. PRINCPIOS .......................................................................................................................... 11
Princpio 1. Atender as necessidades das partes interessadas (stakeholders) ....................... 12
Princpio 2. Cobrir a organizao de ponta a ponta ................................................................ 14
Princpio 3. Aplicar um framework nico e integrado ............................................................ 16
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 17
Princpio 5. Distinguir a governana de gesto ....................................................................... 21
5. MODELO DE REFERNCIA DE PROCESSOS........................................................................... 22
6. GUIA DE IMPLEMENTAO ................................................................................................. 26
Criar o ambiente apropriado ................................................................................................... 27
Reconhecer os pontos de dor (pain points) e eventos desencadeadores (trigger events) .... 27
Elaborar caso de negcios (business case) ............................................................................. 28
Ciclo de Vida de Implementao............................................................................................. 29
7. MODELO DE CAPACIDADE DE PROCESSOS ......................................................................... 31
Diferenas entre o Modelo de Maturidade COBIT 4.1 e o Modelo de Capacidade COBIT 5 .. 31
Modelo de Maturidade COBIT 4.1 ...................................................................................... 31
Modelo de Maturidade COBIT 5 ......................................................................................... 32
Diferenas na Prtica............................................................................................................... 38
Benefcios das Mudanas ........................................................................................................ 40
8. PRINCIPAIS DIFERENAS DO COBIT 5 COM RELAO AO COBIT 4.1 .................................. 41
ANEXO I: Cascata de Objetivos do COBIT 5 ................................................................................. 43
ANEXO II: Exemplo de Habilitador: Processos ............................................................................ 48
ANEXO III: Domnios e Processos ................................................................................................ 49
ANEXO IV: Mapeamento de processos COBIT 5 X COBIT 4.1 ...................................................... 56
ANEXO V: Descrio do Processo BAI06: Gerenciar Mudanas .................................................. 58
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 60
1. INTRODUO
Segundo a norma, Avaliar (Evaluate) significa que os dirigentes devem avaliar o uso
atual e futuro da TI, incluindo as estratgias, propostas e arranjos de fornecimento (interno,
externo ou ambos). Na avaliao do uso da TI, convm que os dirigentes considerem as
presses externas e internas que influenciam o negcio (mudanas tecnolgicas, tendncias
econmicas e sociais e influncias polticas), e levem em conta as necessidades atuais e futuras
do negcio.
O COBIT 5, desenvolvido e difundido pelo ISACA (Information System Audit and Control)
e lanado no final de 2012, um framework de governana e gesto corporativa de TI.
COBIT 4.1;
Val IT, que pode ser usado para criar valor para o negcio por meio de
investimentos de TI, sendo constitudo por um conjunto de princpios
orientadores e conjunto de processos e melhores prticas para apoiar e ajudar a
gesto executiva em nvel empresarial;
Risk IT, dedicado a auxiliar no gerenciamento de riscos relacionados a TI;
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 5
Apostila de COBIT 5 v1.2
Business Model for Information Security (BMIS), que uma abordagem holstica
e orientada ao negcio para a gesto de segurana da informao;
IT Assurance Framework (ITAF), um modelo que fornece orientaes sobre a
concepo, realizao e relatrio de auditoria de TI, definindo termos e
conceitos especficos para garantia de TI;
Taking Governance Forward (TGF);
Board Brieng on IT Governance 2nd Edition, que apresenta uma descrio
abrangente dos conceitos de governana de TI como um livreto de referncia ou
como uma ferramenta para educar o board e a gerncia executiva.
Alm disso, ele se conecta, quando pertinente, alinha-se a outros importantes padres e
modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The
Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge
(PMBOK), PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring
Organizations of the Treadway Commission (COSO) e International Organization for
Standardization (ISO).
Permitir que mais partes interessadas falem sobre o que eles esperam da
tecnologia da informao e tecnologias relacionadas (que benefcios e em qual
nvel de risco aceitvel e a qual custo) e quais so suas prioridades para garantir
que o valor esperado seja efetivamente obtido;
Abordar a questo da dependncia cada vez maior para o sucesso da
organizao em parceiros externos de TI e de negcios tais como terceirizadas,
fornecedores, consultores, clientes, provedores de servios na nuvem e demais
servios;
Tratar a quantidade de informao, que tem aumentado significativamente;
Administrar TI cada vez mais pervasiva; TI cada vez mais uma parte integrante
do negcio;
2. O QUE H DE NOVO?
A principal novidade do COBIT 5 que ele est focado em governana corporativa de TI,
deixando claro a distino entre governana e gesto, a fim de se aumentar a utilizao
corporativa deste framework, ressaltando o papel da alta administrao nas tomadas de
decises de TI.
O COBIT 5 permite que a TI seja governada e gerida de forma holstica para toda a
organizao, abrangendo o negcio de ponta a ponta bem como todas as reas responsveis
pelas funes de TI, levando em considerao os interesses internos e externos relacionados
com TI. O framework genrico e til para organizaes de todos os portes, sejam comerciais,
sem fins lucrativos ou pblicas.
Sumrio Executivo
Componentes e estruturas
5 princpios, descritos cada um em um captulo distinto
Viso dos 7 habilitadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos
1
Enabler = viabilizador, facilitador, habilitador.
2
Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 8
Apostila de COBIT 5 v1.2
Qtde. de
rea Domnios
Processos
Governana 5 Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
Gesto 32 Alinhar, Planejar e Organizar (Align, Plan and Organise - APO);
Construir, Adquirir e Implementar (Build, Acquire and Implement
- BAI);
Entregar, Servios e Suporte (Deliver, Service and Support - DSS)
Monitorar, Avaliar e Analisar (Monitor, Evaluate and Assess -
MEA)
COBIT 5 :
Focado em governana corporativa de TI
Deixa clara a distino entre governana e gesto
Fundamentado em 5 princpios de governana corporativa de TI
Baseado em um conjunto holstico de 7 enablers (ou habilitadores)
Possui 37 processos de TI divididos em domnios de processo de
governana e de gesto
3. EVOLUO
O COBIT surgiu, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e conformidade (compliance). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa. A figura 2 exibe um resumo da evoluo do COBIT.
4. PRINCPIOS
3
Enabler = viabilizador, facilitador, habilitador
Figura 4 - Objetivo da Governana. Fonte: COBIT 5, pag. 19, 2012 ISACA [12]
Criao de Valor
Para cada deciso de governana, as seguintes questes podem e devem ser feitas:
Para isso, como pode ser visto na figura 5, h um mecanismo denominado Cascata de
Objetivos do COBIT 5 com a finalidade de desdobrar:
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 12
Apostila de COBIT 5 v1.2
Mais detalhes sobre a Cascata de Objetivos do COBIT 5 pode ser visto no Anexo I.
Sistema de Governana
Vale ressaltar que o COBIT 5 fornece, para cada processo, matrizes RACI4, em que
esto includos papeis relacionados a TI e ao negcio.
Figura 7 - Papis, Atividades e Relacionamentos. Fonte: COBIT 5, p. 26, 2012 ISACA [12]
4
Matriz RACI define o Responsvel, Aprovador, Consultado e Informado em relao a uma tarefa.
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 15
Apostila de COBIT 5 v1.2
COBIT 5 (o framework)
Guia de habilitadores do COBIT 5, no qual os habilitadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Habilitador Processos (Enabling Processes)
o COBIT 5: Habilitador Informao (Enabling Information)
o Outros guias habilitadores
Guias profissionais do COBIT 5, que incluem:
o COBIT 5 Implementao
o COBIT 5 para Segurana da Informao
o COBIT 5 para Garantia (Assurance)
o COBIT 5 para Risco
o Outros guias profissionais
Um ambiente colaborativo on-line, que disponibilizado para apoiar o uso do COBIT 5
Habilitadores (enablers)
Habilitadores
Assim, ao tratar da governana e gesto corporativa de TI, boas decises podem ser
tomadas somente quando a natureza sistmica dos arranjos de governana e gesto for
considerada. Isto significa que, para tratar de qualquer necessidade das partes interessadas, a
referncia de todos os habilitadores inter-relacionados deve ser analisada e tratada, se
necessrio. Esta mentalidade deve ser orientada pela alta administrao da organizao.
Dimenses de habilitadores
As duas primeiras questes lidam com o resultado real do habilitador e os indicadores usados
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do habilitador e
os indicadores para medir se os objetivos sero atingidos podem ser chamadas de
"indicadores de desempenho (lead indicators).
COBIT 5 torna clara a distino entre governana e gesto. Essas duas reas abrangem
diferentes tipos de atividades, exigem diferentes estruturas organizacionais e servem a
propsitos diferentes. O ponto de vista do COBIT 5 sobre esta fundamental distino entre
governana e gesto :
Governana
Gesto
Processos de Governana
Contm 1 domnio Avaliar, Dirigir e Monitorar (Evaluate, Direct and Monitor - EDM)
com 5 processos de governana. Estes processos ditam as responsabilidades da alta direo
para a avaliao, direcionamento e monitorao do uso dos ativos de TI para a criao de
valor. Este domnio cobre a definio de um framework de governana, o estabelecimento das
responsabilidades em termos de valor para a organizao (ex. critrios de investimento),
fatores de risco (ex. apetite ao risco) e recursos (ex. otimizao de recursos), alm da
transparncia da TI para as partes interessadas [6].
Processos de Gesto
O domnio APO diz respeito identificao de como a TI pode contribuir melhor com
os objetivos corporativos. Processos especficos do domnio APO esto relacionados
O domnio DSS se refere entrega dos servios de TI necessrios para atender aos
planos tticos e estratgicos. O domnio inclui processos para gerenciar operaes,
requisies de servios e incidentes, assim como o gerenciamento de problemas,
continuidade, servios de segurana e controle de processos de negcio. Contm 6
processos. [6]
Estrutura de Processos
Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.
Matriz RACI uma sugesto de atribuio de nvel de responsabilidade por prticas de
processos para diferentes funes e estruturas.
Descrio detalhada de prticas de processo para cada prtica:
Ttulo da Prtica e descrio;
Entradas e sadas da prtica, com indicao de origem e destino;
As atividades de processo, detalhando ainda mais as prticas;
Guias relacionados (related guidance): associa cada processo do COBIT a outros
frameworks que podem ser usados para implementar o processo.
Como exemplo, veja o Anexo IV que contm a descrio do processo BAI06: Gerenciar
Mudanas.
6. GUIA DE IMPLEMENTAO
Antes da implementao cada organizao precisa desenvolver seu prprio road map
ou plano de implementao, levando em considerao o seu contexto, ou seja, fatores do
ambiente interno e externo especfico da organizao, tais como:
tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana
Plano de negcios (business plan) e intenes estratgicas
Modelo de funcionamento e nvel de maturidade
Estilo de gesto
Apetite ao risco
Capacidades e recursos disponveis
Prticas da indstria
Uma das melhores maneiras de obter esse patrocnio e formalizar essa implementao,
fornecendo um mecanismo para os executivos e para o conselho de administrao (board)
monitorar e direcionar a TI estabelecer um Comit Estratgico e Executivo de TI. Este comit
atua em nome do conselho de administrao (para o qual deve prestar contas) e responsvel
por definir como a TI utilizada dentro da organizao e por tomar decises importantes
relacionadas com TI que afetam a organizao. Este comit precisa ser presidido por um
executivo de negcio (idealmente um membro do board) e ter como membros
representantes das principais reas de negcio da organizao, alm do CIO ou diretor de TI.
Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear aes de governana e gesto corporativa de TI, ou seja, que
faz a TI atuar em resposta a esses eventos. Exemplos de evento de gatilho (trigger events) so:
Fase 3 Onde queremos estar?: um objetivo de melhoria definido e seguido por uma
anlise mais detalhada para identificar as lacunas e as possveis solues. Devem ser
priorizadas as iniciativas que so mais fceis de realizar e as susceptveis de produzir os
maiores benefcios.
Fase 4 O que precisa ser feito?: planeja solues prticas por meio da definio de
projetos apoiados por casos de negcios justificveis. Um plano de mudana para execuo
tambm desenvolvido. Um caso de negcio bem desenvolvido ajuda a garantir que os
benefcios do projeto so identificados e monitorados.
Este modelo vai alcanar os mesmos objetivos gerais de avaliao do processo e suporte
a melhoria de processos, ou seja, ele proporcionar meios para medir o desempenho de
qualquer um dos processos de governana (baseados em EDM) ou processos de gesto
(baseados em PBRM) e permitir a identificao das reas que precisam ser melhoradas.
Embora esta abordagem fornea informaes valiosas sobre o estado dos processos,
vale lembrar que processos so apenas um dos sete habilitadores de governana e gesto.
Por consequncia, as avaliaes de processo no iro fornecer um quadro completo sobre o
estado de governana de uma organizao. Para isso, os outros habilitadores precisam ser
avaliados tambm!
Em primeiro lugar, uma avaliao dever ser realizada para confirmar se os objetivos
de controle do processo foram atingidos;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos aplicveis para cada processo e que ajudam na obteno de uma viso mais
detalhada do nvel de maturidade dos processos;
Nveis de capacidade
Cada nvel de capacidade s pode ser alcanado quando o nvel inferior for
plenamente alcanado!
Por exemplo, uma capacidade de processo nvel 3 (Processo Estabelecido), exige que os
atributos Definio de Processos e Implementao do Processo sejam amplamente realizados,
alm da plena realizao dos atributos do nvel de capacidade 2 (Processo Gerenciado).
Atributos de processo
Vale destacar que o nvel 1 apresenta um mtodo de avaliao diferente dos demais. O
Atributo PA 1.1 Execuo do Processo utiliza prticas e produtos de trabalho (artefatos
associados execuo do processo) especficos de cada processo, enquanto os demais
atributos se baseiam em prticas e produtos de trabalho genricos aplicveis a todos os
processos [13].
Portanto, para o alcance do nvel 2, por exemplo, preciso que o PA 2.1 e PA 2.2 sejam
avaliados como F ou L e o PA 1.1 seja avaliado como F (figura 16). [13]
Diferenas na Prtica
Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para
descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.
Maior nfase no processo que est sendo realizado para confirmar que est
efetivamente alcanando seus objetivos e os resultados esperados.
Simplificao do contedo por meio da eliminao da duplicao, porque a
avaliao do modelo de maturidade do COBIT 4.1 exigia o uso de diversos
componentes especficos, inclusive o modelo de maturidade genrico, modelos
de maturidades do processo, objetivos de controle e controles de processo para
apoiar a avaliao do processo.
Maior confiabilidade e repetitividade das atividades e anlises da avaliao da
capacidade do processo, reduzindo debates e desentendimentos entre as partes
interessadas em relao aos resultados da avaliao.
Maior uso dos resultados da avaliao da capacidade do processo, visto que o
novo modelo estabelece uma base para a realizao de avaliaes mais
rigorosas e formais, tanto para finalidades internas como externas em potencial.
Conformidade com um padro de avaliao de processo geralmente aceito e,
portanto, um forte apoio abordagem de avaliao do processo no mercado.
O COBIT 5 trouxe uma srie de mudanas em relao ltima verso, o CobiT 4.1. A
tabela abaixo apresenta as principais diferenas entre as verses [7][16]:
O alcance dos objetivos corporativos exige uma srie de resultados relacionados a TI5,
que so representados pelos objetivos relacionados a TI. COBIT 5 define 17 objetivos
relacionados a TI, , conforme apresentado na figura 19:
5
Os resultados de TI no so obviamente o nico benefcio intermedirio necessrio para a consecuo
dos objetivos corporativos. Todas as demais reas funcionais de uma organizao, tais como finanas e
marketing, tambm contribuem para a consecuo dos objetivos corporativos, mas no contexto do
COBIT 5 somente as atividades e os objetivos de TI so considerados
Luzia Dourado lmdourado.wordpress.com lmdourado@hotmail.com 46
Apostila de COBIT 5 v1.2
Informao
Servios, infraestrutura e aplicaes
Pessoas, habilidades e competncias
Partes Interessadas: como pode ser visto na figura 20, partes interessadas do processo
incluem todos os atores do processo, ou seja, todas as partes que so responsveis, pra o qual
so prestadas contas, consultadas e informadas (RACI) para as atividades do processo. Por isso,
a matriz RACI para cada processo descrita no COBIT 5: Enabling Process pode ser utilizada.
Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.
Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.
Tabela 15 Processo BAI06 Gerenciar Mudanas Fonte: COBIT 5: Enabling Process, p. 149, 2012 ISACA [9]
Tabela 16 Processo BAI06 Gerenciar Mudanas (cont.) Fonte: COBIT 5: Enabling Process, p. 150, 2012 ISACA
[9]
REFERNCIAS BIBLIOGRFICAS
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.
[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf
[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012
[13] COBIT 5 Como avaliar a maturidade dos processos de acordo com o novo modelo?,
Bridge Consulting, 2013. Acesso em: http://www.blog.bridgeconsulting.com.br/wp-
content/uploads/2013/09/CobiT_5_Avalia%C3%A7%C3%A3o_de_Maturidade.pdf
[14] COBIT Process Assessment Model (PAM): Using COBIT 4.1. USA, 2011.
[16] COBIT 5: Apresentao do novo framework da ISACA, Bridge Consulting, 2013. Acesso
em: http://www.blog.bridgeconsulting.com.br/wp-
content/uploads/2013/02/Apresenta%C3%A7%C3%A3o-do-CobiT-5.pdf