Governança, Gestão, Riscos, Compliance

e Valor - GMRCV

COBIT 5
16 de Setembro 2011

Ian Lawrence Webster, CGEIT, CRISC

Presidente
ISACA Capítulo Brasília
COBIT 5

O COBIT ® 5 é um grande avanço estratégico,

atualizando a nova geração de frameworks da ISACA no
que diz respeito ao assunto Governança Corporativa de TI.

Baseado em mais de 15 anos de uso prático e aplicação do

COBIT por muitas empresas e usuários de negócio, de TI,
de segurança e comunidades de auditoria, o COBIT 5 está
sendo projetado para atender as atuais necessidades dos
dirigentes de negócio e permanecer alinhado com os
atuais pensamentos em Governança Corporativa e as
técnicas de Gestão de TI.
COBIT 5 - Objetivos
Prover a renovação e fortalecimento do
COBIT 4.1 Control
framework de governança e gestão das
Objectives Mapear
informações da organização e tecnologia
relacionada, aproveitando o framework
COBIT já aceito mundialmente, linkando,
Val IT 2 Key Management Mapear reforçando, integrando e consolidando
Practices todos os principais frameworks e guias
da ISACA
Mapear
Risk IT Management COBIT 5 Management &
Practices Governance Practices

Business Model for Taking Governance Forward

Information Security - Mapear
BMIS Board Briefing

Information Technology
Mapear
Assurance Framework -
ITAF
Estrutura de Governança e
Gestão
•Um framework ―ponto-ao-ponto‖ para todo o Negócio,
endereçando a governança e a gestão da informação das
tecnologia relacionadas.

•O Framework, COBIT 5: Guia de Referencia de

Processos e Guia de Implementação.

•Por essa razão, o framework do COBIT 5 deixa claro a

distinção entre governança e gestão.

•As duas disciplinas incluem os tipos de atividades que

necessitam de diferentes estruturas organizacionais e
servem a propósitos diferentes.
Governança e Gestão
Governança
• O termo ‘Governança’ é
derivado do verbo Grego
―Kubernáo‖ significando ‗para
dirigir‘.
• Governança refere-se a todas
possibilidades e mecanismos
que ajudam as múltiplas partes
do négocio a avaliar
condições e opções;
determinando também a direção;
o monitorarmento , a
conformidade, o desempenho e
o progresso, alinhando, desta
forma, os planos e os objetivos
do négocio, visando satisfazer
as metas específicas da
organização.
Gestão
• A Gestão é sempre diferenciada
da governança , ou seja, há
distinção entre ‗comprometido‘
(governança) e ‗envolvido‘
(gestão).
• Gestão implica na utilização
criteriosa de meios (recursos,
pessoas, processos, práticas)
para alcançar um fim
identificado. É um meio ou
instrumento pelo qual o órgão de
administração consegue um
resultado ou objetivo.
• A Gestão atua sobre o
planejamento, construção,
organização e controle das
atividades operacionais e se
alinha com a direção definida
pelo órgão de administração.
Principios COBIT 5

• Principio 1: Cobit 5 Integrator

Framework -architecture
• Principios 2 e 3: Stakeholder
Value‐driven and Business - focused
• Principio 4: Cobit 5 Enablers for
Governance and Management
• Principio 5: Governance - and
Management - structured
COBIT 5 é um framework integrador porque:

• Reune a orientação da ISACA existente em matéria de governança e

gestão de empresas de TI
• Alinha as normas mais recentes com outras normas e estruturas
• Fornece uma arquitetura simples para a estruturação de materiais de
orientação e produz um resultado consistente no produto final
 Arquitetura do COBIT 5
Governance Existing ISACA Other
Stakeholder Objectives: Guidance Standards
Value (COBIT, Val IT, and
Needs (Benefits, Risk, Resource) Risk IT, BMIS, …) Frameworks

COBIT 5
Enablers

Processes

Service Culture,
Capabilities Ethics,
Behaviour

Skills and
Competencies Organisational
Structures

Principles and Information

Policies

COBIT 5 Knowledge Base

 Current guidance and contents

 Structure for future contents

86 Páginas
Knowledge Base
Content Filter

224 Páginas
COBIT 5 Product Family
COBIT 5: The Framework

COBIT 5 Enabler Guides

Other Enabler
COBIT 5 : Process Reference Guide
Guidance

COBIT 5 Practice Guides

COBIT 5 : Framework Implementation
Guide Other Practice
Guides

COBIT 5 for Security

COBIT 5 Online Collaborative Environment

Objetivos da Governança
Val IT, Risk IT, BMIS, ITAF,
Board Briefing,Taking Governance Forward,
ITIL, Padrões ISO

Value Creation (Criação

de valor) significa realizar
benefícios otimizando
custos, recursos e riscos.

Empresas existem
para criar valor para Toda organização atua em um contexto diferente;
seus stakeholders, de este contexto é determinado por fatores externos
modo que o objetivo (mercado, indústria, geopolítica, etc) e fatores
de governança para internos (cultura, organização, apetite pelo risco,
qualquer empresa - etc), isso exige que cada organização construa seu
comercial ou não-é próprio sitema personalizado de governança e
value creation. gestão. A estrutura do COBIT 5, o modelo de gestão
e governança e os modelos Enablers (facilitador) se
aplicam a todos os contextos e facilitam essa
personalização.
 Governança em COBIT 5

Governance Enablers
Governance enablers
são os recursos
organizacionais, tais Governance Scope
como frameworks, A Governança pode
princípios, estrutura, ser aplicada a toda a
processos e práticas, empresa, uma
para o qual ou através entidade, um ativo
do qual ação é dirigida e tangível ou intangível,
objetivos podem ser etc Ou seja, é possível
atingidos. Facilitadores definir diferentes visões
também incluem da empresa em que a
recursos da empresa, governaça é aplicada.
por exemplo,
capacidades de serviço
(infraestrutura de TI,
aplicações, etc),
pessoas e informações.
Governança - Função, Atividades e
Relacionamentos

Os Papéis, Atividades e Relacionamentos

Um quarto elemento se refere aos papéis,

atividades e relacionamentos de governança.
Esse elemento define quem está envolvido na
governança, como eles estão envolvidos, o
que eles fazem e como eles interagem no
âmbito de qualquer sistema de governo. Em
COBIT 5, há diferenciação clara entre
governança e gestão nos domínios da
governança, bem como a diferenciação entre a
interface entre eles e os atores envolvidos.
A proposta dos ―enablers‖
O objetivo do Enablers (facilitadores) é promover a
implementação de um modelo de desempenho e sistema de
gestão da TI corporativa.

Os Facilitadores são amplamente definidos como qualquer coisa

que possa ajudar a alcançar os objetivos de governança das
empresas. Isso inclui recursos, tais como informações e pessoas.
O Framework COBIT 5 enumera sete categorias de facilitadores:

• Processos
• Princípios e políticas
• Estruturas organizacionais
• Habilidades e competências
• Cultura e comportamento
• Capacidades de Serviço
• Informação
―Enabler-based‖

COBIT 5 Enablers— Modelo Sistemica com Interação dos Enablers

COBIT 5 Enablers
Facilitadores são aqueles
Processes
elementos tangíveis e intangíveis
que premitem o funcionamento Culture,
Ethics,
Service
de alguma coisa, neste caso, a Capabilities Behaviour

governança e a gestão sobre a

empresa de TI. Facilitadores são
movidos pela cascata de
objetivos descritos na seção 3: o Skills & Organisational
alto nível de TI relacionado com Competencies Structures
metas definem o que os
diferentes facilitadores devem
alcançar. Principles & Information
Policies
 Descrição dos ―Enablers‖
• Service capabilities -
Incluem a infra-estrutura,
tecnologia e aplicativos que
suprem a empresa com
informações e
processamento de
informações e serviços
• Skills and
competences - Estão
ligados as pessoas e são
necessários para a
conclusão bem sucedida
de todas as atividades
e para tomada de
decisões corretas
• Principles and policies -
São o veículo para traduzir o
comportamento desejado em
orientações práticas para
dayto-
gestão do dia
Processes - Descreve um conjunto
organizado de práticas e atividades
para atingir certos objetivos e produzir
um conjunto de saídas que permita
Processes alcançar objetivos gerais de TI.
Culture,
Service Ethics, • Culture, ethics,
Behaviour
Capabilities behaviour - Dos
indivíduos e da
organização; muitas vezes
subestimado como um
fator de sucesso em
Skills &
Competencies
Organisational
arranjos de governança e
Structures
gestão
• Organisational structures -
Principles & Information São a chave da tomada de
Policies
decisão entidades em uma
organização
• Information - Permeia toda a organização. A Informação é
necessária para manter a organização funcionando e bem
governada, mas no nível operacional, a informação é muitas
vezes o produto chave da própria empresa.
Modelo ―Process Enabler‖

A process is defined as ‗a collection of activities that takes one or more kinds of

input and creates an output that is of value to the organisation’.
 Modelo ―Process Enabler‖
Goals and metrics —Objetivos do
processo são definidos como "uma Good practices —
declaração‖ descrevendo o Processo interno de boas
A processresultado
is defined as ‗adecollection
desejado um processo.of activities that takes one or estão
práticas moredescritas
kinds nos
of
input andUm resultado
creates anpode ser umthat
output artefato,
is of value to the organisation’.
níveis de detalhe em
uma mudança significativa de um cascata, ou seja, práticas,
estado ou uma melhoria atividades e atividades
significativa a capacidade de outros detalhadas.
processos ".

Stakeholders —Os processos têm
partes internas e externas, cada
uma com seus próprios papéis.
Partes interessadas e seus níveis
de responsabilidade são
documentadas em gráficos RACI,
que são um atributo do processo.
Life Cycle - Cada processo tem um
ciclo de vida, ou seja, é definido,
criado, operado, monitorado e
ajustado / atualizado ou aposentado.
Práticas de processo genérico, tais
como as definidas no modelo de
avaliação de processos COBIT, com
base na ISO / IEC 15504, podem
ajudar a definir, executar, monitorar e
otimizar processos.
Attributes —Há uma série de
atributos específicos do processo
definido no modelo de processo
COBIT 5. Estas incluem:
Entradas e saídas, o nível de
capacidade do processo, gráfico
RACI, etc.
Guia de Referência do Processo

• A publicação separada que se expande sobre o

modelo de processo Enabler (facilitador)
• Contém todos os detalhes dos processos
COBIT em uma maneira similar a
documentação do processo em COBIT 4.1
Modelo ―Process e Enabler‖

Facilitadores

Estruturas Habilidades e
Processo Informação Organizacionais Competências

Principios e Cultura, Ética e Capacidade

Políticas Comportamento de Serviços

Partes
Metas & Ciclio de Melhores
Interessada Atributos
Metricas Vida Praticas
s

Componentes
Modelo ―Process e Enabler‖

Facilitadores

Estruturas Habilidades e
Processo Informação Organizacionais Competências

Principios e Cultura, Ética e Capacidade

Políticas Comportamento de Serviços

Partes
Metas & Ciclio de Melhores
Interessada Atributos
Metricas Vida Praticas
s

Componentes
Processos de Governança e
Gestão
O COBIT 5 modelo de referência do processo divide os processos de
governança e gestão de empresas de TI em duas principais áreas

Em COBIT 5, os processos também abrangem toda a gama de negócios e

atividades relacionadas à governança e gestão de empresas de TI, efetivando o
modelo de processo em toda a empresa.
 Processos de Governança e
Gestão
• Os quatro domínios de gestão
O COBIT 5 modelo de referência do processo divide os processos de
alinham-se com as áreas de
governança e gestão de empresas de TI em duas principais áreaspelo
responsabilidade
planejamento,construção,
execução e monitoramento (PBRM-
O domínio GOVERNANÇA, contém uma evolução do COBIT 4.1
cinco processos de governança; domínios), proporciona uma
dentro de cada processo são cobertura end-to-end de TI. Cada
definidas formas de avaliar, dirigir e domínio contém uma série de
monitorar as práticas. processos, como no COBIT 4.1 e
versões anteriores. Embora, como
descrito anteriormente a maioria
dos processos requeiram
"planejamento", "implementação",
"execução" e "monitorização"
atividades dentro do processo ou
dentro da questão específica a ser
abordada (por exemplo, a
Em COBIT 5, os processos também abrangem todaqualidade,
a gama de segurança),
negócios eles
e são
colocados em domínios e alinhados
atividades relacionadas à governança e gestão de empresas de TI, efetivando o
com a área mais relevante da
modelo de processo em toda a empresa. atividade quando de TI em nível
corporativo.
Diferença entre COBIT 4.1e 5

COBIT 4.1 COBIT 5

PO
PO 1
Plan & GOVERNANÇA GERENCIAMENTO
PO 2
Organise

AI Área
Arquire &
Implement
Evaluate, Direct & Align, Plan & Organise -
Monitor APO
DS
12 Processos
Deliver & EDM
Support Build, Arquire &
5 Processos Implement - BA
8 Processos
ME
Monitor & Deliver, Service &
Evaluate Support (Run) - DSS
8 Processos
Domínio Processo Monitor, Evaluate &
Assess - MEA
Domínio 3 Processos
Diferença entre COBIT 4.1e 5
COBIT 4.1 Descrição COBIT 5
PO10.1 Programme Management Framework BAI1.1
PO10.2 Project Management Framework BAI1.1
PO10.3 Project Management Approach BAI1.1
PO10.4 Stakeholder Commitment BAI1.3
PO10.5 Project Scope Statement BAI1.7
PO10.6 Project Phase Initiation BAI1.7
PO10.7 Integrated Project Plan BAI1.8
PO10.8 Project Resources BAI1.8
PO10.9 Project Risk Management BAI1.10
PO10.10 Project Quality Plan BAI1.9
PO10.11 Project Change Control BAI1.11
PO10.12 Project Planning of Assurance Methods BAI1.8
PO10.13 Project Performance Measurement, Reporting and Monitoring BAI1.6; BAI1.11
PO10.14 Project Closure BAI1.13
Modelo de Referencia dos Processos

© 2010 ISACA. All rights reserved. 23

Estrutura de Processos
COBIT 5
APO05 Manage Portfolio Area: Management
Domain: Align, Plan and Organise

Process Description

Process Purpose Statement

The process supports the achievement of a set of IT--‐related goals,
which support the achievement of a set of enterprise goals:
IT--‐related Goal P/S Related Metrics

Process Goals and Metrics

Process Goal Related Metrics

RACI Chart

Process Practices, Inputs/Outputs and Activities

Practice Inputs Outputs

Activities
Exemplo – Processo Governança
Exemplo – Process Gestão
Objetivos do Negócio e da TI
Objetivos do Negócio e da TI

Visão BSC
Finanças, Cliente, Interna
Visão BSC e Aprendizagem e
Finanças, Cliente, Interna crescimento
e Aprendizagem e
crescimento
Categorias de Habilidades
Guia de Implementação

• Documento separado

• Com base na
publicação atual de
implementação e
orientação
O Novo Processo do COBIT
―Capability Assessment‖

COBIT 4.1 COBIT 5

Maturidade do Capacidade do
Processo Processo
foi substituído por
Baseado na ISO
15504 IEC e o
Programa de
Avaliação do COBIT
(CAP)
O Novo Processo do COBIT
―Capability Assessment‖
Há uma série de benefícios em fazê-lo:
• Confirmar que um processo está prestes a atingir sua
finalidade e seja possível entregar seus resultados como
esperado.
• Simplificação
COBIT 4.1
do processo e avaliação do conteúdoCOBIT
de 5
apoio. Maturidade do Capacidade do
• Confiabilidade e repetibilidade de atividades do processo
Processo
Processo
de capacidade de avaliaçãofoie substituído
debates. por
• Redução das divergências entre as partes interessadas
Baseado na ISO
sobre os resultados da avaliação.
15504 IEC e o
• Aumentou a usabilidade dos resultados do processo de
Programa de
avaliação das capacidades. A nova abordagem
Avaliação do COBIT
estabelece uma base para mais formal e avaliações
(CAP)
rigorosas a serem executadas para fins internos e
externos.
• Forte apoio para abordagem do processo de avaliação no
mercado.
 Modelo de Capacidade do
Processo - Comparativo
COBIT 4.1 COBIT 5 ISO/IEC
Meaning of the COBIT 5 ISO/IEC 15504 Based
Maturity Model 15504 Based Context
Capability Levels
Levels Capability Levels

Continuously improved to meet relevant current and projected

5. Optimised 5. Optimised
enterprise goals.

4. Managed and Enterprise view/

4. Predictable Operates within defined limits to achieve its process outcomes.
Measurable corporate knowledge

Implemented using a defined process that is capable of

3. Defined 3. Established
achieving its process outcomes.

Implemented in a managed fashion (planned, monitored and

N/A 2. Managed adjusted) and its work products are appropriately established,
controlled and maintained.
Instance view/
individual knowledge
N/A 1. Performed Process achieves its process purpose.
2. Repeatable
Not implemented or little or no evidence of any systematic
1. Ad Hoc 0. Incomplete
achievement of the process purpose.
0. Non-existent
Modelo de Capacidade do
Processo
Comparitivo entre a Tabela dos Atributos de Maturidade
(COBIT 4.1) e os Atributos dos Processos
(COBIT 5)
 Muito obrigado!
Ian Lawrence Webster, CGEIT, CRISC

presidente@isaca-brasilia.org

www.isaca-brasilia.org.br