2-Apostila Cobit 5 Foundation PDF

COBIT 5 Foundation
COBIT FUNDAMENTOS
APRESENTAÇÃO
 Apresentação dos participantes
 Objetivo do Treinamento
 Estrutura do Treinamento
 Agenda
APRESENTAÇÃO
 Apresentação do Aluno
 Nome
 Empresa / Papel atual na Empresa
 Breve histórico profissional
 Experiência com COBIT e Governança de TI
 Expectativas para o treinamento
 Apresentação do Instrutor
 Nome
 Papel
 Breve histórico profissional
 Certificações
APRESENTAÇÃO
Objetivos do Treinamento
 O COBIT 5 “Framework de negócio para a Governança e Gestão de TI empresarial” apresenta ao aluno
os cinco princípios básicos do COBIT 5, que são cobertos em detalhe, e inclui ampla orientação sobre
habilitadores de Governança e Gestão de TI Empresarial. Inclui também, um guia complementar que
define os conceitos fundamentais de um Modelo de Avaliação de Processo (PAM – Processs Assessment
Model) com base na ISO 15504, abordagem que substitui o anterior CMM (Capability Maturity Model).
 O aluno deverá compreender os princípios fundamentais e terminologia do COBIT 5. Especificamente, o

aluno deverá conhecer e compreender:
 Os direcionadores (drivers) importantes para o desenvolvimento do COBIT 5.

 Os benefícios da utilização do COBIT 5.
 A arquitetura do Produto COBIT 5.
 As questões de gestão TI e os desafios que afetam as empresas.
 Os 5 Princípios Fundamentais do COBIT 5 para a governança e gestão de TI empresarial.
 Como o COBIT 5 habilita a TI para ser governada e gerenciada de uma forma holística para a toda
empresa.
 Como os processos do COBIT 5 e o Modelo de Referência de Processo (PRM – Processs Reference Model)
ajudam a orientar a criação dos 5 Princípios e os 7 Habilitadores de Governança e Gestão.
 Os conceitos básicos para a implementação do COBIT 5.
 Os conceitos básicos do novo Modelo de Avaliação de Processo (PAM – Process Assessment Model)
 Os guias do COBIT 5 e como eles se relacionam.
APRESENTAÇÃO
Agenda
Unidade 1
 OV – Overview
 As razões para o desenvolvimento do COBIT 5
 A História do COBIT
 Os direcionadores (drivers) para o desenvolvimento de um framework
 Os benefícios de usar o COBIT
 O Formato e Arquitetura do produto COBIT
 COBIT 5 e outros frameworks
Unidade 2
 PR - Princípios do COBIT 5
 Introdução aos 5 princípios do COBIT 5

 Princípio 1: Atender a necessidade do Stakeholder
 Princípio 2: Cobrir a empresa fim-a-fim
 Princípio 3: Aplicar um framework integrado único
 Princípio 4: Possibilitar uma abordagem holística
 Princípio 5: Separar governança e gestão
APRESENTAÇÃO
Agenda
Unidade 3
 EN – Habilitadores
 Revisão e Visão Geral do Princípio 4 – Abordagem holística dos Habilitadores

 Habilitador 1 - Princípios, Políticas e Frameworks
 Habilitador 2 - Processos
 Habilitador 3 - Estruturas Organizacionais
 Habilitador 4 - Cultura, Ética e Comportamento
 Habilitador 5 – Informações
 Habilitador 6 - Serviços, Infraestrutura e Aplicações
 Habilitador 7 - Pessoas, Habilidades e Competências
 Anexo: Usando o desdobramento de metas para definir o escopo dos processos
APRESENTAÇÃO
Agenda
Unidade 4
 IM - Introdução a Implementação do COBIT 5
 A abordagem do ciclo de vida.

 Componentes do ciclo de vida inter-relacionados.
 Compreender fatores internos e externos empresariais.
 Principais fatores de sucesso para a implementação.
 As sete características da habilitação de Mudança utilizadas no ciclo de vida.
 Relacionamentos da habilitação de Mudança para o ciclo de vida da melhoria contínua.
 Elaborando o caso de negócio (Business Case)
 Anexo: Resumo das diferenças entre COBIT 4.1 e COBIT 5.
APRESENTAÇÃO
Agenda
Unidade 5
 PC - Capacidade de Processos
 Introdução e Objetivo do Guia de Avaliação

 Tópicos e Áreas de aprendizagem do Plano de Estudos
 Explicação sobre a Avaliação de Processos
 O que é uma avaliação de processo.
 O que é o Programa de Avaliação COBIT
 As diferenças entre avaliação de capacidade e maturidade
 Diferenças para o COBIT 4.1 CMM
 Visão geral do modelo de capacidade e avaliação do COBIT
 O Modelo de Referência de Processo (PRM – Process Reference Model)
 O Modelo de Avaliação de Processo (PAM – Process Assessment Model)
 O Framework de Medição
 Introdução aos Passos do Treinamento de Avaliador (Assessor)
COBIT 5 FOUNDATION
Unidade 1 – Overview
“Visão Geral”
Resultados de Aprendizagem
 Compreender os conceitos relacionados com a estrutura e o

formato do framework COBIT5 para identificar:
 Os direcionadores (drivers) para o desenvolvimento do COBIT 5,

especificamente as necessidades para a próxima geração de guias
orientativos do ISACA sobre Governança Empresarial e Gestão de
TI.
 Os benefícios para as partes interessadas (stakeholders) da
empresa no uso do framework COBIT5.
Agenda da Unidade 1 - Módulo Overview
 As razões para o desenvolvimento do COBIT 5.
 A história do COBIT.
 Os direcionadores (drivers) para o desenvolvimento de um
Framework.
 Os benefícios de usar o COBIT 5.
 O formato e arquitetura do COBIT 5.
 COBIT 5 e outros Frameworks.

Razões para desenvolver o COBIT 5
 Integrar e reforçar todos os ativos de conhecimento do ISACA

com COBIT (Diretiva do Board de Diretores do ISACA).
 Fornecer um framework de Governança e de Gestão

renovado e oficial para informação empresarial e tecnologia
relacionada.
 Integrar todos os outros principais frameworks e guias de

orientação do ISACA.
 Alinhar com os outros principais frameworks e padrões.

A História do COBIT
 Evolução do COBIT
Governança de TI Empresarial
Governança de TI
BMIS
Evolução
(2010)
Gerenciamento
Val IT 2.0
(2008)
Controle
Auditoria Risk IT
(2009)
COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7

Direcionadores (Drivers) para desenvolvimento
de um Framework
 Fornecer orientação em:

 Arquitetura corporativa.
 Gerenciamento de ativos e serviços.
 Modelos corporativos e terceirização.
 Inovação e tecnologias emergentes.
 Fim-a-Fim - Negócios e Responsabilidades de TI
 Controles de soluções de TI iniciadas e controladas pelo

usuário.
Direcionadores (Drivers) para desenvolvimento
de um Framework (cont. …)
 Uma necessidade para a empresa:

 Assegurar aumento da criação de valor.
 Obter a satisfação do usuário de negócios.
 Obter conformidade com leis relevantes, regulamentos e
políticas.
 Melhorar a relação entre Negócio e TI.
 Aumentar o retorno da Governança sobre a TI Empresarial.
 Conectar e alinhar com outros importantes frameworks e
padrões.
Escopo do COBIT 5
 Não simplesmente TI; não somente para os grandes negócios!

COBIT 5 é sobre Governar e Gerenciar informação:
 Qualquer que seja o meio utilizado.
 Fim-a-fim em toda empresa.
 Informação é igualmente importante para:

 Negócio multinacional, Global.
 Governo nacional e local.
 Empresas sem fins lucrativos e Instituições de Caridade.
 Pequenas e médias empresas.
 Clubes e associações.
Benefícios do COBIT 5
A informação é a moeda de negócios do século 21

 A informação tem um ciclo de vida: ela é criada, usada,
mantida, divulgada e destruída.
 A tecnologia desempenha um papel fundamental nessas
ações.
 Tecnologia está se tornando difundida em todos os
aspectos da vida profissional e pessoal.
 Cada tipo de empresa precisa ser capaz de confiar em
informações de qualidade para subsidiar decisões
executivas de qualidade.
Benefícios Empresariais
 Empresas e seus executivos se esforçam para:
 Manter a qualidade das informações para suportar as decisões de negócios.

 Gerar valor para o negócio através dos investimentos habilitados por TI, ou seja,
alcançar os objetivos estratégicos e obter benefícios de negócios através de
uma utilização eficaz e inovadora de TI.
 Atingir a excelência operacional através da aplicação eficiente e confiável da
tecnologia.
 Manter o risco relacionado a TI em um nível aceitável.
 Otimizar o custo de serviços de TI e de tecnologia.
 Como esses benefícios podem ser realizados para criar valor para
as partes interessadas (stakeholders) da empresa?
Valor para o Stakeholder
 Entrega de valor as partes interessadas (Stakeholders) da empresa requer

boa governança e gerenciamento de informações e ativos de TI.
 O Board da Empresa, executivos e gerentes têm que “abraçar” TI como
qualquer outra parte significativa do negócio.
 Requisitos de conformidade legal, regulatórios e contratuais relacionados

ao uso empresarial da informação e tecnologia estão aumentando,
ameaçando o valor se não forem cumpridos.
 COBIT 5 fornece um Framework abrangente que auxilia as empresas a

atingirem seus objetivos e agregarem valor através da efetiva governança
e gestão de TI empresarial.
Benefícios do COBIT 5
 Definir o ponto de partida de atividades de governança e gestão com

a parte interessada e as necessidades relacionadas a TI empresarial.
 Criar uma visão mais holística, integrada e completa da governança

empresarial e gestão de TI que seja coerente, proporcionando uma
visão de ponta a ponta em todos os assuntos relacionados a TI.
 Criar uma linguagem comum entre TI e Negócio para a governança

empresarial e gestão de TI.
 Compatibilidade com os padrões geralmente aceitos de governança

corporativa, e assim, ajudar a atender às exigências regulamentares.
Necessidades do Negócio
 Empresas estão sob constante pressão para:

 Aumentar a percepção de benefícios através de uma utilização eficaz e
inovadora da TI empresarial:
 Gerar valor ao negócio para novos investimentos corporativos com
suporte do investimento de TI.
 Atingir a excelência operacional através da aplicação da tecnologia.
 Manter o risco relacionado a TI em um nível aceitável.

 Conter custos de serviços de TI e tecnologia.
 Garantir a colaboração de TI e Negócio, levando à satisfação do usuário
de negócios com os serviços e o envolvimento de TI.
 Estar em conformidade com leis, regulamentos e políticas.
O Formato do COBIT 5
 Simplificado
 COBIT 5 é diretamente endereçado as necessidades do
“espectador” a partir de perspectivas diferentes.
 Desenvolvimento contínuo com guia de prática específico.
 COBIT 5 está inicialmente em 3 volumes:

 O Framework
 Guia de Referência de processo
 Guia de Implementação
 COBIT 5 é baseado em:

 5 Princípios
 7 Habilitadores
Família de Produtos do COBIT 5
Mapeamento Resumo do COBIT 5
COBIT 5 e outros Frameworks de
Governança de TI
COSO
COBIT
ISO 27002
ISO 9000
WHAT ITIL HOW

(O que?)
(Como?)
SCOPE OF COVERAGE
(Escopo de Cobertura)
Onde o COBIT se encaixa?
CONFORMANCE
Drivers PERFORMANCE: Basel II, Sarbanes-
Business Goals Oxley Act, etc.
Balanced
Enterprise Governance COSO
Scorecard
IT Governance
COBIT
ISO ISO ISO

Best Practice Standards 9001:2000 27002 20000
Processes and Procedures QA Security ITIL

Procedures Princípios
Mapeamento Específico COBIT 5
COBIT FOUNDATION
 ISO / IEC 38500

 6 princípios da ISO mapeados para COBIT 5
 As seguintes áreas e domínios são cobertos pelo ITIL

 Um subconjunto de processos no domínio DSS
 Um subconjunto de processos no domínio do BAI Unidade 2 - The COBIT 5 Principles
 Alguns processos no domínio APO “Os Princípios do COBIT 5”
 ISO / IEC 27000

 Processos de TI relacionados a Segurança de TI nos domínios EDM, APO e DSS
 Algum monitoramento das atividades de monitoramento de segurança no domínio MEA
 ISO / IEC 31000

 Atividades relacionadas ao gerenciamento de risco nos domínios EDM e APO
Agenda da Unidade 2 - Módulo PR
 Introdução aos 5 princípios do COBIT 5
 Princípio 1: Atender a necessidade do Stakeholder
 Princípio 2: Cobrir a empresa fim-a-fim
 Princípio 3: Aplicar um Framework Integrado Único
 Princípio 4: Habilitação de uma abordagem holística
 Princípio 5: Separar Governança de Gestão

 Conhecer fatos e termos relacionados com os cinco princípios do COBIT 5.

Especificamente para recordar:
 Os nomes e os principais aspectos dos cinco principais princípios para governança

e gestão de TI.
 Os nomes e descrições das sete categorias de habilitadores que influenciam a

forma como a governança e gestão de TI funcionam.
 O Domínio de Governança do Modelo de Referência de Processo,

especificamente, os nomes dos processos no Domínio.
 O Domínio de Gerenciamento do Modelo de Referência de Processo
 As quatro perguntas a fazer ao estabelecer a forma de gerir o habilitador de

desempenho.
Resultados de Aprendizagem (cont. ...)
 Entender os conceitos relacionados a estrutura e formato do framework, os

direcionadores (drives) e benefícios para o negócio ao usar framework COBIT5.
Especificamente para identificar:
 Como os objetivos de criação de valor da Governança atendem as necessidades do

Stakeholder.
 Os tipos de drives de Stakeholder e onde eles se encaixam nas metas no mecanismo de
desdobramento de metas do COBIT 5.
 A importância das necessidades do Stakeholder e onde elas se encaixam nas metas no

mecanismo de desdobramento de metas do COBIT 5.
 As relações entre as metas empresariais para os três principais objetivos de governança.
 Como as metas empresariais e as metas relacionadas a TI se desdobram no mecanismo de

 Como as metas relacionadas a TI se desdobram nas metas dos habilitadores no mecanismo de

 O propósito do mecanismo de desdobramento de metas do COBIT 5.

Resultados de Aprendizagem (cont. ...)
 Entender os conceitos relacionados a estrutura e formato do framework, os

direcionadores (drives) e benefícios para o negócio ao usar framework COBIT5.
Especificamente para identificar:
 Os componentes principais do Sistema de Governança.
 Como papéis principais e atividades se inter-relacionam.
 O propósito do modelo integrador do COBIT 5 e como ele se integra e se alinha com a

orientação existente da ISACA, novas orientações e outros padrões e frameworks.
 As razões pelas quais o COBIT 5 é uma Framework integrado.
 A importância dos componentes fundamentais da dimensão do habilitador.
 O propósito dos indicadores de medição na realização das metas.
 A definição de responsabilidades de governança e gestão.
 As interações entre governança e gestão.

Princípios do COBIT 5
Princípio 1:
Atender as necessidade do Stakeholder
 Empresas tem muitos Stakeholders
 Governança fala sobre:
 Negociação.
 Decidir entre diferentes interesses de valor dos stakeholders.
 Considerar todas as partes interessadas (stakeholders) na tomada de
decisões de avaliação de recursos, benefícios e riscos.
 Para cada decisão, pergunte:
 Para quem são os benefícios?

 Quem assume o risco?
 Que recursos são necessários?
Princípio 1 (cont...):
 Empresas existem para criar valor para seus Stakeholders.
 Criação de valor: Realizar os benefícios otimizando o custo dos

recursos e os riscos.
Atender as necessidades do Stakeholder
 Necessidades do
Stakeholder devem ser
transformadas em uma
estratégia legítima da Desdobramento
empresa. de metas do
COBIT 5
 Stakeholders necessitam
de metas específicas,
práticas e customizadas.
Princípio 1 (cont. ...):
 O desdobramento de metas do COBIT 5 permite a definição de

prioridades para:
 Implementação.
 Melhoria.
 Garantia da Governança de TI Empresarial.
 Na prática, o desdobramento de metas:

 Define metas e objetivos relevantes e tangíveis em vários níveis de
responsabilidade.
 Filtra a base de conhecimento do COBIT 5, com base em metas empresariais,
para extrair orientações relevantes para inclusão em implementações
específicas, melhorias ou garantia de projetos.
 Identifica e comunica com clareza como habilitadores são usados para alcançar
as metas empresariais.
STAKEHOLDERS EXTERNOS NECESSIDADE DO STAKEHOLDER EXTERNO
 Parceiros de negócio  Como eu sei que as operações de meu

parceiro de negócios são seguras e
 Fornecedores
confiáveis?
 Acionistas
 Reguladores / Governo  Como eu sei que a organização está em
conformidade com as regras e
 Usuários externos, Clientes regulamentos?
 Organizações de normalização
 Auditores externos, Consultores, etc.  Como eu sei que a empresa está mantendo
um sistema eficaz de controle interno?
 Preocupações dos stakeholders internos incluem:
 Como faço para obter o valor do uso da TI?
 Como faço para gerenciar o desempenho da TI?
 Como posso melhor explorar novas tecnologias para novas oportunidades estratégicas?
 Como eu sei se estou de acordo com todas as leis aplicáveis e regulamentos?
 Estou executando uma eficiente e resistente operação de TI?
 Como posso controlar o custo da TI?
 A informação que estou processando é adequadamente e apropriadamente protegida?
 Como está a criticidade da TI para a sustentabilidade da empresa?
 O que eu faço se a TI não está disponível?

 O COBIT 5 trata da governança e gestão da informação e

tecnologia relacionada, de uma empresa como um todo
(perspectiva fim-a-fim).
 O COBIT 5:
 Integra a Governança de TI empresarial a Governança empresarial ou
corporativa.
 Abrange todas as funções e processos dentro da empresa.
 Não se concentra apenas na "função de TI “
Princípio 2:
Cobrindo a Empresa Fim-a-Fim
 Isto significa que o COBIT 5:
 Integra a Governança de TI Empresarial a Governança

Corporativa ou Empresarial
 Cobre todas as funções e os processos necessários para

governar e gerir informações empresariais e tecnologias
relacionadas, onde quer que a informação é processada.
 Endereça todos os serviços de TI internos e externos, bem

como processos de negócios internos e externos.
Os principais elementos da abordagem de Governança:
 Habilitadores de Governança:
 Os recursos organizacionais para a governança.
 Recursos da empresa.
 A ausência de recursos ou habilitadores pode afetar a
capacidade da empresa de criar valor.
 Escopo da Governança:
 Toda a Empresa.
 Uma entidade, um ativo tangível ou intangível, etc.
 Papéis e responsabilidades e relacionamentos da

Governança:
 Define Quem está envolvido na governança

 Como eles estão envolvidos
 O Que eles fazem
 Como eles se interagem
 O COBIT 5 define a diferença entre Governança e atividade de

Gestão em 5 princípios.
Princípio 3:
Aplicando um Framework integrado único
 O COBIT 5:
 Alinha com os últimos padrões e Frameworks.
 É completo em cobertura empresarial.
 Fornece uma base para integrar de forma eficaz os

frameworks , padrões e práticas utilizados.
 Integra todos os conhecimentos anteriormente dispersos

sobre diferentes frameworks do ISACA.
 Fornece uma arquitetura simples para estruturação de

materiais de orientação e produção de um conjunto de
produtos consistente.
COBIT 5 e Frameworks legados do ISACA
 A família de produtos COBIT 5 :
 COBIT 5: Um framework de Negócios para a Governança e Gestão de TI

Empresarial.
 COBIT 5 Processos Habilitadores
 COBIT 5 Guia de Implementação
 COBIT 5 para Segurança da Informação
 COBIT 5 para a Garantia
 COBIT 5 para Risco
 Uma série de outros produtos está prevista, pois eles vão ser adaptados
para públicos específicos ou tópicos.
 COBIT 5 Online
Princípio 4:
Abordagem Holística dos Habilitadores
 O COBIT 5 define um conjunto de habilitadores para apoiar a

implementação de uma Governança global e um sistema de
Gestão para TI empresarial.
 Os Habilitadores do COBIT 5 são:
 Fatores que, individualmente e coletivamente, influenciam

se alguma coisa vai funcionar.
 Impulsionados pelo desdobramento de metas.
 Descritos pelo Framework COBIT 5 em sete categorias.
 Habilitadores
1. Princípios, políticas e frameworks

2. Processos
3. Estruturas organizacionais
4. Cultura, Ética e Comportamento
5. Informações
6. Serviços, Infraestrutura e aplicações
7. Pessoas, Habilidades e Competências
 Dimensões dos Habilitadores do COBIT 5
 Todos os habilitadores têm um conjunto de dimensões comum que:
 Fornece uma maneira comum, simples e estruturada para lidar com habilitadores.
 Permite uma entidade para gerir suas interações complexas
 Facilita resultados de sucesso dos habilitadores
Princípio 5 (cont. …):
Definição de Gestão e Governança
 Governança garante que as necessidades, condições e as opções dos

Stakeholders são:
 Avaliadas: para determinar equilíbrio em relação aos objetivos empresarias
acordados a serem alcançados.
 Direcionadas: através de priorização e tomada de decisão.
 Monitoradas: desempenho, conformidade e progresso relativamente a direção e
objetivos acordados (EDM).
 Gestão planeja, constrói, executa e monitora as atividades em

alinhamento com a direção definida pelo órgão de governança para
atingir os objetivos empresariais (PBRM).
Princípio 5 (cont. …):
Separando a Governança da Gestão
 O Framework COBIT 5 faz uma clara distinção entre

Governança e Gestão
 Governança e Gestão
 Abrangem diferentes tipos de atividades.
 Exigem diferentes estruturas organizacionais.
 Servem a propósitos diferentes.
 COBIT 5: Processos Habilitadores diferenciam as atividades

associadas a Governança e Gestão.
Princípio 5:
Separando a Governança da Gestão
Modelo de Referência de Processo do COBIT 5
COBIT FOUNDATION
Unidade 3 - Módulo EN – Enablers

“Habilitadores”
Agenda da Unidade 3
Módulo EN – Enablers - “Habilitadores”
 Revisão e Visão Geral do Princípio 4 – Abordagem Holística dos

Habilitadores.
 Habilitador 1 - Princípios, Políticas e Frameworks.
 Habilitador 2 – Processos.
 Habilitador 3 - Estruturas Organizacionais.
 Habilitador 4 - Cultura, Ética e Comportamento.
 Habilitador 5 – Informações.
 Habilitador 6 - Serviços, Infraestrutura e Aplicações.
 Habilitador 7 - Pessoas, Habilidades e Competências.
 Anexo – Usando o desdobramento de metas para definir o escopo.
dos processos.
 Conheça fatos e termos relacionados com os habilitadores do COBIT 5.
Especificamente para recordar:
 A definição de um processo
 Entender que o COBIT habilita TI para ser governada e gerenciada de uma

forma holística para toda a empresa. Especificamente para identificar:
 Habilitador 1 - Princípios, Políticas e Frameworks
 O propósito de Princípios, Políticas e Frameworks no modelo de habilitação.
 As diferenças entre políticas e princípios
 As características de boas políticas.
 O objetivo do ciclo de vida da Política.
 As condições de boa prática para as políticas, princípios e frameworks.
Resultados de Aprendizagem (cont...)

 Os vínculos e relacionamentos entre o Habilitador 1 - Princípios,

Políticas e Framework - e outros habilitadores.
 Habilitador 2 - Processos: Exemplos de stakeholders internos e externos.
 As principais características das categorias de metas de processo.
 As atividades do ciclo de vida do processo.
 As diferenças, no Modelo de Referência de Processo, entre as práticas
de processo, as atividades de processo e entradas e saídas.
 As relações entre Processos e outros habilitadores.

 Habilitador 3 - Estruturas organizacionais: as boas práticas de uma

estrutura organizacional.
 As responsabilidades e as características dos papéis em uma organização
especifica.
 Habilitador 4 - Cultura, Ética e Comportamento: As boas práticas para
criar, incentivar e manter o comportamento desejado em toda a empresa.
 A relacionamento das Metas para o Habilitador 4 - Cultura, Ética e
Comportamento.
 Os relacionamentos do habilitador 4 - Cultura, Ética e Comportamento e
os outros Habilitadores.

 Habilitador 5 – Informação: As cinco etapas do ciclo da informação, e

como elas se inter-relacionam e aplicam-se aos habilitadores de
informação.
 Os atributos de informação que são aplicados às camadas de informação.
 Os usos possíveis do modelo de informação.
 Os atributos que são requeridos para avaliar o contexto e a qualidade da
informação para o usuário.

 Habilitador 6 – Serviços, Infraestrutura e Aplicações: Os cinco princípios que

regem a arquitetura da aplicação e utilização de recursos relacionados a TI.
 A relacionamento do habilitador Serviços, Infraestrutura e Aplicações com
os outros habilitadores.
 Habilitador 7 - Pessoas, Habilidades e Competências: As boas práticas de
habilidades e competências.
 As categorias de competências, relacionadas com os domínios de processo
do COBIT 5.
Relembrando ... Princípio 4:
Habilitadores - uma abordagem Holística
Habilitadores:
1. Princípios, Políticas e Frameworks.

2. Processos.
3. Estruturas organizacionais.
4. Cultura, ética e comportamento.
5. Informações.
6. Serviços, Infraestrutura e Aplicações.
7. Pessoas, Habilidades e Competências.
Dimensões dos Habilitadores do COBIT 5
 Todos os habilitadores têm um conjunto de dimensões comuns que:
 Fornece uma maneira comum, simples e estruturada para lidar com habilitadores.
 Permite uma entidade para gerir suas interações complexas
 Facilita resultados de sucesso dos habilitadores
Habilitador 1:
Princípios, Políticas e Frameworks
 O Propósito deste habilitador é transmitir as instruções e o

direcionamento do corpo diretivo e de gestão. Eles são instrumentos
para comunicar as regras da empresa, em apoio aos objetivos de
governança e valores empresariais como definidos pela diretoria e
gerência executiva:
 Diferenças entre Princípios e Políticas:
 Princípios devem ser em número limitado e ter uma linguagem simples,

expressando tão claramente quanto possível os valores essenciais da empresa.
 As políticas são orientações mais detalhadas sobre como colocar em prática os

princípios.
Habilitador 1:
 As características de uma boa política:
 Ser eficaz: atingir os seus fins.
 Ser eficiente: especialmente quando implementadas.
 Não-intrusiva: deve fazer sentido e ser lógica para aqueles que têm de cumpri-las.
 A política deve ter um mecanismo (framework) em um lugar onde elas

podem ser geridas de forma eficaz e os usuários saibam onde encontrá-las.
Especificamente, eles devem ser:
 Abrangentes, cobrindo todas as áreas necessárias.
 Abertas e flexíveis permitindo uma fácil adaptação e mudança.
 Atualizadas (Atual até a data de publicação).
 O propósito de um ciclo de vida de política é que ele deve suportar uma

estrutura de política, a fim de alcançar as metas definidas.
Habilitador 1:
 Os requisitos de Boas Práticas para as políticas e estruturas, são
importantes, especificamente para:
 Seu escopo.
 Consequências do não cumprimento.
 Os meios de tratamento de exceções.
 Como elas serão monitoradas.
 Os vínculos e relacionamentos entre os princípios, políticas e frameworks

e outros habilitadores:
 Princípios, Políticas e Frameworks refletem a cultura, a ética e os valores da
empresa.
 Os processos são o veículo mais importante para a execução de políticas.
 Estruturas organizacionais podem definir e implementar políticas.
 As políticas são parte da informação.
Habilitador 2: Processo
 Habilitador 2 – Processo: complementa o COBIT 5 e contém

um guia de referência detalhado para os processos que estão
definidos no modelo de referência de processo do COBIT 5:
 O desdobramento de metas do COBIT 5 é revisto e complementado

com um conjunto de métricas de exemplo para as metas empresariais e
metas relacionadas a TI.
 O modelo de processo do COBIT 5 é explicado e seus componentes
definidos.
 O guia habilitador de Processo que é referenciado neste módulo,
contém o detalhamento das informações de processo para todos os 37
processos do COBIT 5 mostrados no Modelo de Referência de Processo
(PRM – Process Reference Model).
 COBIT 5: Processos de Habilitação
 O modelo de referência de processo do COBIT 5 subdivide as práticas

e as atividades relacionadas a TI da empresa em duas principais áreas
- Governança e Gestão - com a gestão subdividida em domínios de
processos:
 O domínio Governança contém cinco processos de governança;

dentro de cada processo estão definidas práticas para avaliar,
direcionar e monitorar (EDM).
 Os quatro domínios de Gestão estão em linha com as áreas de

responsabilidade para planejar, construir, executar e monitorar
(PBRM)
PRM – Modelo de Referência de
Processo do COBIT 5
Estrutura PRM – Modelo de Referência de Processos
 Estrutura do Modelo PRM (com base nas definições de

processo e estrutura da ISO 15504):
 O PRM é dividido em um domínio de Governança com 5 Processos

intitulado EDM (Avaliar, Direcionar e Monitorar).
 Quatro domínios de gestão intitulados APO (Alinhar, Planejar e

Organizar; BAI (Construir, Adquirir e Implementar), DSS (Entrega,
Serviço e Suporte) e MEA (Monitorar, Avaliar e Validar).
 APO contém 13 processos, BAI contém 10 processos, DSS contém 6

processos e MEA contém 3 processos.
 Isto perfaz um total de 37 processos, 32 para gestão e 5 para

Governança.
Estrutura PRM (Cont.)
 Cada processo está dividido em:
 Descrição do Processo.
 Declaração de propósito do processo.
 Metas de TI relacionadas (do desdobramento de Metas)
 Cada meta relacionada a TI é associada com um conjunto de métricas
genéricas.
 Objetivos de Processo (também a partir do mecanismo de desdobramento
de metas e é referido como metas habilitadoras)
 Cada processo é associado a metas ou relacionado com um conjunto de
métricas genérico.
 Cada processo contém um conjunto de práticas de gestão.
 Estas práticas estão associadas como um mapa genérico RACI
(Responsible, Accountable, Consulted, Informed).
 Cada prática de gestão contém um conjunto de entradas e saídas
(chamadas de produtos de trabalho ou artefatos no módulo PC).
 Cada prática de gestão é associada com um conjunto de atividades.
Habilitador 2: Processo - Definições
 Um processo é definido como um conjunto de práticas influenciadas pelas

políticas e procedimentos das empresas, que recebe entradas de um
número de fontes (incluindo outros processos) manipula as entradas e
produz saídas (por exemplo: produtos e serviços).
 Práticas de Processo são definidas como as "orientações" necessárias para

atingir os objetivos do processo.
 Atividades de processo são definidas como as "orientações" para alcançar

as práticas para o sucesso da governança e gestão de TI empresarial.
 Entradas e Saídas são os produtos de trabalho / artefatos do processo

considerados necessários para apoiar o seu funcionamento.
Habilitador 2: Exemplos de Processos
EDM01 – Assegurar o estabelecimento e a manutenção do

Framework de Governança.
EDM01 – Assegurar o estabelecimento e a manutenção do

Framework de Governança.
BAI04 RACI – Gerenciar Capacidade e Disponibilidade.

EDM01 – Assegurar o estabelecimento e a
manutenção do Framework de Governança
EDM01 – Assegurar o estabelecimento e a
manutenção do Framework de Governança
BAI04 RACI – Gerenciar Capacidade e Disponibilidade
EDM01.01 – Pratica de Gerenciamento – Entradas /Saidas
EDM01.01 - Atividades
Habilitador 2: Processo (cont. ...)
 Exemplos de Stakeholders Internos e Externos
 Stakeholders Externos: clientes, parceiros comerciais, acionistas,

reguladores
 Stakeholders Internos: diretoria, gerência, funcionários, voluntários
 Use a tabela RACI para as diferentes práticas de gestão, para

identificar mais exemplos de stakeholders.
 Características Principais de Metas de Processo:

 Metas de processo são definidas como uma declaração descritiva do resultado desejado de um
processo. Um resultado pode ser um artefato, uma significativa mudança de estado ou uma
melhoria de capacidade significativa de outros processos. (Veja Modulo PC).
 Eles fazem parte do desdobramento de metas, em que metas do processo apontam para metas
relacionados à TI que ligam as metas empresariais. (Veja Modulo PR).
 Há também três categorias:
 Metas Intrínsicas
 Metas Contextuais
 Metas de Segurança e Acessibilidade
 Relacionamento entre Processos e outros Habilitadores:

 Processos necessitam de informação como uma forma de entrada.
 Processos precisam de estrutura organizacional.
 Processos produzem e necessitam de serviços, infraestrutura e aplicações
 Processos são dependentes de outros processos.
 Processos precisam de políticas e procedimentos para assegurar uma implementação coerente.
Habilitador 3: Estrutura Organizacional
 Uma série de Boas Práticas para estrutura organizacional pode ser

distinguida, tais como:
 Princípios de operação: As modalidades práticas a respeito de como a estrutura irá

operar, como documentação, reunião, frequência e outras regras.
 Abrangência do controle: Os limites dos direitos da estrutura da organização de

decisão.
 Nível de autoridade: As decisões que a estrutura está autorizado a tomar.
 Delegação de responsabilidade: A estrutura pode delegar um subconjunto de direitos

de sua decisão para outras estruturas que reportarão a ela.
 Procedimentos de escalação: O fluxo de escalonamento para uma estrutura descreve

as ações necessárias em caso de problemas na tomada de decisões.
Habilitador 4: Cultura, Ética e Comportamento
 Boas práticas para criar, incentivar e manter o comportamento desejado em toda a

empresa:
 Comunicação em toda a empresa de comportamentos desejados e valores corporativos

(Isto pode ser feito através de um código de ética).
 Consciência do comportamento desejado, reforçado por meio de exemplos da gerência

sênior. Esta é uma das chaves para um ambiente de boa governança, quando a gerência
sênior e os executivos praticam o que falam. Às vezes, é uma área difícil e uma das
causas do insucesso de empresas, pois leva a uma governança ruim. (Normalmente,
isso é parte de um treinamento e sessões de sensibilização em torno de um código de
ética).
 Incentivos para encorajar e dissuadir afim de reforçar o comportamento desejado. Há

uma clara ligação com esquemas de pagamento e recompensa de recursos humanos.
 Regras e normas que orientam e normalmente irão ser encontradas em um Código de

Ética.
 Relacionamento de Metas para Cultura, Ética e Comportamento
 Ética Organizacional determina os valores pelos quais a empresa deseja existir

(seu código).
 Ética individual determinada pelos valores de cada pessoa, em certa medida, de

fatores externos, nem sempre sob o controle da empresa.
 Comportamentos individuais que coletivamente determinam a cultura da

empresa e é dependente de ética tanto organizacionais e individuais. Alguns
exemplos :
 Comportamento em relação ao risco.

 Comportamento em relação aos princípios da empresa e políticas.
 Comportamento para resultados negativos, por exemplo, eventos de perda.
 A relação deste habilitador para outros habilitadores
 Vínculos para processos para execução de atividades do processo.
 Vínculos para estruturas organizacionais para a implementação das

decisões
 Vínculos para princípios e políticas, para poder comunicar os valores

corporativos. (muitas organizações incluem o seu código de ética com
suas políticas).
Habilitador 5: Informação
 Importância das dimensões e categorias de qualidade da informação
 O conceito de critérios de informação foi introduzido no COBIT 4.1, estes

foram muito importantes e capazes de mostrar como atender os requisitos de
negócios.
 Importância dos critérios de informação
 O COBIT 4.1 nos apresentou o conceito de sete critérios principais da

informação para atender aos requisitos de negócios. Este conceito foi
mantido, mas transcrito de maneira diferente (como mostrado na Figura 9 e
26 do Anexo F do Framework COBIT 5 ).
Habilitador 5: O Cubo dos Critérios de Informação do
COBIT 4.1 – Requisitos de Negócio
 Para satisfazer os objetivos de negócios, a informação precisa estar em conformidade
com critérios de informação específicos, os quais o COBIT se refere como requisitos de
negócios para informação. Os critérios de informação, de uma forma mais abrangente,
estão baseados em 03 grupos:
 Grupo 1: Qualidade Eficácia
 Grupo 2: Valor (fiduciário) Efficiência
 Grupo 3: Segurança. Confidencialidade
Integridade
 Sete critérios de informação: Disponibilidade
1. Eficácia (Effectiveness) Conformidade
Requisitos de Negócios
2. Eficiência (Efficiency) Confiabilidade
3. Confidencialidade (Confidentiality)
Recursos de TI
4. Integridade (Integrity)
Processos de TI
5. Disponibilidade (Availability)
6. Conformidade (Compliance)
7. Confiabilidade (Reliability)
Requisitos de Negócio do COBIT 4.1
Lida com informações relevantes e pertinentes aos processos de negócios
Eficácia como também ser entregue em tempo, correta, consistente e usual.
Lida com a provisão de informações através do uso de Requisitos de Negócios

Eficiência
recursos otimizados – mais produtivos e econômicos
Lida com a proteção de informações sensíveis de Recursos de TI

Confidencialidade revelações não autorizadas. Processos de TI
Se relaciona com a exatidão e validade da informação de

Integridade acordo com os valores de negócios e expectativas.
Se relaciona com a informação estar disponível quando necessário pelo processo de

Disponibilidade negócios no presente e no futuro. Ele também é responsável pela guarda de recursos
necessários e capacidades associadas.
Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo de
Conformidade
negócios esta sujeito.
Se relaciona com a provisão de informações corretas para Gerenciar, operar a entidade e

Confiabilidade
exercitar suas responsabilidades fiduciárias e de governança.
Critérios de Informação do COBIT 4.1 e Equivalência no
COBIT 5
CRITÉRIOS DE
INFORMAÇÃO DO DESCRIÇÃO EQUIVALENTE NO COBIT 5
COBIT 4.1
A informação é eficaz se ela atende as necessidades do consumidor desta informação, que a utiliza para uma
tarefa específica. Se o consumidor pode realizar a tarefa com a informação, então esta informação é eficaz.
Eficácia
Isso corresponde às seguintes metas de qualidade da informação: quantidade adequada, relevância,
compreensibilidade, interpretabilidade e objetividade.
Considerando que a eficácia trata a informação como um produto, a eficiência se relaciona mais com o
processo de obtenção e uso desta informação, portanto se alinha com a visão da "informação como um
serviço" . Se a informação satisfaz as necessidades do consumidor e é obtida e usada de uma maneira fácil
Eficiência
(isto é, usa-se poucos recursos – esforço físico, esforço cognitivo, tempo e dinheiro), então a utilização desta
informação é dita eficiente. Isso corresponde às seguintes metas de qualidade da informação: credibilidade,
acessibilidade, facilidade de operação e reputação.
Se a informação tem integridade, então é livre de erro e completa. Portanto, satisfaz as seguintes metas de
Integridade
qualidade da informação: exatidão e integridade.
Confiabilidade é muitas vezes vista como sinônimo de precisão, no entanto, também pode-se dizer que a
informação é confiável, se é considerada como verdadeira e possui credibilidade. Comparado com a
Confiabilidade
integridade, a confiabilidade é mais subjetiva, mais relacionada à percepção, e não apenas com fatos. Ela
corresponde as seguintes metas de qualidade da informação: credibilidade, reputação e objetividade.
Disponibilidade A disponibilidade corresponde às metas de qualidade da informação: acessibilidade e titulo de segurança
Confidencialidade A confidencialidade corresponde a seguinte meta de qualidade da informação: acesso restrito à informação.
Conformidade é coberta por quaisquer metas de qualidade da informação, considerando que a informação
necessita estar de acordo com as especificações e requisitos. Conformidade com os regulamentos é mais
Conformidade
frequentemente um meta ou exigência do uso da informação, não tanto uma qualidade inerente da
informação.
Meta Dado – Ciclo da Informação
Gerar e Processar Processos de Negócio Transportar (Drive)
Processos de TI
Dado Valor
Informação Conhecimento
Transformar Transformar Criar
 Atributos da informação aplicados às seguintes camadas:
 Camada Mundo Físico: O mundo onde todos os fenômenos que podem

ser observados ocorrem empiricamente.
 Camada Empírica: A observação empírica dos sinais utilizados para
codificar a informação e a sua distinção de cada um dos outros.
 Camada Sintática: As regras e princípios para a construção de frases nas
línguas naturais ou artificiais. Sintaxe refere-se à forma da informação.
Definição: Código / linguagem é um atributo que identifica o canal de acesso a informação,

por exemplo, interfaces com o usuário e as regras para a combinação de símbolos da
linguagem para formar estruturas sintáticas.
 Camada Semântica: As regras e princípios para a construção de significado fora das

estruturas de sintaxe.
 Camada Pragmática: As regras e estruturas para a construção de grandes

estruturas de linguagem que cumprem propósitos específicos na comunicação
humana. Pragmática refere-se ao uso da informação.
 Camada Social Mundial: O mundo que é socialmente construído através do uso de

estruturas de linguagem ao nível pragmático da semiótica, por exemplo: contratos,
as leis, cultura.
 Os usos possíveis do modelo de informação:

 Para especificações da informação
 Para determinar a proteção requerida
 Para determinar facilidade de uso do dado
Exemplo 1
EXEMPLO 1: MI - MODELO DE INFORMAÇÃO UTILIZADO PARA ESPECIFICAÇÃO DA
INFORMAÇÃO
Ao desenvolver um novo aplicativo, o Modelo de Informação - MI pode ser usado para ajudar com as
especificações da aplicação e as informações associadas ou modelos de dados. Os atributos de
informação do MI podem ser usados para definir as especificações para a aplicação e os processos de
negócio que irão utilizar a informação.
Por exemplo, o desenho e especificações de um novo sistema precisam especificar:
 Camada Física: onde as informações serão armazenadas?

 Camada Empírica: como as informações podem ser acessadas?
 Camada Sintática: como a informação será estruturada e codificada?
 Camada Semântica: que tipo de informação é esta? Qual é o nível da informação?
 Camada Pragmática: quais são os requisitos de retenção? Que outras informações são necessárias para
que esta informação seja útil e utilizável?
Olhando para a dimensão das partes interessadas combinada com a informação de ciclo de vida,
pode-se definir quem terá o tipo de acesso aos dados durante que fase do ciclo de vida da
informação. Quando o aplicativo é testado, os testadores podem olhar para os critérios de qualidade
da informação para desenvolver um conjunto de casos de teste.
Exemplo 2
EXEMPLO 2: MI - MODELO DE INFORMAÇÃO UTILIZADO PARA DETERMINAR A
PROTEÇÃO REQUERIDA
Grupos de segurança dentro da empresa podem se beneficiar da dimensão de atributos do MI. Na

verdade, quando carregado com proteção de informações, eles precisam olhar:
 Camada Física: Como e onde as informações são armazenadas fisicamente?

 Camada Empírica: Quais são os canais de acesso à informação?
 Camada Semântica: Que tipo de informação é esta? A informação é atual ou relacionada ao
passado ou ao futuro?
 Camada Pragmática: Quais são os requisitos de retenção? A informação é histórica ou
operacional?
Usar esses atributos permitirá que o usuário determine o nível de proteção e os mecanismos de
proteção necessários. Olhando para uma outra dimensão do MI, os profissionais de segurança podem
também considerar as fases do ciclo de vida da informação, porque a informação precisa ser
protegida durante todas as fases do ciclo de vida. Na verdade, a segurança começa na fase de
planejamento da informação e implica em mecanismos de proteção diferentes para armazenar,
compartilhar e disponibilizar esta informação. O MI garante que a informação é protegida durante o
seu ciclo de vida.
Exemplo 3
EXEMPLO 3: MI - MODELO `DE INFORMAÇÃO UTILIZADO PARA DETERMINAR A

FACILIDADE DE USO DE DADOS
Ao realizar uma revisão de um processo de negócio (ou um aplicativo), o MI pode ser usado para
ajudar com uma revisão geral da informação processada entregue pelo processo, e dos sistemas de
informação de base.
Os critérios de qualidade podem ser utilizados para avaliar a medida em que a informação está
disponível, se a informação está completa, disponível em tempo hábil, factualmente correta,
relevante, disponível na quantidade adequada. Pode-se também considerar os critérios de acesso, se a
informação é acessível quando necessário e devidamente protegida.
Revisão pode ser ainda estendida para incluir critérios de representação, por exemplo, a facilidade
com que a informação pode ser entendida, interpretada, usada e manipulada.
Revisão que usa os critérios de qualidade da informação do MI, fornece a empresa uma visão
abrangente e completa sobre qualidade das informações atuais dentro de um processo de negócio.
 Os atributos necessários para avaliar o contexto e a qualidade das

informações para o usuário:
 Relevância: A medida em que informação está aplicável e útil para execução de uma tarefa
corrente.
 Abrangência: A medida em que a informação não está faltando e é de profundidade

suficiente e resistência para execução de uma tarefa corrente.
 Adequação: A medida em que o volume de informações é apropriado execução de uma

tarefa corrente.
 Concisão: A extensão na qual a informação é representada de forma compacta.
 Consistência: A medida em que a informação é apresentada no mesmo formato.
 Compreensibilidade: A medida em que a informação é facilmente compreensível.

 A facilidade de manipulação: A medida em que a informação é fácil de manipular e de
aplicar para tarefas diferentes.
Habilitador 6: Serviço, Infraestrutura e Aplicações
 Os cinco princípios da arquitetura que regem a implementação e uso de TI

relacionados com recursos.
 Isso faz parte das Boas Práticas deste Habilitador.
 Princípios de arquitetura são orientações gerais que regem a aplicação e utilização de

recursos relacionadas a TI dentro da empresa:
 Reutilizar: Os componentes comuns da arquitetura devem ser utilizados na concepção e

implementação de soluções como parte das arquiteturas de transição ou a que se busca como
meta.
 Comprar vs Construir: Soluções devem ser compradas a menos que haja uma justificativa
aprovada para desenvolvê-las internamente.
 Simplicidade: A arquitetura empresarial deve ser concebida e mantida para ser o mais simples
possível, enquanto ainda atender aos requisitos da empresa.
 Agilidade: A arquitetura empresarial deve incorporar agilidade para atender às necessidades
empresariais em constante mudança de uma forma eficaz e eficiente.
 Abertura: A arquitetura empresarial deve alavancar os padrões abertos da indústria.
Habilitador 6: Serviço, Infraestrutura e Aplicações
 Relacionamento com outros Habilitadores
 Informação: É uma capacidade de serviço que é alavancada através de processos para

entregar serviços internos e externos.
 Aspectos culturais e comportamentais relevantes: Quando uma cultura orientada para

o serviço precisa ser construída.
 Entradas e saídas do processo: A maioria das entradas e saídas (produtos de

trabalho/artefatos) das práticas de gestão de processos e atividades no PRM – Process
Reference Model, ou Modelo de Referência de Processos, incluem capacidades de
serviço.
Habilitador 7: Pessoa, Perfil e Competências
 Identificar as boas práticas de Pessoas, Habilidades e

Competências:
 Descrito por diferentes níveis de habilidade para diferentes funções.
 Definição de requisitos de habilidade para cada função.
 Mapeamento de categorias de habilidades para domínios de processo do COBIT 5 (APO;

BAI etc).
 Estes correspondem as atividades relacionadas a TI, com as realizadas, por exemplo,

análise de negócios, gerenciamento de informações, etc.
 O uso de fontes externas de boas práticas, existentes em frameworks como ITIL; que
contém orientações detalhadas sobre como projetar e operar serviços.
 Considere também TOGAF ( www.opengroup.org/TOGAF ), que fornece um sistema

integrado de informações sobre o modelo de referência de infraestrutura.
Habilitador 7: Pessoa, Perfil e Competências
Identificação das categorias de habilidade relacionados aos

domínios de processo do COBIT 5
 O COBIT 5 fornece alguns exemplos dos diferentes níveis de habilidade

categorizados por domínio de processo, por exemplo:
 O domínio Alinhar, Planejar e Organizar (APO), contém as seguintes

habilidades associadas :
• A formulação de políticas de TI.

• Estratégia de TI.
• Arquitetura empresarial.
• Inovação.
• Gerenciamento Financeiro.
• Gerenciamento de Portfólio.
Anexos
Use o Desdobramento de Metas

para definir o escopo dos processos
Exemplo a seguir
Passo 1: Comece com as Categorias do BSC
Balanced Enterprise IT Related Goal

COBIT Process
Scorecard Goals (ITRG)
Financial
Customer
Internal
Learning
6. Customer-oriented service culture

Customer
7. Business service continuity and availability
8. Agile responses to a changing business environment
9. Information-based strategic decision making
10. Optimisation of service delivery costs

Passo 2: Selecione as Metas Empresariais, Metas
de TI relacionadas e Processos
Customer
6. Customer-oriented service culture
7. Business service continuity and availability
ITRG 07 Delivery of IT services in line with business requirements
ITRG 08 Adequate use of applications, information and technology solutions
ITRG 01 Alignment of IT and business strategy
ITRG 04 Managed IT-related business risk
ITRG 10 Security of information, processing infrastructure and applications
ITRG 14 Availability of reliable and useful information for decision making
PROCESSES PRIMARY IMPORTANCE OR

IMPACT
APO09 Manage Service Agreements P
APO13 Manage Security P
BAI04 Manage Availability and Capacity P
BAI08 Manage Knowledge P
BAI10 Manage Configuration P
DSS03 Manage Problems P
DSS04 Manage Continuity P

Passo 3: Examinando Métricas
COBIT FOUNDATION
Example APO09 – Examine Metrics
Process ID APO09
Process Name Manage Service Agreements
Process Align IT-enabled services and service levels with enterprise needs and expectations, including identification, specification, design, publishing, agreement, and monitoring of
Description IT services, service levels and performance indicators.
Unidade 4 - Módulo IM
Introduction to COBIT5 Implementation
Process Purpose Ensure that IT services and service levels meet current and future enterprise needs.
“Introdução a implementação do
COBIT5”
Outcomes (OS)
RELATED METRICS
The number of business processes with unidentified service
Number Description agreements
% of live IT services covered by service Agreements
% of Customers satisfied that service delivery meets agreed-on
APO09-O1 IT services are identified, defined and catalogued according to enterprise needs.
levels
Number & severity of service breaches
APO09-O2 Service agreements reflect enterprise needs and the capabilities of IT. % of services being monitored to service levels
% of service targets being met
APO09-O3 IT services perform as stipulated in service agreements.

Agenda da Unidade 4 - Módulo IM
Introdução a Implementação do COBIT 5
 A abordagem do ciclo de vida.

 Componentes do ciclo de vida inter-relacionados.
 Compreender fatores internos e externos empresariais.
 Principais fatores de sucesso para a implementação.
 As sete fases do modelo do ciclo de vida.
 As sete características da habilitação de Mudança utilizadas no
ciclo de vida.
 Relacionamentos da habilitação de Mudança para o ciclo de
vida da melhoria contínua.
 Elaborando o caso de negócio.
 Anexo: Resumo das diferenças entre COBIT 4.1 e COBIT 5.
 Conhecer fatos, termos e conceitos relativos à implementação do COBIT 5,

especificamente para lembrar:
 Os três componentes inter-relacionados do modelo de ciclo de vida:

 Gestão de programa
 Habilitar a Mudança endereçando especificamente aspectos culturais e
comportamentais
 Núcleo do ciclo de vida da melhoria continua
 Entender a orientação que o ISACA oferece para implementação do

COBIT 5, o uso do ciclo de vida da melhoria contínua na habilitação de
mudança em uma empresa. Especificamente para identificar:
 Os fatores ambientais internos e externos específicos da empresa e como eles se

aplicam a gestão de mudanças.
 A importância dos “pontos de dor” e “eventos” que exigem uma melhor
governança e gestão de TI empresarial.
Resultados de Aprendizagem (Cont....)
 Entender a orientação que o ISACA oferece para implementação do

COBIT 5, o uso do ciclo de vida da melhoria contínua na habilitação de
mudança em uma empresa. Especificamente para identificar:
 As sete fases de gestão de programa utilizado no modelo de ciclo de vida.

 As características da habilitação da mudança utilizados no modelo de ciclo de
vida.
 As sete características do ciclo de vida da melhoria contínua utilizadas no
modelo de ciclo de vida.
 A importância do caso de negócio (Business Case).
 As características de um bom caso de negócio e o que normalmente deve
conter.
Implementação do COBIT 5
 O ISACA desenvolveu a estrutura COBIT5 para ajudar as empresas a

implementarem bons habilitadores de governança. Na verdade, a
implementação de uma boa governança de TI empresarial é quase
impossível sem um framework de governança eficaz. Melhores práticas e
padrões também estão disponíveis para apoiar o COBIT5.
 No entanto, os frameworks, as melhores práticas e padrões são úteis

apenas se forem adotados e adaptados de forma eficaz. Há desafios que
precisam ser superados e problemas que precisam ser endereçados para
que a governança de TI empresarial seja implementada com sucesso.
 A implementação do COBIT 5 fornece orientação sobre como implementar

uma governança de TI empresarial.
Implementação do COBIT 5 (cont. ...)
 O Guia de Implementação do COBIT 5 ou COBIT 5 Implementation Guide foi

lançado ao mesmo tempo que o COBIT 5 Framework e COBIT 5 Enabling
Processes.
 Tecnologia da informação e informação são cada vez mais parte de todos os

aspectos do negócio.
 A necessidade de atrair mais valor a partir de investimentos em TI e

gerenciar uma crescente variedade de risco relacionada a TI nunca foi tão
elevada.
 A crescente regulamentação e legislação tem também levado a

conscientização da importância da boa governança.
Desafios para o Sucesso
 Quais são os Direcionadores (drivers)?

 Onde estamos agora e onde queremos estar?
 O que precisa ser feito?
 Como chegaremos lá?
 Será que chegamos lá?
 Como mantemos o impulso?
Implementação do COBIT 5
Fatores empresarias internos e externos
 Compreender os fatores empresariais Internos e externos e

como eles se aplicam a gestão da mudança organizacional:
 Ética e cultura
 Leis, regulamentos e políticas
 Missão, visão e valores
 Políticas e práticas de governança
 Planos de negócios e intenções estratégicas
 Modelo operacional
 Estilo de gestão
 Apetite pelo risco
 Capacidades e Disponibilidade de recursos
 Práticas da indústria
Fatores chave de sucesso
 Contínuo comprometimento e direcionamento da Alta Administração

para a iniciativa.
 Todas as partes apoiando os processos de governança e de gestão

para entender os objetivos de TI e do Negócio.
 Assegurar a comunicação eficaz e habilitação das mudanças

necessárias.
 Adaptação do COBIT e outros padrões e boas práticas de apoio para

ajustar ao único contexto da empresa.
 Foco em vitórias rápidas e priorização das melhorias mais benéficas e

fáceis de implementar.
Implementação do COBIT 5 – Fase 1
Fase 1: Quais são os direcionadores (drivers)?
 Iniciar o programa
 Estabelecer a vontade de mudar
 Reconhecer necessidade de agir

Fase 1: Quais são os direcionadores (drivers)?
 Necessidade de organização da governança de TI (nova ou melhoria) é

geralmente reconhecida por “pontos de dor” e/ou “gatilhos de eventos “.
 O Board (Conselho de Administração) e a Diretoria Executiva devem:
 Analisar “pontos de dor” para identificar a causa raiz.

 Procurar oportunidades durante “gatilhos de eventos”.
 O objetivo desta fase do ciclo de vida inclui:

 Delinear o caso de negócios (Business Case).
 Identificar as partes interessadas, papéis e responsabilidades.
 Comunicar o programa de Governança de TI utilizando “wake-up call” and kick-
off” (chamada para o despertar" e “pontapé inicial”)
Fase 1: Pontos de dor típicos
 Falha nas iniciativas de TI.  Desperdício de recursos através da duplicação ou

sobreposição de iniciativas de TI.
 Aumento dos custos.
 Insuficiência de recursos de TI.
 Percepção de baixo valor para os negócios
dos investimentos em TI.  Esgotamento do pessoal de TI/ insatisfação.
 Incidentes significativos relacionados a risco  TI permitir mudanças frequentemente deixando

de TI (perda de dados, por exemplo). de atender às necessidades de negócio (entregas
atrasadas ou estouros de orçamento).
 Problemas de entrega de serviço.
 Esforços de garantia de TI múltiplas e
 Deixar de atender às exigências complexas.
regulamentares ou contratuais.
 Os membros do conselho ou gerentes seniores
relutantes em se envolver com TI.
 Constatações da auditoria para
desempenho pobre de TI ou baixos níveis
de serviço.
 Gastos com TI ocultos e / ou não

autorizados
Fase 1: Gatilhos de eventos relevantes
 Fusão, aquisição ou alienação  Uma empresa toda focada em governança

ou projeto.
 Desvio no mercado, economia ou posição
competitiva  Um novo CIO, CFO, COO,CEO.
 Mudança no modelo operacional de  Auditoria externa ou consultor de

negócio ou acordos de terceirização avaliações.
 Nova regulamentação ou requisitos de  A nova estratégia de negócios ou de

conformidade prioridade.
 Mudança tecnológica significativa ou

desvio de paradigma
Usando “pontos de dor ou gatilho de eventos” como o ponto de partida para

iniciativas de governança de TI, o caso de negócio para a melhoria da
Governança de TI Empresarial pode ser relacionado a questões que estão sendo
vivenciadas, o que melhorará a tomada de decisão inclusive relativamente ao
próprio caso de negócio.
Fase 2 – Onde nós estamos agora?
 Definir os problemas e as oportunidades [Gestão de Programas]

 Entender os “pontos de dor” que foram identificados como problemas de
governança.
 Aproveitar os eventos de gatilho que oferecem oportunidade de melhoria.
 Formar uma equipe de alto desempenho orientada [Habilitação de

Mudança]
 Conhecimento do ambiente de negócios.
 Percepção sobre fatores que influenciam.
 Avaliar o estado atual [Atributo do ciclo de vida da melhoria continua]

 Identificar os objetivos de TI em relação aos objetivos da empresa.
 Identificar os processos mais importantes.
 Entender o apetite de gestão de risco.
 Compreender a maturidade de governança existente.
 Processos relacionados.
Fase 3 – Onde nós queremos estar?
 Definir o roteiro / roadmap

 Descreva em alto nível os objetivos e o plano de habilitação de
mudança.
 Comunicar a visão desejada

 Desenvolver uma estratégia de comunicação.
 Comunique a visão.
 Articular a lógica e os benefícios da mudança.
 Defina o “tom” no topo da organização/Board
 Definir a situação desejada/meta e realizar análise de Gaps

 Definir meta para a melhoria
 Analisar os gaps
 Identificar potenciais melhorias
Fase 4 – O que precisa ser feito?
Desenvolver um planejamento do programa

 Priorizar iniciativas potenciais.
 Desenvolver projetos formais e justificáveis.
 Use planos que incluam objetivos de contribuição e do programa.
Capacitar “atores” e identificar ganhos rápidos

 Alto benefício, implementações simples devem vir em primeiro lugar.
 Obter apoio dos principais interessados afetados pela mudança.
 Identificar os pontos fortes em processos existentes.
Projetar e construir melhorias

 Identificar e registrar melhorias em uma matriz para auxiliar na priorização.
 Considerar abordagem, resultados, recursos necessários, custos, escalas de
tempo estimado, dependências de projeto e riscos.
Fase 5 – Como chegaremos lá?
 Executar o plano
 Executar projetos de acordo com um plano do programa integrado.
 Fornecer relatórios regulares de atualização para os interessados.
 Documentar e monitorar a contribuição dos projetos enquanto gestão dos riscos
identificados.
 Habilitar operação e uso

 Aproveitar o impulso e credibilidade de vitórias rápidas.
 Planejar os aspectos culturais e comportamentais da mais ampla transição.
 Definir medidas de sucesso.
 Implementar melhorias
 Adotar e adaptar as melhores práticas para atender a abordagem da empresa
para políticas e mudanças de processo.
Fase 6 – Será que chegamos lá?
 Realizar benefícios
 Monitorar o desempenho global do programa em relação aos objetivos do caso
de negócio.
 Monitorar e medir o desempenho do investimento.
 Incorporar novas abordagens

 Fornecer transição do modo de projeto para os negócios de maneira usual.
 Monitorar se novos papéis e responsabilidades foram adotados.
 Acompanhar e avaliar os objetivos dos planos de resposta a mudança.
 Manter a comunicação e garantir a comunicação permanente entre os
apropriados Stakerolders.
 Operar e medir
 Estabelecer metas para cada métrica.
 Métricas de medida contra alvos.
 Comunicar os resultados e ajustar as metas, se necessário.
Fase 7 – Como mantemos impulso?
 Melhoria Contínua
 Manter o impulso é crítico para sustentação do Ciclo de Vida.
 Reveja os benefícios do programa

 Revisão da eficácia do programa.
 Sustentar
 Reforço consciente (realizadores de recompensa).
 Campanha de comunicação em curso (feedback sobre o desempenho).
 Compromisso permanente da alta direção (apoio do topo).
 Monitorar e Avaliar
 Identificar novos objetivos de governança com base na experiência do programa.
 Comunicar as lições aprendidas e mais os requisitos de melhorias para a próxima
iteração do ciclo.
Relacionamento na habilitação da mudança
para os passos da gestão do programa
 Já definimos as sete fases e mostramos que as etapas da gestão de
programa se relacionam. Esta seção descreve os sete Habilitadores (o anel
interno ou círculo vermelho) e sua relação com as sete etapas do
programa de gestão (o anel externo ou anel azul escuro).
FASE E PASSOS DO PROGRAMA HABILITADORES RELACIONADOS AOS PASSOS

1. Iniciar programa Estabelecer o desejo de mudar
2. Definir Problemas e Oportunidades Formar equipe de implementação
3. Definir Roteiro Comunicar resultados
4. Planejar o Programa Identificar atores
5. Executar o plano Operar e usar
6. Realizar Benefícios Incorporar novas abordagens
7. Revisão de Eficácia Sustentar
Relacionamento na habilitação da mudança do
ciclo de vida da melhoria continua
 Agora vamos olhar para o núcleo ou anel central (azul claro). Estas são as
tarefas associadas a cada habilitador da mudança.
HABILITADORES DA MUDANÇA CICLO DE VIDA DA MELHORIA CONTINUA

1. Estabelecer o desejo de mudar Reconhecer que precisam agir
2. Formar equipe de implementação Avaliar o estado atual
3. Comunicar resultado Definir estado de desejado
4. Identificar atores Construir a Melhoria
5. Operar e usar Implementar melhorias
6. Incorporar novas abordagens Operar e Medir
7. Sustentar Monitorar e Avaliar

Elaborando um Caso de Negócio - “Business Case”
 As características de um bom Caso de Negócio (Business Case):
 Um nível adequado de urgência precisa ser incutido e as principais partes

interessadas (stackeholders) devem estar cientes do risco de não tomar medidas
quando importância de um caso de negócios for formalizada,. A iniciativa deve
ser de propriedade de um patrocinador sênior (sponsor), envolver todas as
partes interessadas e basear-se em no caso de negócios.
 Inicialmente, este pode ser um caso de negócios de alto nível, ou seja, lidar
com os benefícios estratégicos e custos e, em seguida, avançar para um caso de
negócio mais detalhado. É uma ferramenta valiosa disponível para gestão na
orientação da criação de valor para o negócio.
Elaborando um Caso de Negócio
“Business Case”
 As características de um bom Caso de Negócio (Business Case):

 No mínimo um caso de negócio deve conter:
 Os benefícios de negócios que serão realizados.
 As mudanças de negócios requeridas.
 Os investimentos necessários.
 Os custos operacionais de TI em curso.
 Restrições e dependências decorrentes da avaliação de risco.
 Papéis, responsabilidades e obrigações relativos à outra iniciativa.
 Como o investimento será monitorado.

Diferenças entre COBIT 4.1 e COBIT 5
vs
Mensagem de Transição do COBIT
4.1, COBIT 4.1 para o COBIT 5
 Usuários COBIT 4.1, Val IT e Risk IT que já estão envolvidos nas atividades de
implementação de Governança de TI Empresarial (GEIT – Governance of
Enterprise IT) pode realizar a transição para COBIT 5 e obter benefícios a
partir da orientação mais recente e melhor que ele proporciona durante as
próximas iterações do ciclo de vida de melhoria da empresa.
 COBIT 5 baseia-se em versões anteriores do COBIT (COBIT 4.1, Val IT e Risk IT)
e assim as empresas podem também consolidar o que têm desenvolvido
utilizando versões anteriores
Áreas que sofreram Alterações
 Os slides a seguir resumem as principais mudanças no conteúdo

do COBIT e como eles podem impactar na melhoria e
implementação da Governança de TI Empresarial:
 Novos Princípios de Governança de TI Empresarial.
 Maior foco em habilitadores.
 Novo Modelo de Referência de Processo.
 Processos novos e modificados e separação entre Governança e Gestão.
 Práticas e atividades.
 Metas e Métricas revisadas e expandidas.
 Entradas e saídas fornecidas ao nível de prática de gestão vs nível de
processo no COBIT4.1.
 Gráficos RACI expandidos a nível de gestão prática.
 Novos modelos de Maturidade e Capacidade de Processo.
Definição de Governança e Gestão
 Que tipo de Framework é o COBIT?
 Uma auditoria de TI e Framework de controle?

 COBIT (1996) e COBIT 2nd Edition (1998).
 Concentrava-se em objetivos de controle.
 Um Framework de gestão de TI?

 COBIT 3rd Edition (2000).
 Guia de gerenciamento adicionado.
 Uma Framework de governança de TI?

 COBIT 4.0 (2005) e COBIT 4.1 (2007).
 Processos de governança e conformidade adicionados.
 Processos de garantia removidos.
 Mas qual é a diferença entre governança e gestão?

Definição de Governança e Gestão
 O Modelo de Referência de Processo do COBIT 5 subdivide as práticas relacionadas a TI e as

atividades da empresa em duas principais áreas de Governança e Gestão, com a gestão dividida
em domínios de processos:
 O domínio de Governança
 Contém cinco processos de governança
dentro de cada processo, as práticas de
Avaliar, Direcionar e Monitorar
estão definidas (EDM).
 Os quatro domínios de Gestão

 Estão em linha com as áreas de
responsabilidade de Planejar,
Construir, Executar e Monitorar (PBRM).
Novos Princípios de Governança
Princípios do COBIT
Novos Princípios de Governança TI
Empresarial
 Val IT e Risk IT são Frameworks baseados em princípios.
 Feedback indicou que os princípios são fáceis de compreender e

colocados em um contexto empresarial, permite obter valor a
partir da orientação e apoio de forma mais eficaz.
 ISO/IEC 38500 também incorpora princípios para sustentar suas

mensagens, para obter a mesma entrega de benefício do
mercado, embora os princípios deste padrão não são os
mesmos do COBIT5 .
Maior foco em Habilitadores
 O COBIT 4.1 não tinha habilitadores! Sim, eles não foram
chamados habilitadores, mas eles estavam lá, explícita ou
implicitamente!
Maior foco em Habilitadores
 Informação, infra-estrutura, aplicações (serviços) e as pessoas

(pessoas, habilidades e competências) foram recursos no COBIT 4.1
 Princípios, políticas e Framework foram mencionados em alguns

processos COBIT 4.1.
 Processos eram fundamentais para uso no COBIT 4.1
 Estrutura organizacional estava implícita através dos responsáveis

(responsável, consultado ou informado - RACI), papéis e suas
definições.
 Cultura, ética e comportamento foram mencionados em alguns

processos COBIT 4.1.
Novo Modelo de Referência de Processo
 COBIT 5 é baseado em um modelo de referência de processo

revisado com um novo domínio de governança e vários processos
novos e modificados que agora cobrem atividades empresariais
fim-a-fim, isto é, áreas funcionais de TI e Negócio.
 COBIT 5 consolida o COBIT 4.1, Val IT e Risk IT em um Framework, e

foi atualizado para se alinhar com as melhores práticas atuais, por
exemplo, ITIL e TOGAF.
 O novo modelo pode ser usado como um guia para ajustar,

conforme necessário, o modelo de processo próprio da empresa
(como COBIT 4.1).
Modelo de Referência de Processo do COBIT
5
Processos novos e modificados
 O COBIT 5:
 Introduz cinco novos processos que alavancam e melhoram as
abordagens de Governança do COBIT 4.1, Val IT e Risk IT.
 Este Guia:
 Ajuda as empresas a aperfeiçoar e fortalecer as práticas de
Governança de TI Empresarial em nível Gestão executiva.
 Suporta integração de Governança de TI empresarial com práticas de
governança existentes na empresa e está alinhado com a ISO/ IEC
38500.
 O COBIT 5 tornou claros processos de nível de gestão e integrou o

conteúdo do COBIT 4.1, Val IT e Risk IT em um modelo de referência
de processo.
 Existem vários processos novos e modificados que refletem o

pensamento atual, em especial:
 APO03 Gerenciar arquitetura empresarial

 APO04 Gerenciar a inovação.
 APO05 Gerenciar Portfólio
 APO06 Gerenciar orçamento e custos.
 APO08 Gerenciar Relacionamentos.
 APO13 Gerenciar Segurança.
 BAI05 Gerenciar habilitação da mudança organizacional.
 BAI08 Gerenciar Conhecimento.
 BAI09 Gerenciar Ativos.
 DSS05 Gerenciar Segurança de Serviço
 DSS06 Gerenciar controles de processos de negócios.
 Processos do COBIT 5 agora cobrem as atividades de TI e

Negócios fim-a-fim, ou seja, uma visão de nível empresarial
completa.
 Proporciona uma cobertura completa e mais holística de

práticas que reflitam a natureza difundida em toda a empresa
do uso de TI.
 Isso torna o envolvimento, responsabilidades e obrigações das

partes interessadas do negócio (stakeholders) no uso de TI,
mais explícita e transparente.
Práticas e Atividades
 As práticas de gestão ou governança do COBIT 5 são equivalentes aos

processos.do Val IT e Risk IT e objetivos de controle do COBIT 4.1
 As atividades do COBIT 5 são práticas de gestão equivalentes as do Val IT e

Risk IT e as práticas de controle do COBIT 4.1.
 O COBIT 5 integra e atualiza todo o conteúdo anterior para o novo

modelo, tornando mais fácil para os usuários compreenderem e utilizarem
este material ao implementar melhorias..
Metas e Métricas Aprimoradas
 O COBIT 5 segue os mesmos conceitos de metas e métricas como o COBIT

4.1, Val IT e Risk IT, mas estas são renomeadas como metas empresariais,
metas relacionadas a TI e metas de processo refletindo uma visão de nível
empresarial.
 O COBIT 5 fornece um desdobramento de metas revisada com base em

metas empresariais que conduzem às metas relacionados a TI, e que são
suportadas por processos críticos.
 O COBIT 5 fornece exemplos de metas e métricas empresariais, processos

e níveis de prática de gestão. Esta é uma mudança em relação ao COBIT
4.1, Val IT e Risk IT que desciam um nível abaixo.
Entradas e Saídas dos Processos
“Revisadas e Melhoradas”
 O COBIT 5 fornece entradas e saídas para cada prática de

gestão, enquanto que o COBIT 4.1 somente fornecia a nível de
processo.
 Entradas e Saídas fornecem orientações detalhadas adicionais

para o desenho de processos para incluir produtos de
trabalho/artefatos essenciais e para ajudar com a integração
entre processos.
Matriz RACI Expandida
 O COBIT 5 fornece matriz RACI descrevendo as funções e

responsabilidades de um modo semelhante ao COBIT4.1,
Val IT e Risk IT.
 O COBIT 5 oferece uma gama mais completa, detalhada e

mais clara dos papeis e responsabilidades de TI e Negócios
genéricos e a matriz do COBIT 4.1 para cada prática de
gestão, permitindo uma melhor definição das
responsabilidades dos “atores” ou nível de envolvimento na
concepção e implementação de processos.
Matriz RACI Expandida
Novo Modelo de Avaliação de
Capacidade de Processo
 O COBIT 5 descontinuou a abordagem da modelagem de maturidade de

capacidade de processo baseada no CMM usada na avaliação do COBIT4.1,
Val IT e Risk IT.
 O COBIT 5 será apoiado por uma nova abordagem de avaliação de capacidade

de processo com base na ISO/IEC 15504. Um guia complementar foi fornecido
para ATO’s (www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Assessment-
Programme.aspx)
 A abordagem baseada no CMM utilizada para avaliação de processos do

COBIT 4.1, Val IT e Risk IT não são considerados compatíveis com a
abordagem do padrão ISO/IEC 15504, porque os métodos utilizam diferentes
atributos e escalas de medição.
Avaliação e Modelos de Maturidade e
COBIT 4.1/5
Capacidade de Processo (cont. …)
 A abordagem do Programa de Avaliação COBIT é considerado pela ISACA
como sendo mais robusto, confiável e reproduzível como método de
avaliação de capacidade de processo.
 O Programa de Avaliação COBIT suporta:

 Avaliações formais por avaliadores credenciados (formação de
avaliador está sendo desenvolvida)
 Auto-avaliações menos rigorosas para análise interna de gap e
planejamento de melhoria de processos.
 O Programa de Avaliação COBIT, no futuro, também vai potencialmente

permitir que uma empresa obtenha uma avaliação independente e
certificada alinhada ao padrão ISO / IEC .
COBIT FOUNDATION
 O usuário do COBIT 4.1, Val IT e Risk IT que desejar mudar para

a nova abordagem do Programa de Avaliação COBIT terá que
alinhar suas avaliações anteriores, adotar e aprender o novo
método, e iniciar um novo conjunto de avaliações, a fim de obter
Unidade 5 - Módulo PC
os benefícios da nova abordagem. Process Capability
“Capacidade de Processo”
 Embora algumas das informações recolhidas a partir de
avaliações anteriores possam ser reutilizáveis, os cuidados serão
necessários em migrar essas informações porque há diferenças
significativas nos requisitos.
Agenda da unidade 5 - Modulo PC
Capacidade de processo
 Introdução e Propósito do Guia
 Tópicos e Áreas de aprendizagem do Plano de Estudos
 Explicação sobre a Avaliação de Processos:
 O que é uma avaliação de processo.

 O que é o Programa de Avaliação COBIT
 As diferenças entre avaliação de capacidade e maturidade
 Diferenças para o COBIT 4.1 CMM
 Visão geral do modelo de capacidade e Avaliação do COBIT
 O Modelo de Referência de Processo (PRM)
 O Modelo de Avaliação de Processos (PAM)
 A Estrutura (Framework) de Medição
 Introdução aos Passos do Treinamento de Assessor/Avaliador
Resultados de aprendizagem
 Conhecer fatos, termos e conceitos relacionados ao modelo de capacidade
de processo. Especificamente para recordar:
 Os seis níveis de capacidade com base na ISO 15504.

 Os nove atributos baseado na ISO 15504.
 A escala de Avaliação com base na ISO 15504.
 A definição dos termos.principais da ISO 15504.
 Entender o Modelo de Capacidade de Processo e os conceitos básicos da

ISO 15504. Especificamente para identificar:
 As razões para a realização de uma Avaliação de Processos.

 O escopo do programa de avaliação COBIT, especificamente o propósito
dos três guias.
 As diferenças entre avaliação de Capacidade e Maturidade.
Resultados de aprendizagem
 Entender o Modelo de Capacidade de Processo e os conceitos básicos

da ISO 15504. Especificamente para identificar:
 O propósito de um Modelo de Referência de Processos.

 Como um Modelo de Referência de Processo é utilizado no PAM - Model
Assessment Process do COBIT 5.
 As características do PAM do COBIT 5 que atendem os padrões da ISO
15504.
 As diferenças entre as duas dimensões descritas na abordagem da ISO
15504.
 As diferenças entre os atributos genéricos e específicos descritos no PAM
do COBIT.
 Os benefícios da abordagem de avaliação de capacidade do COBIT.
 Como as escalas de avaliação são usadas em uma avaliação.
O QUE É “AVALIAÇÃO DE PROCESSO”?
 A ISO / IEC 15504-4 identifica a avaliação do processo como uma atividade

que pode ser realizada como parte de uma iniciativa de melhoria de
processo ou como parte de uma abordagem de determinação da
capacidade.
 O propósito da melhoria de processos é melhorar continuamente a

eficácia e eficiência das empresas.
 O objetivo de determinar a capacidade de um processo é identificar os

pontos fortes, pontos fracos e risco de processos selecionados, em relação
a um determinado requisito especificado através dos processos utilizados
e o alinhamento com as necessidades do negócio.
 A avaliação fornece uma metodologia compreensível, lógica, reproduzível,

confiável e robusta para avaliar a capacidade de processos de TI.
AVALIAÇÃO DA CAPACIDADE DE PROCESSO
 A abordagem do Programa de Avaliação COBIT é considerado pela ISACA

mais robusto, confiável e reproduzível, como um método de avaliação de
capacidade de processo.
 O Programa de Avaliação COBIT suporta:

 Avaliações formais por Avaliadores (Assessors) credenciados.
 Auto-avaliações para análise interna de gap e planejamento de melhoria de
processos com menos rigor.
 O Programa de Avaliação COBIT habilita uma empresa a obter uma avaliação

independente e certificada, alinhada com o padrão ISO/IEC.
O que é o programa de avaliação COBIT?
 O Programa de Avaliação COBIT inclui:
 Modelo de Avaliação de Processo COBIT - Usando
COBIT 4.1
 Modelo de Avaliação de Processo COBIT - Usando
COBIT 5
 Guia de Assessor COBIT - usando COBIT 4.1
 Guia de Assessor COBIT - usando COBIT 5.0
 Guia de Auto-Avaliação COBIT - Usando COBIT 4.1
 Guia de Auto-Avaliação COBIT - Usando COBIT 5.0
 O Modelo de Avaliação de Processos COBIT

reúne dois comprovados “pesos pesados” na
área de TI, ISO e ISACA.
 O Modelo de Avaliação de Processos COBIT

adapta o conteúdo já existente no COBIT 4.1 e o
conteúdo do COBIT 5, num modelo compatível
com a avaliação de processo da ISO 15504.
As avaliações de Capacidade de Processo
 Modelo de Avaliação de Processo COBIT - Usando COBIT 4.1 e COBIT 5:

 Serve como um documento de referência base para executar
avaliação da capacidade dos atuais processos de uma organização
de TI contra os processos do COBIT.
 Guia de Assessor COBIT - Usando COBIT 4.1 e COBIT 5:

 Fornece detalhes sobre como realizar uma avaliação de
conformidade ISO completa.
 Guia de Auto-avaliação COBIT - Usando COBIT 4.1 e COBIT 5

 Fornece orientação sobre como executar uma auto-avaliação básica
nos atuais níveis de capacidade de processo de uma organização de
TI contra os processos do COBIT.
As Diferenças entre Avaliação de Maturidade e
Capacidade
 Historicamente a maioria dos frameworks como COBIT, ITIL, PRINCE 2 adotaram a

abordagem do SEI (Software Engineering Institute) CMMI que combina Avaliação de
Capacidade e Maturidade em uma única avaliação.
 A ISO 15504 argumenta que as duas avaliações são distintas:

 Uma Avaliação de Maturidade é feita em um nível organizacional ou empresarial e usa
uma escala de medida diferente, critérios e atributos diferentes em relação a uma
avaliação de capacidade.
 A avaliação de Capacidade é feita em nível de processo e é feita para fins de melhoria de
processos, não podemos avaliar diversos processos diferentes matematicamente para
um nível de maturidade da empresa. No caso do CMM da SEI, avalia-se apenas um
processo, ou seja, o desenvolvimento de software de engenharia ou de desenvolvimento
de aplicações. Entretanto, maioria dos frameworks tem mais de um processo, como o
COBIT que contêm 34 e 37 processos, respectivamente para o COBIT 4.1 e COBIT 5
 Assim, o conceito da Avaliação de Maturidade foi redesenhado no COBIT 5 para a

Avaliação de Capacidade de Processo da ISO 15504.
As diferenças em relação ao Modelo CMM
 O Novo Programa de Avaliação do COBIT
 Uma avaliação robusta com base na ISO15504.

 Alinha a escala do modelo de Maturidade COBIT ao padrão da ISO15504.
 Novo modelo de avaliação baseada em capacidade inclui:
 Requisitos específicos de processos derivados do COBIT 4.1

 Habilidade de processo para atingir atributos do processo com base na ISO 15504.
 Requisitos de evidência.
 Qualificações de Avaliador (Assessor) e requisitos de vivência (experiência vivenciada na
prática)
 Resulta em uma avaliação mais robusta, objetiva e reproduzível.
 Os resultados da avaliação provavelmente irão variar de modelos de maturidade

COBIT existentes.
 O COBIT 5 só adota a abordagem ISO 15.504

Atributos de nível de maturidade de processos
COBIT 4.1 vs ISO 15504
COBIT 4.1 Nível de Processo ISO/IEC 15504

Maturidade de Processos Nível de Atributos
Capacidade
PA 5.1 – Inovação do Processo
5 - Otimizado 5- Otimizado
PA 5.2 – Otimização do Processo
PA 4.1 – Gestão do Processo
4 - Gerenciável e Mensurável 4- Previsível
PA 4.2 – Controle do Processo
PA 3.1 – Definição do Processo
3 - Definido 3- Estabelecido
PA 3.2 – Implementação do Processo
PA 2.1 – Gestão da Performance
2 - Repetível 2- Gerenciado
PA 2.2 – Gestão dos Produtos de Trabalho
1 - Inicial/ad hoc 1- Executado PA 1.1 – Execução do Processo
0 - Inexistente 0- Inexistente N/A – Não se Aplica
Processo de Avaliação de Capacidade
Diferenças entre o COBIT 4.1 e COBIT 5
 Principais diferenças:
 Uma Avaliação de Maturidade é feita em um nível

organizacional ou empresarial e usa uma escala de
medida diferente, critérios e atributos diferentes em
relação a uma avaliação de capacidade.
 A Avaliação de Capacidade é feita em nível de processo e

para fins de melhoria de processo.
Vantagens da abordagem ISO 15504
 Uma avaliação robusta baseada na ISO 15504.
 Um alinhamento da escala do modelo de maturidade COBIT com o padrão

internacional.
 Um novo modelo de avaliação baseada em capacidade, que inclui:

 Requisitos específicos de processos derivados do COBIT 4.1 e COBIT 5.
 Capacidade de atingir atributos do processo com base na ISO 15504.
 Requisitos de evidência.
 Qualificações de Avaliador (Assessor) e requisitos de experiência prática.
 Resulta em uma avaliação mais robusta, objetiva e reproduzível.

Abordagem da Avaliação - Visão Geral
COBIT 4.1 & 5.0
Process Assessment Model
Assessment Process
As principais definições da ISO 15504
 A ISO 15504 define os seguintes termos principais:
 Finalidade do processo: Os objetivos de alto nível mensuráveis de

execução do processo e os prováveis resultados da implementação
efetiva do processo.
 Resultado do processo: Um resultado observável de um processo (Nota:

Um resultado é um artefato, uma significativa mudança de estado ou a
reunião de restrições especificadas.)
 Práticas de base: As atividades que, quando consistentemente

realizadas, contribuem para atingir o objetivo processo
 Produto de trabalho: Um artefato associado à execução de um processo

- definido em termos de "inputs" do processo e "outputs" do processo.
Passo a passo
Modelo de Referência de Processo - PRM
Passo a passo do Modelo de

Referência de Processo - PRM
Entendendo a estrutura ISO

COBIT 5 - Modelo De Referência De Processo
COBIT 5 -Modelo de Referência de Processo
Process ID APO13
Process Name Manage Security
Process Define operate and monitor a system for information security management
Description
Process Keep the impact and occurrence of information security incidents within the enterprise's risk appetite levels.
Purpose
Outcomes (OS)
Number Description
APO13-O1 A system is in place that considers and effectively addresses enterprise information security requirements.
APO13-O2 A security plan has been established, accepted and communicated throughout the enterprise.
APO13-O3 Information security solutions are implemented and operated consistently throughout the enterprise.
Base Practices (BP)
Number Description Supports
APO13-BP01 APO13.01 Establish and maintain an information security Outcome APO13.O1
management system (ISMS).
Establish and maintain an ISMS that provides a standard, formal and
continuous approach to security management for information, enabling
secure technology and business processes that are aligned with business
requirements and enterprise security management.
APO13-BP02 APO13.02 Define and manage an information security risk Outcome APO13.O2
treatment plan.
Maintain an information security plan that describes how information
security risk is to be managed and aligned with the enterprise strategy and
enterprise architecture. Ensure that recommendations for implementing
security improvements are based on approved business cases and
implemented as an integral part of services and solutions development,
then operated as an integral part of business operation
APO13-BP03 APO13.03 Monitor and review the ISMS. Outcome
Maintain and regularly communicate the need for, and benefits of, APO13.O1/O3
continuous information security improvement. Collect and analyse data
about the ISMS, and improve the effectiveness of the ISMS. Correct non-
conformities to prevent recurrence. Promote a culture of security and
continual improvement.
COBIT 5 -Modelo de Referência de Processo
Work Products (WPs)
Inputs
Number Description Supports
DSS02-WP5 Classified and prioritised incidents and service requests Base practice APO13.BP03 and outcomes APO13.O1/O3
Outside COBIT Enterprise security approach Base practice APO13.BP01 and outcome APO13.O1
APO02-WP8 Gaps and changes required to realise target capability Base practice APO13.BP02 and outcome APO13.O2
APO03-WP4 APO03.02 - Baseline domain descriptions and architecture definition Base practice APO13.BP02 and outcome APO13.O2
APO12-WP13 APO12.05 - Project proposals for reducing risk Base practice APO13.BP02 and outcome APO13.O2
Outputs
Number Description Input to Supports
APO13-WP1 ISMS policy Internal from base practice APO13.BPO1 and outcome APO13.O1
APO13-WP2 ISMS scope statement APO01.02; DSS06.03 from base practice APO13.BPO1 and outcome APO13.O1
APO13-WP3 Information security risk treatment plan All EDM; All APO; All BAI; All DSS; All MEA from base practice APO13.BPO2 and outcome APO13.O2
APO13-WP4 Information security business cases APO02.05 from base practice APO13.BPO2 and outcome APO13.O2
APO13-WP5 ISMS audit reports MEA02.01 from base practice APO13.BPO3 and outcome
APO13.O1/O3
APO13-WP6 Recommendations for improving the ISMS Internal from base practice APO13.BPO3 and outcome
APO13.O1/O3
COBIT 4.1 - Modelo de Referência de Processo
BUSINESS OBJECTIVES AND
GOVERNANCE OBJECTIVES
C O B I T
ME1 Monitor and evaluate IT FRAMEWORK
PO1 Define a strategic IT plan.
performance. INFORMATION
PO2 Define the information
ME2 Monitor and evaluate internal
architecture.
control.
Efficiency Integrity PO3 Determine technological
ME3 Ensure compliance with
Effectiveness Availability direction.
external requirements.
Compliance PO4 Define the IT processes,
ME4 Provide IT governance. Confidentiality
organisation and relationships.
Reliability PO5 Manage the IT investment.
MONITOR PLAN PO6 Communicate management
AND AND aims and direction.
EVALUATE ORGANISE PO7 Manage IT human resources.
IT PO8 Manage quality.
DS1 Define and manage service RESOURCES PO9 Assess and manage IT risks.
levels.
PO10 Manage projects.
DS2 Manage third-party services.
DS3 Manage performance and
capacity.
DS4 Ensure continuous service. Applications
Information
DS5 Ensure systems security. AI1 Identify automated solutions.
Infrastructure
DS6 Identify and allocate costs. People AI2 Acquire and maintain
DS7 Educate and train users. application software.
DELIVER ACQUIRE
DS8 Manage service desk and AND AI3 Acquire and maintain
AND
incidents. SUPPORT IMPLEMENT technology infrastructure.
DS9 Manage the configuration. AI4 Enable operation and use.
DS10 Manage problems. AI5 Procure IT resources.
DS11 Manage data. AI6 Manage changes.
DS12 Manage the physical AI7 Install and accredit solutions
environment. and changes.
DS13 Manage operations.
Modelo de Referência de Processo
Os objetivos mensuráveis de alto nível de execução do processo e os resultados

prováveis da efetiva implementação do processo.
Um resultado observável de um processo: um objeto, uma significativa mudança de

estado ou um conjunto de restrições especificadas.
As atividades que, quando realizadas de forma consistente, contribuem para alcançar

o propósito do processo.
Os objetos associados com a execução de um

processo - definido em termos de "inputs" e
"outputs" do processo”
Modelo de Referência de Processo baseado no COBIT
4.1
As avaliações de Capacidade do Processo
 Os usuários do COBIT 4.1, Val IT e Risk IT que desejarem

mudar para a nova abordagem do Programa de Avaliação
COBIT, precisarão de:
 Realinhar suas avaliações anteriores.

 Adotar e aprender o novo método.
 Iniciar um novo conjunto de avaliações.
O Modelo de Avaliação de Processos
(PAM – Process Assessment Model)
O Modelo de Avaliação de Processos

(PAM – Process Assessment Model) Detalhado
 Escopo
 Indicadores
 Mapeamento
Escopo do Modelo de Avaliação de Processos
 Um Modelo de Avaliação de Processos está relacionado a um ou mais

Modelos de Referência de Processo. Ele é a base para a coleta de
evidência e classificação da capacidade do processo. Um Modelo de
Avaliação de Processo refere-se a pelo menos um processo a partir do
Modelo de Referência de Processos especificado.
 Um Modelo de Avaliação de Processos deve abordar, para um

determinado processo, tudo, ou um subconjunto contínuo, de níveis (a
partir do nível 1) da estrutura (framework) de medição para a capacidade
do processo, para cada um dos processos do escopo.
 NOTA: Seria admissível para um modelo, por exemplo, endereçar apenas o nível 1, ou
endereçar os níveis de 1, 2 e 3, mas não seria admissível endereçar os níveis 2 e 3, sem o
nível 1.
Indicadores
Indicadores com modelo de referencia
de processo COBIT 5
Avaliaçao da Capacidade de Processos
PA 2.1 Performance Management
Result of Full
Achievement of the Generic Practices (GPs) Generic Work Products (GWPs)
Attribute
a. Objectives for the GP 2.1.1 Identify the objectives for the GWP 1.0 Process documentation should
performance of the performance of the process. The performance outline the process scope.
process are identified. objectives, scoped together with assumptions GWP 2.0 Process plan should provide details of
and constraints, are defined and the process performance objectives.
communicated.
b. Performance of the GP 2.1.2 Plan and monitor the performance of GWP 2.0 Process plan should provide details of
process is planned and the process to fulfil the identified objectives. the process performance objectives.
monitored. Basic measures of process performance linked GWP 9.0 Process performance records should
to business objectives are established and provide details of the outcomes.
monitored. They include key milestones, Note: At this level, the record of process
required activities, estimates and schedules. performance may be in the form of reports,
issues registers and informal records.
c. Performance of the GP 2.1.3 Adjust the performance of the GWP 4.0 Quality record should provide details
process is adjusted to process. Action is taken when planned of action taken when performance is not
meet plans. performance is not achieved. Actions include achieved.
identification of process performance issues
and adjustment of plans and schedules as
appropriate.
Mapeamento do Modelo de Referência de Processo
 Um Modelo de Avaliação de Processos deve fornecer um mapeamento

explícito dos elementos relevantes do modelo para os processos do Modelo
de Referência de Processo selecionado e para os atributos relevantes de
processo da estrutura (framework) de medição.
 O mapeamento deve ser completo, claro e inequívoco. O mapeamento dos

indicadores dentro do Modelo de Avaliação de Processo deve ter:
 Os propósitos e resultados dos processos no Modelo de Referência de Processo

especificado.
 Os atributos do processo (incluindo todos os resultados das realizações listadas

para cada atributo de processo) na estrutura (framework) de medição. Isso
permite que os Modelos de Avaliação de Processo que são estruturalmente
diferentes, possam ser relacionados ao mesmo Modelo de Referência.de
Processo
Nível de Capacidade de Processos
Optimizing Level 5 Optimizing process

The process is continuously improved to meet relevant PA.5.1 Process Innovation attribute
current and projected business goals PA.5.2 Process Optimization attribute
Predictable Level 4 Predictable Process
The process is enacted consistently PA.4.1 Process Measurement attribute
within defined limits
PA.4.2 Process Control attribute
Established
A defined process is used based on a Level 3 Established Process
standard process. PA.3.1 Process Definition attribute
PA.3.2 Process Deployment attribute
Level 2 Managed Process Managed

The process is managed and work
PA.2.1 Performance Management attribute
products are established,
PA.2.2 Work Product Management attribute
controlled and maintained.
Level 1 Performed process Performed
PA.1.1 Process Performance attribute The process is implemented and
achieves its process purpose
Incomplete
Level 0 Incomplete process The process is not implemented or fails to
achieve its purpose
Framework de Medição
 O processo de avaliação do COBIT mede o grau em que um dado
processo alcança atributos específicos relativos a esse processo -
"Atributos de processo“.
 O processo de Avaliação COBIT define nove atributos de processo

(com base na norma ISO / IEC 15504-2)
1. PA1.1 - O desempenho do processo

2. PA2.1 - Gestão do produto de trabalho
3. PA2.2 - Gestão do desempenho
4. PA3.1 - Definição do processo
5. PA3.2 - Implantação do Processo
6. PA4.1 - Medição do processo
7. PA4.2 - Controle do processo
8. PA5.1 - Inovação do processo
9. PA5.2 - Otimização contínua
Atributos de Processos - Exemplo
 PA 1.1 Desempenho do processo
 O atributo de desempenho do processo é uma medida da extensão

em que o objetivo do processo é atingido.
 Como resultado da realização completa deste atributo o processo

alcança os seus resultados definidos.
Atributos de Processos - Exemplo
 PA 2.1 - Gestão de Desempenho
 Uma medida da extensão em que o desempenho do processo é controlado. Como resultado
da plena realização deste atributo:
a. Objetivos para o desempenho do processo são identificados.

b. Desempenho do processo é planejado e monitorado.
c. Desempenho do processo é ajustado para atender aos planos
d. Responsabilidades e autoridades para a execução do processo são definidas, atribuídas e comunicadas.
e. Recursos e informações necessários para a execução do processo são identificados, disponibilizados,
atribuídos e utilizados.
f. Interfaces entre as partes envolvidas são gerenciadas para assegurar a comunicação eficaz e a designação
clara de responsabilidades.
 PA 2.2 - Gestão de Produto de Trabalho/Artefato
 Uma medida da extensão em que os produtos de trabalho produzidos pelo processo são
apropriadamente administrados. Como resultado da plena realização deste atributo:
a. Requisitos para os produtos de trabalho do processo são definidos.

b. Requisitos para documentação e controle dos produtos de trabalho são definidos.
c. Produtos de trabalho estão devidamente identificados, documentados e controlados.
d. Produtos de trabalho são revisados de acordo com as disposições previstas e ajustados conforme
necessário para atender às exigências.
Escala de Classificação de Atributos
 O Processo de Avaliação COBIT mede o grau em que um dado processo alcança os
“Atributos do Processo"
N Não realizado 0 to 15 % realizado

Há pouca ou nenhuma evidência de realização do atributo definido no processo avaliado.
P Parcialmente realizado > 15 % to 50 % realizado

Há alguma evidência de uma abordagem, e alguma realização do atributo definido no
processo de avaliação. Alguns aspectos da realização do atributo pode ser imprevisível.
L Realizado em grande parte > 50 % to 85% realizado

Há evidências de uma abordagem sistemática, e realização significativa do atributo definido
no processo de avaliação. Algumas fraquezas relacionadas a este atributo pode existir no
processo avaliado.
F Plenamente realizado > 85 % to 100 % realizado

Há evidências de uma abordagem completa e sistemática, e plena realização do atributo
definido no processo de avaliação. Nenhuma fraqueza significativa relacionada a este
atributo existe no processo avaliado
Classificação de Atributos e Níveis de Capacidade
1 2 3 4 5
PA5.2 L
Level 5 - Optimizing /
Optimization
PA5.1 Innovation F
PA4.2 Control L F
Level 4 - Predictable /
PA4.1 Measurement F
PA3.2 Deployment L F F
Level 3 - Established /
PA3.1 Definition F
PA2.2 Work Product Management L F F F
Level 2 - Managed /
PA2.1 Performance Management F
L F F F F
Level 1 - Performed PA1.1 Process Performance /
F
Level 0 - Incomplete L/F = Largely or Fully F= Fully
Alvo de Capacidade de Processo
Level 1 Level 2 Level 3
PA 1.1 PA 2.1 PA 2.2 PA 3.1 PA 3.2
Target Capability L
Process A
Assessed
Target Capability F L L
Process B
Assessed
Target Capability F F F L L
Process C
Assessed
Consequências dos Gaps de Capacidade
Riscos e Gaps de Capacidade
Resumo dos Passos da Avaliação do Avaliador
Resumo dos Passos da Avaliação

(Assessor)
Avaliação do Avaliador (Assessor) - Visão Geral
Atividades do Processo de Avaliação
1 – Initiation
2 – Planning the Assessment
3 – Briefing
4 – Data Collection
5 – Data Validation
6 – Process Attribute Rating
7 – Reporting the Results

Atividade 1: Iniciação
 Identificar o patrocinador e definir o propósito da avaliação
 por que está sendo realizada.
 Definir o escopo da avaliação

 os processos que estão sendo avaliados.
 quais restrições, se houver, aplicam-se à avaliação.
 Identificar qualquer informação adicional que precisa ser reunida.
 Selecionar os participantes da avaliação, a equipe de avaliação e definir os

papéis dos membros da equipe.
 Defina os dados da avaliação e resultados

 Tê-los aprovado pelo patrocinador
Atividade 2: Planejar a Avaliação
 Um plano de avaliação descrevendo todas as atividades executadas na

condução da avaliação deve ser desenvolvido e documentado em
conjunto com um cronograma de avaliação.
 Identificar o escopo do projeto.
 Garantir os recursos necessários para realizar a avaliação
 Determinar o método de coleta, análise, validação e documentação das

informações necessárias para a avaliação.
 Coordenar as atividades de avaliação com a unidade organizacional que

está sendo avaliada.
Atividade 3: Instruções
 O líder da equipe de avaliação assegura que a equipe de avaliação

compreende a avaliação:
 Entrada
 Processo
 Saída
 Informar a Unidade Organizacional sobre o desempenho da avaliação:
 Modelo de Avaliação de Processo, avaliação do escopo, programação,

restrições, papéis e responsabilidades, necessidades de recursos, etc
Atividade 4: Coleta de Dados
 O Assessor obtém (e documenta) uma compreensão do processo (s), incluindo o propósito
dos processos, entradas, saídas e produtos de trabalho, o suficiente para permitir e apoiar a
avaliação.
 Os dados necessários para a avaliação dos processos dentro do escopo é recolhida de forma
sistemática.
 A estratégia e as técnicas para a seleção, coleta, análise dos dados e justificativa das
classificações são explicitamente identificáveis e demonstráveis.
 Cada processo identificado dentro do escopo da avaliação é avaliado com base em

evidências objetivas:
 A evidência objetiva reunida para cada atributo de cada processo avaliado deve ser suficiente
para atender o propóstito da avaliação e o escopo.
 Evidência objetiva da classificação de atributos de processo, que suporta o julgamento dos

assessores, é registrada e mantida no Registro da Avaliação:
 Esse registro fornece evidência para fundamentar as classificações e para verificar o

cumprimento dos requisitos.
Atividade 5: Validação dos Dados
 São tomadas medidas para garantir que o dado é suficientemente preciso e

abrange o escopo da avaliação, incluindo:
 Busca de informações de primeira mão, fontes independentes.

 Utilização de históricos de resultados de avaliação.
 Realização de sessões de feedback para validar as informações coletadas
 Alguma validação de dados pode ocorrer conforme os dados estão sendo

coletados.
Atividade 6: Avaliação de Atributos do Processo
 Para cada processo avaliado, uma classificação é atribuída a cada

atributo do processo, incluindo o nível mais elevado de capacidade
definido no escopo da avaliação.
 A classificação é baseada em dados validados na atividade anterior.
 A rastreabilidade deve ser mantida entre a evidência objetiva

coletada e as classificações de atributo do processo designadas.
 Para cada atributo de processo classificado, o relacionamento entre

os indicadores e as evidências objetivas é registrado.
Atividade 7: Relatar os resultados
 Os resultados da avaliação são apresentados e analisados em um

relatório.
 O relatório também aborda as principais questões levantadas durante a

avaliação, tais como:
 Áreas de forças e fraquezas observadas
 Resultados de alto risco :
 Ex.: magnitude do gap entre a capacidade avaliada e capacidade

desejada ou requerida.
Certificação de Avaliador (Assessor)
 Papéis do Processo de Avaliação COBIT:
 Assessor Líder: um competente Assessor responsável por supervisionar as atividades

de avaliação.
 Assessor: um indivíduo, com competências de assessor desenvolvidas, que executa as

atividades de avaliação.
 Competências do Assessor:
 Conhecimento, habilidade e experiência:
 Com o Modelo de Referência de Processos; Modelo de Avaliação de Processos;

métodos e ferramentas e processo de classificação.
 Com os processos / domínios a ser avaliados.
 Atributos pessoais que contribuem para o desempenho eficaz.
www.elaborata.com.br
Horário de Atendimento Comercial 41.3324.0015

Segunda à sexta – das 9:00h às 19:30h e 41.99828.2468
Sábado - das 8:00h às 15:00h.
Rua Monsenhor Celso, 256 - 1º Andar cursos@elaborata.com.br

Centro - Curitiba - PR

2-Apostila Cobit 5 Foundation PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2-Apostila Cobit 5 Foundation PDF

Enviado por

Direitos autorais:

Formatos disponíveis

COBIT 5 Foundation

 Apresentação dos participantes

 O aluno deverá compreender os princípios fundamentais e terminologia do COBIT 5. Especificamente, o

 Os direcionadores (drivers) importantes para o desenvolvimento do COBIT 5.

 Introdução aos 5 princípios do COBIT 5

 Revisão e Visão Geral do Princípio 4 – Abordagem holística dos Habilitadores

 A abordagem do ciclo de vida.

 Introdução e Objetivo do Guia de Avaliação

 Compreender os conceitos relacionados com a estrutura e o

 Os direcionadores (drivers) para o desenvolvimento do COBIT 5,

 As razões para o desenvolvimento do COBIT 5.

 O formato e arquitetura do COBIT 5.

 COBIT 5 e outros Frameworks.

 Integrar e reforçar todos os ativos de conhecimento do ISACA

 Fornecer um framework de Governança e de Gestão

 Integrar todos os outros principais frameworks e guias de

 Alinhar com os outros principais frameworks e padrões.

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7

 Fornecer orientação em:

 Fim-a-Fim - Negócios e Responsabilidades de TI

 Controles de soluções de TI iniciadas e controladas pelo

 Uma necessidade para a empresa:

 Não simplesmente TI; não somente para os grandes negócios!

 Informação é igualmente importante para:

A informação é a moeda de negócios do século 21

 Empresas e seus executivos se esforçam para:

 Manter a qualidade das informações para suportar as decisões de negócios.

 Entrega de valor as partes interessadas (Stakeholders) da empresa requer

 Requisitos de conformidade legal, regulatórios e contratuais relacionados

 COBIT 5 fornece um Framework abrangente que auxilia as empresas a

 Definir o ponto de partida de atividades de governança e gestão com

 Criar uma visão mais holística, integrada e completa da governança

 Criar uma linguagem comum entre TI e Negócio para a governança

 Compatibilidade com os padrões geralmente aceitos de governança

 Empresas estão sob constante pressão para:

 Manter o risco relacionado a TI em um nível aceitável.

 COBIT 5 está inicialmente em 3 volumes:

 COBIT 5 é baseado em:

WHAT ITIL HOW

ISO ISO ISO

Processes and Procedures QA Security ITIL

 ISO / IEC 38500

 As seguintes áreas e domínios são cobertos pelo ITIL

 ISO / IEC 27000

 ISO / IEC 31000

 Introdução aos 5 princípios do COBIT 5

 Princípio 1: Atender a necessidade do Stakeholder

 Princípio 2: Cobrir a empresa fim-a-fim

 Princípio 3: Aplicar um Framework Integrado Único

 Princípio 4: Habilitação de uma abordagem holística

 Princípio 5: Separar Governança de Gestão

 Conhecer fatos e termos relacionados com os cinco princípios do COBIT 5.

 Os nomes e os principais aspectos dos cinco principais princípios para governança

 Os nomes e descrições das sete categorias de habilitadores que influenciam a

 O Domínio de Governança do Modelo de Referência de Processo,

 O Domínio de Gerenciamento do Modelo de Referência de Processo

 As quatro perguntas a fazer ao estabelecer a forma de gerir o habilitador de

 Entender os conceitos relacionados a estrutura e formato do framework, os

 Como os objetivos de criação de valor da Governança atendem as necessidades do

 A importância das necessidades do Stakeholder e onde elas se encaixam nas metas no

 As relações entre as metas empresariais para os três principais objetivos de governança.

 Como as metas empresariais e as metas relacionadas a TI se desdobram no mecanismo de