cobit-5_res_por_0914.pdf

Modelo Corporativo para Governana e Gesto de TI da Organizao

Personal Copy of: Sr. ISAAC LIMA CARDOSO DO NASCIMENTO

2

ISACA Com 95.000 usurios em 160 pases, a ISACA (www.isaca.org) lder mundial no fornecimento de conhecimento, certificaes, comunidade, advocacia e treinamento em garantia e segurana de sistemas de informao (SI), governana corporativa e gesto de TI, bem como risco e conformidade de TI. Fundada em 1969, a ISACA uma entidade independente e sem fins lucrativos que organiza conferncias internacionais, publica o ISACA Journal e desenvolve padres internacionais de controle e auditoria de SI que ajudam seus usurios a garantir a confiana e o valor dos sistemas de informao. Ela tambm antecipa e atesta conhecimento e habilidades de TI atravs das designaes mundialmente respeitadas Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) e Certified in Risk and Information Systems Control (CRISC). A ISACA atualiza continuamente o COBIT, o que ajuda os profissionais de TI e os lderes das organizaes a cumprirem suas responsabilidades de gesto e governana de TI, especialmente nas reas de garantia, segurana, risco e controle, alm de criarem valor para a organizao. Aviso Legal A ISACA desenvolveu esta publicao, o COBIT 5 (a Obra), principalmente como um recurso educacional para profissionais de segurana, risco, garantia e governana de TI da organizao (GEIT Goverance of Enterprise IT). A ISACA no faz nenhuma afirmao de que o uso de qualquer parte da Obra garantir um resultado positivo. A Obra no deve ser considerada de modo a incluir todas as informaes, procedimentos e testes adequados ou excluir outras informaes, procedimentos e testes razoavelmente voltados obteno dos mesmos resultados. Ao determinar a adequao de qualquer informao, procedimento ou teste especfico, os leitores devero aplicar seu prprio julgamento profissional s circunstncias de segurana, risco, garantia e GEIT especficas apresentadas pelos sistemas ou ambientes de tecnologia da informao especficos. Copyright 2012 ISACA. Todos os direitos reservados. Para diretrizes de uso, ver www.isaca.org/COBITuse. Quality Statement: This Work is translated into Brazilian Portuguese from the English language version of COBIT 5 Business Framework by the ISACA Sao Paulo Chapter with the permission of ISACA. The ISACA Sao Paulo Chapter assumes sole responsibility for the accuracy and faithfulness of the translation. Copyright 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse. Disclaimer: ISACA has designed this publication, COBIT 5 (the Work), primarily as an educational resource for governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific information, procedure or test, readers should apply their own professional judgment to the specific GEIT, assurance, risk and security circumstances presented by the particular systems or information technology environment. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 EUA Tel: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: [email protected] Website: www.isaca.org Feedback: www.isaca.org/cobit Participe do ISACA Knowledge Center: www.isaca.org/knowledge-center Siga o ISACA no Twitter: https://twitter.com/ISACANews Participe do frum COBIT no Twitter: #COBIT Una-se ISACA no LinkedIn: ISACA (Oficial), http://linkd.in/ISACAOfficial Curta a ISACA no Facebook: www.facebook.com/ISACAHQ

COBIT 5 ISBN 978-1-60420-284-7 Impresso nos Estados Unidos da Amrica


AGRADECIMENTOS

3

AGRADECIMENTOS AISACAagradeceasseguintespessoas:Fora Tarefa COBIT 5 (20092011) John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, EUA, Co-Presidente Derek J. Oliver, Ph.D., CISA, CISM, CRISC, CITP, DBA, FBCS, FISM, MInstISP, Ravenswood Consultants Ltd., GB,

Co-Presidente Pippa G. Andrews, CISA, ACA, CIA, KPMG, Austrlia Elisabeth Judit Antonsson, CISM, Nordea Bank, Sucia Steven A. Babb, CGEIT, CRISC, BetFair, GB Steven De Haes, Ph.D., University of Antwerp Management School, Blgica Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Austrlia Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, ustria Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, EUA Erik H.J.M. Pols, CISA, CISM, Shell

International-ITCI, Pases Baixos Vernon Richard Poole, CISM, CGEIT, Sapphire, GB Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, ndia Equipe de Desenvolvimento Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Blgica Gert du Preez, CGEIT, PwC, Canad Stefanie Grijp, PwC, Blgica Gary Hardy, CGEIT, IT Winners, frica do Sul Bart Peeters, PwC, Blgica Geert Poels, Ghent University, Blgica Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Blgica Participantes do Workshop Gary Baker, CGEIT, CA, Canad Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, EUA Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, frica do Sul Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Canad Don Caniglia, CISA, CISM, CGEIT, FLMI, EUA Mark Chaplin, GB Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, EUA Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, EUA Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Sua Bob Frelinger, CISA, CGEIT, Oracle Corporation, EUA James Golden, CISM, CGEIT, CRISC, CISSP, IBM, EUA Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, EUA Gary Langham, CISA, CISM, CGEIT, CISSP,

CPFA, Austrlia Nicole Lanza, CGEIT, IBM, EUA Philip Le Grand, PRINCE2, Ideagen Plc, GB Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, EUA Stuart MacGregor, Real IRM Solutions (Pty) Ltd.,

frica do Sul Christian Nissen, CISM, CGEIT, FSM, CFN People, Dinamarca Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, GB Eddy J. Schuermans, CGEIT, ESRAS bvba, Blgica Michael Semrau, RWE Germany, Alemanha Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Austrlia Alan Simmonds, TOGAF9, TCSA, PreterLex, GB Cathie Skoog, CISM, CGEIT, CRISC, IBM, EUA Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canad Roger Southgate, CISA, CISM, GB Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, EUA Wim Van Grembergen, Ph.D., University of Antwerp Management School, Blgica Greet Volders, CGEIT, Voquals N.V., Blgica Christopher Wilken, CISA, CGEIT, PwC, EUA Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, GB Revisores Especializados Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, EUA Wole Akpose, Ph.D., CGEIT, CISSP,

Morgan State University, EUA Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Polnia Roland Bah, CISA, MTN Cameroon, Camares Dave Barnett, CISSP, CSSLP, EUA Max Blecher, CGEIT, Virtual Alliance, frica do Sul Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentina Revisores Especializados (Cont) Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Blgica


4

AGRADECIMENTOS (CONT.) Donna Cardall, GB Debra Chiplin, Investors Group, Canad Sara Cosentino, CA, Great-West Life, Canad Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, EUA Philip de Picker, CISA, MCA, National Bank of Belgium,

Blgica Abe Deleon, CISA, IBM, EUA Stephen Doyle, CISA, CGEIT, Department of Human Services, Austrlia Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., EUA Rafael Fabius, CISA, CRISC, Uruguai Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Sua Bob Frelinger, CISA, CGEIT, Oracle Corporation, EUA Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISO/IEC 20000 Consultant, Turquia Edson Gin, CISA, CISM, CFE, CIPP, SSCP, EUA James Golden, CISM, CGEIT, CRISC, CISSP, IBM, EUA Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Argentina Erik Guldentops, University of Antwerp Management School, Blgica Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP,

Mittal Technologies, EUA Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, Sucia Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, Sucia J. Winston Hayden, CISA, CISM, CGEIT, CRISC, frica do Sul Eduardo Hernandez, ITIL V3, HEME Consultores, Mxico Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina Michelle Hoben, Media 24, frica do Sul Linda Horosko, Great-West Life, Canad Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, GB Grant Irvine, Great-West Life, Canad Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, EUA John E. Jasinski, CISA, CGEIT, SSBB, ITIL

Expert, EUA Masatoshi Kajimoto, CISA, CRISC, Japo Joanna Karczewska, CISA, Polnia Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Arbia Saudita Eddy Khoo S. K., Prudential Services Asia, Malsia Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, EUA Alan S. Koch, ITIL Expert, PMP, ASK Process Inc.,

EUA Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Austrlia Jason D. Lannen, CISA, CISM, TurnKey IT Solutions,

LLC, EUA Nicole Lanza, CGEIT, IBM, EUA Philip Le Grand, PRINCE2, Ideagen Plc, GB Kenny Lee, CISA, CISM, CISSP, Bank of America, EUA Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Dinamarca Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Dinamarca Stuart MacGregor, Real IRM Solutions (Pty) Ltd., frica do Sul Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, EUA Charles Mansour, CISA, Charles Mansour Audit & Risk Service, GB Cindy Marcello, CISA, CPA, FLMI, Great-West Life

& Annuity, EUA Nancy McCuaig, CISSP, Great-West Life, Canad John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, GB Makoto

Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japo Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colmbia Christian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Dinamarca Tony Noblett, CISA, CISM, CGEIT, CISSP, EUA Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, EUA Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer,

GB Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, EUA Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, frica do Sul Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, GB Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brasil Dirk Reimers, Hewlett-Packard, Alemanha Steve Reznik, CISA, ADP, Inc., EUA Robert Riley, CISSP, University of Notre Dame, EUA Martin Rosenberg, Ph.D., Cloud Governance Ltd., GB Claus Rosenquist, CISA, CISSP, Nets Holding, Dinamarca Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, EUA Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water

District, EUA Eddy J. Schuermans, CGEIT, ESRAS bvba, Blgica Michael Semrau, RWE Germany, Alemanha Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Austrlia Alan Simmonds, TOGAF9, TCSA, PreterLex, GB Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canad Revisores Especializados (cont.) Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, EUA


AGRADECIMENTOS

5

AGRADECIMENTOS (CONT.) Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Austrlia Roger Southgate, CISA, CISM, GB Mark Stacey, CISA, FCA, BG Group Plc, GB Karen Stafford Gustin, MLIS, London Life Insurance Company, Canad Delton Sylvester, Silver Star IT Governance

Consulting, frica do Sul Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungria Halina Tabacek, CGEIT, Oracle Americas, EUA

Nancy Thompson, CISA, CISM, CGEIT, IBM, EUA Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japo Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Blgica Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, frica do Sul Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Canad Andre Viviers, MCSE, IT Project+, Media 24, frica do Sul Greet Volders, CGEIT, Voquals N.V., Blgica David Williams, CISA, Westpac, Nova Zelndia Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, GB Amanda Xu, PMP, Southern

California Edison, EUA Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, frica do Sul Conselho de Administrao da ISACA Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Presidente Internacional Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Grcia, Vice-Presidente Gregory T. Grocholski, CISA, The Dow Chemical Co., EUA, Vice-Presidente Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrlia, Vice-Presidente Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., ndia, Vice-Presidente Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., EUA, Vice-Presidente Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia, Vice-Presidente Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (aposentado), EUA, Ex-Presidente Internacional Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Rssia, Ex-Presidente Internacional Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, GB, Conselheiro Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Conselheiro Junta de Conhecimento Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Blgica, Presidente Michael A. Berardi Jr., CISA, CGEIT, Bank of America, EUA John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Cingapura Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, EUA Jon Singleton, CISA, FCA, Auditor General of Manitoba (aposentado), Canad Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana Comit do Modelo (2009-2012) Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Frana, Presidente Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management, Blgica,

Ex-Vice-Presidente Steven A. Babb, CGEIT, CRISC, BetFair, GB Sushil Chatterji, CGEIT, Edutech Enterprises, Cingapura Sergio Fleginsky, CISA, Akzo Nobel, Uruguai John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, EUA Mario C. Micallef, CGEIT,

CPAA, FIA, Malta Anthony P. Noble, CISA, CCP, Viacom, EUA Derek J. Oliver, Ph.D., CISA, CISM, CRISC, CITP, DBA, FBCS, FISM, Ravenswood Consultants Ltd., GB Robert G.

Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (aposentado), Canad Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa, AG, Alemanha Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Austrlia Robert E. Stroud, CGEIT, CA Inc., EUA Agradecimento Especial ISACA Captulo Los Angeles por seu apoio financeiro Afiliadas e Patrocinadores da ISACA e do Instituto de Governana de TI (ITGI) American Institute of Certified Public Accountants Commonwealth Association for Corporate Governance Inc. FIDA

Inform Information Security Forum Institute of Management Accountants Inc. Captulos ISACA ITGI Frana ITGI Japo Norwich University


6

AGRADECIMENTOS (CONT.) Solvay Brussels School of Economics and Management Strategic Technology Management Institute (STMI) of the National University of Singapore University of Antwerp Management School Enterprise GRC Solutions Inc. Hewlett-Packard IBM Symantec Corp. Reconhecimento da Traduo para a lngua portuguesa Voluntrios Jose Luis Diniz, CGEIT, ITIL Expert, - DNZ Consultoria em TI Coordenador Captulo So Paulo Edson Kowask Bezerra, CRISC - Rede Nacional de Ensino e Pesquisa (RNP) Coordenador Captulo Braslia Adriana da Silva Dian Leo Adriano Jose da Silva Neves, CGEIT, CRISC Alberto Fvero, CISSP, CISA, CISM Alfred John Bacon, CISA,CISM,CRISC Anderson Itaborahy, MSc, BB Tecnologia e Servios Andr Luis Regazzini, CISA, CISM, CGEIT Andr Pitkowski, CRISC, CGEIT Carlos Alberto Mamede Hernandes, CISA,CGEIT Carlos Augusto da Costa Carvalho, CRISC Carmen Ozores Fernandes, CISA, CRISC, CIA Claudio Silva Da Cruz, CGEIT Cristiane Menezes Silva Cristiano Silva Borges Diana Leite Nunes dos Santos, MSc., PMP, Ministrio Pblico Federal (MPF/PGR) Edgar DAndrea, CISA, CISM Edma Pujol Canton Ernani Paes De Barros, CISA,CISM Fabiano Mariath D'Oliveira, Embrapa. Fabio Alessandro Moreira da Silva Fabio Penna F. Curto, CISM, CGEIT Gustavo Henrique Verges Schmal Gustavo Perri Galegale, CISA, CRISC Homero De Almeida Carreiro Joo Souza Neto, Ph.D., CGEIT, CRISC, COBIT5 Certified Assessor, Universidade Catlica de Braslia. Jos Geraldo Loureiro, CRISC, Instituto Brasileiro de Governana Pblica (IBGP) . Leandro Martins Ribeiro Leandro Pfeifer Macedo, CRISC Luiz Claudio Diogo Reis, CISA,CRISC Marcelo Duarte Gouvea, CISA,CGEIT Marcelo Silva Cunha Marcos Semola, CISM Napoleo Verardi Galegale, CGEIT Orlando Tuzzolo Jr., CISM, CGEIT, CRISC Osmir Perussi Berto, CRISC Paulo Sergio Pagliusi, CISM Renato Mitsuo Wada, CISM Ricardo Castro, CISA, CRISC Rodrigo Hiroshi Ruiz Suzuki, CISA, CISM, CRISC Vanessa Borges de Menezes Wesley Vaz Silva, CISA Wesley Vaz, MSc, CISA, Tribunal de Contas da Unio (TCU).


AGRADECIMENTOS

7

AGRADECIMENTOS (CONT.) Apoio institucional dos captulos brasileiros Captulo So Paulo Diretoria Executiva em 2014 2017 Andr Pitkowski, CRISC, CGEIT, Presidente Gustavo Perri Galegale, CISA, CRISC, Vice-Presidente Rodrigo Hiroshi Ruiz Suzuki, CISA, CISM, CRISC, Diretor de Educao Renato Mitsuo Wada, CISM, Diretor de Associados Orlando Tuzzolo Jr., CISM, CGEIT, CRISC, Diretor de Comunicao Adriano Jose da Silva Neves, CGEIT, CRISC, Diretor Secretrio Carlos Augusto da Costa CArvalho, CRISC, Diretor de Controladoria Cristiane Menezes Silva, Dir. Parceria Carmen Ozores Fernandes, CISA, CRISC, CIA, Past President Diretoria Executiva em 2010 2013 Carmen Ozores Fernandes, CISA, CRISC, CIA, Presidente Fabio Penna F. Curto, CISM, CGEIT, Vice Presidente Rodrigo Hiroshi Ruiz Suzuki, CISA, CISM, CRISC, Diretor de Educao Gustavo Perri Galegale, CISA, CRISC, Diretor de Associados Fernando Nicolau Freitas, CISM, CGEIT, Diretor de Comunicao Edma Pujol Canton, Diretora Secretria Cristiano Silva Borges, Diretor de Controladoria Andr Luis Regazzini, CISA, CISM, CGEIT, Diretor de Parceria Ricardo Castro, CISA, CRISC, Past President Captulo Braslia Diretoria Executiva Jose Geraldo Loureiro Rodrigues, CRISC, Presidente Claudio Silva Da Cruz, CGEIT, Vice-Presidente Joao Souza Neto, CGEIT,CRISC, Diretor de Educao Diana Leite Nunes Dos Santos, Diretora de Associados Leandro Pfeifer Macedo, CRISC, Diretor de Comunicao e Marketing Carlos Alberto Mamede Hernandes, CISA,CGEIT, Diretor Secretrio Marcelo Silva Cunha, Tesoureiro Edson Kowask Bezerra, CRISC, Diretor de Pesquisa Wesley Vaz Silva, CISA, Coordenador de Certificao Captulo Rio de Janeiro Diretoria Executiva Alfred John Bacon, CISA,CISM,CRISC, Presidente Marcos Semola, CISM, Vice-Presidente Ernani Paes De Barros, CISA,CISM, Diretor de Educao Marcelo Duarte Gouvea, CISA,CGEIT, Diretor de Associados Paulo Sergio Pagliusi, CISM, Diretor de Comunicao Luiz Claudio Diogo Reis, Sr., CISA,CRISC, Diretor Secretrio Leandro Martins Ribeiro, Diretor de Controladoria Homero De Almeida Carreiro, Diretor Institucional Ernani Paes De Barros, CISA,CISM, Diretor de Certificao


8

Pginaintencionalmentedeixadaembranco


NDICE

9

NDICE Agradecimentos ................................................................................................................................................................... 3ndice .................................................................................................................................................................................... 9Lista de Figuras ................................................................................................................................................................. 11COBIT 5: Um Modelo Corporativo para a Governana e Gesto de TI da Organizao .......................................... 13Sumrio Executivo ............................................................................................................................................................. 15Captulo 1 Viso Geral do COBIT 5 ................................................................................................................................ 17

Viso Geral desta Publicao .......................................................................................................................................... 18Captulo 2 1 Princpio: Atender s Necessidades das Partes interessadas .................................................................. 19

Introduo ....................................................................................................................................................................... 19Cascata dos Objetivos do COBIT 5 ................................................................................................................................ 19

1 Passo. Os Direcionadores das Partes Interessadas Influenciam as Necessidades das Partes Interessadas .............. 192 Passo. Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos .............................. 193 Passo. Cascata dos Objetivos Corporativos em Objetivos de TI ............................................................................ 204 Passo. Cascata dos Objetivos de TI em Metas do Habilitador ............................................................................... 20

Usando a Cascata de Objetivos do COBIT 5 .................................................................................................................. 22Usando a Cascata de Objetivos do COBIT 5 com Ateno ........................................................................................ 22Usando a Cascata de Objetivos do COBIT 5 na Prtica ............................................................................................. 22

Perguntas sobre Governana e Gesto de TI ................................................................................................................... 23Captulo 3 2 Princpio: Cobrir a Organizao de Ponta a Ponta ................................................................................. 25

Abordagem Governana ............................................................................................................................................... 25Habilitadores da Governana ...................................................................................................................................... 26Escopo da Governana ............................................................................................................................................... 26Papis, Atividades e Relacionamentos ....................................................................................................................... 26

Captulo 4 ........................................................................................................................................................................... 273 Princpio: Aplicar Um Modelo nico Integrado ......................................................................................................... 27

Integrador de Modelos do COBIT 5................................................................................................................................ 27Captulo 5 4 Princpio: Permitir uma Abordagem Holstica ........................................................................................ 29

Habilitadores do COBIT 5 .............................................................................................................................................. 29Governana e Gesto Sistmicas por meio de Habilitadores Interligados ...................................................................... 29Dimenses dos Habilitadores do COBIT 5 ..................................................................................................................... 30

Dimenses do Habilitador .......................................................................................................................................... 30Controle de Desempenho do Habilitador .................................................................................................................... 31

Exemplo de Habilitadores na Prtica .............................................................................................................................. 31CAPTULO 6 5 PRINCPIO: DISTINGUIR A GOVERNANA DA GESTO ...................................................... 33

Governana e Gesto....................................................................................................................................................... 33Interaes Entre Governana e Gesto ............................................................................................................................ 33Modelo de Referncia de Processo do COBIT 5 ............................................................................................................. 34

Captulo 7 Guia de Implementao ................................................................................................................................. 37Introduo ....................................................................................................................................................................... 37Considerar o Contexto da Organizao ........................................................................................................................... 37Criar o Ambiente Apropriado ......................................................................................................................................... 37Reconhecer Pontos de Dor e Eventos Desencadeadores ................................................................................................. 38Capacitar a Mudana ....................................................................................................................................................... 38Uma Abordagem ao Ciclo de Vida ................................................................................................................................. 39Primeiros Passos: Elaborar o Estudo de Caso ................................................................................................................. 40

Captulo 8 MODELO de Capacidade de Processo do COBIT 5 .................................................................................... 43Introduo ....................................................................................................................................................................... 43Diferenas Entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade de Processo do COBIT 5 .......... 43Diferenas na Prtica....................................................................................................................................................... 45Benefcios das Mudanas ................................................................................................................................................ 47Realizar Avaliaes da Capacidade do Processo no COBIT 5 ........................................................................................ 47

Anexo A Referncias .......................................................................................................................................................... 49Apndice B Mapeamento Detalhado dos Objetivos Corporativos - Objetivos de TI .................................................. 51Apndice C Mapeamento Detalhado dos Objetivos de TI Processos de TI ............................................................. 53


10

Apndice D Necessidades das Partes Interessadas e Objetivos Corporativos .............................................................. 57Apndice E Mapeamento do COBIT 5 com os Padres e Modelos Correlatos mais Relevantes ............................... 61

Introduo ....................................................................................................................................................................... 61COBIT 5 e ISO/IEC 38500 ............................................................................................................................................. 61

Princpios do ISO/IEC 38500 ..................................................................................................................................... 61Comparao com Outros Padres ................................................................................................................................... 64

ITIL e ISO/IEC 20000 (ABNT NBR ISO/IEC 20000) .......................................................................................... 64ISO/IEC Srie 27000 (ABNT NBR ISO/IEC 27000) ................................................................................................. 64ISO/IEC Srie 31000 (ABNT NBR ISO 31000) ........................................................................................................ 64TOGAF ................................................................................................................................................................... 64Capability Maturity Model Integration (CMMI) (desenvolvimento) ......................................................................... 64PRINCE2 ................................................................................................................................................................. 65

Apndice F Comparao entre o Modelo de Informaes do Cobit 5 e os Critrios de Informaes do Cobit 4.1 .. 67Apndice G Descrio Detalhada dos Habilitadores do COBIT 5 ................................................................................ 69

Introduo ....................................................................................................................................................................... 69Dimenses do Habilitador .......................................................................................................................................... 69Controle de Desempenho do Habilitador ................................................................................................................... 70

Habilitador do COBIT 5: Princpios, Polticas e Modelos .............................................................................................. 71Habilitador do COBIT 5: Processos ................................................................................................................................ 73

Controle de Desempenho do Habilitador ................................................................................................................... 74Exemplo de Habilitador Processo na Prtica .............................................................................................................. 75Modelo de Referncia de Processo do COBIT 5 ........................................................................................................ 75Modelo de Referncia de Processo do COBIT 5 ........................................................................................................ 76

Habilitador do COBIT 5: Estruturas Organizacionais ..................................................................................................... 79Ilustrao das Estruturas Organizacionais do COBIT 5 ............................................................................................. 80

Habilitador do COBIT 5: Cultura, tica e Comportamento ............................................................................................ 82Habilitador do COBIT 5: Informao ............................................................................................................................. 84

Introduo O Ciclo da Informao ........................................................................................................................ 84Habilitador informao do COBIT 5 .......................................................................................................................... 84

Habilitador COBIT 5: Servios, Infraestrutura e Aplicativos ......................................................................................... 88Habilitador do COBIT 5: Pessoas, Habilidades e Competncias .................................................................................... 90

Apndice H Glossrio ....................................................................................................................................................... 93


LISTA DE FIGURAS

11

LISTA DE FIGURAS Figura - 1: Famlia de Produtos COBIT 5 ............................................................................................................................ 13Figura - 2: Princpios do COBIT 5 ...................................................................................................................................... 15Figura - 3: Objetivo da Governana: Criao de Valor ....................................................................................................... 19Figura - 4: Viso Geral da cascata de Objetivos do COBIT 5 ............................................................................................. 20Figura - 5: Objetivos Corporativos do COBIT 5 ................................................................................................................. 21Figura - 6: Objetivos de TI .................................................................................................................................................. 21Figura - 7: Perguntas sobre Governana e Gesto de TI ...................................................................................................... 24Figura - 8: Governana e Gesto de TI no COBIT 5 ........................................................................................................... 25Figura - 9: Principais Funes, Atividades e Relacionamentos ........................................................................................... 26Figura - 10: Modelo nico Integrado do COBIT 5 ............................................................................................................. 27Figura - 11: Famlia de Produtos COBIT 5 .......................................................................................................................... 28Figura - 12: Habilitadores Corporativos do COBIT 5 .......................................................................................................... 29Figura - 13: Habilitadores do COBIT 5: Genricos ............................................................................................................. 30Figura - 14: Interaes entre Governana e Gesto ............................................................................................................. 33Figura - 15: Principais rea de Governana do COBIT 5 ................................................................................................... 34Figura - 16: Modelo de Referncia de Processo do COBIT 5 .............................................................................................. 35Figura - 17: As Sete Fases do Ciclo de Vida da Implementao ......................................................................................... 39Figura - 18: Resumo do Modelo de Maturidade do COBIT 4.1 .......................................................................................... 43Figura - 19: Resumo do Modelo de Capacidade de Processo do COBIT 5 ......................................................................... 44Figura - 20: Tabela Comparativa Nveis de Maturidade (COBIT 4.1) e Nveis de Capacidade de Processo (COBIT 5) .... 46Figura - 21: Tabela Comparativa Atributos de Maturidade (COBIT 4.1) e Atributos de Processo (COBIT 5) ................... 47Figura - 22: Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI .................................................... 52Figura - 23: Mapeamento dos Objetivos de TI do COBIT em Processos ............................................................................ 54Figura - 24: Mapeamento dos Objetivos Corporativos do COBIT 5 em Perguntas sobre Governana e Gesto ................ 57Figura - 25: Cobertura de Outros Padres e Modelos pelo COBIT 5 .................................................................................. 65Figura - 26: Equivalentes do COBIT 5 aos Critrios de Informao do COBIT 4.1 ........................................................... 67Figura - 27: Habilitadores do COBIT 5: Genricos ............................................................................................................. 69Figura - 28: Habilitador do COBIT 5: Princpios, Polticas e Modelos ............................................................................... 71Figura - 29: Habilitador do COBIT 5: Processos ................................................................................................................. 73Figura - 30: COBIT 5 reas Chaves da Governana e do Gerenciamento .......................................................................... 77Figura - 31: COBIT 5 Modelo de Referncia de Processos ................................................................................................. 78Figura - 32: Habilitador do COBIT 5: Estrutura Organizacional ......................................................................................... 79Figura - 33: Papis e Estruturas Organizacionais ................................................................................................................ 80Figura - 34: Habilitador do COBIT 5: Cultura, tica e Comportamento ............................................................................. 82Figura - 35: Ciclo da Informao Metadados do COBIT 5 ............................................................................................. 84Figura - 36: Habilitador do COBIT 5: Informao .............................................................................................................. 84Figura - 37: Habilitador do COBIT 5: Servios, Infraestrutura e Aplicativos ..................................................................... 88Figura - 38: Habilitador do COBIT 5: Pessoas, Habilidades e Competncias ..................................................................... 90Figura - 39: Categorias de Habilidades do COBIT 5 ........................................................................................................... 91


12



COBIT 5: UM MODELO DE NEGCIO PARA A GOVERNANA E GESTO DE TI DA ORGANIZAO

13

COBIT 5: UM MODELO CORPORATIVO PARA A GOVERNANA E GESTO DE TI DA ORGANIZAO A publicao COBIT 5 contm um modelo para governana e gesto de TI da organizao. A publicao faz parte da famlia de produtos COBIT 5 como demonstrado na figura 1.

O modelo do COBIT 5 baseia-se em cinco princpios bsicos, que so cobertos detalhadamente e incluem ampla orientao sobre os habilitadores de governana e gesto de TI da organizao. A famlia de produtos COBIT 5 formada pelos seguintes produtos: COBIT 5 (o modelo) Guias de habilitadores do COBIT 5, que detalham os habilitadores de governana e gesto. Eles incluem: COBIT 5 Habilitador Processos COBIT 5 Habilitador Informaes Outros guias habilitadores (ver www.isaca.org/cobit)

Guias profissionais do COBIT 5, que incluem: COBIT 5 Implementao COBIT 5 para Segurana da Informao COBIT 5 para Risco COBIT 5 para Garantia (Assurance) COBIT Programa de Avaliao Outros guias profissionais (ver www.isaca.org/cobit)

Um ambiente colaborativo on-line, que disponibilizado para apoiar o uso do COBIT 5

Figura 1:FamliadeProdutosCOBIT5


14



SUMRIO EXECUTIVO

15

SUMRIO EXECUTIVO A informao um recurso fundamental para todas as organizaes e a tecnologia desempenha um papel significativo desde o momento que a informao criada at o momento em que ela destruda. A tecnologia da informao est cada vez mais avanada, tornando-se pervasiva nas organizaes e nos ambientes sociais, pblicos e corporativos. Como consequncia, hoje, mais do que nunca, as organizaes e seus executivos se esforam para: Manter informaes de alta qualidade para apoiar decises corporativas. Agregar valor ao negcio a partir dos investimentos em TI, ou seja, atingir os objetivos estratgicos e obter benefcios

para a organizao atravs da utilizao eficiente e inovadora de TI. Alcanar excelncia operacional por meio da aplicao confivel e eficiente da tecnologia. Manter o risco de TI em um nvel aceitvel. Otimizar o custo da tecnologia e dos servios de TI. Cumprir as leis, regulamentos, acordos contratuais e polticas pertinentes cada vez mais presentes. Durante a ltima dcada, o termo governana ganhou um lugar de destaque no pensamento das organizaes em resposta aos exemplos que demonstram a importncia da boa governana e, do outro lado da balana, aos desafios dos negcios globais. Organizaes bem-sucedidas reconhecem que a diretoria e os executivos devem aceitar que a TI to significativa para os negcios como qualquer outra parte da organizao. Diretores e gestores - seja em funes de TI ou de negcios - devem colaborar e trabalhar em conjunto a fim de garantir que a TI esteja inclusa na abordagem de governana e gesto. Alm disso, cada vez mais leis e regulamentos esto sendo aprovados e estabelecidos para atender a essa necessidade. O COBIT 5 fornece um modelo abrangente que auxilia as organizaes a atingirem seus objetivos de governana e gesto de TI. Em termos simples, O COBIT 5 ajuda as organizaes a criar valor por meio da TI mantendo o equilbrio entre a realizao de benefcios e a otimizao dos nveis de risco e de utilizao dos recursos. O COBIT 5 permite que a TI seja governada e gerida de forma holstica para toda a organizao, abrangendo o negcio de ponta a ponta bem como todas as reas responsveis pelas funes de TI, levando em considerao os interesses internos e externos relacionados com TI. O COBIT 5 genrico e til para organizaes de todos os portes, sejam comerciais, sem fins lucrativos ou pblicas.

O COBIT 5 baseia-se em cinco princpios bsicos (demonstrados na figura 2) para governana e gesto de TI da organizao: 1 Princpio: Atender s Necessidades das Partes Interessadas - Organizaes existem para criar valor para suas Partes

interessadas mantendo o equilbrio entre a realizao de benefcios e a otimizao do risco e uso dos recursos. O COBIT 5 fornece todos os processos necessrios e demais habilitadores para apoiar a criao de valor para a organizao com o uso de TI. Como cada organizao tem objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequ-lo ao seu prprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nvel em objetivos de TI especficos e gerenciveis, mapeando-os em prticas e processos especficos.

2 Princpio: Cobrir a Organizao de Ponta a Ponta - O COBIT 5 integra a governana corporativa de TI organizao governana corporativa:

Figura 2:PrincpiosdoCOBIT5


16

Cobre todas as funes e processos corporativos; O COBIT 5 no se concentra somente na funo de TI, mas considera a tecnologia da informao e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organizao.

Considera todos os habilitadores de governana e gesto de TI aplicveis em toda a organizao, de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governana e gesto das informaes e de TI da organizao.

3 Princpio: Aplicar um Modelo nico Integrado - H muitas normas e boas prticas relacionadas a TI, cada qual prov orientaes para um conjunto especfico de atividades de TI. O COBIT 5 se alinha a outros padres e modelos importantes em um alto nvel e, portanto, pode servir como o um modelo unificado para a governana e gesto de TI da organizao.

4 Princpio: Permitir uma Abordagem Holstica - Governana e gesto eficiente e eficaz de TI da organizao requer uma abordagem holstica, levando em conta seus diversos componentes interligados. O COBIT 5 define um conjunto de habilitadores para apoiar a implementao de um sistema abrangente de gesto e governana de TI da organizao. Habilitadores so geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores: Princpios, Polticas e Modelos Processos Estruturas Organizacionais Cultura, tica e Comportamento Informao Servios, Infraestrutura e Aplicativos Pessoas, Habilidades e Competncias

5 Princpio: Distinguir a Governana da Gesto O modelo do COBIT 5 faz uma clara distino entre governana e gesto. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciadas e servem a propsitos diferentes. A viso do COBIT 5 sobre esta importante distino entre governana e gesto : Governana

A governana garante que as necessidades, condies e opes das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direo atravs de priorizaes e tomadas de deciso; e monitorando o desempenho e a conformidade com a direo e os objetivos estabelecidos.

Na maioria das organizaes, a governana geral de responsabilidade do conselho de administrao sob a liderana do presidente. Responsabilidades de governana especficas podem ser delegadas a modelos organizacionais especiais no nvel adequado, especialmente em organizaes complexas de grande porte. Gesto

A gesto responsvel pelo planejamento, desenvolvimento, execuo e monitoramento das atividades em consonncia com a direo definida pelo rgo de governana a fim de atingir os objetivos corporativos.

Na maioria das organizaes, a gesto de responsabilidade da diretoria executiva sob a liderana do diretor executivo (CEO). Juntos, esses cinco princpios permitem que a organizao crie um modelo eficiente de governana e gesto otimizando os investimentos em tecnologia da informao e seu uso para o benefcio das partes interessadas.


CAPTULO 1 VISO GERAL DO COBIT 5

17

CAPTULO 1 VISO GERAL DO COBIT 5 O COBIT 5 fornece a prxima gerao de orientaes da ISACA sobre governana corporativa e gesto de TI. Baseia-se em mais de 15 anos de uso e aplicao prtica do COBIT por muitas organizaes e usurios das comunidades de negcios, TI, risco, segurana e garantia. Os principais fatores para o desenvolvimento do COBIT 5 incluem as necessidades de: Permitir que mais partes interessadas falem sobre o que eles esperam da tecnologia da informao e tecnologias

relacionadas (que benefcios e em qual nvel de risco aceitvel e a qual custo) e quais so suas prioridades para garantir que o valor esperado seja efetivamente obtido. Alguns vo querer retornos no curto prazo e outros iro preferir a sustentabilidade no longo prazo. Alguns estaro preparados para assumir um alto risco enquanto outros no. Essas expectativas divergentes e por vezes conflitantes precisam ser tratadas com eficincia. Alm disso, estas partes interessadas no s desejam estar mais envolvidos, como tambm querem mais transparncia em relao a como isso ir acontecer e aos resultados reais obtidos.

Abordar a questo da dependncia cada vez maior para o sucesso da organizao em parceiros externos de TI e de negcios tais como terceirizadas, fornecedores, consultores, clientes, provedores de servios na nuvem e demais servios, e de um conjunto diversificado de meios e mecanismos internos para entregar do valor esperado.

Tratar a quantidade de informao, que tem aumentado significativamente. Como as organizaes selecionam a informao relevante e confivel que levar a decises de negcios corretas e eficientes? A informao tambm precisa ser gerenciada de forma eficaz e um modelo eficiente para o tratamento da informao pode ajudar.

Administrar TI cada vez mais pervasiva; TI cada vez mais uma parte integrante do negcio. Muitas vezes, j no basta manter a TI separada mesmo que esteja alinhada ao negcio. Ela precisa ser uma parte integrante dos projetos organizacionais, estruturas organizacionais, gesto de risco, polticas, capacidades, processos, etc. As funes do diretor de TI (CIO) e da rea de TI esto evoluindo. Cada vez mais executivos de negcios tm habilidades em TI e esto, ou estaro, envolvidos em decises de TI e operaes de TI. Negcio e TI tero de ser mais bem integradas.

Fornecer mais orientaes na rea de tecnologias emergentes e inovadoras; isto tem a ver com criatividade, inventividade, desenvolvimento de novos produtos, tornar os produtos atuais mais interessantes para os clientes e conquistar novos tipos de clientes. Inovao tambm pressupe a dinamizao do desenvolvimento do produto, dos processos de produo e da cadeia de suprimentos visando fornecer produtos ao mercado com nveis mais altos de eficincia, rapidez e qualidade.

Cobrir o negcio de ponta a ponta e todas as reas responsveis pelas funes de TI, bem como todos os aspectos que levam eficiente governana e gesto de TI da organizao, tais como estruturas organizacionais, polticas e cultura, ao longo e acima dos processos.

Obter melhor controle sobre o crescente nmero de solues de TI que so de iniciativa dos usurios e esto sendo gerenciadas por eles.

Atingir: Criao de valor para a organizao atravs do uso eficiente e inovador de TI da organizao Satisfao dos usurios de negcio com os servios de TI Cumprimento das leis, regulamentos, acordos contratuais e polticas internas pertinentes Uma melhoria das relaes entre as necessidades corporativas e os objetivos de TI

Conectar-se e, quando pertinente, alinhar-se a outros importantes padres e modelos do mercado, tais como: Information Technology Infrastructure Library (ITIL), The Open Group Architecture Framework (TOGAF), Project Management Body of Knowledge (PMBOK), PRojects IN Controlled Environments 2 (PRINCE2), Committee of Sponsoring Organizations of the Treadway Commission (COSO) e International Organization for Standardization (ISO). Isto ajudar as Partes Interessadas a entender como os diversos modelos, boas prticas e padres se inter-relacionam e como elas podem ser usadas em conjunto.

Integrar todas os principais modelos e orientaes da ISACA, com o foco principal no COBIT, Val IT e Risk IT, mas considerando tambm o Modelo de Negcios para Segurana da Informao (BMIS), o Modelo de Garantia de TI (ITAF), a publicao intitulada Board Briefing on IT Governance, e o recurso Taking Governance Forward (TGF), de tal forma que o COBIT 5 cubra toda a organizao e fornea uma base para integrar estes outros modelos outros modelos, padres e prticas como um modelo nico.

Outros produtos e orientaes que cobrem as diferentes necessidades das diversas partes interessadas sero criados a partir da base de conhecimento principal do COBIT 5. Isto acontecer com o tempo, tornando a arquitetura do produto COBIT 5 um documento vivo. A arquitetura mais recente do produto COBIT 5 pode ser encontrada nas pginas do COBIT no website da ISACA (www.isaca.org/cobit).


18

Viso Geral desta Publicao O modelo do COBIT 5 contm mais sete captulos: O Captulo 2 trata do 1 Princpio, Atender s necessidades das Partes interessadas. Ele apresenta a cascata dos

objetivos do COBIT 5. Os objetivos corporativos de TI so usados para formalizar e estruturar as necessidades das partes interessadas. Os objetivos corporativos podem estar associados aos objetivos de TI, e esses objetivos de TI podem ser alcanados atravs do uso e execuo otimizados de todos os habilitadores, inclusive processos. Este conjunto de objetivos interligados chamado de cascata dos objetivos do COBIT 5. O captulo tambm inclui exemplos de perguntas tpicas sobre governana e gesto que os Partes Interessadas podero fazer sobre a TI da organizao.

O Captulo 3 trata do 2 Princpio, Cobrir a organizao de ponta a ponta. Este captulo explica como o COBIT 5 integra a governana corporativa de TI governana corporativa empresarial cobrindo todas as funes e processos da organizao.

O Captulo 4 trata do 3 Princpio, Aplicar um modelo nico Integrado, e descreve brevemente a arquitetura do COBIT 5 que atinge a integrao.

O Captulo 5 trata do 4 Princpio, Permitir uma Abordagem Holstica. A governana corporativa de TI sistmica e apoiada por um conjunto de habilitadores. Neste captulo, os habilitadores so apresentados juntamente com uma maneira comum de se olhar para eles: o modelo do habilitador genrico.

O Captulo 6 trata do 5 Princpio, Distinguir a Governana da Gesto, e discute a diferena entre gesto e governana, e como elas se inter-relacionam. O modelo de referncia do processo de alto nvel do COBIT 5 includo como exemplo.

O Captulo 7 contm uma introduo ao Guia de Implementao. Ele descreve como o ambiente adequado pode ser criado, os habilitadores necessrios, pontos fracos comuns e problemas tpicos da implementao, bem como a implementao e melhoria contnua do ciclo de vida. Este captulo baseia-se na publicao intitulada COBIT 5 Implementao, onde podem ser encontrados todos os detalhes sobre como implementar a governana corporativa de TI com base no COBIT 5.

O Captulo 8 trata do Modelo de Capacidade de Processo do COBIT 5 contido no esquema da abordagem ao Programa de Avaliao do COBIT (www.isaca.org/cobit-assessment-programme), como ele difere das avaliaes de maturidade de processo do COBIT 4.1, e como os usurios podem migrar para a nova abordagem.

Os apndices contm referncias, mapeamentos e informaes mais detalhadas sobre temas especficos: Apndice A. Referncias usadas durante o desenvolvimento do COBIT 5 so relacionadas aqui. Apndice B. Mapeamento Detalhado dos Objetivos Corporativos - Objetivos de TI descreve como os objetivos

corporativos so geralmente apoiados por um ou mais objetivos de TI. Apndice C. Mapeamento Detalhado dos Objetivos de TI - Processos de TI descreve como os processos do COBIT

apoiam o atingimento dos objetivos de TI. Apndice D. Necessidades das Partes Interessadas e Objetivos Corporativos descreve como as necessidades bsicas

das Partes Interessadas partes interessadas se relacionam com os objetivos corporativos do COBIT 5. Apndice E. Mapeamento do COBIT 5 Com os Padres e Modelos Correlatos Mais Relevantes Apndice F. Comparao entre o Modelo de Informaes do COBIT 5 e os Critrios de Informaes do COBIT 4.1. Apndice G. Descrio Detalhada dos Habilitadores do COBIT 5 baseia-se no captulo 5 e inclui mais detalhes sobre

os diferentes habilitadores, inclusive um modelo do habilitador detalhado com a descrio de componentes especficos e ilustrado com diversos exemplos.

Apndice H. Glossrio


CAPTULO 2 1 PRINCPIO: ATENDER S NECESSIDADES DAS PARTES INTERESSADAS

19

CAPTULO 2 1 PRINCPIO: ATENDER S NECESSIDADES DAS PARTES INTERESSADAS Introduo As organizaes existem para criar valor para suas partes interessadas. Consequentemente, qualquer organizao comercial ou no ter a criao de valor como um objetivo da governana. Criar valor significa realizar benefcios com uma tima relao de custo e ainda otimizar o risco (ver figura 3). Os benefcios podem assumir muitas formas, por exemplo, financeiros para organizaes comerciais ou de servio pblico para entidades governamentais.

As organizaes tm muitas partes interessadas e criar valor pode significar coisas diferentes - e por vezes conflitantes - para cada um deles. Governana tem a ver com negociar e decidir entre os interesses de valor das diferentes partes interessadas. Por consequncia, o sistema de governana deve considerar todas as todas as partes interessadas ao tomar decises sobre a avaliao dos recursos, benefcios e riscos. Para cada deciso, as seguintes perguntas podem e devem ser feitas: Para quem so os benefcios? Quem assume o risco? Que recursos so necessrios? Cascata dos Objetivos do COBIT 5 Cada organizao opera em um contexto diferente; este contexto determinado por fatores externos (mercado, setor, geopolticas, etc.) e fatores internos (cultura, organizao, inclinao ao risco, etc.), e exige um sistema de governana e gesto personalizado. As necessidades das partes interessadas devem ser transformadas em uma estratgia exequvel pela organizao. A cascata de objetivos da organizao. A cascata de objetivos do COBIT 5 o mecanismo de traduo das necessidades das partes interessadas em objetivos corporativos especficos, personalizados, exequveis, objetivos de TI e metas de habilitador. Esta traduo permite a configurao de objetivos especficos em cada nvel e em cada rea da organizao em apoio aos objetivos gerais e s exigncias das partes interessadas e, portanto, apoia efetivamente o alinhamento entre as necessidades corporativas e os servios e solues de TI. A cascata de objetivos do COBIT 5 demonstrado na figura 4. 1 Passo. Os Direcionadores das Partes Interessadas Influenciam as Necessidades das PartesInteressadasAs necessidades das partes interessadas so influenciadas por diversas tendncias, por exemplo, mudanas de estratgia, mudanas nos negcios e no ambiente regulatrio bem como novas tecnologias. 2Passo.DesdobramentodasNecessidadesdasPartesInteressadasemObjetivosCorporativosAs necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos genricos. Esses objetivos corporativos foram criados usando as dimenses do balanced scorecard (BSC)1 e representam uma lista dos objetivos mais usados que uma organizao pode definir para si. Embora esta lista no seja completa, a maioria dos objetivos especficos das organizaes pode ser mapeada facilmente em um ou mais dos objetivos corporativos genricos. Uma tabela com as necessidades das partes interessadas e os objetivos corporativos apresentada no Apndice D.

1 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University Press, EUA, 1996.

Figura3:ObjetivodaGovernana:CriaodeValor


20

O COBIT 5 define 17 objetivos genricos, conforme demonstrados na figura 5, que incluem as seguintes informaes: A dimenso BSC sob a qual o objetivo corporativo se enquadra Objetivos corporativos A relao entre os trs principais objetivos da governana Realizao de benefcios, Otimizao do risco e Otimizao

dos recursos (P significa relao primria e S relao secundria, ou seja, uma relao mais fraca). 3Passo.CascatadosObjetivosCorporativosemObjetivosdeTIO atingimento dos objetivos corporativos exige uma srie de resultados de TI2 que so representados pelos objetivos relacionados a TI. Relacionados a TI significa tudo o que estiver relacionado tecnologia da informao e tecnologias afins, e os objetivos de TI so estruturados de acordo com as dimenses do balanced scorecard de TI (IT BSC). O COBIT 5 define 17 objetivos de TI, relacionados na figura 6. A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi includa no Apndice B, e demonstra como cada objetivo corporativo apoiado por diversos objetivos de TI. 4Passo.CascatadosObjetivosdeTIemMetasdoHabilitadorAtingir os objetivos de TI exige a aplicao e o uso bem-sucedido de diversos habilitadores. O conceito de habilitador explicado em detalhes no captulo 5. Habilitadores incluem processos, estruturas organizacionais e informaes, e para cada habilitador um conjunto especfico de metas relevantes pode ser definido para apoiar os objetivos de TI. Processos so um dos habilitadores, e o Apndice C contm o mapeamento entre os objetivos de TI e os processos pertinentes do COBIT 5, que por sua vez contm os respectivos objetivos do processo.

2 Os resultados de TI no so obviamente o nico benefcio intermedirio necessrio para a consecuo dos objetivos corporativos. Todas as demais

reas funcionais de uma organizao, tais como finanas e marketing, tambm contribuem para a consecuo dos objetivos corporativos, mas no contexto do COBIT 5 somente as atividades e os objetivos de TI so considerados

Figura4:VisoGeraldacascatadeObjetivosdoCOBIT5



21

DimensoBSC Objetivocorporativo

RelaocomObjetivosdeGovernana

Realizaode

BenefciosOtimizaodeRisco

OtimizaodeRecursos

Financeira 1. Valor dos investimentos da organizao percebidos pelaspartesinteressadas P S

2.Portfliodeprodutoseservioscompetitivos P P S 3.Gestodoriscodonegcio(salvaguardadeativos) P S 4.Conformidadecomasleiseregulamentosexternos P 5.Transparnciafinanceira P S S

Cliente 6.Culturadeservioorientadaaocliente P S7.Continuidadeedisponibilidadedoserviodenegcio P 8.Respostasrpidasparaumambientedenegciosemmudana

P S

9.Tomadadedecisoestratgicacombasenainformao P P P10.Otimizaodoscustosdeprestaodeservios P P

Interna 11.Otimizaodafuncionalidadedoprocessodenegcio P P12.Otimizaodoscustosdoprocessodenegcio P P13.Gestodeprogramasdemudanasdenegcios P P S14.Produtividadeoperacionaledaequipe P P15.Conformidadecomaspolticasinternas P

TreinamentoeCrescimento

16.Pessoasqualificadasemotivadas S P P17.Culturadeinovaodeprodutosenegcios P

DimensoBSCdeTI ObjetivodaInformaoeTecnologiaRelacionadaFinanceira 01 AlinhamentodaestratgiadenegciosedeTI

02 ConformidadedeTIesuporteparaconformidadedonegciocomasleiseregulamentosexternos03 CompromissodagernciaexecutivacomatomadadedecisesdeTI04 GestoderiscoorganizacionaldeTI05 BenefciosobtidospeloinvestimentodeTIeportfliodeservios06 Transparnciadoscustos,benefcioseriscosdeTI

Cliente 07 PrestaodeserviosdeTIemconsonnciacomosrequisitosdenegcio08 Usoadequadodeaplicativos,informaesesoluestecnolgicas

Interna 09 AgilidadedeTI10 Seguranadainformao,infraestruturadeprocessamentoeaplicativos11 Otimizaodeativos,recursosecapacidadesdeTI12 Capacitaoeapoioaosprocessosdenegciosatravsdaintegraodeaplicativosetecnologia13 Entregadeprogramasfornecendobenefcios,dentrodoprazo,oramentoeatendendorequisitos14 Disponibilidadedeinformaesteiseconfiveisparaatomadadedeciso15 ConformidadedeTIcomaspolticasinternas

TreinamentoeCrescimento

16 EquipesdeTIedenegciosmotivadasequalificadas17 Conhecimento,expertiseeiniciativasparainovaodosnegcios

Figura 6:ObjetivosdeTI

Figura5:ObjetivosCorporativosdoCOBIT5


22

Usando a Cascata de Objetivos do COBIT 5 Benefcios da Cascata de Objetivos do COBIT 5 A cascata de objetivos3 importante porque permite a definio das prioridades de implementao, melhoria e garantia da governana corporativa de TI com base nos objetivos (estratgicos) da organizao e no respectivo risco. Na prtica, a cascata de objetivos: Define as metas e objetivos tangveis e relevantes em vrios nveis de responsabilidade Filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos, para extrair a orientao pertinente para

incluso na implementao, melhoria ou garantia de projetos especficos Identifica e comunica claramente como (por vezes de forma muito operacional) os habilitadores so importantes para o

atingimento dos objetivos corporativos UsandoaCascatadeObjetivosdoCOBIT5comAtenoA cascata de objetivos - com suas tabelas de mapeamento entre os objetivos corporativos e os objetivos de TI e entre os objetivos de TI e os habilitadores do COBIT 5 (inclusive processos) - no contm a verdade universal, e os usurios no devem tentar us-lo de uma forma puramente mecnica, mas sim como um orientador. H vrias razes para isso, entre as quais: Cada organizao tem prioridades diferentes em seus objetivos, e essas prioridades podem mudar com o tempo. As tabelas de mapeamento no fazem distino entre o porte da organizao e/ou o setor em que ela est inserida. Elas

representam uma espcie de denominador comum de como, no geral, os diferentes nveis de objetivos se inter-relacionam. Os indicadores usados no mapeamento consideram dois nveis de importncia ou relevncia, sugerindo a existncia de

discretos nveis de relevncia, considerando que, de fato, o mapeamento ser parecido com uma constante com vrios nveis de correspondncia.

UsandoaCascatadeObjetivosdoCOBIT5naPrticaA partir do aviso legal acima, fica evidente que o primeiro passo que uma organizao sempre dever dar ao utilizar a cascata de objetivos personalizar o mapeamento, levando em considerao sua situao especfica. Em outras palavras, cada organizao dever criar sua prpria cascata de objetivos, compar-lo com o COBIT e depois refin-la. Por exemplo, a organizao poder desejar: Converter as prioridades estratgicas em um peso ou importncia especfica para cada um dos objetivos corporativos. Validar os mapeamentos da cascata de objetivos, levando em considerao seu ambiente e setor especficos, etc.

EXEMPLO1CASCATADEOBJETIVOSUmaorganizaodefineparasiumasriedeobjetivosestratgicos,dosquaisamelhoriadasatisfaodoclienteomaisimportante.Apartirdali,eladesejasaberoqueprecisasermelhoradoemtodososaspectosrelativosaTI.Aorganizaodecidequedefinirasatisfaodoclientecomoaprincipalprioridadeequivalenteaelevaraprioridadedosseguintesobjetivoscorporativos(extradosdafigura5):6.Culturadeservioorientadaaocliente7.Continuidadeedisponibilidadedoserviodenegcio8.RespostasrpidasparaumambientedenegciosemmudanaAorganizaodagoraoprximopassonacascatadosobjetivos:analisarquaisobjetivosdeTIcorrespondemaessesobjetivoscorporativos.UmasugestodemapeamentoentreelesfoirelacionadanoApndiceB.Apartirdali,osseguintesobjetivosdeTIsosugeridoscomoosmaisimportantes(todoscomorelacionamentosP):01AlinhamentodaestratgiadeTIedenegcios04GestodoriscoorganizacionaldeTI07PrestaodeserviosdeTIemconsonnciacomosrequisitosdenegcio09AgilidadedeTI10Seguranadainformao,infraestruturadeprocessamentoeaplicativos14Disponibilidadedeinformaesteiseconfiveisparatomadadedeciso17Conhecimento,expertiseeiniciativasparainovaodosnegciosAorganizaovalidaestalistaedecidequeosquatroprimeirosobjetivosseroconsideradosprioridade.Noprximopassodacascata,usandooconceitodehabilitador(vercaptulo5),essesobjetivosdeTIlevamadiversasmetasdehabilitador,queincluemobjetivosdoprocesso.NoApndiceC,ummapeamentosugeridoentreosobjetivosdeTIeosprocessosdoCOBIT5.AquelatabelapermiteaidentificaodosmaisimportantesprocessosdeTIqueapoiamosobjetivosdeTI,porm,osprocessosporsisnososuficientes.Os demais habilitadores, tais como cultura, comportamento e tica; modelos organizacionais ou habilidades e expertise so igualmenteimportanteserequeremumconjuntodeobjetivosbemdefinidos.Quandoesteexerccioforconcludo,aorganizaoterumconjuntodemetasconsistentesparatodososhabilitadoresquepermitiroqueelaalcanceosobjetivosestratgicosestabelecidos,almdeumconjuntodeindicadorescorrelatosparamedirodesempenho

3 A cascata de objetivos baseia-se na pesquisa realizada pelo Instituto de Governana e Alinhamento de TI da Faculdade de Administrao da

Universidade de Anturpia, na Blgica.



23

EXEMPLO2NECESSIDADESDASPARTESINTERESSADAS:SUSTENTABILIDADEApsaconclusodaanlisedasnecessidadesdaspartesinteressadas,aorganizaodecidequeasustentabilidadeumaprioridadeestratgica.Paraela,asustentabilidadeincluinososaspectosambientais,mastodasascoisasquecontribuemparaosucessodaorganizaonolongoprazo.Combasenosresultadosdaanlisedasnecessidadesdaspartesinteressada,aorganizaodecideconcentrarsenoscincoobjetivosabaixo,comespecificaesmaisdetalhadas:1.Valordosinvestimentosdaorganizaopercebidospelaspartesinteressada,especialmentepelasociedadedaspartesinteressadas4.Conformidadecomasleiseregulamentosexternos,comfoconasleisambientaiseleistrabalhistasquetratamdoscontratosdeterceirizao8.Respostarpidaparaumambientedenegciosemmudana16.Pessoasqualificadasemotivadas,quereconhecemqueosucessodaorganizaodependedeseuscolaboradores17.Culturadeinovaodeprodutosenegcios,comfocoeminovaesnolongoprazoCombasenessasprioridades,acascatadeobjetivospodeseraplicadaconformeexplicadonotexto Perguntas sobre Governana e Gesto de TI O atendimento das necessidades das partes interessadas de qualquer organizao - devido elevada dependncia de TI - levantar diversas perguntas sobre governana e gesto de TI da organizao (figura 7).


24

PartesInteressadasInternas PerguntasdasPartesInteressadasInternas

Conselho DiretorExecutivo(CEO) DiretorFinanceiro(CFO) DiretordeInformtica(CIO) DiretordeRisco(CRO) ExecutivosdeNegcios Proprietriosdeprocessosdenegcio Gerentesdenegcios Gerentesderisco Gerentesdesegurana Gerentesdeservios GerentesdeRecursosHumanos(RH) Auditoresinternos Diretoresdeprivacidade UsuriosdeTI GerentesdeTI Etc.

ComofaoparaobtervalorcomousodeTI?OsusuriosfinaisestosatisfeitoscomaqualidadedoserviodeTI?

ComopossogerenciarodesempenhodeTI? Comopossoexplorarmelhorasnovastecnologiasparanovasoportunidadesestratgicas?

ComofaoparacriareestruturardamelhorformaomeudepartamentodeTI?

Qualaminhadependnciadefornecedoresexternos?QuobemoscontratosdeterceirizaodeTIestosendoadministrados?

Comofaoparaobtergarantiadosfornecedoresexternos? Quaissoosrequisitos(decontrole)dainformao? ConsidereitodososriscosdeTI? EstouconduzindoumaslidaeeficienteoperaodeTI? ComopossocontrolarocustodeTI?ComoutilizarosrecursosdeTIdeformamaiseficazeeficiente?

Quaissoasopesdeterceirizaomaiseficazeseeficientes? TenhopessoalsuficienteparaTI?Comofaoparadesenvolveremantersuacapacitao,ecomocontroloseudesempenho?

ComofaoparaobtergarantiadeTI? Asinformaesqueestouprocessandoestobemprotegidas? ComopossomelhoraraagilidadedosnegcioscomumambientedeTImaisflexvel?

OsprojetosdeTInocumpremoqueprometeramecasoafirmativo,porqu?TIestatrapalhandoaexecuodaestratgiadenegcios?

QuocrticaTIparaasustentaodaorganizao?Oquefazerseelanoestiverdisponvel?

QuaisprocessosdenegcioscrticosdependemdeTI,equaissoosrequisitosdosprocessosdenegcios?

QualtemsidoocustoadicionalmdiodosoramentosoperacionaisdeTI?ComquefrequnciaeemquemedidaosprojetosdeTIestouramooramento?

QuantodoesforodeTIdedicadoparaapagarincndiosemvezdefacilitaramelhoriadonegcio?

ForamdisponibilizadosinfraestruturaserecursosdeTIsuficientesparaalcanarosobjetivosestratgicosdaorganizao?

QuantotemponecessrioparaatomadadedecisesimportantesdeTI? OesforototaldeTIeseusinvestimentossotransparentes? TIapoiaaorganizaonocumprimentodosregulamentosenveisdeservio?Comofaoparasaberseestouemconformidadecomtodososregulamentosaplicveis?

PartesInteressadasExternas PerguntasdasPartesInteressadasExternas Parceiroscomerciais Fornecedores Acionistas Reguladores/governo Usuriosexternos Clientes Organizaesdenormatizao Auditoresexternos Consultores Etc.

Comopossosaberseasoperaesdomeuparceirocomercialsoseguraseconfiveis?

Comopossosaberseaorganizaocumpreasregraseregulamentosaplicveis?

Comopossosaberseaorganizaomantmumsistemaeficientedecontroleinterno?

Osparceiroscomerciaistmacadeiadeinformaesentreelessobcontrole?

Como Encontrar uma Resposta para Essas Perguntas Todas as perguntas mencionadas na figura 7 podem estar relacionadas aos objetivos corporativos, e servem como entrada para a cascata de objetivos, sobre os quais podem ser abordados com eficincia. O Apndice D contm um exemplo de mapeamento entre as perguntas das partes interessadas internas mencionadas na figura 7 e os objetivos corporativos.

Figura7:PerguntassobreGovernanaeGestodeTI


CAPTULO 3 2 PRINCPIO: COBRIR A ORGANIZAO DE PONTA A PONTA

25

CAPTULO 3 2 PRINCPIO: COBRIR A ORGANIZAO DE PONTA A PONTA O COBIT 5 aborda a governana e gesto da informao e da tecnologia correlata a partir da perspectiva de toda a organizao, de ponta a ponta. Isso significa que o COBIT 5: Integra a governana corporativa de TI governana corporativa da organizao. Ou seja, o sistema de governana

corporativa de TI proposto pelo COBIT 5 integra-se perfeitamente em qualquer sistema de governana. O COBIT 5 alinha-se com as ltimas vises sobre governana.

Cobre todas as funes e processos necessrios para regular e controlar as informaes da organizao e tecnologias correlatas onde quer que essas informaes possam ser processadas. Considerando este amplo escopo organizacional, o COBIT 5 trata de todos os servios de TI internos e externos pertinentes, bem como dos processos de negcios internos e externos.

O COBIT 5 fornece uma viso holstica e sistmica sobre a governana e gesto de TI da organizao (ver princpio 4), que tem por base diversos habilitadores. Os habilitadores servem para toda a organizao, de ponta a ponta, ou seja, incluem todas as pessoas e todas as coisas, internas e externas, pertinentes governana e gesto das informaes e TI da organizao, inclusive as atividades e responsabilidades das funes corporativas de TI bem como aquelas no relacionadas com essas funes. Informao uma das categorias de habilitadores do COBIT. O modelo pelo qual o COBIT 5 define os habilitadores permite que cada parte interessada defina requisitos abrangentes e completos para as informaes e para o ciclo de vida de processamento das informaes, associando assim o negcio e suas necessidades de informaes adequadas funo de TI, e apoiando a organizao e o foco no contexto. Abordagem Governana A abordagem governana de ponta a ponta que est na base do COBIT 5 demonstrada na figura 8, onde podem ser observados os principais componentes de um sistema de governana.4

4 Este sistema de governana uma ilustrao da iniciativa Taking Governance Forward (TGF) da ISACA; para mais informaes sobre o TGF

acesse: www.takinggovernanceforward.org.

Figura8:GovernanaeGestodeTInoCOBIT5


26

Alm do objetivo de governana, os outros principais elementos da abordagem governana incluem habilitadores; escopo; alm de funes, atividades e relacionamentos. HabilitadoresdaGovernanaHabilitadores da governana so os recursos organizacionais da governana, tais como modelos, princpios, processos e prticas, por meio dos quais a ao orientada e os objetivos podem ser alcanados. Os habilitadores tambm incluem os recursos da organizao - por exemplo, capacidades do servio (infraestrutura de TI, aplicativos, etc.), pessoas e informaes. A falta de recursos ou habilitadores poder afetar a capacidade da organizao na criao de valor. Devido a importncia dos habilitadores da governana, o COBIT 5 inclui uma forma nica de olhar e lidar com esses habilitadores (ver captulo 5). EscopodaGovernanaA governana pode ser aplicada a toda a organizao, uma entidade, um ativo tangvel ou intangvel, etc. Ou seja, podem-se definir diferentes vises da organizao s quais a governana ser aplicada, e fundamental definir bem este escopo do sistema de governana. O escopo do COBIT 5 a organizao - mas, em suma, o COBIT 5 pode tratar de qualquer dessas diferentes vises. Papis,AtividadeseRelacionamentosUm ltimo elemento refere-se s papis, atividades e relacionamentos de governana. Ele define quem est envolvido na governana, como esto envolvidos, o que fazem e como interagem, dentro do escopo de qualquer sistema de governana. O COBIT 5 faz uma clara diferenciao entre as atividades de governana e gesto nos domnios de governana e gesto, bem como a interao entre elas e os especialistas envolvidos. A figura 9 mostra em detalhes a parte inferior da figura 8, com as interaes entre os diferentes papis. Para mais informaes sobre esta viso de governana genrica, ver a iniciativa Taking Governance Forward em: www.takinggovernanceforward.org.

Figura9:PrincipaisFunes,AtividadeseRelacionamentos


CAPTULO 4 3 PRINCPIO: APLICAR UM MODELO NICO INTEGRADO

27

CAPTULO 4 3 PRINCPIO: APLICAR UM MODELO NICO INTEGRADO O COBIT 5 um modelo nico e integrado porque: Alinha-se com outros padres e modelos mais recentes, permitindo assim que a organizao use o COBIT 5 como o

principal integrador do modelo de governana e gesto. completo na cobertura da organizao, fornecendo a base para integrar com eficincia outros modelos, padres e prticas

utilizados. Um modelo nico principal serve como uma fonte consistente e integrada de orientao em uma linguagem comum, no tcnica, agnstico-tecnolgica.

Fornece uma arquitetura simples para estruturao dos materiais de orientao e produo de um conjunto consistente de produtos.

Integra todo o conhecimento previamente disperso nos diversos modelos da ISACA. A ISACA vem pesquisando a principal rea de governana corporativa h muitos anos e criou modelos tais como COBIT, Val IT, Risk IT, BMIS, a publicao Board Briefing on IT Governance, e ITAF para prestar orientao e assistncia s organizaes.

O COBIT 5 integra todo este conhecimento. Integrador de Modelos do COBIT 5 A figura 10 apresenta uma descrio grfica de como o COBIT 5 cumpre seu papel de modelo alinhado e integrado

Figura10:ModelonicoIntegradodoCOBIT5


28

O modelo do COBIT 5 oferece s partes interessadas a mais completa e atualizada orientao (ver figura 11) sobre governana e gesto de TI da organizao atravs de: Pesquisa e utilizao de um conjunto de fontes que tm impulsionado o desenvolvimento de contedo novo, inclusive: Reunindo a orientao da ISACA existente (COBIT 4.1, Val IT 2.0, Risk IT e BMIS) neste modelo nico Complementando este contedo com reas que necessitam de mais elaboraes e atualizaes Alinhando-se com outros padres e modelos relevantes, tais como os padres ITIL, TOGAF e ISO. A lista completa

de referncias pode ser encontrada no Apndice A Definio de um conjunto de habilitadores da governana e gesto, que fornece o modelo para todos os materiais de

orientao Preenchimento da base de conhecimento do COBIT 5 que contm toda a orientao e o contedo j produzidos, assim

como a disponibilizao do modelo para novos contedos no futuro Fornecimento de uma base slida e abrangente de referncia de boas prticas

Figura11:FamliadeProdutosCOBIT5


CAPTULO 5 4 PRINCPIO: PERMITIR UMA ABORDAGEM HOLSTICA

29

CAPTULO 5 4 PRINCPIO: PERMITIR UMA ABORDAGEM HOLSTICA Habilitadores do COBIT 5 Habilitadores so fatores que, individualmente e em conjunto, influenciam se algo ir funcionar - neste caso, a governana e a gesto corporativas da TI. Os habilitadores so orientados pela cascata de objetivos, ou seja, objetivos de TI em nveis mais alto definem o que os diferentes habilitadores devero alcanar. O modelo do COBIT 5 descreve sete categorias de habilitadores (figura 12): Princpios, polticas e modelos so veculos para a traduo do comportamento desejado em orientaes prticas para a

gesto diria. Processos descrevem um conjunto organizado de prticas e atividades para o atingimento de determinados objetivos e

produzem um conjunto de resultados em apoio ao atingimento geral dos objetivos de TI. Estruturas organizacionais so as principais entidades de tomada de deciso de uma organizao. Cultura, tica e comportamento das pessoas e da organizao so muitas vezes subestimados como um fator de sucesso

nas atividades de governana e gesto. Informao permeia qualquer organizao e inclui todas as informaes produzidas e usadas pela organizao. A

Informao necessria para manter a organizao em funcionamento e bem governada, mas no nvel operacional, a informao por si s muitas vezes o principal produto da organizao.

Servios, infraestrutura e aplicativos incluem a infraestrutura, a tecnologia e os aplicativos que fornecem organizao o processamento e os servios de tecnologia da informao.

Pessoas, habilidades e competncias esto associadas s pessoas e so necessrias para a concluso bem-sucedida de todas as atividades bem como para a tomada de decises corretas e tomada de medidas corretivas.

Alguns dos habilitadores definidos acima tambm so recursos da organizao que devem ser gerenciados e governados. Isto se aplica: A Informao, que deve ser gerenciada como um recurso. Algumas informaes, tais como relatrios de gesto e

informaes de inteligncia organizacional so importantes habilitadores para a governana e gesto da organizao. Servios, infraestrutura e aplicativos. Pessoas, habilidades e competncias. Governana e Gesto Sistmicas por meio de Habilitadores Interligados A figura 12 tambm transmite uma ideia que deve ser adotada pela governana corporativa, incluindo a governana de TI, que de atingir os principais objetivos corporativos. Uma organizao sempre dever considerar um conjunto de habilitadores interligados. Ou seja, cada habilitador: Necessita das informaes dos demais habilitadores para ser plenamente efetivo, por exemplo, processos precisam de

informaes e modelos organizacionais necessitam de habilidades e comportamento. Produz resultados para o benefcio dos demais habilitadores, por exemplo, os processos geram informaes, e as

habilidades e o comportamento tornam os processos eficientes. Assim, ao tratar da governana e gesto corporativa de TI, boas decises podem ser tomadas somente quando esta natureza sistmica dos arranjos de governana e gesto for considerada. Isto significa que para tratar de qualquer necessidade das partes interessadas, a referncia de todos os habilitadores inter-relacionados deve ser analisada e tratada, se necessrio. Esta mentalidade deve ser orientada pela alta administrao da organizao, conforme ilustrado nos exemplos abaixo.

Figura12:HabilitadoresCorporativosdoCOBIT5


30

EXEMPLO3GOVERNANAEGESTOCORPORATIVADETIDAORGANIZAOPrestarserviosoperacionaisdeTIatodososusuriosexigecapacidadesdeservio(infraestrutura,aplicativos)bemcomopessoasqualificadasecomocomportamentonecessrio.Diversosprocessosdeprestaodeserviostambmdevemserimplementados,apoiadospelasestruturasorganizacionaisadequadas,quedemonstramcomotodososhabilitadoressonecessriosparaumaprestaodeserviosbemsucedida.

EXEMPLO4GOVERNANAEGESTOCORPORATIVADETIDAORGANIZAOAnecessidadedeseguranadainformaoexigeacriaoeadoodediversaspolticaseprocedimentos.Essaspolticas,porsuavez,exigemaimplementaodediversasprticasdesegurana.Noentanto,seaculturaeaticadaorganizaoedaspessoasnoforemapropriadas,osprocessoseosprocedimentosdeseguranadasinformaesnoseroefetivos. Dimenses dos Habilitadores do COBIT 5 Todos os habilitadores possuem um conjunto de dimenses comuns. Este conjunto de dimenses comuns (figura 13): Apresenta uma maneira comum, simples e estruturada para tratar dos habilitadores Permite que uma entidade controle suas interaes complexas Facilita resultados bem-sucedidos dos habilitadores

DimensesdoHabilitadorAs quatro dimenses comuns dos habilitadores so: Partes Interessadas - Cada habilitador tem partes interessadas (partes que desempenham um papel ativo e/ou tenham

algum interesse no habilitador). Por exemplo, os processos tm diversas partes que executam atividades do processo e/ou que tenham algum interesse nos resultados do processo; estruturas organizacionais tm partes interessadas, cada um com suas prprias funes e interesses que fazem parte das estruturas. Partes interessadas podem ser internas ou externas organizao, e todas possuem seus prprios, e s vezes conflitantes, interesses e necessidades. As necessidades das partes interessadas so traduzidas em objetivos corporativos, que por sua vez so traduzidas em objetivos corporativos para organizao. Uma lista de partes interessadas apresentada na figura 7.

Metas - Cada habilitador tem diversas metas, e os habilitadores criam valor ao atingir essas metas. Metas podem ser definidas em termos de: Resultados esperados do habilitador Aplicativo ou operao do prprio operador

As metas do habilitador so a ltima etapa da cascata de objetivos do COBIT 5. Essas metas podem ser divididas ainda em diferentes categorias: Qualidade intrnseca - O quanto os habilitadores trabalham de forma precisa, objetiva e produzem resultados exatos,

objetivos e confiveis Qualidade contextual - O quanto os habilitadores e seus resultados cumprem sua meta levando-se em considerao o

contexto em que operam. Por exemplo, os resultados devem ser pertinentes, completos, atuais, apropriados, consistentes, compreensveis e fceis de usar.

Acesso e segurana - O quanto os habilitadores e seus resultados so acessveis e seguros, tais como: Os habilitadores esto disponveis quando, e se, necessrio. Os resultados so seguros, ou seja, o acesso restrito a quem de direito e que precisar deles.

Figura13:HabilitadoresdoCOBIT5:Genricos


CAPTULO 5 4 PRINCPIO: PERMITIR UMA ABORDAGEM HOLSTICA

31

Ciclo de vida - Cada habilitador tem um ciclo de vida, desde sua criao, passando por sua vida til/operacional at chegar ao descarte. Isto se aplica s informaes, estruturas, processos, polticas, etc. As fases do ciclo de vida incluem: Planejar (inclui o desenvolvimento e seleo de conceitos) Projetar Desenvolver/adquirir/criar/implementar Usar/operar Avaliar/monitorar Atualizar/descartar

Boas prticas - Boas prticas podem ser definidas para cada um dos habilitadores. Boas prticas apoiam o atingimento das metas do habilitador. Boas prticas oferecem exemplos ou sugestes de como implementar o habilitador da melhor maneira, e quais produtos do trabalho ou entradas e sadas so necessrios. O COBIT 5 oferece exemplos de boas prticas para alguns dos habilitadores do COBIT 5 (ex: processos). Para outros habilitadores pode-se usar a orientao dos demais padres, modelos, etc.

ControledeDesempenhodoHabilitadorOrganizaes esperam resultados positivos da aplicao e uso dos habilitadores. Para controlar o desempenho dos habilitadores, as perguntas abaixo tero de ser monitoradas e posteriormente respondidas - com base em Indicadores - periodicamente: As necessidades das partes interessadas foram consideradas? As metas do habilitador foram atingidas? O ciclo de vida do habilitador controlado? Boas prticas foram aplicadas? Os dois primeiros pontos tratam do resultado efetivo do habilitador. Os indicadores usados para aferir em que medida as metas foram atingidas podem ser chamadas de indicadores de resultado. Os dois ltimos pontos tratam do funcionamento efetivo do prprio habilitador, e estes indicadores podem ser chamadas de indicadores de progresso. Exemplo de Habilitadores na Prtica O exemplo 5 ilustra os habilitadores, suas interligaes e as dimenses do habilitador, e como us-los para benefcio prtico.

EXEMPLO5HABILITADORESUmaorganizaonomeougerentesdeprocessodeTI,encarregadosdedefinireoperarprocessosdeTIeficienteseeficazes,nocontextodaboagovernanaegestodeTIdaorganizao.Primeiramente,osgerentesdeprocessoseconcentraramnohabilitadordoprocesso,considerandoasdimensesdohabilitador:Partesinteressadas:Partesinteressadasincluemtodososatoresdoprocesso,ouseja,todasaspartesresponsveis,consultadas

cobit-5_res_por_0914.pdf

Documents