COBIT_5_Foundation_Livro_do_Participante_V3.pdf

1
18/01/2013
COBIT® 5 Foundations
COBIT® is a trademark of ISACA® registered in the United States and other countries.
The COBIT logo™ is a Trade Mark of ISACA® registered in the United States and other countries.

2
18/01/2013

3
COBIT® 5 Foundation
ISACA®
With 95,000 constituents in 160 countries, ISACA (www.isaca.org) is a leading global provider of knowledge,
certifications, community, advocacy and education on information systems (IS) assurance and security,
enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit,
independent ISACA hosts international conferences, publishes the ISACA® Journal, and develops
international IS auditing and control standards, which help its constituents ensure trust in, and value from,
information systems. It also advances and attests IT skills and knowledge through the globally respected Certified
Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the
Governance of Enterprise IT® (CGEIT®) and Certified in Risk and Information Systems ControlTM (CRISCTM)
designations. ISACA continually updates COBIT®, which helps IT professionals and enterprise leaders fulfil their
IT governance and management responsibilities, particularly in the areas of assurance, security, risk and
control, and deliver value to the business.
COBIT® is a trademark of ISACA® registered in the United States and other countries
The COBIT logo™ is a Trade Mark of ISACA® registered in the United States and other countries
18/01/2013

4
O COBIT 5 fornece um framework completo que ajuda as organizações a alcançar seus objetivos para a
governança e gestão da empresa de TI. Em outras palavras, ajuda as organizações a criarem valor ótimo
da TI através da manutenção de um balanço entre a realização de benefícios e a otimização de níveis de
riscos e o uso de recursos. Construído com mais de 15 anos de uso e aplicação prática do COBIT por muitas
empresas e usuários das comunidades de negócios, TI, risco, segurança e garantia.
O COBIT 5 capacita a TI a ser governada e gerenciada de maneira holística para a organização como um
todo, tomando a responsabilidade integral das áreas de negócio de ponta a ponta e funcional,
considerando os interesses relacionados à TI das partes interessadas internas e externas.
O COBIT 5 é genérico e útil para as organizações de todos os tamanhos, e dos setores comercial,
sem-fins-lucrativos ou público.
18/01/2013

5
O COBIT é um framework que está em constante evolução. Trata-se de uma evolução em relação a
diversos itens como por exemplo:
Melhorar aderência a alguma norma;
Implementar alguma norma;
Melhorar ou implementar boas práticas;
Melhorar ou implementar alguma padronização;
Ampliação do escopo
A primeira versão foi lançada em 96 como uma ferramenta para auxiliar processos de auditoria.
Sendo ampliado em 98 para se tornar também uma poderosa ferramenta facilitadora
para gerenciar os controles.
Em 2000, com o COBIT3, um framework de gerenciamento da área de Tecnologia de Informação.
Já na família 4, o COBIT 4 implementa o VAL IT e o COBIT 4.1 implementa o Risk IT.
Em 2012 o COBIT 5 engloba toda a organização.
Enquanto o VAL IT está associado a Gerar Valor com a TI, o
Risk IT está relacionado ao Gerenciamento dos Riscos Associados à TI
18/01/2013

6
O COBIT 5 é na verdade uma família de produtos composta(*) de:
O Framework – Fundamentos para o COBIT;
COBIT 5 Enabler Guides – Tratam-se dos capacitadores (habilitadores) para gestão e governança.
A camada Enablers é composta de:
Capacitadores relacionados a Processos;
Capacitadores relacionados à Informação;
Outros Guias;
COBIT 5 Professional Guides – Tratam-se de guias que facilitam a implementação do COBIT na
Organização de ponta-a-ponta. A camada Profissional é composta de:
Guia de Implemtentação;
Segurança de Informação;
Garantia do COBIT;
Gestão de Riscos;
Outros guias;
Ambiente Colaborativo – Cujo objetivo é dar suporte às empresas e aos profissionais na
Implementação, Manutenção e Melhoria do COBIT dentro das Organizações que implementarem o Cobit.
(*) Quando do Lançamento do COBIT 5, muitos desses produtos adicionais ainda não haviam sido l
ançado. Para se manter atualizado sobre o lançamento dos mesmos, há que se consultar o site oficial
do COBIT: www.isaca.org/cobit
18/01/2013

7
COBIT 5 está baseado em cinco princípios chaves:
Princípio 1: Atender as Necessidades das Partes Interessadas — O COBIT 5 fornece todos os
processos exigidos e outros capacitadores para suportar a criação de valor de negócio através do
uso da TI.
Princípio 2: Cobrir a Empresa de Ponta a Ponta — O COBIT 5 integra a governança da empresa de TI
na governança empresarial.
Princípio 3: Aplicar um Framework Único, Integrado — O COBIT 5 está alinhado em alto nível a
outros padrões e frameworks relevantes e pode portanto servir como o framework abrangente para
governança e gerenciamento da TI empresarial.
Princípio 4: Capacitar uma Abordagem Holística — O COBIT 5 define um conjunto de capacitadores
(habilitadores) para suportar a implementação de um sistema integral de governança e gerenciamento
para a TI empresarial.
Princípio 5: Separar a Governança do Gerenciamento — O framework COBIT 5 faz uma distinção clara
entre governança e gerenciamento. Estas duas disciplinas compreendem tipos diferentes de atividades,
requerem estruturas organizacionais diferentes e servem a propósitos diferentes.
Os termos Governança e Gerenciamento se relacionam a:
Governança – Alinhamento, transparência, avaliação, direção, priorização, desempenho e compliance.
Gerenciamento – Planejamento, condução e monitoramento de atividades para alcançar os objetivos.
18/01/2013

8
18/01/2013

9
Princípio 1. Atender as Necessidades das Partes Interessadas
As Organizações tem por principal objetivo a criação de valor e portanto esse é o Objetivo da Governança.
Para se criar valor há necessidade de um ótimo balanceamento entre os Riscos Envolvidos e a Otimização
dos Custos dos Recursos ao se Realizar os Benefícios Organizacionais.
Criação de Valor tem significado diferente para cada Parte Interessada (stakeholder) e muitas vezes isso é
fonte de conflito.
Assim, Governança é Negociar e Decidir dentre os diversos interesses.
O Sistema de Governança deve levar em consideração todas as Partes Interessadas e para cada decisão
avaliar itens como:
Quais são os benefícios?
Quem receberá os benefícios? Quando os receberá?
O que está em aposta? Quais são os riscos envolvidos?
Quais são os recursos envolvidos? Quando serão envolvidos? Como serão envolvidos?
18/01/2013

10
Cada organização opera em diferentes contextos, que são determinados por fatores externos e internos;
portanto requer um sistema de gestão e governança customizado.
Os Objetivos em Cascata do COBIT 5 é o mecanismo para traduzir necessidades de stakeholders em
objetivos específicos, realizáveis e customizados.
Passo 1: Direcionadores que influenciam as necessidades de partes interessadas. Exemplos:
mudanças estratégicas, mudanças no ambiente de negócios, regulamentação, tecnologia e concorrentes.
Passo 2: Necessidades de partes interessadas derivam para Objetivos Organizacionais. O Cobit 5
apresenta um conjunto de 17 objetivos organizacionais genéricos. Veja a figura 5 e o apêndice D do COBIT 5.
Passo 3: Objetivos Organizacionais derivam para Objetivos de TI Relacionados – Para alcançar os
objetivos organizacionais há que haver uma série de objetivos de TI relacionados. O Cobit 5 apresenta
um conjunto de 17 objetivos de TI relacionados. Veja figura 6.
Passo 4: Objetivos de TI Relacionados derivam para Objetivos Capacitadores (habilitadores) –
Para alcançar os objetivos de TI relacionados, que por sua vez capacitaram a organização a alcançar os
Objetivos Organizacionais, há que aplicar e utilizar com sucesso um conjunto de capacitadores.
Os capacitadores incluem processos:
Processos (utilize o apêndice C para ver o relacionamento entre os Objetivos de TI relacionados e
os principais processos).
Estruturas de Informação
Estruturas organizacionais
Para cada conjunto de capacitadores, há que se definir objetivos relevantes e específicos.
18/01/2013

11
Esses são os 17 objetivos organizacionais genéricos. Foram definidos baseados no BSC*
(Balanced Scored Card).
O relacionamento desses objetivos aos objetivos Primários da Governança (Realização de Benefícios,
otimização dos recursos e otimização dos riscos) é indicado por P relacionamento primários (ou mais
próximo) e por S relacionamento secundário).
De fato, muitos desses objetivos são comuns a diversas organizações.
(*) Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action,
Harvard University Press, USA, 1996
18/01/2013

12
Esse é o conjunto de 17 objetivos de TI relacionados apresentados pelo COBIT 5.
De fato, muitos desses objetivos são comuns a diversas organizações.
As perguntas até aqui são:
A) Quais são direcionadores das partes interessadas?
B) Quais são as necessidades de partes interessadas geradas por esses direcionadores?
C) Quais são os objetivos da TI?
D) Como relacionar os itens B com C?
18/01/2013

13
Cuidado. Não se pode implementar o COBIT 5 pura e simplesmente de forma mecânica; deve-se
usar como um guia, visto que:
Cada organização tem objetivos e prioridades diferentes;
O mapeamento não diferencia o tipo de organização, tamanho, indústria etc;
Os indicadores possuem 2 tipos de relevância, e pode haver um conjunto maior de graus de
relevância.
18/01/2013

14
Princípio 2. Cobrir a Empresa de Ponta a Ponta
O COBIT 5 endereça a Gestão e a Governança da Tecnologia da Informação e Relacionadas através de uma
perspectiva de cobertura ampla Organizacional.
Isso significa que o COBIT 5:
Integra a Governança de TI a Governança Organizacional.
Cobre todas as funções e processos dentro da Organização da TI. COBIT 5 não foca nas
funções de TI, mas trata a Tecnologia da Informação e Relacionadas como um ativo que precisa ser
tratado assim como quaisquer outros ativos organizacionais.
COBIT 5 endereça todos os serviços de TI internos e externos relevantes, assim como todos
os processos internos e externos.
Ter uma abordagem de Governança que cubra a Organização de ponta a ponta é o fundamento do COBIT 5.
Isso é possível através de um Sistema de Governança que possua os seguintes Componentes Chave:
Capacitadores (ou habilitadores) da Governança – Exemplo: framework, princípios, estrutura, processos,
práticas, recursos (que são infra-estrutura, sistemas, aplicações, e etc), pessoas e informação.
Escopo da Governança – A Governança pode ser implementada em apenas uma entidade, porém para
o COBIT 5 o foco é a Organização completa, podendo ter visões diferentes.
Papéis, Atividades e Relacionamento – Que define quem está envolvido com a Governança, como e
de qual forma.
Informações adicionais sobre Governança podem se obtidas no site www.takinggovernanceforward.org.
18/01/2013

15
Princípio 3. Aplicar um Framework Único e Integrado
O COBIT 5 integra outros padrões, frameworks e boas práticas relevantes e atualizados utilizados pelas
organizações, como por exemplo:
Para as Organizações: COSO, COSO ERM, ISO/IEC 9000 e ISO/IEC 31000
Relacionados à TI: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK, Gerenciando
Projetos de Sucesso com PRINCE2® e CMMI.
O COBIT 5 integra também outro conjunto de conhecimento desenvolvido pelo próprio ISACA,
como por exemplo:
VAL IT, Risk IT, Business Model for Information Security (BMIS), ITAF e Board Briefing on
IT Governance Publication.
18/01/2013

16
A utilização do COBIT 5 possibilita a entrega, às partes interessadas, o mais completo e atualizado
Guia em Governança e gerenciamento da Organização da Tecnologia de Informação.
As pesquisas e a utilização prática de um conjunto de fontes que direcionaram o desenvolvimento de
um novo conteúdo, inclui:
A junção de Guias do Próprio ISACA como (COBIT 4.1. VAL IT 2.0, RISK IT e BMIS) em um único
framework;
Complementação de áreas que necessitavam de melhor detalhamento e melhoria;
Alinhamento com outros padrões, frameworks e metodologias relevantes como ITIL, TOGAF, ISO
e Gerenciando Projetos de Sucesso com PRINCE2®.
18/01/2013

17
Princípio 4. Capacitar uma Abordagem Holística
Capacitadores são fatores que influenciam, individualmente ou coletivamente, se algo funcionará e
são direcionados pelos Objetivos em Cascata.
O COBIT 5 descreve 7 categorias de capacitadores, são elas:
Princípios, Políticas e framework – permitem traduzir desejo de comportamento em guias práticos;
Processos – que descrevem um conjunto de práticas e atividades organizadas;
Estruturas Organizacionais – são os pontos chave de tomada de decisão;
Cultura, ética e comportamento – são fatores frequentemente sub-estimados no processo de
Governança;
Informação – pois é requerida para manter a organização em andamento;
Serviços, infraestrutura e aplicações – pois são os meios para fornecer informação à organização;
Pessoas, habilidades e competências – pois são requeridas para conduzir as atividades e concluir
os projetos.
Governança e Gestão Sistêmica Através do Capacitadores Interconectados (que é um princípio chave do
BMIS)
Toda organização deve considerar, também, a interconexão dos capacitadores exemplos:
Processos necessitam de informação;
Estruturas organizacionais necessitam de habilidades e comportamentos;
Processos entregam informação;
Habilidades e competências criam processos eficientes e eficazes;
O termo holístico está relacionado a englobar de diversos itens, conceitos ou teorias.
18/01/2013

18
As 4 dimensões dos capacitadores são:
Stakeholders – pois cada capacitador possui partes interessadas internas ou externas;
Objetivos – pois cada capacitador possui objetivos e os capacitadores proporcionam valor ao atingirem
esses objetivos; Determinar os objetivos dos capacitadores é o último passo dos Objetivos em Cascata.
Os objetivos podem ser:
Qualidade Intrínseca – que está relacionada à acuracidade;
Qualidade Contextual – que está relacionada a satisfazer o propósito do contexto;
Acesso e Segurança – que está relacionada a ser acessível e seguro.
Ciclo de vida – cada capacitador possui ciclo de vida de desenvolvimento (planejar, desenhar, construir,
usar, avaliar/monitorar e atualizar ou descartar);
Boas Práticas – pois pode-se definir boas práticas para cada capacitador;
Gestão de Desempenho dos Capacitadores
Para se ter resultados positivos, há que se monitorar constantemente os capacitadores, baseado em
métricas, questionando por exemplo:
As necessidades das partes interessadas estão sendo endereçadas?
Os objetivos dos capacitadores estão sendo alcançados?
O ciclo de vida dos capacitadores estão sendo gerenciados?
As boas práticas estão sendo aplicadas?
As metodologias (como por exemplo o PRINCE2) estão sendo aplicadas?
Veja o exemplo número 5 no framework do COBIT 5 para um exemplo prático, e o apêndice G
para maiores detalhes sobre as categorias dos Capacitadores.
18/01/2013

19
Princípio 5. Separar a Governança do Gerenciamento
O COBIT 5 claramente diferencia os termos Governança e Gerenciamento, visto que as disciplinas:
Contemplam diferentes tipos de atividades;
Necessitam de diferentes tipos de estruturas, e;
Cumprem a propósitos diferentes.
Os termos Governança e Gerenciamento se relacionam a:
Governança – assegurar que as necessidade de partes interessadas, condições e opções são avaliadas
para determinar um ótimo equilíbrio acordado sobre os objetivos estratégicos organizacionais a serem
atingidos; configura a direção através da priorização e tomada de decisão; e o monitoramento de
desempenho, assim como o cumprimento de regras, normas e legislação em linha com a direção e
objetivos previamente acordados;
Gerenciamento – planejar, construir, conduzir e monitoramento (PBRM) as atividades em linha com
a direção definida pelo Comitê de Governança Corporativa para alcançar os objetivos da empresa.
A Governança, muitas vezes sob responsabilidade do chamado Comitê de Governança Corporativa,
na maior parte das organizações, é responsabilidade de um Comitê de diretores sob liderança do
Presidente.
Já o Gerenciamento, na maioria das organizações, é responsabilidade de gestores executivos e/ou
diretores sob liderança do Presidente Executivo (CEO).
O acrônimo PBRM vem dos verbos de ação Plan, Build, Run and Monitor.
18/01/2013

20
O COBIT 5 descreve 7 categorias de Capacitadores (Conforme o princípio 4). Processos é uma categoria.
A empresa deve organizar seus processos, conforme necessário, para cobrir os objetivos de Gestão e
Governança. Organizações menores possuirão um conjunto menor de processos enquanto as organizações
maiores e mais complexas terão muitos processos, todos para cobrir os mesmos objetivos.
O COBIT 5 inclui o Process Reference Model (PRM), que define e descreve em detalhe os processos de
Gestão e Governança. Os detalhes desse, que é um Capacitador, é descrito no Guia
COBIT 5: Enabling Processes.
‘’’
Note que implementar um modelo operacional e uma linguagem comum para TODAS as unidades
Organizacionais envolvidas com atividades de TI é o passo mais crítico e o mais importante para se ter
uma boa Governança, até por que facilitará o monitoramento, o controle, a medição, o desempenho,
a comunicação, a garantia e a interação com as boas práticas.
O PRM do COBIT 5 divide os processos de Governança e de Gestão em 2 Principais Grupos de Processos:
Governança – que contém 5 grupos de processos, e cada processo contém práticas para: Evaluate,
Direct e Monitor (EDM)
Gestão – que contém 4 domínios (que são uma evolução do COBIT 4.1) alinhados com as áreas de
responsabilidade (PBRM) para prover uma cobertura total da TI. Os domínios são:
Align, Plan and Organise (APO)
Build, Acquire and Implement (BAI)
Deliver, Service and Support (DSS)
Monitor, Evaluate and Assess (MEA)
18/01/2013

21
Cada domínio contém um número de processos. Cada qual necessita de planejamento, implementação,
execução e monitoramento das atividades do processo; ou dentro em algum problema que está sendo
endereçado.
Cada processo foi incluído dentro de um domínio em linha com a área que geralmente é mais relevante.
O Process Reference Model (PRM) do COBIT 5 é um sucessor do Process Model do COBIT 4.1 e já
inclui o Risk IT e o Val IT Integrados.
Há um conjunto de 37 processos de Governança e Gestão dentro do COBIT 5, que são descritos em
detalhe no Guia COBIT 5: Enabling Processes.
Note que cada domínio possui o respectivo processo para Monitorar e Avaliar o respectivo desempenho,
de forma que o MEA (Monitor, Evaluate and Assess) não é um domínio horizontal e sim um domínio vertical.
O MEA contém 3 processos que são MEA01, MEA02 e MEA03, cobrindo os 3 outros domínios:
Align, Plan and Organise (APO)
Build, Acquire and Implement (BAI)
Deliver, Service and Support (DSS)
18/01/2013

22
18/01/2013

23
O Guia COBIT 5 Implementation contém:
Um conjunto de ferramentas para diagnóstico, auto-avaliação e medição;
Objetivos específicos de apresentação para público específico;
Artigos relacionados, e;
Explicações mais detalhados do ciclo de vida e processos de implementação
Aqui cobriremos uma introdução ao Ciclo de Vida da Implementação e Melhoria Contínua em alto-nível
e um destaque para os tópicos mais importantes da implemtação como:
Criação do Business Case para a Implementação da Gestão e Governança de TI ;
Reconhecer os principais indicadores de Necessidade (Pain Points and Trigger Events);
Criação de um ambiente propício, e;
Obter o melhor proveito do COBIT pela identificação de GAP´s (lacunas) e o desenvolvimento dos capacitadore
18/01/2013

24
A cada dia que passa aumenta a demanda por um Governança Corporativa completa nas Organizações
e a TI tem que fazer parte da Governança Corporativa para apoiar a auxiliar a implementação de um
Ambiente bem Gerenciado e Governado. Para isso é que surge a Necessidade da Governança da
Organização da TI como um todo, cobrindo a corporação de maneira completa, ou seja, todas as
entidades, internas ou externas, que possuem um inter-relacionamento com a TI.
Fraudes, falcatruas, quebras de Organizações, o efeito do sub-prime nos EUA em 2008 e muitos outros
fatos são direcionadores para a implementação, cada vez maior, de regulamentação, legislação,
Normas, padrões e acordos que precisam ser cumpridos para se ter um ambiente que gere maior
confiança nas organizações pelos Governantes, pelas próprias Organizações e pelo público em geral.
18/01/2013

25
Pode-se implementar a Governança da Organização de TI sem o COBIT, porém o COBIT é único; não
existe outro framework para a Governança e Gestão da TI.
Todavia, a implementação sem o prévio conhecimento ficará mais desafiadora, demorada e talvez
até sem credibilidade.
A TI fica mais complexa a cada dia, porém a Governança em si não precisa ser, caso seja utilizado o
conhecimento de profissionais experientes.
O COBIT é construído através de 16 anos de evolução e o COBIT 5 foi elaborado com a participação
Global de centenas de profissionais apresentam um total de 28 certificações relacionadas à TI e foi
revisado por 95 especialistas.
18/01/2013

26
Reconhecer os principais indicadores de Necessidade;
Obter o melhor proveito do COBIT pela identificação de GAP´s (lacunas) e o desenvolvimento
dos capacitadores;
Implemetação de Melhoria Contínua;
Implementação da Gestão de Programas de Projetos como o
Managing Successful Programmes (MSP) da APMG International.
18/01/2013

27
Reconhecer os principais indicadores de Necessidade;
Obter o melhor proveito do COBIT pela identificação de GAP´s (lacunas) e o desenvolvimento
dos capacitadores;
Implemetação de Melhoria Contínua;
Implementação da Gestão de Programas de Projetos como o
Managing Successful Programmes (MSP) da APMG International.
Note que cada Organização precisa elaborar os próprios Plano de Implementação e Plano Ações.
18/01/2013

28
Para uma ótima implementação, há que se compreender e considerar o Contexto Organizacional para
adoção e adaptação do COBIT de maneira eficaz. O COBIT está frequentemente comprometido com
outros frameworks, boas práticas, padrões e metodologias que, por sua vez, também precisam
ser adaptados.
Os Fatores Críticos de Sucesso para a Implementação, incluem:
Alta Administração provendo direção e ordenando a iniciativa, assim como o suporte e o
comprometimento CONSTANTE;
Todas as partes compreendendo e suportando os processos e os objetivos de Negócio e de TI;
Assegurar comunicação efetiva e habilitadora para as mudanças necessárias;
Customização do COBIT e outras boas práticas, padrões e metodologias para combinar com o contexto
único da Organização;
Foco nas pequenas conquistas e priorização das melhorias mais benéficas que são mais fáceis de
implementar.
Note que é de fundamental importância alavancar e construir os Capacitadores Organizacionais.
18/01/2013

29
É de fundamental importância a criação de ambiente que facilite a implentação da Gestão e Governança.
Muitas iniciativas de TI fracassam por falha de direção, supporte e comprometimento de diversos
stakeholders, e para implementar a Governança não é diferente.
Suporte e direção das principais partes interessadas é crítico; seja na implementação, seja no suporte
contínuo. Em organizações fracas (assim como organizações com modelo operacional não claro ou
fracos capacitadores), esse suporte e essa participação é muito mais crítica.
Uma vez que o comprometimento é obtido, os recursos adequados devem ser alocados ao Programa.
Papéis e Responsabilidades dentro do Programa devem ser definidos.
Definição de uma estrutura organizacional e de processos deve ocorrer e serem mantidos, de
maneira alinhada à Governança Corporativa.
Nota: cuidados devem ser tomados no dia-a-dia para que seja mantido o comprometimento de
todos os stakeholders.
Definição de Programa: “Organização flexível e temporária criada para coordenar, dirigir e fiscalizar
a implementação de um conjunto de projetos relacionados e atividades, de forma a entregar resultados
e benefícios relativos aos objetivos estratégicos. Um programa tem uma duração que normalmente
se estende por vários anos”.
(Managing Successful Programmes - MSP da APMG International.
18/01/2013

30
Alguns Pain Points (“pontos de dor”) típicos, incluem:
Frustração do negócio com iniciativas fracassadas, o aumento dos custos de TI e uma percepção baixa de
valor de negócios;
Incidentes significativos relacionados com o risco de TI, tais como perda de dados;
Deixar de atender às exigências regulamentares ou contratuais;
TI limitando as capacidades da empresa de inovação e agilidade de negócios;
Achados de auditoria regulares sobre o desempenho da TI;
Relatos de problemas de qualidade de problemas de serviço;
Invisível e desonestos gastos com TI;
Duplicação ou sobreposição entre as iniciativas ou desperdício de recursos;
Insuficiência de recursos de TI, pessoal com competências inadequadas ou pessoal com insatisfação;
ProjetosTI que não cumprem as necessidades do negócio, ou são atrasados ou super-faturado;
Os membros do conselho, executivos ou gerentes seniores que são relutantes em se envolver com a TI;
Modelo complexos TI em funcionamento.
E alguns fatores que podem iniciar uma programa de implementação e/ou modificação, incluem:
Fusão, aquisição ou alienação;
Uma mudança na posição de economia de mercado, ou competidores;
A mudança no modelo operacional de negócios ou acordos de terceirização;
Nova regulamentação ou requisitos de conformidade;
Uma mudança significativa tecnologia ou mudança de paradigma;
Um foco de governança em toda a empresa ou projeto;
Um novo CEO, CFO, CIO, etc;
Auditoria externa ou consultor;
A nova estratégia de negócios ou de prioridade.
18/01/2013

31
A implementação bem sucedida depende da implementação da mudança apropriada (uma governça
adequada ou facilitadores de gestão) da maneira adequada. Em muitas empresas, há um foco significativo
no primeiro aspecto - governança básica ou de gestão de TI - mas não há suficiente ênfase no gerenciamento
dos aspectos humanos, comportamentais e culturais da mudança e motivar as partes interessadas para se
comprometer com a mudança.
Não se deve presumir que os vários intervenientes envolvidos ou afetados por, facilitadores novos ou
revisados prontamente aceitaram e adotaram a mudança. A possibilidade de ignorância e / ou resistência
à mudança tem de ser resolvido através de uma abordagem estruturada e pró-ativa. Além disso, a
consciência ideal do programa de implementação deve ser alcançado através de um plano de comunicação
que define o que será comunicado, de que forma e por quem, ao longo das várias fases do programa.
Melhoria sustentável pode ser conseguida por meio de ganhar o compromisso das partes interessadas
(investimento em conquistar corações e mentes, o tempo dos líderes, e em comunicar e responder a força
de trabalho), ou, se ainda necessário, impondo o cumprimento (investimento em processos para administrar,
monitorar e aplicar).
Em outras palavras barreiras humanas, comportamentais e culturais precisam ser superados a fim de
que exista um interesse comum para adequadamente adoptar mudança, instigar uma vontade de adoptar
mudança, e para assegurar a capacidade de adoptar mudança.
18/01/2013

32
As fases do ciclo de vida são:
Fase 1 começa com o reconhecimento e concordar com a necessidade de uma iniciativa de implementação.
Fase 2 se concentra em definir o escopo da iniciativa de implementação ou melhoria utilizando o
mapeamento COBIT de metas corporativas para TI relacionadas com metas associadas aos processos de TI,
e considerando como cenários de risco também pode destacar os principais processos em que se concentrar.
Fase 3, um alvo a melhoria é definido, seguido de uma análise mais detalhada alavancar orientação COBIT
para identificar as lacunas e as possíveis soluções.
Fase 4 planeja soluções práticas através da definição de projetos apoiados por casos de negócios
justificáveis. Um plano de mudança para a implementação também é desenvolvido.
Fase 5 as soluções propostas são transpostos para o dia-a-dia práticas.
Fase 6 centra-se na exploração sustentável dos facilitadores novos ou melhorados e para o
acompanhamento da realização dos benefícios esperados.
Fase 7 o sucesso global da iniciativa é revisado, outras exigências para a governança ou gestão
da organização de TI são identificados, e da necessidade de melhoria contínua é reforçada.
Com o tempo, o ciclo de vida devem ser seguidas de forma iterativa, enquanto a construção de uma
abordagem sustentável para a governação e gestão de TI corporativa.
18/01/2013

33
Para garantir o sucesso de iniciativas de implementação aproveitando COBIT, a necessidade de agir deve ser
amplamente reconhecida e comunicada dentro da Organização. Isso pode ser na forma de um "toque de
despertar" (onde os ‘pontos de dor’ específicos acontecem, como discutido anteriormente) ou uma expressão
da oportunidade de melhoria a ser conquistada e, muito importante, os benefícios que serão realizados.
Um nível adequado de urgência precisa ser incutido e as principais partes interessadas devem estar cientes
do risco de não tomar medidas, bem como os benefícios de realizar o programa. A iniciativa deve ser de
propriedade de um patrocinador, envolver todas as partes interessadas e ser baseada em um Business Case.
Inicialmente, isso pode ser a um nível elevado de uma perspectiva estratégica, de cima para baixo, começando
com uma compreensão clara dos resultados de negócios desejados e progredindo para uma descrição
detalhada das tarefas críticas e metas, bem como os papéis e responsabilidades principais. O Business
Case é uma ferramenta valiosa para a administração para orientar a criação de valor do negócio.
O Business Case não é um documento estático, mas uma ferramenta dinâmica operacional que deve ser
continuamente atualizada para refletir a visão atual do futuro, de modo que uma visão da viabilidade
do programa pode ser mantida.
Pode ser difícil quantificar os benefícios das iniciativas de implementação ou melhoria, e os cuidados
devem ser tomados para comprometer apenas aos benefícios que são realistas e realizáveis.
18/01/2013

34
No mínimo, o Business Case deve incluir:
Os benefícios de negócio, o seu alinhamento com a estratégia de negócios e os proprietários de
benefícios associados;
As mudanças de negócio necessárias para criar os benefícios previstos. Isto pode ser baseado em avaliação
de ‘saúde’ e análises de gap de capacidade e deve indicar claramente tanto o que está no escopo e
o que está fora do escopo;
Os investimentos necessários para fazer a governança e gestão de TI;
Os custos recorrentes da TI e da organização;
O risco inerente aos itens anteriores, incluindo quaisquer restrições ou dependências;
Funções, responsabilidades e obrigações relacionadas à iniciativa;
Benefícios esperados para o novo modelo operacional;
Fluxo de benefícios versus o fluxo de investimentos;
Como o investimento e criação de valor serão monitorados durante todo o ciclo de vida, e as métricas
a serem utilizadas (com base em metas e métricas);
18/01/2013

35
Usuários de COBIT 4.1, Risk IT e Val IT estão familiarizados com os modelos de processo de maturidade
incluídos nessas estruturas.
Estes modelos são utilizados para medir a maturidade dos processos de uma organização de TI
"tal como está", para definir um estado de maturidade necessário futuro para determinar a distância entre
eles e a forma de melhorar o processo para atingir o nível desejado de maturidade.
O conjunto de produtos do COBIT 5 inclui um modelo de capacidade de processo, com base na
ISO/IEC 15504 - Engenharia de Software - Padrão de Avaliação Processos.
Este modelo vai alcançar os mesmos objetivos gerais de Avaliação de Processo e apoia a Melhoria de
Processos, ou seja, irá proporcionar um meio de medir o desempenho de qualquer um dos Processo
de Governança processos ou processos de Gestão, e permitirá que as áreas de melhoria seja identificado.
18/01/2013

36
O uso do modelo de maturidade do COBIT 4.1 para a melhoria do processo - avaliação de uma maturidade
do processo, definição de uma meta de nível de maturidade e identificar as lacunas - requer uso dos
seguintes componentes COBIT 4.1:
Em primeiro lugar, uma avaliação precisa ser feita se os objetivos de controle para o processo
foram atendidos;
A seguir, o modelo de maturidade é usado para obter um perfil de maturidade do processo;
Além disso, o modelo de maturidade genérico no COBIT 4.1, com seis atributos distintos, eram aplicados
para cada do processo e permitindo a obtenção de uma visão mais detalhada sobre o nível de
maturidade dos processos;
Controle de Processos são os objetivos de controle genéricos, eles também precisavam ser revistos
quando uma avaliação do processo foi feita. Controles de processos se sobrepõem parcialmente com
os atributos do modelo genérico de maturidade.
18/01/2013

37
Existem seis níveis de capacidade que um processo pode alcançar, incluindo a designação de um
"processo incompleto" se suas práticas não atingem a finalidade do processo:
Nível 0 - processo incompleto - quando o processo não está implementado ou se não atingir a
sua finalidade processo. Nesse este nível, existe pouca ou nenhuma evidência de qualquer realização
sistemática da finalidade do processo;
• Nível 1 - processo realizado (um atributo) - O processo implementado atinge sua finalidade;
• Nível 2 - processo gerenciado (dois atributos) - O processo executado e descrito anteriormente
está implementado de uma maneira gerenciada (planejado, monitorado e ajustado) e seus produtos
de trabalho são devidamente estabelecidos, controlados e mantidas.
• Nível 3 - Processo Estabelecido (dois atributos) - O processo gerenciado descrito anteriormente
está agora implementado usando um processo definido que é capaz de atingir os seus resultados
em processos;
• Nível 4 - Processo Previsível (dois atributos) - O processo estabelecido descrito anteriormente
agora opera dentro limites definidos para alcançar resultados de seu processo;
• Nível 5 - Processo Otimizar (dois atributos) - O processo previsível descrito anteriormente é
continuamente melhorado para atender os objetivos de negócio relevantes atuais e projetados.
Cada nível de capacidade pode ser realizado apenas quando o nível anterior foi plenamente alcançado.
Por exemplo, a capacidade de um processo de nível 3 (processo estabelecido), exige um processo definido
e implantado com seus atributos amplamente alcançados, em total e plena realização dos atributos para
uma capacidade de nível 2 do processo (processo gerenciado).
18/01/2013

38
É evidente que há algumas diferenças práticas associadas à mudança para um modelo de avaliação
de processo.
Os usuários precisam estar cientes dessas mudanças e estarem preparados para efetuar um bom
plano de ações.
As principais alterações a serem considerados incluem:
Embora seja tentador comparar os resultados da avaliação entre COBIT 4.1 e COBIT 5 por causa da
aparente semelhanças com as escalas numéricas e palavras usadas para descrevê-los, tal comparação
é difícil por causa da diferenças em foco, âmbito e intenção;
Em geral, a pontuação será menor, com o modelo de capacidade de processo COBIT 5. No modelo
de maturidade do COBIT 4.1 um processo pode atingir um nível 1 ou 2, sem realizar plenamente todo
o objetivo do processo; no nível de capacidade do COBIT 5, isso irá resultar em uma menor
pontuação (0 ou 1).
18/01/2013

39
As escalas COBIT 4.1 e COBIT 5 escalas de capacidade pode ser considerada como um "mapa“.
Não há mais um modelo de maturidade específico por processo, porque a norma ISO / IEC 15504 processo
de abordagem de avaliação de capacidade não exige isso e até proíbe este abordagem.
Em vez disso, a abordagem define as informações necessárias no "modelo de referência de processo“:
- Descrição do processo, com as declarações de propósito
- Práticas base, que são o equivalente a governança de processos ou práticas de gestão no COBIT 5
- Produtos de trabalho, que são o equivalente das entradas e saídas em COBIT 5;
O modelo de maturidade COBIT 4,1 produziu um perfil de maturidade de uma empresa. O objetivo
principal desse perfil era identificar em que dimensões ou para o qual atribui havia deficiências específicas
que precisavam de melhoria.
Os atributos de maturidade no COBIT 4.1 e os atributos de capacidade do COBIT 5 não são idênticos.
Eles se sobrepõem. Empresas que utilizaram o modelo de maturidade do COBIT 4.1 podem reutilizar
os seus dados e reclassificá-los sob a ótica do COBIT 5.
18/01/2013

40
A figura acima mostra exatamente os pontos de sobreposição entre o Modelo de Maturidade e o
Modelo de Capacidade de Processos.
18/01/2013

41
As vantagens do modelo de capacidade de processo COBIT 5, em comparação com os modelos de
maturidade COBIT 4.1 incluem:
Maior foco no processo que está sendo realizado, para confirmar que ele realmente alcança o seu
objetivo e cria os resultados necessários como esperado;
Simplificada de conteúdo através da eliminação de duplicação, porque o COBIT 4.1
avaliação da maturidade exigida o uso de um número de componentes específicos, incluindo o modelo
de maturidade genérico, modelos de maturidade de processo, controle objetivos e processo de controle
para apoiar a avaliação do processo;
Melhoria da viabilidade e repetição das atividades de avaliação da capacidade do processo e reduzindo
divergências entre as partes interessadas sobre os resultados da avaliação;
Aumento da utilização de resultados de processos de avaliação de capacidade, porque o novo
modelo estabelece uma base para mais formal, avaliações rigorosas a ser realizada, tanto para fins
internos e externos;
Conformidade com o padrão mais utilizado de avaliação de processo e, portanto, forte apoio para o
processo de abordagem de avaliação no mercado.
18/01/2013

42
Determinar se o processo alcança os seus objetivos, ou a capacidade atinge o nível de 1 pode ser feita por:
1. Revisando os resultados dos processos em que são descritas para cada processo nas descrições detalhadas
do processo, e usando a escala de classificação ISO / IEC 15504 para atribuir uma classificação em que grau
cada objetivo seja alcançado.
Essa escala é composta da seguintes classificações:
N (não atingido) - Existe pouca ou nenhuma evidência de realização do atributo definido no processo
de avaliação. (0 a 15 por cento realização)
P (parcialmente conseguido)-Há alguma evidência de satisfação, ou alguma realização,
do atributo definido na avaliação do processo. Alguns aspectos da realização do atributo pode ser imprevisível.
(15 a 50 por cento realização)
L (em grande parte alcançado)-Há evidência de uma abordagem sistemática para e realização
significativa dos atributos definidos no processo. Algumas fraquezas relativas a este atributo podem
existir no processo avaliado. (50-85 realização cento)
F (Totalmente alcançado)-Há evidência de uma abordagem completa e sistemática, e plena realização,
do atributo no processo. Nenhum deficiência significativa relacionada com este
atributo no processo avaliado. (85 a 100 por cento realização)
2. Além disso, a prática do processo (de governança ou gestão) pode ser avaliada usando a mesma escala
de rating, expressando na medida em que a prática de base é aplicada.
3. Para refinar ainda mais a avaliação, os produtos de trabalho também podem ser levados em consideração
para determinar o grau em que um atributo específico a avaliação foi alcançado.
18/01/2013

43
18/01/2013

44
18/01/2013

45
18/01/2013

46
18/01/2013

47
18/01/2013

48
18/01/2013

COBIT_5_Foundation_Livro_do_Participante_V3.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a COBIT_5_Foundation_Livro_do_Participante_V3.pdf

Semelhante a COBIT_5_Foundation_Livro_do_Participante_V3.pdf (20)

Mais de Ernani Marques, MBA, PRINCE2, PgMP/PMP, CBAP

Mais de Ernani Marques, MBA, PRINCE2, PgMP/PMP, CBAP (18)

COBIT_5_Foundation_Livro_do_Participante_V3.pdf