Cobit 5 processos, implementação e avaliação

WWW.DOMINANDOTI.COM.BRWWW.DOMINANDOTI.COM.BR
Governança de TI
Cobit 5
Professor Gledson Pompeu – gledson@dominandoti.com.br

Acesse nosso site em
WWW.DOMINANDOTI.COM.BR
Curta o Dominando TI no
e receba nossas dicas sobre concursos!
Cursos Turmas em Brasília, na sua cidade, e cursos online
Livros Edições publicadas, lançamentos e promoções
Fórum Interação direta entre estudantes e com os professores
Simulados Questões inéditas, ranking de notas e correções em vídeo
Blog Dicas e macetes de estudo, indicações de bibliografia, etc.
Materiais Versões atualizadas de notas de aula e listas de exercícios
Professor Gledson Pompeu - gledson@dominandoti.com.br 2

Cobit 5
Domínios e Processos
Professor Gledson Pompeu – gledson@dominandoti.com.br

WWW.DOMINANDOTI.COM.BRWWW.DOMINANDOTI.COM.BRProfessor Gledson Pompeu - gledson@dominandoti.com.br 4

Exemplo de detalhamento dos processos
EDM01 Ensure Governance Framework Setting and
Maintenance
Area: Governance
Domain: Evaluate, Direct and Monitor
Process Description
Analyse and articulate the requirements for the governance of enterprise IT, and put in place and maintain effective
enabling structures, principles, processes and practices, with clarity of responsibilities and authority to achieve the
enterprise’s mission, goals and objectives.
Process Purpose Statement
Provide a consistent approach integrated and aligned with the enterprise governance approach. To ensure that IT-related
decisions are made in line with the enterprise’s strategies and objectives, ensure that IT-related processes are overseen
effectively and transparently, compliance with legal and regulatory requirements is confirmed, and the governance
requirements for board members are met.

The process supports the achievement of a set of primary IT-related goals:
IT-related Goal Related Metrics
01 Alignment of IT and business strategy
•Percent of enterprise strategic goals and requirements
supported by IT strategic goals
•Level of stakeholder satisfaction with scope of the planned
portfolio of programmes and services
•Percent of IT value drivers mapped to business value drivers
03 Commitment of executive management for making IT-related
decisions
•Percent of executive management roles with clearly defined
accountabilities for IT decisions
•Number of times IT is on the board agenda in a proactive
manner
•Frequency of IT strategy (executive) committee meetings
•Rate of execution of executive IT-related decisions
07 Delivery of IT services in line with business requirements
•Number of business disruptions due to IT service incidents
•Percent of business stakeholders satisfied that IT service
delivery meets agreed-on service levels
•Percent of users satisfied with the quality of IT service delivery

Process Goals and Metrics
Process Goal Related Metrics
1.Strategic decision-making model for IT is effective and
aligned with the enterprise’s internal and external
environment and stakeholder requirements.
•Actual vs. target cycle time for key decisions
•Level of stakeholder satisfaction (measured through
surveys)
2.The governance system for IT is embedded in the
enterprise.
•Number of roles, responsibilities and authorities that are
defined, assigned and accepted by appropriate business
and IT management
•Degree by which agreed-on governance principles for IT
are evidenced in processes and practices (percentage of
processes and practices with clear traceability to principles)
•Number of instances of non-compliance with ethical and
professional behaviour guidelines
3.Assurance is obtained that the governance system for IT
is operating effectively.
•Frequency of independent reviews of governance of IT
•Frequency of governance of IT reporting to the executive
committee and board
•Number of governance of IT issues reported

EDM01 RACI Chart
Key Governance Practice
ChiefExecutiveOfficer
ChiefFinancialOfficer
ChiefOperatingOfficer
BusinessExecutives
BusinessProcessOwners
StrategyExecutiveCommittee
Steering(Programmes/Projects)Committee
ProjectManagementOffice
ValueManagementOffice
ChiefRiskOfficer
ChiefInformationSecurityOfficer
ArchitectureBoard
EnterpriseRiskCommittee
HeadHumanResources
Compliance
Audit
ChiefInformationOfficer
HeadArchitect
HeadDevelopment
HeadITOperations
HeadITAdministration
ServiceManager
InformationSecurityManager
BusinessContinuityManager
PrivacyOfficer
EDM01.01 Evaluate the governance system. R C C R R C C C C C C R C C C
EDM01.02 Direct the governance system. R C C R I R I I I C I I I I C C R C I I I I I I I
EDM01.03 Monitor the governance system. R C C R I R I I I C I I I I C C R C I I I I I I I

EDM01 Process Practices, Inputs/Outputs and Activities
Governance Practice
Inputs Outputs
From Description Description To
EDM01.01 Evaluate the governance
system.Continually identify and engage
with the enterprise’s stakeholders,
document an understanding of the
requirements, and make a judgement
on the current and future design of
governance of enterprise IT.
MEA03.02
Communications of changed
compliance requirements
Enterprise governance
guiding principles
•All EDM
•APO01.01
•APO01.03
Outside
COBIT
•Business environment trends
•Regulations
•Governance/decision-making
model
•Constitution/bylaws/statutes of
organisation
Decision-making model
•All EDM
•APO01.01
Authority levels
•All EDM
•APO01.02
Activities
1.Analyse and identify the internal and external environmental factors (legal, regulatory and contractual obligations) and trends in the
business environment that may influence governance design.
2.Determine the significance of IT and its role with respect to the business.
3.Consider external regulations, laws and contractual obligations and determine how they should be applied within the governance of
enterprise IT.
4.Align the ethical use and processing of information and its impact on society, natural environment, and internal and external
stakeholder interests with the enterprise’s direction, goals and objectives.
5.Determine the implications of the overall enterprise control environment with regard to IT.
6.Articulate principles that will guide the design of governance and decision making of IT.
7.Understand the enterprise’s decision-making culture and determine the optimal decision-making model for IT.
8.Determine the appropriate levels of authority delegation, including threshold rules, for IT decisions.

EDM01 Related Guidance
Related Standard Detailed Reference
Committee of Sponsoring Organizations of the Treadway
Commission (COSO)
ISO/IEC 38500
King III
•5.1. The board should be responsible for information
technology (IT) governance.
•5.3. The board should delegate to management the
responsibility for the implementation of an
IT governance framework.
Organisation for Economic Co-operation and Development
(OECD)
Corporate Governance Principles

Processos de Governança
 Avaliar, Dirigir e Monitorar (EDM)
 5 processos de governança
 Responsabilidades da alta direção: avaliação, direcionamento
e monitoração do uso de TI para criação de valor

Processos de Governança - EDM
 EDM01 Assegurar Estabelecimento e Manutenção do
Framework de Governança
 Analisa e articula os requisitos para a governança corporativa
de TI
 Cria e mantém estruturas, princípios, processos e práticas,
com clareza de responsabilidades e autoridade para alcançar
a missão, as metas e os objetivos da organização
 Práticas
 Avaliar o sistema de governança
 Dirigir o sistema de governança
 Monitorar o sistema de governança

 EDM02 Assegurar a Entrega de Benefícios
 Otimiza a contribuição de valor para o negócio a partir de
processos de negócios, serviços e ativos de TI resultantes de
investimentos realizados pela TI a custos aceitáveis
 Práticas
 Avaliar a otimização de valor
 Dirigir a otimização de valor
 Monitorar a otimização de valor

 EDM03 Assegurar a Otimização de Riscos
 Assegura que o apetite e tolerância a riscos da organização
são compreendidos, articulados e comunicados
 Assegura que o risco para o negócio relacionado ao uso de TI
é identificado e controlado
 Práticas
 Avaliar o gerenciamento de riscos
 Dirigir o gerenciamento de riscos
 Monitorar o gerenciamento de riscos

 EDM04 Assegurar a Otimização de Recursos
 Assegura capacidades adequadas e suficientes relacionadas
à TI (pessoas, processos e tecnologia), disponíveis para apoiar
os objetivos da organização de forma eficaz a um custo ótimo
 Práticas
 Avaliar o gerenciamento de recursos
 Dirigir o gerenciamento de recursos
 Monitorar o gerenciamento de recursos

 EDM05 Assegurar Transparência para as Partes
Interessadas
 Assegura medição e relatórios de desempenho e
conformidade da TI corporativa que sejam transparentes para
stakeholders aprovarem metas, métricas e ações corretivas
necessárias
 Práticas
 Avaliar os requisitos de relatórios das partes interessadas
 Dirigir a comunicação e relatórios para as partes interessadas
 Monitorar a comunicação com as partes interessadas

Processos de Gestão
 Alinhar, Planejar e Organizar (APO)
 Identificação de como a TI pode contribuir melhor com os
objetivos de negócio
 13 processos
 Construir, Adquirir e Implementar (BAI)
 Materializa a estratégia de TI, identificando requisitos e
gerenciando a realização de investimentos em TI
 10 processos

Processos de Gestão
 Entregar, Servir e Suportar (DSS)
 Entrega dos serviços de TI necessários para atender aos
planos táticos e estratégicos
 6 processos
 Monitorar, Avaliar e Medir (MEA)
 Monitora o desempenho dos processos de TI, avaliando a
conformidade com os objetivos e com os requisitos externos
 3 processos

Processos de Gestão - APO
 APO01 Gerenciar o Framework de Gestão de TI
 Esclarece e mantém a missão e visão da governança de TI da organização
 Implementa e mantém mecanismos e autoridades para gerenciar a
informação e o uso da TI na organização
 Práticas
 Definir a estrutura organizacional
 Estabelecer papéis e responsabilidades
 Manter os facilitadores do sistema de gestão
 Comunicar objetivos e direcionamento da gestão
 Otimizar a colocação da função de TI
 Definir a propriedade de informações (dados) e sistemas
 Gerenciar a melhoria contínua de processos
 Manter conformidade com políticas e procedimentos

 APO02 Gerenciar a Estratégia
 Fornece uma visão holística do ambiente de negócio e TI atual, da
direção futura, e das iniciativas necessárias para migrar para o
ambiente futuro desejado
 Alavanca componentes da arquitetura corporativa, incluindo
serviços externos, para facilitar respostas rápidas, confiáveis e
eficientes aos objetivos estratégicos
 Práticas
 Compreender o direcionamento corporativo
 Avaliar ambiente, capacidade e desempenho atuais
 Definir as capacidades-alvo de TI
 Conduzir uma análise de gaps
 Definir o plano estratégico e o road map
 Comunicar a estratégia e o direcionamento de TI

 APO03 Gerenciar a Arquitetura Corporativa
 Estabelece uma arquitetura comum com camadas de
processos de negócios, informações, dados, aplicação e
tecnologia para realizar de forma eficaz e eficiente as
estratégias de negócio e de TI
 Práticas
 Desenvolver a visão da arquitetura corporativa
 Definir a arquitetura de referência
 Selecionar oportunidades e soluções
 Definir a implementação da arquitetura
 Prover serviços da arquitetura corporativa

 APO04 Gerenciar a Inovação
 Mantém consciência de tendências de TI e serviços relacionados,
identifica oportunidades de inovação e planeja como se beneficiar
da inovação em relação às necessidades do negócio
 Práticas
 Criar um ambiente propício à inovação
 Manter compreensão do ambiente corporativo
 Monitorar e examinar o ambiente tecnológico
 Avaliar o potencial de tecnologias emergentes e ideias de inovação
 Recomendar iniciativas adicionais apropriadas
 Monitorar a implementação e o uso de inovações

 APO05 Gerenciar o Portfólio
 Executa orientações estratégicas para os investimentos, alinhadas com a visão de
arquitetura corporativa, as características desejadas do investimento e as restrições de
recursos e orçamento
 Avalia e prioriza programas e serviços, gerenciando a demanda dentro das restrições
de recursos e de orçamento, com base no seu alinhamento com objetivos estratégicos,
valor corporativo e riscos
 Monitora o desempenho do portfólio de serviços e programas, propondo os ajustes
necessários em resposta ao desempenho ou a mudança de prioridades da organização
 Práticas
 Estabelecer o mix de investimentos desejado
 Determinar disponibilidade e fontes de recursos
 Avaliar e selecionar programas a serem custeados
 Monitorar, otimizar e relatar o desempenho dos investimentos no portfólio
 Manter portfólios
 Gerenciar o alcance de benefícios

 APO06 Gerenciar Orçamento e Custos
 Administra atividades financeiras relacionadas a TI, abrangendo
orçamento, gestão de custos e benefícios e priorização dos gastos
com o uso de práticas formais de orçamento e de um sistema justo
e equitativo de alocação de custos
 Práticas
 Gerenciar finanças e contabilidade
 Priorizar alocação de recursos
 Criar e manter orçamentos
 Modelar e alocar custos
 Gerenciar custos

 APO07 Gerenciar Recursos Humanos
 Fornece uma abordagem estruturada para garantir a melhor
estruturação, colocação e habilidades dos recursos humanos
 Inclui a comunicação de papéis e responsabilidades, planos de
aprendizagem e de crescimento, e expectativas de desempenho
 Práticas
 Manter equipe adequada e apropriada
 Identificar pessoal chave de TI
 Manter as habilidades e competências do pessoal
 Avaliar o desempenho dos funcionários
 Planejar e rastrear o uso de recursos humanos de TI e negócio
 Gerenciar equipes terceirizadas

 APO08 Gerenciar os Relacionamentos
 Gerencia o relacionamento entre o negócio e TI de uma
maneira formal e transparente, que garanta foco na
realização de um objetivo comum
 Práticas
 Compreender as expectativas de negócio
 Identificar oportunidades, riscos e restrições para TI aprimorar
o negócio
 Gerenciar o relacionamento com o negócio
 Coordenar e comunicar
 Prover insumos para a melhoria contínua de serviços

 APO09 Gerenciar os Acordos de Serviço
 Alinha serviços de TI e níveis de serviço com as necessidades
e expectativas da organização
 Práticas
 Identificar serviços de TI
 Catalogar serviços habilitados por TI
 Definir e preparar acordos de serviço
 Monitorar e reportar níveis de serviço
 Revisar acordos de serviço e contratos

 APO10 Gerenciar os Fornecedores
 Gerencia serviços relacionados a TI prestados por
fornecedores para atender às necessidades organizacionais
 Práticas
 Identificar e avaliar relacionamentos e contratos com
fornecedores
 Selecionar fornecedores
 Gerenciar relacionamentos e contratos com fornecedores
 Gerenciar os riscos de fornecedores
 Monitorar desempenho e conformidade de fornecedores

 APO11 Gerenciar a Qualidade
 Define e comunica requisitos de qualidade em processos,
procedimentos e resultados das organizações
 Práticas
 Estabelecer um sistema de gestão de qualidade
 Definir e gerenciar padrões, práticas e procedimentos de qualidade
 Focar o gerenciamento da qualidade nos clientes
 Realizar monitoramento, controle e revisões de qualidade
 Integrar o gerenciamento da qualidade em soluções para
desenvolvimento e entrega de serviços
 Manter melhoria contínua

 APO12 Gerenciar os Riscos
 Identifica continuamente, avalia e reduz os riscos
relacionados a TI dentro dos níveis de tolerância
estabelecidos pela diretoria executiva
 Práticas
 Coletar dados
 Analisar riscos
 Manter um perfil de riscos
 Articular os riscos
 Definir um portfólio de ações de gerenciamento de riscos
 Responder aos riscos

 APO13 Gerenciar a Segurança
 Define, opera e monitora um sistema para gestão de
segurança da informação
 Práticas
 Estabelecer e manter um sistema de gestão de segurança da
informação (SGSI)
 Definir e gerenciar um plano de tratamento de riscos de
segurança da informação
 Monitorar e revisar o SGSI

Processos de Gestão - BAI
 BAI01 Gerenciar Programas e Projetos
 Gerencia todos os programas e projetos do portfólio de
investimentos em alinhamento com a estratégia da organização e
de forma coordenada
 Inicia, planeja, controla e executa programas e projetos, e finaliza
com uma revisão pós-implementação
 Práticas
 Manter abordagem padrão para gerenciamento de programas e
projetos
 Iniciar programas
 Gerenciar o envolvimento das partes interessadas
 Desenvolver e manter o plano do programa
 Lançar e executar o programa
(cont.)

 BAI01 - Práticas (cont.)
 Monitorar, controlar e reportar sobre os resultados do
programa
 Iniciar projetos dentro de um programa
 Planejar projetos
 Gerenciar qualidade de programas e projetos
 Gerenciar riscos de programas e projetos
 Monitorar e controlar projetos
 Gerenciar recursos e pacotes de trabalho de projetos
 Encerrar um projeto ou iteração
 Encerrar um programa

 BAI02 Gerenciar a Definição de Requisitos
 Identifica soluções e analisa os requisitos antes da aquisição ou
criação para assegurar que eles estão em conformidade com os
requisitos estratégicos corporativos que cobrem os processos de
negócio, aplicações, informações/ dados, infra-estrutura e serviços
 Coordena com as partes interessadas afetadas a revisão de opções
viáveis, incluindo custos e benefícios, análise de risco e aprovação
de requisitos e soluções propostas
 Práticas
 Definir e manter requisitos de negócio funcionais e técnicos
 Realizar estudo de viabilidade e formular soluções alternativas
 Gerenciar riscos dos requisitos
 Obter aprovação de requisitos e soluções

 BAI03 Gerenciar a Identificação e Construção de Soluções
 Estabelece e mantém soluções identificadas em conformidade com os requisitos da organização
abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores
 Gerencia configuração, teste de preparação, testes, requisitos de gestão e manutenção dos
processos de negócio, aplicações, informações/dados, infra-estrutura e serviços
 Práticas
 Desenhar soluções de alto nível
 Desenhar detalhes dos componentes da solução
 Desenvolver componentes da solução
 Adquirir componentes da solução
 Construir soluções
 Realizar garantia de qualidade
 Preparar para teste da solução
 Executar teste da solução
 Gerenciar mudanças nos requisitos
 Manter soluções
 Definir serviços de TI e manter o portfolio de serviços

 BAI04 Gerenciar a Disponibilidade e Capacidade
 Equilibra as necessidades atuais e futuras de disponibilidade, desempenho
e capacidade de prestação de serviços de baixo custo
 Inclui a avaliação de capacidades atuais, a previsão das necessidades
futuras com base em requisitos de negócios, análise de impactos nos
negócios e avaliação de risco para planejar e implementar ações para
atender as necessidades identificadas
 Práticas
 Avaliar disponibilidade, desempenho e capacidade atuais e criar uma linha
de base
 Avaliar impacto sobre o negócio
 Planejar para requisitos de serviço novos ou alterados
 Monitorar e revisar disponibilidade e capacidade
 Investigar e endereçar questões de disponibilidade, desempenho e
capacidade

 BAI05 Gerenciar a Implementação de Mudança
Organizacional
 Maximiza a probabilidade de implementar com sucesso a mudança
organizacional sustentável em toda a organização de forma rápida e
com risco reduzido, cobrindo o ciclo de vida completo da mudança
e todas as partes interessadas afetadas no negócio e TI
 Práticas
 Estabelecer o desejo de mudança
 Formar um time de implementação efetivo
 Comunicar a visão desejada
 Empoderar papéis e identificar ganhos de curto prazo
 Habilitar operação e uso
 Embutir novas abordagens
 Sustentar mudanças

 BAI06 Gerenciar Mudanças
 Gerencia todas as mudanças de uma maneira controlada, incluindo
mudanças de padrão e de manutenção de emergência relacionadas
com os processos de negócio, aplicações e infraestrutura
 Isto inclui os padrões de mudança e procedimentos, avaliação de
impacto, priorização e autorização, mudanças emergenciais,
acompanhamento, elaboração de relatórios, encerramento e
documentação
 Práticas
 Avaliar, priorizar e autorizar solicitações de mudança
 Gerenciar mudanças emergenciais
 Rastrear e reportar status da mudança
 Encerrar e documentar mudanças

 BAI07 Gerenciar Aceitação e Transição de Mudança
 Aceita e produz formalmente novas soluções operacionais, incluindo
planejamento de implementação do sistema, conversão de dados, testes
de aceitação, comunicação, preparação de liberação, promoção para
produção de processos de negócios e serviços de TI novos ou alterados,
suporte de produção e uma revisão pós-implementação
 Práticas
 Estabelecer um plano de implementação
 Planejar processos de negócio, sistemas e conversão de dados
 Planejar testes de aceitação
 Estabelecer ambiente de testes
 Realizar testes de aceitação
 Promover para a produção e gerenciar releases
 Prover suporte inicial para produção
 Realizar revisões pós-implementação

 BAI08 Gerenciar o Conhecimento
 Mantém a disponibilidade de conhecimento relevante, atual,
validado e confiável para suportar todas as atividades do processo
e facilitar a tomada de decisão
 Plano para a identificação, coleta, organização, manutenção,
utilização e retirada de conhecimento
 Práticas
 Cultivar e facilitar uma cultura de compartilhamento de
conhecimentos
 Identificar e classificar fontes de informações
 Organizar e contextualizar informação em conhecimento
 Usar e compartilhar conhecimentos
 Avaliar e descontinuar informações

 BAI09 Gerenciar os Ativos
 Gerencia os ativos de TI através de seu ciclo de vida para assegurar
que seu uso agrega valor a um custo ideal
 Os ativos permanecem operacionais e fisicamente protegidos e
aqueles que são fundamentais para apoiar a capacidade de serviço
são confiáveis e disponíveis
 Práticas
 Identificar e registrar ativos correntes
 Gerenciar ativos críticos
 Gerenciar o ciclo de vida de ativos
 Otimizar custos de ativos
 Gerenciar licenças

 BAI10 Gerenciar a Configuração
 Define e mantém as descrições e as relações entre os principais
recursos e as capacidades necessárias para prestar serviços de TI,
incluindo a coleta de informações de configuração, o
estabelecimento de linhas de base, verificação e auditoria de
informações de configuração e atualizar o repositório de
configuração
 Práticas
 Estabelecer e manter um modelo de configuração
 Estabelecer e manter um repositório e linha de base de
configuração
 Manter e controlar itens de configuração
 Produzir relatórios de status sobre a configuração
 Verificar e revisar a integridade do repositório de configuração

Processos de Gestão - DSS
 DSS01 Gerenciar as Operações
 Coordena e executa as atividades e procedimentos operacionais
necessários para entregar serviços de TI internos e terceirizados,
incluindo a execução de procedimentos operacionais, padrões pré-
definidos e as atividades exigidas
 Práticas
 Realizar procedimentos operacionais
 Gerenciar serviços de TI terceirizados
 Monitorar a infraesturutra de TI
 Gerenciar o ambiente
 Gerenciar instalações físicas

 DSS02 Gerenciar Requisições de Serviço e Incidentes
 Fornece uma resposta rápida e eficaz às solicitações dos usuários e
resolução de todos os tipos de incidentes
 Restaura o serviço normal; recorde e atender às solicitações dos usuários
e registro, investigar, diagnosticar, escalar e solucionar incidentes
 Práticas
 Definir esquemas de classificação de requisições de serviço e incidentes
 Registrar, classificar e priorizar incidentes e requisições
 Verificar, aprovar e atender a requisições de serviços
 Investigar, diagnosticar e alocar incidentes
 Resolver e se recuperar de incidentes
 Encerrar requisições de serviços e incidentes
 Rastrear status e produzir relatórios

 DSS03 Gerenciar Problemas
 Identifica e classifica os problemas e suas causas-raízes e
fornece resolução para prevenir incidentes recorrentes
 Fornece recomendações de melhorias
 Práticas
 Identificar e classificar problemas
 Investigar e diagnosticar problemas
 Registrar erros conhecidos
 Resolver e encerrar problemas
 Realizar gerenciamento proativo de problemas

 DSS04 Gerenciar a Continuidade
 Estabelece e mantém um plano para permitir o negócio e TI responder a
incidentes e interrupções, a fim de continuar a operação de processos
críticos de negócios e serviços de TI necessários e mantém a
disponibilidade de informações em um nível aceitável para a organização
 Práticas
 Definir política, objetivos e escopo da continuidade de negócios
 Manter uma estratégia de continuidade
 Desenvolver e implementar uma resposta de continuidade de negócios
 Exercitar, testar e revisar o PCN
 Revisart, manter e aprimorar o plano de continuidade
 Conduzir treinamentos do plano de continuidade
 Gerenciar preparativos de backup
 Conduzir revisão pós-recuperação

 DSS05 Gerenciar Serviços de Segurança
 Protege informações da organização para manter o nível de risco aceitável
para a segurança da informação da organização, de acordo com a política
de segurança
 Estabelece e mantém as funções de segurança da informação e privilégios
de acesso e realiza o monitoramento de segurança
 Práticas
 Proteger contra malware
 Gerenciar segurança de rede e conectividade
 Gerenciar segurança de endpoints
 Gerenciar identidade e acesso lógico de usuários
 Gerenciar acesso físico a ativos de TI
 Gerenciar documentos e dispositivos de saída sensíveis
 Monitorar a infraestrutura quanto a eventos relacionados a segurança

 DSS06 Gerenciar os Controles de Processos de Negócio
 Define e mantém controles de processo de negócio apropriados
para assegurar que as informações relacionadas e processadas
satisfaz todos os requisitos de controle de informações relevantes
 Práticas
 Alinhar atividades de controle embutidas nos processos de negócio
com os objetivos corporativos
 Controlar o processamento da informação
 Gerenciar papéis, resonsabilidades, privilégios de acesso e níveis
de autoridade
 Gerenciar erros e exceções
 Assegurar rastreabilidade de eventos e responsabilidade sobre
informações
 Manter seguros os ativos de informação

Processos de Gestão - MEA
 MEA01 Monitorar, Avaliar e Medir o Desempenho e
Conformidade
 Coleta, valida e avalia os objetivos e métricas do processo de
negócios e de TI
 Monitora se os processos estão realizando conforme metas e
métricas de desempenho e conformidade acordadas e fornece
informação que é sistemática e oportuna
 Práticas
 Estabelecer uma abordagem de monitoramento
 Definir metas de desempenho e conformidade
 Coletar e processor dados de desempenho e conformidade
 Analisar e reportar desempenho
 Assegurar a implementação de ações corretivas

 MEA02 Monitorar, Avaliar e Medir o Sistema de Controle Interno
 Monitora e avalia continuamente o ambiente de controle, incluindo auto-
avaliações e análises de avaliações independentes
 Permite a gestão de identificar deficiências de controle e ineficiências e iniciar
ações de melhoria
 Práticas
 Monitorar controles internos
 Revisar efetividade de controles de processos de negócio
 Realizar auto-avaliações de controles
 Identificar e reporter deficiências de controles
 Assegurar que provedores de garantia (auditoria) sejam independents e
qualificados
 Planejar iniciativas de garantia (auditoria)
 Definir escopo de iniciativas de garantia (auditoria)
 Executar iniciativas de garantia (auditoria)

 MEA03 Monitorar, Avaliar e Medir a Conformidade com
Requisitos Externos
 Avalia se processos de TI e processos de negócios suportados pela
TI estão em conformidade com as leis, regulamentos e exigências
contratuais
 Obtém a garantia de que os requisitos foram identificados e
respeitados, e integra-los à conformidade com o cumprimento
global da organização
 Práticas
 Identificar requisitos de conformidade externos
 Otimizar resposta a requisitos externos
 Confirmar conformidade externa
 Obter garantia de conformidade externa

Modelo de Capacidade

Atributos de processo
 AP 1.1 O processo é executado
 O processo atinge o seu propósito
 AP 2.1 O processo é gerenciado
 A execução do processo é gerenciada
 AP 2.2 Os produtos de trabalho são gerenciados
 Os produtos de trabalho produzidos pelo processo são gerenciados
apropriadamente.
 AP 3.1. O processo é definido
 Um padrão é mantido para apoiar a implementação do processo
 AP 3.2 O processo está implementado
 O processo padrão é efetivamente implementado para atingir seus
resultados

Atributos de processo
 AP 4.1 O processo é medido
 Medições são usadas para assegurar que o desempenho do
processo apóia o alcance dos objetivos de negócio definidos.
 AP 4.2 O processo é controlado
 O processo é controlado estatisticamente para produzir um
processo estável, capaz e previsível
 AP 5.1 O processo é objeto de inovações
 As mudanças no processo são identificadas a partir da análise de
causas comuns de variação e da investigação de inovações
 AP 5.2 O processo é otimizado continuamente
 As mudanças no processo têm impacto efetivo para o alcance dos
objetivos relevantes de melhoria

Avaliação dos atributos de processo
Resultados
relacionados
Caracterização
Grau de
implementação
86% a 100%
• Enfoque completo e sistemático para o atributo no processo
avaliado
• Não existem pontos fracos relevantes para este atributo no
processo avaliado
Totalmente
implementado (T)
51% a 85%
• Enfoque sistemático e grau significativo de implementação
do atributo no processo avaliado
• Existem pontos fracos para este atributo no processo
avaliado
Largamente
implementado (L)
16% a 50%
• Alguma evidência de enfoque e implementação do atributo
no processo avaliado
• Alguns aspectos de implementação não são possíveis de
predizer
Parcialmente
implementado (P)
0 a 15%
• Pouca ou nenhuma evidência de implementação do atributo
no processo avaliado
Não implementado (N)

Avaliação dos atributos de processo
 Os requisitos específicos de um nível de capacidade
podem ser totalmente ou largamente implementados
 Porém, cada nível de capacidade só pode ser alcançado
quando os requisitos do nível inferior tiverem sido totalmente
implementados
 Por exemplo, para uma capacidade de processo nível 3
(Processo Estabelecido)
 Atributos Definição de Processos (PA 3.1) e Implementação do
Processo (PA 3.2) podem ser largamente implementados
 Atributos do nível de capacidade 2 (PA 2.1 e PA 2.2) e 1 (PA
1.1) devem ser totalmente implementados

Níveis de capacidade
 Nível 0 - Processo Incompleto
 O processo não está implementado ou não atinge seu objetivo
 Há pouca ou nenhuma evidência de realização sistemática da
finalidade do processo
 Nível 1 - Processo Realizado
 Atributo PA1.1 – Process Performance
 O processo está implementado e atinge seu objetivo
 Nível 2 - Processo Gerenciado
 Atributos PA2.1 – Performance Management e PA2.2 – Work
Product Management
 O processo realizado (nível 1) é implementado de forma gerenciada
(planejado, monitorado e ajustado) e seus produtos de trabalho
estão devidamente estabelecidos, controlados e mantidos

Níveis de capacidade
 Nível 3 - Processo Estabelecido
 Atributos PA3.1 – Process Definition e PA3.2 – Process Deployment
 O processo gerenciado (nível 2) é implementado usando um
processo definido que é capaz de alcançar os seus resultados de
processo
 Nível 4 - Processo Previsível
 Atributos PA4.1 – Process Management e PA4.2 – Process Control
 O processo estabelecido (nível 3) opera dentro de limites definidos
para alcançar seus resultados de processo
 Nível 5 - Processo Em Otimização
 Atributos PA5.1 – Process Innovation e PA5.2 – Process
Optimization
 O processo previsível (nível 4) é continuamente melhorado para
atender aos objetivos de negócio

Comparação Cobit 4.1 x Cobit 5
Cobit 4.1
(níveis de maturidade)
Cobit 5
(níveis de capacidade)
Contexto
Nível 5 – Otimizado Nível 5 – Em otimização
Visão
corporativa
Nível 4 – Gerenciado e Mensurável Nível 4 – Previsível
Nível 3 – Definido Nível 3 – Estabelecido
Nível 2 – Gerenciado
Visão
individual
(instância)
Nível 2 – Repetível mas intuitivo Nível 1 – Realizado
Nível 1 – Inicial / Ad Hoc
Nível 0 - IncompletoNível 0 – Inexistente

Modelo de Implementação

 Fase 1 – Motivação
 Reconhecimento da necessidade de uma iniciativa de implementação ou
melhoria
 Identifica pontos de dor atuais e cria desejo de mudança nos níveis de
gestão executiva
 Fase 2 – Situação atual
 Define escopo da iniciativa de implementação ou melhoria utilizando o
cascateamento de metas
 Problemas ou deficiências são identificados pela realização de uma
avaliação de capacidade de processo
 Fase 3 – Situação desejada
 Uma meta de melhoria é definida, seguida de análise detalhada de
lacunas e possíveis soluções
 Deve ser dada prioridade às iniciativas mais fáceis de realizar e com
maiores benefícios

 Fase 4 – O que fazer
 Planeja soluções práticas, com definição de projetos apoiados por casos de
negócios justificáveis
 Um caso de negócio bem desenvolvido ajuda a garantir que os benefícios do
projeto são identificados e monitorados
 Fase 5 – Execução
 As soluções propostas são implementadas nas práticas do dia-a-dia
 Medidas podem ser definidas e monitoradas, utilizando metas e métricas do
COBIT para garantir que o alinhamento de negócios seja alcançado e mantido
 Fase 6 – Obtenção de resultados
 Operação sustentável dos facilitadores novos ou melhorados
 Monitoramento da realização dos benefícios esperados
 Fase 7 – Manutenção do momento
 O sucesso global da iniciativa é revisto, outras exigências são identificadas e a
necessidade de melhoria contínua é reforçada

Cobit 5 processos, implementação e avaliação

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Cobit 5 processos, implementação e avaliação

Semelhante a Cobit 5 processos, implementação e avaliação (20)

Cobit 5 processos, implementação e avaliação