Professional Documents
Culture Documents
COBIT 5
Framework de Governana e Gesto
Corporativa de TI
Luzia Dourado
Maio, 2014
Caros concurseiros!
Eis que disponibilizo mais uma verso da apostila de COBIT 5
para auxiliar nos estudos! Devido a grande procura por este
material (mais de 2900 downloads), resolvi revis-lo e
increment-lo com informaes que possam facilitar o
entendimento desse assunto.
Vale lembrar que este material pode auxiliar tambm aqueles
que buscam obter a certificao.
Espero que seja til!!!
Bons estudos a todos! Deus os abenoe!
Fora, Foco e F!
Luzia Dourado.
lmdourado@hotmail.com
COBIT uma marca registrada da ISACA e do IT Governance Institute (ITGI). Outros nomes de produtos e marcas
registradas podem ser mencionados no decorrer desta apostila, tais marcas so utilizadas apenas com finalidade de
Luzia Dourado
lmdourado.wordpress.com
ensino,
em benefcio exclusivo
do dono da marca, sem inteno delmdourado@hotmail.com
infringir suas regras de utilizao.
Sumrio
INTRODUO ................................................................................................................................ 3
PRINCIPAIS NOVIDADES DO COBIT 5............................................................................................. 5
EVOLUO DO COBIT 5 ................................................................................................................. 7
PRINCPIOS DO COBIT 5................................................................................................................. 7
Princpio 1. Atender as necessidades dos stakeholders............................................................ 8
Princpio 2. Cobrir a organizao de ponta a ponta ................................................................ 10
Princpio 3. Aplicar um framework nico e integrado ............................................................ 11
Princpio 4. Possibilitar uma abordagem holstica .................................................................. 13
Princpio 5. Separar a governana de gesto .......................................................................... 16
MODELO DE REFERNCIA DE PROCESSOS DO COBIT 5 ............................................................... 17
Estrutura de Processos ............................................................................................................ 19
GUIA DE IMPLEMENTAO DO COBIT 5 ..................................................................................... 20
Ciclo de Vida de Implementao............................................................................................. 22
MODELO DE CAPACIDADE DE PROCESSOS ................................................................................. 24
Diferenas entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade do COBIT
5 ............................................................................................................................................... 25
PRINCIPAIS MUDANAS DO COBIT 5 COM RELAO AO COBIT 4.1 ........................................... 30
ANEXO I: COBIT 5 Goals Cascade ................................................................................................ 33
ANEXO II: Exemplo de Viabilizador: Processos ........................................................................... 37
ANEXO III: DOMNIOS E PROCESSOS DO COBIT 5 ....................................................................... 38
ANEXO IV: Descrio do Processo BAI06: Gerenciar Mudanas ................................................. 44
REFERNCIAS BIBLIOGRFICAS ................................................................................................... 46
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
INTRODUO
Antes de introduzir os conceitos e detalhes do framework COBIT 5, necessria a
definio de conceito de governana e gesto corporativa de TI.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
Como esses benefcios podem ser obtidos a fim de criar valor para os
stakeholders (partes interessadas) das organizaes?
A entrega de valor para os stakeholders requer uma boa governana e gesto dos
ativos de informao e de tecnologia. Para se obter essa governana, os Conselhos de
administrao, executivos e gestores devem tratar a TI como qualquer outra parte
significante do negcio.
Alm disso, os requisitos legais, regulatrios e contratuais relacionados ao uso da TI
pelas organizaes tm aumentado, de modo que a TI tambm poder ser uma ameaa caso
no funcione propriamente.
Portanto, COBIT 5 prov um framework que auxilia as organizaes a atingirem suas
metas e entregar valor por meio de uma efetiva governana e gesto da TI corporativa [3].
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
Sumrio Executivo
Componentes e estruturas
5 princpios, em que cada princpio descrito em um captulo
Viso dos 7 viabilizadores e suas dimenses
Cascata de objetivos (COBIT 5 Goals Cascade)
Modelo de Referncia de Processos
Introduo ao Guia de Implementao
Modelo de Capacidade de Processos
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
EVOLUO DO COBIT 5
O COBIT comeou, em 1996, como um framework para auditoria e controles de TI, com
foco nos objetivos de controle. Depois, em 2000, foi lanada a terceira verso com a incluso
de orientaes para a gesto de TI. Em 2005, com o COBIT 4.0, se tornou o framework de
governana de TI, com a incluso de processos de governana e compliance (conformidade). E
atualmente, na quinta verso, o framework integrador de governana e gesto de TI
corporativa.
PRINCPIOS DO COBIT 5
O framework baseia-se em 5 princpios:
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
lmdourado.wordpress.com
lmdourado@hotmail.com
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
Sistema de Governana
Para que a governana cubra a organizao de ponta a ponta, o sistema de governana
possui os seguintes componentes:
lmdourado.wordpress.com
lmdourado@hotmail.com
10
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
11
Figura 8 - Padres cobertos pelo COBIT 5. Fonte: COBIT 5, Figura 25, 2012 ISACA
COBIT 5 (o framework)
COBIT 5 Enabler Guides, no qual os viabilizadores de governana e gesto so
discutidos em detalhe. Estes incluem:
o COBIT 5: Enabling Processes
o COBIT 5: Enabling Information
o Outros guias enabler
COBIT 5 Professional Guides, que incluem:
o COBIT 5 Implementation
o COBIT 5 for Information Security
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
12
Viabilizadores (enablers)
Viabilizadores so fatores que, individual e coletivamente, influenciam o funcionamento
da governana e gesto corporativa de TI [2].
O framework COBIT 5 define 7 categorias de viabilizadores:
1. Princpios, polticas e frameworks: so os veculos que traduzem o comportamento
desejado em um guia prtico para a gesto cotidiana;
2. Processos: descreve um conjunto organizado de prticas e atividades para atingir
certos objetivos e produzir um conjunto de sadas que auxiliem no cumprimento das metas
relacionadas a TI;
3. Estruturas organizacionais: so as entidades-chave, responsveis pela tomada de
deciso em uma organizao;
4. Cultura, tica e comportamento: dos indivduos e da organizao; muito
frequentemente subestimada como um fator de sucesso nas atividades de governana e
gesto;
5. Informao: est difundida por toda organizao. Representa todas as informaes
produzidas e utilizadas pela organizao. imprescindvel para manter a organizao em
funcionamento e bem governada;
6. Servios, infraestrutura e aplicaes: inclui a infraestrutura, tecnologia e aplicaes
que fornecem organizao os servios de TI;
7. Pessoas, habilidades e competncias: est relacionado com as pessoas e so
requeridas para que as atividades sejam executadas com sucesso e para que decises e aes
corretivas sejam realizadas de forma correta.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
13
Os recursos de TI do COBIT 4.1 processos, aplicaes, informao e infraestrutura so considerados viablilizadores no COBIT 5.
O viabilizador 1.Princpios, polticas e estruturas foi mencionado em alguns
processos do COBIT 4.1.
O viabilizador 2.Processos foi fundamental para o uso no COBIT 4.1.
O viabilizador 3.Estruturas organizacionais estava implcito, atravs dos papis
responsvel, consultado ou informado na matriz RACI.
O viabilizador 4.Cultura, tica e comportamento foi mencionado em alguns
processos do COBIT 4.1.
Dimenses de viabilizadores
Todos os viabilizadores tm um conjunto de dimenses comuns. Este conjunto de
dimenses comuns [4]:
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
14
lmdourado.wordpress.com
lmdourado@hotmail.com
15
As duas primeiras questes lidam com o resultado real do viabilizador e as mtricas usadas
para medir se os objetivos foram atingidos podem ser chamadas de "indicadores de
resultado" (lag indicators). As duas ltimas lidam com o funcionamento real do viabilizador e
as mtricas para medir se os objetivos sero atingidos podem ser chamadas de "indicadores
de desempenho (lead indicators).
Como exemplo de um viabilizador na prtica, veja no Anexo II.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
16
Figura 12 - reas chave de governana e gesto. Fonte: COBIT 5, Figura 15, 2012 ISACA
Processos de Governana
Contm 1 domnio Avaliar, Dirigir e Monitorar (EDM) com 5 processos de governana.
Estes processos ditam as responsabilidades da alta direo para a avaliao, direcionamento e
monitorao do uso dos ativos de TI para a criao de valor. Este domnio cobre a definio de
um framework de governana, o estabelecimento das responsabilidades em termos de valor
para a organizao (ex. critrios de investimento), fatores de risco (ex. apetite ao risco) e
recursos (ex. otimizao de recursos), alm da transparncia da TI para as partes interessadas
(stakeholders) [6].
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
17
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
18
Figura 13 - Modelo de Referncia de Processos. Fonte: COBIT 5, Figura 16, 2012 ISACA
Estrutura de Processos
Para cada processo, as seguintes informaes so includas, de acordo com o modelo de
processo anteriormente explicado:
Identificao do processo:
Label do Processo: o domnio (EDM, APO, BAI, DSS, MEA) e o nmero do processo;
Nome do Processo: breve descrio do processo;
rea do processo: governana ou gesto
Nome de domnio
Descrio uma viso do que o processo faz e como o processo alcana seu propsito
Propsito do Processo descrio geral do propsito do processo
Informao de objetivos em cascata referncia e descrio dos objetivos
relacionados com a TI que so essencialmente suportados pelo processo e mtricas
para medir o alcance dos objetivos relacionados com a TI.
Objetivos de processos e mtricas um conjunto de metas de processo e um nmero
limitado de exemplo de mtricas.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
19
tica e cultura
Leis, regulamentos e polticas aplicveis
Misso, viso e valores
Polticas e prticas de governana
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
20
Alm desses pontos de dor, outros eventos em ambiente interno e externo da empresa
podem sinalizar ou desencadear um foco na governana e gesto corporativa de TI. Exemplos
de evento de gatilho (trigger events) so:
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
21
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
22
Figura 14 - Fases do Ciclo de Vida. Fonte: COBIT 5, Figura 17, 2012 ISACA
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
23
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
24
Em primeiro lugar, uma avaliao precisa ser feita se os objetivos de controle para o
processo forem cumpridas;
Em seguida, o modelo de maturidade que existe para cada processo pode ser usado
para obter o nvel de maturidade do processo;
Alm disso, o modelo de maturidade genrico do COBIT 4.1 fornece seis atributos
distintos que so aplicveis para cada processo e que ajudam na obteno de uma
viso mais detalhada sobre o nvel de maturidade dos processos;
Controles de processos so objetivos de controle genrico que tambm precisam ser
revistos quando uma avaliao do processo realizada. Controles de processos se
sobrepem parcialmente com os atributos do modelo de maturidade genrico.
Figura 15 - Modelo de Maturidade do COBIT 4.1. Fonte: : COBIT 5, Figura 18, 2012 ISACA
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
25
Figura 16 - Modelo de Capacidade de Processos. Fonte: COBIT 5, Figura 19, 2012 ISACA
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
26
Embora seja tentador comparar os resultados da avaliao entre COBIT 4.1 e COBIT 5
por causa da aparente semelhana com a escala de nmeros e palavras usadas para
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
27
descrever estas, tal comparao difcil por causa da diferenas no escopo, no foco e
na inteno, como pode ser visto na tabela 1.
Em geral, a pontuao ser menor com o modelo de capacidade de processo do
COBIT 5. No modelo de maturidade do COBIT 4.1, um processo pode atingir nvel 1 ou
2, sem alcanar plenamente todos os objetivos do processo ; no COBIT 5, isso resultar
em uma pontuao mais baixa de 0 ou 1.
No existe mais um modelo de maturidade especfico por processo includo com a
descrio de processos detalhados em COBIT 5 porque a abordagem de avaliao de
capacidade da norma ISO/IEC 15504 no exige isso e ainda probe esta abordagem. Em
vez disso, as informaes definidas na ISO/IEC 15504 esto no modelo de referncia
de processo do COBIT 5:
o Descrio do processo, com as declaraes de propsito;
o Prticas-base, que so o equivalente de prticas de processos de governana
ou de gesto do COBIT 5;
o Produtos de trabalho, que so o equivalente s entradas e sadas no COBIT 5.
O modelo de maturidade COBIT 4.1 produziu um perfil de maturidade da empresa. O
principal objetivo desse perfil era identificar em quais dimenses ou para quais
atributos houve deficincias especficas que precisavam de melhoria. Em COBIT 5 o
modelo de avaliao fornece uma escala de medida para cada atributo de processo e
orientaes sobre como aplic-lo, portanto, para cada processo uma avaliao pode
ser feita para cada um dos nove atributos de processo.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
28
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
29
COBIT 5
(Planejar e Organizar)
10 processos
13 processos
(Adquirir e Implementar)
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
30
10 processos
(Entregar e Suportar)
13 processos
6 processos
(Monitorar e Avaliar)
4 processos
3 processos
Figura 17 - Comparativo COBIT 4.1 x COBIT 5
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
31
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
32
lmdourado.wordpress.com
lmdourado@hotmail.com
33
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
34
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
35
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
36
Figura 21 - Viabilizador Processos. Fonte: Fonte: COBIT 5, Figura 29, 2012 ISACA
Ciclo de vida: cada processo tem um ciclo de vida, ou seja, ele tem que ser criado,
executado e monitorado e ajustado quando necessrio. Para se definir um processo, pode-se
usar vrios elementos do COBIT 5: Enabling Process, ou seja, definir responsabilidades e dividir
o processo em prticas e atividades, e definir produtos de trabalho do processo (entradas e
sadas). Numa fase posterior, o processo precisa ser mais robusto e eficiente, e para essa
finalidade necessrio elevar o nvel de capacidade do processo.
Boas prticas: COBIT 5: Enabling Process descreve para cada processo as boas prticas
em termos de prticas de processo, atividades e atividades detalhadas.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
37
Analisa e articula os requisitos para a governana corporativa de TI, coloca em prtica e mantm
estruturas, princpios, processos e prticas, com clareza de responsabilidades e autoridade para
alcanar a misso, as metas e os objetivos da organizao.
Otimiza a contribuio de valor para o negcio a partir dos processos de negcios, servios e ativos de
TI resultantes de investimentos realizados pela TI a custos aceitveis.
Assegura que o apetite e tolerncia a riscos da organizao so compreendidos, articulados e
comunicados e que o risco ao valor da organizao relacionado ao uso de TI identificado e
controlado.
Assegura que as capacidades adequadas e suficientes relacionadas TI (pessoas, processos e
tecnologia) esto disponveis para apoiar os objetivos da organizao de forma eficaz a um custo
timo.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
38
APO02
Gerenciar a Estratgia
Fornece uma viso holstica do negcio e ambiente de TI atual, a direo futura, e as iniciativas
necessrias para migrar para o ambiente futuro desejado.
Estabelece uma arquitetura comum que consiste em processos de negcios, informaes, dados,
aplicao e tecnologia para realizar de forma eficaz e eficiente as estratgias de negcio e de TI por
meio da criao de modelos e prticas-chave que descrevem arquitetura de linha de base.
APO03
APO04
Gerenciar a Inovao
APO05
Gerenciar o Portflio
APO06
APO07
APO08
Gerenciar as Relaes
Gerencia o relacionamento entre o negcio e TI de uma maneira formal e transparente, que garanta
foco na realizao de um objetivo comum.
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
39
APO09
APO10
Gerenciar os Fornecedores
Gerenciar a Qualidade
Gerenciar os Riscos
Gerenciar a Segurana
Identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos nveis de tolerncia
estabelecidos pela diretoria executiva da organizao.
Define, opera e monitora um sistema para a gesto de segurana da informao.
APO11
APO12
APO13
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
40
BAI01
BAI02
BAI04
BAI05
BAI03
BAI06
Gerenciar Mudanas
BAI07
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
41
BAI08
Gerenciar o Conhecimento
BAI09
Gerenciar os Ativos
BAI10
Gerenciar a Configurao
Luzia Dourado
Mantm a disponibilidade de conhecimento relevante, atual, validado e confivel para suportar todas
as atividades do processo e facilitar a tomada de deciso. Plano para a identificao, coleta,
organizao, manuteno, utilizao e retirada de conhecimento.
Gerencia os ativos de TI atravs de seu ciclo de vida para assegurar que seu uso agrega valor a um
custo ideal. Os ativos permanecem operacionais e fisicamente protegidos e aqueles que so
fundamentais para apoiar a capacidade de servio so confiveis e disponveis.
Define e mantm as descries e as relaes entre os principais recursos e as capacidades necessrias
para prestar servios de TI, incluindo a coleta de informaes de configurao, o estabelecimento de
linhas de base, verificao e auditoria de informaes de configurao e atualizar o repositrio de
configurao.
lmdourado.wordpress.com
lmdourado@hotmail.com
42
DSS01
Gerenciar as operaes
DSS02
Fornecer uma resposta rpida e eficaz s solicitaes dos usurios e resoluo de todos os tipos de
incidentes. Restaurar o servio normal; recorde e atender s solicitaes dos usurios e registro,
investigar, diagnosticar, escalar e solucionar incidentes.
DSS03
Gerenciar Problemas
Identifica e classifica os problemas e suas causas-razes e fornece resoluo para prevenir incidentes
recorrentes. Fornece recomendaes de melhorias.
Gerenciar a Continuidade
DSS05
Protege informaes da organizao para manter o nvel de risco aceitvel para a segurana da
informao da organizao, de acordo com a poltica de segurana. Estabelece e mantm as funes
de segurana da informao e privilgios de acesso e realiza o monitoramento de segurana.
DSS06
Define e mantm controles de processo de negcio apropriados para assegurar que as informaes
relacionadas e processadas satisfaz todos os requisitos de controle de informaes relevantes.
DSS04
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
43
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
44
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
45
REFERNCIAS BIBLIOGRFICAS
[1] International Organization for Standardization. ISO/IEC 38500 Corporate governance of
information technology. ISO, 2008, 22p.
[2] ABREU, Vladimir Ferraz de; FERNANDES, Aguinaldo Aragon. Implantando a Governana de
TI: da estratgia gesto dos processos e servios. Rio de Janeiro: Brasport, 2006.
[3] Vaz, Wesley. Palestra COBIT 5: Aspectos Gerais. II Enauti. 2013. Acesso em:
http://www.tc.df.gov.br/seset/encontrodeti/download/COBIT
5%20MINI%20CURSO%20ENAUTI%20-%206%20-%202013%20-%20FORMATADO.pdf
[4]. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT.
USA, 2012
[5] PwC. Por que conhecer o COBIT 5.
Acesso em: www.pwc.com.br/
[6] GAEA. Compreendendo os principais conceitos do COBIT 5.
Acesso em: http://www.gaea.com.br/cms/compreendendo-os-principais-conceitos-do-COBIT 5-parte-v/
[7] ISACA. Comparing COBIT 4.1 and COBIT 5.
Acesso em: http://www.isaca.org/COBIT /Documents/Compare-with-4.1.pdf
[8] Gentil, Frederico A. S., Novidades do COBIT 5.
Acesso em: http://fredgentil.com.br/artigos/novidades-do-COBIT -5/
[9] ISACA. COBIT 5: Enabling Process. USA, 2012.
[10] BRASIL. Lei n 12.965/2014, de 23 de abril de 2014. Estabelece princpios, garantias,
direitos e deveres para o uso da Internet no Brasil.
Acesso em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
[11] CGI.br. O CGI.br e o Marco Civil da Internet.
Acesso em: http://www.cgi.br
Luzia Dourado
lmdourado.wordpress.com
lmdourado@hotmail.com
46