(J Estratégia CONCURSOS Aula 03 per Ra eR ee ek Leg Professor: Victor DaltonJANCA DE TI PARA Ci ja 03 Vie S ULA 03: COBIT 5 e ISO 38500 1. COBIT 5 SIT 1.1 Introdugao. 1.2 0 COBIT 5 1.3 Evolugao do COBIT 5 1.4 Governanga x Gerenciamento 1.5 Principios do COBIT 5 1.6 Modelo de capacidade do COBIT 5 1.7 Ciclo de vida de implementagaéo do COBIT 5 2. ISO 38500 Exercicios Consideracées Finais Lista de Exercicios Ola pessoal! E 0 estudo? Firme e forte? Avancemos no nosso curso estudando o COBIT 5 e ISO 38500. Possuem cobranga recente em concursos. Aos estudos! Observacao importante: este curso é protegido por direitos autorais (copyright), nos termos da Lei 9.610/98, que altera, atualiza e consolida a legislago sobre direitos autorais e da outras providéncias. Grupos de rateio e pirataria so clandestinos, violam a lei e prejudicam os professores que elaboram os cursos. Valorize 0 trabalho de nossa equipe adquirindo os cursos honestamente através do site Estratégia Concursos ;-) Prof. Victor Dalton www.estrategiaconcursos.com.br Ide 91COBIT 5 1. COBIT5 1.1. Introdugao Antes de nos contextualizarmos com o COBIT 5, é vamos compreender 0 conceito de Governanga de TI. Governanga de TI é “um braco” da Governanca Corporativa, para entender 0 que é Governanga de TI vamos primeiro entender o que & Governanga Corporativa. Segundo o IBGC (Instituto Brasileiro de Governanca Corporativa): “é 0 sistema pelo qual as sociedades(empresas) sao dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho e administrag&o, diretoria, auditoria independente e conselho fiscal. As boas praticas de governanca corporativa tém a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.” A necessidade de se ter uma politica de Governanga se avangou ao longo do tempo, dada a crescente complexidade das organizagdes, da concorréncia e das partes interessadas. A abertura de capital, ou seja, 0 fato das empresas negociarem suas acdes na bolsa, contribuiu muito para a necessidade de uma maior transparéncia, para que os atuais acionistas saibam como vai seu investimento e para que novos acionistas sejam atraidos (saimos de um contexto onde a empresa era administrada pelos “sécios” para um cenério onde os acionistas nunca colocaram o pé dentro da empresa). Isto justifica a definigéo do IBGC: “As boas praticas de governanga corporativa tém a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.” Em 2001, houve um fato que acelerou a adoc&io de praticas de Governanca Corporativa no mundo, que foram os escandalos financeiros de grandes empresas americanas como a Enron, que fraudava suas demonstracées financeiras para encobrir os prejuizos que ela vinha tendo, fazendo com que quando descoberto as fraudes, muitos acionistas perdessem o investimento de uma vida inteira. A Governanga é baseada Prof. Victor Dalton www.estrategiaconcursos.com.br 2deo1nos principios da transparéncia, independéncia e prestacéo de contas (accountability) como meio para atrair investimentos para a organizagao. E qual o papel da TI nessa Governanga? Pelo fato das informagées financeiras das empresas estarem salvos em sistemas de informagao, os gestores de negécio precisam ter garantias que as informacées nestes sistemas so confidveis. Para se ter uma ideia, apés os escdndalos de 2001, 0 congresso americano aprovou uma lei chamado Sarbanes-Oxley, mais conhecida como SOX, na qual os executivos de empresas com agées na bolsa de Nova York séo responsabilizados criminalmente por desvios nas demonstrac®es financeiras, podendo além de levar multa ser preso também. Mesmo que os executivos ndo tenham participac&o em fraudes das demonstrac@es financeiras, caso for detectado alguma fraude, eles so penalizados. Ainda, podemos citar o Acordo da Basileia II, firmado em 2004, que impée uma série de exigéncias as instituicdes financeiras com impacto direto em TI, tais como capacidade de armazenamento de dados, integridade das transagées, seguranga, contingéncia, planejamento da capacidade, integridade na emissao de relatérios, dentre outros. Para que serve a Governanga de TI? © objetivo principal da Governanca de TI é alinhar a TI aos requisitos do negécio. Detalhando um pouco mais essa definicao, podemos depreender outros objetivos, a saber: « Promover o posicionamento mais claro e consistente da TI em relago as demais areas de negécios da empresa, traduzindo as estratégias dos negécios em planos, aplicacées, infraestrutura de TI, processos, etc; * Promover o alinhamento estratégico e a priorizagio das tivas de TI com a estratégia do negécio, gerando um portfolio de TI; * Promover o alinhamento da arquitetura de TI as necessidades do negocio, visando o presente e o futuro; * Promover a implantag&o e melhoria dos processos operacionais. e de gestao; Prof. Victor Dalton www.estrategiaconcursos.com.br 3de91Prover a TI com estrutura suficiente para gestao do risco e compliance; Utilizar regras claras e estabelecer responsabilidades sobre decisées e agées de TI; Melhorar o ROI, etc. Vistas essas caracteristicas, podemos iniciar o estudo do COBIT propriamente dito. 1.2 O COBIT5 A informagao é, nos dias de hoje, um recurso chave para todas as empresas. Além disso, a Tecnologia da Informagao esta irreversivelmente difundida em todos os aspectos de negécios e da vida pessoal. Cientes desta realidade, as corporagées e seus executives precisam: Manter informacdes de qualidade para dar suporte as decisdes de negécio; Gerar valor dos investimentos em TI, atingir metas estratégicas e entregar beneficios de negécio por meio do efetivo uso da TI; Conseguir exceléncia operacional através da aplicacio eficiente e confidvel da tecnologia; Manter os riscos de TI a um nivel aceitavel; Otimizar 0 custo dos servicos de TI. Nesse viés, 0 COBIT 5 fornece um framework abrangente que auxilia as empresas a alcancar seus objetivos para a Governanca e o Gerenciamento da TI em suas organizacées. Em palavras simples, auxilia as empresas a criar valor a partir da TI por meio da ponderacdo entre os beneficios alcangaveis, riscos assumidos e recursos utilizados. © COBIT 5 habilita a TI a ser governada e gerenciada de uma forma holistica para toda a empresa, cuidando, de ponta-a-ponta, do negécio e Prof. Victor Dalton www.estrategiaconcursos.com.br Adesdas areas funcionais de TI, considerando os interesses de stakeholders internos e externos. © COBIT 5, desenvolvido pela ISACA (Information Systems Audit and Control Association), é genérico e utilizavel por empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou érgos puiblicos. Sua estrutura é composta pelos seguintes produtos: * © COBIT 5 (framework) - 0 qual iremos estudar * Os Guias Habilitadores, cuja publicacao principal é 0 COBIT 5: Enabling Processes - publicagao paga, que inclui detalhes sobre os 37 processos, entradas, saidas, responsabilidades pelas atividades e outros. Ainda, associa os processos com outros frameworks do mercado. * Os Guias Profissionais, com destaque para o COBIT 5: Implementation, COBIT 5 for Information Security, COBIT 5 for Assurance e COBIT 5 for Risk. + Ambiente online colaborativo, para oferecer suporte ao uso do COBIT 5. Ainda, 0 COBIT 5 busca conexao e alinhamento a outros frameworks e padrées do mercado, como a ITIL, TOGAF, PMBOK, PRINCE2, COSO e padrées ISO (em especial a ISO/IEC 38500:2008 - Governanca Corporativa da Tecnologia da Informagdo). 1.3 Evolucéo do COBIT 5 © COBIT possui fortes raizes na Auditoria de TI. Afinal, ele comegou como um framework de auditoria de TI, em sua verso 1, de 1996. Com o passar do tempo, seu escopo foi evoluindo, com destaque para a versdo 4.1, que “reinou” durante sete anos, como um framework de Governanga de TI. © COBIT 5, langado em 2012, se intitula com uma ferramenta de cuida da Governanca Corporativa de TI. No fundo, no fundo, rs, ele ainda uma ferramenta de auditoria e controle. Afinal, a implementac&o do Cobit Prof. Victor Dalton www.estrategiaconcursos.com.br Sde 916 verificada por meio da implementagao de suas atividades-chave (ou seja, uma auditoria dos processos, para saber se eles so implementados ou ndo.) Governance of Enterprise IT IT Governance Doreen Cer Evolution of scope cr 1996 1998 2000 2005/7 = 2012 EvolusSo do excopo do COBIT, Fonts: ISACA 1.4 Governanga x Gerenciamento © COBIT 5 faz uma disting&o clara entre Governanga e Gerenciamento, e esta distingdo também deve ser bastante clara para vocé. Pro COBIT: define a diregdo por meio de ;e . A responsabilidade pela Governanga é da alta diregao, embora algumas responsabilidades especificas possam ser delegadas para estruturas organizacionais especiais, no nivel apropriado, em particular para organizagdes grandes e complexas. O gerenciamento (gest Na maioria das organizacdes, © gerenciamento é responsabilidade da gerén executiva, sob a lideranca do chefe diretor executivo (CEO). Prof. Victor Dalton www.estrategiaconcursos.com.br 6de a11.5 Principios do COBIT 5 O COBIT 5 é norteado por cinco princfpios, e veremos cada um deles a partir de agora. eet ee ee Pec Leer Ce ay Doron ramble | ere Caan ee beige) Ceri Poet) Ce ay Sea Cul fetta ete 3 Principios do COBIT. Fonte: COBIT 5 1.5.1 Atender as necessidades das Partes Interessadas (Meeting Stakeholders Needs) Prof. Vietor Dalton Www.estrategiaconcursos.com.br 7de91Empresas existem para criar valor para os seus stakeholders. Por consequéncia, criar valor seré um objetivo da governanga. Criar valor é alcangar beneficios otimizando a utilizago de recursos a um risco aceitavel. Beneficios podem assumir varias formas, por exemplo, lucro (fins comerciais) ou prestag&o de servico piiblico (entidades governamentais). ek koe eae knee Objetivo da Governanga: Criagao de Valor = 80 (riage de valor Fonte: OBITS Stakeholders distintos podem enxergar valor sob oticas distintas, e até mesmo conflitantes, o que torna a governanga uma tarefa néo trivial. Nesse sentido, o COBIT 5 apresenta a cascata de metas (COBIT 5 Goals Cascade), que € um mecanismo a ser utilizado para traduzir as necessidades dos stakeholders em metas empresariais (de negécio), metas de TI relacionadas e metas habilitadoras. Tais metas devem ser especificas, tangiveis e customizadas para a organizacao. A cascata possui 4 passos, a saber: Passo 1. O Direcionamento das partes interessadas influencia suas necessidades Passo 2. Desdobramento das necessidades das partes interessadas em metas de negécio (objetivos corporativos) Passo 3. Objetivos corporativos cascateiam para objetivos de TI relacionados Prof. Victor Dalton www.estrategiaconcursos.com.br Bde9tPasso 4, Objetivos de TI cascateiam para metas do habilitador Cee ee ed Direcionadores das Partes Interessadas ae noni ee Oyen ReMi ‘cateata de metas do COBIT. Fonte: COBIT A figura quatro do COBIT mostra a cascata de metas, a os apéndices referenciados mostram, em detalhes, como fazer os cascateamentos indicados, mapeando, inclusive, os processos do COBIT 5. As figuras cinco e seis do COBIT trazem 17 metas genéricas de negécios e de TI, respectivamente, sob a ética do Balanced Scorecard. Prof. Vietor Dalton Www.estrategiaconcursos.com.br Sde91Financia hi. valor dos investimentos da organizaglo percebidos pelas] partes interessadae Portfélio de produtos © servigos competitives ° 5 Gesta0 do rsco do negedi (salvaguarda de ativos) _ Conformidade com as leis e regulamentos externos ‘Transparencia financeira ? ‘ene Cultura de servigo orientada ao cliente e = Continuldade e cisponibilidade do senvigo da nagicia P . Respostas,apidas para um ambiente de negocios em mudancal 9_ Tomada de decisio estratégica com base na informaglo ‘Otimizago dos custos de prestaglo de servigor ‘Otimizago dos custos do processo de negécio ‘Gestdo de programas de mudangas de negocios, fa. Produtividade operacional e da equipe 15. Conformidade com os poltias Internas ? 1, Otimizagdo da funcionalidade do processo de negécio e e Ticinamertoe is. pessoas qualficadas e motivadas 5 17. Cultura de inovagSo de produtos © negscios ° Dement BSC de SS ObjetivosCorporatvos. Fonte: COBITS ‘Objetvo da nformagio e Tecnologia Relaconada Finenceke Cente ‘ot inhamento da extratégia de negécios ede 71 ‘onformidade de TV suporte para conformidade do negécio com as as e regulamentos externod| @ 703 fcompromisso da geréncia executiva com a tomada de decis¥es de 7 ee ee ee 5 [Beneticias obtdos pelo investimenta de Tle pantalla de senior ‘05 [Transparencia dos custos, benelicios eriscos de (07 [Prestagio de servigos de Tl em consonancla com os requisites de negocio GS [ozo adequado de aplicativor, informages e solugles tecnolegicse Prof. Victor Dalton www.estrategiaconcursos.com.br 10 de 91CAIU na prova! (FCC - CNMP - Analista - Desenvolvimento - 2015) O COBIT 5 estabelece que as organizacdes tém muitas partes interessadas e “criar valor” pode significar coisas diferentes e, por vezes, conflitantes para cada uma delas. Governanca esté relacionada com negociar e decidir entre os interesses de valor das diferentes partes interessadas. Por consequéncia, 0 sistema de governanga deve considerar todas as partes interessadas ao tomar decisdes sobre a avaliacao. Com respeito ao enunciado acima, considere a seguinte figura do COBIT 5: Necessidades das Partes Interessadas Objetivo da Governanca: Cria¢ao de Valor Ce) Ce) CI Na figura acima, I, II e III representam o que o COBIT 5 estabelece com respeito a criac&io de valor para as partes interessadas. Trata-se de (A) Realizag&o de Beneficios - Otimizagéio do Risco - Otimizag&o dos Recursos (B) Otimizagéo dos Riscos - Otimizagéo dos Recursos - Melhoria na Comercializagao (C) Melhoria da Capabilidade dos Processos - Mitigac&o dos Riscos - Terceirizag3o dos Recursos (D) Otimizac&o dos Processos - Conteng&o de Custo - Metodologia de Viabilidade dos Processos (E) Realizagio de Beneficios - Terceirizagio dos Recursos - Melhoria na Comercializagdo Para criar valor, a governanca deve realizar beneficios, otimizar o risco otimizar os recursos, segundo o COBIT 5. Isso sera realizado por meio da cascata de metas (ou cascata de objetivos). Prof. Victor Dalton www.estrategiaconcursos.com.br dest| Resposta certa, alternativa a). 1.5.2 Cobrir a empresa de ponta-a-ponta (Covering the Enterprise End-to-End) © COBIT 5 trata a governanga e a gest&o da TI de ponta-a-ponta. Isso implica em: * Integrago da governanga de TI com a governanga corporativa, ou seja, 0 modelo proposto pelo COBIT 5 se integra sem problemas com qualquer metodologia de governanga corporativa; * Cobertura de todas as funcées e processos requeridos para governar e gerenciar a TI na organizag&o. Dado esse escopo, 0 Essa abordagem de Governanga de ponta-a-ponta se dé por meio do Escopo de Governanca, dos Habilitadores da Governanca e dos Papéis, Atividades e Relacionamentos. Prof. Victor Dalton www.estrategiaconcursos.com.br ade steee ekcca nk) Objetivo da Governanga: Criagdo de Valor Realizacao f Otimizagao lesley Oren ai) LCE LLC) Laster | GEM aeUle Governanga AOC U Se ee Os} Governanca de Ponta-a-Ponta. Fonte: COBIT 5 Escopo de Governanga: a governanca pode ser aplicada em toda a organizaco, em uma entidade, em um ativo tangivel ou intangivel. E essencial definir 0 escopo da Governanca. Habilitadores da Governanga: sao os recursos organizacionais que podem ser aplicados na Governanga, como os frameworks, principios, estruturas, processos e praticas. Também incluem os recursos empresariais (infraestrutura, aplicagdes, pessoas a informacao). Papéis, Atividades e Relacionamentos: Definem quem esta envolvido com a governanga, como estSo envolvidos, o que eles fazem, como interagem. Prof. Victor Dalton www.estrategiaconcursos.com.br 13 de 91y a y "_ GoveRNanca DE TI para concunsos = 2047 . Aula 03 - Prof Victor Dalton ~ ieee Fungies, Alividades ¢ Ralacionamentos c= i oo ec Cr Nad ou Sims Papéis, Atividades e Relacionamentos. Fonte: COBIT 5 1.5.3. Aplicar um modelo Unico e integrado (Applying a Single Integrated Framework) © COBIT 5 é um framework tinico e integrado porque: «Est alinhado com outros padrées e frameworks recentes, ainda podendo ser utilizado como framework de integragdo de governanga e gestéo; + Integra todo 0 conhecimento disperso em diferentes frameworks da ISACA, como COBIT, Val IT, Risk IT, BMIS e outros. Eerie eee COBIT e sua integracéo com outros frameworks. Fonte: COBIT 5 Prof. Victor Dalton www.estrategiaconcursos.com.br 14destOs Hal 1.5.4 Permitir uma abordagem holistica (Enabling a Holistic Approach) jtadores (Enablers) séo fatores que, individualmente e coletivamente, influenciam algo que deveré funcionar - no caso, a governanga e gerenciamento de TI. Os habilitadores s&o guiados pelas metas de TI, que, por sua vez, so guiadas pelas metas de negécio. O COBIT 5 possui sete categorias de habilitadores, a saber: Principios, politicas e modelos: veiculos que traduzem o comportamento desejado em guias praticos para o gerenciamento cotidiano; Processos: conjunto organizado de praticas e atividades para alcangar certos objetivos, e produg’o de um conjunto de saidas que servirdo para o alcance das metas de TI; Estruturas organizacionais: entidades-chave, tomadoras de decisées em uma empresa; Cultura, ética e comportamento: com frequéncia, tais elementos séo subestimados como fator de sucesso, tanto dos individuos como da corporacéo como um todo; Informacéo: toda a informacg&o produzida e utilizada pela empresa. Mantém a organizagao funcionando e bem governada. No nivel operacional, frequentemente é 0 produto-chave da empresa; Servicos, infraestrutura e aplicativos: toda a infraestrutura, tecnologia e aplicativos que fornece a empresa servicos e capacidade de processamento de TI; Pessoas, habilidades e competéncias: necessdrias para a realizag&o com sucesso das atividades e tomar decisdes corretas e agées corretivas. Perceba, na imagem abaixo, que os ultimos habilitadores s&o os recursos da organizacéo. Prof. Victor Dalton www.estrategiaconcursos.com.br 15 de 913. Estruturas |Organizacionais 1. Principios, Politicas e Frameworks VIGO, Pessoas, 5. Informagao Infraestrutura Habilidades e e Aplicativos Competéncias LES abitadore. Fonte: OBITS Todos os habilitadores possuem um conjunto comum de dimensées. Elas: * Proveem um caminho comum, simples e estruturado para lidar com os habilitadores; * Permitem uma entidade gerenciar interagées complexas; « Facilitam resultados exitosos dos habilitadores. As quatro dimensées séo: * Partes Interessadas: cada habilitador terd interessados que participam ativamente ou possuem interesse no habilitador; + Metas (goals): cada habilitador teré um ntimero de metas. As metas so 0 passo final na cascata de objetivos do COBIT 5. Podem ser categorizadas em: © Qualidade intrinseca: medida em que habilitadores funcionam com preciséo, objetividade e fornecem informag@es precisas e objetivas. Prof. Victor Dalton www.estrategiaconcursos.com.br 16 de 91© Qualidade contextual: medida em que habilitadores e seus resultados atendem ao propésito, dado 0 contexto em que operam. © Acesso e sequranca: medida em que habilitadores e seus resultados so acessiveis e seguros. * Ciclo de vida: cada habilitador possui um ciclo de vida, desde © seu inicio, passando por uma fase operacional até o seu descarte. Sao fases do ciclo de vida: © Planejar Projetar Construir/Adquirir/Criar/Implementar Usar/Operar Avaliar/Monitorar Atualizar/Descartar oo 000 «Boas praticas: para cada habilitador, boas praticas podem ser definidas. Boas praticas apoiam a consecugao das metas do habilitador. Boas praticas fornecem exemplos ou sugestdes sobre a melhor forma de implementar o habilitador, e quais os produtos de trabalho, entradas e saidas s&o necessdrios. Gerenciamento de desempenho dos Habilitadores As corporagées esperam resultados positives dos aplicativos e do uso dos habilitadores. Para gerenciar a performance dos habilitadores, algumas questées devem ser monitoradas para serem respondidas, com base em meétricas: ~ As necessidades dos stakeholders foram atendidas? ~ As metas dos habilitadores foram alcangadas? - 0 ciclo de vida do habilitador é gerenciado? ~ As boas praticas so aplicadas? As duas primeiras questées lidam com a saida atual do habilitador. A medida usada para medir o alcance das metas podem ser chamadas de Jag indicators, ou métricas para 0 alcance das metas. Prof. Victor Dalton www.estrategiaconcursos.com.br a7 destNCA DE TI PARA c . la 03 Vie As duas Ultimas questées, por seu turno, lidam com o funcionamento atual do indicador, e as métricas podem ser chamadas de lead indicators, ou and a P O apéndice G do framework do Cobit se aprofunda nos habilitadores. 1.5.5 Distinguir a Governanca da Gest&o (Separating Governance from Management) © COBIT 5 faz questao de diferenciar a governanga do gerenciamento (gest&o). Relembrando: A governanca assegura que as ye .A responsabilidade pela Governanga é da alta eco, embora algumas responsabilidades especificas possam ser delegadas para estruturas organizacionais especiais, no nivel apropriado, em particular para organizacées grandes e complexas. Na maior das organizacdes, 0 gerenciamento é responsabilidade da geréncia executiva, sob a lideranca do chefe diretor executivo (CEO). 13> CAIU na prova! Prof. Victor Dalton www.estrategiaconcursos.com.br 18 de 91(FCC - CNMP - Analista - Infraestrutura - 2015) O COBIT 5 baseia-se em cinco principios basicos para governanca e gest&o de TI da organizacéo, que sao: 10 Principio: Atender as Necessidades das Partes Interessadas Cobrir a Organizacao de Ponta a Ponta Distinguir a Governanca da Gestao Preenche, corrata e respectivamente, as lacunas referentes aos 30 e 4o Principios: (A) Permitir uma Abordagem Holistica — Otimizar o custo da tecnologia e dos servicos de TI (B) Otimizar o custo da tecnologia e dos servicos de TI — Agregar valor ao negécio a partir dos investimentos em TI (C) Manter informagées de alta qualidade para apoiar decisées corporativas — Manter o risco de TI em, um nivel aceitavel (D) Aplicar um Modelo Unico Integrado — Permitir uma Abordagem Holistica (E) Aplicar um Modelo Unico Integrado — Otimizar o custo da tecnologia e dos servicos de TI Simples decoreba dos cinco principios do COBIT 5. Resposta certa, alternativa d). Modelo de Referéncia de Processos © Cobit 5 possui 37 processos, agrupados em um dominio de governanca e quatro dominios de gerenciamento. Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os objetivos de governanga e gerenciamento sejam alcangados. Pequenas empresas poderdo possuir menos processos; organizacées maiores e mais complexas podem ver muitos processos, todos cobrindo os mesmos objetivos. Prof. Victor Dalton www.estrategiaconcursos.com.br 19de 91Pee ke) ' Necessidades do Negéoio (Governanga Feedback da Gestéo Se | or rs (Bal) recs (MEA) Planejar Co) crore GSS) ‘Domini de procosror do COBIT. Fonte: COBITS ir e€ Monitorar (EDM) - Este dominio lista as responsabilidades da alta direcSo para a avaliacéo, direcionamento e monitoracéio do uso dos ativos de TI para a criag&o de valor. Este dominio cobre a definicSo de um framework de governanca, o estabelecimento das responsabilidades em termos de valor para a organizacéio (ex. critérios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex. otimizagSo de recursos), além da transparéncia da TI para os stakeholders. Seus cinco processos so: EDMO1 - Garantir a Definigéo e Manutengo do Modelo de Governanga EDMO2 - Garantir a Realizac&o de Beneficios EDMO3 - Garantir a Otimizaggo do Risco EDMO04 - Garantir a Otimizacio de Recursos EDMOS - Garantir a Transparéncia para as partes interessadas Alinhar, Planejar e Organizar (APO) - Este dominio diz respeito a identificagéo de como a TI pode contribuir melhor com os objetivos de negécio. Processos especificos do dominio APO estdo relacionados com a estratégia e téticas de TI, arquitetura corporativa, inovagéo e Prof. Victor Dalton www.estrategiaconcursos.com.br 20de 91gerenciamento de portfélio, orgamento, qualidade, riscos e seguranca. Seus 13 processos sto: APOO4 - Gerenciar a Estrutura de Gestdo de TI APOO2 - Gerenciar a Estratégia APOO3 - Gerenciar a Arquitetura da Organizagao APOO4 - Gerenciar Inovacéo APOOS - Gerenciar Portfolio APOO6 ~ Gerenciar Orgamento e Custos APOO7 - Gerenciar Recursos Humanos APOOS - Gerenciar Relacionamentos APOO9 - Gerenciar Contratos de Prestacdo de Servicos APO10 - Gerenciar Fornecedores APO11 - Gerenciar Qualidade APO12 ~ Gerenciar Riscos APO13 - Gerenciar Seguranga Construir, Adquirir e Implementar (BAI) - torna a estratégia de TI concreta, identificando os requisites para a TI e gerenciando 0 programa de investimentos em TI e projetos associados. Este dominio também enderega 0 gerenciamento da disponibilidade e capacidade; mudanca organizacional; gerenciamento de mudancas (TI); aceite e transicio; e gerenciamento de ativos, configuracéo e conhecimento. Possui 10 processos, a saber: BAIO4 ~ Gerenciar Programas e Projetos BAIO2 ~ Gerenciar Definicéo de Requisitos BAIO3 ~ Gerenciar Identificagéo e Desenvolvimento de Solugdes BAL04 ~ Gerenciar Disponibilidade e Capacidade BAIOS ~ Gerenciar Capacidade de Mudanga Organizacional BAIO6 ~ Gerenciar Mudangas BAIO7 ~ Gerenciar Aceitago e Transig&o da Mudanga BAIO8 - Gerenciar Conhecimento BAIO9 - Gerenciar Ativos BAI10 ~ Gerenciar Configuragao Entregar, Servigo e Suporte (DSS) - Este dominio se refere & entrega dos servigos de TI necessdrios para atender aos planos taticos e Prof. Victor Dalton www.estrategiaconcursos.com.br 2ide stPARA Ci ja 03 Vie estratégicos. O dominio inclui processos para gerenciar operacées, requisiges de servicos e incidentes, assim como o gerenciamento de problemas, continuidade, servigos de seguranga e controle de processos de negécio. Sao os seus seis processos: DSSO1 ~ Gerenciar Operacées DSSO2 ~ Gerenciar Solicitagdes e Incidentes de Servico DSSO3 - Gerenciar Problemas DSS04 - Gerenciar Continuidade DSSO5 - Gerenciar Servigos de Seguranga DSS06 - Gerenciar os Controles de Processos de Negécio Monitorar, Analisar e Avaliar (MEA) - monitora o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos. Contém 3 processos: MEAO1 - Monitorar, Analisar e Avaliar Desempenho e Conformidade MEAO2 - Monitorar, Analisar e Avaliar o Sistema de Controle Interno MEAO3 - Monitorar, Analisar e Avaliar Conformidade com Requisitos Externos. A figura abaixo mostra os 37 processos de governanca e gerenciamento, agrupados. Os detalhes a respeito de cada proceso esto na publicagio COBIT 5: Enabling Processes, mas faremos uma breve descrig&o de cada processo a seguir. Prof. Victor Dalton www.estrategiaconcursos.com.br 2de 91Peer ed Processos de Governanga Gorporativa de TI ‘ala, Dirge Moritorar Biagio es ron ves [os [es |e] fe fe] — Ce nd Cry ‘Modelo de Referdncia de Processor do COBI. Fonte: OBITS Prof. Vietor Dalton Www.estrategiaconcursos.com.br 23deo1fe 03 of Vit Avaliar, Dirigir e Monitorar — Processos de Governanca EDMO1 Garantir a Definigdo e Manutencao do Modelo de Governanca Analisa e articula os requisitos para a governanca corporativa de TI, coloca em pratica e mantém estruturas, principios, processos e praticas, com clareza de responsabilidades e autoridade para alcangar a miss&io, as metas e os objetivos da organizacao. EDMO2 Garantir a Realizacdo de Beneficios Otimiza a contribuicdo de valor para o negécio a partir dos processos de negécios, servicos e ativos de TI resultantes de investimentos realizados pela TI a custos aceitaveis. EDMO3, Garantir a Otimizacdo do Risco Garante que o apetite e tolerdncia a riscos da organizagdo sdo compreendidos, articulados e comunicados e que 0 risco ao valor da organizago relacionado ao uso de TI ¢ identificado e controlado. EDM04 Garantir a Otimizacao de Recursos Garante que as capacidades adequadas e suficientes relacionadas & TI (pessoas, processos e tecnologia) estdo disponiveis para apoiar os objetivos da organizacéo de forma eficaz a um custo timo. EDMO5 Garantir a Transparéncia para as partes interessadas Garante que a medicdio e relatérios de desempenho e conformidade da TI corporativa sejam transparentes para as partes interessadas aprovarem as metas, métricas e as acdes corretivas necessérias. Prof. Victor Dalton www.estrategiaconcursos.com.br Ade 91Alinhar, Planejar e Organizar__Processos de Gerenciamento APOO1 Gerenciar a Estrutura de Gestdo de TI Esclarece e mantém a misséo e visio da governanca de TI da organizagéio. Implementa e mantém mecanismos e autoridades para gerenciar a informago e o uso da TI na organizacao. APOO2 Gerenciar a Estratégia Fornece uma visdio holistica do negécio e ambiente de TI atual, a direc&o futura, e as iniciativas necessdrias para migrar para o ambiente futuro desejado. APOO3 Gerenciar a Arquitetura da Organizagdo Estabelece uma arquitetura comum qué consiste em processos de negécios, informacées, dados, aplicacao e tecnologia para realizar de forma eficaz e eficiente as estratégias de negécio e de TI por meio da ctiag&o de modelos e praticas-chave que descrevem arquitetura de linha de base. APOO4 Gerenciar Inovacao Mantém uma consciéncia de TI e tendéncias de servigos relacionados, identifica oportunidades de inovacao e planeja como se beneficiar da inovagéo em relacéo as necessidades do negécio. Influencia o planejamento estratégico e as decisdes de arquitetura corporativa. APOO5S Gerenciar Portfolio Executa 0 conjunto de orientacées estratégicas para os investimentos alinhados com a visdo de arquitetura corporativa e as caracteristicas desejadas do investimento e considerar as restrigdes de recursos e de orcamento. Avalia, prioriza programas e servicos, gerencia demanda dentro das restrigdes de recursos e de orcamento, com base no seu alinhamento com os objetivos estratégicos e risco. Move programas selecionados para 0 portfélio de servicos para execugao. Monitora o desempenho de todo 0 portfélio de servicos e programas, propondo os ajustes necessérios em resposta ao programa e desempenho do servigo ou mudanga de prioridades da organizacao. Prof. Victor Dalton www.estrategiaconcursos.com.br 25 de 91APOO6 Gerenciar Orcamento e Custos Administrar as atividades financeiras relacionadas a TI tantos nas fungdes de negécios e de TI, abrangendo orcamento, gerenciamento de custos e beneficios e priorizago dos gastos com o uso de praticas formais de orcamento e de um sistema justo e equitativo de alocacdo de custos para a organizacéio. APOO7 Gerenciar Recursos Humanos Fornece uma abordagem estruturada para garantir a estruturagao ideal, colocago, direitos de deciséo e as habilidades dos recursos humanos. Isso inclui a comunicacéo de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas. APOO8 Gerenciar Relacionamentos Gerencia 0 relacionamento entre o negécio e TI de uma maneira formal e transparente, que garanta foco na realizacéo de um objetivo comum. APOO9 Gerenciar Contratos de Prestacéo de Servicos Alinha servigos de TI e niveis de servigo com as necessidades e expectativas da organizacio, incluindo identificagao, especificacio, projeto, publicagéo, acordo, e acompanhamento de servicos de TI, niveis de servigo e indicadores de desempenho. APO10 Gerenciar Fornecedores Gerencia servicos relacionados a TI prestados por todos os tipos de fornecedores para atender as necessidades organizacionais, incluindo a selecéio de fornecedores, gest&o de relacionamentos, gesto de contratos e revisdo e monitoramento de desempenho de fornecedores para a efetividade e conformidade. APO11 Gerenciar Qualidade Define e comunica os requisitos de qualidade em todos os processos, os _procedimentos e os resultados das organizacdes, incluindo Prof. Victor Dalton www.estrategiaconcursos.com.br 26 de 91controles, monitoramento continuo, € o uso de praticas comprovadas e padrées na melhoria continua e esforcos de eficiéncia. APO12 Gerenciar Riscos Identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos niveis de tolerancia estabelecidos pela diretoria executiva da organizacao. APO13 Gerenciar Seguranga Define, opera e monitora um sistema para a gestéo de seguranca da informacéo. Construir, Adquirir e Implementar — Processos de Gerenciamento BAIO1 Gerenciar Programas e Projetos Gerenciar todos os programas e projetos do portfolio de investimentos em alinhamento com a estratégia da organizagdo e de forma coordenada. Inicia, planeja, controla e executa programas e projetos, e finaliza com uma revisdo pés-implementacao. BAIO2 Gerenciar Definigao de Requisitos Tdentifica solugdes e analisa os requisitos antes da aquisicao ou criagéo para assegurar que eles esto em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negécio, aplicagdes, informases/dados, infraestrutura e servicos. Coordena com as partes interessadas afetadas a revisio de opcées vidveis, incluindo custos e beneficios, anélise de risco e aprovacao de requisitos e solugdes propostas. BAIO3. Gerenciar Identificagao Desenvolvimento de Solugées Estabelece e mantém solugées identificadas em conformidade com os requisites da_organizagdo abrangendo design, desenvolvimento, Prof. Victor Dalton www.estrategiaconcursos.com.br 27 de 91‘aquisigdo/terceirizagdo € parcerias com fornecedores/vendedores. Gerencia configuragéo, teste de preparagao, testes, requisites de gestio e manutenggo dos processos de negécio, aplicacées, informagées/dados, infraestrutura e servicos. BAIO4 Gerenciar Disponibilidade e Capacidade Equilibra as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestag&o de servigos de baixo custo. Inclui a avaliag&o de capacidades atuais, a previsdo das necessidades futuras com base em requisitos de negécios, andlise de impactos nos negécios e avaliag&o de risco para planejar e implementar agdes para atender as necessidades identificadas. BAIO5 Capacidade de Mudanca Organizacional Maximiza a probabilidade de implementar com sucesso a mudanga organizacional sustentavel em toda a organizacéo de forma rapida e com risco reduzido, cobrindo 0 ciclo de vida completo da mudanga e todas as partes interessadas afetadas no negécio e TI. BAIO6 Gerenciar Mudancas Gerencia todas as mudancas de uma maneira controlada, incluindo mudancas de padrdo e de manuteng&o de emergéncia relacionadas com os processos de negécio, aplicacdes e infraestrutura. Isto inclui os padrdes de mudanca e procedimentos, avaliagéo de impacto, priorizagio e~—autorizagéo, — mudangas._~—_—emergenciais, acompanhamento, elaboracéio de relatérios, encerramento e documentacao. BAIO7 Gerenciar Aceitagdo e Transiggo da Mudanca ‘Aceita € produz formalmente novas solugées operacionais, incluindo planejamento de implementacao do sistema, e conversdio de dados, testes de aceitago, comunicagao, preparagao de liberac&io, promog&o para produgao de processos de negécios e servicos de TI novos ou alterados, suporte de producao e uma revisdo pés-implementacao. Prof. Victor Dalton www.estrategiaconcursos.com.br 28de 91BAIO8 Gerenciar Conhecimento Mantém a disponibilidade de conhecimento relevante, atual, validado e confidvel para suportar todas as atividades do processo e facilitar a tomada de decisio. Plano para a identificacdo, coleta, organizacéo, manutencéo, utilizagao e retirada de conhecimento. BAIO9 Gerenciar Ativos Gerencia os ativos de TI através de seu ciclo de vida para assegurar que seu uso agrega valor a um custo ideal. Os ativos permanecem operacionais e fisicamente protegidos e aqueles que so fundamentais para apoiar a capacidade de servigo sao confidveis e disponiveis. BAI10 Gerenciar Configuracao Define e mantém as descrigdes e as relagdes entre os principais recursos e as capacidades necessarias para prestar servicos de TI, incluindo a coleta de informagées de configuracao, o estabelecimento de linhas de base, verificagéo e auditoria de informagdes de configuracao e atualizar o repositério de configuracao. Entregar, Servico e Suporte - Processos de Geren: Dsso1 Gerenciar Operacées Coordena e€ executa as atividades e procedimentos operacionais necessérios para entregar servicos de TI internos e terceirizados, incluindo a execugdo de procedimentos operacionais, padrées pré- definidos e as atividades exigidas. Prof. Victor Dalton www.estrategiaconcursos.com.br 29de91Dsso2 Gerenciar Solicitagées e Incidentes de Servico Fornecer uma resposta répida e eficaz as solicitagdes dos usuarios € resolugdio de todos os tipos de incidentes. Restaurar o servico normal; recorde e atender as solicitages dos usudrios e registro, investigar, diagnosticar, escalar e solucionar incidentes. Dsso3 Gerenciar Problemas Identifica e classifica os problemas e suas causas-raizes e fornece resolugo para prevenir incidentes __recorrentes. _Fornece recomendacdes de melhorias. Dsso4 Gerenciar Continuidade Estabelece e mantém um plano para permitir o negécio e TI responder a incidentes e interrupcées, a fim de continuar a operagéo de processos criticos de negécios e servicos de TI necessérios e mantém ‘a disponibilidade de informacdes em um nivel aceitével para a organizacao. Dsso5 Gerenciar Servicos de Seguranca Protege informages da organizagéo para manter o nivel de risco aceitdvel para a seguranca da informagao da organizagio, de acordo com a politica de seguranca. Estabelece e mantém as fungées de seguranca da informacéo e privilégios de acesso e realiza o monitoramento de seguranga. Dsso6 Gerenciar os Controles de Processos de Negécio Define e mantém controles de proceso de negécio apropriados para assegurar que as informagées relacionadas e processadas satisfazem todos os requisitos de controle de informacées relevantes. Monitorar, Avaliar e Analisar — Processos de Gerenciamento Prof. Victor Dalton www.estrategiaconcursos.com.br 30de 91MEAO1 Monitorar, Analisar e Avaliar Desempenho e Conformidade Coleta, valida e avalia os objetivos e métricas do processo de negécios, e de TI. Monitora se os processos esto realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informagdo que € sistematica e oportuna. MEAO2 Monitorar, Analisar e Avaliar o Sistema de Controle Interno Monitora e avalia continuamente o ambiente de controle, incluindo auto avaliages € andlises de avaliagdes independentes. Permite o gerenciamento de identificar deficiéncias de controle e ineficiéncias e iniciar agdes de melhoria. MEAO3, Monitorar, Analisar_e Avaliar Conformidade com Requisitos Externos ‘Avalia se processos de TI e processos de negocios suportados pela TI estéo em conformidade com as leis, regulamentos e exigéncias contratuais. Obtém a garantia de que os requisitos foram identificados e respeitados, e integra-los & conformidade com o cumprimento global da organizacao. Prof. Victor Dalton www.estrategiaconcursos.com.br Bide 911.6 Modelo de capacidade do COBIT 5 © COBIT 5 apresenta um modelo para a avaliagao da capacidade dos processos de TI da organizac&o, baseado na norma internacionalmente reconhecida ISO/IEC 15504 de Engenharia de Software. Se Cert cy Incomplete Ce Predictable | Oe ee foo col Gey oe p | 5 ed Cotes (Modelo de Capacidade de Processos do COBIT. Fonte: COBITS Existem seis niveis de capacidade que um processo pode alcancar, incluindo um “processo incompleto” - nivel 0, para processos que no alcangam o seu propésito: Nivel 0 - Processo Incompleto: 0 processo nao esta implementado ou nao atinge seu objetivo. Nesse nivel, hd pouca ou nenhuma evidéncia de realizaco sistematica do propésito do processo. Nivel 1 - Processo Realizado: 0 processo esté implementado e atinge seu propésito. Nivel 2 - Processo Gerenciado: o processo previamente descrito como realizado agora é implementado de forma gerenciada (planejado, Prof. Victor Dalton www.estrategiaconcursos.com.br 32de 91.monitorado € ajustado) e seus produtos de trabalho estéo devidamente estabelecidos, controlades e mantides. Nivel 3 - Processo Estabelecido: o processo previamente descrito como gerenciado agora é implementado usando um processo definido que € capaz de alcancar os seus resultados de processo. Nivel 4 - Processo Previsivel: o processo previamente descrito como estabelecido agora opera dentro de limites definidos para alcangar seus resultados de processo. Nivel 5 - Processo Em Otimizag&o: o processo previamente descrito como previsivel é continuamente melhorado para atender aos objetivos de negécio. Interessante destacar que s6 se pode alcancar um nivel de capacidade quando o nivel anterior houver sido totalmente alcancado. Outra ressalva interessante, feita pelo préprio framework, é 0 fato de, embora a escala ser de 0 a5, alcangar o nivel 1 é uma importante conquista para a organizacao, uma vez que ja implica em uma execugdo com éxito do processo, e que a empresa esta obtendo os resultados desejados com ele. Repare, ainda na figura anterior, que cada nivel de capacidade possui atributos de processo. Atributos de processo determinam se um processo alcangou um determinado nivel de capacidade, medindo um aspecto particular da capacidade de um processo. Cada nivel de capacidade de processo possui um conjunto de atributos de processo que devem ser avaliados para o alcance do nivel em questao. Os atributos de processo sao: * PA1.1 - Performance de Processo + PA2.1 - Gerenciamento de Performance * PA2.2 - Gerenciamento de Produto de Trabalho * PA3.1 - Definigéo de Processo + PA3.2 - Desenvolvimento de Processo * PA4.1 - Gerenciamento de Processo * PA4.2 - Controle de Processo + PAS.1 - Inovacao de Proceso * PAS.2 - Otimizagao de Proceso Prof. Victor Dalton www.estrategiaconcursos.com.br 33de91Para avaliar os atributos de processo, utiliza-se uma escala oriunda da ISO/IEC 15504, na qual: N (nao alcangado): ha pouca ou nenhuma evidéncia de realizagdo do atributo de processo no proceso avaliado (0% a 15% de realizagao). P (parcialmente alcancado): ha alguma evidéncia de realizagao do atributo de processo no processo avaliado. Alguns aspectos da realizagao do atributo podem ser imprevisiveis (15% a 50% de realizacao). L (largamente alcangado): ha evidéncia de uma realizado significativa do atributo de processo no processo avaliado. Algumas fraquezas relacionadas a este atributo podem existir no processo avaliado (50% a 85% de realizac&io). F (totalmente alcangado): ha evidéncia de uma realizago completa do atributo de processo no processo avaliado. Nao ha deficiéncias significativas associadas a este atributo no proceso avaliado (85% a 100% de realizacio). 1.7. Ciclo de vida de Implementacdo do COBIT 5 0 Ciclo de Vida da Implementag&o do COBIT 5 apresenta uma forma das organizagdes usarem o COBIT para tratar da complexidade e os desafios geralmente encontrados durante as implementagdes. Os trés componentes inter-relacionados do ciclo de vida so: 1. Ciclo de vida principal de melhoria continua - Este ndo é um projeto isolado. 2. Capacitagaéo da mudanga - Abordagem dos aspectos comportamentais e culturais 3, Gest&o do programa Prof. Victor Dalton www.estrategiaconcursos.com.br 34de91‘ Gestao do programa {ane externa) ‘= Capacitagao da Mudanga (anelintermediaro) © Ciclo de vida de melhoria continua (anel interno) int 49, ue precisa sertet® A 12 Fase inicia com o reconhecimento e aceitac&o da necessidade de uma implementacao ou iniciativa de implementacéo. Ela identifica os atuais pontos fracos e desencadeadores e cria vontade de mudanca nos niveis de gestdo executiva. A 28 Fase é focada na definigéo do escopo da implementacéio ou da iniciativa de implementacéo usando 0 mapeamento dos objetivos corporativos do COBIT em objetivos de TI e nos respectivos processos de TI, € considerando também como os cenérios de risco poderiam destacar quais os principais processos que se deve concentrar. Diagnésticos de alto nivel também podem ser Uteis para definir 0 escopo e compreender as reas com alta prioridade que se deve concentrar. Uma avaliagao do estado atual é ent&o realizada, e os problemas ou deficiéncias so identificados realizando-se uma avaliagéo da capacidade do processo. Iniciativas em larga escala devem ser estruturadas como miltiplas interacdes do ciclo de vida - para qualquer iniciativa de implementagao superior a seis meses ha um risco de perda da dindmica, foco e adesdo das partes interessadas. Durante a 34 Fase, uma meta de melhoria é definida, seguida por uma anélise mais detalhada, que alavanca a orientacéo do COBIT, a fim de identificar falhas e possiveis solucdes. Algumas solugdes podem apresentar resultados rapidos enquanto outras poderdo exigir atividades mais desafiadoras em um prazo maior. Deve ser dada prioridade as iniciativas Prof. Victor Dalton www.estrategiaconcursos.com.br 35de 91mais faceis de alcangar e que provavelmente produziréo os melhores beneficios. Na 48 Fase, planejam-se solucées praticas através da definigdo de projetos apoiados por estudos de casos justificaveis. Um plano de mudanca para a implementacao também € desenvolvido nesta fase. Um estudo de caso bem desenvolvido ajuda a garantir que os beneficios do projeto sejam identificados e monitorados. As solugdes propostas s&o implementadas na forma de praticas didrias na 5 Fase. Medicdes podem ser definidas e o monitoramento estabelecido com o uso das metas e indicadores do COBIT para garantir que o alinhamento da organizac&o seja atingido e mantido e o desempenho possa ser medido. O sucesso exige demonstragao de envolvimento e empenho pela alta administragao, bem como a responsabilidade dos envolvidos das areas de TI e de administracao. A 6 Fase concentra-se na operacio sustentavel dos habilitadores noves ou aperfeigoados e no monitoramento do atingimento dos beneficios esperados. Por fim, na 78 Fase, o sucesso da iniciativa como um todo é analisado, novos requisitos para a governanga ou gestao de TI da organizagao séo identificados e a necessidade de melhoria continua é reforgada. Com 0 tempo, o ciclo de vida deve ser seguido de forma interativa paralelamente a criacéio de uma abordagem sustentavel para a governanga € gest&o de TI da organizacéo. Enfi = an cinai: tos do COBIT 5. Com b - = @ je _folb ft ili: Prof. Victor Dalton www.estrategiaconcursos.com.br 36 de 91Iso 38500 2. ISO 38500 A norma ISO 38500 tem por objetivo fornecer uma estrutura de principios para os dirigentes (proprietérios, membros de conselhos de administrag3o, diretores, parceiros, executivos séniores e outros) utilizarem na avaliacéo, direc’o e monitoramento do uso da TI em suas organizacées. Esta norma é aplicavel a todas as organizagées, publicas e privadas, com ou sem fins lucrativos, de qualquer tamanho, independentemente da extensdo de seus usos de TI. Seu objetivo é promover o uso eficaz, eficiente ¢ aceitavel da TI para: * Garantir aos stakeholders confiabilidade na governanga corporativa da TI na organizacao; * Informar e orientar os dirigentes quanto ao uso da TI nas organizacées; * Fornecer uma base para uma avaliagdo objetiva da governanga corporativa de TI. © COBIT 5 adota toda a norma ISO 38500 no dominio EDM - Avaliar, Dirigir e Monitorar. 2.1 Estrutura da norma A norma é norteada por seis princfpios que regem a boa governanca de TI: Principio 1 —- RESPONSABILIDADE Individuos e grupos dentro da organizagéo compreendem e aceitam suas responsabilidades com respeito ao fornecimento e & demanda de TI. Prof. Victor Dalton www.estrategiaconcursos.com.br 37 de 91Aqueles responsaveis pelas agées também tém autoridade para desempenhar tais acdes. A Estratégia de negécio da organizagio considera as capacidades atuais e futuras da TI. Os planos estratégicos de TI contemplam as necessidades atuais e continuas do negécio. Muito similar ao conceito de “alinhamento estratégico”. Principio 3 = AQUISICAO As aquisig6es de TI so realizadas por motivos vélidos, com base em anélises apropriadas, com tomada de deciséo clara e transparente. Beneficios, oportunidades, custos e riscos so equilibrados no curto, médio e longo prazo. Principio 4 - DESEMPENHO A TI € adequada as necessidades da organizagao, capaz de fornecer servigos com a qualidade necesséria para atender aos requisitos atuais e futuros da organizaco. Principio 5 - CONFORMIDADE A TI esta alinhada as legislagées e marcos regulatérios. Politicas e praticas so definidas, implementadas e fiscalizadas. Principio 6 - COMPORTAMENTO HUMANO As politicas, praticas e decisées de TI respeitam 0 comportamento humano, considerando as necessidades atuais e futuras de todas as pessoas envolvidas nos processos. Prof. Victor Dalton www.estrategiaconcursos.com.br 38de912.2 Modelo A norma preconiza que os dirigentes governem a TI por meio de trés tarefas essenciais (EDM): * Avaliar o uso atual ¢ futuro da TI (Evaluate); © Dirigir (orientar) a preparacao € a implementagao de planos e politicas para assegurar que a TI atenda aos objetivos do negécio (Direct); * Monitorar o cumprimento destas politicas em relacéo aos planos. Figure 1—ISO/IEC 38500:2008 Model for Corporate Governance of IT Business Business Pressures Corporate Needs ~ Governance of IT ‘onformance Proposals SS Performance LE Business Processes — > ‘Source: International Organization for Standardization (ISO), ISO/IEC 38500:2008, Corporate ‘governance of information technology, Switzeriand, 2008 Prof. Victor Dalton www.estrategiaconcursos.com.br 39de911231 CAIU na prova! (FC — TRT/20 - Tecnologia da Informagao - 2016) Considere, por hipétese, que as seguintes tarefas relacionadas a Tecnologia da Informacao esto sendo consideradas no Tribunal Regional do Trabalho: I. Avaliar o uso atual e futuro da Tecnologia da Informacao. IL. Orientar a preparac&o e a implementacdo de planos e politicas para assegurar que 0 uso da Tecnologia da Informacéio atenda aos objetivos do negocio. III. Monitorar 0 cumprimento das politicas e o desempenho em relacéio aos planos. IV. Coordenar a implantag&o de um modelo de boas préticas de esto em todas as instancias da organizacao. Esto de acordo com o conjunto de tarefas definidas pela norma NBR ISO/IEC 38500:2009, que estabelece um modelo para Governanca corporativa de TI, APENAS os itens (A) Ile I. (B) Ie lv. (C)I, elm. (D)Telv. (E)lell. ‘A norma preconiza que os dirigentes governem a TI por meio de trés tarefas essenciais (EDM): * Avaliar o uso atual e futuro da TI (Evaluate); * Dirigir (orientar) a preparacdo e a implementacéo de planos e politicas para assegurar que a TI atenda aos objetivos do negécio (Direct); * Monitorar o cumprimento destas politicas em relagdo aos planos. Resposta certa, alternativa c). Prof. Victor Dalton www.estrategiaconcursos.com.br 40 de 912.3 Tabela Principios X Ciclo EDM A norma mapeia cada principio dentro do ciclo EDM. Confira: conformidade. Principio Avaliar Dirigir Monitorar Responsabilidade | Opcées de[Exigir que os | Que aqueles que delegacéo de | planos_—sejam | receberam responsabilidades. | cumpridos, de | responsabilidades acordo com as|as reconhecam e responsabilidades | as compreendam. delegadas. Estratégia ° A preparacao dos|O progresso das desenvolvimento | planos e politicas. | propostas. Se os em TI, os riscos ¢ beneficios esto © alinhamento sendo estratégico. alcangados. ‘Aquisicao Opsées de | Orientar a | Os investimentos fornecimento da | aquisicao de oT. A TL apropriada. compreenséo miitua dos objetivos da aquisigao. Desempenho Eficacia. eo | Assegurar ‘a | Até que ponto a desempenho — do | alocacao de] TI suporta 0 sistema de | recursos negocio. Governanga de TI| suficientes. da organizacao. Conformidade | Até que pontoa TI|Exigir que a TI|O cumprimento e cumpre com as|atenda a tais|a conformidade obrigacdes de | obrigacdes. de TI por meio de relatos apropriados =e praticas de auditoria. ‘Comportamento Humano As atividades de TI, de modo que os comportamentos humanos — sejam mapeados e considerados, Exigir que as atividades de TI sejam compativeis com as diferencas de comportamento humano. As atividades de TI para que os comportamentos humanos permanecam relevantes, e com a devida atencao. Prof. Victor Dalton www.estrategiaconcursos.com.br Alde ot2.4 Beneficios Se usada, a norma assegura que os dirigentes poderao avaliar os riscos da TI para o negécio, e aproveitar as oportunidades que a TI pode oferecer. Ainda, colaboraré para que os dirigentes cumpram as obrigagdes legais e regulamentares, além de permitir que a TI contribua positivamente para © bom desempenho da organizacao. Prof. Victor Dalton www.estrategiaconcursos.com.br Ade 91Gad sishican EXERCICIOS COMENTADOS COBIT 5 1,(FCC — Prefeitura de Teresina - Analista de Negécios - 2016) O COBIT 5 possui alguns dominios, os quais comportam diversos processos. Em particular, 0 processo (A) Gerenciar Configuragéio faz parte do dominio Alinhar, Planejar e Organizar. (B) Gerenciar Qualidade faz parte do dominio Alinhar, Planejar e Organizar. (C) Gerenciar Mudangas faz parte do dominio Entregar, Servigos e Suporte. (D) Gerenciar Continuidade faz parte do dominio Monitorar, Avaliar e Analisar. (E) Gerenciar Relacionamentos faz parte do dominio Construir, Adquirir e Implementar. Analisando os itens: (A) Gerenciar Configuracgao faz parte do dominio Construir, Adquirir e Implementar. (B) Gerenciar Qualidade faz parte do dominio Alinhar, Planejar e Organizar. Correto! (C) Gerenciar Mudangas faz parte do dominio Construir, Adquirir e Implementar. (D) Gerenciar Continuidade faz parte do dominio Entregar, Servico e Suporte. (E) Gerenciar Relacionamentos faz parte do dominio Alinhar, Planejar e Organizar. Prof. Vietor Dalton www.estrategiaconcursos.com.br 43de9LResposta certa, alternativa b). 2. (FCC - Prefeitura de Teresina - Analista de Negécios - 2016) O COBIT 5 define um ciclo de implementagao representado por um circulo com 3 anéis, denominados externo, intermedidrio e interno, correspondentes respectivamente as atividades de (A) Capacitagdo de Mudanga, Gestéio do Programa e Ciclo de Vida de Melhoria Continua. (B) Ciclo de Vida de Melhoria Continua, Gestéo do Programa e Capacitacao de Mudanca. (C) Gest& do Programa, Ciclo de Vida de Melhoria Continua e Capacitacéio de Mudanca. (D) Gest&o do Programa, Capacitac&o de Mudanca e Ciclo de Vida de Melhoria Continua. (E) Ciclo de Vida de Melhoria Continua, Capacitacéo de Mudanca e Gestdo do Programa. 0 Ciclo de Vida da Implementag&o do COBIT 5 apresenta uma forma das organizagdes usarem o COBIT para tratar da complexidade e os desafios geralmente encontrados durante as implementacdes. Os trés componentes inter-relacionados do ciclo de vida séo: 1, Ciclo de vida principal de melhoria continua - Este ndo é um projeto isolado. 2. Capacitagéo da mudanga - Abordagem dos aspectos comportamentais e culturais 3. Gestdo do programa Prof. Victor Dalton www.estrategiaconcursos.com.br 44de 91« Gestao do programa {ane externa) ‘= Capacitagao da Mudanga (anelintermediaro) © Ciclo de vida de melhoria continua (anel interno) 4 que precisa setts Resposta certa, alternativa d). 3, (FCC - TRT/23? Regido - Analista Judiciario - Tecnologia da Informag&o - 2016) Conforme sugerido pelo COBIT 5, os dois objetivos de TI, relacionados de forma priméria ou secundaria ao seu Processo Gerenciar Fornecedores, so: (A) Conhecimento, expertise e iniciativas para inovacao dos negécios; Equipes de TI e de negocios motivadas e qualificadas. (B) Prestacéo de servigos de TI em consonancia com os requisitos de negécio; Conhecimento, expertise e iniciativas para inovag&o dos negécios. (C) Alinhamento da estratégia de TI e de negécios; Capacitacéo e apoio aos processos de negécio através da integragdo de aplicativos e tecnologia nos processos de negécio. (D) Equipes de TI e de negécios motivadas e qualificadas; Capacitagao e apoio aos processos de negécio através da integragao de aplicativos e tecnologia nos processos de negécio. Prof. Victor Dalton www.estrategiaconcursos.com.br 45 de 91(E) Capacitagéo e apoio aos processos de negécio através da integrac&o de aplicativos e tecnologia nos processos de negécio; Prestacdo de servigos de TI em consondncia com os requisites de negécio. Esta questéo é bizarramente dificil, pois envolve, em tese, decorar a tabela de processos e os objetivos de TI, e o pior: saber quais objetivos so primarios e quais séo secundarios: obletves de a(t als 5 alg : SJE | de fale js (sled [ge |2 la] [8 IEEE | Is [E12 = |e|P2 [2 |2 |z]z [2 sleels fale |s]2 2 lelee (ee [2 lee |e alecle [ete [al E delee 22 2 FE e/sel= [ale [ele selslk2 dee |2 [2/8 Je gl2ale [als | els Seleles de eal Sgle g feels 12a) eleelSe| Peles de ages iehe UE a slee| ole] ile Hes) leselisdecas siite |e 5/5 eles] ales] 2/22] 22/86 gales dese]? S| Ele ete 2 E/E SES) 5/2 =] £]s 2] 5 S/E/S 8) E22 22 Bas le]Sale F Lees eleal lege ceeelee des Seslile aes al 2 3 Jos} o7 | os fool 0 [| az | ts [va Ls] w Lo Fam aT foment ‘eee = mc prot rectors Com “P" para “primario” e "S” de “secundario”. E impossivel decorar isso. Sabendo que “Alinhamento da Estratégia de TI e de negécios", “Compromisso da Geréncia executiva com a tomada de decisdes de TI", “Capacitag&o e apoio aos processos de negécio através da integracao de aplicativos e tecnologia nos processos de negécio” e “Equipes de TI e de negécios motivadas e qualificadas” so os objetivos que nao esto relacionados ao proceso, apenas a alternativa b) pode ser marcada. “Mas, professor, 0 que eu faco quando aparece uma questéio dessas na prova?” Bem, 0 caminho para acertar a questdo é utilizar muito bom senso, para tentar adivinhar quais objetivos ndo estariam conectados ao processo Gerenciar Fornecedores. Prof. Victor Dalton www.estrategiaconcursos.com.br 46 de 91a LA. Como fornecedores so elementos externos a organizacdo, pode ficar mais facil, por exemplo, perceber que “Alinhamento da Estratégia de TI e de negécios” e “Compromisso da Geréncia executiva com a tomada de decisées de TI’, por exemplo, néo estejam ligados a esse processo. Ajudaria a eliminar algumas alternativas... 4, (FCC - COPERGAS/PE - Analista - Tecnologia da Informacao = 2016) O modelo de referéncia de processo do COBIT 5 divide os processos de TI da organizacao em dois dominios de processo principais (I e II), conforme mostra a figura abaixo. Uma organizacéio como a Copergas pode organizar seus processos conforme julgar conveniente, desde que todos os objetivos necessdrios sejam cobertos. Necessidades do Negdcio Ec Feedback fax 7 Ea—C 1} =} | Na figura, as lacunas I, II, III e IV sao, correta e respectivamente, preenchidas com (A) Gesto ~ Governanga - Construir(BAl) - Entregar (BSS) (B) Governanga - Gestao = Construir (BAI) - Entregar (BSS) (C) Ciclode vida - Boas Préticas - Avaliar(EDM) - Executar (RBM) (D) Boas Praticas - Ciclode vida - Executar(RBM) - Avaliar (EDM) (E) Gestao - Governanga - Executar(RBM) - Entregar (BSS) Essa é uma imagem classica do COBIT 5, e espero que vocé tenha facilidade em perceber que: Prof. Victor Dalton www.estrategiaconcursos.com.br 47 de 91I - reune os processos de Governanga (0 que ja é suficiente para marcar a alternativa certa; II - processos de Gestdo; III - Construir, Adquirir e Implementar (BAI);e IV - Entregar, Servico e Suporte (BSS). Resposta certa, alternativa b). 5.(CESPE - TCE/SC - Auditor - Informatica - 2016) Devido ao fato de a informacéo ser um ativo e um habilitador, ela é tratada apenas no processo governansa. A informag&o é um habilitador e um recurso, portanto, ela deve tanto ser governada como gerenciada. Errado! 6. (CESPE - TCE/SC - Auditor - Informatica - 2016) 0 COBIT 5 prové um modelo de auditoria organizado no processo gestdo, o qual visa garantir que as necessidades e condigées observadas na auditoria sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados. © COBIT 5 prevé controles de auditoria no Dominio de Processo Monitorar, Avaliar e Analisar (MEA), que é um dominio de gerenciamento, e ndo de governanga. Errado! 7.(CESPE - FUNPRESP/EXE - Especialista - Tecnologia da Informagio - 2016) 0 COBIT 5 alinha-se, em alto nivel, a outros padrdes e modelos importantes de gestéo e governanga de TI, servindo, portanto, como um modelo unico integrado. OCOBIT 5 foi desenvolvido, considerando uma série de outros padrées e modelos de referéncia, como a ITIL, ISOs 20000, 27000, 31000, 38500 TOGAF, CMMI, PRINCE2 e PMBOK. Correto. Prof. Victor Dalton www.estrategiaconcursos.com.br Bde 918.(CESPE - FUNPRESP/EXE - Especialista - Tecnologia da Informag&o - 2016) 0 processo “garantir a definigéo e manutengao do modelo de governanca” visa fornecer uma abordagem que garanta a realizag&o das decisées de TI conforme as estratégias e os objetivos da empresa. Este é 0 proceso EDM1, que analisa e articula os requisitos para a governanga corporativa de TI, coloca em pratica e mantém estruturas, principios, processos e praticas, com clareza de responsabilidades ¢ autoridade para alcangar a miss&o, as metas € os objetivos da organizacéo. Correto. 9.(CESPE - TCE/PA - Auxiliar Técnico de Controle Externo - Informatica - 2016) No COBIT 5, as atividades da gestéo e da governanga s&o diferenciadas, visto que encontram-se em niveis e dominios distintos; para nao haver superposic&o e sombreamento dos objetivos, 0 modelo restringe a ocorréncia de interac&o entre as atividades desses dominios. Para o COBIT 5, uma série de interac6es é exigida entre a governanca e a gestdo a fim de resultar um eficiente e eficaz sistema de governanca. Inclusive, 0 COBIT 5 explica, em alto nivel, como tais interagdes ocorrem para cada habilitador: Habilitador Interagdo Governanca e Gestao Processos O modelo de processo do COBIT 5 faz uma distingo entre processos de governanca e de gest&o, inclusive com conjuntos especificos de praticas e atividades de cada um. Informagao ‘0 modelo de processo descreve entradas e saidas das diferentes praticas do processo para outros processos, inclusive as informacées trocadas entre os processos de governanca e de gestao. Prof. Victor Dalton www.estrategiaconcursos.com.br 49 de 91Estruturas Pelo fato da governanca definir a orientacao, ha organizacionais —_| uma interacdo entre as decisdes tomadas pelas estruturas de governanca e as decisées e operagdes que implementam as primeiras. Principios, politicas | Principios, politicas © modelos sao os verculos pelo © modelos qual as decisdes de governanga sao institucionalizadas na organizacdo, e por esse motivo constituem uma interagdo entre as decisdes de governanca (definig&o da orientacao) e a gest&o (execugéo das decisées). Cultura, ética | e]O comportamento também é um habilitador comportamento —_|essencial da boa governanca e gestio da organizagéo. Ele fica no topo - liderando por exemplos - e é, portanto, uma_ interagao importante entre a governanga e a gestdo. Pessoas, As atividades de governanga e gestado requerem habilidades | conjuntos de habilidades diferentes, mas uma competéncias habilidade essencial para os membros do érgao de governanca e de gestao é entender as duas tarefas e como elas se diferencia. Servicos, ‘Servigos so necessdrios, apoiados por aplicativos infraestrutura e |e infraestrutura que proporcionem ao érgao de aplicativos governanga informagées adequadas e apoio as seguintes atividades da governanca: avaliagéo, definig&o da orientacao e monitoramento. Errado! 10.(FCC - CNMP - Analista - Infraestrutura - 2015) 0 COBIT 5 baseia-se em cinco principios basicos para governanga e gestiio de TI da organizag&o, que s&o: 1o Principio: Atender 4s Necessidades das Partes Interessadas 20 Principio: Cobrir a Organizag&o de Ponta a Ponta 30 Princip Prof. Victor Dalton www.estrategiaconcursos.com.br 50 de 914o Principio: 50 Principio: Distinguir a Governanga da Gestao Preenche, correta e respectivamente, as lacunas referentes aos 30 € 40 Principios: (A) Permitir uma Abordagem Holistica — Otimizar o custo da tecnologia e dos servicos de TI (B) Otimizar o custo da tecnologia e dos servicos de TI — Agregar valor ao negécio a partir dos investimentos em TI (C) Manter informagdes de alta qualidade para apoiar decisdes corporativas — Manter o risco de TI em um nivel aceitavel (D) Aplicar um Modelo Unico Integrado — Permitir uma Abordagem Holistica (E) Aplicar um Modelo Unico Integrado — Otimizar o custo da tecnologia e dos servicos de TI Simples decoreba dos cinco principios do COBIT 5. Resposta certa, alternativa d). 11.(FCC - CNMP - Analista - Infraestrutura - 2015) Considere as seguintes definigdes estabelecidas no COBIT 5: I. Garantia de que as necessidades, condigdes e opgdes das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados, definindo a diresdo através de priorizaces e tomadas de deciséio, e monitorando 0 desempenho e a conformidade com a diregdo e os objetivos estabelecidos. Il. Responsavel pelo planejamento, desenvolvimento, execugdo e monitoramento das atividades em consonancia com a diresao definida pelo 6rg&o de governanca a fim de atingir os objetivos corporativos. IIL. Recursos organizacionais da governanga, tais como modelos, principios, processos e praticas, por meio dos quais a ago é orientada e os. objetivos podem ser alcancados. Também incluem os recursos da organizac&o — por exemplo, capacidades do servico (infraestrutura de TI, Prof. Victor Dalton www.estrategiaconcursos.com.br Side 91aplicativos, etc.), pessoas e informagdes. Sua falta poderé afetar a capacidade da organizac&o na criac&o de valor. Devido a sua importancia, © COBIT 5 inclui uma forma unica de olhar e lidar com eles. Estdo, correta e respectivamente, definidos em I, II e III: (A) governanca — gest&o — habilitadores de governanca (B) governanga - planejamento estratégico - recursos organizacionais (C) gest&o — planejamento estratégico — habilitadores de gestéo (D) gestdio — governanga — facilitadores de gestao (E) planejamento estratégico — governanga — facilitadores de governanca Os itens Le II descrevem, respectivamente, a governanca e a gestao (ou gerenciamento). O item III cita os enablers, traduzidos pela banca como habilitadores de governang: Resposta certa, alternativa a). 12.(FCC - CNMP - Analista - Desenvolvimento - 2015) O COBIT 5 estabelece que as organizacées tém muitas partes interessadas e “criar valor” pode significar coisas diferentes e, por vezes, conflitantes para cada uma delas. Governanga esta relacionada com negociar e decidir entre os interesses de valor das diferentes partes interessadas. Por consequéncia, 0 sistema de governanga deve considerar todas as partes interessadas ao tomar decisées sobre a avaliaggo. Com respeito ao enunciado acima, considere a seguinte figura do CoBIT 5: Prof. Victor Dalton www.estrategiaconcursos.com.br 52de91Necessidades das Partes Interessadas Objetivo da Governanca: Cria¢do de Valor Le] Ce) Ge Na figura acima, I, II e III representam 0 que o COBIT 5 estabelece com respeito a criag&o de valor para as partes interessadas. Trata-se de (A) Realizac&io de Beneficios - Otimizacao do Risco - Otimizagéo dos Recursos (B) Otimizag&o dos Riscos - Otimizacéo dos Recursos - Melhoria na Comercializagao (C) Melhoria da Capabilidade dos Processos - Mitigago dos Riscos - Terceirizagao dos Recursos (D) Otimizag&o dos Processos - Contenc&o de Custo - Metodologia de Viabilidade dos Processos (E) Realizacao de Beneficios - Terceirizaco dos Recursos - Melhoria na Comercializao Para criar valor, a governanca deve realizar beneficios, otimizar 0 risco e otimizar os recursos, segundo 0 COBIT 5. Isso sera realizado por meio da cascata de metas (ou cascata de objetivos). Resposta certa, alternativa a). Prof. Victor Dalton www.estrategiaconcursos.com.br 53de9113.(CESPE - TCU - Auditor - Tecnologia da Informac&o - 2015) Partes interessadas, cultura, ética, comportamento das pessoas e comportamento da organizacao sao categorias de habilitadores no COBIT 5. Os setes habilitadores so: Principios, politicas e frameworks; Processos; Estruturas organizacionais; Cultura, ética e comportamento; Informacio; Servicos, infraestrutura e aplicativos; e Pessoas, habilidades e competéncias. Errado! 14, (CESPE - TCU - Auditor - Tecnologia da Informacao - 2015) Diferentemente da governanga, a gesto corresponde ao planejamento, ao desenvolvimento, 4 execugdo e ao monitoramento das atividades em consonancia com a direc3o definida, a fim de atingir-se os objetivos corporativos. No quinto principio do COBIT 5, gestéo é sinénimo de “gerenciamento”, que possui um viés mais operacional do que a “governanga”. Correto. 15. (CESPE - MPOG - Analista de Tecnologia da Informacao - 2015) Gerenciar controles do processo de negécio — do dominio chamado de monitorar, avaliar e medir — é um processo de gest&o que tem como prética monitorar e avaliar o ambiente tecnolégico alinhado ao direcionamento holistico da gestéo da organizacao. Gerenciar controles do processo de negécio (DSS06) pertence ao dominio Entregar, Servico e Suporte. Errado! 16.(CESPE - MPOG - Analista de Tecnologia da Informacio - 2015) 0 processo de governanga denominado gerenciar a estrutura de gestdo da TI visa fornecer uma visdo holistica do ambiente de negécio da Prof. Victor Dalton www.estrategiaconcursos.com.br 54de91