Governança corporativa de TI_Unidade V

Prévia do material em texto

68
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
Unidade V
5 PROCESSOS DE GOVERNANÇA E GESTÃO DE TI – COBIT 5
Para se garantir o bom desempenho do modelo proposto, é necessária a implementação de processos 
bem definidos, pois são eles que auxiliam na boa execução das atividades diárias da organização. Eles 
são a seta que direciona qual o caminho deve ser seguido, qual a melhor forma de se realizar tal prática 
e quais os pontos que merecem mais atenção. O processo não visa engessar a rotina diária, e sim facilitar 
o trabalho, direcionar da melhor forma, o passo a passo cotidiano das áreas de negócios e da área de TI.
É fundamental a criação de regras, políticas e restrições visando sempre o bem maior, a qualidade, 
a produtividade e a transparência nas informações. Para isso, muitas vezes faz‑se vital mudanças 
na cultura da empresa, mas tal quesito nem sempre é fácil de se trabalhar. Contudo, para garantir o 
retorno proposto, é um fator obrigatório a ser trabalhado. A maneira como uma instituição direciona 
a construção de seus processos dependerá da sua forma de trabalho. Cada uma delas pode estruturar 
de modo que lhe julgar mais conveniente, desde que os objetivos propostos no modelo COBIT 5 
no que se refere à governança e à gestão sejam devidamente abrangidos. Em decorrência do seu 
tamanho, pode haver variação na quantidade de processos descritos. Organizações de grande porte 
poderão ter mais operações e, em consequência, mais processos que uma empresa menor. A variação 
da quantidade não causa nenhum impacto negativo, desde que todos sejam cobertos, seja em grande 
número ou de modo reduzido.
O guia COBIT 5 dá uma atenção especial ao fato de que cada organização deve ter sua individualidade 
respeitada, mesmo implantando os processos do modelo, como descrito a seguir:
O COBIT 5 inclui um modelo de referência de processo, que define e descreve 
em detalhes uma série de processos de governança e gestão. Ele representa 
todos os processos normalmente encontrados em uma organização 
relacionados às atividades de TI, fornecendo um modelo de referência 
comum compreensível para os gerentes operacionais de TI e de negócios. 
O modelo de processo proposto é um modelo completo e abrangente, mas 
não é o único modelo de processo possível. Cada organização deverá definir 
seu próprio conjunto de processos, levando em consideração sua situação 
específica (ISACA, 2012, p. 34).
Também se faz relevante:
Incorporar um modelo operacional e uma linguagem comum para todas as 
partes da organização envolvidas com atividades de TI é uma das etapas mais 
importantes e críticas da boa governança. Também oferece um modelo para 
69
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
medir e monitorar o desempenho de TI, promovendo garantia (assurance) da 
TI, comunicação com os provedores de serviço e melhor integração com as 
práticas da administração (ISACA, 2012, p. 34).
Como já apresentado, o modelo de referência de processo do COBIT 5 tem uma primeira 
divisão em processos de governança e processos de gestão de TI, com ambos possuindo domínios 
e subprocessos. Neste momento, prosseguiremos ao detalhamento de cada um dos 37 processos 
constantes nestes domínios.
A divisão de governança é composta de apenas um domínio, o EDM (evaluate, direct and monitor), 
que significa avaliar, dirigir e monitorar, que contempla cinco processos nos quais são definidas as 
práticas de avaliação, direção e monitoramento.
A divisão de gestão é bem maior tanto em domínios quanto em número de processos a serem 
desenvolvidos, sendo composta de quatro domínios que conversam entre si e também entre os processos 
descritos na divisão de governança. São eles:
• APO (align, plan and organise), que significa alinhar, planejar e organizar. Este domínio tem 
direcionamento estratégico e gerencial. Os processos constantes nele têm papel fundamental 
de suporte aos objetivos do negócio, já que eles envolvem planejamento, comunicação e 
gerenciamento de diversas perspectivas empresariais.
• BAI (build, acquire and implement), ou construir, adquirir e implementar. Tem como principal 
objetivo atender todos os fatores de identificação, desenvolvimento e aquisição das soluções de 
TI. São essas soluções que concretizam as estratégias de TI, aquelas previamente estabelecidas. 
Também tende a acompanhar e gerenciar mudanças e manutenções nos sistemas existentes com 
a finalidade de dar continuidade ao ciclo de vida dos respectivos processos.
• DSS (deliver, service and support) denominado entregar, serviços e suporte. Destina‑se a cobrir 
toda a entrega dos serviços requeridos, desde o gerenciamento de segurança até a gestão da 
infraestrutura operacional, passando pelo suporte aos usuários, reparo de equipamentos, 
continuidade do serviço e gestão dos dados. Não é um domínio com muitos processos, porém 
tenciona a sobrevivência ativa da organização.
• MEA (monitor, evaluate and assess) expressa o monitorar, avaliar e analisar. Destina‑se a assegurar 
a qualidade dos processos de TI e também dos de governança. Nesse domínio são trabalhados 
mecanismos de controle, monitoramento e avaliação de fatores internos e externos, objetivando 
a qualidade e entrega em conformidade com os objetivos previamente propostos.
Cada um dos 37 processos representados nestes cinco domínios engloba as seguintes características:
• identificação do processo contendo nome, código, área‑chave, domínio a qual pertence e sua 
descrição resumida;
70
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
• a qual propósito se destina o processo;
• definição de metas relacionadas à TI e seus procedimentos de medição;
• definição de metas relacionadas ao processo em si e suas métricas para elas;
• desenho e definição da matriz de responsabilidade modelo RACI, associado a papéis e atividades.
• descrição detalhada para cada prática/atividade do processo, com nome, entradas e saídas, e 
descrição detalhada e de fácil compreensão a todos;
• documento contendo orientações relacionadas à integração com outros modelos, padrões 
e ferramentas existentes na organização, bem como qualquer outra informação relevante ao 
processo e que não se encaixe nas opções anteriores.
5.1 Processos de governança de TI
Os processos de governança de TI propõem‑se a assegurar as necessidades, conjunturas e 
objetivos definidos pelas partes interessadas, de forma clara e segura. Também pertence ao 
escopo dos processos de governança garantir que os propósitos sejam atingidos, estabelecendo 
prioridades, determinando posições de decisão e monitorando o desempenho e a conformidade 
com relação a esses objetivos. Vale deixar explícito que os processos não executam essas ações, 
eles são descritos a fim de orientar e direcionar. Cabe à organização e às áreas de coletas a 
execução precisa para se alcançar o êxito. De forma geral, esses processos são de responsabilidade 
do corpo diretivo.
5.1.1 EDM – avaliar, dirigir e monitorar
Os processos apresentados como fundamentais à governança de TI são:
• EDM01 – garantir a definição e manutenção do modelo de governança.
• EDM02 – garantir a realização de benefícios.
• EDM03 – garantir a otimização de riscos.
• EDM04 – garantir a otimização de recursos.
• EDM05 – garantir transparência para as partes interessadas.
 Segue a especificação dos pontos relevantes de cada processo citado.
• EDM01 – garantir a definição e manutenção do modelo de governança. Pretende analisar e articular 
os requisitos para a governança corporativa de TI, desenvolve e mantém estruturas, princípios, 
71
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
processos e práticas. Todo o processo deve ser definido com clareza das responsabilidades e 
autoridade para alcançar a missão, as metas e os objetivos da organização.Contempla as práticas 
de avaliar, dirigir e monitorar o sistema de governança.
• EDM02 – garantir a realização de benefícios. Este processo tenciona o aperfeiçoamento na 
contribuição de valor para o negócio com base em seus métodos de negócios, serviços e ativos 
de TI. Eles são resultado do investimento realizado em TI. Contém as práticas de avaliar, dirigir e 
monitorar o aperfeiçoamento de valor.
• EDM03 – garantir a otimização de riscos. Este processo assegura que a predileção e a tolerância 
a riscos da organização são compreendidas, planejadas e comunicadas. Também significa que 
todo e qualquer risco ao negócio relacionado ao uso de TI é identificado e controlado. Abrange as 
práticas de avaliar, dirigir e monitorar o gerenciamento de riscos.
• EDM04 – garantir a otimização de recursos. O processo coloca à disposição as habilidades 
adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia), visando suportar os 
objetivos da organização de forma eficaz a um custo justo. Engloba as práticas de avaliar, dirigir 
e monitorar o gerenciamento de recursos.
• EDM05 – garantir transparência para as partes interessadas. O processo propõe‑se a possibilitar a 
medição e a construção de relatório de desempenho e conformidade da TI corporativa de forma 
transparente para as partes interessadas poderem avaliar e aprovar as metas, as métricas e as ações 
corretivas necessárias. Envolve as práticas de avaliar os requisitos apresentados nos relatórios das 
partes interessadas, assim como dirigir e monitorar a comunicação com elas.
 Observação
O termo recursos engloba não somente recursos humanos, mas 
também recursos tecnológicos como hardware e software, e neste caso 
ainda os processos.
5.2 Processos de Gestão de TI
Os processos de gestão de TI são responsáveis por planejar toda a estrutura da área de 
TI, bem como arquitetura corporativa, orçamentos, custos, relacionamentos com demais áreas 
corporativas, portfólio de séricos, cronogramas de projetos, ativos de configuração, problemas 
e continuidade do negócio, além de construir, reparar, organizar e manter esses e outros tantos 
aspectos importantes para o bom funcionamento da organização. Também há processos de 
medição, monitoramento e avaliação que são tratados na gestão. De modo geral, a gestão dessa 
estrutura é de responsabilidade da gerência executiva, sob liderança do CEO. Discorreremos por 
cada um dos domínios e seus 32 processos.
72
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
5.2.1 APO – alinhar, planejar e organizar
Os processos apresentados como essenciais são:
• APO01 – gerenciar a estrutura de gestão de TI.
• APO02 – gerenciar a estratégia.
• APO03 – gerenciar a arquitetura da organização.
• APO04 – gerenciar a inovação.
• APO05 – gerenciar o portfólio.
• APO06 – gerenciar orçamento e custos.
• APO07 – gerenciar recursos humanos.
• APO08 – gerenciar relacionamentos.
• APO09 – gerenciar acordos de prestação de serviços.
• APO10 – gerenciar fornecedores.
• APO11 – gerenciar qualidade.
• APO12 – gerenciar riscos.
• APO13 – gerenciar segurança.
Segue a especificação dos pontos relevantes de cada processo citado, bem como suas 
principais práticas.
• APO01 – gerenciar a estrutura de gestão de TI. Este processo visa apresentar e manter a missão 
e visão da governança de TI de forma clara e acessível a todos. Também implementa e mantém 
mecanismos e autoridades para gerenciar a informação e o uso da TI na organização. Compreende 
as práticas de definir a estrutura organizacional, determinar papéis e responsabilidades, manter 
organizado os facilitadores do sistema de gestão, comunicar objetivos e direcionamento da 
gestão, aprimorar a distribuição das funções de TI, determinar a propriedade de informações 
(dados) e sistemas, gerenciar a melhoria contínua de processos e manter conformidade com 
políticas e procedimentos.
• APO02 – gerenciar a estratégia. Este processo fornece uma visão abrangente do negócio e do 
ambiente de TI atual, objetivando a direção futura, definindo quais as iniciativas necessárias para 
73
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
migrar para o ambiente idealizado; outrossim, apresenta elementos da arquitetura corporativa 
para facilitar respostas rápidas, confiáveis e eficientes aos objetivos estratégicos. São partes 
integrantes deste processo as seguintes práticas: compreender o direcionamento corporativo; 
avaliar ambiente, capacidade e desempenho atuais da organização; definir as capacidades‑alvo 
de TI; nortear uma análise de gaps, além de definir o plano estratégico e o road map.
• APO03 – gerenciar a arquitetura da organização. Esse processo tende a constituir uma arquitetura 
comum com camadas de métodos de negócios, informações, dados, aplicação e tecnologia para 
implementar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação 
de modelos e práticas‑chave que descrevem arquitetura de linha de base. Para esse processo, se 
aplicam as práticas de desenvolver a visão da arquitetura corporativa, definir a arquitetura de 
referência, bem como selecionar oportunidades e soluções, definir a implementação da arquitetura 
e principalmente prover serviços da arquitetura corporativa.
• APO04 – gerenciar a inovação. Neste processo é necessária a manutenção de uma consciência de 
TI e foco nas tendências de serviços relacionados. Ele é responsável por identificar oportunidades 
de inovação e planejar como se beneficiar da inovação em relação às necessidades do negócio. 
Está ligada diretamente ao planejamento estratégico, pois ele o influencia diretamente, bem como 
nas decisões de arquitetura corporativa. Composto de práticas de criação do ambiente propício à 
inovação, dispõe‑se de manter compreensão do ambiente corporativo, realiza o monitoramento e 
inspeciona o ambiente tecnológico, encarregado de avaliar o potencial de tecnologias emergentes 
e ideias de inovação e recomendar iniciativas adicionais apropriadas, monitorar a implementação 
e o uso de inovações em toda a organização.
• APO05 – gerenciar o portfólio. Desempenha as orientações estratégicas para os investimentos 
alinhados com a visão de arquitetura corporativa e as características desejadas do investimento. 
É recomendado considerar as restrições de recursos e de orçamento. Além disso, avalia, prioriza 
programas e serviços, gerencia a demanda dentro das restrições de recursos e de orçamento, 
sempre embasados no alinhamento com os objetivos estratégicos e risco. Tem autoridade para 
mover programas selecionados do portfólio de serviços para execução. Monitora o desempenho 
de todo o portfólio de serviços e programas, propondo melhorias quando necessário, visando ao 
melhor performance do serviço ou mudança de prioridades da organização. Engloba as práticas de 
organizar o conjunto de investimentos desejados, determina disponibilidade e fontes de recursos, 
avalia e seleciona programas a serem custeados pela empresa, monitora, incrementa e reporta 
o desempenho dos investimentos no portfólio, além de garantir a integridade do portfólio e 
gerenciar o alcance de benefícios.
• APO06 – gerenciar orçamento e custos. Este processo objetiva o gerenciamento das atividades 
financeiras relacionadas à TI tanto nas funções de negócios como de TI, abrangendo orçamento, 
gerenciamento de custos e benefícios e priorização dos gastos com o uso de práticas formais de 
orçamento, também presa por um sistema justo e equitativo de alocação de custos. Abrange as 
atividades de priorizar alocação de recursos, gerenciar finanças e contabilidade, criar e manter 
orçamentos, nortear, alocar e gerenciar custos.
74
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
• APO07 – gerenciar recursos humanos. Esse processo procura fornecer uma abordagem engendrada, 
destinada a garantir a arquitetura ideal, os direitosde decisão e as habilidades dos recursos 
humanos. Inclui comunicação de papéis e responsabilidades definidas, planos de aprendizagem 
e de crescimento e expectativas de desempenho, com o apoio de pessoas competentes e 
amotivadas. Integra as práticas de manter a equipe adequada e apropriada, as habilidades e as 
competências do pessoal, identificar as pessoas‑chave de TI, realizar a avaliação de desempenho 
nos funcionários, planejar e rastrear o uso de recursos humanos de TI e negócio, além de gerenciar 
equipes terceirizadas que podem existir nos projetos.
• APO08 – gerenciar relacionamentos. Este processo propõe conduzir o relacionamento entre 
negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo 
comum. Enquadra as práticas de identificar oportunidades, riscos e restrições para TI aprimorar 
o negócio, além de entender e analisar suas expectativas, gerenciar o relacionamento com o 
negócio, coordenar e comunicar e prover insumos para a melhoria contínua de serviços.
• APO09 – gerenciar acordos de prestação de serviços. Dispõe‑se a alinhar os serviços de TI e níveis 
de serviço com as necessidades e expectativas da organização. Esse processo engloba identificação, 
especificação, projeto, publicação, acordo e acompanhamento de serviços de TI, níveis de serviço 
e indicadores de desempenho. Implementa as práticas de identificar serviços de TI, catalogar 
serviços habilitados por TI, definir, detalhar, preparar e revisar acordos de serviço, monitorar e 
reportar níveis de serviço de contratos.
• APO10 – gerenciar fornecedores. Tem como foco o acompanhamento e a gestão dos serviços 
relacionados à TI prestados por todos os tipos de fornecedores para atender às necessidades 
organizacionais, incluindo seleção, gestão de relacionamentos, gestão de contratos e revisão e 
monitoramento de desempenho de fornecedores (SLA) para a efetividade e conformidade. São 
necessárias as práticas de identificar e avaliar relacionamentos e contratos com fornecedores, 
bem como selecioná‑los, gerenciar relacionamentos e contratos com fornecedores, gerenciar os 
riscos de fornecedores e monitorar desempenho e conformidade de fornecedores embasados em 
um padrão de controle de qualidade (SLA).
• APO11 – gerenciar qualidade. Este processo define e comunica os requisitos de qualidade em 
todos os processos, os procedimentos e os resultados das organizações. Contém as práticas de 
controles, monitoramento contínuo e o uso de padrões na melhoria e esforços de eficiência. 
Enfatiza o gerenciamento da qualidade nos clientes.
• APO12 – gerenciar riscos. Responde por identificar continuamente, avaliar e reduzir os 
riscos relacionados à TI dentro dos níveis de flexibilidade previamente estabelecidos pela 
diretoria executiva da organização. Compreende as práticas de coletar dados, analisar 
riscos, monitorar o perfil de riscos, definir um portfólio de ações de gerenciamento de 
riscos e responder aos riscos.
• APO13 – gerenciar segurança. De extrema importância, é este processo que define, opera 
e monitora um sistema para a gestão de segurança da informação. Suas práticas incluem 
75
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
estabelecer e manter um sistema de gestão de segurança da informação (SGSI), além de 
definir e gerenciar um plano de tratamento de riscos de segurança da informação e monitorar 
e revisar o SGSI.
5.2.2 BAI – construir, adquirir e implementar
Os processos apresentados como principais são:
• BAI01 – gerenciar programas e projetos.
• BAI02 – gerenciar definição de requisitos.
• BAI03 – gerenciar identificação e construção de soluções.
• BAI04 – gerenciar disponibilidade e capacidade.
• BAI05 – gerenciar capacidade de mudança organizacional.
• BAI06 – gerenciar mudanças.
• BAI07 – gerenciar aceitação e transição de mudança.
• BAI08 – gerenciar conhecimento.
• BAI09 – gerenciar ativos.
• BAI10 – gerenciar configuração.
Segue a especificação não aprofundada dos pontos relevantes de cada processo citado, bem como 
algumas de suas principais práticas.
• BAI01 – gerenciar programas e projetos. É quem coordena todos os programas e projetos 
do portfólio de investimentos em alinhamento com a estratégia da organização e de 
forma estruturada. Responsável por iniciar, planejar, controlar e executar programas e 
projetos, além de finalizar com uma revisão pós‑implementação. Abarca as práticas de 
manter abordagem padrão para gerenciamento de programas e projetos, iniciar programas, 
monitorar o envolvimento das partes interessadas, construir e manter o plano do programa, 
bem como registrá‑lo e executá‑lo, monitorar, controlar e reportar sobre os seus resultados, 
planejar projetos, gerir a qualidade de programas e projetos, gerenciar seus riscos, monitorar 
e controlar projetos, regular recursos e pacotes de trabalho de projetos e encerrar um projeto 
ou iteração com o encerramento de um programa.
• BAI02 – gerenciar definição de requisitos. Busca identificar soluções e analisar os requisitos 
antes da aquisição ou criação para assegurar que eles estão em conformidade com as condições 
76
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
estratégicas corporativas que cobrem os processos de negócio, aplicações, informações/dados, 
infraestrutura e serviços. Também objetiva coordenar com as partes interessadas a revisão de 
opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções 
propostas. Possui como atividades práticas a definição e manutenção das condições de negócio 
funcionais e não funcionais, realiza estudo de viabilidade e modela soluções alternativas, gerencia 
riscos das premissas e é responsável por obter aprovação de requisitos e soluções.
 Observação
Os requisitos representam as necessidades do cliente, aquilo que 
sistema, software, ferramenta ou processo deve atender. Eles pertencem a 
um determinado escopo, podendo ser funcionais e não funcionais, além de 
fazerem parte de todo o ciclo de vida de um projeto de desenvolvimento 
de software.
• BAI03 – gerenciar identificação e construção de soluções. Neste processo, as soluções 
identificadas em conformidade com os requisitos da organização são devidamente mapeadas 
e acompanhadas. Elas abrangem design, desenvolvimento, aquisição/terceirização e parcerias 
com fornecedores/vendedores. Também se faz necessária a gestão da configuração, teste de 
preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, 
informações/dados, infraestrutura e serviços. Inclui as práticas de desenhar soluções de alto 
nível, desenhar detalhes dos componentes da solução, aprimorar e adquirir componentes da 
solução, bem como construir soluções, realizar garantia de qualidade, elaborar e executar testes 
da solução, gerenciar mudanças nos requisitos, manter soluções, definir serviços de TI e manter 
o portfólio de serviços atualizado.
• BAI04 – gerenciar disponibilidade e capacidade. Este processo é responsável pelo equilíbrio das 
necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de 
serviços a um custo justo. Compreende avaliação de capacidades atuais, previsão das necessidades 
futuras com base em requisitos de negócios, análise de impactos nos negócios e avaliação de risco 
para planejar e implementar ações para atender as necessidades identificadas. Possui as práticas 
de avaliar disponibilidade, desempenho e capacidade atuais e criar uma linha de base, mensurar 
o impacto sobre o negócio, planejar os requisitos de serviço, monitorar e revisar disponibilidade e 
capacidade, além de investigar e endereçar questões de disponibilidade.
• BAI05 – gerenciar capacidade de mudança organizacional. O foco desse processo visa maximizar 
a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a 
organização de forma rápida e com riscoreduzido, cobrindo o ciclo de vida completo da mudança 
e todas as partes interessadas afetadas no negócio e TI. Engloba em si práticas de estabelecer o 
desejo de mudança, estrutura um time de implementação efetivo, comunica a visão desejada, 
desenvolve capacidade dos papéis e identifica ganhos de curto prazo, habilita operação e uso, 
insere novas abordagens e sustenta mudanças.
77
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
• BAI06 – gerenciar mudanças. O processo de mudança administra todas as modificações de 
uma maneira controlada, incluindo alterações de padrão e de manutenção de emergência 
relacionadas com os processos de negócio, aplicações e infraestrutura. Ele abrange os padrões 
de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças 
emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação. Para 
isso são necessárias as práticas de avaliar, priorizar e autorizar solicitações de mudança, bem 
como gerenciar todas as variações, incluindo as emergenciais, rastrear e reportar seu status e 
essencialmente encerrar e documentar todas as mudanças.
• BAI07 – gerenciar aceitação e transição de mudança. Este processo tende a produzir 
formalmente novas soluções operacionais, incluindo planejamento de implementação do 
sistema e conversão de dados, testes de aceitação, comunicação, preparação de liberação, 
promoção para produção de processos de negócios e serviços de TI novos ou alterados, 
suporte de produção e uma revisão pós‑implementação. Para fazer todas essas atividades e 
responsabilidades neste processo, faz‑se necessária a execução das práticas de estabelecer um 
plano de implementação e, na sequência, planejar processos de negócio, sistemas e conversão 
de dados e os testes de aceitação. Estabelecer ambiente de testes, bem como realizar testes 
de aceitação. Produzir e gerenciar releases, prover suporte inicial para produção e executar 
revisões pós‑implementação.
• BAI08 – gerenciar conhecimento. Tem por foco garantir a disponibilidade de conhecimento 
relevante, atual, validado e confiável para suportar todas as atividades do processo. Também 
destina a facilitar a tomada de decisão com a elaboração do plano para a identificação, coleta, 
organização, manutenção, utilização e retirada de conhecimento. Para sua correta execução, 
faz se obrigatória as práticas de cultivar e facilitar uma cultura de compartilhamento de 
conhecimentos, identificar e classificar fontes de informações, organizar e contextualizar 
informação em conhecimento, além de compartilhar os conhecimentos e avaliar e 
descontinuar informações.
• BAI09 – gerenciar ativos. Um processo significativo em qualquer organização. Ele 
gerencia os ativos de TI através de seu ciclo de vida para assegurar que seu uso agrega 
valor a um custo ideal. Os ativos permanecem operacionais e fisicamente protegidos. São 
fundamentais para apoiar a capacidade e disponibilidade de serviço de forma confiável. 
Para seu funcionamento, faz‑se uso das práticas de identificar e registrar ativos correntes, 
gerenciar ativos críticos, gerenciar o ciclo de vida de ativos, otimizar custos de ativos e 
gerenciar licenças.
Um adendo ao BAI09: um ativo representa qualquer coisa que tenha valor para a organização. 
Temos, por exemplo, ativos de informação, compostos de base de dados e arquivos, contratos e 
acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material 
de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, 
procedimentos de recuperação, trilhas de auditoria e informações armazenadas. Ativos de 
software, os quais contemplam aplicativos, sistemas, ferramentas de desenvolvimento e utilitários. 
Ativos físicos, que são os equipamentos computacionais, de comunicação, entre outros. Também 
78
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
se incluem os ativos de serviços, pessoas como ativos, ativos intangíveis, como o conceito e 
a imagem da organização. Portanto, a gestão de ativos é um elemento essencial para o bom 
andamento das atividades.
BAI10 – gerenciar configuração. É quem define e mantém as descrições e as relações entre 
os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta 
de informações de configuração, o estabelecimento de linhas de base, verificação e auditoria de 
informações de configuração e atualizar o repositório de configuração. Para a realização deste 
processo, são necessárias as práticas de estabelecer e manter um modelo de configuração, designar 
e manter um repositório e linha de base de configuração, manter e controlar itens de configuração, 
desenvolver relatórios de status sobre a configuração, além de verificar e revisar a integridade do 
repositório de configuração.
5.2.3 DSS – entregar, reparar e suportar
Os processos apresentados como fundamentais na entrega e suporte são:
• DSS01 – gerenciar as operações.
• DSS02 – gerenciar requisições de serviços e incidentes.
• DSS03 – gerenciar problemas.
• DSS04 – gerenciar continuidade.
• DSS05 – gerenciar serviços de segurança.
• DSS06 – gerenciar os controles de processos de negócio.
Segue a especificação dos pontos pertinentes de cada processo citado, bem como algumas de suas 
principais práticas.
• DSS01 – gerenciar as operações. Neste processo se coordenam e executam as atividades e os 
procedimentos operacionais necessários para entregar serviços de TI internos e/ou terceirizados. 
Nesses serviços, considera‑se a execução de procedimentos operacionais, os padrões predefinidos 
e as atividades exigidas. Para isso, faz‑se primordial as práticas de realizar procedimentos 
operacionais, gerenciar serviços de TI terceirizados, monitorar a infraestrutura de TI, gerenciar 
o ambiente e as instalações físicas.
• DSS02 – gerenciar requisições de serviços e incidentes. Dispõe‑se a fornecer uma resposta rápida 
e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes. Deve possibilitar 
subsídios para restaurar o serviço para normalidade o mais breve possível, visando atender às 
demandas dos usuários, além de investigar, diagnosticar, escalar e solucionar incidentes. Para tal, 
são vitais as práticas de definir esquemas de classificação de requisições de serviço e incidentes, 
79
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
registrar, classificar e priorizar incidentes e requisições, realizar a verificação, aprovação e 
atendimento das requisições de serviços, investigar, diagnosticar e alocar incidentes, mitigar e 
apontar soluções para recuperar de incidentes, imprescindivelmente encerrar as requisições de 
serviços e incidentes, rastrear status e produzir relatórios.
• DSS03 – gerenciar problemas. Este processo é valoroso para todo modelo, por isso requer uma 
atenção a mais no ponto de vista de fluidez no dia a dia operacional da organização. É nele 
que se identifica e classifica os problemas e suas causas‑raízes, além de fornecer resolução para 
prevenir incidentes recorrentes. Do mesmo modo, fornece recomendações de melhorias. Como 
coeficientes de seu bom funcionamento, é fundamental a aplicação das práticas de identificar, 
classificar, investigar, diagnosticar problemas, rastrear e registrar erros conhecidos, resolver e 
encerrar problemas e realizar o gerenciamento proativo de problemas.
• DSS04 – gerenciar continuidade. É um processo que se destina a estabelecer e manter um 
plano para permitir que o negócio e TI respondam diante de incidentes e interrupções, a fim 
de continuar a operação de processos críticos de negócios e serviços de TI necessários. Também 
mantém a disponibilidade de informações em um nível aceitável para a organização. São práticas 
cruciais nesse processo a definição de políticas objetivos e o escopo da continuidadede negócios, 
assim como manter uma estratégia de continuidade, desenvolver e implementar uma resposta 
de continuidade de negócios, exercitar, testar e revisar o PCN (planejamento de continuidade de 
negócio ou BCP – Business Continuity Planning), manter e aprimorar o plano de continuidade, 
implementar e conduzir treinamentos do plano de continuidade, gerenciar preparativos de backup 
e conduzir revisão pós‑recuperação.
Destaque‑se que um PCN é desenvolvido sobre um relatório de análise de impactos nos negócios, 
que é uma contingência em caso de interrupção dos processos organizacionais de uma empresa. Este 
segundo é um plano reativo com diretrizes que devem ser tomadas quando operações são interrompidas 
por qualquer tipo de ação, seja interna ou externa, assegurando a continuidade dos negócios. Para se 
construir um bom plano de contingência relacionado com tecnologia da informação, é recomendado 
se considerar itens como backup, uma cópia representativa de dados em um momento específico, de 
todo código e banco de dados e sua recuperação. O fator backup é essencial para a continuidade dos 
negócios, além de servir como proteção de dados em caso de falha de hardware, exclusões acidentais 
ou desastre, ou mesmo proteção contra alterações não autorizadas feitas de forma indevida. Como 
recomendação, um PCN deve conter os seguintes aspectos:
• identificação crítica das atividades da organização;
• avaliação de risco de continuidade de negócios;
• desenvolvimento de um plano de continuidade;
• plano de aprovação e implementação.
80
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
 Saiba mais
Sobre questões que agregam valor ao negócio pela ISACA no COBIT 5, 
leia no link:
UMANA, A. COBIT 5 e o valor agregado da governança da TI corporativa. 
[Illinois]: Isaca，2015. Disponível em: <http://www.isaca.org/COBIT/focus/
Pages/cobit‑5‑and‑the‑added‑value‑of‑governance‑of‑enterprise‑it‑
portuguese.aspx>. Acesso em: 26 abr. 2017.
• DSS05 – gerenciar serviços de segurança. Um processo que intenciona proteger informações da 
organização em um nível de risco aceitável para a segurança das informações, seguindo a política 
interna de segurança. Estipula e mantém as funções de segurança da informação, dentre elas os 
privilégios de acesso e monitoramento de segurança. Para tal, é basilar que as práticas de proteger 
contra malware sejam implantadas, gerenciar segurança de rede e conectividade, identidade e 
acesso lógico de usuários e de acesso físico a ativos de TI, controlar documentos e dispositivos de 
saída sensíveis e monitorar a infraestrutura quanto a eventos relacionados à segurança.
 Saiba mais
Leia sobre criação de uma estrutura de governança e gestão para 
e‑commerce utilizando o COBIT 5 em:
EMERIBE, C. H. Criação de uma estrutura de governança e gestão para 
e‑commerce através do COBIT 5.，[Illinois]: Isaca, 2015. Disponível em: 
<http://www.isaca.org/COBIT/focus/Pages/establishing‑a‑governance‑
and‑management‑structure‑for‑e‑commerce‑using‑cobit‑5‑portuguese.
aspx>. Acesso em: 26 abr. 2017.
• DSS06 – gerenciar os controles de processos de negócio. Neste processo se define e mantém 
controles de processo de negócio apropriados para assegurar que as informações relacionadas e 
processadas para satisfação de todos os requisitos de controle de informações sejam relevantes 
para a organização. Requer o seguimento das práticas de alinhamento das atividades de 
controle embutidas nos processos de negócio com os objetivos corporativos, controlar o 
processamento da informação, gerenciar papéis, responsabilidades, privilégios de acesso e 
níveis de autoridade de todos os funcionários, erros e exceções. Assegurar a rastreabilidade de 
eventos e responsabilidade sobre informações e manter em segurança os ativos de informação 
da empresa.
81
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
5.2.4 MEA – monitorar, avaliar e medir
Os processos apresentados como indispensáveis no monitoramento, na avaliação, bem como na 
medição que garantem a qualidade são:
• MEA01 – monitorar, avaliar e medir o desempenho e conformidade.
• MEA02 – monitorar, avaliar e medir o sistema de controles internos.
• MEA03 – monitorar, avaliar e medir a conformidade com requisitos externos.
Não menos importante que todos os outros processos citados neste capítulo, estes são responsáveis 
por garantir o desempenho e a conformidade dos serviços que são cruciais para o bom funcionamento de 
toda a estrutura COBIT. Definir processos, desenhar detalhadamente e com características fundamentais 
é um primeiro passo, mantê‑los em funcionamento o segundo passo, mas se todos foram implantados 
e mantidos, mas não validados, monitorados e avaliados, eles podem não fazer nenhuma diferença. No 
entanto, o que isso significa? Significa que construir e não avaliar se a sua construção está realmente 
atingindo o objetivo pelo qual foi feito, não tem serventia alguma para uma organização, a não ser 
desperdício de dinheiro e tempo. Por esse motivo, tais processos, mesmo em pequena quantidade, têm 
grande relevância ao COBIT 5.
Segue a especificação dos pontos importantes de cada processo citado, bem como algumas de suas 
principais práticas.
• MEA01 – monitorar, avaliar e medir o desempenho e conformidade. Este processo visa coletar, 
validar e avaliar os objetivos e as métricas do processo de negócios e de TI. Ele também monitora 
se os processos estão se realizando conforme metas e métricas de desempenho e conformidade 
acordadas e fornece informação que é sistemática e oportuna. Este processo compreende as 
práticas de estabelecer uma abordagem de monitoramento, definir metas de desempenho e 
conformidade, coletar e processar dados de desempenho e conformidade, analisar e reportar 
desempenho, além de assegurar a implementação de ações corretivas.
• MEA02 – monitorar, avaliar e medir o sistema de controles internos. Um processo que se destina 
a monitorar e avaliar continuamente o ambiente de controle. Para tal, integra as autoavaliações 
e análises de avaliações independentes. Similarmente, permite à gestão identificar deficiências 
de controle e ineficiências, e, com isso, iniciar ações de melhoria. Abarca em si as práticas de 
monitorar controles internos, revisar efetividade de controles de processos de negócio, realizar 
autoavaliações de controles. Igualmente, tende a identificar e reportar deficiências de controles, 
assegurar que provedores de garantia (auditoria) sejam independentes e qualificados. Planejar 
iniciativas de garantia (auditoria), definir escopo de iniciativas de garantia (auditoria) e executar 
iniciativas de garantia (auditoria).
• MEA03 – monitorar, avaliar e medir a conformidade com requisitos externos. Esse processo 
realiza a avaliação dos processos de TI e de negócios suportados pela TI se estão em conformidade 
82
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
com leis, regulamentos e exigências contratuais. Também obtém a garantia de que os requisitos 
foram identificados e respeitados, e integrá‑los à conformidade com o cumprimento global 
da organização. Compreende as práticas de identificar requisitos de conformidade externos, 
otimizar resposta a requisitos externos, confirmar conformidade externa e obter garantia de 
conformidade externa.
Um dos fatores utilizados no COBIT5 para o monitoramento de desempenho dos processos é o 
dos níveis de capacidade. Este é o novo modelo para a avaliação da capacidade dos processos de TI da 
organização, desenvolvido com base na norma ISO/IEC 15504 de Engenharia de Software (norma de 
avaliação de processos). Este padrão visa alcançar os mesmos objetivos gerais de avaliação do processo 
e suporte a melhoria de processos. Ele proporcionará meios para medir o desempenho de qualquer um 
dos processos de governança (baseados nos processos EDM descritos neste capítulo), alémde permitir 
melhor visualização das áreas que precisam ser melhoradas.
 Saiba mais
Para refletir sobre performance dos processos, acesse o site:
DAVIS, P. T. Reflexão sobre a medição de performance.，[Illinois]: Isaca, 
2015. Disponível em: <http://www.isaca.org/cobit/focus/pages/performance‑
measurement‑musings‑portuguese.aspx>. Acesso em: 26 abr. 2017.
O modelo COBIT 5 compreende seis níveis de capacidade divididos em uma escala de 0 a 5. Cada um 
deles possui um conjunto de atributos de processo que deve ser avaliado para o alcance do nível em 
questão. São eles:
• Nível 0 – Processo incompleto: o processo não foi implementado ou não atingiu seu objetivo. 
Nesse nível, há pouca ou nenhuma evidência de realização sistemática da finalidade do processo.
• Nível 1 – Processo executado: o processo está implementado e atinge seu propósito. Possui o 
atributo:
— PA1.1 – Desempenho do processo (Process Performance): responsável por avaliar se o processo 
atingiu seu objetivo. Nele é verificado se as atividades básicas e os produtos de trabalho são 
executados, não sendo necessária a sua formalização e documentação.
• Nível 2 – Processo gerenciado: o processo realizado anteriormente descrito é implementado 
de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão 
devidamente estabelecidos, controlados e mantidos. Possui os atributos:
83
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
— PA2.1 – Gerenciamento de desempenho (Performance Management): avalia se o desempenho 
do processo é gerenciado. O resultado da completa realização desse atributo é obtido quando se 
tem os objetivos de desempenho do processo definidos, o desempenho do processo planejado 
monitorado e ajustado para atingir o planejado, responsabilidades para execução do processo 
definidas atribuídas e comunicadas, bem como recursos e informações necessários para 
executar o processo identificados, disponíveis, alocados e utilizados, interface entre as partes 
envolvidas no processo gerenciadas, visando garantir a eficácia na comunicação e clareza na 
definição de responsabilidades.
— PA2.2 – Gerenciamento de produto de trabalho (Work Product Management): este atributo 
tenciona mensurar se os produtos de trabalho produzidos pelo processo são apropriadamente 
gerenciados. Como resultado desta construção, temos requisitos para os produtos de trabalho 
do processo definidos para documentação e controle dos produtos de trabalho definidos, 
produtos de trabalho do processo devidamente identificados, controlados e revisados de acordo 
com os critérios definidos e ajustados para atender aos requisitos.
• Nível 3 – Processo estabelecido: o processo gerenciado anteriormente descrito é implementado 
usando um método definido que é capaz de alcançar os seus resultados. Possui os atributos:
— PA3.1 – Definição de processo (Process Definition): responsável por aquilatar se um processo 
padrão será mantido como auxiliar na implantação de um processo definido. Como resultado, 
temos um processo padrão, incluindo orientações para adaptação, definido e detalhado com 
elementos fundamentais que, ao serem incorporados a um processo definido, uma definição 
da sequência e interação do processo padrão com outros processos, papéis e competências 
necessárias para a realização de um processo identificado como parte do processo padrão. 
Também se inclui a infraestrutura necessária e ambiente de trabalho para a realização do 
processo identificados e a descrição e definição dos métodos para monitorar a eficácia e 
adequação do processo determinados.
— PA3.2 – Implementação de processo (Process Deployment): este atributo pretende equacionar 
se um processo padrão é eficientemente implantado como um procedimento definido. Como 
produto dessa análise temos um processo definido e implantado, baseado na escolha e adequação 
de um método padrão, papéis e responsabilidades para executar o processo definido alocados 
e comunicados. Além da escolha dos seus atores, definidos com base na experiência, estes são 
adequadamente treinados; são colocados à disposição recursos e informações necessários para 
a sua execução. A infraestrutura e os ambientes devidos para a execução do processo definido 
estão disponíveis, são gerenciados e mantidos; também são coletados e analisados os dados 
apropriados para entendimento do comportamento, demonstração da efetividade e avaliação 
de melhorias contínuas do processo definido.
• Nível 4 – Processo previsível: o processo estabelecido anteriormente descrito opera dentro de 
limites definidos para alcançar seus resultados. Possui os atributos:
84
Re
vi
sã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
Unidade V
— PA4.1 – Gerenciamento do processo (Process Management): este atributo tem como foco 
avaliar se resultados de medição de desempenho são utilizados para garantir o atingimento 
de objetivos, em suporte a metas de negócio. Como resultado, temos que as suas necessidades 
de informação são definidas de acordo com os propósitos de negócio, os objetivos de medição 
do processo são derivados da necessidade de informação. Também os objetivos quantitativos 
para o desempenho são estabelecidos de acordo com as necessidades do negócio; medidas e 
frequência de medição são identificadas e definidas de acordo com os objetivos de medição 
do processo e os fins quantitativos para o desempenho do processo. Além desses, os 
resultados de medição são coletados, analisados e reportados a fim de avaliar se os objetivos 
quantitativos são atingidos.
— PA4.2 – Controle do processo (Process Control): tem por finalidade classificar se o processo 
é quantitativamente gerenciado, de modo que seja estável e previsível dentro de limites 
preestabelecidos. Como produto, temos a definição de técnicas de controle e análise que 
são estabelecidas e aplicadas, e limites de variação do processo são determinados para uma 
performance normal do processo. Além disso, os dados de medição são analisados para 
causas especiais de alteração e ações corretivas são tomadas para endereçar as variações 
observadas e os limites de controle são reestabelecidos (se necessário) de acordo com 
ações corretivas predefinidas.
• Nível 5 – Processo otimizado: o processo previsível anteriormente descrito é continuamente 
melhorado para atender aos objetivos corporativos. Possui os seguintes atributos:
— PA5.1 – Inovação de processo (Process Innovation): busca aferir se mudanças para o processo 
são identificadas através de análises de causas comuns de variação no desempenho e da 
investigação de abordagens inovadoras para a definição e implementação do procedimento. 
Gera como produtos a identificação dos objetivos de melhoria e a definição de acordo com 
os objetivos de negócio, dados apropriados analisados para a identificação de causas comuns 
às variações do processo e dados apropriados analisados para identificar oportunidades para 
melhores práticas e inovação. Também se incluem as oportunidades de melhorias derivadas 
de novas tecnologias e conceitos de método identificado e uma estratégia de implementação 
estabelecida para atingimento dos objetivos de melhoria.
— PA5.2 – Otimização de processo (Process Optimization): este atributo busca ponderar se 
mudanças em definições, gerenciamento e desempenho do processo causaram impactos 
efetivos no atingimento do objetivo de melhorias. Para tal, são geradas as informações dos 
impactos de todas as modificações propostas avaliadas frente aos objetivos do processo 
definido e padrão; a implementação de todas as transformações acordadas é gerenciada para 
garantir que qualquer interrupção no desempenho do processo seja entendida e corrigida. 
Com base no desempenho atual, a eficácia da mudança no processo é avaliada em função dos 
requisitos de produtos definidos e objetivos de processo para determinar se os resultados são 
devidos às causas identificadas.
85
Re
visã
o:
 M
ár
ci
o-
 D
ia
gr
am
aç
ão
: F
ab
ríc
ia
 -
 0
9/
05
/2
01
7
GOVERNANÇA CORPORATIVA DE TI
 Observação
Cada nível de capacidade só pode ser alcançado quando o nível anterior 
for plenamente atingido.
 Resumo
Nesta unidade analisamos todos os processos do modelo COBIT 5.
Foi estudado cada procedimento que consta dentro de cada método 
macro de gestão e governança.
Foram analisados e interpretados o processo APO – alinhar, planejar e 
organizar; BASE – construir, adquirir e implementar; e MEA – monitorar, 
avaliar e medir.