COBIT 5

Prévia do material em texto

COBIT 5
Neste capítulo, você aprenderá sobre o framework COBIT 5 e sobre como ele pode ser usado para a Governança Empresarial de TI. Também conhecerá um pouco sobre as mudanças envolvidas neste framework e o relacionamento com a empresa, outros modelos e frameworks do mercado.
Histórico e Apresentação
O COBIT é um acrônimo para Control Objectives for Information and Related Technology. Em português Objetivos de Controle para Informação e Tecnologia Relacionada (tecnologia que provê informação que o negócio precisa). No COBIT 5 o termo COBIT passa a ser visto como marca e não mais acrônimo.
Este modelo (ou framework) foi desenvolvido pela ISACA que é uma instituição sem fins lucrativos que desenvolve pesquisas, modelos e certificações para os profissionais de Auditoria de TI, Segurança, Governança, dentre outros.
O COBIT tem como principais características:
• Orientação a processos da TI: são 34 processos de TI no COBIT 4.1 e no COBIT 5 são 37 processos. Muitos processos são relacionados ao ITIL, CMMI, PMBOK,
ISO 27001, dentre outros modelos do mercado.
• Baseado em Controles: disponibiliza vários recursos para auditoria.
• Fornece Indicadores: permite acompanhar os processos e visualizar os resultados.
• Focado no Negócio: o COBIT parte da premissa de que a TI deve oferecer valor ao negócio e que deve se orientar pelo negócio.
É importante citar que o COBIT visa uma perfeita integração e cascateamento entre Processos da Empresa, Metas de TI e Metas de Negócio. Servindo para identificar o que a TI precisa melhorar para atender as metas da Organização.
O COBIT não substitui ITIL, CMMI ou PMBOK, mas sim é utilizado em conjunto, como norteador estratégico do uso da TI e de como direcioná-la para atender os requisitos de negócio.
COBIT também é um guia, um instrumento para diagnóstico e auditoria, mas não é usado para certificação, ou seja, uma empresa não será certificada COBIT. Há, contudo, as certificações para profissionais que falaremos mais adiante.
O documento de referência contém os detalhes do COBIT, como você pode ver na figura do índice a seguir.
O COBIT é mundialmente adotado e utilizado. No Brasil, é utilizado pelo governo, por exemplo o Tribunal de Contas da União tem auditado as unidades de TI do Governo com base nos processos do COBIT. Bancos também são grandes usuários devido à grande complexidade de seus processos.
O framework provido pelo COBIT visa ajudar as organizações na entrega de valor por meio da boa governança e gestão da TI. Uma característica muito importante é a implementação de processos auditáveis que são dedicados a governança e ao gerenciamento de TI e o uso de métricas mensuráveis de desempenho.
O COBIT é utilizado por diversos profissionais como gerente de processos, gerentes de TI, auditores e profissionais ligados a processos de negócio.
Antes da existência do COBIT, antes de 1996, as empresas chamadas BIG FOUR (Pricewaterhouse Coopers, Deloitte Touch Tohmatsu, KPMG e Ernst Young), as quatro maiores empresas contábeis do mundo especializadas em auditoria e consultoria, tinham sua própria metodologia para auditar as empresas. O COBIT 1 teve foco em servir como instrumento para auditoria de TI.
A primeira versão do COBIT data de 1996 e tratava de uma lista de verificação sobre auditoria em TI. Por isso, COBIT está fortemente ligado a controle, pois tem origem em checklist para auditoria. A segunda versão, em 1998, atualizou os itens de controle e ampliou a atuação do COBIT. Em 2000, com escândalos de Wall Street e empresas que forjavam dados, sobretudo contábeis e fiscais, escondendo informações de seus acionistas, foi criada a Lei Sarbanes & Oxley (SOX) e o COBIT incorporou princípios de gestão dessa lei. Neste ano, a versão 3 do COBIT trouxe os conceitos de Governança Corporativa.
Já na quarta versão, em 2005, o COBIT 4 passou a ganhar a forma que possue hoje, no COBIT 5. O COBIT passou a ter foco em Governança de TI e não apenas em auditoria, que marcou a origem do COBIT. A ideia geral a partir do COBIT 4 era o uso do controle pelas medições de indicadores de TI.
Em 2007 o COBIT recebeu uma atualização, com alguns refinamentos, e, por isto, sua versão foi chamada de COBIT 4.1. 
Em 2011 surgiu a versão COBIT 5 que é a base da nossa discussão sobre o modelo. Durante as discussões, faremos algumas referências à versão COBIT 4.1.
Na figura a seguir vemos o resumo da evolução do COBIT.
O COBIT 5 também integra o conteúdo existente entre outros frameworks e publicações da ISACA como VAL IT e Risk IT, além do Business Model for Information Security (BMIS), IT Assurance Framework (ITAF), Taking Governance Foward (TGF) e Board Briefing on IT Governance. Ou seja, além de evoluir do COBIT 4.1 para o COBIT 5 o modelo se integra a perspectiva de Governança Empresarial de TI de forma mais completa.
Governança Empresarial de TI
O COBIT é focado em Negócios, como já citamos, formado por um conjunto de princípios norteadores. Como podemos ver na figura o COBIT concentra-se em requisitos de negócio que direcionam os investimentos a serem feitos em recursos de TI. Os recursos de TI são usados pelas diversas áreas da empresa através dos processos de TI.
Esses processos suportam os processos de negócio, ou seja, os processos que envolvem tecnologia da informação suprem necessidades dos processos de trabalho da empresa. Os processos de negócio geram valor informacional, ou seja, geram ativos de conhecimento, também chamados de capital intelectual. Este capital está inserido no negócio, responderá e gerará novos requisitos de negócio, com novas necessidades de investimento e demandas de TI.
Com o COBIT 5 a Governança de TI ganhou uma modificação e nova denominação: Governança Empresarial de TI
A Governança Empresarial de TI (Enterprise Governance of IT) é o principal norteador do COBIT 5 e é o termo que a ISACA lançou com seu framework. A Governança Empresari Business Governance of IT: analisa e observa a TI como elemento incorporado aos objetivos de negócio.
• Functional Governance of IT: analisa a TI como departamento dentro da estrutura organizacional e seus aspectos de eficiência e eficácia.
• Corporate Governance: analisa a conformidade da empresa com requisitos e leis. TI manuseia informações de negócio e, por isto, terá requisitos que se referem a Governança Corporativa.al de TI incorpora outros termos:
Princípios do COBIT 5
Na visão do COBIT 5 os princípios fornecem a informação que a empresa precisa
para atingir seus objetivos de negócio. Para isso, são necessários investimentos,
gerenciamento e controle de recursos de TI utilizados pelos processos da
empresa para prover serviços que vão disponibilizar as informações necessárias
para a organização.
O COBIT 5 trouxe uma família de produtos que contém um modelo para Governança
e Gestão de TI da organização. Está família de produtos traz publicações
para profissionais de áreas distintas, como pode ser visto na figura a seguir.
Os guias profissionais ajudam em áreas distintas da empresa e facilitam a distribuição dos conteúdos entre as pessoas interessadas. Por exemplo, a publicação geral COBIT 5 Habilitador Processos possui um detalhamento prático de como lidar com ativos de informação. No guia COBIT 5 Implementação, há fases para implementação de um programa de governança. No guia COBIT 5 Assurance há uma guia para validação e auditoria de processos.
O Guia Geral de Habilitadores pode ser baixado no site para ISACA para membros e não membros (via preenchimento de cadastros). Os demais podem ser baixados pelos membros. Para se tornar membro é preciso para a manutenção de uma taxa anual em torno de 100 dólares (o valor pode variar do momento da escrita deste material até quando você pesquisar no site, ok?).
O modelo do COBIT 5 se baseia em cinco princípios básicos com ampla orientação sobre os habilitadores de Governança e Gestão de TI na organização. Habilitadores são fatores que, individualmente e coletivamente, influenciam o funcionamento da governança e do gerenciamento sobrea TI. 
Os princípios do COBIT 5 estão apresentados na figura a seguir e os descreveremos na sequência do texto.
No COBIT 5 Habilitadores, são fatores que influenciam o funcionamento de algo. Existem 7 categorias de habilitadores no COBIT 5, definidos à frente na figura 3.14.
O COBIT 5 nos fornece um modelo para que as organizações atinjam seus objetivos de Governança e Gestão de TI, através da criação de valor por meio da TI e da manutenção do equilíbrio de benefícios nos recursos. Na visão do COBIT 5 a TI pode ser governada e gerida de forma holística, sempre abrangendo o negócio de ponta a ponta e em todas as áreas e funções da TI. Cabe ressaltar que o modelo pode ser aplicado a empresas de todos os portes, sejam comerciais, sem fins lucrativos, ou empresas públicas. Os princípios são detalhados a seguir:
10. Atender às Necessidades das Partes Interessadas: criar e gerenciar valor para os Stakeholders é algo que já discutimos aqui. As empresas devem existir para isso e para busca entre os benefícios que vai oferecer e a otimização no uso dos recursos e nos riscos desta utilização e oferta de valor.
11. Cobrir a Organização de Ponta a Ponta: o COBIT 5 não se concentra apenas na função de TI, mas nas tecnologias relacionadas como ativos.
12. Aplicar um Framework Único e Integrado: o COBIT 5 se alinha a outros padrões e modelos, pois existem várias normas e modelos relacionadas à TI.
13. Permtir uma Abordagem Holística: na visão holística busca-se a interligação entre os diversos componentes e os resultados destas interligações. O melhor exemplo ilustrativo da visão holística que eu me lembro é a questão da água. Se você analisar a molécula da água ela é formada por dois átomos de hidrogênio e um átomo de oxigênio, ou seja, H2O. Se estudarmos o hidrogênio e o oxigênio veremos que são combustíveis (ao menos no formato gasoso, não?). Pois bem, quando juntos, na proporção 2 para 1, formando a molécula de água, esta propriedade de combustão muda (ou desaparece?). A grande questão é que a união das partes pode trazer à tona outras propriedades não observadas ou não existentes. Na visão holística é precioso observar as interligações das áreas de TI na empresa e nas áreas de negócio.
14. Distinguir a Governança da Gestão: a Governança visa garantir os interesses das partes interessadas (Stakeholders), avaliando os objetivos corporativos que foram acordados, priorizando metas, tomando decisões e monitorando o desempenho e conformidade desses objetivos. A Gestão precisa cuidar do planejamento, do projeto, da execução e do monitoramento das atividades de acordo com o que foi definido pela governança para atingir os objetivos estratégicos. Assim, em muitas organizações a Governança fica a cargo do conselho de administração sob a liderança do presidente. Já a Gestão é feita pela diretoria executiva liderada pelo Chief Executive Officer (CEO), ou diretor executivo.
Princípio 1 – Atender às Necessidades das Partes Interessadas
As organizações existem para criar valor aos Stakeholders (partes interessadas). Stakeholders podem ter interesses diferentes. Proprietários querem que a empresa gere lucro e clientes querem o atendimento a uma necessidade.
A criação de valor envolve geração de benefícios com riscos otimizados e custo adequado. Por exemplo, uma empresa de TV por assinatura gera valor aos seus clientes fornecendo meios de acesso (hardware e software) aos seus conteúdos licenciados e transmitidos. Órgãos públicos também devem oferecer valor à comunidade, por exemplo, entregando saneamento à população.
Imagine agora que você seja usuário de um serviço de emissão de passagens por celular. Sem dúvidas é um benefício, evita filas, perda de tempo do cliente. Mas, o valor só será obtido se houver risco controlado e custo adequado. Imagine que este serviço seja muito vulnerável a falhas e você poderia ter suas compras canceladas. Ou seja, você perderia viagens marcadas. Por outro lado, imagine também que a empresa cobre de você uma taxa bem alta para usar o recurso de emissão de passagens por celular para compensar os custos operacionais. Assim, se o custo for alto para o cliente, o interesse irá baixar. Se o risco for alto, o mesmo ocorre. Há a necessidade de balanceamento destes itens.
Em relação à TI, está instrinsecamente relacionado ao exemplo anterior. Ou seja, a emissão de passagens, o controle e o pagamento necessitam de infraestrutura e serviços de TI. E, o alinhamento adequado entre TI e requisitos de negócio pode ajudar na otimização do risco e no uso de recursos.
Nas necessidades das partes interessadas são transformadas em ações estratégicas. O COBIT 5 tem mecanismos para tradução dessas necessidades em objetivos corporativos, objetivos de TI e objetivos habilitadores. Isto é chamado no COBIT de COBIT 5 Goals Cascade (Cascata dos Objetivos).
Como pode ser visto na figura a seguir, os direcionadores dos Stakeholders influenciam suas necessidades: mudanças de estratégia, mudanças de tecnologias, mudanças de regulamentos, etc.
As necessidades dos Stakeholders são desdobradas em objetivos corporativos usando o Balanced Scorecard (BSC) como apoio.
Por fim, os objetivos de TI são desdobrados em objetivos habilitadores. Habilitadores são os elementos tangíveis e intangíveis usados na governança e no gerenciamento.
Este cascateamento do COBIT nos permite organizar e entender como a TI pode atender as metas da organização.
O COBIT lista 17 objetivos empresariais genéricos, comuns às empresas e que possuem informações como a dimensão BSC sob a qual o objetivo corporativo se enquadra e a relação entre os três principais objetivos da governança: realização de benefícios, otimização do risco e otimização dos recursos.
Na tabela, “P” representa uma relação primária e “S” relação secundária, ou seja, uma relação mais fraca. Os objetivos corporativos são desdobrados em objetivos de TI com o BSC de TI.
Estes objetivos empresariais genéricos já estavam presentes no COBIT 4.1.
Na tabela a seguir estão os 17 objetivos de TI. Não há uma relação direta (um para um) entre os objetivos das duas tabelas. Mas, os objetivos de TI também se encaixam num BSC para enumerar o que a TI pode fazer, em termos de objetivos genéricos.
Como já mencionado, não há mapeamento direto entre as metas. Há no documento do Framework (página 52) uma tabela de mapeamento, como vista a seguir. Esta tabela define como os objetivos corporativos de TI são mapeados entre si. Com esta tabela é possível identificar o que a TI precisa fazer para atender objetivos corporativ Vejamos um exemplo, imagine que empresa quer aumentar sua participação no mercado. Para isto, foi decidido que o objetivo corporativo a ser atingido é o número 2: “Portifólio de Produtos e Serviços Competitivos”. Feito isto, quais seriam as metas de TI relacionadas a este objetivo corporativo? Bastaria olhar na tabela e ver que são os objetivos:
• [P] 1 – Alinhamento da estratégia de TI e de negócios
• [P] 3 – Compromisso da gerência executiva com a tomada de decisões de TI
• [P] 5 – Benefícios obtidos pelo investimento de TI e porftólio de serviços
• [S] 6 - Transparência dos custos, benefícios e riscos de TI
• [P] 7 - Prestação de serviços de TI em consonância com os requisitos de negócioos.
• [S] 8 - Uso adequado de aplicativos, informações e soluções Tecnológicas
• [S] 9 - Agilidade de TI
• [P] 11 - Otimização de ativos, recursos e capacidades de TI
• [S] 12 - Capacitação e apoio dos processos de negócio através da integração de aplicativos e tecnologia nos processos de negócio
• [P] 13 - Entregas de programas fornecendo benefícios, dentro do prazo, orçamento, e atendendo requisitos e padrões de qualidade
• [S] 14 - Disponibilidade de informações úteis e confiáveis para a tomada de decisão
• [S] 16 - Equipes de TI e de negócios motivadas e qualificadas
• [S] 17 - Conhecimento, expertise e iniciativas para a inovação dos negócios
Perceba que alguns dos objetivos são “Primários” enquanto outros sáo “Secundários”. Isso será considerado na implementaçãodas ações da TI.
Princípio 2 – Cobrir a Organização de Ponta a Ponta
O COBIT 5 integra a Governança Empresarial de TI dentro da Governança Empresarial. Uma organização pode ter Governança Financeira, Corporativa, Empresarial. A Governança de TI precisa se comunicar com essas outras estruturas da Empresa.
Na documentação do COBIT cada um dos 37 processos possui uma matriz RACI com os papéis envolvidos em cada processo.
Habilitadoresda governançaEscopoda governançaFunções, atividades e relacionamentos
Como visto na figura anterior, a abordagem da Governança de Ponta a Ponta do COBIT 5 apresenta os Habilitadores de Governança que são recursos organizacionais usados como práticas, princípios e estruturas, o escopo da Governança que representa as áreas envolvidas da empresa e as funções, atividades e relações que definem envolvidos, suas responsabilidades e interação nos processos.
Os Proprietários e Partes Interessadas delegam poderes e geram necessidades para os responsáveis pela Governança, o Conselho de Administração. Este Conselho define direções para o Corpo Diretivo que instrui e alinha o pessoal de Operações e Execução.
O pessoal de Operações e Execução reporta ao Corpo Diretivo informações de monitoramento para que seja verificado se os objetivos de Governança estão sendo alcançados.
Por sua vez, o Corpo Diretivo reporta ao Conselho de Administração que tem como função prestar contas aos Proprietários e Stakeholders.
Essa abordagem é usada tanto na Governança Empresarial, quanto na Governança de TI. O COBIT 5 mapeia todos os papéis envolvidos no sistema de governança e não só papéis relacionados à TI.
Princípio 3 – Aplicar um Framework Único e Integrado
Dentro do COBIT 5 vamos encontrar nos processos de TI práticas referindo-se ao VAL IT e ao RISK IT, outros frameworks da ISACA.
O COBIT 5 também se alinha com as normas e frameworks mais relevantes usadas por empresas no mundo todo como ISO 9.000, TOGAF, CMMI, PMBOK, dentre outros.
Assim, o COBIT 5 pode ser usado como um framework integrador. Esta é uma das principais diferenças em relação ao COBIT 4.1.
Princípio 4 – Permitir uma Abordagem Holística
O COBIT 5 tem habilitadores divididos em 7 categorias, como visto na figura a seguir.
1. Princípios, Políticas e Frameworks: guias e direcionamentos para estabelecimento de arquiteturas, para lidar com as informações, a orientação das estruturas organizacionais.
2. Processos: Processos de TI usados para gerenciar as atividades de TI que geram saídas e resultados visando ao atendimento de objetivos de TI e, por conseguinte, objetivos empresariais.
3. Estruturas Organizacionais: comitês, estruturas de governança, ou seja, entidades que auxiliam a tomada de decisão.
4. Cultura, Ética e Comportamento: aquilo que as pessoas fazem, seus hábitos, influenciam a gestão e a governança e será preciso adaptar alguns desses hábitos.
5. Informação: TI entrega informação (de clientes, financeiras) para o negócio.
6. Serviços, Infraestruturas e Aplicativos: TI oferece para gerenciamento de informação.
7. Pessoas, Habilidades e Competências: pessoas que realizarão as atividades precisarão ter algumas características para conseguir realizá-las.
Princípio 5 – Distinguir a Governança da Gestão
O COBIT 5 divide os processos de governança e gestão de TI em duas principais áreas: Gover De acordo com o Framework do COBIT 5 a Governança assegura que os objetivos de negócio da empresa sejam alcançados de acordo com as necessidades das partes interessadas. O Gerenciamento planeja, constrói, entrega e monitora atividades alinhadas com a direção estabelecida com a equipe de governança e sob a liderança do Chief Executive Officer 
Com isto, no COBIT 5 os processos abrangem toda a gama de negócios e atividades relacionadas à Governança e Gestão de TI das empresas, visando o modelo de processo para toda a organização.
No COBIT 4 havia a perspectiva do Cubo onde existiam 4 recursos de TI. Agora, como vimos, o COBIT 5 tra Os habilitadores, ora Recursos de TI no COBIT 4.1, ao lado direito do Cubo, continham os seguintes recursos de TI:
• Aplicativos
• Informaçõestam-nos como Habilitadores e são sete.
• Infraestrutura
• Pessoas
Alguns princípios, políticas e frameworks eram mencionados no COBIT 4.1, em alguns processos. A estrutura organizacional estava implícita através dos papéis na matriz RACI (Responsible, Accountable, Consulted, Informed – Responsável, Cobrado, Consultado, Informado).
• Domínios
• Processos
• Atividades
Requisitos de Negócio:
• Efetividade
• Eficiência
• Confidencialidade
• Integridade
• Disponibilidade
• Conformidade
• Confiabilidade
No COBIT 4.1 as atividades de TI eram definidas por um modelo de processos genéricos, conforme figura abaixo, com os quatro seguintes domínios: Planejar e Organizar; Adquirir e Implementar; Entregar e Suportar; e, Monitorar e Avaliar. Utilizando o ciclo tradicional de melhoria contínua (PDCA), esses domínios são distribuídos nos 34 processos mostrados na figura e mapeiam os agrupamentos usuais existentes em uma organização de TI.
Já o COBIT 5 traz uma organização diferente. A primeira mudança é na quantidade de processos e domínios. Na versão 4.1 eram 4 domínios e 34 processos. Na versão 5 agora são 5 domínios e 37 processos. Agora há os processos de Governança onde há um domínio Evaluate, Direct and Monitor (EDM – Avaliar, Dirigir e Acompanhar) que possui 5 processos. Os demais domínios do COBIT 4.1 sofreram algumas mudanças e se distribuem da forma a seguir:
COBIT 4.1
Plano e organizar (Planejar e Organizar) – 10 processos
 adquirir e implementar (e de Adquirir ou) processos de 13
-7 processos de entrega e suporte (Entregar e Suportar) 
– monitorar e avaliar (Monitorar e Avaliar) – 4 processos
 Total = 34 processos
COBIT 5
Alinhar, planejar e organizar (Alinhar, Planejar e Organizar) – 13 processos de compilação
 adquirir e implementar (Construir, Adquirir e ou) – entregar 10 processos,
 serviços e suporte (Entregar, Servir e Suportar) – 6 processos
Monitor, (avaliação e avaliar Monitorar, Avaliar e Analisar – 3 processos
 avaliar, direta e Monitor (Avaliar, Dirigir e Acompanhar) – 5 processos 
Total = 37 processos
A Maturidade do processo no COBIT 4.1 foi alterada para avaliação da capacidade (Capability Assessment) e esta foi baseada na ISO/IEC 15504 de Engenharia de Software, contendo uma escala de 0 a 5 e com significados diferentes do COBIT 4.1. Um dos maiores desafios da organização é o de conseguir entender o quanto de aprofundamento deve ser adotado pelos mecanismos de controle e medição de desempenho. É importante saber o que deve ser medido, como e onde obter os dados, como analisar os resultados e qual o caminho a ser percorrido mantendo a relação de custo versus benefício. 
Na figura a seguir podemos ver o resumo do modelo de capacidade do COBIT 5.
A abordagem do COBIT 4.1 para essas questões era feita através de Modelos de maturidade, Metas e medições de desempenho e Objetivos de atividades. No COBIT 5 essa abordagem é feita pela Capacidade de Processo. Vejamos na comparação a seguir
	COBIT 4.1 – NÍVEL DO MODELO DE MATURIDADE
	CAPACIDADE DE PROCESSO NO COBIT 5, BASEADA NA ISO/IEC 15504
	0 – Não existente: falta qualquer processo reconhecível. 
	Nível 0 – Processo Incompleto: processo não implementado ou não alcança seu propósito.
	1 – Inicial / Ad hoc: a organização reconhece que há questões a serem tratadas, mas não há processos padronizados. Existem algumas abordagens aplicadas caso a caso e de forma desorganizada.
	Nível 1 – Processo realizado: processo alcança seu objetivo. 
	2 – Repetível, porém intuitivo: processos caminham para procedimentos similares, com repetição. Não há ainda treinamentos ou comunicações formais. Há muita confiança na responsabilidade individual, podendo ocasionar erros.
	Nível 2 – Processo Gerenciado: o nível 1 é agora implementado de forma que possa ser planejado, monitorado e ajustado com produtos estabelecidos em seus resultados.
	3 – Definido: procedimentossão padronizados e documentados. Os processos devem ser seguidos e mesmo não sendo sofisticados representam a formalização das práticas existentes.
	Nível 3 – Processo Estabelecido: o nível 2 agora tem um processo definido alcançando resultados de processo.
	4 – Gerenciado e Mensurável: há monitoria da gerência e medições de conformidade. Processos são revisados para melhorias e há alguma automação de tarefas.
	Nível 4 – Processo Previsível: o nível 3 opera nos limites de qualidade estabelecidos.
	5 – Otimizado: processos são refinados a níveis de boas práticas, a TI é usada de forma integrada e automatiza fluxos de trabalho, fornece ferramentas para melhoria de qualidade. 
	Nível 5 – Processo em Otimização: o nível 4 agora é melhorado continuamente 
Modelo de Referência e Domínios de Processo no COBIT 5
Como podemos ver são 5 domínios de processo. Na parte em cinza há os processos relacionados à Governança: Avaliar, Dirigir e Monitorar (EDM). E na parte azul há mais 4 domínios relacionados ao Gerenciamento de TI: Alinhar, Planejar e Organizar (APO), Construir, Adquirir e Implementar (BAI), Entregar, Serviço e Suporte (DSS), Monitorar, Avaliar e Analisar (MEA).
Os quatro domínios de Gerenciamento de TI são muito parecidos com os processos e domínios do COBIT 4.1. Já no COBIT 5 há os processos de Governança ao todo são 37 processos, ao invés dos 34 anteriores.
A seguir vamos resumir as características dos principais processos nos domínios com base no conteúdo do material ISACA. Para mais detalhes consulte o framework e a publicação COBIT 5 Enabling Process
Avaliar, Dirigir e Monitorar (EDM)
• EDM01 – Garantir a Definição e Manutenção do Modelo de Governança: visa analisar os requisitos para Governança de TI da organização e colocar em prática os princípios e processos, esclarecendo as responsabilidades e autoridades para alcance das missões, das metas e dos objetivos da organização.
• EDM02 – Garantir a Realização de Benefícios: visa otimizar e entregar o valor ao negócio pelos serviços de TI, pelos ativos e pelos próprios processos de negócio.
• EDM03 – Garantir a Otimização do Risco: visa assegurar o gerenciamento do risco, o entendimento do risco empresarial e a análise da tolerância do mesmo.
• EDM04 – Garantir a Otimização dos Recursos: visa assegurar que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo.
• EDM05 – Garantir a Transparência para as Partes Interessadas: visa assegurar que a medição e relatórios de desempenho e conformidade da TI corporativa sejam transparentes para os stakeholders aprovarem as metas, métricas e as ações corretivas necessárias.
Alinhar, Planejar e Organizar (APO) APO01 – Gerenciar a Estrutura de Gestão de TI: visa esclarecer e manter a missão e visão da Governança de TI da organização; implementar e manter mecanismos e autoridades para gerenciar a informação e o uso da TI na organização. 
APO02 – Gerenciar a Estratégia: visa fornecer uma visão holística do negócio e ambiente de TI atual, a direção futura, e as iniciativas necessárias para migrar para o ambiente futuro desejado. 
APO03 – Gerenciar a Arquitetura de Governança: visa estabelecer uma arquitetura comum que consiste em processos de negócios, informações, dados, aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de negócio e de TI por meio da criação de modelos e práticas-chave que descrevem a arquitetura de linha de base. 
APO04 – Gerenciar a Inovação: visa manter uma consciência de TI e tendências de serviços relacionados, identifica oportunidades de inovação e planeja como se beneficiar da inovação em relação às necessidades do negócio; influenciar o planejamento estratégico e as decisões de arquitetura corporativa. 
APO05 – Gerenciar Portfólio: visa executar o conjunto de orientações estratégicas para os investimentos alinhados com a visão de arquitetura corporativa e as características desejadas do investimento e considerar as restrições de recursos e de orçamento; avaliar, priorizar programas e serviços, gerenciar demanda dentro das restrições de recursos e de orçamento, com base no seu alinhamento com os objetivos estratégicos e risco; mover programas selecionados para o 
88 • capítulo 3 
portfólio de serviços para execução; monitorar o desempenho de todo o portfólio de serviços e programas, propondo os ajustes necessários em resposta ao programa e desempenho do serviço ou mudança de prioridades da organização. 
• APO06 – Gerenciar Orçamento e Custos: visa administrar as atividades financeiras relacionadas a TI tantos nas funções de negócios e de TI, abrangendo orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos para a organização. 
• APO07 – Gerenciar Recursos Humanos: visa fornecer uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as habilidades dos recursos humanos, incluindo a comunicação de papéis e responsabilidades definidas, planos de aprendizagem e de crescimento, e as expectativas de desempenho, com o apoio de pessoas competentes e motivadas. 
• APO08 – Gerenciar Relacionamentos: visa gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta foco na realização de um objetivo comum. 
• APO09 – Gerenciar Contratos de Prestação de Serviços: visa alinhar serviços de TI e níveis de serviço com as necessidades e expectativas da organização, incluindo identificação, especificação, projeto, publicação, acordo, e acompanhamento de serviços de TI, níveis de serviço e indicadores de desempenho. 
• APO10 – Gerenciar Fornecedores: visa gerenciar serviços relacionados a TI prestados por todos os tipos de fornecedores para atender às necessidades organizacionais, incluindo a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão e monitoramento de desempenho de fornecedores para a efetividade e conformidade. 
• APO11 – Gerenciar Qualidade: visa definir e comunicar os requisitos de qualidade em todos os processos, os procedimentos e os resultados das organizações, incluindo controles, monitoramento contínuo, e o uso de práticas comprovadas e padrões na melhoria contínua e esforços de eficiência. 
• APO12 – Gerenciar Riscos: visa identificar continuamente, avaliar e reduzir os riscos relacionados a TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva da organização. 
• APO13 – Gerenciar Segurança: visa definir, operar e monitorar um sistema para a gestão de segurança da informação. 
Fonte: COBIT 5, Enabling Processcapítulo 3 • 89 
3.6.3 Construir, Adquirir e Implementar (BAI) BAI01 – Gerenciar Programas e Projetos: visa gerenciar todos os programas e projetos do portfólio de investimentos em alinhamento com a estratégia da organização e de forma coordenada; iniciar, planejar, controlar e executar programas e projetos, e finalizar com uma revisão pós-implementação. 
BAI02 – Gerenciar Definição de Requisitos: visa identificar soluções e analisar os requisitos antes da aquisição ou criação para assegurar que eles estão em conformidade com os requisitos estratégicos corporativos que cobrem os processos de negócio, aplicações, informações/dados, infra-estrutura e serviços; coordenar com as partes interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios, análise de risco e aprovação de requisitos e soluções propostas. 
BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções: visa estabelecer e manter soluções identificadas em conformidade com os requisitos da organização abrangendo design, desenvolvimento, aquisição/terceirização e parcerias com fornecedores/vendedores; gerenciar configuração, teste de preparação, testes, requisitos de gestão e manutenção dos processos de negócio, aplicações, informações/dados, infraestruturae serviços. 
BAI04 – Gerenciar Disponibilidade e Capacidade: visa equilibrar as necessidades atuais e futuras de disponibilidade, desempenho e capacidade de prestação de serviços de baixo custo; incluir a avaliação de capacidades atuais, a previsão das necessidades futuras com base em requisitos de negócios, analisar impactos nos negócios e avaliação de risco para planejar e implementar ações para atender as necessidades identificadas. 
BAI05 – Gerenciar Capacidade de Mudança Organizacional: maximizar a probabilidade de implementar com sucesso a mudança organizacional sustentável em toda a organização de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo da mudança e todas as partes interessadas e afetadas no negócio e TI. 
BAI06 – Gerenciar Mudanças: visa gerenciar todas as mudanças de uma maneira controlada, incluindo mudanças de padrão e de manutenção de emergência relacionadas com os processos de negócio, aplicações e infraestrutura, incluindo os padrões de mudança e procedimentos, avaliação de impacto, priorização e autorização, mudanças emergenciais, acompanhamento, elaboração de relatórios, encerramento e documentação. 
90 • capítulo 3 
BAI07 – Gerenciar Aceitação e Transição da Mudança: visa aceitar e produzir formalmente novas soluções operacionais, incluindo planejamento de implementação do sistema, e conversão de dados, testes de aceitação, comunicação, preparação de liberação, promoção para produção de processos de negócios e serviços de TI novos ou alterados, suporte de produção e uma revisão pós-implementação. 
BAI08 – Gerenciar Conhecimento: visa manter a disponibilidade de conhecimento relevante, atual, validado e confiável para suportar todas as atividades do processo e facilitar a tomada de decisão; também visa um plano para a identificação, coleta, organização, manutenção, utilização e retirada de conhecimento. 
BAI09 – Gerenciar Ativos: visa gerenciar os ativos de TI através de seu ciclo de vida para assegurar que seu uso agregue valor a um custo ideal. 
BAI10 – Gerenciar Configuração: visa definir e manter as descrições e as relações entre os principais recursos e as capacidades necessárias para prestar serviços de TI, incluindo a coleta de informações, de configuração, o estabelecimento de linhas de base, verificação e auditoria de informações de configuração e atualizar o repositório de configuração. 
Fonte: COBIT 5, Enabling Process
3.6.4 Entregar, Serviço e Suporte (DSS) DSS01 – Gerenciar Operações: visa coordenar e executar as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo a execução de procedimentos operacionais, padrões pré-definidos e as atividades exigidas. 
DSS02 – Gerenciar Solicitações e Incidentes de Serviços: visa fornecer uma resposta rápida e eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes; restaurar o serviço normal; reportar e atender às solicitações dos usuários e registro, investigar, diagnosticar, escalar e solucionar incidentes. 
DSS03 – Gerenciar Problemas: visa identificar e classificar os problemas e suas causas raízes e fornece solução para prevenir incidentes recorrentes. Fornece recomendações de melhorias. 
DSS04 – Gerenciar Continuidade: visa estabelecer e manter um plano para permitir ao negócio e a TI responder a incidentes e interrupções, a fim de continuar a operação de processos críticos de negócios e serviços de TI 
capítulo 3 • 91 
necessários, mantém a disponibilidade de informações em um nível aceitável para a organização. 
• DSS05 – Gerenciar Serviços de Segurança: visa proteger informações da organização para manter o nível de risco aceitável para a segurança da informação da organização, de acordo com a política de segurança. Estabelece e mantém as funções de segurança da informação e privilégios de acesso e realiza o monitoramento de segurança. 
• DSS06 – Gerenciar Controles do Processo de Negócio: visa definir e manter controles de processo de negócio apropriados para assegurar que as informações relacionadas e processadas satisfaçam todos os requisitos de controle de informações relevantes. 
Fonte: COBIT 5, Enabling Process
3.6.5 Monitorar, Avaliar e Analisar (MEA) MEA01 – Monitorar, Avaliar e Analisar Desempenho e Conformidade: visa coletar, validar e avaliar os objetivos e métricas do processo de negócios e de TI; monitorar se os processos estão realizando conforme metas e métricas de desempenho e conformidade acordadas e fornece informação que é sistemática e oportuna. 
MEA02 – Monitorar, Avaliar e Analisar o Sistema de Controle Interno: visa monitorar e avaliar continuamente o ambiente de controle, incluindo auto-avaliações e análises de avaliações independentes. 
MEA03 – Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos: visa avaliar se processos de TI e processos de negócios suportados pela TI estão em conformidade com as leis, regulamentos e exigências contratuais. 
Fonte: COBIT 5, Enabling Process
3.7 Implementação
No capítulo 7 do framework há informações sobre a implementação do COBIT 5. Há, por exemplo, a indicação de reconhecimento de pontos de dor ou eventos de gatilho para serem usados como disparadores de mudança na organização.
Alguns exemplos de pontos de dor seriam: fracassos em projetos de TI, falha no cumprimento de regulamentação, custos elevados de TI para resolver o negócio, dentre outros.
Ou seja, quando a organização começa a ter problemas com a TI, pontos de dor, ela passa a se interessar com a governança de TI e isto pode ser usado como disparadores, argumentos para realização de melhorias.
O Ciclo de vida de implementação do COBIT é uma forma das empresas usarem o COBIT 5 para lidar com os desafios encontrados ao longo da implementação da Governança de TI. Como podemos ver na figura a seguir há questões externas, motivadores (drivers) para nos orientar. Para cada questão há 3 níveis de ações em componentes. No ciclo de vida do COBIT 5 há a divisão em 3 componentes:
Gestão do Programa (Anel Externo) 
Capacitação da Mudança (Anel Intermediário) 
Ciclo de Vida de Melhoria Contínua (Anel Interno)