Baixe o app para aproveitar ainda mais
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
COBIT 5 O objetivo principal da Governança de TI é alinhar a TI aos requisitos do negócio. Promover o posicionamento mais claro e consistente da TI em relação às demais áreas de negócios da empresa, traduzindo as estratégias dos negócios em planos, aplicações, infraestrutura de TI, processos; Promover o alinhamento da arquitetura de TI às necessidades do negócio, visando o presente e o futuro; Prover a TI com estrutura suficiente para gestão do risco e compliance; A informação é, um recurso chave para todas as empresas. Cientes desta realidade, as corporações e seus executivos precisam: • Manter informações de qualidade para dar suporte às decisões de negócio; • Gerar valor dos investimentos em TI, atingir metas estratégicas e entregar benefícios de negócio por meio do efetivo uso da TI; • Conseguir excelência operacional através da aplicação eficiente e confiável da tecnologia; • Manter os riscos de TI a um nível aceitável; • Otimizar o custo dos serviços de TI. O COBIT 5 habilita a TI a ser governada e gerenciada de uma forma holística para toda a empresa, cuidando, de ponta-a-ponta, do negócio e das áreas funcionais de TI, considerando os interesses de stakeholders internos e externos. O COBIT 5, desenvolvido pela ISACA (Information Systems Audit and 76830276004 Control Association), é genérico e utilizável por empresas de todos os tamanhos, sejam elas comerciais, sem fins lucrativos ou órgãos públicos. Sua estrutura é composta pelos seguintes produtos: • O COBIT 5 (framework) Os Guias Habilitadores, cuja publicação principal é o COBIT 5: Enabling Processes – publicação paga, que inclui detalhes sobre os 37 processos, entradas, saídas, responsabilidades pelas atividades e outros. Ainda, associa os processos com outros frameworks do mercado. Os Guias Profissionais, com destaque para o COBIT 5: Implementation, COBIT 5 for Information Security, COBIT 5 for Assurance e COBIT 5 for Risk. Ambiente online colaborativo, para oferecer suporte ao uso do COBIT 5. �Ainda, o COBIT 5 busca conexão e alinhamento a outros frameworks e padrões do mercado, como a ITIL, TOGAF, PMBOK, PRINCE2, COSO e padrões ISO (em especial a ISO/IEC 38500:2008 – Governança Corporativa da Tecnologia da Informação). O COBIT 5 faz uma distinção clara entre Governança e Gerenciamento, e esta distinção também deve ser bastante clara para você. Pro COBIT: 2.3 Governança x Gerenciamento governança A assegura que as necessidades, as condições e as opções dos stakeholders sejam avaliadas para determinar os objetivos empresarias a serem alcançados; Define a direção por meio de priorização e tomada de decisão; Monitora o desempenho e conformidade com relação aos objetivos. A responsabilidade pela Governança é da alta direção, embora algumas responsabilidades específicas possam ser delegadas para estruturas organizacionais especiais, no nível apropriado, em particular para organizações grandes e complexas. O gerenciamento (gestão) Planeja, constrói, executa e monitorar atividades alinhadas com a direção estratégica estabelecida pela governança para atingir os objetivos empresariais. Na maioria das organizações, o gerenciamento é responsabilidade da gerência executiva, sob a liderança do chefe diretor executivo (CEO). Princípios do COBIT 5 O COBIT 5 é norteado por cinco princípios: 1 - Atendendo as necessidades dos stakeholders (Meeting Stakeholders Needs) Empresas existem para criar valor para os seus stakeholders. Por consequência, criar valor será um objetivo da governança. Criar valor é alcançar benefícios otimizando a utilização de recursos a um risco aceitável. Benefícios podem assumir várias formas, por exemplo, lucro (fins comerciais) ou prestação de serviço público (entidades governamentais). Stakeholders distintos podem enxergar valor sob óticas distintas, e até mesmo conflitantes, o que torna a governança uma tarefa não trivial. Nesse sentido, o COBIT 5 apresenta a cascata de metas (COBIT 5 Goals Cascade), que é um mecanismo a ser utilizado para traduzir as necessidades dos stakeholders em metas empresariais (de negócio), metas de TI relacionadas e metas habilitadoras. Tais metas devem ser específicas, tangíveis e customizadas para a organização. A cascata possui 4 passos, a saber: Passo 1. O Direcionamento do stakeholder influencia suas necessidades Passo 2. As necessidades cascateiam para as metas de negócio Passo 3. Metas de negócio cascateiam para metas de TI relacionadas �Passo 4. Metas de TI relacionadas cascateiam para metas habilitadoras 2 - Cobrindo a empresa de ponta-a-ponta (Covering the Enterprise End-to-End) O COBIT 5 trata a governança e a gestão da TI de ponta-a-ponta. Isso implica em: • Integração da governança de TI com a governança corporativa, ou seja, o modelo proposto pelo COBIT 5 se integra sem problemas com qualquer metodologia de governança corporativa; • Cobertura de todas as funções e processos requeridos para governar e gerenciar a TI na organização. Dado esse escopo,o COBIT 5 trata de todos os serviços de TI internos e externos, bem como os processos de negócio internos e externos . Essa abordagem de Governança de ponta-a-ponta se dá por meio do Escopo de Governança, dos Habilitadores da Governança e dos Papéis, Atividades e Relacionamentos. 76830276004 Essa abordagem de Governança de ponta-a-ponta se dá por meio do Escopo de Governança, dos Habilitadores da Governança e dos Papéis, Atividades e Relacionamentos. Escopo de Governança: a governança pode ser aplicada em toda a organização, em uma entidade, em um ativo tangível ou intangível. É essencial definir o escopo da Governança. Habilitadores da Governança: são os recursos organizacionais que podem ser aplicados na Governança, como os frameworks, princípios, estruturas, processos e práticas. Também incluem os recursos empresariais (infraestrutura, aplicações, pessoas a informação). Papéis, Atividades e Relacionamentos: Definem quem está envolvido com a governança, como estão envolvidos, o que eles fazem, como interagem. 3 - Aplicando um framework único e integrado (Applying a Single Integrated Framework) O COBIT 5 é um framework único e integrado porque: • Está alinhado com outros padrões e frameworks recentes, ainda podendo ser utilizado como framework de integração de governança e gestão; • Integra todo o conhecimento disperso em diferentes frameworks da ISACA, como COBIT, Val IT, Risk IT, BMIS e outros. �4 - Possibilitando uma abordagem holística (Enabling a Holistic Approach) Os Habilitadores (Enablers) são fatores que, individualmente e coletivamente, influenciam algo que deverá funcionar – no caso, a governança e gerenciamento de TI. Os habilitadores são guiados pelas metas de TI, que, por sua vez, são guiadas pelas metas de negócio. O COBIT 5 possui sete categorias de habilitadores, a saber: Princípios, políticas e frameworks : veículos que traduzem o comportamento desejado em guias práticos para o gerenciamento cotidiano; Processos: conjunto organizado de práticas e atividades para alcançar certos objetivos, e produção de um conjunto de saídas que servirão para o alcance das metas de TI; Estruturas organizacionais: entidades-chave, tomadoras de decisões em uma empresa; Cultura,ética e comportamento: com frequência, tais elementos são subestimados como fator de sucesso, tanto dos indivíduos como da corporação como um todo; • Informação: toda a informação produzida e utilizada pela empresa. Mantém a organização funcionando e bem governada. No nível operacional, frequentemente é o produto-chave da empresa; • Serviços, infraestrutura e aplicativos: toda a infraestrutura, tecnologia e aplicativos que fornece à empresa serviços e capacidade de processamento de TI; • Pessoas, habilidades e competências: necessárias para a realização com sucesso das atividades e tomar decisões corretas e ações corretivas. * - As quatro dimensões são dos Habilitadores: Stakeholders: cada habilitador terá interessados que participam ativamente ou possuem interesse no habilitador; Metas (goals): cada habilitador terá um número de metas. As metas são o passo final na cascata de objetivos do COBIT 5. Podem ser categorizadas em: o Qualidade intrínseca: medida em que habilitadores funcionam com precisão, objetividade e fornecem informações precisas e objetivas. o Qualidade contextual: medida em que habilitadores e seus resultados atendem ao propósito, dado o contexto em que operam. o Acesso e segurança: medida em que habilitadores e seus resultados são acessíveis e seguros. Ciclo de vida: cada habilitador possui um ciclo de vida, desde o seu início, passando por uma fase operacional até o seu descarte. São fases do ciclo de vida: o Planejar o Projetar o Construir/Adquirir/Criar/Implementar o Usar/Operar �o Avaliar/Monitorar o Atualizar/Descartar Boas práticas: para cada habilitador, boas práticas podem ser definidas. Boas práticas apoiam a consecução das metas do 76830276004 habilitador. Boas práticas fornecem exemplos ou sugestões sobre a melhor forma de implementar o habilitador, e quais os produtos de trabalho, entradas e saídas são necessários. Gerenciamento de desempenho dos Habilitadores As corporações esperam resultados positivos dos aplicativos e do uso dos habilitadores. Para gerenciar a performance dos habilitadores, algumas questões devem ser monitoradas para serem respondidas, com base em métricas: - As necessidades dos stakeholders foram atendidas? - As metas dos habilitadores foram alcançadas? - O ciclo de vida do habilitador é gerenciado? - As boas práticas são aplicadas? As duas primeiras questões lidam com a saída atual do habilitador. A medida usada para medir o alcance das metas podem ser chamadas de lag indicators, ou métricas para o alcance das metas. As duas últimas questões, por seu turno, lidam com o funcionamento atual do indicador, e as métricas podem ser chamadas de lead indicators, ou métricas para aplicação da prática. 5 - Separando a Governança do Gerenciamento (Separating Governance from Management) Modelo de Referência de Processos O Cobit 5 possui 37 processos, agrupados em um domínio de governança e quatro domínios de gerenciamento. Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os objetivos de governança e gerenciamento sejam alcançados. Pequenas empresas poderão possuir menos processos; organizações maiores e mais complexas podem ver muitos processos, todos cobrindo os mesmos objetivos. São eles: Avaliar, Dirigir e Monitorar (EDM) - Este domínio lista as �responsabilidades da alta direção para a avaliação, direcionamento e monitoração do uso dos ativos de TI para a criação de valor. Este domínio cobre a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor para a organização (ex. critérios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex. otimização de recursos), além da transparência da TI para os stakeholders. Seus cinco processos são: EDM01 – Assegurar o Estabelecimento e Manutenção do Framework de Governança EDM02 – Assegurar a Entrega de Benefícios EDM03 – Assegurar a Otimização de Riscos EDM04 – Assegurar a Otimização de Recursos EDM05 - Assegurar a Transparência para as partes interessadas – Alinhar, Planejar e Organizar (APO) Este domínio diz respeito à identificação de como a TI pode contribuir melhor com os objetivos de negócio. Processos específicos do domínio APO estão relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de portfólio, orçamento, qualidade, riscos e segurança. Seus 13 processos são: APO01 – Gerenciar o Framework de Gestão de TI APO02 – Gerenciar a Estratégia APO03 – Gerenciar a Arquitetura Corporativa APO04 – Gerenciar a Inovação APO05 – Gerenciar o Portfólio APO06 – Gerenciar Orçamento e Custos APO07 – Gerenciar Recursos Humanos APO08 – Gerenciar as Relações APO09 – Gerenciar os Acordos de Serviço APO10 – Gerenciar os Fornecedores APO11 – Gerenciar a Qualidade APO12 – Gerenciar os Riscos APO13 – Gerenciar a Segurança Construir, Adquirir e Implementar (BAI) - torna a estratégia de TI concreta, identificando os requisitos para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este domínio também endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento. Possui 10 processos, a saber: BAI01 – Gerenciar Programas e Projetos BAI02 – Gerenciar a Definição de Requisitos BAI03 – Gerenciar a Identificação e Construção de Soluções BAI04 – Gerenciar a Disponibilidade e Capacidade BAI05 – Gerenciar a Implementação de Mudança Organizacional BAI06 – Gerenciar Mudanças BAI07 – Gerenciar Aceitação da Mudança e Transição BAI08 – Gerenciar o Conhecimento BAI09 – Gerenciar os Ativos BAI10 – Gerenciar a Configuração Entregar, Servir e Suportar (DSS) - Este domínio se refere à entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos. O domínio inclui processos para gerenciar operações, requisições de serviços e incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle de processos de negócio. São os seus seis processos: DSS01 – Gerenciar as Operações DSS02 – Gerenciar Requisições de Serviço e Incidentes DSS03 – Gerenciar Problemas DSS04 – Gerenciar a Continuidade DSS05 – Gerenciar Serviços de Segurança DSS06 – Gerenciar os Controles de Processos de Negócio Monitorar, Avaliar e Medir (MEA) - monitora o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos. Contém 3 processos: �MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir o Sistema de Controle Interno MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Modelo de capacidade do COBIT 5 O COBIT 5 apresenta um modelo para a avaliação da capacidade dos processos de TI da organização, baseado na norma internacionalmente reconhecida ISO/IEC 15504 de Engenharia de Software. Existem seis níveis de capacidade que um processo pode alcançar, incluindo um “processo incompleto” – nível 0, para processos que não alcançam o seu propósito: Nível 0 - Processo Incompleto: o processo não está implementado ou não atinge seu objetivo. Nesse nível, há pouca ou nenhuma evidência de realização sistemática do propósito do processo. Nível 1 - Processo Realizado: o processo está implementado e atinge seu propósito. Nível 2 - Processo Gerenciado: o processo previamente descrito como realizado agora é implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos. Nível 3 - Processo Estabelecido: o processo previamente descrito como gerenciado agora é implementado usando um processo definido que é capaz de alcançar os seus resultados de processo. Nível 4 - Processo Previsível: o processo previamente descrito como estabelecido agora opera dentro de limites definidos para alcançar seus resultados de processo. Nível 5 - Processo Em Otimização: o processo previamente descrito como previsível é continuamente melhorado para atender aos objetivos de negócio. Para avaliar os atributos de processo, utiliza-se uma escala oriunda da ISO/IEC 15504, na qual: N (não alcançado): há pouca ou nenhuma evidência de realização do atributo de processo no processo avaliado (0% a 15% de realização). P (parcialmente alcançado): há alguma evidência de realização do atributo de processo no processo �avaliado. Alguns aspectos da realização do atributo podem ser imprevisíveis (15% a 50% de realização). L (largamente alcançado): há evidência de uma realização significativa do atributo de processo no processo avaliado. Algumas fraquezas relacionadas a este atributo podem existir no processo avaliado (50% a 85% de realização). F (totalmente alcançado): há evidência de uma realização completa do atributo de processo no processo avaliado. Não há deficiências significativas associadas a este atributo no processo avaliado (85% a 100% de realização). �Eneablers Princípios 1- Princípios, Políticas e Frameworks 1 - Atendendo as necessidades dos Domínios de Governança Avaliar, Dirigir e Monitorar stakeholders 2 - Processos 2- Cobrindo a empresa de ponta-a-ponta EDM01 – Assegurar o Estabelecimento e Manutenção do Framework de Governança 3 - Estruturas organizacionais 3- Aplicando um framework único e integrado EDM02 – Assegurar a Entrega de Benefícios 4- Cultura, Ética e comportamaneto 4 -Possibilitando uma abordagem holística EDM03 – Assegurar a Otimização de Riscos 5 - Informação 5 - Separando a Governança do Gerenciamento EDM04 – Assegurar a Otimização de Recursos 6 – Serviços, infraestrutura e aplicativos EDM05 - Assegurar a Transparência para as partes interessadas 7- Pessoas, habilidades e competências Domínios de Gestão Alinhar, Planejar e Organizar (APO) Construir, Adquirir e Implementar (BAI) Entregar, Servir e Suportar (DSS) Monitorar, Avaliar e Medir (MEA) APO01 – Gerenciar o BAI01 – Gerenciar Framework de Gestão de Programas e Projetos TI DSS01 – Gerenciar as Operações MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade APO02 – Gerenciar a Estratégia BAI02 – Gerenciar a Definição de Requisitos DSS02 – Gerenciar MEA02 – Monitorar, Requisições de Serviço e Avaliar e Medir o Incidentes Sistema de Controle Interno APO03 – Gerenciar a Arquitetura Corporativa BAI03 – Gerenciar a Identificação e Construção de Soluções DSS03 – Gerenciar Problemas MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos APO04 – Gerenciar a Inovação BAI04 – Gerenciar a Disponibilidade e Capacidade DSS04 – Gerenciar a Continuidade APO05 – Gerenciar o BAI05 – Gerenciar a DSS05 – Gerenciar �Portfólio Implementação de Serviços de Segurança Mudança Organizacional APO06 – Gerenciar Orçamento e Custos BAI06 – Gerenciar Mudanças APO07 – Gerenciar Recursos Humanos BAI07 – Gerenciar Aceitação da Mudança e Transição APO08 – Gerenciar as Relações BAI08 – Gerenciar o Conhecimento APO09 – Gerenciar os Acordos de Serviço BAI09 – Gerenciar os Ativos APO10 – Gerenciar os Fornecedores BAI10 – Gerenciar a Configuração DSS06 – Gerenciar os Controles de Processos de Negócio APO11 – Gerenciar a Qualidade APO12 – Gerenciar os Riscos APO13 – Gerenciar a Segurança Modelo de Capacidade - ISO/IEC 15504 de Engenharia de Software Nível 0 Nível 1 Processo Incompleto Processo Realizado o processo não está implementado ou não atinge seu objetivo. Nesse nível, há pouca ou nenhuma evidência de realização sistemática do propósito do processo. o processo está implementad o e atinge seu propósito. Nível 2 Processo Gerenciado o processo previamente descrito como realizado agora é implementado de forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos. Nível 3 Processo Estabelecido o processo previamente descrito como gerenciado agora é implementado usando um processo definido que é capaz de alcançar os seus resultados de processo. Nível 4 Processo Previsível o processo previamente descrito como estabelecido agora opera dentro de limites definidos para alcançar seus resultados de processo. Nível 5 Processo Em Otimização o processo previamente descrito como previsível é continuamente melhorado para atender aos objetivos de negócio. ��
Compartilhar