281326019-Resumo-Cobit-5

•
Humanas / Sociais

Cleiton Rosa
10/08/2019
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
COBIT 5
O objetivo principal da Governança de TI é alinhar a TI aos requisitos do negócio.
Promover o posicionamento mais claro e consistente da TI em relação às demais áreas de
negócios da empresa, traduzindo as estratégias dos negócios em planos, aplicações, infraestrutura
de TI, processos;
Promover o alinhamento da arquitetura de TI às necessidades do negócio, visando o presente
e o futuro;
Prover a TI com estrutura suficiente para gestão do risco e compliance;
A informação é, um recurso chave para todas as empresas. Cientes desta realidade, as corporações e
seus executivos precisam:
• Manter informações de qualidade para dar suporte às decisões de negócio;
• Gerar valor dos investimentos em TI, atingir metas estratégicas e entregar benefícios de
negócio por meio do efetivo uso da TI;
• Conseguir excelência operacional através da aplicação eficiente e confiável da tecnologia;
• Manter os riscos de TI a um nível aceitável;
• Otimizar o custo dos serviços de TI.
O COBIT 5 habilita a TI a ser governada e gerenciada de uma forma holística para toda a empresa,
cuidando, de ponta-a-ponta, do negócio e das áreas funcionais de TI, considerando os interesses de
stakeholders internos e externos.
O COBIT 5, desenvolvido pela ISACA (Information Systems Audit and 76830276004
Control Association), é genérico e utilizável por empresas de todos os tamanhos, sejam elas
comerciais, sem fins lucrativos ou órgãos públicos.
Sua estrutura é composta pelos seguintes produtos:
• O COBIT 5 (framework)
Os Guias Habilitadores, cuja publicação principal é o COBIT 5: Enabling Processes –
publicação paga, que inclui detalhes sobre os 37 processos, entradas, saídas, responsabilidades
pelas atividades e outros. Ainda, associa os processos com outros frameworks do mercado.
Os Guias Profissionais, com destaque para o COBIT 5: Implementation, COBIT 5 for
Information Security, COBIT 5 for Assurance e COBIT 5 for Risk.
Ambiente online colaborativo, para oferecer suporte ao uso do COBIT 5.
�Ainda, o COBIT 5 busca conexão e alinhamento a outros frameworks e padrões do mercado, como a ITIL,
TOGAF, PMBOK, PRINCE2, COSO e padrões ISO (em especial a ISO/IEC 38500:2008 – Governança
Corporativa da Tecnologia da Informação).
O COBIT 5 faz uma distinção clara entre Governança e Gerenciamento, e esta distinção também deve ser
bastante clara para você. Pro COBIT:
2.3 Governança x Gerenciamento
governança
A
assegura que as necessidades, as condições e as opções dos stakeholders sejam
avaliadas para determinar os objetivos empresarias a serem alcançados;
Define a direção por meio de priorização e tomada de decisão;
Monitora o desempenho e conformidade com relação aos objetivos.
A responsabilidade pela
Governança é da alta direção,
embora algumas responsabilidades específicas possam ser
delegadas para estruturas organizacionais especiais, no nível apropriado, em particular para organizações
grandes e complexas.
O
gerenciamento (gestão)
Planeja, constrói, executa e monitorar atividades alinhadas com a direção estratégica estabelecida pela
governança para atingir os objetivos empresariais. Na maioria das organizações, o gerenciamento é
responsabilidade da gerência
executiva, sob a liderança do chefe diretor executivo (CEO).
Princípios do COBIT 5
O COBIT 5 é norteado por cinco princípios:
1 - Atendendo as necessidades dos stakeholders
(Meeting Stakeholders Needs)
Empresas existem para criar valor para os seus stakeholders. Por consequência, criar valor será um
objetivo da governança.
Criar valor é alcançar benefícios otimizando a utilização de recursos a um risco aceitável. Benefícios
podem assumir várias formas, por exemplo, lucro (fins comerciais) ou prestação de serviço público
(entidades governamentais). Stakeholders distintos podem enxergar valor sob óticas distintas, e até mesmo
conflitantes, o que torna a governança uma tarefa não trivial. Nesse sentido, o COBIT 5 apresenta a cascata
de metas (COBIT 5 Goals Cascade), que é um mecanismo a ser utilizado para traduzir as necessidades dos
stakeholders em metas empresariais (de negócio), metas de TI relacionadas e metas habilitadoras. Tais metas
devem ser específicas, tangíveis e customizadas para a organização.
A cascata possui 4 passos, a saber:
Passo 1. O Direcionamento do stakeholder influencia suas necessidades
Passo 2. As necessidades cascateiam para as metas de negócio
Passo 3. Metas de negócio cascateiam para metas de TI relacionadas
�Passo 4. Metas de TI relacionadas cascateiam para metas habilitadoras
2 - Cobrindo a empresa de ponta-a-ponta
(Covering the Enterprise End-to-End)
O COBIT 5 trata a governança e a gestão da TI de ponta-a-ponta. Isso implica em:
• Integração da governança de TI com a governança corporativa, ou seja, o modelo proposto pelo
COBIT 5 se integra sem problemas com qualquer metodologia de governança corporativa;
• Cobertura de todas as funções e processos requeridos para governar e gerenciar a TI na organização.
Dado esse escopo,o COBIT 5 trata de todos os serviços de TI internos e externos, bem como os
processos de negócio internos e externos .
Essa abordagem de Governança de ponta-a-ponta se dá por meio do Escopo de Governança, dos
Habilitadores da Governança e dos Papéis, Atividades e Relacionamentos.
76830276004
Essa abordagem de Governança de ponta-a-ponta se dá por meio do Escopo de Governança, dos
Habilitadores da Governança e dos Papéis, Atividades e Relacionamentos.
Escopo de Governança: a governança pode ser aplicada em toda a organização, em uma entidade, em
um ativo tangível ou intangível. É essencial definir o escopo da Governança.
Habilitadores da Governança: são os recursos organizacionais que podem ser aplicados na Governança,
como os frameworks, princípios, estruturas, processos e práticas. Também incluem os recursos empresariais
(infraestrutura, aplicações, pessoas a informação).
Papéis, Atividades e Relacionamentos: Definem quem está envolvido com a governança, como estão
envolvidos, o que eles fazem, como interagem.
3 - Aplicando um framework único e integrado
(Applying a Single Integrated Framework)
O COBIT 5 é um framework único e integrado porque:
• Está alinhado com outros padrões e frameworks recentes, ainda podendo ser utilizado como
framework de integração de governança e gestão;
• Integra todo o conhecimento disperso em diferentes frameworks da ISACA, como COBIT, Val IT,
Risk IT, BMIS e outros.
�4 - Possibilitando uma abordagem holística
(Enabling a Holistic Approach)
Os Habilitadores (Enablers) são fatores que, individualmente e coletivamente, influenciam algo que deverá
funcionar – no caso, a governança e
gerenciamento de TI. Os habilitadores são guiados pelas metas de TI, que, por sua vez, são guiadas pelas
metas de negócio.
O COBIT 5 possui sete
categorias de habilitadores, a saber:
Princípios, políticas e frameworks
: veículos que traduzem o comportamento desejado em guias
práticos para o gerenciamento cotidiano;
Processos: conjunto organizado de práticas e atividades para alcançar certos objetivos, e produção de um
conjunto de saídas que servirão para o alcance das metas de TI;
Estruturas organizacionais: entidades-chave, tomadoras de decisões em uma empresa;
Cultura,ética e comportamento: com frequência, tais elementos são subestimados como fator de sucesso,
tanto dos indivíduos como da corporação como um todo;
• Informação: toda a informação produzida e utilizada pela empresa. Mantém a organização
funcionando e bem governada. No nível operacional, frequentemente é o produto-chave da empresa;
• Serviços, infraestrutura e aplicativos: toda a infraestrutura, tecnologia e aplicativos que fornece à
empresa serviços e capacidade de processamento de TI;
• Pessoas, habilidades e competências: necessárias para a realização com sucesso das atividades e
tomar decisões corretas e ações corretivas.
* - As quatro dimensões são dos Habilitadores:
Stakeholders: cada habilitador terá interessados que participam ativamente ou possuem interesse no
habilitador;
Metas (goals): cada habilitador terá um número de metas. As metas são o passo final na cascata de objetivos
do COBIT 5. Podem ser categorizadas em:
o Qualidade intrínseca: medida em que habilitadores funcionam com precisão, objetividade e fornecem
informações precisas e objetivas.
o Qualidade contextual: medida em que habilitadores e seus resultados atendem ao propósito, dado o
contexto em que operam.
o Acesso e segurança: medida em que habilitadores e seus resultados são acessíveis e seguros.
Ciclo de vida: cada habilitador possui um ciclo de vida, desde o seu início, passando por uma fase
operacional até o seu descarte. São fases do ciclo de vida:
o Planejar
o Projetar
o Construir/Adquirir/Criar/Implementar o Usar/Operar
�o Avaliar/Monitorar
o Atualizar/Descartar
Boas práticas: para cada habilitador, boas práticas podem ser definidas. Boas práticas apoiam a consecução
das metas do
76830276004
habilitador. Boas práticas fornecem exemplos ou sugestões sobre a melhor forma de implementar o
habilitador, e quais os produtos de trabalho, entradas e saídas são necessários.
Gerenciamento de desempenho dos Habilitadores
As corporações esperam resultados positivos dos aplicativos e do uso dos habilitadores. Para gerenciar a
performance dos habilitadores, algumas questões devem ser monitoradas para serem respondidas, com base
em métricas:
- As necessidades dos stakeholders foram atendidas?
- As metas dos habilitadores foram alcançadas? - O ciclo de vida do habilitador é gerenciado?
- As boas práticas são aplicadas?
As duas primeiras questões lidam com a saída atual do habilitador. A medida usada para medir o alcance das
metas podem ser chamadas de lag indicators, ou métricas para o alcance das metas.
As duas últimas questões, por seu turno, lidam com o funcionamento atual do indicador, e as métricas podem
ser chamadas de lead indicators, ou métricas para aplicação da prática.
5 - Separando a Governança do Gerenciamento
(Separating Governance from Management)
Modelo de Referência de Processos
O Cobit 5 possui 37 processos, agrupados em um domínio de governança e quatro domínios de
gerenciamento. Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os
objetivos de governança e gerenciamento sejam alcançados. Pequenas empresas poderão possuir menos
processos; organizações maiores e mais complexas podem ver muitos processos, todos cobrindo os mesmos
objetivos.
São eles:
Avaliar, Dirigir e Monitorar (EDM) - Este domínio lista as
�responsabilidades da alta direção para a avaliação, direcionamento e
monitoração do uso dos ativos de TI para a criação de valor. Este domínio cobre
a definição de um framework de governança, o estabelecimento das responsabilidades em termos de valor
para a organização (ex. critérios de investimento), fatores de risco (ex. apetite ao risco) e recursos (ex.
otimização de recursos), além da transparência da TI para os stakeholders. Seus cinco processos são:
EDM01 – Assegurar o Estabelecimento e Manutenção do Framework de Governança
EDM02 – Assegurar a Entrega de Benefícios
EDM03 – Assegurar a Otimização de Riscos
EDM04 – Assegurar a Otimização de Recursos
EDM05 - Assegurar a Transparência para as partes interessadas
–
Alinhar, Planejar e Organizar (APO)
Este domínio diz respeito à identificação de como a TI pode
contribuir melhor com os objetivos de negócio. Processos específicos do domínio APO estão
relacionados com a estratégia e táticas de TI, arquitetura corporativa, inovação e gerenciamento de
portfólio, orçamento, qualidade, riscos e segurança. Seus 13 processos são:
APO01 – Gerenciar o Framework de Gestão de TI APO02 – Gerenciar a Estratégia
APO03 – Gerenciar a Arquitetura Corporativa APO04 – Gerenciar a Inovação
APO05 – Gerenciar o Portfólio
APO06 – Gerenciar Orçamento e Custos APO07 – Gerenciar Recursos Humanos APO08 – Gerenciar as
Relações
APO09 – Gerenciar os Acordos de Serviço APO10 – Gerenciar os Fornecedores APO11 – Gerenciar a
Qualidade
APO12 – Gerenciar os Riscos
APO13 – Gerenciar a Segurança
Construir, Adquirir e Implementar (BAI) - torna a estratégia de TI concreta, identificando os requisitos
para a TI e gerenciando o programa de investimentos em TI e projetos associados. Este domínio também
endereça o gerenciamento da disponibilidade e capacidade; mudança organizacional; gerenciamento de
mudanças (TI); aceite e transição; e gerenciamento de ativos, configuração e conhecimento. Possui 10
processos, a saber:
BAI01 – Gerenciar Programas e Projetos BAI02 – Gerenciar a Definição de Requisitos
BAI03 – Gerenciar a Identificação e Construção de Soluções BAI04 – Gerenciar a Disponibilidade e
Capacidade
BAI05 – Gerenciar a Implementação de Mudança Organizacional BAI06 – Gerenciar Mudanças
BAI07 – Gerenciar Aceitação da Mudança e Transição BAI08 – Gerenciar o Conhecimento
BAI09 – Gerenciar os Ativos
BAI10 – Gerenciar a Configuração
Entregar, Servir e Suportar (DSS) - Este domínio se refere à entrega dos serviços de TI necessários para
atender aos planos táticos e estratégicos. O domínio inclui processos para gerenciar operações, requisições de
serviços e
incidentes, assim como o gerenciamento de problemas, continuidade, serviços de segurança e controle
de processos de negócio. São os seus seis processos:
DSS01 – Gerenciar as Operações
DSS02 – Gerenciar Requisições de Serviço e Incidentes DSS03 – Gerenciar Problemas
DSS04 – Gerenciar a Continuidade
DSS05 – Gerenciar Serviços de Segurança
DSS06 – Gerenciar os Controles de Processos de Negócio
Monitorar, Avaliar e Medir (MEA) - monitora o desempenho dos processos de TI, avaliando a
conformidade com os objetivos e com os requisitos externos. Contém 3 processos:
�MEA01 – Monitorar, Avaliar e Medir o Desempenho e Conformidade MEA02 – Monitorar, Avaliar e Medir
o Sistema de Controle Interno
MEA03 – Monitorar, Avaliar e Medir a Conformidade com Requisitos
Modelo de capacidade do COBIT 5
O COBIT 5 apresenta um modelo para a avaliação da capacidade dos processos de TI da organização,
baseado na norma internacionalmente reconhecida ISO/IEC 15504 de Engenharia de Software.
Existem seis níveis de capacidade que um processo pode alcançar, incluindo um “processo incompleto” –
nível 0, para processos que não alcançam o seu propósito:
Nível 0 - Processo Incompleto: o processo não está implementado ou não atinge seu objetivo. Nesse nível,
há pouca ou nenhuma evidência de realização sistemática do propósito do processo.
Nível 1 - Processo Realizado: o processo está implementado e atinge seu propósito.
Nível 2 - Processo Gerenciado: o processo previamente descrito como realizado agora é implementado de
forma gerenciada (planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente
estabelecidos, controlados e mantidos.
Nível 3 - Processo Estabelecido: o processo previamente descrito como gerenciado agora é implementado
usando um processo definido que é capaz de alcançar os seus resultados de processo.
Nível 4 - Processo Previsível: o processo previamente descrito como estabelecido agora opera dentro de
limites definidos para alcançar seus resultados de processo.
Nível 5 - Processo Em Otimização: o processo previamente descrito como previsível é continuamente
melhorado para atender aos objetivos de negócio.
Para avaliar os atributos de processo, utiliza-se uma escala oriunda da ISO/IEC 15504, na qual:
N (não alcançado): há pouca ou nenhuma evidência de
realização do atributo de processo no processo
avaliado (0% a 15% de realização).
P (parcialmente alcançado): há alguma evidência de realização do atributo de processo no processo
�avaliado. Alguns aspectos da realização do atributo podem ser imprevisíveis (15% a 50% de realização).
L (largamente alcançado): há evidência de uma realização significativa do atributo de processo no processo
avaliado. Algumas fraquezas relacionadas a este atributo podem existir no processo avaliado (50% a 85% de
realização).
F (totalmente alcançado): há evidência de uma realização completa do atributo de processo no processo
avaliado. Não há deficiências significativas associadas a este atributo no processo avaliado (85% a 100% de
realização).
�Eneablers
Princípios
1- Princípios, Políticas e Frameworks 1 - Atendendo as necessidades dos
Domínios de Governança
Avaliar, Dirigir e Monitorar
stakeholders
2 - Processos
2- Cobrindo a empresa de ponta-a-ponta EDM01 – Assegurar o
Estabelecimento e Manutenção do
Framework de Governança
3 - Estruturas organizacionais
3- Aplicando um framework único e
integrado
EDM02 – Assegurar a Entrega de
Benefícios
4- Cultura, Ética e comportamaneto
4 -Possibilitando uma abordagem
holística
EDM03 – Assegurar a Otimização de
Riscos
5 - Informação
5 - Separando a Governança do
Gerenciamento
EDM04 – Assegurar a Otimização de
Recursos
6 – Serviços, infraestrutura e
aplicativos
EDM05 - Assegurar a Transparência
para as partes interessadas
7- Pessoas, habilidades e
competências
Domínios de Gestão
Alinhar, Planejar e
Organizar (APO)
Construir, Adquirir e
Implementar (BAI)
Entregar, Servir e
Suportar (DSS)
Monitorar, Avaliar e
Medir (MEA)
APO01 – Gerenciar o
BAI01 – Gerenciar
Framework de Gestão de Programas e Projetos
TI
DSS01 – Gerenciar as
Operações
MEA01 – Monitorar,
Avaliar e Medir o
Desempenho e
Conformidade
APO02 – Gerenciar a
Estratégia
BAI02 – Gerenciar a
Definição de Requisitos
DSS02 – Gerenciar
MEA02 – Monitorar,
Requisições de Serviço e Avaliar e Medir o
Incidentes
Sistema de Controle
Interno
APO03 – Gerenciar a
Arquitetura Corporativa
BAI03 – Gerenciar a
Identificação e
Construção de Soluções
DSS03 – Gerenciar
Problemas
MEA03 – Monitorar,
Avaliar e Medir a
Conformidade com
Requisitos
Externos
APO04 – Gerenciar a
Inovação
BAI04 – Gerenciar a
Disponibilidade e
Capacidade
DSS04 – Gerenciar a
Continuidade
APO05 – Gerenciar o
BAI05 – Gerenciar a
DSS05 – Gerenciar
�Portfólio
Implementação de
Serviços de Segurança
Mudança Organizacional
APO06 – Gerenciar
Orçamento e Custos
BAI06 – Gerenciar
Mudanças
APO07 – Gerenciar
Recursos Humanos
BAI07 – Gerenciar
Aceitação da Mudança e
Transição
APO08 – Gerenciar as
Relações
BAI08 – Gerenciar o
Conhecimento
APO09 – Gerenciar os
Acordos de Serviço
BAI09 – Gerenciar os
Ativos
APO10 – Gerenciar os
Fornecedores
BAI10 – Gerenciar a
Configuração
DSS06 – Gerenciar os
Controles de Processos
de Negócio
APO11 – Gerenciar a
Qualidade
APO12 – Gerenciar os
Riscos
APO13 – Gerenciar a
Segurança
Modelo de Capacidade - ISO/IEC 15504 de Engenharia de Software
Nível 0
Nível 1
Processo
Incompleto
Processo
Realizado
o processo não
está
implementado ou
não atinge seu
objetivo.
Nesse
nível, há pouca ou
nenhuma
evidência
de
realização
sistemática
do
propósito
do
processo.
o
processo
está
implementad
o e atinge seu
propósito.
Nível 2
Processo
Gerenciado
o
processo
previamente
descrito como
realizado
agora
é
implementado
de
forma
gerenciada
(planejado,
monitorado e
ajustado)
e
seus produtos
de
trabalho
estão
devidamente
estabelecidos,
controlados e
mantidos.
Nível 3
Processo
Estabelecido
o
processo
previamente
descrito
como
gerenciado agora
é implementado
usando
um
processo
definido que é
capaz
de
alcançar os seus
resultados
de
processo.
Nível 4 Processo
Previsível
o
processo
previamente
descrito
como
estabelecido agora
opera dentro de
limites
definidos
para alcançar seus
resultados
de
processo.
Nível 5
Processo Em
Otimização
o
processo
previamente descrito
como previsível é
continuamente
melhorado
para
atender aos objetivos
de negócio.
��