COBIT 5

Estrutura

Jogo para memorizar desenvolvido pela ISACA - Information Systems Audit and Control Association; lançado em 2012; a versão 5 evoluiu para cuidar da Governança Corporativa de TI; fornece um modelo abrangente que auxilia as organizações a atingirem seus objetivos de governança e gestão de TI; ajuda as organizações a criar valor por meio da TI mantendo o equilíbrio entre a realização de benefícios e a otimização dos níveis de risco e de utilização dos recursos; permite que a TI seja governada e gerida de forma holística para toda a organização, abrangendo o negócio de ponta a ponta bem como todas as áreas responsáveis pelas funções de TI, levando em consideração os interesses internos e externos relacionados com TI. é genérico e útil para organizações de todos os portes, sejam comerciais, sem fins lucrativos ou públicas; Estrutura O Cobit 5 (framework); Os Guias Habilitadores, sendo o principal o Cobit 5: Enabling Processes; Os Guias Profissionais com destaque para o Cobit 5: Implementation, Cobit 5 for Information Security, Cobit 5 for Assurance e Cobit 5 for Risk; Ambiente online para suporte.

Princípios (5)

Os cinco princípios permitem que a organização crie um modelo eficiente de governança e gestão otimizando os investimentos em tecnologia da informação e seu uso para o benefício das partes interessadas.

1. Atender às necessidades das Partes Interessadas; Organizações existem para criar valor para suas Partes interessadas mantendo o equilíbrio entre a realização de benefícios e a otimização do risco e uso dos recursos. O COBIT5 fornece todos os processos necessários e demais habilitadores para apoiar a criação de valor para a organização com o uso de TI. Como cada organização tem objetivos diferentes, o COBIT 5 pode ser personalizado de forma a adequá-lo ao seu próprio contexto por meio da cascata de objetivos, ou seja, traduzindo os objetivos corporativos em alto nível em objetivos de TI específicos e gerenciáveis, mapeando-os em práticas e processos específicos. Perguntas relacionadas a cada decisão: Para quem são os benefícios? Quem assume os riscos? Que recursos são necessários

2. Cobrir a empresa de ponta a ponta;O COBIT 5 integra a governança corporativa de TI da organização à governança corporativa:Escopo da Governança: A governança pode ser aplicada a toda a organização, uma entidade, um ativo tangível ou intangível, etc. Cobre todas as funções e processos corporativos; O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a tecnologia da informação e tecnologias relacionadas como ativos que devem ser tratados como qualquer outro ativo por todos na organização; Habilitadores da Governança Habilitadores da governança são os recursos organizacionais da governança, tais como modelos, princípios, processos e práticas, por meio dos quais a ação é orientada e os objetivos podem ser alcançados. Considera todos os habilitadores de governança e gestão de TI aplicáveis em toda a organização, de ponta a ponta, ou seja, incluindo tudo e todos - interna e externamente - que forem considerados relevantes para a governança e gestão das informações e de TI da organização. Papéis, Atividades e Relacionamentos Definem quem está envolvido na governança, como estão envolvidos, o que fazem e como interagem, dentro do escopo de qualquer sistema de governança.

3. Aplicar um modelo único e integrado;Há muitas normas e boas práticas relacionadas a TI, cada qual provê orientações para um conjunto específico de atividades de TI. O COBIT 5 se alinha a outros padrões e modelos importantes em um alto nível e, portanto, pode servir como o um modelo unificado para a governança e gestão de TI da organização.Integra outros frameworks do ISACA (COBIT, VAL IT, BMIS, RISK IT, entre outros)

4. Permitir uma abordagem holística; Governança e gestão eficiente e eficaz de TI da organização requer uma abordagem holística, levando em conta seus diversos componentes interligados; O COBIT 5 define um conjunto de habilitadores para apoiar a implementação de um sistema abrangente de gestão e governança de TI da organização; Habilitadores são geralmente definidos como qualquer coisa que possa ajudar a atingir os objetivos corporativos. O modelo do COBIT 5 define sete categorias de habilitadores: Princípios, Políticas e Modelos Processos Estruturas Organizacionais Cultura, Ética e Comportamento Informação Serviços, Infraestrutura e Aplicativos Pessoas, Habilidades e Competências Habilitadores Desempenho do Habilitadores (métricas)

5. Distinguir a governança da gestão O modelo do COBIT 5 faz uma clara distinção entre governança e gestão. Essas duas disciplinas compreendem diferentes tipos de atividades, exigem modelos organizacionais diferenciadas e servem a propósitos diferentes. A visão do COBIT 5 sobre esta importante distinção entre governança e gestão é: A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos; Na maioria das organizações, a governança geral é de responsabilidade do conselho de administração sob a liderança do presidente. Responsabilidades de governança específicas podem ser delegadas a modelos organizacionais especiais no nível adequado, especialmente em organizações complexas de grande porte. A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos. Na maioria das organizações, a gestão é de responsabilidade da diretoria executiva sob a liderança do diretor executivo (CEO).

Cascata de Objetivos (5)

A cascata de objetivos do COBIT 5 é o mecanismo de tradução das necessidades das partes interessadas em objetivos corporativos específicos, personalizados, exequíveis, objetivos de TI e metas de habilitador; Esta tradução permite a configuração de objetivos específicos em cada nível e em cada área da organização em apoio aos objetivos gerais e às exigências das partes interessadas e, portanto, apoia efetivamente o alinhamento entre as necessidades corporativas e os serviços e soluções de TI.

Benefícios da Cascata de ObjetivosA cascata de objetivos é importante porque permite a definição das prioridades de implementação, melhoria e garantia da governança corporativa de TI com base nos objetivos (estratégicos) da organização e no respectivo risco.Na prática, a cascata de objetivos: Define as metas e objetivos tangíveis e relevantes em vários níveis de responsabilidade; Filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos, para extrair a orientação pertinente para inclusão na implementação, melhoria ou garantia de projetos específicos; Identifica e comunica claramente como (por vezes de forma muito operacional) os habilitadores são importantes para o atingimento dos objetivos corporativos.

Objetivos Corporativos e de TI

Os objetivos corporativos foram criados usando as dimensões do balanced scorecard (BSC) e representam uma lista dos objetivos mais usados que uma organização pode definir para si.Embora esta lista não seja completa, a maioria dos objetivos específicos das organizações pode ser mapeada facilmente em um ou mais dos objetivos corporativos genéricos.Há 17 objetivos genéricos que incluem as seguintes informações: A dimensão BSC a qual o objetivo corporativo se enquadra; Objetivos Corporativos; A relação entre os três principais objetivos da governança - Realização de benefícios, Otimização dos riscos e Otimização dos recursos (P – Relação primária, S – Relação secundária).

O atingimento dos objetivos corporativos exige uma série de resultados de TI que são representados pelos objetivos relacionados a TI; Os objetivos de TI são estruturados de acordo com as dimensões do balanced scorecard de TI (IT BSC); O COBIT 5 define 17 objetivos de TI.

Atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores; Habilitadores incluem processos, estruturas organizacionais e informações, e para cada habilitador um conjunto específico de metas relevantes pode ser definido para apoiar os objetivos de TI; Há também o mapeamento entre o mapeamento entre os objetivos de TI e os processos pertinentes do COBIT 5, que por sua vez contêm os respectivos objetivos do processo.

Habilitadores (7)

Habilitadores (7)Os Habilitadores são guiados pelas metas de TI que, por sua vez, são guiadas pelas metas de negócio; Princípios, políticas e modelos; Processos; Estruturas Organizacionais; Cultura, ética e comportamento; Informação; Serviços, Infraestrutura e aplicativos; Pessoas, habilidades e Competências. Os três últimos são recursos da organização.

Dimensões dos Habilitadores (4)

Todos os Habilitadores possuem um conjunto comum de dimensões. Elas: proveem um caminho comum, simples e estruturado para lidar com os habilitadores; permitem uma entidade gerenciar interações complexas; facilitam resultados exitosos dos habilitadores; Partes Interessadas Metas (goals) Qualidade Intrínseca; Qualidade Contextual; Acesso e Segurança. Ciclo de Vida Planejar Projetar Construir/Adquirir/Criar/Implementar Usar/Operar Avaliar/Monitorar Atualizar/Descartar Boas Práticas Desempenho dos Habilitadores (Métricas) Lag indicators (métricas para alcance das metas) As necessidades dos stakeholders foram atendidas? As metas dos habilitadores foram alcançadas? Lead indicators (métricas para aclcance das práticas) O ciclo de vida do habilitador é gerenciado? As boas práticas são aplicadas?

Modelo de Referência de Processos

Um processo é definido como um conjunto de práticas, influenciadas por políticas e procedimentos da empresa que levam a entradas de certo numero de fontes, manipulando as entradas e produzem saídas.Entradas e Saídas são processos considerados necessários para a geração dos produtos/artefatos para suportar a operação de processo.Atividades de Processos são definidas como “Orientações” para alcançar as práticas de gerenciamento para uma governança e gerenciamento bem sucedido da TI.Práticas de processo são definidas como “orientações” necessárias para alcançar os objetivos do processo.Divisão do ProcessoCada processo é dividido em: Descrição de processos. Declaração do propósito do processo. Objetivos relacionados a TI (objetivos em cascatas). Associação do objetivo relacionado a TI com um conjunto de métricas genéricas relacionadas. Objetivos de processos (objetivos em cascatas). Cada objetivo de processo é associado ou relacionado a um conjunto de objetos genéricos. Cada processo contém um conjunto de práticas de gerenciamento. Associação com o gráfico genérico RACI. Conjunto de entradas e saídas. Cada prática de gerenciamento é associada a um conjunto de atividades. Modelo de Referência de Processo 1 domínio de Governança 4 domínios de Gestão 37 processos Cada empresa pode organizar seus processos conforme sua necessidade, desde que todos os objetivos de governança e gerenciamento sejam alcançados. Domínios de Governança (1) Avaliar, Dirigir e Monitorar (EDM) (5) (Alinhado com a ISO/IEC 38500) EDM01 – Garantir a Definição e Manutenção do Modelo de Governança EDM02 – Garantir a Realização de Benefícios EDM03 – Garantir a Otimização do Risco EDM04 – Garantir a Otimização de Recursos EDM05 – Garantir a Transparência para as partes interessadas Domínios de Gestão (4) Alinhar, Planejar e Organizar (APO) (13) APO01 – Gerenciar a Estrutura de Gestão de TI APO02 – Gerenciar a Estratégia APO03 – Gerenciar a Arquitetura da Organização APO04 – Gerenciar Inovação APO05 – Gerenciar Portfólio APO06 – Gerenciar Orçamento e Custos APO07 – Gerenciar Recursos Humanos APO08 – Gerenciar Relacionamentos APO09 – Gerenciar Contratos de Prestação de Serviços APO10 – Gerenciar Fornecedores APO11 – Gerenciar Qualidade APO12 – Gerenciar Riscos APO13 – Gerenciar Segurança Construir, Adquirir e Implementar (BAI) (10) BAI01 – Gerenciar Programas e Projetos BAI02 – Gerenciar Definição de Requisitos BAI03 – Gerenciar Identificação e Desenvolvimento de Soluções BAI04 – Gerenciar Disponibilidade e Capacidade BAI05 – Gerenciar Capacidade de Mudança Organizacional BAI06 – Gerenciar Mudanças BAI07 – Gerenciar Aceitação e Transição da Mudança BAI08 – Gerenciar Conhecimento BAI09 – Gerenciar Ativos BAI10 – Gerenciar Configuração Entregar, Serviços e Suporte (DSS) (6) DSS01 – Gerenciar Operações DSS02 – Gerenciar Solicitações e Incidentes de Serviço DSS03 – Gerenciar Problemas DSS04 – Gerenciar Continuidade DSS05 – Gerenciar Serviços de Segurança DSS06 – Gerenciar os Controles de Processos de Negócio Monitorar, Analisar e Avaliar (MEA) (3) MEA01 – Monitorar, Analisar e Avaliar Desempenho e Conformidade MEA02 – Monitorar, Analisar e Avaliar o Sistema de Controle Interno MEA03 – Monitorar, Analisar e Avaliar Conformidade com Requisitos Externos Governança - 1 domínio sendo EDM com 5 processosGestão - 4 domínios sendo APO com 13 proc., BAI com 10 proc., DSS com 6 proc. e MEA com 3 proc.

Ciclo de Vida da Implementação

O ciclo de vida da implementação do COBIT 5 proposto pelo ISACA é dividido em sete fases.Fase 1 – Quais são os direcionadores?Fase 2 – Onde estamos agora?Fase 3 – Onde queremos estar?Fase 4 – O que precisa ser feito?Fase 5 – Como vamos chegar lá?Fase 6 – Chegamos lá?Fase 7 – Como mantemos o ritmo?

O COBIT 5 possui um guia profissional de implementação.O guia fornece detalhes das sete fases do ciclo de vida de implementação.As fases "o que/quais" e "onde" (1-4) de gestão do programa e facilitação de mudanças podem ser consideradas no nível do planejamento estratégico de TI (Figura 8).As fases do ciclo de vida de implementação do COBIT 5 que devem ser consideradas no planejamento estratégico são indicadas na Figura 9.A coluna de notas sobre planejamento estratégico realça a relevância da fase para o planejamento estratégico.

Modelo de Capacidade

baseado na ISO/IEC 15504 de Engenharia de Software 6 níveis só se pode alcançar o próximo nível quando o anterior houver sido totalmente alcançado cada nível tem atributos que precisam ser avaliados para determinar se o processo alcançou o nível desejado Nível 0 - Processo IncompletoO processo não está implementado ou não atinge seu objetivo.Nesse nível, há pouca ou nenhuma evidência de realização sistemática do propósito do processo.Nível 1 - Processo Executado PA1.1 – Performance de ProcessoO processo está implementado e atinge seu propósito.Nível 2 - Processo Gerenciado PA2.1 – Gerenciamento de Performance PA2.2 – Gerenciamento de Produto de Trabalho O processo previamente descrito como realizado agora é implementado de forma gerenciada (planejado,monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos.Nível 3 - Processo Estabelecido PA3.1 – Definição de Processo PA3.2 – Desenvolvimento de Processo O processo previamente descrito como gerenciado agora é implementado usando um processo definido que é capaz de alcançar os seus resultados de processo.Nível 4 - Processo Previsível PA4.1 – Gerenciamento de Processo PA4.2 – Controle de Processo O processo previamente descrito como estabelecido agora opera dentro de limites definidos para alcançar seus resultados de processo.Nível 5 - Processo Em Otimização PA5.1 – Inovação de Processo PA5.2 – Otimização de Processo O processo previamente descrito como previsível é continuamente melhorado para atender aos objetivos de negócio.

Escala de avaliação dos atributos dos processos

(ISO/IEC 15504) N (Não Alcançado) - 0% a 15% P (Parcialmente Alcançado) - 15% a 50% L (Largamente Alcançado) - 50% a 85% F (Totalmente Alcançado) - 85% a 100%

Objetivos Corporativos