COBIT 5 Enabling Processes

Habilitando Processos
Personal Copy of: Mr. Carlos Francisco Ferreira

: HABILITANDO PROCESSOS
ISACA®
Com 95.000 membros em 160 países, a ISACA (www.isaca.org) é líder global no fornecimento de informações,
certificações, padrões, apoio e experiência para a garantia e segurança relacionadas a sistemas de informação
(SI), governança corporativa e gestão da Tecnologia da Informação (TI), além de conformidade e riscos a ela
relacionados. Fundada em 1969, sem fins lucrativos, a ISACA acolhe conferências internacionais independentes,
publica o ISACA® Journal e desenvolve padrões internacionais para auditoria e controle de SI que ajudam seus
membros a garantir a confiança e o valor dos sistemas de informação. Também promove e certifica os seguintes
conhecimentos e habilidades de ponta a ponta em TI que são mundialmente respeitadas Certified Information
Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance
of Enterprise IT® (CGEIT®) e Certified in Risk and Information Systems Control™ (CRISC™). A ISACA
atualiza continuamente o COBIT®, o que ajuda os profissionais de TI e os líderes organizacionais a cumprirem
suas responsabilidades de gestão e governança de TI, especialmente nas áreas de garantia, segurança, risco e
controle, e entrega de valor para o negócio.
QUALITY STATEMENT
This Work is translated into Brazilian Portuguese from the English language version of COBIT® 5 Enabling
Processes by the ISACA® Sao Paulo Chapter with the permission of ISACA®. The ISACA® Sao Paulo Chapter
assumes sole responsibility for the accuracy and faithfulness of the translation.
DECLARAÇÃO DE QUALIDADE
Esta obra foi traduzida da versão em Inglês do COBIT® 5 Enabling Process para o Português Brasileiro sob
coordenação do ISACA Capítulo São Paulo detentor da permissão legal outorgada pela ISACA. O Capítulo São
Paulo da ISACA assume total responsabilidade pela precisão e fidelidade da tradução.
DISCLAMER
ISACA has designed this publication, COBIT® 5: Enabling Processes (the ‘Work’), primarily as an educational
resource for governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no
claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive
of all proper information, procedures and tests or exclusive of other information, procedures and tests that are
reasonably directed to obtaining the same results. In determining the propriety of any specific information,
procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk
and security circumstances presented by the particular systems or information technology environment.
AVISO LEGAL
A ISACA desenvolveu esta publicação, o COBIT® 5 Enabling Process (a ‘Obra’), essencialmente como um
recurso educacional para profissionais de Governança Corporativa de TI (GEIT), garantia, risco e segurança. A
ISACA não afirma que o uso de qualquer parte da Obra garantirá um resultado bem-sucedido. A Obra não deve
ser considerada como contendo todas as informações, procedimentos e testes adequados ou exclusiva de outras
informações, procedimentos e testes que sejam voltados à obtenção dos mesmos resultados. Ao determinar a
adequação de qualquer informação, procedimento ou teste específico, os leitores deverão aplicar seu próprio
julgamento profissional às circunstâncias específicas de GEIT, garantia, risco e segurança apresentados pelos
sistemas ou ambientes de tecnologia da informação particulares.
DIREITOS RESERVADOS
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: [email protected]
Web site: www.isaca.org
COBIT® 5: Habilitando Processos

ISBN 978-1-60420-287-8
2
Feedback: www.isaca.org/cobit
Participate in the ISACA Knowledge Center: www.isaca.org/knowledge-center
Follow ISACA on Twitter: https://twitter.com/ISACANews
Join the COBIT conversation on Twitter: #COBIT
Join ISACA on LinkedIn: ISACA (Officia l), http://linkd.in/ISACAOfficial
Like ISACA on Facebook: www.facebook.com/ISACAHQ
3
Página intencionalmente deixada em branco
4
RECONHECIMENTOS
RECONHECIMENTOS
ISACA DESEJA RECONHECER:
COBIT 5 Força Tarefa (2009-2011)

John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, USA, Co-chair
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants
Ltd., UK, Co-chair
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Australia
Elisabeth Judit Antonsson, CISM, Nordea Bank, Sweden
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Steven De Haes, Ph.D., University of Antwerp Management School, Belgium
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Australia
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, USA
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, The Netherlands
Vernon Richard Poole, CISM, CGEIT, Sapphire, UK
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, India
Equipe de desenvolvimento
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgium
Gert du Preez, CGEIT, PwC, Canada
Stefanie Grijp, PwC, Belgium
Gary Hardy, CGEIT, IT Winners, South Africa
Bart Peeters, PwC, Belgium
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgium
Participantes do Workshop
Gary Baker, CGEIT, CA, Canada
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, USA
Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, South Africa
Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Canada
Don Caniglia, CISA, CISM, CGEIT, FLMI, USA
Mark Chaplin, UK
Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, USA
Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, USA
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Switzerland
Bob Frelinger, CISA, CGEIT, Oracle Corporation, USA
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, USA
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USA
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia
Nicole Lanza, CGEIT, IBM, USA
Philip Le Grand, PRINCE2, Ideagen Plc, UK
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USA
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., South Africa
Christian Nissen, CISM, CGEIT, FSM, CFN People, Denmark
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UK
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgium
Michael Semrau, RWE Germany, Germany
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia
Alan Simmonds, TOGAF9, TCSA, PreterLex, UK
Cathie Skoog, CISM, CGEIT, CRISC, IBM, USA
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Roger Southgate, CISA, CISM, UK
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, USA
5
RECONHECIMENTOS (CONT.)
Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium

Greet Volders, CGEIT, Voquals N.V., Belgium
Christopher Wilken, CISA, CGEIT, PwC, USA
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK
Revisores Especialistas
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, USA
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, USA
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Poland
Roland Bah, CISA, MTN Cameroon, Cameroon
Dave Barnett, CISSP, CSSLP, USA
Max Blecher, CGEIT, Virtual Alliance, South Africa
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentina
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belgium
Donna Cardall, UK
Debra Chiplin, Investors Group, Canada
Sara Cosentino, CA, Great-West Life, Canada
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, USA
Philip de Picker, CISA, MCA, National Bank of Belgium, Belgium
Abe Deleon, CISA, IBM, USA
James Doss, ITIL Expert, TOGAF 9, PMP, SSGB, EMCCA, EMCISA, Oracle DBA, ITValueQuickStart.com,
UK
Stephen Doyle, CISA, CGEIT, Department of Human Services, Australia
Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., USA
Rafael Fabius, CISA, CRISC, Uruguay
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Switzerland
Bob Frelinger, CISA, CGEIT, Oracle Corporation, USA
Kate Gentles, ITValueQuickStart.com, UK
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISO/IEC 20000 Consultant,
Turkey
Edson Gin, CISA, CISM, CFE, CIPP, SSCP, USA
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, USA
Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Argentina
Erik Guldentops, University of Antwerp Management School, Belgium
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USA
Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, Sweden
Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, Sweden
J. Winston Hayden, CISA, CISM, CGEIT, CRISC, South Africa
Eduardo Hernandez, ITIL V3, HEME Consultores, Mexico
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
Michelle Hoben, Media 24, South Africa
Linda Horosko, Great-West Life, Canada
Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, UK
Grant Irvine, Great-West Life, Canada
Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, USA
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, USA
Masatoshi Kajimoto, CISA, CRISC, Japan
Joanna Karczewska, CISA, Poland
Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Saudi Arabia
Eddy Khoo S. K., Prudential Services Asia, Malaysia
Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, USA
Alan S. Koch, ITIL Expert, PMP, ASK Process Inc., USA
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia
6
RECONHECIMENTOS
Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, USA
Nicole Lanza, CGEIT, IBM, USA
Philip Le Grand, PRINCE2, Ideagen Plc, UK
Kenny Lee, CISA, CISM, CISSP, Bank of America, USA
Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Denmark
Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Denmark
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., South Africa
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USA
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK
Cindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, USA
Nancy McCuaig, CISSP, Great-West Life, Canada
John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, UK
Makoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japan
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colombia
Christian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Denmark
Tony Noblett, CISA, CISM, CGEIT, CISSP, USA
Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, USA
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UK
Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, USA
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, South Africa
Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, UK
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica
Ltd., Brazil
Geert Poels, Ghent University, Belgium
Dirk Reimers, Hewlett-Packard, Germany
Steve Reznik, CISA, ADP, Inc., USA
Robert Riley, CISSP, University of Notre Dame, USA
Martin Rosenberg, Ph.D., Cloud Governance Ltd., UK
Claus Rosenquist, CISA, CISSP, Nets Holding, Denmark
Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, USA
Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, USA
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgium
Michael Semrau, RWE Germany, Germany
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia
Alan Simmonds, TOGAF9, TCSA, PreterLex, UK
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, USA
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Australia
Roger Southgate, CISA, CISM, UK
Mark Stacey, CISA, FCA, BG Group Plc, UK
Karen Stafford Gustin, MLIS, London Life Insurance Company, Canada
Delton Sylvester, Silver Star IT Governance Consulting, South Africa
Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungary
Halina Tabacek, CGEIT, Oracle Americas, USA
Nancy Thompson, CISA, CISM, CGEIT, IBM, USA
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japan
Rob van der Burg, Microsoft, The Netherlands
Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belgium
Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, South Africa
Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Canada
Andre Viviers, MCSE, IT Project+, Media 24, South Africa
Greet Volders, CGEIT, Voquals N.V., Belgium
David Williams, CISA, Westpac, New Zealand
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK
7
Amanda Xu, PMP, Southern California Edison, USA
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, South Africa
ISACA Diretoria
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, International President
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President
Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Vice President
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice President
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, Vice President
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, Vice President
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice President
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), USA, Past International President
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Russian Federation, Past International
President
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, UK, Director
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Director
Diretoria de Conhecimento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Chairman
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, USA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapore
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (retired), Canada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
Comitê do Modelo (2009-2012)

Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France, Chairman
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management,
Belgium, Past Vice President
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapore
Sergio Fleginsky, CISA, Akzo Nobel, Uruguay
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, USA Mario C. Micallef,
CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, USA
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP, Ravenswood Consultants
Ltd., UK
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (retired), Canada
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Switzerland
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia
Robert E. Stroud, CGEIT, CA Inc., USA
ISACA e IT Governance Institute® (ITGI®) Affiliates and Sponsors

American Institute of Certified Public Accountants Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institute of Management Accountants Inc. ISACA chapters
ITGI France
ITGI Japan
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
8
RECONHECIMENTOS
Enterprise GRC Solutions Inc.
Hewlett-Packard
IBM
Symantec Corp.
Voluntários para a Tradução para a Língua Portuguesa
Coordenadores
Jose Luis Diniz, Cobit 5 Foundation, ITIL Expert, DNZ Consultoria em TI Ltda.
Alessandro Manotti, CISA, CISM, Itaú Unibanco
Equipe de tradutores
Eder de Abreu CISA, CGEIT, CRISC, CobiT Foundation, ITIL Foundation, Deloitte
Eduardo Massaru Notaro Kono, CISA, COBIT 5 , Volkswagen Participações Ltda.
Erick Shigueru Kumagai, CRISC, CBCP, CobiT (F), Itil v3 (F), BRF
Fabio Justo Hildebrand CISA, CISSP, CISM, CGEIT, CRISC Dafiti (Global Fashion Group)
Gustavo Perri Galegale, MSc, PMP, CISA, CRISC, Galegale & Associados Consultores Ltda
Hubert Thomaz Neto, CRISC, GVT/Vivo
Juliano Augusto Martins de Oliveira, CISA; CISM; ITIL e COBIT Foundation, Serasa Experian
Julio Graziano Pontes , CISSP, CISM, ISO27000LA, FireMon
Leandro Pfeifer Macedo, CRISC, MCSO, ITSM, Lpfeifer Ltda
Marcos Gonçalves da Silva, CIA, CISA, COBIT 5F, BM&FBOVESPA
Marcus Zabeu, CISA, CISSP, Itaú Unibanco
Nestor Nogueira de Albuquerque, ITIL-F, ISO 2000-F, MsC, Consultor, Professor
Ricardo Morata Canalonga, ITIL Expert, COBIT, ISO 20000, SIX SIGMA, VERAT Services TI
Rosvelt Silva Santos, CGEIT, ITIL V3 Expert, Cobit 5 Foundation, EGV Consultoria
9
10
ÍNDICE
ÍNDICE
Lista das Figuras ....................................................................................................................................................................13
Capítulo 1 Introdução ...........................................................................................................................................................15
Capítulo 2 Cascata de Objetivos e Métricas para os Objetivos Corporativos e Objetivos de TI ..........................................17

Cascata de Objetivos do COBIT 5 ....................................................................................................................................17
1º Passo. As Direcionadores das Partes Interessadas Influenciam as Necessidades das Partes Interessadas ...............17
2º Passo. Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos ................................17
3º Passo. Cascata dos Objetivos Corporativos em Objetivos de TI ..............................................................................20
4º Passo. Cascata dos Objetivos de TI em Metas do Habilitador ..................................................................................20
Usando a Cascata de Objetivos do COBIT 5 ....................................................................................................................21
Benefícios da Cascata de Objetivos do COBIT 5 .........................................................................................................21
Usando a Cascata de Objetivos do COBIT 5 com atenção ...........................................................................................21
Utilizando a Cascata de Objetivos do COBIT 5 na Prática ...........................................................................................21
Métricas .............................................................................................................................................................................21
Métricas dos Objetivos da Organização ........................................................................................................................21
Métricas dos Objetivos de TI .......................................................................................................................................23
Capítulo 3 O modelo de processos do COBIT 5....................................................................................................................27

Gerenciamento de Desempenho do Habilitador ................................................................................................................29
Capítulo 4 Modelo de Referência de Processos do COBIT 5 ...............................................................................................31

Processos de Governança e Gestão ...................................................................................................................................31
Modelo ..............................................................................................................................................................................31
Capítulo 5 Conteúdo do Guia de Referencias de Processos do COBIT 5.............................................................................33

Entradas e Saídas...............................................................................................................................................................33
Instruções Genéricas para Processos .................................................................................................................................34
Avaliar, Dirigir e Monitorar (EDM) .........................................................................................................................37
Alinhar, Planejar e Organizar (APO) ........................................................................................................................55
Construir, Adquirir e Implementar (BAI) ...............................................................................................................119
Entregar, Serviço e Suporte (DSS) .........................................................................................................................169
Monitorar, Avaliar e Analisar (MEA) ....................................................................................................................197
Apêndice A Mapeamento do COBIT5 e Modelos Legados da ISACA ...............................................................................211
Apêndice B Mapeamento Detalhado dos Objetivos Corporativos – Objetivos de TI ..........................................................219
Apêndice C Mapeamento Detalhado dos Objetivos de TI – Processos de TI ......................................................................221
11
12
LISTA DE FIGURAS
LISTA DAS FIGURAS

Figura 1 – Família de Produtos do COBIT 5........................................................................................................15
Figura 2 – Objetivo da Governança: Criação de Valor ........................................................................................17
Figura 3 – Visão Geral do Desdobramento de Objetivos .....................................................................................18
Figura 4 – Objetivos Corporativos do COBIT 5 ..................................................................................................19
Figura 5 - Objetivos relacionados a TI ................................................................................................................20
Figura 6 - Exemplos de Métricas de Objetivos da Organização .........................................................................21
Figura 7 - Exemplos de Métricas para Objetivos relacionadas a TI ...................................................................23
Figura 8 - Habilitadores do COBIT 5: Processos ................................................................................................27
Figura 9 - Principais Áreas para Governança e Gestão do COBIT 5 ..................................................................31
Figura 10 - Modelo de Referência de Processos do COBIT 5 ............................................................................32
Figura 11 - Saídas ................................................................................................................................................34
Figura 12 - Processos de Controle do COBIT 4.1 e Atributos de Capacidade de Processo ISSO/IEC 15504 ....35
Figura 13 - Modelos da ISACA incluídos no COBIT 5 ...................................................................................211
Figura 14 – Objetivos de Controle do COBIT 4.1 Mapeados para COBIT 5 ...................................................211
Figura 15 – Práticas Chave do Val IT 2.0 Cobertas pelo COBIT 5 ..................................................................215
Figura 16 – Práticas Chave do Risk IT Cobertas pelo COBIT 5 .......................................................................217
Figura 17 – Mapeamento dos Objetivos Corporativos do COBIT 5 com os Objetivos de TI...........................219
Figura 18 – Mapeamento dos Objetivos de TI do COBIT 5 com os Processos ................................................221
13
14
CAPÍTULO 1
INTRODUÇÃO
CAPÍTULO 1
INTRODUÇÃO
COBIT 5: Habilitando Processos complementa o COBIT 5 (figura 1). Esta publicação contém um guia de
referência detalhado para os processos definidos no modelo de referência de processo do COBIT 5
Figura 1 ‐ Família de Produtos do COBIT 5
Figura 1 – Família de Produtos do COBIT 5

O modelo do COBIT 5 baseia-se em cinco princípios básicos, cobertos em detalhes, e inclui ampla orientação
sobre os habilitadores de governança e gestão de TI da empresa
A família de produtos COBIT 5 é formada pelos seguintes produtos:
 COBIT 5 (o modelo)
 Guias de habilitadores do COBIT 5, que discutem em detalhes os habilitadores de governança e gestão. Eles
incluem COBIT 5®:
 COBIT 5: Habilitando
Habilitando Processos
Processos
 COBIT 5: Enabling Information
 Outros guias de habilitadores (veja www.isaca.org/cobit)
 Guias profissionais do COBIT 5, que incluem:
 COBIT 5 Implementação
 COBIT 5 for Information Security
 COBIT 5 for Assurance
 COBIT 5 for Risk
 Outros guias profissionais (veja www.isaca.org/cobit)
 Um ambiente colaborativo on-line, que será disponibilizado para apoiar o uso do COBIT 5
Esta publicação está estruturada da seguinte forma
 No capítulo 2, a cascata de objetivos do COBIT 5 – também explicado no modelo do COBIT 5 – é recapitulado
e complementado com um conjunto de métricas exemplo para objetivos corporativos e objetivos de TI.
 No capítulo 3, o 5 de COBIT, modelo de processo é explicado e seus componentes definidos. Este capítulo
explica que informações são incluídas na seção de informações detalhadas do processo. O modelo de processo
do COBIT 5 inclui processos 37 de governança e gestão; este conjunto de processos é o sucessor para os
processos do COBIT 4.1, Val IT e Risk IT e inclui todos os processos necessários para o tratamento de fim-a-
fim de governança e gestão de empresas de TI.
 O Capítulo 4 apresenta o diagrama do modelo de referência de processos, que foi desenvolvido com base nas
melhores práticas, padrões e opinião de especialistas. É importante entender que o modelo e seu conteúdo são
genéricos e não prescritivos, e deve ser adaptado para se adequar à empresa. Além disso, a orientação define
as práticas e atividades em um nível relativamente elevado e não descreve como o procedimento do processo
deve ser definido
 O Capítulo 5 – a principal seção desta publicação – contém informações detalhadas relativas a todos os 37
processos do COBIT 5 incluídos no modelo de referência de processo
 Diversos apêndices também foram incluídos:
 O Apêndice A contém o mapeamento entre os processos Val IT 2.0 e Risk IT do COBIT 4.1 (e seus objetivos
de controle ou práticas de gestão) e seus equivalentes no COBIT 5.
 Os Apêndices B e C contêm as tabelas de mapeamento da cascata de objetivos, por exemplo, mapeamento
de objetivos corporativos em objetivos de TI e objetivos de TI em processos
15
16
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
CAPÍTULO 2
CASCATA DE OBJETIVOS E MÉTRICAS PARA OS
OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
CASCATA DE OBJETIVOS DO COBIT 5
As empresas existem para criar valor para suas partes interessadas. Consequentemente, qualquer empresa —
comercial ou não — terá a criação de valor como um objetivo da governança. Criar valor significa realizar
benefícios com uma relação ótima em relação ao uso e custos dos recursos enquanto mitiga o risco (ver figura
2). Os benefícios podem assumir muitas formas, por exemplo, financeiros para empresas comerciais ou de serviço
público para entidades governamentais
Figura 2 ‐ Objetivo da Governança: Criação de Valor
Figura 2 – Objetivo da Governança: Criação de Valor
As empresas têm muitas partes interessadas e ‘criar valor’ significa coisas diferentes — e por vezes conflitantes
— para cada um deles. Governança tem a ver com negociar e decidir entre os interesses de valor das diversas
partes interessadas. Por consequência, o sistema de governança deve considerar todos as partes interessadas ao
tomar decisões sobre a avaliação dos recursos, benefícios e riscos. Para cada decisão, as seguintes perguntas
podem e devem ser feitas: Para quem são os benefícios? Quem assume o risco? Que recursos são necessários?
As necessidades das partes interessadas devem ser transformadas em uma estratégia acionável pela empresa. A
cascata de objetivos do COBIT 5 é o mecanismo de tradução das necessidades das partes interessadas em
objetivos corporativos específicos, personalizados e acessíveis, objetivos de TI e metas do habilitador. Esta
tradução permite a configuração de objetivos específicos em cada nível e em cada área da empresa em apoio aos
objetivos gerais e às exigências das partes interessadas.
A cascata de objetivos do COBIT 5 é demonstrado na figura 3.
1º PASSO. AS DIRECIONADORES DAS PARTES INTERESSADAS INFLUENCIAM AS NECESSIDADES DAS PARTES INTERESSADAS
As necessidades das partes interessadas são influenciadas por diversas tendências, por exemplo, mudanças de
estratégia, mudanças nos negócios e no ambiente regulatório bem como novas tecnologias.
2º PASSO. DESDOBRAMENTO DAS NECESSIDADES DAS PARTES INTERESSADAS EM OBJETIVOS CORPORATIVOS

As necessidades das partes interessadas podem estar relacionadas a um conjunto de objetivos corporativos
genéricos. Esses objetivos corporativos foram criados usando as dimensões do balanced scorecard (BSC)1 e
representam uma lista dos objetivos mais usados que uma empresa pode definir para si. Embora esta lista não
seja completa, a maioria dos objetivos específicos das empresas pode ser mapeada facilmente em um ou mais
1
Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University
Press, EUA, 1996.
17
dos objetivos corporativos genéricos.

O COBIT 5 define 17 objetivos genéricos, conforme demonstrados na figura 4, que incluem as seguintes
informações:
 A dimensão BSC sob a qual o objetivo corporativo se enquadra
 Objetivos corporativos
 A relação entre os três principais objetivos da governança – Realização de benefícios, Otimização do risco e
Otimização dos recursos (‘P’ significa relação primária e ‘S’ relação secundária, ou seja, uma relação mais
fraca).
Figura 3 ‐ Visão Geral dd Cascata de Objetivos
Figura 3 – Visão Geral do Desdobramento de Objetivos
18
Figura 4 ‐ Objetivos Corporativos do COBIT 5

Figura 4 – Objetivos Corporativos do COBIT 5
Dimensão BSC para o Objetivos Corporativos Relação com os Objetivos da Governança
Negócio Realização Otimização Otimização
de Benefícios de Riscos de Recursos
Financeira 01 Valor dos investimentos da empresa percebidos pelas partes P S
interessadas
02 Portfólio de produtos e serviços competitivos P P S
03 Gestão do risco do negócio (salvaguarda de ativos) P S
04 Conformidade com as leis e regulamentos externos P
05 Transparência financeira P S S
Cliente 06 Cultura de serviço orientada ao cliente P S
07 Continuidade e disponibilidade do serviço da empresa P
08 Respostas rápidas para um ambiente de negócios em mudança P S
09 Tomada de decisão estratégica com base na informação P P P
10 Otimização dos custos de prestação de serviços P P
Interno 11 Otimização da funcionalidade do processo de negócio P P
12 Otimização dos custos do processo de negócio P P
13 Gestão de programas de mudanças dos negócios P P S
14 Produtividade operacional e da equipe P P
15 Conformidade com as políticas internas P
Crescimento e 16 Pessoas qualificadas e motivadas S P P
Aprendizado 17 Cultura de inovação de produtos e negócios P
19
3º PASSO. CASCATA DOS OBJETIVOS CORPORATIVOS EM OBJETIVOS DE TI

A consecução dos objetivos corporativos exige uma série de resultados de TI2 que são representados pelos
objetivos de TI.
Objetivos de TI significam tudo o que estiver relacionado à tecnologia da informação e tecnologias relacionadas,
e são estruturados de acordo com as dimensões do balanced scorecard de TI (IT BSC). O COBIT 5 define 17
objetivos de TI, relacionados na figura 5.
Figura 5 ‐ Objetivos relacionados a TI
Figura 5 – Objetivos relacionados a TI
Dimensões BSC para Objetivo para Tecnologia da Informação Relacionada
a TI
Financeira 01 Alinhamento da estratégia do negócio e da TI
02 Conformidade de TI e suporte para conformidade dos negócios com as leis e regulamentos externos
03 Compromisso da gestão executiva com a tomada de decisões de TI
04 Gestão de risco organizacional de TI
05 Benefícios obtidos pelo investimento de TI e portfólio de serviços
06 Transparência dos custos, benefícios e riscos de TI
Cliente 07 Prestação de serviços de TI em consonância com os requisitos de negócio
08 Uso adequado de aplicativos, informações e soluções tecnológicas
Interna 09 Agilidade de TI
10 Segurança da informação, infraestrutura de processamento e aplicativos
11 Otimização de ativos, recursos e capacidades de TI
12 Capacitação e apoio aos processos de negócios através da integração de aplicativos e tecnologia
13 Entrega de programas fornecendo benefícios, dentro do prazo, orçamento e atendendo requisitos
14 Disponibilidade de informações úteis e confiáveis para a tomada de decisão
15 Conformidade de TI com as políticas internas
Treinamento e 16 Equipes de TI e de negócios motivadas e qualificadas
Crescimento 17 Conhecimento, expertise e iniciativas para inovação dos negócios
A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no Apêndice B, e demonstra
como cada objetivo corporativo é apoiado por diversos objetivos de TI.
4º PASSO. CASCATA DOS OBJETIVOS DE TI EM METAS DO HABILITADOR

Atingir os objetivos de TI exige a aplicação e o uso bem-sucedido de diversos habilitadores. Os Habilitadores
incluem:
 Princípios, políticas e estruturas
 Processos
 Estruturas Organizacionais
 Cultura, éticas e comportamento
 Informação
 Serviços, infraestrutura e aplicativos
 Pessoas, habilidades e competências
Um conjunto de metas específicas e pertinentes pode ser definido para cada habilitar em apoio aos objetivos de
TI. Neste documento, as metas de processo são fornecidas nas descrições detalhadas de processo. Processos são
um dos habilitadores, e o Apêndice C contém o mapeamento entre os objetivos de TI e os processos do COBIT
5.
2
Os resultados de TI não são obviamente o único benefício intermediário necessário para a consecução dos objetivos corporativos. Todas as demais
áreas funcionais de uma empresa, tais como finanças e marketing, também contribuem para a consecução dos objetivos corporativos, mas no contexto
do COBIT 5 somente as atividades e os objetivos de TI são considerados.
20
USANDO A CASCATA DE OBJETIVOS DO COBIT 5

BENEFÍCIOS DA CASCATA DE OBJETIVOS DO COBIT 5
A cascata de objetivos3 é importante porque permite a definição das prioridades de implementação, melhoria e
garantia da governança corporativa de TI com base nos objetivos (estratégicos) da empresa e no respectivo risco.
Na prática, a cascata de objetivos:
 Define as metas e objetivos tangíveis e relevantes em vários níveis de responsabilidade
 Filtra a base de conhecimento do COBIT 5, com base nos objetivos corporativos, para extrair a orientação
pertinente para inclusão na implementação, melhoria ou garantia de projetos específicos
 Identifica e comunica claramente como (por vezes de forma muito operacional) os habilitadores são importantes
para a consecução dos objetivos corporativos
A cascata de objetivos baseia-se na pesquisa realizada pelo Instituto de Governança e Alinhamento de TI da
Faculdade de Administração da Universidade de Antuérpia, na Bélgica
USANDO A CASCATA DE OBJETIVOS DO COBIT 5 COM ATENÇÃO

A cascata de objetivos — com suas tabelas de mapeamento entre os objetivos corporativos e os objetivos de TI
e entre os objetivos de TI e os habilitadores do COBIT 5 (inclusive processos) — não contém a verdade universal,
e os usuários não devem tentar usá-lo de uma forma puramente mecânica, mas sim como uma diretriz. Há várias
razões para isso, entre as quais:
 Cada empresa tem prioridades diferentes em seus objetivos, e essas prioridades podem mudar com o tempo
 As tabelas de mapeamento não fazem distinção entre o porte da empresa e/ou o setor em que ela está inserida.
Elas representam uma espécie de denominador comum de como, no geral, os diferentes níveis de objetivos se
inter-relacionam.
 Os indicadores usados no mapeamento consideram dois níveis de importância ou relevância, sugerindo a
existência de ‘discretos’ níveis de relevância, considerando que, de fato, o mapeamento será parecido com uma
constante com vários níveis de correspondência
UTILIZANDO A CASCATA DE OBJETIVOS DO COBIT 5 NA PRÁTICA

A partir declaração acima, fica evidente que o primeiro passo que uma empresa sempre deverá dar ao utilizar a
cascata de objetivos é personalizar o mapeamento, levando em consideração sua situação específica. Em outras
palavras, cada empresa deverá criar sua próprio cascata de objetivos, compará-lo com o COBIT e depois refiná-
la. Por exemplo, a empresa poderá desejar:
 Converter as prioridades estratégicas em um “peso” ou importância específica para cada um dos objetivos
corporativos.
 Validar os mapeamentos da cascata de objetivos, levando em consideração seu ambiente e setor específicos,
etc.
MÉTRICAS
As páginas a seguir contêm os objetivos corporativos e os objetivos de TI, com métricas de amostra que podem
ser usadas para medir a consecução de cada objetivo. Essas métricas são exemplos, e cada empresa deverá analisar
a lista cuidadosamente, decidir sobre as métricas pertinentes e atingíveis para seu próprio ambiente e conceber
seu próprio sistema de “scorecard”. Além das métricas abaixo, metas e métricas de processo foram incluídas nas
descrições detalhadas de processo
MÉTRICAS DOS OBJETIVOS DA ORGANIZAÇÃO

A figura 6 contém todos os objetivos da organização identificados na publicação da estrutura, com métricas de
exemplo para cada.
Figura 6 ‐ Exemplos de Métricas de Objetivos da Organização
3
A cascata de objetivos baseia-se na pesquisa realizada pelo Instituto de Governança e Alinhamento de TI da Faculdade de Administração da
Universidade de Antuérpia, na Bélgica.
21
Figura 6 – Exemplos de Métricas de Objetivos da Organização

Dimensão BSC Objetivo da Organização Métrica
Financeira 01 Valor dos investimentos  Percentual de investimentos em que o valor gerado atende às expectativas das
da empresa percebidos partes interessadas
pelas partes interessadas  Percentual de produtos e serviços em que os benefícios esperados foram realizados
 Percentual de investimentos em que os benefícios reivindicados foram atingidos ou
superados
02 Portfólio de produtos e  Percentual de produtos e serviços que atingem ou excedem as metas de receita e/ou
serviços competitivos participação no mercado
 Relação de produtos e serviços por fase do ciclo de vida
 Percentual de produtos e serviços que atingem ou excedem as metas de satisfação
do cliente
 Percentual de produtos e serviços que proporcionam uma vantagem competitiva
03 Gestão do risco do  Percentual de objetivos de negócio críticos e serviços cobertos pela avaliação de
negócio (salvaguarda de risco
ativos)  Relação de incidentes significativos não identificados nas avaliações de risco em
comparação com os incidentes totais
 Frequência de atualização do perfil de risco
04 Conformidade com as leis  Custo da não conformidade com as normas, inclusive acordos e multas
e regulamentos externos  Número de problemas de não conformidade com as normas que causam comentário
público ou publicidade negativa
 Número de problemas de não conformidade com as normas que dizem respeito aos
acordos contratuais com parceiros comerciais
05 Transparência financeira  Percentual de estudos de casos de investimentos com previsão de custos e
benefícios claramente definidos e aprovados
 Percentual de produtos e serviços com custos operacionais e benefícios esperados
definidos e aprovados
 Pesquisa de satisfação dos principais partes interessadas referente à transparência,
entendimento e exatidão das informações financeiras da empresa
 Percentual do custo do serviço que pode ser alocado aos usuários
Cliente 06 Cultura de serviço  Número de interrupções de serviço ao cliente devido a incidentes relacionados aos
orientada ao cliente serviços de TI (confiabilidade)
 Percentual de partes interessadas do negócio satisfeitos com o fato de que a
prestação de serviço ao cliente cumpre os níveis definidos
 Número de reclamações dos clientes
 Tendência dos resultados da pesquisa de satisfação do cliente
07 Continuidade e  Número de interrupções de serviço ao cliente que causam incidentes significativos
disponibilidade do  Custo dos incidentes para a empresa
serviço da empresa  Número de horas de processamento perdido pela empresa devido a interrupções de
serviço não planejadas
 Percentual de reclamações em função das metas definidas de disponibilidade do
serviço
08 Respostas rápidas para  Nível de satisfação da diretoria com a capacidade de resposta da empresa às novas
um ambiente de exigências
negócios em mudança  Número de produtos e serviços críticos apoiado por processos de negócios
atualizados
 Tempo médio para transformar os objetivos corporativos estratégicos em uma
iniciativa validada e aprovada
09 Tomada de decisão  Grau de satisfação da diretoria e gestão executiva com a tomada de decisão
estratégica com base na  Número de incidentes causado por decisões de negócios incorretas com base em
informação informações imprecisas
 Tempo para fornecer informações de apoio para permitir decisões de negócio
eficazes
10 Otimização dos custos de  Frequência das avaliações de otimização do custo da prestação de serviço
prestação de serviços  Tendência da avaliação de custo em comparação com os resultados do nível de
serviço
 Níveis de satisfação da diretoria e da gerência executiva com os custos da prestação
de serviço
Interna 11 Otimização da  Frequência das avaliações de maturidade da capacidade do processo de negócio
funcionalidade do  Tendência dos resultados da avaliação
processo de negócio  Níveis de satisfação da diretoria e dos executivos com a capacidade dos processos de
negócio
12 Otimização dos custos do  Frequência das avaliações de otimização do custo do processo de negócio
processo de negócio  Tendência da avaliação de custo em comparação com os resultados do nível de
22
Figura 6 – Exemplos de Métricas de Objetivos da Organização

Dimensão BSC Objetivo da Organização Métrica
serviço
 Níveis de satisfação da diretoria e da gerência executiva com os custos de
processamento do negócio
13 Gestão de programas de  Número de programas dentro do prazo e do orçamento
mudanças dos negócios  Percentual de partes interessadas satisfeitas com o resultado do programa
 Nível de consciência das mudanças no negócio induzidas por iniciativas comerciais
capacitadas por TI
14 Produtividade  Número de programas / projetos dentro do prazo e do orçamento
operacional e da equipe  Níveis de custos e de pessoal em comparação com os parâmetros de referência
(benchmarks)
15 Conformidade com as  Número de incidentes relacionados a não conformidade com a política
políticas internas  Percentual de partes interessadas que entendem as políticas
 Percentual de políticas apoiadas por padrões e práticas de trabalho efetivos
Aprendizado e 16 Pessoas qualificadas e  Nível de satisfação do participante com a expertise e habilidade dos funcionários
Crescimento motivadas  Percentual de funcionários cujas habilidades são insuficientes para a competência
requerida para seu cargo
 Percentual de funcionários satisfeitos
17 Cultura de inovação de  Nível de consciência e entendimento das oportunidades de inovação no negócio
produtos e negócios  Satisfação do participante com os níveis de produto, expertise e ideias inovadoras
 Número de iniciativas de produtos e serviços aprovadas resultantes de ideias
inovadoras
MÉTRICAS DOS OBJETIVOS DE TI

A figura 7 contém todos os objetivos de TI definidos na cascata de objetivos e inclui métricas de exemplo para
cada objetivo.
Figura 7 ‐ Exemplos de Métricas para Objetivos relacionadas a TI
Figura 7 – Exemplos de Métricas para Objetivos relacionadas a TI
Dimensão BSC Objetivos de TI Métrica
Financeia 01 Alinhamento da estratégia  Percentual de objetivos estratégicos e requisitos do negócio apoiados pelos
de negócios e de TI objetivos estratégicos de TI
 Nível de satisfação das partes interessadas com o escopo do portfólio de
programas e serviços planejado
 Percentual de criadores de valor de TI mapeados em criadores de valor de
negócio
02 Conformidade de TI e  Custo da não conformidade de TI, inclusive acordos e multas, e o impacto da
suporte para conformidade perda de reputação
do negócio com as leis e  Número de problemas de não conformidade de TI reportado à diretoria ou que
regulamentos externos causam comentário público ou constrangimento
 Número de problemas de não conformidade que dizem respeito aos acordos
contratuais com os provedores de serviço de TI
 Cobertura das avaliações de compliance
03 Compromisso da gerência  Percentual de cargos na gerência executiva com responsabilidades bem
executiva com a tomada de definidas para decisões de TI
decisões de TI  Número de vezes que TI consta na agenda da diretoria de forma proativa
 Frequência das reuniões do comitê (executivo) de estratégia de TI
 Taxa de execução de decisões executivas de TI
04 Gestão de risco  Percentual de processos de negócio críticos, serviços de TI e programas de
organizacional de TI negócio capacitados por TI cobertos pela avaliação de risco
 Número de incidentes de TI significativos que não foram identificados na
avaliação de risco
 Percentual de avaliações de risco corporativo que incluem o risco de TI
05 Benefícios obtidos pelo  Percentual de investimentos em capacidade de TI em que a realização do
investimento de TI e benefício é monitorada durante todo o ciclo de vida econômico
portfólio de serviços  Percentual de serviços de TI em que os benefícios esperados foram realizados
 Percentual de investimentos em capacidade de TI em que os benefícios
reivindicados foram atingidos ou superados
06 Transparência dos custos,  Percentual de estudos de casos de investimentos com previsão de custos e
23

benefícios e riscos de TI benefícios de TI claramente definidos e aprovados
 Percentual de serviços de TI com custos operacionais e benefícios esperados
claramente definidos
 Pesquisa de satisfação das principais partes interessadas referente à
transparência, entendimento e exatidão das informações financeiras de TI
Cliente 07 Prestação de serviços de TI  Número de interrupções do negócio devido a incidentes com o serviço de TI
em consonância com os  Percentual de participantes do negócio satisfeitos com o fato de que a
requisitos de negócio prestação de serviço de TI cumpre os níveis de serviço definidos
 Percentual de usuários satisfeitos com a qualidade da prestação do serviço de
TI
08 Uso adequado de  Percentual de responsáveis por processos de negócio satisfeitos com os
aplicativos, informações e produtos e serviços de TI de apoio
soluções tecnológicas  Nível de entendimento do usuário corporativo de como soluções tecnológicas
apoiam seus processos
 Nível de satisfação dos usuários corporativos com o treinamento e os manuais
do usuário
 Valor líquido atual (NPV) que mostra o nível de satisfação da empresa com a
qualidade e utilidade da soluções tecnológicas
Interna 09 Agilidade de TI  Nível de satisfação dos executivos da empresa com a capacidade de resposta de
TI às novas exigências
 Número de processos de negócio críticos apoiados por infraestrutura e
aplicativos atualizados
 Tempo médio para transformar os objetivos estratégicos de TI em uma
iniciativa validada e aprovada
10 Segurança da informação,  Número de incidentes de segurança que causam prejuízo financeiro,
infraestrutura de interrupção do negócio ou constrangimento público
processamento e  Número de serviços de TI sem requisitos de segurança adotados
aplicativos  Tempo para conceder, alterar e remover privilégios de acesso em comparação
com os níveis de serviço definidos
 Frequência da avaliação de segurança em comparação com os últimos padrões
e diretrizes
11 Otimização de ativos,  Frequência das avaliações de otimização de custo e maturidade da capacidade
recursos e capacidades de  Tendência dos resultados da avaliação
TI  Níveis de satisfação dos executivos de TI e da empresa com os custos e a
capacidade de TI
12 Capacitação e apoio aos  Número de incidentes com o processamento do negócio causados por erro de
processos de negócios integração da tecnologia
através da integração de  Número de mudanças no processo de negócio que tiveram de ser adiadas ou
aplicativos e tecnologia retrabalhadas por causa de problemas com a integração da tecnologia
 Número de programas corporativos capacitados por TI atrasados ou que
incorreram custo adicional devido a problemas com a integração da tecnologia
 Número de aplicativos ou infraestruturas críticas operando em silos e sem
integração
13 Entrega de programas  Número de programas / projetos dentro do prazo e do orçamento
fornecendo benefícios,  Percentual de participantes satisfeitos com a qualidade do programa / projeto
dentro do prazo, orçamento  Número de programas que necessitam de retrabalho significativo devido à má
e atendendo requisitos qualidade
 Custo de manutenção do aplicativo em comparação com o custo geral de TI
14 Disponibilidade de  Nível de satisfação do usuário corporativo com a qualidade e pontualidade (ou

informações úteis e disponibilidade) das informações gerenciais
confiáveis para a tomada de  Número de incidentes com os processos de negócio causados pela
decisão indisponibilidade da informação
 Relação e extensão das decisões de negócios erradas em que a informação
errada ou indisponível foi um fator importante
15 Conformidade de TI com as  Número de incidentes relacionados a não conformidade com a política
políticas internas  Percentual de participantes que entendem as políticas
 Percentual de políticas apoiadas por padrões e práticas de trabalho efetivos
 Frequência da revisão e atualização das políticas
Aprendizado e 16 Equipes de TI e de negócios  Percentual de funcionários cujas habilidades de TI são suficientes para a
24

Crescimento motivadas e qualificadas competência requerida para seu cargo
 Percentual de funcionários satisfeitos com os seus cargos em TI
 Número de horas de treinamento / capacitação por membro da equipe
17 Conhecimento, expertise e  Nível de conscientização e entendimento dos executivos da empresa das
iniciativas para inovação possibilidades de inovação de TI
dos negócios  Nível de satisfação do participante com os níveis de inovação, expertise e ideias
de TI
 Número de iniciativas aprovadas resultante de ideias inovadoras de TI
25
26
CAPÍTULO 4
MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5
CAPÍTULO 3
O MODELO DE PROCESSOS DO COBIT 5
Processos são uma das sete categorias de habilitadores da governança e gestão de TI da empresa, já explicadas
no COBIT 5, capítulo 05 As especificidades do habilitador de processos são comparadas com a descrição do
habilitador genérico e apresentadas na figura 8.
Figura 8 ‐ Habilitadores do COBIT 5: Processos
Figura 8 – Habilitadores do COBIT 5: Processos
Um processo é definido como “um conjunto de práticas influenciadas pelas políticas e procedimentos da empresa
alimentado por diversas fontes (inclusive outros processos), que manipula as entradas e produz resultados (ex:
produtos, serviços)”.
O modelo de processos destaca:
 Partes Interessadas — Processos têm partes interessadas internas e externas, com suas próprias funções; as
partes interessadas e seus níveis de responsabilidade são documentados nas Tabelas RACI. Partes interessadas
externas incluem clientes, parceiros comerciais, acionistas e reguladores. Partes interessadas internas incluem
o conselho, administração, funcionários e voluntários.
 Metas — As metas do processo são definidas como “uma declaração que descreve o resultado esperado de um
processo. Um resultado pode ser um artefato, uma mudança significativa de um estado ou uma melhoria
significativa na capacidade de outros processos”. Elas fazem parte da cascata de objetivos, ou seja, as metas do
processo apoiam os objetivos de TI, que por sua vez apoiam os objetivos corporativos.
As metas do processo podem ser categorizadas como:
 Metas intrínsecas — O processo tem qualidade intrínseca? Ele é exato e está em consonância com as boas
práticas? Ele cumpre as normas internas e externas?
 Metas contextuais — O processo foi personalizado e adaptado à situação específica da empresa? O processo
é significativo, compreensível e fácil de ser aplicado?
 Metas de acessibilidade e segurança — O processo mantém a confidencialidade, quando necessário, é
conhecido e está acessível para quem precisa deles?
Em cada nível da cascata de objetivos, e consequentemente também para os processos, métricas são definidas
para aferir em que medida os objetivos são atingidos. Métricas podem ser definidas como “uma entidade
quantificável que permite medir a consecução da meta de um processo. As métricas devem ser SMART (specific,
measurable, actionable, relevant and timely) — específicas, mensuráveis, acionáveis, pertinentes e tempestivas”.
Para administrar o habilitador de forma eficaz e eficiente, as métricas devem ser definidas para medir em qual
medida os resultados esperados foram atingidos. Além disso, um segundo aspecto do controle de desempenho do
27
habilitador descreve em qual medida as boas práticas foram aplicadas. Aqui também, métricas associadas podem
ser definidas para auxiliar o controle do habilitador.
 Ciclo de vida — Cada processo tem um ciclo de vida. Ele é definido, criado, operado, monitorado, e
ajustado/atualizado ou encerrado. Práticas de processos genéricas tais como as definidas no modelo de
avaliação de processo do COBIT com base no ISO/IEC 15504 podem auxiliar na definição, execução,
monitoramento e otimização dos processos.
 Boas práticas — COBIT 5: Enabling Processes contém um modelo de referência de processo, que descreve as
boas práticas internas do processo com níveis de detalhamento cada vez maiores: Práticas, atividades e
atividades detalhadas:4
Práticas:
 Para cada processo do COBIT 5, as práticas de governança/gestão fornecem um conjunto completo de
requisitos em alto nível para a prática e eficaz governança e gestão de TI da empresa. Elas são:
 Declarações de ações para realização de benefícios, otimizar o nível de risco e o uso dos recursos
 Alinhadas aos padrões e boas práticas pertinentes geralmente aceitos
 Genéricas e, portanto, devem ser adaptadas para cada empresa
 Coberturas para os especialistas em TI e em negócios do processo (de ponta a ponta)
 O órgão de governança da empresa e a administração devem fazer escolhas relacionadas a estas práticas de
governança e gestão:
 Selecionando as que são aplicáveis e decidindo quais serão implementadas
 Adicionando e/ou adaptando as práticas conforme necessário
 Definindo e adicionando práticas não relacionadas a TI para integração nos processos de negócios
 Escolhendo como implementá-las (frequência, amplitude, automação, etc.)
 Aceitando o risco da não implementar aquelas que possam ser aplicáveis
Atividades - No COBIT, as principais ações a serem tomadas na operação do processo
 São definidas como “orientação para alcançar as práticas de gestão para obter sucesso na governança e gestão
de TI da empresa”. As atividades do COBIT 5 disponibilizam informações sobre como, por que e o que
implementar em cada prática de governança e gestão para melhorar o desempenho de TI e/ou abordar o risco
da solução de TI e da prestação de serviço. Este material é útil para:
 A administração, prestadores de serviços, usuários finais e profissional de TI que precisam planejar,
desenvolver, executar ou monitorar a TI da empresa
 Profissionais de garantia que possam ser questionados sobre suas opiniões em relação às implementações
atuais ou propostas ou as melhorias necessárias
 Um conjunto completo de atividades genéricas e específicas que fornecem uma abordagem que inclui todas as
etapas necessárias e suficientes para alcançar a principal prática de governança-PG (GP – Governance Practice)
/ prática de gestão-PG (MP – Management Preactice). Elas fornecem orientação em alto nível, a um nível
abaixo do GP/MP para avaliar o desempenho efetivo e considerar potenciais melhorias. As atividades:
 Descrevem um conjunto de etapas de implementação orientadas à ação necessárias e suficientes para atingir
um GP/MP
 Consideram as entradas e saídas do processo
 Tem como base os padrões e boas práticas geralmente aceitos
 Apoiam o estabelecimento de funções e responsabilidades bem definidas
 Não são prescritivas e devem ser adaptadas e desenvolvidas em procedimentos específicos adequados à
empresa
 Atividades detalhadas — As atividades podem não ter um nível suficiente de detalhamento para a
implementação e orientação adicional talvez tenha de ser:
 Obtida a partir de padrões e boas práticas pertinentes específicos tais como ITIL, ISO/IEC série 27000 e
PRINCE2
 Desenvolvida como atividades específicas ou mais bem detalhadas como desenvolvimentos adicionais na
família de produtos do próprio COBIT 5
 Entradas e saídas — As entradas e saídas do COBIT 5 são os produtos do trabalho/artefatos do processo
4
Somente práticas e atividades são desenvolvidas de acordo com o projeto atual. Os níveis mais detalhados estão sujeitos a desenvolvimento(s) adicional
(ais), por exemplo, os diversos guias profissionais podem fornecer orientação mais detalhada para suas áreas. Além disso, orientação adicional pode ser
obtida através dos padrões e estruturas relacionados, conforme indicado nas descrições detalhadas do processo.
28
CAPÍTULO 4
considerados necessários para apoiar a operação do processo. Elas possibilitam decisões importantes, fornecem
um registro e uma prova de auditoria das atividades do processo e permitem o acompanhamento em caso de
incidente. Elas são definidas em um importante nível da prática de governança/gestão, podem incluir alguns
produtos do trabalho usados somente dentro do processo e frequentemente são entradas essenciais para outros
processos.5
Boas práticas externas podem existir em qualquer forma ou nível de detalhamento e a maioria
se refere a outros padrões e estruturas. Os usuários podem consultar essas boas práticas
externas em todas as ocasiões, visto que o COBIT está alinhado com estes padrões, quando
pertinente, e as informações de mapeamento serão disponibilizadas.
GERENCIAMENTO DE DESEMPENHO DO HABILITADOR

Empresas esperam resultados positivos da aplicação e uso dos habilitadores. Para controlar o desempenho dos
habilitadores, as perguntas abaixo terão de ser monitoradas e posteriormente respondidas — com base em
métricas — periodicamente:
 As necessidades das partes interessadas foram consideradas?
 As metas do habilitador foram atingidas?
 O ciclo de vida do habilitador é controlado?
 Boas práticas foram aplicadas?
No caso do habilitador de processo, os primeiros dois marcadores tratam do resultado efetivo do processo. As
métricas usadas para mensurar em qual medida as metas foram atingidas podem ser chamadas de “indicadores
de resultado”. No COBIT 5: Enabling Processes diversas métricas são definidas para cada Objetivo do Processo.
Os dois últimos marcadores tratam do funcionamento real do próprio habilitador e as métricas para essa finalidade
podem ser chamadas de “indicadores de progresso” (também, conhecido como performance ou execução).
Nível de capacidade do processo — O COBIT 5 possui um esquema de avaliação da capacidade do processo
com base no ISO/IEC 155004 Isto é discutido no capítulo 8 do COBIT 5 e mais orientações estão disponíveis em
publicações separadas do ISACA COBIT 05 Em suma, o nível de capacidade do processo mede a consecução
das metas e a aplicação das boas práticas.
Relações com outros habilitadores — As interações entre os processos e as demais categorias de habilitadores
existem através das seguintes relações:
 Processos necessitam de informações (como um dos tipos de entrada) e podem produzir informações (como
um produto do trabalho).
 Processos necessitam de estruturas organizacionais e funções para funcionar, conforme demonstrado nas
tabelas RACI, por exemplo, comitê de orientação de TI, comitê de risco corporativo, conselho, auditoria, diretor
de TI (CIO), diretor executivo (CEO).
 Processos produzem, e também requerem, capacidades de serviço (infraestrutura, aplicativos, etc.)
 Processos podem e irão depender de outros processos.
 Processos produzem ou necessitam de políticas e procedimentos para garantir a consistência da implementação
e execução.
 Aspectos culturais e comportamentais determinam a qualidade da execução dos processos.
5
As entradas e saídas que ilustram o COBIT 5 não serão consideradas uma lista completa porque fluxos de informações adicionais podem ser definidos,
dependendo do ambiente e da estrutura do processo de uma empresa específica.
29
30
CAPÍTULO 4
CAPÍTULO 4
PROCESSOS DE GOVERNANÇA E GESTÃO
Um dos princípios que norteiam o COBIT é a distinção feita entre governança e gestão. Em consonância com
este princípio, seria esperado que todas as empresas implementassem diversos processos de governança e
diversos processos de gestão que forneceriam total governança e gestão de TI da empresa.
Ao considerar os processos de governança e gestão no contexto da empresa, a diferença entre os tipos de
processos reside nos objetivos dos processos:
 Processos de governança — Os processos de governança tratam dos objetivos de governança do participante,
criação de valor, otimização dos riscos e dos recursos — e incluem práticas e atividades voltadas à avaliação
das opções estratégicas, fornecendo orientação para TI e monitorando o resultado (EDM Avaliar, Dirigir e
Monitirar — em consonância com os conceitos do padrão ISO/IEC 38500).
 Processos de gestão — Em consonância com as definições de gestão, práticas e atividades dos processos de
gestão cobrem as áreas de responsabilidade de PBRM (plan, build, run and monitor) de TI da empresa e devem
fornecer cobertura de TI de ponta a ponta.
Embora o resultado dos tipos de processos seja diferente e destinado a um público diferente, internamente, do
contexto do processo em si, todos os processos requerem atividades de “planejamento”, “construção”, “execução”
e “monitoramento” (PBRM) das atividades do processo.
MODELO
O COBIT 5 não é prescritivo, mas a partir do texto acima fica claro que ele defende que as empresas implementem
processos de governança e gestão de tal forma que as principais áreas sejam cobertas, conforme demonstrado na
figura 9.
Na teoria, uma empresa pode organizar seus processos conforme julgar adequado, contanto que todos os objetivos
de governança e gestão necessários sejam cobertos. Empresas de menor porte podem ter menos processos;
empresas de maior porte e mais complexas poderão ter muitos processos, todos para cobrir os mesmos objetivos.
Figura 9 ‐ Principais Áreas para Governança e Gestão do COBIT 5
Figura 9 – Principais Áreas para Governança e Gestão do COBIT 5
O COBIT 5 inclui um modelo de referência de processo, que define e descreve em detalhes diversos processos
de governança e gestão. Isso fornece um modelo de referência de processo que representa todos os processos
31
normalmente encontrados nas atividades de TI de uma empresa, oferecendo um modelo de referência comum
compreensível aos administradores operacionais de TI e administradores de negócios. O modelo de processo
proposto é um modelo completo e abrangente, mas não é o único modelo de processo possível. Cada empresa
deve definir seu próprio conjunto de processos, considerando sua situação específica.
Incorporar um modelo operacional e uma linguagem comum para todas as partes da empresa envolvidas nas
atividades de TI é uma das etapas mais importantes e críticas da boa governança. Isso também fornece uma
estrutura para medição e monitoramento do desempenho de TI, comunicação com os prestadores de serviços e
integração das melhores práticas de gestão.
O modelo de referência de processo do COBIT 5 subdivide os processos de governança e gestão de TI da empresa
em duas áreas de atividades principais — governança e gestão — divididas em dois domínios de processos:
 Governança — Este domínio contém cinco processos de governança; e práticas de EDM (Avaliar, Dirigir e
Monitirar) são definidas dentro de cada processo.
 Gestão — Estes quatro domínios estão em consonância com as áreas de responsabilidade de PBRM (uma
evolução dos domínios do COBIT 4.1) e proporcionam uma cobertura de TI de ponta a ponta. Cada domínio
contém diversos processos, como no COBIT 4.1 e versões anteriores. Embora, conforme já mencionado, a
maioria dos processos requeira atividades para “planejar”, “implementar”, “executar” e “monitorar” o processo
ou o problema específico a ser abordado (por exemplo, qualidade, segurança), eles são alocados em domínios
de acordo com a área de atividade mais relevante em relação a TI da empresa.
O modelo de referência de processo do COBIT 5 é o sucessor do modelo de processo do COBIT 4.1, e conta
ainda com a integração dos modelos de processo Risk IT e Val IT. A figura 10 mostra o conjunto completo de
37 processos de governança e de gestão do COBIT 5.
Figura 10 ‐ Modelo de Referência de Processos do COBIT 5
Figura 10 – Modelo de Referência de Processos do COBIT 5
32
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERENCIAS DE PROCESSOS DO COBIT 5
Este capítulo descreve o conteúdo detalhado relacionado aos processos de governança e gestão do COBIT 05 As seguintes
informações serão incluídas para cada processo, em consonância com o modelo de processo explicado no capítulo anterior:
 Identificação do processo — Na primeira página:
 Rótulo do processo — O prefixo do domínio (EDM, APO, BAI, DSS, MEA) e o número do processo
 Nome do processo — Uma curta descrição, indicando o assunto principal do processo
 Área do processo — Governança ou gestão
 Nome do domínio
 Descrição do processo — Uma visão geral daquilo que o processo faz e uma visão geral em alto nível de como
o processo alcança seu objetivo
 Declaração de objetivo do processo — Uma descrição do objetivo geral do processo
 Informações sobre a cascata de objetivos — Referência e descrição dos principais objetivos de TI apoiados
pelo processo,6 e métricas para medir a consecução dos objetivos de TI
 Objetivos e Métricas do Processo — Um conjunto de metas de processo e um número limitado de métricas
de exemplo
 Tabela RACI — Uma sugestão de atribuição do nível de responsabilidade das práticas de processo para
diferentes funções e estruturas. As funções corporativas listadas possuem um sombreado mais escuro do que o
das funções de TI. Os diferentes níveis de envolvimento são:
 R(esponsável) - Quem está realizando a tarefa? As funções que tiverem o principal interesse operacional
na realização da atividade relacionada e criarem o resultado esperado
 (prest)A (contas) - Quem responde pelo sucesso da tarefa? Isso atribui a responsabilidade global para
realizar a tarefa (Em quem termina a atividade operacional?). Levar em conta que o papel mencionado é o
menor nível adequado de prestação de contas; e há naturalmente, níveis mais elevados de responsabilidade
que são responsáveis também. Para habilitar o modelo de aprovações da organização a responsabilidade é
discriminada na medida do possível. A prestação de contas não indica que o papel não tem atividades
operacionais; é muito provável que o papel fique envolvido na tarefa. Como princípio básico, a prestação de
contas não pode ser compartilhada.
 C(onsultado)- Quem é responsável pelas entradas? As principais funções que fornecem entrada. Observe
que também fica a critério das funções responsáveis obterem as informações junto a outras unidades ou
parceiros externos; no entanto, as entradas provenientes das funções relacionadas serão consideradas e, se
necessário, ações adequadas deverão ser tomadas para escalação, inclusive a informação do responsável pelo
processo e/ou do comitê diretor.
 I(nformado) - Quem recebe a informação? As funções informadas sobre a consecução e/ou resultados da
tarefa. A função de“responsável”, evidentemente, sempre deverá receber informação adequada para
supervisionar a tarefa, da mesma forma que as funções responsáveis por sua área de interesse
 Descrição detalhada das práticas do processo — Para cada prática:
 Título e descrição da prática
 Entradas e saídas da prática, com indicação de origem e destino
 Atividades do processo, maior detalhamento das práticas
 Orientação relacionada — Referências a outros padrões e indicação para orientação adicional
ENTRADAS E SAÍDAS
As descrições detalhadas de processo contêm — no nível das práticas de governança e gestão — entradas e saídas.
De modo geral, cada saída é enviada para um ou um número limitado de destino, geralmente outra prática de
processo do COBIT. Essa saída então se torna uma entrada para o seu destino. No entanto, há diversas saídas que
possuem muitos destinos, por exemplo, todos os processos do COBIT ou todos os processos dentro de um
domínio. Por motivos de legibilidade, essas saídas NÃO são listadas como entradas nesses processos. Uma lista
complete dessas saídas foi incluída na figura 11.
6
Apenas as Metas de TI relacionadas com um 'P' na tabela de mapeamento entre os objetivos e processos relacionados a TI (figura 17) estão listados
aqui.
33
Para algumas/saídas, o destino “interno” é mencionado. Isto significa que a entrada/saída ocorre entre atividades
dentro do mesmo processo.
Figura 11 ‐ Saídas
Figura 11 – Saídas
Saídas para todos os Processos
S
Da Prática Descrição da Saída Destino
APO13.02 Plano de tratamento de risco de Segurança da informação TodosEDM; TodosAPO; TodosBAI;TodosDSS; All MEA
Saídas para todos os Processos de Governança
EDM01.01 Princípios guia de governança corporativa Todos EDM
EDM01.01 Modelo de tomada de decisão Todos EDM
EDM01.01 Níveis de Autoridade Todos EDM
EDM01.02 Comunicação da Governança Corporativa Todos EDM
EDM01.03 Feedback da efetividade de governança e desempenho Todos EDM
Saídas para todos os Processos de Gestão
APO01.01 Regras básicas de comunicação TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.03 Políticas relacionadas a TI TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.04 Comunicação dos Objetivos de TI TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.07 Oportunidades de melhoria dos processos TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO02.06 Pacote de Comunicação TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.02 Padrões de Gestão da Qualidade TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.04 Objetivos e métricas de processo de qualidade de serviço TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Comunicação de melhoria continua e boas práticas TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Exemplos de boas práticas a serem compartilhados TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Resultados do Benchmark de Revisão da Qualidade TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.02 Objetivos de Monitoração TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.04 Relatórios de Desempenho TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.05 Planos de Remediação e atribuições TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.01 Resultados da monitoração e revisões de controles internos TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.01 Resultados de benchmarking e outras avaliações TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.03 Planejamento e critério de Self‐assessments TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.03 Resultados das revisões self‐assessments TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.04 Deficiências de Controle TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.04 Ações de Remediação TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.06 Plano de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Refinamento de Escopo TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Resultados da Revisão de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Relatório de Revisão de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA03.02 Comunicação da mudança dos requisitos de compliance TodosAPO; TodosBAI; TodosDSS; TodosMEA
INSTRUÇÕES GENÉRICAS PARA PROCESSOS

As atividades nas descrições detalhadas de processo descrevem o propósito funcional do processo – o qual o
processo presume entregar. Estes serão diferentes para cada processo, porque cada processo tem objetivos de
34
CAPÍTULO 5
processos distintos
Existem também instruções de como o processo será executado, exemplo: Instruções genéricas de como construir,
executar, monitorar e melhorar o processo referido. Essas instruções são genéricas e semelhantes para cada
processo.
No COBIT 4.1, os controles de processo continham boas práticas que não eram específicas para qualquer
processo, mas eram genéricas e aplicáveis a todos os processos. Esses controles de processos eram similares a
alguns dos atributos genéricos do modelo de maturidade do COBIT 4.1.
No COBIT 5, é utilizado um esquema de avaliação de capacidade de processos em conformidade com a ISO/IEC 155004 Nesse
esquema os atributos de capacidade pertencentes a um maior nível de capacidade descrevem maior e melhor proficiência na
construção do processo, dessa maneira substituindo eficientemente os controles de processo do COBIT 4.1
Essa é uma instrução importante relacionada aos processos, e por essa razão que a figura 12 contém uma análise
de alto nível dos controles de processo do COBIT 4.1 e seu equivalente aos atributos de capacidade baseados na
ISO/IEC 15504 que são embasamento para satisfazer os processos.
Figura 12 ‐ Processos de Controle do COBIT 4.1 e Atributos de Capacidade de Processo ISSO/IEC 15504
Figura 12 – Processos de Controle do COBIT 4.1 e Atributos de Capacidade de Processo ISSO/IEC 15504
COBIT 4.1 Atributos de Capacidade de Processo ISO/IEC 15504
PC1 Metas e Objetivos do Processo PA 2.1 Atributo de gestão de desempenho
PC2 Propriedade do Processo PA 2.1 Atributo de gestão de desempenho
PC3 Repetitividade do processo PA 3.1 Atributo de definição de processo
PC4 Papéis e Responsabilidades PA 2.1 Atributo de gestão de desempenho
PA 3.2 Atributo de implementação de processo
PC5 Política, Planos e Procedimentos PA 2.1 Atributo de gestão de desempenho
PC6 Processo de Melhoria de Desempenho PA 2.1 Atributo de gestão de desempenho
PA 5.2 Atributo de otimização de processo
35
36
CAPÍTULO 5
Avalçiar, Dirigir e Monitorar

AVALIAR, DIRIGIR E MONITORAR (EDM)
01 Garantir a Definição e Manutenção do Modelo de Governança
02 Garantir a Realização de Benefícios
03 Garantir a Otimização do Risco
04 Garantir a Otimização de Recursos
05 Garantir a Transparência às Partes Interessadas
37
EDM01 Garantir a Definição e Manutenção do Modelo de Governança

EDM01 ‐ Garantir a Definição e Manutenção do Modelo de Área: Governança

Governança Domínio: Avaliar, Dirigir e Monitorar
Descrição do Processo
Analisar e articular os requerimentos da governança corporativa de TI, colocando em prática e mantendo efetiva as estruturas de
habilitadores, princípios, processos e práticas, com clareza de responsabilidades e autoridade para alcançar a missão, metas e objetivos da
organização.
Descrição do Objetivo de Processo
Implementar uma abordagem consistente, integrada e alinhada com a abordagem de governança corporativa. Para garantir que as decisões
de TI são tomadas em linha com as estratégias e objetivos corporativos, garantir que os processos de TI são acompanhados de forma
eficiente e transparente, conformidade verificada aos requisitos legais e regulatórios, alcance dos requisitos de governança aos membros do
Conselho de Administração.
O processo suporta a realização de um conjunto primário de objetivos de TI:
Objetivos de TI Métricas Relacionadas
01 Alinhamento da estratégia de negócios e de TI  Percentual de metas estratégicas e requisitos corporativos, suportados
pelas metas estratégicas de TI.
 Nível de satisfação das partes interessadas com o escopo do portfólio dos
programas e serviços.
 Percentual dos direcionadores de valor de TI mapeados a direcionadores
de valor ao negócio.
03 Compromisso da gerência executiva com a tomada de  Percentual de papéis da gestão executiva com prestação de contas
decisões de TI definidas em relação as decisões de TI.
 Número de vezes que TI está na agenda do Conselho de Administração de
maneira proativa.
 Frequência das reuniões de comitê estratégico (executivo) de TI.
 Frequência de decisões executivas relacionadas a TI
07 Prestação de serviços de TI em consonância com os  Número de interrupções de negócio relacionadas a incidentes em serviços
requisitos de negócio de TI
 Percentual de partes interessadas no negócio satisfeitas em relação ao
alinhamento dos níveis de serviço à entrega dos serviços de TI
 Percentual dos usuários satisfeitos com a qualidade dos serviços de TI
Objetivos e Métricas do Processo
Objetivo do Processo Métricas Relacionadas
01 O modelo de tomada de decisão estratégica para TI é  Ciclo de tempo real vs. pretendido para decisões mais importantes.
eficiente e alinhado com os requisitos internos e externos  Nível de satisfação das partes interessadas (medida através de pesquisas).
e das partes interessadas.
02 O Sistema de governança de TI está integrado à  Número de papéis, responsabilidades e autoridades que são definidas,
Organização atribuídas e aceitas pelas respectivas gestões de negócio e TI.
 Quantidade de princípios de governança de TI acordados que são
evidenciados nos processos e práticas (porcentagem de processos e
práticas com rastreabilidade clara aos princípios)
 Número de ocorrências de falta de conformidade aos padrões éticos e
comportamento profissional.
03 Garantia (Assurance) é obtida pela premissa de que o  Frequência de revisões independentes de governança de TI
sistema de governança de TI está operando de maneira  Frequência de governança de TI reportando ao comitê executivo e
eficiente. conselho de administração.
 Número de problemas de governança de TI reportados.
38
CAPÍTULO 5
EDM01 Tabela RACI

EDM01 Tabela RACI
Diretor de Segurança da Informação (CSO)

Escritório de Programas e Projetos (PMO)
Responsável pelo Processo de Negócios
Comitês Diretivos (Projeto e Programa)
Gerente de Continuidade dos Negócios

Gerente de Segurança da Informação
Diretor Executivo (Presidente) (CEO)
Escritório de Gestão do valor da TI
Comitê de Riscos da Organização
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Diretor de Riscos (CRO)

Executivo de Negócios
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM01.01
A R C C R R C C C C C C R C C C
Avaliar o sistema de governança
EDM01.02
A R C C R I R I I I C I I I I C C R C I I I I I I I
Dirigir o sistema de governança
EDM01.03
A R C C R I R I I I C I I I I C C R C I I I I I I I
Monitorar o sistema de governança
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM01 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Governança Entradas Saídas
EDM01.01 Avaliar o sistema de governança. De Descrição Descrição Para
Continuamente identificar e envolver as partes MEA03.02  Comunicação das  Princípios de orientação Todos EDM
interessadas da organização, documentar o mudanças aos para Governança APO01.01
entendimento dos requisitos, e fazer um julgamento requisitos de Corporativa APO01.03
sobre o desenho atual e futuro da governança conformidade.
corporativa de TI.
Referência  Tendências do  Modelo de tomada de Todos EDM
externa ao ambiente de negócio decisão APO01.01
COBIT  Normas e  Níveis de autoridade Todos EDM
regulamentação APO01.02
 Guia para modelo de
tomada de decisão de
Governança
 Estatuto interno da
organização
Atividades
01 Analisar e identificar os fatores internos e externos ambientais (obrigações legais, regulamentares e contratuais) e tendências no
ambiente de negócios que podem influenciar o desenho da governança.
02 Determinar a importância da TI e seu papel no que diz respeito ao negócio.
03 Considerar regulamentos externos, leis e obrigações contratuais e determinar como eles devem ser aplicados dentro da
governança corporativa de TI.
04 Alinhar o uso ético do processamento de informações e seu impacto na sociedade, o ambiente natural, e os interesses internos e
externos das partes interessadas com o direcionamento, metas e objetivos da organização.
05 Determinar as implicações do ambiente geral de controle da organização no que diz respeito à TI.
06 Articular os princípios que irão orientar o desenho da governança e a tomada decisão de TI.
07 Compreender a cultura de tomada de decisões da organização e determinar o melhor modelo de tomada de decisão de TI
08 Determinar os níveis adequados de delegação da autoridade, incluindo limites pré‐estabelecidos para as decisões de TI.
39

EDM01.02 Dirigir o sistema de governança De Descrição Descrição Para
Informar os líderes e obter o seu apoio, convencimento  Governança de Todos EDM
e compromisso. Orientar as estruturas, processos e comunicações APO01.04
práticas para governança de TI em conformidade com corporativas.
os princípios acordados no desenho da governança,
 Abordagem de sistema APO07.03
modelos de tomada de decisão e níveis de autoridade.
de recompensas APO07.04
Definir as informações necessárias para o
reconhecimento da tomada de decisão.
Atividades
01 Comunicar os princípios de governança de TI e alinhar com a gerência executiva no intuito de estabelecer o reconhecimento e o
empenho da liderança
02 Estabelecer ou delegar a implementação das estruturas de governança, processos e práticas de acordo com os princípios
definidos.
03 Atribuir responsabilidade, autoridade e prestação de contas alinhado aos princípios definidos de governança, modelos de tomada
de decisão e delegação.
04 Garantir que a comunicação e mecanismos de reporte fornecem responsabilidades pela supervisão e informações adequadas para
a tomada de decisão
05 Assegurar que os funcionários sigam as orientações relevantes para o comportamento ético e profissional, garantindo que as
consequências de não conformidade são conhecidas e aplicadas.
06 Assegurar o estabelecimento de um sistema de recompensa para promover a mudança cultural desejável.
EDM01.03 Monitorar o sistema de governança De Descrição Descrição Para
Monitorar a eficácia e o desempenho da governança MEA01.04  Relatórios de  Feedback de efetividade Todos EDM
corporativa de TI. Avaliar se o sistema de governança e desempenho e desempenho da APO01.07
mecanismos implementados (incluindo estruturas, governança
MEA01.05  Status e resultado das
princípios e processo) estão funcionando de forma
ações
eficaz e permitem a supervisão adequada de TI.
MEA02.01  Resultado de
benchmarking e outras
avaliações
 Resultados de
monitoramento e
revisões de controles
internos
MEA02.03  Resultado de revisões
de self‐assessments
MEA02.06  Planos de Garantia
(Assurance)
MEA03.03  Confirmações de
Conformidade
MEA03.04  Relatórios de
problemas de não
conformidades e
causas raízes
 Relatórios de Garantia
(Assurance) de
confomidade
Referência  Prestação de Contas
externa ao  Relatórios de Auditoria
COBIT
40
CAPÍTULO 5

Atividades
01 Avaliar a eficácia e o desempenho da responsabilidade e autoridade delegada às partes interessadas, relacionada à governança
corporativa de TI.
02 Avaliar periodicamente se mecanismos validados para governança de TI (estruturas, princípios, processos, etc.) estão
estabelecidos e funcionam de forma eficaz.
03 Avaliar a eficácia do modelo de governança e identificar ações para corrigir quaisquer desvios encontrados
04 Manter a supervisão do escopo que satisfaz obrigações (regulamentares, legislação, tribunais, contratuais), políticas internas,
normas e orientações profissionais.
05 Fazer a supervisão da eficácia e cumprimento do sistema corporativo de controle.
06 Monitorar de forma regular e rotineira os mecanismos para garantir que o uso da TI está em conformidade com as obrigações
relevantes (regulamentares, legislação, tribunais, contratuais), padrões e diretrizes
EDM01 Orientação relacionada
EDM01 Orientação Relacionada
Padrão Relacionado Referência Detalhada
Committee of Sponsoring Organizations
of the Treadway Commission (COSO)
ISO/IEC 38500
King III 5.1 . O conselho de administração deve ser responsável pela governança de tecnologia da
informação (TI).
5.03 O conselho de administração deve delegar a gestão da responsabilidade para a implementação
de um modelo de governança de TI.
Organisation for Economic Co‐operation Princípios de Governança Corporativa
and Development (OECD)
41
EDM02 Garantir a Realização de Benefícios

EDM02 ‐ Garantir a Realização de Benefícios Área: Governança

Domínio: Avaliar, Dirigir e Monitorar
Otimizar a contribuição de valor agregado ao negócio através dos processos de negócios, serviços de TI e ativos de TI resultantes de
investimentos realizados pela TI a custos aceitáveis.
Defender o valor ideal das iniciativas, serviços e ativos de TI; entregas de soluções e serviços com custo eficiente; e uma imagem confiável e
precisa dos custos e benefícios prováveis, para que as necessidades de negócios sejam suportadas de forma eficaz e eficiente.
01 Alinhamento da estratégia de negócios e de TI  Percentual de objetivos e necessidades estratégicas da organização
suportados pelas metas estratégicas de TI
programas e serviços planejados.
 Percentual de direcionadores de valor de TI mapeados para
direcionadores de valor de negócio
05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual dos investimentos aprovados onde a realização do benefício é
serviços monitorada através de todo o ciclo de vida econômico.
 Percentual dos serviços de TI, onde os benefícios esperados são
realizados.
 Percentual dos investimentos aprovados onde os benefícios declarados
são atingidos ou ultrapassados
06 Transparência dos custos, benefícios e riscos de TI.  Percentual de casos de investimento de negócio com custos e benefícios
relacionados a TI claramente definidos e aprovados conforme o esperado.
 Percentual de serviços de TI com custos operacionais e benefícios
esperados claramente definidos e aprovados.
 Pesquisa de satisfação das principais partes interessados sobre o nível de
transparência, compreensão e veracidade das informações financeiras de
TI
07 Prestação de serviços de TI em consonância com os  Número de interrupções nos negócios devido a incidentes de serviço
requisitos de negócio  Percentual das partes interessadas do negócio satisfeitas com o
atendimento da entrega de serviços em relação aos níveis de serviços
estabelecidos.
 Percentual dos usuários satisfeitos com a qualidade da prestação de
serviços de TI
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de percepção dos executivos de negócios e compreensão das
negócios possibilidades de inovação em TI
 Nível de satisfação das partes interessadas, com níveis de especialização
em inovação e ideias em TI.
 Número de iniciativas aprovadas resultantes de ideias inovadoras em TI
01 A organização está fixando o valor ideal de seu portfólio  Nível de satisfação gestão executiva com ele é a entrega de valor
ativado de iniciativas, serviços e bens de TI. agregado e custo.
 Desvio entre investimento desejado e portfólio de investimento real
 Nível de satisfação das partes interessadas com a capacidade da
organização em obter valor agregado a partir de iniciativas de TI.
02 A melhor solução de valor agregado é derivada do  Número de incidentes que ocorrem devido a omissão ou qualquer
investimento em TI por meio da eficácia das práticas de tentativa de negligenciar os princípios e práticas estabelecidas de gestão
gestão de valor na organização. de valor agregado.
 Percentual das iniciativas de TI do portfólio geral onde o valor está sendo
gerenciado completamente através do seu completo ciclo de vida.
03 Investimentos de TI individualizados contribuem para a  Pesquisas para medir o nível de satisfação das partes interessadas com o
melhor razão de valor agregado. progresso em relação às metas identificadas e entrega de valor agregado
 Percentual obtido do valor agregado esperado.
42
CAPÍTULO 5
EDM02 Tabela RACI

EDM02 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
EDM02.01
Avaliar a otimização do valor A R R C R R C C C C C C C R C C C
agregado
EDM02.02
Direcionar a otimização de valor A R R C R I R I I I I I I I I I I R C I I I I I I I
agregado.
EDM02.03
Monitorar a otimização de valor A R R C R R R C C C C C C C R C C C
agregado.
EDM02.01 Avaliar a otimização do valor agregado De Descrição Descrição Para
Continuamente avaliar o portfólio de investimentos, serviços e ativos  Direção estratégica  Avaliação do APO02.04
de TI para determinar a probabilidade de atingir os objetivos APO02.05 Alinhamento APO05.03
corporativos, entregando valor a um custo razoável. Identificar e fazer Estratégico
julgamento sobre quaisquer mudanças de direção que precisam ser
APO05.02  Expectativas de  Avaliação dos
fornecidas à gestão para otimizar a criação de valor agregado.
retorno de portfolios de APO05.03
investimento investimentos e APO05.04
APO05.03  Programas serviços APO06.02
selecionados com
marcos de Retorno de
Investimento (ROI)
APO05.06  Resultado dos
benefícios e
comunicação
relacionada
BAI01.06  Resultado revisado por
fases
Atividades
01 Entender requisitos das partes interessadas, questões estratégicas de TI, tais como a dependência de TI; e conhecimentos de
tecnologia e capacidades sobre o significado real e potencial da TI para a estratégia corporativa.
02 Compreender os elementos mais importantes da governança necessária para a entrega confiável, segura e rentável de valor ideal
a partir da utilização serviços, bens e recursos de TI, existentes e novos.
. Compreender e regularmente discutir as oportunidades que podem surgir com a mudança corporativa habilitada por tecnologias
atuais, novas ou emergentes, e otimizar o valor agregado criado a partir dessas oportunidades.
04 Entender o que constitui o valor agregado para a organização, e considerar o quanto ele é comunicado, entendido e aplicado de
forma adequada em todos os processos da organização.
05 Avaliar o grau de eficácia da organização e estratégias de TI, integrada e alinhada dentro da organização e com os objetivos
corporativos para entrega de valor agregado.
06 Compreender e considerar a eficácia de papéis, responsabilidades, prestação de contas e unidades de tomada de decisão em
assegurar a criação de valor a partir de investimentos, serviços e bens de TI.
43

07 Considerar a robustez da gestão dos investimentos, serviços e ativos de TI no alinhamento com a gestão de valor agregado da
organização e práticas de gestão financeira.
08 Avaliar o portfólio de investimentos, serviços e ativos para o alinhamento com os objetivos estratégicos da organização;
rentabilidade corporativa, financeira e não financeira; riscos, tanto o risco nas entregas e riscos dos benefícios; alinhamento dos
processos de negócios; eficácia em termos de aplicabilidade, disponibilidade e capacidade de resposta; e eficiência em termos de
custo, redundância e sustentabilidade técnica.
EDM02.02 Direcionar a otimização de valor agregado. De Descrição Descrição Para
Direcionar princípios e práticas de gestão de valor agregado para  Tipos e critérios de APO05.01
viabilizar a realização do valor ideal dos investimentos de TI em investimento APO05.03
todo o seu ciclo de vida econômico.
 Requisitos de revisão BAI01.01
por fase
Atividades
01 Definir e comunicar tipos de portfólio e de investimento, categorias, critérios e ponderações relativas aos critérios para permitir a
pontuação geral de valor agregado.
02 Definir os requisitos para a fase de revisão e outros comentários para justificar a importância do investimento para a organização e
os riscos associados, à programação, planos de financiamento e da entrega de recursos e benefícios mais importantes e
contribuição permanente ao valor agregado.
03 Direcionar a gestão para considerar potencial de usos inovadores em TI que permitam a organização responder a novas
oportunidades ou desafios, realizar novos negócios, aumentar a competitividade, ou melhorar os processos.
04 Direcionar quaisquer alterações necessárias na atribuição da prestação de contas, responsabilidades para a execução do portfólio
de investimentos e entrega de valor agregado a partir dos processos de negócio e serviços.
05 Definir e comunicar em nível corporativo os objetivos de entrega de valor e medidas para atingir os resultados para permitir uma
monitoração eficaz.
06 Direcionar as alterações necessárias para o portfólio de investimentos e serviços para realinhamento dos objetivos e/ou restrições
atuais e esperados da organização.
07 Recomendar a consideração de potenciais inovações, mudanças organizacionais ou melhorias operacionais que poderiam
impulsionar o crescimento do valor para a organização a partir de iniciativas de TI.
EDM02.03 Monitorar a otimização de valor agregado. De Descrição Descrição Para
Monitorar os principais objetivos e métricas para determinar a APO05.04  Relatórios de  Avaliação e APO05.04
extensão em que o negócio está gerando o valor agregado desempenho do  Desempenho do APO06.05
esperado e os benefícios para a organização a partir dos portfólio de portfólio e programa BAI01.06
investimentos e serviços de TI. Identificar problemas significativos investimentos. de investimentos
e considerar ações corretivas.
 Ações corretivas para EDM05.01
aprimorar a entrega de APO05.04
valor agregado APO06.02
BAI01.01
Atividades
01 Definir um conjunto equilibrado de objetivos de desempenho, métricas, metas e benchmarks. Métricas deverão atender as
medidas de atividade e resultados, incluindo indicadores de atingimento antecipado e atraso para os resultados, bem como um
equilíbrio adequado de medidas financeiras e não financeiras. Revisão e aprovação com as outras funções de TI e negócios, e
outras partes interessadas relevantes.
02 Coletar dados relevantes, oportunos, tempestivos, confiáveis e precisos para relatar o progresso na entrega de valor agregado
contra as metas definidas. Obter uma visão sucinta de alto nível, do portfólio, programa e desempenho de TI (capacidades técnicas
e operacionais) que suportem a tomada de decisões, e garantir que os resultados esperados estão sendo alcançados.
03 Obter o portfólio de investimentos regulares e relevantes, programa e relatórios de desempenho de TI (tecnológicos e funcionais).
Analisar os progressos da organização para objetivos identificados e em qual medida os objetivos planejados foram alcançados,
resultados obtidos, metas de desempenhos atendidas e riscos mitigados.
04 Tomar medidas de gestão adequadas após a revisão de relatórios, conforme necessário, para garantir a otimização do valor
agregado.
05 Assegurar após a revisão de relatórios, que as ações corretivas iniciadas e controladas possuem gestão adequada.
44
CAPÍTULO 5

COSO
ISO/IEC 38500
King III 5.2 . TI deve estar alinhada com os objetivos de desempenho e sustentabilidade da organização.
5.4 . O conselho deve monitorar e avaliar os investimentos e gastos relevantes em TI.
45
EDM03 Garantir a Otimização do Risco

EDM03 Garantir a Otimização do Risco Área: Governança

Certificar‐se de que o apetite e tolerância ao risco da organização são compreendidos, articulados e comunicados, e que o risco ao valor
agregado da organização relacionado com o uso da TI é identificado e controlado.
Garantir que o risco da organização relacionado a TI não exceda o apetite e tolerância ao risco, os impactos em relação aos riscos da TI são
identificados e controlados em relação aos ativos da organização, e o potencial de falhas de conformidade é minimizado.
04 Gestão de risco organizacional de TI  Percentual dos processos críticos de negócio, serviços, processos de
negócios atendidos pela TI na avaliação dos riscos.
 Número de incidentes significativos relacionados a TI que não foram
identificados na avaliação de risco
 Percentagem de avaliações de risco que incluem riscos relacionados a TI
 Frequência de atualização ou validação do perfil de risco
06 Transparência dos custos, benefícios e riscos de TI  Percentual dos casos de negócios de investimento com custos e benefícios
esperados relacionados a TI claramente definidos e aprovados.
 Percentual dos serviços de TI com custos operacionais e benefícios
esperados claramente definidos e aprovados.
 Pesquisas de satisfação com as principais partes interessadas a respeito
do nível de transparência, compreensão e veracidade das informações
financeiras de TI
10 Segurança da informação, infraestrutura de  Número de incidentes de segurança causando prejuízos financeiros,
processamento e aplicativos interrupção dos negócios ou exposição pública.
 Quantidade de serviços de TI com implementação pendente dos
requisitos de segurança.
 Tempo para conceder, alterar e remover privilégios de acesso comparado
aos níveis de serviço acordados.
 Frequência das avaliações de segurança em relação às normas e diretrizes
mais recentes
15 Conformidade de TI com as políticas internas  Número de incidentes relacionados a não conformidades às políticas
internas.
 Percentual das partes interessadas que entendem as políticas internas.
 Percentual das políticas apoiadas por normas e procedimentos de
trabalho eficazes.
 Frequência de revisão e atualização das políticas internas
01 Limites de risco são definidos e comunicados e os riscos  Nível de alinhamento entre o risco de TI e de risco da organização
mais prioritários relacionados a TI são conhecidos.  Número de riscos potenciais de TI identificados e gerenciados
 Estimativa de atualização da avaliação dos fatores de risco
02 A organização está gerenciando riscos corporativos  Por cento dos projetos da organização que consideram os riscos de TI.
críticos de TI de forma eficaz e eficiente.  Percentual dos planos de ação relacionados aos riscos de TI executados no
prazo.
 Percentual de riscos relevantes que foram eficazmente mitigados.
03 Risco corporativo relacionado a TI não excede o apetite  Nível de impacto inesperado a organização.
ao risco sendo identificado e controlado o impacto do  Percentual dos riscos de TI que excedem a tolerância de risco da
risco de TI em relação ao valor dos ativos da organização. organização.
46
CAPÍTULO 5
EDM03 Tabela RACI

EDM03 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
EDM03.01
A R C C R C R I R C I C C C R C C
Avaliar a gestão de risco
EDM03.02
A R C C R C R I I I R I I I C C C R C I I I I I I I
Direcionar a gestão de risco.
EDM03.03
A R C C R C R I I I R R I I C C C R C I I I I I I C
Monitorar a gestão dos riscos.
EDM03.01 Avaliar a gestão de risco De Descrição Descrição Para
Continuamente examinar e avaliar o efeito do risco sobre o uso APO12.01  Assuntos e fatores de  Orientação de APO12.03
atual e futuro da TI na organização. Considerar se o apetite de Riscos emergentes apetite ao risco
risco da organização é adequado e se o risco para o valor da  Níveis aprovados de APO12.03
organização relacionado ao uso da TI é identificado e tolerância ao risco
controlado.
Referência  Princípios de gestão de  Avaliação das APO12.01
externa ao risco corporativo atividades de gestão
COBIT de risco
Atividades
01 Determinar o nível de risco de TI relacionado com o risco que a organização está disposta a tomar para atingir os seus objetivos
(apetite de risco).
02 Avaliar e aprovar propostas de limites de tolerância ao risco de TI em relação aos níveis de risco e de oportunidade aceitáveis da
organização.
03 Determinar o escopo do alinhamento da estratégia de risco de TI para a estratégia de risco corporativo.
04 Avaliar de forma proativa e antecipada os fatores do risco de TI e as decisões corporativas estratégicas pendentes para garantir
que a organização esteja consciente dos riscos e das decisões que são tomadas.
05 Determinar que o uso de TI é objeto de análise de risco adequada e sujeita a processo de avaliação, conforme descrito em padrões
nacionais e internacionais relevantes.
06 Avaliar as atividades de gestão de riscos para garantir o alinhamento entre a capacidade das perdas de TI e a tolerância da
organização.
EDM03.02 Direcionar a gestão de risco De Descrição Descrição Para
Direcionar a implementação de práticas de gestão de risco para APO12.03 Perfil de risco agregado Políticas de gestão de APO12.01
fornecer segurança razoável de que práticas de gestão do risco incluindo o status das risco
de TI são adequadas para garantir que o risco de TI observado ações de gestão de risco Principais objetivos a APO12.01
não exceda o apetite de risco do conselho de administração. serem monitorados
pela gestão de riscos
Referência Gerenciamento de risco Processo aprovado APO12.01
externa ao corporativo (ERM) perfis e para medir a gestão de
COBIT planos de mitigação risco
47

Atividades
01 Promover uma cultura de conscientização dos riscos de TI e capacitar a organização para identificar de forma proativa os riscos de
TI, oportunidades e impactos potenciais aos negócios
02 Direcionar a integração da estratégia de risco de TI e das operações com as decisões de risco estratégicos e operações da
organização.
03 Direcionar o desenvolvimento de planos de comunicação de risco (abrangendo todos os níveis da organização), bem como os
planos de ação de risco.
04 Dirigir a implementação direta dos mecanismos apropriados para responder rapidamente às mudanças aos riscos e reportar
imediatamente aos níveis adequados de gestão, apoiados por princípios acordados de escalada (o que reportar, quando, onde e
como).
05 Criar diretrizes para que premissas de risco, oportunidades, problemas e preocupações possam ser identificados e relatados por
qualquer pessoa a qualquer momento. Risco deve ser gerido em conformidade com as políticas e procedimentos publicados e
encaminhado para os tomadores de decisão relevantes.
06 Identificar as principais metas e métricas de processos de governança e gestão de risco a serem monitorados, e aprovar as
abordagens, métodos, técnicas e processos para capturar e relatar as informações de medição.
EDM03.03 Monitorar a gestão dos riscos. De Descrição Para Descrição
Monitorar as principais metas e métricas dos processos APO12.02  Resultados das análises de  Ações corretivas para APO12.06
de gestão de risco e estabelecer diretrizes para que risco direcionar os desvios na
desvios ou problemas sejam identificados, rastreados e  gestão de riscos.
reportados para correção.
APO12.04  Oportunidades para  Questões de gestão de EDM05.01
aceitação de grandes riscos riscos para o Conselho de
 Resultados das avaliações de Administração
riscos realizadas por terceiros
 Análise de risco e relatórios
do perfil de risco para as
partes interessadas
Atividades
01 Monitorar o escopo da gestão do perfil de risco dentro dos limites do apetite de risco.
02 Monitorar principais metas e métricas de governança de riscos e processos de gestão em relação aos objetivos, analisar as causas
de eventuais desvios, e iniciar ações corretivas para resolver as causas raízes.
03 Habilitar avaliação do progresso da empresa em direção às metas identificadas pelas principais partes interessadas.
04 Reportar quaisquer problemas de gestão de risco para o conselho ou comitê executivo.
COSO/ERM
ISO/IEC 31000 Modelo para Gestão de Riscos
ISO/IEC 38500
King III 5.5 TI deve fazer parte integrante da gestão de risco da organização.
5.7 Comitês de riscos e de auditoria devem auxiliar o conselho de administração no exercício das
suas responsabilidades de TI.
48
CAPÍTULO 5
EDM04 Garantir a Otimização de Recursos

EDM04 Garantir a Otimização de Recursos Área: Governança
Certifique‐se de que as capacidades adequadas e suficientes relacionadas a TI (pessoas, processos e tecnologia) estão disponíveis para apoiar
os objetivos corporativos de forma eficaz a um custo eficiente.
Assegurar que as necessidades de recursos da organização são cumpridas de maneira eficiente, os custos de TI são otimizados, e há uma
maior probabilidade de realização do benefício e preparação para mudanças futuras.
09 Agilidade de TI  Nível de satisfação dos executivos de negócios com TI e a capacidade de
resposta a novos requisitos
 Número de processos críticos de negócio suportados por arquitetura
atualizada de infraestrutura e aplicações
 Tempo médio para transformar objetivos estratégicos de TI em iniciativas
acordadas e aprovadas
11 Otimização de ativos, recursos e capacidades de TI  Frequência da avaliação de maturidade e análise de otimização de custos
 Tendência dos resultados da avaliação
 Níveis de satisfação dos executivos de negócio e de TI relacionados aos
custos e capacidades de TI
16 Equipes de TI e de negócios motivadas e qualificadas  Percentual dos funcionários que possuem habilidades de TI suficientes e
competência necessária para assumir seu respectivo papel na organização
 Percentual dos funcionários satisfeitos com as suas funções relacionadas
com a TI
 Número de horas de treinamento / formação por funcionário
01 As necessidades de recursos da organização são  Nível de feedback das partes interessadas sobre a otimização de recursos
atendidas com eficiência de recursos.  Número de benefícios (por exemplo, redução de custos) conseguida
através da utilização eficiente dos recursos
 Número de desvios do plano de recursos e estratégias de arquitetura
corporativa
02 Os recursos são alocados da melhor forma às prioridades  Número de desvios e exceções aos princípios de gestão de recursos
dentro das restrições orçamentárias corporativas.  Percentual dos projetos com a alocação adequada de recursos.
03 A utilização eficiente dos recursos é obtida ao longo do  Percentual de reutilização dos componentes da arquitetura
alcance dos seus ciclos de vida econômicos.  Percentual dos projetos e programas com status de médio ou alto risco
devido a questões de gestão de recursos
 Número dos objetivos de gestão de desempenho alcançados.
49
EDM04 Tabela RACI

EDM04 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
EDM04.01
A R C C R R I C C C C C C C R C C C
Avaliar a gestão de recursos
EDM04.02
A R C C R I R I I I I I I I I I I R C I I I I I I I
Direcionar a gestão de recursos.
EDM04.03
A R C C R I R I I I C C C C C C C R C C C I I I I I
Monitorar a gestão de recursos
Práticas de Governança Entradas Saídas
EDM04.01 Avaliar a gestão de recursos De Descrição Descrição Para
Examinar continuamente e fazer avaliações sobre a APO02.04  Lacunas e mudanças  Princípios de orientação APO02.01
necessidade atual e futura relacionados aos recursos necessárias para atingir para alocação de APO07.01
de TI, opções para mobilização dos recursos o objetivo de recursos e BAI03.11
(incluindo estratégias de terceirização), e princípios maturidade competências.
de atribuição e gestão para atender as necessidades APO07.03  Plano de  Princípios de orientação APO03.01
da organização de maneira eficiente. desenvolvimento de para a arquitetura
competências corporativa
APO10.02  Resultados e decisões  Plano de recursos APO02.05
das avaliações de aprovados APO07.01
fornecedores APO09.02
Atividades
01 Examinar e avaliar a estratégia atual e futura, das opções para fornecer recursos de TI e desenvolvimento de competências para
atender às necessidades atuais e futuras (incluindo opções de terceirização).
02 Definir os princípios para orientar a alocação e gestão dos recursos e capacidades para que a TI possa atender as necessidades da
empresa, com a maturidade e capacidade necessária de acordo com as prioridades acordadas e restrições orçamentárias.
03 Rever e aprovar as estratégias corporativas do plano de recursos e arquitetura para a entrega de valor agregado e redução de
riscos com os recursos alocados.
04 Entender os requisitos para alinhar a gestão de recursos com o planejamento corporativo financeiro e de recursos humanos (RH).
05 Definir princípios para a gestão e controle da arquitetura corporativa.
EDM04.01 Direcionar o gerenciamento de De Descrição Descrição Para
recursos  Comunicação das APO02.06
Garantir a implementação de princípios de gestão de estratégias de APO07.05
recursos para permitir a utilização eficiente dos mobilização dos APO09.02
recursos de TI ao longo do alcance dos seus ciclos de recursos
vida econômicos.  Responsabilidades APO01.02
atribuídas para a gestão DSS06.03
de recursos
 Princípios para a
preservação dos APO01.04
recursos
50
CAPÍTULO 5

Atividades
01 Comunicar e impulsionar a adoção das estratégias de gestão de recursos, princípios, e planos de recursos e estratégias de
arquitetura corporativa acordados.
02 Atribuir responsabilidades para execução da gestão de recursos.
03 Definir objetivos principais, medidas e métricas para gestão de recursos.
04 Estabelecer princípios relacionados com a proteção dos recursos
05 Alinhar a gestão de recursos com o planejamento financeiro e RH da organização
EDM04.03 Monitorar a gestão de recursos De Descrição Descrição Para
Monitorar as principais metas e métricas dos  Comentários sobre EDM05.01
processos de gestão de recursos e estabelecer como alocação e eficácia dos APO02.05
desvios ou problemas serão identificados, rastreados recursos e APO07.05
e reportados para correção. competências. APO09.05
 Ações corretivas para APO02.05
resolver os desvios na APO07.01
gestão de recursos APO07.03
APO09.04
Atividades
01 Monitorar a alocação e otimização dos recursos de acordo com os objetivos e prioridades da organização usando metas e métricas
acordadas.
02 Monitorar TI estratégias de fornecedores, estratégias de arquitetura corporativa, recursos e capacidades de TI para garantir que as
necessidades atuais e futuras da organização possam ser cumpridas.
03 Monitorar o desempenho de recursos aos objetivos acordados, analisar a causa de desvios e iniciar medidas corretivas para
resolver as causas raízes.
ISO/IEC 38500
King III 5.6 . O conselho deve assegurar que os ativos de informação são geridos de maneira eficaz.
The Open Group Architecture Forum Componentes TOGAF para um Conselho, Governança e Maturidade de Arquitetura
(TOGAF) 9 Modelos para mapear a otimização de recursos.
51
EDM05 Garantir a Transparência para as Partes Interessadas

EDM05 Garantir a Transparência para as Partes Interessadas Área: Governança

Garantir que a medição e o reporte do desempenho e da conformidade corporativa de TI são transparentes, com as partes interessadas
aprovando metas e métricas e as ações de remediação necessárias.
Declaração de Propósito do Processo
Garantir que a comunicação com as partes interessadas seja eficaz e tempestiva e que a base para reporte seja estabelecida para aumentar o
desempenho, identificar áreas para melhorias e confirmar que os objetivos e estratégias relacionados a TI estejam em linha com a estratégia
corporativa.
03 Compromisso da gerência executiva com a tomada de decisões  Percentual de papéis da gerência executiva com obrigações
de TI claramente definidas para decisões de TI
 Número de vezes que a TI está na agenda conselho de maneira
proativa
 Frequência das reuniões do comitê (executivo) estratégico de TI
 Taxa de execução de decisões executivas relacionadas a TI
06 Transparência dos custos, benefícios e riscos de TI  Percentual de estudos de caso de investimentos com custos e
benefícios esperados em relação a TI claramente definidos e
aprovados
esperados claramente definidos e aprovados
 Pesquisa de satisfação com as partes interessadas sobre o nível de
transparência, compreensão e precisão das informações financeiras
de TI
07 Prestação de serviços de TI em consonância com os requisitos  Número de eventos disruptivos de negócios devido a incidentes em
de negócio serviços de TI
 Percentual de partes interessadas da área de negócios satisfeitas
que o serviço de TI prestado atende aos níveis de serviço definidos
 Percentual de usuários satisfeitos com a qualidade do serviço de TI
prestado
01 O reporte às partes interessadas está de acordo com os  Data da última revisão dos requisitos de reporte
requisitos das partes interessadas.  Percentual de partes interessadas cobertas nos requisitos de reporte
02 O reporte é completo tempestivo e preciso.  Percentual de relatórios que não são entregues no prazo
 Percentual de relatórios contendo informações imprecisas
03 A comunicação é eficaz e as partes interessadas estão  Nível de satisfação das partes interessadas com o reporte
satisfeitas.  Número de falhas no reporte de requisitos obrigatórios
52
CAPÍTULO 5
EDM05 TABELA RACI

EDM05 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
EDM05.01
Avaliar requisitos de reporte das A R C C C I C C R I I
partes interessadas.
EDM05.02
Orientar comunicação e reporte com A R C C C I C C R I I
EDM05.03
Monitorar comunicação com partes A R C C C I C C R I I
interessadas.
EDM05.01 Avaliar requerimentos de reporte das partes De Descrição Descrição Para
interessadas. EDM02.03  Ações para aumentar a  Avaliação dos MEA01.01
Examinar e julgar continuamente os requisitos atuais e futuros de entrega de valor requisitos de reporte
comunicação e reporte às partes interessadas, incluindo corporativos
requisitos de reporte obrigatórios (ex. regulatório) e comunicação
EDM03.03  Questões de Gestão de  Princípios de reporte e MEA01.01
com outras partes interessadas. Estabelecer os princípios para a
risco para o Conselho comunicação
comunicação.
EDM04.03  Feedback sobre a
alocação e eficácia dos
recursos e capacidades
MEA02.08  Escopo refinado
Atividades
01 Examinar e julgar os requisitos atuais e futuros de reportes obrigatórios relacionados ao uso de TI na organização (regulação,
legislação, common law, contratual), incluindo a extensão e a frequência.
02 Examinar e julgar os requisitos atuais e futuros de reportes a outras partes interessadas relacionados ao uso de TI na organização,
incluindo a extensão e a frequência.
03 Manter princípios para comunicação com partes interessadas externas e internas (incluindo formatos de comunicação e canais de
comunicação) e para aceitação e conclusão dos relatórios pelas partes interessadas.
EDM05.02 Orientar comunicação e reporte com partes De Descrição De Descrição
interessadas. APO12.04  Análise de riscos e  Regras para validação e MEA01.01
Assegurar o estabelecimento de comunicação e reporte eficazes relatórios de perfil de aprovação de relatórios MEA03.04
às partes interessadas, incluindo mecanismos para garantir a risco para as partes obrigatórios
qualidade e a integridade das informações, supervisão dos interessadas  Diretrizes de MEA01.05
relatórios obrigatórios e criando uma estratégia de comunicação
escalonamento
com as partes interessadas.
53

Atividades
01 Orientar o estabelecimento da estratégia de comunicação para partes interessadas externas e internas.
02 Orientar a implementação de mecanismos para garantir que a informação cumpre todos os critérios dos requisitos obrigatórios de
reporte de TI para a organização.
03 Estabelecer mecanismos para validação e aprovação de relatórios obrigatórios.
04 Estabelecer mecanismos de escalonamento de reporte.
EDM05.03 Monitorar comunicação com partes interessadas. De Descrição Descrição Para
Monitorar a eficácia da comunicação com as partes interessadas. MEA02.08  Relatório de análise de  Análise da eficácia MEA01.01
Analisar mecanismos que garantem a precisão, confiabilidade e eficácia asseguração dos relatórios MEA03.04
e verificar se os requisitos das diferentes partes interessadas são  Resultados da análise
atendidos. de asseguração
Atividades
01 Analisar periodicamente a eficácia dos mecanismos que garantem a precisão, confiabilidade e eficácia dos reportes obrigatórios.
02 Analisar periodicamente a eficácia dos mecanismos de, e resultados da, comunicação com partes interessadas externas e internas.
03 Determinar se os requisitos das diferentes partes interessadas são atendidos.
COSO
ISO/IEC 38500
King III
54
CAPÍTULO 5
Alinhyar, Planejar e Organizar

ALINHAR, PLANEJAR E ORGANIZAR (APO)
01 Gerenciar a estrutura de gestão de TI.
02 Gerenciar a estratégia.
03 Gerenciar arquitetura da organização.
004 Gerenciar inovação.
05 Gerenciar portfolio.
06 Gerenciar orçamento e custos.
07 Gerenciar recursos humanos.
08 Gerenciar relacionamentos.
09 Gerenciar contratos de prestação de serviços.
10 Gerenciar fornecedores.
11 Gerenciar qualidade.
12 Gerenciar riscos.
13 Gerenciar segurança
55
APO01 Gerenciar a Estrutura de Gestão de TI

APO01 Gerenciar a Estrutura de Gestão de TI Área: Gestão
Domínio: Alinhar, Planejar e Organizar
Esclarecer e manter a missão e a visão da governança corporativa de TI. Implementar e manter mecanismos e autoridades para gerir a
informação e o uso de TI na organização para suporte dos objetivos de governança em linha com princípios e políticas de orientação.
Prover uma abordagem de gerenciamento consistente para permitir que os requisitos de governança corporativa sejam cumpridos, cobrindo
processos de gestão, estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e repetíveis e habilidades e competências.
Alinhar, Planejar e ORganizar
01 Alinhamento da estratégia de negócios e de TI  Percentual de objetivos e requisitos estratégicos corporativos suportados por
objetivos estratégicos de TI
 Nível de satisfação das parte interessadas com o escopo do portfólio de
 Percentual de direcionadores de valor de TI mapeados em função de
direcionadores de valor de negócios
02 Conformidade de TI e suporte para conformidade do  Custo da não conformidade de TI, incluindo acordos e multas e o impacto da
negócio com as leis e regulamentos externos perda de reputação
 Número de não conformidades relacionadas a TI reportadas ao conselho de
administração ou que causaram críticas públicas ou constrangimento
 Número de não conformidades relacionadas a acordos contratuais com
provedores de serviço de TI
 Cobertura das análises de conformidade
09 Agilidade de TI  Nível de satisfação dos executivos de negócios com a capacidade de resposta
da TI para novos requerimentos
 Número de processos críticos de negócios suportados por infraestrutura e
aplicações atualizadas
 Tempo médio para transformar objetivos estratégicos de TI em uma iniciativa
acordada e aprovada
11 Otimização de ativos, recursos e capacidades de TI  Frequência de análises de capacidade da maturidade e de otimização de
custos
 Tendência dos resultados das análises
 Nível de satisfação dos executivos de negócios e de TI com os custos e
capacidades relacionadas a TI
15 Conformidade de TI com as políticas internas  Número de incidentes relacionados a não conformidade com políticas
 Percentual das partes interessadas que entende as políticas
 Percentual de políticas suportadas por padrões efetivos e práticas de
trabalho
 Frequência de revisão e atualização de políticas
16 Equipes de TI e de negócios motivadas e qualificadas  Percentual da equipe com habilidades relacionadas a TI suficientes para a
competência requerida para o seu papel
 Percentual da equipe satisfeita com seu papel relacionado a TI
 Número de horas de aprendizado/treinamento por membro da equipe
17 Conhecimento, expertise e iniciativas para inovação  Nível de consciência e entendimento dos executivos de negócios quanto às
dos negócios possibilidades de inovação de TI
 Nível de satisfação das partes interessadas com os níveis de expertise e ideias
para inovação de TI
 Número de iniciativas aprovadas resultantes de ideias inovadoras de TI
01 Um conjunto eficaz de políticas está definido e mantido.  Percentual de políticas, padrões e outros habilitadores documentados e
atualizados ativos
 Data da última atualização do modelo e dos habilitadores
 Número de exposições a risco devido a inadequações no desenho do
ambiente de controles
02 Todos estão cientes das políticas e de como elas devem  Número de pessoas que participou de sessões de treinamento ou de
ser implementadas. aprendizado
 Percentual de fornecedores terceirizados que possuem contratos definindo
requisitos de controle
56
CAPÍTULO 5
APO01 TABELA RACI

EDM01 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
APO01.01
C C C C I C R I I A C C C R C C C
Definir a estrutura organizacional.
APO01.02
Estabelecer papéis e I C C C C C A C C C R C C C C
responsabilidades.
APO01.03
Manter os habilitadores do sistema C A C R C C I C C C C C C R R
de gerenciamento.
APO01.04
Comunicar objetivos e direcionadores A R R R I R I I I R R I I I I I R I I I I I I I I
de gerenciamento.
APO01.05
Otimizar o posicionamento da função C C C C A C C C C R C C C R C C C
de TI.
APO01.06
Definir a propriedade das I I C A R C C C C C C C
informações (dados) e sistemas.
APO01.07
Gerenciar o melhoramento contínuo A R R C I C C R R R R R R R R
de processos.
APO01.08
Manter a conformidade com políticas A R R R R C I R R R R R R R R
e procedimentos.
57
APO01 Práticas de Processo, Entradas/Saídas e Atividades

Prática de Gestão Entradas Saídas
APO01.01 Definir a estrutura organizacional. De Descrição Descrição Para
Estabelecer uma estrutura organizacional interna e estendida que EDM01.01  Modelo de  Definição da APO03.02
reflete as necessidades do negócio e as prioridades de TI. Colocar em tomada de estrutura e funções
prática as estruturas de gerenciamento requeridas (ex: comitês) que decisão da organização
permitam que a tomada de decisão gerencial ocorra de maneira mais  Guia de princípios
eficaz e eficiente. de governança
corporativa
APO03.02  Modelo de  Diretrizes APO03.02
arquitetura de operacionais da
processos organização
 Regras básicas de Todos APO
comunicação Todos BAI Todos
DSS Todos MEA
Atividades
01 Definir o escopo, funções internas e externas, papéis internos e externos e capacidades e direitos de decisão necessários, incluindo
aquelas atividades de TI realizadas por terceiros.
02 Identificar decisões necessárias para a realização de resultados corporativos e da estratégia de TI e para o gerenciamento e
execução dos serviços de TI.
03 Estabelecer o envolvimento das partes interessadas que são críticas na tomada de decisão (responsável, presta contas, consultado
ou informado).
04 Alinhar a organização de TI ao modelo organizacional da arquitetura corporativa.
05 Definir o foco, papéis e responsabilidades de cada função dentro da estrutura organizacional de TI.
06 Definir as estruturas e relacionamentos do gerenciamento para suportar as funções e papéis de gerenciamento e de execução,
alinhados ao conjunto de diretrizes de governança.
07 Estabelecer um comitê estratégico de TI (ou equivalente) no nível do conselho de administração. Esse comitê deve garantir que a
governança de TI, como parte da governança corporativa, é endereçada adequadamente; aconselhar no direcionamento
estratégico; e revisar grandes investimentos em nome do conselho de administração completo.
08 Estabelecer um comitê diretivo de TI (ou equivalente), composto de executivos, gestores de negócios e de TI, para determinar a
priorização de programas de investimentos habilitados pela TI em linha com a estratégia de negócios e prioridades corporativas;
acompanhar o andamento de projetos e resolver conflitos de recursos; e monitorar os níveis de serviço e as melhorias no serviço.
09 Prover diretrizes para cada estrutura de gerenciamento (incluindo mandato, objetivos, participantes da reunião, periodicidade,
controle, supervisão e fiscalização), assim como os insumos requeridos e os resultados esperados das reuniões.
10 Definir regras básicas de comunicação por meio da identificação das necessidades de comunicação e implementação dos planos
baseados nessas necessidades, considerando as comunicações de cima para baixo, de baixo para cima e horizontal.
11 Estabelecer e manter uma estrutura otimizada de coordenação, comunicação e conexão entre as funções de negócios e de TI da
organização e com entidades externas à organização.
12 Verificar regularmente a adequação e a eficácia da estrutura organizacional.
58
CAPÍTULO 5

APO01.02 Estabelecer papéis e responsabilidades. De Descrição Descrição Para
Estabelecer, acordar e comunicar papéis e responsabilidades do EDM01.01  Níveis de autoridade  Definição de papéis e DSS05.04
pessoal de TI, bem como outras partes interessadas com responsabilidades
responsabilidades pela TI corporativa, que reflitam claramente relacionados a TI
as necessidades gerais do negócio e os objetivos de TI e a
autoridade, a responsabilidade e a obrigação de prestar contas EDM04.02  Responsabilidades  Definição das APO07.01
do pessoal relevante. atribuídas para o práticas de
gerenciamento de supervisão
recursos
APO07.03  Planos de

desenvolvimento de
habilidades
 Matriz de habilidades e
competências
APO11.01  Papéis,
responsabilidades e
direitos de decisão do
sistema de gestão da
qualidade (SGQ)
APO13.01  Declaração de escopo do
sistema de gestão da
segurança da
informação (SGSI)
DSS06.03  Níveis de autoridade
definidos
 Papéis e
responsabilidades
definidos
Atividades
01 Estabelecer, acordar e comunicar os papéis e responsabilidades relacionados a TI a todo o pessoal da organização, de acordo com
as necessidades e objetivos de negócio. Delinear claramente responsabilidades e obrigações de prestar contas, especialmente
para tomadas de decisão e aprovações.
02 Considerar os requisitos da organização e de continuidade dos serviços de TI quando da definição de papéis, incluindo requisitos
de backup e de treinamento cruzado de pessoal.
03 Fornecer insumos para o processo de continuidade do serviço de TI por meio da manutenção das informações de contato e da
descrição de papéis atualizada na organização.
04 Incluir, nas descrições de papéis e responsabilidades, a aderência às políticas e procedimentos de gerenciamento, ao código de
ética e às práticas profissionais.
05 Implementar práticas de supervisão adequadas para garantir que os papéis e responsabilidades são exercidos apropriadamente,
para analisar se todo o pessoal possui autoridade e recursos suficientes para executar seus papéis e responsabilidades e para
avaliar o desempenho geral. O nível de supervisão deve estar em linha com a sensibilidade da posição e extensão das
responsabilidades atribuídas.
06 Garantir que a obrigação de prestar contas é definida por meio de papéis e responsabilidades.
07 Estruturar papéis e responsabilidades para reduzir a possibilidade de uma única função comprometer um processo crítico.
APO01.03 Manter os habilitadores do sistema de De Descrição Descrição Para
gerenciamento. EDM01.01  Guia de princípios de  Políticas relacionadas Todos APO
Manter os habilitadores do sistema de gerenciamento e governança corporativa a TI Todos BAI
ambiente de controles para a TI corporativa e garantir que eles Todos DSS
APO02.05  Roteiro estratégico
estão integrados e alinhados com a filosofia e estilo operacional Todos MEA
de governança e gestão da organização. Esses habilitadores APO12.01  Questões e fatores de
incluem a comunicação clara de expectativas/requisitos. O risco emergentes
sistema de gerenciamento deve encorajar cooperação entre APO12.02  Resultados das análises
divisões e trabalho em equipe, promover a conformidade e o de risco
melhoramento contínuo e lidar com desvios no processo
(incluindo falhas).
59

Atividades
01 Obter um entendimento da visão, do direcionamento e da estratégia da organização.
02 Considerar o ambiente interno da organização, incluindo cultura e filosofia de gerenciamento, tolerância ao risco, segurança,
valores éticos, código de conduta, obrigação de prestar contas e requisitos para integridade do gerenciamento.
03 Derivar e integrar princípios de TI com princípios de negócios.
04 Alinhar o ambiente de controles de TI com o ambiente geral das políticas de TI, governança de TI, modelos de processos de TI e
modelos de riscos e controles existentes em nível corporativo. Analisar boas práticas ou requisitos específicos da indústria (ex:
regulamentações específicas da indústria) e integrá‐las sempre que necessárias.
05 Alinhar com quaisquer padrões de governança e de gestão nacionais e internacionais e códigos de conduta aplicáveis e avaliar
boas práticas disponíveis, tais como COSO Internal Control—Integrated Framework e COSO Enterprise Risk Management—
Integrated Framework.
06 Criar um conjunto de políticas para direcionar as expectativas de controle de TI em tópicos relevantes, tais como qualidade,
segurança, confidencialidade, controles internos, uso dos ativos de TI, ética e direitos de propriedade intelectual.
07 Avaliar e atualizar as políticas ao menos anualmente para acomodar mudanças no ambiente operacional ou de negócios.
08 Implementar e aplicar políticas de TI para todo o pessoal relevante, para que elas sejam incorporadas e sejam parte integrante das
operações da organização.
09 Garantir que procedimentos estão implementados para acompanhar a conformidade com as políticas e definir as consequências
de não conformidades.
APO01.04 Comunicar objetivos e direcionadores de De Descrição Descrição Para
gerenciamento. EDM01.02  Comunicação da  Comunicação sobre Todos APO Todos
Conscientizar e comunicar o entendimento dos objetivos e governança corporativa os objetivos de TI BAI Todos DSS
do direcionamento de TI às partes interessadas e usuários Todos MEA
EDM04.02  Princípios para
apropriados em toda a organização.
preservação de recursos
APO12.06  Comunicação de impacto
dos riscos
BAI08.01  Comunicação sobre o
valor do conhecimento
DSS04.01  Políticas e objetivos para
continuidade de negócios
DSS05.01  Política de prevenção de
software malicioso
DSS05.02  Política de segurança de
conectividade
DSS05.03  Políticas de segurança
para dispositivos
endpoint
Atividades
01 Comunicar continuamente os objetivos e o direcionamento de TI. Garantir que as comunicações são suportadas pela gerência
executiva em ações e palavras, utilizando todos os canais disponíveis.
02 Garantir que a informação transmitida engloba uma missão claramente articulada, objetivos de serviço, segurança, controles
internos, qualidade, código de ética/conduta, políticas e procedimentos, papéis e responsabilidades, etc. Transmitir a informação
no nível de detalhe adequado à respectiva audiência na organização.
03 Fornecer recursos suficientes e qualificados para apoiar o processo de comunicação.
60
CAPÍTULO 5

APO01.05 Otimizar o posicionamento da função de TI. De Descrição Descrição Para
Posicionar a capacidade de TI na estrutura organizacional geral Externo ao  Modelo  Avaliação das opções APO03.02
para refletir um modelo corporativo pertinente à importância da TI COBIT operacional para a estrutura de TI
na organização, especificamente a sua criticidade para a estratégia corporativo  Posição operacional APO03.02
da empresa e o grau de dependência operacional em TI. A linha de  Estratégia
reporte do CIO deve ser proporcional à importância da TI na definida para a TI
corporativa
organização.
Atividades
01 Entender o contexto para o posicionamento da função de TI, incluindo uma análise da estratégia e modelo operacional corporativo

(centralizado, federado, descentralizado, hibrido), importância da TI e situação e opções de terceirização.
02 Identificar, avaliar e priorizar opções para modelos de posicionamento organizacional, de terceirização e de operação.
03 Definir o posicionamento da função de TI e obter a aprovação.
APO01.06 Definir a propriedade das informações (dados) e De Descrição Descrição Para
sistemas.  Diretrizes de APO03.02
Definir e manter responsabilidades para a propriedade das classificação de dados BAI02.01
informações (dados) e sistemas de informação. Garantir que os DSS05.02
proprietários tomem decisões sobre a classificação de informações DSS06.01
e sistemas e os protejam de acordo com essa classificação.
 Diretrizes de BAI02.01
segurança e controles
 Procedimentos para BAI02.01
integridade de dados DSS06.01
Atividades
01 Fornecer políticas e diretrizes para garantir uma classificação da informação (dados) apropriada e consistente em toda a
organização.
02 Definir, manter e fornecer ferramentas, técnicas e diretrizes apropriadas para proporcionar segurança e controles eficazes sobre
informações e sistemas de informação em apoio ao proprietário.
03 Criar e manter um inventário de informações (sistemas e dados) que inclui uma lista dos proprietários, custodiantes e
classificações. Incluir sistemas que são terceirizados e aqueles para os quais a propriedade deve estar com a organização.
04 Definir e implementar procedimentos para garantir a integridade e consistência de todas as informações armazenadas
eletronicamente, tais como bases de dados, data warehouses e arquivos de dados.
APO01.07 Gerenciar o melhoramento contínuo de processos. De Descrição Descrição Para
Analisar, planejar e executar o melhoramento contínuo de EDM01.03  Feedback sobre  Análise da capacidade MEA01.03
processos e sua maturidade para garantir que sejam capazes de eficácia e dos processos
entregar diante dos objetivos corporativos, de governança, de desempenho da
gestão, e de controle. Considerar o guia de implementação de governança
processos do COBIT, padrões emergentes, requerimentos de
MEA03.02  Políticas, princípios,  Oportunidades de Todos APO
conformidade, oportunidades de automação e o feedback de
procedimentos e melhoria nos Todos BAI
usuários do processo, da equipe de processos e de outras partes
padrões processos Todos DSS
interessadas. Atualizar o processo e considerar os impactos nos
atualizados Todos MEA
habilitadores de processos.
 Objetivos e métricas MEA01.02
de desempenho para
rastreamento da
melhoria de processos
Atividades
01 Identificar os processos críticos de negócios por meio de direcionadores e de riscos relacionados ao desempenho e à
conformidade. Avaliar a capacidade do processo e identificar objetivos para melhorias. Analisar falhas na capacidade e controle do
processo. Identificar opções para melhoria e redesenho do processo. Priorizar iniciativas para melhoria do processo baseado nos
potenciais benefícios e custos.
02 Implementar melhorias acordadas, operar com práticas negócio adequadas e definir objetivos e métricas de desempenho para
permitir o monitoramento de melhorias no processo.
03 Considerar meios para melhorar a eficiência e a eficácia (ex: por meio de treinamentos, documentação, padronização e automação
do processo).
04 Aplicar práticas de gestão da qualidade para atualizar o processo.
05 Aposentar processos, componentes de processos ou habilitadores obsoletos.
61

APO01.08 Manter a conformidade com políticas e procedimentos. De Descrição Descrição Para
Colocar em prática procedimentos para manter a conformidade e medir DSS01.04  Políticas ambientais  Ações corretivas MEA01.05
o desempenho de políticas e outros habilitadores do modelo de para não
controle e reforçar as consequências de não conformidades ou MEA03.02  Políticas, princípios,
procedimentos e conformidades
desempenho inadequado. Acompanhar tendências e desempenho e
considera‐los no desenho e melhoria futuros do modelo de controles. padrões atualizados
Atividades
01 Acompanhar a conformidade com políticas e procedimentos.
02 Analisar não conformidades e tomar as ações apropriadas (o que poderia incluir necessidade de mudanças).
03 Integrar desempenho e conformidade nos objetivos de desempenho de cada membro da equipe.

04 Avaliar regularmente o desempenho dos habilitadores do modelo e tomar as ações adequadas.
05 Analisar tendências no desempenho e na conformidade e tomar as ações adequadas.
APO01 Orientação relacionada
APO 01 Orientação Relacionada
ISO/IEC 20000 3.1 Responsabilidade da direção

4.4 Melhoria contínua
ISO/IEC 27002 06 Organizando a Segurança da Informação
ITIL V3 2011 Melhoria de Serviço Continuada, 4.1 O Processo de Melhoria de 7 passos
62
CAPÍTULO 5
APO02 Gerenciar a Estratégia

APO02 Gerenciar a Estratégia Área: Gestão
Prover uma visão holística dos ambientes atuais de negócios e de TI, a direção futura e as iniciativas necessárias para migrar para o ambiente
futuro desejado. Alavancar os módulos e componentes da arquitetura corporativa, incluindo serviços prestados externamente e capacidades
relacionadas, para permitir uma resposta ágil, confiável e eficiente aos objetivos estratégicos.
Alinhar os planos estratégicos de TI com os objetivos corporativos. Comunicar claramente os objetivos e obrigações de prestar contas
relacionadas para que eles sejam compreendidos por todos, estando as opções estratégicas de TI identificadas, estruturadas e integradas
com os planos de negócios.

01 Alinhamento da estratégia de negócios e de TI  Percentual de objetivos e requisitos estratégicos corporativos suportados
por objetivos estratégicos de TI
 Nível de satisfação das parte interessadas com o escopo do portfólio de
 Percentual de direcionadores de valor de TI mapeados em função de
07 Prestação de serviços de TI em consonância com os  Número de eventos disruptivos de negócios devido a incidentes em
requisitos de negócio serviços de TI
 Percentual de partes interessadas da área de negócios satisfeitas que o
serviço de TI prestado atende aos níveis de serviço definidos
prestado
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de consciência e entendimento dos executivos de negócios quanto
negócios às possibilidades de inovação de TI
 Nível de satisfação das partes interessadas com os níveis de expertise e
ideias para inovação de TI
01 Todos os aspectos da estratégia de TI estão alinhados  Percentual de objetivos na estratégia de TI que suportam a estratégia
com a estratégia corporativa. corporativa
 Percentual de objetivos corporativos endereçados na estratégia de TI
02 A estratégia de TI é custo‐efetiva, apropriada, realista,  Percentual das iniciativas na estratégia de TI que são autofinanciáveis
realizável, focada na organização e balanceada. (benefícios financeiros acima dos custos)
 Tendências no ROI de iniciativas incluídas na estratégia de TI
 Nível da pesquisa de satisfação com partes interessadas da organização
sobre a estratégia de TI
03 Objetivos de curto prazo claros e concretos podem ser  Percentual de projetos no portfólio de projetos de TI que podem ser
derivados e remetidos a iniciativas específicas de logo remetidos diretamente à estratégia de TI
prazo e podem então ser traduzidos em planos
operacionais.
04 TI é um direcionador de valor para a organização.  Percentual de objetivos corporativos estratégicos obtidos como resultado
de iniciativas estratégicas de TI
 Número de novas oportunidades corporativas percebidas por resultado
direto de desenvolvimentos de TI
 Percentual de iniciativas/projetos de TI patrocinados por proprietários de
negócios
05 Há consciência da estratégia de TI e uma clara atribuição  Realização de resultados mensuráveis da estratégia de TI como parte das
da obrigação de prestar de contas pela entrega. metas de performance da equipe
 Frequência das atualizações no plano de comunicação da estratégia de TI
 Percentual de iniciativas estratégicas com obrigação de prestar de contas
atribuída
63
APO02 TABELA RACI

APO02 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO02.01
Compreender o direcionamento C C C A C C C C C R C R R R R R
corporativo.
APO02.02
Analisar o ambiente, capacidade e C C C R C C C C C A R R R C C C C
desempenho atuais.
APO02.03
Definir as capacidades de TI A C C C I R I C C C C R C C C C C C C
desejáveis.
APO02.04
R R C C C R R A R R R R R R C
Conduzir uma análise de falhas.
APO02.05
C I C C C R C C C C A C C C C C C C
Definir plano e roteiro estratégicos.
APO02.06
Comunicar a estratégia e o I R I I R I A I I I I I I I I I I R I I I I I I I I
direcionamento de TI.
APO02 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Saídas Entradas
APO02.01 Compreender o direcionamento De Descrição Descrição Para
corporativo. EDM04.01  Princípios de orientação  Fontes e prioridades Interno
Considerar o ambiente corporativo e processos de para alocação de recursos para mudanças
negócios atuais, assim como a estratégia e capacidades
corporativa e objetivos futuros. Considerar também APO04.02  Oportunidades de
o ambiente externo da organização (direcionadores inovação ligadas a
da indústria, regulamentações relevantes, bases direcionadores de negócio
para competição.
Externo ao COBIT  Análise corporativa de
forças, fraquezas,
oportunidades e ameaças
(SWOT)
Atividades
01 Desenvolver e manter um entendimento da estratégia e objetivos corporativos, assim como do ambiente operacional e desafios
corporativos atuais.
02 Desenvolver e manter um entendimento do ambiente externo da organização.
03 Identificar as principais partes interessadas e obter uma visão sobre suas necessidades.
04 Identificar e analisar fontes de mudança na organização e em ambientes externos.
05 Apurar prioridades para mudança estratégica.
06 Entender a arquitetura corporativa atual e trabalhar com o processo de arquitetura corporativa para determinar qualquer
potencial falha arquitetural.
64
CAPÍTULO 5

APO02.02 Analisar o ambiente, capacidade e De Descrição Descrição Para
desempenho atuais. APO06.05  Oportunidades de  Referência das Interno
Analisar o desempenho atual da capacidade de otimização de custos capacidades atuais
negócios e da TI internamente, dos serviços
APO08.05  Definição de projetos de  Falhas e riscos APO12.01
externos de TI e desenvolver um entendimento da
potencial melhoria relacionados à
arquitetura corporativa em relação à TI. Identificar
capacidade atual
problemas sendo experimentados atualmente e
desenvolver recomendações em áreas que APO09.01  Falhas identificadas em  Análise de capacidade Interno
poderiam se beneficiar das melhorias. Considerar serviços de TI para o SWOT
diferenciais e opções do provedor de serviços, o negócio

impacto financeiro e potenciais custos e benefícios APO09.04  Planos de ação e
de usar serviços externos. remediações para
melhoria
APO12.01  Questões e fatores de
risco emergentes
APO12.02  Resultados das análises de
risco
APO12.03  Perfil de risco agregado,
incluindo o estado das
ações de gerenciamento
de risco
APO12.05  Propostas de projeto para
reduzir o risco
BAI04.03  Planos de capacidade e de
desempenho
 Melhorias priorizadas
BAI04.05  Ações corretivas
BAI09.01  Resultados da revisão de
adequação para a
finalidade
BAI09.04  Oportunidades para
reduzir custos dos ativos
ou amentar valor
 Resultados das revisões de
otimização de custos
Atividades
01 Desenvolver uma referência do ambiente, capacidades e serviços atuais de TI e de negócios contra a qual requerimentos futuros
possam ser comparados. Incluir o detalhe de alto nível relevante da arquitetura corporativa atual (negócios, informações, dados,
aplicações e domínios de tecnologia), processos de negócios, processos e procedimentos de TI, estrutura organizacional de TI,
provisão de serviços externos, governança de TI e habilidades e competências relacionadas a TI em toda a organização.
02 Identificar riscos das tecnologias atuais, potenciais e em declínio.
03 Identificar falhas entre as capacidades e serviços atuais de TI e de negócios e padrões de referência e boas práticas, capacidades
de negócios e de TI dos competidores e benchmarks comparativos de boas práticas e provisão de serviços de TI emergentes.
04 Identificar problemas, pontos fortes, oportunidades e ameaças no ambiente, capacidades e serviços atuais para entender o
desempenho atual. Identificar áreas para melhoria em termos de contribuição da TI para os objetivos corporativos.
APO02.03 Definir as capacidades de TI De Descrição Descrição Para
desejáveis APO04.05  Análise de iniciativas  Objetivos de alto nível Interno
Definir as capacidades de TI e de negócios rejeitadas relacionados a TI
desejáveis e os serviços de TI necessários. Isto deve  Resultados e  Capacidades Interno
ser baseado no conhecimento do ambiente e recomendações de requeridas de
requisitos corporativos; na análise dos atuais iniciativas de prova de negócios e de TI
processos de negócio e ambiente e problemas de conceito
TI; e consideração das referências em padrões, boas  Mudanças na APO03.03
práticas e tecnologias emergentes ou propostas de arquitetura
inovação validadas. corporativa propostas
65

Atividades
01 Considerar tecnologias emergentes ou ideias inovadoras validadas.
02 Identificar ameaças de tecnologias em declínio, atuais e adquiridas recentemente.
03 Definir objetivos/metas de alto nível para TI e como elas contribuirão para os objetivos de negócio da organização.
04 Definir as capacidades requeridas e desejadas para os processos de negócios e de TI e para os serviços de TI e descrever as
alterações da arquitetura corporativa em alto nível (negócios, informações, dados, aplicações e domínios de tecnologia), processos
e procedimentos de negócios e de TI, a estrutura da organização de TI, provedores de serviço de TI, governança de TI e habilidades
e competências de TI.
05 Alinhar e combinar com o arquiteto corporativo as alterações propostas na arquitetura corporativa.
06 Demonstrar rastreabilidade para a estratégia e requisitos corporativos.

APO02.04 Conduzir uma análise de falhas. De Descrição Descrição Para
Identificar falhas entre os ambientes atual e EDM02.01  Avaliação do alinhamento  Falhas e mudanças EDM04.01
desejável e considerar o alinhamento dos ativos (as estratégico necessárias para APO13.02
capacidades que suportam serviços) com os realizar a capacidade BAI03.11
resultados de negócios para otimizar o investimento desejada
e a utilização da base de ativos interna e externa.
APO04.06  Análise do uso de  Declaração de BAI03.11
Considerar os fatores críticos de sucesso para
abordagens inovadoras benefícios de valor
suportar a execução da estratégia.
APO05.02  Expectativas de retorno para o ambiente
dos investimentos desejado
BAI01.05  Resultados do
monitoramento do
programa de realização de
objetivos
BAI01.06  Resultados da revisão
stage‐gate
BAI01.13  Resultados da Revisão pós
implementação
Atividades
01 Identificar todas as falhas e mudanças necessárias para realizar o ambiente desejado.
02 Considerar as implicações de alto nível de todos as falhas. Considerar o valor de potenciais mudanças para as capacidades de
negócios e TI, serviços de TI e arquitetura corporativa e as implicações se nenhuma mudança for realizada.
03 Analisar o impacto de potenciais mudanças nos modelos operacionais de negócios e de TI, capacidades de pesquisa e
desenvolvimento de TI e programas de investimento de TI.
04 Refinar a definição do ambiente desejado e preparar uma declaração de valor com os benefícios do ambiente desejado.
APO02.05 Definir plano e roteiro estratégicos. De Descrição Descrição Para
Criar um plano estratégico que defina, em conjunto EDM04.01  Plano de recursos  Definição das APO05.01
com as partes interessadas relevantes, como os aprovado iniciativas estratégicas
objetivos relacionados a TI contribuirão com os
EDM04.03  Feedback sobre a alocação  Iniciativas de análise APO05.01
objetivos estratégicos da organização. Abranger
e eficácia dos recursos e de risco APO12.01
como TI suportará os programas de investimento,
capacidades
processos de negócios, serviços de TI e ativos de TI
 Ações de remediação para
habilitados por TI. Orientar TI para definir as
endereçar desvios no
iniciativas necessárias para corrigir as falhas, a
gerenciamento de
estratégia de terceirização e as medições que serão
recursos
utilizadas para monitorar a realização de objetivos,
e então priorizar as iniciativas e combina‐las em um APO03.01  Escopo de arquitetura  Roteiro estratégico EDM02.01
roteiro de alto nível. definido APO01.03
 Estudo de caso e APO03.01
proposição de valor do APO05.01
conceito de arquitetura APO08.01
APO03.02  Modelo de arquitetura da
informação
APO03.03  Arquiteturas de transição
 Estratégias de alto nível de
implementação e
migração
APO05.01  Feedback sobre estratégia
66
CAPÍTULO 5

e objetivos
APO05.02  Opções de financiamento
APO06.02  Alocações de orçamento
APO06.03  Orçamento e plano de TI
 Comunicações de
orçamento
APO13.02  Estudos de caso de
segurança da informação
BAI09.05  Plano de ação para ajustar
números e alocações de

licenças
DSS04.02  Opções estratégicas
aprovadas
Atividades
01 Definir as iniciativas necessárias para corrigir falhas e migrar do ambiente atual para o desejado, incluindo orçamento de
investimento/operacional, fontes de financiamento, estratégia de terceirização e estratégia de aquisição.
02 Identificar e endereçar adequadamente o risco, custos e implicações de mudanças organizacionais, evolução tecnológica,
requerimentos regulatórios, reengenharia de processos, alocação de pessoal, oportunidades de internalização e terceirização, etc.,
no processo de planejamento.
03 Determinar dependências, sobreposições, sinergias e impactos entre iniciativas e priorizar as inciativas.
04 Identificar requisitos de recursos, cronograma e orçamento de investimento/operacional para cada uma das iniciativas.
05 Criar um roteiro indicando a programação relativa e interdependências das iniciativas.
06 Traduzir os objetivos em medidas de resultado representadas por métricas (o quê) e objetivos (quanto) que podem ser
relacionados com benefícios corporativos.
07 Obter suporte formal das partes interessadas e obter aprovação para o plano.
APO02.06 Comunicar a estratégia e o De Descrição Descrição Para
direcionamento de TI. EDM04.02 Comunicação das Plano de comunicação Interno
Criar consciência e compreensão dos objetivos e estratégias de Pacote de comunicação Todos APO
direcionamento de negócios e de TI, conforme disponibilização de recursos Todos BAI
assimilado na estratégia de TI, por meio da
Todos DSS
comunicação com as partes interessadas e usuários
Todos MEA
apropriados em toda a organização.
Atividades
01 Desenvolver e manter uma rede para endossar, apoiar e conduzir a estratégia de TI.
03 Desenvolver um plano de comunicação abrangendo as mensagens, público alvo, mecanismos/canais de comunicação e
cronogramas requeridos.
03 Preparar um pacote de comunicação que entregue o plano efetivamente utilizando mídias e tecnologia disponíveis.
04 Obter feedback e atualizar o plano de comunicação e entregar conforme requerido.
APO02 Orientação Relacionada
ISO/IEC 20000 4.0 Planejamento e implementação do gerenciamento de serviço
5.0 Planejamento e implementação de serviços novos ou modificados
ITIL V3 2011 Estratégia de Serviço, 4.1 Gerenciamento da Estratégia para Serviços de TI
67
AP003 Gerenciar a Arquitetura Corporativa

AP003 Gerenciar a Arquitetura Corporativa Área: Gestão
Estabelecer uma arquitetura comum que consista de camadas de processos de negócio, informação, dados, aplicação e tecnologia para de
forma eficiente e eficaz realizar as estratégias de TI e negócio por meio da criação de modelos e práticas chave que descrevam as arquiteturas
básicas e desejadas. Definir requisitos para taxonomia, padrões, diretrizes procedimentos, modelos e ferramentas, e fornecer um
relacionamento entre estes componentes. Aprimorar o alinhamento, aumentar a agilidade, aprimorar a qualidade da informação e gerar
potenciais reduções de custos por meio de iniciativas tais como o reuso de componentes.
Representar os diferentes blocos que compõe a empresa e seus inter‐relacionamentos bem como os princípios que guiam o seu desenho e
evolução ao longo do tempo, permitindo uma entrega padronizada, responsiva e eficiente dos objetivos estratégicos e operacionais.

01 Alinhamento da estratégia de negócios e de TI  Percentual de objetivos e requisitos estratégicos de negócio suportados
 Nível de satisfação das partes interessadas com o escopo do portfolio
planejado de programas e serviços
 Percentual de direcionadores de valor de TI mapeados com os
09 Agilidade de TI  Nível de satisfação dos executivos de negócio com a capacidade de
resposta de TI para novos requisitos
 Número de processos críticos de negócio suportados por infraestrutura e
aplicações atualizadas
 Tempo médio para traduzir objetivos estratégicos de TI em iniciativas
11 Otimização de ativos, recursos e capacidades de TI  Frequência de avaliações sobre otimização de custos e maturidade das
capacidades
 Tendência de resultados das avaliações
 Níveis de satisfação dos executivos de negócio e TI com os custos e
capacidades de TI relacionadas
01 A arquitetura e os padrões são efetivos no suporte à  Número de exceções aplicadas e concedidas nos padrões e bases da
empresa arquitetura
 Nível de feedback dos clientes de arquitetura
 Benefícios de projetos realizados e que podem ser relacionados com o
envolvimento da arquitetura (ex. redução de custos por meio de reuso)
2.Um portfolio de serviços de arquitetura empresarial  Percentual de projetos usando serviços de arquitetura corporativa
suporte mudanças ágeis na empresa  Nível de feedback dos clientes de arquitetura
3.Arquiteturas apropriadas e atualizadas de domínio e/ou  Data da última atualização das arquiteturas de domínio e/ou federadas
federadas existem para prover informações confiáveis de  Número de lacunas identificadas em modelos nos diversos domínios de
arquitetura arquitetura corporativa, como informação, dados, aplicação e tecnologia
 Nível de feedback dos clientes de arquitetura com relação à informação
fornecida
04 Uma estrutura comum e uma metodologia de arquitetura  Percentual de projetos que utilizam a estrutura e metodologia para reuso
corporativa, bem como um repositório integrado de de componentes definidos
arquiteturas são usados para gerar eficiência com reuso  Número de pessoas treinadas na metodologia e conjunto de ferramentas
por toda a empresa.  Número de exceções aplicadas e concedidas nos padrões e bases da
arquitetura
68
CAPÍTULO 5
APO03 TABELA RACI

APO03 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO03.01
Desenvolver a visão da arquitetura A C C R C R C R C C C C R R C C C C
corporativa
Definir a arquitetura de referência C C C R C R C A C C C C R R C C C C
Selecionar oportunidades e soluções A C C R C R C R C C C C R R C C C C
Definir a implementação da
A C R C C R C R C C C C R R C C C C
arquitetura
Fornecer serviços de arquitetura
A C R C C R C R C C C C R R C C C C
corporativa
APO03.01 Desenvolver a visão da arquitetura De Descrição Descrição Para
corporativa EDM04.01  Princípios orientadores  Escopo da arquitetura APO02.05
A visão da arquitetura fornece uma descrição para arquitetura definido
preliminar e de alto‐nível das arquiteturas básica e corporativa
desejada, cobrindo os domínios de negócio, APO02.05  Roadmap estratégico  Princípios da arquitetura BAI02.01
informações, dados, aplicativos e tecnologias. A visão BAI03.01
da arquitetura proporciona ao patrocinador com uma BAI03.02
ferramenta chave para apresentar os benefícios das
Referência  Estratégia corporativa  Business case conceitual APO02.05
capacidades propostas para as partes interessadas da
externa ao e proposição de valor da APO05.03
Organização. Adicionalmente, a visão da arquitetura
COBIT arquitetura
descreve como as novas capacidades vão atender aos
Objetivos Corporativos bem como seus objetivos
estratégicos, e endereçar as preocupações das partes
interessadas quando implementada.
Atividades
01 Identificar as principais partes interessadas e suas preocupações/objetivos, e definir os principais requisitos corporativos a serem
endereçados bem como as visões de arquitetura a serem desenvolvidas para satisfazer os diversos requisitos das partes
interessadas.
02 Identificar os Objetivos Corporativos e direcionadores estratégicos da organização e definir as restrições que devem ser tratadas,
incluindo restrições em nível corporativo e restrições específicas de projeto (tempo, cronograma, recursos, etc.).
03 Alinhar objetivos de arquitetura com as prioridades de programas estratégicos.
04 Entender as capacidades e desejos do negócio, e então identificar as opções para realizar estas capacidades.
05 Avaliar a preparação da empresa para mudanças.
06 Definir o que está dentro e o que está fora do escopo da arquitetura básica e esforços da arquitetura desejada, entendendo que
não há necessidade de descrevê‐las no mesmo nível de detalhe.
07 Confirmar e elaborar os princípios da arquitetura, incluindo princípios corporativos. Certificar que quaisquer definições existentes
sejam atuais e esclarecer quaisquer áreas de ambiguidade.
69

08 Entender as atuais metas e objetivos estratégicos corporativos e trabalhar com o processo de planejamento estratégico para
garantir que oportunidades de arquitetura corporativa relacionadas a TI sejam alavancadas no desenvolvimento do plano
estratégico.
09 Com base nas preocupações das partes interessadas, requisites de capacidade de negócio, escopo, restrições e princípios, criar a
visão de arquitetura: uma visão de alto nível das arquiteturas básica e desejada.
10 Definir as proposições de valor, metas e métricas da arquitetura desejada.
11 Identificar os riscos de mudança corporativa associados com a visão de arquitetura, avaliar o nível iniciar de risco (ex. crítico,
marginal ou desprezível), e desenvolver uma estratégia de mitigação para cada risco significativo.
12 Desenvolver um business case conceitual para a arquitetura corporativa, esboço dos planos e declaração do trabalho de
arquitetura, e assegurar a aprovação para iniciar o projeto alinhado e integrado com a estratégia corporativa.

APO03.02 Definir a arquitetura de referência De Descrição Descrição Para
A arquitetura de referência descreve a arquitetura APO01.01  Diretrizes operacionais  Descrições dos domínios APO13.02
atual e a desejada para os domínios de negócio, corporativas básicos e definição da BAI02.01
informações, dados, aplicações e tecnologias.  Definição da estrutura arquitetura BAI03.01
organizacional e funções BAI03.02
APO01.05  Definição do  Modelo de processo de APO01.01

posicionamento arquitetura
operacional da função
de TI
 Avaliação das opções
para a organização de TI
APO01.06  Diretrizes para  Modelo de arquitetura APO02.05
classificação de dados da informação BAI02.01
Referência  Estratégia corporativa BAI03.02
externa ao DSS05.03
COBIT DSS05.04
DSS05.06
Atividades
01 Manter um repositório de arquitetura contendo padrões, componentes reutilizáveis, artefatos de modelagem, relacionamentos,
dependências e visões para permitir uniformidade na organização arquitetural e manutenção.
02 Selecionar pontos de vista de referência do repositório de arquitetura que permitirão ao arquiteto demonstrar como as
preocupações das partes interessadas estão sendo endereçadas na arquitetura.
03 Para cada ponto de vista, selecionar modelos necessários para suportar a visão específica requerida, usando ferramentas ou
métodos selecionados, e nível apropriado de decomposição.
04 Desenvolver descrições dos domínios da arquitetura básica, usando o escopo e nível de detalhe necessário para suportar a
arquitetura desejada e, até onde possível, identificando os blocos de construção da arquitetura relevantes a partir do repositório.
05 Manter um modelo de processo de arquitetura como parte das descrições de domínio básicas e desejadas. Padronizar as
descrições e documentação dos processos. Definir os papéis e responsabilidades dos tomadores de decisão do processo, donos do
processo, usuários do processo, time do processo e outras partes interessadas que precisem ser envolvidas.
06 Manter um modelo de arquitetura de informação como parte das descrições de domínio básicas e desejadas, consistente com a
estratégia corporativa, permitindo um uso otimizado da informação para tomada de decisões. Manter um dicionário de dados
corporativo para promover um entendimento comum e um esquema de classificação que inclua detalhes sobre propriedade de
dados, definição de níveis apropriados de segurança, e requisitos de retenção e destruição de dados.
07 Verificar os modelos de arquitetura para consistência e precisão internas, e realizar uma análise de lacunas entre situação básica e
desejada. Priorizar as lacunas e definir componentes novos ou modificados que devem ser desenvolvidos para arquitetura
desejada. Resolver potenciais impactos tais como incompatibilidades, inconsistências ou conflitos dentro da arquitetura visionada.
08 Conduzir uma revisão formal de partes interessadas por meio da checagem de arquitetura proposta em relação à motivação
original para o projeto de arquitetura, e a declaração do trabalho de arquitetura.
09 Finalizar os domínios de arquitetura de negócio, informação, dados, aplicações e tecnologia, e criar um documento de definição da
arquitetura.
APO03.03 Selecionar oportunidades e soluções De Descrição Descrição Para
Racionalizar as lacunas entre a arquitetura base e a APO02.03  Mudanças propostas na  Estratégia de alto nível APO02.05
desejada, levando em consideração tanto as arquitetura corporativa de implementação e
perspectivas técnicas quanto de negócio, e agrupa‐las migração
de maneira lógica em pacotes de trabalho nos
Referência  Estratégias corporativas  Arquiteturas de APO02.05
projetos. Integrar o projeto com programas de
externa ao  Direcionadores transição
investimento de TI para garantir que as iniciativas de
70
CAPÍTULO 5

arquitetura estejam alinhadas e fazer com que estas COBIT corporativos
iniciativas sejam parte das mudanças gerais na
empresa. Fazer deste processo em um esforço
colaborativo com as principais partes interessadas de
negócio e TI para avaliar a preparação para a
transformação organizacional, e identificar
oportunidades, soluções e todas as variáveis de
implementação.
Atividades
01 Determinar e confirmar os principais atributos de mudança organizacional, incluindo a cultura organizacional e como esta
impactará a implementação da arquitetura corporativa, bem como as capacidades de transição da empresa.

02 Identificar quaisquer direcionadores corporativos que possam restringir a sequência de implementação, incluindo a revisão dos
planos estratégicos e de negócio, e consideração da maturidade atual da arquitetura corporativa.
03 Revisar e consolidar os resultados da análise de lacunas entre as arquiteturas básica e desejada, e avaliar suas implicações em
relação às potenciais soluções/oportunidades, interdependências e alinhamento com os atuais programas de TI.
04 Avaliar os requisites, lacunas, soluções e fatores para identificar um conjunto mínimo de requisitos funcionais cujas integrações
em pacotes de trabalho levariam a uma implementação mais eficiente e efetiva da arquitetura desejada.
05 Reconciliar os requisites consolidados com soluções potenciais.
06 Refinar as dependências iniciais, garantindo que quaisquer restrições no plano de implementação e migração sejam identificadas,
e consolida‐las em um relatório de análise de dependências.
07 Confirmar a preparação da organização para transformação, e o riscos associados a ela.
08 Formular uma estratégia alto nível de implementação e migração que guiará a implementação da arquitetura desejada, e
estruturar as arquiteturas de transição alinhadas com os objetivos estratégicos da organização e os cronogramas associados.
09 Identificar e agrupar pacotes de trabalho em um conjunto coerente de programas e projetos, respeitando o direcionamento e a
abordagem estratégica de implementação.
10 Desenvolver uma séria de arquiteturas de transição quando necessário onde o escopo de mudança requerido para realizar a
arquitetura desejada requeira uma abordagem incremental.
APO03.04 Definir a implementação da arquitetura De Descrição Descrição Para
Criar um plano de implementação e migração viável  Requisitos de recursos BAI01.02
alinhado com os portfolios de programas e projetos.
 Descrições de fases de BAI01.01
Certificar‐se de que o plano seja coordenado de perto
implementação BAI01.02
para garantir que o valor seja entregue e que os
recursos requeridos estejam disponíveis para  Requisitos de BAI01.01
completar o trabalho necessário. governança de
arquitetura
Atividades
01 Estabelecer o que o plano de implementação e migração deve incluir como parte do planejamento do programa e projeto, e
garantir que esteja alinhado com os requisitos dos tomadores de decisão aplicáveis.
02 Confirmar incrementos e fases transitórias de arquitetura e atualizar o documento de definição de arquitetura.
03 Definir os requisitos de governança na implementação de arquitetura.
71

APO03.05 Fornecer serviços de arquitetura De Descrição Descrição Para
corporativa  Orientação para BAI02.01
O fornecimento de serviços de arquitetura corporativa desenvolvimento de BAI02.02
dentro da empresa inclui orientação e monitoramento soluções BAI03.02
na implementação de projetos, formalizando meios de
se trabalhar por meio de contratos de arquitetura, e
mensuração e comunicação do valor agregado da
arquitetura e monitoramento de conformidade.
Atividades
01 Confirmar o escopo e prioridades e fornecer direcionamento para desenvolvimento e implantação de soluções

02 Gerenciar o portfólio de serviços de arquitetura corporativa para garantir o alinhamento com objetivos estratégicos e
desenvolvimento de soluções
03 Gerenciar os requisitos de arquitetura corporativa e suporte com princípios arquitetônicos, modelos e blocos de construção
04 Identificar e alinhar as prioridades da arquitetura corporativa com os direcionadores de valor. Definir e coletar métricas de valor e
medir e comunicar os valores da arquitetura corporativa.
05 Estabelecer um fórum de tecnologia para fornecer diretrizes de arquitetura, aconselhamento em projetos e orientação na seleção
de tecnologias. Mensurar a conformidade com estes padrões e diretrizes, incluindo conformidade com requisitos externos e sua
relevância para o negócio.
Padrão Referência Detalhada
Relacionado
TOGAF 9 No núcleo do TOGAF está o Método de Desenvolvimento de Arquitetura (ADM), que faz o mapeamento com as práticas do
COBIT 5 de desenvolvimento da visão da arquitetura (ADM Fase A), definição das arquiteturas de referência (ADM Fases B, C,
D), seleção de oportunidades e soluções (ADM Fase E), e definição de implementação da arquitetura (ADM Fases F, G). Um
número de componentes do TOGAF é mapeado com a prática do COBIT 5 de fornecimento de serviços de arquitetura. Estes
incluem Gestão de Requisitos, Princípios de Arquitetura, Gestão de Partes Interessadas, Avaliação da Preparação para
Transformação de Negócio, Gestão de Riscos, Planejamento Baseado em Capacidade, Conformidade da Arquitetura e Contratos
de Arquitetura.
72
CAPÍTULO 5
APO04 Gerenciar Inovação

APO04 Gerenciar Inovação Área: Gestão
Manter a conscientização sobre tendências em tecnologia e serviços relacionados, identificar oportunidades de inovação, e planejar como
obter benefícios destas inovações em relação ao negócio. Analisar quais oportunidades para a inovação ou melhorias podem ser criadas a
partir de tecnologias emergentes, inovações nos serviços ou processos de TI, bem como por meio de tecnologias estabelecidas existentes, e
por inovação nos processos de negócio.
Alcançar vantagens competitivas, inovação de negócios, e eficiência e eficácia operacional aprimorada, por meio da exploração de
desenvolvimentos em tecnologia da informação.

05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual de investimentos relacionados à TI onde a realização de
serviços benefícios é monitorada durante todo seu ciclo de vida econômico
 Percentual de serviços de TI onde os benefícios esperados são realizados
 Percentual de investimentos relacionados à TI onde os benefícios
planejados são atingidos ou superados
08 Uso adequado de aplicativos, informações e soluções  Percentual de donos dos processos de negócio satisfeitos com os produtos
tecnológicas e serviços de TI que os suportam
 Nível de entendimento dos usuários de negócio sobre como as soluções
tecnológicas suportam seus processos
 Nível de satisfação dos usuários de negócio com treinamento e manuais
de usuários
 Valor presente líquido (NPV) mostrando o nível de satisfação do negócio
com a qualidade e utilidade das soluções tecnológicas
09 Agilidade de TI  Nível de satisfação dos executivos de negócio com o tempo de resposta de
TI sobre novos requisitos.
 Número de processos críticos de negócio suportado por aplicações e
infraestrutura atualizadas.
 Tempo médio para traduzir objetivos estratégicos de TI em iniciativas
11 Otimização de ativos, recursos e capacidades de TI  Frequência de avaliações de maturidade e de otimização de custos
 Tendências nos resultados das avaliações
 Níveis de satisfação dos executivos de TI e negócios com os custos e
capacidades relacionadas à TI
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de conscientização e entendimento dos executivos de negócio com
negócios as possibilidades de inovação de TI
 Nível de satisfação das partes interessadas com o nível de especialização e
ideias relacionadas com inovação de TI
 Número de iniciativas aprovadas resultante de ideias inovadoras
01 Valor ao negócio é criado por meio de qualificação e  Aumento em participação de mercado ou competitividade por meio de
seleção dos mais apropriados avanços e inovações em inovações
tecnologia, métodos e soluções de TI  Percepção e feedback das partes interessadas da empresa sobre inovação
de TI
02 Objetivos corporativos são alcançados com benefícios  Percentual de iniciativas implementadas que realizam os benefícios
qualitativos aprimorados e/ou redução de custos como esperados
resultado da identificação e implementação de soluções  Percentual de iniciativas implementadas com claro relacionamento a um
inovadoras objetivo corporativo
03 Inovação é promovida e proporcionada, e é parte da  Inclusão de objetivos relacionados à inovação ou tecnologias emergentes
cultura da empresa nas metas de desempenho das equipes
 Feedback de partes interessadas e pesquisas
73
APO04 TABELA RACI

APO04 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO04.01 Criar um ambiente
A R R R R R R R R R R
favorável à inovação
APO04.02 Manter um entendimento
A R R C R R R R
sobre o ambiente corporativo
APO04.03 Monitorar e analisar o
A R R R R R
ambiente de tecnologia
APO04.04 Avaliar o potencial de
tecnologias emergentes e ideias I I C C C C A R R R R R
inovadoras
APO04.05 Recomendar ações
I R R A C R R R R R R
adicionais futuras
APO04.06 Monitorar a
C C A C R C C C C C
implementação e o uso da inovação
APO04.01 Criar um ambiente favorável à inovação De Descrição Descrição Para
Criar um ambiente que propicie a inovação, levando em  Plano de inovação Interno
consideração questões como a cultura, premiação,
 Programa de reconhecimento e APO07.04
colaboração, fóruns de tecnologia, e com mecanismos para
premiação
promover e absorver ideias dos colaboradores
Atividades
01. Criar um plano de inovação que inclua o apetite a riscos, o orçamento reservado para gastos com iniciativas de inovação, e
objetivos da inovação.
02 Prover infraestrutura que possa ser um habilitador de inovação, como ferramentas de colaboração para aprimorar o trabalho
entre localidades geográficas e divisões.
03 Criar um ambiente que seja favorável à inovação por meio de iniciativas de RH relevantes, tais como programas de
reconhecimento e premiação por inovação, apropriada rotação entre funções, e tempo discricionário para experimentação.
04 Manter um programa que possibilite às equipes a submissão de ideias inovadores e criar uma estrutura apropriada para tomada
de decisões para avaliar estas ideias e leva‐las adiante.
05 Encorajar ideias inovadoras de clientes, fornecedores e parceiros de negócio.
APO04.02 Manter um entendimento sobre o ambiente De Descrição Descrição De
corporativo Referência  Estratégia  Oportunidade de inovação APO02.01
Trabalhar com as partes interessadas em TI para entender seus externa corporativa e relacionadas com
respectivos desafios. Manter um entendimento adequado sobre a ao COBIT análise SWOT da direcionadores de negócio
estratégia corporativa, sobre o ambiente competitivo e outras empresa
restrições, de forma que oportunidades geradas por novas
tecnologias possam ser identificadas.
74
CAPÍTULO 5

Atividades
01 Manter um entendimento sobre direcionamentos de negócio, estratégia corporativa, direcionadores da indústria, operações da
empresa e outros aspectos de forma que o potencial valor agregado de tecnologias ou inovações de TI possa ser identificado.
02 Conduzir reuniões periódicas com unidades de negócio, divisões e/ou outras entidades de partes interessadas para entender os
atuais problemas de negócio, gargalos em processos, ou outras restrições onde tecnologias emergentes ou inovações de TI
possam criar oportunidades.
03 Compreender os parâmetros de investimento da empresa para inovação e novas tecnologias, para que estratégias apropriadas
sejam desenvolvidas.
APO04.03 Monitorar e analisar o ambiente de tecnologia De Descrição Descrição Para

Realizar monitoramento sistemático e análise sobre o ambiente Referência  Tecnologias  Análises das pesquisas BAI03.01
externo do Banco para identificar tecnologias emergentes que têm externa emergentes sobre possibilidades de
o potencial para a criação de valor (ex. realização da estratégia ao COBIT inovação
corporativa, otimização de custos, redução na obsolescência de
equipamentos, e melhor implementação de processos de negócio e
de TI). Monitorar o mercado, cenário competitivo, os setores
industriais, tendências legais e regulatórias, de forma a analisar as
tecnologias emergentes ou ideias inovadoras no contexto
corporativo
Atividades
01 Entender o interesse e potencial da empresa para adoção de novas inovações tecnológicas e focar os esforços de conscientização
nas tecnologias que trazem maior oportunidade.
02 Realizar pesquisas e exploração do ambiente externo, incluindo sítios de internet apropriados, periódicos e conferências, para
identificar tecnologias emergentes.
03 Consultar especialistas terceirizados quando necessário para confirmar as descobertas das pesquisas ou como fonte de informação
em tecnologias emergentes.
04 Capturar ideias inovadoras dos membros das equipes de TI e analisá‐las pelo potencial de implementação.
APO04.04 Avaliar o potencial de tecnologias emergentes e De Descrição Descrição Para
ideias inovadoras  Avalição de ideias BAI03.01
Analisar tecnologias emergentes identificadas e/ou outras inovadoras
sugestões de inovação em TI. Trabalhar com as partes interessadas  Escopo da prova de APO05.03
para validar premissas sobre o potencial de novas tecnologias e conceito e esboço do APO06.02
inovações. business case
 Resultados dos testes Interno
obtidos por meio das
iniciativas de prova de
conceito
Atividades
01 Avaliar as tecnologias identificadas, avaliando aspectos como tempo para atingir a maturidade, risco inerente de novas tecnologias
(incluindo potenciais implicações legais), aderência com a arquitetura corporativa, e potencial para fornecer valor adicional.
02 Identificar eventuais questões que necessitem serem resolvidas ou comprovadas por meio de uma iniciativa de prova de conceito.
03 Definir o escopo da iniciativa de prova de conceito, incluindo resultados desejados, orçamento necessário, cronograma e
responsabilidades.
04 Obter aprovação para conduzir a iniciativa de prova de conceito.
05 Conduzir iniciativas de prova de conceito para testar tecnologias emergentes ou outras ideias inovadoras, identificar questões a
serem resolvidas, e determinar se implementações adicionais devam ser consideradas com base na viabilidade e potencial retorno
de investimento (ROI).
APO04.05 Recomendar ações adicionais futuras De Descrição Descrição Para
Avaliar e monitorar os resultados das Provas de Conceito e, se  Resultados e APO02.03
favoráveis, gerar recomendações para ações adicionais, e obter recomendações geradas BAI03.09
apoio das partes interessadas. pelas iniciativas de provas
de conceito
 Análise das iniciativas APO02.03
rejeitadas BAI03.08
75

Atividades
01 Documentar os resultados da prova de conceito, incluindo orientações e recomendações para programas de inovação e
tendências.
02 Comunicar oportunidades de inovação viáveis para os processos de estratégia de TI e arquitetura corporativa.
03 Acompanhar iniciativas de provas de conceito para mensurar o seu grau de conversão em investimentos reais.
04 Analisar e comunicar as razões que levaram à rejeição de iniciativas geradas pelas provas de conceito.
APO04.06 Monitorar a implementação e o uso da inovação De Descrição Descrição Para
Monitorar a implementação e uso de tecnologias emergentes e  Avaliações sobre o uso de APO02.04
inovações durante sua integração e adoção, e por todo seu ciclo de
abordagens inovadoras BAI03.02

vida econômico para garantir que os benefícios planejados sejam
 Avaliação dos benefícios da APO05.04
realizados, e para identificar lições aprendidas.
inovação
 Planos de inovação Interno
ajustados
Atividades
01 Avaliar a implementação de novas tecnologias ou inovações de TI adotadas como parte da estratégia de TI e desenvolvimentos da
arquitetura corporativa, e sua realização a gestão de iniciativas do programa.
02 Capturar lições aprendidas e oportunidades para aprimoramento.
03 Ajustar o plano de inovação, se necessário.
04 Identificar e avaliar o valor potencial a ser realizado por meio do uso de inovação.
Nenhum
76
CAPÍTULO 5
APO05 Gerenciar Portfólio

APO05 Gerenciar Portfólio Área: Gestão
Executar o direcionamento estratégico definido para os investimentos, em linha com a visão da arquitetura empresarial e as características
desejadas para os portfolios de investimentos e serviços, e considerar as diferentes categorias de investimentos e limitações de recursos e
fontes de financiamento. Avaliar, priorizar e manter o equilíbrio nos programas e serviços, gerenciando as demandas e considerando as
restrições de recursos e fontes de financiamento, com base no seu alinhamento com os objetivos estratégicos, valor para a Organização e
riscos. Movimentar os programas de investimentos selecionados para o portfólio de serviços ativo para execução. Monitorar o desempenho
da carteira global de serviços e programas propondo os ajustes necessários de acordo com o desempenho dos mesmos ou se as prioridades
corporativas forem alteradas/ajustadas.

Otimizar o desempenho do portfólio global de programas considerando o desempenho dos programas e dos serviços além de mudanças de
prioridades e demandas da Organização.
01 Alinhamento da estratégia de negócios e de TI  Percentual de metas e requisites estratégicos corporativas
suportados por metas estratégicas de TI
 Nível de satisfação das partes interessadas com o escopo do
portfólio planejado de programas e serviços
 Percentual de direcionadores de valor de TI mapeados a
05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual de investimentos de TI onde a realização de benefícios é
serviços monitorada por todo seu ciclo de vida econômico
 Percentual de serviços de TI onde os benefícios esperados são
realizados
 Percentual de investimento de TI onde os benefícios planejados são
atingidos ou excedidos
13 Entrega de programas fornecendo benefícios, dentro do prazo,  Número de programas/projetos dentro do cronograma e do
orçamento e atendendo requisitos orçamento planejado
 Percentual de partes interessadas satisfeitas com a qualidade do
programa/projeto
 Número de programas com necessidade significativa de retrabalho
devido a defeitos de qualidade
 Custo com manutenção de aplicações vs. custo geral de TI
01 Uma combinação apropriada de investimentos está definida e  Percentual de investimentos de TI que possuem rastreabilidade com
alinhada com a estratégia corporativa a estratégia corporativa
 Grau de satisfação dos gestores da empresa com a contribuição de TI
na estratégia corporativa
02 Fontes de investimento estão identificadas e disponíveis  Relação entre os fundos alocados e os fundos usados
 Relação entre os fundos disponíveis e os fundos alocados
03 Business cases dos programas são avaliados e priorizados antes  Percentual de unidades de negócios envolvidas no processo de
dos fundos serem alocados avaliação e priorização
04 Uma visão abrangente e precisa do desempenho do portfolio  Nível de satisfação com os relatórios de monitoramento do portfolio
de investimentos existe.
05 Mudanças no programa de investimentos são refletidas nos  Percentual de mudanças provenientes do programa de
portfolios de serviços, recursos e ativos de TI investimentos e que foram refletidas no portfólio de TI
06 Benefícios são realizados por meio de monitoramento de  Percentual de investimentos nos quais os benefícios realizados
benefícios foram mensurados e comparados com o business case
77
APO05 TABELA RACI

APO05 Tabela RACI
Prática de Gestão



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
APO05.01 Estabelecer a combinação
A R R C I C C C C C C
de investimentos desejada
APO05.02 Determinar a
disponibilidade e as fontes de C A R C R
investimentos
APO05.03 Avaliar e selecionar os
C A R R R R R C
programas para investimento
APO05.04 Monitorar, otimizar e
reportar o desempenho do portfólio I C C C C C R A C C C C C
de investimentos
APO05.05 Manter os portfolios I I R C A R R C C C
APO05.06 Gerenciar o alcance aos
C C C A R I R I C C R C C
benefícios
APO05.01 Estabelecer a combinação de De Descrição Descrição Para
investimentos desejada EDM02.02  Tipos e critérios de  Mix de investimentos Interno
Revisar e garantir clareza nas estratégias de TI e de Investimentos definido
negócios, bem como nos atuais serviços fornecidos APO02.05  Roadmap estratégico  Recursos e capacidades Interno
por TI. Definir uma combinação de investimentos  Iniciativas de gestão de identificadas para
apropriados com base no custo, no alinhamento risco suportar a estratégia.
com a estratégia e métricas financeiras, tais como  Definição de iniciativas
custos e retorno sobre o investimento, grau de risco estratégicas
e o tipo de benefício para os programas existentes
APO06.02  Ranking e priorização  Feedback quanto a APO02.05
no portfólio. Ajustar as estratégias de TI e da
das iniciativas de TI estratégia e objetivos
Organização quando necessário
APO09.01  Definição dos serviços
padrão
BAI03.11  Definições de serviços
Atividades
01 Validar se os investimentos de TI e atuais serviços de TI estão alinhados com a visão corporativa, os princípios corporativos,
metas e objetivos estratégicos, visão da arquitetura corporativa, e prioridades.
02 Obter um entendimento comum entre TI e outras funções de negócio sobre potenciais oportunidades para TI direcionar e
suportar a estratégia corporativa.
03 Criar uma combinação de investimentos que alcancem o balanço correto entre um número de dimensões, incluindo um balanço
apropriado entre retornos de curto e longo prazos, benefícios financeiros e não financeiros, e investimentos de alto e baixo risco.
04 Identificar as categorias amplas de sistemas de informação, aplicações, dados, serviços de TI, infraestrutura, ativos de TI,
recursos, habilidades, práticas, controles e relacionamentos necessários para suportar a estratégia corporativa.
05 Definir um acordo sobre a estratégia e metas de TI, levando em consideração os inter‐relacionamentos entre a estratégia
corporativa e os serviços, ativos e outros recursos de TI. Identificar e alavancar sinergias que possam ser alcançadas.
78
CAPÍTULO 5

APO05.02 Determinar a disponibilidade e as fontes De Descrição Descrição Para
de investimentos  Opções de APO02.05
Verificar potenciais fontes de investimentos, Fnanciamento
diferentes opções de financiamento e as implicações
 Expectativas de retorno EDM02.01
destas fontes nas expectativas de retorno da
de investimento APO02.04
Organização
APO06.02
BAI01.06
Atividades
01 Entender a atual disponibilidade e comprometimento de fundos, o atuais gastos aprovados, e o total gasto até o momento.

02 Identificar opções para obtenção de fundos adicionais para os investimentos de TI, seja internamente ou por meio de fontes
externas.
03 Determinar as implicações das fontes de financiamento nas expectativas de retorno de investimento.
APO05.03 Avaliar e selecionar os programas De Descrição Descrição Para
para investimento EDM02.01  Avaliação dos portfolios  Business case do APO06.02
Com base nos requisitos gerais para gestão do de investimento e programa BAI01.02
portfólio de investimentos, avaliar e priorizar os serviços
business cases dos programas e decidir sobre as  Avaliação do
propostas de investimento. Alocar recursos e iniciar alinhamento estratégico
esses programas.
EDM02.02  Tipos e critérios de  Avaliações sobre o APO06.02
investimento business case BAI01.06
APO03.01  Business case conceitual  Programas selecionados EDM02.01
da arquitetura e com os pontos de BAI01.04
proposição de valor controle sobre o retorno
APO04.04  Escopo da prova de de investimento (ROI)
conceito e esboço do
business case
APO06.02  Alocações de orçamento
APO06.03  Comunicações sobre o
orçamento
 Plano e orçamento de TI
APO09.01  Lacunas(Gaps)
identificadas nos
serviços de TI para o
negócio
APO09.03  Acordos de Nível de
Serviço (SLAs)
BAI01.02  Plano de realização dos
benefícios do programa
 Resumo e objetivo do
programa
 Business case conceitual
do programa
Atividades
01 Reconhecer oportunidades de investimento e classifica‐las em linha com as categorias do portfólio de investimento. Especificar
o(s) resultado(s) corporativo(s) esperado(s), todas as iniciativas requeridas para atingir aos resultados esperados, custos,
dependências e riscos, e como estes indicadores serão mensuradas.
02 Realizar avaliações detalhadas sobre os business cases de todos os programas, avaliando o alinhamento estratégico, benefícios
para a empresa, riscos e disponibilidade de recursos.
03 Avaliar o impacto no portfólio geral de investimentos com a adição de programas candidatos, incluindo quaisquer mudanças que
possam ser necessárias em outros programas.
04 Decidir quais programas candidatos deverão ser movidos para o portfólio ativo de investimentos. Decidir se os programas
rejeitados devem ser reservados para consideração no futuro ou alimentados com financiamento inicial para determinar se o
business case pode ser aprimorado ou descartado.
05 Determinar os pontos de controle requeridos para o ciclo de vida econômico de cada um dos programas selecionados. Alocar e
reservar o financiamento total por ponto de controle. Mover o programa para o portfólio ativo de investimentos.
06 Estabelecer procedimentos para comunicar os aspectos relacionados a custos, benefícios e riscos destes portfólios para os
processos de priorização de orçamento, gestão de custos e gestão de benefícios.
79

APO05.04 Monitorar, otimizar e reportar o De Descrição Descrição Para
desempenho do portfólio de investimentos EDM02.01  Avaliação do portfólio  Relatórios de EDM02.03
Monitorar e otimizar o desempenho do portfólio de de investimentos e desempenho sobre o APO09.04
investimentos, e de programas individuais de forma serviços desempenho do BAI01.06
periódica por todo o ciclo de vida desses portfolio MEA01.03
EDM02.03  Ações para aprimorar a
investimentos.
entrega de valor
 Feedback sobre o
desempenho do
portfólio e programa
APO04.06  Avaliação dos benefícios
da inovação
BAI01.06  Resultados das revisões
realizadas nos pontos de
controle
Atividades
02 Revisar periódica o portfólio para identificar e explorar sinergias, eliminar duplicação entre os programas, e identificar e mitigar
riscos.
02 Quando mudanças ocorrerem, reavaliar e redefinir prioridades do portfólio para garantir que este esteja alinhado com a
estratégia de negócios, e a combinação desejada de investimentos seja mantida de forma que o portfólio esteja otimizando o
valor geral entregue. Esta ação pode requerer que programas sejam alterados, deferidos ou retirados, e novos programas sejam
iniciados.
03 Ajustar os Objetivos Corporativos, previsões, orçamentos e, se necessário, o grau de monitoramento para refletir os gastos a
serem incorridos e os benefícios corporativos a serem realizados pelos programas no portfólio ativo de investimentos. Incorporar
gastos dos programas nos mecanismos de chargeback.
04 Fornecer uma visão precisa sobre o desempenho do portfólio de investimentos a todas as partes interessadas.
05 Fornecer relatórios de gestão para revisão dos executivos sêniores sobre o progresso da empresa em direção às metas
identificadas, apontando o que ainda precisa ser gasto e alcançado de acordo com o cronograma.
06 Incluir no monitoramento periódico de desempenho informações sobre a extensão na qual os objetivos planejados foram
alcançados, os riscos mitigados, as capacidades criadas, o entregáveis alcançados e as metas de desempenho atingidas.
07 Identificar desvios em:
Controle orçamentário entre o realizado e o planejado
Gestão de benefícios:
Realizado vs planejado para investimentos em soluções, possivelmente expresso em termos de Retorno de Investimento (ROI),
Valor Presente Líquido (NPV) ou Taxa Interna de Retorno (IRR)
A tendência atual dos custos do portfólio de serviços para entrega das melhorias de produtividade nos serviços
08 Desenvolver métricas para mensuração da contribuição de TI para a empresa, e estabelecer metas apropriadas de desempenho
refletindo as metas requeridas de capacidades de TI e corporativas. Usar orientação de especialistas externos e dados de
benchmark para desenvolver métricas.
APO05.05 Manter os portfolios De Descrição Descrição Para
Manter os portfolios de programas e projetos de BAI01.14  Comunicação sobre a  Portfolio de programas, APO09.02
investimento, assim como de serviços e ativos de TI descontinuação do serviços e ativos BAI01.01
programa e atualizados
responsabilidades
contínuas
BAI03.11  Portfolio de serviços
atualizado
Atividades
01 Criar e manter portfolios de programas de investimento em TI, serviços de TI e ativos de TI, que formam a base para o orçamento
atual de TI e suportam os planos estratégico e tático de TI.
02 Trabalhar com os gerentes de entrega de serviços para manter os portfolios de serviços, e com os gerentes de operações e
arquitetos para manter os portfolios de ativos. Priorizar os portfolios para suportar as decisões de investimento.
03 Remover o programa do portfólio de investimentos ativos quando os benefícios desejados pela empresa tenham sido atingidos
ou quando claramente os benefícios não serão atingidos dentro dos critérios de valor definidos no programa.
80
CAPÍTULO 5

APO05.06 Gerenciar o alcance aos benefícios De Descrição Descrição Para
Monitorar os benefícios provenientes da prestação BAI01.04  Registro do orçamento e  Resultados dos EDM02.01
de serviços apropriados e manutenção de recursos benefícios do programa benefícios e APO09.04
de TI, utilizando como base business case acordado comunicações BAI01.06
entre as partes envolvidas relacionadas
BAI01.05  Resultados do  Ações corretivas para APO09.04
monitoramento sobre a aprimorar a realização BAI01.06
realização dos dos benefícios
benefícios

Atividades
01 Usar a métricas acordadas e rastrear como os benefícios serão alcançados, como eles evoluem ao longo do ciclo de vida de
programas e projetos, como eles estão sendo entregues pelos serviços de TI, e como eles se comparam com benchmarks
internos e da indústria. Comunicar os resultados para as partes interessadas.
02 Implementar ações corretivas quando os benefícios atingidos desviam significativamente dos benefícios esperados. Atualizar o
business case para novas iniciativas e implementar processos de negócio e aprimoramentos de serviço quando requerido.
03 Considerar a obtenção de orientação de especialistas externos, líderes de indústria e dados comparativos de benchmarking para
testar e aprimorar as métricas e metas.
ISO/IEC 20000 3.1 Responsabilidade dos gestores
Planejamento e implementação da gestão de serviços
Planejamento e implementação de serviços novos ou alterados
ITIL V3 2011 Estratégia de Serviços, 4.2 Gestão do Portfólio de Serviços
Skills Framework for the Information
Age (SFIA)
81
APO06 Gerenciar Orçamento e Custos

APO06 Gerenciar Orçamento e Custos Área: Gestão
Gerenciar as atividades financeiras relacionadas à tecnologia, tanto nas áreas de negócios quanto em TI, abrangendo orçamento, custos,
investimentos, despesas e benefícios. Adicionalmente, realizar priorização dos gastos por meio do uso de práticas formais de orçamento, e de
um sistema justo de alocação de custos. Consultar as partes interessadas para identificar, controlar os custos totais e benefícios no contexto
dos planos estratégicos e táticos de TI, e iniciar ações corretivas quando necessário.
Adotar parceria entre TI e as partes interessadas da Organização para permitir o uso eficaz e eficiente dos recursos de TI, e permitir
transparência e prestação de contas sobre custo e valor gerado pelas soluções e serviços ao negócio. Possibilitar à Organização a tomada de
decisões utilizando informações reais e úteis sobre o uso de soluções e serviços de TI.

05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual de investimentos de TI onde a realização de benefícios é
serviços monitorada por todo seu ciclo de vida econômico
realizados
 Percentual de investimento de TI onde os benefícios planejados são
atingidos ou excedidos
06 Transparência dos custos, benefícios e riscos de TI  Percentual de business cases de investimento com definição e
aprovação clara dos custos e benefícios relacionados com TI
 Pesquisa de Satisfação com principais partes interessadas com
relação ao nível de transparência, entendimento e precisão das
informações financeiras de TI
01 Um orçamento completo e transparente para TI reflete de  Número de mudanças no orçamento devido a omissões e erros
forma precisa os gastos planejados  Número de desvios entre as categorias de orçamento planejadas e
reais
02 A alocação de recursos de TI para iniciativas de TI é priorizada  Percentual de alinhamento dos recursos de TI com iniciativas
com base nas necessidades da empresa altamente prioritárias
 Número de problemas de alocação de recursos escalados
03 Os custos para os serviços são alocados de forma equitativa  Percentual de custos gerais de TI que são alocados de acordo com os
modelos de custos acordados
04 Os orçamentos podem ser comparados de forma precisa com  Percentual de variação entre orçamentos, previsões e custos reais
os custos reais
82
CAPÍTULO 5
APO06 TABELA RACI

APO06 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO06.01 Gerenciar finanças e
A C C C R C C R
contabilidade
APO06.02 Priorizar a alocação de
I R C C C I C C I A I C C R C C
Recursos
APO06.03 Criar e manter orçamentos I A C C C C C C R C C C R C C C
APO06.04 Modelar e alocar custos C C C C C C C A C C C R C C
APO06.05 Gerenciar custos R C C C C C C A C C C R C C
APO06.01 Gerenciar finanças e contabilidade De Descrição Descrição Para
Estabelecer e manter um método para contabilizar todos os BAI09.01  Registro do ativo  Processos contábeis Interno
custos, investimentos e depreciações relacionados a TI, como
 Modelo de Interno
parte integral do sistema financeiro corporativo e plano de
classificação dos
contas, permitindo a gestão dos custos e investimentos de TI.
custos de TI
Capturar e alocar os custos reais, analisar as variações entre as
previsões e as realizações, e realizar o reporte utilizando os  Práticas de Interno
sistemas de acompanhamento financeiro da empresa. planejamento
financeiro
Atividades
01 Definir processos, entradas e saídas, e responsabilidades em alinhamento com as políticas e abordagem corporativas de definição
de orçamento e alocação de custos, para direcionar de forma sistemática o orçamento e os custos de TI; possibilitar uma
estimativa dos custos e benefícios de TI justa, transparente, repetitiva e comparável para servir de insumo ao portfólio de
programas de negócio habilitados por TI; e garantir que os orçamentos e custos sejam mantidos no portfólio de ativos e serviços
de TI.
02 Definir um esquema de classificação para identificar todos os elementos de custos relacionados a TI, como eles são alocados entre
os orçamentos e serviços, e como eles são capturados.
03 Usar Informação financeira e do portfólio para fornecer insumos aos business cases para novos investimentos em ativos e serviços
de TI.
04 Definir como analisar, reportar (a quem e como), e usar os processos de controle de orçamento e gestão de benefícios.
05 Estabelecer e manter práticas para planejamento financeiro, gestão de investimentos e tomada de decisões, e otimização de
custos operacionais recorrentes para entregar o máximo de valor para a empresa ao mesmo tempo em que gera menores gastos.
83

APO06.02 Priorizar a Alocação de Recursos De Descrição Descrição Para
Implementar um processo de tomada de decisões para priorizar a EDM02.01  Avaliação dos  Priorização e APO05.01
alocação de recursos, e estabelecer regras para a realização de portfolios de classificação de
investimentos arbitrários pelas unidades de negócios. Incluir o investimentos e iniciativas de TI
uso potencial de prestadores de serviços externos e considerar as serviços
opções de comprar, desenvolver internamente ou alugar recursos EDM02.03  Ações para aprimorar  Alocações de APO02.05
a entrega de valor orçamento APO05.03
APO04.04  Escopo da prova de APO07.05
conceito e esboço do BAI03.11
business case
APO05.02  Expectativas sobre o

retorno de
investimentos
APO05.03  Avaliações do
business case
 Business case do
programa
Atividades
01 Estabelecer um órgão de decisão para a priorização de recursos de negócios e de TI, incluindo o uso de prestadores de serviços
externos no âmbito de alocações orçamentárias de alto nível para os programas de ativação da TI, serviços de TI e ativos de TI,
conforme estabelecido pelos planos estratégicos e táticos. Considere as opções para a compra ou o desenvolvimento de ativos
capitalizados e serviços versus ativos utilizados externamente e serviços baseados em pagamento por utilização.
02 Classifique todas as iniciativas de TI baseando em casos de negócios e planos estratégicos e táticos, e em procedimentos
estabelecidos para determinar as alocações orçamentárias e de corte. Estabelecer um procedimento para comunicar as decisões
orçamentárias e revisar com os responsáveis pelo orçamento da unidade de negócios.
03 Identificar, comunicar e resolver impactos significativos das decisões orçamentárias sobre casos de negócios, carteiras e dos
planos estratégicos (por exemplo, quando os orçamentos podem requerer a revisão devido a mudanças da situação econômica da
empresa, quando elas não são suficientes para apoiar os objetivos estratégicos ou objetivos de negócios).
04 Obter a ratificação do comitê executivo para todas as mudanças do orçamento de TI que impactam negativamente nos planos
estratégicos ou táticos da organização e oferecer ações para resolver os respectivos impactos.
APO 06.03 Criar e manter orçamentos. De Descrição Descrição Para
Preparar um orçamento, que reflita as prioridades de  Orçamento de TI plano APO02.05
investimento que apoiam os objetivos estratégicos, baseado no APO05.03
portfólio de TI, programas aprovados e serviços de TI. APO07.01
BAI03.11
 Comunicações de APO02.05
orçamento APO05.03
APO07.01
BAI03.11
Atividades
01 Implementar um orçamento de TI formal, incluindo todos os programas aprovados, custos de TI, serviços de TI e ativos de TI
direcionados pela estratégia, programas e portfólios.
02 Quando criar o orçamento, considere os seguintes componentes:
Alinhamento com o negócio
Alinhamento com a estratégia de suprimentos
Fontes autorizadas de financiamento
Custos de recursos internos, incluindo quadro de funcionários, ativos de informação e acomodações
Custos de terceiros, incluindo contratos de outsourcing, consultores e prestadores de serviço
Despesas de capital e operacional
Elementos de custos que dependem da carga de trabalho
03 Formalizar os motivos para justificar as contingências e revisá‐los regularmente.
04 Processo de instruções, serviços e programas proprietários, bem como gerentes de projeto e de ativos, para planejamento de
orçamentos.
05 Revisar os planos de orçamento e tomadas de decisões sobre as alocações de orçamento. Consolidar e ajustar o orçamento com
base na evolução das necessidades da empresa e considerações financeiras.
06 Registrar, manter e comunicar o orçamento de TI atual, incluindo as despesas aprovadas, as despesas atuais, considerando
projetos de TI registrados nos portfólios de investimento de TI, na operação e manutenção do portfólio dos ativos e serviços.
07 Monitorar a eficácia dos diferentes aspectos do orçamento e utilização dos resultados para implementar melhorias para garantir
que os futuros orçamentos sejam mais precisos, confiáveis e de baixo custo.
84
CAPÍTULO 5

APO 06.04 Modelo e alocação de custos. De Descrição Descrição Para
Estabelecer e utilizar um modelo de custos de TI baseado na  Custos de TI Interno
definição de serviço de custeio, garantindo que a alocação dos categorizados
custos de serviços seja identificável, mensurável e previsível, para
 Modelo de alocação Interno
incentivar o uso responsável dos recursos incluindo os fornecidos
de custos
pelos prestadores de serviços. Regularmente, revisar e aferir a
adequação do modelo de custo/estorno para manter sua  Comunicações de Interno
relevância e adequação à evolução das atividades de negócios e alocação de custo
de TI.  Procedimentos Interno
operacionais

Atividades
01 Categorizar todos os custos de TI de forma adequada, incluindo os custos relacionados aos prestadores de serviços, de acordo com
as práticas de contabilidade de gestão empresarial.
02 Analisar os catálogos de serviços para identificar serviços que estão sujeitos a estorno do usuário e aqueles que são serviços
compartilhados.
03 Definir e aprovar um modelo que:
Suporte o cálculo das taxas de estorno por serviço
Defina como os custos de TI serão calculados / cobrados
Seja caracterizada, onde e quando for o caso
Que está alinhado com o orçamento de TI
04 Criar um modelo de custo para ser transparente o suficiente e permitir que os usuários identifiquem a sua utilização e encargos
efetivos, e para permitir uma melhor previsibilidade dos custos de TI e utilização eficiente e eficaz dos recursos de TI.
05 Após revisão com os usuários dos departamentos, obter aprovação e comunicar as entradas e saídas do modelo de custeio de TI
para gestão de usuários dos departamentos.
06 Comunique as mudanças no modelo de custo/estorno com os donos dos processos corporativos.
APO 06.05 Gerenciar custos. De Descrição Descrição Para
Implementar um processo de gestão de custos comparando os EDM02.03  Feedback sobre  Método de coleta dos Interno
custos atuais com o orçamento. Os custos devem ser carteira e programa custos de dados
monitorizados e reportados e, no caso de desvios, o seu impacto, de desempenho
sobre os processos e serviços avaliados, deve ser identificado em
BAI01.02  Plano do programa  Método de Interno
tempo hábil.
de compreensão do consolidação de custos
benefício
BAI01.04  Registro do  Oportunidades de APO02.02
programa de otimização de custos
orçamento e
benefícios
BAI01.05  Monitoramento dos
resultados da
compreensão do
benefício
Atividades
01 Assegurar a devida autoridade e independência entre os donos do orçamento de TI e as pessoas que capturaram, analisam e
reportam as informações financeiras.
02 Estabelecer prazos para o funcionamento do processo de gestão de custos em linha com os requisitos de orçamento e
contabilidade.
03 Definir um método para levantamento dos dados relevantes para identificar desvios para:
 Controle de orçamento entre o real e o orçamento
 Gestão de benefícios de:
‐ Metas versus realizado para investimentos em soluções; possivelmente, expressa em termos de ROI, NPV ou IRR
‐ A tendência real do custo do serviço para otimização de custo dos serviços (por exemplo, definida como custo por usuário)
‐ Orçamento versus realizado para resposta e previsibilidade de melhorias de entrega de soluções
 Distribuição de custos entre custos diretos e indiretos (absorvida e não absorvida)
04 Definir como os custos são consolidados para os níveis adequados na organização e como eles serão apresentados para as partes
interessadas. Os relatórios fornecem informações que permitam identificação tempestiva de ações corretivas necessárias.
05 Instruir os responsáveis pela gestão de custos para captar, recolher e consolidar os dados, e relatar os dados para os donos do
orçamento. Em conjunto, analistas e donos de orçamento devem analisar desvios e comparar o desempenho de benchmarks
internos e da indústria. O resultado da análise fornece uma explicação de desvios significativos e as ações de correção.
85

06 Certificar que os responsáveis pela gestão revisam os resultados da análise e aprovam as ações corretivas sugeridas.
07 Alinhar os orçamentos e serviços de TI à infraestrutura de TI, processos corporativos e os donos que as utilizam.
08 Certificar que as mudanças na estrutura de custos e necessidades da organização são identificadas e orçamentos e previsões são
revistos, conforme necessário.
09 Em intervalos regulares, e especialmente quando os orçamentos são cortados devido a restrições financeiras, identificar métodos
de otimização de custos e introduzir ganhos de eficiência, sem comprometer os serviços.
ISO/IEC 20000 6.4 Orçamento e contabilização para serviços de TI
ITIL V3 2011 Estratégia de Serviços, 4.3 Gestão Financeira de serviços de TI
86
CAPÍTULO 5
APO07 Gerenciar Recursos Humanos

APO07 Gerenciar Recursos Humanos Área: Gestão
Proporcionar uma abordagem estruturada para garantir a estruturação ideal, colocação, direitos de decisão e as competências dos recursos
humanos. Isso inclui a comunicação dos papéis e responsabilidades definidas, aprendizagem e crescimento dos planos e expectativas de
desempenho, suportado por pessoas competentes e motivado.
Otimizar as capacidades dos recursos humanos para atenderem os objetivos da organização.

01 Alinhamento da estratégia de negócios e de TI  Porcentagem dos objetivos e necessidades estratégicas da
organização suportada por metas estratégicas de TI
 Porcentagem de direcionadores do valor da TI mapeada para os
direcionadores do valor do negócio
11 Otimização de ativos, recursos e capacidades de TI  Frequência da maturidade da capacidade e de avaliações de
otimização de custo
 Os níveis de satisfação dos executivos negócios e de TI estão
relacionados com os custos e capacidades da TI
13 Entrega de programas fornecendo benefícios, dentro do prazo,  Número de programas/projetos no prazo e dentro do orçamento
orçamento e atendendo requisitos  Porcentagem de partes interessadas satisfeitas com a qualidade do
programa/projeto
 Número de programas que necessitam de retrabalho devido a
problemas de qualidade
 Custo de manutenção da aplicação versus custo global de TI
16 Equipes de TI e de negócios motivadas e qualificadas  Porcentagem de funcionários cujas atuais habilidades relacionadas a
TI sejam suficientes para exercer o seu papel
 Porcentagem de funcionários satisfeitos com as suas funções
relacionadas a TI
 Número de horas de treinamento/formação, por funcionário
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de sensibilização dos executivos de negócio e compreensão
negócios das possibilidades de inovação da TI
 Nível de satisfação das partes interessadas, com os níveis de
especialização inovação e ideias da TI
 Número de ações aprovadas resultantes de ideias inovadoras de TI
01 A estrutura organizacional de TI e os relacionamentos são  Número de definições de serviço e catálogos de serviços
flexíveis e responsivos.  Nível de satisfação executiva com a gestão de tomada de decisões
 Número de decisões que não pôde ser resolvida no âmbito das
estruturas de gestão e foram escalonados para estruturas de
governança
02 Recursos humanos são eficazes e eficientemente gerenciados.  Porcentagem de rotatividade de funcionários
 Duração média de vagas
 Porcentagem de posições vagas
87
APO07 TABELA RACI

APO07 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO07.01 Manter pessoal adequado e
R I R A R R R R R R R
apropriado.
APO07.02 Identificar pessoal‐chave
R R A R R R R R R R
de TI.
APO07.03 Manter as habilidades e
R R A R R R R R R R
competências do pessoal.
APO07.04 Avaliar o desempenho do
R R A R R R R R R R
colaborador.
APO07.05 Planejar e controlar o uso
da TI e de recursos humanos do R C A R R I R R R R R R R R
negócio.
APO07.06 Gerenciar equipe contrato. R R A R R R R R R R
APO 07.01 Manter pessoal adequado e De Descrição Descrição Para
apropriado. EDM04.01  Plano de recursos  Avaliações de requisitos Interno
Avaliar as necessidades de pessoal em uma base aprovados de pessoal
regular ou em grandes mudanças operacionais, da  Guia de princípios para a
empresa ou dos ambientes de TI para garantir que a alocação de recursos e
empresa possua recursos humanos suficientes para capacidades
apoiar as metas e objetivos. O quadro de pessoal
EDM04.03  Ações corretivas para  Planos de Interno
deve incluir tanto recursos internos e externos.
resolver os desvios de desenvolvimento de
gestão de recursos competências e de
carreira
APO01.02  Definição de práticas de  Planos de suprimento Interno
supervisão pessoal
APO06.03  Comunicações
Orçamento
 Plano e orçamento de TI
Referência  Metas e objetivos da
externa ao organização
COBIT  Políticas e
procedimentos da área
de RH
Atividades
01 Avaliar as necessidades de funcionários em uma base regular ou a grandes mudanças para garantir que a:
 A função de TI possua recursos suficientes para suportar adequadamente e de forma apropriada as metas e objetivos da empresa
 A organização possui recursos suficientes para suportar adequadamente e de forma apropriada os processos de negócios e controles e
iniciativas habilitadas de TI
02 Manter o processo de recrutamento e retenção de funcionários de negócios e de TI em linha com as políticas e procedimentos de
recursos humanos da organização.
03 Incluir análise de antecedentes no processo de recrutamento de TI para funcionários, contratados e fornecedores. A extensão e
88
CAPÍTULO 5

frequência dos controles devem depender da sensibilidade e/ou criticidade da função.
04 Estabelecer mecanismos de recursos flexíveis para suportar mudanças das necessidades de negócios, tais como o uso de
transferências, contratações externas e combinação de serviços de terceiros.
05 Certificar a ocorrência de treinamento cruzado e existência de backup para o pessoal‐chave e reduzir o risco de dependência de
uma única pessoa.
APO 07.02 Identificar pessoas chave de TI. De Descrição Descrição Para
Identificar pessoas chave de TI, minimizando a  Lista de pessoal‐chave Interno
dependência de um único funcionário que exerça
uma função de trabalho crítica através da captura de

conhecimento (documentação), o compartilhamento
de conhecimento, planejamento de sucessão e
backup pessoal.
Atividades
01 Minimizar a dependência em um único indivíduo que executa uma função de trabalho crítica através da captura de conhecimento
(documentação), a compartilhamento de conhecimento, planejamento de sucessão, backup do pessoal, treinamento cruzado e
iniciativas de rotação de trabalho.
02 Como medida de segurança, fornecer orientações sobre um tempo mínimo de férias anuais a serem tomadas pelos indivíduos‐
chave.
03 Tomar medidas adequadas em relação às mudanças de emprego, especialmente em conclusões de trabalho.
04 Testar regularmente os planos de backup do pessoal.
APO 07.03 Manter as habilidades e De Descrição Descrição Para
competências do pessoal. EDM01.02  Abordagem do sistema  Matriz de habilidades e APO01.02
Definir e gerenciar as habilidades e competências de recompensa competências BAI01.02
necessárias do pessoal. Regularmente verificar se o BAI01.04
pessoal possui as competências para cumprir as suas EDM04.03  Ações corretivas para  Planos de EDM04.01
funções com base em sua educação, formação e/ou resolver os desvios de desenvolvimento de APO01.02
experiência, e verificar se essas competências estão gestão de recursos competências
sendo mantidas, usando a qualificação e programas
BAI08.03  Repositórios de  Relatórios de avaliação Interno
de certificação, quando apropriado. Fornecer aos
conhecimento
funcionários a aprendizagem e oportunidades para
publicados
manter seus conhecimentos, habilidades e
 Conscientização do
competências a um nível necessário para atingir os BAI08.04
objetivos empresariais em curso. conhecimento e
programa de
treinamento
DSS04.06  Resultados de
monitoramento de
habilidades e
competências
 Requisitos de
treinamento
Referência  Metas e objetivos
externa ao corporativos
COBIT
Atividades
01 Definir as habilidades e competências dos recursos internos e externos necessários e disponíveis atualmente para alcançar as
metas da organização, processo e de TI.
02 Fornecer plano de carreira formalizada e desenvolvimento profissional para incentivar o desenvolvimento de competências,
oportunidades de desenvolvimento pessoal e redução da dependência de pessoal‐chave.
03 Proporcionar acesso a bases de conhecimento para apoiar o desenvolvimento de habilidades e competências.
04 Identificar lacunas entre as competências necessárias e disponíveis e desenvolver planos de ação para resolvê‐las de forma
individualizada e coletiva, tais como a formação (competências técnicas e comportamentais), recrutamento, readaptação e
mudança estratégias de suprimentos.
05 Desenvolver e implementar programas de formação com base em requisitos organizacionais e de processos, incluindo os
requisitos para o conhecimento da organização, controles internos, conduta ética e segurança.
06 Realizar revisões periódicas para avaliar a evolução das habilidades e competências dos recursos internos e externos. Revisar o
planejamento de sucessão.
07 Revisar materiais de treinamento e programas em uma base regular para assegurar a adequação em relação às mudanças por
necessidades da organização e seu impacto sobre o conhecimento necessário, competências e habilidades.
89

APO 07.04 Avaliar o desempenho do empregado. De Descrição Descrição Para
Realizar avaliações de desempenho em tempo hábil EDM01.02  Abordagem sistema de  Metas pessoais Interno
em uma base regular em relação aos objetivos recompensa
individuais conforme os objetivos da organização, as
APO04.01  Programa de  Avaliações de Interno
normas estabelecidas, responsabilidades de
reconhecimento e desempenho
trabalho, e as habilidades e quadro de competências.
recompensa
Os funcionários devem receber treinamento sobre o
desempenho e conduzir, sempre que apropriado. BAI05.04  Alinhamento dos  Planos de melhoria Interno
objetivos de
desempenho de RH
BAI05.06  Resultados de avaliação
de desempenho de RH
DSS06.03  Atribuição dos direitos
de acesso
Referência  Metas e objetivos
externa ao corporativos
COBIT
Atividades
01 Considerar os objetivos funcionais/organização como contexto para a definição dos objetivos individuais.
02 Estabelecer metas individuais alinhadas com os objetivos relevantes, de modo que haja uma clara contribuição para os objetivos
de TI e da organização. Baseie as metas em objetivos SMART (específicos, mensuráveis, alcançáveis, relevantes e tempo limite)
que refletem as competências essenciais, os valores corporativos e habilidades exigidas para o papel(is).
03 Consolidar os resultados da avaliação de desempenho 360 graus.
04 Implementar e comunicar um processo disciplinar.
05 Fornecer instruções específicas para o uso e armazenamento de informações pessoais no processo de avaliação, em conformidade
com os dados pessoais aplicáveis e legislação trabalhista.
06 Fornecer feedback em tempo hábil sobre o desempenho em relação às metas do colaborador.
07 Implementar um processo de remuneração/reconhecimento de que recompensa o comprometimento adequado, o
desenvolvimento de competências e a realização bem sucedida de metas de desempenho. Certificar que o processo é aplicado de
forma consistente e em linha com as políticas organizacionais.
08 Desenvolver planos de melhoria de desempenho, com base nos resultados do processo de avaliação e identificar as necessidades
de formação e desenvolvimento de competências.
90
CAPÍTULO 5

APO 07.05 Planejar e controlar o uso da TI e De Descrição Descrição Para
recursos humanos de negócios. EDM04.02  Comunicação de  Inventário de recursos BAI01.04
Compreender e acompanhar a demanda atual e estratégias de obtenção humanos de negócios e
futura de recursos humanos de negócios e de TI com de recursos TI
responsabilidades na TI corporativa. Identificar as
EDM04.03  Comentários sobre  Análise do déficit de BAI01.06
deficiências e contribuir em planos de fornecimento,
alocação e eficácia dos suprimentos
planos de contratação de empresas e recursos de TI
e de processos de recrutamento do negócio e TI.
APO06.02  Alocações  Registros de utilização BAI01.06
orçamentárias de recursos

BAI01.04  Necessidades de
recursos e funções
BAI01.12  Requisitos de recursos
do projeto
Referência  Estrutura de
externa ao organização empresarial
COBIT
Atividades
01 Criar e manter um inventário dos recursos humanos de negócios e de TI.
02 Compreender a demanda atual e futura de recursos humanos para apoiar a realização dos objetivos de TI e fornecer serviços e
soluções baseados na carteira de atual de iniciativas relacionadas com a TI, às futuras necessidades operacionais carteira de
investimentos e do dia‐a‐dia.
03 Identificar lacunas e contribuir para manter o plano, bem como a organização e processo de recrutamento de TI. Criar e rever o
plano de pessoal, mantendo o controle de uso real.

APO 07.06 Gerenciar colaboradores contratados. De Descrição Descrição Para
Certificar de que os consultores e pessoal contratado BAI01.04  Necessidades de  Políticas de pessoal Interno
que apoia a empresa possuam habilidades e recursos e funções contrato
conhecimento de TI e respeita as políticas da
BAI01.12  Requisitos de recursos  Acordos contratuais Interno
organização e concordou com as exigências
do projeto
contratuais.
BAI01.14  Comunicação do  Revisões do contrato Interno
programa de
aposentadoria e
prestação de contas em
curso
Atividades
01 Implementar políticas e procedimentos que descrevem quando, como e que tipo de trabalho pode ser realizado ou acrescentado
por consultores e/ou contratados, de acordo com a política de compras e a estrutura de gestão de TI.
02 Obter acordo formal dos fornecedores no início do contrato que eles são obrigados a cumprir com a estrutura de gestão de TI da
organização, tais como políticas de segurança, física e controle de acesso lógico, uso de instalações, os requisitos de
confidencialidade da informação, e acordos de não divulgação.
03 Os contratantes informam que a gestão reserva‐se o direito de monitorar e fiscalizar todo o uso dos recursos de TI, incluindo e‐
mail, comunicações de voz, e todos os programas e arquivos de dados.
04 Prover aos fornecedores uma definição clara de seus papéis e responsabilidades, como parte de seus contratos, incluindo os
requisitos explícitos para documentar o seu trabalho de acordo com padrões e formatos.
05 Revisar contratos de trabalho e basear a aprovação de pagamentos sobre os resultados.
06 Definir todo o trabalho realizado por terceiros em contratos formais e não ambíguos.
07 Realizar revisões periódicas para garantir que o pessoal contratado assinou e concordou com todos os acordos necessários.
08 Conduzir revisões periódicas para garantir que os papéis dos contratados e direitos de acesso são adequados e em conformidade
com os acordos.
ISO/IEC 27002 08 Recursos Humanos de Segurança
SFIA Referência de habilidades
91
APO08 Gerenciar Relacionamentos

APO08 Gerenciar Relacionamentos Área: Gestão
Gerenciar o relacionamento entre o negócio e TI de uma maneira formal e transparente, que garanta um foco em alcançar um objetivo
comum e compartilhado dos resultados corporativos bem‐sucedidos em apoio de metas estratégicas e dentro da limitação de orçamentos e
tolerância ao risco. Basear as relações na confiança mútua, usando termos abertos e compreensíveis e de linguagem comum e com
propriedade e responsabilidade para decisões fundamentais.
Otimizar as capacidades dos recursos humanos para atenderem os objetivos da organização.

01 Alinhamento da estratégia de negócios e de TI  Porcentagem de requisitos e metas estratégicas da organização
apoiada por metas estratégicas de TI
 Porcentagem de direcionadores de valor de TI mapeada para
07 Prestação de serviços de TI em consonância com os requisitos  Número de interrupções no negócio devido aos incidentes de
de negócio serviço de TI
 Porcentagem de partes interessadas do negócio satisfeito onde a
entrega de serviços atende os níveis de serviço acordados
 Porcentagem de usuários satisfeitos com a qualidade da prestação
de serviços de TI
12 Capacitação e apoio aos processos de negócios através da  Número de incidentes de processamento do negócio causado por
integração de aplicativos e tecnologia erros de integração de tecnologia
 Número de mudanças do processo de negócio que precisam ser
atrasadas ou reformuladas por causa de problemas de integração de
tecnologia
 Número de programas de negócios atrasados ou ocorrência de
custos adicionais devido a questões de integração tecnológica
 Número de pedidos de infraestrutura crítica que operam em silos e
não integrado
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de conscientização executiva de negócios e compreensão da TI
negócios possibilita a inovação
 Nível de satisfação das partes interessadas com os níveis de
especialização da inovação e de ideias de TI
 Número de iniciativas aprovadas resultantes de ideias inovadoras de
TI
01 Estratégias de negócios, planos e requisitos são bem  Porcentagem de alinhamento dos serviços de TI com requisitos de
compreendidos, documentadas e aprovadas. negócios da organização
02 Existência de boas relações entre a organização e TI.  As pesquisas de satisfação classificam os usuários e o pessoal de TI
03 As partes interessadas de negócio estão cientes das  Pesquisa de conscientização do nível tecnológico das partes
oportunidades habilitadas por tecnologia. interessadas de negócio
 Taxa de Inclusão de oportunidades tecnológicas em propostas de
investimento
92
CAPÍTULO 5
APO08 TABELA RACI

APO08 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO 08.01
Compreender as expectativas de C C C C R C C C C C A C R R C R R R
negócios.
APO 08.02
Identificar oportunidades, riscos e
I I I R R C I C C A R R R R
limitações para a TI para melhorar o
negócio.
APO 08.03
Administrar o relacionamento C C C R R I A R R R
comercial.
APO 08.04
R I R R R I A R R R
Coordenar e comunicar.
APO 08.05
Contribuir para a melhoria contínua C I C R I C C C A C R R R C C
dos serviços.
APO08.01 Entender expectativas de negócios. De Descrição Descrição Para
Compreende questões de negócios atuais e objetivos e APO02.05  Roteiro  Expectativas de negócios esclarecidas e Interno
expectativas de negócios para TI. Assegura que Estratégico acordadas
requisitos foram compreendidos, geridos e
comunicados, e seu status acordado e aprovado.
Atividades
01 Identificar as partes interessadas do negócio, seus interesses e das suas responsabilidades.
02 Rever o atual direcionamento da empresa, problemas, objetivos estratégicos e alinhamento com arquitetura corporativa.
03 Manter uma tomada de consciência de processos de negócios e atividades conexas e compreender os padrões de demanda que se
relacionam com volumes e uso de serviço.
04 Clarificar as expectativas de negócios para soluções e serviços de TI e assegurar que os requisitos são definidos com critérios de
aceitação de negócios associados e métricas.
05 Confirmar expectativa do acordo de negócios, os critérios de aceitação e métricas em partes relevantes para IT por todas as partes
interessadas.
06 Gerencie expectativas, garantindo que as unidades de negócios entendem as prioridades, as dependências, as restrições
financeiras e a necessidade de agendar requisições.
07 Compreender o ambiente de negócios atual, restrições de processo ou questões, expansão geográfica ou contração e
direcionadores de indústria/normativos.
93

APO08.02 identificar oportunidades, riscos e restrições De Descrição Descrição Para
em IT para que possa melhorar o negócio. APO09.01  Identificação de gaps em  Próximos passos e Interno
Identificar oportunidades para que seja um habilitador do de serviços de TI para o planos de ação
avançado desempenho empresarial. negócio acordados
APO09.04  Melhoria em planos de
ação e remediações
 Relatórios de
desempenho de nível de
serviço
APO11.05  Causas de falhas de
entrega de qualidade
Atividades
01 Compreender as tendências de tecnologia e novas tecnologias e como estas podem ser aplicadas de forma inovadora para
melhorar o desempenho do processo de negócios.
02 Desempenhar um papel proativo na identificação e comunicando‐se com as principais partes interessadas em oportunidades,
riscos e restrições. Isso inclui tecnologias atuais e emergentes, serviços e modelos de processo de negócios.
03 Colaborar em concordar sobre os passos seguintes para grandes novas iniciativas em conjunto com gestão de portfólio, incluindo
desenvolvimento de casos de negócio (business cases).
04 Certificar‐se que a empresa e a TI entendem e apreciam os objetivos estratégicos e a visão da arquitetura corporativa.
05 Coordenar ao planejar novas iniciativas para garantir a integração e o alinhamento com a arquitetura corporativa
APO08.03 Gerenciar a relação de negócios. Gerenciar o De Descrição Descrição Para
relacionamento com clientes (representantes DSS02.02  Incidentes e solicitações  Decisões chave Interno
comerciais). de serviço classificados e alinhadas
Assegurar que papéis de relacionamento e suas hierarquizados
responsabilidades são definidas e atribuídas e a comunicação DSS02.06  Confirmação de usuários  Status de denúncia e Interno
é facilitada. de cumprimento ou escalonamento
resolução satisfatórios
 Incidentes e requisição de
serviços fechados
DSS02.07  Request fulfilment status
and trends report
 Relatório de tendências e
status de incidente
Atividades
01 Atribuir um gerente de relacionamento como um único ponto de contato para cada unidade de negócios significativa. Certifique‐
se que uma única contraparte é identificada na organização empresarial e a contraparte tem compreensão do negócio, suficiente
consciência da tecnologia e o nível apropriado de autoridade.
02 Gerenciar a relação de maneira formalizada e transparente que garante foco em atingir um objetivo comum e compartilhado dos
resultados de sucesso empresarial para apoiar os objetivos estratégicos e dentro da restrição de orçamentos e tolerância ao risco.
03 Definir e comunicar um procedimento de reclamações e escalonamento para resolver quaisquer problemas de relacionamento.
04 Planejar interações específicas e horários com base em objetivos mutuamente acordados e linguagem comum (reuniões de
revisão de serviço e desempenho, revisão de novas estratégias ou planos, etc.).
05 Garantir que decisões chave sejam alinhadas em e aprovadas pelas partes interessadas responsáveis.
APO08.04 coordenar e comunicar. De Descrição Descrição Para
Trabalhar com as partes interessadas e coordenar entrega de APO09.03  SLAs  Plano de Interno
serviços de TI ponta a ponta e soluções fornecidas para os Comunicação
negócios
APO12.06  Comunicação de impacto  Pacotes de Interno
de risco comunicação
BAI05.05  Plano de uso e operação  Respostas do cliente Interno
BAI07.07  Plano de suporte
suplementar
BAI09.02  Comunicações de
inatividade de
manutenção planejada
DSS03.04  Comunicação do
conhecimento aprendido
94
CAPÍTULO 5

Atividades
01 Coordenar e comunicar alterações e atividades como projetos de transição ou mudança de planos, horários, condições de
lançamento, erros de versão conhecidos e treinamento de conscientização.
02 Coordenar e comunicar as atividades operacionais, funções e responsabilidades, incluindo a definição dos tipos de solicitação,
escalonamento hierárquico, grandes paralisações (planejados e não planejados) e conteúdo e a frequência dos relatórios de
serviço.
03 Apropriar‐se da resposta ao negócio para grandes eventos que possam influenciar a relação com o negócio. Providenciar Apoio
direto se necessário.
04 Manter um plano de comunicação ponta a ponta que define o conteúdo, frequência e os destinatários das informações de entrega
do serviço, incluindo o status de valor entregado e qualquer risco identificado.

APO08.05 Fornecer a entrada para a melhoria contínua De Descrição Descrição Para
dos serviços. APO09.02 Catálogo de serviço Análises de satisfação APO09.04
Continually improve and evolve IT‐enabled services and
APO11.03  Resultados de avaliação  Definição de APO02.02
service delivery to the enterprise to align with changing
da qualidade do serviço, potenciais projetos BAI03.11
enterprise and technology requirements.
incluindo o feedback dos de melhoria
clientes
 Exigências do cliente para
gestão da qualidade
APO11.04  Resultados de avaliações
de qualidade e auditorias
APO11.05  Resultados da solução e
monitoramento da
qualidade de entrega do
serviço
BAI03.10  Plano de manutenção
BAI05.05  Resultados e medidas de
sucesso
BAI07.07  Plano de suporte
suplementar
Atividades
01 Realizar análise de satisfação do cliente e fornecedor. Certificar que questões são acionadas e relatam os resultados e o status.
02 Trabalhar em conjunto para identificar, comunicar e implementar iniciativas de melhoria.
03 Trabalhar com gestão de serviços e processo proprietários para assegurar que os serviços habilitados e processos de gestão de
serviços são continuamente melhorados e as causas de problemas são identificadas e resolvidas.
ISO/IEC 20000 7.2 Gestão de relacionamento de negócios
ITIL V3 2011 Estratégia de serviço, 4.4 Gerenciamento da demanda
Estratégia de serviço, 4.5 Gestão de relacionamento de negócios
95
APO09 Gerenciar Contratos de Prestação de Serviços

APO09 Gerenciar Contratos de Prestação de Serviços Área: Gestão
Alinhar serviços de TI e níveis de serviço com a empresa às necessidades e expectativas, incluindo identificação, especificação, projeto,
publicação, acordo e monitoramento de serviços de TI, os níveis de serviço e indicadores de desempenho.
Assegurar que os serviços de TI e os níveis de serviço se adequem às demandas atuais e futuras da empresa.
07 Prestação de serviços de TI em consonância com os requisitos  Número de interrupções de negócios devido a incidentes de serviço
de negócio  % De partes interessadas satisfeitos que entrega de serviços atende

os níveis de serviço acordado
 % De usuários satisfeitos com a qualidade da prestação de serviços
IT
14 Disponibilidade de informações úteis e confiáveis para a  Nível de satisfação dos usuários de negócios com qualidade e
tomada de decisão pontualidade
 (ou disponibilidade) de informações de gestão
 Número de incidentes de processo de negócio causadas pela não
disponibilidade de informações
 Proporção e extensão das decisões errôneas negócios onde
informações erradas ou indisponíveis foi fator‐chave
01 A empresa poder efetivamente utilizar‐serviços conforme  Número de processos de negócios com contratos de serviço
definido em um catálogo. indefinido
02 Acordos de serviço refletem as necessidades da empresa e os  % De serviços de TI abrangidos por acordos de serviço
recursos da mesma.  % De clientes satisfeitos que a prestação de serviços atende níveis
pré‐acordados
03 Serviços de TI executados tal como estipulado nos acordos de  Número e a gravidade das brechas de serviço
serviço.  % De serviços sendo monitorados nos níveis de serviço
 % De metas de serviço sendo atendidas
96
CAPÍTULO 5
APO09 TABELA RACI

APO09 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO09.01
C R R R C I I I R I C C C A I I
Identificando serviços de TI
APO09.02
I I I I I R I C C C A I I
Catálogo de serviços de TI
APO09.03
R C C C C C R C R R A C C
Preparar e definir acordos de serviço
APO09.04
I I I R C I I I I A
Monitorar e reportar níveis de serviço
APO09.05
A C C C C C R C R R R C C I
Revisar contratos e acordo de serviços
APO09.01 Identificar serviços de ti.
Analisar as necessidades dos negócios e a maneira
 Identificação de gaps APO02.02
em que Serviços de TI e níveis de serviço de
em serviços de TI para o APO05.03
suportam processos de negócios. Discutir e
negócio APO08.02
concordar sobre os potenciais serviços e níveis de
serviço com o negócio e compará‐los com o atual  Definições de serviços APO05.01
portfólio de serviços para identificar serviços novos padrão
ou alterados ou opções de nível de serviço.
Atividades
01 Avaliar níveis de serviço atuais para identificar gaps entre os serviços existentes e as atividades de negócios que sustentam
serviço. Identificar áreas de melhoria dos serviços existentes e opções de nível de serviço.
02 Analisar, estudar e estimar a demanda futura e confirmar a capacidade dos serviços habilitados existentes.
03 Analisar as atividades do processo de negócios para identificar a necessidade de novos ou redesenhados serviços de TI.
04 Comparar requisitos identificados de componentes de serviço existentes no portfolio. Se possível, empacotar componentes de
serviço existentes (serviços, opções de nível de serviço e pacotes de serviços) em novos pacotes de serviço para atender requisitos
de negócios identificados.
05 Sempre que possível, corresponder as demandas para os pacotes de serviços e criar serviços normalizados para obter eficiência
geral.
06 Regularmente rever o portfólio de serviços de ti com gerenciamento de portfólio e gestão de relacionamento de negócios para
identificar os serviços obsoletos. Acordar sobre retiradas e propor mudanças.
APO09.02 Catálogo de serviços de TI De Descrição Descrição Para
Definir e manter um ou mais catálogos de serviço EDM04.01  Plano de recursos  Catálogo de serviços APO08.05
para grupos‐alvo relevantes. Publicar e manter vivo aprovado
oCatálogos de serviços de TI EDM04.02  Comunicação de
estratégias de criação de
recursos
APO05.05  Portfolio de programas,
serviços e bens
atualizado.
97

Atividades
01 Publicar em catálogos relevantes serviços de TI, pacotes de serviços e opções de nível de serviço do portfolio.
02 Continuamente, certificar‐se de que os componentes de serviço em portfolio e os catálogos de serviços relacionados são
completos e atualizados.
03 Informe a gestão de relacionamento de negócios de quaisquer atualizações para os catálogos de serviço.
APO09.03 Definir e preparar os contratos de serviço. De Descrição Descrição Para
Definir e preparar os contratos de serviço com base APO11.03  Exigências do cliente  SLAs APO05.03
em opções no serviço de catálogos. Incluir acordos para a gestão da APO08.04
operacionais internos. qualidade DSS01.02
BAI03.02  Revisões de SLA e OLA DSS02.01

DSS02.02
DSS04.01
DSS05.02
DSS05.03
 OLAs DSS01.02
DSS02.07
DSS04.03
DSS05.03
Atividades
01 Análise de requisitos para atualizações ou novos acordos de serviços recebidos pela gestão de relacionamento de negócios para
garantir que as condições possam ser acertadas. Considere aspectos, tais como tempo de serviço, disponibilidade, desempenho,
capacidade, segurança, continuidade, conformidade e questões regulatórias, usabilidade e restrições de demanda.
02 Esboçar acordos de serviços para o cliente baseados em serviços, pacotes de serviço, opções de níveis de serviço em catálogos de
serviço relevantes.
03 Determinar, alinhar e documentar acordos operacionais internos para sustentar os acordos de serviço ao cliente, se aplicável.
04 Colaborar com a gestão de fornecedores para garantir que contratos comerciais sejam adequados com prestadores de serviços
externos e sustentem os acordos de serviço ao cliente, se aplicável.
05 Finalizar acordos de serviço ao cliente com gestão de relacionamento de negócios.
98
CAPÍTULO 5

APO09.04 Monitorar e relatar os níveis de serviço. De Descrição Descrição Para
Monitorar os níveis de serviço, um relatório sobre as EDM04.03  Ações corretivas para  Relatórios de APO08.02
realizações e identificar tendências. Fornece as desvios de gestão de desempenho de nível de MEA01.03
informações apropriadas de gestão para auxiliar o recursos de endereço serviço
gerenciamento de desempenho. APO05.04  Relatórios de  Remediações e planos APO02.02
desempenho do de ação de melhoria APO08.02
portfolio de
investimento
APO05.06  Ações corretivas para
melhorar a realização do

benefício
 Resultados de benefício
e comunicações
relacionadas
APO08.05  Análises de satisfação
APO11.04  Resultados de
avaliações de qualidade
e auditorias
APO11.05  Causas de falhas de
entrega de qualidade
 Resultados de solução e
monitoramento de
qualidade de entrega de
serviço
DSS02.02  Solicitações de serviço
Classificadas e
hierarquizadas
incidentes
DSS02.06  Incidentes e solicitações
de serviço fechado
DSS02.07  Solicitação de
cumprimento status e
tendências relatório
 Relatório de situação e
tendências de incidente
Atividades
01 Estabelecer e manter medidas para monitorar e coletar dados de nível de serviço.
02 Avaliar o desempenho e fornecer relatórios regular e formalmente de execução de contrato de serviço, incluindo os desvios dos
valores acordados. Distribuir este relatório de gestão de relacionamento de negócios.
03 Realizar revisões periódicas para previsão e identificar tendências no desempenho de nível de serviço.
04 Fornecer as informações apropriadas de gestão para auxiliar o gerenciamento de desempenho.
05 Alinhar planos de ação e remediações para quaisquer problemas de desempenho ou tendências negativas.
APO09.05 Revisão de acordos de serviço e contratos. De Descrição Descrição Para
Realizar revisões periódicas dos acordos de serviço e EDM04.03  Feedback sobre a  Revisões de SLA Interno
revisar quando necessário. alocação e a eficácia dos
APO11.03  Resultados da qualidade
do serviço, incluindo o
feedback dos clientes
APO11.04  Resultados de
avaliações de qualidade
e auditorias
BAI04.01  Avaliações contra os
SLAs
Atividades
01 Regularmente rever contratos de serviço de acordo com as condições acordadas para garantir que eles são eficazes e até à data e
mudanças nas exigências, serviços habilitados, pacotes de serviços ou opções de nível de serviço são tidos em conta, quando
apropriado.
99

ISO/IEC 20000 5.0 planejar e implementando serviços novos ou alterados
6.1 Gerenciamentos de nível de serviço
ITIL V3 2011 Estratégia de Serviço, 4.4 Gerenciamento de Demandas.
Estratégia de Serviço, 4.2 Gerenciamento de Portfolio de Serviços.
Estratégia de Serviço, 4.2 Gerenciamento de Catálogo de Serviços.
Estratégia de Serviço, 4.3 Gerenciamento de Nível de Serviços.
100
CAPÍTULO 5
APO10 Gerenciar Fornecedores

APO10 Gerenciar Fornecedores Área: Gestão
Gerenciar serviços de TI prestados por todos os tipos de fornecedores para atender aos requerimentos da organização, incluindo a seleção de
fornecedores, gerenciamento dos relacionamentos, gerenciamento de contratos, e revisão e monitoramento do desempenho de
fornecedores para efetividade e conformidade.
Minimizar o risco associado a fornecedores com desempenho fraco e garantir preços competitvos.

04 Gestão de risco organizacional de TI  Percentual de processos críticos de negócios, serviços de TI e
programas de negócio habilitados por TI cobertos pela avaliação de
risco;
 Número de incidentes relevantes relacionados a TI que não foram
identificados na avaliação de risco;
 Percentual de avaliações de risco organizacional incluindo riscos
relacionados a TI;
07 Prestação de serviços de TI em consonância com os requisitos  Número de paradas de negócio ocasionadas por incidentes de TI;
de negócio  Percentual de partes interessadas do negócio satisfeitas com a
entrega de serviços atende os níveis de serviço acordados
 Percentual de usuários satisfeitos com a qualidade da entrega de
serviços de TI
09 Agilidade de TI  Nível de satisfação dos executivos de negócio com a capacidade de
resposta de TI a novos requisitos
 Número de processos de negócio críticos suportados pela
infraestrutura e aplicações atualizados
 Tempo médio para transformar objetivos de TI em iniciativas
01 Fornecedores desempenham conforme acordado  Percentual de fornecedores que atendem aos requisites acordados
02 Risco do fornecedor é avaliado e devidamente endereçado  Número de eventos de risco que levaram a incidentes de serviço
 Frequência das sessões de gerenciamento de risco com o fornecedor
 Percentual de incidentes de risco resolvidos de forma aceitável
(tempo e custo)
03 Relacionamento com os fornecedores está funcionando  Número de reuniões de revisão de fornecedores
efetivamente.  Número de disputas formais com fornecedores
 Percentual de disputas resolvidas amigavelmente em um intervalo
de tempo razoável
101
APO10 TABELA RACI

APO10 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO10.01
Identificar e avaliar o relacionamento C C C C C A C C C R C C C
com fornecedores e contratos.
APO10.02
C C C C C A C C C R C C C
Selecionar fornecedores.
Gerenciar relacionamento com
I C C C A C R R R C C C
fornecedores e contratos.
APO10.04
C R C C C A C R R C C C C
Gerenciar o risco de fornecedores
APO10.05
Monitorar o desempenho de I C C C C C A C R R C C C C
fornecedores e a conformidade.
APO10.01 Identificar e avaliar o De Descrição Descrição Para
relacionamento com fornecedores e contratos. Referência  Contratos do fornecedor  Relevância do Interno
Identificar fornecedores e contratos associados, e externa ao fornecedor e critério
categoriza‐los por tipo, relevância e criticidade. COBIT de avaliação
Estabelecer critérios de avaliação de fornecedores
 Catálogo de BAI02.02
e contratos e avaliar o portfólio geral de contratos
Fornecedores
e fornecedores existentes e alternativos.
 Potenciais revisões Interno
dos contratos de
fornecedor
Atividades
01 Estabelecer e manter critérios relacionados ao tipo, relevância e criticidade dos fornecedores e contratos, habilitando o foco nos
fornecedores prieferidos e importantes.
02 Estabelecer e manter fornecedores e critérios de avaliação de contrato para habilitar revisão generalizada e comparação do
desempenho dos fornecedores de maneira consistente.
03 Identificar, registrar e categorizar fornecedores existentes e contratos de acordo com critérios definidos para manter um registro
detalhado dos fornecedores preferidos que precisam ser gerenciados de forma cuidadosa.
04 tAvaliar periodicamente e comparar o desempenho dos fornecedores existentes e alternativos, para identificar oportunidades ou
uma necessidade atraente de reconsiderar os atuais contratos de fornecedores.
102
CAPÍTULO 5

APO10.02 Selecionar Fornecedores De Descrição Descrição Para
Selecionar fornecedores de acordo com uma BAI02.02  Plano de  Solicitação de BAI02.01
prática justa e formal, para garantir uma melhor aquisição/desenvolvimento de Informação do BAI02.02
adequação aos requisitos especificados. alto nível fornecedor (RFP)
 Avaliações de RFI e BAI02.02
RFP
 Resultados de decisão EDM04.01
da avaliação de BAI02.02
fornecedores

Atividades
01 Revisar todas as RFIs e RFPs para garantir que elas:
 Definem claramente os requisitos
 Incluem um procedimento para esclarecer os requisitos
 Concedem aos fornecedores tempo suficiente para prepararem suas propostas
 Definem claramente o critério de premiação e o processo decisório
02 Avaliar RFIs e RFPs de acordo com o processo/critério de avaliação aprovado, e manter a evidência documental das avaliações.
Verificar as referências dos candidatos a fornecedor.
03 Selecionar o fornecedor que melhor se adeque a RFP. Documentar e comunicar a decisão, e assinar o contrato.
04 No caso específico de aquisição de software, incluir e enfatizar os direitos e obrigações de todas as partes nos termos contratuais.
Esses direitos e obrigações podem incluir propriedade e licenciamento de propriedade intelectual, manutenção, garantias,
procedimentos arbitrais, termos de atualização e adequação para propósito, incluindo segurança, Garantia e direitos de acesso.
05 No caso específico de aquisição de desenvolvimento de recursos, incluir e enfatizar os direitos e obrigações de todas as partes nos
termos contratuais. Esses direitos e obrigações podem incluir propriedade e licenciamento de propriedade intelectual; adequação
para propósito, incluindo metodologias de desenvolvimento; testes; processos de gerenciamento de qualidade, incluindo critérios
de desempenho requeridos; revisão de desempenho; base para pagamento; garantias; processos de arbitragem; gerenciamento
de recursos humanos; e conformidade com as políticas da organização.
06 Obter aconselhamento legal para os acordos de aquisição de desenvolvimento de recursos, a respeito de propriedade e
licenciamento de propriedade intelectual.
07 No caso específico de aquisição de infraestrutura, instalações e serviços relacionados, incluir e enfatizar os direitos e obrigações de
todas as partes nos termos contratuais. Esses direitos e obrigações podem incluir níveis de serviço, procedimentos de
manutenção, controles de acesso, segurança, revisão de desempenho, base para pagamento e procedimentos de arbitragem.
APO10.03 Gerenciar relacionamentos e De Descrição Descrição Para
contratos com fornecedores. BAI03.04  Planos de aquiição aprovados  Papeis e Interno
Formalizar e gerenciar o relacionamento para cada responsabilidades do
fornecedor. Gerenciar, manter e monitorar fornecedor
contratos e entrega de serviços. Garantir que
 Comunicação e revisão Interno
contratos novos ou alterados atendam a padrões
de processo
da organização e requisitos legais e regulatórios.
Lidar com disputas contratuais.  Resultados e Interno
melhorias sugeridas
Atividades
01 Atribuir proprietários de relacionamento para todos os fornecedores e torna‐los prestadores de contas pela qualidade do serviço
prestado.
02 Especificar um processo de comunicação e revisão formal, incluindo interações com fornecedores e agenda.
03 Acordar, gerenciar, manter e renovar contratos formais com o fornecedor. Garantir que os contratos estão em conformidade com
os padrões da organização e requisitos legais e regulatórios.
04 Nos contratos com fornecedores de serviços chave, incluir provisões para revisão do local onde opera o fornecedor e práticas e
controles internos por gerenciamento ou terceiros independentes.
05 Avaliar a efetividade do relacionamento e identificar melhorias necessárias.
06 Definir, comunicar e acordar formas de implementar as melhorias requeridas para o relacionamento.
07 Utilizar procedimentos estabelecidos para lidar com disputas contratuais, usando primeiro, quando possível, relacionamentos
efetivos e comunicações para superar problemas de serviços.
08 Definir e formalizar papeis e responsabilidades para cada fornecedor de serviço. Onde há a combinação de vários fornecedores
para prover um serviço, considerar a adoção do papel de contratante principal para um dos fornecedores para assumir a
responsabilidade por um contrato geral.
103

APO 10.04 Gerenciar risco de fornecedores. De Descrição Descrição Para
Identificar e gerenciar o risco relacionado a APO12.04  Resultados das avaliações de  Risco de entrega do APO12.01
capacidade dos fonecedores de entregar serviços risco de terceiros fornecedor APO12.03
com segurança, eficiência e efetividade contínuas.  Relatórios de análise e perfil de identificado BAI01.01
risco para as partes  Requisitos contratuais Interno
interessadas para minimizar o risco
identificados
Atividades
01 Identificar, monitorar e, onde for apropriado, gerenciar o risco relacionado a capacidade dos fornecedores de entregar serviços de
forma eficiente, efetiva, segura e contínua.

02 Quando definir o contrato, prever o potencial risco de serviço através de requisitos de serviço claramente definidos, incluindo
acordo de Garantia de software, fornecedores alternativos ou acordos de prontidão para mitigar possíveis falhas do fornecedor;
segurança e proteção da propriedade intelectual, e qualquer requisito legal ou regulatório.
APO10.05 Monitorar o desempenho e De Descrição Descrição Para
conformidade do fornecedor  Critério de Interno
Revisar periodicamente o desempenho geral dos monitoramento de
fornecedores, conformidade com os requisitos conformidade do
contratuais, valor financieiro, e endereçar questões fornecedor
identificadas.
 Revisão dos resultados MEA01.03
do monitoramento de
conformidade do
fornecedor
Atividades
01 Definir e documentar os critérios para monitorar o desempenho do fornecedor, alinhado com os acordos de nível de serviço, e
garantir que o fornecedor reporta regularmente e de forma transparente com base nos critérios acordados.
02 Monitorar e revisar a entrega de serviços para garantir que o fornecedor está provendo uma qualidade aceitável de serviços,
atende os requisitos e está aderente às condições contratuais.
03 Revisar o desempenho do fornecedor e valor financeiro para garantir que eles são confiáveis e competitivos, comparados com
fornecedores alternativos e condições de mercado.
04 Solicitar revisões independents das práticas e controles internos do fornecedor, se necessário.
05 Registrar e avaliar resultados de revisão periódica, e discutir esses resultados com o fornecedor, para identificar necessidades e
oportunidades de melhoria.
06 Monitorar e avaliar externamente as informações disponíveis sobre o fornecedor.
ISO/IEC 20000 7.3 Gerenciamento de Fornecedores
ITIL V3 2011 Desenho de Serviço, 4.8 Gerenciamento de Fornecedores
Project Management Body of Processos de aquisição do PMBOK
Knowledge
(PMBOK)
104
CAPÍTULO 5
APO11 Gerenciar Qualidade

APO11 Gerenciar Qualidade Área: Gestão
Definir e comunucar os requisitos de qualidade em todos os processos, procedimentos e resultados relacionados da organização, incluindo
controles, monitoramento contínuo, e o uso de provas práticas e padrões na melhoria contínua e esforços de eficiência.
Garantir a entrega consistente de soluções e serviços para atender aos requisitos de qualidade da organização e satisfazer as necessidades
das partes interessadas.

05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual de investimentos habilitadores de TI, onde a realização
serviços do benefício é monitorada através de todo o ciclo econômico.
realizados
 Percentual dos investimentos habilitadores de TI onde os benefícios
afirmados foram atendidos ou excedidos
07 Prestação de serviços de TI em consonância com os requisitos  Número de paradas de negócio ocasionadas por incidentes de
de negócio serviço de TI
 Percentual de partes interessadas do negócio satisfeitas com a
entrega de serviço atingindo os níveis de serviço acordados
 Percentual de usuários satisfeitos com a qualidade da entrega do
serviço de TI
13 Entrega de programas fornecendo benefícios, dentro do prazo,  Número de programas/Projetos no prazo e dentro do orçamento
orçamento e atendendo requisitos  Percentual de partes interessadas satisfeitas com a qualidade dos
programas/projetos
 Número de programas que precisam de retrabalho significativo em
função de defeitos de qualidade
 Custo da manutenção de aplicações x custo total de TI
01 Partes Interessadas estão satisfeitas com a qualidade das  Taxa media de satisfação das partes interessadas com as soluções e
soluções e serviços serviços
 Percentual de partes interessadas satisfeitas com a qualidade de TI
 Número de serviços com um plano de gerenciamento de segurança
formal.
2.Resultados de Projetos e entrega de serviços são previsíveis  Percentual de Projetos revisados que atingem a meta e os objetivos
de qualidade
 Percentual de soluções e serviços entregues com certificação formal
 Número de defeitos antes da entrada em produção
03 Requisitos de qualidade estão implementados em todos os  Número de processos com um requisito de qualidade definido
processos.  Número de processos com um relatório formal de avaliação de
qualidade
 Número de SLA’s que incluem critérios de aceitação de qualidade
105
APO11 TABELA RACI

APO11 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO11.01
Estabelecer um Sistema de C A C I C I I C C C R C C I R R I I I
Gerenciamento de Qualidade (QMS).
APO11.02
Definir e gerenciar os padrões de C C R C R C C C A R R R R R R R R
qualidade, práticas e procedimentos.
APO11.03
Focalizar o gerenciamento da A R C I C C R I I I I R I I
qualidade nos clientes.
APO11.04
Realizar o monitoramento da C C R C R C R C C A C C C C R C C C
qulidade, controle e revisões.
APO11.05
Integrar gerenciamento da qualidade
C C I A C R R R
nas soluções para desenvolvimento e
entrega de serviços.
APO11.06
C R C R C C A R R R R R R R
Manter a melhoria continua.
APO11.01 Estabelecer um Sistema de De Descrição Descrição Para
gerenciamento de qualidade (SGQ). Referência  Sistema de qualidade  Papéis, APO01.02
Estabelecer e manter um SGQ que fornece uma externa ao corporativo responsabilidades e DSS06.03
abordagem padrão, formal e continua do COBIT direitos de decisão do
gerenciamento de qualidade para informação, SGQ
habilitando tecnologia e processos de negócio que
 Planos de BAI01.09
estão alinhados com os requisitos de negócio e
gerenciamento da
gerenciamento de qualidade da organização.
qualidade
 Resultados da BAI03.06
efetividade da revisão
do SGQ
106
CAPÍTULO 5

Atividades
01 Garantir que o framework de controle de TI e os processos de TI e negócio incluem um padrão, abordagem contínua e formal para
o gerenciamento da qualidade que está alinhado com os requisitos da organização. No framework de controle de TI e nos
processos de TI e negócio, identificar requisitos de qualidade e critérios (ex.: baseado em requisitos legais e requisitos dos
clientes).
02 Definir papéis, tarefas, direitos decisórios e responsabilidades para o gerenciamento da qualidade na estrutura organizacional.
03 Definir planos de gerenciamento de qualidade para processos importantes, Projetos ou objetivos alinhados com os critérios e
políticas de gerenciamento de qualidade da organização. Registrar dados de qualidade.
04 Monitorar e medir a efetividade e a aceitação do gerenciamento da qualidade, e melhora‐los quando necessário.
05 Alinhar o gerenciamento da qualidade de TI com o Sistema de qualidade da organização, para incentivar uma abordagem contínua

e padronizada para a qualidade.
06 Obter informações da gestão e das partes interessadas internas e externas sobre a definição dos requisitos de qualidade e critérios
de gerenciamento de qualidade.
07 Comunicar efetivamente a abordagem (e.x.: através de programas de treinamento de qualidade formais e regulares).
08 Revisar regularmente a continuidade da relevância, eficiência e efetividade dos processos específicos de gerenciamento da
qualidade. Monitorar o alcance dos objetivos de qualidade.
APO11.02 Definir e gerenciar os padrões de De Descrição Descrição Para
qualidade, práticas e procedimentos. BAI02.04  Revisões de qualidade  Padrões de Todos APO
Identificar e manter requisitos, padrões, aprovadas gerenciamento de Todos BAI
procedimentos e práticas para processos‐chave, para qualidade Todos DSS
Referência  Boas práticas do
guiar a organização no alcance do propósito do Todos MEA
externa ao segmento
sistema de gerenciamento da qualidade acordado.
COBIT  Certificações de
qualidade disponíveis
Atividades
01 Definir os padrões de gerenciamento de qualidade, práticas e procedimentos, alinhados com os requisitos do framework de
controle de TI. Utilizar as boas práticas do segmento na melhoria e ajuste das práticas de qualidade da organização.
02 Considerar os benefícios e custos das certificações de qualidade.
APO11.03 Focalizar o gerenciamento da De Descrição Descrição Para
qualidade nos clientes. Referência  Requisitos de qualidade  Requisitos dos clientes APO08.05
Direcionar o gerenciamento da qualidade para os externa ao dos clientes e do para o gerenciamento APO09.03
clientes, para determinar seus requisitos e garantir COBIT negócio da qualidade BAI01.09
alinhamento com as práticas de gerenciamento da
 Critérios de aceitação BAI02.01
qualidade.
BAI02.02
 Revisão dos resultados APO08.05
da qualidade do serviço, APO09.05
incluindo o retorno dos BAI05.01
clientes BAI07.07
Atividades
01 Direcionar o gerenciamento da qualidade para os clientes, para determinar seus requisitos internos e externos e garantir
alinhamento com os padrões e práticas de gerenciamento da qualidade. Definir e comunicar papeis e responsabilidades no que
tange a resolução de conflitos entre o usuário/cliente e a organização de TI.
02 Gerenciar as necessidades e expectativas do negócio para cada processo de negócio, serviço operacional de TI e novas soluções, e
manter seu critério de aceitação de qualidade. Coletar os critérios de aceitação de qualidade para inclusão nos Acordos de Níveis
de Serviço (SLAs).
03 Comunicar os requisitos e expectativas dos clientes ao longo do negócio e da organização de TI.
04 Obter periodicamente a visão dos clientes sobre os processos de negócio e provisionamento de serviços e entrega de soluções de
TI, para determinar o impacto sobre padrões e práticas de TO, e garantir que as expectativas do cliente são atingidas e postas em
prática.
05 Monitorar e revisar regularmente os critérios de aceitação acordados do Sistema de gerenciamento da qualidade. Incluir feedback
dos clientes, usuários e gestão. Responder a discrepâncias na revisão dos resultados para melhorar continuamente o SGQ.
06 Coletar o critério de aceitação da qualidade para inclusão nos Acordos de Níveis de Serviço (SLAs).
107

APO11.04 Realizar o monitoramento, controle e De Descrição Descrição Para
revisões da qualidade. BAI03.06  Resultados, exceções e  Resultados das revisões
Monitorar a qualidade dos processos e serviços em correções da revisão de e auditorias de
uma base contínua, conforme definido no SGQ. qualidade qualidade
Definir, planejar e implementar medições para  Plano de garantia de
monitorar a satisfação do cliente com a qualidade, qualidade
bem como o valor que o SGQ proporciona. A
DSS02.07  Status dos  Métricas e metas do Todos APO
informação coletada deveria ser utilizada pelo dono
cumprimentos de processo de qualidade Todos BAI
do processo para melhorar a qualidade.
requisições e relatório de serviço Todos DSS
de tendências Todos MEA
 Status de incidente e
relatório de tendências
Atividades
01 Monitorar a qualidade dos processos e serviços em uma base contínua e sistemática através da descrição, medição, análise,
melhoria/engenharia e controle dos processos.
02 Preparar e conduzir as revisões de qualidade
03 Reportar os resultados de revisões e iniciar melhorias onde apropriado.
04 Monitorar a qualidade dos processos, bem como o valor que a qualidade proporciona. Garantir que a medição, monitoramento e
registro de informações é utilizado pelo dono do processo para tomar ações preventivas e corretivas apropriadas.
05 Monitorar as metricas de qualidade direcionadoras das metas, alinhadas aos objetivos gerais de qualidade, cobrindo a qualidade
de Projetos e serviços individuais.
06 Garantir que a gestão e os donos de processo revisem regularmente o desempenho do gerenciamento da qualidade, em
comparação com as métricas de qualidade definidas.
07 Analisar os resultados do desempenho do gerenciamento da qualidade geral.
APO11.05 Integrar o gerenciamento da De Descrição Descrição Para
qualidade em soluções para desenvolvimento e  Resultados do APO08.05
entrega de serviços. monitoramento da APO09.04
Incorporar práticas relevantes de gerenciamento da qualidade da entrega de BAI07.08
qualidade na definição, monitoramento, reporte e serviços e solução
gerenciamento contínuo de desenvolvimento de
 Causas‐raiz de falhas na APO08.02
soluções e oferta de serviços.
entrega de qualidade. APO09.04
BAI07.08
MEA02.04
MEA02.07
MEA02.08
Atividades
01 Integrar práticas de gerenciamento de qualidade nos processos e práticas de desenvolvimento de soluções.
02 Monitorar continuamente os níveis de serviço, e incorporar práticas de gerenciamento da qualidade nos processos e práticas de
entrega de serviços.
03 Identificar e documentar causas raiz para não‐conformidade, e comunicar descobertas para a gestão de TI e outras partes
interessadas de forma oportuna para habilitar a tomada de ações de remediação. Onde apropriado, realizar revisões de
acompanhamento.
APO11.06 Manter a melhoria contíua. Manter e De Descrição Descrição Para
comunicar regularmente um plano geral de  Comunicações sobre Todos APO
qualidade que promova a melhoria contínua. melhoria continua e Todos BAI
Isso deve incluir a necessidade e os benefícios da boas práticas Todos DSS
melhoria contínua. Coletar e analisar os dados do Todos MEA
SGQ, e melhorar sua efetividade. Corrigir não‐
 Exemplos de boas Todos APO
conformidades para prevenir a recorrência.
práticas a serem Todos BAI
Promover uma cultura de qualidade e melhoria
compartilhados Todos DSS
contínua.
Todos MEA
 Resultados da Todos APO
comparação das Todos BAI
revisões de qualidade Todos DSS
Todos MEA
108
CAPÍTULO 5

Atividades
01 Manter e comunicar regularmente a necessidade e os benefícios da melhoria contínua.
02 Estabelecer uma plataforma para compartilhar boas práticas e para coletar informações sobre defeitos e erros, para proporcionar
aprendizado através deles.
03 Identificar exemplos recorrentes de defeitos de qualidade, determinar suas causas raiz, avaliar seus impactos e resultados e ações
de melhoria acordadas com os times de entrega de projetos e serviços.
04 Identificar exemplos de processos de entrega de qualidade de excelência, que possam beneficiar outros serviços ou Projetos, e
compartilha‐los com os times de entrega de Projetos e serviços para incentivar a melhoria.
05 Promover uma cultura de qualidade e melhoria continua.

06 Estabelecer um ciclo de feedback entre gerenciamento da qualidade e gerenciamento de problemas.
07 Fornecer treinamento aos colaboradores nos métodos e ferramentas de melhoria continua.
08 Comparar os resultados das revisões de qualidade com dados históricos internos, diretrizes do segmento, padrões e dados de tipos
de organizações similares.
ISO/IEC 9001:2008
109
APO12 Gerenciar Riscos

APO12 Gerenciar Riscos Área: Gestão
Identificar, avaliar e reduzir continuamente o risco relacionado a TI dentro dos níveis de tolerância definidos pela gestão executiva da
organização.
Integrar o gerenciamento do risco organizacional relacionado a TI com o risco organizacional em geral, e balancear os custos e benefícios do
gerenciamento do risco organizacional relacionado a TI.
02 Conformidade de TI e suporte para conformidade do negócio 
Custo de não conformidade de TI, incluindo liquidações e multas, e o
com as leis e regulamentos externos impacto da perda de reputação

 Número de não conformidades relacionadas a TI reportadas à alta
gestão ou que causaram comentário público ou constrangimento
 Número de não conformidades relacionadas a acordos contratuais
com provedores de serviços de TI
 Cobertura das avaliações de conformidade.
04 Gestão de risco organizacional de TI  Percentual de processos de negócio críticos, serviços de TI e
programas de negócio habilitados por TI cobertos pela avaliação de
risco
identificados pela avaliação de risco
 Percentual de avaliações de risco organizacional que incluem riscos
relacionados a TI
06 Transparência dos custos, benefícios e riscos de TI  Percentual de casos de negócio de investimento com custos e
benefícios relacionados à TI esperados claramente definidos e
aprovados
 Pesquisa de satisfação com partes interessadas chave, a respeito do
nível de transparência, compreensão e precisão das informações
financeiras de TI
10 Segurança da informação, infraestrutura de processamento e  Número de incidentes de segurança que causaram perda financeira,
aplicativos parada do negócio ou constrangimento público
 Número de serviços de TI com requisitos de segurança excepcionais
 Tempo para conceder, alterar e remover privilégios de acesso,
comparado aos níveis de serviço acordados
 Frequência das avaliações de segurança, comparados com os
padrões e guias mais atuais.
13 Entrega de programas fornecendo benefícios, dentro do prazo,  Número de programas/projetos no prazo e dentro do orçamento
orçamento e atendendo requisitos  Percentual de partes interessadas satisfeitas com a qualidade dos
programas/projetos
 Número de programas com necessidade de retrabalho, devido a
defeitos de qualidade
 Custo da manutenção de aplicação x custo geral de TI
01 Risco relacionado a TI é identificado, analisado, gerenciado e  Grau de visibilidade e reconhecimento do ambiente atual
reportado.  Número de eventos de perda com características chave
documentadas em repositórios
02 Um perfil de risco completo e atual existe.  Percentual de processos de negócio chave incluídos no perfil de
risco
 Abrangência de atributos e valores no perfil de risco
03 Todas as ações de gerenciamento de risco significativas são  Percentual de propostas de gerenciamento de risco rejeitadas
gerenciadas e estão sob controle. devido a falha na consideração de outros riscos relacionados
 Número de incidentes significativos não identificados e incluídos no
portfólio de gerenciamento de risco
04 Ações de gerenciamento de risco são efetivamente  Percentual de planos de ação de risco de TI executados conforme
implementadas. foram desenhados
 Número de medições que não reduzem o risco residual
110
CAPÍTULO 5
APO12 TABELA RACI

APO12 Tabela RACI



Diretor de TI (CIO)

Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO12.01
I R R R R I C C A R R R R R R R R
Coletar dados
APO12.02
I R C R C I R R A C C C C C C C C
Analisar risco
APO12.03
I R C A C I R R R C C C C C C C C
Manter um perfil de risco
APO12.04
I R C R C I C C A C C C C C C C C
Articular risco
APO12.05
Definir um portfolio de ações de I R C A C I C C R C C C C C C C C
gerenciamento de risco
APO12.06
I R R R R I C C A R R R R R R R R
Responder ao risco
APO12 Coletar dados De Descrição Descrição Para
Identificar e coletar dados relevantes para habilitar a EDM03.01  Avaliação das atividades  Dados sobre o ambiente Interno
efetiva identificação do risco relacionado a TI, análise de gerenciamento do operacional
e reporte. risco relacionados ao risco
EDM03.02  Processo para  Dados sobre eventos de Interno
gerenciamento da risco e fatores
medição do risco contribuintes
aprovados
 Objetivos‐chave a serem
monitorados pelo
gerenciamento do risco
 Políticas de
gerenciamento do risco
APO02.02  Lacunas e riscos  Fatores e problemas de EDM03.01
relacionados às risco emergentes APO01.03
capacidades atuais APO02.02
APO02.05  Iniciativas de avaliação
do risco
APO10.04  Risco de entrega do
fornecedor identificado
DSS02.07  Status de incidentes e
relatório de tendências
111

Atividades
01 Estabelecer e manter um método para a coleta, classificação e análise dos dados relacionados ao risco de TI, acomodando
múltiplos tipos de eventos, múltiplas categorias de risco de TI e fatores de risco.
02 Registrar dados relevantes sobre o ambiente operacional interno e externo da organização, que possa exercer um papel
significativo no gerenciamento do risco.
03 Pesquisar e analisar os dados históricos do risco relacionado a TI e experiências de perda, a partir de dados e tendências externas
disponíveis, pares através de logs de evento do segmento de negócio, bases de dados, e acordos do segmento para divulgação de
eventos comuns.
04 Registrar dados sobre eventos de risco que tenham causado ou podem causar impactos para a habilitação do benefício/valor de TI,
programas de TI e entrega de projetos, e/ou operações de TI e entrega de serviços. Coletar dados relevantes de questões
relacionados, incidentes, problemas e investigações.

05 Para classes slimilares de eventos, organizar os dados coletados e destacar fatores contribuintes. Deteminar fatores contribuintes
comuns dentre os múltiplos eventos.
06 Determinar as condições específicas que existiram ou estiveram ausentes quando os eventos de risco ocorreram, e a forma como
as condições afetaram a frequência de eventos e a extensão da perda.
07 Realizar análise periódica de evento e fator de risco para identificar problemas novos ou emergentes, e para obter a compreensão
dos fatores de risco internos e externos associados.
APO12.02 Analisar Risco. De Descrição Descrição Para
Desenvolver informações úteis para suportar as DSS04.02  Análises de impacto ao  Escopo dos esforços de Interno
decisões de risco que levam em conta a relevância negócio análise de risco
para o negócio dos fatores de risco.
DSS05.01  Avaliações de potenciais  Cenários de risco de TI Interno
ameaças
Referência  Avisos de ameaças  Resultados de análise de EDM03.03
externa ao risco APO01.03
COBIT APO02.02
BAI01.10
Atividades
01 Definir a largura e profundidade apropriados para os esforços de análise de risco, considerando todos os fatores de risco e a
criticidade para o negócio dos ativos. Estabelecer o escopo da análise de risco depois de realizar uma análise de custo‐benefício.
02 Constuir e atualizar regularmente cenários de riscos de TI, incluindo cenários compostos de tipos de ameaças de cascateamento
e/ou coincidentes, e desenvolver expetativas para atividades de controle específicas, capacidades de detecção e outras medidas
de resposta.
03 Estimar a frequência e magnitude da perda ou ganho associado aos cenários de risco de TI. Levar em consideração todos os
fatores de risco aplicáveis, avaliar os controles operacionais conhecidos e estimar os níveis de risco residual.
04 Comparar risco residual a tolerância ao risco aceitável, e identificar exposições que possam requerer uma resposta ao risco.
05 Analisar o custo‐benefício das potenciais opções de resposta ao risco, como evitar, reduzir/mitigar, transferir/compartilhar, e
aceitar e explorar/assumir. Propor a resposta ao risco otimizada.
06 Especificar requisitos de alto nível para projetos ou programas que vão implementar a resposta ao risco selecionada. Identificar
requisitos e expectativas para os controles‐chave apropriados para respostas de mitigação de risco.
07 Validar os resultados da análise de risco antes de usá‐los para tomada de decisão, confirmando que a análise está alinhada com os
requisitos da corporação, e verificando que as estimativas foram devidamente calibradas e minuciosamente examinadas para o
propósito.
APO12.03 Manter o perfil do risco De Descrição Descrição Para
Manter um inventário de risco conhecido e atributos EDM03.01  Níveis de tolerância de  Cenários de risco Interno
de risco (incluindo frequência esperada, impacto risco aprovados documentados por linha
potencial e respostas) e dos recursos relacionados,  Guia de apetite de risco de negócio e função
capacidades e atividades de controle atuais.
APO10.04  Risco de entrega do  Perfil de risco agrupado, EDM03.02
fornecedor identificado incluindo status de APO02.02
DSS05.01  Avaliações de ameaças ações de gerenciamento
potenciais de risco
112
CAPÍTULO 5

Atividades
01 Inventariar processos de negócio, incluindo pessoal de suporte, aplicações, infraestrutura, instalações, registros manuais críticos,
fornecedores e provedores externos, e documentar a dependência dos processos de gerenciamento de serviços de TI e recursos
de infraestrutura de TI
02 Determinar e acordar quais serviços de TI e recursos de infraestrutura de TI são essenciais para manter a operação dos processos
de negócio. Analisar dependências e identificar elos fracos.
02 Agrupar cenários atuais de risco por categoria, linha de negócio e área funcional.
03 Regularmente, coletar todas as informações de perfil de risco e consolida‐las em um perfil de risco agrupado.
04 Com base em todos os dados de perfil de risco, definir um grupo de indicadores de risco que permitam a rápida identificação e
monitoramento do risco atual e tendências de risco.

05 Coletar informações sobre eventos de risco de TI que se concretizaram, para inclusão no perfil de risco de TI da organização.
06 Coletar informações sobre o status do plano de ação de risco, para inclusão no perfil de risco de TI da organização.
APO12.04 Articular o risco. De Descrição Descrição Para
Fornecer informação para o estado atual de  Análise de risco e perfil EDM03.03
exposições relacionadas a TI e oportunidades em de risco reportados para EDM05.02
tempo hábil para todas as partes interessadas as partes interessadas APO10.04
requeridas, para resposta apropriada. MEA02.08
 Resultados das EDM03.03
avaliações de risco de APO10.04
terceiros MEA02.01
 Oportnidades de EDM03.03
aceitação de riscos
maiores
Atividades
01 Reportar os resultados da análise de risco a todas as partes interessadas afetadas, formatando‐os de forma útil para suportar as
decisões da organização. Onde for possível, incluir probabilidades e escalas de prejuízo ou ganho ao longo dos níveis de confiança
que habilitam a gestão, para balancear o risco sobre o retorno.
02 Fornecer aos tomadores de decisão um entendimento do pior cenário e do mais provável, exposições e reputação significativa,
considerações legais ou regulatórias.
03 Reportar o perfil de risco atual a todas as partes interessadas, incluindo a efetividade do processo de gerenciamento de risco,
efetividade do controle, lacunas, inconsistências, redundâncias, status de remediação e seus impactos no perfil de risco.
04 Revisar os resultados das avaliações objetivas de fornecedores, auditoria interna e revisões de garantia de qualidade, e mapeá‐los
para o perfil de risco. Revisar lacunas identificadas e exposições para determinar a necessidade de uma análise de risco adicional.
05 Periodicamente, para áreas com risco relative e paridade na capacidade de risco, identificar as oportunidades relacionadas a TI
que permitiriam o aceite de um risco maior e incrementem o crescimento e o retorno.
APO12.05 Definir um portfolio de ações de De Descrição Descrição Saida
gerenciamento de risco  Propostas de projeto APO02.02
Gerenciar oportunidades para reduzir o risco em um para redução do risco APO13.02
nível aceitável como um portfólio.
Atividades
01 Manter um inventário de atividades de controle que estão estabelecidas para gerenciar o risco, e que habilitem a ser assumido em
linha com a tolerância e o apetite de risco. Classificar atividades d controle e mapeá‐las para as declarações de risco de TI
específicas, e aglomerações de risco de TI.
02 Determinar quando cada entidade organizacional monitora o risco e aceita a prestação de contas por operar dentro de seu
portfolio e níveis de tolerância individuais.
03 Definir um grupo balanceado de propostas de projeto, desenhadas para reduzir o risco e/ou projetos que habilitem oportunidades
estratégicas para a organização, considerando custo/benefício, efeito no perfil de risco atual e regulações.
113

APO12.06 Responder ao risco. De Descrição Descrição Para
Responder em tempo hábil com medições efetivas EDM03.03  Ações corretivas para  Planos de resposta a DSS02.05
para limitar a magnitude dos prejuízos relacionados endereçar desvios no incidentes relacionados
a eventos de TI. gerenciamento de risco a risco
 Comunicação do APO01.04
impacto do risco APO08.04
DSS04.02
 Causas raiz relacionadas DSS02.03
ao risco DSS03.01
DSS03.02
DSS04.02
MEA02.04
MEA02.07
MEA02.08
Atividades
01 Preparar, manter e testar planos que documentem passos específicos a serem tomados quando um evento de risco puder causar
um incidente operacional ou de desenvolvimento significativo, com sérios impactos ao negócio. Garantir que os planos possuam
fluxos de escalação através da organização.
02 Categorizar incidentes, e comparar a exposição atual com os limites de tolerância de risco. Comunicar os impactos de negócio para
tomada de decisão como parte de um perfil de risco atualizado e reportado.
03 Aplicar o plano de resposta apropriado para minimizar o impacto quando o risco de incidentes ocorrer.
04 Examinar eventos adversos/prejuízos e oportunidades perdidas passadas, e determinar as causas raiz. Comunicar a causa raíz,
requisitos de resposta de risco adicional e melhorias no processo para tomada de decisão apropriada, e garantir que a causa,
requisitos de resposta e melhoria de processos estão incluídas no processo de governança de risco.
ISO/IEC 27001:2005 Sistemas de Gerenciamento de Segurança da Informação – Requisitos, Seção 4
ISO/IEC 27002:2011
ISO/IEC 31000 06 Processos para Gerenciamento de Risco
114
CAPÍTULO 5
APO13 Gerenciar Segurança

APO13 Gerenciar Segurança Área: Gestão
Definir, operar e monitorar um Sistema para gerenciamento de segurança da informação.
Manter o impacto e a ocorrência de incidentes de segurança da informação dentro dos níveis de apetite de risco da organização
02 Conformidade de TI e suporte para conformidade do  Custo da não conformidade de TI, incluindo liquidações e multas, e o
negócio com as leis e regulamentos externos impacto da perda de reputação

 Número de não conformidades relacionadas a TI reportadas à alta gestão
ou que causaram comentário público ou constrangimento
 Número de não conformidades relacionadas a acordos contratuais com
provedores de serviços de TI
 Cobertura das avaliações de conformidade
04 Gestão de risco organizacional de TI  Percentual de processos de negócio críticos, serviços de TI e programas de
negócio relacionados a TI cobertos pela avaliação de risco
identificados pela avaliação de risco
 Percentual de avaliações de risco organizacional incluindo riscos
relacionados a TI
06 Transparência dos custos, benefícios e riscos de TI  Percentual de casos de negócios de investimento com custos e benefícios
relacionados a TI claramente definidos e aprovados
 Pesquisa de satisfação com partes interessadas chave, a respeito do nível
de transparência, compreensão e precisão das informações financeiras de
TI
10 Segurança da informação, infraestrutura de  Número de incidentes de segurança que causaram perda financeira,
processamento e aplicativos parada do negócio ou constrangimento público
 Número de serviços de TI com requisitos de segurança excepcionais
 Tempo para conceder, alterar e remover privilégios de acesso, comparado
aos níveis de serviço acordados
 Frequência das avaliações de segurança, comparados com os padrões e
guias mais atuais.
14 Disponibilidade de informações úteis e confiáveis para a  Nível de satisfação dos usuários de negócio com a qualidade e
tomada de decisão oportunidade (ou disponibilidade) de informações de gerenciamento
 Número de incidentes em processos de negócio causados pela não
disponibilidade da informação
 Taxa e dimensão de decisões de negócio errôneas onde a
indisponibilidade de informação ou a informação errada foi um fator
chave
01 Um Sistema que considera e endereça efetivamente os  Número de papéis chave de segurança claramente definidos
requisites de segurança da informação da organização  Número de incidentes de segurança relatados
está disponível.
02 Um plano de segurança tem sido estabelecido, aceito e  Nível de satisfação das partes interessadas com o plano de segurança por
comunicado por toda a organização toda a organização
 Número de soluções de segurança que se desviam do plano
 Número de soluções de segurança que se desviam da arquitetura da
organização
03 Soluções de segurança da informação são implementadas  Número de serviços com alinhamento confirmado com o plano de
e operadas consistentemente por toda a organização segurança
 Número de incidentes de segurança causados pela não aderência ao plano
de segurança
 Número de soluções desenvolvidas com alinhamento confirmad com o
plano de segurança
115
APO13 TABELA RACI

APO13 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO13.01
Estabelecer e manter um Sistema de
C C C I C I I C A C C C C R I I I R I R C C
Gerenciamento de Seguança da
Informação (ISMS).
APO13.02
Definir e gerenciar um plano de
C C C C C I I C A C C C C R C C C R C R C C
tratamento de risco de segurança da
informação.
APO13.03
C R C R A C C R R R R R R R R R
Monitorar e revisar o ISMS
APO13.01 Estabelecer e manter um Sistema de De Descrição Descrição Para
Gerenciamento de Seguança da Informação Referência  Abordagem de  Política do ISMS Interno
(ISMS). externa ao segurança da  Declaração de escopo APO01.02
Estabelecer e manter um ISMS que forneça um COBIT organização do ISMS DSS06.03
padrão, abordagem formal e conínua para
gerenciamento de segurança para informação,
habilitando tecnologia segura e processos de
negócios que estão alinhados com os requisitos do
negócio e gerenciamento de segurança da
organização.
Atividades
01 Definir o escopo e limites do ISMS, em termos de características da organização, sua disposição, localização, ativos e tecnologia.
Incluir detalhes de, e justificativa para quaisquer exclusões do escopo.
02 Definir um ISMS de acordo e alinhado com a política da organização, sua disposição, localização, ativos e tecnologia.
03 Alinhar o ISMS com a abordagem da organização geral para o gerenciamento de segurança.
04 Obter autorização da gestão para implementar e operar ou alterar o ISMS.
05 Preparar e manter uma declaração de aplicabilidade que descreva o escopo do ISMS.
06 Definir e comunicar os papéis e responsabilidades de segurança da informação
07 Comunicar a abordagem ISMS.
116
CAPÍTULO 5

APO13.02 Definir e gerenciar um plano de De Descrição Descrição Para
tratamento de risco de segurança da informação. APO02.04  Plano de tratamento do Todo EDM
Manter um plano de segurança da informação que risco de segurança Todo APO
descreva como o risco de segurança da informação Todo BAI
está sendo gerenciado e alinhado com a estratégia e Todo DSS
arquitetura corporativa. Garantir que as Todo MEA
recomendações para implementação de melhorias
APO03.02  Descrição do baseline e  Casos de negócio de APO02.05
de segurança são baseadas em casos de negócio
definição da arquitetura segurança da
aprovados, e implementados como parte integral do
APO12.05  Propostas de projeto informação
desenvolvimento de soluções e serviços, sendo

assim, operando como parte integral da operação de para redução de risco
negócio.
Atividades
01 Formular e manter um plao de tratamento de risco de segurança da informação alinhado com os objetivos estratégicos e
arquitetura corporativa. Garantir que o plano identifica as práticas de gestão apropriadas e otimizadas e soluções de segurança,
com recursos associados, responsabilidades e prioridades para gerenciar o risco de segurança da informação identificado.
02 Manter como parte da arquitetura corporativa, um inventário de componentes de solução que será utilizado para gerenciar o risco
relacionado a segurança.
03 Desenvolver propostas para implementar o plano de tratamento do risco de segurança da informação, suportado por casos de
negócio aplicáveis, que incluem a consideração de financiamento e alocação de papeis e responsabilidades.
04 Fornecer entrada para o desenho e desenvolvimento de práticas de gerenciamento e soluções selecionadas do plano de
tratamento de risco de segurança da informação.
05 Definir como medir a efetividade das práticas de gestão selecionadas e especificar como essas medições são usadas para avaliar a
efetividade para produzir resultados comparáveis e reproduzíveis.
06 Recomendar treinamento de segurança da informação e programas de conscientização.
07 Integrar o planejamento, desenho, implementação e monitoramento dos procedimentos de segurança da informação e outros
controles capazes de habilitar prevenção imediata, detecção de eventos de segurança e resposta a incidentes de segurança
APO13.03 Monitorar e revisar o ISMS.  De  Descrição  Descrição  Para
Manter e comunicar regularmente a necessidade e DSS02.02  Requisições de Serviço e  Relatórios de auditoria MEA02.01
os benefícios de segurança da informação contínua. Incidentes classificados do ISMS
Coletar e analisar dados sobre o ISMS, e melhorar a e priorizados  Recomendações para Interno
efetividade do ISMS. Corrigir não‐conformidades
melhoria do ISMS
para prevenir recorrências. Promover uma cultura de
segurança e melhoria contínua.
Atividades
01 Realizar revisões regulares da efetividade do ISMS, incluindo o alcance das políticas e objetivos do ISMS, e revisão das práticas de
segurança. Leva rem conta os resultados das auditorias de segurança, incidentes, resultados de medições de efetividade,
sugestões e feedback de todas as partes interessadas.
02 Conduzir auditorias ISMS internas em intervalos planejados
02 Realizar uma revisão do gerenciamento do ISMS periodicamente para garantir que o escopo permanece adequado e as melhorias
nos processos do ISMS são identificadas
04 Prover entrada para manutenção dos planos de seguranção para levar em conta as descobertas do monitoramento e atividades de
revisão
05 Registrar ações e eventos que poderiam gerar impacto na efetividade ou desempenho do ISMS
ISO/IEC 27001:2005 Sistemas de gerenciamento de segurança da Informação – Requisitos, seção 4
ISO/IEC 27002:2011
National Institute of Standards and Controles de Segurança Recomendados pelo Sistema de Informações Federais dos EUA
Technology (NIST) SP800‐53 Rev 1
ITIL V3 2011 Desenho de serviço, 4.7 Gerenciamento de Segurança da Informação
117

118
CAPÍTULO 5
CONSTRUIR, ADQUIRIR E IMPLEMENTAR (BAI)

01 Gerenciar programas e projetos
Construir, Adquiorir e Implementar

02 Gerenciar definição de requisitos
03 Gerenciar identificação e desenvolvimento de soluções
04 Gerenciar disponibilidade e capacidade
05 Gerenciar capacidade da mudança organizacional
06 Gerenciar mudanças
07Gerenciar aceitação e transição da mudança
08 Gerenciar conhecimento
09 Gerenciar ativos
10 Gerenciar configuração
119
BAI01 Gerenciar programas e projetos

BAI01 Gerenciar programas e projetos Área: Gestão
Domínio:Construir, Adquirir e Implementar
Gerenciar todos os programas e projetos do portfolio de investimentos alinhados às estratégias corporativas e de forma coordenada. Iniciar,
planejar, controlar, e executar programas e projetos, e finalizar com revisão pós‐implantação.
Identificar os benefícios de negócio e reduzir os riscos de atrasos inesperados, custos e perda de valor por meio do aprimoramento de
comunicação e envolvimento de negócios e usuários finais, assegurando o valor e qualidade dos entregáveis de projetos e maximizando a
contribuição deles para o portfólio de investimentos e serviços.
01 Alinhamento da estratégia de negócios e de TI  Percentual de metas e requisitos estratégicos corporativos suportados por
metas estratégicas de TI
programas e serviços planejados
 Percentual de direcionadores de valor de TI definido aos direcionadores
de valor do negócio
04 Gestão de risco organizacional de TI  Percentual de processos de negócios críticos, serviços de TI e programas
de negócios para TI cobertos por avaliação de riscos
 Número de incidentes significativos de TI não identificados na avaliação
de riscos
 Percentual de avaliações de riscos corporativos incluindo riscos
relacionados a TI
Construir, Adquirir e Implementar

05 Benefícios obtidos pelo investimento de TI e portfólio de  Percentual de investimentos habilitados por TI no qual os benefícios
serviços ganhos são monitorados por meio de todo o ciclo de vida econômico.
 Percentual de serviços de TI no qual benefícios esperados são atingidos
 Percentual de investimentos habilitados por TI no qual os benefícios
esperados são atingidos ou ultrapassados
13 Entrega de programas fornecendo benefícios, dentro do  Quantidade de programas/projetos dentro do prazo e orçamento
prazo, orçamento e atendendo requisitos.  Percentual de partes interessadas satisfeitas com a qualidade do
programa/projeto
 Quantidade de programas necessitando de significativo trabalho por
falhas de qualidade
 Custo de manutenção de aplicação vs. custo geral de TI
01 As partes interessadas relevantes estão envolvidas nos  Percentual de partes interessadas efetivamente envolvidas
programas e projetos  Nível de satisfação das partes interessadas com o envolvimento.
02 O escopo e os resultados dos programas e projetos são  Percentual de partes interessadas que aprovam as necessidades
viáveis e alinhados com os objetivos. corporativas, escopo, resultados planejados e nível de risco do projeto
 Percentual de projetos realizados sem casos de negócios aprovados
03 Os resultados esperados dos planos programas e projetos  Percentual de atividades alinhadas ao escopo e aos resultados esperados.
são suscetíveis de atingimento.  Percentual de programas ativos realizados sem mapas de valor do
programa válidos e atualizados
04 As atividades dos programas e projetos são executadas de  Frequência de revisão do status
acordo com os planos.  Percentual de desvios do plano endereçado
 Percentual das partes interessadas assinando as revisões de mudança de
fase.
05 Há recursos suficientes aos programas e projetos para  Quantidade de problemas de recursos (ex. competência, capacidade)
realizar as atividades de acordo com os planos.
06 Os benefícios esperados dos programas e projetos são  Percentual de atingimento dos benefícios previstos
atingidos e reconhecidos.  Percentual de resultados com aceitação na primeira avaliação
 Nível de satisfação das partes interessadas manifestadas durante a revisão
de finalização
120
CAPÍTULO 5
BAI01 TABELA RACI

BAI01 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI01.01
Mantenha uma abordagem padrão
I A C C R R C C C C R
para a gestão de programas e
projetos.
BAI01.02
I R C C A R R R R C C C C C C C C
Inicie um programa.
BAI01.03

Gerencie a participação das partes A C R R R C R I I R C C C C C C C
interessadas.
BAI01.04
Desenvolva e mantenha o plano do C C A C R R R C C C C C C C C C C C
programa.
BAI01.05
C C A R R R I C C C R R R R C C C C
Lance e execute o programa.
BAI01.06
Monitore, controle e reporte os A C I R R R C C R R C C C
resultados do programa.
BAI01.07
Lance e inicie projetos dentro de um R R I A R C C R C C C C C
programa.
BAI01.08
C I A R C C C C C C C C C
Planeje os projetos.
BAI01.09
Gerencie a qualidade dos programas e R R I A R C C C C C R C C C C C
dos projetos.
BAI01.10
Gerencie os riscos dos programas e R R I A R C C C C C R C C C C C
dos projetos.
BAI01.11
I R I A R C C R C C R C C C C C
Monitore e controle os projetos.
BAI01.12
Gerencie recursos dos projetos e R I A R C C C C C R C C C C C
pacotes de trabalho.
BAI01.13
C C I A R C C C C C C C C C C C
Finalize um projeto ou iteração.
BAI01.14
I C C C A R I R R R R C C C C C C C
Finalize um programa.
121
BAI01 Práticas de Processo, Entradas/Saídas e Atividades

BAI01.01 Mantenha uma abordagem padrão De Descrição Descrição Para
para a gestão de programas e projetos. EDM02.02  Requisitos para revisões  Abordagens do Interno
Manter uma abordagem padronizada para gestão de de mudança de fase. programa e projetos
programas e projetos que permita a avaliação da atualizados
EDM02.03  Ações para aprimorar a
governança e gestão e tomada de decisão e
entrega de valor
atividades de gestão de entrega focados em alcançar
valor e metas (requisitos, riscos, custos, cronograma, APO03.04  Requisitos de
qualidade) para o negócio de forma consistente. governança de
arquitetura
 Descrições da fase de
implementação
APO05.05  Portfólios atualizados de
programas, serviços e
ativos
APO10.04  Riscos mapeados de
entrega dos
fornecedores
Atividades
01 Manter e reforçar uma abordagem padrão para gestão dos programas e projetos alinhada ao ambiente específico corporativo e
com as boas práticas baseadas em processos definidos e o uso da tecnologia apropriada. Assegure que a abordagem cubra todo o
ciclo de vida e disciplinas a serem seguidas, incluindo a gestão de escopo, recursos, riscoso, custos, qualidade, tempo,
comunicação, atuação das partes envolvidas, compras, controle de mudanças, integração e concepção do benefício.
02 Atualizar a abordagem de gestão dos programas e projetos baseado nas lições aprendidas da utilização.
BAI01.02 Inicie um programa. De Descrição Descrição Para
Iniciar um programa para confirmer os benefícios APO03.04  Descrições da fase de  Caso de negócio para o APO05.03
esperados e obter autorização para prosseguir. Isso implementação conceito do programa
inclui um acordo sobre o patrocínio do programa a  Necessidade de recursos
confirmer o mandato do programa através da
APO05.03  Caso de negócio do  Instruções e ordens do APO05.03
aprovação do plano de negócios conceitual,
programa programa
desingnando o conselho do programa ou membros
do comitê produzindo o resumo, revisando e APO07.03  Matriz de habilidades e  Plano de obtenção dos APO05.03
atualizando o caso de negócio, desenvolvimento um competências benefícios do programa APO06.05
plano de benefícios obtidos, e obter aprovação das BAI05.02  Visão e objetivos
patrocinadores para prosseguir. comuns
Atividades
01 Acordar com o patrocínio do programa e nomear uma diretoria/comitê com membros com interesses estratégicos no programa,
que tenham responsabilidade pelas tomadas de decisão de investimento, e que serão significativamente impactados pelo
programa e serão necessários por permitir a entrega da mudança.
02 Confirmar o mandato do programa com os patrocinadores e partes interessadas. Articular os objetivos estratégicos ao programa,
as estratégias pontenciais de entrega, melhoria e benefícios que são esperados ao resultado, e como o programa se encaixa com
outras iniciativas.
03 Desenvolver um caso de negócio detalhado ao programa, se necessário. Envolver tidas as partes interessadas para desenvolver e
documentar o entendimento completo dos resultados corporativos esperados, os riscos envolvidos e os impactos sobre todos os
aspectos corporativos. Identificar e avaliar cursos alternativos para alcançar os resultados empresariais.
04 Desenvolver um plano de atingimento dos benefícios do qual será gerido ao longo do programa para assegurar que os benefícios
planejados estão atrelados a donos e são alcançados, sustentáveis e otimizados.
05 Preparar e submeter em principio, a aprovação (conceitual) do caso de negócio do programa inicial, fornecendo informações
essenciais de tomada de decisão em relação propósito, contribuição aos objetivos de negócio, valor esperado gerado, prazos, etc.
06 Nomear um gestor dedicado ao programa, com as competências e habilidades compatíveis para gerir o programa de forma eficaz
e eficiente.
122
CAPÍTULO 5

BAI01.03 Gerencie a participação das partes De Descrição Descrição Para
interessadas.  Plano de envolvimento Interno
Gerencie a participação das partes interessadas para das partes interessadas
assegurar um intercâmbio ativo de informações  Resultados de avaliação Interno
precisas, consistentes e oportunas que atinjam todas de eficácia do
as partes interessadas. Isso inclui planejamento, envolvimento das partes
identificação e envolvimento das partes interessadas interessadas
e a gestão de suas expectativas.
Atividades
01 Planejar como as partes interessadas de dentro e fora da companhia serão identificadas, analisadas, envolvidas e gerenciadas
através do ciclo de vida dos projetos.
02 Identificar, envolver e gerenciar as partes envolvidas estabelecendo e mantendo níveis adequados de coordenação, comunicação
e colaboração de forma a assegurar que estes estarão envolvidos no programa/projeto.
03 Mensurar a eficácia da participação das partes interessadas e tomar ações corretivas quando for necessário.
04 Analisar os interesses e necessidades das partes interessadas.
BAI01.04 Desenvolver e manter o plano do De Descrição Descrição Para
programa. APO05.03  Programas  Plano de programa Interno
Formular um programa para iniciar a plataforma e seleccionados com
posicioná‐la para execução bem sucedida marcos de retorno
formalizando o escopo do trabalho a ser executado e sobre investimento
identificando os entregáveis, nos quais irão satisfazer (ROI)

suas metas e a entrega de valor. Manter e atualizar o APO07.03  Matriz de habilidades e  Orçamento do APO05.06
plano do programa e o caso de negócio em todo o competências programa e registro de APO06.05
ciclo de vida econômico do programa, assegurando benefícios
alinhamento com os objetivos estratégicos e APO07.05  Inventário de recursos  Funções e requisitos de APO07.05
refletindo o status atual e perspectivas atualizadas humanos de negócios e recurso APO07.06
adquiridas até a data. TI
BAI05.02  Time e funções de
implementação
BAI05.03  Plano de comunicação
de visão
BAI05.04  Ganhos rápidos
identificados
BAI07.03  Plano de teste de
aceitação aprovado
BAI07.05  Aceite aprovado e
liberação para a
produção
Atividades
01 Definir e documentar o plano do programa abrangendo todos os projetos, incluindo o que é necessário para trazer as mudanças
corporativas; sua imagem, produtos e serviços; processos de negócio; habilidades e quantidade de pessoas; relacionamento com
as partes interessadas, clientes, fornecedores e outros; necessidades tecnológicas; e reestruturação organizacional necessária para
atingir os resultados corporativos esperados do programa.
02 Especificar os recursos e habilidades requeridas necessárias para executar o projeto, incluindo gerentes de projeto e times do
projeto, assim como os recursos de negócios. Especificar o financiamento, custos, cronograma e interdependências com outros
projetos. Especificar a base para aquisição e atribuição de membros de equipes e/ou funcionários contratados competentes.
Definir as funções e responsabilidades a todos os membros dos times e outras partes interessadas.
03 Atribuir clara e assertivamente a responsabilidade por cada projeto, incluindo a realização dos benefícios, controlando os custos,
gerenciando os riscos e coordenando as atividades do projeto.
04 Assegurar que haja uma comunicação eficaz entre os planos do programa e relatórios de projecto em andamento com todos os
projetos e o programa geral. Assegure que todas as mudanças feitas nos planos individuais sejam refletidas nos outros planos de
programa corporativos.
05 Manter o plano do programa para assegurar que este está atualizado e reflete o alinhamento com os atuais objetivos estratégicos,
real progresso e alterações relevantes aos resultados, benefícios, custos e riscos. O negócio deve conduzir os objetivos e priorizar
o trabalho de forma a assegurar que o programa como definido irá atingir os requisitos corporativos. Revisar o progresso dos
projetos individuais e ajusta‐los conforme necessário de forma a cumprir as etapas estabelecidas.
06 Atualizar e manter, por todo o ciclo de vida econômico do programa do caso de negócio e registro dos benefícios e definir os
benefícios chave decorrentes da realização do programa.
07 Preparar um orçamento do programa que reflita todos os custos do ciclo de vida econômico e os benefícios financeiros e não
financeiros associados.
123

BAI01.05 Lançar e executar o programa De Descrição Descrição Para
Lançar e executar o programa para adquirir e dirigir BAI05.03  Comunicações da visão  Resultados da APO05.06
os recursos necessários para atingir aos objetivos e monitoração dos APO06.05
benefícios do programa, tal como definido no plano benefícios alcançados
de programa. De acordo com o critério de revisão de
 Resultados da APO02.04
mudança de fase ou publicação, preparar revisão
monitoração do alcance
para a mudança de fase, iteração ou publicação
das metas do programa
sobre o progresso do programa e para permitir
montar o plano do próximo financiamento da  Planos de auditoria do MEA02.06
próxima revisão de mudança de fase ou publicação. programa
Atividades
01 Planejar, reservar e delegar os projetos necessários para alcançar os resultados do programa, com base na avaliação de recursos
financeiros e aprovação em cada revisão de mudança de fase.
02 Estabelecer etapas previamente acordadas ao processo de desenvolvimento (pontos de checagem de desenvolvimento). Ao final
de cada etapa, permitir discussões formais dos critérios aprovados com as partes interessadas. Após a conclusão bem sucedida da
funcionalidade, desempenho e revisões de qualidade, e antes de finalizar as atividades das etapas, obter a aprovação formal e
assinatura das partes interessadas e do patrocinador/dono do processo de negócio.
03 Executar um processo de compreensão dos benefícios ao longo do programa a fim de assegurar que os benefícios planejados
estejam associados a donos e são possíveis de atingimento, são sustentáveis e otimizados. Monitorar a entrega de benefícios e
reportar as metas de desempenho nas mudanças de fases ou revisões de iteração e lançamento. Executar análises de causa‐raiz
para desvios do plano e identificar e solucionar quaisquer ações corretivas necessárias.
04 Gerenciar cada programa ou projeto de forma a assegurar que a tomada de decisão e as atividades de entrega estão focadas no
valor através da obtenção de benefícios para o negócio e metas de forma consistente, abordando riscos e alcançando os requisitos
das partes interessadas.
05 Configurar escritório(s) de gestão do programa/projeto e planejar auditoras, revisões de qualidade, revisões de mudança de fase e
revisões de benefícios percebidos.
BAI01.06 Monitorar, controlar e reportar os De Descrição Descrição Para
resultados do programa EDM02.03  Opinião quanto ao  Resultado de revisões MEA01.03
Monitorar e controlar o desempenho do programa desempenho do do desempenho dos
(entrega da solução) e da companhia portfólio e do programa programas
(valor/resultados) em relação ao plano através do
APO05.02  Expectativas de retorno  Resultados da revisão EDM02.01
ciclo de vida económico do investimento. Reportar o
de investimento de mudança de fase APO02.04
desempenho ao Comitê Diretor do programa e aos
APO05.03  Avaliação do estudo do APO05.04
patrocinadores.
negócio
APO05.04  Relatório de
desempenho do
portfolio de
investimento
APO05.06  Ações corretivas para
aumento da obtenção
de benefícios
 Benefícios alcançados e
as comunicações
relacionadas
APO07.05  Registro de utilização de
recursos
 Análise de deficiência de
recursos
BAI05.04  Comunicação de
benefícios
BAI06.03  Relatórios de status de
requisição de mudanças
BAI07.05  Resultados da avaliação
de aceites
124
CAPÍTULO 5

Atividades
01 Monitorar e controlar o desempenho do programa geral e os projetos dentro do programa, incluindo contribuições do negócio e
de TI aos projetos, e informar de forma tempestivamente, completa e precisa. Relatórios podem incluir a programação,
financiamento, funcionalidade, satisfação do usuário, controles internos e aceitação de responsabilidades.
02 Monitorar e controlar o desempenho frente às estratégias e objetivos corporativos e de TI, e relatar à gestão das mudanças
empresariais implantados, benefícios realizados frente ao plano de realização de benefícios, bem como a adequação do processo
de benefícios alcançados.
03 Monitorar e controlar os serviços de TI, ativos e recursos criados ou alterados como resultado do programa. Atentar a datas de
implementação e ativação de serviços. Informar à gestão dos níveis de desempenho, prestação de serviços sustentados e
contribuição para o valor.
04 Gerenciar o desempenho do programa em relação aos critérios‐chave (por exemplo o escopo, cronograma, qualidade, realização
de benefícios, custo, riscos e velocidade), identificar desvios do plano e tomar medidas de remediação tempestivas quando
necessário.
05 Monitorar o desempenho individual dos projetos relacionados à entrega das capacidades esperadas, cronograma de obtenção dos
benefícios, custos, riscos ou outras métricas para identificar pontenciais impactos sobre o desempenho do programa. Tomar as
medidas necessárias tempestivamente.
06 Atualizar os portfólios operacionais de TI refletindo as alterações que resultam do programa nos serviços de TI, ativos ou recursos
releva ntes.
07 De acordo com critério de alteração de fase, critérios de revisão de lançamento ou iteração, condução de revisões para informar o
andamento do programa, de forma que a gestão possa dar prosseguimento ou decisões de ajuste e aprovar os próximos
financiamentos as seguintes liberações de fase, lançamentos ou iteração.

BAI01.07 Lance e inicie projetos dentro de um De Descrição Descrição Para
programa.  Confirmação do escopo Interno
Definir e documentar a natureza e o escopo do do projeto
projeto de forma a confirmar e desenvolver entre as
 Definições do projeto Interno
partes interessadas um entendimento comum do
escopo do projeto e como se relaciona com outros
projetos dentro do programa de investimentos
habilitado por TI. A definição deve ser formalmente
aprovada pelo programa e patrocinadores dos
projetos.
Atividades
01 Criar um entendimento comum do escopo do projeto entre as partes interessadas, fornecer às partes interessadas uma declaração
escrita de forma clara definindo a natureza, escopo e benefícios de cada projeto.
02 Assegura que cada projeto tenha um ou mais patrocinadores com autoridade suficiente para gerir a execução do projeto dentro
do programa geral.
03 Assegurar que as partes interessadas e patrocinadores chaves dentro da organização e TI concordem e aceitem os requisitos para
o projeto, incluindo definição dos critérios de sucesso do projeto (aceitação) e indicadores chave de desempenho (KPIs)
04 Assegurar que a definição do projeto descreva os requisitos para um plano de comunicação do projeto que identifique
comunicações internas e externas.
05 Com a aprovação das partes interessadas, manter a definição do projeto ao longo do projeto, refletindo as mudanas de requisitos.
06 Acompanhar a execução de um projeto, criar mecanismos tais como relatórios periódicos e conclusão de fases, publicações ou
revisões de fases tempestivas com aprovação adequada.
BAI01.08 Planeje os projetos De Descrição Descrição Para
Estabelecer e manter um plano de projeto integrado, BAI07.03  Plano de testes de  Planos de projeto Interno
aprovado e formal (cobrindo recursos de negócios e aceitação aprovado  Parâmetros do projeto Interno
de TI) para orientar a execução e controle do projeto
ao longo da vida do projeto. O escopo dos projetos  Relatórios e Interno
devem ser claramento definidos e amarrados para comunicações do
construir ou aumentar a capacidade dos negócios. projeto
125

Atividades
01 Desenvolver um plano de projeto que forneça informações para permitir o gerenciamento para controlar progressivamente a
evolução do projeto. O plano deve incluir detalhes dos entregáveis do projeto e critérios de aceitação, recursos e
responsabilidades internas e externas necessárias, estruturas claras de divisão de trabalho e pacotes de trabalho, estimativa de
recursos necessários, marcos/plano de lançamento/fases, dependências chave, e identificação do caminho crítico.
02 Manter o plano do projeto e outros planos dependentes (por exemplo plano de risco, plano de qualidade, plano de atingimento
dos benefícios) para assegurar que estes estarão atualizados e refletem o real progresso e as alterações materiais aprovadas.
03 Assegurar que haja comunicação eficaz dos relatórios dos planos de projeto e progresso entre todos os projetos e com o programa
geral. Assegure que toda modificação feita aos planos individuais serão refletidas nos demais planos.
04 Determinar as atividades, interdependências e colaboração e comunicação necessárias entre vários projetos dentro de um
programa.
05 Assegurar que cada etapa é acompanhada por entregas significativas que requerem revisão e assinatura.
06 Estabelecer um parâmetro ao projeto (por exemplo, custo, cronograma, escopo, qualidade) devidamente revisado, aprovado e
incorporado ao plano de projeto integrado.
BAI01.09 Gerencie a qualidade dos programas e De Descrição Descrição Para
dos projetos. APO11.01  Planos de gestão de  Plano de gestão de BAI02.04
Preparar e executar um plano de gestão de qualidade qualidade BAI03.06
qualidade, processos e práticas, alinhadas com o BAI07.01
sistema de gestão de qualidade no qual descreve a APO11.03  Necessidades dos  Requisitos para a BAI07.03
abordagem de qualidade do programa e projeto e clientes para gestão de verificação
como será implantado. O plano deve ser qualidade independente dos
formalmente revisado e aceito por todas as partes resultados.
interessadas e, em seguida, incorporado nos

programas integrados e planos dos projetos.
Atividades
01 Identificar as tarefas e práticas de garantia necessárias para apoiar o reconhecimento de sistemas novos ou modificados durante o
planejamento dos programas e projetos, e inclui‐lo nos planos integrados. Assegurar que as tarefas fornecidas assegurem que os
controles internos e soluções de segurança atendam os requisitos definidos.
02 Fornecer garantia de qualidade para os entregáveis do projeto, identificar propriedade e responsabilidades, processo de revisão
de qualidade, critérios de sucesso e métricas de performance.
03 Definir os requisitos para a validação independente e verificação da qualidade dos resultados no plano
04 Executar atividades de garantia e controle de qualidade de acordo com o plano de gestão da qualidade e sistema de gestão de
qualidade.
BAI01.10 Gerenciar os riscos dos programas e dos De Descrição Descrição Para
projetos. APO12.02  Resultados da análise de  Plano de gestão de Interno
Eliminar ou minimizar os riscos específicos riscos riscos do projeto
associados aos programas e projetos por meio de um BAI02.03  Ações de mitigação de  Resultados da avaliação Interno
processo sistemático de planejamento, identificação, riscos de riscos do projeto
análise, resposta e monitoramento e controle de  Registros dos requisitos
áreas e eventos com pontencial de causar alterações de risco
indesejadas. Riscos enfrentados pela gestão dos For a do COBIT  Estrutura do ERM  Registro de riscos do Interno
programas e projetos devem ser estabelecidos e projeto
registrados centralizadamente.
Atividades
01 Estabelecer uma abordagem formal de gestão de risco do projeto alinhada com a estrutura de ERM. Assegurar de que a
abordagem inclua identificar, analisar, responder, mitigar, monitorar e controlar os riscos.
02 Atribuir pessoal devidamente qualificado para a responsabilidade de executar os processos de gestão de riscos de projetos
corporativos dentro de um projeto e assegurar que este está incorporado nas práticas de desenvolvimento de solução. Considerar
alocar esse papel a uma equipe independente, especialmente se um ponto de vista específico é necessário ou um projeto é
considerado crítico.
03 Efetuar a avaliação de risco do projeto para identificação e quantificação de risco de forma contínua ao longo do projeto. Gerir e
comunicar os riscos adequadamente dentro da estrutura de governança do projeto.
04 Reavaliar o risco do projeto periodicamente, incluindo no início de cada fase principal e como parte das principais avaliações de
solicitação de mudanças.
05 Identificar os responsáveis pelas ações para evitar, aceitar ou mitigar os riscos.
06 Manter e revisar um registro de riscos do projeto de todos os pontenciais riscos de projeto, e um registro de mitigação de risco de
todos os problemas do projeto e suas resoluções. Analisar o registro periodicamente para tendências e problemas recorrentes de
forma a assegurar que as causas raíz são corrigidas.
126
CAPÍTULO 5

BAI01.11 Monitore e controle os projetos. De Descrição Descrição Para
Medir o desempenho do projeto em relação aos  Critérios de Interno
critérios chave de desempenho do projeto tais como desempenho do projeto
cronograma, qualidade, custos e riscos. Identificar
 Relatórios de progresso Interno
quaisquer desvios do esperado. Avaliar o impacto
do projeto
dos desvios de projeto e do programa geral, e
reportar os resultados às principais partes  Aceites de alterações no Interno
interessadas. projeto
Atividades
01 Estabelecer e utilizar um conjunto de critérios de projeto incluindo, mas não se limitado a escopo, cronograma , qualidade, custo e
nível de risco aceitável.
02 Medir o desempenho do projeto em relação aos critérios de desempenho chave do projeto. Analisar desvios de critérios de
desempenho‐chave do projeto, estabelecidos pelas causas, e avaliar os efeitos positivos e negativos sobre o programa e seus
projetos constituíntes.
03 Reportar às partes interessadas o progresso do projeto dentro do programa, desvios aos critérios chave estabelecidos de
desempenho do projeto, e pontenciais efeitos positivos e negativos no programa e os seus projetos constituintes.
04 Monitorar alterações ao programa e revisar critérios chave de desempenho existentes de projeto para determinar se estes ainda
representam parâmetros válidos de progresso.
05 Documentar e apresentar alterações necessárias às parter interessadas do programa para aprovação antes da adoção. Comunicar
os critérios revistos aos gestores do projeto para utilização em futuros relatórios de desempenho.
06 Recomendar e monitorar ações corretivas, quando necessário, de acordo com a estrutura de governança dos programas e projetos

07 Obter aprovação e assinatura dos entregáveis produzidos em cada iteração, publicação ou fase do projeto de gestores e usuários
designados no negócio nos negócios afetados e funções de TI.
08 Base de dados do processo de aprovação de critérios de aceitação claramente definidos acordado por as principais partes
interessadas antes de trabalhar com início na fase de projeto ou entregável de iteração.
09 Avaliar os acordos das mudanças de fase significativas, publicações ou iterações e realizar decisões de passa/não‐passa baseado
em critérios críticos de sucesso pré‐determinados.
10 Estabelecer e operar um sistema de controle de mudanças ao projeto de modo que todas as mudanças dos parâmetros do projeto
(ex. custo, cronograma, escopo, qualidade) sejam devidamente revisados, aprovados e incorporados ao plano do projeto de
acordo com a estrutura de governança dos programas e projetos.
BAI01.12 Gerenciar recursos e pacotes de De Descrição Descrição Para
trabalho do projeto  Necessidade de recursos APO07.05
Gerenciar os pacotes de trabalho do projeto, do projeto APO07.06
estabelecendo requisitos formais de autorização e
 Funções e Interno
aceite de pacotes de trabalho, e atribuindo e
responsabilidades do
coordenando recursos de negócios e de TI
projeto
adequados.
 Falhas no planejamento Interno
do projeto
Atividades
01 Identificar as necessidades de recursos de negócios e de TI para o projeto e mapear os papéis e responsabilidades, com
escalonamento e alçada acordados e compreendidos.
02 Identificar as habilidades necessárias e o tempo requerido para todos os indivíduos envolvidos nas etapas do projeto em relação
aos papéis relacionados. Relacione os papéis baseados nas habilidades disponíveis (ex. Matriz de habilidades deTI).
03 Utilizar recursos experientes de gerência de projetos e líder de time com competências adequadas ao tamanho, complexidade e
riscos do projeto.
04 Considerar e definer claramente os papéis e responsabilidade de outras partes envolvidas, incluindo finanças, jurídico, compras,
recursos humanos, auditoria interna e compliance.
05 Definir e acordar claramente sobre a responsabilidade pela contratação e gestão dos produtos e serviços de terceiros e gerenciar
os relacionamentos.
06 Identificar e autorizar a execução do trabalho de acordo com o plano do projeto.
07 Identificar falhas no plano do projeto e fornecer opinião ao gerente do projeto para remediação.
127

BAI01.13 Finalize um projeto ou iteração. De Descrição Descrição Para
Ao final de cada projeto, publicação ou iteração, BAI07.08  Plano de medidas  Resultados da revisão APO02.04
solicitar as partes interessadas do projeto que correctivas pós‐implementação
verifiquem se o projeto, publicação ou iteração  Relatório de revisão  Lições aprendidas do Interno
entregou os resultados planejados e valor. Identificar pós‐implementação projeto
e comunicar quaisquer atividades pendentes
necessárias para atingir os resultados planejados do  Confirmações aceitação Interno
projeto e os benefícios do programa e identificar e do projeto pelas partes
documentar as lições aprendidas para uso em interessadas
projetos futuros, publicações, iterações e programas.
Atividades
01 Definir e aplicar fases chave para a finalização do projeto, incluindo análises pós‐implementação para avaliar se um projeto
alcançou resultados e benefícios desejados.
02 Planejar e executar revisões pós‐implementação para determinar se os projetos entregaram os benefícios esperados e melhorar a
gestão de projetos e a metodologia de processo de desenvolvimento de sistemas.
03 Identificar, atribuir, comunicar e controlar todas as atividades não concluídas necessárias para alcançar os resultados e benefícios
planejados pelos projetos.
04 Regularmente, e após a conclusão do projecto, coletar as lições aprendidas dos participantes do projeto. Revise estes e as
atividades‐chave que levaram a entrega dos benefícios e de valor. Analisar os dados e fazer recomendações para melhorar o
projeto atual, bem como o método de gestão de projeto para projetos futuros.
05 Obter a aceitação das partes interessadas das entregas do projeto e transferir a posse.

BAI01.14 Fechar um programa De Descrição Descrição Para
Remover o programa a partir do portfólio de BAI07.08  Plano de medidas  Comunicação da APO05.05
investimento ativo quando há um consenso de que o corretivas finalização do programa APO07.06
desejado valor foi alcançado ou quando é evidente  Relatório de revisão e atribuição de
que não será alcançado dentro dos critérios de valor pós‐implementação responsabilidades que
definido para o programa. seguem
Atividades
01 Trazer o programa para um encerramento ordenado, incluindo a aprovação formal, a dissolução da organização do programa e
funções de apoio, validação de resultados e comunicação de fechamento.
02 Rever e documentar as lições aprendidas. Uma vez que o programa é finalizado, removê‐lo do portfólio ativo de investimentos.
03 Atribuir responsabilidade e processos para garantir que a empresa continue a otimizar o valor do serviço, ativos ou recursos.
Investimentos adicionais podem ser necessários em algum momento futuro para garantir que isso ocorra.
BAI01 Orientação relacionada
BAI01 Orientação Relacionada
PMBOK
PRINCE2
128
CAPÍTULO 5
BAI02 Gerenciar Definição de Requisitos

BAI02 Gerenciar Definição de Requisitos Área: Gestão
Domínio:Construir, Adquirir e Implementar
Identificar soluções e analisar requisitos antes da aquisição ou criação de forma a assegurar que estes estão em conformidade com os
requisitos estratégicos corporativos abrangendo os processos de negócio, aplicações, informações/dados, infraestrutura e serviços.
Coordenar com as partes interessadas envolvidas a revisão das opções de viabilidade incluindo custos e benefícios relacionados, análises de
risco, e aprovação dos requisitos e soluções propostas.
Criar as soluções viáveis optimizadas que atendam as necessidades da empresa, minimizando o risco .
01 Alinhamento da estratégia de negócios e de TI  Percentual de objetivos e requisitos estratégicos corporativos suportados
 Nível de satisfação das partes interessadas com o escopo do portfólio
planejado dos programas e serviços
 Percentual de direcionadores de valor de TI mapeados para
direcionadores de valor ao negócio
07 Prestação de serviços de TI em consonância com os  Quantidade de interrupções de negócios devido a serviços de TI.
requisitos de negócio  Percentual das partes interessadas no negócio satisfeitas com os serviços
de TI que atingiram os níveis de serviço.
 Percentual de usuários satisfeitos com a qualidade de prestação dos
serviços de TI
12 Capacitação e apoio aos processos de negócios através da  Quantidade de incidentes de processamento de negócios causada por

integração de aplicativos e tecnologia erros de integração de tecnologia
 Quantidade de mudanças de processo de negócios que precisa ser
atrasada ou reformulada devido à problemas de integração de tecnologia
 Quantidade de programas de negócios habilitados por TI atrasados ou que
incorreram em custo adicional devido à problemas de integração de
tecnologia
 Quantidade de aplicações ou infraestrutura crítica operando em silos e
não integrados
01 Requisitos funcionais e técnicos de negócios refletem as  Percentual de retrabalho de requisitos devido ao desalinhamento com as
necessidades e expectativas corporativas. necessidades e expectativas corporativas.
 Nível de satisfação das partes interessadas com os requisitos.
02 A solução proposta satisfaz os requisitos funcionais,  Percentual de requisitos cobertos pela solução proposta
técnicos e de conformidade do negócio.
03 Risco associado com os requisitos foi endereçado na  Quantidade de incidentes não identificados como de risco
solução proposta.  Percentual de riscos não mitigados
04 Requisitos e soluções propostas atendem aos objetivos  Percentual de objetivos do caso de negócio atendidos pelasolução
do caso de negócio (valor esperado e custos prováveis). proposta.
 Percentual de partes interessadas que não aprovam a solução em relação
ao caso de negócio.
129
BAI02 TABELA RACI

BAI02 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI02.02
Realize um estudo de viabilidade e I R A R C C C C R R C C C C C
formule soluções alternativas.
BAI02.03
R R A R C C C C R C C C C C
Gerencie os riscos de requisitos.
BAI02.04
Obtenha aprovação dos requisitos e R R A R R C C R C R R C C C C
soluções.
BAI02.02
Realize um estudo de viabilidade e R R A R C C C C C C C C C C
formule soluções alternativas.
Bai02.01 Defina e mantenha os requisitos De Descrição Descrição Para
funcionais e técnicos. APO01.06  Procedimentos de  Respositório de definição de BAI03.01
Baseado no caso de negócio, identificar, priorizar, integridade de dados requisitos BAI03.02
especificar e alinhar com informações de negócios,  Diretrizes de BAI04.01
requisitos funcionais, técnicos e de controle segurança e controle BAI05.01
cobrindo o escopo/entendimento de todas as de dados
iniciativas necessárias para atingir os resultados  Diretrizes de
esperados da solução de negócios habilitada por TI. classificação de dados
APO03.01  Princíoios de  Critérios de aceitação BAI03.01
arquitetura confirmados pelas partes BAI03.02
interessadas BAI04.03
BAI05.01
BAI05.02
APO03.02  Modelo de arquitetura  Registro de requisitos de BAI03.09
da informação solicitações de mudanças
 Descrições dos
parametros de
domínio e definição de
arquitetura
APO03.05  Guida de
desenvolvimento de
soluções
APO10.02  RFI e RFP de
fornecedores
APO11.03  Critérios de aceitação
130
CAPÍTULO 5

Atividades
01 Definir e implementar uma definição de requisitos e procedimentos de manutenção e um repositório de requisitos que são
apropriados ao tamanho, complexidade , objectivos e riscos da iniciativa que a empresa está considerando conduzir.
02 Expressar os requisitos de negócios em termos de como a diferença entre as capacidades de negócios atuais e desejadas precisa
ser endereçada e como uma função irá interagir com a solução e como utilizá‐la.
03 Ao longo do projeto, extrair, analisar e confirmar que todos os requisitos das partes interessadas, incluindo critérios relevantes de
aceitação, são considerados, capturados, priorizados e registrados de modo que seja compreensível às partes interessadas,
patrocinadores de negócio e time técnico de implantação, reconhecendo que os requisitos podem mudar e se tornarem mais
detalhados a medida que são implementados.
04 Especificar e prioriozar as informações, os requisitos funcionais e técnicos com base nos requisitos das partes interessadas. Incluir
requisitos de controle de informação nos processos de negócios, processos automatizados e ambientes de TI para endereçar os
riscos de informação e cumprir com leis, regulamentos e contratos comerciais.
05 Validar todos os requisitos por meio de abordagens tais como revisão por pares, validação de modelo ou protótipo operacional
06 Confirmar a aceitação dos aspectos essenciais dos requisitos, incluindo as regras corporativas, controles de informação,
continuidade dos negócios, conformidade legal e regulatória, auditabilidade, ergonomia, funcionalidade e usabilidade, segurança e
documentação de suporte.
07 Acompanhar e controlar o escopo, os requisitos e mudanças pelo ciclo de vida da solução ao longo do projeto assim como
compreendendo as soluções evoluem.
08 Considere os requisitos relacionados com as políticas e padrões corporativos, arquitetura corporativa, planos estratégicos e táticos
de TI, negócios internos e terceirizados e processos de TI, requisitos de segurança, requisitos regulatórios, competências de
pessoas, estrutura organizacional, casos de negócios e habilitadores de tecnologia.

BAI02.02Realizar estudo de viabilidade e De Descrição Descrição Para
reformular soluções alternativas. APO03.05  Guia de  Relatório de estudo de BAI03.02
Realizar estudo de viabilidade de soluções desenvolvimento de viabilidade BAI03.03
alternativas potenciais, avaliar as viabilidades soluções
destes e selecionar a solução mais adequada. Se
APO10.01  Catálogo de  Plano de APO10.02
for o caso, implantar a opção selecionada como um
fornecedores aquisição/desenvolvimento em BAI03.01
piloto para determinar possíveis melhorias.
APO10.02  Decisões sobre as alto‐nível
avaliações dos
fornecedores
 Avaliações de RFI e
RFP
 RFI e FRP de
fornecedores
APO11.03  Critérios de aceite
Atividades
01 Definir e executar um estudo de viabilidade, piloto ou solução de trabalho básico que de forma clara e conisa descreva as soluções
alternativas que irão cobrir satisfatoriamente os requisitos funcionais e de negócios. Incluir uma avaliação de viabilidade
tecnológica e econômica.
02 Identificar as ações necessárias para a aquisição de soluções ou desenvolvimento baseado na arquitetura corporative, e levar em
conta limitações de escopo e/ou de tempo e/ou orçamentária.
03 Revisar as soluções alternativas com todas as partes interessadas e selecionar a mais adequada baseada em critérios de
viabilidade, incluindo riscos e custos.
04 Traduzir o direcionamento de ação em um plano de alto nível de aquisição/desenvolvimento identificando recursos a serem
utilizados e etapas que exigem uma decisão de passa/não passa.
BAI02.03 Gerenciar os requisitos de risco. De Descrição Descrição Para
Identificar, documentar, priorizar e mitigar riscos  Registro riscos de requisitos BAI01.10
funcionais, técnicos e de informação relacionados BAI03.02
aos processos com os requisitos corporativos e BAI04.01
solução proposta. BAI05.01
 Ações de mitigação de riscos BAI01.10
BAI03.02
BAI05.01
131

Atividades
01 Envolver as partes interessadas para criar uma lista de potenciais requisitos de qualidade, functionais e técnicos e riscos
relacionados ao processamento de informação (devido a por exemplo falta de envolvimento do usuário, expectativas irrealistas,
desenvolvedores adicionando funcionalidades desnecessárias).
02 Analisar e priorizar os riscos de requisitos de acordo com a probabilidade e impacto. Se aplicável, determinar os impactos em
orçamento e cronograma.
03 Identificar meios de controlar, evitar ou mitigar os riscos de requisitos em ordem de prioridade.
BAI02.04 Obter a aprovação de requisitos e De Descrição Descrição Para
soluções. BAI01.09  Plano deGestão de  Aprovações de patrocinadores BAI03.02
Coordenar as respostas das partes interessadas Qualidade em requisitos e soluções BAI03.03
afetadas e, em etapas‐chave determinadas, obter propostas BAI03.04
do patrocinador de negócios ou dono do produto
 Revisões de qualidade APO11.02
aprovação e assinatura dos requisitos funcionais e
aprovadas
técnicos, dos estudos de viabilidade, das análises
de risco e das soluções recomendadas .
Atividades
01 Assegurar que o patrocinador de negócios oud ono do produto tome a decisão final no que diz respeito a escolha da solução,
abordagem de aquisição e concepção de alto nível, de acordo com o caso de negócio. Coordenar as opiniões das partes
interessadas envolvidas e obter as assinaturas das autoridades de negócio e técnica adequadas (ex. Dono do processo de negócio,
arquiteto corporativo, gerente de operações, segurança) para a abordagem proposta.
02 Obter revisões de qualidade ao longo e no final de cada etapa‐chave do projeto, iteração ou lançamento para avaliar os resultados
com os critérios originais de aceite. Tenha a assinatura de patrocinadores de negócios e outras partes interessadas em cada
revisão de qualidade positiva.
ITIL V3 2011 Desenho de Serviçco, 4.1 Coordenação do Desenho
132
CAPÍTULO 5
BAI03 Gerenciar Identificação e Desenvolvimento de Soluções

BAI03 Gerenciar Identificação e Desenvolvimento de Soluções Área: Gestão
Domínio: Construir, Adquirir e Implementar
Estabelecer e manter soluções identificadas em linha com os requisitos corporativos cobrindo concepção, desenvolvimento,
aquisição/suprimento e parceria com fornecedores/vendedores. Gerenciar configuração, preparação de testes, execução de testes, gestão de
requisitos e manutenção de processos de negócios, aplicações, informações/dados, infraestrutura e serviços.
Estabelecer soluções tempestivas e eficientes capazes de suportar os objetivos corporativos estratégicos e operacionais.
07 Prestação de serviços de TI em consonância com os  Quantidade de interrupções de negócios relacionados a incidentes de
requisitos de negócio serviços de TI
 Percentual de partes interessadas de negócios satisfeita com as entregas
dos serviços de TI atingindo os níveis de serviço acordados
entregue
01 A concepção da solução, incluindo componentes  Quantidade de redesenho de soluções por desalinhamento aos requisitos.
relevantes, atende às necessidades corporativas, alinha‐  Tempo necessário para aprovação da entrega da concepção que atingiu as
se com os padrões e cobre todos os riscos identificados. expectativas
02 A solução, conforme a concepção, está de acordo com os  Quantidade de exceções à solução observada durante as etapas de

padrões corporativos, e possui controles adequados, revisão
segurança e auditabilidade.
03 A solução é de qualidade aceitável e foi testada com  Quantidade de erros identificados durante os testes
sucesso.  Tempo e esforço para completer as tarefas
04 Alterações aprovadas aos requisitos são corretamente  Quantidade de alterações aprovadas rastreadas nos quais geraram novos
incorporadas na solução. erros
05 Atividades de manutenção atendem com sucesso as  Quantidade de pedidos de manutenção insatisfatórias
necessidades tecnológicas e de negócios.
133
BAI03 TABELA RACI

BAI03 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI03.01
R I R C C I C A C C C C C
Desenhe soluções de alto‐nível
BAI03.02
Desenhe components de solução R I R C C I C A C C C C C
detalhados
BAI03.03
Desenvolva components de R I R C C I C A C C C C C
solução
BAI03.04
I R I I C C A I R R R C C C C
Adquira componentes de solução.
BAI03.05
R I R C C I C A C C C C C
Construa soluções.
BAI03.06
I R A R C C I C R C C C C C
Efetue garantia de qualidade.
BAI03.07
R A I C C I R R R R R R
Pepare‐se para testes das soluções.
BAI03.08
R A I I I I R R I I I I
Executar testes das soluções.
BAI03.09
I R A R I I C R R C C C C C
Gerencie mudanças a requisites.
BAI03.10
R R C C I C A C C C C C
Faça manutenção das soluções.
BAI03.11
Defina os serviços de TI e I I I I I R I C C C A I I
mantenha o porftólio de serviços.
134
CAPÍTULO 5
BAI03 Práticas de Processo, Entradas/Saídas e Atividades.

BAI03.01 Especificar soluções de alto nível. De Descrição Descrição Para
Desenvolver e documentar soluções de alto nível APO03.01  Princípios de arquitetura  Especificação BAI04.03
usando técnicas de desenvolvimento ágil ou em aprovada do design de BAI05.01
APO03.02  Descrições de padrões de
cascata previamente acordadas. Garantir o alto nível
domínio e definição da
alinhamento com a estratégia de TI e a arquitetura
arquitetura
corporativa. Reanalisar e atualizar as especificações
quando questões significativas ocorrerem durante APO04.03  Pesquisa de possibilidades de
a definição de especificações detalhadas, nas fases inovação
de construção ou conforme a solução evoluir. APO04.04  Avaliação de ideias de inovação
Garantir que as partes interessadas participem
BAI02.01  Confirmação de critérios de
ativamente na especificação e aprovem cada
aceitação das partes
versão.
interessadas
 Repositório de definição de
requisitos
BAI02.02  Plano de
aquisição/desenvolvimento de
alto nível
Atividades
01 Estabelecer uma especificação de alto nível que traduz a solução proposta em processos de negócio, suportando serviços,
aplicações, infraestrutura e repositórios de informações capazes de atingir os requerimentos de negócio e de arquitetura
corporativa.

02 Envolver usuários apropriadamente qualificados e experientes e especialistas de TI no processo de especificação para assegurar
que a especificação provê uma solução que otimamente utiliza as capacidades de TI propostas para melhorar os processos de
negócio.
03 Criar uma especificação em conformidade com os padrões de especificação da organização, num nível de detalhe que é
apropriado para a solução e método de desenvolvimento e consistente com as estratégias de negócio, TI e corporativa, com a
arquitetura corporativa, planos de segurança, leis, regulações e contratos.
04 Após a aprovação pela garantia de qualidade, submeter a especificação de alto nível final para as partes interessadas do projeto,
dono do processo de negócio e patrocinador para aprovação com base em um critério pré‐acordado. Essa especificação vai evoluir
durante o projeto conforme o entendimento se aprimorar.
BAI03.02 Especificar componentes detalhados De Descrição Descrição Para
da solução. APO03.01  Princípios de arquitetura  Especificação BAI04.03
Desenvolver, documentar e elaborar especificações detalhada aprovada BAI05.01
detalhadas progressivamente usando técnicas de
APO03.02  Modelo de arquitetura da  Revisões de SLA e OLA APO09.03
desenvolvimento ágil ou em cascata previamente
informação BAI04.02
acordadas, endereçando todos os componentes
 Definição de descrições de
(processos de negócio e controles manuais e
domínio e arquitetura
automáticos relacionados, aplicações de TI de
apoio, serviços de infraestrutura, produtos de APO03.05  Orientação para
tecnologia e parceiros/fornecedores). Assegurar desenvolvimento de solução
que a especificação detalhada inclui SLAs e OLAs APO04.06  Avaliações de uso de
internos e externos. abordagens inovadoras
BAI02.01  Critérios de aceite confirmados
das partes interessadas
 Repositório de definição de
requisites
BAI02.02  Relatório do estudo de
viabilidade
BAI02.03  Ações para mitigação de risco
 Registro de riscos de
requerimentos
BAI02.04  Aprovação pelo patrocinador
dos requisitos e soluções
propostas
135

Atividades
01 Definir progressivamente as atividades dos processos de negócio e fluxos de trabalho que precisam ser executados em conjunto
com o novo sistema aplicativo para atingir os objetivos corporativos, incluindo a definição de atividades de controle manuais.
02 Definir os passos de processamento da aplicação, incluindo a especificação de tipos de transação e regras de negócio, controles
automáticos, definições de dados e objetos de negócio, casos de uso, interfaces externas, restrições e outros requerimentos (ex:
licenças, jurídico, padrões, internacionalização/localização).
03 Classificar as entradas e saídas de dados de acordo com os padrões corporativos de arquitetura. Especificar a coleta de dados
fonte, documentando as entradas de dados (independentemente da fonte) e validações para processamento de transações, bem
como os métodos de validação. Definir as saídas identificadas, incluindo as fontes de dados.
04 Definir interfaces de sistema/solução, incluindo quaisquer intercâmbios automatizados de dados.
05 Definir o armazenamento de dados, localização, recuperação e recuperabilidade.
06 Definir a redundância apropriada, recuperação e backup.
07 Definir a interface entre o usuário e o sistema de aplicação para que seja de uso fácil e autodocumentado.
08 Considerar o impacto que a necessidade da solução por performance de infraestrutura, sendo sensível ao número de ativos de
informática, largura de banda e sensibilidade da informação.
09 Proativamente avaliar deficiências de definição (ex: inconsistências, falta de clareza, possíveis falhas) ao longo do ciclo de vida,
identificando melhorias quando requerido.
10 Prover a habilidade para auditar transações e identificar causas raiz de erros de processamento.
BAI03.03 Desenvolver os componentes da De Descrição Descrição Para
solução.
BAI02.02  Relatório do estudo de  Documentação dos BAI04.03

Desenvolver componentes da solução viabilidade componentes da BAI05.05
progressivamente de acordo com as especificações solução BAI08.03
BAI02.04  Aprovação dos requerimentos
detalhadas seguindo padrões de desenvolvimento, BAI08.04
e soluções propostos pelo
documentação, requerimentos de garantia da
patrocinador
qualidade e aprovações. Assegurar que todos os
requisitos de controle nos processos de negócio,
aplicações de TI e serviços de infraestrutura que os
suportam, produtos de serviços e tecnologia e
parceiros/fornecedores são endereçados.
Atividades
01 Desenvolver processos de negócio, serviços de suporte, aplicações e infraestrutura e repositórios de informação com base em
requerimentos de negócio, funcionais e técnicos pré‐acordados.
02 Quando fornecedores terceirizados estiverem envolvidos no desenvolvimento da solução, assegurar que os padrões de
manutenção, suporte, desenvolvimento e licenciamento estejam endereçados em obrigações contratuais.
03 Acompanhar requisições de mudança e revisões de definições, desempenho e qualidade, assegurando a participação ativa de
todas as partes interessadas.
04 Documentar todos os componentes da solução de acordo com padrões definidos e manter controle de versão sobre todos os
componentes desenvolvidos e documentação associada.
05 Avaliar o impacto de configuração e customização da solução no desempenho e eficiência de soluções adquiridas e a
interoperabilidade com aplicações existentes, sistemas operacionais e outra infraestrutura. Adaptar os processos de negócio
conforme requeridos para alavancar a capacidade da aplicação.
06 Assegurar que responsabilidades pelo uso de componentes de infraestrutura de acesso restrito ou alta segurança sejam
claramente definidos e entendidos pelos que desenvolvem e integram componentes de infraestrutura. O seu uso deve ser
monitorado e avaliado.
BAI03.04 Adquirir componentes da solução. De Descrição Descrição Para
Adquirir componentes da solução com base no BAI02.04  Aprovação dos requisitos e  Plano de aquisição APO10.03
plano de aquisição de acordo com os requisitos e soluções propostas pelo aprovado
especificações detalhadas, princípios e padrões de patrocinador.  Atualizações no BAI09.01
arquitetura, e com as políticas e procedimentos
inventário de ativos.
corporativos de compras e contratos, requisitos de
garantia de qualidade e aprovações. Assegurar que
todos os requisitos legais e contratuais sejam
identificados e endereçados pelo fornecedor.
136
CAPÍTULO 5

Atividades
01 Criar e manter um plano para aquisição de componentes de solução, considerando a flexibilidade futura para aumento de
capacidade, custos de transição e atualizações durante a vida do projeto.
02 Revisar e aprovar todos os planos de aquisição, considerando o risco, custos, benefícios e a conformidade técnica com os padrões
de arquitetura corporativa.
03 Avaliar e documentar o grau em que as soluções adquiridas requerem adaptações de processos de negócio para alavancar os
benefícios da solução adquirida.
04 Providenciar as aprovações requeridas em pontos chave de decisão durante o processo de aquisição.
05 Registrar o recebimento de todas as aquisições de software e infraestrutura no inventário de ativos.
BAI03.05 Construir soluções. De Descrição Descrição Para
Instalar e configurar soluções e integrá‐las com as  Componentes de BAI06.01
atividades de processos de negócio. Implementar solução integrados e
medidas de controle, segurança e auditabilidade configurados
durante a configuração e durante a integração do
hardware e software de infraestrutura, para
proteger os recursos e garantir a disponibilidade e
integridade dos dados. Atualizar o catálogo de
serviços para refletir as novas soluções.
Atividades
01 Integrar e configurar os componentes de solução de TI e de negócio e os repositórios de informação em linha com as
especificações detalhadas e requisitos de qualidade. Considerar o papel dos usuários, partes interessadas e donos do processo na

configuração de processos de negócio.
02 Completar e atualizar os manuais operacionais e os processos de negócio, quando necessário, para considerar qualquer
customização ou condições especiais para a implementação.
03 Considerar todos os requisitos de controle da informação na integração e configuração de componentes, incluindo a
implementação de controles de negócio, quando apropriado, em controles automatizados para que o processamento seja correto,
completo, pontual, autorizado e auditável.
04 Implementar trilhas de auditoria durante a configuração e integração de hardware e software de infraestrutura para proteger
recursos e garantir a disponibilidade e integridade.
05 Considerar quando o efeito de customizações e configurações cumulativas (incluindo mudanças de pequeno porte que não foram
submetidas a especificações formais) requeiram uma reavaliação de alto nível da solução e funcionalidades associadas.
06 Assegurar a interoperabidade dos componentes da solução com testes, preferencialmente automatizados.
07 Configurar os softwares de aplicação adquiridos para atender aos requisitos de processamento de negócio.
08 Definir catálogos de serviço para públicos alvo internos e externos com base nos requisitos de negócio.
BAI03.06 Executar a garantia de qualidade. De Descrição Descrição Para
Desenvolver, obter recursos e executar um plano APO11.01  Resultados das revisões de  Plano de garantia de APO11.04
de garantia de qualidade alinhado com o sistema efetividade do sistema de qualidade
de garantia de qualidade para atingir a qualidade gestão da qualidade
especificada na definição de requisitos e os
BAI01.09  Plano de gestão da qualidade  Resultados da revisão APO11.04
procedimentos e padrões corporativos de
de qualidade,
qualidade.
exceções e correções
Atividades
01 Definir um plano e práticas de garantia de qualidade, como, por exemplo, a especificação de critérios de qualidade, processos de
validação e verificação, definição de como a qualidade será revisada, qualificações necessárias aos revisores de qualidade e papéis
e responsabilidades.
02 Monitorar frequentemente a qualidade da solução com base em requisitos de projeto, políticas corporativas, aderência à
metodologias de desenvolvimento, procedimentos de gestão da qualidade e critérios de aceite.
03 Empregar a inspeção de código, práticas de desenvolvimento orientadas a testes, testes automatizados, integração contínua,
walkthroughs e testes de aplicações quando apropriado. Reportar sobre resultados dos processos de monitoramento e teste para
a equipe de desenvolvimento de sistema e para a gestão de TI.
04 Monitorar todas as exceções de qualidade e endereçar todas as ações corretivas. Manter um registro com todas as revisões,
resultados, exceções e correções. Repetir as revisões de qualidade, quando apropriado, com base na quantidade de retrabalho e
ações corretivas.
137

BAI03.07 Preparar para teste da solução. De Descrição Descrição Para
Estabelecer um plano de teste e ambientes  Plano de teste BAI07.03
necessários para testes unitários e integrados dos
 Procedimentos de BAI07.03
componentes da solução, incluindo os processos
teste
de negócio e serviços de suporte, aplicações e
infraestrutura.
Atividades
01 Criar um plano de teste integrado e práticas de acordo com o ambiente corporativo e planos estratégicos de tecnologia que
possibilitarão a criação de ambientes de teste e simulação para auxiliar a verificar que a solução operará com sucesso no ambiente
produtivo, entregará os resultados pretendidos e que os controles são adequados.
02 Criar um ambiente de teste que suporte o escopo completo da solução e reflita, o mais próximo possível, de condições reais de
uso, incluindo processos e procedimentos de negócio, número de usuários, tipos de transação e condições de desenvolvimento.
03 Criar procedimentos de teste alinhados com o plano e práticas e permitem a avaliação da operação da solução em condições reais
de uso. Assegurar que os procedimentos de teste avaliam a adequacidade dos controles, com base em padrões corporativos que
definem papéis, responsabilidades e critérios de teste e que são aprovadas pelas partes interessadas do projeto, pelo patrocinador
e pelo proprietário do processo de negócio.
BAI03.08 Executar testes de solução. De Descrição Descrição Para
Executar testes continuamente durante o APO04.05  Análise de iniciativas rejeitadas  Registros de BAI07.03
desenvolvimento, incluindo testes de controle, de resultados de teste e
acordo com o plano de teste definido e práticas de trilhas de auditoria
desenvolvimento no ambiente apropriado.

 Comunicação de BAI07.03
Assegurar a participação de proprietários de
resultados de teste
processos de negócio e usuários finais no time de
teste. Identificar, logar e priorizar erros e
problemas identificados durante o teste.
Atividades
01 Executar testes de soluções e seus componentes, com representantes dos processos de negócio e usuários finais. Assegurar que os
testes sejam conduzidos somente nos ambientes de desenvolvimento e teste.
02 Utilizar instruções de teste claros, como definido no plano de testes, e considerar a proporção adequada de testes automatizados
e testes interativos com usuários.
03 Executar todos os testes de acordo com práticas e o plano de teste incluindo a integração de processos de negócio e soluções de TI
e requisitos não‐funcionais (ex: segurança, interoperabilidade, usabilidade).
04 Identificar, registrar e classificar erros (ex: menor, significativo e missão crítica) durante os testes. Repetir os testes até que todos
os erros significativos tenham sido resolvidos. Assegurar que uma trilha de auditoria com os resultados de teste seja mantida.
05 Registrar os resultados de teste e comunicar os resultados para as partes interessadas de acordo com o plano de teste.
BAI03.09 Gerenciar mudanças de requisitos. APO04.05  Resultados e recomendações  Registro de todas as BAI06.03
Acompanhar o status de requisitos individuais das provas de conceito requisições de
(incluindo requisitos rejeitados) durante o ciclo de BAI02.01 mudança submetidas
 Registro das requisições de
vida do projeto e gerenciar a aprovação de e aprovadas
mudanças de requisitos
mudanças de requisitos.
Atividades
01 Avaliar o impacto de todas as requisições de mudança no desenvolvimento da solução, o caso de negócio original e orçamento e
categorizá‐los e priorizá‐los de acordo.
02 Acompanhar as mudanças no requisites, possibilitando o monitoramento, revisão e aprovação por todas as partes interessadas.
Assegurar que os resultados do processo de mudança são completamente entendidos e acordados por todas as partes
interessadas, o patrocinador e o proprietário do processo de negócio.
03 Aplicar as requisições de mudança, mantendo a integridade da integração e configuração dos componentes da solução. Avaliar o
impacto de qualquer atualização significativa da solução e classificar de acordo com critérios objetivos pré‐acordados (como
requisitos corporativos), com base nos resultados de análise do risco envolvido (como o impacto em sistemas, processos ou
segurança existentes), justificativa do custo‐benefício e outros requisitos.
138
CAPÍTULO 5

BAI03.10 Manter soluções. De Descrição Descrição Para
Desenvolver e executar um plano para manutenção  Plano de manutenção APO08.05
da solução e dos componentes de infraestrutura.
 Componentes da BAI05.05
Incluir revisões periódicas das necessidades de
solução atualizados e
negócio e requisitos operacionais.
documentação
relacionada
Atividades
01 Desenvolver e executar um plano para manutenção dos componentes da solução que inclua revisões periódicas das necessidades
de negócio e requisitos operacionais como gestão de correções, estratégias de atualização, mapeamento de vulnerabilidades e
requisitos de segurança.
02 Avaliar a significância das atividades de manutenção propostas na funcionalidade, processos de negócio e especificação atuais da
solução. Considerar o risco, impacto aos usuários e disponibilidade de recursos. Assegurar que os proprietários dos processos de
negócio entendem o efeito de categorizar mudanças como manutenção.
03 Em caso de grandes mudanças nas soluções existentes que resultem em mudanças significativas nas especificações,
funcionalidades e processos de negócio correntes, seguir o processo de desenvolvimento de novos sistemas. Para atualizações de
manutenção, utilizar o processo de gestão de mudanças.
04 Assegurar que o padrão e o volume de atividades de manutenção são analisados periodicamente a fim de verificar atividades
anormais, indicando problemas de qualidade e desempenho, custo‐benefício de uma grande atualização, ou a substituição da
solução ao invés da manutenção.
05 Para atualizações de manutenção, utilizar o processo de gestão de mudanças para controlar todas as requisições.

BAI03.11 Definir os serviços de TI e manter o De Descrição Descrição Para
catálogo de serviços. EDM04.01  Princípios guia para alocação  Definições de serviço APO05.01
Definir e acordar serviços de TI e opções níveis de de recursos e competências DSS01.03
serviço novos ou atualizados. Documentar
APO02.04  Descrição do custo benefício  Catálogo de serviços APO05.05
definições de serviço e opções de nível de serviço
do ambiente alvo atualizado
novas ou atualizadas no catálogo de serviços.
 Deficiências e mudanças
necessárias para atingir a
competência almejada
APO06.02  Alocação de orçamento
APO06.03  Comunicações do orçamento
 Plano de orçamento de TI
APO08.05  Definição de projetos de
melhoria potenciais
BAI10.02  Baseline de configuração
BAI10.03  Baseline de aprovação de
mudanças
BAI10.04  Relatórios de status de
configuração
Atividades
01 Propor definições de serviços de TI novos ou alterados para assegurar que os serviços atingem seu propósito. Documentar as
propostas de definição de serviços a serem desenvolvidos no catálogo.
02 Propor opções de nível de serviços novas ou alteradas (tempos de serviço, satisfação do usuário, disponibilidade, desempenho,
capacidade, segurança, continuidade, conformidade e usabilidade) para assegurar que os serviços de TI estão próprios para uso.
Documentar as opções de serviços propostas no catálogo.
03 Intefacear com a gestão de relacionamento com o negócio e gestão do catálogo para acordar as definições de serviço e opções de
nível de serviço propostas.
04 Se as mudanças de serviço não forem aprovadas pelo aprovador competente, elaborar serviços de TI ou opções de nível de serviço
novas ou melhoradas. Caso contrário, encaminhar a mudança no serviço para a gestão do catálogo para revisão do investimento.
Nenhum
139
BAI04 Gerenciar Disponibilidade e Capacidade

BAI04 Gerenciar Disponibilidade e Capacidade Área: Gestão
Balancear as necessidades atuais e futuras por disponibilidade, desempenho e capacidade com provisão de serviços eficiente.
Incluir a avaliação de competências atuais, prevendo as necessidades futuras com base em requisitos de negócio, análise de impactos, e
avaliação de riscos para planejar e implementar ações que se adequam aos requerimentos identificados.
Manter a disponibilidade do serviço, gestão eficiente dos recursos, e otimizar o desempenho do sistema através da previsão de requisitos de
capacidade futuros.
07 Prestação de serviços de TI em consonância com os  Número de rupturas de negócio causadas por incidentes de serviços de TI
requisitos de negócio  Percentual das partes interessadas de negócio satisfeitas com a entrega de
serviços de TI que está dentro dos níveis de serviço pré‐acordados
 Percentual de usuários satisfeitos com a qualidade da entrega de serviços de TI
11 Otimização de ativos, recursos e capacidades de TI  Frequência de avaliações de otimizações de custo e da maturidade
 Resultados das avaliações de tendência
14 Disponibilidade de informações úteis e confiáveis  Nível de satisfação dos usuários de negócio com a qualidade e a tempestividade
para a tomada de decisão (ou disponibilidade) de informações gerenciais
 Quantidade de incidentes em processos de negócio causados pela
indisponibilidade de informação
 Proporção e extensão de decisões incorretas de negócio onde informações
incorretas ou indisponíveis foram o fator chave

01 O plano de disponibilidade antecipa as expectativas  Quantidade de atualizações não planejadas de capacidade, desempenho e
de negócio sobre requisitos críticos de capacidade disponibilidade
02 Capacidade, desempenho e disponibilidade estão  Quantidade de picos de transações onde o desempenho alvo é superado
de acordo com os requisitos  Quantidade de incidentes de disponibilidade
 Quantidade de eventos onde a capacidade excedeu os limites planejados
03 Problemas de disponibilidade, desempenho e  Quantidade e percentual de problemas não resolvidos de disponibilidade,
capacidade são identificados e rotineiramente desempenho e capacidade
resolvidos
140
CAPÍTULO 5
BAI04 TABELA RACI

BAI04 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI04.01 Avaliar a disponibilidade, I C C A R C C
desempenho e capacidade atuais e
criar um padrão.
BAI04.02 Avaliar o impacto no A C C R R C C
negócio
BAI04.03 Planejamento para R C C A R C C
requisitos de serviços novos ou
alterados.

BAI04.03 Planejamento para R C C A R C C
requisitos de serviços novos ou
alterados
BAI04.05 Investigar e endereçar I R I R C A R I I
problemas de disponibilidade,
desempenho e capacidade
BAI04.01 Avaliar a disponibilidade, desempenho e De Descrição Descrição Para
capacidade atuais e criar um padrão. BAI02.01  Repositório de  Padrões de Interno
Avaliar a disponibilidade, desempenho e capacidade de definição de requisitos disponibilidade,
serviços e recursos para assegurar que a capacidade e desempenho e
performance estão disponíveis a um custo justificável capacidade
para suportar as necessidades de negócio e entregar os
BAI02.03  Registro de riscos de  Avaliações dos níveis APO09.05
níveis de serviço.
requisitos de serviço
Criar padrões de disponibilidade, desempenho e
capacidade para comparação futura.
Atividades
01 Considerar nas avaliações (atuais e previstas) de disponibilidade, desempenho e capacidade de serviços e recursos: requisitos do
cliente, prioridades de negócio, objetivos de negócio, impacto no orçamento, utilização de recursos, competências de TI e
tendências da indústria.
02 Monitorar o desempenho e utilização da capacidade atual contra limites definidos, quando necessário com o suporte de software
automatizado.
03 Identificar e acompanhar todos os incidentes causados por capacidade ou desempenho inadequados.
04 Avaliar regularmente os níveis correntes de desempenho para todos os níveis de processamento (demandas de negócio,
capacidade do serviço e capacidade do recurso) comparando‐os contra tendências e níveis de serviços, levando em consideração
mudanças no ambiente.
141

BAI04.02 Avaliar o impacto no negócio. De Descrição Descrição Para
Identificar os serviços importantes para a organização, APO09.03  Acordos de nível de  Cenários de Interno
mapear os serviços e recursos com os processos de serviço e acordos de disponibilidade,
negócio, e identificar dependências de negócio. nível operacional desempenho e
Assegurar que o impacto de recursos indisponíveis é capacidade
completamente acordado e aceito pelo cliente.
BAI03.02  Revisão dos acordos de  Avaliações de Interno
Assegurar que, para funções vitais de negócio, os níveis
nível de serviço e impacto no negócio
de serviço relacionados à disponibilidade podem ser
acordos de nível relacionacionadas a
atingidos.
operacional disponibilidade,
desempenho e
capacidade
Atividades
01 Identificar somente as soluções ou serviços que são críticos para os processos de gestão da disponibilidade e capacidade.
02 Mapear as soluções ou serviços selecionados com aplicações, e infraestrutura com os quais são dependentes para habilitar o foco
em recursos críticos para o planejamento da disponibilidade.
03 Coletar dados sobre padrões de disponibilidade de logs de falhas passadas e monitoramento do desempenho. Utilizar ferramentas
de modelagem para ajudar a prever falhas com base em tendências históricas de uso e expectativas da administração sobre novos
ambientes ou condições de uso.
04 Criar cenários com base nos dados coletados, descrevendo situações de disponibilidade futuras para ilustrar a variedade de níveis
de capacidade potenciais necessários para atingir o desempenho e disponibilidade objetivado.
05 Determinar a probabilidade de que o objetivo de disponibilidade e desempenho não seja atingido com base nos cenários.
06 Determinar o impacto dos cenários nas métricas de desempenho de negócio (ex.: receita, lucro, serviços ao cliente). Engajar a
linha de serviços, líderes funcionais (especialmente finanças) e regionais para entender a avaliação de impacto destes.
07 Assegurar que os donos dos processos de negócio entendam e concordem com os resultados da análise. Dos proprietários de
negócio, obter uma lista de riscos não aceitáveis que demandem uma resposta para reduzir o risco a níveis aceitáveis.
BAI04.03 Planejamento para requisitos de serviços De Descrição Descrição Para
novos ou alterados. BAI02.01  Critérios de aceite  Melhorias APO02.02
Planejar e priorizar as implicações de mudanças de confirmados pelas priorizadas
necessidades de negócio e requisitos de serviço para a partes interessadas
disponibilidade, desempenho e capacidade.
BAI03.01  Especificações de alto  Planos de APO02.02
nível aprovadas capacidade e
BAI03.02  Especificações desempenho
detalhadas aprovadas
BAI03.03  Componentes de
solução documentados
Atividades
01 Revisar as implicações de disponibilidade e capacidade na análise de tendências de serviço.
02 Identificar as implicações na capacidade e disponibilidade de mudanças de necessidades de negócio e oportunidades de melhoria.
Utilizar técnicas de modelagem para validar a disponibilidade, desempenho e planos de capacidade.
03 Priorizar as melhorias necessárias e criar planos de capacidade e disponibilidade de custo justificável.
04 Ajustar os planos de capacidade e disponibilidade e acordos de nível de serviço baseado em processos de negócios novos,
propostos e/ou projetados e dando suporte a mudanças de serviços, aplicações e de infraestrutura, assim como revisões do
desempenho atual e utilização da capacidade, incluindo níveis de carga de trabalho.
05 Assegurar que a administração compare a demanda atual de recursos com a oferta e demanda previstas para avaliar as técnicas de
previsão atuais e fazer melhorias quando possível.
BAI04.04 Monitorar e revisar a disponibilidade e De Descrição Descrição Para
capacidade.  Relatórios de MEA01.03
Monitorar, medir, analisar, reportar e revisar a desempenho,
disponibilidade, desempenho e a capacidade. capacidade e
Identificar desvios dos padrões estabelecidos. Revisar disponibilidade
os relatórios de análise de tendência identificando
ações onde necessário, e assegurando que todos os
problemas restantes sejam endereçados.
142
CAPÍTULO 5

Atividades
01 Estabelecer um processo para a coleta de dados para prover a administração com informações de monitoramento e reporte
sobre as cargas disponibilidade, performance e capacidade de todos os recursos relacionados à informação.
02 Prover reportes regulares dos resultados de forma adequada para revisão por TI e pela administração do negócio e comunicação
para a administração corporativa.
03 Integrar atividades de monitoração e reporte às atividades iterativas de gestão de capacidade (monitoramento, análise, ajuste e
implementações)
04 Prover relatórios de capacidade para os processos de orçamento.
BAI04.05 Investigar e endereçar problemas de De Descrição Descrição Para
disponibilidade, desempenho e capacidade.  Deficiências de Interno
Encaminhar os desvios investigando e resolvendo os desempenho e
problemas de disponibilidade, desempenho e capacidade
capacidade identificados.
 Ações corretivas APO02.02
 Procedimentos de DSS02.02
escalação de
emergência.
Atividades
01 Obter orientação de manuais de produto de fornecedores para assegurar um nível apropriado de disponibilidade de desempenho
para picos de processamento e carga de trabalho.
02 Identificar deficiência de capacidade e desempenho com base no monitoramento do desempenho atual e previsto. Utilizar as

especificações conhecidas de disponibilidade, continuidade e recuperação para classificar recursos e permitir a priorização.
03 Definir ações corretivas (ex.: transferir carga de trabalho, priorização de tarefas e adição de recursos, quando problemas de
capacidade e performance forem identificados).
04 Integrar ações corretivas requeridas nos processos de planejamento e gestão de mudanças apropriados.
05 Definir um procedimento de escalação para um procedimento de resolução rápido em caso de problemas de capacidade e
performance.
ISO/IEC 20000 6.3 Serviço e gerenciamento de continuidade e disponibilidade
ITIL V3 2011 Desenho de Serviço, 4.4 Gestão de Disponibilidade
Desenho de Serviço, 4.5 Gestão de Capacidade
143
BAI05 Gerenciar Capacidade de Mudança Organizacional

BAI05 Gerenciar Capacidade de Mudança Organizacional Área: Gestão
Maximizar a probabilidade de implementações de mudanças organizacionais que afetem toda a corporação com sucesso, rapidamente, com
risco reduzido, cobrindo o ciclo completo de mudanças e de todas as partes interessadas afetadas no negócio e em TI.
Preparar e comprometer as partes interessadas para mudanças no negócio e reduzir o risco de falhas.
08 Uso adequado de aplicativos, informações e soluções  Percentual de proprietários de processo de negócio satisfeitos com os
tecnológicas produtos de TI e serviços de suporte
 Nível de entendimento pelos proprietários de processos de negócio de
como soluções de tecnologia suportam os seus processos
 Nível de satisfação dos usuários de negócio com treinamento e manuais
de usuário
 Valor presente mostrando o nível de satisfação do negócio com a
qualidade e utilidade das soluções de negócio
13 Entrega de programas fornecendo benefícios, dentro do  Quantidade de programas/projetos no prazo e dentro do orçamento
prazo, orçamento e atendendo requisitos  Percentual de partes interessadas satisfeitas com os programas/projetos
 Quantidade de programas precisando de retrabalho significativo devido a
falhas de qualidade
 Custo de manutenção de aplicações contra o custo total de TI
17 Conhecimento, expertise e iniciativas para inovação dos  Nível de conscientização de executivos de negócio e entendimento das
negócios possibilidades de inovações em TI

 Nível de satisfação das partes interessadas com os níveis de perícia e
ideias de inovação em TI
01 Desejo de mudança das partes interessadas foi  Nível de desejo das partes interessadas pela mudança
entendido.  Nível de envolvimento da alta administração
02 Time de implementação é competente e hábil para  Avaliações de satisfação das partes interessadas sobre o time de
conduzir a mudança. implementação
 Número de problemas com as competências ou capacidade
03 Mudanças desejadas são entendidas e aceitas pelas  Comentários ou parecer sobre o nível de entendimento
partes interessadas.  Número de perguntas recebidas
04 Participantes tem poder para entregar a mudança.  Percentual de participantes com autoridade apropriada
 Retorno dos participantes sobre o nível de empoderamento
05 Participantes são habilitados a operar, usar e manter a  Percentual de participantes treinados
mudança.  Auto‐avaliações dos participantes sobre as competências relevantes
 Nível de satisfação dos participantes operando, usando e mantendo a
mudança
06 A mudança é implementada e sustentada.  Percentual de usuários apropriadamente treinados para a mudança
 Nível de satisfação dos usuários com a adoção da mudança
144
CAPÍTULO 5
BAI05 TABELA RACI

BAI05 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI05.01
R A C C R C R R C R C C R C C C C C C
Estabelecer o desejo de mudança.
BAI05.02
Formar um time de implementação I I C A C C R R C C C R R C C C C C C
efetivo.
BAI05.03
A C C R I R I I I I I I R I I I I I I I I
Comunicar a visão desejada.

BAI05.04
Empoderar participantes e identificar R A C C R C R C C R C C C C C C C
vitórias de curto prazo.
BAI05.05
C A R R R C R R R R R R
Habilitar a operação e uso
BAI05.06
R R R A R R R C R R R R R R
Embutir novas abordagens
BAI05.07
R R R R A R R R C R R R R R R
Manter as mudanças.
BAI05.01 Estabelecer o desejo de mudança. De Descrição Descrição Para
Entender o escopo e o impacto de mudanças APO11.03  Resultados da  Comunicação de Interno
antecipadas e o desejo de mudar das partes qualidade do serviço, condutores de
interessadas. Identificar ações para motivar as partes incluindo a avaliação mudança
interessadas a aceitar e querer fazer as mudanças de clientes
acontecerem com sucesso.
BAI02.01  Critérios de aceite  Comunicações da alta Interno
confirmados pelas administração
partes interessadas demonstrando o
 Repositório de compromisso com a
definição de requisitos mudança
BAI02.03  Ações de mitigação de
risco
 Registro de risco de
requisitos
BAI03.01  Especificação de alto
nível aprovada
BAI03.02  Especificação
detalhada aprovada
145

Atividades
01 Avaliar o escopo e o impacto da mudança esperada, as partes interessadas afetadas, a natureza do impacto e o envolvimento
necessário de cada grupo de partes interessadas, a prontidão e habilidade para adotar a mudança.
02 Identificar, alavancar e comunicar os pontos fracos, eventos negativos, riscos, insatisfação de clientes e problemas de negócio,
bem como os benefícios iniciais, oportunidades futuras e recompensas, vantagens competitivas, como uma fundação para
estabelecer o desejo pela mudança.
03 Publicar comunicados chaves do comitê executivo ou CEO para demonstrar o compromisso com a mudança.
04 Prover liderança visível da alta administração para estabelecer a direção e alinhar, motivar e inspirar as partes interessadas a
desejarem a mudança.
BAI05.02 Formar um time de implementação De Descrição Descrição Para
efetivo. BAI02.01  Critérios de aceite  Time de BAI01.04
Estabelecer um time de implementação efetivo confirmados pelas implementação e
reunindo os membros apropriados, adquirindo a partes interessadas. papéis
confiança, e estabelecendo objetivos comuns e
 VIsão comum e BAI01.02
métricas de efetividade.
objetivos
Atividades
01 Identificar e reunir um time central de implementação que inclua os membros apropriados do negócio e TI com a capacidade de
despender o tempo necessário e contribuir com conhecimento, experiência, credibilidade e autoridade. Considerar a inclusão de
partes externas como consultores para prover uma visão independente ou para endereçar lacunas de conhecimento. Identificar
agentes de mudança em potencial em diferentes partes da corporação com quem o time central pode contar para suportar a visão
e cascatear as mudanças.
02 Criar confiança entre o time central de implementação por meio de eventos cuidadosamente planejados com comunicação efetiva
e atividades em conjunto.
03 Desenvolver uma visão comum e objetivos que suportem os objetivos corporativos.
BAI05.03 Comunicar a visão desejada. De Descrição Descrição Para
Comunicar a visão desejada para a mudança na  Plano de comunicação BAI01.04
linguagem dos que serão afetados por ela. A da visão
comunicação deve ser feita pela alta administração e
 Comunicação da visão BAI01.05
incluir o racional, os benefícios, a mudança, os
impactos da realização da mudança, a visão, o
cronograma e o envolvimento requerido das diversas
Atividades
01 Desenvolver o plano de comunicação da visão para endereçar os principais grupos de audiência, seus perfis comportamentais e
requisitos de informação, canais de comunicação e princípios.
02 Entregar a comunicação em níveis apropriados da corporação de acordo com o plano.
03 Reforçar a comunicação através de múltiplas reuniões e repetições.
04 Verificar o entendimento da visão desejada e responder a quaisquer problemas destacados pela equipe.
05 Responsabilizar todos os níveis de liderança pela demonstração da visão.
BAI05.04 Empoderar participantes e identificar De Descrição Descrição Para
vitórias de curto prazo. Referência  Estrutura  Objetivos de APO07.04
Empoderar aqueles com papéis de implantação externa ao Organizacional da desempenho alinhados
assegurando que as responsabilidades sejam COBIT Organização de RH
atribuídas, treinamentos são ministrados, estruturas
 Ganhos de curto prazo BAI01.04
organizacionais e processos de RH sejam alinhados.
identificados
Identificar e comunicar vitórias de curto prazo que
podem ser conquistadas e são importantes do ponto  Comunicação dos BAI01.06
de vista de gestão de mudanças. benefícios
146
CAPÍTULO 5

Atividades
01 Identificar as estruturas organizacionais compatíveis com a visão; se requerido, realizar mudanças para assegurar o alinhamento.
02 Planejar as necessidades do pessoal para desenvolver as competências apropriadas e atitudes para sentir o empoderamento.
03 Alinhar os processos de RH e os sistemas de mensuração (ex.: avaliação de performance, decisões de compensação, decisões de
promoção, recrutamento e seleção) para suportar a visão
04 Identificar e gerenciar líderes que continuem a resistir à mudança necessária.
05 Identificar, priorizar e entregar oportunidades para vitórias de curto prazo. Essas podem ser relacionadas às áreas com
dificuldades conhecidas ou fatores externos que devem ser endereçados urgentemente.
06 Alavancar as vitórias de curto prazo conquistadas comunicando os benefícios aos impactados e mostrando que a visão está
encaminhada. Afinar a visão, manter os líderes comprometidos e manter o ímpeto.
BAI05.05 Habilitar a operação e uso. De Descrição Descrição Para
Planejar e implementar todos os aspectos de uso, BAI03.03  Componentes de  Plano de operação e APO08.04
técnicos e operacionais de forma que todos os que solução documentados uso BAI08.04
estão envolvidos no ambiente futuro possam exercer DSS01.01
suas responsabilidades. DSS01.02
DSS06.02
BAI03.10  Componentes de  Resultados e medidas APO08.05
solução atualizados e de sucesso BAI07.07
documentação BAI07.08
relacionada MEA01.03

Atividades
01 Desenvolver um plano para operação e uso da mudança que comunica e constrói sobre as vitórias de curto prazo conquistadas,
endereça aspectos comportamentais e culturais da transição ampla, e aumenta o comprometimento e engajamento. Assegurar
que o plano cobre uma visão holística da mudança e provê documentação (ex.: procedimentos), mentoring, treinamento,
instrução, transferência de conhecimentos, suporte pós‐implementação e suporte contínuo.
02 Implementar o plano de operação e uso. Definir e acompanhar as medidas de sucesso, incluindo medidas rígidas de negócio e de
percepção que indiquem como as pessoas se sentem em relação à mudança, conduzindo ações de remediação quando necessário.
BAI05.06 Embutir novas abordagens. De Descrição Descrição Para
Encravar novas abordagens acompanhando as  Resultados de MEA02.02
mudanças implementadas, avaliando a efetividade auditorias de MEA03.03
do plano de operação e uso e sustentando a conformidade
conscientização através da comunicação contínua.
 Comunicações de Interno
Tomar medidas corretivas quando apropriado, que
conscientização
podem incluir forçar cumprir com a conformidade.
 Resultados de APO07.04
avaliações de
performance do RH
Atividades
01 Celebrar as conquistas e implementar programas de recompensa e reconhecimento para reforçar a mudança.
02 Utilizar sistemas de medição de desempenho para identificar causas raiz para baixa adoção de medidas corretivas.
03 Tornar os proprietários de processos responsáveis pelas operações do dia‐a‐dia.
04 Conduzir auditorias de conformidade para identificar as causas raiz da não adoção e ações corretivas recomendadas.
05 Prover conscientização continua pela comunicação frequente da mudança e de sua adoção.
BAI05.07 Manter as mudanças. De Descrição Descrição Para
Sustentar as mudanças por meio de treinamento  Planos de BAI08.03
efetivo a novo pessoal, campanhas de comunicação transferência de BAI08.04
contínuas, comprometimento da alta administração, conhecimento
adoção de monitoramento e compartilhamento de
 Comunicação do Interno
lições aprendidas na corporação.
comprometimento da
administração
 Revisões de uso MEA02.02
operacional
147

Atividades
01 Prover mentoring, treinamento, instrução e transferência de conhecimentos para novo pessoal para sustentar a mudança.
02 Sustentar e reforçar a mudança através da comunicação regular demonstrando o comprometimento da alta administração.
03 Conduzir revisões periódicas de operação e uso da mudança e identificar melhorias.
04 Capturar lições aprendidas relacionadas à implementação da mudança e compartilhar o conhecimento através da corporação.
Kotter, John; Leading Change, Harvard Business School Press, USA, 1996
148
CAPÍTULO 5
BAI06 Gerenciar Mudanças

BAI06 Gerenciar Mudanças Área: Gestão
Gerenciar todas as mudanças de maneira controlada, incluindo mudanças normais e manutenções de emergência relacionadas aos processos
de negócio, aplicações e infraestrutura. Isso inclui mudanças em padrões e procedimentos, análises de impacto, priorização e autorização,
mudanças emergenciais, acompanhamento, reporte, fechamento e documentação.
Habilitar entrega rápida e confiável da mudança para o negócio e a mitigação do risco em impactar negativamente a estabilidade e
integridade do ambiente alterado.
04 Gestão de risco organizacional de TI  Percentual de processos de negócio críticos, serviços de TI e programas de
negócio habilitados por TI cobertos pela avaliação de risco
 Quantidade de incidentes significativos relacionados à TI que não foram
identificados na avaliação de riscos
 Percentual de avaliações de risco corporativas incluindo riscos
relacionados à TI
 Frequência de atualizações do perfil de risco
07 Prestação de serviços de TI em consonância com os  Quantidade de interrupções em processos de negócio devido a incidentes
requisitos de negócio de serviços de TI
 Percentual de partes interessadas do negócio satisfeitas com o fato de
que a entrega de serviços de TI está de acordo com os níveis de serviço
previamente acordados

10 Segurança da informação, infraestrutura de  Quantidade de incidentes de segurança causando perdas financeiras,
processamento e aplicativos interrupções de negócio e embaraço público
 Quantidade de serviços de TI com requisitos de segurança pendentes
 Tempo para conceder, modificar e remover privilégios de acesso,
comparados com os acordos de nível de serviço
 Frequência de avaliações de segurança contra os últimos padrões e
procedimentos
01 Mudanças autorizadas são efetuadas tempestivamente e  Quantidade de retrabalho causado por mudanças que falharam
com erros mínimos.  Tempo e esforço reduzidos para realizar mudanças
 Quantidade e intervalo de tempo das requisições de mudança pendentes
02 Avaliações de impacto revelam o efeito das mudanças em  Percentual de mudanças mal sucedidas devido a análises de impacto
todos os componentes afetados. inadequadas
03 Todas as mudanças emergenciais são revisadas e  Percentual do total de mudanças que são emergenciais
autorizadas após a mudança.  Número de mudanças emergenciais não autorizadas após a mudança
04 Partes interessadas chave são mantidas informadas sobre  Avaliações de satisfação sobre a comunicação pelas partes interessadas.
todos os aspectos da mudança.
149
BAI06 TABELA RACI

BAI06 Tabela RACI
Prática de Gestão



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
BAI06.01
Avaliar, Priorizar e Autorizar as A R C C C C R C R R C R C
requisições de mudança.
BAI06.02
A I C C C R I R R I C
Gerenciar mudanças emergenciais.
BAI06.03
C R C A R R R
Acompanhar e reportar o status
BAI06.04
A R R C C C R C R R I I
Fechar e documentar mudanças
BAI06.01 Avaliar, Priorizar e Autorizar as De Descrição Descrição Para
requisições de mudança. BAI03.05  Componentes de  Análises de impacto Interno
Avaliar todas as requisições de mudança para solução configurados e
determinar o impacto nos processos de negócio e integrados
serviços de TI, e avaliar se a mudança vai afetar o
DSS02.03  Requisições de serviço  Requisições de mudança BAI07.01
ambiente operacional e introduzir riscos inaceitáveis.
aprovadas aprovadas
Assegurar que as mudanças são registradas,
priorizadas, categorizadas, avaliadas, autorizadas, DSS03.03  Soluções propostas para
planejadas e agendadas. erros conhecidos
DSS03.05  Soluções sustentáveis  Cronograma e plano de BAI07.01
identificadas mudança
DSS04.08  Mudanças de plano
aprovadas
DSS06.01  Recomendações e
análises de causa raiz
Atividades
01 Requisições formais de mudança para permitir aos donos de processos de negócio e TI a requisitar mudanças em processos de
negócio, infraestrutura, sistemas ou aplicações. Assegurar que todas as mudanças são iniciadas somente através do processo de
requisição de mudanças.
02 Categorizar todas as requisições de mudança (ex.: processos de negócio, infraestrutura, sistemas operacionais, redes, sistemas de
aplicação, softwares de aplicação de prateleira adquiridos) e relacionar os itens de configuração por elas afetados.
03 Priorizar todas as requisições com base em requisitos de negócio e técnicos, recursos requeridos, e razões regulatórias, contratuais
e legais para a mudança solicitada.
04 Planejar e avaliar todas as requisições de forma estruturada. Incluir análise de impacto em processos de negócio, infraestrutura,
sistemas e aplicações, planos de continuidade de negócio e provedores de serviço para assegurar que todos os componentes
afetados foram identificados. Avaliar a probabilidade de afetar adversamente o ambiente operacional e o risco de implementação
da mudança. Considerar implicações de segurança, legais, contratuais e de conformidade da mudança requisitada. Considerar
também as interdependências entre as mudanças. Envolver os proprietários de processo de negócio nos processos de avaliação,
quando apropriado.
150
CAPÍTULO 5

05 Formalmente aprovar cada mudança pelos proprietários de processo de negócio, gestores de serviço e partes interessadas
técnicas de TI, conforme apropriado. Mudanças que são de baixo risco e relativamente frequentes devem ser pré‐aprovadas como
mudanças padrão.
06 Planejar e agendar todas as mudanças aprovadas.
07 Considerar o impacto de provedores de serviço contratados (ex.: processamento de negócio terceirizado, infraestrutura,
desenvolvimento de aplicações e serviços compartilhados) no processo de gestão de mudanças, incluindo a integração de
processos de gestão de mudanças organizacionais com os processos de gestão de mudança de prestadores de serviço e o impacto
em contratos e acordos de nível de serviço.
BAI06.02 Gerenciar mudanças emergenciais. De Descrição Descrição Para
Cuidadosamente gerir mudanças emergenciais para  Revisão pós‐ Interno
minimizar incidentes futuros e assegurar que a implementação de
mudança foi controlada e é implementada de forma mudanças emergenciais
segura. Verificar que as mudanças emergenciais são
apropriadamente avaliadas e autorizadas após a
mudança.
Atividades
01 Assegurar que um procedimento documentado existe para declarar, avaliar, aprovar e autorizar após a mudança e registro da
mudança emergencial.
02 Verificar que toda a concessão de acesso emergencial para implementação de mudanças seja autorizada apropriadamente,
documentada e revogada após a implementação.
03 Monitorar todas as mudanças emergenciais, conduzir revisões pós‐implementação envolvendo todas as partes interessadas. A

revisão deve considerar e iniciar ações corretivas com base em causas raiz como problemas com processos de negócio,
desenvolvimento e manutenção de sistemas de aplicação, ambientes de teste e desenvolvimento, manuais e documentação e
integridade de dados.
04 Definir o que constitui uma mudança emergencial.
BAI06.03 Acompanhar e reportar o status. De Descrição Descrição Para
Manter um Sistema de acompanhamento e reporte BAI03.09  Registro de todas as  Relatórios de status das BAI01.06
para documentar as mudanças rejeitadas, comunicar requisições de mudança requisições de mudança BAI10.03
o status das mudanças aprovadas, em andamento e aprovadas e
completas. Assegurar que as mudanças aprovadas implementadas
são implementadas conforme planejado.
Atividades
01 Categorizar as requisições de mudança no processo de acompanhamento (ex.: rejeitadas, aprovadas, mas não iniciadas, aprovadas
em curso e fechadas).
02 Implementar relatórios de status das mudanças com métricas de desempenho para permitir a administração de revisar e
monitorar tanto o status detalhado das mudanças como de forma geral (ex.: Análise de tempo das requisições de mudança).
Assegurar que os relatórios de status têm trilhas de auditoria para que mudanças possam ser acompanhadas após sua concepção
até um eventual cancelamento.
03 Monitorar mudanças em aberto para assegurar que todas as mudanças aprovadas são fechadas tempestivamente, dependendo da
prioridade.
04 Manter um Sistema de acompanhamento e reporte para todas as requisições de mudança.
BAI06.04 Fechar e documentar mudanças. De Descrição Descrição Para
Sempre que uma mudança for implementada,  Documentação da Interno
atualizar a documentação da solução e do usuário mudança
afetados de forma apropriada.
Atividades
01 Incluir mudanças na documentação (ex.: procedimentos operacionais de negócio e de TI, documentação de recuperação de
desastres e continuidade de negócio, informações de configuração, documentação de aplicação, telas de ajuda e materiais de
treinamento) dentro do procedimento de gestão de mudanças como parte integral da mudança.
02 Definir a retenção apropriada para a documentação da mudança e documentação do usuário.
03 Submeter a documentação ao mesmo nível de revisão que a própria mudança.
151

 BAI06 Orientação Relacionada
ISO/IEC 20000 9.2 Gestão de Mudanças
ITIL V3 2011 Transição de Serviços, 4.2 Gestão de Mudanças
152
CAPÍTULO 5
BAI07 Gerenciar Aceitação e Transição da Mudança

BAI07 Gerenciar Aceitação e Transição da Mudança Área: Gestão
Aceitar formalmente e fazer novas soluções operacionais, incluindo planejamento da implementação, sistema e conversão de dados, testes
de aceitação, comunicação, preparação para liberação, promoção para a produção de processos de negócio novos ou alterados e serviços de
TI, suporte inicial de produção e a revisão pós implementação.
Implementar soluções de forma segura e em linha com as expectativas e resultados acordados.
08 Uso adequado de aplicativos, informações e soluções  Percentual de donos de processos de negócios satisfeitos com o
tecnológicas suporte dos produtos de TI e serviços
 Nível de compreensão dos usuários de negócio sobre como as
soluções de tecnologia suportam seus processos
 Nível de satisfação dos usuários de negócio com treinamentos e
manuais de usuário
 Valor Presente Líquido (VPL) mostrando o nível de satisfação do
negócio com a qualidade e utilidade das soluções de tecnologia
12 Capacitação e apoio aos processos de negócios através da  Número de Incidentes em processos de negócio causados por erros
integração de aplicativos e tecnologia de integração na tecnologia
 Número de mudanças em processos de negócio que precisaram ser
atrasadas ou retrabalhadas por causa de problemas de integração
da tecnologia

 Número de programas de negócio habilitados por TI atrasados ou
que incorreram em custo adicional por problemas de integração da
tecnologia
 Número de aplicações ou infraestruturas críticas operando em silos
não integrados
01 Os testes de aceitação sejam aprovados pelas partes  Percentual de partes Interessadas satisfeitas com a integralidade do
interessadas e levem em conta todos os aspectos dos planos processo de teste
de implementação e conversão.
02 Liberações estão prontas para a promoção em produção com  número e percentagem de liberações não prontas para o
prontidão e suporte das partes interessadas. lançamento dentro do cronograma
03 Liberações são promovidos com sucesso, são estáveis e  Número ou percentagem de liberações que não conseguem se
atingem as expectativas. estabilizar dentro de um período aceitável
 Porcentagem de liberações causando indisponibilidade
04 As lições aprendidas para contribuir para liberações futuras.  Número e percentagem de análises de causa raiz concluídas
153
BAI07 TABELA RACI

BAI07 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI 07.01
Estabelecer um plano de C R A C R C C R C R C R R R C
implementação
BAI07.02
Planejar processos de negócios, C R A C R C C R C R C R R R C
sistema e conversão de dados.
BAI07.03
A R R I C I R R I R R C
Planejar testes de aceitação
BAI07.04
A R R I I R R I R R C
Estabelecer um ambiente de teste.
BAI07.05
A R R I I R R I R R C
Realizar testes de aceitação
BAI07.06
Promover para a produção e gerir os R A I I R R R I I I
lançamentos.
BAI 07.07
R A I I R R R I I I
Fornecer suporte de produção incial.
BAI07.08
Realizar uma revisão pós‐ R A I C C I R R R C I I
implementação
BAI 07.01 Estabelecer um plano de De Descrição Descrição Para
implementação. BAI01.09  Plano de gerenciamento  Plano de Interno
Estabelecer um plano de implementação que da qualidade implementação
abrange sistema e conversão de dados, critérios de aprovado
aceitação de teste, comunicação, formação, BAI06.01  Plano de mudança e  Implementação do Interno
preparação da liberação, a promoção da produção, cronograma processo de
apoio antecipado à produção, um plano de  Solicitações de mudança recuperação e reversão
recuperação / reversão e uma revisão pós‐ aprovadas
implementação. Obter a aprovação de partes
relevantes.
Atividades
01 Criar um plano de implementação que reflete a estratégia de implementação abrangente, a sequência das etapas de
implementação, requisitos de recursos, interdependências, os critérios para a gestão da aceitação da implementação em
produção, os requisitos de verificação da instalação, a estratégia de transição para apoio à produção e atualização de BCPs.
02 Confirmar se todos os planos de execução são aprovados pelas partes interessadas técnicas e de negócios e revisado pela
auditoria interna, conforme o caso.
03 Obter o compromisso dos provedores de solução externos para o seu envolvimento em cada etapa da implementação.
04 Identificar e documentar o processo de reversão e recuperação.
05 Formalmente avaliar o risco técnico e de negócios associado com a implementação e garantir que o risco chave é considerado e
tratado no processo de planejamento.
154
CAPÍTULO 5

BAI07.02 Planejar processos de negócios, De Descrição Descrição Para
sistema e conversão de dados.  Plano de migração DSS06.02
Preparar para os processos de negócios, dados de
serviços de TI e migração da infraestrutura como
parte de métodos de desenvolvimento da empresa,
incluindo trilhas de auditoria e um plano de
recuperação para falhas na migração.
Atividades
01 Definir um processo de negócio, um plano de migração da infraestrutura e serviços de TI. Considerar, por exemplo, hardware,
redes, sistemas, software, dados de transações, arquivos mestres, backups e arquivos, interfaces com outros sistemas (internos e
externos), possíveis requisitos de conformidade, procedimentos de negócios e documentação de sistemas, no desenvolvimento do
plano.
02 Considerar todos os ajustes necessários nos procedimentos, incluindo papéis e responsabilidades revistos e procedimentos de
controle, no plano de conversão de processos de negócios
03 Incorporar no plano de conversão de dados, métodos para coletar, converter e verificar dados a serem convertidos e identificar e
resolver quaisquer erros encontrados durante a conversão. Incluir comparando os dados originais e convertidos para completude
e integridade.
04 Verificar se o plano de conversão de dados não requer alterações nos valores de dados a menos que absolutamente necessário
por razões de negócios. Documentar mudanças feitas nos valores dos dados e assegurar a aprovação do proprietário dos dados de
processos de negócios.
05 Ensaiar e testar a conversão antes de tentar uma conversão em produção

06 Considerar o risco de problemas de conversão, planejamento da continuidade de negócios e processos de recuperação do
processo de negócios, plano de migração de dados e infraestrutura onde há gestão de riscos, necessidades de negócios ou
requisitos de conformidade / regulatórios.
07 Coordenar e verificar o calendário e a completude da conversão para que haja uma transição suave e contínua, sem perda de
dados de transação. Quando necessário, na ausência de qualquer outra alternativa, congelar as operações em produção.
08 Plano para fazer backup de todos os sistemas e dados obtidos no ponto antes da conversão. Manter trilhas de auditoria para
permitir a reconversão e garantir que há um plano de recuperação que abrange a reversão da migração e retorno do
processamento em caso de falha.
09 Plano de retenção do backup e dados arquivados em conformidade com as necessidades do negócio e os requisitos regulatórios
ou de conformidade.
BAI07.03 Planejar testes de aceitação. De Descrição Descrição Para
Estabelecer um plano de teste com base em padrões BAI01.09  Requisitos para a  Plano de aceitação de BAI01.04
da empresa que definem papéis, responsabilidades e verificação teste aprovado BAI01.08
critérios de entrada e saída. Garantir que o plano independente dos
seja aprovado pelas partes interessadas. resultados
BAI03.07  Procedimentos de teste
 Plano de teste
BAI03.08  Comunicação do
resultado do teste
 Logs de trilhar de
auditoria do resultado
do teste
155

Atividades
01 Desenvolver e documentar o plano de teste, alinhado com o programa e o plano de qualidade do projeto e padrões
organizacionais relevantes. Comunicar e consultar com os donos dos processos de negócios apropriados e as partes interessadas
de TI.
02 Garantir que o plano de teste reflete uma avaliação de risco do projeto e que todos os requisitos funcionais e técnicos são
testados. Com base na avaliação do risco de fracassos e as falhas do sistema em execução, o plano deve incluir requisitos de
desempenho, stress, usabilidade, piloto e testes de segurança.
03 Garantir que o plano de teste aborda a necessidade potencial de acreditação interna ou externa de resultados do processo de
teste (por exemplo, requisitos regulatórios financeiros).
04 Garantir que o plano de teste identifica os recursos necessários para a execução de testes e avaliação dos resultados. Exemplos de
recursos incluem a construção de ambientes de teste e uso do tempo da equipe para o grupo de teste, incluindo a eventual
substituição temporária de pessoal de teste em ambientes de produção ou de desenvolvimento. Garantir que os interessados
sejam consultados sobre as implicações de recursos do plano de teste.
05 Garantir que o plano de teste identifique fases de ensaio adequadas às exigências operacionais e ao ambiente. Exemplos de tais
fases de teste incluem teste de unidade, teste do sistema, teste de integração, teste de aceitação do usuário, teste de
desempenho, teste de esforço, teste de conversão de dados, teste de segurança, teste de prontidão operacional, backup e teste
de recuperação.
06 Verificar se o plano de teste considera a preparação para o teste (incluindo a preparação do local), requisitos de treinamento,
instalação ou uma atualização de um ambiente de teste definido, planejamento / performance / documentação / retenção de
casos de teste, erro e problemas na execução, correção e acionamento e formal aprovação.
07 Garantir que o plano de teste estabelece critérios claros para medir o sucesso da realização a cada fase de testes. Consultar os
proprietários de processos de negócio e de TI na definição dos critérios de sucesso. Determinar que o plano estabelece
procedimentos de remediação quando os critérios de sucesso não forem atendidos (por exemplo, em caso de falhas significativas
na fase de testes, o plano fornece orientação sobre a possibilidade de avançar para a próxima fase, interromper o teste ou adiar a
implementação).
08 Confirme que todos os planos de teste estão aprovados pelas partes interessadas, incluindo donos de processos de negócios e de
TI, conforme o caso. Exemplos de tais agentes são gerentes de desenvolvimento de aplicações, gerentes de projeto e usuários
finais de processos de negócio.
BAI07.04 Estabelecer um ambiente de teste. De Descrição Descrição Para
Definir e estabelecer um ambiente de teste seguro e  Testar dados Interno
representativo do processo de negócios planejado e
das operações no ambiente de TI, desempenho e
capacidade, segurança, controles internos, práticas
operacionais, requisitos de qualidade de dados e
privacidade e cargas de trabalho.
Atividades
01 Criar um banco de dados com dados de teste que são representativos do ambiente de produção. Higienizar os dados utilizados no
ambiente de teste para a ambiente de produção de acordo com as necessidades do negócio e padrões organizacionais (por
exemplo, considerar se conformidades ou requisitos regulamentares obrigam o uso de dados de higienizados).
02 Proteger os dados de teste sensíveis e resultados contra qualquer divulgação, incluindo o acesso, retenção, armazenamento e
destruição. Considere o efeito da interação dos sistemas organizacionais com os de terceiros.
03 Coloque em prática um processo para permitir a retenção adequada ou eliminação dos resultados dos testes, mídia e outra
documentação associada para permitir a avaliação adequada e posterior análise conforme exigido pelo plano de teste. Considere
o efeito de requisitos regulamentares ou de conformidade.
04 Garantir que o ambiente de teste é representativo do futuro do negócio e do panoraman operacional, incluindo procedimentos de
processos de negócio e funções, o stress da carga de trabalho provável, sistemas operacionais, softwares aplicativos necessários,
sistemas de gerenciamento de banco de dados e de rede e infraestrutura de computação encontrados no ambiente de produção.
05 Garantir que o ambiente de teste é seguro e capaz de interagir com sistemas de produção.
BAI07.05 Realizar testes de aceitação. De Descrição Descrição Para
Teste as mudanças de forma independente, em  Log dos resultados do Interno
conformidade com o plano de teste definido antes teste
da migração para o ambiente operacional de
 Avaliação dos resultados BAI01.06
produção.
da aceitação
 Aceitação aprovada e BAI01.04
liberação para a
produção
156
CAPÍTULO 5

Atividades
01 Revise o log categorizado de erros encontrados no processo de teste pela equipe de desenvolvimento, verificando‐se que todos os
erros foram corrigidos ou formalmente aceitos.
02 Avaliar a aceitação final contra os critérios de sucesso e interpretar os resultados finais de testes de aceitação. Apresentá‐los de
uma forma que seja compreensível para donos de processos de negócio e de TI para que uma revisão e avaliação pode ter lugar .
03 Aprovar a aceitação com assinatura formal por parte dos donos de processos de negócio, terceiros (conforme o caso) e partes
interessadas de TI antes da promoção para a produção.
04 Garantir que o teste de mudanças é realizada de acordo com o plano de testes. Garantir que o teste foi desenhado e realizado por
um grupo de teste independente da equipe de desenvolvimento. Considerar a medida em que os proprietários de processos de
negócio e usuários finais estão envolvidos no grupo de teste. Certifique‐se de que o teste é realizado apenas dentro do ambiente
de teste.
05 Garantir que os testes e os resultados esperados estão em conformidade com os critérios de sucesso definidos e estabelecidos no
plano de teste.
06 Considerar o uso de instruções de teste claramente definidas (scripts) para implementar os testes. Garantir que o grupo de teste
independente avalia e aprova cada script de teste para confirmar que ele aborda adequadamente os critérios de sucesso de ensaio
previstos no plano de teste. Considerar o uso de scripts para verificar a medida em que o sistema atende os requisitos de
segurança.
07 Considerar o equilíbrio adequado entre os testes com scripts automatizados e testes com interação do usuário.
08 Realizar testes de segurança em conformidade com o plano de teste. Medir a extensão das deficiências de segurança ou lacunas.
Considere o efeito de incidentes de segurança desde a construção do plano de teste. Considerar o efeito sobre o acesso e
controles de fronteira.

09 Realizar testes de segurança em conformidade com o plano de teste. Medir a extensão das deficiências de segurança ou lacunas.
Considere o efeito de incidentes de segurança desde a construção do plano de teste. Considerar o efeito sobre o acesso e
controles de fronteira.
10 Ao realizar testes, assegurar que os elementos recuperação e de reversão do plano de teste foram abordadas.
11 Identificar, registrar e classificar erros (por exemplo, menores, significativos, de missão crítica) durante os testes. Garantir que uma
trilha de auditoria de resultados do teste está disponível. Comunicar os resultados dos testes para as partes interessadas de
acordo com o plano de teste para facilitar a correção de bugs e melhoria da qualidade.
BAI07.06 Promover para a produção e gerir os De Descrição Descrição Para
lançamentos.  Plano de liberações BAI10.01
Promover o aceite da solução para os negócios e
 Log de liberações Interno
operações. Se for o caso, executar a solução como
uma implementação piloto ou em paralelo com a
solução antiga por um período definido e comparar o
comportamento e resultados. Se ocorrerem
problemas significativos, reverter para o ambiente
original com base no plano recuperação de
recuperação / recersão.Gerenciar lançamentos de
componentes da solução.
Atividades
01 Preparar para a a transferência de processos de negócio e serviços de apoio, aplicações e infra‐estrutura de teste a o ambiente de
produção de acordo com a gestão de mudança organizacional
02 Determinar o grau de implementação piloto de processamento paralelo dos antigos e novos sistemas em linha com o plano de
implementação.
03 Atualizar prontamente o processo de negócios relevante e documentação do sistema e os documentos de informações de
configuração e plano de contingência, conforme o caso.
04 Garantir que todas as bibliotecas de mídia são atualizadas prontamente com a versão do componente da solução que está sendo
transferido do teste para o ambiente de produção. Arquivar a versão existente e sua documentação de apoio. Garantir que a
promoção para a produção de sistemas, software e infraestrutura está sob controle de configuração.
05 No caso da distribuição de componentes da solução ser realizada eletronicamente, controlar a distribução automatizada para
garantir que os usuários são notificados e distribuição ocorre apenas para destinos autorizados e identificados corretamente.
Incluir no processo de liberação, os procedimentos de reversão para permitir que a distribuição de alterações seja revista em caso
de uma avaria ou erro.
06 No caso de distribuição de forma física, manter um registro formal dos itens que foram distribuídos, para quem, onde eles foram
implementados, e quando cada um foi atualizado.
157

BAI 07.07 Fornecer suporte de produção incial. De Descrição Descrição Para
Fornecer apoio inicial aos usuários e operações de TI APO11.03  Revisar os resultados de  Plano de suporte APO08.04
por um período da tempo para lidar com problemas qualidade do serviço, suplementar APO08.05
e ajudar a estabilizar a nova solução. incluindo feedback do DSS02.04
cliente
BAI05.05  Medidas de sucesso e
resultados
Atividades
01 Fornecer recursos adicionais, conforme necessário, para os usuários finais e pessoal de apoio até que o lançamento tenha se
estabilizado.
02 Fornecer recursos de sistemas de TI adicionais, conforme necessário, até que a liberação esteja em um ambiente operacional
estável.
BAI07.08 Realizar uma revisão pós‐ De Descrição Descrição Para
implementação. APO11.04  Os resultados dos  Relatório de revisão BAI01.13
Conduzir uma revisão pós‐implementação para controles de qualidade e pós‐implementação BAI01.14
confirmar a conclusão e os resultados, identificar as auditorias
lições aprendidas e desenvolver um plano de ação.
APO11.05  Causas raiz de falhas de  Plano de ações BAI01.13
Avaliar e verificar o desempenho real e os resultados
qualidade na entrega corretivas BAI01.14
do serviço novo ou modificado contra o desempenho
 Resultados da solução e
e os resultados previstos (isto é, o serviço esperado
monitoramento da
pelo usuário ou cliente).

qualidade na entrega do
serviço
resultados
Atividades
01 Estabelecer procedimentos para garantir que a revisão pós‐implementação identifique, avalie e informe a medida que:
 Requisitos da empresa foram cumpridos
 Benefícios esperados foram realizados.
 O sistema é considerado utilizável.
 Expectativas internas e externas das partes interessadas sejam atendidas.
 Impactos inesperados sobre a empresa tenham ocorrido.
 Risco chave é mitigado.
 Os processos de gerenciamento de mudanças, de instalação e de acreditação foram realizados de forma eficaz e eficiente.
02 Consulte donos processos de negócios e gerenciamento de TI na escolha técnica de métricas para a medição de sucesso e
realização de requisitos e benefícios.
03 Realizar a revisão pós‐implementação, em conformidade com o processo de gestão de mudança organizacional. Envolver os donos
dos processos de negócio e terceiros, conforme o caso.
04 Considere os requisitos para a revisão pós‐implementação decorrentes de negócios fora e TI (por exemplo, auditoria interna, ERM,
compliance).
05 Acordar e implementar um plano de acção para resolver questões identificadas na revisão pós‐implementação. Envolver os donos
dos processos de negócio e o gerenciamento técnico de TI no desenvolvimento do plano de ação.
ISO/IEC 20000 Processo de Gestão de Liberações
ITIL V3 2011  Transição de Serviço, 4.1 Planejamento e Apoio à Transição.
 Transição de Serviço, 4.4 Gerenciamento de Liberações e Implantação.
 Transição de Serviço, 4.5 Validação de Serviço e Testes.
 Transição de Serviço, 4.6 Avaliação da Mudança.
PMBOK Garantia de qualidade PMBOK e processo de aceite para todos os produtos
PRINCE2 Planejamento de produto baseado no PRINCE2
158
CAPÍTULO 5
BAI08 Gerenciar Conhecimento

BAI08 Gerenciar Conhecimento Área: Gestão
Manter a disponibilidade do conhecimento relevante, atual, validado e confiável para apoiar todas as atividades do processo e facilitar a
tomada de decisão. Plano para a identificação, coleta, organização, manutenção, utilização e retirada do conhecimento.
Proporcionar o conhecimento necessário para suportar todos os funcionários em suas atividades de trabalho e para a tomada de decisão
informada e melhoria da produtividade.
09 Agilidade de TI  Nível de satisfação dos executivos de negócios com a capacidade de
resposta de TI às novas exigências
 Número de processos críticos de negócio suportados por infraestrutura e
aplicações up‐to‐date
 Tempo médio para transformar objetivos estratégicos de TI em uma
iniciativa acordada e aprovada
17 Conhecimento, experiência e iniciativas de inovação  Nível de consciencialização dos executivos de negócio e compreensão das
empresarial possibilidades de inovação de TI
 Nível de satisfação das partes interessadas com níveis de inovação da
especialização de TI e idéias

01 Fontes de informação são identificadas e classificadas  Porcentagem de categorias de informações abrangidas
 Volume de informações classificadas
 Percentagem de informações categorizados validadas
02 Conhecimento é utilizado e compartilhado  Porcentagem de conhecimento disponível realmente utilizados
 Número de usuários treinados na utilização e compartilhamento do
conhecimento
03 Compartilhamento do conhecimento é incorporado a  Nível de satisfação dos usuários
cultura da empresa. 
04 O conhecimento é atualizado e melhorado para suportar  Frequência de atualização

os requisitos.
159
BAI08 TABELA RACI

BAI08 Tabela RACI
Prática de Gestão



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
BAI 08.01
Consolidar e facilitar uma cultura de A R R R R R R R R R R R R
compartilhamento do conhecimento
BAI08.02
Identificar e classificar as fontes de A R C C C R R R R
informação.
BAI08.03
Organizar e contextualizar C C I I A R R R
informações em conhecimento
BAI08.04
A R R R C C C R C C C C
Usar e compartilhar conhecimento.
BAI 08.05
A C C R R R R R R R R R
Avaliar e retirar informações.
BAI 08.01 Consolidar e facilitar uma cultura de De Descrição Descrição Para
compartilhamento do conhecimento.  Comunicações sobre o APO01.04
Conceber e implementar um esquema para nutrir e valor do conhecimento
facilitar uma cultura de partilha de conhecimentos.
Atividades
01 Comunicar de forma proativa o valor do conhecimento para incentivar a criação de conhecimento, utilização, reutilização e partilha.
02 Incentivar o compartilhamento e transferência de conhecimentos, identificando e alavancando fatores motivacionais.
03 Criar um ambiente, ferramentas e artefatos que apoiem o intercâmbio e transferência de conhecimentos.
04 Incorporar práticas de gestão do conhecimento em outros processos de TI.
05 Ajusta expectativas da administração e demonstrar atitude apropriada em relação à utilidade do conhecimento e a necessidade de
compartilhar o conhecimento da empresa.
BAI08.02 Identificar e classificar as fontes de De Descrição Descrição Para
informação. For a do COBIT  Requisitos de  Classificação das fonts Interno
Identificar, validar e classificar diversas fontes de conhecimento e fontes de informação
informação internas e externas necessárias para
permitir a utilização e operação eficaz de processos
de negócios e serviços de TI.
Atividades
01 Identificar os usuários pontencias do conhecimento, incluindo proprietários de informações que podem de contribuir e aprovar
conhecimento. Obter requisitos de conhecimentos e fontes de informação de usuários identificados.
02 Considere os tipos de conteúdo (procedimentos, processos, estruturas, conceitos, políticas, regras, fatos, classificações), artefatos
(documentos, registros, vídeo, voz), e informações estruturadas e não estruturadas (especialistas, mídias sociais, e‐mail, correio de
voz, RSS feeds).
03 Classificar fontes de informação com base em um esquema de classificação de conteúdo (por exemplo, informações modelo de
arquitetura). Mapear fontes de informação para o esquema de classificação.
04 Coletar, coligir e validar fontes de informação com base nos critérios de validação de informação (por exemplo,
compreensibilidade, relevância, importância, integridade, precisão, consistência, confidencialidade, vigência e confiabilidade).
160
CAPÍTULO 5

BAI08.03 Organizar e contextualizar informações De Descrição Descrição Para
em conhecimento. BAI03.03  Componentes de  Repositórios de APO07.03
Organizar informações com base em critérios de solução documentados conhecimentos
classificação. Identificar e criar relações significativas publicados
BAI05.07  Planos de transferência
entre os elementos de informação e permitir a
de conhecimento
utilização das informações. Identificar os
proprietários e definir e aplicar níveis de acesso aos
recursos de conhecimento.
Atividades
01 Identificar atributos compartilhados e fontes de correspondência de informação, criando relações entre conjuntos de informação
(marcação da informação).
02 Criar visões para conjuntos de dados relacionados considerando as partes interessadas e os requisitos organizacionais.
03 Conceber e implementar um sistema de gestão do conhecimento não estruturado e não disponível através de fontes formais (por
exemplo, o conhecimento especializado).
04 Publicar e tornar o conhecimento acessível às partes interessadas com base em funções e mecanismos de acesso.
BAI08.04 Usar e compartilhar conhecimento. De Descrição Descrição Para
Propagar conhecimento dos recursos disponíveis BAI03.03  Componentes de  Banco de dados dos Interno
para as partes interessadas relevantes e comunicar a solução documentados usuários do
forma como estes recursos podem ser utilizados conhecimento
para atender a necessidades diferentes (por
 

BAI05.05 Plano de utilização e Consciência do APO07.03
exemplo, resolução de problemas, aprendizagem,
operação conhecimento e ações
planejamento estratégico e tomada de decisão).
BAI05.07  Planos de transferência de formação
do conhecimento
Atividades
01 Identificar os usuários de conhecimento em potencial por classificação conhecimento.
02 Transferir conhecimento para os usuários de conhecimento com base em uma análise de lacunas necessárias e técnicas de
aprendizagem eficazes e ferramentas de acesso.
03 Educar e treinar os usuários no conhecimento disponível, no acesso ao conhecimento e uso de ferramentas de acesso.
BAI 08.05 Avaliar e retirar informações. De Descrição Descrição Para
Medir o uso e avaliar a existência e relevância das  Resultados da avaliação Interno
informações. Aposentar informações obsoletas de uso do conhecimento
 Regras para retirada do Interno
conhecimento
Atividades
01 Medir o uso e avaliar a utilidade, a relevância e o valor dos elementos do conhecimento. Identificar informações relacionadas que
já não são relevantes para os requisitos de conhecimento da empresa.
02 Definir as regras para retirada e aposentadoria do conhecimento em conformidade.
ITIL V3 2011 Transição de Serviço, 4.7 Gestão do Conhecimento
161
BAI09 Gerenciar Ativos

BAI09 Gerenciar Ativos Área: Gestão
Gerenciar ativos de TI através de seu ciclo de vida para se certificar de que a sua utilização proporciona valor ao custo ideal, eles permanecem
operacionais (aptos para o uso), eles são contabilizados e fisicamente protegidos e aqueles bens que são fundamentais para suportar a
capacidade de serviço são confiáveis e disponíveis . Gerenciar licenças de software para garantir que o número ideal é adquirido, mantidos e
implementados em relação ao uso de negócios e o software instalado está em conformidade com os acordos de licenciamento.
Contabilizar todos os ativos de TI e otimizar o valor fornecido por esses ativos.
06 Transparência dos custos de TI, benefícios e riscos  Porcentagem de investimento nos casos de negócios com custos e
benefícios de TI claramente definidos e aprovados como esperado
 Porcentagem de serviços de TI com custos operacionais claramente
definidos e aprovados e benefícios esperados
 Pesquisa de satisfação das partes interessadas chave quanto ao nível
de transparência, compreensão e precisão das informações
financeiras de TI
11 Otimização de ativos, recursos e capacidades de TI  Frequência da maturidade de capacidade e de custo de avaliações
de otimização
 Tendência dos resultados das avaliações
 Níveis de satisfação dos executivos de negócio e TI com os custos e
capacidades relacionados a TI

01 As licenças estão em conformidade e alinhadas com as  Porcentagem de licenças utilizadas contra licenças pagas
necessidades do negócio.
02 Ativos são mantidos em níveis ideais.  Número de ativos não utilizados
 Custos de referência
 Número de ativos obsoletos
162
CAPÍTULO 5
BAI09 TABELA RACI

BAI09 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI09.01
C C I C C A R C
Identificar e registrar o ativo corrente
BAI09.02
C I C C C R R A R C C C
Gerenciar ativos críticos.
BAI09.03
C C C A R R
Gerenciar o ciclo de vida do ativo.
BAI09.04
R I C A R R R R R
Otimizar os custos dos ativos

BAI09.05
I C C R A R R R C
Gerenciar licenças
BAI09.01 Identificar e registrar o ativo corrente. De Descrição Descrição Para
Manter um registro atualizado e preciso de todos os BAI03.04  Atualizações para  Registro de ativos APO06.01
ativos de TI necessários para fornecer serviços e inventário de ativos BAI10.03
assegurar alinhamento com o gerenciamento de
BAI10.02  Repositório de  Resultados dos BAI10.03
configuração e a gestão financeira.
configuração controles de inventários BAI10.04
físicos DSS05.03
 Resultados das revisões APO02.02
de adequado ao uso
Atividades
01 Identificar todos os ativos em um registo de ativos que registra o status atual. Manter o alinhamento com os processos de
gerenciamento de mudança e gerenciamento de configuração, o sistema de gerenciamento de configuração e os registros de
contabilidade financeira.
02 Identificar os requisitos legais, regulamentares ou contratuais que precisam ser abordados durante o gerenciamento do ativo.
03 Verificar a existência de todos os ativos de propriedade realização de verificações de inventário físico e lógico regulares e de
reconciliação, incluindo o uso de ferramentas de descoberta de software.
04 Verificar se os ativos estão adequados à finalidade (ou seja, em uma condição de ser útil).
05 Determinar em uma base regular se cada ativo continua a fornecer valor e, em caso afirmativo, estimar a vida útil estimado para a
entrega de valor.
06 Garantir a contabilização de todos os ativos.
BAI09.02 Gerenciar ativos críticos. De Descrição Descrição Para
Identificar os ativos que são fundamentais no  Comunicação das APO08.04
fornecimento da capacidade do serviço e tomar indisponibilidades para
medidas para maximizar a sua confiabilidade e manutenções
disponibilidade para apoiar as necessidades de planejadas
negócios.
 Contratos de Interno
Manutenção
163

Atividades
01 Identificar os ativos que são críticos no fornecimento da capacidade de serviços referenciando exigências em definições de
serviços, SLAs e do sistema de gerenciamento de configuração.
02 Monitorar desempenho dos ativos críticos, examinando as tendências de incidentes e se necessário, tomar medidas para reparar
ou substituir.
03 Em uma base regular, considerar o risco de falha ou necessidade de substituição de cada ativo crítico.
04 Manter a resiliência dos ativos críticos através da aplicação de manutenção preventiva regular, monitorar o desempenho e se
necessário, proporcionar alternativas e / ou ativos adicionais para minimizar a probabilidade de fracasso.
05 Estabelecer um plano de manutenção preventiva para todo o hardware, considerando a análise custo benefício, as
recomendações dos fornecedores, o risco de interrupção, pessoal qualificado e outros fatores relevantes.
06 Estabelecer contratos de manutenção envolvendo o acesso de terceiros às instalações de TI da organização no local ou fora do
local das atividades (por exemplo, terceirização). Estabelecer contratos de serviços formais que contenham ou façam referência a
todas as condições de segurança necessárias, incluindo processos de autorização de acesso, para garantir a conformidade com as
políticas e normas de segurança da organização.
07 Comunicar aos clientes e usuários afetados o impacto esperado (por exemplo, restrições de desempenho) das atividades de
manutenção.
08 Assegurar que os serviços de acesso remoto e perfis de usuário (ou outros meios utilizados para a manutenção ou diagnóstico)
estão ativos somente quando necessário.
09 Incorporar tempo de inatividade planejado em um cronograma de produção global, e programar as atividades de manutenção
para minimizar o impacto negativo sobre os processos de negócios.
BAI09.03 Gerenciar o ciclo de vida do ativo. De Descrição Descrição Para

Gerenciar ativos da compra ao descarte para  Solicitações aquisição de Interno
assegurar que os ativos são utilizados de forma tão ativos autorizadas
eficaz e eficiente quanto possível e são
 Revisões do registro de BAI10.03
contabilizados e fisicamente protegidos.
ativos
 Desativação de ativos BAI10.03
autorizados
Atividades
01 Adquirir todos os ativos com base nas solicitações aprovadas e em conformidade com as políticas e práticas de aquisição da
empresa.
02 Fonte, receber, verificar, testar e gravar todos os ativos de uma maneira controlada, incluindo a rotulagem física, conforme
necessário.
03 Aprovar pagamentos e concluir o processo com os fornecedores de acordo com as condições contratuais acordadas.
04 Implantar ativos seguindo o ciclo de vida de implementação padrão, incluindo gerenciamento de mudanças e testes de aceitação.
05 Alocar recursos para os usuários com a aceitação de responsabilidades e assinaturas, conforme o caso.
06 Realocar os ativos, sempre que possível, quando eles não são mais necessários devido a uma mudança de função de usuário, a
redundância dentro de um serviço ou desativação de um serviço.
07 Descartar ativos quando eles não servem a nenhum propósito útil devido à desativação dos serviços relacionados, tecnologias
obsoletas ou a falta de usuários.
08 Descartar ativos de forma segura considerando, por exemplo, a exclusão permanente de quaisquer dados registados em
dispositivos de mídia e potencial de danos ao meio ambiente.
09 Planejar, autorizar e implementar atividades relacionadas com a desativação, mantendo registros apropriados para atender a
necessidades de regulamentação e negócios em andamento.
BAI09.04 Otimizar os custos dos ativos. De Descrição Descrição Para
Analisar periodicamente a base de ativos em geral  Resultados de revisões APO02.02
para identificar maneiras de otimizar os custos e de otimização de custos
manter o alinhamento com as necessidades do
 Oportunidades para APO02.02
negócio.
reduzir custos de ativos
ou
 aumentar o valor
164
CAPÍTULO 5

Atividades
01 Em uma base regular, revisar a base de ativos no geral, considerando se ela está alinhado com os requisitos de negócio.
02 Avaliar os custos de manutenção, considerar racionalidade e identificar opções de menor custo incluindo, se necessário,
substituição por novas alternativas.
03 Revisar garantias e considerar o valor monetário e estratégias de substituição para determinar as opções de menor custo.
04 Revisar a base em geral para identificar oportunidades de padronização, fornecimento individual e outras estratégias que podem
reduzir os custos de aquisição, suporte e manutenção.
05 Utilizar as estatísticas capacidade e utilização para identificar ativos subutilizados ou redundantes que poderiam ser considerados
para a eliminação ou substituição para reduzir os custos.
06 Analisar o estado geral para identificar oportunidades para alavancar as tecnologias emergentes ou estratégias de fornecimento
alternativo para reduzir custos ou aumentar o valor para o negócio.
BAI09.05 Gerenciar licenças. De Descrição Descrição Para
Gerenciar licenças de software de modo que o  Registo das licenças de BAI10.02
número ideal de licenças é mantido para suportar os software
requisitos de negócios e o número de licenças
 Os resultados das MEA03.03
possuídas é suficiente para cobrir o software
auditorias licenças
instalado em uso.
instaladas
 Plano de acção para APO02.05
ajustar os números de
licenças e alocações

Atividades
01 Manter um registo de todas as licenças de software adquiridas e acordos de licença associados.
02 Em uma base regular, realizar uma auditoria para identificar todas as instâncias dos softwares licenciados instalados.
03 Comparar o número de instâncias de software instalados com o número de licenças possuídas.
04 Quando as instâncias são mais baixos do que o número possuídas, decidir se há necessidade de manter ou cessar o uso de
licenças, considerando o potencial de economizar com manutenção desnecessária, treinamento e outros custos.
05 Quando as instâncias são mais elevados do que o número possuídas, considerar em primeiro lugar a oportunidade de desinstalar
instâncias que não são mais necessários ou justificado, quando e se necessário, adquirir licenças adicionais para cumprir com o
contrato de licenciamento.
06 Em uma base regular, considerat se melhor valor pode ser obtido pela atualização de produtos e licenças associadas.
ITIL V3 2011 Transição de Serviço 4.3 Gerenciamento de Ativos de Serviço e Configuração
165
BAI10 Gerenciar Configuração

BAI10 Gerenciar Configuração Área: Gestão
Definir e manter as descrições e relações entre recursos chave e capacidades necessárias para entregar e habilitar serviços de TI, incluindo a
coleta de informações de configuração, o estabelecimento de linhas de base, verificação e informações de configuração de auditoria, e
atualizar o repositório de configuração.
Fornecer informações suficientes sobre os ativos de serviços para permitir o serviço seja efetivamente gerenciado, avaliar o impacto das
mudanças e lidar com incidentes de serviço.
02 Conformidade de TI e suporte para conformidade do  Custo das não conformidade de TI, incluindo acordos e multas e o impacto
negócio com as leis e regulamentos externos da perda de reputação
 Número de questões de não conformidade relacionadas a TI comunicadas
à direção que causaram comentário público ou constrangimento
 Número de não cumprimento de questões relativas aos acordos
contratuais com prestadores de serviços de TI
 Abrangência das avaliações de conformidade
11 Otimização de ativos, recursos e capacidades de TI  Frequência da maturidade da capacidade e de custo de avaliações de
otimização
 Níveis de satisfação dos executivos de negócios e de TI com os custos e
capacidades relacionados a TI
14 Disponibilidade de informações úteis e confiáveis para a  Nível de satisfação dos usuários de negócios com qualidade e
tomada de decisão pontualidade (ou disponibilidade) das informações gerenciais
 Número de incidentes de processos de negócios causadas por falta de
 Relação e extensão das decisões de negócios errôneas onde a informação
errada ou não disponível era um fator chave
01 Repositório de configuração é preciso, completo e  Número de desvios entre o repositório de configuração e configuração
atualizado. atual
 Número de discrepâncias relativas a informações de configuração
incompletas ou em falta
166
CAPÍTULO 5
BAI10 TABELA RACI

BAI10 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI10.01
Estabelecer e manter um modelo de C C C C I A R R
configuração.
BAI 10.02
Estabelecer e manter um repositório C R A R R
de configuração e linha de base
BAI10.03
Manter e controlar os itens de A C R R R C

configuração.
BAI10.04
Produzir relatórios de status e I I I C C A R I
configuração.
BAI10.05
Verificar e avaliar a integridade do I R R R A R
repositório de configuração.
BAI10.01 Estabelecer e manter um modelo de De Descrição Descrição Para
configuração. BAI07.06  Plano de liberação  Escopo do modelo de Interno
Estabelecer e manter um modelo lógico dos erviços, gestão de configuração
bens e infraestrutura e como gravar itens de
 Modelo de configuração Interno
configuração (ICs) e as relações entre eles. Inclua os
lógico
ICs considerados necessários para gerenciar os
serviços de forma eficaz e para fornecer uma
descrição confiável simples de um serviço.
Atividades
01 Definir e chegar a acordo sobre o escopo e o nível de detalhe para o gerenciamento de configuração (isto é, quais os serviços,
ativos e infraestrutura itens configuráveis para incluir).
02 Estabelecer e manter um modelo lógico para a gestão de configuração incluindo informações sobre os tipos de itens de
configuração, os atributos dos itens de configuração, tipos de relacionamento, atributos do relacionamento e códigos de status.
BAI 10.02 Estabelecer e manter um repositório De Descrição Descrição Para
de configuração e linha de base. BAI09.05  Registo de licenças de  Repositório de BAI09.01
Estabelecer e manter um repositório do software configuração DSS02.01
gerenciamento de configuração e criar linhas de base
 Linha de base de BAI03.11
de configuração controladas.
configuração
167

Atividades
01 Identificar e classificar itens de configuração e popular o repositório.
02 Criar, revisar e acordar formalmente sobre linhas de base de configuração de um serviço, aplicação ou infraestrutura.
BAI10.03 Manter e controlar os itens de De Descrição Descrição Para
configuração. BAI06.03  Relatórios de status de  Repositório de DSS02.01
Manter um repositório atualizado dos itens de Solicitação de Mudança atualização com itens de
configuração povoado com as mudanças. configuração
BAI09.01  Resultados dos  Mudanças aprovadas BAI03.11
controles de inventário para a linha de base
físico
 Registro de ativos
BAI09.03  Desativação de ativos
autorizados
 Revisões do registro de
ativos
Atividades
01 Identificar regularmente todas as mudanças nos itens de configuração.
02 Rever alterações propostas para itens de configuração contra a linha de base para garantir a integridade e precisão.
03 Atualizar detalhes de configuração para mudanças aprovadas nos itens de configuração.
04 Criar, revisar e formalmente aprovar alterações nas linhas de base de configuração sempre que necessário.

BAI10.04 Produzir relatórios de status e De Descrição Descrição Para
configuração. BAI09.01  Resultados dos  Relatórios de status de BAI03.11
Definir e produzir relatórios de configuração em controles de inventários configuração DSS02.01
alterações do estado dos itens de configuração. físicos
Atividades
01 Identificar as alterações de status nos itens de configuração e relatar contra a linha de base.
02 Combinar todas as alterações de configuração com requisições de mudança aprovadas para identificar quaisquer alterações não
autorizadas. Relatar alterações não autorizadas à gestão da mudança.
03 Identificar os requisitos de apresentação de relatórios de todas as partes interessadas, incluindo conteúdo, frequência e mídia.
Produzir relatórios de acordo com as necessidades identificadas.
BAI10.05 Verificar e avaliar a integridade do De Descrição Descrição Para
repositório de configuração.  Resultados da Interno
Revisar periodicamente o repositório de verificação física dos
configuração e verificar a integralidade e exatidão itens de configuração
contra a meta desejada.
 Desvios de licença MEA03.03
 Resultado das revisões Interno
de integridade do
repositório
Atividades
01 Verifica periodicamente itens de configuração atuais contra o repositório de configuração, comparando configurações físicas e
lógicas e usando ferramentas de descoberta apropriadas conforme a necessidade.
02 Reportar e rever todos os desvios para correções ou ações aprovadas para remover quaisquer ativos não autorizados.
03 Verificar periodicamente se todos os itens de configuração físicos com definidos no repositório, existem fisicamente. Relatar
quaisquer desvios para a gestão.
04 Ajustar e revisar periodicamente a meta de integridade do repositório de configuração com base na necessidade do negócio.
05 Comparar periodicamente o grau de integridade e precisão contra as metas e tomar medidas corretivas, se necessário, para
melhorar a qualidade dos dados do repositório.
ISO/IEC 20000 9.1 Gestão de Configuração
ITIL V3 2011 Transição de Serviço 4.3 Gerenciamento de Ativos de Serviço e Configuração
168
CAPÍTULO 5
ENTREGAR, SERVIÇO E SUPORTE (DSS)

01 Gerenciar Operações.
02 Gerenciar Solicitações e Incidentes de Serviços.
03 Gerenciar Problemas.
04 Gerenciar Continuidade.
05 Gerenciar Serviços de Segurança.
06 Gerenciar Controles de Processos de Negócio.
Entregar, Serviço e Suporte
169
DSS01 Gerenciar Operações

DSS01 Gerenciar Operações Área: Gestão
Domínio: Entregar, Serviço e Suporte
Coordenar e executar as atividades e procedimentos operacionais necessários para entregar serviços de TI internos e terceirizados, incluindo
a execução de procedimentos operacionais padrão pré‐definidos e as atividades de monitoração necessárias.
Entregar resultados operacionais de serviços de TI conforme planejado.
04 Gestão de risco organizacional de TI Percentual de processos críticos de negócio, serviços de TI e
programas de negócio relacionados à TI cobertos pela avaliação de
riscos.
Número significativo de incidentes relacionados à TI que não foram na
avaliação de riscos.
Percentual de avaliações de riscos corporativos incluindo riscos
relacionados à TI
Frequência de atualização do perfil de risco.
07 Prestação de serviços de TI em consonância com os requisitos de Número de interrupções de negócio devido a incidentes nos serviços
negócio de TI
Percentual de partes interessadas do negócio satisfeitos com a
entrega de serviços de TI, de acordo com os níveis de serviço
acordados.
Percentual de usuários satisfeitos com a qualidade da entrega de
serviços de TI
11 Otimização de ativos, recursos e capacidades de TI Frequência de avaliação da maturidade da capacidade e otimização de
custos
Tendências dos resultados das avaliações
Nível de satisfação dos executivos do negócio e de TI com os custos e
capacidades relacionados à TI.
01 Atividades operacionais são executadas conforme requisitadas Número de procedimentos operacionais não padrão executadas.
e agendadas. Número de incidentes causados por problemas operacionais.
02 Operações são monitoradas, medidas, reportadas e Proporção de eventos comparados com o número de incidentes.
remediadas. Percentual dos tipos de eventos operacionais críticos cobertos por
sistemas de detecção automática
170
CAPÍTULO 5
DSS01 TABELA RACI

DSS01 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS01.01
A C C C
Executar procedimentos operacionais.
DSS01.02
I A R
Gerenciar serviços terceirizados.
DSS01.03
I C I C I C A C C
Monitorar a infraestrutura de TI.
DSS01.04
I C A C C C I C R I R I
Gerenciar o ambiente.
DSS01.05
I C A C C C I C R I R I
Gerenciar as Instalações.
DSS01 Práticas de Processo, Entradas/Saídas e Atividades.
DSS01 Práticas de Processo, Entradas/Saídas e Atividades
DSS01.01 Executar procedimentos operacionais. De Descrição Descrição Para
Manter e executar procedimentos e tarefas BAI05.05  Plano de operação e uso  Agenda operacional Interna
operacionais com confiabilidade e consistência.
 Registro de Backup Interna
Atividades
01 Desenvolver e manter procedimentos operacionais e atividades relacionadas para suporte a todos os serviços entregues.

02 Manter um cronograma de atividades operacionais, executar as atividades, e gerenciar o performance e rendimento das
atividades programadas.
03 Verificar se todos os dados esperados para processamento são recebidos e processados completamente, com precisão e em
tempo hábil. Entregar saídas de acordo com as exigências da empresa. Apoio reativação e necessidades de reprocessamento.
Certificar de que os usuários recebam as saídas corretas de maneira segura e em tempo hábil.
04 Assegurar que as normas de segurança aplicáveis são satisfeitas para o recebimento, processamento, armazenamento e saída de
dados de uma forma que atenda aos objetivos corporativos, a política de segurança da empresa e os requisitos regulamentares.
05 Agendar, executar e registrar backups de acordo com as políticas e procedimentos estabelecidos.
DSS01.02 Gerenciar serviços de TI terceirizados. De Descrição Descrição Para
Gerenciar a operação dos serviços terceirizados de TI APO09.03  Acordos de nível  Planos de garantias MEA02.06
para manter a proteção das informações e operacional (OLAs) Independentes
confiabilidade da prestação de serviços.  Acordos de nível de
serviço (SLAs)
BAI05.05  Plano de operação e uso
171

Atividades
01 Assegurar que os requisitos corporativos para a segurança dos processos de informação são aderentes e em conformidade com os
contratos e Acordos de nível de serviço (SLAs) com terceiros para hospedagem ou prestação de serviços.
02 Assegurar que as operações de negócio da empresa, os requisitos de processamentos de TI e prioridades para entrega dos serviços
são aderentes e em conformidade com contratos e Acordos de nível de serviço (SLAs) com terceiros para hospedagem ou
prestação de serviços.
03 Integrar processos internos e críticos de gerenciamento de TI com os de prestadores de serviços terceirizados, que abrange, por
exemplo, planejamento de desempenho e capacidade, gerenciamento de mudanças, gerenciamento de configuração, solicitação
de serviço e gerenciamento de incidentes, gerenciamento de problemas, gerenciamento de segurança, continuidade de negócios,
e o monitoramento do desempenho dos processos e relatórios.
04 Planejar para a auditoria independente e assegurar ambientes operacionais de provedores terceirizados para confirmar que os
requisitos acordados sejam devidamente tratados.
DSS01.03 Monitorar a infraestrutura de TI. De Descrição Descrição Para
Monitorar a infraestrutura de TI e eventos BAI03.11  Definições de Serviços  Regras de monitoração DSS02.01
relacionados. Armazenar informações cronológicas de ativos e condições de DSS02.02
suficientes sobre registros de operações para eventos
permitir a reconstrução, revisão e análise das
 Registros de Eventos Interna
sequências de operações no tempo e outras
atividades circundantes ou operações de apoio.  Registro de Incidentes DSS02.02
Atividades
01 Registros de eventos, identificando o nível de informação a ser gravado com base na ponderação de risco e desempenho.
02 Identificar e manter uma lista de ativos de infraestrutura que precisam ser monitorados, com base na criticidade do serviço e a
relação entre os itens de configuração e os serviços que deles dependem.
03 Definir e implementar regras que identifica e registra eventos de violações de limites e condições. Encontrar um equilíbrio entre a
geração de eventos menores espúrios e eventos significativos de modo que os registros de eventos não sejam sobrecarregados
com informações desnecessárias.
04 Produzir registros de eventos e retê‐los por um período adequado para auxiliar em futuras investigações.
05 Estabelecer procedimentos para monitorar os registros de eventos e realizar revisões regulares.
06 Assegurar que os registros de incidentes sejam criados em tempo hábil quando o monitoramento identificar desvios nos limites
definidos.
DSS01.04 Gerenciar o ambiente. De Descrição Descrição Para
Manter as medidas de proteção contra fatores  Política do Ambiente APO01.08
ambientais. Instalar equipamentos e dispositivos APO01.08

especializados para monitorar e controlar o
 Relatórios de apólice de MEA03.03
ambiente.
seguro MEA03.03
Atividades
01 Identificar as catástrofes naturais e provocadas pelo homem que podem ocorrer na área dentro da qual as instalações de TI estão
localizadas. Avaliar o efeito potencial dessas catástrofes sobre as instalações de TI.
02 Identificar como os equipamentos de TI, incluindo equipamentos móveis e remotos, são protegidos contra ameaças ambientais.
Certificar que a política limita ou proíbe comer, beber e fumar em áreas sensíveis, e proíbe o armazenamento de artigos de
papelaria e outros suprimentos que representam um risco de incêndio dentro de salas de informática.
03 Situar e construir TI facilidades para minimizar e mitigar a suscetibilidade a ameaças ambientais.
04 Monitorar regularmente e manter os dispositivos que detectam proativamente ameaças ambientais (por exemplo, fogo, água,
fumaça, umidade).
05 Responder a alarmes ambientais e outras notificações. Documentar e testar procedimentos, que devem incluir priorização de
alarmes e contato com as autoridades de resposta a emergências locais e treinar pessoal nestes procedimentos.
06 Comparar medidas e planos de contingência com as exigências da política de seguros e relatar os resultados. Tratar os pontos em
não conformidade tempo hábil.
07 Assegurar que os ambientes de TI são construídos e projetados para minimizar o impacto do risco ambiental (por exemplo, roubo,
ar, fogo, fumaça, água, vibração, terror, vandalismo, produtos químicos, explosivos). Considerar zonas específicas de segurança e /
ou células à prova de fogo (por exemplo, localização de ambientes de produção e desenvolvimento / servidores longe um do
outro).
08 Manter os locais de TI e salas de servidores limpo e em condições de segurança em todos os momentos (por exemplo, sem
bagunça, sem caixas de papel ou cartão, que não haja caixotes de lixo cheios, que o ambiente esteja sem produtos químicos ou
materiais inflamáveis).
172
CAPÍTULO 5

DSS01.05 Gerenciar instalações. De Descrição Descrição Para
Gerenciar instalações, incluindo equipamentos de  Reportes de Avaliação MEA01.03
energia e de comunicação, de acordo com as leis e das instalações MEA01.03
reguladores, requisitos técnicos e de negócio,
 Conscientização sobre Interna
especificações do fornecedor e com as diretrizes de
Saúde e Segurança
saúde e segurança.
Atividades
01 Examinar os requisites das instalações de TI para a proteção contra oscilações de energia e interrupções, em conjunto com outros
requisitos de planejamento de continuidade de negócios. Providenciar equipamento adequado para fornecimento ininterrupto de
energia (por exemplo, baterias, geradores) para apoiar o planejamento de continuidade de negócios.
02 Testar regularmente os mecanismos da fonte de alimentação ininterrupta de energia e assegurar que a energia pode ser
transferida para o fornecimento de contingência sem qualquer efeito significativo nas operações de negócios.
03 Certificar que as instalações que contenham os sistemas de TI têm mais de uma fonte para as instalações dependentes (por
exemplo, energia, telecomunicações, água, gás). Separar a entrada física de cada utilidade.
04 Verificar se o cabeamento externo para o site de TI está localizado no subsolo ou tem proteção alternativa adequada. Determinar
que o cabeamento dentro do site de TI seja contido dentro de conduítes seguros e que os armários de fiação sejam de acesso
restrito ao pessoal autorizado. Proteger corretamente o cabeamento contra danos causados por fogo, fumaça, água,
interceptação e interferência.
05 Assegurar que o cabeamento físico e as conexões (dados e telefone) são estruturados e organizados. Estruturas de cabeamento e
conduítes devem ser documentadas (por exemplo, plano de ‘blueprint’ e diagramas de fiação).
06 Analisar os sistemas de alta disponibilidade das instalações para redundância e requisites de proteção contra falhas para o
cabeamento (externo e interno).
07 Assegurar que os ambientes de TI e suas instalações estejam em continua conformidade com as leis de saúde e segurança
aplicáveis, e de acordo com os regulamentos, diretrizes e especificações dos fornecedores.
08 Educar o pessoal regularmente a respeito das leis de saúde e segurança, regulamentos e orientações relevantes. Educar o pessoal
em simulações de incêndio e salvamento para garantir o conhecimento e tomada de ações em caso de incêndio ou de incidentes
semelhantes.
09 Registrar, monitorar, gerenciar e resolver incidentes de instalações de acordo com o processo de gerenciamento de incidentes de
TI estabelecido. Deixar disponíveis os relatórios sobre os incidentes nas instalações nas situações em que a divulgação é requerida
por leis e reguladores.
10 Assegurar que as instalações de TI e seus equipamentos sejam mantidos de acordo com os intervalos de manutenção e
especificações recomendadas pelos fornecedores. A manutenção deve ser realizada somente por pessoas autorizadas.
11 Analisar as alterações físicas feitas nas instalações de TI ou dependências para reavaliar o risco do ambiente (por exemplo,
incêndio ou danos causados pela água). Relatar os resultados desta análise para a gestão de continuidade dos negócios e

gerenciamento das instalações.
DSS01 Orientação relacionada
DSS01 Orientação Relacionada
ITIL V3 2011 Operação de Serviços, 4.1 Gerenciamento de Eventos
173
DSS02 Gerenciar Solicitações e Incidentes de Serviços

DSS02 Gerenciar Solicitações e Incidentes de Serviços Área: Gestão
Fornecer resposta rápida e eficaz às solicitações dos usuários e resolver todos os tipos de incidentes. Restaurar o serviço normal; registrar e
atender a solicitações de usuários; e registrar, investigar, diagnosticar, escalar e resolver incidentes.
Alcançar maior produtividade e minimizar as interrupções através de rápida resolução de consultas dos usuários e incidentes.
04 Gestão de risco organizacional de TI  Porcentual de processos críticos de negócio, serviços de TI e
programas de negócio habilitados por TI que são abrangidos pela
avaliação de risco
 Número de incidentes significativos relacionados com TI que não
foram identificados na avaliação de risco
 Porcentual de avaliações de risco, incluindo riscos relacionados com
TI
 Frequência de atualização do perfil de riscos
07 Prestação de serviços de TI em consonância com os requisitos  Número de interrupções nos negócios devido a incidentes em
de negócio serviços de TI
 Porcentual de partes interessadas do negócio satisfeitas pela
entrega de serviços de TI de acordo com os níveis de serviços
acordados
 Porcentual de usuários satisfeitos com a qualidade da prestação de
serviços de TI
01 Os serviços relacionados com TI estão disponíveis para uso.  Número e percentual de incidentes que causam interrupção de
processos críticos de negócios
 Tempo médio entre incidentes de acordo com serviços de TI
habilitados
02 Os incidentes são resolvidos de acordo com os níveis de serviço  Porcentual de incidentes resolvidos dentro do período de tempo
acordados. acordado / aceitável.
03 As solicitações de serviço são tratadas de acordo com os níveis  Nível de satisfação dos usuários com relação ao pedidos serviço
de serviço acordados e visando a satisfação dos usuários. atendidos.
 A média de tempo para lidar com cada tipo de solicitação de serviço
174
CAPÍTULO 5
DSS02 TABELA RACI

DSS02 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS02.01
Definir esquemas de classificação de C I I A C R R R C C C
registros de incidentes e de serviços.
DSS02.02
Registrar, classificar e priorizar as I I I A R I
solicitações e incidentes.
DSS02.03
Verificar, aprovar e atender as R I R R A
solicitações de serviços.
DSS02.04
Investigar, diagnosticar e atribuir R I I I I I C R A C
incidentes.
DSS02.05
Resolver e recuperar operações após I I I C C I R R A R C
incidesntes
DSS02.06
Fechar requisições de serviços e I I I I I I I A I R I
incidentes.
DSS02.07
I I I I I I I A R I
Rastrear situações e gerar reportes.

DSS02.01 Definir esquemas de classificação de De Descrição Descrição Para
incidentes e solicitações de serviços. APO09.03  Acordos de nível de serviço  Esquemas e modelos Interna
Definir esquemas e modelos para classificação de incidente APO09.03 (SLAs) de classificação de
e solicitações de serviços. requisições de serviços
e incidentes
BAI10.02  Repositório de Configuração  Regras para Interna
BAI10.02 escalonamento de
incidentes
BAI10.03  Repositório atualizado com  Critérios para registro
BAI10.03 itens de configuração de problemas
BAI10.04  Reportes de situação da
BAI10.04 configuração
DSS01.03  Regras de monitoramento
DSS01.03 de ativos e condições de
eventos
DSS03.01  Esquema de classificação de
DSS03.01 problemas
DSS04.03  Ações de resposta e
DSS04.03 comunicação de incidentes
175

Atividades
01 Definir esquemas e critérios de classificação e priorização de incidentes e solicitação de serviços e critérios para registro de problemas, para
assegurar abordagens consistentes para o tratamento, informando aos usuários e realizar a análise de tendências.
02 Definir modelos de incidentes de erros conhecidos para permitir sua resolução eficiente e eficaz.
03 Definir modelos de solicitação de serviços de acordo com o tipo de serviço solicitado para permitir a autoajuda e serviços eficientes para solicitações
padrão.
04 Definir regras e procedimentos de escalonamento de incidentes, especialmente para grandes incidentes e incidentes de segurança.
05 Definir incidente e pedidos por fontes de conhecimento e sua utilização.
DSS02.02 Registrar, classificar e priorizar APO09.03  Acordos de nível de  Registros de incidentes Interna
as solicitações e incidentes. APO09.03 serviço (SLAs) e solicitação de serviços
Identificar, registrar e classificar as BAI04.05  Procedimento de  Incidentes e APO08.03
solicitações de serviço e incidentes, e atribuir BAI04.05 escalonamento de Solicitações de Serviços APO09.04
uma prioridade de acordo com a criticidade emergências classificadas e APO13.03
de negócios e acordos de serviço. DSS01.03  Registros de incidentes priorizadas
DSS01.03  Regras de
monitoramento de
ativos e condições de
eventos
DSS05.07  Registros de incidentes
DSS05.07 de segurança
Atividades
01 Registrar todas as solicitações de serviço e incidentes, gravando todas as informações relevantes para que possam ser tratadas de forma eficaz e
que um registro histórico completo possa ser mantido.
02 Para ativar a análise de tendências, classificar as solicitações de serviço e incidentes, identificando o tipo e categoria.
03 Priorizar solicitações de serviço e incidentes com base na definição de impacto aos negócios e urgência do serviço descrita no Acordos de Níveis de
Serviço (SLA).
DSS02.03 Verificar, aprovar e atender às De Descrição Descrição Para
solicitações de serviços. APO12.06  Causa raiz dos riscos  Solicitações de serviços BAI06.01
Selecionar os procedimentos de solicitação relacionados aprovadas
adequados e verificar se as solicitações de  Solicitações de serviços Interna
serviço atendem os critérios definidos. Obter atendidas
a aprovação, se necessário, e preencher os
pedidos.
Atividades
01 Verificar o direito de emitir solicitações de serviço utilizando, sempre que possível, um fluxo de processo pré‐definido e mudanças padrão.
02 Obter a aprovação financeira e funcional ou autorização, se necessário, ou aprovações pré‐definidas para mudanças padrão previamente acordadas.
03 Cumprir as solicitações executando o procedimento de pedido selecionado, utilizando, sempre que possível, menus de autoajuda automatizados e
modelos de solicitação pré‐definidos para itens mais frequentemente solicitados

DSS02.04 Investigar, diagnosticar e De Descrição Descrição Para
atribuir incidentes. BAI07.07  Plano suplementar de  Sintomas de incidents Interna
Identificar e registrar os sintomas de suporte  Registro de problema
incidentes, determinar as possíveis causas e
atribuir para resolução.
Atividades
01 Identificar e descrever sintomas relevantes para estabelecer as causas mais prováveis dos incidentes. Referenciar fontes de conhecimento
disponíveis (incluindo erros e problemas conhecidos) para identificar possíveis resoluções de incidentes (soluções temporárias e / ou soluções
permanentes).
02 Se um problema relacionado ou erro conhecido ainda não existir e se o incidente satisfaz critérios de registo de problema previamente acordados,
registrar um novo problema.
03 Atribuir incidentes a funções especializadas se uma experiência mais profunda for necessária, e envolver o nível de gerenciamento apropriado, onde
e se necessário.
DSS02.05 Resolver e recuperar incidentes. De Descrição Descrição Para
Documentar, aplicar e testar as soluções APO12.06  Planos de Resposta a  Resoluçãoes de DSS03.04
definitivas ou alternativas identificadas e Riscos relacionados a incidents
executar ações para restaurar o serviço incidentes
relacionados à TI. DSS03.03  Registro de erros
conhecidos
DSS03.04  Comunicação de
conhecimento
aprendido
176
CAPÍTULO 5

Atividades
01 Selecionar e aplicar as resoluções de incidente mais apropriadas (solução temporária e / ou solução permanente).
02 Registrar se foram utilizadas soluções alternativas para resolução de incidentes.
03 Executar ações de recuperação, se necessário.
04 Documentar a resolução de incidente e avaliar se essa pode ser usada como uma fonte de conhecimento futuro.
DSS02.06 Fechar solicitações de serviço e De Descrição Descrição Para
incidentes. DSS03.04  Registro de problemas  Solicitações de serviços APO08.03
Verificar se a resolução de incidente e / ou fechados e incidents fechados APO09.04
solicitação foi satisfatória e fechar o pedido. DSS03.04
 Confirmação do usuário APO08.03
para atendimento ou
resolução satisfatórios
Atividades
01 Verificar com os usuários afetados (se estiverem de acordo) que o pedido de serviço foi satisfatoriamente atendido ou se o
incidente foi satisfatoriamente resolvido.
02 Fechar solicitações de serviço e incidentes.
DSS02.07 Acompanhar o estado e De Descrição Descrição Para
produzir relatórios. APO09.03 Acordos de nível Relatório de estado de APO08.03
Monitorar, analisar e relatar incidentes e operacional (OLAs) incidentes e tendências. APO09.04
tendências de atendimento de solicitações DSS03.01 Relatório de Status de APO11.04
para fornecer informações para o processo Problemas APO12.01
de melhoria contínua. DSS03.02 Relatório de Resolução MEA01.03
de Problemas
DSS03.05 Relatórios de
monitoramento de Relatórios de estado de APO08.03
resolução de problemas. solicitações atendidas e APO09.04
tendências. APO11.04
MEA01.03
Atividades
01 Monitorar e rastrear escalonamentos de incidentes e resoluções e solicitar procedimentos para resolução ou conclusão.
02 Identificar as partes interessadas de informação e as suas necessidades de dados ou relatórios. Identificar frequência e meios de
comunicação.
03 Analisar incidentes e solicitações de serviço por categoria e tipo, para estabelecer tendências e identificar padrões de problemas
recorrentes, violações de Acordos de Níveis de Serviço (SLA) ou ineficiências. Usar as informações como entrada para o
planejamento de melhoria contínua.
04 Produzir e distribuir relatórios oportunamente ou fornecer acesso controlado aos dados on‐line.

ISO/IEC 20000 6.1 Gerenciamento do Nível de Serviço
8.2 Gerenciamento de Incidentes
ISO 27002 103 Gerenciamento de Incidente de Segurança da Informação
ITIL V3 2011 Operação de Serviços, 4.2 Gerenciamento de Incidentes
Operação de Serviços, 4.3 Atendimento a Requisições
177
DSS03 Gerenciar Problemas

DSS03 Gerenciar Problemas Área: Gestão
Identificar e classificar os problemas e suas causas raizes e fornecer resolução oportuna para evitar incidentes recorrentes. Fornecer
recomendações para melhorias.
Aumentar a disponibilidade, melhorar níveis de serviço, reduzir custos e melhorar a conveniência e satisfação do cliente pela redução do
número de problemas operacionais.
04 Gestão de risco organizacional de TI  Porcentagem de processos críticos de negócio, serviços de TI e
serviços habilitados por TI abrangidos pela avaliação de risco
 Número de incidentes significativos relacionados com TI que não
foram identificados na avaliação de risco
 Porcentagem de avaliações de risco, incluindo riscos relacionados
com TI
07 Prestação de serviços de TI em consonância com os requisitos  Número de interrupções nos negócios devido a incidentes de serviço
de negócio de TI
 Porcentagem de partes interessadas no negócio satisfeitas com a
entrega de serviços de acordo com os níveis de serviço acordados
 Porcentagem de usuários satisfeitos com a qualidade da prestação
de serviços de TI
11 Otimização de ativos, recursos e capacidades de TI  Frequência de avaliações da maturidade e de otimizações de custo
 Níveis de satisfação de executivos de negócios e de TI com os custos
e capacidades relacionados a TI
14 Disponibilidade de informações úteis e confiáveis para a  Nível de satisfação dos usuários de negócios com a qualidade e
tomada de decisão oportunidade (ou disponibilidade) das informações para gestão
 Número de incidentes de processos de negócios causados por falta
de disponibilidade de informações
 Relação e extensão de decisões empresariais errôneas onde a
informação errônea ou não disponível foi um fator chave
01 Problemas relacionados a TI são resolvidos de forma que não  Diminuição do número de incidentes recorrentes causados por
ocorram novamente. problemas não resolvidos
 Porcentagem de incidentes graves para os quais problemas foram

registrados
 Porcentagem de soluções temporárias definidas para problemas em
aberto
 Porcentagem de problemas registados como parte da atividade de
gestão proativa de problemas
 Número de problemas para os quais uma solução satisfatória que
abordasse as causas que foram encontradas
178
CAPÍTULO 5
DSS03 TABELA RACI

DSS03 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS03.01
I C I I I I R C R R A C
Identificar e Classificar Problemas.
DSS03.02
I I C C A R R
Investigar e Diagnosticar Problemas.
DSS03.03
A R R
Identificar Erros Conhecidos.
DSS03.04
I C I I C C I C C R A
Resolver e Encerrar Problemas.
DSS03.05
Executar Gerenciamento Proativo de C C C R A
Problemas.
DSS03.01 Identificar e classificar problemas. De Descrição Descrição Para
Definir e implementar critérios e procedimentos para APO12.06  Causas Raiz relacionadas  Esquema de DSS02.01
relatar problemas identificados, incluindo a a Riscos Classificação de
classificação, categorização e priorização de Problemas
problemas.
 

DSS02.01 Critérios para Registro Reportes de Situação de DSS02.07
de Problemas Problemas
DSS02.04  Registro de problema  Registro de Problema Interna
Atividades
01 Identificar problemas através da correlação de relatórios de incidentes, logs de erros e outros recursos de identificação de
problemas. Determinar níveis de prioridade e categorização para tratar de problemas em tempo hábil com base no risco do
negócio e definição de serviço.
02 Lidar com todos os problemas, formalmente, com acesso a todos os dados pertinentes, incluindo informações do sistema de
gestão da mudança e de configuração / ativos de TI e detalhesde incidentes.
03 Definir grupos de apoio adequados para ajudar com a identificação do problema, análise de causa raiz e determinação solução
para apoiar a gestão problema. Determinar grupos de apoio com base em categorias pré‐definidas, tais como hardware, rede,
software, aplicativos e software de suporte.
04 Definir níveis de prioridade por meio de consultas ao negócio para assegurar que a identificação do problema e a causa raiz são
tratados em tempo hábil de acordo com o Acordo De Nível De Serviço (SLAS) acordado. Basear os níveis de prioridade no impacto
nos negócios e urgência.
05 Reportar o estado dos problemas identificados para a central de atendimento para que os clientes e a gestão de TI possam ser
mantidos informados.
06 Manter um único catálogo de gerenciamento de problemas para registrar e relatar os problemas identificados e estabelecer trilhas
de auditoria de processos de gerenciamento de problemas, incluindo o estado de cada problema (ou seja, aberto, reabrir, em
andamento ou fechado).
179

DSS 03.02 Investigar e diagnosticar problemas. De Descrição Descrição Para
Investigar e diagnosticar problemas usando APO12.06  Causas Raiz relacionadas  Causas Raiz de Interna
especialistas no assunto para avaliar e analisar a a Riscos Problemas
causa raiz dos problemas.
 Reportes de Resolução DSS02.07
de Problemas
Atividades
01 Identificar problemas que podem ser erros conhecidos, comparando dados de incidentes com o banco de dados de erros
conhecidos e suspeitos (por exemplo, os que forem comunicados pelos fornecedores externos) e classificar problemas como erros
conhecidos.
02 Associar os itens de configuração afetados com o erro estabelecido / conhecido.
03 Produzir relatórios para comunicar o progresso na resolução de problemas e para monitorar o impacto contínuo de problemas não
resolvidos. Monitorar o estado do processo de tratamento de problema em todo o seu ciclo de vida, incluindo a entrada a partir
de mudança e gerenciamento de configuração.
DSS 03.03 Levantar erros conhecidos. De Descrição Descrição Para
Assim que as causas dos problemas são identificadas,  Registros de Erros DSS02.05
criar registros de erros conhecidos e uma solução Conhecidos
apropriada, e identificar possíveis soluções.
 Propostas de Solução BAI06.01
para Erros Conhecidos
Atividades
01 Assim que as causas dos problemas forem identificadas, criar registros de erros conhecidos e desenvolver uma solução alternativa
adequada.
02 Identificar, avaliar, priorizar e processar (através de gestão de mudança) soluções para erros conhecidos com base em uma análise
custo‐benefício, impacto nos negócios e urgência.
DSS03.04 Resolver e Encerrar Problemas. De Descrição Descrição Para
Identificar e iniciar soluções que enderecem a causa DSS02.05  Resolução de Incidentes  Encerrar registros de DSS02.06
raiz e caso seja necessário levantando solicitações de problemas
mudança para resolver os erros através do processo
DSS02.06  Encerrar Requisições de  Comunicação de APO08.04
de gestão de mudança estabelecido. Assegurar que o
Serviço e Incidentes Conhecimento DSS02.05
pessoal afetado esteja ciente das ações tomadas e
Adquirido
dos planos desenvolvidos para prevenir a ocorrência
de futuros incidentes.
Atividades
01 Fechar registros de problemas, quer após a confirmação da eliminação bem sucedida do erro conhecido ou após um acordo com o
negócio sobre como lidar alternativamente com o problema.
02 Informar ao Service Desk sobre a programação de encerramento do problema, por exemplo, a programação para corrigir os erros
conhecidos, a possível solução alternativa ou o fato de que o problema permanecerá até que uma mudança seja implementada, e
as consequências da abordagem adotada. Mantenha os usuários afetados e os clientes informados conforme o caso conforme
apropriado.
03 Durante todo o processo de resolução, obter reportes regulares de gestão da mudança sobre o progresso na resolução de
problemas e erros.
04 Monitorar o impacto contínuo de problemas e erros conhecidos sobre os serviços.
05 Rever e confirmar o sucesso de resoluções de problemas maiores.
06 Certificar‐se de que o conhecimento aprendido a partir da revisão seja incorporado numa reunião de revisão de serviço com o
cliente de negócio.
DSS03.05 Executar o gerenciamento proativo de De Descrição Descrição Para
problemas.  Reportes do DSS02.07
Coletar e analisar dados operacionais (especialmente Monitoramento da
registros de incidentes e mudanças) para identificar Resolução de Problemas
as tendências emergentes que podem indicar
 Soluções Sustentáveis BAI06.01
problemas. Registrar problemas para permitir a
identificadas
avaliação.
180
CAPÍTULO 5

Atividades
01 Capturar informações relacionadas a problemas com mudanças e incidentes de TI e comunicá‐las aos principais interessados. Esta
comunicação pode assumir a forma de reportes e reuniões periódicas entre responsáveis pelos incidentes, problemas, mudanças e
processos de gerenciamento de configuração para considerar problemas recentes e ações corretivas potenciais.
02 Garantir que os proprietários e gestores de processos de incidentes, problemas, mudanças e gerenciamento de configuração se
encontram regularmente para discutir problemas conhecidos e futuras mudanças planejadas.
03 Para habilitar a empresa a monitorar os custos totais de problemas, capturar os esforços de mudança resultantes de atividades do
processo de gerenciamento de problemas (por exemplo, correções para problemas e erros conhecidos) e relatá‐los.
04 Produzir relatórios para monitorar a resolução de problemas em relação aos requisitos de negócios e Acordos de nível de serviço
(SLAs). Garantir a cascata adequado de problemas, ou seja, o envolvimento de um nível superior de gestão de acordo com os
critérios acordados, entrar em contato com fornecedores externos, ou referenciar ao conselho consultivo de alterações para
aumentar a prioridade de um pedido urgente de mudança (RFC) para implementar uma solução alternativa temporária.
05 Para otimizar o uso dos recursos e reduzir soluções alternativas, acompanhar as tendências problemáticas.
06 Identificar e iniciar soluções sustentáveis (correções permanentes) que tratem a causa raiz, e levantar as solicitações de mudança
através dos processos de gestão de mudança estabelecidos.
ISO/IEC 20000 8.3 Gerenciamento de Problema
ITIL V3 2011 Operação de Serviços, 4.4 Gerenciamento de Problemas
181
DSS04 Gerenciar Continuidade

DSS04 Gerenciar Continuidade Área: Gestão
Estabelecer e manter um plano para permitir que o negócio e a TI possam responder a incidentes e interrupções, a fim de continuar a
operação de processos de negócios críticos e os serviços de TI necessários, e manter a disponibilidade de informações em um nível aceitável
para a empresa.
Continuar as operações críticas de negócios e manter a disponibilidade de informações em um nível aceitável para a empresa em caso de
uma perturbação significativa.
04 Gestão de risco organizacional de TI  Porcentagem de processos críticos de negócio, serviços de TI e programas
de negócio habilitados por TI abrangidos pela avaliação de risco
 Número de incidentes relacionados com TI significativos que não foram
07 Prestação de serviços de TI em consonância com os  Número de interrupções nos negócios devido a incidentes em serviços de
requisitos de negócio TI
 Porcentagem de partes interessadas no negócio satisfeitos em que a
entrega de serviços atende níveis de serviço acordados
 Porcentagem de usuários satisfeitos com a qualidade da prestação de
serviços de TI
14 Disponibilidade de informações úteis e confiáveis para a  Nível de satisfação dos usuários de negócios quanto à qualidade e
tomada de decisão oportunidade
 (ou disponibilidade) da informação para gestão
 Número de incidentes de processos de negócios causados por falta de
 Relação e extensão das decisões empresariais erradas onde a informação
errada ou não disponível foi um fator chave
01 Informações críticas para os negócios estáo disponíveis  Porcentagem de serviços de TI que atendem aos requisitos de tempo de
para o negócio alinhadas com os níveis mínimos exigidos disponibilidade
de serviço.  Porcentagem da restauração bem sucedida e oportuna a partir dos
backups ou mídia alternativa
 Porcentagem de mídia de backup transferida e armazenada de forma
segura
02 Resiliência suficiente está implementada para os serviços  Número de sistemas críticos ao negócio não cobertos pelo plano
críticos.
03 Testes de continuidade de serviços verificam a  Número de exercícios e testes que atingem os objetivos de recuperação
efetividade do plano.  Frequência dos testes
04 Um plano atualizado de continuidade reflete os requisitos  Porcentagem de melhorias ao plano que foram efetivamente refletidas no
atuais de negócios. plano
 Porcentagem de questões identificadas que foram posteriormente
contempladas no plano
05 Partes internas e externas foram treinadas no plano de  Porcentagem de partes interessadas internas e externas que tenham
continuidade. recebido treinamento
 Porcentagem de questões identificadas que foram posteriormente
abordadas nos materiais de treinamento
182
CAPÍTULO 5
DSS04 TABELA RACI

DSS04 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS04.01
Definir a política de continuidade de A C R C C C R R C R R
negócios, seus objetivos e escopo.
DSS04.02
Manter uma estratégia de A C R I C C R R C R R
continuidade.
DSS04.03
Desenvolver e implementar uma I R I C C R C C R A
resposta de continuidade de negócio.
DSS04.04
Exercitar, testar e revisar o Plano de I R I R R C R A
Continuidade de Negócio (BCP).
DSS04.05
Revisar, manter e melhorar o plano A I R I R C R R
de continuidade.
DSS04.06
Conduzir treinamento no plano de I R R R R R A
continuidade.
DSS04.07
C A R
Gerenciar preparativos para backup.
DSS04.08

Conduzir revisões pós‐retomada de C R I R C C R R A
operações.
DSS04.01 Definir a política, objetivos e escopo De Descrição Descrição Para
da continuidade de negócios. APO09.03  Acordos de nível de  Política e objetivos para APO01.04
Definir a política de continuidade de negócios e serviço (SLAs) a Continuidade de
escopo alinhados com os objetivos da empresa e Negócios
das partes interessadas.  Cenários de Incidentes Interna
Disruptivos
 Avaliação das Interna
Capacidades e
Diferenças da
Continuidade
Atividades
01 Identificar os processos de negócios internos e terceirizados e as atividades de serviço que são críticas para as operações
empresariais ou necessárias para se atender obrigações legais e / ou contratuais.
02 Identificar as principais partes interessadas e os papéis e responsabilidades para a definição e acordo sobre a política de
continuidade e seu escopo.
03 Definir e documentar os objetivos e escopo mínimos acordados para a continuidade do negócio e incorporar a necessidade de
planejamento contínuo na cultura da empresa.
04 Identificar os processos essenciais de suporte ao negócio e serviços de TI relacionados.
183

DSS04.02 Manter uma estratégia de De Descrição Descrição Para
continuidade. APO12.06  Causas Raiz  Análises de Impacto de APO12.02
Avaliar as opções de gerenciamento de Relacionadas a Riscos Negócio
continuidade de negócios e escolher uma estratégia  Comunicações de  Requisitos de Interna
viável e efetiva de custos que irá garantir a Impacto em Riscos Continuidade
recuperação da empresa e a continuidade em face
de um desastre ou outro incidente grave ou  Opções Estratégicas APO02.05
interrupção. Aprovadas
Atividades
01 Identificar potenciais cenários susceptíveis de dar origem a eventos que podem causar incidentes perturbadores significativos.
02 Realizar uma análise de impacto nos negócios para avaliar o impacto ao longo do tempo de uma interrupção de funções críticas do
negócio e do efeito que uma ruptura teria sobre os negócios.
03 Estabelecer o tempo mínimo necessário para recuperar um processo de negócio e de suporte de TI com base em um prazo
aceitável de interrupção dos negócios e falta de máximo tolerável.
04 Avaliar a probabilidade de ameaças que podem causar perda de continuidade de negócios e identificar medidas que irão reduzir a
probabilidade e o impacto através de uma melhor prevenção e aumento da resiliência.
05 Analisar os requisitos de continuidade para identificar as possíveis opções estratégicas e opções técnicas.
06 Determinar as condições e os responsáveis pelas decisões chave que farão com que os planos de continuidade sejam acionados.
07 Identificar as necessidades de recursos e custos para cada opção técnica estratégica e fazer recomendações estratégicas.
08 Obter aprovações pelos executivos de negócios para as opções estratégicas selecionadas.
DSS04.03 Desenvolver e implementar uma De Descrição Descrição Para
resposta a continuidade de negócio. APO09.03  Acordos de nível  Ações e Comunicações DSS02.01
Desenvolver um Plano de Continuidade de Negócio operacional (OLAs) de Resposta a
(BCP) baseado na estratégia que documenta os Incidentes
procedimentos e informações prontas para use em
 Plano de Continuidade Interna
um incidente para capacitar a empresa a continuar
de Negócio (BCP)
suas atividades críticas.
Atividades
01 Definir as ações de resposta a incidentes e comunicações a serem acionadas em caso de ruptura. Definir papéis e
responsabilidades relacionadas, incluindo a prestação de contas pela política e implementação.
02 Desenvolver e manter Planos de Continuidade de Negócio (BCPs) operacionais contendo os procedimentos a serem seguidos para
permitir a operação contínua dos processos críticos de negócios e / ou em regime de processamento temporário, incluindo links
para planos de prestadores de serviços terceirizados.
03 Assegurar que os principais fornecedores e parceiros terceiros tenham planos de continuidade eficazes implementados. Obter
evidências auditadas, conforme necessário.
04 Definir as condições e procedimentos de recuperação que permitam retomada do processamento de negócios, incluindo a
atualização e a reconciliação das bases de dados de informação para preservar a integridade das informações.
05 Definir e documentar os recursos necessários para suportar os procedimentos de continuidade e recuperação, considerando‐se as
pessoas, instalações e infra‐estrutura de TI.
06 Definir e documentar requisitos de backup de informações necessários para suportar os planos, incluindo planos e documentos
em papel, bem como arquivos de dados, e considerar a necessidade de segurança e local de armazenamento externo.
07 Determinar habilidades necessárias para os indivíduos envolvidos na execução do plano e dos procedimentos.
08 Distribuir os planos e documentação de suporte de forma segura para partes interessadas devidamente autorizadas e verificar que
eles são acessíveis em todos os cenários de desastres.
DSS04.04 Exercício, testar e rever o Plano de De Descrição Descrição Para
Continuidade de Negócio (BCP).  Objetivos dos testes Interna
Testar as providências de continuidade em uma
 Execicíos de testes Interna
base regular para exercer os planos de recuperação
contra resultados predeterminados e para permitir  Resultados dos testes e Interna
que soluções inovadoras sejam desenvolvidas e recomendações
ajudar a verificar ao longo do tempo que o plano vai
funcionar como previsto.
184
CAPÍTULO 5

Atividades
01 Definir objetivos para exercitar e testar os sistemas de negócio, técnicos, logísticos, administrativos, processuais e operacionais do
plano para verificar a integridade do Plano de Continuidade de Negócio (BCP) no atendimento a riscos do negócio.
02 Definir e acordar com os interessados exercícios que são realistas, validar procedimentos de continuidade, e incluem funções e
responsabilidades e acordos de retenção de dados que causam o mínimo de perturbação para os processos de negócios.
03 Atribuir funções e responsabilidades para a realização de exercícios de plano de continuidade e testes.
04 Agendar exercícios e atividades de testes conforme definido no plano de continuidade.
05 Conduzir um exercício após o exercício do plano que informe e analise para considerar o objetivo.
06 Desenvolver recomendações para melhoria do Plano de Continuidade de Negócio (BCP) Atual baseados nos resultados da reunião.
DSS04.05 Revisar, manter e melhorar o plano de De Descrição Descrição Para
continuidade.  Resultados de Revisões Interna
Conduzir uma revisão gerencial da capacidade de do Plano
continuidade em intervalos regulares para garantir
 Alterações Interna
a sua adequação e eficácia continuadas. Gerenciar
Recomendadas para os
alterações ao plano de acordo com o processo de
planos
controle de mudanças para garantir que o plano de
continuidade seja mantido atualizado e sempre
refletindo os requisitos de negócios reais.
Atividades
01 Revisar o plano de continuidade e capacidade em uma base regular em relação a quaisquer suposições feitas e objetivos
operacionais e estratégicos de negócios atual.
02 Considere se pode ser necessária uma revisão da avaliação de impacto é necessária, dependendo da natureza da mudança.
03 Recomendar e comunicar mudanças na política, planos, procedimentos, infra‐estrutura e os papéis e responsabilidades para a
aprovação gerencial e processamento através do processo de gestão de mudança.
04 Revisar o plano de continuidade em uma base regular para considerar o impacto das mudanças novas ou maiores para:
organização, processos de negócios, acordos de outsourcing, tecnologias, infraestrutura, sistemas operacionais e sistemas de
aplicação.
DSS04.06 Conduzir formação para o plano de De Descrição Descrição Para
continuidade. RH  Lista de pessoal  Requerimentos de APO07.03
Fornecer a todas as partes internas e externas requerendo treinmanetos
envolvidas com sessões regulares de treinamento treinamento  Monitoramento dos APO07.03
sobre os procedimentos e as suas funções e
Resultados de
responsabilidades em caso de perturbação.

Habilidades e
Competências
Atividades
01 Definir e manter os requisitos e planos de formação para aqueles que realizam o planejamento de continuidade, avaliações de
impacto, as avaliações de risco, meios de comunicação e resposta a incidentes. Certificar que os planos de formação consideram a
frequência os mecanismos de treinamentos.
02 Desenvolver competências com base em treinamento prático incluindo a participação em exercícios e testes.
03 Monitorar habilidades e competências com base nos resultados de exercícios e ensaios.
185

DSS04.07 Gerenciar mecanismos de backup. De Descrição Descrição Para
Manter a disponibilidade de informações críticas de  Resultados de testes Interna
negócios. com dados de backup
Atividades
01 Fazer backup de sistemas, aplicações, dados e documentação de acordo com um cronograma definido, considerando:
 Frequência (mensal, semanal, diária, etc.)
 Modo de backup (por exemplo, o espelhamento de disco para backups em tempo real vs. DVD‐ROM para retenção a longo prazo)
 Tipo de backup (por exemplo, complete vs. incremental)
 Tipo de mídia
 Backups automatizados on‐line
 Tipos de dados (por exemplo, voz, óptico)
 Criação de registros (logs)
 Dados de computação críticos para o usuário final (por exemplo, planilhas)
 Localização física e lógica das fontes de dados
 Direitos de acesso e segurança
 Criptografia
02 Certificar que os sistemas, aplicativos, dados e documentação mantida ou processados por terceiros são adequadamente apoiados
por backups ou garantidos de outra forma. Considerar exigir retorno de backups de terceiros. Considere arranjos de custódia ou
depósito.
03 Definir os requisitos para armazenamento no local e fora dos dados de backup conforme os requisitos de negócios. Considere a
acessibilidade necessária para fazer backup de dados.
04 Implementação da sensibilização a respeito e formação para o Plano de Continuidade de Negócio (BCP).
05 Testar periodicamente e atualizar os dados arquivados e de backup.
DSS04.08 Conduzir revisão pós‐retomada após De Descrição Descrição Para
interrupção.  Reporte de revisão após Interna
Avaliar a adequação do BCP após a recuperação recuperação
eficaz de processos e serviços de negócios no
 Mudanças aprovadas BAI06.01
evento de uma interrupção.
para os planos
Atividades
01 Avaliar a adesão ao Plano de Continuidade de Negócio (BCP) documentado.
02 Determinar a eficácia do plano, recursos de continuidade, papéis e responsabilidades, habilidades e competências, a resiliência do
incidente, infraestrutura técnica e estruturas organizacionais e relacionamentos.
03 Identificar os pontos fracos ou omissões no plano e capacidades e fazer recomendações para melhoria.
04 Obter a aprovação da gerência para quaisquer alterações ao plano e aplicar através do processo de controle de mudanças
empresa.
BS 25999:2007 Padrão de Continuidade de Negócio
ISO/IEC 20000 6.3 Gerenciamento de Continuidade de Serviços e Disponibilidade
ISO/IEC 27002:2011 104 Gerencimanto da Continuidade do Negócio
ITIL V3 2011 Desenho do Serviço, 4.6 Gerenciamento da Continuidade do Serviço de TI.
186
CAPÍTULO 5
DSS05 Gerenciar os Serviços de Segurança

DSS05 Gerenciar os Serviços de Segurança Área: Gestão
Proteger a informação da empresa para manter um nível aceitável de risco de segurança da informação, em linha com a política de
segurança. Estabelecer e manter papéis e privilégios de acesso para segurança da informação e realizar monitoramento de segurança.
Minimizar o impacto de vulnerabilidades e incidentes operacionais de segurança da informação para o negócio.
02 Conformidade de TI e suporte para conformidade do negócio  Custo de inconformidade com TI, incluindo acordos e multas, e o
com as leis e regulamentos externos. impacto de perdas reputacionais.
 Número de inconformidade relacionadas a TI em relatórios emitidos
ao conselho ou causando comentário públicos ou constrangimento.
 Número de pontos de inconformidades relacionados à acordos
contratuais com fornecedores de serviços de TI.
 Cobertura da avaliação de conformidade.
04 Gestão de risco organizacional de TI  Programas habilitadores de TI cobertos pela avaliação de risco.
 Número de incidentes significativos relacionados a TI que não foram
identificados na avaliação de risco.
 Percentual de avaliação de risco da empresa incluindo risco
relacionados a TI.
 Frequência de atualização do perfil de risco.
10 Segurança da informação, infraestrutura de processamento e  Número de incidentes de segurança que causam perdas financeiras,
aplicativos interrupção dos negócios ou constrangimento público.
 Número de serviços de TI com requisitos de segurança pendentes.
 Tempo para conceder, mudar e remover acessos privilegiados,
comparado ao nível de serviço acordado.
 Frequência de avaliação de segurança contra os últimos padrões e
diretrizes.
01 Segurança de rede e da comunicação atende as necessidades  Número de vulnerabilidades descobertas.
do negócio.  Número de violações ao Firewall.
02 Informações processadas, armazenadas e transmitidas por  Percentual de indivíduos recebendo treinamento de conscientização
dispositivos ‘endpoint’ é protegida relacionados ao uso de dispositivos ‘endpoint’.
 Número de incidentes envolvendo dispositivos ‘endpoint’.
 Número de dispositivos não autorizados detectados na rede ou no

ambiente de usuários finais.
03 Todos usuários estão unicamente identificados e possuem  Média de tempo entre mudança e atualização das contas.
diretos de acessos em conformidade com seus papéis no  Número de contas (contra número de usuários/funcionários
negócio. autorizados).
04 Medidas físicas vem sendo implementadas para proteger a  Percentual de testes periódicos nos dispositivos de segurança do
informação contra acessos não autorizados, danos e ambiente
interferência quando está sendo processada, armazenada ou  Classificação média da avaliação da segurança física.
transmitidas.  Número de incidentes relacionados a segurança física.
05 Informação eletrônica é devidamente segura quando  Número de incidentes relacionados a acesso não autorizado à
armazenada, transmitida e destruída. informação
187
DSS05 TABELA RACI

DSS04 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS05.01
R I C A R C C C I R R I R
Proteger contra software malicioso.
DSS05.02
Gerenciar a segurança das conexões I C A C C C I R R I R
de rede e conectividade
DSS05.03
I C A C C C I R R I R
Gerenciar a segurança dos endpoints
DSS05.04
Gerenciar identidade de usuários e R C A I C C C I C R I R C
acessos lógicos.
DSS05.05
Gerenciar acesso físicos aos ativos de I C A C C C I C R I R I
TI
DSS05.06
Gerenciar documentos sensíveis e I C C A R
dispositivos de saída.
DSS05.07
Monitorar a infraestrutura por I C I A C C C I C R I R I I
eventos de segurança.

DSS05.01 Proteger contra malware. De Descrição Descrição Para
Implementar e manter medidas preventiva,  Política de prevenção APO01.04
detentivas e corretivas (especialmente atualizações de software malicioso
de patches de segurança e de antivírus) em toda a
 Avaliação de ameaçaas APO12.02
empresa para proteger os sistemas de informação
em potencial APO12.03
e tecnologia de software malicioso (por exemplo,
vírus, worms, spyware, spam).
Atividades
01 Realizar conscientização sobre software malicioso e aplicar procedimentos para prevenção e responsabilidades.
02 Instalar e ativar ferramentas de proteção contra software malicioso em todas as instalações de processamento, com arquivos de
definição atualizados conforme exigido
(de forma automática ou semi‐automática).
03 Distribuir todos os softwares de proteção a partir de um ponto central (versão e nível de patch) usando gerenciamento de
configuração e mudanças centralizados.
04 Rever e avaliar novas potenciais ameaças regularmente (ex.: avaliando boletins de fabricantes e assessorias de segurança).
05 Filtrar táfego de entrada, como email e downloads, para proteção contra informações não solicitadas (ex.: spyware, e‐mails de
phishing)
06 Conduzir periodicamente, treinamento sobre malware em emails e uso da internet. Treinar os usuários a não instalar software
compartilhado ou não aprovado.
188
CAPÍTULO 5

DSS05.02 Gerenciar a segurança da rede e De Descrição Descrição Para
conectividade. APO01.06  Diretrizes para  Política de segurança APO01.04
Use medidas de segurança e procedimentos de classificação de dados em conectividade
gerenciamento para proteger a informação sobre
APO09.03  SLAs  Resultados de testes de MEA02.08
todos os métodos de conectividade
invasão
Atividades
01 Baseado em avaliações de risco e requisitos de negócio, estabelecer e manter uma política para segurança de conectividade.
02 Permitir que somente dispositivos autorizados tenham acesso à informações corporativas e à rede. Configure estes dispositivos
para forçar a entrada de senha
03 Implementar mecanismos de filtragem, como firewalls e software de detecção de intrusão, com políticas apropriadas para
controlar o trafego de entrada e saída.
04 Criptografar informações em trânsito de acordo com sua classificação.
05 Aplicar protocolos de segurança aprovados a conectividade de rede.
06 Configurar equipamentos de rede de maneira segura.
07 Estabelecer mecanismos confiáveis para suportar a transmissão e recepção segura de informações
08 Executar testes de invasão periodicamente para determinar a adequabilidade da proteção da rede
09 Executar testes de segurança de Sistema periodicamente para determiner a adequabilidade da proteção dos sistemas
DSS05.03 Gerenciar a segurança dos endpoints. De Descrição Descrição Para
Garantir que endpoints (por exemplo, laptop, APO03.02  Modelo de arquitetura  Políticas de segurança APO01.04
desktop, servidor e outros softwares ou da informação para dispositivos
dispositivos móveis e de rede) estejam protegidos endpoint
APO09.03  OLAs
a um nível igual ou maior que os requisitos de
 SLAs
segurança definidos para as informações
processadas, armazenadas ou transmitidas. BAI09.01  Resultados de
verificações de
inventário
DSS06.06  Relatórios de violações
Atividades
01 Configurar seietemas operacionais de maneira segura.
02 Implementar mecanismos de travamento.
03 Encriptar informações armazenadas de acordo com sua classificação.
04 Gerenciar acessos e controle remote.

05 Gerenciar configurações de rede de maneira segura.
06 Implementar filtragem de tráfego de rede em dispositivos endpoint.
07 Proteger a integridade dos sistemas.
8/ Prover proteção física aos dispositivos endpoint.
09 Descartar dispositivos de endpoint de forma segura.
DSS05.04 Gerenciar identidade de usuários e De Descrição Descrição Para
acesso lógico. APO01.02  Definição de papéis e  Direitos de usuários Interno
Certificar‐se que todos os usuários tenham direitos responsabilidades aprovados
de acesso a informações de acordo com suas relacionados a TI
necessidades de negócios e coordenar com as
APO03.02  Modelo de arquitetura  Resultados de revisões Interno
unidades de negócios que gerem os seus próprios
da informação de contas e privilégio
direitos de acesso dentro de processos de
de usuários
negócios.
189

Atividades
01 Manter os direitos de acesso de usuários de acordo com os requisitos funcionais de negócio e de processo. Alinhar a gestão de
identidades e direitos de acesso às funções e responsabilidades definidas, com base nos princípios de least‐privilege, need‐to‐have
e need‐to‐know.
02 Identificar unicamente toda atividade de processamento de informação por papéis funcionais, coordenando com as unidades de
negócio para garantir que todos os papéis estejam consistentemente definidos, incluindo papéis pelas áreas de negócio, dentro de
suas aplicações de negócio.
03 Autenticar todo acesso a ativos de informação baseado em sua classificação de segurança, coordenando com as unidades de
negócio que gerenciam a autenticação em aplicações usadas em processos de negócio para garantir que controles de autenticação
foram administrados corretamente.
04 Administrar todas as mudanças de direitos de acesso (criação, modificações e exclusões) para que tenham efeito no tempo
apropriado baseado somente em transações documentadas e aprovadas por pessoal designado de gerenciamento.
05 Segregar e gerenciar contas de usuários privilegiados.
06 Realizar regularmente a revisão de todas as contas e privilégios relacionados.
07 Certificar‐se que todos os usuários (internos, externos e temporários) e a sua atividade em sistemas de TI (aplicações de negócios,
infraestrutura de TI, operações de sistema, desenvolvimento e manutenção) são exclusivamente identificáveis. Identificar
exclusivamente todas as atividades de processamento de informações por usuário.
08 Manter uma trilha de auditoria de acesso à informação classificada como altamente sensível.
DSS05.05 Gerenciar o acesso físico aos ativos De Descrição Descrição Para
de TI.  Solicitações de acesso Interno
Definir e implementar procedimentos de aprovadas
concessão, limitação e revogação do acesso às
 Registros de acesso DSS06.03
instalações, edifícios e áreas, de acordo com as
necessidades do negócio, inclusive em
emergências. O acesso às instalações, edifícios e
áreas devem ser justificados, autorizados,
registrados e monitorados. Isto deve aplicar‐se a
todas as pessoas que entram nas instalações,
incluindo funcionários, funcionários temporários,
clientes, fornecedores, visitantes ou qualquer
outro terceiro.
Atividades
01 Gerenciar as solicitações e concessões de acesso aos recursos de computação. Pedidos formais de acesso devem ser preenchidos,
e autorizados pela gestão do site de TI, e os registros mantidos. Os formulários devem identificar especificamente as áreas em que
o indivíduo é concedido acesso.

02 Garantir que os perfis de acesso continuem atualizados. Associe o acesso às instalações de TI (salas de servidores, edifícios, áreas
ou zonas) a funções de trabalho e responsabilidades
03 Registrar e monitorar todos os pontos de entrada a instalações de TI. Registre todos os visitantes e fornecedores às instalações.
04 Instruir todos os funcionários a apresentar uma identificação visível em todos os momentos. Impedir a emissão de identificações
ou crachás sem a devida autorização.
05 Exigir que visitantes sejam acompanhados todo o tempo, enquanto no local. Se um indivíduo desacompanhado, desconhecido ou
sem identificação pessoal é identificado, alertar o pessoal de segurança.
06 Restringir o acesso a sites de TI sensíveis, estabelecendo restrições de perímetro, tais como cercas, paredes e dispositivos de
segurança nas portas interiores e exteriores. Certifique‐se de que os dispositivos registrem a entrada e disparem um alarme em
caso de acesso não autorizado. Exemplos de tais dispositivos incluem crachás ou cartões‐chave, teclados para senha, circuito
fechado de televisão e scanners biométricos.
07 Conduza treinamentos de conscientização sobre segurança física regularmente
DSS05.06 Gerenciar documentos sensíveis e De Descrição Descrição Para
dispositivos de saída. APO03.02  Modelo de arquitetura  Inventário de Interno
Estabelecer proteções físicas salvaguardas, práticas da informação documentos e
de contagem e gerenciamento de inventário sobre dispositivos sensíveis
os ativos de TI sensíveis, tais como formulários
 Privilégios de acesso Interno
especiais, instrumentos negociáveis, impressoras
para fins especiais ou tokens de segurança.
190
CAPÍTULO 5

Atividades
01 Estabelecer procedimentos para governar a recepção, uso, remoção e eliminação de formulários especiais e dispositivos de saída,
dentro e fora da empresa.
02 Atribuir privilégios de acesso a documentos sensíveis e dispositivos de saída com base nos princípios de least‐privilege,
equilibrando riscos e requisitos e de negócios.
03 Estabelecer um inventário de documentos sensíveis e dispositivos de saída, e realizar reconciliações regulares.
04 Estabelecer salvaguardas físicas adequadas sobre formulários especiais e dispositivos sensíveis.
05 Destruir informações sensíveis e proteger os dispositivos de saída (por exemplo, desmagnetização da mídia eletrônica, a
destruição física de dispositivos de memória, disponibilizando trituradoras ou cestos de papel com trava para destruir formulários
especiais e outros documentos confidenciais).
DSS05.07 Monitorar a infraestrutura por De Descrição Descrição Para
eventos relacionados à segurança.  Registros de eventos de Interno
Usando ferramentas de detecção de intrusão, segurança
monitorar a infraestrutura por acesso não
 Características dos Interno
autorizado e garantir que todos os eventos são
incidents de segurança
integrados ao monitoramento geral de eventos e
gerenciamento de incidentes.  Tickets de incidents de DSS02.02
segurança
Atividades
01 Registrar eventos de segurança relatados por ferramentas de monitoramento de segurança da infraestrutura, identificando o nível
de informação a ser gravado com base na ponderação do risco. Retê‐los por um período adequado para auxiliar em futuras
investigações.
02 Definir e comunicar a natureza e as características dos potenciais incidentes relacionados com a segurança para que eles possam
ser facilmente reconhecidos e seus impactos entendidos, para permitir uma resposta proporcional.
03 Rever regularmente os registros de eventos em busca de potenciais incidents.
04 Manter um procedimento para a coleta de provas, de acordo com regras forenses locais e garantir que todos os funcionários estão
cientes das exigências.
05 Certifique‐se que os tickets de incidentes de segurança são criados em tempo hábil quando o monitoramento identifica potenciais
incidentes de segurança.
ISO/IEC 27002:2011 Código de práticas para o gerenciamento de segurança da informação

NIST SP800‐53 Rev 1 Controles de Segurança Recomendados para Sistemas de Informações do Governo Federal dos EUA
ITIL V3 2011 Operação de Serviços, 4.5 Gerenciamento de Acessos
191
DSS06 Gerenciar Controles do Processo de Negócio

DSS06 Gerenciar Controles do Processo de Negócio Área: Gestão
Definir e manter controles de processo de negócio para garantir que as informações relacionadas e processadas dentro da organização ou em
ambiente terceirizado satisfaçam todos os requisitos relevantes para controle das informações. Identificar requisitos relevantes de controle
de informações, gerenciar e operar controles adequados para garantir que as informações e seu processamento satisfaçam estes requisitos.
Manter a integridade a segurança das informações e dos ativos de informação manipulados dentro na empresa ou em ambiente terceirizado
referente aos processos de negócios.
04 Gestão de risco organizacional de TI  Porcentagem de processos críticos de negócio, serviços de e programas de
negócio habilitados por TI abrangidos pela avaliação de risco
 Número de incidentes significativos relacionados com TI que não foram
 Porcentagem de avaliações de risco que incluam riscos relacionados com
TI
07 Prestação de serviços de TI em consonância com os  Número de interrupções nos negócios devido a incidentes em serviço de
requisitos de negócio TI
 Porcentagem de interessadas de negócios, satisfeitos com a entrega de
serviços de TI dentro dos níveis de serviço acordados
serviços de TI
01 Cobertura e eficácia de controles chave para atingir os  Porcentagem de inventário completo dos processos críticos e controles‐
requisitos de negócio para o processamento de chave
informações estão completos  Porcentagem de cobertura dos controles‐chave dentro dos planos de
teste
 Número de incidentes e apontamentos de auditoria indicando falha dos
controles‐chave
02 O inventário de papéis, responsabilidades e direitos de  Porcentagem de papéis de processo de negócios com direitos de acesso e
acesso está alinhado com necessidades de negócio níveis de autoridade atribuídos
autorizadas  Porcentagem de papéis de processos de negócios com clara separação das
funções
 Número de incidentes e apontamentos de auditoria devido a violações de
acesso ou separação de direitos

03 Transações de negócio são mantidas completamente e de  Porcentagem de completude do log de transações rastreável
acordo com o requerido nos logs  Número de incidentes em que o histórico de transações não pode ser
recuperado
192
CAPÍTULO 5
DSS06 TABELA RACI

DSS06 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS06.01
Alinhar as atividades de controle
incorporadas em processos de C C C A R I I C C C C C C C
negócios com os objetivos
empresariais.
DSS06.02
Controlar o processamento de R R R A R I I C C C C C C
informações.
DSS06.03
Gerenciar papéis, responsabilidades,
R A R I I C C C C C R C
privilégios de acesso e níveis de
autoridade.
DSS06.04
I I A C C I C R
Gerenciar erros e exceções.
DSS06.05
Garantir a rastreabilidade de eventos C A I C C C C C C
de informação e registros.
DSS06.06
C C C A I I C C C C C C C
Proteja ativos de informação

DSS06.01 Alinhar atividades de controle De Descrição Descrição Para
incorporadas em processos de negócios com APO01.06  Procedimentos de  Resultados das revisões MEA02.04
objetivos empresariais. integridade de dados de eficácia de
Continuamente avaliar e monitorar a execução das  Orientações para processamento
atividades de processos de negócios e controles classificação de dados  Análise de causa raiz e BAI06.01
relacionados, com base no risco empresarial, para recomendações MEA02.04
assegurar que os controles de processamento estão MEA02.07
alinhados com as necessidades do negócio. MEA02.08
Atividades
01 Identificar e documentar atividades de controle em processos‐chave de negócios para satisfazer exigências dos controles estratégicos,
operacionais, relatórios e objetivos de conformidade
02 Priorizar atividades de controle baseado no risco inerente ao negócio e identificar controles‐chave.
3.Garantir que atividades de controles‐chave tenham um dono
04 Monitorar continuamente as atividades de controle em uma base fim‐a‐fim para identificar oportunidades de melhoria.
05 Melhorar continuamente a concepção e operação dos controles de processos de negócios.
DSS06.02 Controlar o processamento de De Descrição Descrição Para
informações. BAI05.05  Plano de uso e operação  Relatórios de controle Interno
Operar a execução das atividades de processos de BAI07.02  Plano de migração de processamento
negócios e controles relacionados, com base no risco
empresarial, a garantir que o processamento da
informação é válida, completa, precisa, oportuna e
segura (ou seja, reflete o uso do negócio legítimo e
193

autorizado).
Atividades
01 Criar transações por indivíduos autorizados segundo procedimentos estabelecidos, incluindo, quando apropriado, a segregação
adequada de deveres em relação à origem e aprovação dessas transações.
02 Autenticar a origem de transações e verificar se ele/ela tem a autoridade para originar a transação.
03 Realizar transações em tempo hábil. Verifique se as transações são precisas, completas e válidas. Validar dados de entrada e
edição ou, quando aplicável, enviar de volta para a correção o mais próximo do ponto de origem sempre que possível.
04 Corrija e reenvie os dados que foram erroneamente cadastrados sem comprometer os níveis de autorização da transação original.
Quando necessário para a reconstrução, reter os documentos fontes originais pela quantidade adequada de tempo.
05 Manter a integridade e validade dos dados durante todo o ciclo de processamento. Certifique‐se de que a detecção de transações
errôneas não interrompe o processamento de transações válidas.
06 Manter a integridade dos dados durante interrupções inesperadas no processamento de negócios e confirmar a integridade dos
dados após o processamento de falhas.
07 Tratar as saídas de forma autorizada, entregar ao destinatário apropriado e proteger as informações durante a transmissão.
Verificar a exatidão e integridade da saída.
08 Antes de passar os dados da transação entre as aplicações internas e funções de negócio/operacionais (dentro ou fora da
empresa), para verificar endereçamento adequado, a autenticidade da origem e a integridade do conteúdo. Manter a
autenticidade e integridade durante a transmissão ou transporte.
DSS06.03 Gerenciar funções, responsabilidades, De Descrição Descrição Para
privilégios de acesso e níveis de autoridade. EDM04.02  Responsabilidades  Papéis e APO01.02
Gerenciar as funções de negócios, responsabilidades, atribuidas para o responsabilidades
níveis de autoridade e segregação de funções gerenciamento de alocadas
necessárias para apoiar os objetivos do processo de recursos
negócios. Autorizar o acesso a quaisquer ativos de
APO11.01  Papéis de QMS,  Níveis de autoridade APO01.02
informação relacionados com os processos de
responsabilidades e alocados
informação de negócios, incluindo aqueles sob a
direitos de decisão
custódia do negócio, TI e terceiros. Isto assegura que
a empresa sabe onde os dados estão e quem está a APO13.01  Declaração de escopo  Direitos de acesso APO07.04
lidar com dados em seu nome. do ISMS alocados
DSS05.05  Registros de acesso
Atividades
01 Atribuir funções e responsabilidades com base em descrições de trabalho aprovados e as atividades de processos de negócios
alocadas.
02 Atribuir níveis de autoridade para aprovação de transações, os limites e quaisquer outras decisões relativas ao processo de
negócio, com base em papéis de trabalho aprovados.

03 Atribuir direitos de acesso e privilégios com base em apenas o que é necessário para executar as atividades de trabalho, com base
em papéis de trabalho pré‐definidas. Remover ou revisar direitos de acesso imediatamente se o papel do trabalho muda ou um
membro da equipe deixa a área de processo de negócio. Revise periodicamente para garantir que o acesso é apropriado para as
atuais ameaças, riscos, tecnologias e necessidades de negócio.
04 Atribuir funções para as atividades sensíveis para que haja uma clara separação de funções.
05 Fornecer sensibilização e formação sobre papéis e responsabilidades regularmente para que todos compreendam as suas
responsabilidades; a importância dos controles; e a integridade, confidencialidade e privacidade das informações da empresa em
todas as suas formas.
06 Revisar periodicamente definições de controle de acesso, registros e relatórios de exceção para assegurar que todos os privilégios
de acesso são válidos e alinhados com os funcionários atuais e suas funções atribuídas.
DSS06.04 Gerenciar erros e exceções. De Descrição Descrição Para
Gerenciar exceções de processos de negócios e erros  Evidencia de correção MEA02.04
e facilitar a sua correção. Incluir escalada de erros e de erro e remediação
exceções de processos de negócios e a execução de
 Relatórios de erro e Interno
medidas corretivas definidas. Isso fornece garantia
análise de caousa raiz
de precisão e integridade do processo de
informações de negócios.
194
CAPÍTULO 5

Atividades
01 Definir e manter procedimentos para atribuir a propriedade, corrigir erros, substituir os erros e lidar com condições de que saiam
dos limites estabelecidos.
02 Revisar erros, exceções e desvios
03 Acompanhar, corrigir, aprovar e reenviar documentos‐fonte e transações
04 Manter evidências das ações corretivas
05 Relatar em tempo hábil erros de processo referentes a informações de negócios relevantes para realizar análise de causa raiz e
tendências.
DSS06.05 Garantir a rastreabilidade dos eventos De Descrição Descrição Para
de informação e registros.  Requisitos de retenção Interno
Garantir que informações de negócios podem ser
 Registro de transações Interno
associadas ao evento de negócios que as origina e a
suas as partes responsáveis. Isso permite a
rastreabilidade das informações através do seu ciclo
de vida e processos relacionados. Isso garante que a
informação que impulsiona o negócio é confiável e
foi processada de acordo com os objetivos definidos
Atividades
01 Definir os requisitos de retenção, com base em requisitos de negócios, para atender às necessidades de conformidade,
operacionais e relatórios financeiras.
02 Capturar informações de origem, evidências de suporte e registros de transações.
03 Eliminar informações de origem, evidências de suporte e registro das transações de acordo com a política de retenção.
DSS06.06 Proteger ativos de informação. De Descrição Descrição Para
Garantir ativos de informação acessíveis pelo  Relatórios de violações DSS05.03
negócio através de métodos aprovados, incluindo
informações em formato electrónico (tais como
métodos que criam novos ativos sob qualquer forma,
dispositivos de mídia portáteis, aplicações de
usuários e dispositivos de armazenamento),
informações em suporte físico (como documentos de
origem ou de relatórios de saída) e informações em
trânsito. Isto beneficia o negócio, fornecendo
salvaguarda fim‐a‐fim das informações.

Atividades
01 Aplicar a classificação de dados e políticas de uso aceitável, políticas de segurança e procedimentos para proteger ativos de
informação sob o controle do negócio.
02 Prover conscientização e treinamento de uso aceitável.
03 Restringir o uso, distribuição e acesso físico a informações de acordo com sua classificação.
04 Identificar e implementar processos, ferramentas e técnicas para verificar conformidade.
05 Relatar a negócios e outras partes interessadas sobre as violações e desvios.
Nenhum
195

196
CAPÍTULO 5
MONITORAR, AVALIAR E ANALISAR (MEA)

01. Monitorar, avaliar e analisar o desempenho e conformidade.
02 Monitorar, avaliar e analisar o sistema de controle interno.
03 Monitorar, avaliar e analisar a conformidade com os requisitos externos.
Monitorar, Avaliar e Analisar
197
MEA01 Monitorar, Avaliar e Analisar o Desempenho e Conformidade

MEA01 Monitorar, avaliar e analisar o desempenho e conformidade Área: Gestão
Domínio: Monitorar, Avaliar e Analisar
Coletar, validar e avaliar objetivos e metas de negócios, TI e de processos. Monitorar como os processos estão sendo executados em relação
às metas e métricas de desempenho e conformidade acordados, e fornecer relatórios sistemáticos e oportunos.
Fornecer transparência do desempenho e conformidade e direcionar ao atingimento de objetivos.
de negócios habilitados por TI abrangidos pela avaliação de risco
 Porcentagem de avaliações de risco, que incluem riscos relacionados com
TI
07 Prestação de serviços de TI em consonância com os  Número de interrupções nos negócios devido a incidentes de serviço
requisitos de negócio  Porcentagem de partes interessadas no negócio satisfeitos com a entrega
de dentro dos níveis de serviço acordados
serviços de TI
11 Otimização de ativos, recursos e capacidades de TI  Frequência das avaliações de maturidade, de capacidade e otimização de
custo
 Níveis de satisfação de negócios e executivos de TI relacionados a custos e
capacidades de TI
15 Conformidade de TI com as políticas internas  Número de incidentes relacionados com a não conformidade com a
política
 Porcentagem de interessados que entenderam as políticas
 Porcentagem de políticas apoiadas por normas vigentes e práticas de
trabalho
Objetivo do Processo Méticas relacionadas
01 Objetivos e métricas são aprovados pelas partes  Porcentagem de metas e métricas aprovadas pelas partes interessadas
interessadas.
02 Processos são medidos em relação às metas e métricas  Porcentagem de processos, com metas e métricas definidas
acordados.
03 A abordagem organizacional de monitoramento,  Porcentagem de processos com eficácia das metas e métricas revistos e
avaliação e informação é eficaz e operacional melhorados
 Percentagem de processos críticos monitorados
04 Metas e métricas são integrados nos sistemas de  Porcentagem de metas e métricas alinhadas ao sistema de
monitoramento empresa. monitoramento corporativo
05 Relatórios de desempenho e conformidade de processos  Porcentagem de relatórios de desempenho entregues conforme o
são útil e tempestivos. programado
198
CAPÍTULO 5
MEA01 TABELA RACI

MEA01 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
MEA01.01
Estabelecer uma abordagem de A R R R I C I C C C R I C C I C I I I
monitoração.
MEA01.02
Definir metas de desempenho e I I I A R I C C C R R I R I I I
conformidade.
MEA01.03
Coletar e processar dados de C R I C A R R I R I I I
desempenho e conformidade.
MEA01.04
A R C C C C C C R R C R C C C
Analisar e reportar o desempenho.
MEA01.05
Garantir a aplicação de medidas I I I I C R C C C C A C R R C R C C C
corretivas.
MEA01 Práticas de Processo, Entradas/Saídas e Atividades.
MEA01.01 Estabelecer uma abordagem de De Para Descrição Para
monitoramento. EDM05.01  Princípios de relatórios e  Requisitos de Interno
Envolver‐se com as partes interessadas para de comunicações monitoramento
estabelecer e manter uma abordagem de  Avaliação de requisitos  Métricas e metas de Interno
monitoramento para definir os objetivos, escopo, de relatórios monitoramento
método para medir a solução de negócios, entrega corporativos aprovadas
de serviços e de contribuição para os objetivos da
EDM05.02  Regras para avaliação e
empresa. Integrar esta abordagem com o sistema de
aprovação de relatórios
gerenciamento de desempenho corporativo.
obrigatórios
EDM05.03  Avaliação da eficácia de
relatórios
Atividades
01 Identificar as partes interessadas (por exemplo, gestores, proprietários e usuários de processo).
02 Envolver‐se com as partes interessadas e comunicar os requisitos e objetivos da empresa para o monitoramento, agregando e
relatórios, usando definições comuns (por exemplo, glossário da empresa, metadados e taxonomia), baselining e benchmarking.
03 Alinhar e continuamente manter o monitoramento e a abordagem de avaliação com a abordagem empresarial e as ferramentas a
serem utilizados para a coleta de dados e geração de relatórios corporativos (por exemplo, aplicações de business intelligence).
04 Acordar sobre as metas e métricas (por exemplo, conformidade, desempenho, valor, risco), taxonomia (classificação e relações
entre objetivos e métricas) e de retenção de dados (provas).
05 Acordar sobre a gestão do ciclo de vida e processo de controle de mudanças para o monitoramento e relatórios. Incluir
oportunidades de melhoria para relatórios, métricas, abordagem, baselining e benchmarking.
06 Solicitar, priorizar e alocar recursos para o monitoramento (considere adequação, eficiência, eficácia e confidencialidade).
07 Periodicamente validar a abordagem utilizada e identificar novas ou alterações nas partes interessadas, requisitos e recursos.
199

MEA01.02 Definir metas de desempenho e De Descrição Descrição Para
conformidade. APO01.07  Metas de desempenho e  Alvos de APO Todos
Trabalhar com as partes interessadas para definir, métricas para monitoramento BAI Todos
periodicamente, rever, atualizar e aprovar metas de rastreamento de MEA Todos
desempenho e conformidade, no âmbito do sistema melhoria de processos
de medição de desempenho.
Atividades
01 Definir e rever periodicamente com as partes interessadas as metas e métricas para identificar quaisquer itens em falta
significativas e definir razoabilidade das metas e tolerâncias.
02 Comunicar as alterações propostas para as metas e tolerâncias (relativas às métricas) de desempenho e conformidade com as
principais partes interessadas de due diligence (por exemplo, jurídica, auditoria, RH, ética, conformidade, finanças).
03 Publicar alvos e tolerâncias alteradas aos usuários destas informações.
04 Avaliar se os objetivos e métricas são adequados, ou seja, específicos, mensuráveis, alcançáveis, relevantes e com prazos (SMART).
MEA01.03 Coletar e processar dados de De Descrição Descrição Para
desempenho e conformidade. APO01.07  Avaliações de  Dados de Interno
Coletar e processar tempestivamente dados precisos capacidade de processo monitoramento
alinhados com abordagens empresariais. processados
APO05.04  Relatórios de
desempenho da carteira
de investimento
APO09.04  Relatórios de
desempenho de nível de
serviço
APO10.05  Resultados da revisão de
controle da
conformidade do
fornecedor
BAI01.06  Resultados de
avaliações de
desempenho do
programa
BAI04.04  Relatórios de
desempenho e
disponibilidade
resultados
DSS01.05  Relatórios de avaliação
de instalações
DSS02.07  Relatório de status de
cumprimento de
requisitos e tendências
 Relatório de status de
incidentes e tendências
Atividades
01 Coletar dados a partir de processos definidos ‐ automatizados, sempre que possível.
02 Avaliar a eficiência (esforço em relação à visão fornecida) e adequação (utilidade e significado) e validar a integridade (precisão e
completude) dos dados coletados.
3 Agregar dados para suportar a coleta das métricas acordadas.
04 Alinhar dados agregados à abordagem de reporte e objetivos corporativos.

05 Use ferramentas e sistemas para processamento e formatação adequados dos dados para análise.
200
CAPÍTULO 5

MEA01.04 Analisar e reportar o desempenho. De Descrição Descrição Para
Periodicamente revisar e reportar o desempenho  Relatórios de EDM01.03
contra metas, usando um método que forneça uma desempenho APO Todos
visão geral e sucinta do desempenho de TI e que se BAI Todos
encaixe dentro do sistema de monitoramento DSS Todos
corporativo. MEA Todos
Atividades
01 Desenhar relatórios de desempenho do processo concisos, fáceis de entender e adaptadas às diversas necessidades de gestão e
audiências. Facilitar, a tomada efetiva e oportuna de decisão (por exemplo, scorecards, relatórios de semáforo) e garantir que a
causa e efeito entre os objetivos e métricas são comunicadas de forma compreensível.
02 Comparar os valores de desempenho com as metas internas e benchmarks e, quando possível, com referências externas (indústria
e os principais concorrentes).
03 Recomendar alterações às metas e métricas, quando apropriado.
04 Distribua relatórios às partes interessadas.
05 Analisar a causa dos desvios contra alvos, iniciar ações corretivas, atribuir responsabilidades de remediação, e acompanhamento.
Em momentos apropriados, rever todos os desvios e procurar a causa raiz, onde for necessário. Documentar os problemas para
obter mais orientações se o problema persistir. Documentar os resultados.
06 Sempre que possível, ligar o cumprimento de metas de desempenho ao sistema de recompensa organizacional.
MEA01.05 Garantir a implementação de ações De Descrição Descrição Para
corretivas. EDM05.02  Orientações para  Açoes de remediação e APO Todos
Ajudar as partes interessadas na identificação, escalação atribuições BAI Todos
abertura e acompanhamento de ações corretivas DSS Todos
para resolver anomalias. MEA Todos
APO01.08  Ações de remediação de  Status e resultado de EDM01.03
inconformidades ações
Atividades
01 Revisar respostas, opções e recomendações da gerência para abordar problemas e principais desvios.
02 Garantir que a atribuição de responsabilidade pela ação corretiva é mantida.
03 Acompanhar os resultados de ações acordadas.
04 Comunicar os resultados às partes interessadas
MEA01 Orientação relacionada
MEA01 Orientação Relacionada
ISO/IEC 20000 6.2 Relatórios de Serviço
ITIL V3 2011 Melhoria Contínua de Serviço, 4.1 O Processo de Melhoria em 7 Passos
201
MEA02 monitorar, avaliar e Analisar o Sistema de Controles Internos

MEA02 Monitorar, Avaliar e Analisar o Sistema de Controles Internos Área: Gestão
Descrição do processo
Continuamente monitorar e avaliar o ambiente de controle, incluindo auto avaliações e análises de garantia independentes. Habilitar os
gestores para identificar deficiências de controle e ineficiências e para iniciar ações de melhoria. Planejar, organizar e manter padrões para as
atividades de avaliação e controle de segurança interna.
Declaração de Propósito processo
Obter transparência para as principais partes interessadas sobre a adequação do sistema de controles internos e, assim, proporcionar
confiança em operações, a confiança na realização dos objectivos da empresa e uma compreensão adequada do risco residual
02 Conformidade de TI e suporte para conformidade do  Custo da não‐conformidade de TI, incluindo punições e multas, e o
negócio com as leis e regulamentos externos impacto da perda de reputação
 Número de não conformidades relacionadas a TI comunicados à direção
ou que causaram comentário público ou constrangimento
 Número de problemas de conformidade relativas aos acordos contratuais
com prestadores de serviços de TI
 Cobertura das avaliações de conformidade
de negócios habilitados por TI abrangidos pela avaliação de risco
 Porcentagem de avaliações de risco, que incluem riscos relacionados com
TI
15 Conformidade de TI com as políticas internas  Número de incidentes relacionados com a não conformidade com a
política
 Porcentagem de interessados que entenderam as políticas
 Porcentagem de políticas apoiadas por normas vigentes e práticas de
trabalho
Objetivos do Processo Métricas Relacionadas
1.Processos, recursos e informações atendendo aos requisitos  Porcentagem de processos com cumprimento de metas de produção
de sistema de controles internos da empresa. assegurada dentro da tolerância
 Porcentagem de processos assegurada como compatível com os objetivos
de controlo interno
02 Todas as iniciativas de garantia são planejadas e  Porcentagem de iniciativas de garantia seguindo padrões de programas de
executadas de forma eficaz. garantia aprovados
03 Garantia independente de que o sistema de controle  Porcentagem de processos que receberam revisão independente
interno é eficaz e operacional é fornecido.
04 O controle interno é estabelecido e deficiências são  Número de pontos fracos identificados por relatórios de qualificação e de
identificados e relatadas certificação externos
 Número de grandes violações de controles internos
 Tempo entre a ocorrência de deficiência de controle interno e seu relato
202
CAPÍTULO 5
MEA02 TABELA RACI

MEA02 Tabela RACI
Prática de Gestão



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
MEA02.01
I C I C R R R R R A I R R R R R R R
Monitorar os controles internos.
MEA02.02
Revisar a eficácia dos controles de I I R I A R I I I R R C C C C C
processos de negócios.
MEA02.03
Realizar auto avaliações dos I C I C R R R R R A I R R R R R R R
controles.
MEA02.04
Identificar e reportar deficiências nos I C I C R R I I R R A I R R R R R R R
controles.
MEA02.05
Assegurar que os provedores de
R A A R
garantias são independentes e
qualificados
MEA02.06
A C R C C C R C C C C C C C C
Planejar iniciativas de garantia
MEA02.07
R R R C C A R C C C C C C C C
Definir o escopo de ações de garantia
MEA02.08
I I C R C I I C A R C C C C C C C C
Executar iniciativas de garantia
MEA02.01 Monitorar os controles internos. De Descrição Descrição Para
Continuamente monitorar, avaliar e melhorar APO12.04  Resultados de  Resultados do EDM01.03
ambiente de TI e estrutura de controle para atender avaliações de riscos de monitoramento e APO Todos
os objetivos da organização. por terceiros revisão dos controles BAI Todos
internos DSS Todos
MEA Todos
APO13.03  Relatórios de auditoria  Resultados de EDM01.03
do ISMS benchmarking e outras APO Todos
Referência  Padrões Internacionais e avaliações BAI Todos
externa ao boas práticas DSS Todos

COBIT MEA Todos
203

Atividades
01 Realizar atividades de monitoramento e avaliação de controles internos com base em padrões de governança organizacionais e
estruturas e práticas aceitas pela indústria. Incluir o monitoramento e avaliação da eficiência e eficácia das revisões de supervisão
gerencial.
02 Considerar avaliações independentes do sistema de controlo interno (por exemplo, auditoria interna ou entre pares).
03 Identificar os limites do sistema de controles internos de TI (por exemplo, considere como os controles da TI organizacional levam
em conta terceirizados e/ou atividades, desenvolvimento e produção off‐shore).
04 Garantir que as atividades de controle são realizadas e as exceções são imediatamente comunicadas, acompanhadas e analisadas,
e as ações corretivas apropriadas sejam priorizadas e implementadas de acordo com o perfil de gestão de risco (por exemplo,
classificar certas exceções como um risco chave e outros como a não chave).
05 Manter o sistema de controles internos de TI, considerando mudanças em curso no mundo dos negócios e riscos de TI, o ambiente
de controle organizacional, negócios relevantes e processos de TI e riscos de TI. Se existem lacunas, avaliar e recomendar
mudanças.
06 Avaliar regularmente o desempenho do sistema de controles de TI, comparando a normas e boas práticas aceitas pela indústria.
Considerar a adoção formal de uma abordagem de melhoria contínua para monitoração dos controles internos.
07 Avaliar o status dos controles internos dos prestadores de serviços externos e confirmar que estes cumprem com os requisitos
legais, regulamentares e obrigações contratuais.
MEA02.02 Revisar a eficácia dos controles de De Descrição Descrição Para
processo de negócio. BAI05.06  Resultados de auditorias  Evidencia de eficácia de Interno
Rever o funcionamento dos controles, incluindo uma de conformidade controles
revisão da monitoração e provas de teste, para
BAI05.07  Revisões de uso
assegurar que os controles inseridos nos processos
operacional
de negócio funcionam eficazmente. Incluir
atividades para manter evidência da operação eficaz
de controles através de mecanismos como testes
periódicos de controles, monitoramento contínuo de
controles, avaliações independentes, centros de
comando e controle e centros de operações de rede.
Isto fornece ao negócio a garantia de eficácia dos
controles para atender aos requisitos relacionados
ao negócio, regulamentares e responsabilidade
social.
Atividades
01 Entender e priorizar riscos conforme os objetivos organizacionais.
02 Identificar os controles‐chave e desenvolver uma estratégia adequada para a validação de controles.
03 Identificar informações que indicam convincentemente se o ambiente de controles internos está funcionando de forma eficaz.
04 Desenvolver e implementar procedimentos eficientes para determinar se a informação persuasiva baseia‐se nos critérios de
informação.
05 Manter evidência de eficácia dos controles.
MEA02.03 Realizar auto avaliações de controles. De Descrição Descrição Para
Incentivar gestores e donos de processos para  Planos e critérios de APO Todos
assumir a responsabilidade pela melhoria dos auto avaliação BAI Todos
controles através de um programa contínuo de auto DSS Todos
avaliação para avaliar a integridade e eficácia do MEA Todos
controle de gestão sobre os processos, políticas e
 Resultados de auto Interno
contratos.
avaliações
 Resultados das revisões EDM01.03
de auto avaliações APO Todos

BAI Todos
DSS Todos
MEA Todos
204
CAPÍTULO 5

Atividades
01 Manter planos, escopo e identificar critérios de avaliação para a realização de auto avaliação. Planejar a comunicação dos
resultados do processo de auto avaliação para a área de negócios, TI e gestão geral e do conselho. Considerar as normas de
auditoria interna no desenho das auto avaliações.
02 Determinar a frequência das auto avaliações periódicas, tendo em conta a eficácia e a eficiência global de monitoração contínua.
03 Atribuir a responsabilidade da auto avaliação a indivíduos apropriados para assegurar a objetividade e competência.
04 Prover revisões independentes para assegurar a objetividade da auto avaliação e permitir o compartilhamento de boas práticas de
controle interno de outras empresas.
05 Comparar os resultados das auto avaliações contra os padrões da indústria e boas práticas.
06 Resumir e relatar os resultados da auto avaliação e benchmarking para acções correctivas.
07 Definir uma abordagem acordada, consistente para a realização de auto avaliação de controles e em coordenação com os
auditores internos e externos.
Prática de Gestão Entradaas Saídas
MEA 02.04 Identificar e reportar deficiências de De Descrição Descrição Para
controle. APO11.05  Causa raiz de falhas na  Deficiências de APO Todos
Identificar deficiências de controle e analisar e entrega de qualidade controles BAI Todos
identificar as suas causas subjacentes. Escalar DSS Todos
APO12.06  Causa raiz relacionadas
deficiências de controle e informar as partes MEA Todos
com os riscos
interessadas.
DSS06.01  Análise de causa raiz e  Ações de remediação APO Todos
recomendações BAI Todos
 Resultado do DSS Todos
processamento de MEA Todos
revisões de eficácia
DSS06.04  Evidências de correção
de erro e remediação
Atividades
01 Identificar, relatar e registrar as exceções de controle, e atribuir a responsabilidade por resolvê‐los e informar sobre o status.
02 Considerar o risco empresarial ao estabelecer limites para escalada de exceções de controle e avarias.
03 Comunicar os procedimentos para a escalada de exceções de controle, análise de causa raiz, e relatórios para os donos de
processos de TI.
04 Decida quais exceções de controle devem ser comunicadas à pessoa responsável pela função e quais exceções devem ser
escaladas. Informar os proprietários dos processos afetados e partes interessadas.
05 Acompanhar todas as exceções para garantir que as ações acordadas foram endereçadas.
06 Identificar, iniciar, monitorar e implementar ações corretivas decorrentes de avaliações e relatórios de controle.
MEA02.05 Assegure que os prestadores de De Descrição Descrição Para
seguros são independentes e qualificados.  Resultados de Interno
Certifique‐se de que as entidades que exercem avaliações por
garantia são independentes da função, grupos ou provedores de garantia
organizações em âmbito. As entidades que
executam garantia devem demonstrar uma atitude
adequada e aparência, competência nas habilidades
e conhecimentos necessários para executar a
garantia, ea adesão a códigos de ética e normas
profissionais.
Atividades
01 Estabelecer a adesão a códigos de ética e padrões aplicáveis (por exemplo, Código de Ética Profissional da ISACA) e normas de
garantia (específicos da Indústria localidade), por exemplo: Padrões de Garantia e Auditoria de TI da ISACA, International Auditing
and Assurance Standards Board’s (IAASB’s), International Framework for Assurance Engagements (IAASB Assurance Framework).
02 Estabelecer a independência dos prestadores de garantia.
03 Estabelecer competência e qualificação dos prestadores de garantia.
205

MEA02.06 Planejar iniciativas de garantia. De Descrição Descrição Para
Planejar iniciativas de garantia com base em BAI01.05  Planos do programa de  Avaliações de alto nível Interno
objetivos empresariais e prioridades estratégicas, auditoria
risco inerente, limitações de recursos e de
DSS01.02  Planos de garantia  Planos de garantia EDM01.03
conhecimentos suficientes sobre a empresa.
independente APO Todos
BAI Todos
DSS Todos
MEA Todos
 Critérios de avaliação Interno
Atividades
01 Determinar os usuários pretendidos para os resultados da iniciativa de garantia e o objeto da revisão.
02 Realizar uma avaliação de risco de alto nível e/ou avaliação da capacidade do processo para diagnosticar o risco e identificar os
processos críticos de TI.
03 Selecione, personalizar e chegar a um acordo sobre os objetivos de controle para processos críticos que serão a base para a
avaliação de controle.
MEA02.07 Definir o escopo de iniciativas de De Descrição Descrição Para
garantia. APO11.05  Causa raiz de falhas na  Escopo de revisão de Interno
Definir e acordar com a administração sobre o entrega de qualidade garantia
alcance da iniciativa de garantia, com base nos
APO12.06  Causa raiz relacionadas  Plano de compromisso Interno
objetivos de garantia.
com os riscos
DSS06.01  Análise de causa raiz e  Praticas de revisão de Interno
recomendações garantia
MEA03.04  Relatórios de problemas
de conformidade e
causa raiz
Atividades
01 Definir o alcance real, identificando os objetivos da empresa e de TI para o ambiente em análise, o conjunto de processos e
recursos, e todas as entidades auditáveis relevantes dentro da empresa e externos à empresa (por exemplo, prestadores de
serviços), se aplicável.
02 Definir o plano de engajamento e requisitos de recursos.
03 Definir práticas para a coleta e avaliação de informações de processo(s) sob revisão para identificar controles a ser validados, e as
conclusões atuais (Ambos garantia positiva e quaisquer deficiências) para avaliação de risco.
04 Definir práticas para validar projeto de controle e os resultados e determinar se o nível de eficácia suporta risco aceitável (exigido
pela avaliação de risco organizacional ou de processo).
05 Sempre que a eficácia do controlo não for aceitável, definir práticas para identificar o risco residual (em preparação para relatórios
MEA02.08 Executar iniciativas de garantia. De Descrição Descrição Para
Executar a iniciativa de garantia planejada. Relatar APO11.05  Causa raiz de falhas na  Escopo refinado APO Todos
as conclusões identificadas. Fornecer opiniões entrega de qualidade BAI Todos
positivas de garantia, se for o caso, e DSS Todos
recomendações para a melhoria relativa ao MEA Todos
desempenho operacional identificados,
APO12.04  Análise de riscos e  Resultados da revisão EDM05.01
conformidade externa e risco residual do sistema de
relatórios de perfil de de garantia EDM05.03
controles internos.
riscos para as partes APO Todos
interessadas BAI Todos
APO12.06  Causa raiz relacionadas DSS Todos
com os riscos MEA Todos

DSS05.02  Resultados de testes de
invasão
DSS06.01  Análise de causa raiz e  Relatório de revisão de EDM05.03
recomendações garantia APO Todos
MEA03.03  Gaps de conformidade BAI Todos
identificados DSS Todos
MEA Todos
206
CAPÍTULO 5

Atividades
01 Refinar a compreensão do assunto garantia de TI.
02 Refinar o escopo dos objetivos‐chave de controlo para o assunto garantia de TI.
03 Testar a eficácia do desenho do controle aos objetivos fundamentais do controle.
04 Em alternativa/adicionalmente testar o resultado dos objetivos de controle chave.
05 Documentar o impacto das deficiências de controle.
06 Comunicar à gestão durante a execução da iniciativa para que haja uma compreensão clara do trabalho realizado e acordo sobre e
aceitação das conclusões e recomendações preliminares.
07 Supervisionar as atividades de garantia e certificar‐se de que o trabalho realizado está completo, atende aos objetivos e é de
qualidade aceitável.
08 Fornecer à gestão um relatório (alinhado com os termos de referência, escopo e padrões de relatórios acordados) que suporta os
resultados da iniciativa e permite um foco claro sobre as principais questões e ações importantes.
Nenhum
207
MEA03 Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos

MEA03 Monitorar, Avaliar e Analisar Conformidade com Requisitos Externos Área: Gestão
Avaliar que os processos de TI e processos de negócio dependentes de TI estão em conformidade com leis, regulações e requerimentos
contratuais. Obter garantia de que os requerimentos foram identificados e estão com conformidade com, e estão integrados com as
conformidades de TI dentro da conformidade geral da empresa
Declaração de Propósito processo
Garantir que a empresa está em conformidade com todos os requerimentos externos aplicáveis.
02 Conformidade de TI e suporte para conformidade do  Custos de não‐conformidade de TI, incluindo acordos e multas, e o
negócio com as leis e regulamentos externos impacto causado por perda reputacional
 Número de deficiências de não‐conformidades de TI reportadas ao
conselho ou que causaram comentários ou constrangimentos públicos
 Número de deficiências de não‐conformidades relacionadas à acordos
contratuais com provedores de serviço de TI
 Cobertura da análise de conformidade
04 Gestão de risco organizacional de TI  Porcentagem de processos críticos do negócio, serviços de TI e programas
de negócio suportados por TI cobertos pela avaliação de riscos
 Número de Incidentes Significativos de TI que não foram identificados na
avaliação de riscos
 Porcentagem avaliação de riscos da empresa incluindo riscos de TI
 Frequência de atualização do perfil de riscos
Objetivo do Processo Méticas relacionadas
01 Todos os requerimentos externos de conformidade foram  Média de tempo entre a identificação de deficiências de conformidade
identificados. externas e sua resolução
 Frequência de revisões de conformidade
02 Requerimentos de Conformidade Externas estão  Número de deficiências críticas de não conformidade identificadas por
adequadamente endereçadas. ano
 Porcentagem de aprovações dos donos dos processos confirmando
conformidade
208
CAPÍTULO 5
MEA03 TABELA RACI

MEA03 Tabela RACI



Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
MEA03.01
Identificar requerimentos externos de A R R R R R
conformidade.
MEA03.02
R R R A R I R R R R I R R R R R R R
Otimizar respostas a requerimentos.
MEA03.03
I R R R R R I I C A I R C C C C C C C R
Confirmar conformidades externas.
MEA03.04
Obter garantia de conformidade I I I I C C I C C A R C C C C C C C C
externas.
MEA03.01 Identificar requerimentos externos de De Descrição Descrição Para
conformidade. Referência  Requerimentos de  Registro de Interno
Com base continua, identificar e monitorar externa ao conformidade legais e requerimentos de
alterações em leis e regulações locais e COBIT regulatórios Conformidade
internacionais, assim como outros requerimentos
 Registro de ações de Interno
externos de TI que precisam ser atendidos.
confomidade requeridas
Atividades
01 Atribuir responsabilidades por identificação e monitoramento de quaisquer alterações legais, regulatórias e outros requerimentos
contratuais externos relevantes para o uso de recursos de TI e para o processamento de informações de negócios e operações de
TI da empresa
02 Identificar e avaliar todos os potenciais requerimentos de conformidade e impactos em atividade de TI em áreas como fluxo de
dados, privacidade, controles internos, reportes financeiros, regulações industriais específicas, propriedade intelectuais, saúde e
segurança
03 Avaliar o impacto à TI relacionado a requerimentos legais e regulatórios em contratos com fornecedores de operações de TI,
provedores de serviço e parceiros de negócio.
04 Obter aconselhamento independente, onde for apropriado, quanto a alterações aplicáveis a leis, regulações e standards
05 Manter um registro atualizado de todos os requerimentos relevantes legais, regulatórios e contratuais, assim como impactos e
ações requeridas.
06 Manter um registro harmonizado e geral de requerimentos de conformidade externos para a empresa.

MEA03.02 Otimizar respostas a requerimentos De Descrição Descrição Para
externos. Políticas, princípios, APO01.07
Revisar e ajustar políticas, princípios, standards, procedimentos e APO01.08
procedimentos e metodologias para garantir que standards atualizados
requerimentos contratuais, legais e regulatórios são
Comunicações de EDM01.01
endereçados e comunicados. Considerar standards
alteração de Todo APO Todo
de indústria, códigos de boas práticas e guias de
requerimentos de BAI Todo DSS
boas práticas para adoção e adaptação.
conformidade Todo MEA
209

Atividades
01 Revisar e ajustar regularmente políticas, princípios, standards, procedimentos e metodologias para sua eficácia na garantia
necessária de conformidade e endereçamento de riscos da empresa utilizando especialistas internos e externos, caso necessários.
02 Comunicar requerimentos novos e alterados a todo pessoal relevante.
MEA03.03 Confirmar conformidade externa. De Descrição Descrição Para
Confirmar conformidade com políticas, princípios, BAI05.06  Resultados da auditoria  Gaps de Conformidade MEA02.08
standards, procedimentos e metodologias com de Conformidade identificados
requerimentos legais regulatórios e contratuais.
BAI09.05  Resultado de auditorias  Confirmações de EDM01.03
de licenças instaladas Confomridade
BAI10.05  Desvios de Licenças
DSS01.04  Relatório de Apólices de
seguro
Atividades
01 Avaliar regularmente politicas organizacionais, standards, procedimentos e metodologias em todas as funções da empresa para
garantir conformidade com requerimentos legais e regulatórios relevantes com relação ao processamento de informações.
02 Endereçar gaps de políticas, standards e procedimentos de forma tempestiva.
03 Avaliar periodicamente processos e atividades de negócios e de TI para garantir aderência à requerimentos aplicáveis legais,
regulatórios e contratuais.
04 Revisar regularmente para padrões recorrentes de falhas de conformidade. Onde for necessário, aprimore políticas, standards,
procedimentos, metodologias e atividades e processos associados
MEA03.04 Obter garantia de conformidade De Descrição Descrição Para
externa. EDM05.02  Regras para validação e  Relatórios de garantia EDM01.03
Obter e reportar garantia de conformidade e aprovação de relatórios de conformidade
aderência com políticas, princípios, standards, mandatórios
procedimentos e metodologias. Confirmar que ações
EDM05.03  Avaliação da eficácia de  Relatórios de EDM01.03
corretivas para endereçar gaps de conformidade são
reporte deficiências de não MEA02.07
finalizadas tempestivamente.
conformidade e causas
raízes
Atividades
01 Obter confirmações regulares de conformidade com políticas internas de donos de processos de TI e de Negócios, assim como de
chefes de unidades.
02 Realizar revisões regulares (e onde apropriado, independente) internas e externas para avaliar o nível de conformidade.
03 Se requerido, obter declarações de terceiros provedores de serviços de TI quanto aos seus níveis de conformidade com leis e
regulações aplicáveis.
04 Se requerido, obter declaração de parceiros de negócios quanto aos seus níveis de conformidade com leis e regulações aplicáveis a
transações eletrônicas entre empresas.
05 Monitorar e reportar deficiências de não conformidade e, quando necessário, investigar a causa raiz.
06 Integrar relatórios sobre requisitos legais, regulatórios e contratuais a um nível completo de empresa, envolvendo todas as
unidades de negócio.
Nenhum
210
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
APÊNDICE A
Figura 13 apresenta os modelos da ISACA incluídos no COBIT 5.
Figura 13 ‐ Modelos da ISACA incluídos no COBIT 5
Figura 13 – ISACA Framework Incluído no COBIT 5
O mapeamento do COBIT 4.1, Val IT e componentes de Risco de TI para o COBIT 5 está representado nas
figuras 14, 15 e 16.
Figura 14 – Objetivos de Controle do COBIT 4.1 Mapeados para COBIT 5
Objetivo de Controle COBIT 4.1 Coberto no COBIT 5 por:
AC1 Preparação e Autorização de Dados Originais DSS06.02; DSS06.03; BAI03.02; BAI03.03;
BAI03.05; BAI03.07
AC2 Entrada e Coleta de Dados Fontes DSS06.02
AC3 Testes de Veracidade, Totalidade e Autenticidade DSS06.02
AC4 Processamento Íntegro e Válido DSS06.02
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros DSS06.02
AC6 Autenticação e Integridade das Transações DSS06.02
PO1.1 Gerenciamento de Valor da TI EDM02
PO1.2 Alinhamento entre TI e Negócio APO02.01
PO1.3 Avaliação da Capacidade e Desempenho Correntes APO02.02
PO1.4 Plano Estratégico de TI APO02.03‐05
PO1.5 Planos Táticos de TI APO02.05
PO1.6 Gerenciamento do Portfólio de TI APO05.05
PO2.1 Modelo de Arquitetura da Informação da Organização APO03.02
PO2.2 Dicionário de Dados Corporativos e Regras de Sintaxe de Dados APO03.02
PO2.3 Esquema de Classificação de Dados APO03.02
PO2.4 Gerenciamento de Integridade APO01.06
PO3.1 Planejamento da Diretriz Tecnológica APO02.03; APO04.03
PO3.2 Plano de Infraestrutura Tecnológica APO02.03‐05; APO04.03‐05
PO3.3 Monitoramento de Regulamentos e Tendências Futuras EDM01.01; APO04.03
PO3.4 Padrões Tecnológicos APO03.05
PO3.5 Conselho de Arquitetura de TI APO01.01
PO4.1 Estrutura de Processos de TI APO01.03; APO01.07
PO4.2 Comitê Estratégico de TI APO01.01
PO4.3 Comitê Executivo de TI APO01.01
211

PO4.4 Posicionamento Organizacional da área de TI APO01.05
PO4.5 Estrutura Organizacional de TI APO01.01
PO4.6 Definição de Papéis e Responsabilidades APO01.02
PO4.7 Responsabilidade pela Garantia de Qualidade APO11.01
PO4.8 Responsabilidade por Riscos, Segurança e Conformidade Removido — Esses papéis específicos não
são mais explicitamente especificados como
prática.
PO4.9 Proprietários de Dados e Sistemas APO01.06
PO4.10 Supervisão APO01.02
PO4.11 Segregação de Funções APO01.02
PO4.12 Recrutamento de pessoal de TI APO07.01
PO4.13 Pessoal Chave de TI APO07.02
PO4.14 Políticas e Procedimentos para Pessoal Contratado APO07.06
PO4.15 Relacionamentos APO01.01
PO5.1 Estrutura da Administração Financeira APO06.01
PO5.2 Priorização dentro do Orçamento de TI APO06.02
PO5.3 Processo de Orçamento de TI APO06.03
PO5.4 Gerenciamento de Custo APO06.04‐05
PO5.5 Gerenciamento de Benefícios APO05.06
PO6.1 Política de TI e Ambiente de Controle APO01.03
PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle EDM03.02; APO01.03
PO6.3 Gerenciamento de Políticas de TI APO01.03; APO01.08
PO6.4 Distribuição da Política APO01.03; APO01.08
PO6.5 Comunicação dos Objetivos e Diretrizes de TI APO01.04
PO7.1 Recrutamento e Retenção de Pessoal APO07.01; APO07.05
PO7.2 Competências Pessoais APO07.03
PO7.3 Preenchimento de Vagas APO01.02; APO07.01
PO7.4 Treinamento do Pessoal APO07.03
PO7.5 Dependência de Indivíduos APO07.02
PO7.6 Procedimentos de Liberação de Pessoal APO07.01; APO07.06
PO7.7 Avaliação de Desempenho Profissional APO07.04
PO7.8 Mudança e Desligamento de Cargo APO07.01
PO8.1 Sistema de Gerenciamento de Qualidade (SGQ) APO11.01
PO8.2 Padrões e Práticas de Qualidade de TI APO11.02
PO8.3 Padrões de Desenvolvimento e Aquisição APO11.02; APO11.05
PO8.4 Foco no Cliente APO11.03
PO8.5 Melhoria Contínua APO11.06
PO8.6 Medição, Monitoramento e Revisão da Qualidade APO11.04
PO9.1 Alinhamento da gestão de riscos de TI e de Negócios EDM03.02; APO01.03
PO9.2 Estabelecimento do Contexto de Risco APO12.03
PO9.3 Identificação de Eventos APO12.01; APO12.03
PO9.4 Avaliação de Risco APO12.02; APO12.04
PO9.5 Resposta ao Risco APO12.06
PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco APO12.04‐05
PO10.1 Estrutura de Gestão de Programas BAI01.01
PO10.2 Estrutura de Gestão de Projetos BAI01.01
PO10.3 Abordagem da Gestão de Projetos BAI01.01
PO10.4 Comprometimento das Partes Interessadas BAI01.03
PO10.5 Declaração do Escopo do Projeto BAI01.07
PO10.6 Fase de Início do Projeto BAI01.07
PO10.7 Plano Integrado de Projeto BAI01.08
212
APÊNDICE A

PO10.8 Recursos do Projeto BAI01.08
PO10.9 Gestão de Risco do Projeto BAI01.10
PO10.10 Plano de Qualidade de Projeto BAI01.09
PO10.11 Controle de Mudança de Projeto BAI01.11
PO10.12 Planejamento de métodos de validação BAI01.08
PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto BAI01.06; BAI01.11
PO10.14 Conclusão do Projeto BAI01.13
AI1.1 Definição e Manutenção de Requisitos Técnicos e Funcionais de Negócio BAI02.01
AI1.2 Relatório de Análise de Risco BAI02.03
AI1.3 Estudo de Viabilidade e Formulação de Ações Alternativas BAI02.02
AI1.4 Decisão e Aprovação de Requisitos e Estudo de Viabilidade BAI02.04
AI2.1 Projeto em Nível Macro BAI03.01
AI2.2 Projeto Detalhado BAI03.02
AI2.3 Controle e Auditabilidade do Aplicativo BAI03.05
AI2.4 Segurança e Disponibilidade do Aplicativo BAI03.01‐03; BAI03.05
AI2.5 Configuração e Implementação de Software Aplicativo Adquirido BAI03.03; BAI03.05
AI2.6 Principais Atualizações dos Sistemas Existentes BAI03.10
AI2.7 Desenvolvimento de Software Aplicativo BAI03.03‐04
AI2.8 Garantia de Qualidade de Software BAI03.06
AI2.9 Gestão dos Requisitos das Aplicações BAI03.09
AI2.10 Manutenção de Software Aplicativo BAI03.10
AI3.1 Plano de Aquisição de Infraestrutura Tecnológica BAI03.04
AI3.2 Infraestrutura de Recursos, Proteção e Disponibilidade BAI03.03; DSS02.03
AI3.3 Manutenção da Infraestrutura BAI03.10
AI3.4 Viabilidade do Ambiente de Teste BAI03.07‐08
AI4.1 Planejamento para Soluções Operacionais BAI05.05
AI4.2 Transferência de Conhecimento ao Gerenciamento do Negócio BAI08.01‐04
AI4.3 Transferência de Conhecimento aos Usuários Finais BAI08.01‐04
AI4.4 Transferência de Conhecimento às Equipes de Operações e Suporte BAI08.01‐04
AI5.1 Controle de Aquisição BAI03.04
AI5.2 Gerenciamento de Contratos de Fornecedores APO10.01; APO10.03
AI5.3 Seleção de Fornecedores APO10.02
AI5.4 Aquisição de Recursos de TI APO10.03
AI6.1 Padrões e Procedimentos de Mudança BAI06.01‐04
AI6.2 Avaliação de Impacto, Priorização e Autorização BAI06.01
AI6.3 Mudanças de Emergência BAI06.02
AI6.4 Acompanhamento de Status e Relatórios de Mudanças BAI06.03
AI6.5 Finalização da Mudança e Documentação BAI06.04
AI7.1 Treinamento BAI05.05
AI7.2 Plano de Teste BAI07.01; BAI07.03
AI7.3 Plano de Implementação BAI07.01
AI7.4 Ambiente de Testes BAI07.04
AI7.5 Conversão de Dados e Sistemas BAI07.02
AI7.6 Teste de Mudanças BAI07.05
AI7.7 Teste de Aceitação Final BAI07.05
AI7.8 Promoção para a Produção BAI07.06
AI7.9 Revisão pós‐implementação BAI07.08
DS1.1 Estrutura de Gestão de Níveis de Serviço APO09.01‐05
DS1.2 Definição de Serviços APO09.01‐02
DS1.3 Acordos de Nível de Serviço APO09.03
DS1.4 Acordos de Nível Operacional APO09.03
213

DS1.5 Monitoramento e Relatório de Realizações de Nível de Serviço APO09.04
DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos APO09.05
DS2.1 Identificação do Relacionamento com Todos os Fornecedores APO10.01
DS2.2 Gestão do Relacionamento com Fornecedores APO10.03
DS2.3 Gerenciamento de Riscos do Fornecedor APO10.04
DS2.4 Monitoramento de Desempenho do Fornecedor APO10.05
DS3.1 Desempenho e Planejamento de Capacidade BAI04.03
DS3.2 Capacidade e Desempenho Atuais BAI04.01‐02
DS3.3 Capacidade e Desempenho Futuros BAI04.01
DS3.4 Disponibilidade de Recursos de TI BAI04.05
DS3.5 Monitoramento e Relatórios BAI04.04
DS4.1 Estrutura de Continuidade DSS04.01‐02
DS4.2 Planos de Continuidade de TI DSS04.03
DS4.3 Recursos Críticos de TI DSS04.04
DS4.4 Manutenção do Plano de Continuidade de TI DSS04.02; DSS04.05
DS4.5 Teste do Plano de Continuidade de TI DSS04.04
DS4.6 Treinamento do Plano de Continuidade de TI DSS04.06
DS4.7 Distribuição do Plano de Continuidade DSS04.03
DS4.8 Recuperação e Retomada dos Serviços de TI DSS04.03
DS4.9 Armazenamento de Cópias de Segurança em Locais Remotos DSS04.07
DS4.10 Revisão Pós‐Retomada dos Serviços DSS04.08
DS5.1 Gestão da Segurança de TI APO13.01; APO13.03
DS5.2 Plano de Segurança de TI APO13.02
DS5.3 Gestão de Identidade DSS05.04
DS5.4 Gestão de Contas de Usuário DSS05.04
DS5.5 Teste de Segurança, Vigilância e Monitoramento DSS05.07
DS5.6 Definição de Incidente de Segurança DSS02.01
DS5.7 Proteção da Tecnologia de Segurança DSS05.05
DS5.8 Gestão de Chave Criptográfica DSS05.03
DS5.9 Prevenção, Detecção e Correção de Software Malicioso DSS05.01
DS5.10 Segurança de Rede DSS05.02
DS5.11 Comunicação de Dados Confidenciais DSS05.02
DS6.1 Definição de Serviços APO06.04
DS6.2 Contabilidade de TI APO06.01
DS6.3 Modelagem de Custo e Cobrança APO06.04
DS6.4 Manutenção do Modelo de Custo APO06.04
DS7.1 Identificação das Necessidades de Ensino e Treinamento APO07.03
DS7.2 Entrega de Treinamento e Ensino APO07.03
DS7.3 Avaliação do Treinamento Recebido APO07.03
DS8.1 Central de Serviço Removido — O ITIL 3 não trata central de
serviço como processo.
DS8.2 Registro dos Chamados dos Clientes DSS02.01‐03
DS8.3 Escalonamento de Incidentes DSS02.04
DS8.4 Encerramento de Incidente DSS02.05‐06
DS8.5 Relatórios e Análises de Tendências DSS02.07
DS9.1 Repositório de Configuração e Perfis Básicos BAI10.01‐02; BAI10.04; DSS02.01
DS9.2 Identificação e Manutenção dos Itens de Configuração BAI10.03
DS9.3 Revisão da Integridade de Configuração BAI10.04‐05; DSS02.05
DS10.1 Identificar e Classificar os Problemas DSS03.01
DS10.2 Rastreamento e Resolução de Problemas DSS03.02
DS10.3 Encerramento do Problema DSS03.03‐04
214
APÊNDICE A

DS10.4 Integração de Gerenciamento de Mudanças, Configuração e Problemas DSS03.05
DS11.1 Requisitos de Negócio para o Gerenciamento de Dados DSS01.01
DS11.2 Arranjos de Armazenamento e Retenção DSS04.08; DSS06.04
DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia DSS04.08
DS11.4 Descarte de Dados e Equipamentos DSS05.06; DSS06.05‐06
DS11.5 Backup e Restauração DSS04.08
DS11.6 Requisitos de Segurança para o Gerenciamento de Dados DSS001.01; DSS05.02‐05; DSS06.03;
DSS06.06
DS12.1 Seleção do Local e Layout DSS01.04‐05; DSS05.05
DS12.2 Medidas de Segurança Física DSS05.05
DS12.3 Acesso Físico DSS05.05
DS12.4 Proteção contra Fatores Ambientais DSS01.04
DS12.5 Gerenciamento de Instalações Físicas DSS01.05
DS13.1 Procedimentos e Instruções de Operações DSS01.01
DS13.2 Agendamento de Jobs DSS01.01
DS13.3 Monitoramento da Infraestrutura de TI DSS01.03
DS13.4 Documentos Confidenciais e Dispositivos de Saída DSS05.06
DS13.5 Manutenção Preventiva de Hardware BAI09.02
ME1.1 Abordagem de Monitoramento MEA01.01
ME1.2 Definição e Coleta dos Dados de Monitoramento MEA01.02‐03
ME1.3 Método de Monitoramento MEA01.03
ME1.4 Avaliação de Desempenho MEA01.04
ME1.5 Relatórios para a Alta Direção MEA01.04
ME1.6 Ações Corretivas MEA01.05
ME2.1 Monitoramento da Estrutura de Controles Internos MEA02.01‐02
ME2.2 Revisão Gerencial MEA02.01
ME2.3 Exceções aos Controles MEA02.04
ME2.4 Autoavaliação dos Controles MEA02.03
ME2.5 Garantia dos Controles Internos MEA02.06‐08
ME2.6 Controles Internos Aplicados a Terceiros MEA02.01
ME2.7 Ações Corretivas MEA02.04
ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e MEA03.01
Contratos Externos
ME3.2 Otimização da Resposta aos Requisitos Externos MEA03.02
ME3.3 Avaliação da Conformidade com Requisitos Externos MEA03.03
ME3.4 Assegurar a Conformidade MEA03.04
ME3.5 Informes Integrados MEA03.04
ME4.1 Estabelecimento de uma Estrutura de Governança de TI EDM01
ME4.2 Alinhamento Estratégico Removido—No COBIT 5, alinhamento é
considerado resultado de todas as atividades
de governança e gestão
ME4.3 Entrega de Valor EDM02
ME4.4 Gerenciamento de Recursos EDM04
ME4.5 Gestão de Riscos EDM03
ME4.6 Medição de Desempenho EDM01.03; EDM02.03; EDM03.03; EDM04.03
ME4.7 Avaliação Independente MEA02.05‐07; MEA02‐08
Figura 15 – Práticas Chave do Val IT 2.0 Cobertas pelo COBIT 5
Práticas Chave do Val IT 2.0 Cobertas no COBIT 5 por:
VG1.1 Desenvolva um entendimento do significado de TI e o papel de EDM01.01
governança.
VG1.2 Estabeleça linhas de reporte eficazes. EDM01.01
215

VG1.3 Estabeleça um fórum de liderança. EDM01.02; APO01.01
VG1.4 Defina valor para a empresa. EDM02.02
VG1.5 Garanta alinhamento e integração das estratégias de TI e APO02.01
Negócio com os objetivos chave de negócio.
VG2.1 Defina o valor da estrutura de governança. EDM01.02
VG2.2 Avalie a qualidade e cobertura dos processos atuais. APO01.07
VG2.3 Identifique e priorize os requerimentos dos processos. APO01.07
VG2.4 Defina e documente os processos. APO01.07
VG2.5 Estabeleça, implemente e comunique papéis, responsabilidades APO01.02
e responsabilizações.
VG2.6 Estabeleça estruturas organizacionais. EDM01.02; APO01.02
VG3.1 Defina tipos de portfolios. EDM02.02
VG3.2 Defina categorias (dentro dos portfolios). EDM02.02
VG3.3 Desenvolva e comunique critérios de avaliação (para cada EDM02.02
categoria).
VG3.4 Atribua pesos aos critérios. EDM02.02
VG3.5 Defina requerimentos para revisões do tipo Stage‐gates e outras EDM02.02
(para cada categoria).
VG4.1 Revise as práticas orçamentárias da empresa. APO06.03
VG4.2 Determine a gestão de valor nos requerimentos de planejamento APO06.01
financeiro.
VG4.3 Identifique alterações necessárias. APO06.01
VG4.4 Implemente praticas otimizadas de planejamento orçamentário APO06.01
para gestão de valor.
VG5.1 Identifique métricas chave. EDM02.03
VG5.2 Defina processos e abordagens para captura de informações. EDM02.03
VG5.3 Defina métodos e técnicas de reporte. EDM02.03
VG5.4 Identifique e monitore performance nas ações de melhoria. EDM02.03
VG6.1 Implemente lições aprendidas. EDM02.03
PM1.1 Revise e garanta clareza das estratégias e objetivos de negócio. APO05.01
PM1.2 Identifique oportunidades para TI incluenciar e suportar a APO05.01
estratégia de negócio.
PM1.3 Defina um mix apropriado de investimento. APO05.01
PM1.4 Traduza a estratégia e objetivos de negócio na estratégia e APO05.01
objetivos de TI.
PM2.1 Determine os fundos globais de investimento APO05.02
PM3.1 Crie e mantenha um inventário de recursos humanos de negócio. APO07.01
PM3.2 Compreenda as demandas atuais e futuras (para recursos APO07.01
humanos de negócio).
PM3.2 Identifique déficits (entre as demandas atuais e futuras de APO07.01
recursos humanos de negócio).
PM3.4 Crie e mantenha planos táticos (para recursos humanos de APO07.01
negócio).
PM3.5 Monitore, revise e ajuste (atribuição de função de negócio e APO07.05
pessoal).
PM3.6 Crie e mantenha um inventário de recursos humanos de TI. APO07.05
PM3.7 Entenda a demanda atual e futura (para recursos humanos de APO07.05
TI).
PM3.8 Identifique déficits (entre a demanda atual e a futura para APO07.05
recursos humanos de TI).
PM3.9 Crie e mantenha planos táticos (para recursos humanos de TI). APO07.05
PM3.10 Monitore, revise e ajuste (Atribuição de funções de TI e pessoal). APO07.05
PM4.1 Avalie e atribua pontuações relativas para programar casos de APO05.03
negócio.
216
APÊNDICE A

PM4.2 Crie uma visão global do portfólio de investimentos. APO05.03
PM4.3 Faça e comunique decisões de investimentos. APO05.03
PM4.4 Especifique revisões do tipo stage‐gates e alocar fundos para APO05.03
programas selecionados.
PM4.5 Ajuste objetivos, previsões e orçamentos de negócios. APO05.03
PM5.1 Monitore e reporte performance do portfólio de investimentos. APO05.04
PM6.1 Otimize a performance do portfólio de investimento. APO05.04
PM6.2 Redefina as prioridades do portfólio de investimento. APO05.04
IM1.1 Reconheça oportunidades de investimento. APO05.03
IM1.2 Desenvolva o conceito inicial do programa para o caso de BAI01.02
negócio.
IM1.3 Avalie o conceito inicial do programa para o caso de negócio. APO05.03
IM2.1 Desenvolva um entendimento completo e claro do programa BAI01.02
candidato.
IM2.2 Realize análise de alternativas. BAI01.02
IM3.1 Desenvolva o plano do programa. BAI01.04
IM4.1 Faça uma identificação completa do ciclo de vida de custos e BAI01.04
benefícios.
IM4.2 Desenvolva um plano de realização de benefícios. BAI01.04
IM4.3 Realize uma revisão apropriada e obtenha aprovações BAI01.03‐04
IM5.1 Desenvolva um programa detalhado de caso de negócio. BAI01.02
IM5.2 Atribua responsabilização e propriedade claras. BAI01.02
IM5.3 Realize revisões apropriadas e obtenha aprovações. BAI01.02‐03
IM6.1 Planeje projetos e recursos e inicie o programa. BAI01.05
IM6.2 Gerencie o programa. BAI01.05
IM6.3 Monitore e gerencie benefícios. BAI01.05
IM7.1 Atualize os portfólios operacionais de TI. APO05.05
IM8.1 Atualize o caso de negócio. BAI01.04
IM9.1 Monitore e reporte a performance do programa (fornecimento BAI01.06
de soluções).
IM9.2 Monitore e reporte a performance para negócios BAI01.06
(benefício/resultado).
IM9.3 Monitore e reporte a performance operacional (entrega de BAI01.06
serviços).
IM10.1 Aposente o programa. BAI10.14
Figura 16 – Práticas Chave do Risk IT Cobertas pelo COBIT 5
Prática Chave do Risk TI Coberto no COBIT 5 por:
RG1.1 Realize uma avaliação de riscos de TI da empresa. EDM03.01; APO12.02‐03
RG1.2 Proponha limites de tolerância para riscos de TI. EDM03.01
RG1.3 Aprove a tolerância ao risco de TI. EDM03.01‐02
RG1.4 Alinhe a política de risco de TI. EDM03.01‐02
RG1.5 Promova uma cultura de consciência de risco. EDM03.02
RG1.6 Encoraje uma comunicação eficaz de riscos de TI. EDM03.03
RG2.1 Estabeleça e mantenha responsabilização pelo gerenciamento de EDM03.02
risco de TI.
RG2.2 Coordene a estratégia de risco de TI e a estratégia de risco de EDM03.01‐02
negócio.
RG2.3 Adapte as práticas de risco de TI às práticas de risco da empresa. EDM03.01‐02
RG2.4 Forneça os recursos adequados para a gerenciamento de riscos EDM04.01; APO07.01; APO07.03
de TI.
RG2.5 Forneça uma garantia independente sobre o gerenciamento de EDM03.03
riscos de TI.
RG3.1 Ganhe o suporte da alta administração para a abordagem da EDM01.01‐02; EDM03.02
217

Prática Chave do Risk TI Coberto no COBIT 5 por:
análise de riscos de TI.
RG3.2 Aprove a análise de risco de TI. EDM03.01
RG3.3 Incorpore as considerações de risco de TI nas tomadas de decisão EDM03.01
estratégica de negócio.
RG3.4 Aceite o risco de TI. EDM03.01
RG3.5 Priorize as atividades de resposta a risco de TI EDM03.02
RE1.1 Estabeleça e mantenha um modelo para coleta de dados. APO12.01
RE1.2 Colete dados do ambiente operacional. APO12.01
RE1.3 Colete dados dos eventos de risco. APO12.01
RE1.4 Identifique fatores de risco. APO12.01
RE2.1 Defina o escopo da análise de riscos de TI. APO12.02
RE2.2 Calcule o risco de TI. APO12.02
RE2.3 Identifique opções de resposta ao risco. APO12.02
RE2.4 Realize uma revisão por pares da análise de riscos de TI. APO12.02
RE3.1 Mapeie recursos de TI a processos de negócios. APO12.02
RE3.2 Determine a criticidade para negócios dos recursos de TI. APO12.03
RE3.3 Entenda as capacidades de TI. APO12.03
RE3.4 Atualize os componentes do cenário de risco de TI. APO12.03
RE3.5 Mantenha o registro e o mapa de risco de TI. APO12.03
RE3.6 Desenvolva indicadores para risco de TI. APO12.03
RR1.1 Comunique os resultados da análise de risco de TI. APO12.04
RR1.2 Reporte as atividades de gerenciamento de risco de TI e o estado APO12.04
da conformidade.
RR1.3 Interprete os resultados da avaliação independente de TI. APO12.04
RR 1.4 Identifique oportunidades de TI. APO12.04
RR2.1 Faça o inventário controles. APO12.05
RR2.2 Monitore o alinhamento operacional com os limites de tolerância APO12.05
ao risco.
RR2.3 Responda a descoberta de exposição a risco e oportunidades. APO12.05
RR2.4 Implemente controles. APO12.05
RR2.5 Reporte o progresso do plano de ação para risco de TI. APO12.05
RR3.1 Mantenha planos de resposta a incidentes. APO12.06
RR3.2 Monitore riscos de TI. APO12.06
RR3.3 Inicie resposta a incidente. APO12.06
RR3.4 Comunique lições aprendidas de eventos de risco. APO12.06
218
APÊNDICE B
MAPEAMENTO DETALHADO DOS OBJETIVOS CORPORATIVOS – OBJETIVOS DE TI
APÊNDICE B
MAPEAMENTO DETALHADO DOS OBJETIVOS CORPORATIVOS – OBJETIVOS
DE TI
The COBIT 5 goals cascade is explained in chapter 02 Figure 17 contains:
A cascata de objetivos do COBIT 5 é explicada no capitulo 02 A figura 17 contém:
Nas colunas, todos os 17 objetivos corporativos genéricos definidos no COBIT 5, agrupados pela dimensão BSC
Nas linhas, todos os 17 objetivos de TI, também agrupados pela dimensão BSC de TI
Um mapeamento de como cada objetivo corporativo é apoiado pelos objetivos de TI. Esse mapeamento é
expresso utilizando a seguinte escala:
– ‘P’ significa primário, quanto há um relacionamento importante, quando o objetivo de TI representar um apoio
fundamental para o objetivo corporativo.
– ‘S’ significa secundário, quando houver uma relação importante, mas menos importante, ou seja, quando o
objetivo de TI representar um apoio secundário para o objetivo corporativo.
A tabela foi criada com base nos seguintes itens:
Pesquisas da University of Antwerp Management School IT Alignment e do Governance Research Institute
Revisões adicionais e opiniões de especialistas obtidas durante o desenvolvimento e revisão do COBIT 5
Ao utilizar a tabela da figura 17, por favor, considere as observações feitas no capitulo 2 sobre como utilizar a
cascata de objetivos do COBIT 5.
Figura 17 – Mapeamento dos Objetivos Corporativos do COBIT 5 com os Objetivos de TI
Objetivos Corporativos do COBIT 5
Respostas rápidas para um ambiente de negócios em mudança

Valor dos investimentos da organização percebidos pelas
Tomada de decisão estratégica com base na informação
Otimização da funcionalidade do processo de negócio

Conformidade com as leis e regulamentos externos
Gestão do risco do negócio (salvaguarda de ativos)
Continuidade e disponibilidade do serviço de ne
Gestão de programas de mudanças de negócios

Otimização dos custos de prestação de serviços
Otimização dos custos do processo de negócio

Portfólio de produtos e serviços competitivos
Cultura de inovação de produtos e negócios

Conformidade com as políticas internas
Produtividade operacional e da equipe
Cultura de serviço orientada ao cliente
Pessoas qualificadas e motivadas

Transparência financeira
partes interessadas
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Objetivos de TI Financeira Cliente Interna T&c
01 Alinhamento da estratégia de negócios e de TI P P S P S P P S P S P S S
Conformidade de TI e suporte para conformidade do negócio
02 S P P
com as leis e regulamentos externos
Financeira
Compromisso da gerência executiva com a tomada de

03 P S S S S S P S S
decisões de TI
04 Gestão de risco organizacional de TI P S P S P S S S
Benefícios obtidos pelo investimento de TI e portfólio de
05 P P S S S S P S S
serviços
06 Transparência dos custos, benefícios e riscos de TI S S P S P P
Client
Prestação de serviços de TI em consonância com os requisitos

07 P P S S P S P S P S S S S
de negócio
219

Objetivos Corporativos do COBIT 5
Respostas rápidas para um ambiente de negócios em mudança

Valor dos investimentos da organização percebidos pelas
Tomada de decisão estratégica com base na informação
Otimização da funcionalidade do processo de negócio

Conformidade com as leis e regulamentos externos
Gestão do risco do negócio (salvaguarda de ativos)
Continuidade e disponibilidade do serviço de ne
Gestão de programas de mudanças de negócios

Otimização dos custos de prestação de serviços
Otimização dos custos do processo de negócio

Portfólio de produtos e serviços competitivos
Cultura de inovação de produtos e negócios

Conformidade com as políticas internas
Produtividade operacional e da equipe
Cultura de serviço orientada ao cliente
Pessoas qualificadas e motivadas

Transparência financeira
partes interessadas
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Objetivos de TI Financeira Cliente Interna T&c
Uso adequado de aplicativos, informações e soluções
08 S S S S S S S P S P S S
tecnológicas
09 Agilidade de TI S P S S P P S S S P
Segurança da informação, infraestrutura de processamento e
10 P P P P
aplicativos
11 Otimização de ativos, recursos e capacidades de TI P S S P S P S S S
Capacitação e apoio aos processos de negócios através da
Interna
12 S P S S S S P S S S S
integração de aplicativos e tecnologia
Entrega de programas fornecendo benefícios, dentro do
13 P S S S S S P
prazo, orçamento e atendendo requisitos
Disponibilidade de informações úteis e confiáveis para a
14 S S S S P P S
tomada de decisão
15 Conformidade de TI com as políticas internas S S P
16 Equipes de TI e de negócios motivadas e qualificadas S S P S S P P S
T&C
Conhecimento, expertise e iniciativas para inovação dos

17 S P S P S S S S P
negócios
T & C=Treinamento e Conhecimento
220
APÊNDICE C
MAPEAMENTO DETALHADO DOS OBJETIVOS DE TI – PROCESSOS DE TI
APÊNDICE C MAPEAMENTO DETALHADO DOS OBJETIVOS DE TI –

PROCESSOS DE TI
A figura 18 contém:
Nas colunas, todos os 17 objetivos de TI genéricos definidos no capítulo 2, agrupados nas dimensões do BSC de
TI
Nas linhas, todos os 37 processos do COBIT 5, agrupados por domínio
Um mapeamento de como cada objetivo de TI é apoiado por um processo de TI do COBIT 05 Este mapeamento é expresso usando a
seguinte escala:
– ‘P’ significa primário, quando houver uma relação direta importante, ou seja, quando o processo do COBIT 5
for um apoio fundamental para a consecução de um objetivo de TI.
– ‘S’ significa secundário, quando houver uma relação ainda forte, mas menos importante, ou seja, quando o
processo do COBIT 5 for um apoio secundário para o objetivo de TI.
A tabela foi criada com base nas seguintes informações:
Pesquisas da University of Antwerp Management School IT Management e do Governance Research Institute
Revisões adicionais e opiniões de especialistas obtidos durante o processo de desenvolvimento e revisão do
COBIT 5
Ao usar a tabela contida na figura 18, considerar as observações feitas no capítulo 2 sobre como usar a cascata
de objetivos do COBIT 5.
Figura 18 – Mapeamento dos Objetivos de TI do COBIT 5 com os Processos
Objetivo de TI

Capacitação e apoio aos processos de negócios através

Conformidade de TI e suporte para conformidade do
Equipes de TI e de negócios motivadas e qualificadas

Prestação de serviços de TI em consonância com os
Otimização de ativos, recursos e capacidades de TI

Transparência dos custos, benefícios e riscos de TI
Alinhamento da estratégia de negócios e de TI
Conformidade de TI com as políticas internas

negócio com as leis e regulamentos externos
Segurança da informação, infraestrutura de

da integração de aplicativos e tecnologia
Gestão de risco organizacional de TI
processamento e aplicativos
requisitos de negócio
tomada de decisão
Agilidade de TI
decisões de TI
tecnológicas
negócios
serviços
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Processos COBIT5 Financeira Cliente Interna T&C
Garantir a
Definição e
EDM01 Manutenção do P S P S S S P S S S S S S S S S
Avaliar, Dirigir e Monitorar
Modelo de
Governança
Garantir a
EDM02 Realização de P S P P P S S S S S S P
Benefícios
Garantir a
EDM03 Otimização do S S S P P S S P S S P S S
Risco
Garantir a
EDM04 Otimização de S S S S S S S P P S P S
Recursos
221
Construi Alinhar, Planejar e Organizar
222
EDM05
Processos COBIT5
Partes
custos
serviços
projetos
recursos
portfolio
inovação
humanos
BAI01 Gerenciar
APO13 Gerenciar
APO11 Gerenciar
APO10 Gerenciar
APO09 Gerenciar
APO08 Gerenciar
APO07 Gerenciar
APO06 Gerenciar
APO05 Gerenciar
APO04 Gerenciar
APO03 Gerenciar
qualidade
estratégia
Garantir a
segurança
APO02 Gerenciar a
APO01 Gerenciar a
organização
estrutura de
programas e
Interessadas
contratos de
gestão de TI.
orçamento e
prestação de
fornecedores
arquitetura da
APO12 Gerenciar riscos

relacionamentos
Transparência às
S
S
S
S
S
P
P
P
P
P
P
P
01
S
S
S
S
P
P
P
02
S
S
S
S
S
S
S
S
P
03
decisões de TI
S
S
S
S
S
S
S
S
S
S
P
P
P
P
04
Financeira
S
S
S
S
S
P
P
P
P
P
05
serviços
S
S
S
S
S
S
P
P
P
P
06
S
S
S
S
S
S
S
S
P
P
P
P
P
P
07 requisitos de negócio
Cliente Uso adequado de aplicativos, informações e soluções
S
S
S
S
S
S
S
S
S
S
S
P
08
tecnológicas
: HABILITANDO PROCESSOS [MEA]
S
S
S
S
S
S
P
P
P
P
09
Agilidade de TI
S
S
S
S
S
Objetivo de TI
P
P
10

S
S
S
S
S
S
S
S
P
P
P
P
11
S
S
S
S
P
12

Interna
S
S
S
S
S
S
S
P
P
P
P
P
13

S
S
S
S
S
S
S
S
P
P
14
tomada de decisão
S
S
S
S
S
S
S
S
P
15
S
S
S
S
S
P
P
16

T&C
S
S
S
S
S
S
S
P
P
P
P
P
17
negócios
Processos COBIT5
Serviços
mudança
mudança
DSS05 Gerenciar
DSS04 Gerenciar
DSS03 Gerenciar
DSS02 Gerenciar
DSS01 Gerenciar
BAI10 Gerenciar
BAI08 Gerenciar
BAI07 Gerenciar
BAI06 Gerenciar
BAI05 Gerenciar
BAI04 Gerenciar
BAI03 Gerenciar
BAI02 Gerenciar
requisitos
mudanças
Segurança
Problemas
Operações
Serviços de
capacidade
aceitação e
de soluções
transição da
definição de
configuração
Incidentes de
Continuidade
Solicitações e
capacidade da
conhecimento
organizacional
identificação e
BAI09 Gerenciar ativos

disponibilidade e
desenvolvimento
S
S
S
S
S
P
01
S
S
S
S
S
P
P
02
S
S
S
03
decisões de TI
S
S
S
S
S
S
P
P
P
P
P
P
04
Financeira
S
S
S
S
S
S
S
S
S
S
05
serviços
S
P
06
S
S
S
S
S
P
P
P
P
P
P
P
P
07
requisitos de negócio
Cliente
S
S
S
S
S
S
S
S
S
S
S
P
P
08
tecnológicas
S
S
S
S
S
S
S
S
S
S
P
09
Agilidade de TI
S
S
S
S
S
S
S
Objetivo de TI
P
P
10

S
S
S
S
S
S
S
P
P
P
P
P
11
S
S
S
S
S
S
P
P
12

Interna
S
S
S
S
S
P
13

S
S
S
S
S
S
S
S
S
P
P
P
P
14
tomada de decisão
S
S
S
S
S
S
S
S
S
15
S
S
S
16

T&C
S
S
S
S
S
S
S
S
S
P
P
17
negócios
223
MAPEAMENTO DETALHADO DOS OBJETIVOS DE TI – PROCESSOS DE TI
APÊNDICE C
MNonitorar, Avaliar e Analisar
224
Processos COBIT5
Negócio
externos
DSS06 Gerenciar
MEA03 Monitorar,
MEA02 Monitorar,
MEA01 Monitorar,
o sistema de
Controles de
Processos de
conformidade
a conformidade
controle interno
o desempenho e
avaliar e analisar
avaliar e analisar
avaliar e analisar
com os requisitos
S
01
S
S
P
P
02
S
03
decisões de TI
P
P
P
P
04
Financeira
S
S
05
serviços
S
S
06
S
S
P
P
07 requisitos de negócio
Cliente Uso adequado de aplicativos, informações e soluções
S
S
S
08
tecnológicas
: HABILITANDO PROCESSOS [MEA]
S
09
Agilidade de TI
S
S
S
S
Objetivo de TI
10

S
P
11

S
12

Interna

S
13

S
S
S
14
tomada de decisão
S
S
P
P
15

S
S
16

T&C

S
S
S
S
17
negócios

COBIT 5 Enabling Processes

Enviado por

Direitos autorais:

Formatos disponíveis

COBIT 5 Enabling Processes

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

COBIT 5 Enabling Processes

Enviado por

Direitos autorais:

Formatos disponíveis

Habilitando Processos

Personal Copy of: Mr. Carlos Francisco Ferreira

COBIT® 5: Habilitando Processos

Página intencionalmente deixada em branco

COBIT 5 Força Tarefa (2009-2011)

Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belgium

Comitê do Modelo (2009-2012)

ISACA e IT Governance Institute® (ITGI®) Affiliates and Sponsors

Voluntários para a Tradução para a Língua Portuguesa

Página intencionalmente deixada em branco

Lista das Figuras ....................................................................................................................................................................13

Capítulo 1 Introdução ...........................................................................................................................................................15

Capítulo 2 Cascata de Objetivos e Métricas para os Objetivos Corporativos e Objetivos de TI ..........................................17

Capítulo 3 O modelo de processos do COBIT 5....................................................................................................................27

Capítulo 4 Modelo de Referência de Processos do COBIT 5 ...............................................................................................31

Capítulo 5 Conteúdo do Guia de Referencias de Processos do COBIT 5.............................................................................33

Apêndice A Mapeamento do COBIT5 e Modelos Legados da ISACA ...............................................................................211

Apêndice B Mapeamento Detalhado dos Objetivos Corporativos – Objetivos de TI ..........................................................219

Apêndice C Mapeamento Detalhado dos Objetivos de TI – Processos de TI ......................................................................221

Página intencionalmente deixada em branco

LISTA DAS FIGURAS

Página intencionalmente deixada em branco

Figura 1 – Família de Produtos do COBIT 5

Página intencionalmente deixada em branco

Figura 2 – Objetivo da Governança: Criação de Valor

2º PASSO. DESDOBRAMENTO DAS NECESSIDADES DAS PARTES INTERESSADAS EM OBJETIVOS CORPORATIVOS

dos objetivos corporativos genéricos.

Figura 3 – Visão Geral do Desdobramento de Objetivos

Figura 4 ‐ Objetivos Corporativos do COBIT 5

3º PASSO. CASCATA DOS OBJETIVOS CORPORATIVOS EM OBJETIVOS DE TI

4º PASSO. CASCATA DOS OBJETIVOS DE TI EM METAS DO HABILITADOR

USANDO A CASCATA DE OBJETIVOS DO COBIT 5

USANDO A CASCATA DE OBJETIVOS DO COBIT 5 COM ATENÇÃO

UTILIZANDO A CASCATA DE OBJETIVOS DO COBIT 5 NA PRÁTICA

MÉTRICAS DOS OBJETIVOS DA ORGANIZAÇÃO

Figura 6 – Exemplos de Métricas de Objetivos da Organização

Figura 6 – Exemplos de Métricas de Objetivos da Organização

MÉTRICAS DOS OBJETIVOS DE TI

Figura 7 – Exemplos de Métricas para Objetivos relacionadas a TI

14 Disponibilidade de  Nível de satisfação do usuário corporativo com a qualidade e pontualidade (ou

Figura 7 – Exemplos de Métricas para Objetivos relacionadas a TI

Página intencionalmente deixada em branco

Figura 8 – Habilitadores do COBIT 5: Processos

GERENCIAMENTO DE DESEMPENHO DO HABILITADOR

Página intencionalmente deixada em branco

Figura 9 – Principais Áreas para Governança e Gestão do COBIT 5

Figura 10 – Modelo de Referência de Processos do COBIT 5

INSTRUÇÕES GENÉRICAS PARA PROCESSOS

Página intencionalmente deixada em branco

Avalçiar, Dirigir e Monitorar

02 Garantir a Realização de Benefícios

03 Garantir a Otimização do Risco

04 Garantir a Otimização de Recursos

05 Garantir a Transparência às Partes Interessadas

EDM01 Garantir a Definição e Manutenção do Modelo de Governança

EDM01 ‐ Garantir a Definição e Manutenção do Modelo de Área: Governança

EDM01 Tabela RACI

Avalçiar, Dirigir e Monitorar

Diretor de Segurança da Informação (CSO)

Comitês Diretivos (Projeto e Programa)