COBIT 5 Enabling Processes
COBIT 5 Enabling Processes
COBIT 5 Enabling Processes
ISACA®
Com 95.000 membros em 160 países, a ISACA (www.isaca.org) é líder global no fornecimento de informações,
certificações, padrões, apoio e experiência para a garantia e segurança relacionadas a sistemas de informação
(SI), governança corporativa e gestão da Tecnologia da Informação (TI), além de conformidade e riscos a ela
relacionados. Fundada em 1969, sem fins lucrativos, a ISACA acolhe conferências internacionais independentes,
publica o ISACA® Journal e desenvolve padrões internacionais para auditoria e controle de SI que ajudam seus
membros a garantir a confiança e o valor dos sistemas de informação. Também promove e certifica os seguintes
conhecimentos e habilidades de ponta a ponta em TI que são mundialmente respeitadas Certified Information
Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance
of Enterprise IT® (CGEIT®) e Certified in Risk and Information Systems Control™ (CRISC™). A ISACA
atualiza continuamente o COBIT®, o que ajuda os profissionais de TI e os líderes organizacionais a cumprirem
suas responsabilidades de gestão e governança de TI, especialmente nas áreas de garantia, segurança, risco e
controle, e entrega de valor para o negócio.
QUALITY STATEMENT
This Work is translated into Brazilian Portuguese from the English language version of COBIT® 5 Enabling
Processes by the ISACA® Sao Paulo Chapter with the permission of ISACA®. The ISACA® Sao Paulo Chapter
assumes sole responsibility for the accuracy and faithfulness of the translation.
DECLARAÇÃO DE QUALIDADE
Esta obra foi traduzida da versão em Inglês do COBIT® 5 Enabling Process para o Português Brasileiro sob
coordenação do ISACA Capítulo São Paulo detentor da permissão legal outorgada pela ISACA. O Capítulo São
Paulo da ISACA assume total responsabilidade pela precisão e fidelidade da tradução.
DISCLAMER
ISACA has designed this publication, COBIT® 5: Enabling Processes (the ‘Work’), primarily as an educational
resource for governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no
claim that use of any of the Work will assure a successful outcome. The Work should not be considered inclusive
of all proper information, procedures and tests or exclusive of other information, procedures and tests that are
reasonably directed to obtaining the same results. In determining the propriety of any specific information,
procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk
and security circumstances presented by the particular systems or information technology environment.
AVISO LEGAL
A ISACA desenvolveu esta publicação, o COBIT® 5 Enabling Process (a ‘Obra’), essencialmente como um
recurso educacional para profissionais de Governança Corporativa de TI (GEIT), garantia, risco e segurança. A
ISACA não afirma que o uso de qualquer parte da Obra garantirá um resultado bem-sucedido. A Obra não deve
ser considerada como contendo todas as informações, procedimentos e testes adequados ou exclusiva de outras
informações, procedimentos e testes que sejam voltados à obtenção dos mesmos resultados. Ao determinar a
adequação de qualquer informação, procedimento ou teste específico, os leitores deverão aplicar seu próprio
julgamento profissional às circunstâncias específicas de GEIT, garantia, risco e segurança apresentados pelos
sistemas ou ambientes de tecnologia da informação particulares.
DIREITOS RESERVADOS
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: [email protected]
Web site: www.isaca.org
2
Personal Copy of: Mr. Carlos Francisco Ferreira
Feedback: www.isaca.org/cobit
Participate in the ISACA Knowledge Center: www.isaca.org/knowledge-center
Follow ISACA on Twitter: https://twitter.com/ISACANews
Join the COBIT conversation on Twitter: #COBIT
Join ISACA on LinkedIn: ISACA (Officia l), http://linkd.in/ISACAOfficial
Like ISACA on Facebook: www.facebook.com/ISACAHQ
3
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
4
Personal Copy of: Mr. Carlos Francisco Ferreira
RECONHECIMENTOS
RECONHECIMENTOS
ISACA DESEJA RECONHECER:
Equipe de desenvolvimento
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgium
Gert du Preez, CGEIT, PwC, Canada
Stefanie Grijp, PwC, Belgium
Gary Hardy, CGEIT, IT Winners, South Africa
Bart Peeters, PwC, Belgium
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgium
Participantes do Workshop
Gary Baker, CGEIT, CA, Canada
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, USA
Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, South Africa
Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Canada
Don Caniglia, CISA, CISM, CGEIT, FLMI, USA
Mark Chaplin, UK
Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, USA
Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, USA
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Switzerland
Bob Frelinger, CISA, CGEIT, Oracle Corporation, USA
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, USA
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USA
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia
Nicole Lanza, CGEIT, IBM, USA
Philip Le Grand, PRINCE2, Ideagen Plc, UK
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USA
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., South Africa
Christian Nissen, CISM, CGEIT, FSM, CFN People, Denmark
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UK
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgium
Michael Semrau, RWE Germany, Germany
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia
Alan Simmonds, TOGAF9, TCSA, PreterLex, UK
Cathie Skoog, CISM, CGEIT, CRISC, IBM, USA
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Roger Southgate, CISA, CISM, UK
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, USA
5
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
RECONHECIMENTOS (CONT.)
Revisores Especialistas
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, USA
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, USA
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Poland
Roland Bah, CISA, MTN Cameroon, Cameroon
Dave Barnett, CISSP, CSSLP, USA
Max Blecher, CGEIT, Virtual Alliance, South Africa
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentina
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belgium
Donna Cardall, UK
Debra Chiplin, Investors Group, Canada
Sara Cosentino, CA, Great-West Life, Canada
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, USA
Philip de Picker, CISA, MCA, National Bank of Belgium, Belgium
Abe Deleon, CISA, IBM, USA
James Doss, ITIL Expert, TOGAF 9, PMP, SSGB, EMCCA, EMCISA, Oracle DBA, ITValueQuickStart.com,
UK
Stephen Doyle, CISA, CGEIT, Department of Human Services, Australia
Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., USA
Rafael Fabius, CISA, CRISC, Uruguay
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Switzerland
Bob Frelinger, CISA, CGEIT, Oracle Corporation, USA
Kate Gentles, ITValueQuickStart.com, UK
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Expert, ITIL V3 Trainer, PRINCE2, ISO/IEC 20000 Consultant,
Turkey
Edson Gin, CISA, CISM, CFE, CIPP, SSCP, USA
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, USA
Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Argentina
Erik Guldentops, University of Antwerp Management School, Belgium
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USA
Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon Business, Sweden
Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, Sweden
J. Winston Hayden, CISA, CISM, CGEIT, CRISC, South Africa
Eduardo Hernandez, ITIL V3, HEME Consultores, Mexico
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
Michelle Hoben, Media 24, South Africa
Linda Horosko, Great-West Life, Canada
Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, UK
Grant Irvine, Great-West Life, Canada
Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, USA
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, USA
Masatoshi Kajimoto, CISA, CRISC, Japan
Joanna Karczewska, CISA, Poland
Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Saudi Arabia
Eddy Khoo S. K., Prudential Services Asia, Malaysia
Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, USA
Alan S. Koch, ITIL Expert, PMP, ASK Process Inc., USA
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia
6
Personal Copy of: Mr. Carlos Francisco Ferreira
RECONHECIMENTOS
RECONHECIMENTOS (CONT.)
Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, USA
Nicole Lanza, CGEIT, IBM, USA
Philip Le Grand, PRINCE2, Ideagen Plc, UK
Kenny Lee, CISA, CISM, CISSP, Bank of America, USA
Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Denmark
Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Denmark
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., South Africa
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, USA
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK
Cindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, USA
Nancy McCuaig, CISSP, Great-West Life, Canada
John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, UK
Makoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japan
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colombia
Christian Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Denmark
Tony Noblett, CISA, CISM, CGEIT, CISSP, USA
Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, USA
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UK
Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, USA
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, South Africa
Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, UK
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica
Ltd., Brazil
Geert Poels, Ghent University, Belgium
Dirk Reimers, Hewlett-Packard, Germany
Steve Reznik, CISA, ADP, Inc., USA
Robert Riley, CISSP, University of Notre Dame, USA
Martin Rosenberg, Ph.D., Cloud Governance Ltd., UK
Claus Rosenquist, CISA, CISSP, Nets Holding, Denmark
Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, USA
Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, USA
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgium
Michael Semrau, RWE Germany, Germany
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia
Alan Simmonds, TOGAF9, TCSA, PreterLex, UK
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, USA
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Australia
Roger Southgate, CISA, CISM, UK
Mark Stacey, CISA, FCA, BG Group Plc, UK
Karen Stafford Gustin, MLIS, London Life Insurance Company, Canada
Delton Sylvester, Silver Star IT Governance Consulting, South Africa
Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungary
Halina Tabacek, CGEIT, Oracle Americas, USA
Nancy Thompson, CISA, CISM, CGEIT, IBM, USA
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japan
Rob van der Burg, Microsoft, The Netherlands
Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belgium
Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, South Africa
Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Canada
Andre Viviers, MCSE, IT Project+, Media 24, South Africa
Greet Volders, CGEIT, Voquals N.V., Belgium
David Williams, CISA, Westpac, New Zealand
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK
7
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
RECONHECIMENTOS (CONT.)
Amanda Xu, PMP, Southern California Edison, USA
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, South Africa
ISACA Diretoria
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, International President
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President
Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Vice President
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice President
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, Vice President
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, Vice President
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice President
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd. (retired), USA, Past International President
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Russian Federation, Past International
President
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, UK, Director
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Director
Diretoria de Conhecimento
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Chairman
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, USA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapore
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (retired), Canada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
8
Personal Copy of: Mr. Carlos Francisco Ferreira
RECONHECIMENTOS
RECONHECIMENTOS (CONT.)
Enterprise GRC Solutions Inc.
Hewlett-Packard
IBM
Symantec Corp.
Coordenadores
Jose Luis Diniz, Cobit 5 Foundation, ITIL Expert, DNZ Consultoria em TI Ltda.
Alessandro Manotti, CISA, CISM, Itaú Unibanco
Equipe de tradutores
Eder de Abreu CISA, CGEIT, CRISC, CobiT Foundation, ITIL Foundation, Deloitte
Eduardo Massaru Notaro Kono, CISA, COBIT 5 , Volkswagen Participações Ltda.
Erick Shigueru Kumagai, CRISC, CBCP, CobiT (F), Itil v3 (F), BRF
Fabio Justo Hildebrand CISA, CISSP, CISM, CGEIT, CRISC Dafiti (Global Fashion Group)
Gustavo Perri Galegale, MSc, PMP, CISA, CRISC, Galegale & Associados Consultores Ltda
Hubert Thomaz Neto, CRISC, GVT/Vivo
Juliano Augusto Martins de Oliveira, CISA; CISM; ITIL e COBIT Foundation, Serasa Experian
Julio Graziano Pontes , CISSP, CISM, ISO27000LA, FireMon
Leandro Pfeifer Macedo, CRISC, MCSO, ITSM, Lpfeifer Ltda
Marcos Gonçalves da Silva, CIA, CISA, COBIT 5F, BM&FBOVESPA
Marcus Zabeu, CISA, CISSP, Itaú Unibanco
Nestor Nogueira de Albuquerque, ITIL-F, ISO 2000-F, MsC, Consultor, Professor
Ricardo Morata Canalonga, ITIL Expert, COBIT, ISO 20000, SIX SIGMA, VERAT Services TI
Rosvelt Silva Santos, CGEIT, ITIL V3 Expert, Cobit 5 Foundation, EGV Consultoria
9
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
10
Personal Copy of: Mr. Carlos Francisco Ferreira
ÍNDICE
ÍNDICE
11
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
12
Personal Copy of: Mr. Carlos Francisco Ferreira
LISTA DE FIGURAS
13
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
14
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 1
INTRODUÇÃO
CAPÍTULO 1
INTRODUÇÃO
COBIT 5: Habilitando Processos complementa o COBIT 5 (figura 1). Esta publicação contém um guia de
referência detalhado para os processos definidos no modelo de referência de processo do COBIT 5
Figura 1 ‐ Família de Produtos do COBIT 5
15
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
16
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
CAPÍTULO 2
CASCATA DE OBJETIVOS E MÉTRICAS PARA OS
OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
CASCATA DE OBJETIVOS DO COBIT 5
As empresas existem para criar valor para suas partes interessadas. Consequentemente, qualquer empresa —
comercial ou não — terá a criação de valor como um objetivo da governança. Criar valor significa realizar
benefícios com uma relação ótima em relação ao uso e custos dos recursos enquanto mitiga o risco (ver figura
2). Os benefícios podem assumir muitas formas, por exemplo, financeiros para empresas comerciais ou de serviço
público para entidades governamentais
Figura 2 ‐ Objetivo da Governança: Criação de Valor
As empresas têm muitas partes interessadas e ‘criar valor’ significa coisas diferentes — e por vezes conflitantes
— para cada um deles. Governança tem a ver com negociar e decidir entre os interesses de valor das diversas
partes interessadas. Por consequência, o sistema de governança deve considerar todos as partes interessadas ao
tomar decisões sobre a avaliação dos recursos, benefícios e riscos. Para cada decisão, as seguintes perguntas
podem e devem ser feitas: Para quem são os benefícios? Quem assume o risco? Que recursos são necessários?
As necessidades das partes interessadas devem ser transformadas em uma estratégia acionável pela empresa. A
cascata de objetivos do COBIT 5 é o mecanismo de tradução das necessidades das partes interessadas em
objetivos corporativos específicos, personalizados e acessíveis, objetivos de TI e metas do habilitador. Esta
tradução permite a configuração de objetivos específicos em cada nível e em cada área da empresa em apoio aos
objetivos gerais e às exigências das partes interessadas.
A cascata de objetivos do COBIT 5 é demonstrado na figura 3.
1º PASSO. AS DIRECIONADORES DAS PARTES INTERESSADAS INFLUENCIAM AS NECESSIDADES DAS PARTES INTERESSADAS
As necessidades das partes interessadas são influenciadas por diversas tendências, por exemplo, mudanças de
estratégia, mudanças nos negócios e no ambiente regulatório bem como novas tecnologias.
1
Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy Into Action, Harvard University
Press, EUA, 1996.
17
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
18
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
19
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
A tabela de mapeamento dos objetivos corporativos em objetivos de TI foi incluída no Apêndice B, e demonstra
como cada objetivo corporativo é apoiado por diversos objetivos de TI.
2
Os resultados de TI não são obviamente o único benefício intermediário necessário para a consecução dos objetivos corporativos. Todas as demais
áreas funcionais de uma empresa, tais como finanças e marketing, também contribuem para a consecução dos objetivos corporativos, mas no contexto
do COBIT 5 somente as atividades e os objetivos de TI são considerados.
20
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
MÉTRICAS
As páginas a seguir contêm os objetivos corporativos e os objetivos de TI, com métricas de amostra que podem
ser usadas para medir a consecução de cada objetivo. Essas métricas são exemplos, e cada empresa deverá analisar
a lista cuidadosamente, decidir sobre as métricas pertinentes e atingíveis para seu próprio ambiente e conceber
seu próprio sistema de “scorecard”. Além das métricas abaixo, metas e métricas de processo foram incluídas nas
descrições detalhadas de processo
3
A cascata de objetivos baseia-se na pesquisa realizada pelo Instituto de Governança e Alinhamento de TI da Faculdade de Administração da
Universidade de Antuérpia, na Bélgica.
21
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
22
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
23
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
24
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 2: CASCATA DE OBJETIVOS E MÉTRICAS
PARA OS OBJETIVOS CORPORATIVOS E OBJETIVOS DE TI
25
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
26
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 4
MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5
CAPÍTULO 3
O MODELO DE PROCESSOS DO COBIT 5
Processos são uma das sete categorias de habilitadores da governança e gestão de TI da empresa, já explicadas
no COBIT 5, capítulo 05 As especificidades do habilitador de processos são comparadas com a descrição do
habilitador genérico e apresentadas na figura 8.
Figura 8 ‐ Habilitadores do COBIT 5: Processos
Um processo é definido como “um conjunto de práticas influenciadas pelas políticas e procedimentos da empresa
alimentado por diversas fontes (inclusive outros processos), que manipula as entradas e produz resultados (ex:
produtos, serviços)”.
O modelo de processos destaca:
Partes Interessadas — Processos têm partes interessadas internas e externas, com suas próprias funções; as
partes interessadas e seus níveis de responsabilidade são documentados nas Tabelas RACI. Partes interessadas
externas incluem clientes, parceiros comerciais, acionistas e reguladores. Partes interessadas internas incluem
o conselho, administração, funcionários e voluntários.
Metas — As metas do processo são definidas como “uma declaração que descreve o resultado esperado de um
processo. Um resultado pode ser um artefato, uma mudança significativa de um estado ou uma melhoria
significativa na capacidade de outros processos”. Elas fazem parte da cascata de objetivos, ou seja, as metas do
processo apoiam os objetivos de TI, que por sua vez apoiam os objetivos corporativos.
As metas do processo podem ser categorizadas como:
Metas intrínsecas — O processo tem qualidade intrínseca? Ele é exato e está em consonância com as boas
práticas? Ele cumpre as normas internas e externas?
Metas contextuais — O processo foi personalizado e adaptado à situação específica da empresa? O processo
é significativo, compreensível e fácil de ser aplicado?
Metas de acessibilidade e segurança — O processo mantém a confidencialidade, quando necessário, é
conhecido e está acessível para quem precisa deles?
Em cada nível da cascata de objetivos, e consequentemente também para os processos, métricas são definidas
para aferir em que medida os objetivos são atingidos. Métricas podem ser definidas como “uma entidade
quantificável que permite medir a consecução da meta de um processo. As métricas devem ser SMART (specific,
measurable, actionable, relevant and timely) — específicas, mensuráveis, acionáveis, pertinentes e tempestivas”.
Para administrar o habilitador de forma eficaz e eficiente, as métricas devem ser definidas para medir em qual
medida os resultados esperados foram atingidos. Além disso, um segundo aspecto do controle de desempenho do
27
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
habilitador descreve em qual medida as boas práticas foram aplicadas. Aqui também, métricas associadas podem
ser definidas para auxiliar o controle do habilitador.
Ciclo de vida — Cada processo tem um ciclo de vida. Ele é definido, criado, operado, monitorado, e
ajustado/atualizado ou encerrado. Práticas de processos genéricas tais como as definidas no modelo de
avaliação de processo do COBIT com base no ISO/IEC 15504 podem auxiliar na definição, execução,
monitoramento e otimização dos processos.
Boas práticas — COBIT 5: Enabling Processes contém um modelo de referência de processo, que descreve as
boas práticas internas do processo com níveis de detalhamento cada vez maiores: Práticas, atividades e
atividades detalhadas:4
Práticas:
Para cada processo do COBIT 5, as práticas de governança/gestão fornecem um conjunto completo de
requisitos em alto nível para a prática e eficaz governança e gestão de TI da empresa. Elas são:
Declarações de ações para realização de benefícios, otimizar o nível de risco e o uso dos recursos
Alinhadas aos padrões e boas práticas pertinentes geralmente aceitos
Genéricas e, portanto, devem ser adaptadas para cada empresa
Coberturas para os especialistas em TI e em negócios do processo (de ponta a ponta)
O órgão de governança da empresa e a administração devem fazer escolhas relacionadas a estas práticas de
governança e gestão:
Selecionando as que são aplicáveis e decidindo quais serão implementadas
Adicionando e/ou adaptando as práticas conforme necessário
Definindo e adicionando práticas não relacionadas a TI para integração nos processos de negócios
Escolhendo como implementá-las (frequência, amplitude, automação, etc.)
Aceitando o risco da não implementar aquelas que possam ser aplicáveis
Atividades - No COBIT, as principais ações a serem tomadas na operação do processo
São definidas como “orientação para alcançar as práticas de gestão para obter sucesso na governança e gestão
de TI da empresa”. As atividades do COBIT 5 disponibilizam informações sobre como, por que e o que
implementar em cada prática de governança e gestão para melhorar o desempenho de TI e/ou abordar o risco
da solução de TI e da prestação de serviço. Este material é útil para:
A administração, prestadores de serviços, usuários finais e profissional de TI que precisam planejar,
desenvolver, executar ou monitorar a TI da empresa
Profissionais de garantia que possam ser questionados sobre suas opiniões em relação às implementações
atuais ou propostas ou as melhorias necessárias
Um conjunto completo de atividades genéricas e específicas que fornecem uma abordagem que inclui todas as
etapas necessárias e suficientes para alcançar a principal prática de governança-PG (GP – Governance Practice)
/ prática de gestão-PG (MP – Management Preactice). Elas fornecem orientação em alto nível, a um nível
abaixo do GP/MP para avaliar o desempenho efetivo e considerar potenciais melhorias. As atividades:
Descrevem um conjunto de etapas de implementação orientadas à ação necessárias e suficientes para atingir
um GP/MP
Consideram as entradas e saídas do processo
Tem como base os padrões e boas práticas geralmente aceitos
Apoiam o estabelecimento de funções e responsabilidades bem definidas
Não são prescritivas e devem ser adaptadas e desenvolvidas em procedimentos específicos adequados à
empresa
Atividades detalhadas — As atividades podem não ter um nível suficiente de detalhamento para a
implementação e orientação adicional talvez tenha de ser:
Obtida a partir de padrões e boas práticas pertinentes específicos tais como ITIL, ISO/IEC série 27000 e
PRINCE2
Desenvolvida como atividades específicas ou mais bem detalhadas como desenvolvimentos adicionais na
família de produtos do próprio COBIT 5
Entradas e saídas — As entradas e saídas do COBIT 5 são os produtos do trabalho/artefatos do processo
4
Somente práticas e atividades são desenvolvidas de acordo com o projeto atual. Os níveis mais detalhados estão sujeitos a desenvolvimento(s) adicional
(ais), por exemplo, os diversos guias profissionais podem fornecer orientação mais detalhada para suas áreas. Além disso, orientação adicional pode ser
obtida através dos padrões e estruturas relacionados, conforme indicado nas descrições detalhadas do processo.
28
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 4
MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5
considerados necessários para apoiar a operação do processo. Elas possibilitam decisões importantes, fornecem
um registro e uma prova de auditoria das atividades do processo e permitem o acompanhamento em caso de
incidente. Elas são definidas em um importante nível da prática de governança/gestão, podem incluir alguns
produtos do trabalho usados somente dentro do processo e frequentemente são entradas essenciais para outros
processos.5
Boas práticas externas podem existir em qualquer forma ou nível de detalhamento e a maioria
se refere a outros padrões e estruturas. Os usuários podem consultar essas boas práticas
externas em todas as ocasiões, visto que o COBIT está alinhado com estes padrões, quando
pertinente, e as informações de mapeamento serão disponibilizadas.
5
As entradas e saídas que ilustram o COBIT 5 não serão consideradas uma lista completa porque fluxos de informações adicionais podem ser definidos,
dependendo do ambiente e da estrutura do processo de uma empresa específica.
29
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
30
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 4
MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5
CAPÍTULO 4
MODELO DE REFERÊNCIA DE PROCESSOS DO COBIT 5
PROCESSOS DE GOVERNANÇA E GESTÃO
Um dos princípios que norteiam o COBIT é a distinção feita entre governança e gestão. Em consonância com
este princípio, seria esperado que todas as empresas implementassem diversos processos de governança e
diversos processos de gestão que forneceriam total governança e gestão de TI da empresa.
Ao considerar os processos de governança e gestão no contexto da empresa, a diferença entre os tipos de
processos reside nos objetivos dos processos:
Processos de governança — Os processos de governança tratam dos objetivos de governança do participante,
criação de valor, otimização dos riscos e dos recursos — e incluem práticas e atividades voltadas à avaliação
das opções estratégicas, fornecendo orientação para TI e monitorando o resultado (EDM Avaliar, Dirigir e
Monitirar — em consonância com os conceitos do padrão ISO/IEC 38500).
Processos de gestão — Em consonância com as definições de gestão, práticas e atividades dos processos de
gestão cobrem as áreas de responsabilidade de PBRM (plan, build, run and monitor) de TI da empresa e devem
fornecer cobertura de TI de ponta a ponta.
Embora o resultado dos tipos de processos seja diferente e destinado a um público diferente, internamente, do
contexto do processo em si, todos os processos requerem atividades de “planejamento”, “construção”, “execução”
e “monitoramento” (PBRM) das atividades do processo.
MODELO
O COBIT 5 não é prescritivo, mas a partir do texto acima fica claro que ele defende que as empresas implementem
processos de governança e gestão de tal forma que as principais áreas sejam cobertas, conforme demonstrado na
figura 9.
Na teoria, uma empresa pode organizar seus processos conforme julgar adequado, contanto que todos os objetivos
de governança e gestão necessários sejam cobertos. Empresas de menor porte podem ter menos processos;
empresas de maior porte e mais complexas poderão ter muitos processos, todos para cobrir os mesmos objetivos.
Figura 9 ‐ Principais Áreas para Governança e Gestão do COBIT 5
O COBIT 5 inclui um modelo de referência de processo, que define e descreve em detalhes diversos processos
de governança e gestão. Isso fornece um modelo de referência de processo que representa todos os processos
31
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
normalmente encontrados nas atividades de TI de uma empresa, oferecendo um modelo de referência comum
compreensível aos administradores operacionais de TI e administradores de negócios. O modelo de processo
proposto é um modelo completo e abrangente, mas não é o único modelo de processo possível. Cada empresa
deve definir seu próprio conjunto de processos, considerando sua situação específica.
Incorporar um modelo operacional e uma linguagem comum para todas as partes da empresa envolvidas nas
atividades de TI é uma das etapas mais importantes e críticas da boa governança. Isso também fornece uma
estrutura para medição e monitoramento do desempenho de TI, comunicação com os prestadores de serviços e
integração das melhores práticas de gestão.
O modelo de referência de processo do COBIT 5 subdivide os processos de governança e gestão de TI da empresa
em duas áreas de atividades principais — governança e gestão — divididas em dois domínios de processos:
Governança — Este domínio contém cinco processos de governança; e práticas de EDM (Avaliar, Dirigir e
Monitirar) são definidas dentro de cada processo.
Gestão — Estes quatro domínios estão em consonância com as áreas de responsabilidade de PBRM (uma
evolução dos domínios do COBIT 4.1) e proporcionam uma cobertura de TI de ponta a ponta. Cada domínio
contém diversos processos, como no COBIT 4.1 e versões anteriores. Embora, conforme já mencionado, a
maioria dos processos requeira atividades para “planejar”, “implementar”, “executar” e “monitorar” o processo
ou o problema específico a ser abordado (por exemplo, qualidade, segurança), eles são alocados em domínios
de acordo com a área de atividade mais relevante em relação a TI da empresa.
O modelo de referência de processo do COBIT 5 é o sucessor do modelo de processo do COBIT 4.1, e conta
ainda com a integração dos modelos de processo Risk IT e Val IT. A figura 10 mostra o conjunto completo de
37 processos de governança e de gestão do COBIT 5.
Figura 10 ‐ Modelo de Referência de Processos do COBIT 5
32
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERENCIAS DE PROCESSOS DO COBIT 5
Este capítulo descreve o conteúdo detalhado relacionado aos processos de governança e gestão do COBIT 05 As seguintes
informações serão incluídas para cada processo, em consonância com o modelo de processo explicado no capítulo anterior:
Identificação do processo — Na primeira página:
Rótulo do processo — O prefixo do domínio (EDM, APO, BAI, DSS, MEA) e o número do processo
Nome do processo — Uma curta descrição, indicando o assunto principal do processo
Área do processo — Governança ou gestão
Nome do domínio
Descrição do processo — Uma visão geral daquilo que o processo faz e uma visão geral em alto nível de como
o processo alcança seu objetivo
Declaração de objetivo do processo — Uma descrição do objetivo geral do processo
Informações sobre a cascata de objetivos — Referência e descrição dos principais objetivos de TI apoiados
pelo processo,6 e métricas para medir a consecução dos objetivos de TI
Objetivos e Métricas do Processo — Um conjunto de metas de processo e um número limitado de métricas
de exemplo
Tabela RACI — Uma sugestão de atribuição do nível de responsabilidade das práticas de processo para
diferentes funções e estruturas. As funções corporativas listadas possuem um sombreado mais escuro do que o
das funções de TI. Os diferentes níveis de envolvimento são:
R(esponsável) - Quem está realizando a tarefa? As funções que tiverem o principal interesse operacional
na realização da atividade relacionada e criarem o resultado esperado
(prest)A (contas) - Quem responde pelo sucesso da tarefa? Isso atribui a responsabilidade global para
realizar a tarefa (Em quem termina a atividade operacional?). Levar em conta que o papel mencionado é o
menor nível adequado de prestação de contas; e há naturalmente, níveis mais elevados de responsabilidade
que são responsáveis também. Para habilitar o modelo de aprovações da organização a responsabilidade é
discriminada na medida do possível. A prestação de contas não indica que o papel não tem atividades
operacionais; é muito provável que o papel fique envolvido na tarefa. Como princípio básico, a prestação de
contas não pode ser compartilhada.
C(onsultado)- Quem é responsável pelas entradas? As principais funções que fornecem entrada. Observe
que também fica a critério das funções responsáveis obterem as informações junto a outras unidades ou
parceiros externos; no entanto, as entradas provenientes das funções relacionadas serão consideradas e, se
necessário, ações adequadas deverão ser tomadas para escalação, inclusive a informação do responsável pelo
processo e/ou do comitê diretor.
I(nformado) - Quem recebe a informação? As funções informadas sobre a consecução e/ou resultados da
tarefa. A função de“responsável”, evidentemente, sempre deverá receber informação adequada para
supervisionar a tarefa, da mesma forma que as funções responsáveis por sua área de interesse
Descrição detalhada das práticas do processo — Para cada prática:
Título e descrição da prática
Entradas e saídas da prática, com indicação de origem e destino
Atividades do processo, maior detalhamento das práticas
Orientação relacionada — Referências a outros padrões e indicação para orientação adicional
ENTRADAS E SAÍDAS
As descrições detalhadas de processo contêm — no nível das práticas de governança e gestão — entradas e saídas.
De modo geral, cada saída é enviada para um ou um número limitado de destino, geralmente outra prática de
processo do COBIT. Essa saída então se torna uma entrada para o seu destino. No entanto, há diversas saídas que
possuem muitos destinos, por exemplo, todos os processos do COBIT ou todos os processos dentro de um
domínio. Por motivos de legibilidade, essas saídas NÃO são listadas como entradas nesses processos. Uma lista
complete dessas saídas foi incluída na figura 11.
6
Apenas as Metas de TI relacionadas com um 'P' na tabela de mapeamento entre os objetivos e processos relacionados a TI (figura 17) estão listados
aqui.
33
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Para algumas/saídas, o destino “interno” é mencionado. Isto significa que a entrada/saída ocorre entre atividades
dentro do mesmo processo.
Figura 11 ‐ Saídas
Figura 11 – Saídas
Saídas para todos os Processos
S
Da Prática Descrição da Saída Destino
APO13.02 Plano de tratamento de risco de Segurança da informação TodosEDM; TodosAPO; TodosBAI;TodosDSS; All MEA
Saídas para todos os Processos de Governança
Da Prática Descrição da Saída Destino
EDM01.01 Princípios guia de governança corporativa Todos EDM
EDM01.01 Modelo de tomada de decisão Todos EDM
EDM01.01 Níveis de Autoridade Todos EDM
EDM01.02 Comunicação da Governança Corporativa Todos EDM
EDM01.03 Feedback da efetividade de governança e desempenho Todos EDM
Saídas para todos os Processos de Gestão
Da Prática Descrição da Saída Destino
APO01.01 Regras básicas de comunicação TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.03 Políticas relacionadas a TI TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.04 Comunicação dos Objetivos de TI TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO01.07 Oportunidades de melhoria dos processos TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO02.06 Pacote de Comunicação TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.02 Padrões de Gestão da Qualidade TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.04 Objetivos e métricas de processo de qualidade de serviço TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Comunicação de melhoria continua e boas práticas TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Exemplos de boas práticas a serem compartilhados TodosAPO; TodosBAI; TodosDSS; TodosMEA
APO11.06 Resultados do Benchmark de Revisão da Qualidade TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.02 Objetivos de Monitoração TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.04 Relatórios de Desempenho TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA01.05 Planos de Remediação e atribuições TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.01 Resultados da monitoração e revisões de controles internos TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.01 Resultados de benchmarking e outras avaliações TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.03 Planejamento e critério de Self‐assessments TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.03 Resultados das revisões self‐assessments TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.04 Deficiências de Controle TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.04 Ações de Remediação TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.06 Plano de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Refinamento de Escopo TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Resultados da Revisão de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA02.08 Relatório de Revisão de Garantia (Assurance) TodosAPO; TodosBAI; TodosDSS; TodosMEA
MEA03.02 Comunicação da mudança dos requisitos de compliance TodosAPO; TodosBAI; TodosDSS; TodosMEA
34
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
processos distintos
Existem também instruções de como o processo será executado, exemplo: Instruções genéricas de como construir,
executar, monitorar e melhorar o processo referido. Essas instruções são genéricas e semelhantes para cada
processo.
No COBIT 4.1, os controles de processo continham boas práticas que não eram específicas para qualquer
processo, mas eram genéricas e aplicáveis a todos os processos. Esses controles de processos eram similares a
alguns dos atributos genéricos do modelo de maturidade do COBIT 4.1.
No COBIT 5, é utilizado um esquema de avaliação de capacidade de processos em conformidade com a ISO/IEC 155004 Nesse
esquema os atributos de capacidade pertencentes a um maior nível de capacidade descrevem maior e melhor proficiência na
construção do processo, dessa maneira substituindo eficientemente os controles de processo do COBIT 4.1
Essa é uma instrução importante relacionada aos processos, e por essa razão que a figura 12 contém uma análise
de alto nível dos controles de processo do COBIT 4.1 e seu equivalente aos atributos de capacidade baseados na
ISO/IEC 15504 que são embasamento para satisfazer os processos.
Figura 12 ‐ Processos de Controle do COBIT 4.1 e Atributos de Capacidade de Processo ISSO/IEC 15504
Figura 12 – Processos de Controle do COBIT 4.1 e Atributos de Capacidade de Processo ISSO/IEC 15504
COBIT 4.1 Atributos de Capacidade de Processo ISO/IEC 15504
PC1 Metas e Objetivos do Processo PA 2.1 Atributo de gestão de desempenho
PC2 Propriedade do Processo PA 2.1 Atributo de gestão de desempenho
PC3 Repetitividade do processo PA 3.1 Atributo de definição de processo
PC4 Papéis e Responsabilidades PA 2.1 Atributo de gestão de desempenho
PA 3.2 Atributo de implementação de processo
PC5 Política, Planos e Procedimentos PA 2.1 Atributo de gestão de desempenho
PC6 Processo de Melhoria de Desempenho PA 2.1 Atributo de gestão de desempenho
PA 5.2 Atributo de otimização de processo
35
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
36
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
37
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
38
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM01.01
A R C C R R C C C C C C R C C C
Avaliar o sistema de governança
EDM01.02
A R C C R I R I I I C I I I I C C R C I I I I I I I
Dirigir o sistema de governança
EDM01.03
A R C C R I R I I I C I I I I C C R C I I I I I I I
Monitorar o sistema de governança
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM01 Práticas de Processo, Entradas/Saídas e Atividades
EDM01 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Governança Entradas Saídas
EDM01.01 Avaliar o sistema de governança. De Descrição Descrição Para
Continuamente identificar e envolver as partes MEA03.02 Comunicação das Princípios de orientação Todos EDM
interessadas da organização, documentar o mudanças aos para Governança APO01.01
entendimento dos requisitos, e fazer um julgamento requisitos de Corporativa APO01.03
sobre o desenho atual e futuro da governança conformidade.
corporativa de TI.
Referência Tendências do Modelo de tomada de Todos EDM
externa ao ambiente de negócio decisão APO01.01
COBIT Normas e Níveis de autoridade Todos EDM
regulamentação APO01.02
Guia para modelo de
tomada de decisão de
Governança
Estatuto interno da
organização
Atividades
01 Analisar e identificar os fatores internos e externos ambientais (obrigações legais, regulamentares e contratuais) e tendências no
ambiente de negócios que podem influenciar o desenho da governança.
02 Determinar a importância da TI e seu papel no que diz respeito ao negócio.
03 Considerar regulamentos externos, leis e obrigações contratuais e determinar como eles devem ser aplicados dentro da
governança corporativa de TI.
04 Alinhar o uso ético do processamento de informações e seu impacto na sociedade, o ambiente natural, e os interesses internos e
externos das partes interessadas com o direcionamento, metas e objetivos da organização.
05 Determinar as implicações do ambiente geral de controle da organização no que diz respeito à TI.
06 Articular os princípios que irão orientar o desenho da governança e a tomada decisão de TI.
07 Compreender a cultura de tomada de decisões da organização e determinar o melhor modelo de tomada de decisão de TI
08 Determinar os níveis adequados de delegação da autoridade, incluindo limites pré‐estabelecidos para as decisões de TI.
39
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Avalçiar, Dirigir e Monitorar
40
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
41
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
42
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM02.01
Avaliar a otimização do valor A R R C R R C C C C C C C R C C C
agregado
EDM02.02
Direcionar a otimização de valor A R R C R I R I I I I I I I I I I R C I I I I I I I
agregado.
EDM02.03
Monitorar a otimização de valor A R R C R R R C C C C C C C R C C C
agregado.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM02 Práticas de Processo, Entradas/Saídas e Atividades
EDM02 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Governança Entradas Saídas
EDM02.01 Avaliar a otimização do valor agregado De Descrição Descrição Para
Continuamente avaliar o portfólio de investimentos, serviços e ativos Direção estratégica Avaliação do APO02.04
de TI para determinar a probabilidade de atingir os objetivos APO02.05 Alinhamento APO05.03
corporativos, entregando valor a um custo razoável. Identificar e fazer Estratégico
julgamento sobre quaisquer mudanças de direção que precisam ser
APO05.02 Expectativas de Avaliação dos
fornecidas à gestão para otimizar a criação de valor agregado.
retorno de portfolios de APO05.03
investimento investimentos e APO05.04
APO05.03 Programas serviços APO06.02
selecionados com
marcos de Retorno de
Investimento (ROI)
APO05.06 Resultado dos
benefícios e
comunicação
relacionada
BAI01.06 Resultado revisado por
fases
Atividades
01 Entender requisitos das partes interessadas, questões estratégicas de TI, tais como a dependência de TI; e conhecimentos de
tecnologia e capacidades sobre o significado real e potencial da TI para a estratégia corporativa.
02 Compreender os elementos mais importantes da governança necessária para a entrega confiável, segura e rentável de valor ideal
a partir da utilização serviços, bens e recursos de TI, existentes e novos.
. Compreender e regularmente discutir as oportunidades que podem surgir com a mudança corporativa habilitada por tecnologias
atuais, novas ou emergentes, e otimizar o valor agregado criado a partir dessas oportunidades.
04 Entender o que constitui o valor agregado para a organização, e considerar o quanto ele é comunicado, entendido e aplicado de
forma adequada em todos os processos da organização.
05 Avaliar o grau de eficácia da organização e estratégias de TI, integrada e alinhada dentro da organização e com os objetivos
corporativos para entrega de valor agregado.
06 Compreender e considerar a eficácia de papéis, responsabilidades, prestação de contas e unidades de tomada de decisão em
assegurar a criação de valor a partir de investimentos, serviços e bens de TI.
43
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Avalçiar, Dirigir e Monitorar
44
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
45
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
46
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM03.01
A R C C R C R I R C I C C C R C C
Avaliar a gestão de risco
EDM03.02
A R C C R C R I I I R I I I C C C R C I I I I I I I
Direcionar a gestão de risco.
EDM03.03
A R C C R C R I I I R R I I C C C R C I I I I I I C
Monitorar a gestão dos riscos.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM03 Práticas de Processo, Entradas/Saídas e Atividades
EDM03 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Governança Entradas Saídas
EDM03.01 Avaliar a gestão de risco De Descrição Descrição Para
Continuamente examinar e avaliar o efeito do risco sobre o uso APO12.01 Assuntos e fatores de Orientação de APO12.03
atual e futuro da TI na organização. Considerar se o apetite de Riscos emergentes apetite ao risco
risco da organização é adequado e se o risco para o valor da Níveis aprovados de APO12.03
organização relacionado ao uso da TI é identificado e tolerância ao risco
controlado.
Referência Princípios de gestão de Avaliação das APO12.01
externa ao risco corporativo atividades de gestão
COBIT de risco
Atividades
01 Determinar o nível de risco de TI relacionado com o risco que a organização está disposta a tomar para atingir os seus objetivos
(apetite de risco).
02 Avaliar e aprovar propostas de limites de tolerância ao risco de TI em relação aos níveis de risco e de oportunidade aceitáveis da
organização.
03 Determinar o escopo do alinhamento da estratégia de risco de TI para a estratégia de risco corporativo.
04 Avaliar de forma proativa e antecipada os fatores do risco de TI e as decisões corporativas estratégicas pendentes para garantir
que a organização esteja consciente dos riscos e das decisões que são tomadas.
05 Determinar que o uso de TI é objeto de análise de risco adequada e sujeita a processo de avaliação, conforme descrito em padrões
nacionais e internacionais relevantes.
06 Avaliar as atividades de gestão de riscos para garantir o alinhamento entre a capacidade das perdas de TI e a tolerância da
organização.
Prática de Governança Entradas Saídas
EDM03.02 Direcionar a gestão de risco De Descrição Descrição Para
Direcionar a implementação de práticas de gestão de risco para APO12.03 Perfil de risco agregado Políticas de gestão de APO12.01
fornecer segurança razoável de que práticas de gestão do risco incluindo o status das risco
de TI são adequadas para garantir que o risco de TI observado ações de gestão de risco Principais objetivos a APO12.01
não exceda o apetite de risco do conselho de administração. serem monitorados
pela gestão de riscos
Referência Gerenciamento de risco Processo aprovado APO12.01
externa ao corporativo (ERM) perfis e para medir a gestão de
COBIT planos de mitigação risco
47
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Avalçiar, Dirigir e Monitorar
48
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
49
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM04.01
A R C C R R I C C C C C C C R C C C
Avaliar a gestão de recursos
EDM04.02
A R C C R I R I I I I I I I I I I R C I I I I I I I
Direcionar a gestão de recursos.
EDM04.03
A R C C R I R I I I C C C C C C C R C C C I I I I I
Monitorar a gestão de recursos
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM04 Práticas de Processo, Entradas/Saídas e Atividades
EDM04 Práticas de Processo, Entradas/Saídas e Atividades
Práticas de Governança Entradas Saídas
EDM04.01 Avaliar a gestão de recursos De Descrição Descrição Para
Examinar continuamente e fazer avaliações sobre a APO02.04 Lacunas e mudanças Princípios de orientação APO02.01
necessidade atual e futura relacionados aos recursos necessárias para atingir para alocação de APO07.01
de TI, opções para mobilização dos recursos o objetivo de recursos e BAI03.11
(incluindo estratégias de terceirização), e princípios maturidade competências.
de atribuição e gestão para atender as necessidades APO07.03 Plano de Princípios de orientação APO03.01
da organização de maneira eficiente. desenvolvimento de para a arquitetura
competências corporativa
APO10.02 Resultados e decisões Plano de recursos APO02.05
das avaliações de aprovados APO07.01
fornecedores APO09.02
Atividades
01 Examinar e avaliar a estratégia atual e futura, das opções para fornecer recursos de TI e desenvolvimento de competências para
atender às necessidades atuais e futuras (incluindo opções de terceirização).
02 Definir os princípios para orientar a alocação e gestão dos recursos e capacidades para que a TI possa atender as necessidades da
empresa, com a maturidade e capacidade necessária de acordo com as prioridades acordadas e restrições orçamentárias.
03 Rever e aprovar as estratégias corporativas do plano de recursos e arquitetura para a entrega de valor agregado e redução de
riscos com os recursos alocados.
04 Entender os requisitos para alinhar a gestão de recursos com o planejamento corporativo financeiro e de recursos humanos (RH).
05 Definir princípios para a gestão e controle da arquitetura corporativa.
Práticas de Governança Entradas Saídas
EDM04.01 Direcionar o gerenciamento de De Descrição Descrição Para
recursos Comunicação das APO02.06
Garantir a implementação de princípios de gestão de estratégias de APO07.05
recursos para permitir a utilização eficiente dos mobilização dos APO09.02
recursos de TI ao longo do alcance dos seus ciclos de recursos
vida econômicos. Responsabilidades APO01.02
atribuídas para a gestão DSS06.03
de recursos
Princípios para a
preservação dos APO01.04
recursos
50
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
51
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
52
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Governança
EDM05.01
Avaliar requisitos de reporte das A R C C C I C C R I I
partes interessadas.
EDM05.02
Orientar comunicação e reporte com A R C C C I C C R I I
partes interessadas.
EDM05.03
Monitorar comunicação com partes A R C C C I C C R I I
interessadas.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
EDM05 Práticas de Processo, Entradas/Saídas e Atividades
EDM05 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Governança Entradas Saídas
EDM05.01 Avaliar requerimentos de reporte das partes De Descrição Descrição Para
interessadas. EDM02.03 Ações para aumentar a Avaliação dos MEA01.01
Examinar e julgar continuamente os requisitos atuais e futuros de entrega de valor requisitos de reporte
comunicação e reporte às partes interessadas, incluindo corporativos
requisitos de reporte obrigatórios (ex. regulatório) e comunicação
EDM03.03 Questões de Gestão de Princípios de reporte e MEA01.01
com outras partes interessadas. Estabelecer os princípios para a
risco para o Conselho comunicação
comunicação.
EDM04.03 Feedback sobre a
alocação e eficácia dos
recursos e capacidades
MEA02.08 Escopo refinado
Atividades
01 Examinar e julgar os requisitos atuais e futuros de reportes obrigatórios relacionados ao uso de TI na organização (regulação,
legislação, common law, contratual), incluindo a extensão e a frequência.
02 Examinar e julgar os requisitos atuais e futuros de reportes a outras partes interessadas relacionados ao uso de TI na organização,
incluindo a extensão e a frequência.
03 Manter princípios para comunicação com partes interessadas externas e internas (incluindo formatos de comunicação e canais de
comunicação) e para aceitação e conclusão dos relatórios pelas partes interessadas.
Práticas de Governança Entradas Saídas
EDM05.02 Orientar comunicação e reporte com partes De Descrição De Descrição
interessadas. APO12.04 Análise de riscos e Regras para validação e MEA01.01
Assegurar o estabelecimento de comunicação e reporte eficazes relatórios de perfil de aprovação de relatórios MEA03.04
às partes interessadas, incluindo mecanismos para garantir a risco para as partes obrigatórios
qualidade e a integridade das informações, supervisão dos interessadas Diretrizes de MEA01.05
relatórios obrigatórios e criando uma estratégia de comunicação
escalonamento
com as partes interessadas.
53
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Avalçiar, Dirigir e Monitorar
54
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
02 Gerenciar a estratégia.
05 Gerenciar portfolio.
08 Gerenciar relacionamentos.
10 Gerenciar fornecedores.
11 Gerenciar qualidade.
12 Gerenciar riscos.
13 Gerenciar segurança
55
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
01 Alinhamento da estratégia de negócios e de TI Percentual de objetivos e requisitos estratégicos corporativos suportados por
objetivos estratégicos de TI
Nível de satisfação das parte interessadas com o escopo do portfólio de
programas e serviços planejado
Percentual de direcionadores de valor de TI mapeados em função de
direcionadores de valor de negócios
02 Conformidade de TI e suporte para conformidade do Custo da não conformidade de TI, incluindo acordos e multas e o impacto da
negócio com as leis e regulamentos externos perda de reputação
Número de não conformidades relacionadas a TI reportadas ao conselho de
administração ou que causaram críticas públicas ou constrangimento
Número de não conformidades relacionadas a acordos contratuais com
provedores de serviço de TI
Cobertura das análises de conformidade
09 Agilidade de TI Nível de satisfação dos executivos de negócios com a capacidade de resposta
da TI para novos requerimentos
Número de processos críticos de negócios suportados por infraestrutura e
aplicações atualizadas
Tempo médio para transformar objetivos estratégicos de TI em uma iniciativa
acordada e aprovada
11 Otimização de ativos, recursos e capacidades de TI Frequência de análises de capacidade da maturidade e de otimização de
custos
Tendência dos resultados das análises
Nível de satisfação dos executivos de negócios e de TI com os custos e
capacidades relacionadas a TI
15 Conformidade de TI com as políticas internas Número de incidentes relacionados a não conformidade com políticas
Percentual das partes interessadas que entende as políticas
Percentual de políticas suportadas por padrões efetivos e práticas de
trabalho
Frequência de revisão e atualização de políticas
16 Equipes de TI e de negócios motivadas e qualificadas Percentual da equipe com habilidades relacionadas a TI suficientes para a
competência requerida para o seu papel
Percentual da equipe satisfeita com seu papel relacionado a TI
Número de horas de aprendizado/treinamento por membro da equipe
17 Conhecimento, expertise e iniciativas para inovação Nível de consciência e entendimento dos executivos de negócios quanto às
dos negócios possibilidades de inovação de TI
Nível de satisfação das partes interessadas com os níveis de expertise e ideias
para inovação de TI
Número de iniciativas aprovadas resultantes de ideias inovadoras de TI
Objetivos e Métricas do Processo
Objetivo do Processo Métricas Relacionadas
01 Um conjunto eficaz de políticas está definido e mantido. Percentual de políticas, padrões e outros habilitadores documentados e
atualizados ativos
Data da última atualização do modelo e dos habilitadores
Número de exposições a risco devido a inadequações no desenho do
ambiente de controles
02 Todos estão cientes das políticas e de como elas devem Número de pessoas que participou de sessões de treinamento ou de
ser implementadas. aprendizado
Percentual de fornecedores terceirizados que possuem contratos definindo
requisitos de controle
56
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Governança
APO01.01
C C C C I C R I I A C C C R C C C
Definir a estrutura organizacional.
APO01.02
Estabelecer papéis e I C C C C C A C C C R C C C C
responsabilidades.
APO01.03
Manter os habilitadores do sistema C A C R C C I C C C C C C R R
de gerenciamento.
APO01.04
Comunicar objetivos e direcionadores A R R R I R I I I R R I I I I I R I I I I I I I I
de gerenciamento.
APO01.05
Otimizar o posicionamento da função C C C C A C C C C R C C C R C C C
de TI.
APO01.06
Definir a propriedade das I I C A R C C C C C C C
informações (dados) e sistemas.
APO01.07
Gerenciar o melhoramento contínuo A R R C I C C R R R R R R R R
de processos.
APO01.08
Manter a conformidade com políticas A R R R R C I R R R R R R R R
e procedimentos.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
57
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
processos organização
Regras básicas de Todos APO
comunicação Todos BAI Todos
DSS Todos MEA
Atividades
01 Definir o escopo, funções internas e externas, papéis internos e externos e capacidades e direitos de decisão necessários, incluindo
aquelas atividades de TI realizadas por terceiros.
02 Identificar decisões necessárias para a realização de resultados corporativos e da estratégia de TI e para o gerenciamento e
execução dos serviços de TI.
03 Estabelecer o envolvimento das partes interessadas que são críticas na tomada de decisão (responsável, presta contas, consultado
ou informado).
04 Alinhar a organização de TI ao modelo organizacional da arquitetura corporativa.
05 Definir o foco, papéis e responsabilidades de cada função dentro da estrutura organizacional de TI.
06 Definir as estruturas e relacionamentos do gerenciamento para suportar as funções e papéis de gerenciamento e de execução,
alinhados ao conjunto de diretrizes de governança.
07 Estabelecer um comitê estratégico de TI (ou equivalente) no nível do conselho de administração. Esse comitê deve garantir que a
governança de TI, como parte da governança corporativa, é endereçada adequadamente; aconselhar no direcionamento
estratégico; e revisar grandes investimentos em nome do conselho de administração completo.
08 Estabelecer um comitê diretivo de TI (ou equivalente), composto de executivos, gestores de negócios e de TI, para determinar a
priorização de programas de investimentos habilitados pela TI em linha com a estratégia de negócios e prioridades corporativas;
acompanhar o andamento de projetos e resolver conflitos de recursos; e monitorar os níveis de serviço e as melhorias no serviço.
09 Prover diretrizes para cada estrutura de gerenciamento (incluindo mandato, objetivos, participantes da reunião, periodicidade,
controle, supervisão e fiscalização), assim como os insumos requeridos e os resultados esperados das reuniões.
10 Definir regras básicas de comunicação por meio da identificação das necessidades de comunicação e implementação dos planos
baseados nessas necessidades, considerando as comunicações de cima para baixo, de baixo para cima e horizontal.
11 Estabelecer e manter uma estrutura otimizada de coordenação, comunicação e conexão entre as funções de negócios e de TI da
organização e com entidades externas à organização.
12 Verificar regularmente a adequação e a eficácia da estrutura organizacional.
58
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
59
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Integrated Framework.
06 Criar um conjunto de políticas para direcionar as expectativas de controle de TI em tópicos relevantes, tais como qualidade,
segurança, confidencialidade, controles internos, uso dos ativos de TI, ética e direitos de propriedade intelectual.
07 Avaliar e atualizar as políticas ao menos anualmente para acomodar mudanças no ambiente operacional ou de negócios.
08 Implementar e aplicar políticas de TI para todo o pessoal relevante, para que elas sejam incorporadas e sejam parte integrante das
operações da organização.
09 Garantir que procedimentos estão implementados para acompanhar a conformidade com as políticas e definir as consequências
de não conformidades.
Prática de Gestão Entradas Saídas
APO01.04 Comunicar objetivos e direcionadores de De Descrição Descrição Para
gerenciamento. EDM01.02 Comunicação da Comunicação sobre Todos APO Todos
Conscientizar e comunicar o entendimento dos objetivos e governança corporativa os objetivos de TI BAI Todos DSS
do direcionamento de TI às partes interessadas e usuários Todos MEA
EDM04.02 Princípios para
apropriados em toda a organização.
preservação de recursos
APO12.06 Comunicação de impacto
dos riscos
BAI08.01 Comunicação sobre o
valor do conhecimento
DSS04.01 Políticas e objetivos para
continuidade de negócios
DSS05.01 Política de prevenção de
software malicioso
DSS05.02 Política de segurança de
conectividade
DSS05.03 Políticas de segurança
para dispositivos
endpoint
Atividades
01 Comunicar continuamente os objetivos e o direcionamento de TI. Garantir que as comunicações são suportadas pela gerência
executiva em ações e palavras, utilizando todos os canais disponíveis.
02 Garantir que a informação transmitida engloba uma missão claramente articulada, objetivos de serviço, segurança, controles
internos, qualidade, código de ética/conduta, políticas e procedimentos, papéis e responsabilidades, etc. Transmitir a informação
no nível de detalhe adequado à respectiva audiência na organização.
03 Fornecer recursos suficientes e qualificados para apoiar o processo de comunicação.
60
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
61
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
62
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
63
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Alinhar, Planejar e ORganizar
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO02.01
Compreender o direcionamento C C C A C C C C C R C R R R R R
corporativo.
APO02.02
Analisar o ambiente, capacidade e C C C R C C C C C A R R R C C C C
desempenho atuais.
APO02.03
Definir as capacidades de TI A C C C I R I C C C C R C C C C C C C
desejáveis.
APO02.04
R R C C C R R A R R R R R R C
Conduzir uma análise de falhas.
APO02.05
C I C C C R C C C C A C C C C C C C
Definir plano e roteiro estratégicos.
APO02.06
Comunicar a estratégia e o I R I I R I A I I I I I I I I I I R I I I I I I I I
direcionamento de TI.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO02 Práticas de Processo, Entradas/Saídas e Atividades
APO02 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Saídas Entradas
APO02.01 Compreender o direcionamento De Descrição Descrição Para
corporativo. EDM04.01 Princípios de orientação Fontes e prioridades Interno
Considerar o ambiente corporativo e processos de para alocação de recursos para mudanças
negócios atuais, assim como a estratégia e capacidades
corporativa e objetivos futuros. Considerar também APO04.02 Oportunidades de
o ambiente externo da organização (direcionadores inovação ligadas a
da indústria, regulamentações relevantes, bases direcionadores de negócio
para competição.
Externo ao COBIT Análise corporativa de
forças, fraquezas,
oportunidades e ameaças
(SWOT)
Atividades
01 Desenvolver e manter um entendimento da estratégia e objetivos corporativos, assim como do ambiente operacional e desafios
corporativos atuais.
02 Desenvolver e manter um entendimento do ambiente externo da organização.
03 Identificar as principais partes interessadas e obter uma visão sobre suas necessidades.
04 Identificar e analisar fontes de mudança na organização e em ambientes externos.
05 Apurar prioridades para mudança estratégica.
06 Entender a arquitetura corporativa atual e trabalhar com o processo de arquitetura corporativa para determinar qualquer
potencial falha arquitetural.
64
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
65
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
66
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
67
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
68
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Gestão
APO03.01
Desenvolver a visão da arquitetura A C C R C R C R C C C C R R C C C C
corporativa
Definir a arquitetura de referência C C C R C R C A C C C C R R C C C C
Selecionar oportunidades e soluções A C C R C R C R C C C C R R C C C C
Definir a implementação da
A C R C C R C R C C C C R R C C C C
arquitetura
Fornecer serviços de arquitetura
A C R C C R C R C C C C R R C C C C
corporativa
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO03 Práticas de Processo, Entradas/Saídas e Atividades
APO03 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
APO03.01 Desenvolver a visão da arquitetura De Descrição Descrição Para
corporativa EDM04.01 Princípios orientadores Escopo da arquitetura APO02.05
A visão da arquitetura fornece uma descrição para arquitetura definido
preliminar e de alto‐nível das arquiteturas básica e corporativa
desejada, cobrindo os domínios de negócio, APO02.05 Roadmap estratégico Princípios da arquitetura BAI02.01
informações, dados, aplicativos e tecnologias. A visão BAI03.01
da arquitetura proporciona ao patrocinador com uma BAI03.02
ferramenta chave para apresentar os benefícios das
Referência Estratégia corporativa Business case conceitual APO02.05
capacidades propostas para as partes interessadas da
externa ao e proposição de valor da APO05.03
Organização. Adicionalmente, a visão da arquitetura
COBIT arquitetura
descreve como as novas capacidades vão atender aos
Objetivos Corporativos bem como seus objetivos
estratégicos, e endereçar as preocupações das partes
interessadas quando implementada.
Atividades
01 Identificar as principais partes interessadas e suas preocupações/objetivos, e definir os principais requisitos corporativos a serem
endereçados bem como as visões de arquitetura a serem desenvolvidas para satisfazer os diversos requisitos das partes
interessadas.
02 Identificar os Objetivos Corporativos e direcionadores estratégicos da organização e definir as restrições que devem ser tratadas,
incluindo restrições em nível corporativo e restrições específicas de projeto (tempo, cronograma, recursos, etc.).
03 Alinhar objetivos de arquitetura com as prioridades de programas estratégicos.
04 Entender as capacidades e desejos do negócio, e então identificar as opções para realizar estas capacidades.
05 Avaliar a preparação da empresa para mudanças.
06 Definir o que está dentro e o que está fora do escopo da arquitetura básica e esforços da arquitetura desejada, entendendo que
não há necessidade de descrevê‐las no mesmo nível de detalhe.
07 Confirmar e elaborar os princípios da arquitetura, incluindo princípios corporativos. Certificar que quaisquer definições existentes
sejam atuais e esclarecer quaisquer áreas de ambiguidade.
69
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
70
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
71
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Atividades
Alinhar, Planejar e ORganizar
72
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
73
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Alinhar, Planejar e ORganizar
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO04.01 Criar um ambiente
A R R R R R R R R R R
favorável à inovação
APO04.02 Manter um entendimento
A R R C R R R R
sobre o ambiente corporativo
APO04.03 Monitorar e analisar o
A R R R R R
ambiente de tecnologia
APO04.04 Avaliar o potencial de
tecnologias emergentes e ideias I I C C C C A R R R R R
inovadoras
APO04.05 Recomendar ações
I R R A C R R R R R R
adicionais futuras
APO04.06 Monitorar a
C C A C R C C C C C
implementação e o uso da inovação
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO04 Práticas de Processo, Entradas/Saídas e Atividades
APO04 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO04.01 Criar um ambiente favorável à inovação De Descrição Descrição Para
Criar um ambiente que propicie a inovação, levando em Plano de inovação Interno
consideração questões como a cultura, premiação,
Programa de reconhecimento e APO07.04
colaboração, fóruns de tecnologia, e com mecanismos para
premiação
promover e absorver ideias dos colaboradores
Atividades
01. Criar um plano de inovação que inclua o apetite a riscos, o orçamento reservado para gastos com iniciativas de inovação, e
objetivos da inovação.
02 Prover infraestrutura que possa ser um habilitador de inovação, como ferramentas de colaboração para aprimorar o trabalho
entre localidades geográficas e divisões.
03 Criar um ambiente que seja favorável à inovação por meio de iniciativas de RH relevantes, tais como programas de
reconhecimento e premiação por inovação, apropriada rotação entre funções, e tempo discricionário para experimentação.
04 Manter um programa que possibilite às equipes a submissão de ideias inovadores e criar uma estrutura apropriada para tomada
de decisões para avaliar estas ideias e leva‐las adiante.
05 Encorajar ideias inovadoras de clientes, fornecedores e parceiros de negócio.
Prática de Gestão Entradas Saídas
APO04.02 Manter um entendimento sobre o ambiente De Descrição Descrição De
corporativo Referência Estratégia Oportunidade de inovação APO02.01
Trabalhar com as partes interessadas em TI para entender seus externa corporativa e relacionadas com
respectivos desafios. Manter um entendimento adequado sobre a ao COBIT análise SWOT da direcionadores de negócio
estratégia corporativa, sobre o ambiente competitivo e outras empresa
restrições, de forma que oportunidades geradas por novas
tecnologias possam ser identificadas.
74
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
75
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
76
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
77
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Alinhar, Planejar e ORganizar
Chefe de RH
Auditor
APO05.01 Estabelecer a combinação
A R R C I C C C C C C
de investimentos desejada
APO05.02 Determinar a
disponibilidade e as fontes de C A R C R
investimentos
APO05.03 Avaliar e selecionar os
C A R R R R R C
programas para investimento
APO05.04 Monitorar, otimizar e
reportar o desempenho do portfólio I C C C C C R A C C C C C
de investimentos
APO05.05 Manter os portfolios I I R C A R R C C C
APO05.06 Gerenciar o alcance aos
C C C A R I R I C C R C C
benefícios
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO05 Práticas de Processo, Entradas/Saídas e Atividades
APO05 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
APO05.01 Estabelecer a combinação de De Descrição Descrição Para
investimentos desejada EDM02.02 Tipos e critérios de Mix de investimentos Interno
Revisar e garantir clareza nas estratégias de TI e de Investimentos definido
negócios, bem como nos atuais serviços fornecidos APO02.05 Roadmap estratégico Recursos e capacidades Interno
por TI. Definir uma combinação de investimentos Iniciativas de gestão de identificadas para
apropriados com base no custo, no alinhamento risco suportar a estratégia.
com a estratégia e métricas financeiras, tais como Definição de iniciativas
custos e retorno sobre o investimento, grau de risco estratégicas
e o tipo de benefício para os programas existentes
APO06.02 Ranking e priorização Feedback quanto a APO02.05
no portfólio. Ajustar as estratégias de TI e da
das iniciativas de TI estratégia e objetivos
Organização quando necessário
APO09.01 Definição dos serviços
padrão
BAI03.11 Definições de serviços
Atividades
01 Validar se os investimentos de TI e atuais serviços de TI estão alinhados com a visão corporativa, os princípios corporativos,
metas e objetivos estratégicos, visão da arquitetura corporativa, e prioridades.
02 Obter um entendimento comum entre TI e outras funções de negócio sobre potenciais oportunidades para TI direcionar e
suportar a estratégia corporativa.
03 Criar uma combinação de investimentos que alcancem o balanço correto entre um número de dimensões, incluindo um balanço
apropriado entre retornos de curto e longo prazos, benefícios financeiros e não financeiros, e investimentos de alto e baixo risco.
04 Identificar as categorias amplas de sistemas de informação, aplicações, dados, serviços de TI, infraestrutura, ativos de TI,
recursos, habilidades, práticas, controles e relacionamentos necessários para suportar a estratégia corporativa.
05 Definir um acordo sobre a estratégia e metas de TI, levando em consideração os inter‐relacionamentos entre a estratégia
corporativa e os serviços, ativos e outros recursos de TI. Identificar e alavancar sinergias que possam ser alcançadas.
78
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
79
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
da inovação
BAI01.06 Resultados das revisões
realizadas nos pontos de
controle
Atividades
02 Revisar periódica o portfólio para identificar e explorar sinergias, eliminar duplicação entre os programas, e identificar e mitigar
riscos.
02 Quando mudanças ocorrerem, reavaliar e redefinir prioridades do portfólio para garantir que este esteja alinhado com a
estratégia de negócios, e a combinação desejada de investimentos seja mantida de forma que o portfólio esteja otimizando o
valor geral entregue. Esta ação pode requerer que programas sejam alterados, deferidos ou retirados, e novos programas sejam
iniciados.
03 Ajustar os Objetivos Corporativos, previsões, orçamentos e, se necessário, o grau de monitoramento para refletir os gastos a
serem incorridos e os benefícios corporativos a serem realizados pelos programas no portfólio ativo de investimentos. Incorporar
gastos dos programas nos mecanismos de chargeback.
04 Fornecer uma visão precisa sobre o desempenho do portfólio de investimentos a todas as partes interessadas.
05 Fornecer relatórios de gestão para revisão dos executivos sêniores sobre o progresso da empresa em direção às metas
identificadas, apontando o que ainda precisa ser gasto e alcançado de acordo com o cronograma.
06 Incluir no monitoramento periódico de desempenho informações sobre a extensão na qual os objetivos planejados foram
alcançados, os riscos mitigados, as capacidades criadas, o entregáveis alcançados e as metas de desempenho atingidas.
07 Identificar desvios em:
Controle orçamentário entre o realizado e o planejado
Gestão de benefícios:
Realizado vs planejado para investimentos em soluções, possivelmente expresso em termos de Retorno de Investimento (ROI),
Valor Presente Líquido (NPV) ou Taxa Interna de Retorno (IRR)
A tendência atual dos custos do portfólio de serviços para entrega das melhorias de produtividade nos serviços
08 Desenvolver métricas para mensuração da contribuição de TI para a empresa, e estabelecer metas apropriadas de desempenho
refletindo as metas requeridas de capacidades de TI e corporativas. Usar orientação de especialistas externos e dados de
benchmark para desenvolver métricas.
Prática de Gestão Entradas Saídas
APO05.05 Manter os portfolios De Descrição Descrição Para
Manter os portfolios de programas e projetos de BAI01.14 Comunicação sobre a Portfolio de programas, APO09.02
investimento, assim como de serviços e ativos de TI descontinuação do serviços e ativos BAI01.01
programa e atualizados
responsabilidades
contínuas
BAI03.11 Portfolio de serviços
atualizado
Atividades
01 Criar e manter portfolios de programas de investimento em TI, serviços de TI e ativos de TI, que formam a base para o orçamento
atual de TI e suportam os planos estratégico e tático de TI.
02 Trabalhar com os gerentes de entrega de serviços para manter os portfolios de serviços, e com os gerentes de operações e
arquitetos para manter os portfolios de ativos. Priorizar os portfolios para suportar as decisões de investimento.
03 Remover o programa do portfólio de investimentos ativos quando os benefícios desejados pela empresa tenham sido atingidos
ou quando claramente os benefícios não serão atingidos dentro dos critérios de valor definidos no programa.
80
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
81
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
82
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Gestão
APO06.01 Gerenciar finanças e
A C C C R C C R
contabilidade
APO06.02 Priorizar a alocação de
I R C C C I C C I A I C C R C C
Recursos
APO06.03 Criar e manter orçamentos I A C C C C C C R C C C R C C C
APO06.04 Modelar e alocar custos C C C C C C C A C C C R C C
APO06.05 Gerenciar custos R C C C C C C A C C C R C C
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO06 Práticas de Processo, Entradas/Saídas e Atividades
APO06 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO06.01 Gerenciar finanças e contabilidade De Descrição Descrição Para
Estabelecer e manter um método para contabilizar todos os BAI09.01 Registro do ativo Processos contábeis Interno
custos, investimentos e depreciações relacionados a TI, como
Modelo de Interno
parte integral do sistema financeiro corporativo e plano de
classificação dos
contas, permitindo a gestão dos custos e investimentos de TI.
custos de TI
Capturar e alocar os custos reais, analisar as variações entre as
previsões e as realizações, e realizar o reporte utilizando os Práticas de Interno
sistemas de acompanhamento financeiro da empresa. planejamento
financeiro
Atividades
01 Definir processos, entradas e saídas, e responsabilidades em alinhamento com as políticas e abordagem corporativas de definição
de orçamento e alocação de custos, para direcionar de forma sistemática o orçamento e os custos de TI; possibilitar uma
estimativa dos custos e benefícios de TI justa, transparente, repetitiva e comparável para servir de insumo ao portfólio de
programas de negócio habilitados por TI; e garantir que os orçamentos e custos sejam mantidos no portfólio de ativos e serviços
de TI.
02 Definir um esquema de classificação para identificar todos os elementos de custos relacionados a TI, como eles são alocados entre
os orçamentos e serviços, e como eles são capturados.
03 Usar Informação financeira e do portfólio para fornecer insumos aos business cases para novos investimentos em ativos e serviços
de TI.
04 Definir como analisar, reportar (a quem e como), e usar os processos de controle de orçamento e gestão de benefícios.
05 Estabelecer e manter práticas para planejamento financeiro, gestão de investimentos e tomada de decisões, e otimização de
custos operacionais recorrentes para entregar o máximo de valor para a empresa ao mesmo tempo em que gera menores gastos.
83
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
84
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
85
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
86
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
87
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Alinhar, Planejar e ORganizar
Chefe de RH
Auditor
Prática de Gestão
APO07.01 Manter pessoal adequado e
R I R A R R R R R R R
apropriado.
APO07.02 Identificar pessoal‐chave
R R A R R R R R R R
de TI.
APO07.03 Manter as habilidades e
R R A R R R R R R R
competências do pessoal.
APO07.04 Avaliar o desempenho do
R R A R R R R R R R
colaborador.
APO07.05 Planejar e controlar o uso
da TI e de recursos humanos do R C A R R I R R R R R R R R
negócio.
APO07.06 Gerenciar equipe contrato. R R A R R R R R R R
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO07 Práticas de Processo, Entradas/Saídas e Atividades
APO07 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
APO 07.01 Manter pessoal adequado e De Descrição Descrição Para
apropriado. EDM04.01 Plano de recursos Avaliações de requisitos Interno
Avaliar as necessidades de pessoal em uma base aprovados de pessoal
regular ou em grandes mudanças operacionais, da Guia de princípios para a
empresa ou dos ambientes de TI para garantir que a alocação de recursos e
empresa possua recursos humanos suficientes para capacidades
apoiar as metas e objetivos. O quadro de pessoal
EDM04.03 Ações corretivas para Planos de Interno
deve incluir tanto recursos internos e externos.
resolver os desvios de desenvolvimento de
gestão de recursos competências e de
carreira
APO01.02 Definição de práticas de Planos de suprimento Interno
supervisão pessoal
APO06.03 Comunicações
Orçamento
Plano e orçamento de TI
Referência Metas e objetivos da
externa ao organização
COBIT Políticas e
procedimentos da área
de RH
Atividades
01 Avaliar as necessidades de funcionários em uma base regular ou a grandes mudanças para garantir que a:
A função de TI possua recursos suficientes para suportar adequadamente e de forma apropriada as metas e objetivos da empresa
A organização possui recursos suficientes para suportar adequadamente e de forma apropriada os processos de negócios e controles e
iniciativas habilitadas de TI
02 Manter o processo de recrutamento e retenção de funcionários de negócios e de TI em linha com as políticas e procedimentos de
recursos humanos da organização.
03 Incluir análise de antecedentes no processo de recrutamento de TI para funcionários, contratados e fornecedores. A extensão e
88
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
89
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
desempenho de RH
BAI05.06 Resultados de avaliação
de desempenho de RH
DSS06.03 Atribuição dos direitos
de acesso
Referência Metas e objetivos
externa ao corporativos
COBIT
Atividades
01 Considerar os objetivos funcionais/organização como contexto para a definição dos objetivos individuais.
02 Estabelecer metas individuais alinhadas com os objetivos relevantes, de modo que haja uma clara contribuição para os objetivos
de TI e da organização. Baseie as metas em objetivos SMART (específicos, mensuráveis, alcançáveis, relevantes e tempo limite)
que refletem as competências essenciais, os valores corporativos e habilidades exigidas para o papel(is).
03 Consolidar os resultados da avaliação de desempenho 360 graus.
04 Implementar e comunicar um processo disciplinar.
05 Fornecer instruções específicas para o uso e armazenamento de informações pessoais no processo de avaliação, em conformidade
com os dados pessoais aplicáveis e legislação trabalhista.
06 Fornecer feedback em tempo hábil sobre o desempenho em relação às metas do colaborador.
07 Implementar um processo de remuneração/reconhecimento de que recompensa o comprometimento adequado, o
desenvolvimento de competências e a realização bem sucedida de metas de desempenho. Certificar que o processo é aplicado de
forma consistente e em linha com as políticas organizacionais.
08 Desenvolver planos de melhoria de desempenho, com base nos resultados do processo de avaliação e identificar as necessidades
de formação e desenvolvimento de competências.
90
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
91
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
92
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Gestão
APO 08.01
Compreender as expectativas de C C C C R C C C C C A C R R C R R R
negócios.
APO 08.02
Identificar oportunidades, riscos e
I I I R R C I C C A R R R R
limitações para a TI para melhorar o
negócio.
APO 08.03
Administrar o relacionamento C C C R R I A R R R
comercial.
APO 08.04
R I R R R I A R R R
Coordenar e comunicar.
APO 08.05
Contribuir para a melhoria contínua C I C R I C C C A C R R R C C
dos serviços.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO08 Práticas de Processo, Entradas/Saídas e Atividades
APO08 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
APO08.01 Entender expectativas de negócios. De Descrição Descrição Para
Compreende questões de negócios atuais e objetivos e APO02.05 Roteiro Expectativas de negócios esclarecidas e Interno
expectativas de negócios para TI. Assegura que Estratégico acordadas
requisitos foram compreendidos, geridos e
comunicados, e seu status acordado e aprovado.
Atividades
01 Identificar as partes interessadas do negócio, seus interesses e das suas responsabilidades.
02 Rever o atual direcionamento da empresa, problemas, objetivos estratégicos e alinhamento com arquitetura corporativa.
03 Manter uma tomada de consciência de processos de negócios e atividades conexas e compreender os padrões de demanda que se
relacionam com volumes e uso de serviço.
04 Clarificar as expectativas de negócios para soluções e serviços de TI e assegurar que os requisitos são definidos com critérios de
aceitação de negócios associados e métricas.
05 Confirmar expectativa do acordo de negócios, os critérios de aceitação e métricas em partes relevantes para IT por todas as partes
interessadas.
06 Gerencie expectativas, garantindo que as unidades de negócios entendem as prioridades, as dependências, as restrições
financeiras e a necessidade de agendar requisições.
07 Compreender o ambiente de negócios atual, restrições de processo ou questões, expansão geográfica ou contração e
direcionadores de indústria/normativos.
93
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
entrega de qualidade
Atividades
01 Compreender as tendências de tecnologia e novas tecnologias e como estas podem ser aplicadas de forma inovadora para
melhorar o desempenho do processo de negócios.
02 Desempenhar um papel proativo na identificação e comunicando‐se com as principais partes interessadas em oportunidades,
riscos e restrições. Isso inclui tecnologias atuais e emergentes, serviços e modelos de processo de negócios.
03 Colaborar em concordar sobre os passos seguintes para grandes novas iniciativas em conjunto com gestão de portfólio, incluindo
desenvolvimento de casos de negócio (business cases).
04 Certificar‐se que a empresa e a TI entendem e apreciam os objetivos estratégicos e a visão da arquitetura corporativa.
05 Coordenar ao planejar novas iniciativas para garantir a integração e o alinhamento com a arquitetura corporativa
Prática de Gestão Entradas Saídas
APO08.03 Gerenciar a relação de negócios. Gerenciar o De Descrição Descrição Para
relacionamento com clientes (representantes DSS02.02 Incidentes e solicitações Decisões chave Interno
comerciais). de serviço classificados e alinhadas
Assegurar que papéis de relacionamento e suas hierarquizados
responsabilidades são definidas e atribuídas e a comunicação DSS02.06 Confirmação de usuários Status de denúncia e Interno
é facilitada. de cumprimento ou escalonamento
resolução satisfatórios
Incidentes e requisição de
serviços fechados
DSS02.07 Request fulfilment status
and trends report
Relatório de tendências e
status de incidente
Atividades
01 Atribuir um gerente de relacionamento como um único ponto de contato para cada unidade de negócios significativa. Certifique‐
se que uma única contraparte é identificada na organização empresarial e a contraparte tem compreensão do negócio, suficiente
consciência da tecnologia e o nível apropriado de autoridade.
02 Gerenciar a relação de maneira formalizada e transparente que garante foco em atingir um objetivo comum e compartilhado dos
resultados de sucesso empresarial para apoiar os objetivos estratégicos e dentro da restrição de orçamentos e tolerância ao risco.
03 Definir e comunicar um procedimento de reclamações e escalonamento para resolver quaisquer problemas de relacionamento.
04 Planejar interações específicas e horários com base em objetivos mutuamente acordados e linguagem comum (reuniões de
revisão de serviço e desempenho, revisão de novas estratégias ou planos, etc.).
05 Garantir que decisões chave sejam alinhadas em e aprovadas pelas partes interessadas responsáveis.
Prática de Gestão Entradas Saídas
APO08.04 coordenar e comunicar. De Descrição Descrição Para
Trabalhar com as partes interessadas e coordenar entrega de APO09.03 SLAs Plano de Interno
serviços de TI ponta a ponta e soluções fornecidas para os Comunicação
negócios
APO12.06 Comunicação de impacto Pacotes de Interno
de risco comunicação
BAI05.05 Plano de uso e operação Respostas do cliente Interno
BAI07.07 Plano de suporte
suplementar
BAI09.02 Comunicações de
inatividade de
manutenção planejada
DSS03.04 Comunicação do
conhecimento aprendido
94
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
95
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
96
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Gestão
APO09.01
C R R R C I I I R I C C C A I I
Identificando serviços de TI
APO09.02
I I I I I R I C C C A I I
Catálogo de serviços de TI
APO09.03
R C C C C C R C R R A C C
Preparar e definir acordos de serviço
APO09.04
I I I R C I I I I A
Monitorar e reportar níveis de serviço
APO09.05
A C C C C C R C R R R C C I
Revisar contratos e acordo de serviços
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO09 Práticas de Processo, Entradas/Saídas e Atividades
APO09 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO09.01 Identificar serviços de ti.
Analisar as necessidades dos negócios e a maneira
Identificação de gaps APO02.02
em que Serviços de TI e níveis de serviço de
em serviços de TI para o APO05.03
suportam processos de negócios. Discutir e
negócio APO08.02
concordar sobre os potenciais serviços e níveis de
serviço com o negócio e compará‐los com o atual Definições de serviços APO05.01
portfólio de serviços para identificar serviços novos padrão
ou alterados ou opções de nível de serviço.
Atividades
01 Avaliar níveis de serviço atuais para identificar gaps entre os serviços existentes e as atividades de negócios que sustentam
serviço. Identificar áreas de melhoria dos serviços existentes e opções de nível de serviço.
02 Analisar, estudar e estimar a demanda futura e confirmar a capacidade dos serviços habilitados existentes.
03 Analisar as atividades do processo de negócios para identificar a necessidade de novos ou redesenhados serviços de TI.
04 Comparar requisitos identificados de componentes de serviço existentes no portfolio. Se possível, empacotar componentes de
serviço existentes (serviços, opções de nível de serviço e pacotes de serviços) em novos pacotes de serviço para atender requisitos
de negócios identificados.
05 Sempre que possível, corresponder as demandas para os pacotes de serviços e criar serviços normalizados para obter eficiência
geral.
06 Regularmente rever o portfólio de serviços de ti com gerenciamento de portfólio e gestão de relacionamento de negócios para
identificar os serviços obsoletos. Acordar sobre retiradas e propor mudanças.
Prática de Gestão Entradas Saídas
APO09.02 Catálogo de serviços de TI De Descrição Descrição Para
Definir e manter um ou mais catálogos de serviço EDM04.01 Plano de recursos Catálogo de serviços APO08.05
para grupos‐alvo relevantes. Publicar e manter vivo aprovado
oCatálogos de serviços de TI EDM04.02 Comunicação de
estratégias de criação de
recursos
APO05.05 Portfolio de programas,
serviços e bens
atualizado.
97
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
98
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
99
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
100
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
101
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Alinhar, Planejar e ORganizar
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO10.01
Identificar e avaliar o relacionamento C C C C C A C C C R C C C
com fornecedores e contratos.
APO10.02
C C C C C A C C C R C C C
Selecionar fornecedores.
Gerenciar relacionamento com
I C C C A C R R R C C C
fornecedores e contratos.
APO10.04
C R C C C A C R R C C C C
Gerenciar o risco de fornecedores
APO10.05
Monitorar o desempenho de I C C C C C A C R R C C C C
fornecedores e a conformidade.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO10 Práticas de Processo, Entradas/Saídas e Atividades
APO10 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO10.01 Identificar e avaliar o De Descrição Descrição Para
relacionamento com fornecedores e contratos. Referência Contratos do fornecedor Relevância do Interno
Identificar fornecedores e contratos associados, e externa ao fornecedor e critério
categoriza‐los por tipo, relevância e criticidade. COBIT de avaliação
Estabelecer critérios de avaliação de fornecedores
Catálogo de BAI02.02
e contratos e avaliar o portfólio geral de contratos
Fornecedores
e fornecedores existentes e alternativos.
Potenciais revisões Interno
dos contratos de
fornecedor
Atividades
01 Estabelecer e manter critérios relacionados ao tipo, relevância e criticidade dos fornecedores e contratos, habilitando o foco nos
fornecedores prieferidos e importantes.
02 Estabelecer e manter fornecedores e critérios de avaliação de contrato para habilitar revisão generalizada e comparação do
desempenho dos fornecedores de maneira consistente.
03 Identificar, registrar e categorizar fornecedores existentes e contratos de acordo com critérios definidos para manter um registro
detalhado dos fornecedores preferidos que precisam ser gerenciados de forma cuidadosa.
04 tAvaliar periodicamente e comparar o desempenho dos fornecedores existentes e alternativos, para identificar oportunidades ou
uma necessidade atraente de reconsiderar os atuais contratos de fornecedores.
102
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
103
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
104
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
105
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Alinhar, Planejar e ORganizar
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO11.01
Estabelecer um Sistema de C A C I C I I C C C R C C I R R I I I
Gerenciamento de Qualidade (QMS).
APO11.02
Definir e gerenciar os padrões de C C R C R C C C A R R R R R R R R
qualidade, práticas e procedimentos.
APO11.03
Focalizar o gerenciamento da A R C I C C R I I I I R I I
qualidade nos clientes.
APO11.04
Realizar o monitoramento da C C R C R C R C C A C C C C R C C C
qulidade, controle e revisões.
APO11.05
Integrar gerenciamento da qualidade
C C I A C R R R
nas soluções para desenvolvimento e
entrega de serviços.
APO11.06
C R C R C C A R R R R R R R
Manter a melhoria continua.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO11 Práticas de Processo, Entradas/Saídas e Atividades
APO11 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO11.01 Estabelecer um Sistema de De Descrição Descrição Para
gerenciamento de qualidade (SGQ). Referência Sistema de qualidade Papéis, APO01.02
Estabelecer e manter um SGQ que fornece uma externa ao corporativo responsabilidades e DSS06.03
abordagem padrão, formal e continua do COBIT direitos de decisão do
gerenciamento de qualidade para informação, SGQ
habilitando tecnologia e processos de negócio que
Planos de BAI01.09
estão alinhados com os requisitos de negócio e
gerenciamento da
gerenciamento de qualidade da organização.
qualidade
Resultados da BAI03.06
efetividade da revisão
do SGQ
106
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
107
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Status de incidente e
relatório de tendências
Atividades
01 Monitorar a qualidade dos processos e serviços em uma base contínua e sistemática através da descrição, medição, análise,
melhoria/engenharia e controle dos processos.
02 Preparar e conduzir as revisões de qualidade
03 Reportar os resultados de revisões e iniciar melhorias onde apropriado.
04 Monitorar a qualidade dos processos, bem como o valor que a qualidade proporciona. Garantir que a medição, monitoramento e
registro de informações é utilizado pelo dono do processo para tomar ações preventivas e corretivas apropriadas.
05 Monitorar as metricas de qualidade direcionadoras das metas, alinhadas aos objetivos gerais de qualidade, cobrindo a qualidade
de Projetos e serviços individuais.
06 Garantir que a gestão e os donos de processo revisem regularmente o desempenho do gerenciamento da qualidade, em
comparação com as métricas de qualidade definidas.
07 Analisar os resultados do desempenho do gerenciamento da qualidade geral.
Prática de Gestão Entradas Saídas
APO11.05 Integrar o gerenciamento da De Descrição Descrição Para
qualidade em soluções para desenvolvimento e Resultados do APO08.05
entrega de serviços. monitoramento da APO09.04
Incorporar práticas relevantes de gerenciamento da qualidade da entrega de BAI07.08
qualidade na definição, monitoramento, reporte e serviços e solução
gerenciamento contínuo de desenvolvimento de
Causas‐raiz de falhas na APO08.02
soluções e oferta de serviços.
entrega de qualidade. APO09.04
BAI07.08
MEA02.04
MEA02.07
MEA02.08
Atividades
01 Integrar práticas de gerenciamento de qualidade nos processos e práticas de desenvolvimento de soluções.
02 Monitorar continuamente os níveis de serviço, e incorporar práticas de gerenciamento da qualidade nos processos e práticas de
entrega de serviços.
03 Identificar e documentar causas raiz para não‐conformidade, e comunicar descobertas para a gestão de TI e outras partes
interessadas de forma oportuna para habilitar a tomada de ações de remediação. Onde apropriado, realizar revisões de
acompanhamento.
Prática de Gestão Entradas Saídas
APO11.06 Manter a melhoria contíua. Manter e De Descrição Descrição Para
comunicar regularmente um plano geral de Comunicações sobre Todos APO
qualidade que promova a melhoria contínua. melhoria continua e Todos BAI
Isso deve incluir a necessidade e os benefícios da boas práticas Todos DSS
melhoria contínua. Coletar e analisar os dados do Todos MEA
SGQ, e melhorar sua efetividade. Corrigir não‐
Exemplos de boas Todos APO
conformidades para prevenir a recorrência.
práticas a serem Todos BAI
Promover uma cultura de qualidade e melhoria
compartilhados Todos DSS
contínua.
Todos MEA
Resultados da Todos APO
comparação das Todos BAI
revisões de qualidade Todos DSS
Todos MEA
108
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
109
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
110
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Auditor
Prática de Gestão
APO12.01
I R R R R I C C A R R R R R R R R
Coletar dados
APO12.02
I R C R C I R R A C C C C C C C C
Analisar risco
APO12.03
I R C A C I R R R C C C C C C C C
Manter um perfil de risco
APO12.04
I R C R C I C C A C C C C C C C C
Articular risco
APO12.05
Definir um portfolio de ações de I R C A C I C C R C C C C C C C C
gerenciamento de risco
APO12.06
I R R R R I C C A R R R R R R R R
Responder ao risco
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO12 Práticas de Processo, Entradas/Saídas e Atividades
APO12 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO12 Coletar dados De Descrição Descrição Para
Identificar e coletar dados relevantes para habilitar a EDM03.01 Avaliação das atividades Dados sobre o ambiente Interno
efetiva identificação do risco relacionado a TI, análise de gerenciamento do operacional
e reporte. risco relacionados ao risco
EDM03.02 Processo para Dados sobre eventos de Interno
gerenciamento da risco e fatores
medição do risco contribuintes
aprovados
Objetivos‐chave a serem
monitorados pelo
gerenciamento do risco
Políticas de
gerenciamento do risco
APO02.02 Lacunas e riscos Fatores e problemas de EDM03.01
relacionados às risco emergentes APO01.03
capacidades atuais APO02.02
APO02.05 Iniciativas de avaliação
do risco
APO10.04 Risco de entrega do
fornecedor identificado
DSS02.07 Status de incidentes e
relatório de tendências
111
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
112
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
113
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
DSS04.02
MEA02.04
MEA02.07
MEA02.08
Atividades
01 Preparar, manter e testar planos que documentem passos específicos a serem tomados quando um evento de risco puder causar
um incidente operacional ou de desenvolvimento significativo, com sérios impactos ao negócio. Garantir que os planos possuam
fluxos de escalação através da organização.
02 Categorizar incidentes, e comparar a exposição atual com os limites de tolerância de risco. Comunicar os impactos de negócio para
tomada de decisão como parte de um perfil de risco atualizado e reportado.
03 Aplicar o plano de resposta apropriado para minimizar o impacto quando o risco de incidentes ocorrer.
04 Examinar eventos adversos/prejuízos e oportunidades perdidas passadas, e determinar as causas raiz. Comunicar a causa raíz,
requisitos de resposta de risco adicional e melhorias no processo para tomada de decisão apropriada, e garantir que a causa,
requisitos de resposta e melhoria de processos estão incluídas no processo de governança de risco.
APO12 Orientação relacionada
APO12 Orientação Relacionada
Padrão Relacionado Referência Detalhada
ISO/IEC 27001:2005 Sistemas de Gerenciamento de Segurança da Informação – Requisitos, Seção 4
ISO/IEC 27002:2011
ISO/IEC 31000 06 Processos para Gerenciamento de Risco
114
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
115
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Alinhar, Planejar e ORganizar
Conformidade
Chefe de RH
Auditor
Prática de Gestão
APO13.01
Estabelecer e manter um Sistema de
C C C I C I I C A C C C C R I I I R I R C C
Gerenciamento de Seguança da
Informação (ISMS).
APO13.02
Definir e gerenciar um plano de
C C C C C I I C A C C C C R C C C R C R C C
tratamento de risco de segurança da
informação.
APO13.03
C R C R A C C R R R R R R R R R
Monitorar e revisar o ISMS
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
APO13 Práticas de Processo, Entradas/Saídas e Atividades
APO13 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
APO13.01 Estabelecer e manter um Sistema de De Descrição Descrição Para
Gerenciamento de Seguança da Informação Referência Abordagem de Política do ISMS Interno
(ISMS). externa ao segurança da Declaração de escopo APO01.02
Estabelecer e manter um ISMS que forneça um COBIT organização do ISMS DSS06.03
padrão, abordagem formal e conínua para
gerenciamento de segurança para informação,
habilitando tecnologia segura e processos de
negócios que estão alinhados com os requisitos do
negócio e gerenciamento de segurança da
organização.
Atividades
01 Definir o escopo e limites do ISMS, em termos de características da organização, sua disposição, localização, ativos e tecnologia.
Incluir detalhes de, e justificativa para quaisquer exclusões do escopo.
02 Definir um ISMS de acordo e alinhado com a política da organização, sua disposição, localização, ativos e tecnologia.
03 Alinhar o ISMS com a abordagem da organização geral para o gerenciamento de segurança.
04 Obter autorização da gestão para implementar e operar ou alterar o ISMS.
05 Preparar e manter uma declaração de aplicabilidade que descreva o escopo do ISMS.
06 Definir e comunicar os papéis e responsabilidades de segurança da informação
07 Comunicar a abordagem ISMS.
116
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
117
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
118
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
06 Gerenciar mudanças
08 Gerenciar conhecimento
09 Gerenciar ativos
10 Gerenciar configuração
119
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
120
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI01.01
Mantenha uma abordagem padrão
I A C C R R C C C C R
para a gestão de programas e
projetos.
BAI01.02
I R C C A R R R R C C C C C C C C
Inicie um programa.
BAI01.03
121
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
02 Atualizar a abordagem de gestão dos programas e projetos baseado nas lições aprendidas da utilização.
Prática de Gestão Entradas Saídas
BAI01.02 Inicie um programa. De Descrição Descrição Para
Iniciar um programa para confirmer os benefícios APO03.04 Descrições da fase de Caso de negócio para o APO05.03
esperados e obter autorização para prosseguir. Isso implementação conceito do programa
inclui um acordo sobre o patrocínio do programa a Necessidade de recursos
confirmer o mandato do programa através da
APO05.03 Caso de negócio do Instruções e ordens do APO05.03
aprovação do plano de negócios conceitual,
programa programa
desingnando o conselho do programa ou membros
do comitê produzindo o resumo, revisando e APO07.03 Matriz de habilidades e Plano de obtenção dos APO05.03
atualizando o caso de negócio, desenvolvimento um competências benefícios do programa APO06.05
plano de benefícios obtidos, e obter aprovação das BAI05.02 Visão e objetivos
patrocinadores para prosseguir. comuns
Atividades
01 Acordar com o patrocínio do programa e nomear uma diretoria/comitê com membros com interesses estratégicos no programa,
que tenham responsabilidade pelas tomadas de decisão de investimento, e que serão significativamente impactados pelo
programa e serão necessários por permitir a entrega da mudança.
02 Confirmar o mandato do programa com os patrocinadores e partes interessadas. Articular os objetivos estratégicos ao programa,
as estratégias pontenciais de entrega, melhoria e benefícios que são esperados ao resultado, e como o programa se encaixa com
outras iniciativas.
03 Desenvolver um caso de negócio detalhado ao programa, se necessário. Envolver tidas as partes interessadas para desenvolver e
documentar o entendimento completo dos resultados corporativos esperados, os riscos envolvidos e os impactos sobre todos os
aspectos corporativos. Identificar e avaliar cursos alternativos para alcançar os resultados empresariais.
04 Desenvolver um plano de atingimento dos benefícios do qual será gerido ao longo do programa para assegurar que os benefícios
planejados estão atrelados a donos e são alcançados, sustentáveis e otimizados.
05 Preparar e submeter em principio, a aprovação (conceitual) do caso de negócio do programa inicial, fornecendo informações
essenciais de tomada de decisão em relação propósito, contribuição aos objetivos de negócio, valor esperado gerado, prazos, etc.
06 Nomear um gestor dedicado ao programa, com as competências e habilidades compatíveis para gerir o programa de forma eficaz
e eficiente.
122
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
123
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
valor através da obtenção de benefícios para o negócio e metas de forma consistente, abordando riscos e alcançando os requisitos
das partes interessadas.
05 Configurar escritório(s) de gestão do programa/projeto e planejar auditoras, revisões de qualidade, revisões de mudança de fase e
revisões de benefícios percebidos.
Prática de Gestão Entradas Saídas
BAI01.06 Monitorar, controlar e reportar os De Descrição Descrição Para
resultados do programa EDM02.03 Opinião quanto ao Resultado de revisões MEA01.03
Monitorar e controlar o desempenho do programa desempenho do do desempenho dos
(entrega da solução) e da companhia portfólio e do programa programas
(valor/resultados) em relação ao plano através do
APO05.02 Expectativas de retorno Resultados da revisão EDM02.01
ciclo de vida económico do investimento. Reportar o
de investimento de mudança de fase APO02.04
desempenho ao Comitê Diretor do programa e aos
APO05.03 Avaliação do estudo do APO05.04
patrocinadores.
negócio
APO05.04 Relatório de
desempenho do
portfolio de
investimento
APO05.06 Ações corretivas para
aumento da obtenção
de benefícios
Benefícios alcançados e
as comunicações
relacionadas
APO07.05 Registro de utilização de
recursos
Análise de deficiência de
recursos
BAI05.04 Comunicação de
benefícios
BAI06.03 Relatórios de status de
requisição de mudanças
BAI07.05 Resultados da avaliação
de aceites
124
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
125
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Atividades
01 Estabelecer uma abordagem formal de gestão de risco do projeto alinhada com a estrutura de ERM. Assegurar de que a
abordagem inclua identificar, analisar, responder, mitigar, monitorar e controlar os riscos.
02 Atribuir pessoal devidamente qualificado para a responsabilidade de executar os processos de gestão de riscos de projetos
corporativos dentro de um projeto e assegurar que este está incorporado nas práticas de desenvolvimento de solução. Considerar
alocar esse papel a uma equipe independente, especialmente se um ponto de vista específico é necessário ou um projeto é
considerado crítico.
03 Efetuar a avaliação de risco do projeto para identificação e quantificação de risco de forma contínua ao longo do projeto. Gerir e
comunicar os riscos adequadamente dentro da estrutura de governança do projeto.
04 Reavaliar o risco do projeto periodicamente, incluindo no início de cada fase principal e como parte das principais avaliações de
solicitação de mudanças.
05 Identificar os responsáveis pelas ações para evitar, aceitar ou mitigar os riscos.
06 Manter e revisar um registro de riscos do projeto de todos os pontenciais riscos de projeto, e um registro de mitigação de risco de
todos os problemas do projeto e suas resoluções. Analisar o registro periodicamente para tendências e problemas recorrentes de
forma a assegurar que as causas raíz são corrigidas.
126
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
127
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
128
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
129
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI02.02
Realize um estudo de viabilidade e I R A R C C C C R R C C C C C
formule soluções alternativas.
BAI02.03
R R A R C C C C R C C C C C
Gerencie os riscos de requisitos.
BAI02.04
Obtenha aprovação dos requisitos e R R A R R C C R C R R C C C C
soluções.
Construir, Adquirir e Implementar
BAI02.02
Realize um estudo de viabilidade e R R A R C C C C C C C C C C
formule soluções alternativas.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
BAI02 Práticas de Processo, Entradas/Saídas e Atividades
BAI02 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
Bai02.01 Defina e mantenha os requisitos De Descrição Descrição Para
funcionais e técnicos. APO01.06 Procedimentos de Respositório de definição de BAI03.01
Baseado no caso de negócio, identificar, priorizar, integridade de dados requisitos BAI03.02
especificar e alinhar com informações de negócios, Diretrizes de BAI04.01
requisitos funcionais, técnicos e de controle segurança e controle BAI05.01
cobrindo o escopo/entendimento de todas as de dados
iniciativas necessárias para atingir os resultados Diretrizes de
esperados da solução de negócios habilitada por TI. classificação de dados
APO03.01 Princíoios de Critérios de aceitação BAI03.01
arquitetura confirmados pelas partes BAI03.02
interessadas BAI04.03
BAI05.01
BAI05.02
APO03.02 Modelo de arquitetura Registro de requisitos de BAI03.09
da informação solicitações de mudanças
Descrições dos
parametros de
domínio e definição de
arquitetura
APO03.05 Guida de
desenvolvimento de
soluções
APO10.02 RFI e RFP de
fornecedores
APO11.03 Critérios de aceitação
130
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
131
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
com os critérios originais de aceite. Tenha a assinatura de patrocinadores de negócios e outras partes interessadas em cada
revisão de qualidade positiva.
BAI02 Orientação relacionada
BAI02 Orientação Relacionada
Padrão Relacionado Referência Detalhada
ITIL V3 2011 Desenho de Serviçco, 4.1 Coordenação do Desenho
132
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
133
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI03.01
R I R C C I C A C C C C C
Desenhe soluções de alto‐nível
BAI03.02
Desenhe components de solução R I R C C I C A C C C C C
detalhados
BAI03.03
Desenvolva components de R I R C C I C A C C C C C
solução
Construir, Adquirir e Implementar
BAI03.04
I R I I C C A I R R R C C C C
Adquira componentes de solução.
BAI03.05
R I R C C I C A C C C C C
Construa soluções.
BAI03.06
I R A R C C I C R C C C C C
Efetue garantia de qualidade.
BAI03.07
R A I C C I R R R R R R
Pepare‐se para testes das soluções.
BAI03.08
R A I I I I R R I I I I
Executar testes das soluções.
BAI03.09
I R A R I I C R R C C C C C
Gerencie mudanças a requisites.
BAI03.10
R R C C I C A C C C C C
Faça manutenção das soluções.
BAI03.11
Defina os serviços de TI e I I I I I R I C C C A I I
mantenha o porftólio de serviços.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
134
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
135
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
136
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
137
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
138
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
139
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
140
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI04.01 Avaliar a disponibilidade, I C C A R C C
desempenho e capacidade atuais e
criar um padrão.
BAI04.02 Avaliar o impacto no A C C R R C C
negócio
BAI04.03 Planejamento para R C C A R C C
requisitos de serviços novos ou
alterados.
141
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
06 Determinar o impacto dos cenários nas métricas de desempenho de negócio (ex.: receita, lucro, serviços ao cliente). Engajar a
linha de serviços, líderes funcionais (especialmente finanças) e regionais para entender a avaliação de impacto destes.
07 Assegurar que os donos dos processos de negócio entendam e concordem com os resultados da análise. Dos proprietários de
negócio, obter uma lista de riscos não aceitáveis que demandem uma resposta para reduzir o risco a níveis aceitáveis.
Prática de Gestão Entradas Saídas
BAI04.03 Planejamento para requisitos de serviços De Descrição Descrição Para
novos ou alterados. BAI02.01 Critérios de aceite Melhorias APO02.02
Planejar e priorizar as implicações de mudanças de confirmados pelas priorizadas
necessidades de negócio e requisitos de serviço para a partes interessadas
disponibilidade, desempenho e capacidade.
BAI03.01 Especificações de alto Planos de APO02.02
nível aprovadas capacidade e
BAI03.02 Especificações desempenho
detalhadas aprovadas
BAI03.03 Componentes de
solução documentados
Atividades
01 Revisar as implicações de disponibilidade e capacidade na análise de tendências de serviço.
02 Identificar as implicações na capacidade e disponibilidade de mudanças de necessidades de negócio e oportunidades de melhoria.
Utilizar técnicas de modelagem para validar a disponibilidade, desempenho e planos de capacidade.
03 Priorizar as melhorias necessárias e criar planos de capacidade e disponibilidade de custo justificável.
04 Ajustar os planos de capacidade e disponibilidade e acordos de nível de serviço baseado em processos de negócios novos,
propostos e/ou projetados e dando suporte a mudanças de serviços, aplicações e de infraestrutura, assim como revisões do
desempenho atual e utilização da capacidade, incluindo níveis de carga de trabalho.
05 Assegurar que a administração compare a demanda atual de recursos com a oferta e demanda previstas para avaliar as técnicas de
previsão atuais e fazer melhorias quando possível.
Prática de Gestão Entradas Saídas
BAI04.04 Monitorar e revisar a disponibilidade e De Descrição Descrição Para
capacidade. Relatórios de MEA01.03
Monitorar, medir, analisar, reportar e revisar a desempenho,
disponibilidade, desempenho e a capacidade. capacidade e
Identificar desvios dos padrões estabelecidos. Revisar disponibilidade
os relatórios de análise de tendência identificando
ações onde necessário, e assegurando que todos os
problemas restantes sejam endereçados.
142
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
143
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
144
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI05.01
R A C C R C R R C R C C R C C C C C C
Estabelecer o desejo de mudança.
BAI05.02
Formar um time de implementação I I C A C C R R C C C R R C C C C C C
efetivo.
BAI05.03
A C C R I R I I I I I I R I I I I I I I I
Comunicar a visão desejada.
145
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
e cascatear as mudanças.
02 Criar confiança entre o time central de implementação por meio de eventos cuidadosamente planejados com comunicação efetiva
e atividades em conjunto.
03 Desenvolver uma visão comum e objetivos que suportem os objetivos corporativos.
Prática de Gestão Entradas Saídas
BAI05.03 Comunicar a visão desejada. De Descrição Descrição Para
Comunicar a visão desejada para a mudança na Plano de comunicação BAI01.04
linguagem dos que serão afetados por ela. A da visão
comunicação deve ser feita pela alta administração e
Comunicação da visão BAI01.05
incluir o racional, os benefícios, a mudança, os
impactos da realização da mudança, a visão, o
cronograma e o envolvimento requerido das diversas
partes interessadas.
Atividades
01 Desenvolver o plano de comunicação da visão para endereçar os principais grupos de audiência, seus perfis comportamentais e
requisitos de informação, canais de comunicação e princípios.
02 Entregar a comunicação em níveis apropriados da corporação de acordo com o plano.
03 Reforçar a comunicação através de múltiplas reuniões e repetições.
04 Verificar o entendimento da visão desejada e responder a quaisquer problemas destacados pela equipe.
05 Responsabilizar todos os níveis de liderança pela demonstração da visão.
Prática de Gestão Entradas Saídas
BAI05.04 Empoderar participantes e identificar De Descrição Descrição Para
vitórias de curto prazo. Referência Estrutura Objetivos de APO07.04
Empoderar aqueles com papéis de implantação externa ao Organizacional da desempenho alinhados
assegurando que as responsabilidades sejam COBIT Organização de RH
atribuídas, treinamentos são ministrados, estruturas
Ganhos de curto prazo BAI01.04
organizacionais e processos de RH sejam alinhados.
identificados
Identificar e comunicar vitórias de curto prazo que
podem ser conquistadas e são importantes do ponto Comunicação dos BAI01.06
de vista de gestão de mudanças. benefícios
146
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
147
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
148
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
149
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
BAI06.01
Avaliar, Priorizar e Autorizar as A R C C C C R C R R C R C
requisições de mudança.
BAI06.02
A I C C C R I R R I C
Gerenciar mudanças emergenciais.
BAI06.03
C R C A R R R
Acompanhar e reportar o status
BAI06.04
Construir, Adquirir e Implementar
A R R C C C R C R R I I
Fechar e documentar mudanças
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
BAI06 Práticas de Processo, Entradas/Saídas e Atividades.
BAI06 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
BAI06.01 Avaliar, Priorizar e Autorizar as De Descrição Descrição Para
requisições de mudança. BAI03.05 Componentes de Análises de impacto Interno
Avaliar todas as requisições de mudança para solução configurados e
determinar o impacto nos processos de negócio e integrados
serviços de TI, e avaliar se a mudança vai afetar o
DSS02.03 Requisições de serviço Requisições de mudança BAI07.01
ambiente operacional e introduzir riscos inaceitáveis.
aprovadas aprovadas
Assegurar que as mudanças são registradas,
priorizadas, categorizadas, avaliadas, autorizadas, DSS03.03 Soluções propostas para
planejadas e agendadas. erros conhecidos
DSS03.05 Soluções sustentáveis Cronograma e plano de BAI07.01
identificadas mudança
DSS04.08 Mudanças de plano
aprovadas
DSS06.01 Recomendações e
análises de causa raiz
Atividades
01 Requisições formais de mudança para permitir aos donos de processos de negócio e TI a requisitar mudanças em processos de
negócio, infraestrutura, sistemas ou aplicações. Assegurar que todas as mudanças são iniciadas somente através do processo de
requisição de mudanças.
02 Categorizar todas as requisições de mudança (ex.: processos de negócio, infraestrutura, sistemas operacionais, redes, sistemas de
aplicação, softwares de aplicação de prateleira adquiridos) e relacionar os itens de configuração por elas afetados.
03 Priorizar todas as requisições com base em requisitos de negócio e técnicos, recursos requeridos, e razões regulatórias, contratuais
e legais para a mudança solicitada.
04 Planejar e avaliar todas as requisições de forma estruturada. Incluir análise de impacto em processos de negócio, infraestrutura,
sistemas e aplicações, planos de continuidade de negócio e provedores de serviço para assegurar que todos os componentes
afetados foram identificados. Avaliar a probabilidade de afetar adversamente o ambiente operacional e o risco de implementação
da mudança. Considerar implicações de segurança, legais, contratuais e de conformidade da mudança requisitada. Considerar
também as interdependências entre as mudanças. Envolver os proprietários de processo de negócio nos processos de avaliação,
quando apropriado.
150
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
151
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
152
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
153
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI 07.01
Estabelecer um plano de C R A C R C C R C R C R R R C
implementação
BAI07.02
Planejar processos de negócios, C R A C R C C R C R C R R R C
sistema e conversão de dados.
BAI07.03
A R R I C I R R I R R C
Planejar testes de aceitação
Construir, Adquirir e Implementar
BAI07.04
A R R I I R R I R R C
Estabelecer um ambiente de teste.
BAI07.05
A R R I I R R I R R C
Realizar testes de aceitação
BAI07.06
Promover para a produção e gerir os R A I I R R R I I I
lançamentos.
BAI 07.07
R A I I R R R I I I
Fornecer suporte de produção incial.
BAI07.08
Realizar uma revisão pós‐ R A I C C I R R R C I I
implementação
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
BAI07 Práticas de Processo, Entradas/Saídas e Atividades.
BAI07 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
BAI 07.01 Estabelecer um plano de De Descrição Descrição Para
implementação. BAI01.09 Plano de gerenciamento Plano de Interno
Estabelecer um plano de implementação que da qualidade implementação
abrange sistema e conversão de dados, critérios de aprovado
aceitação de teste, comunicação, formação, BAI06.01 Plano de mudança e Implementação do Interno
preparação da liberação, a promoção da produção, cronograma processo de
apoio antecipado à produção, um plano de Solicitações de mudança recuperação e reversão
recuperação / reversão e uma revisão pós‐ aprovadas
implementação. Obter a aprovação de partes
relevantes.
Atividades
01 Criar um plano de implementação que reflete a estratégia de implementação abrangente, a sequência das etapas de
implementação, requisitos de recursos, interdependências, os critérios para a gestão da aceitação da implementação em
produção, os requisitos de verificação da instalação, a estratégia de transição para apoio à produção e atualização de BCPs.
02 Confirmar se todos os planos de execução são aprovados pelas partes interessadas técnicas e de negócios e revisado pela
auditoria interna, conforme o caso.
03 Obter o compromisso dos provedores de solução externos para o seu envolvimento em cada etapa da implementação.
04 Identificar e documentar o processo de reversão e recuperação.
05 Formalmente avaliar o risco técnico e de negócios associado com a implementação e garantir que o risco chave é considerado e
tratado no processo de planejamento.
154
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
155
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
procedimentos de remediação quando os critérios de sucesso não forem atendidos (por exemplo, em caso de falhas significativas
na fase de testes, o plano fornece orientação sobre a possibilidade de avançar para a próxima fase, interromper o teste ou adiar a
implementação).
08 Confirme que todos os planos de teste estão aprovados pelas partes interessadas, incluindo donos de processos de negócios e de
TI, conforme o caso. Exemplos de tais agentes são gerentes de desenvolvimento de aplicações, gerentes de projeto e usuários
finais de processos de negócio.
Prática de Gestão Entradas Saídas
BAI07.04 Estabelecer um ambiente de teste. De Descrição Descrição Para
Definir e estabelecer um ambiente de teste seguro e Testar dados Interno
representativo do processo de negócios planejado e
das operações no ambiente de TI, desempenho e
capacidade, segurança, controles internos, práticas
operacionais, requisitos de qualidade de dados e
privacidade e cargas de trabalho.
Atividades
01 Criar um banco de dados com dados de teste que são representativos do ambiente de produção. Higienizar os dados utilizados no
ambiente de teste para a ambiente de produção de acordo com as necessidades do negócio e padrões organizacionais (por
exemplo, considerar se conformidades ou requisitos regulamentares obrigam o uso de dados de higienizados).
02 Proteger os dados de teste sensíveis e resultados contra qualquer divulgação, incluindo o acesso, retenção, armazenamento e
destruição. Considere o efeito da interação dos sistemas organizacionais com os de terceiros.
03 Coloque em prática um processo para permitir a retenção adequada ou eliminação dos resultados dos testes, mídia e outra
documentação associada para permitir a avaliação adequada e posterior análise conforme exigido pelo plano de teste. Considere
o efeito de requisitos regulamentares ou de conformidade.
04 Garantir que o ambiente de teste é representativo do futuro do negócio e do panoraman operacional, incluindo procedimentos de
processos de negócio e funções, o stress da carga de trabalho provável, sistemas operacionais, softwares aplicativos necessários,
sistemas de gerenciamento de banco de dados e de rede e infraestrutura de computação encontrados no ambiente de produção.
05 Garantir que o ambiente de teste é seguro e capaz de interagir com sistemas de produção.
Prática de Gestão Entradas Saídas
BAI07.05 Realizar testes de aceitação. De Descrição Descrição Para
Teste as mudanças de forma independente, em Log dos resultados do Interno
conformidade com o plano de teste definido antes teste
da migração para o ambiente operacional de
Avaliação dos resultados BAI01.06
produção.
da aceitação
Aceitação aprovada e BAI01.04
liberação para a
produção
156
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
157
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
158
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
159
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
BAI 08.01
Consolidar e facilitar uma cultura de A R R R R R R R R R R R R
compartilhamento do conhecimento
BAI08.02
Identificar e classificar as fontes de A R C C C R R R R
informação.
BAI08.03
Organizar e contextualizar C C I I A R R R
Construir, Adquirir e Implementar
informações em conhecimento
BAI08.04
A R R R C C C R C C C C
Usar e compartilhar conhecimento.
BAI 08.05
A C C R R R R R R R R R
Avaliar e retirar informações.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
BAI08 Práticas de Processo, Entradas/Saídas e Atividades.
BAI08 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
BAI 08.01 Consolidar e facilitar uma cultura de De Descrição Descrição Para
compartilhamento do conhecimento. Comunicações sobre o APO01.04
Conceber e implementar um esquema para nutrir e valor do conhecimento
facilitar uma cultura de partilha de conhecimentos.
Atividades
01 Comunicar de forma proativa o valor do conhecimento para incentivar a criação de conhecimento, utilização, reutilização e partilha.
02 Incentivar o compartilhamento e transferência de conhecimentos, identificando e alavancando fatores motivacionais.
03 Criar um ambiente, ferramentas e artefatos que apoiem o intercâmbio e transferência de conhecimentos.
04 Incorporar práticas de gestão do conhecimento em outros processos de TI.
05 Ajusta expectativas da administração e demonstrar atitude apropriada em relação à utilidade do conhecimento e a necessidade de
compartilhar o conhecimento da empresa.
Prática de Gestão Entradas Saídas
BAI08.02 Identificar e classificar as fontes de De Descrição Descrição Para
informação. For a do COBIT Requisitos de Classificação das fonts Interno
Identificar, validar e classificar diversas fontes de conhecimento e fontes de informação
informação internas e externas necessárias para
permitir a utilização e operação eficaz de processos
de negócios e serviços de TI.
Atividades
01 Identificar os usuários pontencias do conhecimento, incluindo proprietários de informações que podem de contribuir e aprovar
conhecimento. Obter requisitos de conhecimentos e fontes de informação de usuários identificados.
02 Considere os tipos de conteúdo (procedimentos, processos, estruturas, conceitos, políticas, regras, fatos, classificações), artefatos
(documentos, registros, vídeo, voz), e informações estruturadas e não estruturadas (especialistas, mídias sociais, e‐mail, correio de
voz, RSS feeds).
03 Classificar fontes de informação com base em um esquema de classificação de conteúdo (por exemplo, informações modelo de
arquitetura). Mapear fontes de informação para o esquema de classificação.
04 Coletar, coligir e validar fontes de informação com base nos critérios de validação de informação (por exemplo,
compreensibilidade, relevância, importância, integridade, precisão, consistência, confidencialidade, vigência e confiabilidade).
160
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
161
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
162
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI09.01
C C I C C A R C
Identificar e registrar o ativo corrente
BAI09.02
C I C C C R R A R C C C
Gerenciar ativos críticos.
BAI09.03
C C C A R R
Gerenciar o ciclo de vida do ativo.
BAI09.04
R I C A R R R R R
Otimizar os custos dos ativos
163
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
164
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
165
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
14 Disponibilidade de informações úteis e confiáveis para a Nível de satisfação dos usuários de negócios com qualidade e
tomada de decisão pontualidade (ou disponibilidade) das informações gerenciais
Número de incidentes de processos de negócios causadas por falta de
disponibilidade de informações
Relação e extensão das decisões de negócios errôneas onde a informação
errada ou não disponível era um fator chave
Objetivos e Métricas do Processo
Objetivo do Processo Métricas Relacionadas
01 Repositório de configuração é preciso, completo e Número de desvios entre o repositório de configuração e configuração
atualizado. atual
Número de discrepâncias relativas a informações de configuração
incompletas ou em falta
166
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
BAI10.01
Estabelecer e manter um modelo de C C C C I A R R
configuração.
BAI 10.02
Estabelecer e manter um repositório C R A R R
de configuração e linha de base
BAI10.03
Manter e controlar os itens de A C R R R C
167
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
168
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
03 Gerenciar Problemas.
04 Gerenciar Continuidade.
169
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
170
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS01.01
A C C C
Executar procedimentos operacionais.
DSS01.02
I A R
Gerenciar serviços terceirizados.
DSS01.03
I C I C I C A C C
Monitorar a infraestrutura de TI.
DSS01.04
I C A C C C I C R I R I
Gerenciar o ambiente.
DSS01.05
I C A C C C I C R I R I
Gerenciar as Instalações.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
DSS01 Práticas de Processo, Entradas/Saídas e Atividades.
DSS01 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
DSS01.01 Executar procedimentos operacionais. De Descrição Descrição Para
Manter e executar procedimentos e tarefas BAI05.05 Plano de operação e uso Agenda operacional Interna
operacionais com confiabilidade e consistência.
Registro de Backup Interna
Atividades
01 Desenvolver e manter procedimentos operacionais e atividades relacionadas para suporte a todos os serviços entregues.
171
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
172
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
173
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
174
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS02.01
Definir esquemas de classificação de C I I A C R R R C C C
registros de incidentes e de serviços.
DSS02.02
Registrar, classificar e priorizar as I I I A R I
solicitações e incidentes.
DSS02.03
Verificar, aprovar e atender as R I R R A
solicitações de serviços.
DSS02.04
Investigar, diagnosticar e atribuir R I I I I I C R A C
incidentes.
DSS02.05
Resolver e recuperar operações após I I I C C I R R A R C
incidesntes
DSS02.06
Fechar requisições de serviços e I I I I I I I A I R I
incidentes.
DSS02.07
I I I I I I I A R I
Rastrear situações e gerar reportes.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
175
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
176
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
177
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
178
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS03.01
I C I I I I R C R R A C
Identificar e Classificar Problemas.
DSS03.02
I I C C A R R
Investigar e Diagnosticar Problemas.
DSS03.03
A R R
Identificar Erros Conhecidos.
DSS03.04
I C I I C C I C C R A
Resolver e Encerrar Problemas.
DSS03.05
Executar Gerenciamento Proativo de C C C R A
Problemas.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
DSS03 Práticas de Processo, Entradas/Saídas e Atividades.
DSS03 Práticas de Processo, Entradas/Saídas e Atividades
Prática de Gestão Entradas Saídas
DSS03.01 Identificar e classificar problemas. De Descrição Descrição Para
Definir e implementar critérios e procedimentos para APO12.06 Causas Raiz relacionadas Esquema de DSS02.01
relatar problemas identificados, incluindo a a Riscos Classificação de
classificação, categorização e priorização de Problemas
problemas.
179
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Atividades
01 Fechar registros de problemas, quer após a confirmação da eliminação bem sucedida do erro conhecido ou após um acordo com o
negócio sobre como lidar alternativamente com o problema.
02 Informar ao Service Desk sobre a programação de encerramento do problema, por exemplo, a programação para corrigir os erros
conhecidos, a possível solução alternativa ou o fato de que o problema permanecerá até que uma mudança seja implementada, e
as consequências da abordagem adotada. Mantenha os usuários afetados e os clientes informados conforme o caso conforme
apropriado.
03 Durante todo o processo de resolução, obter reportes regulares de gestão da mudança sobre o progresso na resolução de
problemas e erros.
04 Monitorar o impacto contínuo de problemas e erros conhecidos sobre os serviços.
05 Rever e confirmar o sucesso de resoluções de problemas maiores.
06 Certificar‐se de que o conhecimento aprendido a partir da revisão seja incorporado numa reunião de revisão de serviço com o
cliente de negócio.
Prática de Gestão Entradas Saídas
DSS03.05 Executar o gerenciamento proativo de De Descrição Descrição Para
problemas. Reportes do DSS02.07
Coletar e analisar dados operacionais (especialmente Monitoramento da
registros de incidentes e mudanças) para identificar Resolução de Problemas
as tendências emergentes que podem indicar
Soluções Sustentáveis BAI06.01
problemas. Registrar problemas para permitir a
identificadas
avaliação.
180
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
181
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
02 Resiliência suficiente está implementada para os serviços Número de sistemas críticos ao negócio não cobertos pelo plano
críticos.
03 Testes de continuidade de serviços verificam a Número de exercícios e testes que atingem os objetivos de recuperação
efetividade do plano. Frequência dos testes
04 Um plano atualizado de continuidade reflete os requisitos Porcentagem de melhorias ao plano que foram efetivamente refletidas no
atuais de negócios. plano
Porcentagem de questões identificadas que foram posteriormente
contempladas no plano
05 Partes internas e externas foram treinadas no plano de Porcentagem de partes interessadas internas e externas que tenham
continuidade. recebido treinamento
Porcentagem de questões identificadas que foram posteriormente
abordadas nos materiais de treinamento
182
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS04.01
Definir a política de continuidade de A C R C C C R R C R R
negócios, seus objetivos e escopo.
DSS04.02
Manter uma estratégia de A C R I C C R R C R R
continuidade.
DSS04.03
Desenvolver e implementar uma I R I C C R C C R A
resposta de continuidade de negócio.
DSS04.04
Exercitar, testar e revisar o Plano de I R I R R C R A
Continuidade de Negócio (BCP).
DSS04.05
Revisar, manter e melhorar o plano A I R I R C R R
de continuidade.
DSS04.06
Conduzir treinamento no plano de I R R R R R A
continuidade.
DSS04.07
C A R
Gerenciar preparativos para backup.
DSS04.08
183
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
03 Assegurar que os principais fornecedores e parceiros terceiros tenham planos de continuidade eficazes implementados. Obter
evidências auditadas, conforme necessário.
04 Definir as condições e procedimentos de recuperação que permitam retomada do processamento de negócios, incluindo a
atualização e a reconciliação das bases de dados de informação para preservar a integridade das informações.
05 Definir e documentar os recursos necessários para suportar os procedimentos de continuidade e recuperação, considerando‐se as
pessoas, instalações e infra‐estrutura de TI.
06 Definir e documentar requisitos de backup de informações necessários para suportar os planos, incluindo planos e documentos
em papel, bem como arquivos de dados, e considerar a necessidade de segurança e local de armazenamento externo.
07 Determinar habilidades necessárias para os indivíduos envolvidos na execução do plano e dos procedimentos.
08 Distribuir os planos e documentação de suporte de forma segura para partes interessadas devidamente autorizadas e verificar que
eles são acessíveis em todos os cenários de desastres.
Prática de Gestão Entradas Saídas
DSS04.04 Exercício, testar e rever o Plano de De Descrição Descrição Para
Continuidade de Negócio (BCP). Objetivos dos testes Interna
Testar as providências de continuidade em uma
Execicíos de testes Interna
base regular para exercer os planos de recuperação
contra resultados predeterminados e para permitir Resultados dos testes e Interna
que soluções inovadoras sejam desenvolvidas e recomendações
ajudar a verificar ao longo do tempo que o plano vai
funcionar como previsto.
184
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
185
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
04 Obter a aprovação da gerência para quaisquer alterações ao plano e aplicar através do processo de controle de mudanças
empresa.
DSS04 Orientação relacionada
DSS04 Orientação Relacionada
Padrão Relacionado Referência Detalhada
BS 25999:2007 Padrão de Continuidade de Negócio
ISO/IEC 20000 6.3 Gerenciamento de Continuidade de Serviços e Disponibilidade
ISO/IEC 27002:2011 104 Gerencimanto da Continuidade do Negócio
ITIL V3 2011 Desenho do Serviço, 4.6 Gerenciamento da Continuidade do Serviço de TI.
186
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
05 Informação eletrônica é devidamente segura quando Número de incidentes relacionados a acesso não autorizado à
armazenada, transmitida e destruída. informação
187
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS05.01
R I C A R C C C I R R I R
Proteger contra software malicioso.
DSS05.02
Gerenciar a segurança das conexões I C A C C C I R R I R
de rede e conectividade
DSS05.03
I C A C C C I R R I R
Gerenciar a segurança dos endpoints
DSS05.04
Gerenciar identidade de usuários e R C A I C C C I C R I R C
acessos lógicos.
DSS05.05
Gerenciar acesso físicos aos ativos de I C A C C C I C R I R I
TI
DSS05.06
Gerenciar documentos sensíveis e I C C A R
dispositivos de saída.
DSS05.07
Monitorar a infraestrutura por I C I A C C C I C R I R I I
eventos de segurança.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
Entregar, Serviço e Suporte
188
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
189
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
190
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
191
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
192
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
DSS06.01
Alinhar as atividades de controle
incorporadas em processos de C C C A R I I C C C C C C C
negócios com os objetivos
empresariais.
DSS06.02
Controlar o processamento de R R R A R I I C C C C C C
informações.
DSS06.03
Gerenciar papéis, responsabilidades,
R A R I I C C C C C R C
privilégios de acesso e níveis de
autoridade.
DSS06.04
I I A C C I C R
Gerenciar erros e exceções.
DSS06.05
Garantir a rastreabilidade de eventos C A I C C C C C C
de informação e registros.
DSS06.06
C C C A I I C C C C C C C
Proteja ativos de informação
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
DSS06 Práticas de Processo, Entradas/Saídas e Atividades.
193
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
194
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
195
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
196
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
197
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
198
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
Prática de Gestão
MEA01.01
Estabelecer uma abordagem de A R R R I C I C C C R I C C I C I I I
monitoração.
MEA01.02
Definir metas de desempenho e I I I A R I C C C R R I R I I I
conformidade.
MEA01.03
Coletar e processar dados de C R I C A R R I R I I I
desempenho e conformidade.
MEA01.04
A R C C C C C C R R C R C C C
Analisar e reportar o desempenho.
MEA01.05
Garantir a aplicação de medidas I I I I C R C C C C A C R R C R C C C
corretivas.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 101 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
MEA01 Práticas de Processo, Entradas/Saídas e Atividades.
MEA01 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
MEA01.01 Estabelecer uma abordagem de De Para Descrição Para
monitoramento. EDM05.01 Princípios de relatórios e Requisitos de Interno
Envolver‐se com as partes interessadas para de comunicações monitoramento
estabelecer e manter uma abordagem de Avaliação de requisitos Métricas e metas de Interno
monitoramento para definir os objetivos, escopo, de relatórios monitoramento
método para medir a solução de negócios, entrega corporativos aprovadas
de serviços e de contribuição para os objetivos da
EDM05.02 Regras para avaliação e
empresa. Integrar esta abordagem com o sistema de
aprovação de relatórios
gerenciamento de desempenho corporativo.
obrigatórios
EDM05.03 Avaliação da eficácia de
relatórios
Atividades
01 Identificar as partes interessadas (por exemplo, gestores, proprietários e usuários de processo).
02 Envolver‐se com as partes interessadas e comunicar os requisitos e objetivos da empresa para o monitoramento, agregando e
relatórios, usando definições comuns (por exemplo, glossário da empresa, metadados e taxonomia), baselining e benchmarking.
03 Alinhar e continuamente manter o monitoramento e a abordagem de avaliação com a abordagem empresarial e as ferramentas a
Monitorar, Avaliar e Analisar
serem utilizados para a coleta de dados e geração de relatórios corporativos (por exemplo, aplicações de business intelligence).
04 Acordar sobre as metas e métricas (por exemplo, conformidade, desempenho, valor, risco), taxonomia (classificação e relações
entre objetivos e métricas) e de retenção de dados (provas).
05 Acordar sobre a gestão do ciclo de vida e processo de controle de mudanças para o monitoramento e relatórios. Incluir
oportunidades de melhoria para relatórios, métricas, abordagem, baselining e benchmarking.
06 Solicitar, priorizar e alocar recursos para o monitoramento (considere adequação, eficiência, eficácia e confidencialidade).
07 Periodicamente validar a abordagem utilizada e identificar novas ou alterações nas partes interessadas, requisitos e recursos.
199
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
200
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
201
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
202
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
MEA02.01
I C I C R R R R R A I R R R R R R R
Monitorar os controles internos.
MEA02.02
Revisar a eficácia dos controles de I I R I A R I I I R R C C C C C
processos de negócios.
MEA02.03
Realizar auto avaliações dos I C I C R R R R R A I R R R R R R R
controles.
MEA02.04
Identificar e reportar deficiências nos I C I C R R I I R R A I R R R R R R R
controles.
MEA02.05
Assegurar que os provedores de
R A A R
garantias são independentes e
qualificados
MEA02.06
A C R C C C R C C C C C C C C
Planejar iniciativas de garantia
MEA02.07
R R R C C A R C C C C C C C C
Definir o escopo de ações de garantia
MEA02.08
I I C R C I I C A R C C C C C C C C
Executar iniciativas de garantia
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
MEA02 Práticas de Processo, Entradas/Saídas e Atividades.
MEA02 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
MEA02.01 Monitorar os controles internos. De Descrição Descrição Para
Continuamente monitorar, avaliar e melhorar APO12.04 Resultados de Resultados do EDM01.03
ambiente de TI e estrutura de controle para atender avaliações de riscos de monitoramento e APO Todos
os objetivos da organização. por terceiros revisão dos controles BAI Todos
internos DSS Todos
MEA Todos
APO13.03 Relatórios de auditoria Resultados de EDM01.03
do ISMS benchmarking e outras APO Todos
Referência Padrões Internacionais e avaliações BAI Todos
Monitorar, Avaliar e Analisar
203
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
204
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
and Assurance Standards Board’s (IAASB’s), International Framework for Assurance Engagements (IAASB Assurance Framework).
02 Estabelecer a independência dos prestadores de garantia.
03 Estabelecer competência e qualificação dos prestadores de garantia.
205
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
206
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
207
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
208
Personal Copy of: Mr. Carlos Francisco Ferreira
CAPÍTULO 5
CONTEÚDO DO GUIA DE REFERÊNCIAS DE PROCESSOS DO COBIT 5
Chefe de Administração de TI
Comitê Executivo Estratégico
Diretor de Operações (COO)
Conselho de Administração
Chefe de Desenvolvimento
Chefe de Operações de TI
Conselho de Arquitetura
Diretor Financeiro (CFO)
Oficial de Privacidade
Chefe de Arquitetura
Gerente de Serviços
Diretor de TI (CIO)
Conformidade
Chefe de RH
Auditor
MEA03.01
Identificar requerimentos externos de A R R R R R
conformidade.
MEA03.02
R R R A R I R R R R I R R R R R R R
Otimizar respostas a requerimentos.
MEA03.03
I R R R R R I I C A I R C C C C C C C R
Confirmar conformidades externas.
MEA03.04
Obter garantia de conformidade I I I I C C I C C A R C C C C C C C C
externas.
Nota: Algumas práticas de governança e gestão produzem saídas que servem como entradas para outras práticas. Estas saídas são detalhadas
na figura 11 Por favor, verifique a figura 11 para garantir a cobertura necessária quando estiver trabalhando com as práticas que as seguem.
MEA03 Práticas de Processo, Entradas/Saídas e Atividades.
MEA03 Práticas de Processo, Entradas/Saídas e Atividades.
Prática de Gestão Entradas Saídas
MEA03.01 Identificar requerimentos externos de De Descrição Descrição Para
conformidade. Referência Requerimentos de Registro de Interno
Com base continua, identificar e monitorar externa ao conformidade legais e requerimentos de
alterações em leis e regulações locais e COBIT regulatórios Conformidade
internacionais, assim como outros requerimentos
Registro de ações de Interno
externos de TI que precisam ser atendidos.
confomidade requeridas
Atividades
01 Atribuir responsabilidades por identificação e monitoramento de quaisquer alterações legais, regulatórias e outros requerimentos
contratuais externos relevantes para o uso de recursos de TI e para o processamento de informações de negócios e operações de
TI da empresa
02 Identificar e avaliar todos os potenciais requerimentos de conformidade e impactos em atividade de TI em áreas como fluxo de
dados, privacidade, controles internos, reportes financeiros, regulações industriais específicas, propriedade intelectuais, saúde e
segurança
03 Avaliar o impacto à TI relacionado a requerimentos legais e regulatórios em contratos com fornecedores de operações de TI,
provedores de serviço e parceiros de negócio.
04 Obter aconselhamento independente, onde for apropriado, quanto a alterações aplicáveis a leis, regulações e standards
05 Manter um registro atualizado de todos os requerimentos relevantes legais, regulatórios e contratuais, assim como impactos e
ações requeridas.
06 Manter um registro harmonizado e geral de requerimentos de conformidade externos para a empresa.
Monitorar, Avaliar e Analisar
209
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
210
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
Figura 13 apresenta os modelos da ISACA incluídos no COBIT 5.
Figura 13 ‐ Modelos da ISACA incluídos no COBIT 5
O mapeamento do COBIT 4.1, Val IT e componentes de Risco de TI para o COBIT 5 está representado nas
figuras 14, 15 e 16.
Figura 14 – Objetivos de Controle do COBIT 4.1 Mapeados para COBIT 5
Figura 14 – Objetivos de Controle do COBIT 4.1 Mapeados para COBIT 5
Objetivo de Controle COBIT 4.1 Coberto no COBIT 5 por:
AC1 Preparação e Autorização de Dados Originais DSS06.02; DSS06.03; BAI03.02; BAI03.03;
BAI03.05; BAI03.07
AC2 Entrada e Coleta de Dados Fontes DSS06.02
AC3 Testes de Veracidade, Totalidade e Autenticidade DSS06.02
AC4 Processamento Íntegro e Válido DSS06.02
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros DSS06.02
AC6 Autenticação e Integridade das Transações DSS06.02
PO1.1 Gerenciamento de Valor da TI EDM02
PO1.2 Alinhamento entre TI e Negócio APO02.01
PO1.3 Avaliação da Capacidade e Desempenho Correntes APO02.02
PO1.4 Plano Estratégico de TI APO02.03‐05
PO1.5 Planos Táticos de TI APO02.05
PO1.6 Gerenciamento do Portfólio de TI APO05.05
PO2.1 Modelo de Arquitetura da Informação da Organização APO03.02
PO2.2 Dicionário de Dados Corporativos e Regras de Sintaxe de Dados APO03.02
PO2.3 Esquema de Classificação de Dados APO03.02
PO2.4 Gerenciamento de Integridade APO01.06
PO3.1 Planejamento da Diretriz Tecnológica APO02.03; APO04.03
PO3.2 Plano de Infraestrutura Tecnológica APO02.03‐05; APO04.03‐05
PO3.3 Monitoramento de Regulamentos e Tendências Futuras EDM01.01; APO04.03
PO3.4 Padrões Tecnológicos APO03.05
PO3.5 Conselho de Arquitetura de TI APO01.01
PO4.1 Estrutura de Processos de TI APO01.03; APO01.07
PO4.2 Comitê Estratégico de TI APO01.01
PO4.3 Comitê Executivo de TI APO01.01
211
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
212
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
213
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
214
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
215
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
216
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE A
MAPEAMENTO DO COBIT5 E MODELOS LEGADOS DA ISACA
217
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
218
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE B
MAPEAMENTO DETALHADO DOS OBJETIVOS CORPORATIVOS – OBJETIVOS DE TI
APÊNDICE B
MAPEAMENTO DETALHADO DOS OBJETIVOS CORPORATIVOS – OBJETIVOS
DE TI
The COBIT 5 goals cascade is explained in chapter 02 Figure 17 contains:
A cascata de objetivos do COBIT 5 é explicada no capitulo 02 A figura 17 contém:
Nas colunas, todos os 17 objetivos corporativos genéricos definidos no COBIT 5, agrupados pela dimensão BSC
Nas linhas, todos os 17 objetivos de TI, também agrupados pela dimensão BSC de TI
Um mapeamento de como cada objetivo corporativo é apoiado pelos objetivos de TI. Esse mapeamento é
expresso utilizando a seguinte escala:
– ‘P’ significa primário, quanto há um relacionamento importante, quando o objetivo de TI representar um apoio
fundamental para o objetivo corporativo.
– ‘S’ significa secundário, quando houver uma relação importante, mas menos importante, ou seja, quando o
objetivo de TI representar um apoio secundário para o objetivo corporativo.
A tabela foi criada com base nos seguintes itens:
Pesquisas da University of Antwerp Management School IT Alignment e do Governance Research Institute
Revisões adicionais e opiniões de especialistas obtidas durante o desenvolvimento e revisão do COBIT 5
Ao utilizar a tabela da figura 17, por favor, considere as observações feitas no capitulo 2 sobre como utilizar a
cascata de objetivos do COBIT 5.
Figura 17 – Mapeamento dos Objetivos Corporativos do COBIT 5 com os Objetivos de TI
Figura 17 – Mapeamento dos Objetivos Corporativos do COBIT 5 com os Objetivos de TI
Objetivos Corporativos do COBIT 5
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Objetivos de TI Financeira Cliente Interna T&c
01 Alinhamento da estratégia de negócios e de TI P P S P S P P S P S P S S
Conformidade de TI e suporte para conformidade do negócio
02 S P P
com as leis e regulamentos externos
Financeira
219
Personal Copy of: Mr. Carlos Francisco Ferreira
: HABILITANDO PROCESSOS
12 S P S S S S P S S S S
integração de aplicativos e tecnologia
Entrega de programas fornecendo benefícios, dentro do
13 P S S S S S P
prazo, orçamento e atendendo requisitos
Disponibilidade de informações úteis e confiáveis para a
14 S S S S P P S
tomada de decisão
15 Conformidade de TI com as políticas internas S S P
16 Equipes de TI e de negócios motivadas e qualificadas S S P S S P P S
T&C
220
Personal Copy of: Mr. Carlos Francisco Ferreira
APÊNDICE C
MAPEAMENTO DETALHADO DOS OBJETIVOS DE TI – PROCESSOS DE TI
processamento e aplicativos
requisitos de negócio
tomada de decisão
Agilidade de TI
decisões de TI
tecnológicas
negócios
serviços
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Processos COBIT5 Financeira Cliente Interna T&C
Garantir a
Definição e
EDM01 Manutenção do P S P S S S P S S S S S S S S S
Avaliar, Dirigir e Monitorar
Modelo de
Governança
Garantir a
EDM02 Realização de P S P P P S S S S S S P
Benefícios
Garantir a
EDM03 Otimização do S S S P P S S P S S P S S
Risco
Garantir a
EDM04 Otimização de S S S S S S S P P S P S
Recursos
221
Personal Copy of: Mr. Carlos Francisco Ferreira
Construi Alinhar, Planejar e Organizar
222
EDM05
Processos COBIT5
Partes
custos
serviços
projetos
recursos
portfolio
inovação
humanos
BAI01 Gerenciar
APO13 Gerenciar
APO11 Gerenciar
APO10 Gerenciar
APO09 Gerenciar
APO08 Gerenciar
APO07 Gerenciar
APO06 Gerenciar
APO05 Gerenciar
APO04 Gerenciar
APO03 Gerenciar
qualidade
estratégia
Garantir a
segurança
APO02 Gerenciar a
APO01 Gerenciar a
organização
estrutura de
programas e
Interessadas
contratos de
gestão de TI.
orçamento e
prestação de
fornecedores
arquitetura da
S
S
S
S
S
P
P
P
P
P
P
P
01
Alinhamento da estratégia de negócios e de TI
S
S
S
S
P
P
P
02
negócio com as leis e regulamentos externos
Compromisso da gerência executiva com a tomada de
S
S
S
S
S
S
S
S
P
03
decisões de TI
S
S
S
S
S
S
S
S
S
S
P
P
P
P
04
Gestão de risco organizacional de TI
Financeira
Benefícios obtidos pelo investimento de TI e portfólio de
S
S
S
S
S
P
P
P
P
P
05
serviços
S
S
S
S
S
S
P
P
P
P
06
Transparência dos custos, benefícios e riscos de TI
S
S
S
S
S
S
S
S
P
P
P
P
P
P
07 requisitos de negócio
Cliente Uso adequado de aplicativos, informações e soluções
S
S
S
S
S
S
S
S
S
S
S
P
08
tecnológicas
: HABILITANDO PROCESSOS [MEA]
S
S
S
S
S
S
P
P
P
P
09
Agilidade de TI
S
S
S
S
S
Objetivo de TI
P
P
10
processamento e aplicativos
P
P
P
P
11
S
S
S
S
P
12
S
S
S
S
S
S
S
P
P
P
P
P
13
S
S
S
S
S
S
S
S
P
P
14
tomada de decisão
S
S
S
S
S
S
S
S
P
15
S
S
S
S
S
P
P
16
S
S
S
S
S
S
S
P
P
P
P
P
17
negócios
Entregar, Serviço e Suporte
Processos COBIT5
Serviços
mudança
mudança
DSS05 Gerenciar
DSS04 Gerenciar
DSS03 Gerenciar
DSS02 Gerenciar
DSS01 Gerenciar
BAI10 Gerenciar
BAI08 Gerenciar
BAI07 Gerenciar
BAI06 Gerenciar
BAI05 Gerenciar
BAI04 Gerenciar
BAI03 Gerenciar
BAI02 Gerenciar
requisitos
mudanças
Segurança
Problemas
Operações
Serviços de
capacidade
aceitação e
de soluções
transição da
definição de
configuração
Incidentes de
Continuidade
Solicitações e
capacidade da
conhecimento
organizacional
identificação e
S
S
S
S
S
P
01
Alinhamento da estratégia de negócios e de TI
S
S
S
S
S
P
P
02
negócio com as leis e regulamentos externos
Compromisso da gerência executiva com a tomada de
S
S
S
03
decisões de TI
S
S
S
S
S
S
P
P
P
P
P
P
04
Gestão de risco organizacional de TI
Financeira
Benefícios obtidos pelo investimento de TI e portfólio de
S
S
S
S
S
S
S
S
S
S
05
serviços
S
P
06
Transparência dos custos, benefícios e riscos de TI
S
S
S
S
S
P
P
P
P
P
P
P
P
07
requisitos de negócio
Uso adequado de aplicativos, informações e soluções
Cliente
S
S
S
S
S
S
S
S
S
S
S
P
P
08
tecnológicas
S
S
S
S
S
S
S
S
S
S
P
09
Agilidade de TI
S
S
S
S
S
S
S
Objetivo de TI
P
P
10
S
S
S
S
S
S
S
P
P
P
P
P
11
S
S
S
S
S
S
P
P
12
S
S
S
S
S
P
13
S
S
S
S
S
S
S
S
S
P
P
P
P
14
tomada de decisão
S
S
S
S
S
S
S
S
S
15
S
S
S
16
S
S
S
S
S
S
S
S
S
P
P
17
negócios
223
MAPEAMENTO DETALHADO DOS OBJETIVOS DE TI – PROCESSOS DE TI
APÊNDICE C
MNonitorar, Avaliar e Analisar
224
Processos COBIT5
Negócio
externos
DSS06 Gerenciar
MEA03 Monitorar,
MEA02 Monitorar,
MEA01 Monitorar,
o sistema de
Controles de
Processos de
conformidade
a conformidade
controle interno
o desempenho e
avaliar e analisar
avaliar e analisar
avaliar e analisar
com os requisitos
S
01
Alinhamento da estratégia de negócios e de TI
S
S
P
P
02
negócio com as leis e regulamentos externos
Compromisso da gerência executiva com a tomada de
S
03
decisões de TI
P
P
P
P
04
Gestão de risco organizacional de TI
Financeira
Benefícios obtidos pelo investimento de TI e portfólio de
S
S
05
serviços
S
S
06
Transparência dos custos, benefícios e riscos de TI
S
S
P
P
07 requisitos de negócio
Cliente Uso adequado de aplicativos, informações e soluções
S
S
S
08
tecnológicas
: HABILITANDO PROCESSOS [MEA]
S
09
Agilidade de TI
S
S
S
S
Objetivo de TI
10
processamento e aplicativos
P
11
tomada de decisão
S
S
P
P
15
negócios