1. Introdução
1.1. Foi desenvolvido em sobre 5 píncipios básico
1.1.1. Principio 1 - Satisfazer as necessidades da partes interessadas
1.1.1.1. As empresas existem para criar valor a suas partes interessadas (stakeholders), mantendo o equilibrio entre a realização de benefícios e a otimização dos riscos e o uso dos recursos. Cobit 5 provê todos os processos necessários e outros facilitadores (enablers) para permitir a criação de valor do negócio mediante ao uso de TI. Dado que toda a empresatem objetivos diferentes, uma empresa pode customizar, o Cobit 5 para adapta-lo ao seu próprio contexto, mediante a cascata de metas, traduzindo metas coorporativas de alto nível em outras metas mais gerenciaveis, específicas, relacionadas com TI e mapeando-as com processos e práticas específicas
1.1.2. Principio 2 - Cobrir a Empresa de Ponta a Ponta
1.1.2.1. O Cobit 5 integra a Governança e a Gestão na Governança Coorporativa Cobre todas as funções e processos dentro da empresa, Cobit 5 não se enfoca somente na função de TI, mas trata informação e tecnologias relacionadas como ativos, assim como qualquer outro ativo de TI Considera que os facilitadores relacionados com TI para a governança e gestão, devem ser a nível de toda a empresa, do principio ao fim, incluindo ao todo e a todos, internos e externos, os que sejam relevantes para a governança e a gestão da informação da empresa e TI relacionada.
1.1.3. Principio 3 - Aplicar uma estrutura de referencia única e integrada
1.1.3.1. Há muitos padrões e boas praticas em relação à TI, cada uma oferece ajuda para um subgrupo de atividades de TI. O COBIT 5 se alinha a alto nível com outros padrões e estruturas de trabalho relevantes, e deste modo pode fazer a função de estrutura principal de trabalho para a governança e gestão de TI da empresa
1.1.4. Principio 4 - Possibilitar um enfoque holístico
1.1.4.1. Uma governança e gestão da TI de uma empresa requer um enfoque holístico que tenha em conta vários componentes interatívos. o Cobit 5 define um conjunto de facilitadores (enablers) para apoiar a implementação de um sistema de governança e gestão global para a TI da empresa, o Facilitadores se definem em linhda gerais como qualquer coisa que possa ajudar a conseguir as metas da empresa. A estrutura de trabalho do Cobit 5 define sete categorias de Facilitadores Principior, Políticas e Estruturas de trabalho. Processos. Estruturas Organizacionais. Cultura, Ética e comportamento. Informação. Serviços, Infraestruturas e aplicações. Pessoas, habilidades e competencias.
1.1.5. Principio 5 - Separar o Governo da Gestão
1.1.5.1. A estrutura de trabalho do Cobit 5 define uma clara distinção entre a governança e a gestão. Estas duas englobam diferentes tipos de atividades, requerem diferentes estruturas organizacionais e servem para diferentes propósitos. Na visão do Cobit 5 a distinção chave entre governança e gestão são: Governança - A Governança assegura que se avaliem as necessidades, condições e opções das partes interessadar para determinar que se alcançem as metas coorporativas equilibradas e acordadas; estabelecendo a direção através da priorização e tomada de decisões, medindo o rendimento e o cumprimento em respeito a direção e metas acordadas. Em muitas coorporações, a governança é responsabilidades do comitê de direção e liderado pelo presidente. Algumas responsabilidades de governança específicas se podem delegar em estruturas organizacionais especiais ao nível apropriado, particularmente em coorporações mais grandes e complexas. Gestão - A gestão planeja, constrói, executa e controla atividades alinhadas com a direção, estabelecida pelo corpo dode governança, para alcançar as metas empresariais. Em muitas empresas, a gestão é responsabilidades da direção executiva e liderado pelo diretor geral executivo (CEO). Juntos os cinco principios habilitam a empresa a contruir uma estrutura de gestão de governança e uma gestão efetuva que otimiza as mudanãs e o uso da informação e tecnologia para o benefício das partes interessadas.
1.1.5.2. Introdução
1.1.5.2.1. Foi desenvolvido em sobre 5 píncipios básico
1.1.5.2.2. Familia de Produtos do Cobit 5
1.1.5.2.3. Sumário Executivo
1.1.6. Figura exemplo
1.1.6.1. Sem título
1.2. Familia de Produtos do Cobit 5
1.2.1. Estrutura de Trabalho (Framework)
1.2.1.1. Cobit 5 - The framework
1.2.2. Guias de Facilitadores do Cobit 5 (Enabler guides)
1.2.2.1. Cobit 5 - Enabling Process
1.2.2.2. Cobit 5 - Enabling Information
1.2.2.3. Outros guias - isaca.com/cobit
1.2.3. Guias Profissionais
1.2.3.1. Cobit 5 - Implementation
1.2.3.2. Cobit 5 - For information secutirty
1.2.3.3. Cobit 5 - For assurance
1.2.3.4. Cobit 5 - For risk
1.2.3.5. Outros guias profissionais - isaca.com/cobit
1.2.4. Ambiente colaborativo On-line (A collaborative online enviromment) para dar suporte ao CObit 5
1.2.5. Figura Exemplo
1.2.5.1. Sem título
1.3. Sumário Executivo
1.3.1. A Informação é um recurso Chave para todas as empresas
1.3.1.1. Importante desde o momento que é criada, até sua destruição
1.3.1.2. Nesse caso a tecnologia tem um papel importante
1.3.1.3. A Tecnologia da informação está avançando cada vez mais e se espalhando nas empresas e entornos sociais, públicos e privados.
1.3.1.4. Como resultado, hoje mais do que nunca, as empresas e seus executivos se esforçam em: Manter a informação de alta qualidade para suportar as decisões do negócio. Gerar valor ao negócio através das intervenções de TI, por exemplo, alcançando metas estratégicas e gerando benefícios ao negócio através do uso de uma TI eficaz e inovadora. Alcançar uma excelencia na operação através de uma aplicação de uma tecnologia confiavel e eficiente. Manter os riscos relacionados a TI em um nível aceitavel. Otimizar os custos dos serviços e tecnologias de TI. Cumprir com as constatemente crescentes leis, regulamentações, acordos contratuais e políticas aplicaveis.
1.3.1.5. Desde a década passada o Termo "Governança" passou a ser linha de frente no pensamento empresarial como resposta a alguns exemplos que mostraram a importacia de um bom governo, tendo como exemplo incidentes coorporativos globais
1.3.1.6. Empresas de sucesso reconheceram que necessitam ter TI como uma parte crucial do negócio. Os Comites e a Direção, tanto em funções de negócio como de TI, devem colaborar e trabalhar juntos. De modo que se inclua a TI no enfoque de Governança e Gestão. Assim cada vez mais se aprovam legislações e implementam-se regulamentações para cubrir essa necessitadade
1.3.1.7. Cobit 5 provê de uma estrutura de trabalho integral que ajuda as empresas a alcançar seus objetivos para a governança e gestão das TIs coorporativas Em resumo, ajuda a TI a criar um ótimo valor, desde manter o equilibrio dos benefícios em geral e a otimização dos níveis de risco e uso dos recursos
1.3.1.8. Cobit 5 permite as empresas serem governadas e gerenciadas de um modo holístico para toda a empresa, cobrindo o negócio completamente, do inicio ao fim, e as areas funcionais de responsabilidade da TI, considerando os interesses relacionados com TI das partes interessadas internas e externas.
1.3.1.9. Cobit 5 é genérico e útel para empresas de todos os tamanhos, tanto comerciais, como sem fins lucrativos e de setor público.
2. Visão Geral do Cobit 5
2.1. O Cobit 5 proporciona um guia de nova geração da ISACA para governança e gestão nas TIs da empresa. Se constrói sobre mais de 15 anos de uso prático e aplicações de Cobit por parte de muitas empresas e usuários das comunidades de negócio, TI, risco, segurança e garantia. Os principais impulsos para o desenvolvimento do Cobit 5 incluem as necessidades de:
2.1.1. Dar mais voz (atenção) aos stakeholders ( partes interessadas) para determinar que é o que se espera da informação e da Tecnologia relacionada ( que beneficios a que níveis aceitaveis de risco e a qual custo) e quais são as prioridades para garantir que o valor esperados seja realmente proporcionado. Alguns querem retornos imediatos (curto prazo) e outros que sustentabilidade a longo prazo. Alguns estaram preparados para assumirem riscos que outro não assumiriam. Estas expectaticas se divergem e algumas vezes há conflitos, que necessitam ser tratados com efetividade, Mais além disso, não somente estas partes querem estar envolvidas, mas também exigir mais transparencia em relação a como vão se levar isso a frente e os resultados reais alcançados.
2.1.2. Considerar a dependencia crescente do exito da empresa em relação a companhias externas e grupos de TI, tais como, contratos externos, provedores, consultores, clientes, provedores de serviços na nuvem e outros serviços em um conjunto variado de meios e mecanismos internos para entregar o valor esperado.
2.1.3. Tratar com a quantidade de informações, que há crescido significativamente no tempo. Como selecionam as empresas de informação relevante e fidedigna que conduza as decisões empresariais de forma eficaz e eficiente? A informação também necessita ser gerenciada eficazmente e um modelo eficaz de informação pode acompanhar neste empenho
2.1.4. Tratar com umas TI's mais generalizadas que são mais e mais uma parte integral da empresa. Não é satisfatório ter as TIs da empresa separadas, incluso sim, estão alinhadas com o negócio. Tens que ser uma parte integral dos projetos empresariais, estruturas da organização, gestão de riscos, políticas, técnicas e processos, etc. As funções do diretor de informação (CIO) e a função de TI estão evoluindo. Cada vez mais pessoas dentro das funções da empresa possuem habilidades de TI e estão, ou estarão, implicadas nas decisões e operações de TI. O Negócio e as TIs Necessitarão estar melhor integradas.
2.1.5. Proportcionar orientação adicional no ambito da inovação e as tecnologias emergentes. Isto é, sobre a criatividade, a inveção, o desenvolvimento de novos produtos fazendo que os produtos existentes sejam mais convincentes para tosos o clientes, e chegar a novos tipos de clientes. A inovação também implica a racionalização do desenvolvimento de produtos, processos de fabricação e supply chain (cadeia de suprimentos) para entregar os produtos ao mercado de níveis crescentes de eficiencia, rapidez e qualidade.
2.1.6. Cubrir completamente as responsabilidades funcionais de Ti e do negócio, e todos os aspectos que levam a gestão e a governança eficaz das TIs da empresa, tais como estruturas organizacionais, políticas e cultura, e o outros processos.
2.1.7. Adquirir melhor controle sobre soluções de TI adquiridas e controladas pelos usuários
2.1.8. Alcançar por parte da empresa: Criação de valor através do uso efetivo e inovador da TI da empresa. Satisfação do usuário de negócio com o nível de compromisso e os serviços das TI's Cumprimento das leis, regulamentos, acordos contratuais e as políticas internas relevantes Relações melhoradas entre as necessidades de negócio e metas de TI
2.1.9. Envolver-se, quando seja relevante (pertinente), alinhar-se com outras estruturas e padrões principais existentes no mercado, tais como ITIL®, TOGAF®, PMBOK®, PRINCE2®, COSO® e a ISO®. Isto ajudará a os interessados a entender como várias estruturas, boas práticas e normar estão posicionadas a respeito do resto e como podem ser utilizados juntos.
2.1.10. Integrar as principais estruturas e guias da ISACA, com um enfoque principal em COBIT, ValIT e RiskIT, mas considerando também o modelo de negócio para a segurança da informação (BMIS), a estrutura de garantia de TI (ITAF), a publicação entitulada Board Briefing on IT Governancee o documento Taking Governances Forward (TGF), de modo que o Cobit 5 cubra a atividade da empresa por completo e proporcione uma base para integrar outras estruturas, normas e práticas como uma estrutura única.
2.1.11. Se elaboram diferentes produtos e outras guias que cubram as diversas necessidades de distintos grupos de interesses partindo da base de conhecimentos principal do Cobit 5. Isto ocorrerá com o tempo, fazendo da arquitetura do produto Cobit 5 um documento vivo. A arquitetura do produto Cobit 5 mais recente pode ser encontrada na página do Cobit no website da ISACA (www.isaca.com/cobit).
2.2. Estrutura do Livro
3. Satisfazer as necessidades do Stakeholders
3.1. Introdução
3.1.1. As empresas existem para criar valor para seus acionistas. Em consequencia, qualquer empresa, comercial ou não, tenderá a criação de valor como um objetivo de governança. Criação de valor significa conseguir benefícios a um custo ótimo dos recursos, otimizando os riscos. (Ver figura no tópico) Os beneficios podem assumir muitas formas, por exemplo, financeiros para as empresas comerciais e de serviços públicos para as entidades governamentais.
3.1.2. Figura exemplo
3.1.2.1. Sem título
3.2. A Cascata de Metas do Cobit 5
3.2.1. Overview
3.2.1.1. As empresas possuem muitas partes interessadas, e "criar valor" significa coisas diferente - e as vezes contraditórias - para cada uma delas. As atividades da governança trata sobre negociar e decidir entre os diferentes interesses no valor das partes interessadas. Em consequencia, o sistema de governança deve considetar a todas as partes interessadas ao tomar decisões sobre benefícios, avaliação de riscos e recursos. Para cada decisão, as seguintes perguntas podem e devem ser feitas: Para quem são os benefícios? Quem assume os riscos? Quais recursos são requeridos? Cada empresa opera em um contexto diferente, este contexto está determinado por fatores externos ( o mercado, a industria, geopolítica, etc) e fatores internos ( a cultura, organização, limite de riscos, etc ) e requerem um sistema de governança e gestão personalizado. As necessidades dos stakeholders (partes interessadas) devem transformar-se em uma estratégia coorporativa factível. A cascata de objetivos do Cobit 5 é um mecanismo para traduzir as necessidades dos stakeholders em objetivos coorporativos, objetivos relacionados com as TI e objetivos facilitadores (enablers) específicas, uteís e na medida. Está tradução permite estabelecer objetivoss em todos o níveis e em todas as áreas da empresa em apoio dos objetivos gerais e requisitos das partes interessadas (stakeholders) e assim, efetivamente, suportar o alinhamento entre as necessidades da empresa e as soluções e serviços de TI. A cascata de TI se mostra na próxima figura.
3.2.2. Passo 1 - Os motivos das partes interessadas influenciarem nas necessidades das partes interessadas
3.2.2.1. As necessidades dos stakeholders estão influenciadas por diferentes motivos, por exemplo, mudanças de estratégia, em negócio, mudanças de ambientes relatórios e novas tecnologias
3.2.3. Passo 2 - As Necessidades das partes interessadas desencadeiam objetivos do negócio.
3.2.3.1. As necessidades das partes interessadas podem estar relacionadas com um conjunto de objetivos empresárias genéricas, estes objetivos coorporativos foram desenvolvidas usando o Balanced Scorecard (BSC), e representam uma lista de objetivos comumente usados que uma empresa pode definir por sí mesma. Embora está lista não seja completa, a maioria dos objetivos coorporativos específicos podem relacionar-se facilmente com um ou mais dos objetivos genéricos da empresa. No Apendice D, se representa uma tableta das parte interessadas e objetivos coorporativos.
3.2.3.2. O Cobit 5 define 17 objetivos genéricos, como se mostra na figura 5, que inclue a seguinte informação. A dimensão do CMI se encaixa na meta coorporativa Os objetivos corporativos A relação com os três objetivos principais de governança -- realização de benefícios, otimização de riscos e otimização de recursos ("P" indica uma relação primária e "S" indica uma relação secundária, isto é, uma relação enos forte.)
3.2.4. Passo 3 - Cascata de objetivos da empresa à objetivos relacionados as TI
3.2.4.1. Atingir alguns objetivos de negócio requer um número de resultados relacionados com as TI. Se entende como relacionados com as TI a informação e tecnologia relacionada, e as metas relacionadas com as TI se estruturam em dimenções do CMI. Cobit 5 define 17 metas relacionadas com as TI, indicadas na figura 6. A tabela que mapea entre os objetivos relacionados com TI e os de negócio está incluída no apendice B e mostra como cada objetivo de negócio é suportado por vários objetivos relacionados com TI.
3.2.5. Passo 4 - Cascata de objetivos relacionados com as TI à objetivos facilitadores (enablers goals)
3.2.5.1. Alcançar objetivos relacionados com as TI requer a aplicação satisfatória e o uso de varios facilitadores (enablers). O conceito de facilitador se explica detalhadamente no capitulo 5. Os facilitadores incluem processos, estruturas organizacionais e informação, e para cada facilitador pode se definir um conjunto de objetivos relevantes em apoio dos objetivos relacionados com a TI. Os processos são um dos facilitadores (enablers) e o apendice C contem um relação entre metas relacionadas com as TI e os processos relevantes do Cobit 5, os quais contem os objetivos dos processos relacionados.
3.3. Utilizando a Cascata de Metas do Cobit 5
3.3.1. Benefícios da cascata de objetivos do Cobit 5
3.3.1.1. A Cascata de objetivos é importante porque permite a definição de prioridades de implementação, melhora e garante a governança das TI da empresa, que se baseia em metas de negócio (estratégicos) da empresa e o risco relacionado. Na prática, a cascata de metas: Define objetivos e metas relevantes, tangíveis a vários níveis de responsabilidade. Filtra a base de conhecimento do Cobit 5, sobre a base das metas de negócio, para extrair as guias relevantes a incluir em projetos específicos de implementação, melhora a garantia. Indentifica claramente e comunica como ( algumas vezes de forma muita operacional) os facilitadores (enablers) são importantes para alcançar as metas da empresa.
3.3.2. Utilizando cuidadosamente a cascata de objetivos do Cobit 5
3.3.2.1. As metas em cascada - com suas tabelas de relação entre metas de negócio e as metas relacionadas com a TI e entre as metas relacionadas com TI e facilitadores do Cobit 5 (incluindo processos) - não contem a verdade universal e os usuários não devem tentar usarlas de uma maneira puramente mecanica, sim uma um guia. Há muitas razões para isso, incluindo: Cada empresa estabelece seus objetivos com prioridades diferentes, e etas prioridades poedem mudar com o tempo. As tabelas de relação não distinguem o tamanho e/ou o setor que a empresa está. Empresam uma especíe de denominador comum sobre como, em geral, os diferentes níveis de objetivos se interrelacionam. Os indicadores usados na relação utilizam dois níveis de importancia ou relevancia, o que sugere que há níveis distintos de relevancia, quando, na verdade, a atribuição se aproximará a um continuo de diversos graus de correspondencia.
3.3.3. Utilizando a cascata de objetivos de TI na prática
3.3.3.1. Em conformidade com o aviso anterior, é óbvio que o primeiro passo que uma empresa deve realizar sempre que utiliza a cascata de metas e personalizar a atrubuição, tendo em conta sua situação. Em outras palavras, cada empresa deve contruir sua própria cascata de metas, comparar-la com o Cobit e logo, refirnar-la. Por exemplo: Traduzir as prioridades estratégicas a "ponderações, ou importancias para cada objetivo da empresa. Validar as relações da cascata de metas de negócio, tendo em conta seu ambiente específico, ramo, etc.
3.3.4. Figura exemplo: Visão geral da cascata de meta do Cobit 5
3.3.4.1. Sem título
3.3.5. Figura exemplo: Metas coorporativas do Cobit 5
3.3.5.1. Sem título
3.3.6. Figura exemplo: Metas relacionadas com a TI
3.3.6.1. Sem título
3.3.7. Exemplo 1 - Cascata de Metas
3.3.7.1. Sem título
3.3.8. Exemplo 2 - Necessidades do Stakeholders - Sustentabilidade
3.3.8.1. Sem título
3.4. Questões sobre as TIs de Governança e direção
3.4.1. Overview
3.4.1.1. O cumprimento com as necessidades dos stakeholders em qualquer empresa representam - dado o alto nível de dependencia sobre as TI- diversas questões sobre governança e da gestão das TI da empresa.
3.4.2. Questões
3.4.2.1. Sem título
3.4.3. Como encontrar uma resposta para estas questões
3.4.3.1. Todas as questões mencionadas na figura de perguntas feitas no Cobit 5 podem relacionar com as metas de negócio e servir como entradas para a cascata de metas, o que permite que possam ser eficazmente resolvidas. O Apendice D contém um exemplo de alinhamento entre as perguntas dos Stakeholders internos, mensionados na figura 7 e os objetivos da empresa
4. Cubrir a empresa de ponta a ponta
4.1. Introdução
4.1.1. O Cobit 5 contempla a governança e a gestão da informação e a tecnologia relacionada desde uma perspectiva ponta-a-ponta e toda a empresa. Isto significa que o Cobit 5: Integra a governança da empresa "TI" em governança coorporativa. Isto é, o sistema de governança para a empresa "TI" proposto pelo Cobit 5 se integra sem problemas com qualquer sistema de governança. O CObit 5 se alinha com as ultimas visões sobre governança. Cobre todas as funções e processos necessários para governar e gestionar a a informação de negócio e as tecnologias relacionadas, onde quer que essa informação possa ser processada, Dado esse alcance de negócio amplo, o Cobit 5 contempla todos os serviçosde TI interno e externo relevantes, assim como os processos de negócio internos e externos. O Cobit 5 proporciona uma visão geral e sistemica da governança e da gestão da empresa de TI (ver o principio 4), baseada em varios facilitadores (enablers). Os facilitadores são para toda a empresa e de ponta-a-ponta, isto é, incluindo todos à todos, internos e externos, que sejam relevantes para a governança e gestão da informação da empresa e TI relacionada, incluindo atividades e responsabilidades tanto das funções de TI como as funções de negócio. A informação é uma das categorias de facilitadores (enablers) do Cobit 5. O modelo pelo qual o Cobit 5 define os facilitadores permite a cada grupo de interesse definir requisitos abrangentes e complentos para a informação e o ciclo de vida do processamento da informação, conectando deste modo o negócio e sua necessidade de uma informação adequada e a função de TI, suportando o negócio e o enfoque de contexto.
4.2. Enfoque em governança
4.2.1. Introdução
4.2.1.1. O enfoque de governanção ponta-a-ponta que é a base do Cobit 5, está representado na próxima figura de exemplo, mostranto os componentes chave de um sistema de governança. Além do objetivo de governança, os outros elementos principais do enfoque de governança incluí os facilitadores (enablers), alcance e regras, atividades e relações
4.2.1.2. Figura exemplo
4.2.1.2.1. Sem título
4.2.2. Facilitadores da governança
4.2.2.1. Os facilitadores (enablers) da governança são os recursos organizacionais para a governança, tais como marcos de referencia, principios, estruturas, processos e práticas, através dos qual ou para qual as ações são dirigidas e os objetivos podem ser alcançados. Os facilitadores também incluiem os recursos de negócio - por exemplo, capacidades de serviço (infraestrutura de TI, aplicaçõe, etc), pessoas e informação. Uma falta de recursos, o facilitador pode afetar a capacidade de criação de valor da empresa. Dada a importancioa do facilitador de governança, o Cobit 5 inclui uma unica formara de olhar e tratar o facilitadores. (ver no capitulo 5)
4.2.3. Alcance da Governança
4.2.3.1. A governança porde ser aplicada a toda a empresa, a uma entidade, a um ativo tangível ou intangível, etc. Isto é, é possível definir diferentes visões da empresa a que se aplica a governança, e é essencial definir bem este alcance do sistema de governança. O alcance do Cobit 5 é a empresa - mais em essencial, Cobit 5 pode tratar com qualquer que seja as diferentes visões.
4.2.4. Regras (roles), atividades e relações
4.2.4.1. O ultimo elementos são as regras, atividades e relações de governanção. Definem quem está envolvido na governança, como se envolveram, o que fazerm e como interagem, dentro do alcance de qualquer sistema de governança. No Cobit 5, se faz uma clara diferenciação entre as atividades de governança e de gestão dos domínios de governança e gestão, assim como na interconexão entre eles e os atores implicados. A figura 9 detalha a parte inferior da figura 8, numerando as interações entre as diferentes regras. Para mais informações sobre está visão genérica de governança, ver o documento "Levando adiante a governança (Taking Governance forward) em www.takinggovernanceforward.org
4.2.4.2. Figura exemplo
4.2.4.2.1. Sem título
5. Aplicar um framework única integrado
5.1. Introdução
5.1.1. Cobit 5 é uma estrutura de referencia única e integrada porque: Se alonha com outro padrões e frameworks relevantes e, portanto, permite que a empresa usar Cobit 5 como uma framework integradora global de governança e gestão. É completo em termos de cobertura da empresa, proporcionando uma base para integrar de maneira eficaz outras frameworks, padrões e práticas utilizadas. Uma estrutura global única serve como fonte consistente e integrada de guía em uma linguagem comum e não técnica agnóstica. Proporciona uma arquitetura simples para estruturas os materiais de guía e produzir um conjunto consistente. Integra todo o conhecimento disperso previamento nas diferentes estruturas da ISACA. ISACA investigou as áreas chaves da governança coorporativa durante muitos anos e há desenvolvido frameworks tais como Cobit, Val IT, Risk It, BMIS, a publicação sobre Governança de TI para a direção (Board Briefing on IT Governance) e ITAF, paraproporcionar um guía e assistencia as empresa. Cobit 5 integra todos esses conhecimentos
5.2. Quadro integrador do Cobit 5
5.2.1. A Figura 10 proporciona uma descrição gráfica de como o Cobit 5 cumpri seu papel de estrutura integrada e alinhada. O Quadro de referencia Cobit 5 proporciona a seus grupos de interesse a guía mais completa e atualizada (ver figura 11) sobre a governança e a gestão da empresa de TI, mediante: A investigação e utlização de um conjunto de fontes que tem impulsionada o novo conteúdo desenvolvido, incluíndo: - A união de tofas as guías existentes da ISACA (Cobit 4.1, Val IT 2.0, Risk IT, BMIS) nesta única estrutura. - Completar este conteúdo com as áreas que necessitam mais elaboração e atualização - O alinhamento a outros padrões e estruturas relevantes, tais como ITIL, TOGAF e padrões ISO. Se podem encontrar uma lista completa destas referencias do Apendice A. Definindo um conjunto completo de facilitadores (enablers) de governança e gestão que proporcionam uma estrutura para todos os materiais e guías. Povoando uma base de conhecimento Cobit 5, que contém todas as guías e conteúdos produzidos até agora e que proporcionará uma estrutura para conteúdos futuros adicionais. Proporcionando uma referencia base para boas práticas abragente e sólida.
5.2.2. Figura exemplo
5.2.2.1. Sem título
5.2.3. Figura exemplo
5.2.3.1. Sem título
6. Possibilitar um enfoque holístico
6.1. Facilitadores (enablers) do Cobit 5
6.1.1. Os facilitadores são fatores que, individualmente e coletivamente, influenciam sobre se algo funcionará - neste caso, a governança e a gestão da empresa de TI. Os facilitadores são guiados pela cascata de metas, isto é, objetivos de alto nível com TI definem no que os diferentes facilitadores deveriam resultar.
6.1.2. A tabela de referencia do Cobit 5, descreve 7 categorias de facilitadores. (figura exemplo 1)
6.1.2.1. Principios, políticas e frameworks São os veículos que traduzem o comportamento desejado em um guia prático para a gestão cotidiana
6.1.2.2. Processos Descreve um conjunto organizado de práticase atividadespara atingir certos objetivos e produzir um conjunto de saídasque auxiliem no cumprimento das metas relacionadas a TI;
6.1.2.3. Estruturas organizacionais São as entidades chave, responsáveis pela tomada de decisão em uma organização;
6.1.2.4. Cultura, ética e comportamento dos indivíduos e da organização; muito frequentemente é subestimadacomo um fator de sucesso nas atividades de governança e gestão;
6.1.2.5. Informação está difundida por toda organização. Representa todas as informações produzidas e utilizadas pela organização. Informação é requerida para manter a organização em funcionamento e bem governada;
6.1.2.6. Serviços, Infraestrutura e aplicações inclui a infraestrutura, tecnologiae aplicaçõesque fornecem à organização os serviços e processamento de TI;
6.1.2.7. Pessoas, habilidades e competências está relacionado com as pessoas e são requeridas para que as atividades sejam executadas com sucesso e para que decisões e ações corretivas sejam realizadas de forma correta.
6.1.2.8. Figura Exemplo: Facilitadores coorporativos do Cobit 5
6.1.2.8.1. Sem título
6.1.3. Alguns dos viabilizadores definidos previamente são também recursos corporativosque também necessitam ser gerenciados e fazem parte da governança. Isto aplica a: A informação, que necessita ser gerenciada como um recurso. Alguma informação, tal como relatórios de gestão ede inteligência de negocio são importantes viabilizadores para a governança e a gestão da empresa. Serviços, infraestruturae aplicações. Pessoas, habilidadese competências.
6.2. Governança e Gestão sistêmicos utilizando facilitadores interconectados
6.2.1. Um fundamento atrás da governança corporativa, inclui a governança de TI para atingir as principais metas corporativas, considerando um conjunto inter-relacionado de viabilizadores.
6.2.2. Assim, cada viabilizador: Necessita do resultado de outros viabilizadores para ser completamente efetivo, por exemplo, os processos necessitam informação, as estruturas organizativas necessitam habilidades e comportamento. Proporciona uma saída para beneficio de outros viabilizadores, por exemplo, os processos proporcionam informação, habilidades e o comportamento faz os processos eficientes.
6.2.3. - Se podem tomar boas decisões só quando se leva em consideração esta natureza sistémica da governança e da gestão. - Isto significa que para tratar com qualquer necessidade de um grupo de interesse, todos os viabilizadores inter-relacionados tem que ser analisados para saber se são relevantes e contemplados se fosse necessário. - Esta mentalidade tem que estar dirigida pela cabeça da empresa.
6.2.4. Exemplos 3 e 4 - Governança e gestão da empresa de TI
6.2.4.1. Sem título
6.3. Dimensões dos facilitadores do Cobit 5
6.3.1. Introdução
6.3.1.1. Todos os viabilizadores tem um conjunto de dimensões comuns: Proporciona uma maneira comum, simples y estruturada de tratar com os viabilizadores Permite gerenciar as suas interações complexas Facilita o sucesso dos resultados dos viabilizadores
6.3.1.2. Figura Exemplo
6.3.1.2.1. Sem título
6.3.2. Dimensões dos facilitadores
6.3.2.1. Grupos de interesse
6.3.2.1.1. Cada viabilizador tem grupos de interesse (partes que tem um papel ativo e/ou tem um interesse no viabilizador). Por exemplo, os processos tem diferentes Metasque realizam atividadese/ou tem um interesse em resultadosdo processo; as estruturas organizacionais tem grupos de interesse, que são parte das estruturas. Os grupos de interesse podem ser internosou externosà empresa, cada um deles com suas próprias necessidades e interesses, algumas vezes contrariasentre si. As necessidades dos grupos de interesse se traduzem em metas corporativas, que por sua vez se traduzem em objetivos de TI para a empresa.
6.3.2.2. Metas
6.3.2.2.1. Cada viabilizador tem varias metas, e os viabilizadores entregam valor pelas consequências das metas. As metas podem ser definidas em termos de: Resultados esperados do viabilizador Aplicação ou operação do próprio viabilizador As metas do viabilizador são o passo final na cascata de metas de COBIT 5. As metas podem ser divididas por sua vez em diferentes categorias:
6.3.2.3. Ciclo de vida
6.3.2.3.1. Cada viabilizador tem um ciclo de vida, desde o começo passando por sua vida útil / operativa até sua eliminação. Isto se aplica a informação, estruturas, processos, políticas, etc. As fases do ciclo de vida consistem em: Planificar (inclui o desenvolvimento e seleção de conceitos) Desenhar Construir / adquirir / criar / implementar Utilizar / operar Avaliar / monitorar Atualizar / eliminar
6.3.2.4. Boas práticas
6.3.2.4.1. Para cada um dos viabilizadores, podem-se definir boas práticas. As boas práticas suportam a implementação dos objetivos do viabilizador. As boas práticas proporcionam exemplos e sugestões sobre como implementar da melhor maneira o viabilizador equais produtos ou entradas e saídas são necessárias. COBIT 5 proporciona exemplos de boas práticas para alguns viabilizadores proporcionados pelo COBIT 5 (por exemplo, processos). Para outros viabilizadores, pode-se utilizar como guias, outros padrões, frameworks de referencia, etc.
6.3.3. Gestão de rendimento do facilitadores
6.3.3.1. As empresas esperam resultados positivos da aplicação e uso dos viabilizadores. Para gerenciar o desempenho dos viabilizadores, os seguintes questionamentosdeverão ser supervisadas e respondidas posteriormente – baseadas nas métricas – de maneira periódica: Se consideram as necessidades das partes interessadas? Se cumprem os objetivos dos viabilizadores? Se gerencia o ciclo de vida? Se aplicam as boas práticas?
6.3.3.2. Os primeiros 2 itens tratam com o resultado atual do viabilizador. As métricas utilizadas para medir o ponto até que as metas sejam atingidas podem ser denominadas ‘indicadores de retardo’ (lagindicators).
6.3.3.3. Os 2 últimos itens tratam com o funcionamento atual do viabilizador em si, e das métricas podem ser denominadas ‘indicadores de avance’ (lead indicators).
6.4. Exemplo de facilitadores na prática
6.4.1. No apêndice G, se trata as sete categorias de facilitadores (viabilizadores) em mais detalhes; a Leitura do apendice e recomendada para um melhor entendimento dos facilitadores e quão poderosos pode ser organizando a governança e a gestão da empresa de TI
6.4.2. Figura exemplo: Viabilizadores (facilitadores)
6.4.2.1. Sem título
6.4.3. Figura exemplo: Viabilizadores continuação
6.4.3.1. Sem título
7. Separar Governo de Gestão
7.1. Governança e gestão
7.1.1. O framework do COBIT 5 faz uma clara distinção entre governança e gestão. Estas duas disciplinas focam em diferentes tipos de atividades, requerem estruturas organizacionais diferentes e servem a diferentes propósitos. A posição do COBIT 5 sobre esta fundamental distinção entre governança e gestão é:
7.1.2. Governança: A governança assegura que sejam avaliadas as necessidades, condiciones e opções das partes interessadas para determinar que sejam atingidas as metas corporativas equilibradas e acordadas; estabelecendo a direção através da priorizaçãoe a tomada de decisões; e medindo o rendimento e o cumprimento ao respeito da direção e metas acordadas. Na maioria das empresas, é de responsabilidade do conselho da administração sob a direção do presidente
7.1.3. Gestão A gestão planeja, constrói, executaecontrola atividades alinhadas com o direcionamento estabelecido pelo corpo da governança para atingir as metas empresariais. Na maioria das empresas, a gestão é de responsabilidade da direção executiva sob direção do CEO.
7.2. Interações entre governança e gestão
7.2.1. Partindo das definições entre governança e gestão, fica claro que compreendem diferentes tipos de atividades, com diferentes responsabilidades; no entanto, dado o papel da governança– avaliar, orientar e vigiar – se requer um conjunto de interações entre governança e gestão para obter um sistema de governança eficiente e eficaz.
7.2.2. Figura exemplo - Interação Governança e Gestão
7.2.2.1. Sem título
7.3. Modelo de referencia de processos do Cobit 5
7.3.1. COBIT 5 não é prescritivo, mas sim defende que as empresas implementem processosde governança e gestão de maneira que as áreas fundamentais estejam acobertadas:
7.3.2. Sem título
7.3.3. Uma empresa pode organizar seus processos como lhe seja conveniente, sempre e quando as metas de governança e gestão fiquem cobertas. Empresas menores podem ter poucos processos; empresas maiores e complexas podem ter numerosos processos, mas todos com o objetivo de cobrir as mesmas metas. COBIT 5 inclui um modelo de referencia de processos que define e descreve em detalhe vários processos de governança e gestão. O modelo representa a todos os processos que normalmente se encontram em uma empresa relacionados com as atividades de TI, assim, proporciona um modelo de referencia comum entendível para as operações de TI e os responsáveis do negocio. O modelo de processo proposto é um modelo completo e integral, mas não constitui um único modelo de processos possível. Cada empresa deve definir sue próprio conjunto de processos, tendo como cenário sua situação particular.
7.3.4. A incorporação de um modelo operacional e uma linguajem comum envolvendo a todas as partes da empresa relacionadas em atividades de TI, é um dos passos mais importantes e críticos para uma boa governança. Adicionalmente proporciona um framework para medir e vigiar o desempenho de TI, proporcionar garantia de TI, se comunicar com os provedores de serviço e integrar as melhores práticas de gestão. O modelo de referencia de processos de COBIT 5 é sucessor do modelo de processos de COBIT 4.1 e integra também os modelos de processos de Risk IT e Val IT.
7.3.5. O modelo de referencia de processos de COBIT 5 divide os processos de governança e gestão de TI em 2 domínios principais de processos: Governança— Contem cinco processos de governança; dentro de cada processo se definem práticas de avaliação, orientação esupervisão (EDM) Gestão— Contem quatro domínios, em consonância com as áreas de responsabilidade de planejar, construir, executaresupervisionar(Plan, Build, Run and Monitor- PBRM), e proporciona cobertura fim a fim de TI. Os nomes de estes domínios tem sido escolhidos de acordo as associações de áreas principais, mas contem mais verbos para descrevê-los: Alinhar, Planejar e Organizar (Align, Plan and Organise, APO) Construir, Adquirir e Implementar (Build, Acquire andImplement, BAI) Entregar, dar Serviço e Suporte (Deliver, Service and Support, DSS) Supervisionar, Avaliar e Valorar (Monitor, EvaluateandAssess, MEA)
7.3.6. Sem título
8. Guia de Implementação
8.1. Introdução
8.1.1. Somente é possível obter um valor ótimo do COBIT se é adotado e adaptado de maneira eficaz para ajustar-se ao ambiente único de cada empresa.
8.1.2. Cada enfoque de implementação também necessitará resolver desafios específicos, incluindo a gestão de mudanças culturais e o comportamento.
8.1.3. ISACA proporciona amplas práticas e guias de implementação na publicação COBIT 5 Implementation , que está baseada num ciclo de vida de melhoria continua. Não tem um enfoque prescritivo nem como uma solução completa, mas sim como um guia para evitar os obstáculos mais comuns, aproveita as melhores praticas e ajuda na criação de resultados satisfatórios.
8.1.4. O guia se complementa com uma ferramenta de implementação que contem vários recursos que serão melhorados continuamente. Seus conteúdos incluem: Ferramentas de auto avaliação, medição e diagnóstico Apresentações orientadas a diversas audiências Artigos relacionados e explicações adicionais
8.1.5. O guia de implantação apresenta o ciclo de vida da implementação e melhoria continua, desde um ponto de vista de alto nível, destacando uma serie de aspectos importantes: Realizar um caso de negocio para a implementação e melhoria da governança e gestão de TI. Reconhecer os pontos fracos comuns e eventos desencadeantes Criar o ambiente apropriado para a implementação Aproveitar o COBIT para identificar carências e guiar o desenvolvimento de elementos facilitadores (viabilizadores) como políticas, processos, princípios, estruturas organizacionais e papeis e responsabilidades
8.2. Considerando o contexto empresarial
8.2.1. A governança e gestão de TI não acontecem de maneira isolada. Cada empresa necessita desenhar seu próprio plano de implantação, atendendo fatores específicos do entorno interno e externo da empresa, como por exemplo:
8.2.1.1. Ética e cultura
8.2.1.2. Leis aplicaveis, regulamentações e políticas
8.2.1.3. Missão, visão e valores
8.2.1.4. Políticas e práticas governança
8.2.1.5. Plano de negócio e perspectivas estratégicas
8.2.1.6. Modelo operacional e nível de amadurecimento
8.2.1.7. Estilo da gestão
8.2.1.8. Limiares de risco
8.2.1.9. Capacidades e recursos disponíveis
8.2.1.10. Práticas da indústria
8.2.2. É importante aproveitar edesenvolver os viabilizadores da governança empresarial existentes.
8.2.3. O enfoque ótimo para a governança e gestão da TI será diferente para cada empresa, sendo necessário entender e considerar o contexto para adotar eadaptar COBIT de maneira efetiva na implementação dos viabilizadores da governança e gestão da TI.
8.2.4. COBIT é frequentemente complementado com outros frameworks, boas práticas e padrões, eestes também necessitam de adaptaçõespara se ajustar aos requisitos específicos.
8.2.5. Alguns fatores críticos de sucesso para uma implementação são:
8.2.5.1. A alta direção proporcione a orientação e diretriz para a iniciativa, com decisões concretas de comprometimento e apoio.
8.2.5.2. Todas as partes devem apoiar os processos da governança e gestão, para entender o negocio e as metas de TI.
8.2.5.3. Assegurar uma comunicação efetiva e a habilitação das mudanças necessárias.
8.2.5.4. Personalizar COBIT e outras boas práticas e padrões empregados para ajustar em forma única, o entorno da empresa.
8.2.5.5. Focalizar em resultados imediatos (quickwins) e priorizar as melhoras com maiores benefícios que sejam mais simples de implementar
8.3. Criando um ambiente propíscio
8.3.1. É importante para as iniciativas de implementação que se apoiem no COBIT, que sejam corretamente governadas y adequadamente gerenciadas.
8.3.2. A maioria das iniciativas relacionadas com TI fracassamcom frequência por uma direção, suporte esupervisão inadequadas pelas distintas partes interessadas necessárias, mas também estas situações na implementação do ferramental de governança e gestão de TI que se apoiam no COBIT não é diferente.
8.3.3. O apoio e orientação das partes interessadas chaves é crítico para que as melhoras sejam adoptadas e mantidas.
8.3.4. Num entorno empresarial de pouca fortaleza (como, por exemplo, um modelo operativo de negocio pouco claro ou carente de viabilizadores de governabilidade a nível empresarial), este apoio e participação é ainda mais importante.
8.3.5. Os viabilizadores que aproveita o COBIT deveriam proporcionar uma soluçãoconsiderando necessidades e problemas reais de negocio em lugar de ser um fim em si mesmos.
8.3.6. Os requerimentos baseados em aspectos sensíveis e fatores atuais deveriam ser identificados pela direção como áreas que tem que ser consideradas.
8.3.7. As comprobações de alto nível, os diagnósticos e as valorizações baseadas em COBIT são excelentes ferramentas para conscientizar, criar consenso e gerar compromisso para agir.
8.3.8. Desde o inicio se deve solicitar o comprometimentoe interiorização das partes interessadas mais relevantes.
8.3.9. Para conseguir isto, os objetivos e benefícios da implementação necessitam ser claramente expressados em termos de negocio e consolidados num resumo de caso de negocio.
8.3.10. Conseguido o compromisso, é necessário contar com os recursos adequados para apoiar o programa.
8.3.11. Os papeis e responsabilidades essências do programa deveriam ser definidos e assignados. É necessário ter cuidado para manter o compromisso de todas as partes interessadas afetadas.
8.3.12. Se deveriam estabelecer e manter as estruturas eprocessos apropriados para supervisionar e orientar. Estas estruturas eprocessos deveriam também assegurar o alinhamento com os enfoques da governança corporativa e de gestão de risco.
8.3.13. Tanto as partes interessadas chaves como o conselho eos executivos deveriam proporcionar apoio visível ecomprometimento para estabelecer um exemplo na cúpula empresarial e garantir o compromisso com o programa em todos os níveis.
8.4. Detectar pontos fracos e eventos desencadeantes
8.4.1. Existem alguns fatores que podem indicar uma necessidade de melhoria na governança e gestão da TI empresarial.
8.4.2. Usando os pontos fracos eseus eventos desencadeantes como ponto de partida das iniciativas de implementação, o caso do negocio para a melhora da governança ou gestão da TI empresarial pode associar-se a situações práticas ecotidianas que poderiam ter sido experimentadas.
8.4.3. Isto melhorara a aceitação e criará a sensação de urgência na empresa de que é necessária uma partida para a implementação.
8.4.4. Adicionalmente, se poderão identificar os benefícios (quickwins) e se poderá mostrar valor agregado em aquelas áreas mais visíveis ereconhecíveis na empresa.
8.4.5. Isto proporciona uma plataforma para introduzir outras mudanças epode ajudar a estender o comprometimentona alta direção e suportar mais mudanças estruturais.
8.4.6. Exemplos de algumas das típicas áreas sensíveis onde a nova revisão da governança ou gestão de TI pode ser uma solução (ou parte de ela):
8.4.6.1. Frustração a nível de negocio com iniciativas falhas, incrementando custos de TI e a percepção de baixo valor de negocio.
8.4.6.2. Incidentes significativos relativos ao risco de TI, como perda de dados e falhas em projetos.
8.4.6.3. Problemas na externalização da entrega do serviço, como por exemplo falha sistemática ao manter os níveis de serviço acordados.
8.4.6.4. Incapacidade de cumprir com requerimentos regulatórios ou contratuais.
8.4.6.5. Limitação por TI das capacidades de inovação da companhia e a agilidade do negocio.
8.4.6.6. Resultados periódicos das auditorias com baixo rendimento de TI ou notificações de problemas de qualidade de serviço de TI.
8.4.6.7. Gastos de TI ocultos ou mal intencionados.
8.4.6.8. Duplicação ou superposição entre iniciativas, o perdidas de recursos, como a cancelamento prematuro de um projeto.
8.4.6.9. Insuficientes recursos de TI, pessoal com habilidades inadequadas, esgotados ou insatisfeitos.
8.4.6.10. Falhas nas mudanças de TI na hora de atingir as necessidades do negocio e entregas tardias ou com sobre custo.
8.4.6.11. Membros do conselho, altos diretivos e executivos de alto nível reticentes no envolvimento com TI ou uma ausência de patrocinadores de TI comprometidos esatisfeitos.
8.4.6.12. Modelos operativos de TI complexos.
8.4.7. Além destas áreas sensíveis, outros eventos no entorno interno e externo da empresa podem dar sinal ou pôr em evidencia a governança e gestão de TI. Alguns exemplos são:
8.4.7.1. Fusões, aquisições ou falta de investimentos.
8.4.7.2. Um movimento no mercado, a economia ou uma posição competitiva.
8.4.7.3. Uma mudança no modelo operacional do negocio ou no modelo de alocar recursos.
8.4.7.4. Novos requerimentos regulatórios e legais.
8.4.7.5. Uma mudança tecnológica significativa ou um novo paradigma.
8.4.7.6. Um projeto de abrangência corporativa.
8.4.7.7. Um novo CEO, CFO, CIO, etc.
8.4.7.8. Auditorias externas ou revisões de consultores.
8.4.7.9. Uma nova estratégia ou prioridade de negocio
8.5. Facilitando a mudança
8.5.1. Uma implementação com sucesso depende de uma implementação de mudança apropriada (os viabilizadores apropriados de governança ou gestão) de modo adequada.
8.5.2. Em muitas empresas, existe um foco importante no primeiro aspecto – governança ou gestão de TI essenciais – mas não com suficiente ênfase em gerenciar os aspectos humanos, culturaisede comportamentoda mudança, ou, motivar aos interessados para envolver-se na iniciativa.
8.5.3. Não deveríamos pensar ingenuamente, que inicialmente as diferentes partes interessadas aceitarãoe adotarão rapidamente a mudança, seja por elas simplesmente estarem envolvidas, ou estejam impactadas, ou até afetas por um novo viabilizador.
8.5.4. A possibilidade de desconhecer e/ou surgirem resistências às mudanças, será necessário sua resolução mediante um enfoque estruturado eproativo.
8.5.5. Também, deveríamos conseguir a ótima conscientização na implementação do programa mediante um plano de comunicação que defina o que será comunicado, de que maneira epor quem, ao longo das distintas fases do programa
8.5.6. A melhora sustentável pode ser conseguida
8.5.6.1. com o comprometimentodas partes implicadas (investindo em ganhar corações e mentes e em comunicar e responder à força de trabalho) ou,
8.5.6.2. quando seja necessário, pela exigência do cumprimento(investindo em processos para administrar, supervisionar e impor).
8.5.7. Em outras palavras, devem superar-se as barreiras humanas, o comportamento e a cultura de modo que exista um interesse comumem adotar apropriadamente a mudança, influenciando para despertar o desejo de adotar e garantindo a capacidade de adopção dessa mudança.
8.6. Ciclo do vida
8.6.1. A implementação do ciclo de vida proporciona à empresas uma maneira de usar COBIT para solucionar a complexidade eos desafios que normalmente aparecem durante as implementações.
8.6.2. Os três componentes inter-relacionados do ciclo de vida são:
8.6.2.1. Ciclo de vida de Melhoria continua – Este não é um projeto único
8.6.2.2. Viabilização da mudança – Abordar os aspectos culturais e de comportamento
8.6.2.3. Gestão do programa
8.6.3. Como tem-se comentado anteriormente, se deve criar um entorno apropriado para assegurar o sucesso da implementação ou da iniciativa de melhoria.
8.6.4. Fases do ciclo de vida
8.6.4.1. A fase 1 se inicia com o reconhecimento e aceitação da necessidade de uma iniciativa de implementação ou melhoria. Identifica os pontos fracos atuais edesencadeia e cria o clima para a mudança a um nível da direção executiva.
8.6.4.2. A fase 2 se concentra em definir a abrangênciada iniciativa de implementação ou melhoria usando o mapeio de COBIT de metas empresariais com metas de TI, aos processos de TI associados, e considerando como os cenários de riscos poderiam destacar os processos chave nos que focalizar. Os diagnósticosde alto nível também podem ser úteis para delimitar e entender áreas de alta prioridade nas que dar foco. Se leva a cabo uma avaliação do estado atual e se identificam os problemas e deficiências mediante a execução de um processo de revisão de capacidade. Se deveriam estruturar iniciativas de grande escala com múltiplas iterações do ciclo de vida – para cada iniciativa de implementação que exceda de seis meses, existe um risco de perder o impulso, o foco e o envolvimento das partes interessadas.
8.6.4.3. Durante a fase 3, se estabelece um objetivo de melhoria, seguido de uma análise mais detalhada aproveitando as diretrizes do COBIT para identificar diferencias e possíveis soluciones. Algumas soluções podem ser benefícios imediatos (quick wins) e outras atividades podem ser mais desafiantes e de longo prazo. A prioridadedeveriam ser aquelas iniciativas que são mais fáceis de conseguir e aquelas que poderão proporcionar os maiores benefícios.
8.6.4.4. A fase 4 planeja soluções práticaspela definição de projetos apoiados por casos de negócios justificados. Além disso, se desenvolve um plano de mudanças para a implementação. Um caso de negocio bem desenvolvido ajuda a assegurar que se identificam esupervisionam os benefícios do projeto
8.6.4.5. Na fase 5 as soluções propostas são implementadas e colocadas na prática do dia a dia. Se podem definir as medições e estabelecer a supervisão empregando as metas e métricas do COBIT para assegurar que se consegue emantem alinhado com o negocio e que o rendimento pode ser medido. O sucesso requer o compromissoe a decidida aposta da alta direção, assim como a propriedade pelas partes afetadas a nível TI e do negocio.
8.6.4.6. A fase 6 se focaliza na operação sustentável dos novos ou melhorados viabilizadores e na supervisão da consecução dos benefícios esperados.
8.6.4.7. Durante a fase 7, se revisa o sucesso global da iniciativa, se identificam requisitos adicionais para a governança ou a gestão da TI empresarial e se reforça a necessidade de melhoria continua. -------------------------- Ao longo do tempo, o ciclo de vida deveria seguir de modo iterativo, ao tempo que se constrói um modelo sustentável de governança e gestão de TI corporativa
8.6.4.8. Figura exemplo - Fases do ciclo de vida
8.6.4.8.1. Sem título
8.7. Primeiros passos: Realizando o caso de negócio
8.7.1. Para garantir o sucesso das iniciativas de implementação, a necessidade de agir deveria ser amplamente reconhecida e comunicadana empresa. Isto pode ter a forma de um ponto de atenção (quando os pontos fracos se estão manifestando) ou como uma expressão de oportunidade para a melhoria que deve ser perseguida e, muito importante, os benefícios que podem ser obtidos.
8.7.2. Se deve conscientizar um nível adequado de urgência e as partes interessadas chaves deveriam ser conscientes do risco de não tomar ação alguma, assim como dos benefícios de empreender o programa.
8.7.3. A iniciativa deveria ser de propriedade de um patrocinador, envolver a todas as partes interessadas fundamentais e deveria basear-se num caso de negocio.
8.7.4. Inicialmente, isto pode se fazer a um alto nível desde uma perspectiva estratégica – de acima para abaixo – iniciando um claro entendimento dos benefícios do negocio desejados. O caso de negocio é uma valiosa ferramenta disponível para a direção que dirige a criação de valor de negocio.
8.7.5. Como mínimo, o caso de negocio deveria incluir:
8.7.5.1. Os objetivos de beneficio para o negocio, seu alinhamento com a estratégia de negocio e os proprietários associados do beneficio (quem dentro do negocio será responsável de garantir eles). Isto poderia basear-se em pontos fracos ou desencadeantes de eventos.
8.7.5.2. As mudanças de negocio requeridos para criar o valor previsto. Isto poderia basear-se em comprovações e análise de deficiências de capacidade e deveriam indicar claramente que está dentro do escopo e que está fora dele.
8.7.5.3. Os investimentos precisos para realizar as mudanças de governança e gestão de TI corporativa (baseado em estimativas de projetos necessários).
8.7.5.4. Os custos cotidianos de TI e de negocio.
8.7.5.5. Os benefícios esperados de operar no modo novo.
8.7.5.6. O risco inerente nos pontos anteriores, incluindo qualquer restrição ou dependência (baseado nos desafios e fatores de sucesso)
8.7.5.7. Papeis, responsabilidades e obrigações relativas à iniciativa.
8.7.5.8. Como o investimento e a criação de valor serão supervisionadas através do ciclo de vida económico e como se usarão as métricas (baseado na metas e métricas).
8.7.6. O caso de negocio não é um documento estático pontual, mas uma ferramenta dinâmica e operativa que deve ser continuamente atualizada para refletir as previsões atuais, de maneira que se possa manter uma perspectiva da viabilidade do programa.
8.7.7. Os benefícios das iniciativas de implementação ou de melhoria podem ser difíceis de quantificar ehaveria que ter cuidados na hora do comprometimento, ao focar em benefícios que sejam realistase atingíveis.
8.7.8. Estudos realizados em outras empresas poderiam proporcionar informação útil acerca dos benefícios que se tenham conseguido.
8.7.9. Exemplo 6 - Estatístivas de governança
8.7.9.1. Sem título
9. Modelo de Capacidade dos processos do Cobit 5
9.1. Introdução
9.1.1. Os usuários de COBIT 4.1, Risk IT e Val IT estão familiarizados com os modelos de maturidade de processos incluídos nesses frameworks.
9.1.2. Estes modelos se utilizam para medir a maturidade atual ou no estado em que se encontram (‘as-is’) os processos relacionados com TI de uma empresa, para definir um estado de maturidade requerido (‘to-be’), e para determinar a brechaentre eles e assim, a forma de melhorar o processo para alcançar o nível de maturidade desejado.
9.1.3. O conjunto de produtos do COBIT 5 inclui um modelo de capacidade de processos, baseado na norma internacionalmente reconhecida ISO/IEC 15504 de Engenharia de Software- Avaliação de Processos.
9.1.4. Este modelo alcançará os mesmos objetivos gerais de avaliação de processos e apoio da melhoria de processos, quer dizer, que proporcionará um meio de medir o desempenho de qualquer dos processos da governança (baseado em EDM) ou de gestão (baseado em PBRM), e permitirá identificar áreas de melhoria
9.1.5. No entanto, o novo modelo é diferente do modelo de maturidade de COBIT 4.1 no seu desenho e uso, e por este motivo, se tratam os temas seguintes: Diferencias entre os modelos de COBIT 5 e de COBIT 4.1 Benefíciosdo modelo COBIT 5 Resumo das diferencias que os usuários de COBIT 5 encontrarão na prática. Realizar uma avaliação da capacidade COBIT 5
9.1.6. Ainda que este enfoque proporcionara informação valiosa sobre o estado dos processos, estes processos são somente um dos sete viabilizadores da governança egestão.
9.1.7. Consequentemente, as avaliações dos processos não proporcionarão uma imagem completa sobre o estado da governança na empresa. Por isto é necessário avaliar os outros viabilizadores.
9.2. Diferenças entre o modelo de maturidade e o de capacidade
9.2.1. Figura exemplo - Resumo do modelo de maturidade do Cobit 5
9.2.1.1. Sem título
9.2.2. Usar o modelo de maturidade do COBIT 4.1 para a melhoria de processos - avaliar a maturidade de um processo, definir o nível objetivo de maturidade e identificar as deficiências- requeria utilizar os seguintes componentes do COBIT 4.1: Primeiro, era necessário fazer uma análise para comprovar se os objetivos de controle dos processos se cumpriam. Despois, o modelo de maturidade incluído no guia de gestão para cada processo poderia ser utilizada para obter um perfil de maturidade do processo Ademais, o modelo de maturidade genérico de COBIT 4.1 proporcionava seis atributos diferentes que eram de aplicação a cada processo e ajudavam na obtenção de una perspectiva mais detalhada do nível de maturidade do processo. Os contpapeisde processo são objetivos de controle genéricos – também necessitavam ser revisados quando se realizava uma análise de processo. Os contpapeisde processos se escondem parcialmente com os atributos genéricos do modelo de maturidade .
9.2.3. Figura exemplo - Resumo do modelo de capacidade do Cobit 5
9.2.3.1. Sem título
9.2.4. Existem seis níveis de capacidade atingíveis por processo, incluída a designação de “processo incompleto” se as práticas definidas no processo não atingem a finalidade prevista:
9.2.4.1. Nível 0 - Processo incompleto— O processo não está implementado ou não atinge seu propósito. Neste nível, ha pouca ou nenhuma evidencia de logro sistemático do propósito do processo.
9.2.4.2. Nível 1 - Processo executado (um atributo) – O processo implementado atinge seu propósito.
9.2.4.3. Nível 2 - Processo gerenciado(dois atributos) – O processo executado descrito anteriormente esta já implementado de forma gerenciada (planejado, supervisionado e ajustado) e os resultados da execução estão estabelecidos, controlados e mantidos apropriadamente.
9.2.4.4. Nível 3 - Processo estabelecido (dois atributos) – O processo gerenciado descrito anteriormente está agora implementado usando um processo definido que é capaz de atingir seus resultados de processo.
9.2.4.5. Nível 4 - Processo previsível (dois atributos) – O processo estabelecido descrito anteriormente agora se executa dentro de limites definidos para atinge seus resultados de processo.
9.2.4.6. Nível 5 - Processo optimizado(dois atributos) – O processo previsível descrito anteriormente é melhorado de forma continua para cumprir com as metas empresarias presentes e futuros.
9.2.5. Cada nível de capacidade pode ser alcançado solo quando o nível inferior seja alcançado por completo. Por exemplo, um nível 3 de capacidade de processo (estabelecido) requer que os atributos de definição e desenvolvimento do processo sejam alcançado amplamente, sob a realização completa dos atributos do nível 2 de maturidade de processos (processo gerenciado).
9.2.6. Existe uma diferença significativa entre o nível 1 de capacidade de processos e os níveis superiores. Alcançar o nível 1 requer que o atributo de rendimento seja alcançado amplamente, o que significa que o processo se executa com sucesso e a organização obtenha os resultados esperados. Então quando os níveis de capacidade superiores agregam diferentes atributos ao processo.
9.2.7. Neste esquema de avaliação, alcançar o nível 1 de capacidade, inclusive em uma escala de 5, é um logro importante para a organização. Deve considerar-se que (motivos de viabilidade ecusto-benefício) cada empresa de forma individual devera escolher seu objetivo ou nível desejado, que raramente será um dos mais altos.
9.2.8. As diferenças mais importantes entre uma análise de capacidadede processos baseado na norma ISO/IEC 15504 e o modelo de maturidade atual de COBIT 4.1 (e os modelos similares de ValIT e RiskIT baseados em domínios) se resumem assim:
9.2.8.1. A nomenclatura e significado dos niveles definidos na ISO/IEC 15504 são muito diferentes de aqueles de COBIT 4.1
9.2.8.2. Na norma ISO/IEC 15504 os niveles de capacidade se definem por um conjunto de nove atributos de processo. Estes atributos cobrem algo do terreno coberto pelos atributos de maturidade COBIT 4.1 e/ou os cont papeis de processo, mas somente em alguma medida e de forma distinta.
9.2.9. Os requisitos para um modelo de referencia para processos compatíveis com a norma ISO/IEC 15504.2 prescrevem quena descrição de qualquer processo que seja analisado, por exemplo qualquer processo de governança ou gestão de COBIT 5:
9.2.9.1. O processo está descrito em termos de seu propósito e resultados.
9.2.9.2. A descrição do processo não deve conter nenhum aspecto do framework de medição por debaixo do nível 1, o que significa que qualquer característica do atributo de um processo não pode aparecer dentro da descrição do processo. Se um processo é supervisionado emedido, ou se está formalmente descrito, etc., não pode fazer parte da descrição do processo ou qualquer das atividades ou práticas inferiores. Isto implica que as descrições do processo- como se incluem em COBIT 5: Processos Viabilizadores- contem somente os passos necessários para alcançar o propósito e as metas reais do processo.
9.2.9.3. Seguindo os pontos anteriores, os atributos comuns aplicáveis a todos os processos da empresa, os quais produziram a duplicação de objetivos de controle na publicação do COBIT 3ª Edição e se agruparam nos objetivos de controle de processos (PC) em COBIT 4.1, estão agora definidos nos niveles 2 a 5 do modelo de avaliação.
9.3. Diferenças na prática
9.3.1. Das descrições previas, está claro que tem algumas diferencias práticas associadas com mudanças nos modelos de avaliação de processos. Os usuários tem que ser conscientes destas mudanças eleva-los em consideração nos seus planos de ação.
9.3.2. As principais mudanças incluem:
9.3.2.1. Ainda que seja tentador comparar os resultados entre COBIT 4.1 y COBIT 5 devido à aparente similaridade das escalas numéricas e as palavras usadas para descreve-las, tal comparação é difícil pelas diferencias de escopo de aplicação, foco e intenção.
9.3.2.2. Em geral, os resultados da avaliação serão menores ao usar o modelo de capacidade de processos de COBIT 5. No modelo de maturidade do COBIT 4.1, um processo poderia alcançar um nível 1 ou 2 sem alcançar completamente todos os objetivos do processo; com os niveles da capacidade de processos do COBIT 5, isto levaria um resultado inferior, entre 0 y 1.
9.3.3. As escalas de capacidade de COBIT 4.1 e COBIT 5 podem-se considerar “mapeadas” como se mostra na seguinte tabela. Não se inclui mais dentro dos conteúdos detalhados de um processo em COBIT 5, um modelo específico de maturidade para cada processo. Isto é porque o foco da norma ISO/IEC 15504 para a avaliação da capacidade de processos não o requer, inclusive até proíbe. No entanto, o foco da norma define a informação requerida no “modelo de referencia de processos” (o modelo de processos que deve ser usado na avaliação):
9.3.3.1. Descrição do processo, com a declaração de propósitos.
9.3.3.2. Práticas base, que são as equivalentes a práticas de gestão ou de governança em COBIT 5.
9.3.3.3. Produtos de trabalho, que são o equivalente às entradas e saídas nos termos de COBIT 5.
9.3.4. O modelo de maturidade de COBIT 4.1 produzia um perfil de maturidade da empresa. O principal propósito deste perfil era identificar em que dimensão ou para que atributos havia fraquezas específicasque necessitavam de melhorias.
9.3.5. Este enfoque era usado pelas empresas quando havia um enfoque direcionado à melhoria mais que para obter um número de maturidade para inclui-lo em um relatório.
9.3.6. Em COBIT 5 o modelo de avaliação entrega uma escala de medida para cada atributo de capacidade eorienta sobre como aplica-lo, sendo assim, em cada processo pode ser realizado una análise para cada um dos nove atributos de capacidade.
9.3.7. Figura Exemplo: Diferenças entre o modelo de maturidade do Cobit 4.1 para o Cobit 5
9.3.7.1. Sem título
9.3.8. Os atributos de maturidade de COBIT 4.1 e os atributos de capacidade dos processos de COBIT 5 não são idênticos. Estes se sobrepõem/ mapeiam até certo ponto.
9.3.9. As empresas que tenham utilizado a abordagem de atributos do modelo de maturidade de COBIT 4.1 podem reutilizar os dados de suas avaliações existentes e reclassificá-lossegundo as avaliações de atributos de COBIT.
9.3.10. Figura Exemplo: Maturidade Cobit 4.1 x Capacidade Cobit 5
9.3.10.1. Sem título
9.4. Beneficios da mudança
9.4.1. Os benefícios do modelo de capacidade dos processos de COBIT 5, comparados com os modelos de maturidade do COBIT 4.1, incluem:
9.4.2. Sem título
9.4.3. Sem título
9.4.4. Sem título