1. Capítulo 5 - 4º Princípio: Permitir uma Abordagem Holística
1.1. Habilitadores do COBIT 5
1.1.1. Figura ‐ 12: Habilitadores Corporativos do COBIT 5
1.2. Governança e Gestão Sistêmicas por meio de Habilitadores Interligados
1.2.1. EXEMPLO 3 – GOVERNANÇA E GESTÃO CORPORATIVA DE TI DA ORGANIZAÇÃO
1.2.2. EXEMPLO 4 ‐ GOVERNANÇA E GESTÃO CORPORATIVA DE TI DA ORGANIZAÇÃO
1.3. Dimensões dos Habilitadores do COBIT 5
1.3.1. Figura ‐ 13: Habilitadores do COBIT 5: Genéricos
1.3.2. Dimensões do Habilitador
1.3.2.1. Partes Interessadas
1.3.2.2. Metas
1.3.2.2.1. Resultados esperados do habilitador
1.3.2.2.2. Aplicativo ou operação do próprio operador
1.3.2.2.3. categorias:
1.3.2.3. Ciclo de vida
1.3.2.3.1. Planejar
1.3.2.3.2. Projetar
1.3.2.3.3. Desenvolver/adquirir/criar/implementar
1.3.2.3.4. Usar/operar
1.3.2.3.5. Avaliar/monitorar
1.3.2.3.6. Atualizar/descartar
1.3.2.4. Boas práticas
1.3.2.5. Controle de Desempenho do Habilitador
1.3.2.5.1. As necessidades das partes interessadas foram consideradas?
1.3.2.5.2. As metas do habilitador foram atingidas?
1.3.2.5.3. O ciclo de vida do habilitador é controlado?
1.3.2.5.4. Boas práticas foram aplicadas?
1.4. Exemplo de Habilitadores na Prática
1.4.1. EXEMPLO 5 ‐ HABILITADORES
2. Capítulo 6 - 5º Princípio: Distinguir a Governança da Gestão
2.1. Governança e Gestão
2.1.1. Governança
2.1.2. Gestão
2.2. Interações Entre Governança e Gestão
2.2.1. Figura ‐ 14: Interações entre Governança e Gestão
2.3. Modelo de Referência de Processo do COBIT 5
2.3.1. Figura ‐ 15: Principais Área de Governança do COBIT 5
2.3.2. Figura ‐ 16: Modelo de Referência de Processo do COBIT 5
3. Capítulo 7 - Guia de Implementação
3.1. Introdução
3.2. Considerar o Contexto da Organização
3.3. Criar o Ambiente Apropriado
3.4. Reconhecer Pontos de Dor e Eventos Desencadeadores
3.5. Capacitar a Mudança
3.6. Uma Abordagem ao Ciclo de Vida
3.6.1. Figura ‐ 17: As Sete Fases do Ciclo de Vida da Implementação
3.7. Primeiros Passos: Elaborar o Estudo de Caso
3.8. EXEMPLO 6 – ESTATÍSTICAS DE GOVERNANÇA E TI
4. Capítulo 8 - Modelo de Capacidade de Processo do COBIT 5
4.1. Introdução
4.2. Diferenças Entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade de Processo do COBIT 5
4.2.1. Figura ‐ 18: Resumo do Modelo de Maturidade do COBIT 4.1
4.2.2. Figura ‐ 19: Resumo do Modelo de Capacidade de Processo do COBIT 5
4.2.3. Diferenças na Prática12
4.2.3.1. Figura ‐ 20: Tabela Comparativa Níveis de Maturidade (COBIT 4.1) e Níveis de Capacidade de Processo (COBIT 5) Personal Copy
4.2.3.2. Figura ‐ 21: Tabela Comparativa Atributos de Maturidade (COBIT 4.1) e Atributos de Processo (COBIT 5)
4.3. Benefícios das Mudanças
4.4. Realizar Avaliações da Capacidade do Processo no COBIT 5
5. Apêndice A - Referências
6. Apêndice B - Mapeamento Detalhado dos Objetivos Corporativos - Objetivos de TI
6.1. EXEMPLO 7 – TABELA DE MAPEAMENTO
6.2. Figura ‐ 22: Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI
7. Apêndice C - Mapeamento Detalhado dos Objetivos de TI - Processos de TI
7.1. EXEMPLO 8 ‐ APO13 GERENCIAR SEGURANÇA
7.2. Figura ‐ 23: Mapeamento dos Objetivos de TI do COBIT em Processos
8. Apêndice D - Necessidades das Partes Interessadas e Objetivos Corporativos
8.1. Figura – 24: Mapeamento dos Objetivos Corporativos do COBIT 5 em Perguntas sobre Governança e Gestão
9. Apêndice E - Mapeamento do COBIT 5 com os Padrões e Modelos Correlatos mais relevantes
9.1. Introdução
9.2. COBIT 5 e ISO/IEC 38500
9.2.1. Princípios do ISO/IEC 38500
9.2.1.1. 1º PRINCÍPIO - RESPONSABILIDADE
9.2.1.1.1. O que isso significa na prática:
9.2.1.1.2. Como a orientação da ISACA viabiliza a boa prática:
9.2.1.2. 2º PRINCÍPIO - ESTRATÉGIA
9.2.1.2.1. O que isso significa na prática:
9.2.1.2.2. Como a orientação da ISACA viabiliza a boa prática:
9.2.1.3. 3º PRINCÍPIO - AQUISIÇÃO
9.2.1.3.1. O que isso significa na prática:
9.2.1.3.2. Como a orientação da ISACA viabiliza a boa prática:
9.2.1.4. 4º PRINCÍPIO - DESEMPENHO
9.2.1.4.1. O que isso significa na prática:
9.2.1.4.2. Como a orientação da ISACA viabiliza a boa prática:
9.2.1.5. 5º PRINCÍPIO - CONFORMIDADE
9.2.1.5.1. O que isso significa na prática:
9.2.1.5.2. Como a orientação da ISACA viabiliza a boa prática:
9.2.1.6. 6º PRINCÍPIO - COMPORTAMENTO HUMANO
9.2.1.6.1. O que isso significa na prática:
9.2.1.6.2. Como a orientação da ISACA viabiliza a boa prática:
9.3. Comparação com Outros Padrões
9.3.1. ITIL® e ISO/IEC 20000 (ABNT NBR ISO/IEC 20000)
9.3.2. ISO/IEC Série 27000 (ABNT NBR ISO/IEC 27000)
9.3.3. ISO/IEC Série 31000 (ABNT NBR ISO 31000)
9.3.4. Capability Maturity Model Integration (CMMI) (desenvolvimento)
9.3.5. Figura ‐ 25: Cobertura de Outros Padrões e Modelos pelo COBIT 5
10. Apêndice F - Comparação entre o Modelo de Informações do COBIT 5 e os Critérios de Informações do COBIT 4.1
10.1. Figura ‐ 26: Equivalentes do COBIT 5 aos Critérios de Informação do COBIT 4.1
10.1.1. Critérios do COBIT 4.1
10.1.1.1. Eficácia
10.1.1.2. Eficiência
10.1.1.3. Integridade
10.1.1.4. Confiabilidade
10.1.1.5. Disponibilidade
10.1.1.6. Confidencialidade
10.1.1.7. Conformidade
11. Apêndice G - Descrição detalhada dos Habilitadores do COBIT 5
11.1. Introdução
11.1.1. Figura ‐ 27: Habilitadores do COBIT 5: Genéricos
11.1.2. Dimensões do Habilitador
11.1.2.1. Partes Interessadas
11.1.2.2. Metas
11.1.2.2.1. categorias:
11.1.2.3. Ciclo de vida
11.1.2.3.1. Planejar
11.1.2.3.2. Projetar
11.1.2.3.3. Desenvolver/adquirir/criar/implementar
11.1.2.3.4. Usar/operar
11.1.2.3.5. Avaliar/monitorar
11.1.2.3.6. Atualizar/descartar
11.1.2.4. Boas práticas
11.1.3. Controle de Desempenho do Habilitador
11.2. Habilitador do COBIT 5: Princípios, Políticas e Modelos
11.2.1. Figura ‐ 28: Habilitador do COBIT 5: Princípios, Políticas e Modelos
11.2.2. Dimensões do Habilitador
11.2.2.1. Partes Interessadas
11.2.2.2. Metas
11.2.2.3. Ciclo de vida
11.2.2.4. Boas práticas
11.2.3. Controle de Desempenho do Habilitador
11.2.4. Relações com outros habilitadores
11.2.5. EXEMPLO 9 – MÍDIA SOCIAL
11.3. Habilitador do COBIT 5: Processos
11.3.1. Dimensões do Habilitador
11.3.1.1. Partes Interessadas
11.3.1.2. Metas
11.3.1.3. Ciclo de vida
11.3.1.4. Boas práticas
11.3.2. Controle de Desempenho do Habilitador
11.3.3. Relações com outros habilitadores
11.3.4. Modelo de Referência de Processo do COBIT 5
11.3.4.1. PROCESSOS DE GOVERNANÇA E GESTÃO
11.3.4.1.1. Processos de governança
11.3.4.1.2. Processos de gestão
11.3.4.2. EXEMPLO 10 — INTERCONEXÕES DO HABILITADOR DE PROCESSO
11.3.4.3. Figura ‐ 30: COBIT 5 Áreas Chaves da Governança e do Gerenciamento
11.3.4.4. Figura ‐ 31: COBIT 5 Modelo de Referência de Processos
11.4. Habilitador do COBIT 5: Estruturas Organizacionais
11.4.1. Figura ‐ 32: Habilitador do COBIT 5: Estrutura Organizacional
11.4.2. Dimensões do Habilitador
11.4.2.1. Partes Interessadas
11.4.2.2. Metas
11.4.2.3. Ciclo de vida
11.4.2.4. Boas práticas
11.4.2.4.1. Princípios operacionais
11.4.2.4.2. Composição
11.4.2.4.3. Abrangência de controle
11.4.2.4.4. Nível de autoridade/direitos de decisão
11.4.2.4.5. Delegação de autoridade
11.4.2.4.6. Procedimentos de escalação
11.4.3. Controle de Desempenho do Habilitador
11.4.4. Relações com outros habilitadores
11.4.5. Figura ‐ 33: Papéis e Estruturas Organizacionais
11.5. Habilitador do COBIT 5: Cultura, Ética e Comportamento
11.5.1. Figura ‐ 34: Habilitador do COBIT 5: Cultura, Ética e Comportamento
11.5.2. Dimensões do Habilitador
11.5.2.1. Partes Interessadas
11.5.2.2. Metas
11.5.2.3. Ciclo de vida
11.5.2.4. Boas práticas
11.5.3. Controle de Desempenho do Habilitador
11.5.4. Relações com outros habilitadores
11.5.5. EXEMPLO 11 — MELHORIA DA QUALIDADE
11.5.6. EXEMPLO 12 — RISCO DE TI
11.6. Habilitador do COBIT 5: Informação
11.6.1. Introdução — O Ciclo da Informação
11.6.1.1. Figura ‐ 35: Ciclo da Informação — Metadados do COBIT 5
11.6.1.2. Figura ‐ 36: Habilitador do COBIT 5: Informação
11.6.2. Dimensões do Habilitador
11.6.2.1. Partes Interessadas
11.6.2.1.1. Produtor de informação,
11.6.2.1.2. Custodiante de informação,
11.6.2.1.3. Cliente de informação,
11.6.2.2. Metas
11.6.2.2.1. Qualidade intrínseca
11.6.2.2.2. Qualidade contextual e representacional
11.6.2.2.3. Quantidade correta de Informação
11.6.2.3. Ciclo de vida
11.6.2.3.1. Planejar
11.6.2.3.2. Projetar
11.6.2.3.3. Desenvolver/adquirir
11.6.2.3.4. Usar/operar
11.6.2.4. Boas práticas
11.6.2.4.1. camadas e atributos da informação
11.6.3. Controle de Desempenho do Habilitador
11.6.4. Relações com outros habilitadores
11.6.5. EXEMPLO 13 — MODELO DE INFORMAÇÃO USADO PARA AS ESPECIFICAÇÕES DA INFORMAÇÃO
11.6.6. EXEMPLO 14 — MODELO DE INFORMAÇÃO USADO PARA DETERMINAR A PROTEÇÃO NECESSÁRIA
11.6.7. EXEMPLO 15 — MODELO DE INFORMAÇÃO USADO PARA DETERMINAR A FACILIDADE DE USO DOS DADOS
11.7. Habilitador COBIT 5: Serviços, Infraestrutura e Aplicativos
11.7.1. Dimensões do Habilitador
11.7.1.1. Partes Interessadas
11.7.1.2. Metas
11.7.1.3. Ciclo de vida
11.7.1.3.1. Figura ‐ 37: Habilitador do COBIT 5: Serviços, Infraestrutura e Aplicativos
11.7.1.4. Boas práticas
11.7.2. Controle de Desempenho do Habilitador
11.7.3. Relações com outros habilitadores
11.8. Habilitador do COBIT 5: Pessoas, Habilidades e Competências
11.8.1. Dimensões do Habilitador
11.8.1.1. Partes Interessadas
11.8.1.2. Metas
11.8.1.3. Ciclo de vida
11.8.1.4. Boas práticas
11.8.2. Figura ‐ 38: Habilitador do COBIT 5: Pessoas, Habilidades e Competências
11.8.3. Figura ‐ 39: Categorias de Habilidades do COBIT 5
11.8.4. Controle de Desempenho do Habilitador
11.8.5. Relações com outros habilitadores
12. Apêndice H - Glossário
12.1. B - C
12.1.1. Boas práticas
12.1.1.1. Atividade ou processo comprovado que tem sido aplicado com sucesso por diversas organizações e tem sido apresentado para produzir resultados confiáveis
12.1.2. Capacidade do processo
12.1.2.1. ISO/IEC 15504: Uma caracterização da capacidade de um processo de cumprir os objetivos do negócio, atuais ou projetados
12.1.3. Catálogo de serviços
12.1.3.1. Informação estruturada sobre todos os serviços de TI disponíveis aos clientes
12.1.4. Ciclo de vida econômico
12.1.4.1. O período durante o qual se espera a realização de benefícios substanciais para a organização e/ou durante o qual se espera a inocorrência de despesas substanciais (inclusive investimentos, custos com execução e aposentadoria) por um programa de investimento
12.1.5. COBIT
12.1.5.1. 1. COBIT 5:
12.1.5.2. 2. COBIT 4.1 e versões anteriores:
12.1.5.3. Nota sobre o escopo:
12.1.6. Cobrança retroativa
12.1.6.1. A redistribuição das despesas às unidades de uma organização que lhes deram origem
12.1.7. Código de Ética
12.1.7.1. Documento elaborado para influenciar o comportamento individual e organizacional dos funcionários definindo valores organizacionais e as regras a serem aplicadas em determinadas situações. Ele é adotado para auxiliar os responsáveis pela tomada de decisões da organização a entender a diferença entre “certo” e “errado” e aplicar este entendimento em suas decisões
12.1.8. Competência
12.1.8.1. A habilidade de realizar uma tarefa, ação ou função específica com sucesso
12.1.9. Conselho de arquitetura
12.1.9.1. Um grupo de participantes e especialistas responsáveis pela orientação nos assuntos e decisões relacionados à arquitetura corporativa e pela definição das políticas e padrões de arquitetura
12.1.10. Contexto
12.1.10.1. Contexto tecnológico
12.1.10.1.1. Fatores tecnológicos que afetam a habilidade de uma organização de capturar valor dos dados
12.1.10.2. Contexto dos dados
12.1.10.2.1. Exatidão, disponibilidade, atualização e qualidade dos dados
12.1.10.3. Habilidades e conhecimento
12.1.10.3.1. Experiência geral e habilidades analíticas, técnicas e corporativas
12.1.10.4. Contexto cultural e organizacional
12.1.10.4.1. Fatores políticos, e se a organização prefere dados a intuição
12.1.10.5. Contexto estratégico
12.1.10.5.1. Objetivos estratégicos da organização
12.1.11. Continuidade do negócio
12.1.11.1. Prevenção, mitigação e recuperação após uma interrupção. Os termos “planejamento de restabelecimento de negócios”, “planejamento de recuperação de desastres” e “planejamento de contingência” também podem ser usados neste contexto; eles se concentram nos aspectos de recuperação da continuidade, e por esse motivo o aspecto “resiliência” também deve ser considerado
12.1.12. Controle
12.1.12.1. Os meios para gerenciar os riscos, inclusive políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, ou jurídica. Também usado como sinônimo de salvaguarda ou contramedida
12.1.13. Controle do processo de negócios
12.1.13.1. As políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer garantia razoável de que um processo de negócios alcançará seus objetivos
12.1.14. Criação de valor
12.1.14.1. O principal objetivo da governança de uma organização, atingido quando os três objetivos subjacentes
12.1.15. Cultura
12.1.15.1. Um padrão de comportamentos, convicções, assunções, atitudes e formas de fazer as coisas
12.2. E
12.2.1. Entradas e saídas
12.2.1.1. Os produtos do trabalho/artefatos do processo considerados necessários para apoiar a operação do processo. Eles facilitam decisões importantes, fornecem um registro e uma prova de auditoria das atividades do processo e permitem o acompanhamento no caso de incidentes. São definidos no principal nível da prática de gestão, podem incluir alguns produtos do trabalho usados somente no processo e frequentemente são entradas críticas para outros processos. A ilustração de “entradas e saídas do COBIT 5” não deve ser considerada uma lista completa e definitiva uma vez que novos fluxos de informações podem ser definidos dependendo do ambiente e da estrutura do processo de uma organização específica
12.2.2. Estrutura de governança
12.2.2.1. Estrutura é um conceito básico usado para resolver ou abordar assuntos complexos; um habilitador de governança; um conjunto de conceitos, assunções e práticas que definem como algo pode ser abordado ou entendido, as relações entre as entidades envolvidas, as funções dos evolvidos e os limites (o que é ou não incluído no sistema de governança) Exemplos: COBIT e COSO’s Internal Control — Integrated Framework
12.2.3. Estrutura organizacional
12.2.3.1. Um habilitador de governança e gestão. Inclui a organização e suas estruturas, hierarquias e dependências Exemplo: Comitê diretor
12.3. G
12.3.1. Gestão
12.3.1.1. Implica o uso ponderado dos meios (recursos, pessoas, processos, práticas, etc.) para atingir um determinado objetivo. É o meio ou instrumento pelo qual o órgão de governança alcança um resultado ou objetivo. A gestão é responsável pela execução da orientação definida pelo órgão de governança. Gestão diz respeito ao alinhamento das atividades de planejamento, desenvolvimento, organização e controle operacional com a orientação definida pelo órgão de governança, e à geração de relatórios sobre essas atividades
12.3.2. Gestão de riscos
12.3.2.1. Um dos objetivos da governança. Implica o reconhecimento do risco; avaliação do impacto e da probabilidade daquele risco; e desenvolvimento de estratégias para evitar o risco, reduzir o efeito negativo do risco e/ou transferir o risco, para administrá‐lo no contexto da organização de inclinação ao risco.
12.3.3. Governança
12.3.3.1. A estrutura, princípios e políticas, modelo, processos e práticas, informação, habilidades, cultura, ética e comportamento para determinar a orientação e monitorar a conformidade e o desempenho da organização em consonância com o propósito geral e os objetivos definidos. A governança define a responsabilidade e tomada de decisões (entre outros elementos)
12.3.4. Governança corporativa
12.3.4.1. Um conjunto de responsabilidades e práticas exercidas pelo conselho e pela gestão executiva com o objetivo de fornecer orientação estratégica, garantindo que os objetivos sejam alcançados, considerando a gestão de riscos adequada e verificando se os recursos da organização são utilizados com responsabilidade. Também poderia significar uma visão de governança concentrada na organização como um todo; a visão da governança em seu nível mais alto e à qual todos os demais devem se alinhar
12.3.5. Governança Corporativa de TI
12.3.5.1. Uma visão de governança que garante que a informação e a tecnologia relacionada apoiem e possibilitem a estratégia da organização e a consecução dos objetivos corporativos. Também inclui a governança funcional de TI, ou seja, garantindo que as capacidades de TI sejam fornecidas com eficiência e eficácia
12.4. H
12.4.1. Habilidade
12.4.1.1. A capacidade adquirida para atingir resultados predeterminados
12.4.2. Habilitador de governança
12.4.2.1. Algo (tangível ou intangível) que auxilia na realização da governança efetiva. (O Tribunal de Contas da União (TCU) e entidades do governo usam também o termo “Viabilizador”. Os dois termos são aceitos como corretos “Habilitador de governança” ou “Viabilizador de governança”)
12.5. I - M
12.5.1. Informação
12.5.1.1. Um ativo, assim como outros ativos importantes da organização, crítico para os negócios da organização. Ela pode existir em muitas formas: impressa ou escrita em papel, armazenada eletronicamente, enviada pelo correio e por um meio eletrônico, apresentada em filmes ou ainda divulgada em conversas
12.5.2. Interessado
12.5.2.1. Qualquer pessoa responsável por uma expectativa ou qualquer outro interesse da organização – por exemplo, participantes, usuários, governo, fornecedores, clientes e o público
12.5.3. Métrica
12.5.3.1. Entidade quantificável que permite a medição da consecução de um objetivo do processo. As métricas devem ser SMART – específicas, mensuráveis, acionáveis, pertinentes e tempestivas. A orientação completa das métricas define a unidade utilizada, a frequência de medição, valor‐alvo ideal (se for o caso) bem como o procedimento para fazer a medição e o procedimento para interpretação da avaliação
12.5.4. Modelo
12.5.4.1. Uma forma de descrever um determinado conjunto de componentes e como estes componentes se relacionam entre si para descrever as principais funções de um objeto, sistema ou conceito
12.6. O - P
12.6.1. Objetivo
12.6.1.1. Declaração do resultado esperado
12.6.2. Objetivo corporativo
12.6.2.1. Ver Objetivo do negócio
12.6.3. Objetivo de TI
12.6.3.1. Declaração que descreve o resultado de TI esperado pela organização em apoio aos objetivos corporativos. O resultado pode ser um artefato, uma mudança significativa de um estado ou o aumento significativo da capacidade
12.6.4. Objetivo do negócio
12.6.4.1. A tradução da missão da organização, expressa em uma declaração de intenção, em metas de desempenho e resultados
12.6.5. Objetivo do processo
12.6.5.1. Declaração que descreve o resultado esperado de um processo. O resultado pode ser um artefato, uma mudança de estado significativa ou o aumento significativo da capacidade de outros processos
12.6.6. Órgão Gestor de Programas e Projetos (PMO)
12.6.6.1. Função responsável por apoiar os gerentes de programas e projetos e reunir, avaliar e reportar a informação por meio de relatório sobre a conduta de seus programas e dos projetos que os compõem
12.6.7. Otimização de recursos
12.6.7.1. Um dos objetivos da governança. Envolve o uso eficaz, eficiente e responsável de todos os recursos humanos, financeiros, equipamentos, instalações, etc.
12.6.8. Parte consultada (RACI)
12.6.8.1. Refere‐se àquelas pessoas cujas opiniões são solicitadas em uma atividade (comunicação bidirecional) Em uma tabela RACI, responde à pergunta: Quem é responsável pelas entradas? As principais funções que fornecem entrada. Observe que também fica a critério das funções responsáveis obterem as informações junto a outras unidades ou parceiros externos; no entanto, as entradas provenientes das funções relacionadas serão consideradas e, se necessário, ações adequadas deverão ser tomadas para escalação, inclusive a informação do responsável pelo processo e/ou do comitê diretor
12.6.9. Parte informada (RACI) (Informed)
12.6.9.1. Refere‐se às pessoas mantidas informadas e atualizadas sobre o andamento de uma atividade (comunicação unidirecional) Em uma tabela RACI, responde à pergunta: Quem recebe a informação? As funções informadas sobre a consecução e/ou resultados da tarefa. A função de “responsável”, evidentemente, sempre deverá receber informação adequada para supervisionar a tarefa, da mesma forma que as funções responsáveis por sua área de interesse
12.6.10. Parte Aprovadora (RACI) (Accountable)
12.6.10.1. Pessoa, grupo ou entidade responsável basicamente por um assunto, processo ou escopo Em uma tabela RACI, responde à pergunta: Quem responde pelo sucesso da tarefa?
12.6.11. Parte Responsável (RACI) (Responsible)
12.6.11.1. Refere‐se à pessoa que deve garantir que as atividades sejam concluídas com sucesso Em uma tabela RACI, responde à pergunta: Quem está realizando a tarefa? As funções que tiverem o principal interesse operacional na realização da atividade relacionada e criarem o resultado esperado
12.6.12. Política
12.6.12.1. Intenção e orientação gerais conforme formalmente expressas pela administração Portfólio de investimentos O conjunto de investimentos sendo considerados e/ou realizados
12.6.13. Prática de governança/gestão
12.6.13.1. Para cada processo do COBIT, as práticas de governança e gestão fornecem um conjunto completo de requisitos em alto nível para a prática e eficiente governança e gestão de TI da organização. Elas são declarações de ações para os órgãos de governança e para a administração
12.6.14. Princípio
12.6.14.1. Um habilitador de governança e de gestão. Ele inclui os valores e assunções fundamentais adotados pela organização, as convicções que orientam e impõem limites à tomada de decisão da organização, a comunicação dentro e fora da organização bem como a administração – gestão de ativos de terceiros. Exemplo: Código de ética, Estatuto de responsabilidade social
12.6.15. Processo
12.6.15.1. Via de regra, um conjunto de práticas influenciadas pelas políticas e procedimentos da organização, alimentado por diversas fontes (inclusive outros processos), que manipula as entradas e produz saídas (por exemplo, produtos, serviços) Nota sobre o Escopo: Processos têm propósitos corporativos claramente definidos para existir, responsáveis, funções e responsabilidades bem definidos para execução do processo, bem como os meios para medir o desempenho
12.7. Q - R
12.7.1. Qualidade
12.7.1.1. Ser adequado ao objetivo (criar o valor esperado)
12.7.2. Realização dos benefícios
12.7.2.1. Um dos objetivos da governança. A interposição de novos benefícios para a organização, manutenção e ampliação de das atuais formas de benefícios e a eliminação daquelas iniciativas e ativos que não criam o valor esperado
12.7.3. Recursos
12.7.3.1. Qualquer ativo da organização que pode ajudá‐la a atingir seus objetivos
12.7.4. Responsabilidade pela Governança
12.7.4.1. A governança garante que os objetivos corporativos sejam alcançados avaliando as necessidades, condições e opções das partes interessadas; definindo a orientação através da priorização e tomada de decisão; e monitorando o desempenho, conformidade e evolução dos planos. Na maioria das organizações, a governança é de responsabilidade do conselho de administração, sob a liderança do presidente
12.7.5. Risco
12.7.5.1. A combinação da probabilidade de um evento e suas consequências (ISO/IEC 73)
12.8. S - T
12.8.1. Saída
12.8.1.1. Ver Entradas e Saídas
12.8.2. Serviço de TI
12.8.2.1. O fornecimento diário aos clientes de infraestrutura e aplicativos de TI e suporte para seu uso. Exemplos incluem central de atendimento, fornecimento e mudança de equipamentos, bem como autorizações de segurança
12.8.3. Serviços
12.8.3.1. Ver Serviço de TI
12.8.4. Sistema de controle interno
12.8.4.1. Políticas, padrões, planejamentos e procedimentos, e estruturas organizacionais projetadas para fornecer a garantia razoável de que os objetivos corporativos serão atingidos e eventos indesejados serão evitados ou detectados e corrigidos
12.8.5. Tabela RACI
12.8.5.1. Ilustra quem é a pessoa Responsável, Aprovador, Consultada ou Informada dentro da estrutura organizacional
12.8.6. Tendência
12.8.6.1. Fatores internos e externos que desencadeiam e influenciam a forma como a organização ou as pessoas agem ou mudam
12.9. A
12.9.1. Alinhamento
12.9.1.1. O estado em que os habilitadores de governança e gestão de TI da organização apoiam os objetivos e estratégias da organização
12.9.2. Aprovador
12.9.2.1. Pessoa ou grupo que detém ou possui os direitos e as responsabilidades em relação a uma organização, entidade ou ativo, por exemplo, responsável pelo processo, responsável pelo sistema
12.9.3. Arquitetura de aplicativo
12.9.3.1. Descrição do agrupamento lógico das capacidades que controlam os objetos necessários para processamento da informação e apoio aos objetivos corporativos
12.9.4. Arquitetura de referência
12.9.4.1. A atual descrição do projeto básico subjacente dos componentes do sistema de negócios antes de entrar em um ciclo de análise e novo projeto de arquitetura
12.9.5. Atributo (de capacidade) do processo
12.9.5.1. ISO/IEC 15504: Uma característica mensurável da capacidade do processo aplicável a qualquer processo
12.9.6. Alinhamento
12.9.6.1. O estado em que os habilitadores de governança e gestão de TI da organização apoiam os objetivos e estratégias da organização
12.9.7. Aplicativo de TI
12.9.7.1. Funcionalidade eletrônica que faz parte dos processos de negócios assumidos por TI ou com a sua assistência
12.9.8. Aplicativo de TI
12.9.8.1. Funcionalidade eletrônica que faz parte dos processos de negócios assumidos por TI ou com a sua assistência
12.9.8.2. Novo tópico
12.9.9. Autenticação
12.9.9.1. O ato de verificar a identidade de um usuário e a qualificação do usuário para acesso às informações computadorizadas Nota sobre o Escopo: Garantia: O objetivo da autenticação é oferecer proteção contra atividades de logon (acesso) fraudulento. Ela também pode se referir à verificação da exatidão de um dado
12.9.10. Atividade
12.9.10.1. Descrevem um conjunto de etapas de implementação orientadas à ação necessárias e suficientes para atingir a Prática de Governança ou a Prática de gestão
12.9.10.2. Consideraram as entradas e saídas do processo
12.9.10.3. Têm como base os padrões e boas práticas geralmente aceitos
12.9.10.4. Apoiam a criação de funções e responsabilidades bem definidas
12.9.10.5. Não são prescritivas e devem ser adaptadas e desenvolvidas em procedimentos específicos adequados à organização
13. Agradecimentos
13.1. Força Tarefa COBIT 5 (2009–2011)
13.2. Equipe de Desenvolvimento
13.3. Participantes do Workshop
13.4. Revisores Especializados
13.5. Conselho de Administração da ISACA
13.6. Junta de Conhecimento
13.7. Comitê do Modelo (2009-2012)
13.8. Agradecimento Especial
13.9. Afiliadas e Patrocinadores da ISACA e do Instituto de Governança de TI® (ITGI®)
13.10. Reconhecimento da Tradução para a língua portuguesa
13.10.1. Voluntários
13.10.2. Apoio institucional dos capítulos brasileiros
13.10.2.1. Capítulo São Paulo
13.10.2.1.1. Diretoria Executiva em 2014 – 2017
13.10.2.1.2. Diretoria Executiva em 2010 – 2013
13.10.2.2. Capítulo Brasília
13.10.2.2.1. Diretoria Executiva
13.10.2.3. Capítulo Rio de Janeiro
14. Índice
14.1. Agradecimentos - 3
14.2. Índice 9
14.3. Lista de Figuras - 11
14.4. COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização - 13
14.5. Sumário Executivo - 15
14.6. Capítulo 1 - Visão Geral do COBIT 5 - 17
14.6.1. Visão Geral desta Publicação - 18
14.7. Capítulo 2 - 1º Princípio: Atender às Necessidades das Partes interessadas - 19
14.7.1. Introdução - 19
14.7.2. Cascata dos Objetivos do COBIT 5 - 19
14.7.2.1. 1º Passo. Os Direcionadores das Partes Interessadas Influenciam as Necessidades das Partes Interessadas - 19
14.7.2.2. 2º Passo. Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos - 19
14.7.2.3. 3º Passo. Cascata dos Objetivos Corporativos em Objetivos de TI - 20
14.7.2.4. 4º Passo. Cascata dos Objetivos de TI em Metas do Habilitador - 20
14.7.3. Usando a Cascata de Objetivos do COBIT 5 - 22
14.7.3.1. Usando a Cascata de Objetivos do COBIT 5 com Atenção - 22
14.7.3.2. Usando a Cascata de Objetivos do COBIT 5 na Prática - 22
14.7.4. Perguntas sobre Governança e Gestão de TI - 23
14.8. Capítulo 3 - 2º Princípio: Cobrir a Organização de Ponta a Ponta - 25
14.8.1. Abordagem à Governança - 25
14.8.1.1. Papéis, Atividades e Relacionamentos - 26
14.8.1.2. Escopo da Governança - 26
14.8.1.3. Habilitadores da Governança - 26
14.9. Capítulo 4 - 3º Princípio: Aplicar Um Modelo Único Integrado - 27
14.9.1. Integrador de Modelos do COBIT 5 - 27
14.10. Capítulo 5 - 4º Princípio: Permitir uma Abordagem Holística - 29
14.10.1. Habilitadores do COBIT 5 - 29
14.10.2. Governança e Gestão Sistêmicas por meio de Habilitadores Interligados - 29
14.10.3. Dimensões dos Habilitadores do COBIT 5 - 30
14.10.3.1. Dimensões do Habilitador - 30
14.10.3.2. Controle de Desempenho do Habilitador - 31
14.10.4. Exemplo de Habilitadores na Prática - 31
14.11. CAPÍTULO 6 - 5º PRINCÍPIO: DISTINGUIR A GOVERNANÇA DA GESTÃO - 33
14.11.1. Governança e Gestão. 33
14.11.2. Interações Entre Governança e Gestão - 33
14.11.3. Modelo de Referência de Processo do COBIT 5 - 34
14.12. Capítulo 7 - Guia de Implementação - 37
14.12.1. Introdução - 37
14.12.2. Considerar o Contexto da Organização - 37
14.12.3. Criar o Ambiente Apropriado - 37
14.12.4. Reconhecer Pontos de Dor e Eventos Desencadeadores - 38
14.12.5. Capacitar a Mudança - 38
14.12.6. Uma Abordagem ao Ciclo de Vida - 39
14.12.7. Primeiros Passos: Elaborar o Estudo de Caso - 40
14.13. Capítulo 8 - MODELO de Capacidade de Processo do COBIT 5 - 43
14.13.1. Introdução - 43
14.13.2. Diferenças Entre o Modelo de Maturidade do COBIT 4.1 e o Modelo de Capacidade de Processo do COBIT 5 - 43
14.13.3. Diferenças na Prática. 45
14.13.4. Benefícios das Mudanças - 47
14.13.5. Realizar Avaliações da Capacidade do Processo no COBIT 5 - 47
14.14. Anexo A - Referências - 49
14.15. Apêndice B - Mapeamento Detalhado dos Objetivos Corporativos - Objetivos de TI - 51
14.16. Apêndice C - Mapeamento Detalhado dos Objetivos de TI – Processos de TI - 53
14.17. Apêndice D - Necessidades das Partes Interessadas e Objetivos Corporativos - 57
14.18. Apêndice E - Mapeamento do COBIT 5 com os Padrões e Modelos Correlatos mais Relevantes - 61
14.18.1. Introdução - 61
14.18.2. COBIT 5 e ISO/IEC 38500 - 61
14.18.2.1. Princípios do ISO/IEC 38500 - 61
14.18.3. Comparação com Outros Padrões - 64
14.18.3.1. ITIL® e ISO/IEC 20000 (ABNT NBR ISO/IEC 20000) - 64
14.18.3.2. ISO/IEC Série 27000 (ABNT NBR ISO/IEC 27000) - 64
14.18.3.3. ISO/IEC Série 31000 (ABNT NBR ISO 31000) - 64
14.18.3.4. TOGAF® - 64
14.18.3.5. Capability Maturity Model Integration (CMMI) (desenvolvimento) - 64
14.18.3.6. PRINCE2® - 65
14.19. Apêndice F - Comparação entre o Modelo de Informações do Cobit 5 e os Critérios de Informações do Cobit 4.1 - 67
14.20. Apêndice G Descrição Detalhada dos Habilitadores do COBIT 5 - 69
14.20.1. Introdução - 69
14.20.1.1. Dimensões do Habilitador - 69
14.20.1.2. Controle de Desempenho do Habilitador - 70
14.20.2. Habilitador do COBIT 5: Princípios, Políticas e Modelos - 71
14.20.3. Habilitador do COBIT 5: Processos - 73
14.20.3.1. Controle de Desempenho do Habilitador - 74
14.20.3.2. Exemplo de Habilitador Processo na Prática - 75
14.20.3.3. Modelo de Referência de Processo do COBIT 5 - 75
14.20.3.4. Modelo de Referência de Processo do COBIT 5 - 76
14.20.4. Habilitador do COBIT 5: Estruturas Organizacionais - 79
14.20.4.1. Ilustração das Estruturas Organizacionais do COBIT 5 - 80
14.20.5. Habilitador do COBIT 5: Cultura, Ética e Comportamento - 82
14.20.6. Habilitador do COBIT 5: Informação - 84
14.20.6.1. Introdução — O Ciclo da Informação - 84
14.20.6.2. Habilitador informação do COBIT 5 - 84
14.20.7. Habilitador COBIT 5: Serviços, Infraestrutura e Aplicativos - 88
14.20.8. Habilitador do COBIT 5: Pessoas, Habilidades e Competências - 90
14.21. Apêndice H Glossário - 93
15. Lista de Figuras
15.1. Figuras 01 a 09
15.1.1. Figura - 1: Família de Produtos COBIT 5 - 13
15.1.2. Figura - 2: Princípios do COBIT 5 - 15
15.1.3. Figura - 3: Objetivo da Governança: Criação de Valor - 19
15.1.4. Figura - 4: Visão Geral da cascata de Objetivos do COBIT 5 20
15.1.5. Figura - 5: Objetivos Corporativos do COBIT 5 - 21
15.1.6. Figura - 6: Objetivos de TI - 21
15.1.7. Figura - 7: Perguntas sobre Governança e Gestão de TI 24
15.1.8. Figura - 8: Governança e Gestão de TI no COBIT 5 - 25
15.1.9. Figura - 9: Principais Funções, Atividades e Relacionamentos - 26
15.2. Figuras 10 a 19
15.2.1. Figura - 10: Modelo Único Integrado do COBIT 5 - 27
15.2.2. Figura - 11: Família de Produtos COBIT 5 - 28
15.2.3. Figura - 12: Habilitadores Corporativos do COBIT 5 - 29
15.2.4. Figura - 13: Habilitadores do COBIT 5: Genéricos - 30
15.2.5. Figura - 14: Interações entre Governança e Gestão - 33
15.2.6. Figura - 15: Principais Área de Governança do COBIT 5 34
15.2.7. Figura - 16: Modelo de Referência de Processo do COBIT 5 - 35
15.2.8. Figura - 17: As Sete Fases do Ciclo de Vida da Implementação - 39
15.2.9. Figura - 18: Resumo do Modelo de Maturidade do COBIT 4.1 - 43
15.2.10. Figura - 19: Resumo do Modelo de Capacidade de Processo do COBIT 5 - 44
15.3. Figuras 20 a 29
15.3.1. Figura - 20: Tabela Comparativa Níveis de Maturidade (COBIT 4.1) e Níveis de Capacidade de Processo (COBIT 5) - 46
15.3.2. Figura - 21: Tabela Comparativa Atributos de Maturidade (COBIT 4.1) e Atributos de Processo (COBIT 5) - 47
15.3.3. Figura - 22: Mapeamento dos Objetivos Corporativos do COBIT 5 em Objetivos de TI - 52
15.3.4. Figura - 23: Mapeamento dos Objetivos de TI do COBIT em Processos - 54
15.3.5. Figura - 24: Mapeamento dos Objetivos Corporativos do COBIT 5 em Perguntas sobre Governança e Gestão - 57
15.3.6. Figura - 25: Cobertura de Outros Padrões e Modelos pelo COBIT 5 - 65
15.3.7. Figura - 26: Equivalentes do COBIT 5 aos Critérios de Informação do COBIT 4.1 - 67
15.3.8. Figura - 27: Habilitadores do COBIT 5: Genéricos - 69
15.3.9. Figura - 28: Habilitador do COBIT 5: Princípios, Políticas e Modelos - 71
15.3.10. Figura - 29: Habilitador do COBIT 5: Processos - 73
15.4. Figuras 30 a 39
15.4.1. Figura - 30: COBIT 5 Áreas Chaves da Governança e do Gerenciamento - 77
15.4.2. Figura - 31: COBIT 5 Modelo de Referência de Processos - 78
15.4.3. Figura - 32: Habilitador do COBIT 5: Estrutura Organizacional - 79
16. COBIT 5: Um Modelo Corporativo para a Governança e Gestão de TI da Organização
16.1. Figura ‐ 1: Família de Produtos COBIT 5
16.2. família de produtos COBIT 5
16.2.1. COBIT 5 (o modelo)
16.2.2. Guias de habilitadores do COBIT 5
16.2.2.1. COBIT 5 Habilitador Processos
16.2.2.2. COBIT 5 Habilitador Informações
16.2.2.3. Outros guias habilitadores (ver www.isaca.org/cobit)
16.2.3. Guias profissionais do COBIT 5,
16.2.3.1. COBIT 5 Implementação
16.2.3.2. COBIT 5 para Segurança da Informação
16.2.3.3. COBIT 5 para Risco
16.2.3.4. COBIT 5 para Garantia (Assurance)
16.2.3.5. COBIT Programa de Avaliação
16.2.3.6. Outros guias profissionais (ver www.isaca.org/cobit)
16.2.4. Um ambiente colaborativo on-line
17. Sumário Executivo
17.1. A informação é um recurso fundamental para todas as organizações
17.2. as organizações e seus executivos se esforçam para
17.2.1. Manter informações de alta qualidade para apoiar decisões corporativas.
17.2.2. Agregar valor ao negócio a partir dos investimentos em TI, ou seja, atingir os objetivos estratégicos e obter benefícios
17.2.3. para a organização através da utilização eficiente e inovadora de TI.
17.2.4. Alcançar excelência operacional por meio da aplicação confiável e eficiente da tecnologia.
17.2.5. Manter o risco de TI em um nível aceitável.
17.2.6. Otimizar o custo da tecnologia e dos serviços de TI.
17.2.7. Cumprir as leis, regulamentos, acordos contratuais e políticas pertinentes cada vez mais presentes.
17.3. Princípios do COBIT 5
17.3.1. Figura ‐ 2: Princípios do COBIT 5
17.3.2. 1º Princípio: Atender às Necessidades das Partes Interessadas
17.3.3. 2º Princípio: Cobrir a Organização de Ponta a Ponta
17.3.4. 3º Princípio: Aplicar um Modelo Único Integrado
17.3.5. 4º Princípio: Permitir uma Abordagem Holística
17.3.6. 5º Princípio: Distinguir a Governança da Gestão
17.3.6.1. Governança
17.3.6.2. Gestão
18. Capítulo 1 - Visão Geral do COBIT 5
18.1. Os principais fatores para o desenvolvimento do COBIT 5 incluem as necessidades de:
18.1.1. Permitir que mais partes interessadas falem sobre o que eles esperam da tecnologia da informação e tecnologias relacionadas
18.1.2. Abordar a questão da dependência cada vez maior para o sucesso da organização em parceiros externos de TI e de negócios tais como terceirizadas, fornecedores, consultores, c
18.1.3. Tratar a quantidade de informação, que tem aumentado significativamente
18.1.4. Administrar TI cada vez mais pervasiva; TI é cada vez mais uma parte integrante do negócio
18.1.5. Fornecer mais orientações na área de tecnologias emergentes e inovadoras
18.1.6. Cobrir o negócio de ponta a ponta e todas as áreas responsáveis pelas funções de TI, bem como todos os aspectos que levam à eficiente governança e gestão de TI da organização
18.1.7. Obter melhor controle sobre o crescente número de soluções de TI que são de iniciativa dos usuários e estão sendo gerenciadas por eles.
18.1.8. Atingir:
18.1.8.1. Criação de valor para a organização através do uso eficiente e inovador de TI da organização
18.1.8.2. Satisfação dos usuários de negócio com os serviços de TI
18.1.8.3. Cumprimento das leis, regulamentos, acordos contratuais e políticas internas pertinentes
18.1.8.4. Uma melhoria das relações entre as necessidades corporativas e os objetivos de TI
18.1.9. Conectar-se e, quando pertinente, alinhar-se a outros importantes padrões e modelos do mercado
18.1.10. Integrar todas os principais modelos e orientações da ISACA, com o foco principal no COBIT, Val IT e Risk IT, mas considerando também o Modelo de Negócios para Segurança da Informação (BMIS
18.2. Visão Geral desta Publicação
19. Capítulo 2 - 1º Princípio: Atender às Necessidades das Partes interessadas
19.1. Introdução
19.1.1. Figura ‐ 3: Objetivo da Governança: Criação de Valor
19.2. Cascata dos Objetivos do COBIT 5
19.2.1. Figura ‐ 4: Visão Geral da cascata de Objetivos do COBIT 5
19.2.2. 1º Passo. Os Direcionadores das Partes Interessadas Influenciam as Necessidades das Partes Interessadas
19.2.3. 2º Passo. Desdobramento das Necessidades das Partes Interessadas em Objetivos Corporativos
19.2.4. 3º Passo. Cascata dos Objetivos Corporativos em Objetivos de TI
19.2.5. 4º Passo. Cascata dos Objetivos de TI em Metas do Habilitador
19.2.6. Figura ‐ 5: Objetivos Corporativos do COBIT 5
19.2.7. Figura ‐ 6: Objetivos de TI
19.3. Usando a Cascata de Objetivos do COBIT 5
19.3.1. Benefícios da Cascata de Objetivos do COBIT 5
19.3.2. Usando a Cascata de Objetivos do COBIT 5 com Atenção
19.3.3. Usando a Cascata de Objetivos do COBIT 5 na Prática
19.3.4. EXEMPLO 1 – CASCATA DE OBJETIVOS
19.3.5. EXEMPLO 2 ‐ NECESSIDADES DAS PARTES INTERESSADAS: SUSTENTABILIDADE
19.4. Perguntas sobre Governança e Gestão de TI
19.4.1. Figura ‐ 7: Perguntas sobre Governança e Gestão de TI
19.4.2. Como Encontrar uma Resposta para Essas Perguntas
20. Capítulo 3 - 2º Princípio: Cobrir a Organização de Ponta a Ponta
20.1. Abordagem à Governança
20.1.1. Figura ‐ 8: Governança e Gestão de TI no COBIT 5
20.1.2. Habilitadores da Governança
20.1.3. Escopo da Governança
20.1.4. Papéis, Atividades e Relacionamentos
20.1.5. Figura ‐ 9: Principais Funções, Atividades e Relacionamentos
21. Capítulo 4 - 3º Princípio: Aplicar um Modelo Único Integrado
21.1. O COBIT 5 é um modelo único e integrado porque:
21.2. Integrador de Modelos do COBIT 5
21.2.1. Figura ‐ 10: Modelo Único Integrado do COBIT 5