Cobit 5 processos, implementação e avaliação

W W W .D OM I N A N D OTI .C O M . BRWWW.DOMINANDOTI .COM.BR

Governança de TI

Cobit 5

Professor Gledson Pompeu – [email protected]

W W W .D OM I N A N D OTI .C O M . BRW W W .D OM I N A N D OTI .C O M . BR

Acesse nosso site em

WWW.DOMINANDOTI.COM.BR

Curta o Dominando TI no

e receba nossas dicas sobre concursos!

Cursos Turmas em Brasília, na sua cidade, e cursos online

Livros Edições publicadas, lançamentos e promoções

Fórum Interação direta entre estudantes e com os professores

Simulados Questões inéditas, ranking de notas e correções em vídeo

Blog Dicas e macetes de estudo, indicações de bibliografia, etc.

Materiais Versões atualizadas de notas de aula e listas de exercícios

Professor Gledson Pompeu - [email protected] 2

W W W .D OM I N A N D OTI .C O M . BRWWW.DOMINANDOTI .COM.BR

Cobit 5

Domínios e Processos

Professor Gledson Pompeu – [email protected]

W W W .D OM I N A N D OTI .C O M . BRW W W .D OM I N A N D OTI .C O M . BRProfessor Gledson Pompeu - [email protected] 4

W W W .D OM I N A N D OTI .C O M . BR

Exemplo de detalhamento dos processos

EDM01 Ensure Governance Framework Setting and Maintenance

Area: Governance

Domain: Evaluate, Direct and Monitor

Process DescriptionAnalyse and articulate the requirements for the governance of enterprise IT, and put in place and maintain effective enabling structures, principles, processes and practices, with clarity of responsibilities and authority to achieve the enterprise’s mission, goals and objectives.

Process Purpose StatementProvide a consistent approach integrated and aligned with the enterprise governance approach. To ensure that IT-related decisions are made in line with the enterprise’s strategies and objectives, ensure that IT-related processes are overseen effectively and transparently, compliance with legal and regulatory requirements is confirmed, and the governance requirements for board members are met.




The process supports the achievement of a set of primary IT-related goals:

IT-related Goal Related Metrics

01 Alignment of IT and business strategy

•Percent of enterprise strategic goals and requirements supported by IT strategic goals•Level of stakeholder satisfaction with scope of the planned portfolio of programmes and services•Percent of IT value drivers mapped to business value drivers

03 Commitment of executive management for making IT-related decisions

•Percent of executive management roles with clearly defined accountabilities for IT decisions•Number of times IT is on the board agenda in a proactive manner•Frequency of IT strategy (executive) committee meetings•Rate of execution of executive IT-related decisions

07 Delivery of IT services in line with business requirements

•Number of business disruptions due to IT service incidents•Percent of business stakeholders satisfied that IT service delivery meets agreed-on service levels•Percent of users satisfied with the quality of IT service delivery




Process Goals and Metrics

Process Goal Related Metrics

1.Strategic decision-making model for IT is effective and aligned with the enterprise’s internal and external environment and stakeholder requirements.

•Actual vs. target cycle time for key decisions•Level of stakeholder satisfaction (measured through surveys)

2.The governance system for IT is embedded in the enterprise.

•Number of roles, responsibilities and authorities that are defined, assigned and accepted by appropriate business and IT management•Degree by which agreed-on governance principles for IT are evidenced in processes and practices (percentage of processes and practices with clear traceability to principles)•Number of instances of non-compliance with ethical and professional behaviour guidelines

3.Assurance is obtained that the governance system for IT is operating effectively.

•Frequency of independent reviews of governance of IT•Frequency of governance of IT reporting to the executive committee and board•Number of governance of IT issues reported




EDM01 RACI Chart

Key Governance Practice

Chief

ExecutiveO

fficer

Chief

Financial Officer

Chief

Operating

Officer

Business Executives

Business Process

Ow

ners

StrategyExecutive

Com

mittee

Steering(Program

mes/Projects) C

omm

ittee

Project Managem

ent Office

ValueM

anagement O

ffice

Chief

Risk

Officer

Chief

Information

Security Officer

ArchitectureB

oard

Enterprise Risk

Com

mittee

Head H

uman

Resources

Com

pliance

Audit

Chief

Information

Officer

Head Architect

Head D

evelopment

Head IT O

perations

Head IT Adm

inistration

Service Manager

Information

Security Manager

Business C

ontinuityM

anager

PrivacyO

fficer

EDM01.01 Evaluate the governance system. R C C R R C C C C C C R C C C

EDM01.02 Direct the governance system. R C C R I R I I I C I I I I C C R C I I I I I I I

EDM01.03 Monitor the governance system. R C C R I R I I I C I I I I C C R C I I I I I I I




EDM01 Process Practices, Inputs/Outputs and Activities

Governance PracticeInputs Outputs

From Description Description To

EDM01.01 Evaluate the governance system.Continually identify and engage with the enterprise’s stakeholders, document an understanding of the requirements, and make a judgement on the current and future design of governance of enterprise IT.

MEA03.02Communications of changed compliance requirements

Enterprise governance guiding principles

•All EDM•APO01.01•APO01.03

Outside COBIT

•Business environment trends•Regulations•Governance/decision-making model•Constitution/bylaws/statutes of organisation

Decision-making model•All EDM•APO01.01

Authority levels•All EDM•APO01.02

Activities

1.Analyse and identify the internal and external environmental factors (legal, regulatory and contractual obligations) and trends in the business environment that may influence governance design.

2.Determine the significance of IT and its role with respect to the business.

3.Consider external regulations, laws and contractual obligations and determine how they should be applied within the governance of enterprise IT.

4.Align the ethical use and processing of information and its impact on society, natural environment, and internal and externalstakeholder interests with the enterprise’s direction, goals and objectives.

5.Determine the implications of the overall enterprise control environment with regard to IT.

6.Articulate principles that will guide the design of governance and decision making of IT.

7.Understand the enterprise’s decision-making culture and determine the optimal decision-making model for IT.

8.Determine the appropriate levels of authority delegation, including threshold rules, for IT decisions.




EDM01 Related Guidance

Related Standard Detailed Reference

Committee of Sponsoring Organizations of the Treadway Commission (COSO)

ISO/IEC 38500

King III

•5.1. The board should be responsible for information technology (IT) governance.•5.3. The board should delegate to management the responsibility for the implementation of anIT governance framework.

Organisation for Economic Co-operation and Development (OECD)

Corporate Governance Principles



Processos de Governança

Avaliar, Dirigir e Monitorar (EDM)

5 processos de governança

Responsabilidades da alta direção: avaliação, direcionamento e monitoração do uso de TI para criação de valor



Processos de Governança - EDM

EDM01 Assegurar Estabelecimento e Manutenção do Framework de Governança Analisa e articula os requisitos para a governança corporativa

de TI

Cria e mantém estruturas, princípios, processos e práticas, com clareza de responsabilidades e autoridade para alcançar a missão, as metas e os objetivos da organização

Práticas Avaliar o sistema de governança

Dirigir o sistema de governança

Monitorar o sistema de governança




EDM02 Assegurar a Entrega de Benefícios

Otimiza a contribuição de valor para o negócio a partir de processos de negócios, serviços e ativos de TI resultantes de investimentos realizados pela TI a custos aceitáveis

Práticas

Avaliar a otimização de valor

Dirigir a otimização de valor

Monitorar a otimização de valor




EDM03 Assegurar a Otimização de Riscos

Assegura que o apetite e tolerância a riscos da organização são compreendidos, articulados e comunicados

Assegura que o risco para o negócio relacionado ao uso de TI é identificado e controlado

Práticas

Avaliar o gerenciamento de riscos

Dirigir o gerenciamento de riscos

Monitorar o gerenciamento de riscos




EDM04 Assegurar a Otimização de Recursos

Assegura capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia), disponíveis para apoiar os objetivos da organização de forma eficaz a um custo ótimo

Práticas

Avaliar o gerenciamento de recursos

Dirigir o gerenciamento de recursos

Monitorar o gerenciamento de recursos




EDM05 Assegurar Transparência para as Partes Interessadas

Assegura medição e relatórios de desempenho e conformidade da TI corporativa que sejam transparentes para stakeholders aprovarem metas, métricas e ações corretivas necessárias

Práticas

Avaliar os requisitos de relatórios das partes interessadas

Dirigir a comunicação e relatórios para as partes interessadas

Monitorar a comunicação com as partes interessadas



Processos de Gestão

Alinhar, Planejar e Organizar (APO)

Identificação de como a TI pode contribuir melhor com os objetivos de negócio

13 processos

Construir, Adquirir e Implementar (BAI)

Materializa a estratégia de TI, identificando requisitos e gerenciando a realização de investimentos em TI

10 processos



Processos de Gestão

Entregar, Servir e Suportar (DSS)

Entrega dos serviços de TI necessários para atender aos planos táticos e estratégicos

6 processos

Monitorar, Avaliar e Medir (MEA)

Monitora o desempenho dos processos de TI, avaliando a conformidade com os objetivos e com os requisitos externos

3 processos



Processos de Gestão - APO

APO01 Gerenciar o Framework de Gestão de TI Esclarece e mantém a missão e visão da governança de TI da organização

Implementa e mantém mecanismos e autoridades para gerenciar a informação e o uso da TI na organização

Práticas Definir a estrutura organizacional

Estabelecer papéis e responsabilidades

Manter os facilitadores do sistema de gestão

Comunicar objetivos e direcionamento da gestão

Otimizar a colocação da função de TI

Definir a propriedade de informações (dados) e sistemas

Gerenciar a melhoria contínua de processos

Manter conformidade com políticas e procedimentos




APO02 Gerenciar a Estratégia Fornece uma visão holística do ambiente de negócio e TI atual, da

direção futura, e das iniciativas necessárias para migrar para o ambiente futuro desejado

Alavanca componentes da arquitetura corporativa, incluindo serviços externos, para facilitar respostas rápidas, confiáveis e eficientes aos objetivos estratégicos

Práticas Compreender o direcionamento corporativo Avaliar ambiente, capacidade e desempenho atuais Definir as capacidades-alvo de TI Conduzir uma análise de gaps Definir o plano estratégico e o road map Comunicar a estratégia e o direcionamento de TI




APO03 Gerenciar a Arquitetura Corporativa Estabelece uma arquitetura comum com camadas de

processos de negócios, informações, dados, aplicação e tecnologia para realizar de forma eficaz e eficiente as estratégias de negócio e de TI

Práticas Desenvolver a visão da arquitetura corporativa

Definir a arquitetura de referência

Selecionar oportunidades e soluções

Definir a implementação da arquitetura

Prover serviços da arquitetura corporativa




APO04 Gerenciar a Inovação

Mantém consciência de tendências de TI e serviços relacionados, identifica oportunidades de inovação e planeja como se beneficiar da inovação em relação às necessidades do negócio

Práticas

Criar um ambiente propício à inovação

Manter compreensão do ambiente corporativo

Monitorar e examinar o ambiente tecnológico

Avaliar o potencial de tecnologias emergentes e ideias de inovação

Recomendar iniciativas adicionais apropriadas

Monitorar a implementação e o uso de inovações




APO05 Gerenciar o Portfólio Executa orientações estratégicas para os investimentos, alinhadas com a visão de

arquitetura corporativa, as características desejadas do investimento e as restrições de recursos e orçamento

Avalia e prioriza programas e serviços, gerenciando a demanda dentro das restrições de recursos e de orçamento, com base no seu alinhamento com objetivos estratégicos, valor corporativo e riscos

Monitora o desempenho do portfólio de serviços e programas, propondo os ajustes necessários em resposta ao desempenho ou a mudança de prioridades da organização

Práticas Estabelecer o mix de investimentos desejado

Determinar disponibilidade e fontes de recursos

Avaliar e selecionar programas a serem custeados

Monitorar, otimizar e relatar o desempenho dos investimentos no portfólio

Manter portfólios

Gerenciar o alcance de benefícios




APO06 Gerenciar Orçamento e Custos

Administra atividades financeiras relacionadas a TI, abrangendo orçamento, gestão de custos e benefícios e priorização dos gastos com o uso de práticas formais de orçamento e de um sistema justo e equitativo de alocação de custos

Práticas

Gerenciar finanças e contabilidade

Priorizar alocação de recursos

Criar e manter orçamentos

Modelar e alocar custos

Gerenciar custos




APO07 Gerenciar Recursos Humanos Fornece uma abordagem estruturada para garantir a melhor

estruturação, colocação e habilidades dos recursos humanos

Inclui a comunicação de papéis e responsabilidades, planos de aprendizagem e de crescimento, e expectativas de desempenho

Práticas Manter equipe adequada e apropriada

Identificar pessoal chave de TI

Manter as habilidades e competências do pessoal

Avaliar o desempenho dos funcionários

Planejar e rastrear o uso de recursos humanos de TI e negócio

Gerenciar equipes terceirizadas




APO08 Gerenciar os Relacionamentos Gerencia o relacionamento entre o negócio e TI de uma

maneira formal e transparente, que garanta foco na realização de um objetivo comum

Práticas Compreender as expectativas de negócio

Identificar oportunidades, riscos e restrições para TI aprimorar o negócio

Gerenciar o relacionamento com o negócio

Coordenar e comunicar

Prover insumos para a melhoria contínua de serviços




APO09 Gerenciar os Acordos de Serviço

Alinha serviços de TI e níveis de serviço com as necessidades e expectativas da organização

Práticas

Identificar serviços de TI

Catalogar serviços habilitados por TI

Definir e preparar acordos de serviço

Monitorar e reportar níveis de serviço

Revisar acordos de serviço e contratos




APO10 Gerenciar os Fornecedores

Gerencia serviços relacionados a TI prestados por fornecedores para atender às necessidades organizacionais

Práticas

Identificar e avaliar relacionamentos e contratos com fornecedores

Selecionar fornecedores

Gerenciar relacionamentos e contratos com fornecedores

Gerenciar os riscos de fornecedores

Monitorar desempenho e conformidade de fornecedores




APO11 Gerenciar a Qualidade

Define e comunica requisitos de qualidade em processos, procedimentos e resultados das organizações

Práticas

Estabelecer um sistema de gestão de qualidade

Definir e gerenciar padrões, práticas e procedimentos de qualidade

Focar o gerenciamento da qualidade nos clientes

Realizar monitoramento, controle e revisões de qualidade

Integrar o gerenciamento da qualidade em soluções para desenvolvimento e entrega de serviços

Manter melhoria contínua




APO12 Gerenciar os Riscos Identifica continuamente, avalia e reduz os riscos

relacionados a TI dentro dos níveis de tolerância estabelecidos pela diretoria executiva

Práticas Coletar dados

Analisar riscos

Manter um perfil de riscos

Articular os riscos

Definir um portfólio de ações de gerenciamento de riscos

Responder aos riscos




APO13 Gerenciar a Segurança

Define, opera e monitora um sistema para gestão de segurança da informação

Práticas

Estabelecer e manter um sistema de gestão de segurança da informação (SGSI)

Definir e gerenciar um plano de tratamento de riscos de segurança da informação

Monitorar e revisar o SGSI



Processos de Gestão - BAI

BAI01 Gerenciar Programas e Projetos Gerencia todos os programas e projetos do portfolio de

investimentos em alinhamento com a estrategia da organizac ao e de forma coordenada

Inicia, planeja, controla e executa programas e projetos, e finalizacom uma revisao pos-implementacao

Práticas Manter abordagem padrão para gerenciamento de programas e

projetos Iniciar programas Gerenciar o envolvimento das partes interessadas Desenvolver e manter o plano do programa Lançar e executar o programa(cont.)




BAI01 - Práticas (cont.) Monitorar, controlar e reportar sobre os resultados do

programa

Iniciar projetos dentro de um programa

Planejar projetos

Gerenciar qualidade de programas e projetos

Gerenciar riscos de programas e projetos

Monitorar e controlar projetos

Gerenciar recursos e pacotes de trabalho de projetos

Encerrar um projeto ou iteração

Encerrar um programa




BAI02 Gerenciar a Definicao de Requisitos Identifica solucoes e analisa os requisitos antes da aquisic ao ou

criac ao para assegurar que eles estao em conformidade com os requisitos estrategicos corporativos que cobrem os processos de nego cio, aplicacoes, informacoes/ dados, infra-estrutura e servicos

Coordena com as partes interessadas afetadas a revisao de opc oes viaveis, incluindo custos e beneficios, ana lise de risco e aprovacao de requisitos e soluc oes propostas

Práticas Definir e manter requisitos de negócio funcionais e técnicos

Realizar estudo de viabilidade e formular soluções alternativas

Gerenciar riscos dos requisitos

Obter aprovação de requisitos e soluções




BAI03 Gerenciar a Identificac a o e Construc a o de Soluc o es Estabelece e mantem solucoes identificadas em conformidade com os requisitos da organizacao

abrangendo design, desenvolvimento, aquisicao/terceirizacao e parcerias com fornecedores

Gerencia configuracao, teste de preparacao, testes, requisitos de gestao e manutenc ao dos processos de negocio, aplicacoes, informacoes/dados, infra-estrutura e servicos

Práticas Desenhar soluções de alto nível

Desenhar detalhes dos componentes da solução

Desenvolver componentes da solução

Adquirir componentes da solução

Construir soluções

Realizar garantia de qualidade

Preparar para teste da solução

Executar teste da solução

Gerenciar mudanças nos requisitos

Manter soluções

Definir serviços de TI e manter o portfolio de serviços




BAI04 Gerenciar a Disponibilidade e Capacidade Equilibra as necessidades atuais e futuras de disponibilidade, desempenho

e capacidade de prestac ao de servicos de baixo custo

Inclui a avaliacao de capacidades atuais, a previsao das necessidades futuras com base em requisitos de negocios, analise de impactos nos negocios e avaliacao de risco para planejar e implementar aco es para atender as necessidades identificadas

Práticas Avaliar disponibilidade, desempenho e capacidade atuais e criar uma linha

de base

Avaliar impacto sobre o negócio

Planejar para requisitos de serviço novos ou alterados

Monitorar e revisar disponibilidade e capacidade

Investigar e endereçar questões de disponibilidade, desempenho e capacidade




BAI05 Gerenciar a Implementacao de Mudanca Organizacional Maximiza a probabilidade de implementar com sucesso a mudanc a

organizacional sustentavel em toda a organizac ao de forma rapida e com risco reduzido, cobrindo o ciclo de vida completo da mudanca e todas as partes interessadas afetadas no nego cio e TI

Práticas Estabelecer o desejo de mudança Formar um time de implementação efetivo Comunicar a visão desejada Empoderar papéis e identificar ganhos de curto prazo Habilitar operação e uso Embutir novas abordagens Sustentar mudanças




BAI06 Gerenciar Mudancas Gerencia todas as mudanc as de uma maneira controlada, incluindo

mudanc as de padrao e de manutencao de emergencia relacionadas com os processos de negocio, aplicacoes e infraestrutura

Isto inclui os padroes de mudanc a e procedimentos, avaliac ao de impacto, priorizac ao e autorizacao, mudanc as emergenciais, acompanhamento, elaborac ao de relato rios, encerramento e documentac ao

Práticas Avaliar, priorizar e autorizar solicitações de mudança

Gerenciar mudanças emergenciais

Rastrear e reportar status da mudança

Encerrar e documentar mudanças




BAI07 Gerenciar Aceitação e Transica o de Mudanc a Aceita e produz formalmente novas solucoes operacionais, incluindo

planejamento de implementac ao do sistema, conversao de dados, testes de aceitacao, comunicacao, preparacao de liberacao, promoc ao para producao de processos de negocios e servic os de TI novos ou alterados, suporte de producao e uma revisao pos-implementac ao

Práticas Estabelecer um plano de implementação

Planejar processos de negócio, sistemas e conversão de dados

Planejar testes de aceitação

Estabelecer ambiente de testes

Realizar testes de aceitação

Promover para a produção e gerenciar releases

Prover suporte inicial para produção

Realizar revisões pós-implementação




BAI08 Gerenciar o Conhecimento Mantem a disponibilidade de conhecimento relevante, atual,

validado e confiavel para suportar todas as atividades do processo e facilitar a tomada de decisao

Plano para a identificacao, coleta, organizacao, manutencao, utilizac ao e retirada de conhecimento

Práticas Cultivar e facilitar uma cultura de compartilhamento de

conhecimentos Identificar e classificar fontes de informações Organizar e contextualizar informação em conhecimento Usar e compartilhar conhecimentos Avaliar e descontinuar informações




BAI09 Gerenciar os Ativos Gerencia os ativos de TI atraves de seu ciclo de vida para assegurar

que seu uso agrega valor a um custo ideal

Os ativos permanecem operacionais e fisicamente protegidos e aqueles que sao fundamentais para apoiar a capacidade de servico sao confiaveis e disponiveis

Práticas Identificar e registrar ativos correntes

Gerenciar ativos críticos

Gerenciar o ciclo de vida de ativos

Otimizar custos de ativos

Gerenciar licenças




BAI10 Gerenciar a Configuracao Define e mantem as descricoes e as relac oes entre os principais

recursos e as capacidades necessarias para prestar servic os de TI, incluindo a coleta de informacoes de configurac ao, o estabelecimento de linhas de base, verificacao e auditoria de informacoes de configurac ao e atualizar o repositorio de configurac ao

Práticas Estabelecer e manter um modelo de configuração Estabelecer e manter um repositório e linha de base de

configuração Manter e controlar itens de configuração Produzir relatórios de status sobre a configuração Verificar e revisar a integridade do repositório de configuração



Processos de Gestão - DSS

DSS01 Gerenciar as Operacoes

Coordena e executa as atividades e procedimentos operacionaisnecessarios para entregar servicos de TI internos e terceirizados, incluindo a execucao de procedimentos operacionais, padroes pre-definidos e as atividades exigidas

Práticas

Realizar procedimentos operacionais

Gerenciar serviços de TI terceirizados

Monitorar a infraesturutra de TI

Gerenciar o ambiente

Gerenciar instalações físicas




DSS02 Gerenciar Requisic o es de Servic o e Incidentes Fornece uma resposta ra pida e eficaz as solicitacoes dos usua rios e

resolucao de todos os tipos de incidentes

Restaura o servico normal; recorde e atender as solicitacoes dos usuarios e registro, investigar, diagnosticar, escalar e solucionar incidentes

Práticas Definir esquemas de classificação de requisições de serviço e incidentes

Registrar, classificar e priorizar incidentes e requisições

Verificar, aprovar e atender a requisições de serviços

Investigar, diagnosticar e alocar incidentes

Resolver e se recuperar de incidentes

Encerrar requisições de serviços e incidentes

Rastrear status e produzir relatórios




DSS03 Gerenciar Problemas

Identifica e classifica os problemas e suas causas-rai zes e fornece resoluc a o para prevenir incidentes recorrentes

Fornece recomendac o es de melhorias

Práticas

Identificar e classificar problemas

Investigar e diagnosticar problemas

Registrar erros conhecidos

Resolver e encerrar problemas

Realizar gerenciamento proativo de problemas




DSS04 Gerenciar a Continuidade Estabelece e mantem um plano para permitir o negocio e TI responder a

incidentes e interrupcoes, a fim de continuar a operacao de processos criticos de negocios e servic os de TI necessa rios e mantem a disponibilidade de informacoes em um nivel aceitavel para a organizacao

Práticas Definir política, objetivos e escopo da continuidade de negócios

Manter uma estratégia de continuidade

Desenvolver e implementar uma resposta de continuidade de negócios

Exercitar, testar e revisar o PCN

Revisart, manter e aprimorar o plano de continuidade

Conduzir treinamentos do plano de continuidade

Gerenciar preparativos de backup

Conduzir revisão pós-recuperação




DSS05 Gerenciar Servicos de Seguranc a Protege informac oes da organizacao para manter o nivel de risco aceitavel

para a seguranca da informac ao da organizacao, de acordo com a politica de seguranca

Estabelece e mantem as funcoes de seguranca da informacao e privilegios de acesso e realiza o monitoramento de seguranca

Práticas Proteger contra malware

Gerenciar segurança de rede e conectividade

Gerenciar segurança de endpoints

Gerenciar identidade e acesso lógico de usuários

Gerenciar acesso físico a ativos de TI

Gerenciar documentos e dispositivos de saída sensíveis

Monitorar a infraestrutura quanto a eventos relacionados a segurança




DSS06 Gerenciar os Controles de Processos de Negocio Define e mantem controles de processo de nego cio apropriados

para assegurar que as informacoes relacionadas e processadas satisfaz todos os requisitos de controle de informacoes relevantes

Práticas Alinhar atividades de controle embutidas nos processos de negócio

com os objetivos corporativos Controlar o processamento da informação Gerenciar papéis, resonsabilidades, privilégios de acesso e níveis

de autoridade Gerenciar erros e exceções Assegurar rastreabilidade de eventos e responsabilidade sobre

informações Manter seguros os ativos de informação



Processos de Gestão - MEA

MEA01 Monitorar, Avaliar e Medir o Desempenho e Conformidade Coleta, valida e avalia os objetivos e metricas do processo de

nego cios e de TI Monitora se os processos estao realizando conforme metas e

metricas de desempenho e conformidade acordadas e fornece informacao que e sistematica e oportuna

Práticas Estabelecer uma abordagem de monitoramento Definir metas de desempenho e conformidade Coletar e processor dados de desempenho e conformidade Analisar e reportar desempenho Assegurar a implementação de ações corretivas




MEA02 Monitorar, Avaliar e Medir o Sistema de Controle Interno Monitora e avalia continuamente o ambiente de controle, incluindo auto-

avaliacoes e analises de avaliacoes independentes

Permite a gestao de identificar deficiencias de controle e ineficiencias e iniciar acoes de melhoria

Práticas Monitorar controles internos

Revisar efetividade de controles de processos de negócio

Realizar auto-avaliações de controles

Identificar e reporter deficiências de controles

Assegurar que provedores de garantia (auditoria) sejam independents e qualificados

Planejar iniciativas de garantia (auditoria)

Definir escopo de iniciativas de garantia (auditoria)

Executar iniciativas de garantia (auditoria)




MEA03 Monitorar, Avaliar e Medir a Conformidade com Requisitos Externos Avalia se processos de TI e processos de nego cios suportados pela

TI estao em conformidade com as leis, regulamentos e exigencias contratuais

Obtem a garantia de que os requisitos foram identificados e respeitados, e integra-los a conformidade com o cumprimento global da organizacao

Práticas Identificar requisitos de conformidade externos Otimizar resposta a requisitos externos Confirmar conformidade externa Obter garantia de conformidade externa



Modelo de Capacidade



Atributos de processo

AP 1.1 O processo é executado O processo atinge o seu propósito

AP 2.1 O processo é gerenciado A execução do processo é gerenciada

AP 2.2 Os produtos de trabalho são gerenciados Os produtos de trabalho produzidos pelo processo são gerenciados

apropriadamente.

AP 3.1. O processo é definido Um padrão é mantido para apoiar a implementação do processo

AP 3.2 O processo está implementado O processo padrão é efetivamente implementado para atingir seus

resultados


Atributos de processo

AP 4.1 O processo é medido Medições são usadas para assegurar que o desempenho do

processo apóia o alcance dos objetivos de negócio definidos.

AP 4.2 O processo é controlado O processo é controlado estatisticamente para produzir um

processo estável, capaz e previsível

AP 5.1 O processo é objeto de inovações As mudanças no processo são identificadas a partir da análise de

causas comuns de variação e da investigação de inovações

AP 5.2 O processo é otimizado continuamente As mudanças no processo têm impacto efetivo para o alcance dos

objetivos relevantes de melhoria


Avaliação dos atributos de processo

Resultados relacionados

CaracterizaçãoGrau de

implementação

86% a 100%

• Enfoque completo e sistemático para o atributo no processoavaliado• Não existem pontos fracos relevantes para este atributo noprocesso avaliado

Totalmente implementado (T)

51% a 85%

• Enfoque sistemático e grau significativo de implementaçãodo atributo no processo avaliado• Existem pontos fracos para este atributo no processoavaliado

Largamente implementado (L)

16% a 50%

• Alguma evidência de enfoque e implementação do atributono processo avaliado• Alguns aspectos de implementação não são possíveis depredizer

Parcialmente implementado (P)

0 a 15%• Pouca ou nenhuma evidência de implementação do atributono processo avaliado

Não implementado (N)


Avaliação dos atributos de processo

Os requisitos específicos de um nível de capacidade podem ser totalmente ou largamente implementados

Porém, cada nível de capacidade só pode ser alcançado quando os requisitos do nível inferior tiverem sido totalmente implementados

Por exemplo, para uma capacidade de processo nível 3 (Processo Estabelecido)

Atributos Definição de Processos (PA 3.1) e Implementação do Processo (PA 3.2) podem ser largamente implementados

Atributos do nível de capacidade 2 (PA 2.1 e PA 2.2) e 1 (PA 1.1) devem ser totalmente implementados



Níveis de capacidade

Nível 0 - Processo Incompleto O processo não está implementado ou não atinge seu objetivo Há pouca ou nenhuma evidência de realização sistemática da

finalidade do processo

Nível 1 - Processo Realizado Atributo PA1.1 – Process Performance O processo está implementado e atinge seu objetivo

Nível 2 - Processo Gerenciado Atributos PA2.1 – Performance Management e PA2.2 – Work

Product Management O processo realizado (nível 1) é implementado de forma gerenciada

(planejado, monitorado e ajustado) e seus produtos de trabalho estão devidamente estabelecidos, controlados e mantidos



Níveis de capacidade

Nível 3 - Processo Estabelecido Atributos PA3.1 – Process Definition e PA3.2 – Process Deployment O processo gerenciado (nível 2) é implementado usando um

processo definido que é capaz de alcançar os seus resultados de processo

Nível 4 - Processo Previsível Atributos PA4.1 – Process Management e PA4.2 – Process Control O processo estabelecido (nível 3) opera dentro de limites definidos

para alcançar seus resultados de processo

Nível 5 - Processo Em Otimização Atributos PA5.1 – Process Innovation e PA5.2 – Process

Optimization O processo previsível (nível 4) é continuamente melhorado para

atender aos objetivos de negócio



Comparação Cobit 4.1 x Cobit 5

Cobit 4.1 (níveis de maturidade)

Cobit 5 (níveis de capacidade)

Contexto

Nível 5 – Otimizado Nível 5 – Em otimizaçãoVisão

corporativaNível 4 – Gerenciado e Mensurável Nível 4 – Previsível

Nível 3 – Definido Nível 3 – Estabelecido

Nível 2 – GerenciadoVisão

individual (instância)

Nível 2 – Repetível mas intuitivo Nível 1 – RealizadoNível 1 – Inicial / Ad Hoc

Nível 0 - IncompletoNível 0 – Inexistente



Modelo de Implementação




Fase 1 – Motivação Reconhecimento da necessidade de uma iniciativa de implementação ou

melhoria

Identifica pontos de dor atuais e cria desejo de mudança nos níveis de gestão executiva

Fase 2 – Situação atual Define escopo da iniciativa de implementação ou melhoria utilizando o

cascateamento de metas

Problemas ou deficiências são identificados pela realização de uma avaliação de capacidade de processo

Fase 3 – Situação desejada Uma meta de melhoria é definida, seguida de análise detalhada de

lacunas e possíveis soluções

Deve ser dada prioridade às iniciativas mais fáceis de realizar e com maiores benefícios




Fase 4 – O que fazer Planeja soluções práticas, com definição de projetos apoiados por casos de

negócios justificáveis

Um caso de negócio bem desenvolvido ajuda a garantir que os benefícios do projeto são identificados e monitorados

Fase 5 – Execução As soluções propostas são implementadas nas práticas do dia-a-dia

Medidas podem ser definidas e monitoradas, utilizando metas e métricas do COBIT para garantir que o alinhamento de negócios seja alcançado e mantido

Fase 6 – Obtenção de resultados Operação sustentável dos facilitadores novos ou melhorados

Monitoramento da realização dos benefícios esperados

Fase 7 – Manutenção do momento O sucesso global da iniciativa é revisto, outras exigências são identificadas e a

necessidade de melhoria contínua é reforçada


Cobit 5 processos, implementação e avaliação

Internet

Transcript of Cobit 5 processos, implementação e avaliação