Calculando a garantia para conformidade
Garantia é um cálculo que representa a confiança que sua organização tem de que os requisitos serão cumpridos. A garantia é um cálculo valioso em um mapa de conformidade porque mostra quanto trabalho precisa ser feito para atender a uma norma ou regulação específica.
Como funciona?
Depois de mapear controles para requisitos e especificar um peso de controle para cada controle, as pontuações de garantia são automaticamente exibidas no mapa de conformidade.
Como as pontuações de garantia são exibidas?
O mapa de conformidade exibe pontuações de garantia em nível de requisito e de norma/regulamento. Cada pontuação de garantia é exibida como porcentagem entre 0-100.
Exemplo de pontuações de garantia
Uma única pontuação de garantia, com média calculada, é exibida ao lado da norma (Estrutura COBIT 5).
Pontuações de garantia agregadas são exibidas ao lado dos requisitos calculados (APO e APO01).
Pontuações de garantia individuais são exibidas ao lado dos requisitos de trabalho (APO01.01 - APO01.08).
O requisito APO01.04 tem uma pontuação de garantia de 100%, o que significa que sua organização está confiante de que o Requisito APO01.04 está sendo atendido de forma efetiva pelos controles atuais.
A Estrutura COBIT 5 tem uma pontuação de garantia de 81,25%, o que significa que sua organização está progredindo bem em termos de conformidade total com a norma.
Como as pontuações de garantia são calculadas?
As pontuações de garantia são calculadas com base em:
- Requisitos de trabalho e calculados
- Garantia esperada
- Pontuação de controle e garantia real
Observação
Garantia esperada, pontuação de controle e garantia real não são exibidas no mapa de conformidade.
| Cálculo | Fórmula |
|---|---|
| Garantia para requisitos de trabalho | Garantia Real/Garantia Esperada |
| Garantia para requisitos calculados e garantia em nível de norma ou regulamento | SUM (Garantia Real de requisitos de trabalho descendentes) / SUM (garantia esperada de requisitos de trabalho descendentes) |
Requisitos de trabalho x requisitos calculados
Seu mapa de conformidade é composto de requisitos de trabalho e requisitos calculados. Requisitos de trabalho são anotados no mapa de conformidade com um ícone 
.
- Requisitos de trabalho requisitos que você mapeou diretamente para controles
- Requisitos calculados ancestrais ou descendentes de requisitos de trabalho
Exemplo
Cenário
Você cria os seguintes mapeamentos:
- Requisito 1.1.1 para Controle A
- Requisito 1.1.2 para Controle B
Resultado
| Requisitos | Tipo de requisito | Controle(s) mapeado(s) |
|---|---|---|
| Requisito 1 | Calculado | Controles relacionados (A, B) |
|
Calculado | Controles relacionados (A, B) |
|
Trabalhando | A |
|
Trabalhando | B |
Garantia esperada
A garantia esperada é um cálculo que deriva da expectativa da sua organização de que os requisitos sejam atendidos.
| Tipo de requisito | Cálculo da garantia esperada |
|---|---|
| Trabalhando |
Garantia esperada = 1 Observação
Pontuação básica que representa a garantia antes de os controles serem testados. |
| Calculado | SUM (garantia esperada de requisitos de trabalho descendentes) |
Exemplo
Os requisitos 1.1.1 e 1.1.2 são requisitos de trabalho e cada um tem uma garantia esperada de 1.
Os requisitos 1 e 1.1 são requisitos calculados. A garantia esperada é agregada na árvore de requisitos.
- A garantia esperada do Requisito 1.1 = 2 (1 + 1)
- A garantia esperada do Requisito 1 é a mesma que o Requisito 1.1 (2)
| Requisitos | Tipo de requisito | Garantia esperada |
|---|---|---|
| Requisito 1 | Calculado | 2 |
| Requisito 1.1 | Calculado | 2 |
|
Trabalhando | 1 |
|
Trabalhando | 1 |
Pontuação de controle e garantia real
Pontuação de controle
A pontuação de controle é um cálculo que deriva do fato de se os testes de controle passaram, falharam ou não foram testados.
A pontuação de controle para cada mapeamento entre um controle e requisito é calculada desta forma:
- Se todos os testes de controle forem aprovados OU se pelo menos um dos testes de controle aplicáveis for aprovado enquanto outros não tiverem sido testados, a pontuação do controle é = 1
- Se algum teste de controle falhar, pontuação de controle = 0
Garantia real
A garantia real é um cálculo derivado da aprovação ou reprovação dos testes de controle e da porcentagem do requisito que o controle cobre.
- A garantia real para cada mapeamento entre um controle e requisito é calculada usando a seguinte fórmula:
Peso de Controle x Pontuação de Controle
- A garantia real de um requisito de um requisito é calculada usando a seguinte fórmula:
SUM (Garantia real de todos os mapeamentos de requisitos de controle)
Exemplo
Cenário
Você mapeia o Requisito 1.1.1 para o Controle A e o Requisito 1.1.2 para o Controle B.
Você especifica o Peso de Controle do Controle A e do Controle B como 50%. Todos os testes são aprovados para o Controle A, mas um falhou para o Controle B.
Resultado
| Requisitos | Tipo de requisito | Controles Mapeados | Garantia esperada | Peso de Controle | Todos os testes passaram? | Pontuação de Controle | Garantia Real |
|---|---|---|---|---|---|---|---|
| Requisito 1 | Calculado | Controles relacionados (A, B) | 2 | -- | -- | -- | 0,5 |
|
Calculado | Controles relacionados (A, B) | 2 | -- | -- | -- | 0,5 |
|
Trabalhando | A | 1 | 50% | Y | 1 | 0,5 |
|
Trabalhando | B | 1 | 50% | N | 0 | 0 |
Garantia em ação
Sua organização precisa estar em conformidade com a Estrutura COBIT 5. Você inicia um programa de conformidade para:
- mostrar o compromisso da sua organização em abordar obrigações legais e considerações nos negócios
- demonstrar o devido cuidado
- esclarecer os limites da conduta permissível para membros da organização
- oferecer uma possibilidade de mitigar o custo da inconformidade
Exemplo
Etapa 1: Mapear controles para requisitos
Para estar em conformidade com a Estrutura COBIT 5, você identifica requisitos aplicáveis e mapeia controles para os requisitos:
| Requisitos | Controle(s) mapeado(s) |
|---|---|
| Requisito 1 | Controles relacionados (A, B) |
|
A |
|
B |
| Requisito 2 | Controles relacionados (C, D) |
|
C |
|
D |
Resultado Requisito 1.1, 1.2, 2.1 e 2.2 são todos requisitos de trabalho e cada um tem uma pontuação de garantia esperada de 1. Requisito 1 e Requisito 2 têm, cada um, uma pontuação de garantia esperada de 2, com base na agregação da árvore de requisitos (1 + 1 = 2).
Etapa 2: Especificar peso de controle e controles de teste
Depois de mapear controles, você especifica a porcentagem de cada controle que cobre cada requisito e testa os controles para ver se eles são aprovados ou reprovados.
| Requisitos | Controle(s) mapeado(s) | Peso de Controle | Teste Aprovado |
|---|---|---|---|
| Requisito 1 | Controles relacionados (A, B) | -- | -- |
|
A | 50% | Sim |
|
B | 25% | Sim |
| Requisito 2 | Controles relacionados (C, D) | -- | |
|
C | 25% | Não |
|
D | 25% | Sim |
Resultado Os testes para os controles A, B e D passaram e cada um recebe uma pontuação de controle de 1. O teste do controle C não passou, então ele recebe uma pontuação de controle de 0.
Etapa 3: Exibir pontuações de garantia
Depois de especificar o peso de controle e os controles de testes, você exibe as pontuações de garantia para cada requisito e a pontuação de garantia total para a Estrutura COBIT 5.
A garantia real para cada mapeamento entre um controle e um requisito é calculada desta forma:
Peso de Controle x Pontuação de Controle
A garantia para requisitos de trabalho é calculada desta forma:
Garantia Real/Garantia Esperada
A garantia para os requisitos calculados e a garantia em nível de norma ou regulamento são calculadas desta forma:
SUM (Garantia Real de requisitos de trabalho descendentes) / SUM (garantia esperada de requisitos de trabalho descendentes)
| Requisitos | Garantia esperada | Garantia Real | Garantia |
|---|---|---|---|
| Requisito 1 | 2 | 0,75 | 38% |
|
1 | 0,5 | 50% |
|
1 | 0,25 | 25% |
| Requisito 2 | 2 | 0,25 | 13% |
|
1 | 0 | 0% |
|
1 | 0,25 | 25% |
Resultados agregados
- Garantia Esperada = 4
(Garantia esperada dos requisitos 1 e 2 = 2 + 2)
- Garantia Real = 1
(Garantia real dos requisitos 1 e 2 = 0,75 + 0,25)
- Garantia = 25%
(Garantia real dividida pela garantia esperada = 1/4)
Você demonstra o comprometimento da sua organização conduzindo os negócios em conformidade com a Estrutura COBIT 5. No entanto, ainda há uma quantidade significativa de trabalho que sua organização precisa fazer para estar totalmente em conformidade com a Estrutura COBIT 5.
Que mudanças afetam a forma como funciona a garantia?
Há uma série de mudanças que afetam a forma como a garantia funciona.
| Alteração | Impacto |
|---|---|
| Você especifica que um requisito não é aplicável. | Todos os controles de estrutura mapeados ao requisito e a todos os requisitos descendentes nesse grupo serão automaticamente desmapeados e não serão calculados como parte da pontuação de garantia. |
| Você altera o escopo de uma norma ou regulamento. | Todos os controles de estrutura mapeados a requisitos fora do escopo são automaticamente desmapeados e não serão calculados como parte da pontuação de garantia. |
| Você cancela o mapeamento de um controle de estrutura a partir de um requisito. | Nenhum dos resultados de testes e problemas dos projetos associados com a estrutura será agregado ao mapa de conformidade e a pontuação de garantia é atualizada. |
| Você define um peso de controle de um controle de estrutura no mapa de conformidade. | A pontuação de garantia real (não demonstrada nos mapas de conformidade) é recalculada, e a pontuação de garantia é atualizada. |
| Você importa objetivos ou controles e/ou sincroniza as alterações de uma estrutura para um projeto. | Se um controle de estrutura for mapeado para um requisito, todos os resultados de testes e problemas no projeto serão agregados ao mapa de conformidade e a pontuação de garantia é atualizada. |
| Você arquiva um projeto ou propaga um projeto arquivado que foi anteriormente sincronizado com controles da estrutura usada nos mapas de conformidade. | Apenas resultados de testes e problemas de projetos ativos são agregados ao mapa de conformidade. A pontuação de garantia é atualizada e exclui os resultados de testes e problemas do projeto arquivado ou propagado. |
| Você desarquiva um projeto sincronizado com controles de estrutura usados nos mapas de conformidade. | A pontuação de garantia é atualizada e os resultados de testes e problemas do projeto não arquivado são agregados ao mapa de conformidade. |
