235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

136

Upload: diego-demetrio-ramos-silva

Post on 28-Jan-2018

641 views

Category:

Education


5 download

TRANSCRIPT

Page 1: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf
Page 2: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

2

Fundamentos de CobiT

Fundação Bradesco Transcrição do curso de Fundamentos de COBIT da Fundação Bradesco, com 52 horas. Produzi essa transcrição para poder estudar melhor offline, em meu tempo livre longe do PC ou do notebook. Mas note que não é uma transcrição literal. Pode haver conteúdos que não estavam no texto original, explicações coletadas em outros sites, grifos e algumas observações minhas. Faça o curso, ele é gratuito: http://www.ev.org.br/ Use este texto como material de apoio. Transcrito por: Carlos Mendes "Martini" E-mail: [email protected]

Website/blog: http://mendesmartini.com/

Page 3: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

3

SUMÁRIO

Sumário ............................................................................................................. 3

Introdução ....................................................................................................... 11

Empresas e TI .............................................................................................. 11

A complexidade da TI ...................................................................................... 13

Conceito de Risco ........................................................................................ 13

Gestão do Risco ........................................................................................... 14

A Falta de Gestão de Riscos ........................................................................ 15

A Atuação dos CIOs ..................................................................................... 15

Gerenciando os Riscos ................................................................................ 16

Gestão de Riscos ......................................................................................... 16

Introdução ao CobiT ........................................................................................ 18

Modelo ........................................................................................................ 19

Práticas do COBIT ........................................................................................ 20

Descrição do COBIT ..................................................................................... 20

O Framework COBIT .................................................................................... 22

Gestão do Risco em TI ................................................................................. 23

Características do COBIT ............................................................................. 24

Foco do COBIT ............................................................................................. 25

Objetivos do COBIT ..................................................................................... 25

Histórico do COBIT ...................................................................................... 26

Estrutura Atual do COBIT ............................................................................ 26

Desempenho e Progresso ........................................................................... 27

Vantagens do COBIT .................................................................................... 27

O Público do COBIT ..................................................................................... 28

Page 4: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

4

Evolução do COBIT ...................................................................................... 29

Estrutura do COBIT ...................................................................................... 29

Características do Framework .................................................................... 30

Componentes do COBIT .............................................................................. 31

Critérios da Informação .............................................................................. 31

Recursos de TI ............................................................................................. 32

Processos de TI ............................................................................................ 33

O Cubo do COBIT ......................................................................................... 33

As Metas do COBIT ...................................................................................... 34

Monitoramento e Performance .................................................................. 35

Diretrizes de Gerenciamento ...................................................................... 35

Modelos de Maturidade ............................................................................. 38

Diretrizes de Auditoria ................................................................................ 40

Diretrizes de Gerenciamento ...................................................................... 41

Pontos Fracos .............................................................................................. 42

Excelência em TI .......................................................................................... 42

Requisitos para a Auditoria de Processos de TI .......................................... 43

Processos e Plataformas ............................................................................. 43

Estrutura do Processo de Auditoria ............................................................ 44

Processo de TI ............................................................................................. 44

Compreensão dos Riscos dos Processos ..................................................... 45

Avaliação dos controles sobre os processos ............................................... 45

Avaliação da conformidade dos processos ................................................. 46

Apontando Riscos ....................................................................................... 46

Práticas de Controle .................................................................................... 47

Tratamento dos riscos................................................................................. 47

Page 5: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

5

Mitigação de Riscos ..................................................................................... 48

Transferência de riscos ............................................................................... 48

Evitar riscos ................................................................................................. 48

Aceitação de riscos ...................................................................................... 48

Modelo RACI ............................................................................................... 49

Matriz de responsabilidades do RACI ......................................................... 49

Definir os Processos de TI, a Organização e Relacionamentos ................... 50

COBIT e Outros Padrões .............................................................................. 50

Framework de Controle .............................................................................. 51

Domínios e Objetivos de Controle do CobiT ................................................... 52

Domínios do CobiT ...................................................................................... 52

Objetivos de Controle do CobiT .................................................................. 52

Planejar e Organizar .................................................................................... 53

Adquirir e Implementar .............................................................................. 53

Entregar e Suportar ..................................................................................... 54

Monitoramento e Avaliação ....................................................................... 54

Processos de Controle ................................................................................. 55

Framework de Controle .............................................................................. 55

Processos do CobiT ..................................................................................... 56

Objetivos de Controle Genéricos ................................................................ 56

PC1 – Objetivos e Metas do Processo ..................................................... 57

PC2 – Proprietário do Processo .............................................................. 57

PC3 – Repetição do Processo .................................................................. 57

PC4 – Papéis e Responsabilidades .......................................................... 57

PC5 – Política, Planos e Procedimentos .................................................. 58

PC6 – Melhoria da Performance do Processo ......................................... 58

Page 6: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

6

Objetivos SMARRT ...................................................................................... 58

[S]pecif: Específico .................................................................................. 59

[M]easurable: Mensurável ...................................................................... 59

[A]ttainable ou Achievable: Alcançável .................................................. 60

[R]ealistic: Realista .................................................................................. 60

[T]imely ou Time-bounded: em tempo ................................................... 61

Controles de Aplicação ............................................................................... 61

Funções dos Controles de Aplicação ........................................................... 62

AC1 – Autorização e Preparação da Fonte de Dados .............................. 62

AC2 – Coleção de Fonte de Dados e Alimentação .................................. 62

AC3 – Verificação de Precisão, Completude e Autencidade ................... 63

AC4 – Processamento com Integridade e Validade ................................ 63

AC5 – Revisão de Saídas, Reconciliação e Tratamento de Erros ............. 63

AC6 – Integridade e Autenticação de Transações .................................. 63

Planejar e Organizar ........................................................................................ 64

Descrição do Processo ................................................................................ 64

Domínio planejar e organizar (PO) .............................................................. 65

PO1 – Definir um Plano Estratégico de TI ............................................... 65

PO2 – Definir a Arquitetura da Informação ............................................ 66

PO3 – Determinar a Direção Tecnológica ............................................... 68

PO4 – Determinar os Processos de TI, sua Organização e Relacionamentos ..................................................................................... 69

PO5 – Gerenciar os Investimentos em TI ................................................ 70

PO6 – Comunicar Metas Gerenciais e Direcionamento .......................... 71

PO7 – Gerenciar Recursos Humanos de TI .............................................. 73

PO8 – Gerenciar Qualidade ..................................................................... 74

PO9 – Avaliar e Gerenciar Riscos de TI.................................................... 75

Page 7: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

7

PO10 – Gerenciar Projetos ...................................................................... 76

Adquirir e Implementar .................................................................................. 78

Descrição do Processo ................................................................................ 78

Adquirir e implementar (AI) ........................................................................ 79

AI1 – Identificar Soluções Automatizadas ............................................... 79

AI2 – Adquirir e Manter Software Aplicativo .......................................... 80

AI3 – Adquirir e Manter Infraestrutura Tecnológica ............................... 81

AI4 – Habilitar Operação e Uso ............................................................... 82

AI5 – Obtenção de Recursos de TI .......................................................... 83

AI6 – Gerenciar Mudanças ...................................................................... 84

AI7 – Instalar e Validar Soluções e Mudanças ........................................ 85

Entregar e Suportar ......................................................................................... 87

Descrição do Processo ................................................................................ 87

Entregar e suportar (DS) ............................................................................. 88

DS1 – Definir e Gerenciar Níveis de Serviço ............................................ 88

DS2 – Gerenciar Serviços de Terceiros .................................................... 89

DS3 – Gerenciar Performance e Capacidade .......................................... 90

DS4 – Garantir a Continuidade dos Serviços ........................................... 91

DS5 – Garantir a Segurança dos Sistemas ............................................... 92

DS6 – Identificar e Alocar Custos ............................................................ 94

DS7 – Educar e Treinar Usuários ............................................................. 95

DS8 – Gerenciar Central de Serviços e Incidentes .................................. 96

DS9 – Gerenciar a Configuração ............................................................. 97

DS10 – Gerenciar Problemas .................................................................. 97

DS11 – Gerenciar Dados.......................................................................... 98

DS12 – Gerenciar os Ambientes Físicos .................................................. 99

Page 8: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

8

DS13 – Gerenciar Operações ................................................................ 100

Monitorar e Avaliar ....................................................................................... 102

Descrição do Processo .............................................................................. 102

Monitorar e Avaliar (ME) .......................................................................... 103

ME1 – Monitorar e Avaliar a Performance da TI .................................. 103

ME2 – Monitorar e Avaliar Controles Internos ..................................... 104

ME3 – Assegurar Aderência com Requisitos Externos.......................... 105

ME4 – Prover Governança de TI ........................................................... 106

Família de Produtos do CobiT ....................................................................... 108

COBIT Online ............................................................................................. 108

COBIT Quickstart ....................................................................................... 109

Guia de Implementação de Governança de TI .......................................... 109

COBIT Security Baseline ............................................................................ 110

Val IT .......................................................................................................... 110

Exame de Certificação ................................................................................... 111

Situação do mercado atual (2008 a 2012) ................................................ 111

COBIT Foundations .................................................................................... 112

Fatores Críticos de Sucesso ....................................................................... 112

Resumo ......................................................................................................... 114

Resumo dos principais tópicos do curso ................................................... 114

Governança de TI ...................................................................................... 114

Objetivo da Governança de TI ................................................................... 114

Conceitos Básicos do CobiT ....................................................................... 115

Componentes do COBIT (cubo do COBIT) ................................................. 115

Processos de TI ...................................................................................... 115

Recursos de TI ....................................................................................... 116

Page 9: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

9

Critérios de informação / Requisitos de negócio .................................. 116

Indicadores ................................................................................................ 116

Outcome Measures (Indicadores de Resultado)................................... 116

Performance Indicators (Indicadores de Performance)........................ 116

RACI e Maturidade .................................................................................... 117

Matriz RACI ........................................................................................... 117

Modelos de Maturidade ....................................................................... 117

Informações .............................................................................................. 117

Diretrizes de auditoria .......................................................................... 117

Práticas de Controle .............................................................................. 118

Produtos do COBIT ................................................................................ 118

Dica Importante .................................................................................... 118

A equação da TI ..................................................................................... 118

Encerramento ........................................................................................... 119

Glossário........................................................................................................ 120

Balanced Scorecard ................................................................................... 120

COSO ......................................................................................................... 120

Eficiência ................................................................................................... 121

Eficácia ...................................................................................................... 121

ISO 20000 .................................................................................................. 121

ISO 27001 .................................................................................................. 122

Anexo 1 ......................................................................................................... 123

Matriz RACI ............................................................................................... 123

Anexo 2 ......................................................................................................... 124

Lei Sarbanes-Oxley .................................................................................... 124

Requisitos da Lei ....................................................................................... 125

Page 10: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

10

Seção 404 .................................................................................................. 125

Anexo 3 ......................................................................................................... 126

Teste Simulado .......................................................................................... 126

Gabarito .................................................................................................... 136

Page 11: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

11

INTRODUÇÃO Este módulo tem como objetivo trazer a você uma visão geral sobre toda a estrutura, conceitos, modelos de trabalho, áreas de aplicação, vantagens e desvantagens do COBIT. Dominar os conceitos aqui apresentados dará a você total condição de prestar o exame de certificação COBIT Foundations.

Empresas e TI Atualmente as empresas, de um modo geral, estão com seus processos internos cada vez mais dependentes de recursos de Tecnologia da Informação (TI), o que implica em uma necessidade cada vez maior de fazer uma gestão sobre os riscos em TI para não comprometer a continuidade do negócio. Além disso, e possível observar que em empresas de pequeno, médio ou grande porte, nacionais ou multinacionais, a dependência da TI é tão significativa a ponto de se tornar praticamente inviável pensar na operação do negócio sem considerar os recursos tecnológicos envolvidos. Há casos, nos mais diversos segmentos de mercado, onde a TI integra-se totalmente ao negócio a ponto de que isso se torne um diferencial competitivo no mercado e assegura o futuro da empresa. O segmento bancário é um excelente exemplo onde a tecnologia se tornou vital para o negócio da empresa. Partindo desta análise fica evidente que a gestão sobre os riscos de TI é fundamental para assegurar a continuidade dos negócios. Assim, a proposta deste módulo é apresentar a você como a estrutura do CobiT permite aplicar as melhores práticas de mercado para a Gestão de Riscos de TI e como é possível, por meio desta iniciativa, alcançar não só a

Page 12: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

12

excelência operacional, mas também estabelecer um modelo de governança que mantenha a área de TI integrada aos objetivos de negócio e ofereça a empresa condições adequadas para alcançar seus objetivos estratégicos. É importante ter em mente que é possível integrar os principais modelos de mercado para gerenciar adequadamente os riscos de TI em um cenário cada vez mais complexo e competitivo, e onde o tempo de resposta da TI em relação às necessidades do negócio faz a diferença entre permanecer no mercado ou perder espaço para a concorrência.

Page 13: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

13

A COMPLEXIDADE DA TI

Conceito de Risco Segundo o dicionário Houaiss, risco é: "A probabilidade de insucesso, de malogro de determinada coisa, em função de acontecimento eventual, incerto, cuja ocorrência não depende exclusivamente da vontade dos interessados." Trazendo este conceito a realidade de mercado, do ponto de vista de Gestão Empresarial, é necessário considerar, no mínimo, risco de mercado, de crédito, legal e operacional, sendo que podemos definir o cálculo do risco como a tentativa de se medir o grau de incerteza na obtenção do retorno esperado em uma determinada aplicação financeira ou investimento realizado.

Page 14: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

14

Gestão do Risco Todos estes conceitos são tratados no Módulo I – Fundamentos em Governança de TI desta Unidade de Estudo. No entanto, antes de começar a tratar o framework do COBIT e como ele oferece uma base para a Gestão de Riscos em TI, vamos conhecer um caso real sobre os benefícios ou necessidades de se fazer uma Gestão de Riscos para o negócio da empresa. Um exemplo deste cenário pode ser observado na própria Organização Bradesco. Está definido em seu portal que:

“Considerar o gerenciamento de riscos é essencial em todas as suas atividades, utilizando-o com o objetivo de adicionar valor ao seu negócio, na medida em que proporciona suporte às áreas comerciais no planejamento de suas atividades, maximizando a utilização de recursos próprios e de terceiros, em benefício dos acionistas e da sociedade.”

Dentro da Organização Bradesco considera-se, ainda, que:

“A atividade de gerenciamento de riscos é altamente relevante em virtude da crescente complexidade dos serviços e produtos ofertados pela Organização e também em função da globalização de seus negócios. Por esse motivo, a Organização aprimora continuadamente suas atividades relacionadas ao gerenciamento de riscos, atividades estas devidamente alinhadas com as regulamentações aplicáveis, aderentes às recomendações e melhores práticas utilizadas internacionalmente e adaptadas à nossa realidade. A Organização Bradesco não é o único exemplo, na realidade, empresas de todos os segmentos, no mundo inteiro, estão presenciando um desenvolvimento significativo da tecnologia em relação aos negócios.

Page 15: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

15

A Organização realiza consideráveis investimentos nas ações relacionadas aos processos de gerenciamento de riscos especialmente na capacitação do quadro de funcionários, com o objetivo de elevar a qualidade da execução e de garantir o necessário foco, intrínsecos a estas atividades, que produzem forte valor agregado.” Fonte: BANCO BRADESCO, Gerenciamento de Risco e Compliance. (Acesso em 22 ago. 2009). Disponível em: Bradescori

A Falta de Gestão de Riscos A TI deixou de lado o papel de dar suporte ao negócio e, principalmente na área financeira, se tornou a estratégia do próprio negócio. O nível de dependência de tecnologia para o mercado financeiro é algo muito difícil de ser mensurado, no entanto, se entendermos que a TI é um conjunto estrutural na qual a empresa depende para realizar suas atividades, o nível de dependência é 100%. Este quadro deixa evidente a necessidade das empresas em estabelecer e implementar mecanismos de controle, não só no que diz respeito à Gestão de Riscos, como também pelo fato de que estas estão sujeitas a legislação e regulamentação existente para o mercado nacional ou internacional, e é exatamente respondendo a este tipo de necessidade que o CobiT pode ser aplicado.

A Atuação dos CIOs Os CIOs de hoje precisam assegurar alinhamento dos serviços de TI com as necessidades atuais e futuras da empresa. Os investimentos em TI devem ser direcionados de modo a possibilitar que a empresa alcance os resultados desejados, onde a prontidão tecnológica torna-se fundamental para a empresa vencer os desafios de curto, médio e longo prazo.

Page 16: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

16

Por outro lado, por não haver maturidade nas empresas em relação a necessidade de se adotar práticas de Governança de TI, inúmeras tecnologias foram incorporadas aos negócios em resposta imediata à necessidades da empresa e aumentaram a complexidade dos ambientes de TI. Aliado a este fator também existe a questão de crescimento ou expansão das empresas, levando inclusive a ampliar suas instalações não só dentro do país, como também no exterior.

Gerenciando os Riscos A TI está incorporada pelo negócio de tal maneira que agora, caso os serviços de TI sejam interrompidos por qualquer que seja o motivo, as operações da empresa são impactadas de uma maneira a trazer impactos financeiros nos resultados. Outro desafio que os CIOs estão enfrentando atualmente é a necessidade de reduzir custos e gerenciar riscos de modo que eventuais falhas na infraestrutura de TI não tenham impacto para o negócio. A dependência cada vez maior do negócio em relação aos serviços de TI gerou grandes investimentos em projetos e processos, de modo que o CIO recebe forte pressão do CEO e do conselho de administração para minimizar custos operacionais por meio de uma melhor gestão nos projetos, além de gerenciar adequadamente os riscos relacionados a mudanças na infraestrutura de TI.

Gestão de Riscos Neste módulo você aprendeu que as melhores práticas descritas na ITIL são tão relevantes que se tornaram um padrão de fato no mercado de TI. Seus conceitos são aplicados aos níveis operacional e tático e permitem que a área de TI estruture o ciclo de vida de seus serviços como um todo, de modo a alcançar excelência operacional.

Page 17: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

17

Já o framework do CobiT é focado no nível estratégico e, por se tratar de um framework de controle, possibilita que a TI tenha seu desempenho mensurado e seus riscos devidamente apontados e tratados. Sendo assim, estudaremos toda a estrutura do CobiT nos módulos seguintes.

Page 18: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

18

INTRODUÇÃO AO COBIT COBIT – Control Objectives for Information and Related Technology Objetivos de Controle para Informações e Tecnologias Relacionadas Explicando:

Objetivos de Controle para as Informações (da organização) e Tecnologias Relacionadas (à informação, ou seja, os ativos informacionais da organização)

O COBIT, atualmente na versão 4.1, é um framework de controle que se tornou mundialmente aceito nas empresas em função dos benefícios que proporciona. Diferente do framework do COSO, que é um modelo de controle genérico, O COBIT é focado unicamente em TI e sua estrutura oferece uma base sólida para se estabelecer um modelo de Governança de TI. A missão apresentada no COBIT 4.1 (2007, p.13) é:

"Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso do dia-a-dia de gerentes de negócio e auditores."

Ao estudar o framework do COBIT com maior profundidade é possível identificar que ele especifica os objetivos de controle, mas não detalha como os processos podem ser definidos. O COBIT não é um padrão, não é uma norma como as ISO 20.000, ISO 17.799 ou ISO 9.001, e ele também não serve como guia para maximizar os benefícios da TI.

Page 19: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

19

Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforços e recursos da TI para atender aos requisitos do negócio. A adoção do COBIT não tem como meta controlar todos os processos, mas apenas identificar quais processos da TI estão impactando, ou gerando riscos para o negócio, de modo a priorizar o gerenciamento destes processos. O framework de controle do COBIT segue a premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho.

Modelo O modelo também considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio. Além disso, é possível identificar também que o COBIT é compatível com outros padrões de mercado, pois ele se posiciona em um nível genérico, abrangendo vários processos de TI, definindo os objetivos de cada um e como devem ser controlados. No entanto, o COBIT não foca em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser compatível ou complementar a outros modelos existentes. O framework do COBIT foi criado tendo como principais características o foco no negócio, a orientação a processos, ser baseado em controles e direcionado por métricas. Adotar COBIT ajuda uma empresa a implementar boas práticas em governança de TI, pois ele oferece um guia de melhores práticas e direcionamento. Sua estrutura classifica os processos em 4 domínios, e apresenta atividades em uma estrutura gerenciável e lógica.

Page 20: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

20

O modelo também considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio.

Práticas do COBIT As boas práticas do COBIT representam um consenso entre especialistas no que diz respeito a Governança de TI, pois seu framework é extremamente focado no controle e pouco focado na execução. Estas práticas ajudam a otimizar os investimentos em TI, assegurando a entrega do serviço e fornecendo uma mensuração que possibilita identificar a performance de cada objetivo de controle e, como consequência, tomar ações gerenciais para mitigar riscos e atingir os resultados desejados. O COBIT é independente da plataforma de TI adotada nas empresas, também é totalmente independente do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa. O framework do COBIT é hoje uma referência mundial utilizado na avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de governança de TI

Descrição do COBIT Há alguns anos, o mercado de TI tinha uma tendência de buscar alinhamento ao negócio. Dentro deste contexto, a TI tinha foco tático e operacional e normalmente era tratada como um centro de custo. Seu papel era dar suporte a estratégia de negócio e precisava ser ágil. Porém, o mercado atual mostra que agilidade e alinhamento são importantes, mas não são suficientes. A TI precisa ser um meio de ativação para a empresa, ela passa a ser parte da estratégia de negócios, funciona totalmente orientada a serviços de modo que a área de TI acabe alavancando vantagem competitiva.

Page 21: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

21

O Módulo I deste curso mostra que para negociar papéis na Bolsa de Nova Yorque (NYSE) as empresas precisam se adequar as exigências da Lei Sarbanes-Oxley / SOX (Anexo 2). Esta, por sua vez, determina a criação do Public Company Accounting Oversight Board (PCAOB), ou seja, um Conselho de Auditores de Companhias Abertas. Esse conselho de auditores (o PCAOB) tem como missão estabelecer as normas de auditoria, controle de qualidade, ética e independência em relação aos processos de inspeção e a emissão dos relatórios de auditoria. O PCAOB recomenda que as empresas utilizem um framework adequado, e reconhecido no mercado, para avaliar seus controles internos, e cita especificamente o framework do COSO. No que diz respeito à governança de TI, o COBIT é framework de controle para processos de TI que melhor atende as exigências do COSO. O framework do COBIT, por sua vez, está situado em um nível mais estratégico e sugere o uso de outros frameworks que podem ser vistos como complementares e necessários para que se estabeleça um modelo de governança de TI.

Inúmeros modelos, referências e guias de melhores práticas podem ser adotados para estabelecer um modelo de governança de TI para as organizações.

Page 22: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

22

As características do COBIT o deixam posicionado em um nível mais estratégico quando comparado a outros frameworks, normas ou padrões que se complementam, a figura acima ilustra o posicionamento e os pontos de integração do COBIT em relação a outros modelos. Cabe aos executivos avaliar qual é o melhor modelo para atender as necessidades de negócio de suas empresas, mas é evidente que a regulamentação externa (SOX/Basiléia II) direciona fortemente a adoção do COBIT em suas práticas de governança de TI. Um fator extremamente significativo é o que o COBIT, por ser um framework de controle de alto nível, aponta o que deve ser controlado, mas não diz como fazer. Ele se encaixa perfeitamente com as melhores práticas para gestão de serviços de TI descritas na IT Infrastructure Library (ITIL), que tem foco mais tático e operacional em relação aos processos internos de TI.

O Framework COBIT Os frameworks do COBIT e do ITIL se complementam e cobrem grande parte dos aspectos da organização da TI, de modo que quando as práticas estabelecidas em cada modelo são adotadas pelas organizações de TI, em seus processos internos, o risco operacional de TI é reduzido de maneira significativa. É válido aproveitar este momento e destacar que para tratar da Gestão de Riscos em TI na sua totalidade, é necessário também tratar os riscos em projetos de TI. O foco deste estudo para o Gerenciamento de Projetos de TI são as práticas descritas no Project Management Body of Knowledge (PMBOK) publicado e mantido pelo Project Management Institute (PMI).

Page 23: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

23

Gestão do Risco em TI Você poderá aprender sobre a Gestão de Risco em projetos de TI em um curso de Gestão de Projetos que siga o PMBOK. Por hora, basta considerar que não basta fazer gestão de riscos somente na operação do negócio ou na operação da TI. Na sequência serão apresentadas as verticais que devem ser gerenciadas para a integração entre TI e o negócio, bem como quais modelos de mercado cujas práticas podem ser aplicadas em cada vertical. Chegar a uma combinação relevante e importante de elementos permitirá estabelecer uma possível estrutura para as práticas de governança de TI, relacionando os frameworks, normas técnicas e guias de melhores práticas, dentre outros, nas diversas frentes existentes entre o negócio e a operação da TI. Tudo isso visa fazer com que a TI se torne um parceiro estratégico para que as empresas possam alcançar seus objetivos de negócio. A Tecnologia da Informação é relativamente nova se comparada a Engenharia, Arquitetura, Medicina ou Advocacia, no entanto, o conjunto de melhores práticas que será apresentado a seguir vem passando por um ciclo de melhoria contínua cujos resultados positivos vem sendo comprovados pelo marcado há pelo menos 10 anos.

Page 24: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

24

Características do COBIT Como dito anteriormente, o framework de controle do COBIT parte da premissa que não é possível gerenciar aquilo que não se mede. Desta forma ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. O modelo também considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio. Além disso, o COBIT é compatível com outros padrões de mercado, pois ele se posiciona em um nível genérico, abrangendo vários processos de TI, definindo os objetivos de cada um dos processos e como devem ser controlados. O COBIT não foca em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser compatível ou complementar a outros modelos existentes.

Page 25: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

25

O framework do COBIT foi criado tendo como principais características:

O foco no negócio

A orientação a processos

Ser baseado em controles

Ser direcionado por métricas

Foco do COBIT Sua estrutura classifica os processos em 4 domínios, e apresenta atividades em uma estrutura gerenciável e lógica. As boas práticas do COBIT representam um consenso entre especialistas, pois seu framework é extremamente focado no controle. Estas práticas ajudam a otimizar os investimentos em TI, assegurando a entrega do serviço e fornecendo uma mensuração que possibilita identificar a performance de cada objetivo de controle e tomar ações gerenciais para mitigar riscos e atingir os resultados desejados. O COBIT é independente da plataforma de TI adotada nas empresas, também é totalmente independente do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa. O framework do COBIT é hoje uma referência mundial utilizado na avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de governança de TI.

Objetivos do COBIT O COBIT tem como objetivos:

Ser um padrão aceito nas melhores práticas de governança de TI.

Aplicar as melhores práticas a partir de uma matriz de domínios, processos e atividades estruturados de forma lógica e gerenciável.

Page 26: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

26

Auxiliar na associação entre:

Os riscos no negócio

As necessidades de controle

Aspectos tecnológicos

Histórico do COBIT O COBIT teve sua primeira publicação realizada em 1996 com foco no controle e análise dos sistemas de informação. Sua segunda edição, em 1998, ampliou a base de recursos adicionando o guia prático de implementação e execução. A edição atual (4.1) já sob a coordenação do IT Governance Institute (ITGI), introduz as recomendações de gerenciamento de ambientes de TI dentro de um modelo de maturidade de governança. O COBIT foi desenvolvido inicialmente pela fundação do Information Systems Audit and Control Association (ISACA), que é uma instituição fundada em 1967, e é atualmente mantido pelo ITGI, cuja fundação ocorreu em 1998. Para maiores informações sobre o ISACA e o ITGI, visite os sites: Isaca, Itgi.

Estrutura Atual do COBIT O COBIT chegou a sua estrutura atual contando com um conjunto de contribuições de várias empresas e organismos internacionais, entre eles podemos citar:

Padrões técnicos da ISO e EDIFACT, dentre outros.

Códigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA e outros.

Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT dentre outros.

Padrões profissionais para controles internos e auditoria, como o COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO e outros.

Page 27: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

27

Práticas e exigências dos fóruns da indústria e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc..

Exigências das indústrias emergentes como operação bancária, comércio eletrônico e engenharia de software.

Com a dependência cada vez maior nos recursos de tecnologia as organizações passam a ter a necessidade de demonstrar controles crescentes em segurança.

Desempenho e Progresso Cada organização deve buscar a compreensão de seu próprio desempenho e deve medir o seu progresso. O benchmarking (comparativo) com outras organizações passa a fazer parte da estratégia das empresas para conseguir a melhor competitividade em TI. O COBIT, por meio de suas recomendações de gerenciamento e com a orientação no modelo de maturidade em governança, auxilia os gerentes de TI no cumprimento de seus objetivos, alinhados com os objetivos da organização. As diretrizes de gerenciamento do COBIT focam na gerência por desempenho, usando os princípios do Balanced ScoreCard (BSC). Seus indicadores principais identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização.

Vantagens do COBIT Adotar o COBIT como modelo de governança torna-se vantajoso por:

Mapear os maiores padrões e frameworks de mercado, como o ITIL, a ISO 20.000 e a ISO 27.001.

Ajudar a entender os requisitos regulatórios.

Ser compatível com o COSO quanto ao controle do ambiente de TI.

Page 28: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

28

Definir uma linguagem comum entre TI e o negócio.

Ser focado nos requisitos de negócio.

Ser aceito internacionalmente como framework de modelo para Governança de TI;.

Ser orientado a processos.

Ser suportado por ferramentas e treinamento.

Estar em desenvolvimento contínuo.

O Público do COBIT O COBIT foi projetado para ser utilizado por três públicos distintos. Administradores podem fazer uso do COBIT para auxiliá-los na avaliação entre risco, investimento e controle de ambientes muitas vezes imprevisíveis, como o de TI. Usuários podem utilizar para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros.

Page 29: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

29

Por último, mas não menos importante, o COBIT também pode ser utilizado por Auditores de Sistemas, onde serve como subsídio das opiniões emitidas ou para prover aconselhamento aos administradores sobre os controles internos.

Evolução do COBIT Observe na linha do tempo apresentada a seguir a evolução do COBIT e o foco principal de cada publicação realizada.

Estrutura do COBIT O princípio da estrutura do COBIT é o de prover um link entre as expectativas e as responsabilidades de gerenciamento de TI. O objetivo é facilitar a governança de TI para agregar valor a TI, por meio do gerenciamento dos riscos de TI. O princípio do framework é derivado de um

Page 30: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

30

modelo que mostra a informação com qualidade sendo produzida por eventos realizados ou executados nos recursos de TI, conforme apresentado na figura ao lado. O COBIT é um framework e é também uma base de conhecimento para os processos de TI e o gerenciamento destes. Ele não é um padrão definitivo e deve ser adaptado para a realidade de cada empresa. Trata-se de um framework de controle que tem o propósito de assegurar que os recursos de TI estarão alinhados com os objetivos da organização. O framework também é baseado na premissa de que a TI precisa entregar informação que a empresa necessita para atingir seus objetivos, fazendo com que a TI seja mais responsiva ao negócio.

Características do Framework

Define uma linguagem comum entre TI e o negócio

Ajuda a entender os requisitos regulatórios

É um padrão aceito entre empresas

É orientado a processos

É focado nos requisitos de negócio

Page 31: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

31

Componentes do COBIT É praticamente impossível falar dos componentes do COBIT sem citar o termo conhecido no mercado como cubo do COBIT. O conceito de cubo é utilizado para representar como os componentes se inter-relacionam, pois ele ilustra de maneira fidedigna as dimensões e seu respectivo relacionamento. A figura ao lado ilustra que o framework do COBIT considera a necessidade de relacionar os processos de TI, os recursos de TI e os critérios de informação, conforme será tratado a seguir.

Critérios da Informação Efetividade - trata das informações que são relevantes e pertinentes aos processos de negócio. Essas informações precisam estar disponíveis em tempo hábil, corretas, consistentes, e devem ser apresentadas de uma forma útil. Eficiência - trata do provimento de informações pelo melhor (mais produtivo e econômico) uso dos recursos. Confidencialidade - trata da proteção das informações contra acessos não-autorizados. Integridade - trata da precisão e da totalidade (integridade) das informações, assim como sua validade e concordância com os valores e as expectativas do negócio.

Page 32: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

32

Disponibilidade - trata da disponibilidade da informação quando requerida pelos processos do negócio, em qualquer momento. Trata também da salvaguarda dos recursos necessários e capacidades associadas. Conformidade - trata do cumprimento das leis, regulamentos e contratos aos quais os processos de negócio estão sujeitos, ou seja, externamente impostos, assim como do cumprimento das políticas internas. Confiabilidade - trata do provisionamento de informações apropriadas para o gerenciamento, a operação e o exercício das responsabilidades fiduciárias e de governança da instituição.

Recursos de TI O COBIT considera que Recursos de TI são gerenciados pelos processos de TI para fornecer as informações que a empresa necessita para atingir seus objetivos. O framework estabelece 4 tipos de recursos, conforme relação apresentada a seguir: Aplicações - são os sistemas automatizados e procedimentos manuais para processar informações. Informação - são os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário usado pelo negócio. Infraestrutura - considera os itens de hardware, software, sistemas de bancos de dados, rede, e quaisquer itens necessários para o funcionamento das aplicações. Pessoas - são os recursos humanos necessários para planejar, organizar, adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de informação e serviços, podendo estes ser recursos internos ou terceirizados.

Page 33: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

33

Processos de TI Uma das faces do cubo do COBIT representa os processos de TI. O framework do COBIT apresenta aos processos de TI agrupados em 4 domínios, conforme segue:

Planejar e Organizar (Plan and Organize - PO)

Adquirir e Implementar (Acquire and Implement - AI)

Entregar e Suportar (Deliver and Support - DS)

Monitorar e Avaliar (Monitor and Evaluate - ME)

O Cubo do COBIT Como todos os componentes do COBIT estão inter-relacionados, a figura do cubo é utilizada para sumarizar que os recursos de TI são gerenciados pelos processos de TI para alcançar as metas que correspondem aos requisitos do negócio. Este é o princípio básico do framework do COBIT, e é ilustrado por meio da figura ao lado. Por meio dele é possível observar que cada um dos 4 domínios e seus 34 objetivos de controle de alto-nível consomem Recursos de TI e necessitam atender a requisitos de negócio.

Page 34: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

34

Nos próximos módulos, veremos como é o desdobramento do cubo do COBIT para cada um dos 34 objetivos de controle de alto-nível.

As Metas do COBIT O COBIT estabelece metas e métricas em 3 níveis: O primeiro nível trata de objetivos e métricas de TI que definem o que o negócio espera da TI e como isso será medido. O segundo nível trata dos objetivos e métricas que definem o que os processos de TI devem entregar para suportar os objetivos de TI e como isso será medido.

Page 35: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

35

O terceiro nível trata dos objetivos de atividades e respectivas métricas para estabelecer o que precisa ocorrer dentro dos processos para alcançar a performance desejada e como mensurar isso. Os objetivos de TI são definidos em uma abordagem top-down, onde os objetivos do negócio vão determinar o número de objetivos de TI que vão suportar o negócio.

Monitoramento e Performance O monitoramento é realizado por meio do acompanhamento de Indicadores de Resultado (Outcome Measures), processados após a execução dos processos, e Indicadores de Performance (Performance Indicators), processados durante a execução dos processos e utilizados para avaliar e tomar ações corretivas para assegurar que os resultados esperados sejam alcançados.

Diretrizes de Gerenciamento O framework do COBIT estabelece diretrizes de gerenciamento e estas, por sua vez, sugerem o uso da metodologia Balanced Scorecards (BSC).

Page 36: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

36

O BSC fornece meios para estabelecer métricas para alcançar as metas de TI. A metodologia do BSC vê o negócio sob quatro perspectivas, estabelecendo os objetivos estratégicos da empresa e mapeando suas metas e Indicadores de Performance, sendo que você poderá ver isso com maiores detalhes na unidade de estudo de Gestão de Serviços de TI. Por hora, é importante saber que o BSC parte da definição da estratégia da empresa para, em seguida, estabelecer os objetivos estratégicos que a empresa deve alcançar sob as perspectivas Financeira, do cliente, de inovação, de aprendizado e crescimento, e de processos internos do negócio. A perspectiva do cliente trata dos valores que a empresa quer oferecer, ou seja, como ela quer ser vista sob a percepção do cliente. A perspectiva de processos internos estabelece os objetivos estratégicos do que a empresa deve assumir para conseguir entregar os valores estabelecidos na perspectiva do cliente. A perspectiva do aprendizado e inovação trata da gestão do conhecimento da empresa, de clima e cultura e de outros valores essenciais para a saúde da empresa. A perspectiva financeira trata das questões de gestão financeira da empresa, quais os objetivos estratégicos para as despesas, investimentos e como assegurar o futuro da empresa. Não há uma regra para estabelecer ou definir se há uma perspectiva mais ou menos importante, todas contém objetivos estratégicos e, portanto, todas são importantes para a empresa. Ao avaliar os mapas estratégicos de diversas empresas, produzidos dentro dos conceitos da metodologia do BSC, é possível observar que normalmente a Perspectiva do Cliente é apresentada em primeiro lugar quando a cultura da empresa tem o foco principal no cliente.

Page 37: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

37

Já quando a cultura da empresa tem como foco principal a obtenção de lucro, normalmente a perspectiva financeira é apresentada em primeiro lugar. O fato é que isso realmente não importa, é relevante estabelecer quais são os objetivos mais importantes da empresa, quem será responsável por cada um deles (accountability) e como eles serão mensurados.

Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes no framework do COBIT, fica evidente que o COBIT vê no BSC uma maneira de implementar o conceito do framework e estabelecer os pontos de controle, trazendo total transparência às partes interessadas, ou seja, clientes, parceiros, funcionários e acionistas da empresa.

Page 38: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

38

Modelos de Maturidade Trata-se de modelos de referência que possibilitam à empresa avaliar e classificar sua maturidade para um determinado processo. O Gerenciamento e Controle sobre os processos de TI são baseados em um método para avaliar sua organização, de modo que ela pode ser classificada em um nível onde o processo é inexistente (0 - zero) até o nível otimizado (5). Isto possibilita não só fazer comparações com outras empresas (benchmarking1), como também fazer a análise de gap2 avaliando onde a empresa se encontra, onde o mercado está posicionado e onde a empresa deseja chegar. A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da capacidade para desenvolvimento de software definido pelo Software Engineering Institute (SEI). Mas embora os conceitos do SEI tenham sido seguidos, a implementação do COBIT difere do modelo original pois o modelo de maturidade é interpretado de acordo com a natureza dos processos de gerenciamento de TI definidos no COBIT. Dentro de uma escala genérica com range variando entre 0 e 5, há um modelo específico interpretado para cada um dos 34 processos do COBIT.

1 Benchmarking é a busca das melhores práticas na indústria que conduzem ao

desempenho superior. É visto como um processo positivo e pró-ativo por meio do qual uma empresa examina como outra realiza uma função específica a fim de melhorar como realizar a mesma ou uma função semelhante. O processo de comparação do desempenho entre dois ou mais sistemas é chamado de benchmarking, e as cargas usadas são chamadas de benchmark. 2 É a diferença entre o objetivo que desejamos atingir e o ponto aonde efetivamente

chegamos.

Page 39: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

39

Maturidade Nível 1: Inicial / Ad-Hoc - A organização reconheceu que problemas existem e devem ser resolvidos ou, pelo menos, endereçados a quem os resolva. Entretanto, não há processos padronizados. Ao invés disso, abordagens pontuais são adotadas e há uma tendência de serem aplicadas numa base individual caso-a-caso. A abordagem geral de gerenciamento é desorganizada. Maturidade Nível 2: Repetível, mas Intuitivo – Processos foram desenvolvidos ao estágio onde procedimentos similares são seguidos por diferentes pessoas executando a mesma tarefa. Não há treinamento formal ou comunicação sobre esses procedimentos padronizados e a responsabilidade é tratada de maneira individual. Há um alto grau de dependência do conhecimento de alguns indivíduos e os erros são muito comuns. Maturidade Nível 3: Processos Definidos – Procedimentos foram padronizados, documentados e comunicados por meio de treinamento. É mandatório que esses processos sejam seguidos e são incomuns os desvios.

Page 40: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

40

Os procedimentos propriamente ditos não são sofisticados, mas existe uma formalização sobre as práticas existentes. Maturidade Nível 4: Gerenciado e Mensurável – O gerenciamento monitora e mede a aderência aos procedimentos e toma ações onde os processos parecem não estar funcionando efetivamente. Processos estão sob melhoria constante e fornecem melhores práticas. Ferramentas automatizadas são usadas de modo limitado ou fragmentado. Maturidade Nível 5: Otimizado – Processos foram definidos ao nível das melhores práticas, baseados nos resultados de melhoria contínua e nos modelos de maturidade de outras organizações. A TI é usada de maneira integrada para automatizar os fluxos de trabalho, fornecendo ferramentas para melhoria da qualidade e da efetividade, fazendo com que a organização adapte-se rapidamente.

Diretrizes de Auditoria Além das diretrizes de gerenciamento, o COBIT também traz um guia passo-a-passo para auxiliar auditores internos e externos a avaliar a performance da empresa. Este guia é conhecido no COBIT como Diretrizes de Auditoria. A estrutura do processo de auditoria geralmente aceita pelo mercado compreende o estágio ou etapa de identificação e documentação, ou seja, a definição do escopo do trabalho. Na sequência temos as etapas de avaliação, testes de conformidade e testes substantivos.

A etapa de Identificação e Documentação visa obter um entendimento dos riscos relacionados aos requisitos de negócio e medidas de controle relevantes. Já a etapa de avaliação tem como principal objetivo avaliar os controles internos determinados.

A etapa de Avaliação tem como principal objetivo avaliar os controles internos determinados.

Page 41: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

41

A etapa de Testes de Conformidade visa avaliar a conformidade testando se os controles determinados estão funcionando conforme sua definição, consistentemente e continuamente.

E finalmente, a etapa de Testes Substantivos verifica os riscos dos objetivos de controle que não estão sendo alcançados, por meio de técnicas analíticas ou consultando fontes alternativas.

Levando estas quatro etapas em consideração, um processo de TI é auditado por meio da obtenção do entendimento dos riscos relacionados com os requisitos de negócio e medidas de controle relevantes. Na sequência ocorre a avaliação dos controles determinados, identificando se estes controles são apropriados ao que se propõe.

Diretrizes de Gerenciamento Posteriormente se executa a avaliação de conformidade por meio de testes que devem identificar se os controles estabelecidos estão funcionando como previsto e, por último, se executa a substanciação dos riscos dos objetivos de controle que não estão sendo atingidos. Estas etapas devem ser executadas em função da necessidade que a alta administração tem de assegurar que as metas e os objetivos da TI sejam atingidos e que os controles principais estejam sendo aplicados no dia-a-dia. As diretrizes de gerenciamento descrevem e sugerem atividades de auditoria/avaliação para serem executadas para cada um dos 34 objetivos de controle de alto nível do COBIT, de modo que dentre os principais objetivos das diretrizes de auditoria é possível citar que estas devem fornecer um gerenciamento de modo a assegurar que os objetivos de controle estejam sendo alcançados.

Page 42: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

42

Pontos Fracos Outro ponto importante é o fato de identificar pontos fracos em controles que são significantes ao negócio da empresa, sendo que, para estes casos, as diretrizes de auditoria direcionarão que estes pontos tenham os riscos verificados de modo que seja possível aconselhar a alta administração em relação a ações corretivas para mitigar ou eliminar os riscos. Assim, o propósito das diretrizes de auditoria é fornecer uma estrutura simples para controles de auditoria e avaliação baseados em práticas de auditoria geralmente aceitas pelo mercado. De maneira geral, os negócios de uma organização definem os requisitos para os processos de TI, e estes, por sua vez, alimentam as áreas de negócio com informações úteis para a organização.

Excelência em TI Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de TI por meio dos indicadores de resultado (outcome measures) e por meio dos indicadores de desempenho (performance indicators), além de também contar com um modelo de maturidade para análise de GAP entre o nível atual de maturidade dos processos de TI e o nível desejado pela empresa. A excelência operacional dos processos de TI é alcançada por meio da busca pelos objetivos de cada atividade dos processos. Os processos, por sua vez, são controlados por meio dos objetivos de controle do COBIT, que são implementados através de práticas de controle. Assim, os objetivos de controle podem ser traduzidos em diretrizes de auditoria que são então utilizadas para auditar os processos de TI.

Page 43: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

43

Requisitos para a Auditoria de Processos de TI Definir o escopo da auditoria é fundamental para o dimensionamento do esforço necessário para executar este processo de controle. Para que isso seja feito de maneira adequada, é importante levar em conta a preocupação com os processos de negócio, plataformas, sistemas e seu relacionamento com o suporte aos processos de negócio e, finalmente, as funções e responsabilidades na estrutura organizacional. O próximo passo é identificar requisitos de informação relevantes para os processos do negócio. Para isso é fundamental entender qual é a relevância de cada processo. Na sequência, é necessário identificar os riscos de TI inerentes aos processos além de um nível de controle abrangente. Aqui devem ser levadas em consideração quaisquer mudanças recentes ou incidentes que impactaram o negócio ou o ambiente de TI, resultados de auditorias anteriores, auto-avaliações e certificações que a empresa venha a ter como, por exemplo, a ISO 20.000. Além disso, também é importante avaliar os controles de monitoração que são aplicados pela administração da empresa.

Processos e Plataformas Aqui devem ser levadas em consideração quaisquer mudanças recentes ou incidentes que impactaram o negócio ou o ambiente de TI, resultados de auditorias anteriores, auto-avaliações e certificações que a empresa venha a ter como, por exemplo, a ISO 20.000. Além disso, também é importante avaliar os controles de monitoração que são aplicados pela administração da empresa. O próximo passo é selecionar quais são os processos e plataformas a serem auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que é

Page 44: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

44

importante não só considerar os processos, como os recursos envolvidos nestes. O último passo das diretrizes de auditoria é o de criar uma estratégia de auditoria. É neste ponto que se avaliam quais são os controles disponíveis em relação aos riscos identificados, quais serão os passos e tarefas necessárias para executar a auditoria e quais serão os pontos de decisão.

Estrutura do Processo de Auditoria O próximo passo é selecionar quais são os processos e plataformas a serem auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que é importante não só considerar os processos, como os recursos envolvidos nestes. O último passo das diretrizes de auditoria é o de criar uma estratégia de auditoria. É neste ponto que se avaliam quais são os controles disponíveis em relação aos riscos identificados, quais serão os passos e tarefas necessárias para executar a auditoria e quais serão os pontos de decisão. De modo geral, a estrutura do processo de auditoria normalmente aceita pelo mercado, compreende quatro etapas ou estágios principais, conforme ilustrado pela figura ao lado.

Processo de TI Um processo de TI é auditado por meio da compreensão dos riscos relacionados com os requisitos de negócio e quais são as medidas de controles relevantes para cada risco identificado.

Page 45: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

45

A partir deste cenário, se executa uma avaliação dos controles determinados com o objetivo de se certificar que estes são apropriados. O próximo passo é a avaliação da conformidade utilizando testes que possibilitem verificar se um determinado ponto de controle está funcionando como planejado, de maneira consistente e contínua. Por último se executa a substanciação dos riscos relacionados aos objetivos de controle que não estão sendo alcançados. Isso pode ser feito por meio de análises técnicas ou utilizando referências alternativas.

Compreensão dos Riscos dos Processos Esta fase é fundamental para documentar as atividades que estejam relacionadas com os objetivos de controle, bem como para identificar as medidas e procedimentos que serão aplicados. A equipe de auditoria segue procedimentos específicos para obter este conhecimento, sendo que para isso podem devem entrevistar os gestores/gerentes e equipes necessárias para obter conhecimento sobre:

Os requisitos do negócio e respectivos riscos;

Políticas e procedimentos da organização;

Leis e regulamentos aplicáveis;

Estrutura da organização;

Funções e responsabilidades;

Pontos de controle já aplicados;

Relatórios gerenciais.

Avaliação dos controles sobre os processos A etapa seguinte é a avaliação dos controles utilizados em cada processo, buscando identificar se são eficazes ao que se propõem, neste sentido é importante determinar o que será testado e como os testes serão realizados.

Page 46: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

46

A equipe de auditoria deve avaliar se as medidas de controle são apropriadas, de acordo com o critério identificado e estabelecido, podendo utilizar práticas e padrões de mercado e também fazendo uso do julgamento profissional sobre o assunto. Estes devem buscar determinar se os processos estão documentados, se as saídas dos processos, também conhecidas como entregáveis, são apropriadas, se as responsabilidades estão claras e se há controles de compensação nos casos em que estes devem ser aplicados.

Avaliação da conformidade dos processos Nesta etapa a equipe de auditoria busca evidências diretas ou indiretas para os pontos selecionados, visando identificar se os procedimentos estão em conformidade com a especificação do processo. Neste momento também é importante determinar o nível de testes e o trabalho necessário para dar assegurar que o processo avaliado está adequado. Isto é feito com o objetivo de assegurar que as medidas de controle estabelecidas estão funcionando de acordo com o previsto e que são apropriadas para o ambiente controlado.

Apontando Riscos Finalmente, os riscos identificados para os objetivos de controle que não estão alcançando os objetivos definidos devem ter suas deficiências documentadas, apontando inclusive as ameaças possíveis e vulnerabilidades existentes. Uma vez realizada esta análise, a equipe de auditoria deve identificar e documentar o impacto atual e o impacto potencial do risco ou, em outras

Page 47: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

47

palavras, quais as chances do risco identificado se tornar uma realidade para a empresa.

Práticas de Controle Antes de falar das práticas de controle, é importante ter em mente que cada um dos 34 objetivos de controle do COBIT possui diretrizes de auditoria específicas. As práticas de controle do COBIT fornecem aos usuários um nível adicional de detalhes sobre os processos, estendendo assim a capacidade de uso de COBIT. Os processos de TI definidos no COBIT, os objetivos de controle e os requisitos de negócio determinam o que deve ser feito para estabelecer uma estrutura de controle efetiva. No entanto, as práticas de controle explicam como e porque estas são necessárias para a administração para avaliar controles específicos com base na análise de riscos e na operação da TI.

Tratamento dos riscos É importante que você tenha em mente que o framework do COBIT estabelece que os riscos devem ser gerenciados de 4 formas:

Mitigação de riscos;

Transferência de riscos;

Evitar riscos;

Aceitação de riscos.

Page 48: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

48

Mitigação de Riscos Trata-se da implementação de controles que tragam proteção contra o tipo de risco identificado, por exemplo, implementar um mecanismo de autenticação baseado em biometria traz maior proteção a acessos não autorizados a informações confidenciais.

Transferência de riscos Trata-se de compartilhar os riscos com parceiros ou contratar seguro apropriado. Um exemplo típico para estes casos ocorre quando você contrata um seguro para o seu veículo, casa ou notebook. Ao fazer isso, você está literalmente transferindo o risco para um terceiro por avaliar que não seria viável permanecer com o risco de ficar sem o seu bem em função de furto, roubo, incêndio ou outras causas.

Evitar riscos Trata-se de adotar uma opção diferente do cenário original, de modo que o risco identificado seja totalmente evitado. Podemos dar um exemplo deste tipo de tratamento quando uma empresa decide digitalizar toda a sua base de documentação e estes estão distribuídos em diversas filiais. Em vez de trazer os documentos até um ponto central para digitalização e correr o risco de perda do material em função de manipulação inadequada ou problemas com o transporte (furto de carga), opta-se por levar os recursos de digitalização para as filias, evitando assim o transporte dos documentos.

Aceitação de riscos Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos é fundamental ter um plano de resposta ao risco pronto para ser colocado em ação, evitando assim dados significativos ao negócio ou a imagem da organização. Podemos ilustrar este caso com o monitoramento de tsunamis

Page 49: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

49

que vários países estão executando. Ao detectar uma ocorrência de tsunami que venha a afetar o País, o governo aciona o plano de resposta que normalmente implica na evacuação da população dos pontos próximos ao mar.

Modelo RACI Outro ponto relevante que o COBIT estabelece é a definição clara das responsabilidades e papéis para cada um dos 34 processos. Isto é feito com o uso de uma matriz de responsabilidades que aponta o que deve ser delegado a quem, sendo que o framework determina claramente os limites e comprometimento necessário para cada um dos papeis citados a seguir seguindo o modelo RACI. RACI é o acrônimo, em inglês, para "Accountable, Responsible, Consulted and Informed", ou seja: [R] define quem executa o processo [A] define quem é responsável pelo resultado [C] define quem deve ser consultado [I] define quem deve ser informado

Matriz de responsabilidades do RACI Papéis normalmente definidos pelo COBIT por meio da matriz RACI:

Chief Executive Officer (CEO)

Chief Financial Officer (CFO)

Executivos de Negócio

Chief Information Officer (CIO)

Page 50: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

50

Proprietário de Processos de Negócio

Chefe de Operações

Chefe de arquitetura

Líder de desenvolvimento

Líder de administração de TI (RH, orçamento e controles internos)

Project Management Officer (PMO)

Grupos de conformidade, auditoria, risco e segurança

Papéis adicionais de acordo com especificidades de alguns processos

Definir os Processos de TI, a Organização e Relacionamentos Estude com cuidado a figura do Anexo 1, retirada do COBIT 4.1, com o objetivo de compreender como este recurso ajuda a definir os papéis para o processo Definir os processos de TI, a organização e relacionamentos.

COBIT e Outros Padrões Dentre as vantagens de se adotar o framework de controle do COBIT, é possível destacar a sua compatibilidade com outros padrões. Este se posiciona em um nível mais genérico e por isso pode ser utilizado para avaliar processos implementados por outras normas técnicas ou frameworks, como ISO 17799 (segurança da informação) e ITIL. O COBIT pode ser aplicado depois que outros padrões que atuam em um nível mais operacional já estejam aplicados, tendo em vista que o COBIT servirá para auditar estes processos. O COSO é um framework para controle interno, não somente de TI, e pode ser utilizado em qualquer área de negócio, já o COBIT é específico para a TI, mas está 100% alinhado com o COSO.

Page 51: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

51

Em relação à compatibilidade com ITIL, o COBIT cobre a maioria dos processos ITIL, tanto na versão 2 quanto na versão 3, só que o ITIL tem os processos apresentados com maior nível de detalhe. De maneira geral, enquanto o ITIL está mais direcionado ao “como”, o COBIT foca no “o que”.

Framework de Controle Assim, pode se dizer que o COBIT é um framework de controle que estabelece o que tem que ser feito, mas não diz como deve ser feito. Além disso, o COBIT atende os requisitos regulatórios nos quais a empresa está submetida e é exatamente por este motivo que pode ser utilizado para cumprir a conformidade com a lei Sarbanes-Oxley. A figura a seguir apresenta os 34 Objetivos de Controle de alto nível do COBIT e mostra os seus pontos de interação com outros elementos. Isto mostra porque o framework do COBIT está sendo adotado em larga escala na aplicação de práticas de governança de TI.

Page 52: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

52

DOMÍNIOS E OBJETIVOS DE CONTROLE

DO COBIT

Domínios do CobiT Por ser orientado a processos, o COBIT define as atividades de TI em um modelo genérico de processos, agrupando estes em 4 domínios. Como visto anteriormente, os domínios do COBIT são:

Planejar e Organizar (Plan and Organize - PO)

Adquirir e Implementar (Acquire and Implement - AI)

Entregar e Suportar (Deliver and Support - DS)

Monitorar e Avaliar (Monitor and Evaluate - ME)

Objetivos de Controle do CobiT Estes domínios englobam as tradicionais áreas de responsabilidade da TI, que são as de planejar, construir, executar e monitorar. O COBIT oferece um modelo de referência para os processos, além de uma linguagem comum a todos na empresa, de modo que estes possam visualizar e gerenciar as atividades de TI. Como também visto anteriormente, um modelo de processos demanda que cada processo tenha um proprietário, de forma a definir claramente as responsabilidades e quem será cobrado pelos resultados dos processos. Assim, o nosso foco de estudo estará concentrado em cada um dos domínios e seus respectivos processos.

Page 53: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

53

Planejar e Organizar O domínio do planejamento e organização engloba as estratégias e táticas adotadas pela organização de TI, e se preocupa em identificar a forma onde a TI possa contribuir da melhor maneira possível para que os objetivos do negócio sejam alcançados. A visão estratégica da TI deve ser planejada, comunicada e gerenciada sob diferentes perspectivas. Além disso, este domínio cobre também a organização da TI e a infraestrutura tecnológica que deve ser implementada na organização. Assim, basicamente, o domínio de planejamento e organização oferece resposta às questões relacionadas a seguir:

A TI e estratégia do negócio estão devidamente alinhados?

A organização está tirando o melhor proveito possível de seus recursos?

Todos na organização compreendem os objetivos da TI?

Os riscos são compreendidos e gerenciados?

A qualidade dos sistemas de TI é apropriada para as necessidades do negócio?

Adquirir e Implementar Assim como citado nos domínios anteriores, o domínio de aquisição e implementação demanda que as gerências respondem as seguintes questões:

Os serviços de TI estão sendo entregues alinhados com as prioridades de negócio?

Os custos de TI são otimizados?

A força de trabalho é capaz de utilizar os sistemas de TI de maneira produtiva e segura?

Page 54: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

54

Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança da informação?

Entregar e Suportar O domínio da entrega e suporte está focado na entrega atual dos serviços demandados, e isto inclui a entrega de serviços, o gerenciamento de segurança e da continuidade dos serviços de TI, o suporte aos serviços, o gerenciamento de dados e a operação das instalações físicas. Para quem já estudou ITIL, fica bastante evidente a semelhança dos objetivos de controle que o COBIT trata neste domínio com as disciplinas ITIL, porém, como vimos, o COBIT está mais focado no controle e diz o que deve ser controlado, em nenhum momento o framework do COBIT estabelece como isso deve ser implementado. As práticas descritas na ITIL oferecem mais detalhes para que se estruture como os processos serão executados. Assim, ITIL e COBIT podem ser perfeitamente integrados, não importando qual iniciativa a organização adotará antes.

Monitoramento e Avaliação O domínio do monitoramento e avaliação considera que todos os processos de TI devem ser regularmente avaliados com o passar do tempo, considerando sua qualidade a aderência aos requisitos de controle. Este é o domínio que engloba o gerenciamento de performance, o monitoramento dos controles internos, a aderência a legislação e normas específicas e a governança propriamente dita. Os processos deste domínio são tratados visando responder as seguintes questões de gerenciamento:

Page 55: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

55

A performance de TI é medida de modo a identificar problemas antes que seja muito tarde?

O gerenciamento assegura os controles internos são eficientes e eficazes?

Há alguma maneira que a performance da TI esteja ligada aos objetivos de negócio?

Há adequados níveis de confidencialidade, integridade e disponibilidade para a segurança da informação?

Processos de Controle Levando todos estes requisitos em consideração, a versão 4.1 do COBIT identificou 34 processos que são utilizados de maneira genérica. Embora a maioria das organizações tenha definido, planejado, construído, executam e monitoram as responsabilidades da TI, sendo que a maioria tenham os mesmos processos chave, poucas empresas terão a mesma estrutura de processos ou aplicam todos os 34 processos do COBIT. Um dos grandes benefícios do COBIT é que ele oferece uma lista completa de processos que podem ser utilizados para avaliar, controlar e monitorar as atividades e responsabilidades, no entanto, nem todos eles devem ser obrigatoriamente aplicados. De maneira alternativa, os processos também podem ser combinados de acordo com as necessidades da empresa.

Framework de Controle O ponto aqui é que o COBIT é flexível o suficente para atender uma pequena empresa enquanto, ao mesmo tempo, a mesma estrutura de processos pode ser útil para empresas de médio e grande porte, nacionais ou multinacionais. O COBIT apresenta um link entre os objetivos de negócio e os objetivos da TI para cada um dos 34 processos suportados. Ele também oferece informações sobre como os objetivos podem ser medidos, quais são as principais

Page 56: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

56

atividades de cada processo e suas principais entregas ou resultados, além disso, ele também provê direcionamento sobre quem é o responsável para cada atividade. Por ser um framework de controle, naturamente o COBIT define objetivos de controle para cada um dos 34 processos, além de também estabelecer requisitos de controle genéricos para cada processo, bem como controles de aplicação.

Processos do CobiT Cada um dos processos de TI definidos no COBIT tem sua respectiva descrição e um número de objetivos de controle. Como um todo, eles são as características de um processo bem gerenciado. Os objetivos de controle são identificados por uma referência aos domínios realizada por meio de dois caracteres (PO, AI, DS e ME) acrescidos de um número do processo e de um número do objetivo de controle. Como dito anteriormente, além dos objetivos de controle, cada processo do COBIT tem seis requisitos de controle genéricos que são identificados pela sigla PCn, onde n representa o número do processo.

Objetivos de Controle Genéricos Os objetivos de controle genéricos devem ser considerados junto com os objetivos de controle do processo para que seja possível ter uma visão completa dos requerimentos de controle. Objetivos de controle genéricos (extraído do COBIT 4.1, traduzido e adaptado)

Page 57: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

57

PC1 – Objetivos e Metas do Processo Defina e comunique objetivos e metas do processo de maneira específica, mensurável, alcançável, realista e dentro de um período claramente definido. Assegure que eles estejam vinculados aos objetivos de negócio e que sejam suportados por métricas adequadas.

PC2 – Proprietário do Processo Atribua um proprietário para cada processo de TI, e defina claramente os papéis e responsabilidades do proprietário do processo. Inclua, por exemplo, a responsabilidade pelo desenho do processo, a interação com outros processos, a responsabilidade sobre os resultados finais, a medição da performance do processo e a identificação de oportunidades de melhoria.

PC3 – Repetição do Processo Projete e implemente cada processo chave de TI de maneira que ele seja repetível e produza os resultados esperados de maneira consistente. Forneça uma sequência lógica de atividades, que seja flexível e escalonável para atingir os resultados desejados e que seja ágil o suficiente para tratar exceções e emergenciais. Use processos consistentes, onde possível, e trate exceções somente quando for inevitável.

PC4 – Papéis e Responsabilidades Defina as atividades principais e entregas finais do processos. Atribua e comunique papéis e responsabilidades de maneira clara para uma execução efetiva e eficiente das principais atividades e sua documentação, assim como a responsabilidade pelo processo e pelos entregáveis.

Page 58: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

58

PC5 – Política, Planos e Procedimentos Defina e comunique como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Atribua responsabilidades para cada uma destas atividades e, dentro do tempo apropriado, revise buscando identificar se estas estão sendo corretamente executadas. Assegure que as políticas, planos e procedimentos estejam acessíveis, corretos, compreensíveis e atualizados.

PC6 – Melhoria da Performance do Processo Identifique um conjunto de métricas que proporcione uma visão nos resultados e na performance do processo. Estabeleça metas que reflitam os objetivos do processo e indicadores de performance que possibilitem que o objetivo do processo seja alcançado. Defina como os dados devem ser obtidos. Compare os resultados atuais com as metas e tome ações em relação aos desvios, quando necessário. Alinhe métricas, metas e métodos com uma abordagem do monitoramento da performance geral da TI.

Objetivos SMARRT Specific, Measurable, Actionable, Realistc, Results-oriented and Timely Trata-se de um acrônimo com algumas variações (SMART ou SMARRT) já bastante conhecido no mercado para a definição de objetivos. No entanto, é importante conhecer não só a tradução de cada letra, mas sim o raciocínio mais amplo sobre o significado real deste conceito.

Page 59: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

59

O conceito pode ser aplicado na definição de objetivos de negócio, profissional ou pessoal, e as melhores práticas estabelecem que objetivos devem ser SMART, conforme veremos a seguir.

[S]pecif: Específico Não deixe espaço a interpretações duvidosas ao definir um objetivo. Quanto mais detalho for o objetivo, melhor será sua compreensão e maiores serão as chances dele ser alcançado. Depois de descrever o objetivo, confira se não há pontos que possam gerar dúvidas por falha de interpretação, por qualquer pessoa com conhecimento básico sobre o assunto.

[M]easurable: Mensurável Objetivos devem ser transformados em números, caso contrário eles poderão ser manipulados ou interpretados do modo mais conveniente para os interessados, de modo que fica dúvidas ou discussão em aberto sobre como definir se o objetivo foi alcançado ou não. Outro ponto a considerar neste quesito é se há ferramentas disponíveis para medir o objetivo da maneira desejada e adequada, caso contrário, novamente é possível estabelecer valores a partir de qualquer parâmetro disponível. Sendo assim, é fundamental ter definição clara sobre o sistema de medição que será utilizado para monitorar o objetivo. Lembre-se que os interessados podem ser colaboradores da sua equipe, pares, seu chefe, ou até mesmo acionistas!

Page 60: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

60

[A]ttainable ou Achievable: Alcançável É importante que objetivos tenham metas desafiadoras e que demandem algum tipo de esforço para serem alcançados, mas é fundamental que os objetivos possam ser alcançados. É importante gerar um desafio para que as equipes superem, mesmo parecendo ser difícil, mas isso é muito diferente de buscar números impossíveis de serem atingidos. Em vez de motivar, o objetivo só causará frustração e desânimo. Algumas variações do uso deste recurso atribuem a letra A a objetivos estabelecidos em comum acordo (agreed upon), o que significa que os envolvidos na execução do objetivo estão de acordo com sua viabilidade e benefícios.

[R]ealistic: Realista Frequentemente objetivos traçados são possíveis de serem alcançados, no entanto, nem sempre refletem a realidade do negócio. Há alguns fatores que devem ser considerados neste aspecto e, dentre eles, se o objetivo está devidamente alinhado com a missão e visão da organização ou se algum princípio ético/legal está sendo ferido pelo objetivo. Não adianta estabelecer como um objetivo “entregar projetos no prazo e no custo estabelecidos” se os projetos entregues não agregam valor aos objetivos estratégicos da empresa. Tenha em mente que um líder que define um objetivo pouco realista está fora de sincronia com a empresa e com sua equipe.

Page 61: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

61

[T]imely ou Time-bounded: em tempo De certa forma esta característica está vinculada a definição dos objetivos de maneira específica (S). O objetivo deve ter seu prazo para ser alcançado claramente estabelecido, e este período não pode ser tão curto a ponto de tornar o objetivo impossível de ser alcançado, nem tão longo a ponto de que ocorra a perda de foco com o passar do tempo.Alguns autores também apresentam o T como Tangível (Tanglible). Exemplo: Objetivo não- SMART: construir uma casa no campo. Objetivo SMART: construir uma casa térrea no campo, na região de Sorocaba-SP, com área útil interna de 180 m², piso frio em todos os cômodos, 3 suítes, sala com lareira, churrasqueira, garagem para até 10 carros, quadra de futsal, sistema de segurança com câmeras e alarme, dentro de um período de 18 meses a contar desta data, com um orçamento de até R$650.000.

Controles de Aplicação Além dos objetivos de controle genéricos vistos anteriormente, o COBIT também estabelece alguns objetivos denominados controles de aplicação. Trata-se de controles existentes em aplicações dos processos de negócio, onde o COBIT assume que o projeto e implementação de controles de aplicações automatizados são de responsabilidade da organização de TI, cobertos no domínio de Aquisição e Implementação e baseados nos requisitos de negócio por meio dos critérios de informação definidos no COBIT. Exemplos deste tipo de controle incluem a totalidade, precisão, validade, autorização de acesso e segregação de funções.

Page 62: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

62

O gerenciamento operacional e a responsabilidade de controle sobre os controles de aplicação não são da TI, mas sim no proprietário do processo de negócio.

Funções dos Controles de Aplicação Embora a responsabilidade pelos controles de aplicações seja compartilhada pelo negócio e pela TI, a natureza das responsabilidades muda em função de cada papel:

Ao negócio cabe a responsabilidade de definir requisitos funcionais e requisitos de controle, além é claro do uso dos serviços automatizados.

A TI fica responsável por automatizar e implementar as funcionalidades de negócios e os requisitos de controle e estabelecer controles para manter a integridade dos controles de aplicação.

O conjunto de objetivos de controle recomendado para aplicações é identificado no COBIT pela iniciais AC (Application Control), sendo que cada objetivo será listado a seguir:

AC1 – Autorização e Preparação da Fonte de Dados Assegura que as fontes dos documentos estejam preparadas por pessoal qualificado e autorizado seguido os procedimentos estabelecidos, levando em consideração a adequada segregação de papéis necessários na origem e aprovação destes documentos. Erros e omissões podem ser minimizados por meio de formulários de entrada bem projetados. Detecta erros e irregularidades de modo que estas possam ser reportadas e corrigidas.

AC2 – Coleção de Fonte de Dados e Alimentação Estabelece que a entrada de dados seja realizada no tempo adequado por equipe autorizada e qualificada. Correção e reprocessamento de dados que

Page 63: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

63

foram alimentados erroneamente deve ser realizada sem comprometer o nível original de autorização da transação. Onde for apropriado efetuar a reconstrução, reter os documentos de origem por tempo adequado.

AC3 – Verificação de Precisão, Completude e Autencidade Assegura que transações sejam precisas, completas e validas. Valida dados que foram alimentados, e edita o devolve para correção o mais próximo possível do ponto de origem das informações.

AC4 – Processamento com Integridade e Validade Mantém a integridade e validade dos dados durante o ciclo de processamento. A identificação de transações incorretas não deve impactar o processamento das transações válidas.

AC5 – Revisão de Saídas, Reconciliação e Tratamento de Erros Estabelece procedimentos e responsabilidades associadas para assegurar que as saidas sejam tratadas de maneira autorizada, entregues nos destinos apropriados, e protegidas durante a a transmissão. Estabelece que a verificação, detecção e correção da precisão das saídas ocorra; e que a informação fornecida como saída seja utilizada.

AC6 – Integridade e Autenticação de Transações Antes de passar dados de transações entre aplicações internas e funções de negócio/operacional (dentro ou fora da empresa), verificar pelo endereçamento apropriado, autenticidade da origem e integridade do conteúdo. Mantenha a autenticidade e integridade durante a transmissão ou transporte.

Page 64: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

64

PLANEJAR E ORGANIZAR

Descrição do Processo Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo;

Critérios de informação aplicados ao processo;

Uma declaração genérica de ações para um gerenciamento mínimo de boas práticas para assegurar que o - processo seja mantido sob controle;

Principais indicadores de performance;

Recursos de TI envolvidos;

Objetivos de controle detalhados;

Diretrizes de gerenciamento: o Entradas e processos

de origem o Saídas e processos de

destino

Matriz de responsabilidades (RACI);

Objetivos e métricas;

Modelo de maturidade.

Page 65: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

65

Domínio planejar e organizar (PO) Os processos do domínio “Planejar e Organizar” são:

AI1. Definir um plano estratégico de TI AI2. Definir a arquitetura da

informação AI3. Determinar a direção

tecnológica AI4. Definir os processos de

TI, sua organização e relacionamentos

AI5. Gerenciar os investimentos em TI

AI6. Comunicar metas gerenciais e direcionamento

AI7. Gerenciar recursos humanos de TI

AI8. Gerenciar qualidade AI9. Avaliar e gerenciar riscos de TI AI10. Gerenciar projetos

PO1 – Definir um Plano Estratégico de TI Estabelece seis objetivos de controle. O planejamento estratégico de TI é necessário para gerenciar e dirigir todos os recursos de TI em alinhamento com as estratégias e prioridades do negócio. A função da TI e as partes interessadas do negócio são responsáveis por assegurar que o melhor valor seja obtido por meio dos portfólios de projetos e serviços. O planejamento estratégico melhora o entendimento das principais partes interessadas sobre as oportunidades e limitações da TI, avalia a performance

Page 66: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

66

atual, identifica requisitos de capacidade e recursos humanos e norteia o nível de investimento requerido. A estratégia e prioridades de negócio devem estar refletidas nos portfólios e executadas pelos planos táticos de TI, que especificam objetivos concisos, planos de ação e tarefas que são compreendidas e aceitas tanto pelo negócio quanto pela TI. O objetivo deste processo é sustentar ou expandir a estratégia do negócio e requisitos de governança com transparência sobre os benefícios, custos e riscos. Objetivos de controle do processo PO1: PO1.1 – Gerenciamento do valor da TI PO1.2 – Alinhamento entre TI e o negócio PO1.3 – Avaliação de capacidade e performance atual PO1.4 – Plano estratégico de TI PO1.5 – Planos táticos de Ti PO1.6 – Gerenciamento do portfólio de TI

Este processo é medido por:

Percentual de objetivos de TI do plano estratégico de TI que suportam os planos de estratégia do negócio;

Percentual de projetos de TI no portfólio de TI que podem ser diretamente mapeados aos planos táticos de TI;

Demora entre as atualização do plano estratégico de TI e os planos táticos de TI.

PO2 – Definir a Arquitetura da Informação Estabelece quatro objetivos de controle.

Page 67: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

67

A função dos sistemas de informação cria e atualiza regularmente um modelo de informação de negócio e defini os sistemas apropriados para otimizar o uso desta informação. Isto considera o desenvolvimento de um dicionário de dados corporativo com as regras de sintaxe dos dados da organização, esquemas de classificação dos dados e níveis de segurança. Este processo melhora a qualidade das tomadas de decisão gerenciais por ter certeza que informação confiável e segura, e habilita o racionalização dos recursos de sistemas de informação para atender de maneira apropriada as estratégias de negócio. Este processo de TI também é necessário para aumentar a responsabilidade pela integridade e segurança dos dados para melhorar a efetividade e controle de compartilhar informações por meio de aplicações e entidades. O objetivo deste processo é obter agilidade para responder aos requisitos, prover informações consistentes e confiáveis e integrar continuamente as aplicações ao processos do negócio. Objetivos de controle do processo PO2: PO2.1 – Modelo corporativo de arquitetura da informação PO2.2 – Dicionário de dados corporativo e regras de sintaxe de dados PO2.3 – Esquema de classificação dos dados PO2.4 – Gerenciamento de integridade

Este processo é medido por:

Percentual de elementos de dados redundantes/duplicados;

Percentual de aplicações em não-conformidade com a metodologia da arquitetura de informações utilizadas na organização;

Frequência das atividades de validação dos dados.

Page 68: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

68

PO3 – Determinar a Direção Tecnológica Estabelece cinco objetivos de controle. A função dos serviços de informação determina a direção tecnológica para suportar o negócio. Isto requer a criação de um plano de infraestrutura tecnológica e um comitê de arquitetura que estabelece e gerencia expectativas claras e realistas de qual tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano é atualizado regularmente e engloba aspectos como a arquitetura dos sistemas, direcionamento tecnológico, plano de aquisições, padrões, estratégicas de migração e contingência. Isto habilita respostas imediatas a mudanças em um ambiente competitivo, economia de escala para equipes de sistemas de informação e investimentos, assim como melhora de interoperabilidade de plataformas e aplicações. O objetivo deste processo é obter um sistema de aplicações estável, integrado, eficiente (custos), recursos e capacidades que atendam aos requisitos atuais e futuros do negócio. Objetivos de controle do processo PO3: PO3.1 – Planejamento do direcionamento tecnológico PO3.2 – Plano da infraestrutura tecnológica PO3.3 – Monitorar tendências futuras e regulamentação PO3.4 – Padrões tecnológicos PO3.5 – Conselho de arquitetura de TI

Este processo é medido por:

Número e tipo de desvios do plano da infraestrutura tecnológica;

Frequência da revisão/atualização do plano de infraestrutura tecnológica;

Page 69: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

69

Número de plataformas tecnológicas por função em toda a organização.

PO4 – Determinar os Processos de TI, sua Organização e Relacionamentos Estabelece quinze objetivos de controle. Uma organização de TI é definida ao considerar os requisitos para as pessoas, competências, funções, responsabilidades, autoridade, papéis e supervisão. Esta organização é incorporada a um framework de processos de TI que assegura transparência e controle, assim como o envolvimento de executivos sêniors e o gerenciamento do negócio. Um comitê de estratégia assegura o acompanhamento da TI pela direção da empresa, e um ou mais comitês de direcionamento com a participação de TI e do negócio determina a priorização dos recursos de TI devidamente alinhado com as necessidade de negócio. Processos, procedimentos e políticas administrativas são implementados para todas as funções, com atenção especial a controles, gestão de qualidade, gerenciamento de riscos, informações, segurança, dados, propriedade sobre os sistemas, e segregação de papéis. Para assegurar suporte imediato aos requisitos de negócio, TI deve ser envolvida nas decisões sobre os processos relevantes. O objetivo do processo PO4 é obter agilidade para responder a estratégia do negócio atendendo, ao mesmo tempo, os requisitos de governança e provendo pontos de contato definidos e competentes. Objetivos de controle do processo PO4: PO4.1 – Framework de processos de TI PO4.2 – Comitê de estratégia de TI

Page 70: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

70

PO4.3 – Comitê de direcionamento de TI PO4.4 – Colocação organizacional da Fundação da TI PO4.5 – Estrutura organizacional da TI PO4.6 – Estabelecimento de papéis e responsabilidades PO4.7 – Responsabilidade pelo controle de qualidade de TI PO4.8 – Responsabilidade por riscos, segurança e aderência PO4.9 – Propriedade sobre sistemas e dados PO4.10 – Supervisão PO4.11 – Segregação de funções PO4.12 – Equipe PO4.13 – Pessoas-chave na TI PO4.14 – Procedimento e políticas para contratados PO4.15 – Relacionamentos

Este processo é medido por:

Percentual de papéis com posição documentada e descrição do nível de autoridade;

Número de processos/unidades de negócio não suportados pela organização da TI que deveriam ser suportados, de acordo com a estratégia;

Número de atividades principais da TI fora da organização da TI que não estão aprovadas ou não estão sujeitas aos padrões organizacionais de TI.

PO5 – Gerenciar os Investimentos em TI Estabelece cinco objetivos de controle. Um framework é estabelecido e mantido para gerenciar os programas de investimento em TI e este engloba os custos, benefícios e priorização de acordo com o orçamento, um processo formal de orçamentação e gerenciamento sobre o orçamento.

Page 71: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

71

As partes interessadas são consultadas para identificar e controlar o custo total e benefícios no contexto dos planos estratégicos e táticos de TI, e iniciar ações corretivas quando necessário. O processo promove parceria entre TI e as partes interessadas do negócio, habilita o uso efetivo e eficiente dos recursos de TI, e provê transparência e responsabilidade sobre o Custo Total de Propriedade (Total Cost of Ownership - TCO) na realização dos benefícios para o negócio e Retorno sobre os Investimentos em TI. O objetivo deste processo é demonstrar continuamente as melhorias de eficiência dos custos de TI e sua contribuição para a lucratividade do negócio com serviços integrados e padronizados que satisfaçam as expectativas dos usuários finais. Objetivos de controle do processo P05: PO5.1 – Framework de gerenciamento financeiro PO5.2 – Priorização de acordo com o orçamento PO5.3 – Orçamentação de TI PO5.4 – Gerenciamento de custos PO5.5 – Gerenciamento de benefícios

Este processo é medido por:

Percentual de redução do custo unitário dos serviços de TI entregues;

Percentual do valor de desvio do orçamento comparado com o orçamento total;

Percentual de gastos de TI expressos em linguagem de negócio (isto é, aumento de vendas ou de serviços em função de aumento de conectividade).

PO6 – Comunicar Metas Gerenciais e Direcionamento Estabelece cinco objetivos de controle.

Page 72: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

72

A alta direção desenvolve um framework corporativo de controle de TI e defini e comunica as políticas. Um programa de comunicação é implementado para articular a missão, objetivos de serviço, políticas e procedimentos e outras iniciativas aprovadas e suportadas pelo gerenciamento. A comunicação suporta o alcance aos objetivos de TI e assegura a consciência e compreensão dos riscos do negócio e da TI, objetivos e direcionamento. O processo também assegura aderência com legislação e regulamentos relevantes. O objetivo deste processo é fornecer informação precisa e no tempo adequado aos serviços de TI atuais e futuros e seus riscos associados e responsabilidades. Objetivos de controle do processo P06: PO6.1 – Política de TI e ambiente de controle PO6.2 – Riscos corporativos de TI e framework de controle PO6.3 – Gerenciamento de políticas de TI PO6.4 – Aplicação de políticas, padrões e procedimentos PO6.5 – Comunicação dos objetivos de TI e direcionamento

Este processo é medido por:

Número de interrupções no negócio causadas por interrupções dos serviços de TI;

Percentual de partes interessadas que entendem o framework corporativo de controle de TI;

Percentual de partes interessadas que não estão em conformidade com as políticas estabelecidas.

Page 73: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

73

PO7 – Gerenciar Recursos Humanos de TI Estabelece oito objetivos de controle. Uma força de trabalho competente é adquirida e mantida para a criação e entrega dos serviços de TI para o negócio. Isto é alcançado por seguir práticas definidas e acordadas que suportam o recrutamento, treinamento, avaliação de performance, promoção e desligamento. Este processo é crítico, considerando que pessoas são tratadas como um ativo importante para a empresa, e governança e o controle interno do ambiente são extremamente dependentes da motivação e competências das pessoas. O objetivo deste processo é adquirir pessoas competentes e motivas para criar e entregar serviços de TI. Objetivos de controle do processo P07: PO7.1 – Contratação e retenção de pessoal PO7.2 – Competências pessoais PO7.3 – Papéis PO7.4 – Treinamento PO7.5 – Dependência sobre indivíduos PO7.6 – Procedimentos de autorização de pessoal PO7.7 – Avaliação de performance dos colaboradores PO7.8 – Mudanças de emprego e desligamentos

Este processo é medido por:

Nível da satisfação das partes interessadas com o expertise e competências do pessoal de TI;

Rotatividade do pessoal de TI;

Percentual do pessoal certificado de acordo com as necessidades do trabalho.

Page 74: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

74

PO8 – Gerenciar Qualidade Estabelece seis objetivos de controle. Um sistema de gerenciamento de qualidade é desenvolvido e mantido para incluir desenvolvimento comprovado e aquisição de processos e padrões. Isto é habilitado por meio de planejamento, implementação e manutenção do sistema de gerenciamento da qualidade por fornecer requisitos claros de qualidade, procedimentos e políticas. Requisitos de qualidade são estabelecidos e comunicados em indicadores quantificáveis e alcançáveis. Melhoria contínua é alcançada pelo monitoramento constante, analise e ação sobre desvios, e na comunicação dos resultados para as partes interessadas. Gerenciamento de qualidade é essencial para assegurar que a TI está agregando valor ao negócio, melhoria contínua e transparência para as partes interessadas. O objetivo deste processo é assegurar uma melhoria contínua e mensurável dos serviços de TI entregues. Objetivos de controle do processo P08: PO8.1 – Sistema de gerenciamento de qualidade PO8.2 – Padrões de TI e práticas de qualidade PO8.3 – Padrões de desenvolvimento e aquisição PO8.4 – Foco no cliente PO8.5 – Melhoria contínua PO8.6 – Medição de qualidade, monitoramento e revisão

Este processo é medido por:

Percentual de partes interessadas satisfeitas com a qualidade da TI (por importância);

Page 75: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

75

Percentual de processos de TI que são formalmente revisados por controle de qualidade em uma base periódica que atenda as metas e objetivos de qualidade;

Percentual de processos recebendo revisão de controle de qualidade.

PO9 – Avaliar e Gerenciar Riscos de TI Estabelece seis objetivos de controle. Um framework para gerenciamento de riscos é criado é mantido. O framework documenta um nível comum e acordado de riscos de TI, estratégia de mitigação e riscos residuais. Qualquer impacto potencial nos objetivos da organização que seja causado por um evento não planejado é identificado, analisado e avaliado. Estratégias para mitigação dos riscos são adotadas para minimizar riscos para um nível aceitável. O resultado da avaliação deve ser compreensível para as partes interessadas e deve ser expressado em termos financeiros, para habilitar as partes interessadas a alinhar os riscos a um nível aceitável de tolerância. O objetivo deste processo é analisar e comunicar os riscos de TI e seu potencial impacto nos processos e objetivos do negócio. Objetivos de controle do processo P09: PO8.1 – Framework de gerenciamento de riscos de TI PO8.2 – Estabelecimento do contexto dos riscos PO8.3 – Identificação de eventos PO8.4 – Avaliação de riscos PO8.5 – Resposta a riscos PO8.6 – Manutenção e monitoramento de um plano de ação de riscos

Page 76: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

76

Este processo é medido por:

Percentual de objetivos críticos de TI cobertos por uma avaliação de riscos;

Percentual de riscos críticos de TI identificados com planos de ação desenvolvidos;

Percentual de planos de ação para gerenciamento de riscos aprovados para implementação.

PO10 – Gerenciar Projetos Estabelece catorze objetivos de controle Um framework para gerenciamento de programas e projetos para o gerenciamento de todos os projetos de TI é estabelecido. O framework assegura a priorização correta e a coordenação de todos projetos. O framework inclui o plano principal, atribuição de recursos, definição dos entregáveis, controle de qualidade, um plano formal de testes, testes e revisão pós-implementação após a instalação para assegurar o gerenciamento do risco do projeto e a entrega de valor para o negócio. Esta abordagem reduz o risco de custos inesperados e o cancelamento de projetos, melhora a comunicação para o envolvimento do negócio e dos usuários finais, assegura o valor e a qualidade dos entregáveis dos projetos, e maximiza sua contribuição ao programa de investimentos de TI. O objetivo deste processo é assegurar que os resultados dos projetos sejam entregues dentro do prazo acordado, no orçamento definido e com a qualidade necessária. Objetivos de controle do processo P010: PO10.1 – Framework de gerenciamento de programas PO10.2 – Framework de gerenciamento de projetos

Page 77: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

77

PO10.3 – Abordagem de gerenciamento de projetos PO10.4 – Comprometimento das Partes Interessadas PO10.5 – Declaração do escopo dos projetos PO10.6 – Fase de iniciação dos projetos PO10.7 – Plano integrado de projetos PO10.8 – Recursos dos projetos PO10.9 – Gerenciamento de riscos dos projetos PO10.10 – Plano de qualidade dos projetos PO10.11 – Controle de mudanças dos projetos PO10.12 – Planejamento de métodos de segurança dos projetos PO10.13 – Medição de performance, relatórios e monitoramento de

projetos PO10.14 – Encerramento dos projetos

É importante observar que o COBIT se integra perfeitamente com padrões mais detalhados para o gerenciamento de projetos, como o PMBOK ou PRINCE2. Este processo é medido por:

Percentual de projetos atendendo as expectativas das partes interessadas (no prazo, no orçamento e atendendo aos requisitos – por importância);

Percentual de projetos que recebem revisão pós-implementação;

Percentual de projetos que estão seguindo os práticas e padrões para gerenciamento de projetos.

Page 78: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

78

ADQUIRIR E IMPLEMENTAR

Descrição do Processo Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo;

Critérios de informação aplicados ao processo;

Uma declaração genérica de ações para um gerenciamento mínimo de boas práticas para assegurar que o - processo seja mantido sob controle;

Principais indicadores de performance;

Recursos de TI envolvidos;

Objetivos de controle detalhados;

Diretrizes de gerenciamento: o Entradas e processos

de origem o Saídas e processos de

destino

Matriz de responsabilidades (RACI);

Objetivos e métricas;

Modelo de maturidade.

Page 79: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

79

Adquirir e implementar (AI) Os processos do domínio “Adquirir e Implementar” são: AI1. Identificar soluções

automatizadas AI2. Adquirir e manter software

aplicativo AI3. Adquirir e manter infraestrutura

tecnológica AI4. Habilitar operação e uso AI5. Obtenção de recursos de TI AI6. Gerenciar mudanças AI7. Instalar e validar soluções e mudanças

AI1 – Identificar Soluções Automatizadas Estabelece quatro objetivos de controle. A necessidade para uma nova aplicação ou funções requer análise antes da aquisição ou criação para assegurar que os requisitos de negócio sejam satisfeitos em uma abordagem efetiva e eficiente. Este processo cobre a definição das necessidades, consideração das fontes alternativas, revisão da viabilidade tecnológica e econômica, e conclusão da decisão final sobre fazer ou comprar. Todos estes passos habilitam as organizações a minimizar os custos para adquirir e implementar soluções enquanto assegura que estas habilitam que o negócio possa alcançar seus objetivos. O objetivo deste processo é traduzir as funcionalidades do negócio e requisitos de controles em um design efetivo e eficiente de soluções automatizadas.

Page 80: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

80

Objetivos de controle do processo AI1: AI1.1 – Definição e manutenção do funcionamento do negócio e

requisitos técnicos AI1.2 – Relatório de análise de riscos AI1.3 – Estudo de viabilidade e formulação de cursos de ação

alternativos AI1.4 – Aprovação de estudos de viabilidade e requisitos

Este processo é medido por:

Número de projetos cujos objetivos estabelecidos não foram atingidos em função de estudos de viabilidade incorretos;

Percentual de estudos de viabilidade assinados pelos proprietários dos processos de negócio;

Percentual de usuários satisfeitos com as funcionalidades entregues.

AI2 – Adquirir e Manter Software Aplicativo Estabelece dez objetivos de controle. Aplicações são colocadas disponíveis em alinhamento com os requisitos de negócio. Este processo cobre o projeto das aplicações, a inclusão apropriada de controles de aplicação e requisitos de segurança, e o desenvolvimento e configuração alinhados com padronizações. Isto permite que a organização possa suportar a operação do negócio de maneira apropriada e com as aplicações corretas automatizadas. O objetivo deste processo é alinhar as aplicações disponíveis com os requisitos de negócio, e fazer isso no tempo adequado e com um custo razoável. Objetivos de controle do processo AI2:

Page 81: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

81

AI2.1 – Design de alto nível AI2.2 – Design detalhado AI2.3 – Controle e auditabilidade de aplicativos AI2.4 – Segurança e disponibilidade de aplicativos AI2.5 – Configuração e implementação de software aplicativo

adquirido AI2.6 – Major upgrades em sistemas existentes AI2.7 – Desenvolvimento de software aplicativo AI2.8 – Controle de qualidade de software AI2.9 – Gerenciamento de requisitos de aplicativos AI2.10 – Manutenção de software aplicativo

Este processo é medido por:

Número de problemas em ambiente de produção, por aplicação, causando downtime visível;

Percentual de usuários satisfeitos com as funcionalidades entregues.

AI3 – Adquirir e Manter Infraestrutura Tecnológica Estabelece quatro objetivos de controle. As organizações tem processos para aquisição, implementação e atualizações da infraestrutura tecnológica. Isto requer um abordagem planejada para aquisição, manutenção e proteção da infraestrutura alinhados com estratégias tecnológicas acordadas e com o provisionamento de ambientes de desenvolvimento e testes. Isto assegura que há suporte tecnológico no dia-a-dia para as aplicações do negócio. O objetivo deste processo é adquirir e manter uma infraestrutura de TI integrada e padronizada.

Page 82: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

82

Objetivos de controle do processo AI3: AI3.1 – Plano de aquisição da infraestrutura tecnológica AI3.2 – Disponibilidade e proteção de recursos da infraestrutura AI3.3 – Manutenção da infraestrutura AI3.4 – Viabilidade do ambiente de testes

Este processo é medido por:

Percentual de plataformas que não estão alinhadas com a arquitetura de TI e padrões tecnológicos;

Número de processos críticos de negócio suportados por infraestrutura obsoleta (ou que vai ficar obsoleta em curto prazo);

Número de componentes da infraestrutura que não tem mas suporte (ou que não terão mais em curto prazo).

AI4 – Habilitar Operação e Uso Estabelece quatro objetivos de controle. O conhecimento sobre sistemas novos deve estar disponível. Este processo demanda a produção de documentação e manuais para usuários e a própria TI, e oferece treinamento para assegurar o uso apropriado e a operação das aplicações e de infraestrutura. O processo visa assegurar a satisfação dos usuários finais em relação a oferta de serviços e respectivos níveis e integrando continuamente as aplicações e soluções tecnológicas aos processos de negócio. Objetivos de controle do processo AI4: AI4.1 – Planejamento para soluções operacionais AI4.2 – Transferência de conhecimento para as gerências de negócio AI4.3 – Transferência de conhecimento para usuários finais

Page 83: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

83

AI4.4 – Transferência de conhecimento para operação e equipes de suporte

Este processo é medido por:

Número de aplicações onde os procedimentos de TI são continuamente integrados aos processos de negócio;

Percentual de proprietários de negócio satisfeitos com o treinamento de aplicativos e materiais de suporte;

Número de aplicativos com usuários adequados e treinamento de suporte operacional.

AI5 – Obtenção de Recursos de TI Estabelece quatro objetivos de controle. Os recursos de TI, incluindo pessoas, hardware, software e serviços, precisão ser obtidos. Isto requer a definição e cumprimento de procedimentos de aquisição, a seleção de fornecedores, a definição de acordos contratuais, a aquisição propriamente dita. Fazer isso assegura que a organização tenha todos os recursos de TI requisitados no tempo apropriado e de uma maneira efetiva sob o ponto de vista de custos. Esta iniciativa vem ao encontro da necessidade de negócio em melhorar a eficiência financeira da TI e sua consequente contribuição para a lucratividade do negócio. Objetivos de controle do processo AI5: AI5.1 – Controle de aquisições AI5.2 – Gerenciamento de contratos de fornecedores AI5.3 – Seleção de fornecedores AI5.4 – Aquisição de recursos de TI

Page 84: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

84

Este processo é medido por:

Número de disputas relacionadas a contratos de compra;

Percentual de redução dos custos de aquisição;

Percentual de partes interessadas importantes que estão satisfeitos com os fornecedores.

AI6 – Gerenciar Mudanças Estabelece cinco objetivos de controle. Todas as mudanças, incluindo manutenção de emergência e aplicação de patches, relacionadas a infraestrutura e aplicações do ambiente de produção são formalmente gerenciadas de forma controlada. Mudanças, incluindo aquelas relacionadas a procedimentos, processos, sistemas e parâmetros de serviços, são registradas, avaliadas e autorizadas antes de sua implementação, e são revisadas em relação as saídas planejadas após a implementação. Isto assegura a mitigação de riscos de impacto negativo a estabilidade ou integridade do ambiente de produção. O objetivo deste processo é responder aos requisitos de negócio em alinhamento com a estratégia do negócio, reduzindo os defeitos na entrega de serviços e retrabalho. Objetivos de controle do processo AI6: AI6.1 – Padrões e procedimentos de mudança AI6.2 – Avaliação de impacto, priorização e autorização AI6.3 – Mudanças emergenciais AI6.4 – Acompanhamento de mudança de status e relatórios AI6.5 – Fechamento e documentação da mudança

Page 85: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

85

Este processo é medido por:

Número de interrupções ou erros de dados causados por especificação imprecisa ou avaliação de impacto imcompleta;

Volume de retrabalho em aplicações ou infraestrutura causado por especificações de mudanças inadequadas;

Percentual de mudanças que seguiram um processo formal de controle.

AI7 – Instalar e Validar Soluções e Mudanças Estabelece nove objetivos de controle. Novos sistemas devem ser colocados em operação após seu desenvolvimento estar completo. Isto requer testes adequados em um ambiente dedicado com dados relevantes para o propósito de testes, definição do plano de implementação e instruções para migração, planejamento da liberação para colocar o sistema em produção, e inclui também uma revisão pós-implementação. Isto assegura que os sistemas estejam disponíveis de maneira alinhada com as saídas e expectativas previamente acordadas com as áreas de negócio da empresa. O foco principal deste objetivo de controle é assegurar que a implementação de novos sistemas ou de mudanças ocorra sem causar grandes impactos ou problemas após a instalação. Objetivos de controle do processo AI7: AI7.1 – Treinamento AI7.2 – Plano de testes AI7.3 – Plano de Implementação AI7.4 – Ambiente de testes

Page 86: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

86

AI7.5 – Conversão de sistemas e dados AI7.6 – Testes das mudanças AI7.7 – Teste de aceitação final AI7.8 – Promoção para produção AI7.9 – Revisão pós-implementação

Este processo é medido por:

Volume de downtime de aplicações ou número de correções nos dados causadas em função de testes inadequados;

Percentual de sistemas que atendem aos benefícios esperados quando medidos por meio do processo de revisão pós-implementação;

Percentual de projetos com plano de testes documentado e aprovado.

Page 87: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

87

ENTREGAR E SUPORTAR

Descrição do Processo Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo;

Critérios de informação aplicados ao processo;

Uma declaração genérica de ações para um gerenciamento mínimo de boas práticas para assegurar que o - processo seja mantido sob controle;

Principais indicadores de performance;

Recursos de TI envolvidos;

Objetivos de controle detalhados;

Diretrizes de gerenciamento: o Entradas e processos

de origem o Saídas e processos de

destino

Matriz de responsabilidades (RACI);

Objetivos e métricas;

Modelo de maturidade.

Page 88: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

88

Entregar e suportar (DS) Os processos do domínio entregar e suportar são: DS1. Definir e gerenciar níveis de

serviço DS2. Gerenciar serviços de terceiros DS3. Gerenciar performance e

capacidade DS4. Garantir a continuidade dos

serviços DS5. Garantir a segurança dos

sistemas DS6. Identificar e alocar custos DS7. Educar e treinar usuários DS8. Gerenciar a central de serviços

e incidentes DS9. Gerenciar a configuração DS10. Gerenciar problemas DS11. Gerenciar dados DS12. Gerenciar os ambientes físicos DS13. Gerenciar operações

DS1 – Definir e Gerenciar Níveis de Serviço Estabelece seis objetivos de controle. Trata-se da comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação aos serviços requeridos, é habilitado através da documentação e o acordo de serviços da TI e níveis de serviços. Este processo também inclui o monitoramento e o reporte em tempo adequado para as partes interessadas sobre o cumprimento dos níveis de serviços.

Page 89: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

89

Este processo habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados. O objetivo é assegurar o alinhamento dos principais serviços de TI com a estratégia do negócio. Objetivos de controle do processo DS1: DS1.1 – Framework de gerenciamento de nível de serviço DS1.2 – Definição dos serviços DS1.3 – Acordos de nível de serviço DS1.4 – Acordos de nível operacional DS1.5 – Monitoramento e reporte sobre os níveis de serviço

alcançados DS1.6 – Revisão dos acordos de nível de serviço e contratos

Este processo é medido por:

Percentual de partes interessadas do negócio que estão satisfeitos com o alcance dos níveis de serviço acordados;

Número de serviços entregues que não constam no catálogo de serviços;

Número de reuniões por ano para revisão formal dos níveis de serviço realizadas com os clientes do negócio.

DS2 – Gerenciar Serviços de Terceiros Estabelece quatro objetivos de controle. A necessidade de assegurar que serviços providos por terceiros atendam aos requisitos do negócio requer um processo efetivo de gerenciamento de terceiros.

Page 90: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

90

Este processo é efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, assim como revisão e monitoramento destes acordos para efetividade e conformidade. O gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio associados com fornecedores sem a performance necessária ou adequada. O objetivo deste processo é assegurar que terceiros possam prover serviços satisfatórios mantendo a transparência sobre os benefícios, custos e riscos. Objetivos de controle do processo DS2: DS2.1 – Identificação de todos os relacionamentos com fornecedores DS2.2 – Gerenciar o relacionamento com fornecedores DS2.3 – Gerenciar risco dos fornecedores DS2.4 – Monitorar a performance dos fornecedores

Este processo é medido por:

Número de reclamações de usuários sobre os serviços contratados.

Percentual de fornecedores estratégicos alcançando requisitos e níveis de serviço claramente definidos;

Percentual de fornecedores estratégicos sujeitos a monitoramento.

DS3 – Gerenciar Performance e Capacidade Estabelece cinco objetivos de controle. A necessidade de gerenciar performance e capacidade dos recursos de TI requer um processo para rever periodicamente a performance e capacidade atual dos recurso s de TI. Este processo inclui a previsão da capacidade futura baseado em requisitos de carga, armazenamento e contingência.

Page 91: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

91

Este processo assegura que recursos de informação que suportam requisitos de negócio estejam disponíveis continuamente. O objetivo deste processo é otimizar a performance da infraestrutura de TI, recursos e capacidades em resposta as necessidades de negócio. Objetivos de controle do processo DS3: DS3.1 – Planejamento de performance e capacidade DS3.2 – Performance e capacidade atual DS3.3 – Performance e capacidade futura DS3.4 – Disponibilidade dos recursos de TI DS3.5 – Monitoramento e relatórios

Este processo é medido por:

Número de horas perdidas por usuário/por mês em função de um planejamento de capacidade insufuciente;

Percentual de picos onde a utilização prevista é excedida;

Percentual de tempo de resposta não alcançado nos acordos de nível de serviço.

DS4 – Garantir a Continuidade dos Serviços Estabelece dez objetivos de controle. A necessidade de prover serviços de TI de maneira contínua requer o desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI, utilizando armazenamento externo de backups e proporcionando treinamento periódico sobre os planos de continuidade. Um processo efetivo de serviços contínuos minimiza a probabilidade de impacto, para os processos e funções do negócio, causado por uma interrupção significativa nos serviços de TI (desastre).

Page 92: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

92

O objetivo deste processo é assegurar o mínimo impacto para o negócio em função de eventos que venham interromper os serviços de TI por focar na construção de resiliência das soluções automatizadas e no desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI. Objetivos de controle do processo DS4: DS4.1 – Framework de continuidade de TI DS4.2 – Plano de continuidade de TI DS4.3 – Recursos críticos de TI DS4.4 – Manutenção do plano de continuidade de TI DS4.5 – Teste do plano de continuidade de TI DS4.6 – Treinamento do plano de continuidade de TI DS4.7 – Distribuição do plano de continuidade de TI DS4.8 – Recuperação e retomada dos serviços de TI DS4.9 – Armazenamento externo de backup DS4.10 – Revisão pós-retomada

Este processo é medido por:

Número de horas perdidas por usuário/por mês em função de falhas não planejadas;

Número de processos críticos para o negócio dependentes de recursos de TI que não estão cobertos por um plano de continuidade.

DS5 – Garantir a Segurança dos Sistemas Estabelece onze objetivos de controle. A necessidade de manter a integridade da informação e proteger os ativos da TI requer um processo de gerenciamento de segurança. Este processo inclui de estabelecer e manter papeis e responsabilidades, políticas, padrões e procedimentos da segurança de TI. O gerenciamento da

Page 93: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

93

segurança também inclui realizar monitoramento da segurança, testes periódicos e implementar ações corretivas ao identificar fraquezas ou incidentes de segurança. Um gerenciamento efetivo de segurança protege todos os ativos da TI para minimizar o impacto sobre o negócio sobre vulnerabilidades e incidentes de segurança. O objetivo deste processo é manter a integridade da informação e sua infraestrutura de processamento, e minimizar o impacto de vulnerabilidades e incidentes de segurança. Objetivos de controle do processo DS5: DS5.1 – Gerenciamento da segurança de TI DS5.2 – Plano de segurança de TI DS5.3 – Gerenciamento de identidade DS5.4 – Gerenciamento de contas de usuários DS5.5 – Testes de segurança, fiscalização e monitoramento DS5.6 – Definição de incidentes de segurança DS5.7 – Proteção da tecnologia de segurança DS5.8 – Gerenciamento de chaves de criptografia DS5.9 – Prevenção, detecção e correção de SW malicioso DS5.10 – Segurança de redes DS5.11 – Troca de dados importantes

Este processo é medido por:

Número de incidentes que afetaram a reputação da organização no mercado;

Número de sistemas onde os requisitos de segurança não são alcançados;

Número de violações em segregação de papéis.

Page 94: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

94

DS6 – Identificar e Alocar Custos Estabelece quatro objetivos de controle. A necessidade para um sistema justo e imparcial de alocação de custos para o negócio requer a medição exata de custos da TI e acordos com usuários de negócio para uma alocação correta. Este processo inclui a criação e operação de um sistema de captura, alocação e reporte dos custos da TI para os usuários de serviços. Um sistema justo de alocação habilita o negócio a tomar decisões com consciência sobre o custo do uso de serviços de TI. O objetivo deste processo é assegurar transparência e entendimento dos custos de TI e melhorar a eficiência por meio de uso consciente do serviços de TI. Objetivos de controle do processo DS6: DS6.1 – Definição dos serviços DS6.2 – Contabilidade de TI DS6.3 – Modelos de custos e cobranças DS6.4 – Manutenção do modelo de custos

Este processo é medido por:

Percentual de contas referentes ao serviços de TI aceitas/pagas pelos gerentes de negócio;

Percentual de variação entre orçamento, previsão e custo atual;

Percentual dos custos gerais de TI que são alocados de acordo com os modelos de custos acordados.

Page 95: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

95

DS7 – Educar e Treinar Usuários Estabelece três objetivos de controle. A educação efetiva de todos os usuários de sistemas de TI, incluindo aqueles dentro da TI, requer a identificação das necessidades de treinamento de cada grupo. Além da identificação da necessidade, este processo inclui a definição e execução de uma estratégia para um treinamento efetivo e medição de resultados. Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade e aumenta a conformidade com controles chaves, tais como as medidas de segurança para usuários. O objetivo deste processo é usar as aplicações e soluções tecnológicas de maneira eficiente e eficaz, garantindo a aderência dos usuários com políticas e procedimentos. Objetivos de controle do processo DS7: DS7.1 – Identificação de necessidade de educação e treinamento DS7.2 – Entrega de treinamento e educação DS7.3 – Avaliação do treinamento recebido

Este processo é medido por:

Número de chamados na central de serviços em função de falta de treinamento dos usuários;

Percentual de satisfação das partes interessadas com o treinamento oferecido;

Tempo decorrido entre a identificação de uma necessidade de treinamento e a entrega do mesmo.

Page 96: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

96

DS8 – Gerenciar Central de Serviços e Incidentes Estabelece cinco objetivos de controle. Respostas efetivas e no tempo adequado para as perguntas e problemas dos usuários da TI requerem uma central de serviços bem desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclui a implementação da função da central de serviços com registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O benefício para o negócio inclui um aumento de produtividade por meio da rápida resolução das perguntas dos usuários. Além disso, o negócio pode endereçar causas raiz por meio de relatórios efetivos. O objetivo deste processo é habilitar o uso efetivo dos sistemas de TI assegurando a resolução e análise das solicitações, questões e incidentes reportados por usuários finais. Objetivos de controle do processo DS8: DS8.1 – Central de serviços DS8.2 – Registro das solicitações dos usuários DS8.3 – Escalação de incidentes DS8.4 – Fechamento de incidentes DS8.5 – Relatório e análises de tendência

Este processo é medido por:

Volume de usuários satisfeitos com o suporte de primeiro nível;

Percentual de incidentes resolvidos dentro do tempo acordado ou em um período aceitável;

Taxa de abandono de ligações.

Page 97: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

97

DS9 – Gerenciar a Configuração Estabelece três objetivos de controle. Assegurar a integridade da configuração de hardware e software requer estabelecer e manter um preciso e completo repositório da configuração. Este processo inclui a coleta inicial de informação sobre a configuração, estabelecer bases de referência, verificar e auditar a informação da configuração e atualizar o repositório da configuração quando necessário. O gerenciamento efetivo da configuração facilita a maior disponibilidade do sistema, minimiza problemas no ambiente de produção e ajuda a resolver estes problemas com maior rapidez. O objetivo deste processo é otimizar a infraestrutura de TI, recursos e capacidades, e a responsabilidade sobre os ativos de TI. Objetivos de controle do processo DS9: DS9.1 – Repositório de configuração e referência DS9.2 – Identificação e manutenção de itens de configuração DS9.3 – Revisão da integridade da configuração

Este processo é medido por:

Número de não conformidades de negócio causadas por configuração inapropriada dos ativos;

Número de divergências identificadas entre o repositório de configuração e a configuração atual dos ativos;

Percentual de licenças adquiridas e não contabilizadas no repositório.

DS10 – Gerenciar Problemas Estabelece quatro objetivos de controle.

Page 98: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

98

Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, análise da causa raiz e resolução de problemas. O processo do gerenciamento de problemas também inclui a identificação de recomendações para melhorar a manutenção de registros de problemas e revisar o status de ações corretivas. Um processo do gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação do cliente. O objetivo deste processo é assegurar a satisfação do usuário final com a oferta de serviços e níveis de serviço, e reduzindo a necessidade de busca por soluções, de entrega de serviços com defeito e retrabalho. Objetivos de controle do processo DS10: DS10.1 – Identificação e classificação de problemas DS10.2 – Acompanhamento de problemas e resoluções DS10.3 – Fechamento de problemas DS10.4 – Integração do gerenciamento de configuração, incidentes e

problemas Este processo é medido por:

Número de problemas recorrentes com impacto para o negócio;

Percentual de problemas resolvidos dentro do tempo requerido;

Frequência de relatórios ou atualizações sobre o tratamento do problemas, baseado na severidade.

DS11 – Gerenciar Dados Estabelece seis objetivos de controle O gerenciamento efetivo de dados requer a identificação de requisitos para os dados.

Page 99: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

99

O processo de gerenciamento de dados também inclui estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e disponibilizar mídias apropriadas. Um gerenciamento efetivo de dados ajuda a assegurar a qualidade, oportunidade e disponibilidade de dados para o negócio. O objetivo deste processo é otimizar o uso de informação e assegurar que a informação esteja disponível quando requerido. Objetivos de controle do processo DS11: DS11.1 – Requisitos de negócio para o gerenciamento de dados DS11.2 – Providências para retenção e armazenamento DS11.3 – Sistema de gerenciamento de biblioteca de mídias DS11.4 – Descarte DS11.5 – Backup e restauração DS11.6 – Requisitos de segurança para gerenciamento de dados

Este processo é medido por:

Percentual de usuários satisfeitos com a disponibilidade dos dados;

Percentual de restaurações de dados realizadas com sucesso;

Número de incidentes nos quais dados importantes foram recuperados após a mídia ter sido descartada.

DS12 – Gerenciar os Ambientes Físicos Estabelece cinco objetivos de controle. A proteção dos equipamentos de computação e pessoal requer instalações bem desenhadas e bem gerenciadas.

Page 100: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

100

O processo de gerenciar o ambiente físico inclui definir os requisitos do ambiente físico, seleção de instalações apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso físico. Um gerenciamento efetivo do ambiente físico reduz interrupções no negócio em função de danos causados nos equipamentos de computação e no pessoal. O objetivo deste processo é proteger ativos e dados do negócio e minimizar o risco de interrupção do negócio. Objetivos de controle do processo DS12: DS12.1 – Seleção de local e layout DS12.2 – Medidas de segurança física DS12.3 – Acesso físico DS12.4 – Proteção contra fatores ambientais DS12.5 – Gerenciamento das instalações físicas

Este processo é medido por:

Volume de downtime gerado por incidentes de falhas físicas no ambiente;

Número de incidentes causados por brechas ou falhas de segurança física;

Frequência de avaliação de riscos físicos e revisões.

DS13 – Gerenciar Operações Estabelece cinco objetivos de controle. O processamento completo e exato de dados requer um gerenciamento efetivo do processamento e a manutenção do hardware.

Page 101: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

101

Este processo inclui a definição de políticas e procedimentos operacionais para um gerenciamento efetivo da programação do processamento, proteção de saídas importantes, monitoramento da infraestrutura e manutenção preventiva de hardware. Um gerenciamento efetivo da operação ajuda a manter a integridade dos dados e reduz atrasos no negócio e custos da operação da TI. O objetivo deste processo é a manutenção da Integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas. Objetivos de controle do processo DS13: DS13.1 – Procedimentos e instruções operacionais DS13.2 – Agendamento de trabalhos DS13.3 – Monitoramento da infraestrutura de TI DS13.4 – Documentos importantes e dispositivos de saída DS13.5 – Manutenção preventiva de hardware

Este processo é medido por:

Número de níveis de serviço impactados por incidentes operacionais;

Horas de downtime não plenejado causados por incidentes operacionais;

Percentual de ativos de hardware incluídos em agendas de manutenção preventiva.

Page 102: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

102

MONITORAR E AVALIAR

Descrição do Processo Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo;

Critérios de informação aplicados ao processo;

Uma declaração genérica de ações para um gerenciamento mínimo de boas práticas para assegurar que o - processo seja mantido sob controle;

Principais indicadores de performance;

Recursos de TI envolvidos;

Objetivos de controle detalhados;

Diretrizes de gerenciamento: o Entradas e processos

de origem o Saídas e processos de

destino

Matriz de responsabilidades (RACI);

Objetivos e métricas;

Modelo de maturidade.

Page 103: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

103

Monitorar e Avaliar (ME) Os processos do domínio “Monitorar e Avaliar” são: ME1. Monitorar e avaliar a perfor-

mance da TI ME2. Monitorar e avaliar controles

internos ME3. Assegurar aderência com

requisitos externos ME4. Prover governança de TI

ME1 – Monitorar e Avaliar a Performance da TI Estabelece seis objetivos de controle. O gerenciamento efetivo da performance da TI requer um processo de monitoramento. Este processo inclui definir indicadores de performance relevantes, relatórios sistemáticos e no tempo adequado sobre questões de performance e ações tomadas em relação a desvios. O monitoramento é necessário para ter certeza que as coisas corretas estão sendo feitas e estão alinhadas com o direcionamento e políticas estabelecidas. O objetivo deste processo é obter transparência e entendimento sobre os custos de TI, benefícios, estratégias, políticas e níveis de serviço de acordo com os requisitos de governança. Objetivos de controle do processo ME1:

Page 104: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

104

ME1.1 – Abordagem de monitoramento ME1.2 – Definição e coleções de dados de monitoramento ME1.3 – Métodos de monitoramento ME1.4 – Avaliação da performance ME1.5 – Relatórios para a alta administração e executivos ME1.6 – Ações corretivas

Este processo é medido por:

Satisfação da alta administração e da entidade de governança em relação aos relatórios de performance;

Número de ações de melhoria iniciadas em função das atividades de monitoramento;

Percentual de processos críticos monitorados.

ME2 – Monitorar e Avaliar Controles Internos Estabelece sete objetivos de controle. Estabelecer um programa efetivo de controle interno para a TI requer um processo de monitoração bem definido. Este processo inclui monitor e reportar exceções de controle, resultados da auto-avaliação e revisão de terceiros. Um benefício importante do monitoramento de controles internos é fornecer segurança relacionada à eficiência e eficácia das operações e conformidade com leis e regulamentos aplicáveis. O objetivo deste processo é proteger o cumprimento dos objetivos de TI e estar aderente a legislação, regulamentação ou contratos relacionados com a TI. Objetivos de controle do processo ME2:

Page 105: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

105

ME2.1 – Framework de monitoramento de controles internos ME2.2 – Revisão de supervisão ME2.3 – Controle de exceções ME2.4 – Controle de autoavaliação ME2.5 – Segurança de controles internos ME2.6 – Controles internos de terceiros ME2.7 – Ações corretivas

Este processo é medido por:

Número de brechas graves nos controles internos;

Número de iniciativas para melhoria dos controles;

Número e cobertura da auto-avaliação de controles.

ME3 – Assegurar Aderência com Requisitos Externos Estabelece cinco objetivos de controle. Uma vigilância regulatória efetiva requer o estabelecimento de um processo de revisão para assegurar a conformidade com leis, regulamentos e requisitos contratuais. Este processo inclui a identificação de requisitos regulatórios, otimização e avaliação da respostas, obtenção de certeza de que os requisitos foram atendidos e, finalmente, a integração dos relatórios de conformidade da TI com o restante do negócio. O objetivo deste processo é assegurar a conformidade com leis, regulamentação e requisitos contratuais. Objetivos de controle do processo ME3: ME3.1 – Identificação de requisitos externos de conformidade com

legislação, regulamentação e contratuais ME3.2 – Otimização das respostas aos requisitos externos

Page 106: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

106

ME3.3 – Avaliação de conformidade com os requisitos externos ME3.4 – Validação positiva de conformidade ME3.5 – Relatórios integrados

Este processo é medido por:

Custo da não conformidade, incluindo acordos e multas;

Tempo médio decorrido entre a identificação e resolução de problemas externos de conformidade;

Frequência de revisões de conformidade.

ME4 – Prover Governança de TI Estabelece sete objetivos de controle. Estabelecer um framework efetivo de governança inclui definir a estrutura organizacional, processos, liderança, papéis e responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e entregues em acordo com a estratégia e objetivos corporativos. O objetivo deste processo é integrar a governança de TI com os objetivos da governança corporativa e cumprir com as leis, regulamentação e contratos vigentes. Objetivos de controle do processo ME4: ME4.1 – Estabelecimento de um framework de governança de TI ME4.2 – Alinhamento estratégico ME4.3 – Entrega de valor ME4.4 – Gerenciamento de recursos ME4.5 – Gerenciamento de riscos ME4.6 – Avaliação de performance ME4.7 – Auditoria independente

Este processo é medido por:

Page 107: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

107

Frequência de relatórios sobre TI emitidos da alta-administração para partes interessadas (incluindo maturidade);

Frequência de relatórios sobre TI emitidos da TI para a alta-administração (incluindo maturidade);

Frequência de revisões independentes (auditorias) sobre a conformidade de TI.

Page 108: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

108

FAMÍLIA DE PRODUTOS DO COBIT A ISACA disponibiliza uma série de produtos complementares ao COBIT, porém, dentre eles há 5 produtos que se destacam e é importante que você tenha conhecimento sobre como utilizar, e quais os benefícios que cada um deles traz. Recomendamos que dedique alguns minutos navegando pelo site da ISACA em Isaca com o objetivo de pesquisar um pouco mais sobre cada produto. Esta dica é válida especialmente se você estiver interessado em fazer o exame de certificação em COBIT Foundations: Algumas questões da prova podem ser sobre produtos específicos de modo que torna-se importante que você tenham uma visão geral sobre cada um deles. A seguir será apresentado uma relação dos principais produtos.

COBIT Online O COBIT on line apresenta informações sobre o COBIT via internet. Restrito a assinantes (serviço pago), ele possibilita que os usuários naveguem, façam pesquisas, compartilhem ou tirem proveito de uma base de conhecimento sobre o assunto. Por meio deste recurso o assinante pode ter acesso a inúmeros arquivos para download, pode comparar o desempenho de sua empresa com outras do mesmo segmento no mercado, por meio de benchmarking, tem acesso a questionários para avaliação, além é claro, de ter acesso a toda a comunidade para trocar experiências com outros usuários. O COBIT on line provê acesso rápido e fácil a todos os recursos do COBIT, por meio do recurso MyCOBIT é possível construir e efetuar o download de sua

Page 109: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

109

própria versão (customizada) do COBIT para uso com o Word ou Access já com os modelos de avaliação.

COBIT Quickstart O COBIT Quickstart foi especialmente projetado para dar assistência a uma adoção rápida e fácil dos elementos essenciais do COBIT. Trata-se de uma versão compactada dos recursos do COBIT com foco no processos mais críticos de TI, seus objetivos de controle e métricas. O COBIT Quickstart pode ser visto como uma linha de referência para que empresas pequenas e médias, mas ao mesmo tempo também é de utilidade para grandes organizações como um acelerador na adoção de melhores práticas de governança de TI.

Guia de Implementação de Governança de TI A ISACA afirma, por meio de seu folder de produtos, que um dos principais objetivos de se adotar melhores práticas é evitar a reinvenção da roda! Partindo deste princípio, entende-se que adotar melhores práticas em governança de TI só será possível se sua implementação for efetiva e eficiente. Assim, o guia de implementação de governança de TI oferece um roadmap e direcionamento sobre os processo de como implementar governança de TI utilizado o COBIT, visando assegurar e mensurar o valor agregado em relação aos investimentos realizados em TI. Trata-se de um kit com modelos extremamente úteis, ferramentas de diagnóstico e técnicas para relatórios que auxiliam na adoção do framework de governança baseado no COBIT, oferecendo um modelo genérico que

Page 110: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

110

permite estabelecer um plano de ação para adaptá-lo às necessidades da sua empresa.

COBIT Security Baseline Este produto é visto como um kit básico de sobrevivência para diretores, executivos, gerentes, usuários profissionais e domésticos, relacionado a segurança da informação. Trata-se de uma publicação focada em riscos de segurança de uma maneira simples de seguir e implementar para qualquer pessoa, desde um usuário doméstico até executivos e conselheiros de grandes organizações. Ele oferece uma introdução a segurança da informação e esclarecimentos de porque isso é importante. Esta publicação foi criada com base na norma ISO 17799, e também oferece um sumário técnico dos principais riscos de segurança.

Val IT Esta publicação foca na governança dos investimento de TI, e naturalmente é baseado no framework do COBIT. Ele oferece direcionamento para gerenciar os investimentos no portfólio de TI da organização. Trata-se de um recurso que complementa o COBIT com uma perspectiva de negócio e financeira de modo que é bastante útil para quem tiver interesse em obter o melhor retorno possível da TI.

Page 111: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

111

EXAME DE CERTIFICAÇÃO

Situação do mercado atual (2008 a 2012) A necessidade de governança corporativa e a melhor gestão dos serviços de TI geram no mercado uma demanda para profissionais devidamente qualificados na área, especificamente aqueles com qualificação e certificação em COBIT e ITIL para a gestão de TI. O mercado está tão carente de profissionais qualificados que estudos indicam que a maioria das instituições especializadas em treinamento na área de TI registraram no em 2009 um aumento de cerca de 75% na procura por cursos de especialização nestes assuntos. Dentre as principais exigências das empresas na hora da seleção e contratação de profissionais para a área de TI é que o candidato seja altamente qualificado. E mesmo para aqueles que já ocupam seu lugar ao sol, a qualificação é fundamental para manutenção da empregabilidade e até mesmo para estar apto a assumir novas responsabilidades. Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC), um profissional certificado tem 53% a mais de chances de conseguir um emprego em relação aos profissionais que não possuem este título. Este índice pode ser ainda mais elevado de acordo com o tipo de certificação que o profissional possui. Além disso, o salário de profissionais certificados gira em torno de 10 a 100% a mais do que a média que o mercado paga aos profissionais não certificados. Portanto, cada vez mais os recrutadores estão familiarizados com o perfil, competências e habilidades que cada certificação proporciona ao candidato a emprego, de modo que torna o processo de recrutamento e seleção mais simples, com menos riscos e custos, ou seja, extremamente atrativo para as empresas.

Page 112: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

112

COBIT Foundations O exame para certificação COBIT Foundations tem 1 hora de duração e é composto por 40 questões de multipla escolha, onde você deve obter pelo menos 70% de aproveitamento (28 questões) para obter a aprovação no exame. O exame no idioma inglês pode ser adquirido via internet no site da COBIT Campus, por meio de um cartão de crédito internacional, e poderá ser realizado em qualquer local com conexão via Internet. O investimento é de US$ 120,00 para a prova em Inglês adquirida pelo site da COBIT Campus. Não há limite de tentativas. O exame é feito via internet e você fica sabendo se foi aprovado imediatamente após clicar para enviar suas respostas. Para isso, será necessário preencher alguns formulários com seus dados e indicando quem será o seu proctor, ou seja, a pessoa que vai acompanhar você no momento do exame para assegurar que este seja realizado dentro dos padrões exigidos para aprovação e obtenção do certificado. É possível fazer o exame em português, no entanto, este é distribuído exclusivamente para parceiros da IT Preneurs. No Brasil, a empresa IT Partners oferece o exame em português por meio de suas instalações em São Paulo e Brasília. Ao final do exame o seu proctor preencherá o relatório e enviá-lo para a ISACA. Caso você seja aprovado no exame, a ISACA enviará a você um certificado impresso, por correio. O certificado normalmente é recebido dentro de 40 dias e é emitido automaticamente caso você seja aprovado.

Fatores Críticos de Sucesso Este curso foi estruturado de maneira que você construa uma sólida base de conhecimento sobre o COBIT, onde a compreensão de todos os conceitos apresentados visa dar a você condições de aplicá-los em seu dia-a-dia.

Page 113: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

113

Como consequência você estará com boas condições para prestar o exame de certificação. Você pode avaliar seu desempenho por meio dos resultados nos simulados apresentados no último capítulo deste curso. Estude o framework do COBIT 4.1 e o Val IT, navegue pelo site do ISACA, pratique nos simulados e reveja o nosso material quantas vezes forem necessárias! Importante: As dicas apresentadas tem a finalidade de orientar os alunos interessados em prestar o exame de certificação. A Fundação Bradesco não custeia o exame e não tem qualquer relacionamento com as empresas citadas.

Page 114: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

114

RESUMO

Resumo dos principais tópicos do curso Com o objetivo de fixar o conteúdo apresentado, a seguir temos um resumo dos pontos mais relevantes deste curso.

Governança de TI Trata-se de um conjunto de processos e estruturas com o objetivo de assegurar que a TI possa suportar adequadamente os objetivos e estratégias de negócio da organização, de modo a agregar valor real ao negócio, balancear riscos e, acima de tudo, obter retorno sobre os investimentos realizados em TI. É comum observar que empresas sem um bom modelo de governança de TI normalmente vê ou trata a organização de TI como um centro de custos, em vez de como um parceiro para realizar a estratégia do negócio. Membros do Conselho de Administração e Executivos das empresas são os responsáveis pela governança de TI.

Objetivo da Governança de TI O principal objetivo da governança de TI é proporcionar o alinhamento da organização da TI com as necessidades do negócio, atuais e futuras, oferecendo assim melhores condições para a tomada de decisão sobre os investimentos em tecnologia. O alinhamento com a estratégia da organização possibilita que a TI possa se posicionar de maneira a agregar valor aos produtos e serviços oferecidos pela empresa, auxilia no posicionamento competitivo, assegura que os recursos

Page 115: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

115

sejam utilizados da melhor forma possível, o que naturalmente implica na redução de custos e melhora da eficiência administrativa (excelência operacional).

Conceitos Básicos do CobiT

Trata-se de um framework de controle;

É uma base de conhecimento sobre os processos de TI e seu gerenciamento;

Trata-se de um modelo genérico de melhores práticas, devendo ser adaptado à realidade e objetivos de cada empresa;

Visa assegurar que os recursos de TI estejam alinhados com os objetivos da organização;

Parte da premissa de que a TI precisa entregar a informação que a empresa necessita para atingir seus objetivos;

Facilita a governança de TI de modo que esta possa realmente agregar valor ao negócio;

Traz um modelo de referência para a gestão de riscos em TI.

Componentes do COBIT (cubo do COBIT)

Processos de TI Agrupados em 4 domínios

Planejar e organizar

Adquirir e implementar

Entregar e suportar

Monitorar e avaliar o 34 processos e 210 objetivos de controle

Page 116: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

116

Recursos de TI

Aplicações

Informação

Infraestrutura

Pessoas (internos ou terceirizados)

Critérios de informação / Requisitos de negócio

Indicadores

Outcome Measures (Indicadores de Resultado) São os indicadores avaliados após a execução do processo. Indicam se o processo alcançou o resultado esperado, considerando inclusive os critérios de informação. Exemplo: na Fórmula 1, após o término de cada corrida normalmente se divulga a velocidade média e o tempo total de prova, de modo a tornar possível a comparação com corridas anteriores, no mesmo circuito.

Performance Indicators (Indicadores de Performance) São os indicadores avaliados durante a execução do processo, de modo que seja possível tomar medidas corretivas para assegurar que este alcance seu resultado.

Page 117: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

117

Exemplo: ainda na Fórmula 1, são os indicadores que representam o tempo que o piloto demora para percorrer cada parcial da pista, quanto tem de combustível, qual a temperatura e pressão de óleo do motor, velocidade máxima ao final da reta etc.

RACI e Maturidade

Matriz RACI A matriz RACI, do acrônimo em inglês Responsible, Accountable, Consulted e Informed, determina claramente qual o papel de cada envolvido com o processo, deixando claro as responsabilidades de cada um.

Modelos de Maturidade Os modelos de maturidade propostos pelo COBIT são derivados do mesmo conceito adotado no CMM, e são uma maneira de classificar a maturidade da empresa em relação a um determinado processo, fazer comparação com outras empresas no mercado (análise de gap), de modo que permite estabelecer planos de ação para alcançar a maturidade desejada, melhorando assim os resultados da TI e dos negócios que dependem da TI.

Informações

Diretrizes de auditoria Trata-se de um guia passo-a-passo compilado para ajudar auditores externos ou internos a avaliar a performance da organização. A estrutura para o processo de auditoria aceita no mercado normalmente compreende 4 estágios principais:

Page 118: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

118

Obtenção do entendimento dos riscos

Avaliação do controles determinados

Avaliação de conformidade (por meio de testes)

Substanciação dos riscos (dos objetivos de controle não atingidos)

Práticas de Controle Trata-se do como o do porque é importante adotar práticas de controle na administração, baseados na análise das operações e riscos da TI.

Produtos do COBIT

COBIT Online

COBIT Quickstart

Guia de implementação de governança de TI

COBIT Security Baseline

Val IT

Dica Importante Um ponto fundamental para decidir quais práticas de controle e governança de TI serão estabelecidas é a compreensão do risco e do custo de não fazer nada!

A equação da TI

Page 119: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

119

Encerramento Concluímos aqui o nosso curso de Fundamentos de COBIT. Buscamos apresentar os conceitos de maneira gradual e provocando até algumas repetições para melhor fixação do conteúdo. Se você vai buscar a certificação COBIT Foundations para ter isso como diferencial em seu currículo em relação a outros profissionais da área, recomendamos que você faça o download o COBIT e fique bastante familiarizado com a estrutura do mesmo. Além deste, é importante também avaliar o Val IT e conhecer toda a família de produtos do COBIT. Isso pode ser feito dedicando alguns minutos navegando nos sites da ISACA e do ITGI. Parabéns pela conclusão de mais um treinamento. Esperamos que o nosso curso possa ser útil ao seu dia-a-dia e desejamos boa sorte a você!

Page 120: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

120

GLOSSÁRIO

Balanced Scorecard Balanced Scorecard é uma metodologia de medição e gestão de desempenho desenvolvida pelos professores da Harvard Business School, Robert Kaplan e David Norton, em 1992. Os métodos usados na gestão do negócio, dos serviços e da infra-estrutura, baseiam-se normalmente em metodologias consagradas que podem utilizar a TI (tecnologia da informação) e os softwares de ERP como soluções de apoio, relacionando-a à gerência de serviços e garantia de resultados do negócio. Os passos dessas metodologias incluem: definição da estratégia empresarial, gerência do negócio, gerência de serviços e gestão da qualidade; passos estes implementados através de indicadores de desempenho.

COSO O COSO® (Committee of Sponsoring Organizations of the Treadway Commission) é uma organização privada criada nos EUA em 1985 para prevenir e evitar fraudes nas demonstrações contábeis da empresa. Inicialmente criada como National Commission on Fraudulent Financial Reporting (em português: Comissão Nacional sobre Fraudes em Relatórios Financeiros), essa comissão era formada por representantes das principais associações de classes de profissionais ligados à área financeira. O primeiro objeto de estudo da comissão foram os controles internos da empresas. Essa comissão posteriormente tornou-se um comitê e passou a se chamar COSO - Committee of Sponsoring Organizations of the Treadway Commission (em português: Comitê das Organizações Patrocinadoras). O COSO é uma organização sem fins lucrativos, dedicada a melhoria dos relatórios financeiros, sobretudo pela aplicação da ética e efetividade na aplicação e cumprimento dos controles internos e é patrocinado pela cinco

Page 121: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

121

das principais associações de classe de profissionais ligados à área financeira nos EUA. Em decorrência da globalização e padronização internacional das técnicas de auditoria, as recomendações da COSO, relativas ao controles internos, bem como seu cumprimento e observância, são amplamente praticados e tidos como modelo e referência no Brasil e na maioria dos países do mundo.

Eficiência Ação de boa qualidade, praticada corretamente, sem erros e orientada para a tarefa. Em outras palavras, diz respeito aos meios de se fazer bem certos processos, fazer certo um processo qualquer.

Eficácia Conceito relacionado à ideia de fazer as coisas de forma correta, atingindo resultados. Diz respeito aos objetivos propostos, ou seja, à relação entre os resultados propostos e os atingidos. Muito ligada à ideia de eficiência, que diz respeito a fazer as coisas da melhor maneira possível, fazer bem feito. Nesse sentido, eficiência é cavar um poço artesiano com perfeição técnica; já eficácia é encontrar a água.

ISO 20000 A ISO/IEC 20000 é a primeira norma editada pela ISO (International Organization for Standardization) que versa sobre gerenciamento de serviços de TI (Tecnologia da Informação).

Page 122: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

122

A ISO 20000 é um conjunto que define as melhores práticas de gerenciamento de serviços de TI. O seu desenvolvimento foi baseado na BS 15000 (British Standard) e tem a intenção de ser completamente compatível com o ITIL (Information Technology Infrastructure Library). A sua primeira edição ocorreu em Dezembro de 2005.

ISO 27001 ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é "ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de Segurança - Sistemas de Gerência da Segurança da Informação - Requisitos", mais conhecido como ISO 27001. Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

Page 123: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

123

�������� � ��� ����������������������������� ������������������������ ���� ����������� ����� ��� ����!�����"#� �� $����� ���%�

Page 124: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

124

ANEXO 2

Lei Sarbanes-Oxley Fonte: Wikipédia, a enciclopédia livre.

A Lei Sarbanes-Oxley (em inglês, Sarbanes-Oxley Act) é uma lei estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de Ohio). Motivada por escândalos financeiros coorporativos (dentre eles o da Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a fuga dos investidores causada pela aparente insegurança a respeito da governança adequada das empresas. A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas, incluindo ainda regras para a criação de comitês encarregados de supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando ocorrem, garantindo a transparência na gestão das empresas. Atualmente grandes empresas com operações financeiras no exterior seguem a lei Sarbanes-Oxley. A lei também afeta dezenas de empresas brasileiras que mantém ADRs (American Depositary Receipts) negociadas na NYSE, como a Petrobras, a GOL Linhas Aéreas, a Sabesp, a TAM Linhas Aéreas, a Brasil Telecom, a Ultrapar (Ultragaz), a Companhia Brasileira de Distribuição (Grupo Pão de Açúcar), o Banco Itaú e a Telemig Celular.

Page 125: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

125

Requisitos da Lei

1. Controlar a criação, edição e versionamento dos documentos em um ambiente de acordo com os padrões ISO, para controle de todos os documentos relativos à seção 404;

2. Cadastrar os riscos associados aos processos de negócios e armazenar os desenhos de processo;

3. Utilizar ferramentas como editor de texto e planilha eletrônica para criação e alteração dos documentos da seção 404;

4. Publicar em múltiplos websites os conteúdos da seção 404;

5. Gerenciar todos os documentos controlando seus períodos de retenção e distribuição;

6. Digitalizar e armazenar todos os documentos que estejam em papel, ligados à seção 404.

Seção 404 A seção 404 determina uma avaliação anual dos controles e procedimentos internos para emissão de relatórios financeiros. Além disso, o auditor independente da companhia deve emitir um relatório distinto, que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros.

Page 126: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

126

ANEXO 3

Teste Simulado 1. A ITIL fornece detalhes “de como fazer” para:

1) Segurança de TI. 2) Gerenciamento de Projetos. 3) Planejamento Estratégico. 4) Gerenciamento de Serviços de TI.

2. Um dos princípios do VAL IT é engajar os stakeholders (partes

interessadas) e definir uma prestação de contas apropriada (responsabilidades de cada um): 1) Falso. 2) Verdadeiro.

3. O VAL IT inclui princípios que declaram que os investimentos habilitados

pela TI: 1) Serão administrados através de todo o seu ciclo de vida econômico. 2) Serão continuamente monitorados, avaliados e melhorados. 3) Serão monitorados através da definição de métricas-chaves. 4) Serão focados nas atividades de TI.

4. Qual dos modelos abaixo é baseado no COSO?

1) ITIL 2) COBIT 3) CMMI 4) PMBOK

Page 127: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

127

5. Qual dos processos do COBIT é mais indicado para gerenciar serviços de provedores externos? 1) DS2 – Gerenciar serviços de terceiros. 2) AI4 – Manter operação e uso. 3) AI5 – Adquirir recursos de TI. 4) PO10 – Gerenciar projetos.

6. Qual das opções abaixo não é um dos princípios da Governança de TI?

1) Direção. 2) Controle. 3) Disponibilidade. 4) Responsabilidade.

7. Qual recurso de TI do COBIT está relacionado com: Sistemas

automatizados e procedimentos manuais para processar informações? 1) Aplicações. 2) Dados. 3) Servidores. 4) Infraestrutura.

8. Qual processo de TI está preocupado com a definição e coleta de dados

de monitoramento? 1) ME1 – Monitorar e avaliar o desempenho da TI. 2) ME2 – Monitorar e avaliar controle interno. 3) ME3 – Assegurar conformidade com requisitos externos. 4) ME4 – Fornecer Governança de TI

9. No Processo DS2 um contrato pró-forma assinado é usado com termos e

condições padrão do vendedor e descrição dos serviços que serão fornecidos. Isto indica qual nível de maturidade no processo DS2? 1) Nível 2 – Repetível.

Page 128: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

128

2) Nível 3 – Definido. 3) Nível 4 – Gerenciado 4) Nível 5 – Otimizado.

10. Qual dos seguintes é um componente das diretrizes de gerenciamento?

1) Critérios de Informação. 2) Metas e Métricas. 3) Objetivos de controle. 4) Níveis de maturidade.

11. Poderíamos dizer que o COBIT é um:

1) Metodologia para desenvolver sistemas de TI. 2) Melhores práticas para o gerenciamento de serviços de TI. 3) Padrão para segurança da informação. 4) Estrutura de Processos de TI e seu gerenciamento.

12. As organizações requerem uma abordagem estruturada para gerenciar

seus desafios. Qual é o desafio mais significativo no gerenciamento de TI?

1) Reduzir custos. 2) Desenvolver softwares complexos. 3) Contratar mão-de-obra barata. 4) Achar ferramentas de gestão compatíveis.

13. Qual dos seguintes é um benefício da Governança de TI?

1) Melhor resposta da TI às necessidades do negócio. 2) Maior consciência das soluções técnicas disponíveis. 3) Orçamentos de TI maiores. 4) Foco maior em TI do que no negócio.

Page 129: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

129

14. As diretrizes de Gerenciamento fornecem metas para cada:

1) Domínio. 2) Recurso de TI. 3) Processo de TI 4) Critérios de Informação.

15. Qual dos seguintes não é um recurso de TI do COBIT?

1) Aplicações. 2) Dados. 3) Infraestrutura. 4) Pessoas.

16. O domínio entrega de valor se preocupa com:

1) Entregar os benefícios prometidos a um custo razoável. 2) Prometer o melhor preço de entrega. 3) Usar sistemas de prateleira para economizar. 4) Entregar projetos abaixo do orçamento.

17. Qual estágio do roadmap do Assurance Guide (Guia de Validação) ajuda

a estabelecer o universo de validação de TI para designar o que será validado?

1) Escopo. 2) Planejamento. 3) Avaliação. 4) Execução.

18. O COBIT Quickstart foi feito para ajudar a:

1) Implantar todos os processos rapidamente. 2) Testar e avaliar os controles 3) Usar o COBIT em organizações de pequeno e médio porte. 4) Realizar auditorias de conformidade.

Page 130: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

130

19. Qual componente do COBIT pode ajudar a confirmar se a TI está

atendendo às metas?

1) Objetivos de Controle. 2) Diretrizes de Gerenciamento. 3) Níveis de Maturidade. 4) Guia de Implementação do COBIT.

20. Qual das opções abaixo não é uma característica essencial para um

framework de controle na Governança de TI?

1) Focado no negócio. 2) Orientado a processos. 3) Oferecer uma linguagem comum. 4) Ter trilhas de auditoria.

21. Qual nível de maturidade nos processos do COBIT está associado com

um processo sendo “comunicado”?

1) Nível 1 – inicial. 2) Nível 2 – Repetível. 3) Nível 3 – Definido. 4) Nível 4 – Gerenciado.

22. O que não pode ser feito comparação através do recurso de

Benchmarking do COBIT Online?

1) Importância do Processo. 2) Importância de um objetivo de controle. 3) Importância das metas. 4) Qual indicador de desempenho mais usado.

Page 131: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

131

23. Qual não seria uma possível vantagem para a adoção do COBIT ?

1) É compatível com outros padrões e deve ser usado como apoio para projetos de processos.

2) É aceito por terceiros e órgãos reguladores. 3) Ajuda a desenvolver e documentar estruturas, processos e

ferramentas para um gerenciamento efetivo de TI. 4) É focado especificamente em segurança.

24. Como o Assurance Guide (Guia de Validação) pode ajudar os auditores

internos e externos?

1) Desenhando os processos e controles. 2) Fornecendo conselhos sobre como testar o funcionamento de cada

objetivo de controle, assegurando que os controles são suficientes ajudando a documentar os pontos fracos dos controles .

3) Criando métricas. 4) Avaliando o nível de maturidade em que se encontra o processo.

25. Os modelos de maturidade do COBIT ajudam a identificar:

1) Métricas que podem ser usadas para medir os processos. 2) Critérios de informação para avaliar os controles. 3) Metas de melhoria e uma base para avaliar o status atual do

processo. 4) Controles e uma base para medir as práticas de controle.

26. Qual é o critério de informação que está relacionado à provisão de

informação apropriada para a gerência operar a entidade e para a gerência exercer suas responsabilidades de relatar aspectos de conformidade e finanças?

1) Confiabilidade. 2) Eficiência. 3) Conformidade. 4) Confidencialidade.

Page 132: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

132

27. Qual dos seguintes é uma característica chave da otimização de

recursos?

1) Escolher um número de fornecedores de produto chave. 2) Utilizar os equipamentos o maior tempo possível. 3) Garantir que seja utilizada mão-de-obra barata. 4) Assegurar que existam competências suficientes para as atividades

críticas. 28. No PO10 – Gerenciar Projetos, quando o uso de técnicas e abordagens

de gerenciamento de projeto dentro da TI é uma decisão deixada aos gerentes de TI individualmente e há uma falta de comprometimento gerencial para a propriedade e gerenciamento do projeto, podemos dizer que o processo está em qual nível de maturidade?

1) Nível 1 – Inicial. 2) Nível 2 – Repetível. 3) Nível 3 – Definido. 4) Nível 4 – Gerenciado.

29. Metas e métricas medem:

1) O quão bem o negócio usa a TI. 2) A efetividade dos usuários de serviços de TI. 3) O cumprimento dos objetivos. 4) O desempenho dos processos.

30. Qual das seguintes é a melhor forma de gerenciar o que poderia ser

chamado de um serviço bom?

1) Medir a maturidade dos processos relacionados com o serviço. 2) Criar níveis de serviços definidos contratualmente. 3) Avaliar controles na entrega de serviço. 4) Executar auditorias nos contratos de serviço.

Page 133: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

133

31. O Framework do COSO ajuda a organização a estabelecer e determinar:

1) Padrões de cobrança / prestação de contas. 2) Padrões de Auditoria. 3) Decisões de Investimentos. 4) A efetividade dos seus controles internos.

32. A definição do COBIT de requisitos fiduciários difere do COSO no que o

COBIT expande o escopo para incluir:

1) Segurança. 2) Toda a informação. 3) Operações. 4) Desenvolvimento de sistemas.

33. Qual dos seguintes é um componente do COBIT?

1) Procedimentos. 2) Objetivos de Auditoria. 3) Critérios de Informação. 4) Objetivos de Segurança.

34. O COBIT Security Baseline tem referência cruzada com:

1) ITIL 2) ISSO 17799 / 27002 3) COSO 4) CMMI

35. Qual nível de maturidade no COBIT está associado geralmente com um

processo sendo monitorado?

1) Nível 2 – Repetível. 2) Nível 3 – Definido. 3) Nível 4 – Gerenciado. 4) Nível 5 – Otimizado.

Page 134: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

134

36. Qual dos seguintes é um requisito fiduciário dentro dos critérios de

informação do COBIT?

1) Confidencialidade. 2) Confiabilidade. 3) Custo. 4) Qualidade.

37. Qual dos produtos fornecem informações atualizadas do COBIT?

1) IT Governance implementation Guide. 2) COBIT Framework. 3) Objetivos de Controle. 4) COBIT Online.

38. De que forma o COBIT deve ser usado?

1) Deve ser adotado seguindo à risca todos os objetivos de controle. 2) Como um conjunto de práticas que devem ser mandatórias. 3) Como um ciclo de vida para o desenvolvimento de sistemas. 4) Como uma base para atender às necessidades do negócio em

relação a TI. 39. O COBIT contribui para o uso de múltiplos padrões e melhores práticas

dentro das organizações porque ele:

1) Ajuda a habilitar procedimentos de prestação de contas. 2) Cobre controles de TI e controles de negócio. 3) Está posicionado centralmente em um nível genérico. 4) Pode ser usado como um ciclo de vida para o desenvolvimento de

sistemas.

Page 135: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

135

40. Qual dos seguintes é uma requisito de segurança dentro dos critérios de informação do COBIT?

1) Entrega. 2) Eficiência. 3) Confidencialidade. 4) Qualidade.

Page 136: 235315161 124903711-fundamentos-de-cobi t-fundacao-bradesco-pdf

136

Gabarito

1 D 11 D 21 C 31 D

2 B 12 A 22 D 32 B

3 A 13 A 23 D 33 C

4 B 14 C 24 B 34 B

5 A 15 B 25 C 35 C

6 C 16 A 26 A 36 B

7 A 17 B 27 D 37 D

8 A 18 C 28 A 38 D

9 A 19 B 29 D 39 C

10 B 20 D 30 B 40 C