cobit 4.1

FUNDAMENTOS DE COBIT

É um framework de controle que se tornou mundialmente aceito nas empresas em função dos benefícios que proporciona.

Diferente do framework do COSO, que é um modelo de controle genérico, O COBIT é focado unicamente em TI e sua estrutura oferece uma base sólida para se estabelecer um modelo de governança de TI.

O COBIT não é um padrão, não é uma norma como a ISO 20.000, ISO 17.799 ou ISO 9.001, e ele também não serve como guia para maximizar os benefícios da TI.

O framework do COBIT foi criado tendo como principais características o foco no negócio, a orientação a processos, ser baseado em controles e direcionado por métricas.

Adotar COBIT ajuda uma empresa a implementar boas práticas em governança de TI, pois ele oferece um guia de melhores práticas e direcionamento.

Sua estrutura classifica os processos em 4 domínios, e apresenta atividades em uma estrutura gerenciável e lógica.

O COBIT é independente da plataforma de TI adotada nas empresas, também é totalmente independente do tipo de negócio e do valor e participação que a tecnologia da informação tem na cadeia produtiva da empresa.

O framework do COBIT é hoje uma referência mundial utilizado na avaliação de controles e maturidade de processos de TI e, por esta razão, tem sido adotado em diversos projetos de governança de TI.

Objetivos do COBIT

O COBIT tem como objetivos:

Ser um padrão aceito nas melhores práticas de governança de TI.

Aplicar as melhores práticas a partir de um matriz de domínios, processos e atividades estruturados de forma lógica e gerenciável.

Vantagens do COBITMódulo 02 - Introdução ao COBIT

Mapear os maiores padrões e frameworks de mercado, como o ITIL a ISO 20.000 e a ISO 27.001.

Ajudar a entender os requisitos regulatórios.

Ser compatível com o COSO quanto ao controle do ambiente de TI.

Definir uma linguagem comum entre TI e o negócio.

Ser focado nos requisitos de negócio.

Seus indicadores principais identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização.

Adotar o COBIT como modelo de governa

Estrutura do COBIT

O princípio da estrutura do COBIT é o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O objetivo é facilitar a governança de TI para agregar valor a TI, por meio do gerenciamento dos riscos de TI.

O princípio do framework é derivado de um modelo que mostra a informação com qualidade sendo produzida por eventos realizados ou executados nos recursos de TI, conforme apresentado na figura ao lado.

Processos de TI

Uma das faces do cubo do COBIT representa os processos de TI. O framework do COBIT apresenta aos processos de TI agrupados em 4 domínios, conforme segue:

Planejar e organizar (plan and organize - PO)

Adquiri e implementar (acquire and implement - AI)

Entregar e suportar (deliver and support - DS)

Monitorar e avaliar (monitor and evaluate - ME

Módulo 03 Domínios e Objetivos - COBIT

Domínios e Objetivos - COBIT

PC6 – Melhoria da performance do processo

Identifique um conjunto de métricas que proporcione uma visão nos resultados e na performance do processo.

Compare os resultados atuais com as metas e tome ações em relação aos desvios, quando necessário.

Objetivos SMARRTNo entanto, é importante conhecer não só a tradução de cada letra, mas sim o raciocínio mais amplo sobre o significado real deste conceito.

O conceito pode ser aplicado na definição de objetivos de negócio, profissional ou pessoal, e as melhores práticas estabelecem que objetivos devem ser SMART, conforme veremos a seguir.

Mensurável

Objetivos devem ser transformados em números, caso contrário estes poderão ser manipulados ou interpretados do modo mais conveniente para os interessados, de modo que fica dúvidas ou discussão em aberto sobre como definir se o objetivo foi alcançado ou não.

Alcançável

É importante que objetivos tenham metas desafiadoras e que demandem algum tipo de esforço para serem alcançados, mas é fundamental que os objetivos possam ser alcançados.

É importante gerar um desafio para que as equipes superem, mesmo parecendo ser difícil, mas isso é muito diferente de buscar números impossíveis de serem atingidos. Em vez de motivar, o objetivo só causará frustração e desânimo.

em tempo

De certa forma esta característica está vinculada a definição dos objetivos de maneira específica (S). O objetivo deve ter seu prazo para ser alcançado claramente estabelecido, e este período não pode ser tão curto a ponto de tornar o objetivo impossível de ser alcançado, nem tão longo a ponto de que ocorra a perda de foco com o passar do tempo.Alguns autores também apresentam o T como Tangível (Tanglible).

Controles de aplicação

Além dos objetivos de controle genéricos vistos anteriormente, o COBIT também estabelece alguns objetivos denominados controles de aplicação.

Trata-se de controles existentes em aplicações dos processos de negócio, onde o COBIT assume que o projeto e implementação de controles de aplicações automatizados são de responsabilidade da organização de TI, cobertos no domínio de Aquisição e Implementação e baseados nos requisitos de negócio por meio dos critérios de informação definidos no COBIT.

Funções dos controles de aplicação

AC1 – Autorização e preparação da fonte de dados

Assegura que as fontes dos documentos estejam preparadas por pessoal qualificado e autorizado seguido os procedimentos estabelecidos, levando em consideração a adequada segregação de papéis necessárias na origem e aprovação destes documentos. Erros e omissões podem ser minimizados por meio de formulários de entrada bem projetados. Detecta erros e irregularidades de modo que estas possam ser reportadas e corrigidas.

Objetivos de controle

AC2 – Coleção de fonte de dados e alimentação

Estabelece que a entrada de dados seja realizada no tempo adequado por equipe autorizada e qualificada. Correção e reprocessamento de dados que foram alimentados erroneamente deve ser realizada sem comprometer o nível original de autorização da transação. Onde for apropriado efetuar a reconstrução, reter os documentos de origem por tempo adequado.

AC3 – Verificação de precisão, completude e autencidade

Assegura que transações sejam precisas, completas e validas. Valida dados que foram alimentados, e edita o devolve para correção o mais próximo possível do ponto de origem das informações

AC4 – Processamento com integridade e validade

Mantém a integridade e validade dos dados durante o ciclo de processamento. A identificação de transações incorretas não deve impactar o processamento das transações válidas.

AC5 – Revisão de saídas, reconciliação e tratamento de erros

Estabelece procedimentos e responsabilidades associadas para assegurar que as saidas sejam tratadas de maneira autorizada, entregues nos destinos apropriados, e protegidas durante a a transmissão. Estabelece que a verificação, detecção e correção da precisão das saídas ocorra; e que a informação fornecida como saída seja utilizada.

AC6 – Integridade e autenticação de transações

Antes de passar dados de transações entre aplicações internas e funções de negócio/operacional (dentro ou fora da empresa), verificar pelo endereçamento apropriado, autenticidade da origem e integridade do conteúdo. Mantenha a autenticidade e integridade durante a transmissão ou transporte.

Módulo 04 - Planejar e Organizar

Processo PO4Módulo 04 - Planejar e Organizar

10/25Objetivos de controle do processo PO4

® PO4.1 – Framework de processos de TI® PO4.2 – Comitê de estratégia de TI® PO4.3 – Comitê de direcionamento de TI® PO4.4 – Colocação organizacional da Fundação da TI® PO4.5 – Estrutura organizacional da TI® PO4.6 – Estabelecimento de papéis e responsabilidades® PO4.7 – Responsabilidade pelo controle de qualidade de TI® PO4.8 – Responsabilidade por riscos, segurança e aderência® PO4.9 – Propriedade sobre sistemas e dados® PO4.10 – Supervisão® PO4.11 – Segregação de funções® PO4.12 – Equipe® PO4.13 – Pessoas-chave na TI® PO4.14 – Procedimento e políticas para contratados® PO4.15 – Relacionamentos

O objetivo do processo PO4 é obter agilidade para responder aestratégia do negócio atendendo, ao mesmo tempo, os requisitos de governança e provendo pontos de contato definidos e competentes.

PO5 – Gerenciar os investimentos em TI

- Estabelece 5 objetivos de controle

Um framework é estabelecido e mantido para gerenciar os programas de investimento em TI e este engloba os custos, benefícios e priorização de acordo com o orçamento, um processo formal de orçamentação e gerenciamento sobre o orçamento.

As partes interessadas são consultadas para identificar e controlar o custo total e benefícios no contexto dos planos estratégicos e táticos de TI, e iniciar ações corretivas quando necessário.

O processo promove parceria entre TI e as partes interessadas do negócio, habilita o uso efetivo e eficiente dos recursos de TI, e provê transparência e responsabilidade sobre o Custo Total de Propriedade (Total Cost of Ownership - TCO) na realização dos benefícios para o negócio e Retorno sobre os Investimentos em TI.

Objetivos do processo PO5

Objetivos de controle do processo P05

® PO5.1 – Framework de gerenciamento financeiro® PO5.2 – Priorização de acordo com o orçamento® PO5.3 – Orçamentação de TI® PO5.4 – Gerenciamento de custos® PO5.5 – Gerenciamento de benefícios

Este processo é medido por:

% de redução do custo unitário dos serviços de TI entregues

% do valor de desvio do orçamento comparado com o orçamento total

% de gastos de TI expressos em linguagem de negócio (isto é, aumento de vendas ou de serviços em função de aumento de conectividade).

PO6 – Comunicar metas gerenciais e direcionamento


A alta direção desenvolve um framework corporativo de controle de TI e defini e comunica as políticas. Um programa de comunicação é implementado para articular a missão, objetivos de serviço, políticas e procedimentos e outras iniciativas aprovadas e suportadas pelo gerenciamento.

A comunicação suporta o alcance aos objetivos de TI e assegura a consciência e compreensão dos riscos do negócio e da TI, objetivos e direcionamento.


® PO6.1 – Política de TI e ambiente de controle® PO6.2 – Riscos corporativos de TI e framework de controle® PO6.3 – Gerenciamento de políticas de TI® PO6.4 – Aplicação de políticas, padrões e procedimentos® PO6.5 – Comunicação dos objetivos de TI e direcionamento


Número de interrupções no negócio causadas por interrupções dos serviços de TI.

% de partes interessadas que entendem o frameworkcorporativo de controle de TI.

% de partes interessadas que não estão em conformidade com as políticas estabelecidas.

PO7 – Gerenciar recursos humanos de TI


Uma força de trabalho competente é adquirida e mantida para a criação e entrega dos serviços de TI para o negócio. Isto é alcançado por seguir práticas definidas e acordadas que suportam o recrutamento, treinamento, avaliação de performance, promoção e desligamento.


®PO7.1 – Contratação e retenção de pessoal®PO7.2 – Competências pessoais®PO7.3 – Papéis®PO7.4 – Treinamento®PO7.5 – Dependência sobre indivíduos®PO7.6 – Procedimentos de autorização de pessoal®PO7.7 – Avaliação de performance dos colaboradores®PO7.8 – Mudanças de emprego e desligamentos


Nível da satisfação das partes interessadas com o expertise e competências do pessoal de TI

Rotatividade do pessoal deTI

% do pessoal certificado de acordo com as necessidades do trabalho

Enter PO8 – Gerenciar qualidade


Um sistema de gerenciamento de qualidade é desenvolvido e mantido para incluir desenvolvimento comprovado e aquisição de processos e padrões.

Isto é habilitado por meio de planejamento, implementação e manutenção do sistema de gerenciamento da qualidade por fornecer requisitos claros de qualidade, procedimentos e políticas.

Requisitos de qualidade são estabelecidos e comunicados em indicadores quantificáveis e alcançáveis. Melhoria contínua é alcançada pelo monitoramento constante, analise e ação sobre desvios, e na comunicação dos resultados para as partes interessadas.


® PO8.1 – Sistema de gerenciamento de qualidade® PO8.2 – Padrões de TI e práticas de qualidade

® PO8.3 – Padrões de desenvolvimento e aquisição® PO8.4 – Foco no cliente® PO8.5 – Melhoria contínua® PO8.6 – Medição de qualidade, monitoramento e revisão


% de partes interessadas satisfeitas com a qualidade da TI (por importância)

% de processos de TI que são formalmente revisados por controle de qualidade em uma base periódica que atenda as metas e objetivos de qualidade

% de processos recebendo revisão de controle de qualidade

Avaliar e gerenciar riscos de TI

PO9 – Avaliar e gerenciar riscos de TI


Um framework para gerenciamento de riscos é criado é mantido. O framework documenta um nível comum e acordado de riscos de TI, estratégia de mitigação e riscos residuais.

Qualquer impacto potencial nos objetivos da organização que seja causado por um evento não planejado é identificado, analisado e avaliado.

Estratégias para mitigação dos riscos são adotadas para minimizar riscos para um nível aceitável.


PO8.1 – Framework de gerenciamento de riscos de TIPO8.2 – Estabelecimento do contexto dos riscosPO8.3 – Identificação de eventosPO8.4 – Avaliação de riscosPO8.5 – Resposta a riscosPO8.6 – Manutenção e monitoramento de um plano de ação de riscos


% de objetivos críticos de TI cobertos por uma avaliação de riscos.

% de riscos críticos de TI identificados com planos de ação desenvolvidos.

% de planos de ação para gerenciamento de riscos aprovados para implementação

Gerenciar projetos

PO10 – Gerenciar projetos Estabelece 14 objetivos de controle

Um framework para gerenciamento de programas e projetos para o gerenciamento de todos os projetos de TI é estabelecido. O framework assegura a priorização correta e a coordenação de todos projetos.

O objetivo deste processo é assegurar que os resultados dos projetos sejam entregues dentro do prazo acordado, no orçamento definido e com a qualidade necessária.

Processo P10Objetivos de controle do processo P010

®PO10.1 – Framework de gerenciamento de programas®PO10.2 – Framework de gerenciamento de projetos®PO10.3 – Abordagem de gerenciamento de projetos®PO10.4 – Comprometimento das Partes Interessadas®PO10.5 – Declaração do escopo dos projetos®PO10.6 – Fase de iniciação dos projetos®PO10.7 – Plano integrado de projetos®PO10.8 – Recursos dos projetos®PO10.9 – Gerenciamento de riscos dos projetos®PO10.10 – Plano de qualidade dos projetos®PO10.11 – Controle de mudanças dos projetos®PO10.12 – Planejamento de métodos de segurança dos projetos®PO10.13 – Medição de performance, relatórios e monitoramento de projetos®PO10.14 – Encerramento dos projeto

É importante observar que o COBIT se integra perfeitamente com padrões mais detalhados para o gerenciamento de projetos, como o PMBOK ou PRINCE2.


% de projetos atendendo as expectativas das partes interessadas (no prazo, no orçamento e atendendo aos requisitos – por importância).

% de projetos que recebem revisão pós-implementação.

% de projetos que estão seguindo os práticas e padrões para gerenciamento de projetos.

Módulo 05 - Adquirir e Implementar

Descrição do processoPara cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo Critérios de informação aplicados ao processo Uma declaração genérica de ações para um gerenciamento mínimo de boas

práticas para assegurar que o processo seja mantido sob controle Principais indicadores de performance recursos de TI envolvidos Objetivos de controle detalhados Diretrizes de gerenciamento

- Entradas e processos de origem - Saídas e processos de destino

Matriz de responsabilidades (RACI) Objetivos e métricas Modelo de maturidade

Adquirir e implementar Adquirir e implementar (AI) Os processos do domínio adquirir e implementar são: AI1 – Identificar soluções automatizadas

AI2 – Adquirir e manter software aplicativoAI3 – Adquirir e manter infraestrutura tecnológicaAI4 – Habilitar operação e usoAI5 – Obtenção de recursos de TIAI6 – Gerenciar mudançasAI7 – Instalar e validar soluções e mudanças

Soluções automatizadasAI1 – Identificar soluções automatizadas


A necessidade para uma nova aplicação ou funções requer análise antes da aquisição ou criação para assegurar que os requisitos de negócio sejam satisfeitos em uma abordagem efetiva e eficiente. Este processo cobre a definição das necessidades, consideração das fontes alternativas, revisão da viabilidade tecnológica e econômica, e conclusão da decisão final sobre fazer ou comprar.

Todos estes passos habilitam as organizações a minimizar os custos para adquirir e implementar soluções enquanto assegura que estas habilitam que o negócio possa alcançar seus objetivos.

O objetivo deste processo é traduzir as funcionalidades do negócio e requisitos de controles em um design efetivo e eficiente de soluções automatizadas.

Objetivos de controle do processo AI1

®AI1.1 – Definição e manutenção do funcionamento do negócio e requisitos técnicos®AI1.2 – Relatório de análise de riscos®AI1.3 – Estudo de viabilidade e formulação de cursos de ação alternativos®AI1.4 – Aprovação de estudos de viabilidade e requisitos


Número de projetos cujos objetivos estabelecidos não foram atingidos em função de estudos de viabilidade incorretos.

% de estudos de viabilidade assinados pelos proprietários dos processos de negócio.

Software aplicativo

AI2 – Adquirir e manter software aplicativo

- Estabelece 10 objetivos de controle Aplicações são colocadas disponíveis em alinhamento com os requisitos de

negócio. Este processo cobre o projeto das aplicações, a inclusão apropriada de controles de aplicação e requisitos de segurança, e o desenvolvimento e configuração alinhados com padronizações.

Isto permite que a organização possa suportar a operação do negócio de maneira apropriada e com as aplicações corretas automatizadas.

O objetivo deste processo é alinhar as aplicações disponíveis com os requisitos de negócio, e fazer isso no tempo adequado e com um custo razoáve

Objetivos do processo AI2Objetivos de controle do processo AI2

®AI2.1 – Design de alto nível®AI2.2 – Design detalhado®AI2.3 – Controle e auditabilidade de aplicativos®AI2.4 – Segurança e disponibilidade de aplicativos®AI2.5 – Configuração e implementação desoftware aplicativo adquirido®AI2.6 – Major upgrades em sistemas existentes®AI2.7 – Desenvolvimento de software aplicativo®AI2.8 – Controle de qualidade de software®AI2.9 – Gerenciamento de requisitos de aplicativos®AI2.10 – Manutenção de software aplicativo


Número de problemas em ambiente de produção, por aplicação, causandodowntime visível.

% de usuários satisfeitos com as funcionalidades entregues.

AI3 – Adquirir e manter infraestrutura tecnológica


As organizações tem processos para aquisição, implementação e atualizações da infraestrutura tecnológica.

Isto requer um abordagem planejada para aquisição, manutenção e proteção da infraestrutura alinhados com estratégias tecnológicas acordadas e com o provisionamento de ambientes de desenvolvimento e testes.

Isto assegura que há suporte tecnológico no dia-a-dia para as aplicações do negócio.

O objetivo deste processo é adquirir e manter uma infraestrutura de TI integrada e padronizada;


®AI3.1 – Plano de aquisição da infraestrutura tecnológica®AI3.2 – Disponibilidade e proteção de recursos da infraestrutura®AI3.3 – Manutenção da infraestrutura®AI3.4 – Viabilidade do ambiente de testes


% de plataformas que não estão alinhadas com a arquitetura de TI e padrões tecnológicos.

Número de processos críticos de negócio suportados por infraestrutura obsoleta (ou que vai ficar obsoleta em curto prazo)

Operação e uso AI4 – Habilitar operação e uso - Estabelece 4 objetivos de controle O conhecimento sobre sistemas novos deve estar disponível. Este processo

demanda a produção de documentação e manuais para usuários e a própria TI, e

oferece treinamento para assegurar o uso apropriado e a operação das aplicações e de infraestrutura.

O processo visa assegurar a satisfação dos usuários finais em relação a oferta de serviços e respectivos níveis e integrando continuamente as aplicações e soluções tecnológicas aos processos de negócio.


®AI4.1 – Planejamento para soluções operacionais®AI4.2 – Transferência de conhecimento para as gerências de negócio®AI4.3 – Transferência de conhecimento para usuários finais®AI4.4 – Transferência de conhecimento para operação e equipes de suporte


Número de aplicações onde os procedimentos de TI são continuamente integrados aos processos de negócio.

% de proprietários de negócio satisfeitos com o treinamento de aplicativos e materiais de suporte.

Número de aplicativos com usuários adequados e treinamento de suporte operacional.

Recursos de TI

AI5 – Obtenção de recursos de TI - Estabelece 4 objetivos de controle Os recursos de TI, incluindo pessoas, hardware, software e serviços, precisão

ser obtidos. Isto requer a definição ecumprimento de procedimentos de aquisição, a seleção de fornecedores, a definição de acordos contratuais, a aquisição propriamente dita.

Fazer isso assegura que a organização tenha todos os recursos de TI requisitados no tempo apropriado e de uma maneira efetiva sob o ponto de vista de custos.

Esta iniciativa vem ao encontro da necessidade de negócio em melhorar a eficiência financeira da TI e sua consequente contribuição para a lucratividade do negócio.

Objetivos do processo AI5Este processo é medido por:

Número de disputas relacionadas a contratos de compra.

% de redução dos custos de aquisição.

% de partes interessadas importantes que estão satisfeitos com os fornecedores.

Objetivos de controle do processo AI5

® AI5.1 – Controle de aquisições® AI5.2 – Gerenciamento de contratos de fornecedores® AI5.3 – Seleção de fornecedores® AI5.4 – Aquisição de recursos de TI

Gerenciar mudançasAI6 – Gerenciar mudanças


Todas as mudanças, incluindo manutenção de emergência e aplicação de patches, relacionadas ainfraestrutura e aplicações do ambiente de produção são formalmente gerenciadas de forma controlada.

Mudanças, incluindo aquelas relacionadas a procedimentos, processos, sistemas e parâmetros de serviços, são registradas, avaliadas e autorizadas antes de sua implementação, e são revisadas em relação as saídas planejadas após a implementação.

Isto assegura a mitigação de riscos de impacto negativo a estabilidade ou integridade do ambiente de produção.

O objetivo deste processo é responder aos requisitos de negócio em alinhamento com a estratégia do negócio, reduzindo os defeitos na entrega de serviços e retrabalho.


®AI6.1 – Padrões e procedimentos de mudança®AI6.2 – Avaliação de impacto, priorização e autorização®AI6.3 – Mudanças emergenciais®AI6.4 – Acompanhamento de mudança de status e relatórios®AI6.5 – Fechamento e documentação da mudança


Número de interrupções ou erros de dados causados por especificação imprecisa ou avaliação de impacto imcompleta

Volume de retrabalho em aplicações ou infraestrutura causados por especificações de mudanças inadequada

% de mudanças que seguiram um processo formal de controle

Soluções e mudançasAI7 – Instalar e validar soluções e mudanças


Novos sistemas devem ser colocados em operação após seu desenvolvimento estar completo. Isto requer testes adequados em um ambiente dedicado com dados relevantes para o propósito de testes, definição do plano de implementação e instruções para migração, planejamento da liberação para colocar o sistema em produção, e inclui também uma revisão pós-implementação.

Isto assegura que os sistemas estejam disponíveis de maneira alinhada com as saídas e expectativas previamente acordadas com as áreas de negócio da empresa.


® AI7.1 – Treinamento® AI7.2 – Plano de testes® AI7.3 – Plano de Implementação® AI7.4 – Ambiente de testes® AI7.5 – Conversão de sistemas e dados® AI7.6 – Testes das mudanças® AI7.7 – Teste de aceitação final® AI7.8 – Promoção para produção® AI7.9 – Revisão pós-implementação


Volume de downtime de aplicações ou número de correções nos dados causadas em função de testes inadequados.

% de sistemas que atendem aos benefícios esperados quando medidos por meio do processo de revisão pós-implementação.

% de projetos com plano de testes documentado e aprovado.

Módulo 06 - Entregar e Suportar

Descrissão do processo

Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo Critérios de informação aplicados ao processo Uma declaração genérica de ações para um gerenciamento mínimo de boas

práticas para assegurar que o processo seja mantido sob controle Principais indicadores de performance Recursos de TI envolvidos Objetivos de controle detalhados Diretrizes de gerenciamento

- Entradas e processos de origem - Saídas e processos de destinoMatriz de responsabilidades (RACI)

Objetivos e métricas Modelo de maturidade

Entregar e suportarEntregar e suportar (DS)

Os processos do domínio entregar e suportar são: DS1 – Definir e gerenciar níveis de serviço

DS2 – Gerenciar serviços de terceirosDS3 – Gerenciar performance e capacidadeDS4 – Garantir a continuidade dos serviçosDS5 – Garantir a segurança dos sistemasDS6 – Identificar e alocar custosDS7 – Educar e treinar usuáriosDS8 – Gerenciar a central de serviços e incidentesDS9 – Gerenciar a configuraçãoDS10 – Gerenciar problemasDS11 – Gerenciar dadosDS12 – Gerenciar os ambientes físicosDS13 – Gerenciar operações

Níveis de serviçoDS1 – Definir e gerenciar níveis de serviço

- Estabelece 6 objetivos de controle Trata-se da comunicação efetiva entre a gerência da TI e os clientes do

negócio, em relação aos serviços requeridos, é habilitado através da documentação e o acordo de serviços da TI e níveis de serviços.

Este processo também inclui o monitoramento e o reporte em tempo adequado para as partes interessadas sobre o cumprimento dos níveis de serviços.

Este processo habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados.

O objetivo é assegurar o alinhamento dos principais serviços de TI com a estratégia do negócio.

Objetivos do processo DS1Objetivos de controle do processo DS1

®DS1.1 – Framework de gerenciamento de nível de serviço®DS1.2 – Definição dos serviços®DS1.3 – Acordos de nível de serviço®DS1.4 – Acordos de nível operacional®DS1.5 – Monitoramento e reporte sobre os níveis de serviço alcançados®DS1.6 – Revisão dos acordos de nível de serviço e contratos


% de partes interessadas do negócio que estão satisfeitos com o alcance dos níveis de serviço acordados.

Serviços de terceiros

DS2 – Gerenciar serviços de terceiros

Estabelece 4 objetivos de controle

A necessidade de assegurar que serviços providos por terceiros atendam aos requisitos do negócio requer um processo efetivo de gerenciamento de terceiros.

O gerenciamento efetivo de serviços de terceiros minimiza os riscos de

negócio associados com fornecedores sem a performance necessária ou adequada.


DS2.1 – Identificação de todos os relacionamentos com fornecedoresDS2.2 – Gerenciar o relacionamento com fornecedoresDS2.3 – Gerenciar risco dos fornecedoresDS2.4 – Monitorar a performance dos fornecedores


Número de reclamações de usuários sobre os serviços contratados.

Performance e capacidadeDS3 – Gerenciar performance e capacidade


A necessidade de gerenciar performance e capacidade dos recursos de TI requer um processo para rever periodicamente a performance e capacidade atual dos recurso s de TI.

Este processo inclui a previsão da capacidade futura baseado em requisitos de carga, armazenamento e contingência.


DS3.1 – Planejamento de performance e capacidadeDS3.2 – Performance e capacidade atualDS3.3 – Performance e capacidade futura

DS3.4 – Disponibilidade dos recursos de TIDS3.5 – Monitoramento e relatórios


Número de horas perdidas por usuário/por mês em função de um planejamento de capacidade insufuciente.

% de picos onde a utilização prevista é excedida

Continuidade dos serviçosDS4 – Garantir a continuidade dos serviços


A necessidade de prover serviços de TI de maneira contínua requer o desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI, utilizando armazenamento externo de backups e proporcionando treinamento periódico sobre os planos de continuidade

O objetivo deste processo é assegurar o mínimo impacto para o negócio em função de eventos que venham interromper os serviços de TI por focar na construção de resiliência das soluções automatizadas e no desenvolvimento, manutenção e testes de planos de continuidade dos serviços de TI.


®DS4.1 – Framework de continuidade de TI®DS4.2 – Plano de continuidade de TI®DS4.3 – Recursos críticos de TI®DS4.4 – Manutenção do plano de continuidade de TI®DS4.5 – Teste do plano de continuidade de TI®DS4.6 – Treinamento do plano de continuidade de TI®DS4.7 – Distribuição do plano de continuidade de TI®DS4.8 – Recuperação e retomada dos serviços de TI®DS4.9 – Armazenamento externo de backup®DS4.10 – Revisão pós-retomada


Número de horas perdidas por usuário/por mês em função de falhas não planejadas

Número de processos críticos para o negócio dependentes de recursos de TI que não estão cobertos por um plano de continuidade

Segurança dos sistemasDS5 – Garantir a segurança dos sistemas


A necessidade de manter a integridade da informação e proteger os ativos da TI requer um processo de gerenciamento de segurança.

Este processo inclui de estabelecer e manter papeis e responsabilidades, políticas, padrões e procedimentos da segurança de TI. O gerenciamento da segurança também inclui realizar monitoramento da segurança, testes periódicos e implementar ações corretivas ao identificar fraquezas ou incidentes de segurança.


®DS5.1 – Gerenciamento da segurança de TI®DS5.2 – Plano de segurança de TI®DS5.3 – Gerenciamento de identidade®DS5.4 – Gerenciamento de contas de usuários®DS5.5 – Testes de segurança, fiscalização e monitoramento®DS5.6 – Definição de incidentes de segurança®DS5.7 – Proteção da tecnologia de segurança®DS5.8 – Gerenciamento de chaves de criptografia®DS5.9 – Prevenção, detecção e correção de SW malicioso®DS5.10 – Segurança de redes®DS5.11 – Troca de dados importantes


Número de incidentes que afetaram a reputação da organização no mercado.

Número de sistemas onde os requisitos de segurança não são alcançados.

Número de violações em segregação de papéis.

CustosDS6 – Identificar e alocar custos


A necessidade para um sistema justo e imparcial de alocação de

custos para o negócio requer amedição exata de custos da TI e acordos com usuários de negócio para uma alocação correta.

Este processo inclui a criação e operação de um sistema de captura, alocação e reporte dos custos da TI para os usuários de serviços.


DS6.1 – Definição dos serviçosDS6.2 – Contabilidade de TIDS6.3 – Modelos de custos e cobrançasDS6.4 – Manutenção do modelo de custos


% de contas referentes ao serviços de TI aceitas/pagas pelos gerentes de negócio.

% de variação entre orçamento, previsão e custo atual.

Educar e treinar usuários

Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade e aumenta a conformidade com controles chaves, tais como as medidas de segurança para usuários.

O objetivo deste processo é usar as aplicações e soluções tecnológicas de maneira eficiente e eficaz, garantindo a aderência dos usuários com políticas e procedimentos.

DS7 – Educar e treinar usuários - Estabelece 3 objetivos de controle

A educação efetiva de todos os usuários de sistemas de TI, incluindo aqueles dentro da TI, requer aidentificação das necessidades de treinamento de cada grupo.

Além da identificação da necessidade, este processo inclui a definição e execução de uma estratégia para um treinamento efetivo e medição de resultados.


®DS7.1 – Identificação de necessidade de educação e treinamento®DS7.2 – Entrega de treinamento e educação®DS7.3 – Avaliação do treinamento recebido


Número de chamados na central de serviços em função de falta de treinamento dos usuários

% de satisfação das partes interessadas com o treinamento oferecido

Serviços e iIncidentesDS8 – Gerenciar central de serviços e incidentes


Respostas efetivas e no tempo adequado para as perguntas e problemas dos usuários da TI requerem uma central de serviços bem desenhada e implementada e um processo de gerenciamento de incidentes.

Este processo inclui a implementação da função da central de serviços com registro, escalação, tendências, análise de causas raiz e resolução de incidentes.


® DS8.1 – Central de serviços® DS8.2 – Registro das solicitações dos usuários® DS8.3 – Escalação de incidentes® DS8.4 – Fechamento de incidentes® DS8.5 – Relatório e análises de tendência


Volume de usuários satisfeitos com o suporte de primeiro nível.

% de incidentes resolvidos dentro do tempo acordado ou em um período aceitável.

Taxa de abandono de ligações.

ConfiguraçãoDS9 – Gerenciar a configuração


Assegurar a integridade da configuração de hardware e software requer estabelecer e manter umpreciso e completo repositório da configuração.

Este processo inclui a coleta inicial de informação sobre a configuração, estabelecer bases de referência, verificar e auditar a informação da configuração e atualizar o repositório da configuração quando necessário.

Objetivos do processo DS9Este processo é medido por:

Número de não conformidades de negócio causadas por configuração inapropriada dos ativos.

Número de divergências identificadas entre o repositório de configuração e a configuração atual dos ativos.

ProblemasDS10 – Gerenciar problemas


Um gerenciamento efetivo de problemas requer aidentificação e classificação de problemas, análise da causa raiz e resolução de problemas.

O processo do gerenciamento de problemas também inclui a identificação de recomendações para melhorar a manutenção de registros de problemas e revisar o status de ações corretivas.


®DS10.1 – Identificação e classificação de problemas®DS10.2 – Acompanhamento de problemas e resoluções®DS10.3 – Fechamento de problemas®DS10.4 – Integração do gerenciamento de configuração, incidentes e problemas


Número de problemas recorrentes com impacto para o negócio.

% de problemas resolvidos dentro do tempo requerido.

DadosDS11 – Gerenciar dados


O gerenciamento efetivo de dados requer aidentificação de requisitos para os dados.

O processo de gerenciamento de dados também inclui estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e disponibilizar mídias apropriadas.

O objetivo deste processo é otimizar o uso de informação e assegurar que a informação esteja disponível quando requerido.


®DS11.1 – Requisitos de negócio para o gerenciamento de dados®DS11.2 – Providências para retenção e armazenamento®DS11.3 – Sistema de gerenciamento de biblioteca de mídias®DS11.4 – Descarte®DS11.5 – Backup e restauração®DS11.6 – Requisitos de segurança para gerenciamento de dados


% de usuários satisfeitos com a disponibilidade dos dados.

% de restauração de dados realizadas com sucesso.

Ambientes físicosUm gerenciamento efetivo do ambiente físico reduz interrupções no negócio em função de danos causados nos equipamentos de computação e no pessoal.

O objetivo deste processo é proteger ativos e dados do negócio e minimizar o risco de interrupção do negócio.

DS12 – Gerenciar os ambientes físicos - Estabelece 5 objetivos de controle

A proteção dos equipamentos de computação e pessoal requer instalações bem desenhadas e bem gerenciadas.

O processo de gerenciar o ambiente físico inclui definir os requisitos do ambiente físico, seleção de instalações apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso físico


® DS12.1 – Seleção de local e layout® DS12.2 – Medidas de segurança física® DS12.3 – Acesso físico

® DS12.4 – Proteção contra fatores ambientais® DS12.5 – Gerenciamento das instalações físicas


Volume de downtime gerado por incidentes de falhas físicas no ambiente.

Número de incidentes causados por brechas ou falhas de segurança física.

Frequência de avaliação de riscos físicos e revisões.

Entregar e suportarDS13 – Gerenciar operações


O processamento completo e exato de dados requer um gerenciamento efetivo do processamento e amanutenção do hardware.

Este processo inclui a definição de políticas e procedimentos operacionais para um gerenciamento efetivo da programação do processamento, proteção de saídas importantes, monitoramento da infraestrutura e manutenção preventiva dehardware.

O objetivo deste processo é a manutenção da Integridade dos dados e assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e falhas.


®DS13.1 – Procedimentos e instruções operacionais®DS13.2 – Agendamento de trabalhos®DS13.3 – Monitoramento da infraestrutura de TI®DS13.4 – Documentos importantes e dispositivos de saída®DS13.5 – Manutenção preventiva de hardware


Número de níveis de serviço impactados por incidentes operacionais.

Horas de downtime não plenejado causados por incidentes operacionais.

Módulo 07 - Monitorar e Avaliar

DescriçãoMódulo 07 - Monitorar e Avaliar

Para cada um dos 34 objetivos de controle de alto nível o COBIT apresenta:

Uma descrição do processo

Critérios de informação aplicados ao processo Uma declaração genérica de ações para um gerenciamento mínimo de boas

práticas para assegurar que o processo seja mantido sob controle Principais indicadores de performance Recursos de TI envolvidos Objetivos de controle detalhados Diretrizes de Gerenciamento

- Entradas e processos de origem - Saídas e processos de destino

Matriz de responsabilidades (RACI) Objetivos e métricas Modelo de maturidade

Adquirir e implementarAdquirir e implementar (AI)

Os processos do domínio adquirir e implementar são:

AI1 – Identificar soluções automatizadasAI2 – Adquirir e manter software aplicativoAI3 – Adquirir e manter infraestrutura tecnológicaAI4 – Habilitar operação e usoAI5 – Obtenção de recursos de TIAI6 – Gerenciar mudançasAI7 – Instalar e validar soluções e mudança

Monitorar e avaliar a performance da TIME1 – Monitorar e avaliar a performance da TI

- Estabelece 6 objetivos de controleO gerenciamento efetivo da performance da TI requer um processo de monitoramento.

Este processo inclui definir indicadores de performance relevantes, relatórios sistemáticos e no tempo adequado sobre questões de performance e ações tomadas em relação a desvios.

O objetivo deste processo é obter transparência e entendimento sobre os custos de TI, benefícios, estratégias, políticas e níveis de serviço de acordo com os requisitos de governança.

Objetivos do processo ME1Objetivos de controle do processo ME1

®ME1.1 – Abordagem de monitoramento®ME1.2 – Definição e coleções de dados de monitoramento®ME1.3 – Métodos de monitoramento®ME1.4 – Avaliação da performance®ME1.5 – Relatórios para a alta administração e executivos®ME1.6 – Ações corretivas


Satisfação da alta administração e da entidade de governança em relação aos relatórios de performance.

Número de ações de melhoria iniciadas em função das atividades de monitoramento.

Controles internosME2 – Monitorar e avaliar controles internos


Estabelecer um programa efetivo de controle interno para a TI requer um processo de monitoração bem definido.

Este processo inclui monitor e reportar exceções de controle, resultados da auto-avaliação e revisão de terceiros.

O objetivo deste processo é proteger o cumprimento dos objetivos de TI e estar aderente a legislação, regulamentação ou contratos relacionados com a TI.


ME2.1 – Framework de monitoramento de controles internosME2.2 – Revisão de supervisãoME2.3 – Controle de exceçõesME2.4 – Controle de autoavaliaçãoME2.5 – Segurança de controles internosME2.6 – Controles internos de terceirosME2.7 – Ações corretivas


Número de brechas graves nos controles internos.

Número de iniciativas para melhoria dos controles.

Número e cobertura da auto-avaliação de controles.

Assegurar aderência com requisitos

externosME3 – Assegurar aderência com requisitos externos


Uma vigilância regulatória efetiva requer o estabelecimento de um processo de revisão para assegurar a conformidade com leis, regulamentos e requisitos contratuais

O objetivo deste processo é assegurar a conformidade com leis, regulamentação e requisitos contratuais.


ME3.1 – Identificação de requisitos externos de conformidade com legislação, regulamentação e contratuaisME3.2 – Otimização das respostas aos requisitos externosME3.3 – Avaliação de conformidade com os requisitos externosME3.4 – Validação positiva de conformidadeME3.5 – Relatórios integrados


Custo da não conformidade, incluindo acordos e multas.

Tempo médio decorrido entre a identificação e resolução de problemas externos de conformidade.

Frequência de revisões de conformidade

Prover governança ME4 – Prover governança de TI - Estabelece 7 objetivos de controle Estabelecer um framework efetivo de governança inclui definir a

estrutura organizacional, processos, liderança, papéis e responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e entregues em acordo com a estratégia e objetivos corporativos.

O objetivo deste processo é integrar a governança de TI com os objetivos da governança corporativa e cumprir com as leis, regulamentação e contratos vigentes


ME4.1 – Estabelecimento de um framework de governança de TIME4.2 – Alinhamento estratégicoME4.3 – Entrega de valorME4.4 – Gerenciamento de recursosME4.5 – Gerenciamento de riscosME4.6 – Avaliação de performanceME4.7 – Auditoria independente


Frequência de relatórios sobre TI emitidos da alta-administração para partes interessadas (incluindo maturidade).

Frequência de relatórios sobre TI emitidos da TI para a alta-administração (incluindo maturidade)

Frequência de revisões independentes (auditorias) sobre a conformidade de TI

Módulo 08 - Família de Produtos do Cobit

A ISACA disponibiliza uma série de produtos complementares ao COBIT, porém, dentre eles há 5 produtos que se destacam e é importante que você tenha conhecimento sobre como utilizar, e quais os benefícios que cada um deles traz.

Recomendamos que dedique alguns minutos navegando pelo site da ISACA em Isaca com o objetivo de pesquisar um pouco mais sobre cada produto.

Esta dica é válida especialmente se você estiver interessado em fazer o exame de certificação em COBIT Foundations:

COBIT on lineO COBIT on line apresenta informações sobre o COBIT via internet. Restrito a assinantes (serviço pago), ele possibilita que os usuários naveguem, façam pesquisas, compartilhem ou tirem proveito de uma base de conhecimento sobre o assunto.

O COBIT on line provê acesso rápido e fácil a todos os recursos do COBIT, por meio do recurso MyCOBIT é possível construir e efetuar o download de sua própria versão (customizada) do COBIT para uso com o Word ou Access já com os modelos de avaliação.

COBIT Quickstart

O COBIT Quickstart foi especialmente projetado para dar assistência a uma adoção rápida e fácil dos elementos essenciais do COBIT.

Trata-se de uma versão compactada dos recursos do COBIT com foco no processos mais críticos de TI, seus objetivos de controle e métricas.

O COBIT Quickstart pode ser visto como uma linha de referência para que empresas pequenas e médias, mas ao mesmo tempo também é de utilidade para grandes organizações como um acelerador na adoção de melhores práticas de governança de TI.

Implementação de governança de TIGuia de implementação de governança de TI

A ISACA afirma, por meio de seu folder de produtos, que um dos principais objetivos de se adotar melhores práticas é evitar a reinvenção da roda!

Partindo deste princípio, entende-se que adotar melhores práticas em governança de TI só será possível se sua implementação for efetiva e eficiente.

Trata-se de um kit com modelos extremamente úteis, ferramentas de diagnóstico e técnicas para relatórios que auxiliam na adoção doframework de governança baseado no COBIT, oferecendo um modelo genérico que permite estabelecer um plano de ação para adaptá-lo às necessidades da sua empresa.

Security Baseline e Val ITMódulo 08 - Família de Produtos do Cobit

5/6COBIT Security Baseline

Este produto é visto como um kit básico de sobrevivência para diretores, executivos, gerentes, usuários profissionais e domésticos, relacionado a segurança da informação.

Trata-se de uma publicação focada em riscos de segurança de uma maneira simples de seguir e implementar para qualquer pessoa, desde um usuário doméstico até executivos e conselheiros de grandes organizações.

Val IT

Esta publicação foca na governança dos investimento de TI, e naturalmente é baseado no framework do COBIT.

Ele oferece direcionamento para gerenciar os investimentos no portfólio de TI da organização.

Trata-se de um recurso que complementa o COBIT com uma perspectiva de negócio e financeira de modo que é bastante útil para quem tiver interesse em obter o melhor retorno possível da TI.

Módulo 09 - Exame de Certificação

Mercado atualSituação do mercado atual (2008 a 2012)

A necessidade de governança corporativa e a melhor gestão dos serviços de TI geram no mercado uma demanda para profissionais devidamente qualificados na área, especificamente aqueles com qualificação e certificação em COBIT e ITIL para a gestão de TI.

Dentre as principais exigências das empresas na hora da seleção e contratação de profissionais para a área de TI é que o candidato seja altamente qualificado. E mesmo para aqueles que já ocupam seu lugar ao sol, a qualificação é fundamental para manutenção da empregabilidade e até mesmo para estar apto a assumir novas responsabilidades.

Módulo 09- Exame de Certificação

Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC), um profissional certificado tem 53% a mais de chances de conseguir um emprego em relação aos profissionais que não possuem este título.

Este índice pode ser ainda mais elevado de acordo com o tipo de certificação que o profissional possui. Além disso, o salário de profissionais certificados gira em torno de 10 a 100% a mais do que a média que o mercado paga aos profissionais não certificados.

Como obter certificaçãoCOBIT Foundations

O exame para certificação COBIT Foundations tem 1 hora de duração e é composto por 40 questões de multipla escolha, onde você deve obter pelo menos 70% de aproveitamento (28 questões) para obter a aprovação no exame.

O exame no idioma inglês pode ser adquirido via internet no site da COBIT Campus, por meio de um cartão de crédito internacional, e poderá ser realizado em qualquer local com conexão via Internet.

Exame em portuguêsÉ possível fazer o exame em português, no entanto, este é distribuído exclusivamente para parceiros daIT Preneurs. No Brasil, a empresa IT Partners oferece o exame em português por meio de suas instalações em São Paulo e Brasília.

Ao final do exame o seu proctor preencherá o relatório e enviá-lo para a ISACA.

Outras informações

Estude o framework do COBIT 4.1 e o Val IT, navegue pelo site do ISACA, pratique nos simulados e reveja o nosso material quantas vezes forem necessárias!

Importante: As dicas apresentadas tem a finalidade de orientar os alunos interessados em prestar o exame de certificação. A Fundação Bradesco não custeia o exame e não tem qualquer relacionamento com as empresas citadas.

Informações complementares

Caso você seja aprovado no exame, a ISACA enviará a você um certificado impresso, por correio. O certificado normalmente é recebido dentro de 40 dias e é emitido automaticamente caso você seja aprovado.

Módulo 10 - Resumo e Simulados

Governança de TIResumo dos principais tópicos do curso

Com o objetivo de fixar o conteúdo apresentado, a seguir temos um resumo dos pontos mais relevantes deste curso.

Governança de TI

Trata-se de um conjunto de processos e estruturas com o objetivo de assegurar que a TI possa suportar adequadamente os objetivos e estratégias de negócio da organização, de modo a agregar valor real ao negócio, balancear riscos e, acima de tudo, obter retorno sobre os investimentos realizados em TI.

É comum observar que empresas sem um bom modelo de governança de TI normalmente vê ou trata a organização de TI como um centro de custos, em vez de como um parceiro para realizar a estratégia do negócio.

Membros do Conselho de Administração e Executivos das empresas são os responsáveis pela governança de TI.

Principal objetivoPra que serve?

O principal objetivo da governança de TI é proporcionar o alinhamento da organização da TI com as necessidades do negócio, atuais e futuras, oferecendo assim melhores condições para a tomada de decisão sobre os investimentos em tecnologia.

O alinhamento com a estratégia da organização possibilita que a TI possa se posicionar de maneira a agregar valor aos produtos e serviços oferecidos pela empresa, auxilia no posicionamento competitivo, assegura que os recursos sejam utilizados da melhor forma possível, o que naturalmente implica na redução de custos e melhora da eficiência administrativa (excelência operacional)

Componentes e recursosCritérios de informação / Requisitos de negócio

Componentes do COBIT (cubo do COBIT)Processos de TI

Agrupados em 4 domínios ®Planejar e organizar ®Adquirir e implementar ®Entregar e suportar ®Monitorar e avaliar ®34 processos e 210 objetivos de controle

Recursos de TI®Aplicações®nformação

®nfraestrutura®Pessoas (internos ou terceirizados)

IndicadoresOutcome measures (indicadores de resultado)São os indicadores avaliados após a execução do processo. Indicam se o processo alcançou o resultado esperado, considerando inclusive os critérios de informação.

Exemplo: na Fórmula 1, após o término de cada corrida normalmente se divulga a velocidade média e o tempo total de prova, de modo a tornar possível a comparação com corridas anteriores, no mesmo circuito.

Performance indicators (indicadores de performance)São os indicadores avaliados durante a execução do processo, de modo que seja possível tomar medidas corretivas para assegurar que este alcance seu resultado.

RACI e maturidadeMatriz RACI

A matriz RACI, do acrônimo em inglês Responsible,Accountable, Consulted e Informed, determina claramente qual o papel de cada envolvido com o processo, deixando claro as responsabilidades de cada um.

Modelos de Maturidade

Os modelos de maturidade propostos pelo COBIT são derivados do mesmo conceito adotado no CMM, e são uma maneira de classificar a maturidade da empresa em relação a um determinado processo, fazer comparação com outras empresas no mercado (análise de gap), de modo que permite estabelecer planos de ação para alcançar a maturidade desejada, melhorando assim os resultados da TI e dos negócios que dependem da TI.

InformaçõesMódulo 10 - Resumo e Simulados

7/11Produtos do COBITCOBIT Online

COBIT QuickstartGuia de implementação de governança de TICOBIT Security BaselineVal IT

Dica ImportanteUm ponto fundamental para decidir quais práticas de controle e governança de TI serão estabelecidas é a compreensão do risco e do custo de não fazer nada!

A equação da TI

Diretrizes de auditoria

Trata-se de um guia passo-a-passo compilado para ajudar auditores externos ou internos a avaliar a performance da organização.

A estrutura para o processo de auditoria aceita no mercado normalmente compreende 4 estágios principais:

Obtenção do entendimento dos riscos Avaliação do controles determinados Avaliação de conformidade (por meio de testes) Substanciação dos riscos (dos objetivos de controle não atingidos)

Práticas de Controle

Trata-se do como o do porque é importante adotar práticas de controle na administração, baseados na análise das operações e riscos da TI.

cobit 4.1

Documents