cobit foundation resumo

16
Este material não pode ser distribuído. Somente poderá ser utilizado por alunos do site TIEXAMES. www.tiexames.com.br EXAME COBIT FOUNDATION 4.1 REVISÃO DOS PONTOS-CHAVE IMPORTANTE! O objetivo deste material é revisar e memorizar os conceitos-chave da Governança de TI, Framework do COBIT e produtos relacionados para lhe preparar para o exame COBIT 4.1 Foundation da ISACA/ITGI. Este material serve apenas como revisão – é recomendável que você faça o curso e-learning da TIEXAMES e leia o material complementar disponibilizado na área de links de referência. É garantido que muitos dos conceitos aqui abordados irão aparecer nas questões do exame. GOVERNANÇA DE TI PRINCIPAIS DESAFIOS DA TI Promover alinhamento entre TI e negócio Reduzir os custos da TI Gerenciar a complexidade da TI Proporcionar segurança da informação Aumentar a qualidade dos serviços Gerenciar fornecedores externos Estar em conformidade com leis e regulamentos O QUE É GOVERNANÇA DE TI É um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratégias de negócio da organização, adicionando valores aos serviços entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI. O conselho de administração e os executivos são responsáveis pela Governança de TI. STAKEHOLDERS NA GOVERNANÇA DE TI São pessoas ou elementos relacionados com as operações de TI, como: Fornecedores Usuários Órgãos públicos Governo Acionistas Diretores/executivos/gerentes Este material não pode ser distribuído. Somente poderá ser utilizado por alunos do site TIEXAMES. www.tiexames.com.br ÁREAS DE FOCO DA GOVERNANÇA DE TI GERENCIAMENTO DE RISCOS Os riscos são gerenciados de quatro formas: Mitigando riscos: implementar controles que protejam contra riscos. Por exemplo: implementação de um firewall de segurança. Transferindo riscos: compartilhar riscos com parceiros ou contratar seguro apropriado. Aceitando riscos: confirmar e monitorar riscos, e ter pronto um plano de resposta ao risco. Evitando riscos: adotar uma opção diferente que evite completamente o risco. CARACTERÍSTICAS NECESSÁRIAS EM UM FRAMEWORK DE CONTROLE Um framework (estrutura) de controle de TI deve conter as seguintes características: Foco no negócio Orientação a processo Padrão aceito Linguagem comum Requisitos regulatórios BENEFÍCIOS DA GOVERNANÇA DE TI Confiança da alta administração TI mais comprometida com o negócio Maior ROI (Retorno sobre o Investimento) Serviços mais confiáveis Mais transparência 1. Alinhamento Estratégico Alinhando TI com o negócio e fornecendo soluções colaborativas 2. Entrega de Valor Executando a proposição de valor através do ciclo de entrega 3. Gerenciamento de Riscos Gerenciando riscos de TI, impactos das mudanças, segurança, conformidade. 4. Gerenciamento de Recursos Otimizando o desenvolvimento e o uso de recursos disponíveis. 5. Mensuração de Desempenho Monitoramento dos recursos para ação corretiva. Gerenciamento de Recursos Mensu ração de Dese mpenh o Domínios da Governança de TI Geren ciame nto de Riscos Alinhamento Estratégico Entrega de Valor Áreas de foco da Governança de TI conforme o ITGI:

Upload: fcostanery

Post on 04-Jul-2015

287 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

E

XA

ME

CO

BIT

FO

UN

DA

TIO

N 4.1

R

EV

ISÃ

O D

OS

PO

NT

OS

-CH

AV

E

IMP

OR

TA

NT

E!

O objetivo deste m

aterial é revisar e mem

orizar os conceitos-chave da Governança de

TI, F

ramew

ork do CO

BIT

e produtos relacionados para lhe preparar para o exame

CO

BIT

4.1 Foundation da IS

AC

A/IT

GI. E

ste material serve apenas com

o revisão – é recom

endável que você faça o curso e-learning da TIE

XA

ME

S e leia o m

aterial com

plementar disponibilizado na área de links de referência. É

garan

tido

qu

e mu

itos

do

s con

ceitos aq

ui ab

ord

ado

s irão ap

arecer nas q

uestõ

es do

exame.

GO

VE

RN

AN

ÇA

DE

TI

PR

INC

IPA

IS D

ES

AF

IOS

DA

TI

• P

romover alinham

ento entre TI e negócio

• R

eduzir os custos da TI

• G

erenciar a complexidade da T

I •

Proporcionar segurança da inform

ação •

Aum

entar a qualidade dos serviços •

Gerenciar fornecedores externos

• E

star em conform

idade com leis e regulam

entos O

QU

E É

GO

VE

RN

AN

ÇA

DE

TI

É um

conjunto de estruturas e processos que visa garantir que a TI suporte e

maxim

ize adequadamente os objetivos e estratégias de negócio da organização,

adicionando valores aos serviços entregues, balanceando os riscos e obtendo o retorno sobre os investim

entos em T

I. O

conselho de administração e os executivos são responsáveis pela G

overnança de T

I. S

TA

KE

HO

LD

ER

S N

A G

OV

ER

NA

A D

E T

I S

ão pessoas ou elementos relacionados com

as operações de TI, com

o: •

Fornecedores

• U

suários •

Órgãos públicos

• G

overno •

Acionistas

• D

iretores/executivos/gerentes

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

ÁR

EA

S D

E F

OC

O D

A G

OV

ER

NA

A D

E T

I

G

ER

EN

CIA

ME

NT

O D

E R

ISC

OS

O

s riscos são gerenciados de quatro formas:

Mitig

and

o risco

s: implem

entar controles que protejam contra riscos. P

or exem

plo: implem

entação de um firew

all de segurança. •

Tran

sferind

o risco

s: compartilhar riscos com

parceiros ou contratar seguro apropriado.

• A

ceitand

o risco

s: confirmar e m

onitorar riscos, e ter pronto um plano de

resposta ao risco. •

Evitan

do

riscos: adotar um

a opção diferente que evite completam

ente o risco. C

AR

AC

TE

RÍS

TIC

AS

NE

CE

SS

ÁR

IAS

EM

UM

FR

AM

EW

OR

K D

E C

ON

TR

OL

E

Um

framew

ork (estrutura) de controle de TI deve conter as seguintes características:

• F

oco no negócio •

Orientação a processo

• P

adrão aceito •

Linguagem com

um

• R

equisitos regulatórios B

EN

EF

ÍCIO

S D

A G

OV

ER

NA

A D

E T

I •

Confiança da alta adm

inistração •

TI m

ais comprom

etida com o negócio

• M

aior RO

I (Retorno sobre o Investim

ento) •

Serviços m

ais confiáveis •

Mais transparência

1. Alin

ham

ento

Estratég

ico

Alin

hand

o T

I co

m o

neg

ócio

e fo

rnecen

do

solu

ções c

ola

bora

tivas

2. En

trega d

e Valo

r E

xecuta

ndo a

pro

posiç

ão d

e v

alo

r atra

vés d

o

cic

lo d

e e

ntre

ga

3. G

erenciam

ento

de R

iscos

Gere

ncia

ndo ris

cos d

e T

I, impacto

s d

as

muda

nças, s

eg

ura

nça, c

on

form

idad

e.

4. Geren

ciamen

to d

e Recu

rsos

Otim

iza

nd

o o

desenvo

lvim

ento

e o

uso d

e

recurs

os d

isponív

eis

. 5. M

ensu

ração d

e Desem

pen

ho

M

on

itora

men

to d

os re

curs

os p

ara

ação

corre

tiva.

Gerenciam

ento de R

ecursos

Mensu

ração de

Dese

mpenho

D

om

ínio

s da

Go

vernan

ça d

e TI

Geren

ciame

nto de

Riscos

Alinham

ento E

stratégico

Entrega

de Valor

Áreas de foco da G

overnança de T

I conforme o IT

GI:

Page 2: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

IN

TR

OD

ÃO

AO

CO

BIT

C

ON

CE

ITO

S B

ÁS

ICO

S

• C

OB

IT =

Control O

bjectives for Inform

ation and related Technology

• É

um fram

ework (estrutura) e um

a base de conhecimento para os processos

de TI e seu gerenciam

ento •

Não é um

padrão definitivo – deve ser adaptado para cada empresa

• É

um fram

ework (estrutura) de controle que tem

o propósito de assegurar que os recursos de T

I estarão alinhados com os objetivos da organização

• É

baseado na premissa de que a T

I precisa entregar informação que a

empresa necessita para atingir seus objetivos

• O

princípio do framew

ork CO

BIT

é o de prover um link entre as expectativas e

as responsabilidades de gerenciamento de T

I, com o objetivo de facilitar que a

Governança de T

I agregue valor à TI enquanto gerencia riscos

• F

az com que a T

I seja mais responsiva ao negócio

MIS

O D

O C

OB

IT

Pesquisar, desenvolver, publicar e prom

over um conjunto de objetivos de controle para

tecnologia que seja embasado, atual, internacional e aceito em

geral para uso no dia-a-dia de gerentes de negócio e auditores. O

CO

BIT

AT

EN

DE

AO

S 5 R

EQ

UIS

ITO

S D

E U

M F

RA

ME

WO

RK

DE

CO

NT

RO

LE

Define um

a linguagem com

um para T

I e negócio •

Ajuda a atender aos requisitos regulatórios

• É

um padrão aceito entre em

presas •

É orientado a processos

• É

focado nos requisitos de negócio C

OM

PO

NE

NT

ES

DO

CO

BIT

PR

OC

ES

SO

S D

E T

I S

ão 4 D

om

ínio

s e 34 Pro

cessos d

e TI:

1. P

lanejamento e O

rganização 2.

Aquisição e Im

plementação

3. E

ntrega e Suporte

4. M

onitoração e Avaliação

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

CR

ITÉ

RIO

S D

E IN

FO

RM

ÃO

D

ica: deco

re isto, vai cair n

a pro

va! P

ara satisfazer os objetivos de negócio as informações precisam

estar em

conformidade com

os critérios chamados R

equ

isitos d

e Neg

ócio

. São eles:

� R

equ

isitos d

e Qu

alidad

e �

Q

ualidade �

C

usto �

E

ntrega

� R

equ

isitos F

idu

ciários (R

elatório

do

CO

SO

) �

E

ficácia e eficiência das operações �

C

onfiabilidade das informações

Conform

idade com leis e regulam

entos

� R

equ

isitos d

e Seg

uran

ça �

C

onfidencialidade �

Integridade

Disponibilidade

O C

OB

IT m

apeia os requisitos de negócio para informação em

CR

ITÉ

RIO

S D

E

INF

OR

MA

ÇÃ

O:

• E

ficácia (ou

efetividad

e): ligado com relevância e utilidade da inform

ação. •

Eficiên

cia: ligado com otim

ização de recursos. •

Co

nfiab

ilidad

e: ligado com inform

ação correta. •

Co

nfo

rmid

ade: relacionado com

conformidades a leis e regulam

entos. •

Co

nfid

encialid

ade: relacionado com

proteção e segurança da informação.

• In

tegrid

ade: relacionado com

validez da informação.

• D

ispo

nib

ilidad

e: informação disponibilizada quando requerida.

Decore os 3 critérios de inform

ação relacionados à segurança da informação: C

ID

(Confidencialidade – Integridade – D

isponibilidade)

Page 3: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

RE

CU

RS

OS

DE

TI

� A

plicativo

s: sistemas autom

atizados e procedimentos m

anuais para processar inform

ações. �

Info

rmação

: dados de todos os formulários de entrada, processados e

exibidos pelos sistemas de inform

ação, podendo ser qualquer formulário usado

pelo negócio. �

Infraestru

tura: inclui hardw

are, sistemas operacionais, sistem

as de banco de dados, rede, m

ultimídia, etc. É

tudo que seja necessário para o funcionamento

das aplicações. �

Pesso

as: pessoal necessário para planejar, organizar, adquirir, implem

entar, entregar, dar suporte, m

onitorar e avaliar os sistemas de inform

ação e serviços. E

las podem ser internas ou terceirizadas.

CO

BIT

X O

UT

RO

S P

AD

ES

O C

OB

IT é com

patível com outros padrões – este é um

benefício da sua adoção

• O

CO

BIT

está em um

nível mais genérico, portanto pode ser utilizado para

avaliar outros processos implem

entados por outros framew

orks como IT

IL e IS

O 17799

• O

CO

BIT

pode ser aplicado depois que outros padrões de nível mais

operacional já estejam aplicados, já que o C

OB

IT vai servir para auditar estes

processos •

O C

OS

O é um

framew

ork para controle de interno e não somente de T

I: pode ser utilizado em

qualquer área de negócio. Já o CO

BIT

é específico para TI –

mas está alinhado com

o CO

SO

O C

OB

IT cobre todos os processos da IT

IL, entretanto a ITIL é m

ais detalhada •

O C

OB

IT é um

framew

ork que diz o que tem ser feito e não se preocupa em

com

o fazer •

O C

OB

IT atende aos requisitos regulatórios aos quais a em

presa está subm

etida, por isto pode ser utilizado para cumprir a conform

idade com a

Sarbanes-O

xley

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

OB

JET

IVO

S D

E C

ON

TR

OL

E

Dica im

po

rtante: b

aixe o fram

ewo

rk do

CO

BIT

no

site da IS

AC

A e leia tu

do

sob

re os

pro

cessos P

O10 e D

S2.

Co

mo

framew

ork d

e con

trole, o

CO

BIT

tem 2 fo

cos:

1. F

ornecer informações necessárias para suportar os objetivos e requisitos de

negócio 2.

Tratar inform

ações como sendo o resultado com

binado de aplicações de TI e

recursos que precisam ser gerenciados por processos de T

I M

OD

EL

O D

E P

RO

CE

SS

O D

O C

OB

IT

Page 4: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

RE

SU

MO

DO

S P

RO

CE

SS

OS

MA

IS IM

PO

RT

AN

TE

S

Do

mín

io

Pro

cesso

Descrição

P

O

PO

9 Assess an

d M

anag

e IT R

isks C

ria e mantém

um fram

ework de gerenciam

ento de riscos de T

I. Todos os assuntos relacionados a riscos estão

envolvidos neste processo.

PO

10 Man

age P

rojects

Envolve-se com

todos os assuntos relacionados ao gerenciam

ento de projetos de TI.

A

I

AI4 E

nab

le Op

eration

and

Use

Preocupa-se em

disponibilizar conhecimento sobre os

novos sistemas. E

ste processo requer a produção de docum

entação e manuais para usuários e T

I, e fornece treinam

ento aos usuários.

AI6 M

anag

e Ch

ang

es

Inclui todas as mudanças, inclusive as m

udanças em

ergenciais relacionadas com a infraestrutura.

D

S

DS

1 Defin

e and

Man

age S

ervice L

evels

Define os níveis de serviços requeridos junto com

os clientes, e m

onitora e emite relatórios para os stakeholders.

D

S2 M

anag

e Th

ird-p

arty Services

Assegura os serviços fornecidos por terceiros para que

estes satisfaçam as necessidades do negócio. E

nvolve-se com

regras, responsabilidades e acordos com terceiros.

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

D

IRE

TR

IZE

S D

E G

ER

EN

CIA

ME

NT

O

As diretrizes de gerenciam

ento fornecem ferram

entas para medir e com

parar a capacidade para cada processo de T

I.

• M

etas e métricas

o

Medidas de resultado (outcom

e measures)

o

Indicadores de desempenho (perform

ance indicators)

• R

ecursos o

E

ntradas e saídas para cada processo o

G

ráfico RA

CI (m

atriz de responsabilidades) M

ÉT

RIC

AS

A

s diretrizes de gerenciamento especificam

medidas de resultado em

forma de O

Ms

(Outcom

e Measures) e m

edidas de performance em

forma de P

Is (Perform

ance Indicators). In

dicad

ores d

e p

erform

ance

(performance

indicators)

Medem

como você está fazendo. T

ambém

conhecidos como

indicadores de tendência.

Med

idas d

e resu

ltado

(outcom

e measures) M

edem o que você tem

feito. Tam

bém conhecidas com

o indicadores de lag pelo fato de m

edirem som

ente após o fato ocorrido.

As diretrizes de gerenciam

ento do CO

BIT

sugerem utilizar balanced business

scorecards, os quais fornecem m

étricas para alcançar as metas de T

I. Um

scorecard tem

4 dimensões que m

apeiam m

etas e indicadores de performance:

Page 5: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

GR

ÁF

ICO

/TA

BE

LA

RA

CI

Para cada processo é sugerido um

gráfico/tabela RA

CI com

os responsáveis por cada atividade:

M

OD

EL

OS

DE

MA

TU

RID

AD

E

Um

modelo de m

aturidade é uma m

edida que possibilita uma organização a classificar

sua maturidade para determ

inado processo. A classificação vai de inexistente (0) a

otimizado (5).

Os m

odelos de maturidades fazem

parte das diretrizes de gerenciamento e podem

ser utilizados para fazer com

parações de maturidade com

outras empresas.

M

od

elo g

enérico

de m

aturid

ade

0 Inexisten

te N

ão existem controles.

1 Inicial

Já existem processos, m

as não há documentos nem

padrões.

2 Rep

etível P

rocessos padronizados, mas falta docum

entação e comunicação.

3 Defin

ido

O

s processos são formalizados. E

xiste documentação, treinam

ento e comunicação

definida.

4 Geren

ciado

Processos em

aperfeiçoamento já fornecem

boas práticas, mas faltam

ferramentas de

automação.

5 Otim

izado

O

s processos já estão refinados a partir das melhores práticas identificadas. E

xiste institucionalização das m

elhores práticas.

0

1

2

3

4 5

Inexistente

Inicial R

epítivel D

efinido G

erenciado O

timizado

En

terprise cu

rrent

status

Intern

ation

al stand

ard

gu

idelin

es In

du

stry best

practice

En

terprise

strategy

Leg

end

a para o

s símb

olo

s

Leg

end

as para o

rankin

g

0 0 – Pro

cessos d

e geren

ciamen

to n

ão são

aplicad

os a to

do

s 1 1 – P

rocesso

s são d

esorg

anizad

os

2 2 – Pro

cessos seg

uem

um

pad

rão reg

ular

3 3 – Pro

cessos são

do

cum

entad

os e co

mu

nicad

os

4 4 – Pro

cessos são

mo

nito

rado

s e med

ido

s 5 5 – M

elho

res práticas são

segu

idas e au

tom

atizadas

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

RE

LA

CIO

NA

ME

NT

O E

NT

RE

OS

RE

CU

RS

OS

DO

CO

BIT

M

etas d

e neg

ócio

M

etas T

I

A

tividad

es- ch

ave

G

ráfico

RA

CI

In

dicad

or d

e d

esemp

enh

o

In

dicad

or d

e resu

ltado

Mo

delo

de

matu

ridad

e

T

estes do

s resu

ltado

s d

os co

ntro

les

O

bjetivo

s de

con

trole

T

estes de

desen

ho

d

o co

ntro

le

P

ráticas de

con

trole

Informação

Requisitos

Controlado por

Derivado de

Auditada por

Decom

posto em

Medido por

Executada pelo

Pelo desem

penho

Pelo resultado

Pela m

aturidade

Auditado

com

Implantados

com

Baseado em

Pro

cessos

de T

I

Esta figura m

ostra como os

componentes do C

OB

IT se inter-

relacionam, fornecendo recursos

para suportar governança, gestão e controle.

Page 6: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

PR

OD

UT

OS

DO

ITG

I D

ica imp

ortan

te: naveg

ue p

elo site d

a ISA

CA

e pesq

uise u

m p

ou

co m

ais sob

re os

pro

du

tos. P

od

em cair q

uestõ

es mu

ito esp

ecíficas sob

re o q

ue h

á den

tro d

e cada

pro

du

to. É

imp

ortan

te ter um

overview

. P

TIC

AS

DE

CO

NT

RO

LE

A

s práticas de controle de TI fornecem

detalhamento sobre com

o implem

entar objetivos de controle. C

OB

IT O

NL

INE

A

presenta informações do C

OB

IT na w

eb. Ele possibilita que vários usuários

naveguem, pesquisem

, compartilhem

e utilizem a base de conhecim

ento. É um

a área restrita aos assinantes. P

rincipais recursos do CO

BIT

Online:

• D

ownload de arquivos P

DF

Benchm

arking (para comparar sua em

presa com outras)

• Q

uestionários de avaliação •

Com

unidade para trocar ideias com outros usuários

IT A

SS

UR

AN

CE

GU

IDE

(GU

IA D

E G

AR

AN

TIA

) �

É um

guia de validação para profissionais que precisam de orientações para

garantir o funcionamento dos controles internos e m

elhoria de processos. �

Fornece conselhos sobre com

o testar o funcionamento de cada objetivo de

controle, assegurando que os controles são suficientes e ajudando a docum

entar seus pontos fracos. O

IT A

ssurance Guide oferece um

a estrutura para o plano de auditoria/validação com

posta por três estágios: Planejam

ento, Definição de E

scopo e Execução.

PL

A

NE

M

EN

T

O

ES

CO

PO

EX

EC

U

ÇÃ

O

Estabelece o universo de validação de T

I para designar o que será validado.

Define m

etas de negócio e de TI para o am

biente que será revisado/auditado, e quais são os processos e recursos de T

I necessários para suportar estas m

etas.

Guia os profissionais apresentando os principais testes a serem

executados durante um

a auditoria/validação.

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

C

OB

IT Q

UIC

KS

TA

RT

É

uma versão com

pacta do CO

BIT

para que a empresa consiga beneficiar-se de seu

uso. É direcionado para em

presas de pequeno é médio porte.

IT IM

PL

EM

EN

TA

TIO

N G

UID

E

É um

roadmap para o conselho de adm

inistração, a gerência executiva, os profissionais de T

I e controle, os profissionais de auditoria em T

I e os gerentes de conform

idade.

C

OB

IT S

EC

UR

ITY

BA

SE

LIN

E

O C

OB

IT S

ecurity Baseline fornece inform

ações sobre a segurança de uma m

aneira sim

ples. É um

kit de sobrevivência para diretores, executivos, gerentes e usuários profissionais e dom

ésticos. Portanto, não é guia técnico para especialistas em

segurança da inform

ação. V

AL

IT

O fram

ework do V

AL IT

é baseado no CO

BIT

. Seus princípios incluem

governança de valor, gerenciam

ento de portfólio e gerenciamento de investim

entos. P

rincípios do VA

L IT:

� O

s investimentos habilitados pela T

I serão administrados com

o um p

ortfó

lio

de in

vestimen

tos

� O

s investimentos habilitados pela T

I incluirão um esco

po

com

pleto

de

atividad

es que são necessárias para gerar valor ao negócio �

Os investim

entos habilitados pela TI serão adm

inistrados através de tod

o o

seu

ciclo d

e vida eco

mico

As práticas de entrega de valor reconhecerão que existem

diferentes categ

orias d

e investim

ento

s, que serão avaliadas e administradas de

maneiras diferentes

� A

s práticas de entrega de valor irão definir e monitorar m

étricas-chave e

responderão rapidamente a quaisquer m

udanças ou divergências O

estágio de execução subdivide-se em 6 etapas:

Refinar o

entendimento

Redefinir

o escopo

Testar o

desenho do controle

Testar os

resultados

Docum

entar o im

pacto C

omunicar as

recomendações

1 2

3 4

5 6

IT

Go

vernan

ce Imp

lemen

tation

Ro

adm

ap b

aseado

no

CO

BIT

Iden

tifica n

ecessidad

es V

isualiza

a solu

ção

Imp

lemen

ta a so

lução

P

laneja

a solu

ção

Op

eracion

aliza a so

lução

Conscientiza

Define o escopo

Define os riscos

Define recursos e entregáveis

Planeja o

programa

Avalia o

programa

Define m

etas de m

elhoria

Analisa os gaps e identifica as

melhorias

Define os

projetos

Desenvolve plano

de melhoria

Implem

enta as m

elhorias

Monitora o

desempenho da

implem

entação

Revisa a eficácia do program

a

Constrói

sustentabilidade

Identifica novos requisitos de

A p

articipação

do

neg

ócio

du

rante a G

overn

ança d

e TI é essen

cial

Page 7: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

� A

s práticas de entrega de valor devem engajar todos os stakeholders e definir

uma p

restação d

e con

tas apro

priad

a sobre a entrega de capacidades e obtenção de benefícios de negócio

� A

s práticas de entrega de valor serão con

tinu

amen

te mo

nito

radas, avaliad

as e m

elho

radas

Fram

ewo

rk do

CO

BIT

4.1 Ob

jetivos d

e Co

ntro

le

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

DS

1 Definir níveis de S

erviços D

S2 G

erenciar Serviços de T

erceiros D

S3 G

erenciar Perform

ance e Capacidade

DS

4 Garantir C

ontinuidade dos Serviços

DS

5 Garantir S

egurança dos Sistem

as D

S6 Identificar e A

locar Custos

DS

7 Educar e T

reinar usuários D

S8 G

erenciar Service D

esk e Incidentes D

S9 G

erenciar a Configuração

DS

10 Gerenciar P

roblemas

DS

11 Gerenciar D

ados D

S12 G

erenciar os Am

bientes Físicos

DS

13 Gerenciar O

perações

ME

1 Monitorar e A

valiar a Perform

ance de TI

ME

2 Monitorar e A

valiar Controle Interno

ME

3 Assegurar C

onformidade R

egulatória M

E4 F

ornecer Governança de T

I

AI1 Identificar soluções autom

atizadas A

I2 Adquirir e m

anter software aplicativo

AI3 A

dquirir e manter arquitetura

tecnológica A

I4 Manter operação e uso

AI5 O

bter Recursos de T

I A

I6 Gerenciar m

udanças A

I7 Instalar e certificar Soluções e M

udanças

PL

AN

EJ

AM

EN

TO

E

O

RG

AN

IZA

ÇÃ

O

AQ

UIS

IÇÃ

O E

IM

PL

EM

EN

TA

ÇÃ

O

EN

TR

EG

A E

S

UP

OR

TE

MO

NIT

OR

ÃO

E

AV

AL

IAÇ

ÃO

PO

1 Definir um

Plano E

stratégico de TI

PO

2 Definir a A

rquitetura de Informação

PO

3 Determ

inar a Direção T

ecnológica P

O4 D

efinir Processos de T

I, Organização e

Relacionam

ento P

O5 G

erenciar o Investimento em

TI

PO

6 Com

unicar Metas e D

iretivas Gerenciais

PO

7 Gerenciar R

ecursos Hum

anos P

O8 G

erenciar Qualidade

PO

9 Avaliar e G

erenciar Riscos

PO

10 Gerenciar P

rojetos

Page 8: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

PL

AN

EJA

ME

NT

O E

OR

GA

NIZ

ÃO

P

O1 D

efinir u

m P

lano

Estratég

ico d

e TI

O planejam

ento estratégico é requerido para gerenciar e direcionar todos os recursos da TI em

linha com

as estratégias e prioridades do negócio. A função da T

I e os stakeholder’s do negócio são responsáveis para assegurar que um

valor otimizado é realizado através dos portfolios dos projetos e

serviços. O plano estratégico deve aum

entar a compreensão dos stakeholder’s chaves em

relação das oportunidades e lim

ites da TI, avaliar o desem

penho atual e esclarecer o nível de investimentos

requeridos. A estratégia e as prioridades do negócio devem

ser refletidas nos portfolios e executadas através dos planos táticos da T

I, os quais estabeleçam objetivos concisos, planos e tarefas

compreendidas e aceitos pelo negócio e da T

I. P

O2 D

efinir a A

rqu

itetura d

e Info

rmação

A

função dos sistemas de inform

ação deve criar e atualizar regularmente um

modelo de inform

ação de negócio e definir os sistem

as apropriados para otimizar o uso da inform

ação. Isso inclua o desenvolvim

ento de um dicionário coorporativo de dados com

as regras de sintaxe da organização, esquem

a de classificação de dados e níveis de segurança. Este processo m

elhora a qualidade de decisões feitas pelas gerencias e assegura que inform

ações confiáveis e seguras são providas e isso habilita de racionalizar recursos de sistem

as de informação para atender apropriadam

ente as estratégias de negócio. E

ste processo da TI tam

bém necessita de aum

entar a responsabilidade sobre a integridade e segurança dos dados e m

elhorar a efetividade e controle sobre o compartilham

ento de informação

através de aplicações e entidades. P

O3 D

etermin

ar a Direção

Tecn

oló

gica

A função dos serviços de inform

ação deve determinar a direção tecnológica para suportar o negócio.

Isso requer a criação de um plano da infra-estrutura tecnológica e um

comitê de arquitetura que fixa e

gerencia expectativas claras e realísticas o que a tecnologia pode oferecer em term

os de produtos, serviços e m

ecanismos de entrega. O

plano deve ser atualizado regularmente e incluir aspectos com

o a arquitetura de sistem

as, direção tecnológica, planos de aquisição, padrões, estratégias de migração e

contingência. Isso habilita uma resposta em

tempo para m

udar para um am

biente competitiva,

economias em

escala com o pessoal e os investim

entos em sistem

as de informação e um

investimento

que melhora a interoperabilidade de plataform

as e aplicações. P

O4 D

efinir P

rocesso

s de T

I, Org

anização

e Relacio

nam

ento

U

ma organização da T

I precisa ser definida, considerando os requerimentos para pessoas, habilidades,

funções, responsabilidade, autoridade, papeis e supervisão. Esta organização deve estar em

butida dentro um

framew

ork de processos da TI que asseguram

transparência e controle, como tam

bém

envolvem os executivos sênior e gerentes de negócio. U

m com

itê estratégico deve assegurar uma visão

geral da TI e um

ou mais com

itês de direção, em quais os participantes do negócio e da T

I devem

determinar a priorização dos recursos da T

I em linha com

as necessidades do negócio. Processos,

políticas e procedimentos adm

inistrativos necessitam de ser im

plementadas para todas as funções, com

atenção especifica para o controle, garantia de qualidade, gerenciam

ento de riscos, segurança de inform

ação, propriedade para dados e sistemas e segregação de direitos. P

ara assegurar um suporte

em tem

po para os requerimentos do negócio, a T

I deve estar envolvida em processos relevantes de

decisão. P

O5 G

erenciar o

Investim

ento

em T

I E

stabelecer e manter um

framew

ork para gerenciar programas que habilitem

investimentos em

TI e que

abrangem custos, benefícios, priorização nos orçam

entos, um processo form

al de orçamentos e

gerenciamento em

relação dos orçamentos. T

rabalhar com os stakeholder’s para identificar e controlar o

total dos custos e benefícios dentro do contexto dos planos estratégicos e táticos da TI e iniciar ações

corretivas quando necessárias. O processo deve favorecer os relacionam

entos entre a TI e stakeholder’s

do negócio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparência e

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

responsabilidade nos custos totais de propriedade, a relação do beneficio para o negócio e o retorno sobre investim

entos que habilitam a T

I. P

O6 C

om

un

icar Metas e D

iretivas Geren

ciais A

administração deve desenvolver um

framew

ork de controle empresarial da T

I e definir e comunicar

políticas. Um

programa continua de com

unicação deve ser implem

entada para articular a missão,

objetivos de serviço, políticas e procedimentos, etc. aprovados e suportados pela adm

inistração. A

comunicação suporta o atingim

ento dos objetivos da TI e assegura conscientização e com

preensão em

relação do negócio e os riscos, objetivos e a direção da TI. O

processo deve assegurar a conformidade

com leis e regulam

entos. P

O7 G

erenciar R

ecurso

s Hu

man

os

Adquire, m

antêm e m

otiva uma força de trabalho com

petente para criar e entregar serviços da Ti para o

negócio. Isso é atingido seguindo praticas definidos e acordadas que suportam o recrutam

ento, treinam

ento, avaliação do desempenho, prom

oção e demissão. E

ste processo é critico, como as

pessoas são um ativo e de governança im

portante e o ambiente interno de controle depende bastante

da motivação e com

petência do pessoal. P

O8 G

erenciar Q

ualid

ade

Um

sistema de gerenciam

ento da qualidade deve ser desenvolvido e mantido, o qual inclua um

processo de desenvolvim

ento e aquisição comprovado e padronizado. Isso é habilitado através do planejam

ento, im

plementação e m

anutenção do sistema de qualidade que provêm

requerimentos claros de qualidade,

procedimentos e políticas. R

equerimentos de qualidade devem

ser determinados e com

unicados, com

indicadores quantificáveis e atingíveis. Melhorias contínuas são atingidas através de um

monitoram

ento operacional, analises e ações sobre desvios e a com

unicação dos resultados para os stakeholder’s. G

erenciamento da qualidade é essencial para assegurar que a T

I entrega valor para o negócio, m

elhorias contínuas e transparência para stakeholder’s . P

O9 A

valiar e Geren

ciar Risco

s C

riar e manter um

framew

ork de gerenciamento de riscos. O

framew

ork documenta um

nível de riscos da T

I comum

e acordado, estratégias de mitigação e acordos sobre riscos residuais. Q

ualquer impacto

potencial sobre as metas da organização, causada por eventos não planejados, deve ser identificado,

levantado e avaliado. Estratégias de m

itigação de riscos devem ser adotadas para m

inimizar riscos

residuais ao um nível aceitável. O

resultado da avaliação deve ser compreensível para os stakeholder’s

e expresso em term

os financeiros, para habilitar os stakeholder’s de alinhar os riscos com um

nível aceitável de tolerância. P

O10 G

erenciar P

rojeto

s E

stabelecer um fram

ework de gerenciam

ento de programas e projetos para gerenciar todos os projetos

da TI. E

ste framew

ork deve assegurar a correta priorização e coordenação de todos os projetos. O

framew

ork deve incluir um plano m

estre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, um

a abordagem em

fases para as entregáveis, garantia de qualidade, um plano form

al de teste, testes e revisões pós-im

plementação após da instalação para assegurar o gerenciam

ento de risco e a entrega do valor para o negócio. E

sta abordagem reduz o risco de custos não esperados e

cancelamento de projetos, aum

enta a comunicação com

os envolvidos do negócio e usuários finais, assegura o valor e a qualidade dos entregáveis do projeto e m

aximiza a contribuição de program

as que habilitam

investimentos em

TI.

Page 9: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

AQ

UIS

IÇÃ

O E

IMP

LE

ME

NT

ÃO

A

I1 Iden

tificar solu

ções au

tom

atizadas

A necessidade para novas aplicações ou funções requer um

a análise antes da aquisição ou criação para assegurar que os requerim

entos do negócio são satisfeitos numa abordagem

efetiva e eficiente. Este

processo cubra a definição das necessidades, considerando fontes alternativas, revisão da viabilidade tecnológica e econôm

ica, execução de análise de risco e análise de custo / beneficio e a conclusão de um

a decisão final de “fazer” ou “comprar”. T

odos estes passos habilitam a organização de m

inimizar os

custos de adquirir e implem

entar soluções, enquanto asseguram que estes habilitam

o negócio de atingir seus objetivos. A

I2 Ad

qu

irir e man

ter softw

are aplicativo

A

plicações devem estar disponíveis em

linha com os requerim

entos de negócio. Este processo envolve

o desenho de aplicações, a inclusão apropriada de controles de aplicação e requerimentos de segurança

e o atual desenvolvimento e configuração conform

e os padrões. Isso permita as organizações de

suportar apropriadamente as operações de negócio com

as corretas aplicações automatizadas.

AI3 A

dq

uirir e m

anter arq

uitetu

ra tecno

lóg

ica O

rganizações devem haver um

processo para a aquisição, implem

entação e atualização da infra-estrutura tecnológica. Isso requer um

a abordagem planejada para a aquisição, m

anutenção e proteção da infra-estrutura em

linha com as estratégias tecnológicas acordadas e a provisão de am

bientes de desenvolvim

ento e teste. Isso assegura que o suporte tecnológico operacional suporta as aplicações de negócio. A

I4 Man

ter op

eração e u

so

Conhecim

ento sobre novos sistemas necessita de ser disponibilizado. E

ste processo requer a produção de docum

entação e manuais para usuários e T

I e prover treinamento que assegura o uso e a operação

apropriado de aplicações e infra-estrutura. A

I5 Ob

ter Recu

rsos d

e TI

Recursos de T

I, inclusive pessoas, hardware, softw

are e serviços, necessitam ser obtidos. Isso requer

uma definição e sanção de procedim

entos de aquisição, a seleção de fornecedores, a realização de arranjos contratuais e a aquisição em

se. Fazer assim

assegura que a organização tem todos os

recursos de TI requeridos em

tempo e de m

aneira efetivo em custo.

AI6 G

erenciar m

ud

anças

Todas as m

udanças, inclusive mudanças em

ergenciais e correções, relacionados à infra-estrutura e aplicações dentro de um

ambiente de produção precisam

ser gerenciados formalm

ente de uma m

aneira controlada. M

udanças (incluindo procedimentos, processos, sistem

as e parâmetros de serviços)

precisam ser registradas, avaliados e autorizadas antes de im

plementar e revisados em

relação dos resultados planejados em

seguida da implem

entação. Isso assegura a mitigação de riscos de im

pactos negativos sobre a estabilidade ou integridade de am

bientes produtivos. A

I7 Instalar e certificar S

olu

ções e M

ud

anças

Novos sistem

as precisam ser feitos operacionais um

a vez que o desenvolvimento é com

pleto. Isso requer testes apropriados em

um am

biente dedicado com dados de teste relevantes, definição da

introdução e instruções de migração, planejam

ento de liberações, promoção atual para a produção e

revisões pós-implem

entação. Isso assegura que sistemas operacionais estão em

linha com as

expectativas e resultados acordados.

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

EN

TR

EG

A E

SU

PO

RT

E

DS

1 Defin

ir níveis d

e Serviço

s C

omunicação efetiva entre a gerência da T

I e os clientes do negócio, em relação dos serviços

requeridos, é habilitado através da documentação e o acordo de serviços da T

I e níveis de serviços. E

ste processo também

inclua o monitoram

ento e o reporte em tem

po para os stakeholders sobre o cum

primento dos níveis de serviços. E

ste processo habilita o alinhamento entre os serviços da T

I o os requerim

entos de negócio associados. D

S2 G

erenciar S

erviços d

e Terceiro

s A

necessidade de assegurar que serviços providos por terceiros atendem os requerim

entos do negócio requer um

processo efetivo de gerenciamento de terceiros. E

ste processo é efetuado com papeis

claramente definidos, responsabilidades e expectativas em

acordos com terceiros, com

o também

com

revisão e monitoram

ento destes acordos para efetividade e conformidade. G

erenciamento efetivo de

serviços de terceiros minim

iza os riscos de negócio associados com fornecedores não conform

es. D

S3 G

erenciar P

erform

ance e C

apacid

ade

A necessidade de gerenciar o desem

penho e a capacidades dos recursos de TI requer um

processo para rever periodicam

ente o desempenho e a capacidade atual dos recursos da T

I. Este processo inclua

a previsão das futuras necessidades baseada na carga de trabalho, requerimentos de arm

azenamento e

de contingência. Este processo provém

a garantia que os recursos da informática, que suportam

os requerim

entos de negócio, são continuamente avaliados.

DS

4 Garan

tir Co

ntin

uid

ade d

os S

erviços

A necessidade de prover serviços contínuos de T

I requer o desenvolvimento, m

anutenção e testes de planos de continuidade da T

I, armazenam

ento externo de backup e treinamento periódico para o plano

de continuidade. Um

processo efetivo da continuidade de serviço minim

iza a probabilidade e o impacto

de interrupções maiores de serviço sobre funções e processos de negócio.

DS

5 Garan

tir Seg

uran

ça do

s Sistem

as A

necessidade de manter a integridade da inform

ação e proteger os ativos da TI requer um

processo de gerenciam

ento de segurança. Este processo inclui de estabelecer e m

anter papeis e responsabilidades, políticas, padrões e procedim

entos da segurança de TI. G

erenciamento da segurança tam

bém inclui

realizar monitoram

ento da segurança, testes periódicos e implem

entar ações corretivas para identificar fraquezas ou incidentes de segurança. U

m gerenciam

ento efetivo de segurança proteja todos os ativos da T

I para minim

izar o impacto sobre o negócio das vulnerabilidades e incidentes de segurança.

DS

6 Iden

tificar e Alo

car Cu

stos

A necessidade para um

justo e imparcial sistem

a de alocar custos para o negócio requer a medição

exata de custos da TI e acordos com

usuários de negócio para uma alocação correta. E

ste processo inclua a criação e operação de um

sistema de captura, alocação e reporte dos custos da T

I para os usuários de serviços. U

m sistem

a justo de alocação habilita o negócio de fazer mais decisões

informadas em

relação do uso de serviços da TI.

DS

7 Ed

ucar e T

reinar u

suário

s E

ducação efetiva de todos os usuários de sistemas de T

I, incluindo estes dentro da TI, requer a

identificação das necessidades de treinamento de cada grupo de usuários. E

m adição da identificação

da necessidade, este processo inclua a definição e execução de uma estratégia para um

treinamento

efetivo e medição de resultados. U

m program

a efetivo de treinamento aum

enta o uso efetivo da tecnologia com

a redução de erros de usuários, aumenta a produtividade e aum

enta a conformidade

com controles chaves com

o as medidas de segurança de usuários.

DS

8 Geren

ciar Service D

esk e Incid

entes

Respostas em

tempo e efetivos para as perguntas e problem

as dos usuários da TI requerem

uma central

de serviço bem desenhada e im

plementada e um

processo de gerenciamento de incidentes. E

ste processo inclua a im

plementação da função da central de serviços com

registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O

benefício para o negócio inclua um aum

ento de produtividade através da resolução rápido das perguntas dos usuários. E

m adição, o negócio pode

endereçar causas raiz (como um

pobre treinamento de usuários) através de um

reporte efetivo.

Page 10: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

DS

9 Geren

ciar a Co

nfig

uração

A

ssegurar a integridade da configuração de hardware e softw

are requer de estabelecer e manter um

preciso e com

pleto repositório da configuração. Este processo inclua a coleta inicial de inform

ação da configuração, estabelecer referências, verificar e auditar a inform

ação da configuração e atualizar o repositório da configuração quando necessário. G

erenciamento efetivo da configuração facilita a

disponibilidade maior do sistem

a, minim

izar assuntos de produção e resolver estes assuntos mais

rápidos. D

S10 G

erenciar P

rob

lemas

Um

gerenciamento efetivo de problem

as requer a identificação e classificação de problemas, análise da

causa raiz e resolução de problemas. O

processo do gerenciamento de problem

as também

inclua a identificação de recom

endações para melhorar a m

anutenção de registros de problemas e revisar o

status de ações corretivas. Um

processo do gerenciamento de problem

as efetivo melhora níveis de

serviço, reduz custos e melhora a conveniência e satisfação.

DS

11 Geren

ciar Dad

os

Gerenciam

ento efetivo de dados requer a identificação de requerimentos para dados. O

processo de gerenciam

ento de dados também

inclua estabelecer procedimentos efetivos para gerenciar a biblioteca

de mídias, backup e recuperação e disponibilizar m

ídias apropriadas. Gerenciam

ento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do negócio. D

S12 G

erenciar o

s Am

bien

tes Físico

s A

proteção para equipamentos de com

putação e pessoal requer instalações bem desenhadas e bem

gerenciadas. O

processo de gerenciar o ambiente físico inclua de definir os requerim

entos para um lugar

físico, seleção de instalações apropriadas e desenho efetivo dos processos para monitorar elem

entos am

bientais e gerenciar o acesso físico. Gerenciam

ento efetivo do ambiente físico reduz interrupções do

negócio devida de danos nos equipamentos de com

putação e no pessoal. D

S13 G

erenciar O

peraçõ

es P

rocessamento com

pleto e exato de dados requer o gerenciamento efetivo do processam

ento de dados e a m

anutenção de hardware. E

ste processo inclua a definição de políticas e procedimentos

operacionais para um gerenciam

ento efetivo da programação do processam

ento, proteção de output sensitivo, m

onitoramento da infra-estrutura e m

anutenção preventiva de hardware. G

erenciamento

efetivo da operação ajuda de manter a integridade de dados e reduz atrasos no negócio e custos da

operação da TI.

MO

NIT

OR

ÃO

E A

VA

LIA

ÇÃ

O

ME

1 Mo

nito

rar e Avaliar a P

erform

ance d

e TI

Assegura que a adm

inistração estabeleça um fram

ework geral de m

onitoramento e um

a abordagem que

defina o escopo, metodologia e processos para serem

seguidos para o monitoram

ento da TI contribua

para os resultados do gerenciamento do portfolio em

presarial e processos de programas gerenciais e

estes processos que são específicos para entregar as competências e serviços da T

I. O fram

ework deve

estar integrado com o sistem

a de gerenciamento de desem

penho da companhia.

ME

2 Mo

nito

rar e Avaliar C

on

trole In

terno

E

stabelecer um program

a de controle interno efetivo para a TI requer um

processo de m

onitoração bem definido. E

ste processo inclui monitoração e reporte de exceções de controle,

resultados da auto-avaliação e revisão de fornecedores (terceiros). Um

benefício principal do controle interno de m

onitoração é fornecer segurança relacionada à eficiência e eficácia das operacionais e conform

idade com leis e regulam

entos. M

E3 A

ssegu

rar Co

nfo

rmid

ade R

egu

latória

Um

a vigilância regulatória eficiente requer o estabelecimento de um

processo de revisão independente para garantir a conform

idade com leis e regulam

entos. Este processo inclui

definir um auditor independente, ética profissional e padrões, planejam

ento, desempenho do

trabalho de auditoria, e reporte do acompanham

ento das atividades de auditoria. O propósito

deste processo é fornecer uma garantia positiva relacionada à conform

idade da TI com

leis e regulam

entos.

Page 11: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

ME

4 Fo

rnecer G

overn

ança d

e TI

Estabelecer um

framew

ork efetivo de governança, incluindo a definição de estruturas organizacionais, processos, liderança, papeis e responsabilidades para assegurar que os investim

entos em T

I em

presarial são alinhados e entregas de acordo com as estratégias e objetivos em

presariais.

DE

SC

RIÇ

ÃO

DO

PR

OC

ES

SO

Serve para criar um

a estrutura de programa e gerenciam

ento de projetos para o gerenciamento

de todos os projetos de TI estabelecidos. A

estrutura garante priorização correta e coordenação de todos os projetos. E

sta estrutura inclui plano mestre, alocação de recursos,

definição de entregáveis, aprovação pelos usuários, abordagem por fases para entrega,

qualidade, plano de testes, revisão pós-implem

entação e testes após a instalação para assegurar o gerenciam

ento de riscos e a entrega de valor para o negócio.

Co

ntro

le sob

re o p

rocesso

de T

I de

Gerenciar projetos

Q

ue satisfaz o

s requ

isitos d

e neg

ócio

para T

I E

ntregando os projetos dentro do prazo, custo e qualidade F

ocan

do

em

Um

programa definido e um

a abordagem para gerenciam

ento de projetos que são aplicados aos projetos de T

I, que habilitam o envolvim

ento das partes interessadas no m

onitoramento de riscos do projeto e progresso

É

alcançad

o

� D

efinindo e reforçando estruturas de programa e abordagem

para gerenciam

ento de projetos �

Liberando diretrizes de gerenciamento de projetos

� F

azendo o planejamento de projeto para cada projeto do portfólio

É m

edid

o p

or

� P

ercentual de projetos atendendo às expectativas das partes interessadas

� P

ercentual de projetos recebendo revisões pós-implem

entação �

Percentual de projetos seguindo padrões e práticas de

gerenciamento de projetos

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

Page 12: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

OB

JET

IVO

S D

E C

ON

TR

OL

E

P

O10 G

ER

EN

CIA

R P

RO

JET

OS

P

O10.1 F

ramew

ork d

e Geren

ciamen

to d

e Pro

gram

a

Manter o program

a de projetos relacionados ao portfólio de programas de investim

ento de T

I. Fazer isso identificando, definindo, avaliando, priorizando, selecionando,

iniciando, gerenciando e controlando projetos. Assegurar que os projetos suportam

os objetivos do program

a. Coordenar as atividades e interdependências de m

últiplos projetos, gerenciar a contribuição dos projetos do program

a para os entregáveis esperados e resolver conflitos relacionados a requisitos de recursos. P

O10.2 F

ramew

ork d

e Geren

ciamen

to d

e Pro

jeto

Estabelecer e m

anter um fram

ework de gerenciam

ento de projeto que defina o escopo e os lim

ites do gerenciamento, assim

como o m

étodo a ser adotado e aplicado a cada projeto. O

framew

ork e o método de suporte devem

estar integrados ao processo de gerenciam

ento de programa.

PO

10.3 Ab

ord

agem

de G

erenciam

ento

de P

rojeto

E

stabelecer uma abordagem

de gerenciamento de projeto com

patível com o tam

anho, a com

plexidade e os requisitos regulatórios de cada projeto. A estrutura de

governança do projeto pode incluir os papéis e responsabilidades do patrocinador do program

a, dos patrocinadores do projeto, do comitê de direção, do escritório de

projetos e do gerente de projetos, e os mecanism

os através dos quais eles poderão cum

prir essas tarefas (como, por exem

plo, fazer relatórios e revisão de estágios). C

ertificar-se de que todos os projetos de TI têm

patrocinadores com autoridade

suficiente para serem proprietários da execução do projeto dentro do program

a estratégico geral. P

O10.4 C

om

pro

metim

ento

das P

artes Interessad

as O

bter comprom

etimento e participação dos stakeholders afetados na definição e

execução do projeto dentro do contexto do programa geral de investim

ento de TI.

PO

10.5 Declaração

de E

scop

o d

o P

rojeto

D

efinir e documentar a natureza e o escopo do projeto para confirm

ar e desenvolver, entre os stakeholders, um

entendimento com

um do escopo do projeto e de com

o ele se relaciona com

outros projetos dentro do programa geral de investim

ento de TI. A

definição deve ser aprovada form

almente pelos patrocinadores do program

a e do projeto antes do início do projeto. P

O10.6 In

ício d

e Fase d

o P

rojeto

A

provar o início de cada fase principal do projeto e comunicá-lo a todos os

stakeholders. Basear a aprovação da fase inicial em

decisões da governança de program

a. A aprovação de fases seguintes deve ser baseada na análise e na

aceitação dos entregáveis da fase anterior e na aprovação de um business case

atualizado na próxima revisão do program

a. Em

caso de sobreposição de fases do projeto, um

ponto de aprovação deve ser estabelecido pelos patrocinadores do program

a e do projeto, para autorizar seu andamento.

PO

10.7 Plan

o In

tegrad

o d

o P

rojeto

E

stabelecer um plano integrado de projeto, form

al e aprovado (que cubra recursos de negócio e de sistem

as de informação), para guiar e controlar a execução do projeto

através de seu ciclo de vida. As atividades e interdependências de m

últipos projetos dentro de um

programa devem

ser entendidas e documentadas. O

plano do projeto deve ser m

antido durante seu ciclo de vida. O plano de projeto e suas alterações

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

devem ser aprovados em

conformidade com

o programa e com

o framew

ork de governança de projeto. P

O10.8 R

ecurso

s do

Pro

jeto

Definir responsabilidades, relacionam

entos, autoridades e critérios de desempenho

dos mem

bros da equipe do projeto, e especificar a base para obter e designar m

embros do staff e/ou contratados para o projeto. A

aquisição de produtos e serviços necessários para cada projeto deve ser planejada e gerenciada para atingir os objetivos do projeto usando as práticas de aquisição da organização. P

O10.9 G

erenciam

ento

de R

isco d

o P

rojeto

E

liminar ou m

inimizar os riscos específicos associados a projetos individuais através

de um processo sistem

ático de planejamento, identificação, análise, resposta,

monitoram

ento e controle das áreas ou eventos que tenham potencial para causar

mudanças indesejadas. O

s riscos enfrentados pelo processo de gerenciamento de

projetos e pelo entregável do projeto devem ser estabelecidos e registrados.

PO

10.10 Plan

o d

e Qu

alidad

e do

Pro

jeto

Preparar um

plano de gerenciamento de qualidade que descreva o sistem

a de qualidade do projeto e com

o ele será implem

entado. O plano deve ser revisado

formalm

ente, e todas as partes interessadas devem form

almente concordar com

ele e incorporá-lo no plano integrado do projeto. P

O10.11 C

on

trole d

e Mu

dan

ças do

Pro

jeto

Estabelecer um

sistema de controle de m

udança para cada projeto, para que todas as alterações feitas à linha de base (com

o custo, cronograma, escopo, qualidade) sejam

devidam

ente revisadas, aprovadas e incorporadas ao plano integrado do projeto de acordo com

o programa e com

o framew

ork de governança de projeto. P

O10.12 P

lanejam

ento

de M

étod

os d

e Garan

tia do

Pro

jeto

Identificar tarefas de garantia necessárias para suportar a acreditação de sistemas

novos ou modificados durante o planejam

ento do projeto, e incluí-las no plano integrado do projeto. E

stas tarefas devem fornecer garantias de que os controles

internos e as funções de segurança cumprem

os requisitos definidos. P

O10.13 M

étricas, Relató

rios e M

on

itoram

ento

do

Pro

jeto

Medir a perform

ance do projeto contra os critérios de cronograma, qualidade, custos e

riscos do projeto-chave. Identificar desvios do plano. Avaliar o im

pacto dos desvios no projeto e no program

a geral, e reportar os resultados aos stakeholders principais. R

ecomendar, im

plementar e m

onitorar ações corretivas (quando requeridas) alinhadas ao o program

a e ao framew

ork de governança de projeto. P

O10.14 F

echam

ento

do

Pro

jeto

Requerer que, no final de cada projeto, os stakeholders confirm

em se o projeto

entregou os resultados e benefícios planejados. Identificar e comunicar quaisquer

atividades extraordinárias necessárias para alcançar os resultados do projeto e os benefícios do program

a planejados, e identificar e documentar lições aprendidas para

uso em futuros projetos e program

as.

Page 13: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

DIR

ET

RIZ

ES

DE

GE

RE

NC

IAM

EN

TO

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

MO

DE

LO

DE

MA

TU

RID

AD

E

O

gerenciamento do processo gerenciar projetos que satisfaça o requisito do negócio

para a TI assegurando a entrega de resultados do projeto dentro de um

período de tem

po, orçamento e qualidade com

binados é: 0 – In

existente quando

Técnicas de gerenciam

ento de projeto não são usadas e a organização não considera os im

pactos no negócio associados com a m

á administração de projetos e as falhas

de desenvolvimento.

1 – Inicia / A

d H

oc quando

O uso de técnicas e abordagens de gerenciam

ento de projeto dentro da TI é um

a decisão deixada aos gerentes de T

I individualmente. H

á uma falta de

comprom

etimento gerencial para com

a propriedade e gerenciamento do projeto.

Decisões críticas em

gerenciamento de projeto são tom

adas sem participação do

gerenciamento do usuário ou cliente. E

xiste pouco ou nenhum envolvim

ento do cliente/usuário em

definir projetos de TI. N

ão existe nenhuma organização clara dentro

da TI para o gerenciam

ento de projetos. Os papéis e responsabilidades para o

gerenciamento de projetos não são definidos. P

rojetos, programações e pontos de

verificação são pobremente definidos, se é que existem

. O tem

po e as despesas de staff do projeto não são verificados e nem

comparados aos orçam

entos. 2 – R

epetível m

ais intu

itivo quando

A gerência sênior adquiriu e com

unicou a conscientização da necessidade de gerenciam

ento de projetos de TI. A

organização está na fase de desenvolver e aproveitar algum

as técnicas e métodos de projeto a projeto. O

s projetos de TI têm

objetivos de negócio e técnicos definidos inform

almente. E

xiste um envolvim

ento lim

itado das partes interessadas no gerenciamento do projetos de T

I. Diretrizes iniciais

foram desenvolvidas para m

uitos aspectos do gerenciamento de projeto. A

aplicação de diretrizes de gerenciam

ento de projeto é deixada a critério do gerente individual do projeto. 3 – D

efinid

o quando

O processo e a m

etodologia de gerenciamento de projetos de T

I foram estabelecidos e

comunicados. O

s projetos de TI são definidos com

objetivos técnicos e de negócio apropriados. A

gerência sênior de TI e do negócio estão com

eçando a se com

prometer e se envolver no gerenciam

ento de projetos de TI. U

m escritório de

gerenciamento de projeto é estabelecido dentro da T

I, com papéis iniciais e

responsabilidades definidas. Os projetos de T

I são monitorados, com

marcos,

cronograma, orçam

ento e medição de desem

penho definidos e atualizados. O

treinamento do gerenciam

ento de projeto está disponível. O treinam

ento do gerenciam

ento de projeto é primeiram

ente um resultado de iniciativas individuais da

equipe. Os procedim

entos da garantia de qualidade e atividades de implem

entação pós-sistem

a foram definidos, m

as não são totalmente aplicados pelos gerentes de T

I. O

s projetos estão começando a ser adm

inistrados como portfólios.

4 – Geren

ciado

e men

surável quando

O gerenciam

ento requer métricas de projeto form

ais e padronizadas e lições aprendidas a serem

revistas na conclusão do projeto. O gerenciam

ento do projeto é m

edido e avaliado por toda a organização e não somente dentro da T

I. Avanços no

processo de gerenciamento de projeto são form

alizados e comunicados aos m

embros

da equipe do projeto treinados nos avanços. O gerenciam

ento de TI im

plementou um

a estrutura de organização de projeto com

papéis documentados, responsabilidades e

critérios de desempenho da equipe. O

s critérios para avaliar o sucesso em cada ponto

de verificação foram estabelecidos. V

alor e risco são medidos e gerenciados antes,

Page 14: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

durante e após a conclusão dos projetos. Os projetos crescentem

ente direcionam-se

às metas da organização, m

ais do aqueles específicos para a TI. E

xiste um suporte de

projeto forte e ativo para gerenciamento de patrocinadores, assim

como de partes

interessadas. O treinam

ento de gerenciamento relevante de projeto é planejado para

os funcionários no escritório de gerenciam

ento de projeto e através da função de TI.

5 – Otim

izado

quando U

m ciclo de vida do projeto com

pleto é aprovado e uma m

etodologia de programa é

implem

entada, imposta e integrada na cultura de toda a organização. U

ma iniciativa

contínua para identificar e institucionalizar melhores práticas de gerenciam

ento de projeto foi im

plementada. U

ma estratégia de T

I para fornecimento de projetos

operacionais e de desenvolvimento é definida e im

plementada. U

m escritório de

gerenciamento de projeto integrado é responsável por projetos e program

as do início até a pós-im

plementação. O

planejamento de program

as e projetos globais da organização assegura que os recursos do usuário e de T

I sejam m

elhor utilizados para apoiar iniciativas estratégicas.

DE

SC

RIÇ

ÃO

DO

PR

OC

ES

SO

A necessidade de assegurar que serviços fornecidos por terceiros (fornecedores, vendedores e

parceiros) alcancem os requisitos do negócio requer um

processo eficaz de gerenciamento de

terceiros. Este processo é claram

ente realizado definindo os papéis, responsabilidades e expectativas em

acordos de terceiros como a revisão e o m

onitoramento de tais acordos para a

eficácia e a conformidade. O

gerenciamento eficaz de serviços de terceiros m

inimiza o risco do

negócio associado com o m

au desempenho dos fornecedores.

Co

ntro

le sob

re o p

rocesso

de T

I de

Gerenciar serviços de terceiros

Q

ue satisfaz o

requ

isito d

o n

egó

cio p

ara a TI

Fornecendo serviços satisfatórios de terceiros sendo transparente sobre benefícios,

custos e riscos

Fo

cand

o em

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

estabelecer relacionamentos e responsabilidades bilaterais com

os fornecedores de serviço qualificado de terceiros e m

onitorar a entrega de serviço para verificar e assegurar aderência aos acordos

É

alcançad

o

• Identificando e categorizando fornecedores de serviços

• Identificando e m

itigando risco de fornecedores •

Monitorando e m

ensurando desempenho do fornecedor

É

med

ido

po

r •

Núm

ero de reclamações de usuário devido a serviços

contratados •

Porcentagem

dos principais fornecedores alcançando requisitos e níveis de serviço claram

ente definidos •

Porcentagem

dos principais fornecedores sujeitos a m

onitoração

Page 15: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

OB

JET

IVO

S D

E C

ON

TR

OL

E

D

S2 G

ER

EN

CIA

R S

ER

VIÇ

OS

DE

TE

RC

EIR

OS

D

S2.1 Id

entificação

de R

elacion

amen

tos co

m F

orn

ecedo

res Identificar todos os serviços de fornecedores e classificá-los de acordo com

o tipo, im

portância e criticidade de cada fornecedor. Manter docum

entação formal sobre

relacionamentos técnicos e organizacionais cobrindo papéis e responsabilidades,

metas, entregáveis esperados e credenciais dos representantes destes fornecedores.

DS

2.2 Geren

ciamen

to d

e Relacio

nam

ento

com

Fo

rneced

ores

Form

alizar o processo de gerenciamento de relacionam

ento para cada fornecedor. Os

responsáveis devem se com

unicar sobre assuntos ligados à relação cliente-fornecedor para que seja assegurada um

a relação baseada em confiança e transparência (por

exemplo, através de A

cordos de Nível de S

erviço). D

S2.3 G

erenciam

ento

de R

isco d

e Fo

rneced

or

Identificar e mitigar os riscos relacionados à habilidade do fornecedor de prestar

serviços de maneira eficiente e segura continuam

ente. Assegurar que os contratos

estejam em

conformidade com

padrões universais de negócios em relação à

legalidade e a requisitos regulatórios. O gerenciam

ento de riscos deve ainda considerar acordos de confidencialidade, docum

entos sob custódia de terceiros, viabilidade continuada de fornecedor, conform

idade com requisitos de segurança,

fornecedores alternativos, multas e recom

pensas, etc. D

S2.4 M

on

itoram

ento

de P

erform

ance d

e Fo

rneced

or

Estabelecer um

processo para monitorar a acom

panhar a prestação de serviços para garantir que o fornecedor esteja cum

prindo os requisitos atuais do negócio e continuando a seguir os contratos e A

cordos de Nível de S

erviço, e que sua perform

ance esteja em um

nível competitivo com

fornecedores alternativos e condições de m

ercado.

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

DIR

ET

RIZ

ES

DE

GE

RE

NC

IAM

EN

TO

Page 16: Cobit Foundation Resumo

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

MO

DE

LO

DE

MA

TU

RID

AD

E

O

gerenciamento do processo G

erenciar Serviços de T

erceiros que satisfaz os requisitos de T

I do negócio de prover serviços terceirizados satisfatórios sendo transparente sobre benefícios, custos e riscos significa: 0 - In

existente quando

Quando responsabilidades não estão definidas. N

ão existem políticas e procedim

entos form

ais sobre contratação de terceiros. Serviços de terceiros não são revisados nem

aprovados pela gerência. N

ão há atividades de avaliação nem de reporte e a alta

gerência não fica ciente da qualidade do serviço prestado. 1 - In

icial/Ad

ho

c quando Q

uando a gerência está consciente da necessidade de ter políticas e procedimentos

documentados para o gerenciam

ento de terceiros, incluindo contratos. Não existem

cláusulas-padrão para acordos com

prestadores de serviços. A avaliação dos serviços

prestados é informal e reativa. A

s práticas dependem da experiência do indivíduo e do

fornecedor. 2 - R

epetível m

as intu

itivo quando

Quando o processo de supervisionar prestadores de serviços terceirizados, riscos

associados e entrega de serviços é informal. F

az-se uso de um contrato pró-form

a com

termos e condições padrão (por exem

plo, a descrição dos serviços a serem

prestados). Relatórios sobre os serviços prestados estão disponíveis, m

as não suportam

os objetivos do negócio. 3 – D

efinid

o quando

Quando há procedim

entos documentados com

processos claros de negociação que regem

serviços de terceiros. Quando é feito um

acordo para prestação de serviços, o relacionam

ento com o terceirizado é puram

ente contratual. A natureza dos serviços a

serem prestados é detalhada no contrato e inclui requisitos legais e operacionais. A

responsabilidade de supervisionar serviços de terceiros é atribuída. C

láusulas contratuais são baseadas em

modelos padronizados. O

risco do negócio associado aos serviços de terceiros é avaliado e reportado. 4 - G

erenciad

o e M

ensu

rável quando Q

uando c ritérios formais e norm

alizados são estabelecidos para definir as condições do contrato, incluindo escopo do trabalho, serviços e entregáveis a serem

fornecidos, pressupostos, cronogram

a, custos, formas de cobrança e responsabilidades. A

responsabilidade de gerenciar contrato e fornecedor é atribuída. Q

ualificações, riscos e capacidades do fornecedor são verificados continuam

ente. Requisitos de serviço são

definidos e relacionados aos objetivos do negócio. Existe um

processo de revisão de perform

ance de serviço contra as cláusulas contratuais que fornece entradas para avaliar serviços atuais e futuros. M

odelos de transferência de preços são utilizados no processo de aquisição. T

odas as partes envolvidas estão cientes das expectativas quanto a serviço, custo e m

arcos. Existem

metas e m

étricas acordadas para a supervisão de prestadores de serviços. 5 – O

timizad

o quando

Quando contratos assinados com

terceiros são revisados periodicamente em

intervalos pré-definidos. A

responsabilidade de gerenciar fornecedores e qualidade dos serviços prestados é atribuída. M

onitoram-se a observância e o cum

primento das

cláusulas contratuais operacionais, legais e de controle, e ações corretivas são realizadas. O

terceirizado está sujeito a revisões periódicas independentes, e um

feedback sobre seu desempenho é utilizado para m

elhorar a entrega do serviço. A

valiações variam de acordo com

as condições mutáveis do negócio, e suportam

a detecção precoce de problem

as potenciais com serviços terceirizados. A

remuneração

Este m

aterial não pode ser distribuído. S

omente poderá ser utilizado por alunos do site T

IEX

AM

ES

. w

ww

.tiexames.com

.br

do terceirizado está ligada a uma reporte abrangente do nível de serviço realizado.

Baseada em

métricas, a gerência ajusta o processo de aquisição e m

onitoramento de

serviços terceirizados.