Este documento fornece um guia de estudo para o exame de certificação do Cobit Foundation. Ele cobre os principais tópicos do exame agrupados em três partes: 1) revisão geral do Cobit Foundation, 2) descrição dos principais processos Cobit, e 3) produtos relacionados ao Cobit. O guia tem o objetivo de auxiliar os candidatos na preparação para o exame complementando o material do treinamento.
Guia de estudo para exame de certificacao do Cobit 4.1 v7
1. Guia de Estudo para Exame de Certificação do Cobit Foundation
Guia de Estudo
para o Exame Certificação
do Cobit Foundation® 4.1 versão 7.0
Rildo Santos(@rildosan)
rildo.santos@etecnologia.com.br
www.etecnologia.com.br
www.rildosan.blogspot.com
www.etecnologia.ning.com
Todos os direitos produtos e marcas citados neste guia são de propriedade dos seus donos, este material poderá ser copiado, ampliando e
distribuído deste que autorizado pelo autor.
Pág: 1/38 Revisão 7.0
2. Guia de Estudo para Exame de Certificação do Cobit Foundation
Introdução:
Este Guia de Estudo foi elaborado para ajudar e facilitar na preparação para o exame de
certificação do Cobit Foundation versão 4.1.
Seu propósito é servir como um documento de revisão complementar ao treinamento de
Cobit Foundation.
O guia cobre todos os assuntos abordados no exame de certificação, contudo ele não é
prescritivo, ou seja, você deverá considerar outras fontes de estudo.
Rildo Santos
Como se preparar para o exame de Certificação do Cobit Foundation 4.1:
Check Lists:
Material do treinamento:
1 – Faça uma releitura de todo o material
2 – Refaça os exercícios
3 – Refaça o simulado
Guia de Estudo:
1 - Leia o Guia
2 - No final de cada parte faça um resumo das partes mais importantes (elas estão
grafadas na cor amarela)
3 - Faça os exercícios para fixação, após a elaboração dos resumos de cada parte
4 - Faça o simulado de certificação
Pág: 2/38 Revisão 7.0
3. Guia de Estudo para Exame de Certificação do Cobit Foundation
Este Guia está organizado em três partes:
Primeira parte:
Revisão Geral do Cobit Foundation
Segunda parte:
Os Processos
o DS2
o PO10
o Descrição dos demais processos
Terceira parte:
Produtos Cobit
o COBIT Online
o COBIT Quickstart
o IT Governance Implementation Guide Using COBIT e Val IT
o COBIT Security Baseline
Pág: 3/38 Revisão 7.0
4. Guia de Estudo para Exame de Certificação do Cobit Foundation
Revisão Geral:
Desafios de TI:
- Manter TI funcionando
- Agregar valor
- Otimizar custos
- Manter o alinhamento de TI com o negócio
- Atender a requisitos regulatórios (SOX, BASEL II, SPED, etc)
Definição de Governança Empresarial (Corporativa):
Governança empresarial é um conjunto de responsabilidades e práticas exercitadas pelo conselho e o
gerenciamento executivo com as metas de:
Fornecer um direcionamento estratégico
Garantir que os objetivos sejam alcançados
Estabelecer que os riscos sejam gerenciados apropriadamente
Verificar se os recursos da empresa sejam usados com responsabilidade
Governança empresarial trata de:
Performance
o Melhorar o lucro, a eficiência, a efetividade e o crescimento
Conformidade
o Aderir à legislação, às políticas internas e aos requisitos de auditoria
Governança Empresarial e a Governança de TI requerem um balanço entre a conformidade e as metas de
performance, como orientado pelo conselho (Conselho da Administração).
Definição de Governança de TI:
A governança de TI é definida como uma estrutura de relacionamento e processos para direcionar e controlar a
empresa para que ela possa alcançar suas metas agregando valor enquanto balanceia os riscos versus
retorno sobre o TI e seus processos.
Quem responsável pela Governança de TI ?
O conselho de diretoria e o corpo executivo são responsáveis pela governança de TI, o que envolve estruturas
e processos que direcionam a organização no sentido de alcançar seus objetivos.
Conceitos chaves da Governança de TI:
Direcionar: O gerenciamento fornece direcionamento para implementar uma mudança. Para fornecer um
direcionamento efetivo, o gerenciamento precisa entender a mudança pretendida. Além do mais, o
gerenciamento direciona outra pessoa a executar essas mudanças.
Controlar: O controle garante que os objetivos sejam alcançados e nenhum incidente indesejado ocorra.
Princípios da Governança: Responsabilidade, Prestação de Conta (cobrança), Atividades:
Responsabilidade:
O CEO (presidente) é o responsável pelo controle interno. Gerentes Seniores (ou diretores) assumem
responsabilidade para o estabelecimento de políticas e procedimentos de controle interno específicos para o
pessoal executando a função de uma unidade. Controle interno é de responsabilidade de todos dentro de uma
organização e deve ser uma parte explícita ou implícita das descrições do trabalho.
Quem é Cobrado (Quem presta conta):
O que é cobrado está relacionado à responsabilidade, mas especificamente focado em ter autoridade de tomar
decisões e fazer aprovações.
Pág: 4/38 Revisão 7.0
5. Guia de Estudo para Exame de Certificação do Cobit Foundation
Por exemplo: A responsabilidade para o processo de definir a estratégia de TI será dividida por diversas
pessoas, cada um responsável por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os
problemas chave e aprova a versão final. Ele é então cobrado pela estratégia de TI.
Atividades:
As atividades de TI são efetivas quando há uma boa governança de TI. Geralmente, os departamentos de TI
precisam se alinhar com as necessidades de negócios da empresa. O alinhamento é um indicador de
performance que pode ser qualquer parâmetro técnico.
Acionistas internos (Stakeholders) da Governança de TI:
- Gerente de TI
- Auditor de TI
- Conselho, Executivos, e Gerente de Negócios
- Gerente de Riscos e Conformidade
Acionistas externos (Stakeholders) da Governança de TI:
- Clientes
- Fornecedores
- Auditor Externo
- Reguladores
Governança de TI: As 5 Áreas de Foco:
Alinhamento Estratégico:
Focar em garantir a ligação dos negócios e planos de TI; em definir, manter, e validar a proposta de valor de TI
e em alinhar as operações de TI com as operações da empresa.
Garantir que o investimento da empresa em TI esteja em harmonia com os seus objetivos estratégicos.
Agregação de Valor:
Trata-se de executar a proposta de valor através do ciclo de agregação, garantindo que o TI entregue os
benefícios prometidos sobre a estratégia, se concentrando em otimizar os custos e fornecendo o valor
essencial da TI.
Gerenciar Riscos:
Requer:
Consciência dos riscos dos responsáveis sênior da corporação
Um entendimento claro do apetite da empresa por riscos
Um entendimento de requisitos de conformidade
Transparência sobre riscos significantes para a empresa
Embutir as responsabilidades de gerenciamento de riscos dentro da organização
Os riscos podem ser administrados pela:
Mitigação de riscos
Transferência de riscos
Aceitação de riscos
Evitar riscos
Gerenciar Recursos:
Trata-se de investimentos otimizados e gerenciamento apropriado de recursos críticos de TI, como:
Aplicações.
Informação.
Infraestrutura.
Pessoas.
Medição de Performance:
Busca e monitora a implementação de estratégias, conclusão de projetos, performance de projetos, e
agregação de serviços
Se não há uma maneira de medir e avaliar as atividades de TI, não é possível governar TI e garantir o
alinhamento, agregação de valor, gerenciamento de riscos e um uso eficiente dos recursos.
Pág: 5/38 Revisão 7.0
6. Guia de Estudo para Exame de Certificação do Cobit Foundation
Benefícios da Governança de TI:
Aumentar a confiabilidade dos serviços
Maior transparência
Boa receptividade da TI para os negócios
Confiança da diretoria
Melhorar ROI (Retorno sobre Investimento)
Por que da necessidade de um Framework de Controle:
As empresas não conseguirão atender efetivamente aos negócios e aos requisitos de governança sem adotar
e implementar uma governança e um framework de controle para o TI que permitam:
Alinhar os requisitos de negócios
Exibir de forma transparente a performance destes requisitos
Organizar as atividades de TI em um modelo de processos genericamente aceitável
Identificar os principais recursos a serem relevados
Definir os objetivos de controle de gerenciamento a serem considerados
Resumo:
Organizações tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de
governança de TI:
Manter a TI funcionando
Entregar valor aos clientes
Gerenciar os custos de TI
Dominar as complexidades
Alinhar a TI com os negócios
Garantir conformidade regulatória
Gerenciar a segurança
Cobit e Governança de TI:
O COBIT ajuda a melhorar a governança de TI.
O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para
um framework de controle.
Estrutura de Controle:
- Fornece melhor foco de Trabalho
- Foco de Negócios
O COBIT atende melhor aos negócios focando no alinhamento de TI com os objetivos de negócios.
A medição da performance de TI deverá focar-se na contribuição da TI em disponibilizar e estender a
estratégia de negócios.
O COBIT, suportado por métricas próprias focadas no negócio, pode garantir que o objetivo primário é
a entrega de valor e não a excelência técnica.
- Define uma linguagem comum
- Linguagem Comum
É uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos críticos e
fornecendo um glossário.
Coordenação dentro e através de equipes de projeto; as organizações podem desempenhar o papel
chave para o sucesso de qualquer projeto.
Linguagem comum constrói confidência e confiança.
- Garante a orientação a processos
Orientação a Processos
Quando as organizações implementam o COBIT, o seu foco é mais orientado a processos.
Os incidentes e problemas tiram a atenção dos processos.
Exceções podem ser claramente definidas como parte de processos padrões.
Com a posse do projeto definida, designada e aceitada, a organização é mais capaz de manter
controle através de períodos com mudanças rápidas ou crise organizacional.
Pág: 6/38 Revisão 7.0
7. Guia de Estudo para Exame de Certificação do Cobit Foundation
- Ajuda a alcançar requisitos regulatórios
- Requisitos Regulatórios
Recentes escândalos empresariais têm aumentado as pressões regulatórias em conselhos de diretoria
para relatar seus status e garantir que os controles internos sejam apropriados. Isto também cobre os
controles de TI.
As organizações precisam constantemente melhorar a performance de TI e demonstrar controles
adequados sobre suas atividades.
Muitos gerentes de TI, conselheiros e auditores estão se voltando ao COBIT como a resposta de fato
para requisitos regulatórios de TI.
- Possui aceitação entre as empresas
- Aceitabilidade:
O COBIT é um padrão aprovado e aceito globalmente para aumentar a contribuição de TI para o
sucesso da organização.
O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores práticas.
Os profissionais de TI de todo o mundo contribuem com suas idéias e tempo em reuniões de revisão
regulares.
A estrutura do Cobit:
As suas principais características são:
Focado nos Negócios
Orientado a Processos
Baseado em Controles
Dirigido pela Medição
O acrônimo COBIT quer dizer Control Objectives for Information and related Technology
Modelo de Governança do provido pelo Cobit:
Inicia a partir dos requisitos de negócios.
É orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos.
Identifica os principais recursos de TI a serem considerados.
Define os objetivos de controle a serem considerados. Incorporando os principais padrões internacionais.
É um modelo de fato para o controle geral de TI
Audiência:
COBIT – Concebido para a gerência, auditores e TI
A estrutura do COBIT ajuda não apenas aos usuários técnicos, mas também aqueles que são responsáveis
pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usuários garantindo
que:
Seus requisitos estão definidos e propriamente entendidos.
Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.
Premissa:
A estrutura do COBIT é baseada na premissa de que TI precisa entregar a informação que uma empresa
precisa para alcançar seus objetivos.
A estrutura do COBIT ajuda a alinhar TI com os negócios focando-se nas requisições de informações de
negócios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a
governança de TI.
Pág: 7/38 Revisão 7.0
8. Guia de Estudo para Exame de Certificação do Cobit Foundation
Componentes do Cobit:
Uma empresa depende da credibilidade e prontidão da informação. Os componentes do COBIT irão fornecer
uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informações.
Como estrutura para governança e controle de TI, o COBIT focará em duas áreas:
Fornecer as informações necessárias para suportar os requisitos e objetivos de negócios
Tratar a informação como resultado da aplicação conjunta dos recursos de TI que precisam ser
gerenciados pelos processos de TI.
O framework do COBIT descreve como os processos de TI entregam a informação que os negócios precisam
para alcançar seus objetivos. Para controlar esta entrega, o COBIT fornece três componentes chave:
- Requisitos de Negócio;
- Recursos de TI
- Processos de TI
Formando as dimensões do Cubo do COBIT.
Cubo do COBIT
Inter-relação dos componentes do COBIT:
Em um ambiente complexo, o gerenciamento requer informações compreensivas e em tempo para tomar
decisões eficientes sobre risco e controle. O COBIT endereça estes problemas em de forma de diretrizes de
gerenciamento. Estas diretrizes estão destacadas abaixo:
Metas de TI e Processos de TI:
São Medidas por: São decompostas em:
Performance: Indicadores de Desempenho - Atividades-Chaves
Resultado: Métrica de Resultado Que são executadas pela
Maturidade: Modelo de Maturidade - Matriz RACI
Metas de TI e Processos de TI:
Pág: 8/38 Revisão 7.0
9. Guia de Estudo para Exame de Certificação do Cobit Foundation
O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domínios:
o Planejar e Organizar
o Adquirir e Implementar
o Entregar e Suportar
o Monitorar e Avaliar
O que são processos:
Processos são séries de atividades com quebras de controle naturais. Existem 34 processos nos quatro
domínios. Estes processos especificam o que os negócios precisam para alcançar seus objetivos. A
entrega de informações é controlada através de 34 objetivos de controle de alto nível, um para cada
processo.
Que são atividades ?
Atividades são ações necessárias para alcançar resultados mensuráveis. Além disso, as atividades têm
ciclos de vida e incluem muitas tarefas discretas.
Atividades são ações necessárias para alcançar resultados mensuráveis. Além disso, as atividades têm
ciclos de vida e incluem muitas tarefas discretas.
O COBIT possui 34 processos de TI definidos dentro dos 4 domínios de TI:
PLANEJAR E Objetivos:
ORGANIZAR (PO) o Formular estratégia e táticas
o Identificar como TI pode contribuir melhor para alcançar os objetivos de
negócios
o Planejar, comunicar, e gerenciar a realização da visão estratégica
o Implementar uma infraestrutura organizacional e tecnológica
Escopo:
o A TI e os negócios estão estrategicamente alinhados?
o A empresa está alcançando um uso otimizado dos recursos de TI?
o Todos na organização entendem os objetivos de TI?
o Os riscos de TI estão entendidos e sendo gerenciados?
o A qualidade dos sistemas de TI está apropriada para as necessidades de
negócios?
Processos PO1 – Definir um Plano Estratégico de TI
PO2 – Definir a Arquitetura da Informação
PO3 – Determinar o Direcionamento Tecnológico
PO4 – Definir os Processos, a Organização e os Relacionamentos de TI
PO5 – Gerenciar o Investimento de TI
PO6 – Comunicar os Objetivos e Direcionamento da Diretoria
PO7 – Gerenciar Recursos Humanos de TI
Pág: 9/38 Revisão 7.0
10. Guia de Estudo para Exame de Certificação do Cobit Foundation
PO8 – Gerenciar Qualidade
PO9 – Avaliar e Gerenciar Risco de TI
PO10 – Gerenciar Projetos
ADQUIRIR Objetivos:
IMPLEMENTAR o Identificar, desenvolver ou adquirir, implementar, e integrar as soluções de
(AI) TI
o Mudanças e manutenção de sistemas existentes
Escopo:
o Os novos projetos estão preparados para entregar soluções que alcancem
as necessidades de negócios?
o Os novos projetos estão preparados para serem entregues a tempo e
dentro do orçamento?
o Os novos sistemas irão funcionar bem quando implementados?
o As mudanças serão feitas sem atrapalhar as operações de negócios
atuais?
Processos AI1 – Identificar as Soluções Automatizadas
AI2 – Adquirir e Manter Software Aplicativo
AI3 – Adquirir e Manter Infraestrutura de Tecnologia
AI4 – Permitir Operação e Uso
AI5 – Adquirir Recursos de TI
AI6 – Gerenciar Mudanças
AI7 – Instalar e Validar Soluções e Mudanças
ENTREGAR E Objetivos:
SUPORTAR (DS) o A entrega real de serviços necessários, incluindo a entrega de serviços
o O gerenciamento da segurança, continuidade, dados e facilidades
operacionais
o Suporte de serviços para os usuários
Escopo:
o Os serviços de TI estão sendo entregues alinhados com as prioridades de
negócios?
o Os custos de TI estão otimizados?
o A força de trabalho é capaz de usar os sistemas de TI de forma produtiva
e segura?
o A confidencialidade, integridade e disponibilidade estão adequadas?
Processos DS1 – Definir e Gerenciar Níveis de Serviços
DS2 – Gerencia Serviços Terceirizados
DS3 – Gerenciar o Desempenho e a Capacidade
DS4 – Garantir Continuidade de Serviços
DS5 – Garantir Segurança dos Sistemas
DS6 – Identificar e Alocar Custos
DS7 – Educar e Treinar os Usuários
DS8 – Gerenciar Central de Serviço e Incidentes
DS9 – Gerenciar Configuração
DS10 – Gerenciar Problema
DS11 – Gerenciar Dado
DS12 – Gerenciar Ambiente Físico
DS13 – Gerenciar Operações
Pág: 10/38 Revisão 7.0
11. Guia de Estudo para Exame de Certificação do Cobit Foundation
MONITORAR E Objetivos:
AVALIAR (ME) o Gerenciamento de Performance
o Monitoramento de controles internos
o Conformidade regulatória
o Governança
Escopo:
o A performance de TI está sendo medida para detectar problemas antes
que seja tarde demais?
o O gerenciamento garante que os controles internos sejam eficazes e
eficientes?
o A performance de TI pode ser ligada às metas de negócios?
o Os riscos, controles, conformidade e performance estão sendo medidos e
relatados?
Processos ME1 – Monitorar e Avaliar o Desempenho de TI
ME2 – Monitorar e Avaliar os Controles Internos
ME3 – Assegurar a Conformidade Regulatória
ME4 – Fornecer Governança de TI
Requisitos de Negócio (Critérios de Informação):
Para satisfazer os objetivos de negócios, a informação deve estar em conformidade com critérios de
informação específicos, os quais o COBIT se refere como requisitos de negócios para informação.
Os critérios de informação estão baseados em requisitos de qualidade, segurança e valor (fiduciário).
Requisito de Descrição
Negócio
Efetividade Lida com informações relevantes e pertinentes aos processos de negócios bem como a
(Qualidade) mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.
Eficiência Lida com a provisão de informações através dos uso de recursos otimizados – mais
(Qualidade) produtivos e econômicos
Confidencialidade Lida com a proteção de informações sensíveis de revelações não autorizadas.
(Segurança)
Integridade Relaciona-se com a exatidão e integridade de informações tão bem quanto sua validade
(Segurança) de acordo com os valores de negócios e expectativas.
Disponibilidade Relaciona-se com a informação estar disponível quando necessária pelo processo de
(Segurança) negócios no presente e no futuro. Ele também é responsável pela guarda de recursos
necessários e capacidades associadas.
Conformidade Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo
(Fiduciária) de negócios esta sujeito, ou seja, critérios de negócios impostos externamente como
políticas internas.
Confiabilidade Relaciona-se com a provisão de informações corretas para gerenciar, operar a entidade
(Fiduciária) e exercitar suas responsabilidades fiduciárias e de governança.
Pág: 11/38 Revisão 7.0
12. Guia de Estudo para Exame de Certificação do Cobit Foundation
Recursos:
Os processos de TI gerenciam os recursos de TI para gerar, entregar e estocar a informação que a
organização precisa para alcançar seus objetivos.
Recurso Descrição
Aplicações Aplicações são sistemas de usuários automatizados e procedimentos manuais que
processam a informação.
Informação Informação são os dados de entrada, que são processados, e de saída pelos sistemas
de informação, em qualquer forma usada pelos negócios
Infraestrutura Infraestrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e
as redes que disponibilizam o processamento das aplicações.
Pessoas Pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar
suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser
internos, terceirizados, ou contratados, conforme necessário.
Diretrizes de Gerenciamento do COBIT:
Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensuráveis para cada processo e
medir e comparar a atual capacidade da organização em cada processo. O conjunto de informações de
gerenciamento a seguir lista algumas questões.
Questões típicas de gerenciamento:
Como gerentes responsáveis ―mantém o navio no curso‖?
Como a organização alcança resultados que sejam satisfatórios para os segmentos maiores possíveis para
seus acionistas?
Como a organização se adapta às tendências e desenvolvimentos no seu envolvimento de uma forma a
tempo?
As Diretrizes de Gerenciamento irão fornecer as metas e as métricas (métricas de resultados e indicadores de
performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em
direção ao resultado desejado.
As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover
métricas para a realização das metas de TI. Um scorecard possui 4 dimensões para mapear as metas e
indicadores.
Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e
Crescimento
Diretrizes de Gerenciamento provem recursos para os 34 processos para ajudar aos gestores a entender a
performance da organização.
Cada processo possui o seguinte:
Entradas do Processo: São o que o dono do processo precisa dos outros processos.
Saída do Processo: São o que o dono do processo deve entregar.
Atividades-Chaves para o processo e matriz RACI: Aponta quem é Responsible (Responsável),
Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade.
Metas e métricas mostram como os processos devem ser medidos. Eles são definidos em três níveis:
Metas e métricas de TI definem o que os negócios esperam da TI, ou seja, o que os negócios usariam
para medir a TI.
Metas e métricas de processo definem o que o processo de TI deve entregar para suportar as metas de
TI e como medir isso
Métricas de performance de processo medem quão bem o processo estão indo para indicar se as metas
deverão ser alcançadas.
Pág: 12/38 Revisão 7.0
13. Guia de Estudo para Exame de Certificação do Cobit Foundation
Modelos de Maturidade ajudam as organizações a medir a capacidade dos processos, de Não existente (0) a
Otimizado (5).
Modelo de Maturidade:
Todos os processos possuem um modelo de maturidade. A maturidade diz respeito à capacidade do processo
em atender os requisitos regulatório e compliance, capacidade para atender metas de TI e as metas dos
processos de TI.
Modelos de Maturidade fornecem uma escala para referenciar às práticas da companhia contra os padrões e
diretrizes da indústria. Um modelo de maturidade é uma medida que capacita que uma empresa nivele sua
maturidade para um processo específico de não existente (0) para otimizado (5).
COBIT — Valor e Limitações
O COBIT:
É aceito como referencia internacional de boas práticas.
É orientado aos negócios.
É considerado um padrão aberto.
É mantido por uma organização de boa reputação sem fins lucrativos.
Mapeia 100 por cento do COSO.
Está mapeado de acordo com principais padrões relacionados.
É uma referência.
As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos
seguintes requisitos da empresa:
o Entrega de valor.
o Gerenciar Risco.
o Infraestrutura de TI, organização, e portfólio de projetos.
Vantagens de adotar o COBIT são:
O COBIT está alinhado com outros padrões e melhores práticas e deve ser usado junto deles.
O framework do COBIT e melhores práticas de suporte fornecem um ambiente de TI bem administrado e
flexível em uma organização.
Pág: 13/38 Revisão 7.0
14. Guia de Estudo para Exame de Certificação do Cobit Foundation
O COBIT fornece um ambiente de controle que responde às necessidades de negócios e gerenciamento
de servidores e funções de auditoria em termos de suas responsabilidades de controle.
O COBIT fornece ferramentas para ajudar a gerenciar as atividades de TI.
Introdução ao Val IT
O Val IT é baseado no COBIT, estendendo e complementando-o, orientado para a dimensão do valor da
entrega, o Val IT foca especificamente:
Nas decisões de reinvestimento (estamos fazendo as coisas certas?)
Na realização dos benefícios (estamos obtendo os benefícios?)
A Meta do Val IT:
A meta da iniciativa do Val IT é ajudar a administração a garantir que as organizações entendam o valor
máximo dos investimentos que permitam a sustentação dos negócios a um custo acessível a um nível
aceitável de riscos
Os princípios do Val IT estão detalhados abaixo:
Investimentos permitidos pela TI serão gerenciados como um portfólio de investimentos.
Permitir os investimentos de TI que incluam o escopo completo de atividades necessárias para atender
aos negócios.
Investimentos permitidos pela TI serão gerenciados através de todo o seu ciclo de vida econômico.
As práticas de entrega de valor irão reconhecer que existem categorias de investimentos diversas que
serão avaliadas e gerenciados diferentemente.
As práticas de entrega de valor irão definir e monitorar indicadores
chave capazes de responder rapidamente a quaisquer mudança ou divergências.
As práticas de entrega de valor devem engajar todos os patrocinadores e
definir uma prestação de contas apropriada para a entrega das competências
para a obtenção de benefícios de negócios.
As práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas.
Val IT é baseado nos ―Quatro Estamos‖ , que exploram as questões fundamentais dos valores a serem
entregues pela TI.
Estrutura de Processo:
O diagrama abaixo mostra a estrutura dos três processos do VAL IT e suas práticas de gerenciamento.
Valor da Governança (Value Governance)
Pág: 14/38 Revisão 7.0
15. Guia de Estudo para Exame de Certificação do Cobit Foundation
VG1 Garante a informação e o compromisso com a liderança.
VG2 Define e implementa processos.
VG3 Define papéis e responsabilidades.
VG4 Garante a aceitação apropriada das responsabilidades.
VG5 Define os requisitos de informação.
VG6 Estabelece os requisitos a ser reportado.
VG7 Estabelece a estrutura organizacional.
VG8 Estabelece a direção estratégica.
VG9 Define as categorias de investimento.
VG10 Determina e objetiva o Portfólio associado.
VG11 Define os critérios de avaliação por categoria.
Gerenciamento do Investimento (Investment Management)
IM1 Desenvolve um plano de alto-nível das oportunidades de investimento.
IM2 Desenvolve um programa inicial conceituado em business case.
IM3 Desenvolve um entendimento claro do programa candidato.
IM4 Executa analises alternativas.
IM5 Desenvolve um plano de programa.
IM6 Desenvolve um plano de realização de benefícios.
IM7 Identifica o ciclo completo de custos e benefícios.
IM8 Desenvolve um business case detalhado.
IM9 Associa propriedade e responsabilidades.
IM10 Inicia, planeja e lança o programa.
IM11 Gerencia o programa.
IM12 Gerencia e rastreia os benefícios
IM13 Atualiza o business case.
IM14 Monitora e reporta a performance do programa.
IM15 Encerra o programa.
Pág: 15/38 Revisão 7.0
16. Guia de Estudo para Exame de Certificação do Cobit Foundation
Gerenciamento do Portfólio (Portfolio Management)
PM1 Mantém um inventário sobre os recursos humanos.
PM2 identifica os recursos requeridos.
PM3 Executa um gap analysis.
PM4 Desenvolve um plano de recursos.
PM5 Exigências de recurso de monitor e utilização.
PM6 Estabelece limites de investimento.
PM7 Avalia o programa inicial concebido pelo business case.
PM8 Avalia e atribui pontuações relativas ao business case.
PM9 Cria uma visão geral do portfólio
PM10 Faz e comunica as decisões de investimento.
PM11 Lançamento em fases do programa escolhido.
PM12 Otimizar a performance do portfólio
PM13 Repriorizar o portfólio
PM14 Monitorar e reportar a performance do portfólio
Os processos expandem os processos dos domínios Planejar e Organizar (PO) e Monitor e Avalir (ME) do
COBIT, especialmente aqueles relacionados a:
Estratégias de TI e do Negócio
Gerenciamento de Investimentos
Portfólio de programas e gerenciamento de projetos
Monitorar e avaliar o valor da entrega
A estrutura do Val IT framework provê uma referência cruzada ao COBIT.
Resumo:
O COBIT satisfaz as seguintes características da estrutura de controle:
o Orientado a processos
o Focado em negócios
o Linguagem comum
o Aceitabilidade geral
o Atende a requisitos regulatórios
O COBIT conecta riscos de negócios, controla necessidades e requisitos técnicos. Provê boas práticas
através de uma estrutura de domínios e processos. Também apresenta atividades em uma estrutura lógica
e gerenciável.
A audiência para o COBIT inclui gerenciamento de negócios, auditores e gestores de TI.
Os três principais componentes da estrutura do COBIT são:
o Recursos de TI
o Processos de TI
o Requerimentos de negócios
Os três componentes da estrutura do COBIT combinam para formar um método holístico de analisar e
definir os requisitos de TI em uma organização.
O modelo de maturidade mede a capacidade dos processos.
O COBIT define as atividades de TI em um modelo de processo genérico dentro de quatro domínios:
o Planejamento e Organização
o Aquisição e Implementação
o Entrega e Suporte
o Monitoração e Avaliação
A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega.
Diretrizes de gerenciamento fornecem:
o Entradas e saídas de processos
o Atividades de processos e Matriz RACI.
o Metas de Negócios, TI, processo e de atividade.
Pág: 16/38 Revisão 7.0
17. Guia de Estudo para Exame de Certificação do Cobit Foundation
o Métricas – Indicadores-chaves de meta e performance.
o Modelos de maturidade
Os Processos:
Estrutura do Cobit – Processos:
Cada processo de TI do COBIT possui:
o Um requisito de negócio que a TI satisfaça.
o Metas-chaves em que se focar.
o Controles-chaves que ajudem a alcançar as metas.
o Métricas-chaves que ajudem a medir a performance.
o Objetivos de controle detalhados.
Cada processo de TI do COBIT:
Está mapeado para critérios de informação, recursos de TI, e governança de TI usando:
o P - Relacionamento Primário.
o S - Relacionamento Secundário.
o ―Em branco‖ para indicar que os requisitos são satisfeitos mais apropriadamente por outro critério
e/ou por outro processo.
Possui entradas e saídas de processos e uma matriz RACI.
Possui um modelo de maturidade.
Objetivos de Controle:
Cada processo tem um objetivo de controle de alto nível e objetivos de controles detalhados.
As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócios no mesmo
nível. O framework do COBIT define três níveis:
Primário: O objetivo de controle definido impacta diretamente no critério de informação.
Secundário: Secundário: O objetivo de controle definido satisfaz apenas indiretamente ou em extensão
menor o critério de informação
―Em branco‖: Isto poderia ser aplicável. Entretanto, os requisitos são satisfeitos mais apropriadamente
por outro critério neste processo.
O que é Objetivo de Controle ?
Uma declaração do resultado desejado ou proposta a ser alcançada implementando procedimentos de controle
em uma atividade em particular.
Pág: 17/38 Revisão 7.0
18. Guia de Estudo para Exame de Certificação do Cobit Foundation
As práticas de Controle:
As práticas de controle de TI estendem a estrutura do COBIT fornecendo um nível adicional de ajuda quando
olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o
que precisa ser feito para implementar uma estrutura de controle eficaz. As práticas de controle fornecem um
nível de detalhe adicional, se necessário.
Processo: PO10 – Gerenciar Projeto:
Descrição do Processo:
Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI.
Este framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve
incluir um plano mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma
abordagem em fases para as entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões
pós-implementação após da instalação para assegurar o gerenciamento de risco e a entrega do valor para o
negócio. Esta abordagem reduz o risco de custos não esperados e cancelamento de projetos, aumenta a
comunicação com os envolvidos do negócio e usuários finais, assegura o valor e a qualidade dos entregáveis
do projeto e maximiza a contribuição de programas que habilitam investimentos em TI.
Controle sobre o processo de TI:
Gerenciar Projeto
Que satisfaz os requisitos de negócio:
A entrega dos projetos resulta em cronogramas, orçamento e qualidade acordados
Focando nas
Um programa definido e um modelo de gerenciamento de projeto que são aplicadas ao projeto de TI ,
que habilita a participação dos patrocinadores, no monitoramento de riscos e progresso dos projetos.
É alcançado pelas
Definir e impor programas e frameworks de projetos e abordagens
Liberar diretrizes de gerenciamento de projetos
Executar planejamento de projeto para cada projeto detalhado no portfólio dos projetos
É medido por
Porcentagem de projetos que alcançam as expectativas dos acionistas, ou seja, em tempo, dentro do
orçamento, e requisitos de alcance, medidos pela importância
Porcentagem de projetos recebendo revisão pós-implementação.
Porcentagem de projetos seguindo os padrões e práticas de gerenciamento de projeto
Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio)
Mapeamento com as Áreas de Foco de Governança de TI:
Primário:
- Alinhamento Estratégico
Secundário:
- Agrega Valor, Gerenciamento de Riscos, Gerenciamento de Recursos e Medição de Performance
Mapeamento com os Recursos de TI
- Aplicações, Infraestrutura e Pessoas
Mapeamento com os Critérios de Informação:
Primário:
- Eficácia e Eficiência
Em Branco:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade
Pág: 18/38 Revisão 7.0
19. Guia de Estudo para Exame de Certificação do Cobit Foundation
Objetivos de Controle:
Objetivos de controle são declarações de gerenciamento de melhores práticas baseados em padrões globais e
na visões de peritos.
Objetivos de e Controle:
PO10.1 Estrutura de Gerenciamento de Programa
PO10.2 Estrutura de Gerenciamento de Projeto
PO10.3 Abordagem de Gerenciamento de Projeto
PO10.4 Comprometimento dos Participantes
PO10.5 Escopo do Projeto
PO10.6 Fase de Início do Projeto
PO10.7 Planejamento do Projeto Integrado
PO10.8 Recursos do Projeto
PO10.9 Gerenciamento de Riscos do Projeto
PO10.10 Planejamento da Qualidade do projeto
PO10.11 Controle de Mudanças no Projeto
PO10.12 Métodos de Planejamento de Garantia do Projeto
PO10.13 Avaliação, Relatórios e Monitoramento do Desempenho do Projeto
PO10.14 Conclusão do Projeto
Os requisitos de controle genéricos para os processos do COBIT são:
PC1: Metas e Objetivos — Estabelecer metas e objetivos claros para cada processo do COBIT para uma
execução eficaz.
PC2: Dono do processo — Definir um dono para cada processo do COBIT para que a responsabilidade
esteja clara.
PC3: Repetibilidade — Definir cada processo do COBIT para que seja repetível.
PC4: Papéis e Responsabilidades — Definir papéis, atividades e responsabilidades sem ambigüidade
para cada processo do COBIT para uma execução eficiente.
PC5: Política, planos e procedimentos —Documentar, revisar, manter atualizado, assinar, e comunicar a
todas as partes relacionadas qualquer política, plano ou procedimento que endereça um processo COBIT.
PC6: Performance do processo — Medir a performance para cada processo do COBIT versus suas
metas.
Pág: 19/38 Revisão 7.0
20. Guia de Estudo para Exame de Certificação do Cobit Foundation
Matriz RACI identifica quem é Responsável, Cobrado (Prestação de Constas), Consultado e/ou
Informado
Entrada e Saída de processo:
Cada processo está ligado a outros processos. As entradas são entregáveis que um processo requer de
outros processos.
Saídas são entregáveis que um processo fornece para outros.
Entradas e Saída do processo PO10:
Entradas:
PO1 – Portfólio do Projeto
PO5 – Portfólio de projeto de TI atualizado
PO7 – Matriz de Habilidades de TI
PO8 – Padrões de Desenvolvimento
AI7 – Revisão pós-implementação
Saídas:
Relatório de performance de projeto – ME1
Plano de Gerenciamento de risco de projeto – PO9
Diretrizes de gerenciamento de projeto – AI1, AI7
Planos de projeto de detalhados – PO8, AI1, AI7 e DS6
Portfólio de projeto de TI atualizado – PO1 e PO5
Indicadores:
Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0):
Define medidas que informam aos gestores – após o fato – que indicam se uma função, processo ou atividade
alcançou suas metas. Indicadores de resultado das funções de TI são frequentemente expressas em termos
de critérios de informação relevantes, como:
Disponibilidade da informação necessária para suportar as necessidades de negócios.
Ausência de riscos de integridade e confidencialidade.
Eficiência de custo de processos e operações.
Confirmação de confiabilidade, eficácia, e conformidade.
Pág: 20/38 Revisão 7.0
21. Guia de Estudo para Exame de Certificação do Cobit Foundation
Indicadores de Performance (Key Performance Indicators, KPI, no COBIT 4.0):
Indicadores de performance definem medidas que determinam quão bem negócios, funções de TI ou
processos estão atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poderá ou não
ser alcançada. Com frequência medem disponibilidades ou capacidades, práticas e/ou habilidades além dos
resultados de atividades de sustentação.
Nota: Indicadores de resultado de baixo nível tornam-se indicadores de performace de alto nível.
Indicadores de Meta Chaves – PO10
O COBIT define dois níveis de medidas de resultado: um para o departamento de TI (resultados de TI) e um
para o processo de TI (métrica do resultado do processo).
PO10: Gerenciar Projetos
Indicadores de resultado de TI:
Porcentagem de projetos que atendem as expectativas dos acionistas – em tempo, dentro do
orçamento, e alcançando os requisitos – determinados pela importância
Indicador de Resultado de Processo:
Porcentagem de projetos a tempo e dentro do orçamento
Porcentagem de projetos alcançando as expectativas dos acionistas
Indicadores de Performance – PO10
Comentário: Estas são medidas de resultados para as atividades e indicadores de desempenho do processo
PO10
% de projetos que seguem os padrões e práticas de gerenciamento.
% de gerentes de projetos certificados ou treinados.
% de projetos recebendo revisões pós-implementação.
% de acionistas (stakeholders) participando em projetos, o que representa um índice de envolvimento.
Metas e Métricas do PO10:
Pág: 21/38 Revisão 7.0
22. Guia de Estudo para Exame de Certificação do Cobit Foundation
Modelo de Maturidade:
Nível de Maturidade Descrição
O – Não Existente Técnicas de gerenciamento de projeto não são utilizadas e a organização
não considera os impactos dos negócios associado com a falta de
gerenciamento de projeto e falhas de desenvolvimento de projeto.
1 – Inicial O uso das técnicas e abordagens de gerenciamento de projeto dentro da TI
é uma decisão tomada somente pelos gerentes de TI. Há uma falta de
comprometimento gerencial com a responsabilidade e gerenciamento do
projeto. Decisões críticas do gerenciamento do projeto são tomadas sem o
envolvimento de usuários ou necessidades de cliente. Há pouco ou
nenhum envolvimento do cliente ou envolvimento do usuário na definição
dos projetos de TI. Não há uma organização clara dentro da TI para o
gerenciamento dos projetos. Papéis e responsabilidades para o
gerenciamento dos projetos não são definidos. Projetos, cronogramas e
marcos são fracamente definidos, se definidos. As despesas e o tempo da
equipe do projeto não são revisados e comparados ao orçamento.
2 – Repetitível O Gerenciamento sênior ganhou e comunicou uma consciência da
necessidade do gerenciamento de projeto de TI. A organização está no
processo de desenvolvimento e utilização de algumas técnicas e métodos
de projeto para projeto. Os projetos de TI definiram informalmente os
objetivos técnicos e de negócios. As diretrizes iniciais foram desenvolvidas
para muitos aspectos do gerenciamento de projeto. A aplicação das
diretrizes de gerenciamento de projeto foi deixada para discrição do
gerente de projeto individual.
3 – Definido O processo e metodologia do gerenciamento de projeto de TI foi
estabelecido e comunicado. Os projetos de TI são definidos com objetivos
técnicos e de negócios apropriados. TI sênior e gerenciamento de negócios
estão começando a se comprometer e se envolver no gerenciamento de
projetos de TI. Um escritório de gerenciamento de projeto é estabelecido
dentro da TI, com papéis e responsabilidades iniciais definidos. Os projetos
de TI são monitorados, com marcos, horários e orçamentos e medição de
performance. O treinamento de gerenciamento de projeto está disponível e
é primariamente um resultado das iniciativas individuais da equipe.
Procedimentos de segurança de qualidade e atividades pós-implementação
de sistema foram definidas mas não são totalmente aplicadas pelos
gerentes de TI. Os projetos estão começando a ser gerenciados como
portfólios.
4 – Gerenciado O gerenciamento requer métricas de projeto formais e padronizadas e uma
revisão de lições aprendidas na conclusão dos projetos. O gerenciamento
de projeto é medido e avaliado através da organização e não apenas
dentro da TI. Avanços no processo de gerenciamento de projeto são
formalizados e comunicados com membros da equipe do projeto treinados
em crescimentos. O gerenciamento de TI implementou uma estrutura de
organização de projeto com papéis documentados, responsabilidades, e
critérios de performance da equipe. Critérios para avaliar o sucesso em
cada missão que for estabelecida. Valor e risco são medidos e
gerenciados antes, durante e depois da conclusão dos projetos. Os
projetos crescentemente endereçam as metas da organização, mais do que
apenas específicos para TI. O suporte de projeto forte e ativo para o
gerenciamento de patrocinadores sêniores assim como acionistas. Um
treinamento relevante para gerenciamento de projetos é planejado para
funcionários no escritório de gerenciamento de projeto e através da função
de TI.
5 – Otimizado Um projeto de ciclo de vida completo e aprovado e uma metodologia de
Pág: 22/38 Revisão 7.0
23. Guia de Estudo para Exame de Certificação do Cobit Foundation
programa é implementada, imposta, e integrada na cultura de toda a
organização. Uma iniciativa contínua para identificar e institucionalizar as
melhores práticas de gerenciamento de projeto foi implementado. Uma
estratégia de TI para buscar desenvolvimento e projetos operacionais é
definido e implementado. Um escritório de gerenciamento de projeto
integrado é responsável por projetos e programas desde o princípio até a
pós-implementação. Um planejamento organizacional completo de
programas e projetos garante que o usuário e os recursos de TI são
melhores utilizados para dar suporte a iniciativas estratégicas.
Processo: DS2 - Gerenciar Serviços de Terceiros
Descrição do Processo:
A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer
um processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente
definidos, responsabilidades e expectativas em acordos com terceiros, como também com revisão e
monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de serviços de
terceiros minimiza os riscos de negócio associados com fornecedores não conformes.
Controle sobre o processo de TI:
Gerenciar Serviços de Terceiros
Que satisfaz os requisitos de negócio:
Fornecendo prestação satisfatória de serviços de terceiros, com transparência sobre os benefícios,
custos e riscos
focando nas
Estabelecendo relações e responsabilidades bilaterais com os fornecedores de serviços da terceiros
qualificados e acompanhamento da prestação de serviços para verificar e assegurar a aderência aos
acordos
É alcançado pelas
Identificação e categorização de fornecedores de serviços
Identificação e mitigação de risco da prestação de serviços por fornecedores
Monitorando e mensurando a performance dos fornecedores
É medido por
• Número de reclamações de usuários de serviços contratados
• Porcentagem de maiores fornecedores que atendem requerimentos e níveis de serviço claramente
definidos
• Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano
Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio)
Mapeamento com as Áreas de Foco de Governança de TI:
Em Branco:
- Alinhamento Estratégico
Primário:
- Agrega Valor e Gerenciamento de Riscos
Secundário:
- Gerenciamento de Recursos e Medição de Performance
Mapeamento com os Recursos de TI
- Aplicações, Informação, Infraestrutura e Pessoas
Mapeamento com os Critérios de Informação:
Primário:
- Eficácia e Eficiência
Pág: 23/38 Revisão 7.0
24. Guia de Estudo para Exame de Certificação do Cobit Foundation
Secundário:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade
Objetivos de Controle Detalhados:
DS2.1 Identificação de todos os Relacionamentos com Fornecedores
Identificar todos os fornecedores de serviço e categoriza estes de acordo com tipo de fornecimento,
significância e criticidade. Manter uma documentação formal sobre relacionamentos técnicos e
organizacionais, cobrindo os papéis e responsabilidades, metas, entregáveis esperados e credenciamento de
representantes destes fornecedores.
DS2.2 Gerenciamento de Relacionamento com Fornecedores
Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os
proprietários dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a
qualidade dos relacionamentos baseados em confiança e transparência (por .exemplo: através de SLAs).
DS2.3 Gerenciamento de Riscos dos Fornecedores
Identificar e mitigar riscos relacionados às habilidades dos fornecedores de continuar com a entrega de
serviços efetivos, numa maneira seguro e eficiente, como também em base continuou. Assegura contratos
conforme padrões universais de negócio e em concordância com requerimentos legais e regulamentos. O
gerenciamento de risco deve considerar também Acordos de Não Conformidade (ANCs), custódia contratual,
viabilidade de fornecimento continuou, conformidade com requerimentos de segurança, fornecedores
alternativos, penalidades e recompensas, etc.
DS2.4 Monitoramento de Desempenho de Fornecedores
Estabeleça um processo para monitorar a entrega do serviço para assegurar que o fornecedor atende os
requerimentos atuais de negócio e continuam aderente aos acordos contratuais e acordos de níveis de serviço
e que o desempenho é competitivo em relação de fornecedores alternativos e condições de mercado.
Entradas e Saídas:
Entradas:
PO1 - Estratégia de Sourcing de TI
PO8 - Padrão de Aquisição
AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros
DS1 - SLAs, Revisão do relatório de contrato
DS4 - Requisitos de Serviços de Desastres, incluindo papéis e responsabilidades
Saídas:
Relatório de performance de processos - ME1
Catálogo de Fornecedores - AI5
Risco de Fornecedores - PO9
Pág: 24/38 Revisão 7.0
25. Guia de Estudo para Exame de Certificação do Cobit Foundation
Matriz RACI: (Atividades e Funções)
Metas e Métricas DS2
Pág: 25/38 Revisão 7.0
26. Guia de Estudo para Exame de Certificação do Cobit Foundation
Modelo de Maturidade:
Nível de Maturidade Descrição
O – Não Existente Responsabilidades e obrigações não estão definidas. Não existem políticas
formais e procedimentos relativos ao contratar terceiros
Serviços de terceiros não são aprovados nem revistos pela administração. Não
há atividades de medição e não informações sobre terceiros. Ausência de uma
obrigação contratual para a comunicação e a alta administração não tem
conhecimento da qualidade dos serviços prestado.
1 – Inicial Administração está consciente da necessidade de ter políticas e procedimentos
documentados para a gestão de terceiros, incluindo os contratos assinados. Não
existem cláusulas de acordos com prestadores de serviços. A medição dos serviços
prestados é informal e reativa. Práticas são dependentes da experiência dos
indivíduos e do fornecedor.
2 – Repetitível O processo para a supervisão dos terceiros, prestadores de serviço e riscos
associados à prestação de serviços é informal. A assinatura, pró-forma do contrato é
usado para vender termos e condições padrão (por exemplo, a descrição dos
serviços a serem prestados). Relatórios sobre os serviços prestados estão
disponíveis, mas não oferecem suporte a objetivos de negócio.
3 – Definido Procedimentos bem documentados estão disponíveis para governar serviços de
terceiros, com processos claros para habilitar a negociação com fornecedores.
Quando um acordo para a prestação de serviços é feito, a relação com o terceiro, é
puramente contratual.
A natureza dos serviços a serem prestados são detalhados no contrato e inclui
requisitos legais, operacionais e de controle. A responsabilidade pela fiscalização
dos serviços de terceiros é atribuído. As cláusulas contratuais são baseados em
modelos padronizados. O risco de negócio associadas ao serviços de terceiros são
avaliados e comunicados.
4 – Gerenciado Critérios formais e normalizados são estabelecidos para definir as condições de
contratação, incluindo o âmbito do trabalho, serviços / produtos que deverão ser
fornecidos, suposições, cronograma, custos, condições de pagamento e
responsabilidades. Responsabilidades em matéria de contratos e gestão de
fornecedores são atribuídos. Qualificações dos vendedores, riscos e potencialidades
são verificados em uma base contínua. Requisitos do serviço são definidos e
vinculados ao objetivos do negócio. Existe um processo para analisar o
desempenho do serviço contra as cláusulas contratuais, fornecendo atributos para
avaliar serviços de atuais e futuros de terceiros. Modelos de preços de transferência
são utilizados no processo de aquisição.
Todas as partes envolvidas estão conscientes do serviço, custos e expectativas de
marco. Acordados metas e métricas para a fiscalização dos prestadores de serviços
existentes.
5 – Otimizado Os contratos assinados com terceiros são revisados periodicamente em intervalos
pré-definidos. A responsabilidade pela gestão de fornecedores e da qualidade dos
serviços prestados é atribuída. Evidencia do cumprimento do contrato de
operacionais, legais e administrativas de controle é monitorado, e ação corretiva é
executada. O terceiro está sujeito a revisões periódicas independentes, e feedback
sobre o desempenho é fornecida e utilizada para melhorar a prestação de serviços.
Medidas variam em resposta a mudanças nas condições de negócios. Medidas de
apoio a detecção preventiva de problemas potenciais com serviços de terceiros.
Compreensivo, definidos relatórios de desempenho de nível de serviço está
relacionada com a compensação de terceiros. Gestão ajusta o processo de aquisição
de serviços terceiros com base no monitoramento das métricas.
Pág: 26/38 Revisão 7.0
27. Guia de Estudo para Exame de Certificação do Cobit Foundation
Descrição dos Demais Processos:
PLANEJAR E ORGANIZAR
PO1 Definir um Plano Estratégico de TI
O planejamento estratégico é requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratégias e
prioridades do negócio. A função da TI e os stakeholders do negócio são responsáveis para assegurar que um valor
otimizado é realizado através dos portfólios dos projetos e serviços. O plano estratégico deve aumentar a compreensão
dos stakeholders chaves em relação das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nível
de investimentos requeridos. A estratégia e as prioridades do negócio devem ser refletidas nos portfólios e executadas
através dos planos táticos da TI, os quais estabeleçam objetivos concisos, planos e tarefas compreendidas e aceitos pelo
negócio e da TI.
PO2 Definir a Arquitetura de Informação
A função dos sistemas de informação deve criar e atualizar regularmente um modelo de informação de negócio e definir
os sistemas apropriados para otimizar o uso da informação. Isso inclua o desenvolvimento de um dicionário coorporativo
de dados com as regras de sintaxe da organização, esquema de classificação de dados e níveis de segurança. Este
processo melhora a qualidade de decisões feitas pelas gerencias e assegura que informações confiáveis e seguras são
providas e isso habilita de racionalizar recursos de sistemas de informação para atender apropriadamente as estratégias
de negócio. Este processo da TI também necessita de aumentar a responsabilidade sobre a integridade e segurança dos
dados e melhorar a efetividade e controle sobre o compartilhamento de informação através de aplicações e entidades.
PO3 Determinar a Direção Tecnológica
A função dos serviços de informação deve determinar a direção tecnológica para suportar o negócio. Isso requer a
criação de um plano da infraestrutura tecnológica e um comitê de arquitetura que fixa e gerencia expectativas claras e
realísticas o que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano deve ser
atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direção tecnológica, planos de aquisição,
padrões, estratégias de migração e contingência. Isso permite respostas rápidas a mudanças em um ambiente
competitivo, economia de escala em equipes e em investimentos de sistemas de informação, bem como melhor
interoperabilidade entre plataformas e aplicações.
PO4 Definir Processos de TI, Organização e Relacionamento
Uma organização da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funções,
responsabilidade, autoridade, papeis e supervisão. Esta organização deve estar embutida dentro um framework de
processos da TI que asseguram transparência e controle, como também envolvem os executivos sênior e gerentes de
negócio. Um comitê estratégico deve assegurar uma visão geral da TI e um ou mais comitês de direção, em quais os
participantes do negócio e da TI devem determinar a priorização dos recursos da TI em linha com as necessidades do
negócio. Processos, políticas e procedimentos administrativos necessitam de ser implementadas para todas as funções,
com atenção especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurança de informação,
propriedade para dados e sistemas e segregação de direitos. Para assegurar um suporte em tempo para os
requerimentos do negócio, a TI deve estar envolvida em processos relevantes de decisão.
PO5 Gerenciar o Investimento em TI
Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos,
benefícios, priorização nos orçamentos, um processo formal de orçamentos e gerenciamento em relação dos orçamentos.
Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefícios dentro do contexto dos planos
estratégicos e táticos da TI e iniciar ações corretivas quando necessárias. O processo deve favorecer os relacionamentos
entre a TI e stakeholders do negócio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparência e
responsabilidade nos custos totais de propriedade, a relação do benefício para o negócio e o retorno sobre investimentos
que habilitam a TI.
PO6 Comunicar Metas e Diretivas Gerenciais
A administração deve desenvolver um framework de controle empresarial da TI e definir e comunicar políticas. Um
programa contínuo de comunicação deve ser implementado para articular a missão, objetivos de serviço, políticas e
Pág: 27/38 Revisão 7.0
28. Guia de Estudo para Exame de Certificação do Cobit Foundation
procedimentos, etc. aprovados e suportados pela administração. A comunicação suporta o atingimento dos objetivos da TI
e assegura conscientização e compreensão em relação do negócio e os riscos, objetivos e a direção da TI. O processo
deve assegurar a conformidade com leis e regulamentos.
PO7 Gerenciar Recursos Humanos
Adquire, mantêm e motiva uma força de trabalho competente para criar e entregar serviços da TI para o negócio. Isso é
atingido seguindo práticas definidas e acordadas que suportam o recrutamento, treinamento, avaliação do desempenho,
promoção e demissão. Este processo é crítico, pois as pessoas são um ativo importante, e a governança e o ambiente
interno de controle dependem bastante da sua motivação e competência.
PO8 Gerenciar Qualidade
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de
desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado através do planejamento, implementação e
manutenção do sistema de qualidade que provêm requerimentos claros de qualidade, procedimentos e políticas.
Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificáveis e atingíveis.
Melhorias contínuas são atingidas através de um monitoramento operacional, analises e ações sobre desvios e a
comunicação dos resultados para os stakeholders. Gerenciamento da qualidade é essencial para assegurar que a TI
entrega valor para o negócio, melhorias contínuas e transparência para stakeholders.
PO9 Avaliar e Gerenciar Riscos
Criar e manter um framework de gerenciamento de riscos. O framework documenta um nível de riscos da TI comum e
acordado, estratégias de mitigação e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da
organização, causada por eventos não planejados, deve ser identificado, levantado e avaliado. Estratégias de mitigação
de riscos devem ser adotadas para minimizar riscos residuais ao um nível aceitável. O resultado da avaliação deve ser
compreensível para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos
com um nível aceitável de tolerância.
PO10 Gerenciar Projetos
Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este
framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve incluir um plano
mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma abordagem em fases para as
entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões pós-implementação após da instalação
para assegurar o gerenciamento de risco e a entrega do valor para o negócio. Esta abordagem reduz o risco de custos
não esperados e cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e usuários finais,
assegura o valor e a qualidade dos entregáveis do projeto e maximiza a contribuição de programas que habilitam
investimentos em TI.
ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluções automatizadas
A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou criação para assegurar que
os requerimentos do negócio são satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definição das
necessidades, considerando fontes alternativas, revisão da viabilidade tecnológica e econômica, execução de análise de
risco e análise de custo / beneficio e a conclusão de uma decisão final de ―fazer‖ ou ―comprar‖. Todos estes passos
habilitam a organização de minimizar os custos de adquirir e implementar soluções, enquanto asseguram que estes
habilitam o negócio de atingir seus objetivos.
AI2 Adquirir e manter software aplicativo
Pág: 28/38 Revisão 7.0
29. Guia de Estudo para Exame de Certificação do Cobit Foundation
Aplicações devem estar disponíveis em linha com os requerimentos de negócio. Este processo envolve o desenho de
aplicações, a inclusão apropriada de controles de aplicação e requerimentos de segurança e o atual desenvolvimento e
configuração conforme os padrões. Isso permita as organizações de suportar apropriadamente as operações de negócio
com as corretas aplicações automatizadas.
AI3 Adquirir e manter arquitetura tecnológica
Organizações devem haver um processo para a aquisição, implementação e atualização da infraestrutura tecnológica.
Isso requer uma abordagem planejada para a aquisição, manutenção e proteção da infraestrutura em linha com as
estratégias tecnológicas acordadas e a provisão de ambientes de desenvolvimento e teste. Isso assegura que o suporte
tecnológico operacional suporta as aplicações de negócio.
AI4 Manter operação e uso
Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produção de documentação
e manuais para usuários e TI e prover treinamento que assegura o uso e a operação apropriado de aplicações e
infraestrutura.
AI5 Obter Recursos de TI
Recursos de TI, inclusive pessoas, hardware, software e serviços, necessitam ser obtidos. Isso requer uma definição e
sanção de procedimentos de aquisição, a seleção de fornecedores, a realização de arranjos contratuais e a aquisição em
se. Fazer assim assegura que a organização tem todos os recursos de TI requeridos em tempo e de maneira efetivo em
custo.
AI6 Gerenciar mudanças
Todas as mudanças, inclusive mudanças emergenciais e correções, relacionados à infraestrutura e aplicações dentro de
um ambiente de produção precisam ser gerenciados formalmente de uma maneira controlada. Mudanças (incluindo
procedimentos, processos, sistemas e parâmetros de serviços) precisam ser registradas, avaliados e autorizadas antes
de implementar e revisados em relação dos resultados planejados em seguida da implementação. Isso assegura a
mitigação de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.
AI7 Instalar e certificar Soluções e Mudanças
Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento é completo. Isso requer testes
apropriados em um ambiente dedicado com dados de teste relevantes, definição da introdução e instruções de migração,
planejamento de liberações, promoção atual para a produção e revisões pós-implementação. Isso assegura que sistemas
operacionais estão em linha com as expectativas e resultados acordados.
Pág: 29/38 Revisão 7.0
30. Guia de Estudo para Exame de Certificação do Cobit Foundation
ENTREGAR E SUPORTAR
DS1 Definir níveis de Serviços
Comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação dos serviços requeridos, é habilitado
através da documentação e o acordo de serviços da TI e níveis de serviços. Este processo também inclua o
monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos níveis de serviços. Este processo
habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados.
DS2 Gerenciar Serviços de Terceiros
A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um
processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos
para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio
associados com fornecedores não conformes.
DS3 Gerenciar Performance e Capacidade
A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever
periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previsão das futuras
necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingência. Este processo provém
a garantia que os recursos da informática, que suportam os requerimentos de negócio, são continuamente avaliados.
DS4 Garantir Continuidade dos Serviços
A necessidade de prover serviços contínuos de TI requer o desenvolvimento, manutenção e testes de planos de
continuidade da TI, armazenamento externo de backup e treinamento periódico para o plano de continuidade. Um
processo efetivo da continuidade de serviço minimiza a probabilidade e o impacto de interrupções maiores de serviço
sobre funções e processos de negócio.
DS5 Garantir Segurança dos Sistemas
A necessidade de manter a integridade da informação e proteger os ativos da TI requer um processo de gerenciamento
de segurança. Este processo inclui de estabelecer e manter papeis e responsabilidades, políticas, padrões e
procedimentos da segurança de TI. Gerenciamento da segurança também inclui realizar monitoramento da segurança,
testes periódicos e implementar ações corretivas para identificar fraquezas ou incidentes de segurança. Um
gerenciamento efetivo de segurança proteja todos os ativos da TI para minimizar o impacto sobre o negócio das
vulnerabilidades e incidentes de segurança.
DS6 Identificar e Alocar Custos
A necessidade de um sistema justo e imparcial de alocar custos para o negócio requer a medição exata de custos da TI e
acordos com usuários de negócio para uma alocação correta. Este processo inclua a criação e operação de um sistema
de captura, alocação e reporte dos custos da TI para os usuários de serviços. Um sistema de alocação justo permite à
empresa tomar decisões mais embasadas sobre o uso dos serviços.
DS7 Educar e Treinar usuários
Educação efetiva de todos os usuários de sistemas de TI, incluindo estes dentro da TI, requer a identificação das
necessidades de treinamento de cada grupo de usuários. Em adição da identificação da necessidade, este processo
inclua a definição e execução de uma estratégia para um treinamento efetivo e medição de resultados. Um programa
efetivo de treinamento aumenta o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade
e aumenta a conformidade com controles-chaves como as medidas de segurança de usuários.
DS8 Gerenciar Service Desk (Central de Serviços) e Incidentes
Respostas em tempo e efetivos para as perguntas e problemas dos usuários da TI requerem uma central de serviço bem
desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementação da
função da central de serviços com registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O
benefício para o negócio inclua um aumento de produtividade através da resolução rápido das perguntas dos usuários.
Em adição, o negócio pode endereçar causas raízes (como um treinamento deficiente de usuários) através de um
relatório efetivo.
Pág: 30/38 Revisão 7.0
31. Guia de Estudo para Exame de Certificação do Cobit Foundation
DS9 Gerenciar a Configuração
Assegurar a integridade da configuração de hardware e software requer de estabelecer e manter um preciso e completo
repositório da configuração. Este processo inclua a coleta inicial de informação da configuração, estabelecer referências,
verificar e auditar a informação da configuração e atualizar o repositório da configuração quando necessário.
Gerenciamento efetivo da configuração facilita a disponibilidade maior do sistema, minimizar assuntos de produção e
resolver estes assuntos mais rápidos.
DS10 Gerenciar Problemas
Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, análise da causa raiz e
resolução de problemas. O processo do gerenciamento de problemas também inclua a identificação de recomendações
para melhorar a manutenção de registros de problemas e revisar o status de ações corretivas. Um processo do
gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação.
DS11 Gerenciar Dados
Gerenciamento efetivo de dados requer a identificação de requerimentos para dados. O processo de gerenciamento de
dados também inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e
disponibilizar mídias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e
disponibilidade de dados do negócio.
DS12 Gerenciar os Ambientes Físicos
A proteção para equipamentos de computação e pessoal requer instalações bem desenhadas e bem gerenciadas. O
processo de gerenciar o ambiente físico inclua de definir os requerimentos para um lugar físico, seleção de instalações
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso físico. O
gerenciamento eficaz do ambiente físico reduz as interrupções nos negócios provocadas por danos causados a
equipamentos ou pessoas
DS13 Gerenciar Operações
Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manutenção
de hardware. Este processo inclua a definição de políticas e procedimentos operacionais para um gerenciamento efetivo
da programação do processamento, proteção de output sensitivo, monitoramento da infraestrutura e manutenção
preventiva de hardware. Gerenciamento efetivo da operação ajuda de manter a integridade de dados e reduz atrasos no
negócio e custos da operação da TI.
MONITORAR E AVALIAR
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administração estabeleça um framework geral de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do
gerenciamento do portfólio empresarial e processos de programas gerenciais e estes processos que são específicos para
entregar as competências e serviços da TI. O framework deve estar integrado com o sistema de gerenciamento de
desempenho da companhia.
ME2 Monitorar e Avaliar Controle Interno
Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoração bem
definido. Este processo inclui monitoração e reporte de exceções de controle, resultados da auto-avaliação e
revisão de fornecedores (terceiros). Um benefício principal do controle interno de monitoração é fornecer
segurança relacionada à eficiência e eficácia das operacionais e conformidade com leis e regulamentos.
ME3 Assegurar Conformidade Regulatória
Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão independente para
garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, ética
profissional e padrões, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento
das atividades de auditoria. O propósito deste processo é fornecer uma garantia positiva relacionada à
conformidade da TI com leis e regulamentos.
Pág: 31/38 Revisão 7.0
32. Guia de Estudo para Exame de Certificação do Cobit Foundation
ME4 Fornecer Governança de TI
Estabelecer um framework efetivo de governança, incluindo a definição de estruturas organizacionais, processos,
liderança, papeis e responsabilidades para assegurar que os investimentos em TI empresarial são alinhados e entregas
de acordo com as estratégias e objetivos empresariais.
Cobit e Outros Padrões
COBIT e Outros Padrões:
O COBIT é baseado em padrões internacionais aceitos e regulamentos e é cada vez mais reconhecido como o
framework de fato para a governança de TI.
O COBIT está focado no que é necessário para alcançar esta governança e controle em um alto nível. Ele está
alinhado com outras melhores práticas e pode ser usado como o ―integrador‖ de diferentes materiais guia,
como a ISO 17799 e a ITIL.
Como o COBIT se alinha com o COSO:
O COBIT está em conformidade com o COSO e é conveniente como o framework de controle de TI para a
governança empresarial. O COSO ajuda a alcançar os seguintes objetivos:
Eficácia e eficiência de operações
Confiabilidade de relatórios financeiros
Conformidade com leis e regras aplicáveis
Alinhamento do COBIT com o COSO
Similar ao COBIT, o COSO define um controle interno como um processo que é afetado pelo conselho da
diretoria, gerenciamento e outras pessoas de uma entidade.
Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e não é específico para
TI. O COBIT está alinhado com o COSO apenas em um alto nível.
A definição do COBIT de requisitos fiduciários difere do COSO, pois o COBIT expande o escopo para incluir: Toda a
informação Financeira, não apenas a financeira.
Resumo:
Vamos destacar os padrões e frameworks que se relacionam com o COBIT.
O COBIT está harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799 e CMM.
O COBIT está alinhado com o COSO.
O COBIT está posicionado centralmente, no nível geral, ajudando a integrar práticas técnicas e específicas
com maiores práticas de negócios.
Os processos de TI do COBIT também se relacionam com múltiplos componentes do COSO.
O COBIT pode ser usado para garantir conformidade com leis e regras.
Os processos e controles do COBIT podem ser remendados para alcançar regras específicas, como a Lei
Sarbanes-Oxley.
Pág: 32/38 Revisão 7.0
33. Guia de Estudo para Exame de Certificação do Cobit Foundation
Guia de Validação (Assurance Guide)
O objetivo do Guia de Validação de TI é:
Fornecer orientação em como usar o COBIT para suportar uma variedade de atividades validas de TI.
Permitir que os usuários possam se utilizar do COBIT quando planejarem e fizerem revisões, de tal forma
que os negócios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns.
Prover e guiar no planejamento, definição de escopo e na execução de revisões, usando um roadmap
baseado em formas de validação aceitas,suportada por testes detalhados e baseados nos processos e
objetivos de controle do COBIT.
Pág: 33/38 Revisão 7.0
34. Guia de Estudo para Exame de Certificação do Cobit Foundation
O roadmap do Guia de Validação consiste dos seguintes 3 estágios: Planejamento, Fazer Escopo e
Execução:
Planejamento: Estabelecer o universo de validação de TI para designar o que será validado é o inicio de
toda iniciativa de validação.
Fazer escopo: É o processo que inicia pela definição das metas de negócio e TI para o ambiente sob
revisão e pela identificação do conjunto de recursos e processos de TI (que é o universo a ser validado)
requerido para suportar essas metas.
Execução: O terceiro estágio do roadmap de validação é o estágio de execução. Nos próximos slides,
vamos examinar, em detalhes, o roadmap de execução que descreve a forma como os profissionais
envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de
validação específica.
Estágio Descrição
Refinar o Entendimento O 1º. Estágio da fase de execução é refinar o entendimento do ambiente nos
quais os testes serão executados. Isto implica entender a organização para
selecionar o escopo e objetivo corretos de validação. O escopo e objetivo da
validação precisa ser comunicado e aceito por todos os patrocinadores.
Refinar o Escopo O 2º. Estagio da fase de execução é refinar o escopo e determinar
selecionando uma amostra do universo a ser validado (ou seja, processo,
sistema ou aplicação) por um lado e o conjunto de controles a ser revisto por
outro lado para:
Analisar metas de negócios e TI
Selecionar processos e controles
Analisar os riscos inerentes se os objetivos de controle não forem
atingidos e a revisão dos testes necessários para a validação
Finalizar o escopo
Concepção de Teste e O 3º. Estágio da fase de execução é a concepção de teste e controle:
Controle Avalia a concepção dos controles.
Confirma que os controles estão ―instalados em operação‖
Estima a efetividade operacional dos controles.
O profissional de validação deve determinar quando:
o Existe controle de processo documentado
o Existe Evidências de controle de processos
o Responsabilidade e cobrança é clara e efetiva
o Controles de compensação existem, quando necessário
Controle de Testes dos No 4º. Estágio, para testar os resultados ou a efetividade dos controles, o
Resultados profissional em validação necessita identificar evidências diretas e indiretas
dos controles na qualidade das saídas do processo. Isso implica na direta e
indireta evidenciação das contribuições mensuráveis dos controles das
metas e dos processos de TI, registrando as Evidências diretas e indiretas
dos resultados obtidos, como documentado no COBIT.
Pág: 34/38 Revisão 7.0
35. Guia de Estudo para Exame de Certificação do Cobit Foundation
Documentar o Impacto No 5º. Estágio, quando fraquezas de controle são encontradas, elas deve ser
corretamente documentado baseada na severidade das fraquezas
observadas e no potencial impacto que possa haver nos negócios.
Testes são conduzidos organizadamente para prover validação (ou não) aos
gestores da realização dos processos de negócios e objetivos de controle
relacionados.
Comunicar as Conclusões No 6º. Estágio, o profissional de validação deve documentar e identificar
fraquezas de controle, ameaças e vulnerabilidades resultantes, além de
identificar e documentar o impacto atual e potencial, por exemplo, através da
Análise de causa raiz. Em adição, o profissional de validação pode prover
informações comparativas, por exemplo, benchmarks, para estabelecer uma
estrutura de referência em que os testes resultantes tenham sido avaliados
Recomendação Detalhada dos Testes
Deve ser fornecida orientação para a concepção dos controles de testes, controle dos testes dos resultados e
a documentação do impacto de todos os objetivos de controle e processos do COBIT. Os testes também
devem ser baseados nas práticas de controle de TI para estar alinhados com as recomendações de
implementação do COBIT.
Resumo da Guia de Avaliação (Assurance Guide):
O roadmap de Diretrizes de Validação consiste dos 3 estágios seguintes:
o Planejamento
o Escopo
o Execução
A fase de Execução consiste dos seguintes seis estágios:
o Refinar o entendimento
o Refinar o escopo
o Concepção do controle de testes
o Controle de testes dos resultados
o Documentar o impacto
o Comunicar as conclusões
Pág: 35/38 Revisão 7.0
36. Guia de Estudo para Exame de Certificação do Cobit Foundation
Recursos do Cobit (Produtos):
O Cobit possui 4 produtos, que são disponibilizados pela ITGI, ajudam as organizações a adotar, implementar
e gerenciar requisitos de governança de TI usando o COBIT.
- COBIT Online
- COBIT Quickstart
- IT Governance Implementation Guide: (Guia de Implementação de Governança de TI)
Primeiro Produto: COBIT Online
Apresenta o conteúdo do COBIT usando um sistema amigável baseado na web.
Permite que os usuários olhem, busquem, dividam e acessem a base de conhecimento.
Suporta downloads no formato de textos ou formulários, e permite comparações
As vantagens do COBIT Online são:
Fornecer um repositório com fácil acesso de todas as informações relacionadas ao COBIT e permite o
feedback de usuários.
Ele permite que o ISACA/ITGI mantenha o conteúdo e implemente futuras versões gravando um feedback
filtrado, capturando o conhecimento de peritos, fornecendo atualizações online frequentes, e capacitando
produção automática de impressão. O COBIT Online é uma fonte primária para informações atualizadas
do COBIT.
Ele funciona como um local de encontro para anúncios, fóruns de discussão e downloads grátis.
Os componentes do COBIT Online são:
Navegação
Benchmarking
O recurso do benchmarking capacita que os usuários forneçam entradas como o modelo de
maturidade de um processo, a importância de um processo, a importância de um objetivo de controle,
importância de metas de processo e de TI, e práticas de controle, e depois comparar suas pontuações
com as de outros usuários.
Os passos envolvidos em fazer o benchmarking de uma empresa são:
o Perfil: Fornecer informações sobre o perfil da sua empresa.
o O que: Escolher o benchmark que você pretende.
o Pontuação: destaque o tópico que escolheu no passo anterior para os processos que você
selecionou com o filtro.
Feedback e pesquisas
Comunidade
Ajuda
Segundo Produto: O COBIT Quickstart
O COBIT Quickstart:
Permite a adoção dos elementos importantes do COBIT facilmente fornecendo uma versão resumida dos
recursos do COBIT.
Foca nos processos de TI, objetivos de controle e métricas.
Fornece uma base de objetivos de controle para empresas de pequeno e médio porte e pequenas
entidades de grandes empresas, onde a TI não é estratégica ou crítica para o negócio.
Serve como ponto de partida para outras organizações em seu movimento para um nível apropriado de
controle e governança de TI.
COBIT Quickstart: Baseline:
Está disponível como uma publicação.
Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Além disso, pode
ser seguido por pessoas não técnicas ou gerentes que querem princípios, não detalhes; e atua como um
ponto de entrada para o COBIT.
Pode ser utilizado para executar uma avaliação para priorizar os processos do COBIT, no início de uma
implementação de COBIT ou projeto de governança de TI
Pág: 36/38 Revisão 7.0
37. Guia de Estudo para Exame de Certificação do Cobit Foundation
Componentes do COBIT Quickstart:
Os componentes do COBIT Quickstart contém cerca de 20% dos objetivos de controle do COBIT e
componentes de gerenciamento. Cada um destes objetivos de controle está relacionado a um ou mais dos
objetivos de controle detalhados do COBIT.
Aplicação do COBIT Quickstart: pequenas e médias empresas ou empresas onde não são necessários
todos os processos do Framework COBIT.
Terceiro Produto: IT Governance Implementation Guide (Guia de Implementação de Governança de TI)
O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado e um conjunto de
ferramentas para implementar um ciclo de vida contínuo de governança de TI usando o COBIT.
O guia foca em uma metodologia genérica para as seguintes áreas:
Porque a governança de TI é importante e porque as organizações deveriam implementá-lo
Como o COBIT está ligado à governança de TI e como o COBIT capacita a implementação de governança
de TI
Os acionistas que possuem um interesse em governança de TI
Um roadmap para implementar a governança de TI usando o COBIT
Abordagem do Guia de Implementação:
A abordagem do Guia de Implementação identifica a necessidade de criar e preservar valor de uma forma que
alinhe a formulação e execução com os objetivos de negócios da organização. A abordagem envolve a
execução de análise de gaps avaliando a posição atual e a desejada, levando à identificação e iniciação do
projeto.
Conjunto de Ferramentas da Governança de TI:
O guia de implementação fornece:
Um roadmap detalhado para acionistas de governança de TI, que:
o Ajuda a organização a implementar a governança de TI usando o COBIT.
o Garante que o foco esteja nas necessidades de negócios enquanto melhora o controle e a
governança de processos de TI.
o Provê um processo genérico que está dividido em diversas tarefas, variando entre a identificação
de necessidades iniciais para a implementação da solução, incluindo a identificação dos
componentes do COBIT a serem nivelados.
Um conjunto de CDs contendo uma visão geral para dar suporte ao roadmap. Contém templates (modelos)
, apresentações, documentos úteis, e ferramentas de avaliação.
O Quarto Produto: O COBIT Security Baseline:
O COBIT Security Baseline:
Fornece kits de sobrevivência de segurança de informação em uma linguagem simples para qualquer
organização ou pessoa que precise entender como implementar o framework do COBIT. Kits de
sobrevivência de segurança estão disponíveis para todos os níveis de pessoas como usuários domésticos,
profissionais, executivos e gerentes.
Fornece um guia de segurança não técnico e um Quickstart para objetivos de segurança.
Possui uma referencia cruzada ao ISO 17799.
Resumo Produtos:
Os recursos do COBIT a seguir estão disponíveis para dar suporte às implementações do COBIT:
COBIT Online
COBIT Quickstart
IT Governance Implementation Guide Using COBIT e Val IT
COBIT Security Baseline
Pág: 37/38 Revisão 7.0