38
Guia de Estudo para Exame de Certificação do Cobit Foundation Pág: 1/38 Revisão 6.0 Guia de Estudo para o Exame Certificação do Cobit Foundation® 4.1 autor: Rildo Santos [email protected] [email protected] www.CompanyWeb.com.br www.rildosan.blogspot.com Todos os direitos produtos e marcas citados neste guia são de propriedade dos seus donos, este material poderá ser copiado, ampliando e distribuído deste autorizado pelo autor.

Guia de estudo para exame de certificacao Do Cobit v. 4.1

Embed Size (px)

DESCRIPTION

Guia de estudo para o exame de certificação do Cobit v. 4.1

Citation preview

Page 1: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 1/38 Revisão 6.0

Guia de Estudo para o Exame Certificação do Cobit Foundation® 4.1

autor: Rildo Santos

[email protected] [email protected]

www.CompanyWeb.com.br www.rildosan.blogspot.com

Todos os direitos produtos e marcas citados neste guia são de propriedade dos seus donos, este material poderá ser copiado, ampliando e distribuído deste autorizado pelo autor.

Page 2: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 2/38 Revisão 6.0

Introdução: Este Guia de Estudo foi elaborado para ajudar e facilitar a preparação para o exame de certificação do Cobit Foundation versão 4.1. Seu propósito é servir como um documento de revisão complementar ao treinamento de Cobit Foundation. O guia cobre todos os assuntos abordados no exame de certificação, contudo ele não prescritivo, ou seja, você deverá considerar outras fontes de estudo. Rildo Santos Como se preparar para o exame de Certificação do Cobit Foundation 4.1: Check Lists: Material do treinamento: 1 – Faça uma releitura de todo o material 2 – Refaça os exercícios 3 – Refaça o simulado Guia de Estudo: 1 - Leia o Guia 2 - No final de cada parte faça um resumo das partes mais importantes (elas estão grafadas na cor amarela) 3 - Faça os exercícios para fixação, após a elaboração dos resumos de cada parte. 4 - Faça o simulado de certificação

Page 3: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 3/38 Revisão 6.0

Este Guia foi organizado em três partes: Primeira parte: Revisão Geral do Cobit Foundation Segunda parte: Os Processos

o DS2 o PO10 o Descrição dos demais processos

Terceira parte: Produtos Cobit

o COBIT Online o COBIT Quickstart o IT Governance Implementation Guide Using COBIT e Val IT o COBIT Security Baseline

Page 4: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 4/38 Revisão 6.0

Revisão Geral: Desafios de TI: - Manter TI funcionando - Agregar valor - Otimizar custos - Manter o alinhamento de TI com o negócio - Atender a requisitos regulatórios (SOX, BASEL II, SPED e etc)

Definição de Governança Empresarial (Corporativa): Governança empresarial é um conjunto de responsabilidades e práticas exercitadas pelo conselho e o gerenciamento executivo com as metas de: Fornecer um direcionamento estratégico. Garantir que os objetivos sejam alcançados. Estabelecer que os riscos sejam gerenciados apropriadamente. Verificar se os recursos da empresa sejam usados com responsabilidade. Governança empresarial se trata de: Performance

o Melhorar o lucro, a eficiência, a efetividade e o crescimento Conformidade

o Aderir à legislação, políticas internas e requisitos de auditoria Governança Empresarial e a Governança de TI requerem um balanço entre a conformidade e as metas de performance, como orientado pelo conselho (Conselho da Administração). Definição de Governança de TI: A governança de TI é definida como uma estrutura de relacionamento e processos para direcionar e controlar a empresa para que ela possa alcançar suas metas agregando valor enquanto balanceia os riscos versus retorno sobre o TI e seus processos. Quem responsável pela Governança de TI ? O conselho de diretoria e o corpo executivo são responsáveis pela governança de TI, o que envolve estruturas e processos que direcionam a organização no sentido de alcançar seus objetivos. Conceitos chaves da Governança de TI: Direcionar: O gerenciamento fornece direcionamento para implementar uma mudança. Para fornecer um direcionamento efetivo, o gerenciamento precisa entender a mudança pretendida. Além do mais, o gerenciamento direciona outra pessoa a executar essas mudanças. Controlar: O Controle garante que os objetivos sejam alcançados e nenhum incidente indesejado ocorra. Princípios da Governança: Responsabilidade, Prestação de Conta (cobrança), Atividades: Responsabilidade: O CEO (presidente) é o responsável pelo controle interno. Gerentes Seniores (ou diretores) assumem responsabilidade para o estabelecimento de políticas e procedimentos de controle interno específicos para o pessoal executando a função de uma unidade. Controle interno é de responsabilidade de todos dentro de uma organização e deve ser uma parte explícita ou implícita das descrições do trabalho. Quem é Cobrado (Quem presta conta): O que é cobrado está relacionado à responsabilidade, mas especificamente focado em ter autoridade de tomar decisões e fazer aprovações.

Page 5: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 5/38 Revisão 6.0

Por exemplo: A responsabilidade para o processo de definir a estratégia de TI será dividida por diversas pessoas, cada um responsável por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os problemas chave e aprova a versão final. Ele é então cobrado pela estratégia de TI. Atividades: As atividades de TI são efetivas quando há uma boa governança de TI. Geralmente, os departamentos de TI precisam se alinhar com as necessidades de negócios da empresa. O alinhamento é um indicador de performance que pode ser qualquer parâmetro técnico. Acionistas internos (Stakeholders) da Governança de TI: - Gerente de TI - Auditor de TI - Conselho, Executivos, e Gerente de Negócios - Gerente de Riscos e Conformidade Acionistas externos (Stakeholders) da Governança de TI: - Clientes - Fornecedores - Auditor Externo - Reguladores Governança de TI: As 5 Áreas de Foco: Alinhamento Estratégico: Focar em garantir a ligação dos negócios e planos de TI; em definir, manter, e validar a proposta de valor de TI e em alinhar as operações de TI com as operações da empresa Garantir que o investimento da empresa em TI esteja em harmonia com os objetivos estratégicos da empresa Agregação de Valor: Trata-se de executar a proposta de valor através do ciclo de agregação, garantindo que o TI entregue os benefícios prometidos sobre a estratégia, se concentrando em otimizar os custos, e fornecendo o valor essencial da TI. Gerenciar Riscos: Requer: Consciência dos riscos dos responsáveis sênior da corporação. Um entendimento claro do apetite da empresa por riscos. Um entendimento de requisitos de conformidade. Transparência sobre riscos significantes para a empresa. Embutir as responsabilidades de gerenciamento de riscos dentro da organização. Os riscos podem ser administrados pela: Mitigação de riscos. Transferência de riscos. Aceitação de riscos. Evitar riscos. Gerenciar Recursos: Trata-se de investimentos otimizados e gerenciamento apropriado de recursos críticos de TI, como: Aplicações. Informação. Infra-estrutura. Pessoas. Medição de Performance: Busca e monitora a implementação de estratégias, conclusão de projetos, performance de projetos, e agregação de serviços Se não há uma maneira de medir e avaliar as atividades de TI, não é possível governar TI e garantir o alinhamento, agregação de valor, gerenciamento de riscos, e um uso eficiente dos recursos.

Page 6: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 6/38 Revisão 6.0

Benefícios da Governança de TI: Aumentar a confiabilidade dos serviços Maior transparência Boa receptividade do TI para os negócios Confiança da diretoria Melhorar ROI (Retorno sobre Investimento) Por que da necessidade de um Framework de Controle: As empresas não conseguirão atender efetivamente aos negócios e requisitos de governança sem adotar e implementar uma governança e O framework de controle para o TI que permitam: Alinhar os requisitos de negócios. Exibir de forma transparente a performance destes requisitos. Organizar as atividades de TI em um modelo de processos genericamente aceitável. Identificar os principais recursos a serem relevados. Definir os objetivos de controle de gerenciamento a serem considerados. Resumo: Organizações tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de governança de TI: Manter a TI funcionando Entregar valor aos clientes Gerenciar os custos de TI Dominar as complexidades Alinhar a TI com os negócios Garantir conformidade regulatória Gerenciar a segurança

Cobit e Governança de TI: O COBIT ajuda a melhorar a governança de TI. O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para um framework de controle. Estrutura de Controle: - Fornece melhor foco de Trabalho - Foco de Negócios

O COBIT atende melhor aos negócios focando no alinhamento de TI com os objetivos de negócios. A medição da performance de TI deverá focar-se na contribuição da TI em disponibilizar e estender a

estratégia de negócios. O COBIT, suportado por métricas próprias focadas no negócio, pode garantir que o objetivo primário é

a entrega de valor e não a excelência técnica. - Define uma linguagem comum - Linguagem Comum

É uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos críticos e fornecendo um glossário.

Coordenação dentro e através de equipes de projeto; as organizações podem desempenhar o papel chave para o sucesso de qualquer projeto.

Linguagem comum constrói confidência e confiança. - Garante a orientação a processos Orientação a Processos

Quando as organizações implementam o COBIT, o seu foco é mais orientado a processos. Os incidentes e problemas tiram a atenção dos processos. Exceções podem ser claramente definidas como parte de processos padrões.

Page 7: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 7/38 Revisão 6.0

Com a posse do projeto definida, designada e aceitada, a organização é mais capaz de manter controle através de períodos com mudanças rápidas ou crise organizacional.

- Ajuda a alcançar requisitos regulatórios - Requisitos Regulatórios

Recentes escândalos empresariais têm aumentado as pressões regulatórias em conselhos de diretoria para relatar seus status e garantir que os controles internos sejam apropriados. Isto também cobre os controles de TI.

As organizações precisam constantemente melhorar a performance de TI e demonstrar controles adequados sobre suas atividades.

Muitos gerentes de TI, conselheiros e auditores estão se voltando ao COBIT como a resposta de fato para requisitos regulatórios de TI.

- Possui aceitação entre as empresas - Aceitabilidade:

O COBIT é um padrão Aprovado e globalmente aceito para aumentar a contribuição de TI para o sucesso da organização.

O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores práticas. Os profissionais de TI de todo o mundo contribuem com suas idéias e tempo em reuniões de revisão

regulares.

A estrutura do Cobit: As suas principais características são: Focado nos Negócios Orientado a Processos Baseado em Controles Dirigido pela Medição O acrônimo COBIT quer dizer Control Objectives for Information and related Technology Modelo de Governança do provido pelo Cobit: Inicia a partir dos requisitos de negócios. É orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos. Identifica os principais recursos de TI a serem considerados. Define os objetivos de controle a serem considerados. Incorporando os principais padrões internacionais. É um modelo de fato para o controle geral de TI Audiência: COBIT – Concebido para a gerência, Auditores e TI A estrutura do COBIT ajuda não apenas aos usuários técnicos, mas também aqueles que são responsáveis pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usuários garantindo que: Seus requisitos estão definidos e propriamente entendidos. Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum. Premissa: A estrutura do COBIT é baseada na premissa de que TI precisa entregar a informação que uma empresa precisa para alcançar seus objetivos. A estrutura do COBIT ajuda a alinhar TI com os negócios focando-se nas requisições de informações de negócios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a governança de TI.

Page 8: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 8/38 Revisão 6.0

Componentes do Cobit: Uma empresa depende da credibilidade e prontidão da informação. Os componentes do COBIT irão fornecer uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informações.

Como estrutura para governança e controle de TI, o COBIT focará em duas áreas: Fornecer as informações necessárias para suportar os requisitos e objetivos de negócios Tratar a informação como resultado da aplicação conjunta dos recursos de TI que precisam ser

gerenciados pelos processos de TI. O framework do COBIT descreve como os processos de TI entregam a informação que os negócios precisam para alcançar seus objetivos. Para controlar esta entrega, o COBT fornece três componentes chave: - Requisitos de Negócio; - Recursos de TI - Processos de TI Formando as dimensões do Cubo do COBIT.

Cubo do Cobit

Inter-relação dos componentes do COBIT: Em um ambiente complexo, o gerenciamento requer informações compreensivas e em tempo para tomar decisões eficientes sobre risco e controle. O COBIT endereça estes problemas como uma forma de diretrizes de gerenciamento. Estas diretrizes estão destacadas abaixo:

Metas de TI e Processos de TI:

São Medidas por: São decompostas em:

Performance: Indicadores de Desempenho - Atividades Chaves

Resultado: Métrica de Resultado Que são executadas pela

Maturidade: Modelo de Maturidade - Matriz RACI

Page 9: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 9/38 Revisão 6.0

Metas de TI e Processos de TI: O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domínios:

o Planejar e Organizar o Adquirir e Implementar o Entregar e Suportar o Monitorar e Avaliar

O que são processos: Processos são séries de atividades com quebras de controle naturais. Existem 34 processos nos quatro

domínios. Estes processos especificam o que os negócios precisam para alcançar seus objetivos. A entrega de informações é controlada através de 34 objetivos de controle de alto nível, um para cada processo.

Que são atividades ? As Atividades são ações que são necessárias para alcançar resultados mensuráveis. Além disso, as

atividades têm ciclos de vida e incluem muitas tarefas discretas.

As Atividades são ações que são necessárias para alcançar resultados mensuráveis. Além disso, as

atividades têm ciclos de vida e incluem muitas tarefas discretas. O COBIT possui 34 processos de TI definidos dentro dos 4 domínios de TI:

PLANEJAR E ORGANIZAR (PO)

Objetivos: o Formular estratégia e táticas o Identificar como TI pode contribuir melhor para alcançar os objetivos de

negócios o Planejar, comunicar, e gerenciar a realização da visão estratégica o Implementar uma infra-estrutura organizacional e tecnológica

Escopo: o A TI e os negócios estão estrategicamente alinhados? o A empresa está alcançando um uso otimizado dos recursos de TI? o Todos na organização entendem os objetivos de TI? o Os riscos de TI estão entendidos e sendo gerenciados? o A qualidade dos sistemas de TI está apropriada para as necessidades de

negócios?

Processos PO1 – Definir um Plano Estratégico de TI PO2 – Definir a Arquitetura da Informação PO3 – Determinar o Direcionamento Tecnológico PO4 – Definir os Processos, a Organização e os Relacionamentos de TI PO5 – Gerenciar o Investimento de TI

Page 10: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 10/38 Revisão 6.0

PO6 – Comunicar os Objetivos e Direcionamento da Diretoria PO7 – Gerenciar Recursos Humanos de TI PO8 – Gerenciar Qualidade PO9 – Avaliar e Gerenciar Risco de TI PO10 – Gerenciar Projetos

ADQUIRIR IMPLEMENTAR (AI)

Objetivos: o Identificar, desenvolver ou adquirir, implementar, e integrar as soluções de

TI o Mudanças e manutenção de sistemas existentes

Escopo: o Os novos projetos estão preparados para entregar soluções que alcancem

as necessidades de negócios? o Os novos projetos estão preparados para serem entregues a tempo e

dentro do orçamento? o Os novos sistemas irão funcionar bem quando implementados? o As mudanças serão feitas sem atrapalhar as operações de negócios

atuais?

Processos AI1 – Identificar as Soluções Automatizadas AI2 – Adquirir e Manter Software Aplicativo AI3 – Adquirir e Manter Infra-estrutura de Tecnologia AI4 – Permitir Operação e Uso AI5 – Adquirir Recursos de TI AI6 – Gerenciar Mudanças AI7 – Instalar e Validar Soluções e Mudanças

ENTREGAR E SUPORTAR (DS)

Objetivos: o A entrega real de serviços necessários, incluindo a entrega de serviços o O gerenciamento da segurança, continuidade, dados, e facilidades

operacionais o Suporte de serviços para os usuários

Escopo: o Os serviços de TI estão sendo entregues alinhados com as prioridades de

negócios? o Os custos de TI estão otimizados? o A força de trabalho é capaz de usar os sistemas de TI de forma produtiva

e segura? o A confidencialidade, integridade e disponibilidade estão adequadas?

Processos DS1 – Definir e Gerenciar Níveis de Serviços DS2 – Gerencia Serviços Terceirizados DS3 – Gerenciar o Desempenho e a Capacidade DS4 – Garantir Continuidade de Serviços DS5 – Garantir Segurança dos Sistemas DS6 – Identificar e Alocar Custos DS7 – Educar e Treinar os Usuários DS8 – Gerenciar Central de Serviço e Incidentes DS9 – Gerenciar Configuração DS10 – Gerenciar Problema DS11 – Gerenciar Dado DS12 – Gerenciar Ambiente Físico DS13 – Gerenciar Operações

Page 11: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 11/38 Revisão 6.0

MONITORAR E AVALIAR (ME)

Objetivos: o Gerenciamento de Performance o Monitoramento de controles internos o Conformidade regulatória o Governança

Escopo: o A performance de TI está sendo medida para detectar problemas antes

que seja tarde demais? o O gerenciamento garante que os controles internos sejam eficazes e

eficientes? o A performance de TI pode ser ligada às metas de negócios? o Os riscos, controles, conformidade e performance estão sendo medidos e

relatados?

Processos ME1 – Monitorar e Avaliar o Desempenho de TI ME2 – Monitorar e Avaliar os Controles Internos ME3 – Assegurar a Conformidade Regulatória ME4 – Fornecer Governança de TI

Requisitos de Negócio (Critérios de Informação): Para satisfazer os objetivos de negócios, a informação deve estar em conformidade com critérios de informação específicos, os quais o COBIT se refere como requisitos de negócios para informação. Os critérios de informação estão baseados em requisitos de qualidade, segurança e valor (fiduciário).

Requisito de Negócio

Descrição

Efetividade (Qualidade)

Lida com informações serem relevantes e pertinentes aos processos de negócios como também ser entregue de uma forma em tempo, correta, consistente e usual.

Eficiência (Qualidade)

Lida com a provisão de informações através dos uso de recursos otimizados – mais produtivos e econômicos

Confidencialidade (Segurança)

Lida com a proteção de informações sensíveis de revelações não autorizadas.

Integridade (Segurança)

Relaciona-se com a exatidão e integridade de informações tão bem quanto sua validade de acordo com os valores de negócios e expectativas.

Disponibilidade (Segurança)

Relaciona-se com a informação estar disponível quando necessário pelo processo de negócios no presente e no futuro. Ele também é responsável pela guarda de recursos necessários e capacidades associadas.

Conformidade (Fiduciária)

Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo de negócios esta sujeito, ou seja, critérios de negócios impostos externamente como políticas internas.

Confiabilidade (Fiduciária)

Relaciona-se com a provisão de informações corretas para Gerenciar, operar a entidade e exercitar suas responsabilidades fiduciárias e de governança.

Page 12: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 12/38 Revisão 6.0

Recursos: Os processos de TI gerenciam os recursos de TI para gerar, entregar e estocar a informação que a organização precisa para alcançar seus objetivos.

Recurso Descrição

Aplicações Aplicações são sistemas de usuários automatizados e procedimentos manuais que processam a informação.

Informação Informação são os dados de entrada, que são processados, e de saída pelos sistemas de informação, em qualquer forma usada pelos negócios

Infra-estrutura Infra-estrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e as redes que disponibilizam o processamento das aplicações.

Pessoas Pessoas pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser internos, terceirizados, ou contratados, conforme necessário.

Diretrizes de Gerenciamento do COBIT: Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensuráveis para cada processo e medir e comparar a atual capacidade da organização em cada processo. O conjunto de informações de gerenciamento a seguir lista algumas questões. Questões típicas de gerenciamento: Como gerentes responsáveis ―mantém o navio no curso‖? Como a organização alcança resultados que sejam satisfatórios para os segmentos maiores possíveis para

seus acionistas? Como a organização se adapta às tendências e desenvolvimentos no seu envolvimento de uma forma a

tempo?

As Diretrizes de Gerenciamento irão fornecer as metas e as métricas (métricas de resultados e indicadores de performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em direção ao resultado desejado. As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover métricas para a realização das metas de TI. Um scorecard possui 4 dimensões para mapear as metas e indicadores. Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e Crescimento Diretrizes de Gerenciamento provêem recursos para os 34 processos para ajudar aos gestores a entender a performance da organização. Cada processo possui o seguinte: Entradas do Processo: São o que o dono do processo precisa dos outros processos. Saída do Processo: São o que o dono do processo deve entregar. Atividades Chave para o processo e matriz de RACI: Aponta quem é Responsible (Responsável),

Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade. Metas e métricas mostram como os processos devem ser medidos. Eles são definidos em três níveis: Metas e métricas de TI definem o que os negócios esperam da TI, ou seja, o que os negócios usariam

para medir a TI. Metas e Métricas do Processo definem o que o processo de TI deve agregar para suportar as metas de

TI, ou seja, como o dono do processo de TI seria medido.

Page 13: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 13/38 Revisão 6.0

Métricas de performance de processo medem quão bem o processo está indo para indicar se as metas deverão ser alcançadas.

Modelos de Maturidade ajudam as organizações a medir a capacidade do processo de não existente (0) para Otimizado (5). Modelo de Maturidade: Todos os processos possuem um modelo de maturidade. A maturidade diz respeito à capacidade do processo em atender os requisitos regulatório e compliance, capacidade para atender metas de TI e as metas dos processos de TI. Modelos de Maturidade fornecem uma escala para referenciar às práticas da companhia contra os padrões e diretrizes da indústria. Um modelo de maturidade é uma medida que capacita que uma empresa nivele sua maturidade para um processo específico de não existente (0) para otimizado (5).

COBIT — Valor e Limitações O COBIT: É aceito como referencia internacional de boas práticas. É orientado aos negócios. É considerado um padrão aberto. É mantido por uma organização de boa reputação sem fins lucrativos. Mapeia 100 por cento do COSO. Está mapeado de acordo com principais padrões relacionados. É uma referência. As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos seguintes requisitos da empresa:

o Entrega de valor. o Gerenciar Risco. o Infra-estrutura de TI, organização, e portfólio de projetos.

Vantagens de adotar o COBIT são:

Page 14: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 14/38 Revisão 6.0

O COBIT está alinhado com outros padrões e melhores práticas e deve ser usado junto deles. O framework do COBIT e melhores práticas de suporte fornecem um ambiente de TI bem administrado e

flexível em uma organização. O COBIT fornece um ambiente de controle que responde às necessidades de negócios e gerenciamento

de servidores e funções de auditoria em termos de suas responsabilidades de controle. O COBIT fornece ferramentas para ajudar a gerenciar as atividades de TI.

Introdução ao Val IT O Val IT é baseado no COBIT, estendendo e complementando-o, orientado para a dimensão do valor da entrega, o Val IT foca especificamente: Nas decisões de re-investimento (estamos fazendo as coisas certas) Na realização dos benefícios (estamos obtendo os benefícios?) A Meta do Val IT: A meta da iniciativa do Val IT é ajudar a administração a garantir que as organizações entendam o valor máximo dos investimentos que permitam a sustentação dos negócios a um custo acessível a um nível aceitável de riscos Os princípios do Val IT estão detalhados abaixo: Investimentos permitidos pela TI serão gerenciados como um portfólio de investimentos. Permitir os investimentos de TI que incluam o escopo completo de atividades necessárias para atender

aos negócios. Investimentos permitidos pela TI serão gerenciados através de todo o seu ciclo de vida econômico. As práticas de entrega de valor irão reconhecer que existem categorias de investimentos diversas que

serão avaliadas e gerenciados diferentemente.

As práticas de entrega de valor irão definir e monitorar indicadores chave capazes de responder rapidamente a quaisquer mudança ou divergências.

As práticas de entrega de valor devem engajar todos os patrocinadores e definir uma prestação de contas apropriada para a entrega das competências para a obtenção de benefícios de negócios.

As práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas. Val IT é baseado nos ―Quatro Estamos‖ , exploram as questões fundamentais dos valores a serem entregues por TI.

Page 15: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 15/38 Revisão 6.0

Estrutura de Processo: O diagrama abaixo mostra a estrutura dos três processos do VAL IT e suas práticas de gerenciamento. Valor da Governança (Value Governance) VG1 Garante a informação e o compromisso com a liderança. VG2 Define e implementa processos. VG3 Define Papéis e Responsabilidades. VG4 Garante a aceitação apropriada das responsabilidades. VG5 Define os requisitos de informação. VG6 Estabelece os requisitos a ser reportado. VG7 Estabelece a estrutura organizacional. VG8 Estabelece a direção estratégica. VG9 Define as categorias de investimento. VG10 Determina e objetiva o Portfólio associado. VG11 Define os critérios de avaliação por categoria.

Gerenciamento do Investimento (Investment Management) IM1 Desenvolve um plano de alto-nível das oportunidades de investimento. IM2 Desenvolve um programa inicial conceituado em business case. IM3 Desenvolve um entendimento claro do programa candidato. IM4 Executa analises alternativas. IM5 Desenvolve um plano de programa. IM6 Desenvolve um plano de realização de benefícios. IM7 Identifica o ciclo completo de custos e benefícios. IM8 Desenvolve um business case detalhado. IM9 Associa propriedade e responsabilidades. IM10 Inicia, planeja e lança o programa. IM11 Gerencia o programa. IM12 Gerencia e rastreia os benefícios IM13 Atualiza o business case.

Page 16: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 16/38 Revisão 6.0

IM14 Monitora e reporta a performance do programa. IM15 Encerra o programa. Gerenciamento do Portfólio (Portfólio Management) PM1 Mantém um inventário sobre os recursos humanos. PM2 identifica os recursos requeridos. PM3 Executa um gap analysis. PM4 Desenvolve um plano de recursos. PM5 Exigências de recurso de monitor e utilização. PM6 Estabelece limites de investimento. PM7 Avalia o programa inicial concebido pelo business case. PM8 Avalia e atribui pontuações relativas ao business case. PM9 Cria uma visão geral do portfólio PM10 Faz e comunica as decisões de investimento. PM11 Lançamento em fases do programa escolhido. PM12 Otimizar a performance do portfólio PM13 Repriorizar o portfólio PM14 Monitorar e reportar a performance do portfólio Os processos expandem os processos dos domínios Planejar e Organizar e ME do COBIT, especialmente aqueles relacionados a: Estratégias de TI e do Negócio Gerenciamento de Investimentos Portfólio de programas e gerenciamento de projetos Monitorar e avaliar o valor da entrega A estrutura do Val IT framework provê uma referência cruzada ao COBIT. Resumo: O COBIT satisfaz as seguintes características da estrutura de controle:

o Orientado a processos o Focado em negócios o Linguagem comum o Aceitabilidade geral o Atende a requisitos regulatórios

O COBIT conecta riscos de negócios, controla necessidades e requisitos técnicos. Provê boas práticas

através de uma estrutura de domínios e processos. Também apresenta atividades em uma estrutura lógica e gerenciável.

A audiência para o COBIT inclui gerenciamento de negócios, auditores e gestores de TI. Os três principais componentes da estrutura do COBIT são:

o Recursos de TI o Processos de TI o Requerimentos de negócios

Os três componentes da estrutura do COBIT combinam para formar um método holístico de analisar e

definir os requisitos de TI em uma organização. O modelo de maturidade mede a capacidade dos processos.

O COBIT define as atividades de TI em um modelo de processo genérico dentro de quatro domínios:

o Planejamento e Organização o Aquisição e Implementação o Entrega e Suporte o Monitoração e Avaliação

A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega.

Page 17: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 17/38 Revisão 6.0

Diretrizes de gerenciamento fornecem: o Entradas e saídas de processos o Atividades de processos e gráficos RACI. o Negócios, TI, processo, e metas de atividade. o Métricas – Indicadores chave de meta e performance. o Modelos de Maturidade.

Os Processos: Estrutura do Cobit – Processos: Cada processo de TI do COBIT possui:

o Um requisito de negócio que a TI satisfaça. o Metas chave em que se focar. o Controles chave que ajudem a alcançar as metas. o Métricas chave que ajudem a medir a performance. o Objetivos de controle detalhados.

Cada processo de TI do COBIT: Está mapeado para critérios de informação, Recursos de TI, e governança de TI usando:

o P - Relacionamento Primário. o S - Relacionamento Secundário. o Em branco para indicar que os requisitos são satisfeitos mais apropriadamente por outro critério

e/ou por outro processo. Possui entradas e saídas de processos e um gráfico RACI. Possui um modelo de maturidade.

Objetivos de Controle: Cada processo tem um objetivo de controle de alto nível e objetivos de controles detalhados. As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócios no mesmo nível. O framework do COBIT define três níveis:

Primário: O objetivo de controle definido impacta diretamente no critério de informação. Secundário: O objetivo de controle definido satisfaz apenas o critério de informação que se interessa

apenas com a extensão menor ou indiretamente. Em branco: Isto poderia ser aplicável. Entretanto, os requisitos são satisfeitos mais apropriadamente

por outro critério neste processo. O que é Objetivo de Controle ?

Page 18: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 18/38 Revisão 6.0

Uma declaração do resultado desejado ou proposta a ser alcançada implementando procedimentos de controle em uma atividade em particular.

As práticas de Controle: As práticas de controle de TI estendem a estrutura do COBIT fornecendo um nível adicional de ajuda quando olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o que precisa ser feito para implementar uma estrutura de controle eficaz. As práticas de controle fornecem um nível de detalhe adicional, se necessário.

Processo: PO10 – Gerenciar Projeto: Descrição do Processo: Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve incluir um plano mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma abordagem em fases para as entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões pós-implementação após da instalação para assegurar o gerenciamento de risco e a entrega do valor para o negócio. Esta abordagem reduz o risco de custos não esperados e cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e usuários finais, assegura o valor e a qualidade dos entregáveis do projeto e maximiza a contribuição de programas que habilitam investimentos em TI. Controle sobre o processo de TI:

Gerenciar Projeto Que satisfaz os requisitos de negócio:

A entrega dos projetos resulta em cronogramas, orçamento e qualidade acordados focando nas

Um programa definido e um modelo de gerenciamento de projeto que são aplicadas ao projeto de TI , que habilita a participação dos patrocinadores, no monitoramento de riscos e progresso dos projetos.

É alcançado pelas

Definir e impor programas e frameworks de projetos e abordagens Liberar diretrizes de gerenciamento de projetos Executar planejamento de projeto para cada projeto detalhado no portfólio dos projetos

É medido por

Porcentagem de projetos que alcançam as expectativas dos acionistas, ou seja, em tempo, dentro do orçamento, e requisitos de alcance, medidos pela importância

Porcentagem de projetos recebendo revisão pós implementação. Porcentagem de projetos seguindo os padrões e práticas de gerenciamento de projeto

Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio) Mapeamento com as Áreas de Foco de Governança de TI: Primário: - Alinhamento Estratégico Secundário: - Agrega Valor, Gerenciamento de Riscos, Gerenciamento de Recursos e Medição de Performance Mapeamento com os Recursos de TI - Aplicações, Infra-estrutura e Pessoas Mapeamento com os Critérios de Informação: Primário: - Eficácia e Eficiência

Page 19: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 19/38 Revisão 6.0

Branco: - Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade Objetivos de Controle: Objetivos de controle são declarações de gerenciamento de melhores práticas baseados em padrões globais e na visões de peritos. Objetivos de e Controle: PO10.1 Estrutura de Gerenciamento de Programa PO10.2 Estrutura de Gerenciamento de Projeto PO10.3 Abordagem de Gerenciamento de Projeto PO10.4 Comprometimento dos Participantes PO10.5 Escopo do Projeto PO10.6 Fase de Início do Projeto PO10.7 Planejamento do Projeto Integrado PO10.8 Recursos do Projeto PO10.9 Gerenciamento de Riscos do Projeto PO10.10 Planejamento da Qualidade do projeto PO10.11 Controle de Mudanças no Projeto PO10.12 Métodos de Planejamento de Garantia do Projeto PO10.13 Avaliação, Relatórios e Monitoramento do Desempenho do Projeto PO10.14 Conclusão do Projeto Os requisitos de controle genéricos para os processos do COBIT são: PC1: Dono do processo — Definir um dono para cada processo do COBIT para que a responsabilidade

esteja clara. PC2: Repetibilidade — Definir cada processo do COBIT para que seja repetível. PC3: Metas e Objetivos — Estabelecer metas e objetivos claros para cada processo do COBIT para uma

execução eficaz. PC4: Papéis e Responsabilidades — Definir papéis, atividades e responsabilidades sem ambigüidade

para cada processo do COBIT para uma execução eficiente. PC5: Performance do processo — Medir a performance para cada processo do COBIT versus suas

metas. PC6: Política, planos e procedimentos —Documentar, revisar, manter atualizado, assinar, e comunicar a

todas as partes relacionadas qualquer política, plano ou procedimento que endereça um processo COBIT. Matriz RACI identifica quem é Responsável, Cobrado, Consultado e/ou Informado

Page 20: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 20/38 Revisão 6.0

Entrada e Saída de processo: Cada processo está ligado a outros processos. As entradas são entregáveis que um processo requer de

outros processos. Saídas são entregáveis que um processo fornece para outros. Entradas e Saída do processo PO10: Entradas: PO1 – Portfólio do Projeto PO5 – Portfólio de projeto de TI atualizado PO7 – Matriz de Habilidades de TI PO8 – Padrões de Desenvolvimento AI7 – Revisão pós-implementação Saídas: Relatório de performance de projeto – ME1 Plano de Gerenciamento de risco de projeto – PO9 Diretrizes de gerenciamento de projeto – AI1, AI7 Planos de projeto de detalhados – PO8, AI1, AI7 e DS6 Portfólio de projeto de TI atualizado – PO1 e PO5 Indicadores: Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0): Define medidas que informam aos gestores – após o fato – que indicam se uma função, processo ou atividade alcançou suas metas. Indicadores de resultado das funções de TI são freqüentemente expressas em termos de critérios de informação relevantes, como: Disponibilidade da informação necessária para suportar as necessidades de negócios. Ausência de riscos de integridade e confidencialidade. Eficiência de custo de processos e operações. Confirmação de confiabilidade, eficácia, e conformidade. Indicadores de Performance (Key Performance Indicators, KPI, no COBIT 4.0): Indicadores de performance definem medidas que determinam quão bem negócios, funções de TI ou processos estão atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poderá ou não

Page 21: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 21/38 Revisão 6.0

ser alcançada. Com freqüência medem disponibilidades ou capacidades, práticas e/ou habilidades além dos resultados de atividades de sustentação. Nota: Indicadores de resultado de baixo nível tornam-se indicadores de performace de alto nível. Indicadores de Meta Chaves – PO10 O COBIT define dois níveis de medidas de resultado: um para o departamento de TI (resultados de TI) e um para o processo de TI (métrica do resultado do processo). PO10: Gerenciar Projetos Indicadores de resultado de TI:

Porcentagem de projetos que atendem as expectativas dos acionistas – em tempo, dentro do orçamento, e alcançando os requisitos – determinados pela importância

Indicador de Resultado de Processo: Porcentagem de projetos a tempo e dentro do orçamento Porcentagem de projetos alcançando as expectativas dos acionistas

Indicadores de Performance – PO10 Comentário: Estas são medidas de resultados para as atividades e indicadores de desempenho do processo PO10

% de projetos que seguem os padrões e práticas de gerenciamento. % de gerentes de projetos certificados ou treinados. % de projetos recebendo revisões pós-implementação. % de acionistas (stakeholders) participando em projetos, o que representa um índice de envolvimento.

Metas e Métricas do PO10:

Page 22: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 22/38 Revisão 6.0

Modelo de Maturidade:

Nível de Maturidade Descrição

O – Não Existente

Técnicas de gerenciamento de projeto não são utilizadas e a organização não considera os impactos dos negócios associado com a falta de gerenciamento de projeto e falhas de desenvolvimento de projeto.

1 – Inicial

O uso das técnicas e abordagens de gerenciamento de projeto dentro da TI é uma decisão tomada somente pelos gerentes de TI. Há uma falta de comprometimento gerencial com a responsabilidade e gerenciamento do projeto. Decisões críticas do gerenciamento do projeto são tomadas sem o envolvimento de usuários ou necessidades de cliente. Há pouco ou nenhum envolvimento do cliente ou envolvimento do usuário na definição dos projetos de TI. Não há uma organização clara dentro da TI para o gerenciamento dos projetos. Papéis e responsabilidades para o gerenciamento dos projetos não são definidos. Projetos, cronogramas e marcos são fracamente definidos, se definidos. As despesas e o tempo da equipe do projeto não são revisados e comparados ao orçamento.

2 – Repetitível

O Gerenciamento sênior ganhou e comunicou uma consciência da necessidade do gerenciamento de projeto de TI. A organização está no processo de desenvolvimento e utilização de algumas técnicas e métodos de projeto para projeto. Os projetos de TI definiram informalmente os objetivos técnicos e de negócios. As diretrizes iniciais foram desenvolvidas para muitos aspectos do gerenciamento de projeto. A aplicação das diretrizes de gerenciamento de projeto foi deixada para discrição do gerente de projeto individual.

3 – Definido

O processo e metodologia do gerenciamento de projeto de TI foi estabelecido e comunicado. Os projetos de TI são definidos com objetivos técnicos e de negócios apropriados. TI sênior e gerenciamento de negócios estão começando a se comprometer e se envolver no gerenciamento de projetos de TI. Um escritório de gerenciamento de projeto é estabelecido dentro da TI, com papéis e responsabilidades iniciais definidos. Os projetos de TI são monitorados, com marcos, horários e orçamentos e medição de performance. O treinamento de gerenciamento de projeto está disponível e é primariamente um resultado das iniciativas individuais da equipe. Procedimentos de segurança de qualidade e atividades pós-implementação de sistema foram definidas mas não são totalmente aplicadas pelos gerentes de TI. Os projetos estão começando a ser gerenciados como portfólios.

4 – Gerenciado

O gerenciamento requer métricas de projeto formais e padronizadas e uma revisão de lições aprendidas na conclusão dos projetos. O gerenciamento de projeto é medido e avaliado através da organização e não apenas dentro da TI. Avanços no processo de gerenciamento de projeto são formalizados e comunicados com membros da equipe do projeto treinados em crescimentos. O gerenciamento de TI implementou uma estrutura de organização de projeto com papéis documentados, responsabilidades, e critérios de performance da equipe. Critérios para avaliar o sucesso em cada missão que for estabelecida. Valor e risco são medidos e gerenciados antes, durante e depois da conclusão dos projetos. Os projetos crescentemente endereçam as metas da organização, mais do que apenas específicos para TI. O suporte de projeto forte e ativo para o gerenciamento de patrocinadores sênior assim como acionistas. Um treinamento relevante para gerenciamento de projetos é planejado para funcionários no escritório de gerenciamento de projeto e através da função de TI.

5 – Otimizado

Um projeto de ciclo de vida completo e aprovado e uma metodologia de programa é implementada, imposta, e integrada na cultura de toda a organização. Uma iniciativa contínua para identificar e institucionalizar as melhores práticas de gerenciamento de projeto foi implementado. Uma

Page 23: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 23/38 Revisão 6.0

estratégia de TI para buscar desenvolvimento e projetos operacionais é definido e implementado. Um escritório de gerenciamento de projeto integrado é responsável por projetos e programas desde o princípio até a pós-implementação. Um planejamento organizacional completo de programas e projetos garante que o usuário e os recursos de TI são melhor utilizados para dar suporte a iniciativas estratégicas.

Processo: DS2 - Gerenciar Serviços de Terceiros Descrição do Processo: A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio associados com fornecedores não conformes. Controle sobre o processo de TI:

Gerenciar Serviços de Terceiros Que satisfaz os requisitos de negócio:

Fornecendo prestação satisfatória de serviços de terceiros, com transparência sobre os benefícios, custos e riscos

focando nas Estabelecendo relações e responsabilidades bilaterais com os fornecedores de serviços da terceiros qualificados e acompanhamento da prestação de serviços para verificar e assegurar a aderência aos acordos

É alcançado pelas Identificação e categorização de Fornecedores de Serviços Identificação e mitigação de risco da prestação de serviços por fornecedores Monitorando e mensurando a performance dos fornecedores

É medido por

• Número de reclamações de usuários de serviços contratados • Porcentagem de maiores fornecedores que atendem requerimentos e níveis de serviço claramente definidos • Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano

Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio) Mapeamento com as Áreas de Foco de Governança de TI: Branco: - Alinhamento Estratégico Primário: - Agrega Valor e Gerenciamento de Riscos Secundário: - Gerenciamento de Recursos e Medição de Performance Mapeamento com os Recursos de TI - Aplicações, Informação, Infra-estrutura e Pessoas Mapeamento com os Critérios de Informação: Primário: - Eficácia e Eficiência Secundário: - Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade

Page 24: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 24/38 Revisão 6.0

Objetivos de Controle Detalhados:

DS2.1 Identificação de todos os Relacionamentos com Fornecedores Identificar todos os fornecedores de serviço e categoriza estes de acordo com tipo de fornecimento, significância e criticidade. Manter uma documentação formal sobre relacionamentos técnicos e organizacionais, cobrindo os papeis e responsabilidades, metas, entregáveis esperados e credenciamento de representantes destes fornecedores. DS2.2 Gerenciamento de Relacionamento com Fornecedores Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os proprietários dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a qualidade dos relacionamentos baseados em confiança e transparência (p.ex. através de SLAs). DS2.3 Gerenciamento de Riscos dos Fornecedores Identificar e mitigar riscos relacionados às habilidades dos fornecedores de continuar com a entrega de serviços efetivos, numa maneira seguro e eficiente, como também em base continuou. Assegura contratos conforme padrões universais de negócio e em concordância com requerimentos legais e regulamentos. O gerenciamento de risco deve considerar também acordos de não conformidade (ANCs), custódia contratual, viabilidade de fornecimento continuou, conformidade com requerimentos de segurança, fornecedores alternativos, penalidades e recompensas, etc. DS2.4 Monitoramento de Desempenho de Fornecedores Estabeleça um processo para monitorar a entrega do serviço para assegurar que o fornecedor atende os requerimentos atuais de negócio e continuam aderente aos acordos contratuais e acordos de níveis de serviço e que o desempenho é competitivo em relação de fornecedores alternativos e condições de mercado. Entradas e Saídas: Entradas:

PO1 - Estratégia de Sourcing de TI PO8 - Padrão de Aquisição AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros DS1 - SLAs, Revisão do relatório de contrato DS4 - Requisitos de Serviços de Desastres, incluindo papéis e responsabilidades

Saídas:

Relatório de performance de processos - ME1 Catálogo de Fornecedores - AI5 Risco de Fornecedores - PO9

Page 25: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 25/38 Revisão 6.0

Matriz RACI: (Atividades e Funções)

Metas e Métricas DS2

Page 26: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 26/38 Revisão 6.0

Modelo de Maturidade:

Nível de Maturidade Descrição

O – Não Existente

Responsabilidades e obrigações não estão definidas. Não existem políticas

formais e procedimentos relativos ao contratar terceiros

Serviços de terceiros não são aprovados nem revistos pela administração. Não

há atividades de medição e não informações sobre terceiros. Ausência de uma

obrigação contratual para a comunicação e a alta administração não tem

conhecimento da qualidade dos serviços prestado.

1 – Inicial

Administração está consciente da necessidade de ter políticas e procedimentos documentados para a gestão de terceiros, incluindo os contratos assinados. Não existem cláusulas de acordos com prestadores de serviços. A medição dos serviços prestados é informal e reativa. Práticas são dependentes da experiência dos indivíduos e do fornecedor.

2 – Repetitível

O processo para a supervisão dos terceiros, prestadores de serviço e riscos associados à prestação de serviços é informal. A assinatura, pró-forma do contrato é usado para vender termos e condições padrão (por exemplo, a descrição dos serviços a serem prestados). Relatórios sobre os serviços prestados estão disponíveis, mas não oferecem suporte a objetivos de negócio.

3 – Definido

Procedimentos bem documentados estão disponíveis para governar serviços de terceiros, com processos claros para habilitar a negociação com fornecedores. Quando um acordo para a prestação de serviços é feito, a relação com o terceiro, é puramente contratual. A natureza dos serviços a serem prestados são detalhados no contrato e inclui requisitos legais, operacionais e de controle. A responsabilidade pela fiscalização dos serviços de terceiros é atribuído. As cláusulas contratuais são baseados em modelos padronizados. O risco de negócio associadas ao serviços de terceiros são avaliados e comunicados.

4 – Gerenciado

Critérios formais e normalizados são estabelecidos para definir as condições de contratação, incluindo o âmbito do trabalho, serviços / produtos que deverão ser fornecidos, suposições, cronograma, custos, condições de pagamento e responsabilidades. Responsabilidades em matéria de contratos e gestão de fornecedores são atribuídos. Qualificações dos vendedores, riscos e potencialidades são verificados em uma base contínua. Requisitos do serviço são definidos e vinculados ao objetivos do negócio. Existe um processo para analisar o desempenho do serviço contra as cláusulas contratuais, fornecendo atributos para avaliar serviços de atuais e futuros de terceiros. Modelos de preços de transferência são utilizados no processo de aquisição. Todas as partes envolvidas estão conscientes do serviço, custos e expectativas de marco. Acordados metas e métricas para a fiscalização dos prestadores de serviços existentes.

5 – Otimizado

Os contratos assinados com terceiros são revisados periodicamente em intervalos pré-definidos. A responsabilidade pela gestão de fornecedores e da qualidade dos serviços prestados é atribuída. Evidencia do cumprimento do contrato de operacionais, legais e administrativas de controle é monitorado, e ação corretiva é executada. O terceiro está sujeito a revisões periódicas independentes, e feedback sobre o desempenho é fornecida e utilizada para melhorar a prestação de serviços. Medidas variam em resposta a mudanças nas condições de negócios. Medidas de apoio a detecção preventiva de problemas potenciais com serviços de terceiros. Compreensivo, definidos relatórios de desempenho de nível de serviço está relacionada com a compensação de terceiros. Gestão ajusta o processo de aquisição de serviços terceiros com base no monitoramento das métricas.

Page 27: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 27/38 Revisão 6.0

Descrição dos Demais Processos:

PLANEJAR E ORGANIZAR PO1 Definir um Plano Estratégico de TI O planejamento estratégico é requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratégias e

prioridades do negócio. A função da TI e os stakeholders do negócio são responsáveis para assegurar que um valor

otimizado é realizado através dos portfólios dos projetos e serviços. O plano estratégico deve aumentar a compreensão

dos stakeholders chaves em relação das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nível

de investimentos requeridos. A estratégia e as prioridades do negócio devem ser refletidas nos portfólios e executadas

através dos planos táticos da TI, os quais estabeleçam objetivos concisos, planos e tarefas compreendidas e aceitos pelo

negócio e da TI.

PO2 Definir a Arquitetura de Informação A função dos sistemas de informação deve criar e atualizar regularmente um modelo de informação de negócio e definir

os sistemas apropriados para otimizar o uso da informação. Isso inclua o desenvolvimento de um dicionário coorporativo

de dados com as regras de sintaxe da organização, esquema de classificação de dados e níveis de segurança. Este

processo melhora a qualidade de decisões feitas pelas gerencias e assegura que informações confiáveis e seguras são

providas e isso habilita de racionalizar recursos de sistemas de informação para atender apropriadamente as estratégias

de negócio. Este processo da TI também necessita de aumentar a responsabilidade sobre a integridade e segurança dos

dados e melhorar a efetividade e controle sobre o compartilhamento de informação através de aplicações e entidades.

PO3 Determinar a Direção Tecnológica A função dos serviços de informação deve determinar a direção tecnológica para suportar o negócio. Isso requer a

criação de um plano da infra-estrutura tecnológica e um comitê de arquitetura que fixa e gerencia expectativas claras e

realísticas o que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano deve ser

atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direção tecnológica, planos de aquisição,

padrões, estratégias de migração e contingência. Isso habilita uma resposta em tempo para mudar para um ambiente

competitiva, economias em escala com o pessoal e os investimentos em sistemas de informação e um investimento que

melhora a interoperabilidade de plataformas e aplicações.

PO4 Definir Processos de TI, Organização e Relacionamento Uma organização da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funções,

responsabilidade, autoridade, papeis e supervisão. Esta organização deve estar embutida dentro um framework de

processos da TI que asseguram transparência e controle, como também envolvem os executivos sênior e gerentes de

negócio. Um comitê estratégico deve assegurar uma visão geral da TI e um ou mais comitês de direção, em quais os

participantes do negócio e da TI devem determinar a priorização dos recursos da TI em linha com as necessidades do

negócio. Processos, políticas e procedimentos administrativos necessitam de ser implementadas para todas as funções,

com atenção especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurança de informação,

propriedade para dados e sistemas e segregação de direitos. Para assegurar um suporte em tempo para os

requerimentos do negócio, a TI deve estar envolvida em processos relevantes de decisão.

PO5 Gerenciar o Investimento em TI Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos,

benefícios, priorização nos orçamentos, um processo formal de orçamentos e gerenciamento em relação dos orçamentos.

Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefícios dentro do contexto dos planos

estratégicos e táticos da TI e iniciar ações corretivas quando necessárias. O processo deve favorecer os relacionamentos

entre a TI e stakeholders do negócio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparência e

responsabilidade nos custos totais de propriedade, a relação do beneficio para o negócio e o retorno sobre investimentos

que habilitam a TI.

Page 28: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 28/38 Revisão 6.0

PO6 Comunicar Metas e Diretivas Gerenciais A administração deve desenvolver um framework de controle empresarial da TI e definir e comunicar políticas. Um

programa continua de comunicação deve ser implementada para articular a missão, objetivos de serviço, políticas e

procedimentos, etc. aprovados e suportados pela administração. A comunicação suporta o atingimento dos objetivos da TI

e assegura conscientização e compreensão em relação do negócio e os riscos, objetivos e a direção da TI. O processo

deve assegurar a conformidade com leis e regulamentos.

PO7 Gerenciar Recursos Humanos Adquire, mantêm e motiva uma força de trabalho competente para criar e entregar serviços da Ti para o negócio. Isso é

atingido seguindo praticas definidos e acordadas que suportam o recrutamento, treinamento, avaliação do desempenho,

promoção e demissão. Este processo é critico, como as pessoas são um ativo e de governança importante e o ambiente

interno de controle depende bastante da motivação e competência do pessoal.

PO8 Gerenciar Qualidade Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de

desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado através do planejamento, implementação e

manutenção do sistema de qualidade que provêm requerimentos claros de qualidade, procedimentos e políticas.

Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificáveis e atingíveis.

Melhorias contínuas são atingidas através de um monitoramento operacional, analises e ações sobre desvios e a

comunicação dos resultados para os stakeholders. Gerenciamento da qualidade é essencial para assegurar que a TI

entrega valor para o negócio, melhorias contínuas e transparência para stakeholders.

PO9 Avaliar e Gerenciar Riscos Criar e manter um framework de gerenciamento de riscos. O framework documenta um nível de riscos da TI comum e

acordado, estratégias de mitigação e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da

organização, causada por eventos não planejados, deve ser identificado, levantado e avaliado. Estratégias de mitigação

de riscos devem ser adotadas para minimizar riscos residuais ao um nível aceitável. O resultado da avaliação deve ser

compreensível para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos

com um nível aceitável de tolerância.

PO10 Gerenciar Projetos Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este

framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve incluir um plano

mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma abordagem em fases para as

entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões pós-implementação após da instalação

para assegurar o gerenciamento de risco e a entrega do valor para o negócio. Esta abordagem reduz o risco de custos

não esperados e cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e usuários finais,

assegura o valor e a qualidade dos entregáveis do projeto e maximiza a contribuição de programas que habilitam

investimentos em TI.

ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluções automatizadas A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou criação para assegurar que

os requerimentos do negócio são satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definição das

necessidades, considerando fontes alternativas, revisão da viabilidade tecnológica e econômica, execução de análise de

risco e análise de custo / beneficio e a conclusão de uma decisão final de ―fazer‖ ou ―comprar‖. Todos estes passos

Page 29: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 29/38 Revisão 6.0

habilitam a organização de minimizar os custos de adquirir e implementar soluções, enquanto asseguram que estes

habilitam o negócio de atingir seus objetivos.

AI2 Adquirir e manter software aplicativo Aplicações devem estar disponíveis em linha com os requerimentos de negócio. Este processo envolve o desenho de

aplicações, a inclusão apropriada de controles de aplicação e requerimentos de segurança e o atual desenvolvimento e

configuração conforme os padrões. Isso permita as organizações de suportar apropriadamente as operações de negócio

com as corretas aplicações automatizadas.

AI3 Adquirir e manter arquitetura tecnológica Organizações devem haver um processo para a aquisição, implementação e atualização da infra-estrutura tecnológica.

Isso requer uma abordagem planejada para a aquisição, manutenção e proteção da infra-estrutura em linha com as

estratégias tecnológicas acordadas e a provisão de ambientes de desenvolvimento e teste. Isso assegura que o suporte

tecnológico operacional suporta as aplicações de negócio.

AI4 Manter operação e uso Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produção de documentação

e manuais para usuários e TI e prover treinamento que assegura o uso e a operação apropriado de aplicações e infra-

estrutura.

AI5 Obter Recursos de TI Recursos de TI, inclusive pessoas, hardware, software e serviços, necessitam ser obtidos. Isso requer uma definição e

sanção de procedimentos de aquisição, a seleção de fornecedores, a realização de arranjos contratuais e a aquisição em

se. Fazer assim assegura que a organização tem todos os recursos de TI requeridos em tempo e de maneira efetivo em

custo.

AI6 Gerenciar mudanças Todas as mudanças, inclusive mudanças emergenciais e correções, relacionados à infra-estrutura e aplicações dentro de

um ambiente de produção precisam ser gerenciados formalmente de uma maneira controlada. Mudanças (incluindo

procedimentos, processos, sistemas e parâmetros de serviços) precisam ser registradas, avaliados e autorizadas antes

de implementar e revisados em relação dos resultados planejados em seguida da implementação. Isso assegura a

mitigação de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

AI7 Instalar e certificar Soluções e Mudanças Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento é completo. Isso requer testes

apropriados em um ambiente dedicado com dados de teste relevantes, definição da introdução e instruções de migração,

planejamento de liberações, promoção atual para a produção e revisões pós-implementação. Isso assegura que sistemas

operacionais estão em linha com as expectativas e resultados acordados.

Page 30: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 30/38 Revisão 6.0

ENTREGAR E SUPORTAR

DS1 Definir níveis de Serviços Comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação dos serviços requeridos, é habilitado

através da documentação e o acordo de serviços da TI e níveis de serviços. Este processo também inclua o

monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos níveis de serviços. Este processo

habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados.

DS2 Gerenciar Serviços de Terceiros A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um

processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos,

responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos

para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio

associados com fornecedores não conformes.

DS3 Gerenciar Performance e Capacidade A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever

periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previsão das futuras

necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingência. Este processo provém

a garantia que os recursos da informática, que suportam os requerimentos de negócio, são continuamente avaliados.

DS4 Garantir Continuidade dos Serviços A necessidade de prover serviços contínuos de TI requer o desenvolvimento, manutenção e testes de planos de

continuidade da TI, armazenamento externo de backup e treinamento periódico para o plano de continuidade. Um

processo efetivo da continuidade de serviço minimiza a probabilidade e o impacto de interrupções maiores de serviço

sobre funções e processos de negócio.

DS5 Garantir Segurança dos Sistemas A necessidade de manter a integridade da informação e proteger os ativos da TI requer um processo de gerenciamento

de segurança. Este processo inclui de estabelecer e manter papeis e responsabilidades, políticas, padrões e

procedimentos da segurança de TI. Gerenciamento da segurança também inclui realizar monitoramento da segurança,

testes periódicos e implementar ações corretivas para identificar fraquezas ou incidentes de segurança. Um

gerenciamento efetivo de segurança proteja todos os ativos da TI para minimizar o impacto sobre o negócio das

vulnerabilidades e incidentes de segurança.

DS6 Identificar e Alocar Custos A necessidade para um justo e imparcial sistema de alocar custos para o negócio requer a medição exata de custos da TI

e acordos com usuários de negócio para uma alocação correta. Este processo inclua a criação e operação de um sistema

de captura, alocação e reporte dos custos da TI para os usuários de serviços. Um sistema justo de alocação habilita o

negócio de fazer mais decisões informadas em relação do uso de serviços da TI.

DS7 Educar e Treinar usuários Educação efetiva de todos os usuários de sistemas de TI, incluindo estes dentro da TI, requer a identificação das

necessidades de treinamento de cada grupo de usuários. Em adição da identificação da necessidade, este processo

inclua a definição e execução de uma estratégia para um treinamento efetivo e medição de resultados. Um programa

efetivo de treinamento aumenta o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade

e aumenta a conformidade com controles chaves como as medidas de segurança de usuários.

DS8 Gerenciar Service Desk (Central de Serviços) e Incidentes Respostas em tempo e efetivos para as perguntas e problemas dos usuários da TI requerem uma central de serviço bem

desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementação da

função da central de serviços com registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O

benefício para o negócio inclua um aumento de produtividade através da resolução rápido das perguntas dos usuários.

Em adição, o negócio pode endereçar causas raiz (como um pobre treinamento de usuários) através de um reporte

efetivo.

Page 31: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 31/38 Revisão 6.0

DS9 Gerenciar a Configuração Assegurar a integridade da configuração de hardware e software requer de estabelecer e manter um preciso e completo

repositório da configuração. Este processo inclua a coleta inicial de informação da configuração, estabelecer referências,

verificar e auditar a informação da configuração e atualizar o repositório da configuração quando necessário.

Gerenciamento efetivo da configuração facilita a disponibilidade maior do sistema, minimizar assuntos de produção e

resolver estes assuntos mais rápidos.

DS10 Gerenciar Problemas Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, análise da causa raiz e

resolução de problemas. O processo do gerenciamento de problemas também inclua a identificação de recomendações

para melhorar a manutenção de registros de problemas e revisar o status de ações corretivas. Um processo do

gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação.

DS11 Gerenciar Dados Gerenciamento efetivo de dados requer a identificação de requerimentos para dados. O processo de gerenciamento de

dados também inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e

disponibilizar mídias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e

disponibilidade de dados do negócio.

DS12 Gerenciar os Ambientes Físicos A proteção para equipamentos de computação e pessoal requer instalações bem desenhadas e bem gerenciadas. O

processo de gerenciar o ambiente físico inclua de definir os requerimentos para um lugar físico, seleção de instalações

apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso físico.

Gerenciamento efetivo do ambiente físico reduz interrupções do negócio devida de danos nos equipamentos de

computação e no pessoal.

DS13 Gerenciar Operações Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manutenção

de hardware. Este processo inclua a definição de políticas e procedimentos operacionais para um gerenciamento efetivo

da programação do processamento, proteção de output sensitivo, monitoramento da infra-estrutura e manutenção

preventiva de hardware. Gerenciamento efetivo da operação ajuda de manter a integridade de dados e reduz atrasos no

negócio e custos da operação da TI.

MONITORAR E AVALIAR

ME1 Monitorar e Avaliar a Performance de TI Assegura que a administração estabeleça um framework geral de monitoramento e uma abordagem que defina o escopo,

metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do

gerenciamento do portfólio empresarial e processos de programas gerenciais e estes processos que são específicos para

entregar as competências e serviços da TI. O framework deve estar integrado com o sistema de gerenciamento de

desempenho da companhia.

ME2 Monitorar e Avaliar Controle Interno Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoração bem definido. Este processo inclui monitoração e reporte de exceções de controle, resultados da auto-avaliação e revisão de fornecedores (terceiros). Um benefício principal do controle interno de monitoração é fornecer segurança relacionada à eficiência e eficácia das operacionais e conformidade com leis e regulamentos.

ME3 Assegurar Conformidade Regulatória Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão independente para garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, ética profissional e padrões, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento das atividades de auditoria. O propósito deste processo é fornecer uma garantia positiva relacionada à conformidade da TI com leis e regulamentos.

Page 32: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 32/38 Revisão 6.0

ME4 Fornecer Governança de TI Estabelecer um framework efetivo de governança, incluindo a definição de estruturas organizacionais, processos,

liderança, papeis e responsabilidades para assegurar que os investimentos em TI empresarial são alinhados e entregas

de acordo com as estratégias e objetivos empresariais.

Cobit e Outros Padrões COBIT e Outros Padrões: O COBIT é baseado em acomodar grandes padrões internacionais, e está cada vez mais reconhecido como o framework de fato para a governança de TI. O COBIT está focado em o que é necessário para alcançar esta governança e controle em um alto nível. Ele está alinhado com outras melhores práticas e pode ser usado como o ―integrador‖ de diferentes materiais guia, como a ISO 17799 e a ITIL. Como o COBIT se alinha com o COSO: O COBIT está em conformidade com o COSO e é conveniente como o framework de controle de TI para a governança empresarial. O COSO ajuda a alcançar os seguintes objetivos: Eficácia e eficiência de operações Confiabilidade de relatórios financeiros Conformidade com leis e regras aplicáveis Alinhamento do COBIT com o COSO Similar ao COBIT, o COSO define um controle interno como um processo que é afetado pelo conselho da diretoria, gerenciamento e outras pessoas de uma entidade. Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e não é específico para TI. O COBIT está alinhado com o COSO apenas em um alto nível.

A definição do COBIT de requisitos fiduciários difere do COSO no que o COBIT expande o escopo para incluir: Toda a informação

Resumo: Vamos destacar os padrões e frameworks que se relacionam com o COBIT. O COBIT está harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799, e CMM. O COBIT está alinhado com o COSO. O COBIT está posicionado centralmente, no nível geral, ajudando a integrar práticas técnicas e específicas

com maiores práticas de negócios. Os processos de TI do COBIT também se relacionam com múltiplos componentes do COSO. O COBIT pode ser usado para garantir conformidade com leis e regras. Os processos e controles do COBIT podem ser remendados para alcançar regras específicas, como a Lei

Sarbanes-Oxley.

Page 33: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 33/38 Revisão 6.0

Guia de Validação (Assurance Guide)

O objetivo do Guia de Validação de TI é: Fornecer orientação em como usar o COBIT para suportar uma variedade de atividades validas de TI. Permitir que os usuários possam se utilizar do COBIT quando planejarem e fizerem revisões, de tal forma

que os negócios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns. Prover e guiar no planejamento, definição de escopo e na execução de revisões, usando um roadmap

baseado em formas de validação aceitas,suportada por testes detalhados e baseados nos processos e objetivos de controle do COBIT.

Page 34: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 34/38 Revisão 6.0

O roadmap do Guia de Validação consiste dos seguintes 3 estágios: Planejamento, Fazer Escopo e Execução: Planejamento: Estabelecer o universo de validação de TI para designar o que será validado é o inicio de

toda iniciativa de validação. Fazer escopo: É o processo que inicia pela definição das metas de negócio e TI para o ambiente sob

revisão e pela identificação do conjunto de recursos e processos de TI (que é o universo a ser validado) requerido para suportar essas metas.

Execução: O terceiro estágio do roadmap de validação é o estágio de execução. Nos próximos slides, vamos examinar, em detalhes, o roadmap de execução que descreve a forma como os profissionais envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de validação específica.

Estágio Descrição

Refinar o entendimento O 1º. estágio da fase de execução é refinar o entendimento do ambiente nos quais os testes serão executados. Isto implica entender a organização para selecionar o escopo e objetivo corretos de validação. O escopo e objetivo da validação precisa ser comunicado e aceito por todos os patrocinadores.

Refinar o Escopo

O 2º. estagio da fase de execução é refinar o escopo e determinar selecionando uma amostra do universo a ser validado (ou seja, processo, sistema ou aplicação) por um lado e o conjunto de controles a ser revisto por outro lado para: Analisar metas de negócios e TI Selecionar processos e controles Analisar os riscos inerentes se os objetivos de controle não forem

atingidos e a revisão dos testes necessários para a validação Finalizar o escopo

Concepção de Teste e Controle

O 3º. estágio da fase de execução é a concepção de teste e controle: Avalia a concepção dos controles. Confirma que os controles estão ―instalados em operação‖ Estima a efetividade operacional dos controles. O profissional de validação deve determinar quando:

o Existe controle de processo documentado o Existe Evidências de controle de processos. o Responsabilidade e cobrança é clara e efetiva. o Controles de compensação existem, quando necessário.

Controle de Testes dos Resultados

No 4º. estágio, para testar os resultados ou a efetividade dos controles, o profissional em validação necessita identificar evidências diretas e indiretas dos controles na qualidade das saídas do processo. Isso implica na direta e indireta evidenciação das contribuições mensuráveis dos controles das metas e dos processos de TI, registrando as Evidências diretas e indiretas dos resultados obtidos, como documentado no COBIT.

Page 35: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 35/38 Revisão 6.0

Documentar o Impacto

No 5º. estágio, quando fraquezas de controle são encontradas, elas devem ser corretamente documentadas baseada na severidade das fraquezas observadas e no potencial impacto que possa haver nos negócios. Testes são conduzidos organizadamente para prover validação (ou não) aos gestores da realização dos processo de negócios e objetivos de controle relacionados.

Comunicar as Conclusões

No 6º. Estágio, o profissional de validação deve documentar e identificar fraquezas de controle, ameaças e vulnerabilidades resultantes, além de identificar e documentar o impacto atual e potencial, por exemplo, através da Análise de causa raiz. Em adição, o profissional de validação pode prover informações comparativas, por exemplo, benchmarks, para estabelecer uma estrutura de referência em que os testes resultantes tenham sido avaliados

Recomendação Detalhada dos Testes Deve ser fornecida orientação para a concepção dos controles de testes, controle dos testes dos resultados e a documentação do impacto de todos os objetivos de controle e processos do COBIT. Os testes também devem ser baseados nas práticas de controle de TI para estar alinhados com as recomendações de implementação do COBIT.

Resumo da Guia de Avaliação (Assurance Guide): O roadmap de Diretrizes de Validação consiste dos 3 estágios seguintes:

o Planejamento o Escopo o Execução

A fase de Execução consiste dos seguintes seis estágios: o Refinar o entendimento o Refinar o escopo o Concepção do controle de testes o Controle de testes dos resultados o Documentar o impacto o Comunicar as conclusões

Page 36: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 36/38 Revisão 6.0

Recursos do Cobit (Produtos): O Cobit possui 4 produtos, que são disponibilizados pela ITGI, ajudam as organizações a adotar, implementar e gerenciar requisitos de governança de TI usando o COBIT. - COBIT Online - COBIT Quickstart - IT Governance Implementation Guide: (Guia de Implementação de Governança de TI) Primeiro Produto: COBIT Online Apresenta o conteúdo do COBIT usando um sistema amigável baseado na web. Permite que os usuários olhem, busquem, dividam e acessem a base de conhecimento. Suporta downloads no formato de textos ou formulários, e permite comparações As vantagens do COBIT Online são: Fornecer um repositório com fácil acesso de todas as informações relacionadas ao COBIT e permite o

feedback de usuários. Ele permite que o ISACA/ITGI mantenha o conteúdo e implemente futuras versões gravando um feedback

filtrado, capturando o conhecimento de peritos, fornecendo atualizações online freqüentes, e capacitando produção automática de impressão. O COBIT Online é uma fonte primária para informações atualizadas do COBIT.

Ele funciona como um local de encontro para anúncios, fóruns de discussão, e downloads grátis. Os componentes do COBIT Online são: Navegação Benchmarking

Benchmarking é outro componente do COBIT Online. O recurso do benchmarking capacita que os usuários forneçam entradas como o modelo de maturidade de um processo, a importância de um processo, a importância de um objetivo de controle, importância de metas de processo e de TI, e práticas de controle, e depois comparar suas pontuações com as de outros usuários. Os passos envolvidos em fazer o benchmarking de uma empresa são:

o Perfil: Fornecer informações sobre o perfil da sua empresa. o O que: Escolher o benchmark que você pretende. o Pontuação: destaque o tópico que escolheu no passo anterior para os processos que você

selecionou com o filtro. Feedback e pesquisas Comunidade Ajuda Segundo Produto: O COBIT Quickstart O COBIT Quickstart: Permite a adoção dos elementos importantes do COBIT facilmente fornecendo uma versão resumida dos

recursos do COBIT. Foca nos processos de TI, objetivos de controle, e métricas. Fornece uma base de objetivos de controle para empresas de pequeno e médio porte e pequenas

entidades de grandes empresas, onde a TI não é estratégica ou crítica para o negócio. Serve como ponto de partida para outras organizações em seu movimento para um nível apropriado de

controle e governança de TI. COBIT Quickstart: Baseline: Está disponível como uma publicação. Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Além disso, pode

ser seguido por pessoas não técnicas ou gerentes que querem princípios, não detalhes; e atua como um ponto de entrada para o COBIT.

Page 37: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 37/38 Revisão 6.0

Pode ser utilizado para executar uma avaliação para priorizar os processos do COBIT, no início de uma implementação de COBIT ou projeto de governança de TI

Componentes do COBIT Quickstart: Os componentes do COBIT Quickstart contém cerca de 20% dos objetivos de controle do COBIT e componentes de gerenciamento. Cada um destes objetivos de controle está relacionado a um ou mais dos objetivos de controle detalhados do COBIT. Aplicação do COBIT Quickstart: Pequenas e Médias Empresas ou empresas onde não necessário todos os processos do Framework Cobit. Terceiro Produto: IT Governance Implementation Guide (Guia de Implementação de Governança de TI) O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado, e um conjunto de ferramentas para implementar um ciclo de vida contínuo de governança de TI usando o COBIT. O guia foca em uma metodologia genérica para as seguintes áreas: Porque a governança de TI é importante e porque as organizações deveriam implementá-lo. Como o COBIT está ligado à governança de TI e como o COBIT capacita a implementação de governança

de TI Os acionistas que possuem um interesse em governança de TI Um roadmap para implementar a governança de TI usando o COBIT Abordagem do Guia de Implementação: A abordagem do guia de implementação identifica a necessidade de criar e preservar valor de uma forma que alinha a formulação e execução com os objetivos de negócios da organização. A abordagem envolve a execução de análise de gaps avaliando a posição atual e a desejada, levando à identificação e iniciação do projeto. Conjunto de Ferramentas da Governança de TI: O guia de implementação fornece: Um roadmap detalhado para acionistas de governança de TI, que:

o Ajuda a organização a implementar a governança de TI usando o COBIT. o Garante que o foco esteja nas necessidades de negócios enquanto melhora o controle e a

governança de processos de TI. o Provê um processo genérico que está dividido em diversas tarefas, variando entre a identificação

de necessidades iniciais para a implementação da solução, incluindo a identificação dos componentes do COBIT a serem nivelados.

Uma conjunto de CDs contendo uma visão geral para dar suporte ao roadmap. Contém templates (modelos) , apresentações, documentos úteis, e ferramentas de avaliação.

O Quarto Produto: O COBIT Security Baseline: O COBIT Security Baseline: Fornece kits de sobrevivência de segurança de informação em uma linguagem simples para qualquer

organização ou pessoa que precise entender como implementar o framework do COBIT. Kits de sobrevivência de segurança estão disponíveis para todos os níveis de pessoas como usuários domésticos, profissionais, executivos e gerentes.

Fornece um guia de segurança não técnico e um Quickstart para objetivos de segurança. Possui uma referencia cruzada ao ISO 17799. Resumo Produtos: Os recursos do COBIT a seguir estão disponíveis para dar suporte às implementações do COBIT: COBIT Online COBIT Quickstart IT Governance Implementation Guide Using COBIT e Val IT COBIT Security Baseline

Page 38: Guia de estudo para exame de certificacao Do Cobit v. 4.1

Guia de Estudo para Exame de Certificação do Cobit Foundation

Pág: 38/38 Revisão 6.0

Notas sobre a tradução: Accountability - Foi traduzido para cobrança, mas Prestação de Conta seria a melhor tradução. Agregação de Valor = Também pode ser traduzido (melhor) para Entrega de Valor Assurance Guide - foi traduzido para Guia de Avaliação Compliance = Conformidade com leis, regulamentos e contratos, Governança Corporativa = Foi traduzido para Governança Empresarial: IT Governance Implementation Guide – Não foi traduzido (Guia de Implementação de Governança de TI) Requisitos fiduciários = Também são conhecidos como requisitos de conformidade com leis e regulamentos Stakeholder - foi traduzido para acionistas

Referências: - Manual do Cobit Foundation 4.1 (em português) http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274 ITGI/ISACA - Cobit Security Baseline - 2a. edição An Information Security - Survival Kit ITGI/ISACA - IT Assurance Guide Using Cobit ITGI/ISACA - IT Governance Implementation Guide - 2a. edição Using Cobit and Val IT ITGI/ISACA www.isaca.org