Questionrio Processos COBIT 4.

1
Controles Implementados Parcial Nvel Importncia

Processos TI PO Planejamento e Organizao

PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, Organizao e Relacionamentos de TI PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar Recursos Humanos de TI PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos de TI PO10 Gerenciar Projetos

AI Aquisio e Implementao
AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura Tecnolgica AI4 Habilitar Operao e Uso AI5 Obter Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas

DS Entrega e Suporte
DS1 Definir e Gerenciar Nveis de Servio DS2 Gerenciar Servios Terceirizados DS3 Gerenciar Desempenho e Capacidade DS4 Assegurar Continuidade dos Servios DS5 Garantir a Segurana de Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar Usurios DS8 Gerenciar a Central de Servios e os Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar Operaes

ME Monitoramento e Avaliao
ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar Controle Interno ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI

Pgina 1

Mdia

No

Alta

Sim

N\A

Questionrio Processos
Importncia Nenhuma Impedimentos Percebidos N\A Observao

Baixa

Pgina 2

Produtos por Processo COBIT 4.1

Controles Implementados Parcial Nvel Importncia Nenhuma

Mdia

Baixa

No

Alta

Sim

N\A

Processos TI PO Planejamento e Organizao

PO1 Definir um Plano Estratgico de TI Planejamento estratgico de TI Planejamento ttico de TI Portflio de projetos de TI Portflio de servios de TI Estratgia de fornecimento de TI Estratgia de aquisio de TI PO2 Definir a Arquitetura da Informao Estrutura de classificao de dados Plano otimizado de sistemas de negcio Dicionrio de dados Arquitetura da informao Classificaes atribudas a dados Procedimentos e ferramentas de classificao PO3 Determinar as Diretrizes de Tecnologia Oportunidades tecnolgicas Padres tecnolgicos Atualizaes peridicas do estado da tecnologia Planejamento da infraestrutura tecnolgica Requisito de infraestrutura PO4 Definir os Processos, Organizao e Relacionamentos de TI Estrutura de processos de TI Proprietrios formais dos sistemas Organizao e relacionamentos de TI Estrutura de processos de TI, papis, funes e responsabilidades documentadas Documentao de papis, funes e responsabilidades PO5 Gerenciar o Investimento em TI Relatrios de custo/benefcio Oramentos de TI Portflio de servios de TI atualizado Portflio de projetos de TI atualizado PO6 Comunicar Metas e Diretrizes Gerenciais Estrutura corporativa de controles de TI Polticas de TI PO7 Gerenciar Recursos Humanos de TI Polticas e procedimentos de RH para TI Matriz de habilidades em TI Descrio de cargos Habilidades e competncias de usurios, incluindo treinamento individual Requisitos de treinamentos especficos Papis, funes e responsabilidades PO8 Gerenciar Qualidade Padres para aquisio Padres para desenvolvimento Padres de qualidade e requisitos de mtricas Aes de melhoria da qualidade PO9 Avaliar e Gerenciar Riscos de TI Avaliao crtica de riscos Relatrio de riscos Diretrizes para a gesto de riscos de TI Planos de ao para remediao de riscos de TI PO10 Gerenciar Projetos Relatrios de desempenho de projetos Plano de gerenciamento de risco de projetos Diretrizes de gerenciamento de projetos Planejamento detalhado de projetos Portflio de projetos de TI atualizado

x x x x x x

x x x x x x

x x x x

x x x x

x x

x x

AI Aquisio e Implementao
AI1 Identificar Solues Automatizadas Estudo de viabilidade dos requisitos de negcio AI2 Adquirir e Manter Software Aplicativo Especificaes de controles para segurana de Aplicaes Conhecimento de aplicaes e pacotes de software Decises de aquisio x x x x

Pgina 3

N\A

Produtos por Processo COBIT 4.1

Controles Implementados Parcial Nvel Importncia Nenhuma

Mdia

Baixa

No

Alta

Sim

N\A

Processos TI
Acordos de nvel de servios (SLAs) planejados inicialmente Especificaes de disponibilidade, continuidade e recuperao AI3 Adquirir e Manter Infraestrutura Tecnolgica Decises de aquisio Sistema configurado para ser testado/instalado Requisitos do ambiente fsico Atualizaes para padres tecnolgicos Requisitos de monitoramento de sistema Conhecimento da infraestrutura Acordos de nvel operacional (OLAs) planejados inicialmente AI4 Habilitar Operao e Uso x

Manuais de usurio, operao, suporte, tcnico e administrao Requisitos de transferncia de conhecimento para implementao de solues Materiais de treinamento AI5 Adquirir Recursos de TI Requisitos de gerenciamento de relacionamento com terceiros x Itens adquiridos Tratativas contratuais AI6 Gerenciar Mudanas x Descrio do processo de mudanas Relatrios de status das mudanas Autorizao de mudanas AI7 Instalar e Homologar Solues e Mudanas x Itens de configurao liberados Erros conhecidos e aceitos Migrao para produo Liberao de software e planejamento de distribuio Reviso ps-implementao Monitoramento de controles internos

DS Entrega e Suporte
DS1 Definir e Gerenciar Nveis de Servio Relatrio de reviso de contratos Relatrios de desempenho de processos Requisitos novos ou atualizados de servios SLAs OLAs Portflio de servios de TI atualizado DS2 Gerenciar Servios Terceirizados Relatrios de desempenho de processos x x

Catlogo de fornecedores Riscos de fornecedores

DS3 Gerenciar Desempenho e Capacidade Informao de desempenho e capacidade Planejamento de desempenho e capacidade (requisitos) Mudanas necessrias Relatrios de desempenho de processos DS4 Assegurar Continuidade dos Servios Resultados dos testes de contingncia Criticidade dos itens de configurao de TI Plano de guarda e proteo de cpias de segurana (backups) Nveis de incidentes/desastres Requisitos de servio para desastres, incluindo papis e responsabilidades Relatrios de desempenho de processos DS5 Garantir a Segurana de Sistemas Definio de Incidente de Segurana

Pgina 4

N\A

Produtos por Processo COBIT 4.1

Controles Implementados Parcial Nvel Importncia Nenhuma x x

Mdia

Baixa

No

Alta

Sim

N\A

Processos TI
Requisitos especficos de treinamento em conscientizao de segurana Relatrios de desempenho de processos Mudanas de segurana necessrias Vulnerabilidades e ameaas de segurana Polticas e Plano de Segurana de TI DS6 Identificar e Alocar Custos Aspectos financeiros de TI Relatrios de desempenho de processos DS7 Educar e Treinar Usurios Relatrios de desempenho de processos Atualizaes necessrias de documentaes DS8 Gerenciar a Central de Servios e os Incidentes Solicitaes de servio/solicitaes de mudana Relatrios de incidentes x

Relatrios de desempenho de processos Relatrios sobre satisfao de usurios DS9 Gerenciar a Configurao Detalhes dos Ativos de TI e Configuraes de TI Solicitaes de mudana (como e onde aplicar a correo) Relatrios de desempenho de processos DS10 Gerenciar Problemas Solicitaes de mudana (como e onde aplicar a correo) Registros de problemas Relatrios de desempenho de processos Problemas e erros conhecidos e solues alternativas x

DS11 Gerenciar Dados Relatrios de desempenho de processos Instrues de gesto de dados para os operadores DS12 Gerenciar o Ambiente Fsico Relatrios de desempenho de processos

DS13 Gerenciar Operaes Chamados de incidentes Registros de erros Relatrios de desempenho de processos

ME Monitoramento e Avaliao
ME1 Monitorar e Avaliar o Desempenho de TI Informaes de desempenho para planejamento de TI Planos de ao para remediaes Histrico de eventos e tendncias de riscos Relatrios de desempenho de processos ME2 Monitorar e Avaliar Controle Interno Relatrios sobre a eficcia dos controles de TI ME3 Assegurar a Conformidade com Requisitos Externos Catlogo de requisitos legais e regulatrios relacionados com a entrega de servios de TI Relatrios sobre a conformidade das atividades de TI com requisitos externos legais e regulatrios ME4 Prover Governana de TI Melhorias na estrutura de processos

Pgina 5

N\A

Produtos por Processo COBIT 4.1

Controles Implementados Parcial Nvel Importncia Nenhuma

Mdia

Baixa

No

Alta

Sim

N\A

Processos TI
Relatrios de status de governana de TI Resultados de negcio esperados a partir dos investimentos em negcios habilitados por TI Direcionamento estratgico corporativo para TI Grau aceitvel corporativo de riscos de TI

Gestao de Marca
Gerenciar a marca de TI Publicaes Participaes em Congressos Nmero de Clientes / Conveniados

Pgina 6

N\A

Produtos por Processo

Impedimentos Percebidos

Observao

Virada do ano,

Pode ser montado. Externa: legislao Interna: padro Acoplada ao planejamento.

DD Tots e SISGEOP

Diretrizes disctidas

Planejamento, desenvolvimento, contratao

Formalizar o processo de deciso de investimento em TI Sem necessidade. Custos indiretos dependendo do projeto.

Atravs de email Poltica interna sem a flexibilidade necessria paraInvestimento atingir os objetivos em treinamentos. TI.

Atrelado estratgia Falta de RH especializado. Padro Hw sim Padro Sw por licitao Padro Servios por licitao

Falta de RH especializado.

Formalizar um contrato de nvel de atendimento e qualidade

J existe em sistema.

Controlado. Definir templates.

Pgina 7

Produtos por Processo

Impedimentos Percebidos

Observao

Definir templates.

Multiplicador/facilitador. Mantm os materiais em intranet.

Legislao.

Definir templates.

Legislao. Executa atravs das licitaes/projetos.

Custos podem ser altos para implantar automatizao. Falta de RH especializado.

Necessita de um padro para nveis de usurio.

Falta de RH especializado. (qualidade e documentao).

Relacionamento formal. Catlogo de fornecedores em vrias fontes Catlogo de contratos/licitaes que pode ser estendido com fontes externas ou contratadas. Organizar o conhecimento.

Custos podem ser altos para implantar automatizao devido a limitao de oramento. Formalizar o nvel de servio. Falta de RH especializado. Muitos nveis e polticas esto definidos internamentes. Falta explicitar em um contrato interno entre usurio e DETIN sobre sistemas/servios. Contrato com usurio geral, contrato com usurio de sistema, contrato com gerncia. igual DS3 igual DS3

igual DS3

igual DS3 Mais evoludo. Falta refinar algumas partes.

Pgina 8

Produtos por Processo

Impedimentos Percebidos

Observao

Gesto realizada

Falta o processo de gesto de capacitao na empresa (RH No se manifesta) Falta de RH especializado para padronizao. Falta de RH especializado para documentao e instruo.

Indicar a modalidade de treinamento em cada projeto, Manuteno de treinamento. Definir perfil de treinamento TI por ocupao. Padronizado e automatizado. Implementar categorizao no sistema atual. Recomendar o cadastro para incidentes e servios. Neste sistemas, incluir intervenes em sistemas, solicitaes de treinamento e evoluo de TI.

No faz acompanhamento pr-ativo de estaes de usurios. ERP com gesto de patrimnio. Documentos com configuraes de ativos de TI. No existe necessidade para os nveis de servio. Tamanho da empresa no comporta um helpdesk sofisticado. Problemas so controlados pelo sistema. Erros conhecidos no so formalizados.

igual DS3

Padronizado e automatizado. Inclusive nos casos de desligamento e mudana de usurio. Backup: sistema, dados/log, arquivo, aplicaes. Diretrio virtual backup, virtual pblico para grupo. Padronizar o procedimento. Algumas aes executadas pelo DEMFA. Leiautes so definidos em conjunto com o DEMFA e o usurio. Pouca ocorrncia, sem necessidade de controles formais. Os controles so exercidos em comum acordo com o DEMFA. Sem ambientes fsicos com necessidades especiais alm do CPD e Sala de Rack. igual DS3 No rotinas batch fora backup.

Pgina 9

Produtos por Processo

Impedimentos Percebidos

Observao

Pgina 10

Lista
Perguntas para o nvel de maturidade Passo 1 Passo 2 Passo 3 Descreva a sada do processo. Pergunte se tal sada j foi produzida pela organizao. Se nunca ento o nvel de maturidade 0, seno v para o passo 3. Pergunte quando e quantas vezes tal sada foi produzida pela organizao. Se no regularmente (a cada ocasio similar) ento o nvel de maturidade 1, seno v para o passo 4. Pegunte como (quais atividades executadas) a sada produzida pela organizao. Se no existe poltica formal ou guia indicando quando e como ele deve ser executado ento o nvel de maturidade 2, seno v para o passo 5. Pergunte como a qualidade da sada ou a efetividade das atividades medida pela organizao. Se no existe tal medida o nvel de maturidade 3, seno v para o passo 6. Pergunte se e como as atividades que produzem a sada tem sido aperfeioadas ao longo do tempo. Se no existe tal aperfeioamento ento a o nvel de maturidade 4, seno v para o passo 7.

Passo 4

Passo 5

Passo 6

Passo7

Assinale ao processo o nvel de maturidade 5.

Pgina 11

Lista
Critrio para cada nvel de maturidade do processo Nvel Critrio Maturidade Categoria 0 Inexistente O processo no existe. O processo executado quando necessrio, sem padro. O processo executado repetidamente, mas sem documentao.

1 Ad hoc

2 Repetvel

O processo executado repetidamente, de acordo com 3 Definido documentao padronizada. O processo executado repetidamente, de acordo com documentao padronizada e 4 Gerenciado medido. O processo executado repetidamente, de acordo com documentao padronizada, medido e continuamente aperfeioado.

5 Otimizado

Pgina 12

COBIT 4.1

Controles Implementados Parcial Nvel

Importncia Nenhuma Observao N\A

Mdia

Objetivo TI / Processos TI 1 Responder aos requerimentos de negcios de maneira alinhada com a estratgia de negcios.
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO4 Definir os Processos, Organizao e Relacionamentos de TI PO10 Gerenciar Projetos AI1 Identificar Solues Automatizadas AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas DS1 Definir e Gerenciar Nveis de Servio DS3 Gerenciar Desempenho e Capacidade ME1 Monitorar e Avaliar o Desempenho de TI

2 Responder aos requerimentos de governana em linha com a Alta Direo.

PO1 Definir um Plano Estratgico de TI PO4 Definir os Processos, Organizao e Relacionamentos de TI PO10 Gerenciar Projetos ME1 Monitorar e Avaliar o Desempenho de TI ME4 Prover Governana de TI

3 Assegurar a satisfao dos usurios finais com a oferta e nveis de servios.

PO8 Gerenciar Qualidade AI4 Habilitar Operao e Uso DS1 Definir e Gerenciar Nveis de Servio DS2 Gerenciar Servios Terceirizados DS7 Educar e Treinar Usurios DS8 Gerenciar a Central de Servios e os Incidentes DS10 Gerenciar Problemas DS13 Gerenciar Operaes

4 Otimizar o uso da informao.

PO2 Definir a Arquitetura da Informao DS11 Gerenciar Dados

5 Criar agilidade para TI.

PO2 Definir a Arquitetura da Informao PO4 Definir os Processos, Organizao e Relacionamentos de TI PO7 Gerenciar Recursos Humanos de TI AI3 Adquirir e Manter Infraestrutura Tecnolgica

6 Definir como funes de negcios e requerimentos de controles so convertidos em solues automatizadas efetivas e eficientes.
AI1 Identificar Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI6 Gerenciar Mudanas

7 Adquirir e manter sistemas aplicativos integrados e padronizados.

PO3 Determinar as Diretrizes de Tecnologia AI2 Adquirir e Manter Software Aplicativo AI5 Obter Recursos de TI

8 Adquirir e manter uma infraestrutura de TI integrada e padronizada.

AI3 Adquirir e Manter Infraestrutura Tecnolgica AI5 Obter Recursos de TI

9 Adquirir e manter habilidades de TI que atendam as estratgias de TI.

PO7 Gerenciar Recursos Humanos de TI AI5 Obter Recursos de TI

10 Assegurar a satisfao mtua no relacionamento com terceiros.

DS2 Gerenciar Servios Terceirizados

11 Assegurar a integrao dos aplicativos com os processos de negcios.

PO2 Definir a Arquitetura da Informao AI4 Habilitar Operao e Uso AI7 Instalar e Homologar Solues e Mudanas

Baixa

Alta

No

Sim

N\A

COBIT 4.1

Controles Implementados Parcial Nvel

Importncia Nenhuma Observao N\A

Mdia

Objetivo TI / Processos TI 12 Assegurar a transparncia e o entendimento dos custos, benefcios, estratgia, polticas e nveis de servios de TI.
PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretrizes Gerenciais DS1 Definir e Gerenciar Nveis de Servio DS2 Gerenciar Servios Terceirizados DS6 Identificar e Alocar Custos ME1 Monitorar e Avaliar o Desempenho de TI ME4 Prover Governana de TI

13 Assegurar apropriado uso e a performance das solues de aplicativos e de tecnologia.

PO6 Comunicar Metas e Diretrizes Gerenciais AI4 Habilitar Operao e Uso AI7 Instalar e Homologar Solues e Mudanas DS7 Educar e Treinar Usurios DS8 Gerenciar a Central de Servios e os Incidentes

14 Responsabilizar-se por e proteger todos os ativos de TI.

PO9 Avaliar e Gerenciar Riscos de TI DS5 Garantir a Segurana de Sistemas DS9 Gerenciar a Configurao DS12 Gerenciar o Ambiente Fsico ME2 Monitorar e Avaliar Controle Interno

15 Otimizar a infraestrutura, recursos e capacidades de TI.

PO3 Determinar as Diretrizes de Tecnologia AI3 Adquirir e Manter Infraestrutura Tecnolgica DS3 Gerenciar Desempenho e Capacidade DS7 Educar e Treinar Usurios DS9 Gerenciar a Configurao

16 Reduzir os defeitos e re-trabalhos na entrega de servios e solues.

PO8 Gerenciar Qualidade AI4 Habilitar Operao e Uso AI6 Gerenciar Mudanas AI7 Instalar e Homologar Solues e Mudanas DS10 Gerenciar Problemas

17 Proteger os resultados alcanados pelos objetivos de TI.

PO9 Avaliar e Gerenciar Riscos de TI DS10 Gerenciar Problemas ME2 Monitorar e Avaliar Controle Interno

18 Estabelecer claramente os impactos para os negcios resultantes de riscos de objetivos e recursos de TI.
PO9 Avaliar e Gerenciar Riscos de TI

19 Assegurar que informaes confidenciais e crticas so protegidas daqueles que no deveriam ter acesso s mesmas.
PO6 Comunicar Metas e Diretrizes Gerenciais DS5 Garantir a Segurana de Sistemas DS11 Gerenciar Dados DS12 Gerenciar o Ambiente Fsico

20 Assegurar que transaes automatizadas de negcios e trocas de informaes podem ser confiveis.
PO6 Comunicar Metas e Diretrizes Gerenciais AI7 Instalar e Homologar Solues e Mudanas DS5 Garantir a Segurana de Sistemas

21 Assegurar que os servios e infraestrutura de TI podem resistir e recuperar-se de falhas devido a erros, ataques deliberados ou desastres.
PO6 Comunicar Metas e Diretrizes Gerenciais AI7 Instalar e Homologar Solues e Mudanas DS4 Assegurar Continuidade dos Servios DS5 Garantir a Segurana de Sistemas

Baixa

Alta

No

Sim

N\A

COBIT 4.1

Controles Implementados Parcial Nvel

Importncia Nenhuma Observao N\A

Mdia

Objetivo TI / Processos TI
DS12 Gerenciar o Ambiente Fsico DS13 Gerenciar Operaes ME2 Monitorar e Avaliar Controle Interno

22 Assegurar o mnimo impacto para os negcios no caso de uma parada ou mudana nos servios de TI.
PO6 Comunicar Metas e Diretrizes Gerenciais AI6 Gerenciar Mudanas DS4 Assegurar Continuidade dos Servios DS12 Gerenciar o Ambiente Fsico

23 Garantir que os servios de TI ficam disponveis de acordo com o requerido.

DS3 Gerenciar Desempenho e Capacidade DS4 Assegurar Continuidade dos Servios DS8 Gerenciar a Central de Servios e os Incidentes DS13 Gerenciar Operaes

24 Aprimorar a eficincia dos custos de TI e sua contribuio para a lucratividade dos negcios.
PO5 Gerenciar o Investimento em TI DS6 Identificar e Alocar Custos

25 Entregar projetos no tempo certo dentro do oramento e com os padres de qualidade esperados.
PO8 Gerenciar Qualidade PO10 Gerenciar Projetos

26 Manter a integridade da informao e da infraestrutura de processamento.

AI6 Gerenciar Mudanas DS5 Garantir a Segurana de Sistemas

27 Assegurar a conformidade de TI com leis, regulamentos e contratos.

DS11 Gerenciar Dados ME2 Monitorar e Avaliar Controle Interno ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governana de TI

28 Assegurar que TI oferece servios de qualidade com custo eficiente, contnuo aprimoramento e preparao para mudanas futuras.
PO5 Gerenciar o Investimento em TI DS6 Identificar e Alocar Custos ME1 Monitorar e Avaliar o Desempenho de TI ME4 Prover Governana de TI

Baixa

Alta

No

Sim

N\A