Académique Documents
Professionnel Documents
Culture Documents
- Governança de TI
- Relacionado a auditorias
- Cobit 3.0
- Relacionamentos e processos para direcionar e controlar a empresa em
busca de alcançar os seus objetivos com o balanceamento de riscos versus retorno sobre TI
e seus processos.
- Estrutura que liga os processos de TI, recursos de TI e informação para
estratégias e objetivos empresariais.
- Cobit 4.0
- Liderança, estrutura organizacional e processos que certificam que a área
de TI das empresas sustentam e estendem as estratégias e objetivos organizacionais.
- O quê?
- Liderança, estruturas organizacionais e processos
- Quem?
- Executivos e alta direção
- Para quê?
- Garantir que a TI sustente e amplie as estratégias e objetivos da
organização.
- Como?
- Controle sobre os recursos de TI para assegurar a qualidade, a
confiabilidade e a segurança das informações.
- Alinhamento Estratégico
- Garante a ligação entre o negócio e os planos de TI;
definindo, mantendo e validando a proposição de valor de TI; e alinhando operações de TI
com operações da Empresa.
- Entrega de valor
- Executando a proposição de valor através do ciclo de
entrega, garantindo que a TI entrega os benefícios prometidos de acordo com a estratégia,
concentrando em otimização de custos e provendo o intrínseco valor da TI.
- Gerenciamento de Recursos
- Ótimo investimento em, e o gerenciamento próprio de,
críticos recursos de TI: aplicações, informações, infraestrutura e pessoas.
- Gerenciamento de Riscos
- Requer o conhecimento do risco por um executivo, um claro
entendimento do apetite da empresa para o risco, entendimento de requerimentos de
submissão, transparência sobre os riscos significantes para a Empresa, e o encaixe da
responsabilidade do grenciamento de riscos na organização.
- Métricas de Desempenho
- Rastreia e monitora estratégia de implementação, conclusão
de projeto, utilização de recursos, performance de processos e entrega de serviços, usando,
por exemplo, balanced scorecards, que traduz estratégia em ação para alcançar objetivos
mensuráveis além de contabilidades convencionais.
- Características
- Foco no negócio
- Orientado a processos
- Organizando atividades de TI dentro de um modelo de aceitação de
processos.
- Identificando as responsabilidades associadas de negócios e
proprietários de processos de TI.
- Baseado em controle
- Definindo os objetivos do gerenciamento de controle a serem considerados
- Métricas impulsionadas
- Provendo métricas e modelos de maturidade para mensurar as realizações.
- Baseado em controles
- Controle é definido como as políticas, procedimentos, práticas e estruturas
organizacionais desenhadas para prover garantias razoáveis que objetivos de negócios irão
ser alcançados e eventos indesejáveis irão ser previnidos ou detectados e corrigidos.
- O objetivo do controle de TI é a declaração do resultado desejado,
ou propósito a ser alcançado através da implementação de procedimentos de controle em
uma particular atividade de TI.
- O controle de objetivos de TI do Cobit é o requerimento mínimo
para um efetivo controle de cada processo de TI.
- Cada processo de TI do Cobit tem um objetivo de controle de alto
nível e um número de controle de objetivos detalhados
- Acrescentando aos objetivos de controles detalhados, cada processo
COBIT tem um controle de requerimentos genérico.
- PC2 Repeatability
- Definir cada Processo Cobit de tal forma que ele seja repetível.
- Metas de Atividades
- Possibilita efetiva performance de processos.
- Modelos de Maturidade
- Os níveis de maturidade são designados como perfil de processos de TI que
uma empresa deve reconhecer como a descrição de possíveis atuais e futuros estados.
- Eles não são desenhados para uso como modelos iniciais, onde um
não pode mover para o próximo nível mais alto sem ter cumprido todas as condições do
nível mais baixo.
- Níveis de Maturidade
0 – Não existente
- O gerenciamento de processos não são aplicados em
completo.
- Completa ausência de qualquer processo reconhecido.
- A organização nem sempre reconhece que há uma questão a
ser abordada.
1 – Inicial
- Os processos são de vez em quando, e desorganizados
- A organização reconhece que as questões existem e
necessitam ser abordadas.
- Abordagens ad hoc tendem a serem aplicadas em bases
individuais ou caso a caso.
- Geralmente abordagens de gerenciamento são
desorganizadas.
2 – Repetível (mas intuitível)
- Os processos seguem um padrão regular
- Processos são desenvolvidos para um estágio onde
procedimentos similares são seguidos por diferentes pessoas incumbidas da mesma tarefa.
- Não há um treinamento formal ou comunicação de padrões,
e as responsabilidades são deixadas a critério de cada um.
- Há um alto grau de confiança no conhecimento de cada um,
e dessa forma, erros são comuns.
3 – Definido
- Os processos são documentados e comunicados
- Processos têm sido padronizados e documentados, e
comunicados através de treinamentos.
- É deixado a critério de cada um seguir esses processos, e é
pouco provável que desvios irão ser detectados.
- Os processos em si mesmo não são sofisticados, mas são a
formalização de práticas existentes.
4 – Gerenciado e mensurado
- Os processos são monitorados e mensurados
- É possível monitorar e medir conformidade com
procedimentos, e agir onde processos parecem não estarem trabalhando corretamente.
- Processos estão em constante melhoria, e provê boas
práticas
- Automação e ferramentas são utilizados de modo limitado
ou fragmentado.
5 – Otimizado
- As melhores práticas são seguidas e automatizadas
- Processos têm sido refinados a um nível de melhores
práticas, baseado nos resultados de melhorias contínuas e modelagem de maturidade com
outras organizações.
- TI é usada de um modo integrado para automatizar o fluxo
de processos, provendo ferramentas para proporcionar qualidade e efetividade, tornando a
empresa rápida para se adaptar.
- Métricas
- Indicadores de resultados (KGI)
- Um indicador-chave de meta, representando a meta do processo, é a
medida do que tem a ser aperfeiçoado.
- Indicadores imediatos da finalização com sucesso de processos, ou
indicadores indiretos do valor dos processos entregues à empresa.
- Possibilita descrições de uma métrica do impacto ou não alcance da
meta do processo.
- Focado nas dimensões do cliente e financeiras do Balanced
Business Scorecard.
- Orientado à TI, mas dirigido ao negócio.
- Expressado em termos precisos, mensuráveis, sempre que possível.
- Focado nos critérios de informação que têm sido identificados como
mais importantes para o processo.
- Gerente de negócios
- Obter garantias no gerenciamento e controle de serviços de TI, providos
por internos ou terceiros.
- Gerente de TI
- Prover os serviços de TI que o negócio requer para auxiliar a estratégia de
negócio de um modo controlado e gerenciado.
- Auditores
- Para subsidiar as suas opiniões e/ou emitir pareceres para gerenciamento ou
contole interno.
- Fundamentos
- Objetivos de negócios requerem informações
- Informações devem atender aos critérios de qualidade, segurança e
adequação (fiduciários)
- Efficiency (Eficiência)
- Concerne á provisão da informação através de ótimo (mais
produtivos e econômicos) uso de recursos.
- Segurança
- Confidentiality (Confidencialidade)
- Concerne à proteção de informações sensíveis de divulgação não
autorizada.
- Integrity (Integridade)
- Relata a precisão e inteireza da informação, bem como a validação
de acordo com os valores de negócios e expectações.
- Availability (Disponibilidade)
- Diz respeito a informação ser disponível quando requerida pelo
processo empresarial agora e no futuro. Também diz respeito à salvaguarda de recursos
necessários e capacidades associadas.
- Adequação (Fiduciários)
- Compliance (Conformidade)
- Lida com a conformidade com as suas leis, normas, e termos
contratuais no qual o processo empresarial está sujeito, por exemplo, imposição de critérios
de negócios externos.
- Reliability (Confiabilidade)
- Diz respeito a provisão da informação apropriada de gerenciamento
para operar a entidade e de gestão para exercer suas responsabilidades de relatórios
financeiro e de conformidade.
- Recursos de TI
- Aplicações
- Sistemas automatizados de usuários e procedimentos manuais que
processam a informação.
- Informação
- Dados em todas as suas formas entrados, processados e saídos por sistemas
de informação, que em qualquer forma é usado pela empresa.
- Infra-estrutura (4.0)
- Technology (3.0) (hardware, sistemas operacionais, sistemas de
gerenciamento de banco de dados, rede, multimídia, etc.) e Instalações (3.0) (O ambiente
que guarda e auxilia-os) que permite o processamento das aplicações.
- Pessoas
- Pessoal requerido para planejar, organizar, adquirir, implementar, entregar,
suportar, monitorar e testar os sistemas de informação e serviços. Eles podem ser internos,
terceirizados ou contratados, conforme requerido.
- Domínios
- Planejamento & Organização
- Trata dos aspectos estratégicos e táticos da organização, e de como a TI
pode contribuir para os objetivos de negócios.
- Monitoramento e Avaliação
- Endereça aspectos de monitoramento do desempenho e de avaliação de
controles da TI.
- Processos (3.0)
- PO1 – Define um plano estratégico de TI
- PO2 – Define a arquitetura da informação
- PO3 – Determina a direção tecnológica
- PO4 – Define a organização de TI e relacionamentos
- PO5 – Gerencia o investimento em TI
- PO6 – Comunica os alvos de gestão e direção
- PO7 – Gerencia os Recursos Humanos
- PO8 – Garante a conformidade com requerimentos externos
- PO9 – Avalia riscos
- PO10 – Gerencia projetos
- PO11 – Gerencia qualidade
- É proporcionado por
- Criação e manutenção de um modelo de informação
de negócios.
- Garantindo que sistemas apropriados são definidos
para otimizar o uso desta informação.
- É disponibilizado por
- Criação e manutenção de um plano de infra-estrutura
tecnológica que determina e gerencia expectações claras e realísticas sobre o que a
tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega.
- É alcançado por
- Estabelecendo um fórum para orientar a arquitetura e
verificar a conformidade.
- Estabelecendo um plano de infra-estrutura técnica,
balanceado sobre custo, risco e requisitos.
- Definindo os padrões de infra-estrutura técnica,
baseados em requisitos de arquitetura de informação.
- É disponibilizado por
- Uma organização baseada em números e
experiências com regras e responsabilidades definidas e comunicadas, alinhadas com o
negócio e que facilita a estratégia e provê um controle para uma direção efetiva e adequada.
- É alcançado por
- Definindo uma framework de processos de TI
- Estabelecendo um apropriado corpo organizacional e
estrutura.
- Definindo regras e responsabilidades
- É disponibilizado por
- Um investimento periódico e orçamento operacional
estabilizado e aprovado pela empresa.
- É alcançado por
- Previsão e orçamentos
- Definindo critérios de investimentos formais (ROI,
payback period, NPV)
- Mensurando e calculando valores de negócios sobre
previsões.
- É proporcionado por
- Identificando e analisando requisitos externos para
seus impactos em TI, e buscando métricas apropriadas para cumpri-los.
- É proporcionado por
- A organização enganjada nela mesma na
identificação dos riscos de TI e análise de impacto, envolvendo funções multidisciplinares,
e buscando métricas de custo-benefício para aliviar riscos.
- É alcançado por
- Garantindo que o gerenciamento de risco é
completamente encaixado no gerenciamento de processos, internamente e externamente, e
aplicado consistentemente.
- Realização de análises de riscos.
- Recomendando e comunicando plano de ações
corretivas de riscos.
- É proporcionado por
- A organização identificando e priorizando projetos,
alinhados com o plano operacional e a adoção e aplicação de técnicas de gerenciamento de
som de projeto, para cada projeto assumido.
- É alcançado por
- Definindo e impondo framework de programação e
projetos, e condução
- Emitindo diretrizes de gerenciamento de projetos.
- Realizando planejamento de projeto para cada
projeto, detalhado em documentação de projeto.
- É proporcionado por
- O planejamento, implementação e manutenção dos
padrões e sistemas de gerenciamento de qualidade, feitos para fases distintas de
desenvolvimento, entregas claras e responsabilidades explícitas.
- PO8 – Gerenciamento de qualidade (4.0)
- Satisfaz os requisitos de negócio para TI de
- Melhorias contínuas e mensuráveis da qualidade dos
serviços de TI entregues.
- É alcançado por
- Definindo padrões e práticas e qualidade.
- Monitorando e revendo performances internas e
externas sobre os padrões e práticas de qualidade.
- Melhorando o QMS de uma forma contínua.
- Aquisição e Implementação
- Descrição do Domínio
- Para realizar a estratégia de TI
- Soluções de TI necessitam ser identificadas, desenvolvidas ou
adquiridas, bem como implementadas e integradas no processo empresarial.
- Alterações e manutenções de sistemas existentes são abordadas por
esse domínio para certificar que o ciclo de vida é contínuo para esses sistemas.
- Processos (3.0)
- AI1 – Identifica soluções automatizadas
- AI2 – Adquire e mantém software de aplicações.
- AI3 – Adquire e mantém infra-estrutura de tecnologia
- AI4 – Desenvolve e mantém procedimentos
- AI5 – Instala e aprova sistemas
- AI6 – Gerencia mudanças
- Processos (4.0)
- AI1 – Identifica soluções automatizadas
- AI2 – Adquire e mantém software de aplicações
- AI3 – Adquire e mantém infra-estrutura de tecnologia
- AI4 – Proporciona operação e uso
- AI5 – Obtém recursos de TI
- AI6 – Gerencia mudanças
- AI7 – Instala e aprova soluções e mudanças.
- É proporcionado por
- Uma identificação clara e objetiva e análise das oportunidades
alternativas medidas sobre requisitos de usuários.
- É alcançado por
- Definindo os requisitos técnicos e de negócio.
- Incumbindo análise de viabilidade como definidos nos padrões de
desenvolvimento.
- Aprovando ou rejeitando resultados de requisitos e análise de
viabilidade.
- É proporcionado por
- Definição de relações específicas de requisitos funcionais e
operacionais, e uma implementação em fases com entregas claras.
- É alcançado por
- Traduzindo requisitos de negócio em especificações de design.
- Aderindo aos padrões de desenvolvimento para todas as
modificações.
- Separando atividades de desenvolvimento, testes e operacionais.
- É proporcionado por
- Aquisições criteriosas de hardware e software, padronizando
software, avaliação de performance de hardware e software, e administração de sistemas
consistente.
- É alcançado por
- Produzindo um plano de aquisição de tecnologia, que alinha ao
plano de infra-estrutura de tecnologia.
- Planejando manutenção de infra-estrutura
- Implementando controle interno, e métricas de segurança e
auditoria.
- É proporcionada por
- Um acompanhamento estruturado para o desenvolvimento de
manuais de procedimentos de usuários e operações, requisitos de serviços e materiais de
treinamento.
- É proporcionada por
- A realização de um plano bem formalizado de instalação, migração,
conversão e aceitação.
- É alcançada por
- Obtendo parecer profissional legal e contratural.
- Definindo procedimentos e padrões de obtenção.
- Procurando hardware, software e serviços requisitados, alinhados
com os procedimentos definidos.
- É proporcionado por
- Um sistema de gerenciamento, que provê a análise, implementação
e acompanhamento de todas as mudanças requisitadas e feitas para a infra-estrutura de TI
existente.
- É alcançado por
- Definindo e comunicando procedimentos de mudanças, incluindo
mudanças emergenciais.
- Avaliando, priorizando e autorizando mudanças.
- Status de rastreamento e geração de relatório de mudanças.
- Entrega e Suporte
- Descrição do domínio
- Esse domínio é preocupado com a atual entrega de serviços requisitados,
no qual inclui
- Entrega de serviços
- Gerenciamento de segurança e continuidade
- Suporte de serviços para usuários
- Gerenciamento de dados e instalações operacionais.
- Processos (3.0)
- DS1 – Define e gerencia níveis de serviços
- DS2 – Gerencia serviços terceirizados
- DS3 – Gerencia performance e capacidade
- DS4 – Garante serviço contínuo
- DS5 – Garante segurança de sistemas
- DS6 – Identifica e aloca custos
- DS7 – Educa e treina usuários
- DS8 – Assiste e avisa usuários.
- DS9 – Gerencia a configuração
- DS10 – Gerencia problema e incidentes
- DS11 – Gerencia dados
- DS12 – Gerencia instalações
- DS13 – Gerencia operações
- Processos (4.0)
- DS1 – Define e gerencia níveis de serviços
- DS2 – Gerencia serviços terceirizados
- DS3 – Gerencia performance e capacidade
- DS4 – Garante serviço contínuo
- DS5 – Garante segurança de sistemas
- DS6 – Identifica e aloca custos.
- DS7 – Educa e treina usuários
- DS8 – Gerencia Service Desk e incidentes
- DS9 – Gerencia a configuração
- DS10 – Gerencia problemas
- DS11 – Gerencia dados
- DS12 – Gerencia o ambiente físico
- DS13 – Gerencia operações.
- É proporcionado por
- O estabelecimento de um acordo de nível de serviço, no qual
formaliza o critério de performance sobre o qual a quantidade e qualidade de serviço irão
ser mensuradas.
- É alcançado por
- Formalizando acordos internos e externos, alinhados com os
requisitos e capacidades de entregas.
- Gerando relatórios de alcance de níveis de serviços (relatórios e
reuniões)
- Identificando e comunicando novos e atualizados requisitos de
negócios para planejamento estratégico.
- É proporcionada por
- Métricas de controle, destinadas à revisão e monitoramento de
acordos e procedimentos existentes, para sua efetividade e conformidade com a política
organizacional.
- É alcançado por
- Identificação e categorização de fornecedores de serviços
- Identificando e atenuando risco de fornecedores
- Monitorando e mensurando performance de fornecedores.
- É proporcionado por
- Coleta de dados, análise e relatórios em performance de recursos,
enquadramento da aplicação, e demanda de procura de trabalho.
- É alcançado por
- Planejamento e provisão de capacidade e disponibilidade de
sistemas.
- Monitorando e gerando relatório de performance de sistemas
- Modelando e prevendo performance de sistemas.
- É proporcionado por
- Tendo um Plano de Continuidade de TI, operacional e testado, no
qual esteja alinhado com o plano de continuidade do negócio, como um todo, e seus
requisitos de negócios relatados.
- É alcançado por
- Desenvolvimento e manutenção (melhoria) de contingência de TI.
- Treinando e testando os planos de contingência de TI.
- Armazenando cópias de planos de contingência e dados em locais
offsite.
- É proporcionado por
- Controle de acesso lógico no qual garante que o acesso aos
sistemas, dados e programas é restrito a usuários autorizados.
- É alcançado por
- Entendimento dos requisitos de segurança, vulnerabilidades e
ameaças.
- Gerenciando a identidade e autorização de usuários de uma forma
padronizada.
- Testando regularmente a segurança.
- DS6 – Identifica e aloca custos (3.0)
- Satisfaz os requisitos de negócios
- Para garantir uma correta ciência dos custos atribuídos aos serviços
de TI.
- É proporcionado por
- Um sistema de contabilidade de custos no qual garante que custos
são gravados, calculados e alocados nos níveis de detalhes requeridos, e para o
oferecimento de serviço apropriado.
- É alcançado por
- Alinhando encargos com a qualidade e quantidade dos serviços
providos.
- Construindo e concordando um modelo de custo completo.
- Implementando tarifação de acordo com a política acordada.
- É proporcionado por
- Um compreensivo plano de treinamento e desenvolvimento.
- E alcançado por
- Estabelecendo um currículo de treinamento.
- Organizando treinamento
- Entregando treinamento
- Monitorando e gerando relatório de efetividade de treinamentos.
- É alcançado por
- Instalando e operando um Service Desk
- Monitorando e gerando relatório de tendências
- Definindo escalação clara de critério e procedimentos
- É proporcionado por
- Controles que identificam e gravam todos os ativos de TI e suas
localizações físicas, e um programa de verifiação regular que confirme a sua existência.
- É proporcionado por
- Estabelecendo um repositório central de todos os itens de
configuração
- Identificando os itens de configuração e mantendo-os.
- Revisando integridade de dados de configuração.
- É proporcionado por
- Um sistema de gerenciamento de problemas, no qual grava e
progride todos os incidentes.
- É alcançado por
- Realizando a análise da causa raiz de problemas reportados.
- Análise de tendências
- Tomando posse de problemas e progredindo a sua resolução.
- É proporcionado por
- Uma efetiva combinação de aplicações e controles gerais sobre as
operações de TI.
- É alcançada por
- Fazendo backup de dados e testando restauração
- Gerenciando online e offline o armazenamento dos dados.
- Dispondo os dados de forma segura e equipada.
- É proporcionado por
- A instalação de um ambiente correto e controle físico, nos quais são
regularmente revistos sobre o seu funcionamento próprio.
- É alcançado por
- Implementando métricas de segurança física
- Selecionando e gerenciando recursos.
- DS13 – Gerencia operações (3.0)
- Satisfaz os requisitos de negócio
- Para garantir que funções importantes de suporte de TI são
realizadas regularmente e regularmente
- É proporcionada por
- Um agendamento de atividades de suporte no qual é gravada e
limpada para a execução de todas as atividades.
- É alcançado por
- Operação de um ambiente de TI em linha com níveis de serviços
agregados e instruções definidas
- Mantendo a infra-estrutura de TI.
- Monitoramento
- Esse domínio direciona gerenciamento de supervisores do processo de controle
organizacional.
- Todos os processos de TI necessitam ser avaliados regularmente sobre
tempo para sua qualidade e conformidade com requisitos de controle.
- Garantia independente provida por auditoria interna ou externa ou obtida
de fontes alternativas (3.0)
- Processos (3.0)
- M1 – Monitora os processos
- M2 – Avalia a adequação do controle interno
- M3 – Obtém garantia independente
- M4 – Provê auditoria independente.
- Processos (4.0)
- ME1 – Monitora e testa a performance de TI
- ME2 – Monitora e testa o controle interno
- ME3 – Garante o cumprimento das regulamentações
- ME4 – Provê governança de TI.
- É proporcionado por
- A definição de indicadores de performance relevantes, o relatório
sistemático e pontual da performance e pronta ação sobe divergências.
- É alcançado por
- Confrontar e traduzir relatórios de performance de processos em
relatórios de gerenciamento.
- Revisão de performance sobre alvos agregados e iniciação de ações
corretivas necessárias.
- É proporcionado por
- O compromisso de monitoramento dos controles internos, avaliando
sua efetividade, e gerando relatório em bases regulares.
- É alcançado por
- Define um sistema de controle interno encaixado em uma
framework de processos de TI.
- Monitorando e gerando relatório sobre a efetividade do controle
interno sobre TI.
- Gerando relatório de exceções de controle para gerenciamento de
ação.
- É alcançado por
- Identificando requisitos legais e regulamentares relatados para TI.
- Avaliando o impacto de requisitos regulares.
- Monitorando e gerando relatório em conformidade com requisitos
regulamentares.
- É proporcionado por
- Auditorias independentes efetuadas em itervalos regulares.
- É proporcionado por
- Estabelecendo uma framework de governança de TI integrado em
uma governança corporativa.
- Obtendo garantia independente sobre o status de governança de TI.