Cob It

COBIT
- Governança de TI
- Relacionado a auditorias
- Cobit 3.0
- Relacionamentos e processos para direcionar e controlar a empresa em
busca de alcançar os seus objetivos com o balanceamento de riscos versus retorno sobre TI
e seus processos.
- Estrutura que liga os processos de TI, recursos de TI e informação para
estratégias e objetivos empresariais.
- Cobit 4.0
- Liderança, estrutura organizacional e processos que certificam que a área
de TI das empresas sustentam e estendem as estratégias e objetivos organizacionais.
- O quê?
- Liderança, estruturas organizacionais e processos
- Quem?
- Executivos e alta direção
- Para quê?
- Garantir que a TI sustente e amplie as estratégias e objetivos da
organização.
- Como?
- Controle sobre os recursos de TI para assegurar a qualidade, a
confiabilidade e a segurança das informações.
- Cinco áreas focais

- Alinhamento estratégico
- Entrega de valor
- Gerenciamento de recursos
- Gerenciamento de riscos
- Métricas de desempenho
- Alinhamento Estratégico
- Garante a ligação entre o negócio e os planos de TI;
definindo, mantendo e validando a proposição de valor de TI; e alinhando operações de TI
com operações da Empresa.
- Entrega de valor
- Executando a proposição de valor através do ciclo de
entrega, garantindo que a TI entrega os benefícios prometidos de acordo com a estratégia,
concentrando em otimização de custos e provendo o intrínseco valor da TI.
- Gerenciamento de Recursos
- Ótimo investimento em, e o gerenciamento próprio de,
críticos recursos de TI: aplicações, informações, infraestrutura e pessoas.
- Gerenciamento de Riscos
- Requer o conhecimento do risco por um executivo, um claro
entendimento do apetite da empresa para o risco, entendimento de requerimentos de
submissão, transparência sobre os riscos significantes para a Empresa, e o encaixe da
responsabilidade do grenciamento de riscos na organização.
- Métricas de Desempenho
- Rastreia e monitora estratégia de implementação, conclusão
de projeto, utilização de recursos, performance de processos e entrega de serviços, usando,
por exemplo, balanced scorecards, que traduz estratégia em ação para alcançar objetivos
mensuráveis além de contabilidades convencionais.
- Benefícios do Cobit como Governança de TI

- Melhor alinhamento, baseado em um foco no negócio
- Uma visão, inteligível do negócio, do que TI faz.
- Limpa propriedade e responsabilidade, baseado em orientação de
processos.
- Aceitação geral com terceiros e reguladores
- Entendimento compartilhado entre todos os imprevistos, baseados em uma
linguagem comum.
- Preenchimento dos requerimentos COSO, para o ambiente de controle de
TI.
- Características
- Foco no negócio
- Orientado a processos
- Organizando atividades de TI dentro de um modelo de aceitação de
processos.
- Identificando as responsabilidades associadas de negócios e
proprietários de processos de TI.
- Baseado em controle
- Definindo os objetivos do gerenciamento de controle a serem considerados
- Métricas impulsionadas
- Provendo métricas e modelos de maturidade para mensurar as realizações.
- Baseado em controles
- Controle é definido como as políticas, procedimentos, práticas e estruturas
organizacionais desenhadas para prover garantias razoáveis que objetivos de negócios irão
ser alcançados e eventos indesejáveis irão ser previnidos ou detectados e corrigidos.
- O objetivo do controle de TI é a declaração do resultado desejado,
ou propósito a ser alcançado através da implementação de procedimentos de controle em
uma particular atividade de TI.
- O controle de objetivos de TI do Cobit é o requerimento mínimo
para um efetivo controle de cada processo de TI.
- Cada processo de TI do Cobit tem um objetivo de controle de alto
nível e um número de controle de objetivos detalhados
- Acrescentando aos objetivos de controles detalhados, cada processo
COBIT tem um controle de requerimentos genérico.
- Controle gerais de processos

- PC1 Process Owner
- Atribuir um responsável por cada processo Cobit, de tal forma que a
responsabilidade é clara
- PC2 Repeatability
- Definir cada Processo Cobit de tal forma que ele seja repetível.
- PC3 Goals and Objectives

- Estabelecer metas e objetivos claros para cada processo Cobit para
execução efetiva.
- PC4 Roles and Responsibilities

- Definir regras claras, atividades e responsabilidades para cada processo
Cobit para execução eficiente.
- PC5 Process Performance

- Medir a performance de cada processo Cobit acerca de suas metas.
- PC6 Policy, Plans and Procedures

- Documentar, revisar, atualizar, e comunicar a todas as partes envolvidas
qualquer política, plano ou procedimento que dirige um processo Cobit.
- Controles – Fatores Críticos de Sucesso

- Fatores críticos de sucesso provê gerenciamento com orientação para implementar
controle sobre TI e seus processos.
- Facilitadores essenciais focados no processo ou ambiente de suporte.
- Uma coisa ou condição que é requerida para ótimo sucesso ou uma
atividade recomendada para ótimo sucesso.
- As mais importantes coisas pra fazer para incrementar a possibilidade de
sucesso do processo.
- Observável – geralmente mensurável – características da organização e
processos.
- Ou estratégico, tecnológico, organizacional ou processual de natureza.
- Focado em obter, manter e alavancar capacidades e habilidades.
- Expressado em termos de processos, não necessariamente de negócios.
- Características – Dirigido por métricas

- Modelos de Maturidade
- Possibilita benchmarking e identificação de necessárias melhorias de
capacidade.
- Metas de Performance e Métricas
- Demonstra como processos cumprem metas de negócios e TI, e são usados
para medir performance de processos internos, baseados em princípios de balanced
scorecards.
- Metas de Atividades
- Possibilita efetiva performance de processos.
- Modelos de Maturidade
- Os níveis de maturidade são designados como perfil de processos de TI que
uma empresa deve reconhecer como a descrição de possíveis atuais e futuros estados.
- Eles não são desenhados para uso como modelos iniciais, onde um
não pode mover para o próximo nível mais alto sem ter cumprido todas as condições do
nível mais baixo.
- Usando os modelos de maturidade desenvolvidos para cada um dos 34

processos de TI do Cobit, gerencialmente pode identificar:
- A atual performance da Empresa – Onde a empresa está hoje
- O atual estado da indústria – A comparação
- O alvo da empresa para melhoria – Onde a empresa deseja estar
- Níveis de Maturidade
0 – Não existente
- O gerenciamento de processos não são aplicados em
completo.
- Completa ausência de qualquer processo reconhecido.
- A organização nem sempre reconhece que há uma questão a
ser abordada.
1 – Inicial
- Os processos são de vez em quando, e desorganizados
- A organização reconhece que as questões existem e
necessitam ser abordadas.
- Abordagens ad hoc tendem a serem aplicadas em bases
individuais ou caso a caso.
- Geralmente abordagens de gerenciamento são
desorganizadas.
2 – Repetível (mas intuitível)
- Os processos seguem um padrão regular
- Processos são desenvolvidos para um estágio onde
procedimentos similares são seguidos por diferentes pessoas incumbidas da mesma tarefa.
- Não há um treinamento formal ou comunicação de padrões,
e as responsabilidades são deixadas a critério de cada um.
- Há um alto grau de confiança no conhecimento de cada um,
e dessa forma, erros são comuns.
3 – Definido
- Os processos são documentados e comunicados
- Processos têm sido padronizados e documentados, e
comunicados através de treinamentos.
- É deixado a critério de cada um seguir esses processos, e é
pouco provável que desvios irão ser detectados.
- Os processos em si mesmo não são sofisticados, mas são a
formalização de práticas existentes.
4 – Gerenciado e mensurado
- Os processos são monitorados e mensurados
- É possível monitorar e medir conformidade com
procedimentos, e agir onde processos parecem não estarem trabalhando corretamente.
- Processos estão em constante melhoria, e provê boas
práticas
- Automação e ferramentas são utilizados de modo limitado
ou fragmentado.
5 – Otimizado
- As melhores práticas são seguidas e automatizadas
- Processos têm sido refinados a um nível de melhores
práticas, baseado nos resultados de melhorias contínuas e modelagem de maturidade com
outras organizações.
- TI é usada de um modo integrado para automatizar o fluxo
de processos, provendo ferramentas para proporcionar qualidade e efetividade, tornando a
empresa rápida para se adaptar.
- Métricas
- Indicadores de resultados (KGI)
- Um indicador-chave de meta, representando a meta do processo, é a
medida do que tem a ser aperfeiçoado.
- Indicadores imediatos da finalização com sucesso de processos, ou
indicadores indiretos do valor dos processos entregues à empresa.
- Possibilita descrições de uma métrica do impacto ou não alcance da
meta do processo.
- Focado nas dimensões do cliente e financeiras do Balanced
Business Scorecard.
- Orientado à TI, mas dirigido ao negócio.
- Expressado em termos precisos, mensuráveis, sempre que possível.
- Focado nos critérios de informação que têm sido identificados como
mais importantes para o processo.
- Indicadores de Processos (KPI)

- Indicadores-chave de performance são medidas que dizem à gerência que
um processo de TI está alcançando os seus requerimentos de negócios, pelo monitoramento
da performance dos facilitadores dos processos de TI.
- São orientados a processos, mas direcionados à TI.
- Focados nas dimensões de processo e ensinamentos do Balanced
Scorecard.
- São expressados em termos precisos e mensuráveis.
- Irão ajudar na melhoria dos processos de TI quando mensurados e
lidos.
- Focado nos recursos identificados como os mais importantes para o
processo.
- Público alvo do Cobit

- Gerente Executivo
- Obter valores de investimentos em TI e balancear risco e controle de
investimento em um imprevisível ambiente de TI.
- Gerente de negócios
- Obter garantias no gerenciamento e controle de serviços de TI, providos
por internos ou terceiros.
- Gerente de TI
- Prover os serviços de TI que o negócio requer para auxiliar a estratégia de
negócio de um modo controlado e gerenciado.
- Auditores
- Para subsidiar as suas opiniões e/ou emitir pareceres para gerenciamento ou
contole interno.
- Fundamentos
- Objetivos de negócios requerem informações
- Informações devem atender aos critérios de qualidade, segurança e
adequação (fiduciários)
- Informações são produzidas por recursos de TI

- Dados, apliações, tecnologia, instalações e pessoas (3.0)
- Dados, aplicações, infra-estrutura e pessoas (4.0)
- Recursos de TI são gerenciados por processos

- 34 processos, divididos em 4 domínios
- Processos devem ser controlados

- Objetivos e práticas de controle, indicadores de processos (KPI), e
indicadores de resultados (KGI)
- Critérios / Requisitos da Informação

- Qualidade
- Effectiveness (Efetividade / Eficácia)
- Trabalha para que a informação seja relevante e pertinente para o
processo empresarial, bem como para que seja entregue em tempo útil, correto, consistente,
e de modo utilizável.
- Efficiency (Eficiência)
- Concerne á provisão da informação através de ótimo (mais
produtivos e econômicos) uso de recursos.
- Segurança
- Confidentiality (Confidencialidade)
- Concerne à proteção de informações sensíveis de divulgação não
autorizada.
- Integrity (Integridade)
- Relata a precisão e inteireza da informação, bem como a validação
de acordo com os valores de negócios e expectações.
- Availability (Disponibilidade)
- Diz respeito a informação ser disponível quando requerida pelo
processo empresarial agora e no futuro. Também diz respeito à salvaguarda de recursos
necessários e capacidades associadas.
- Adequação (Fiduciários)
- Compliance (Conformidade)
- Lida com a conformidade com as suas leis, normas, e termos
contratuais no qual o processo empresarial está sujeito, por exemplo, imposição de critérios
de negócios externos.
- Reliability (Confiabilidade)
- Diz respeito a provisão da informação apropriada de gerenciamento
para operar a entidade e de gestão para exercer suas responsabilidades de relatórios
financeiro e de conformidade.
- Recursos de TI
- Aplicações
- Sistemas automatizados de usuários e procedimentos manuais que
processam a informação.
- Informação
- Dados em todas as suas formas entrados, processados e saídos por sistemas
de informação, que em qualquer forma é usado pela empresa.
- Infra-estrutura (4.0)
- Technology (3.0) (hardware, sistemas operacionais, sistemas de
gerenciamento de banco de dados, rede, multimídia, etc.) e Instalações (3.0) (O ambiente
que guarda e auxilia-os) que permite o processamento das aplicações.
- Pessoas
- Pessoal requerido para planejar, organizar, adquirir, implementar, entregar,
suportar, monitorar e testar os sistemas de informação e serviços. Eles podem ser internos,
terceirizados ou contratados, conforme requerido.
- Domínios
- Planejamento & Organização
- Trata dos aspectos estratégicos e táticos da organização, e de como a TI
pode contribuir para os objetivos de negócios.
- Aquisição & Implementação

- Relaciona as estratégias com os recursos e soluções de TI, seu
desenvolvimento e aquisição.
- Entrega & Suporte

- Trata da entrega dos serviços requeridos, atentando para os aspectos de
segurança, treinamento e suporte.
- Monitoramento e Avaliação
- Endereça aspectos de monitoramento do desempenho e de avaliação de
controles da TI.
- Planejamento & Organização

- Esse domínio abrange estratégia e tática
- Refere-se à identificação do modo que a TI pode contribuir melhor
para o alcance dos objetivos de negócio.
- A realização da visão estratégica necessita ser planejada,
comunicada e gerenciada por diferentes perspectivas.
- Uma boa organização, bem como a infra-estrutura tecnológica deve
ser posta em prática.
- Processos (3.0)
- PO1 – Define um plano estratégico de TI
- PO2 – Define a arquitetura da informação
- PO3 – Determina a direção tecnológica
- PO4 – Define a organização de TI e relacionamentos
- PO5 – Gerencia o investimento em TI
- PO6 – Comunica os alvos de gestão e direção
- PO7 – Gerencia os Recursos Humanos
- PO8 – Garante a conformidade com requerimentos externos
- PO9 – Avalia riscos
- PO10 – Gerencia projetos
- PO11 – Gerencia qualidade
- PO1 – Define um plano estratégico (3.0)

- Satisfaz os requerimentos de negócio
- Para atingir um equilíbrio ótimo de oportunidades de
TI e requerimentos de negócios de TI, bem como assegurar sua posterior realização.
- É proporcionado por
- Um processo de planejamento estratégico realizado
em intervalos regulares, que dão origem a planos de longo prazo.
- Os planos de longo prazo devem ser periodicamente
traduzidos em planos operacionais, deixando claro e concretos metas de curto prazo.
- PO1 – Define um plano estratégico de TI (4.0)

- Satisfaz os requerimentos de negócio para TI de
- Sustentando ou estendendo as estratégias de negócio
e requisitos de gestão, enquanto sendo transparente sobre benefícios, custos e riscos.
- É alcançado por
- Se envolver com os negócios e gerência sênior, para
alinhar planejamento estratégico de TI com atuais e futuras necessidades de negócio.
- Entendendo as atuais capacidades de TI
- Provendo um esquema de priorização para os
objetivos de negócio que quantifica os requisitos de negócio.
- PO2 – Define a arquitetura de informação (3.0)

- Satisfaz os requerimentos de negócio
- Otimizando a organização dos sistemas de
informação.
- Criação e manutenção de um modelo de informação
de negócios.
- Garantindo que sistemas apropriados são definidos
para otimizar o uso desta informação.
- PO2 – Define a arquitetura de informação (4.0)

- Satisfaz os requerimentos de negócio para TI
- Para ser ágil em resposta a requerimentos de TI, para
prover confiança e consistência da informação e para semelhantemente integrar aplicações
em processos de negócios.
- É alcançado por
- Assegurando a precisão da arquitetura da informação
e modelo de dados.
- Designando proprietário de dados
- Classificando informação usando um agregado
esquema de classificação.
- PO3 – Determina a direção tecnológica (3.0)

- Satisfaz os requisitos de negócio
- Para ter vantagem de tecnologias disponíveis e
emergentes para dirigir e tornar possível a estratégia de negócio.
- É disponibilizado por
- Criação e manutenção de um plano de infra-estrutura
tecnológica que determina e gerencia expectações claras e realísticas sobre o que a
tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega.
- P03 – Detrmina a direção tecnológica (4.0)

- Satisfaz os requerimentos de negócios para TI de
- Ter integrados estabilidade e custo-benefício, e
padrões de sistemas de aplicações, recursos e capacidades que satisfazem atuais e futuros
requisitos de negócios.
- É alcançado por
- Estabelecendo um fórum para orientar a arquitetura e
verificar a conformidade.
- Estabelecendo um plano de infra-estrutura técnica,
balanceado sobre custo, risco e requisitos.
- Definindo os padrões de infra-estrutura técnica,
baseados em requisitos de arquitetura de informação.
- PO4 – Define a organização e relacionamentos de TI (3.0)

- Para entregar os corretos serviços de TI
- Uma organização baseada em números e
experiências com regras e responsabilidades definidas e comunicadas, alinhadas com o
negócio e que facilita a estratégia e provê um controle para uma direção efetiva e adequada.
- PO4 – Define processos de TI, organização e relacionamentos (4.0)

- Satisfaz os requisitos de negócios para TI
- Ser ágil em responder à estratégia de negócio
enquanto cumprindo com os requerimentos de governança, e provendo pontos de contatos
definidos e competentes.
- É alcançado por
- Definindo uma framework de processos de TI
- Estabelecendo um apropriado corpo organizacional e
estrutura.
- Definindo regras e responsabilidades
- PO5 – Gerencia o investimento em TI (3.0)

- Para garantir financiamento e controlar gastos de
recursos financeiros.
- Um investimento periódico e orçamento operacional
estabilizado e aprovado pela empresa.
- PO5 – Gerencia o investimento em TI (4.0)

- Satisfaz os requisitos de negócios de TI
- Continuamente e demonstravelmente proporcionando
custo-benefício de TI e sua contribuição para a rentabilidade do negócio, com serviços
integrados e padronizados que satisfazem as expectativas do usuário final.
- É alcançado por
- Previsão e orçamentos
- Definindo critérios de investimentos formais (ROI,
payback period, NPV)
- Mensurando e calculando valores de negócios sobre
previsões.
- PO6 – Comunica os alvos de gerenciamento e direção (3.0)

- Para garantir a ciência do usuário e entendimento de
seus alvos.
- Políticas estabelecidas e comunicadas à comunidade
de usuários.
- Padrões necessitam ser estabelecidos para traduzir as
opções estratégicas dentro de uma praticável e usável regras de usuário.
- PO6 – Comunica os alvos de gerenciamento e direção (4.0)

- Satisfaz os requerimentos de negócio para TI de
- Informação certa e atual nos serviços atuais e futuros
de TI, associados riscos e responsabilidades.
- É alcançado por
- Definindo uma framework de controle de TI
- Desenvolvendo e lançando políticas de TI
- Forçando políticas de TI.
- PO7 – Gerenciar Recursos Humanos (3.0)

- Para adquirir e manter uma motivada e competente
força de trabalho e maximizar contribuições pessoais aos processos de TI.
- É proporcionada por
- Som, justas e transparentes práticas de
gerenciamento pessoais para recrutar, alinhar, examinar, compensar, treinar, avaliar,
promover e demitir.
- PO7 – Gerenciar Recursos Humanos de TI (4.0)

- Satisfaz os requisitos de negócio para TI de
- Pessoas competentes e motivadas para criar e
entregar Serviços de TI.
- É alcançado por
- Revisão de desempenho de pessoal
- Contratação e treinamento de pessoal de TI para
suportar planos táticos.
- Migração de riscos de elevada dependência em
recursos chave.
- PO8 – Garante conformidade com requisitos externos (3.0)

- Para encontrar legais, reguladoras e contratuais
obrigações.
- Identificando e analisando requisitos externos para
seus impactos em TI, e buscando métricas apropriadas para cumpri-los.
- Transformado no processo ME4 no COBIT 4.0

- O processo PO11 (Manage Quality) foi renumerado
como PO8, para não alterar a numeração dos demais.
- PO9 – Análise de Risco (3.0)

- Suportando o gerenciamento de decisões através do
alcance dos objetivos de TI e respondendo às ameaças pela redução da complexidade,
incrementando objetividade e identificando importantes fatores de decisão.
- A organização enganjada nela mesma na
identificação dos riscos de TI e análise de impacto, envolvendo funções multidisciplinares,
e buscando métricas de custo-benefício para aliviar riscos.
- PO9 – Análise e gerenciamento de riscos de TI (4.0)

- Satisfaz os requisitos de negócios para TI de
- Analisando e comunicando riscos de TI e seu
impacto potencial nos processos e alvos empresariais.
- É alcançado por
- Garantindo que o gerenciamento de risco é
completamente encaixado no gerenciamento de processos, internamente e externamente, e
aplicado consistentemente.
- Realização de análises de riscos.
- Recomendando e comunicando plano de ações
corretivas de riscos.
- PO10 – Gerencia Projetos (3.0)

- Para definir prioridades e disponibilizar a tempo e
dentro do orçamento.
- A organização identificando e priorizando projetos,
alinhados com o plano operacional e a adoção e aplicação de técnicas de gerenciamento de
som de projeto, para cada projeto assumido.
- PO10 – Gerencia Projetos (4.0)

- Entrega dos resultados de projetos, dentro do prazo
acordado, orçamento e qualidade.
- É alcançado por
- Definindo e impondo framework de programação e
projetos, e condução
- Emitindo diretrizes de gerenciamento de projetos.
- Realizando planejamento de projeto para cada
projeto, detalhado em documentação de projeto.
- PO11 – Planejamento e Organização

- Para obter os requisitos de TI do usuário
- O planejamento, implementação e manutenção dos
padrões e sistemas de gerenciamento de qualidade, feitos para fases distintas de
desenvolvimento, entregas claras e responsabilidades explícitas.
- PO8 – Gerenciamento de qualidade (4.0)
- Melhorias contínuas e mensuráveis da qualidade dos
serviços de TI entregues.
- É alcançado por
- Definindo padrões e práticas e qualidade.
- Monitorando e revendo performances internas e
externas sobre os padrões e práticas de qualidade.
- Melhorando o QMS de uma forma contínua.
- Aquisição e Implementação
- Descrição do Domínio
- Para realizar a estratégia de TI
- Soluções de TI necessitam ser identificadas, desenvolvidas ou
adquiridas, bem como implementadas e integradas no processo empresarial.
- Alterações e manutenções de sistemas existentes são abordadas por
esse domínio para certificar que o ciclo de vida é contínuo para esses sistemas.
- Processos (3.0)
- AI1 – Identifica soluções automatizadas
- AI2 – Adquire e mantém software de aplicações.
- AI3 – Adquire e mantém infra-estrutura de tecnologia
- AI4 – Desenvolve e mantém procedimentos
- AI5 – Instala e aprova sistemas
- AI6 – Gerencia mudanças
- Processos (4.0)
- AI1 – Identifica soluções automatizadas
- AI2 – Adquire e mantém software de aplicações
- AI3 – Adquire e mantém infra-estrutura de tecnologia
- AI4 – Proporciona operação e uso
- AI5 – Obtém recursos de TI
- AI6 – Gerencia mudanças
- AI7 – Instala e aprova soluções e mudanças.
- AI1 – Identifica soluções automatizadas (3.0)

- Garantindo um efetivo e eficiente acompanhamento para satisfazer
os requisitos de usuário.
- Uma identificação clara e objetiva e análise das oportunidades
alternativas medidas sobre requisitos de usuários.
- AI1 – Identifica soluções automatizadas (4.0)

- Traduzindo os requisitos de negócio funcionais e de controle em um
efetivo e eficiente desenho de soluções automatizadas.
- É alcançado por
- Definindo os requisitos técnicos e de negócio.
- Incumbindo análise de viabilidade como definidos nos padrões de
desenvolvimento.
- Aprovando ou rejeitando resultados de requisitos e análise de
viabilidade.
- AI2 – Adquire e mantém software aplicativos (3.0)

- Provê funções automatizadas nas quais efetivamente suporta os
processos de negócios.
- Definição de relações específicas de requisitos funcionais e
operacionais, e uma implementação em fases com entregas claras.
- AI2 – Adquire e mantém software aplicativos (4.0)

- Tornando disponível aplicações alinhadas com os requisitos de
negócio, e fazendo em custos e tempos razoáveis.
- É alcançado por
- Traduzindo requisitos de negócio em especificações de design.
- Aderindo aos padrões de desenvolvimento para todas as
modificações.
- Separando atividades de desenvolvimento, testes e operacionais.
- AI3 – Adquire e mantém infra-estrutura técnica (3.0)

- Provê as plataformas apropriadas para suportar as aplicações de
negócio.
- Aquisições criteriosas de hardware e software, padronizando
software, avaliação de performance de hardware e software, e administração de sistemas
consistente.
- AI3 – Adquire e mantém infra-estrutura técnica (4.0)

- Adquirindo e mantendo uma infra-estrutura de TI integrada e
padronizada.
- É alcançado por
- Produzindo um plano de aquisição de tecnologia, que alinha ao
plano de infra-estrutura de tecnologia.
- Planejando manutenção de infra-estrutura
- Implementando controle interno, e métricas de segurança e
auditoria.
- AI4 – Desenvolve e mantém procedimentos

- Para garantir o uso próprio de aplicações e soluções tecnológicas
postas em prática.
- Um acompanhamento estruturado para o desenvolvimento de
manuais de procedimentos de usuários e operações, requisitos de serviços e materiais de
treinamento.
- AI4 – Proporciona operação e uso (4.0)

- Garantindo satisfação dos usuários finais com oferecimento de
serviços e níveis de serviços, e perfeita integração de soluções de aplicações e tecnologias
nos processos de negócios.
- É alcançado por
- Desenvolvendo e tornando disponível documentação de
transferência de conhecimento.
- Comunicando e treinando usuários e gerentes de negócios, pessoal
de apoio e pessoal operacional.
- Produzindo materiais de treinamento.
- AI5 – Instala e aprova sistemas (3.0)

- Para verificar e confirmar que a solução está apta para o propósito
intencionado.
- A realização de um plano bem formalizado de instalação, migração,
conversão e aceitação.
- Transformado no processo AI7 no Cobit 4.0

- Foi introduzido um novo processo AI5 na versão 4.0 do COBIT,
denominado Procedure IT Resources.
- AI7 – Instala e aprova soluções e mudanças

- Sistemas novos ou modificados trabalhando sem maiores problemas
após a instalação.
- É alcançado por
- Estabelecimento de metodologias de testes
- Realizando planos de lançamento.
- Avaliando e aprovando resultados de testes pelo gerente de
negócios.
- Realizando revisões pós-implementação.
- AI5 – Obtém recursos de TI

- Proporcionando custo benefício de TI, e sua contribuição para a
rentabilidade empresarial.
- É alcançada por
- Obtendo parecer profissional legal e contratural.
- Definindo procedimentos e padrões de obtenção.
- Procurando hardware, software e serviços requisitados, alinhados
com os procedimentos definidos.
- AI6 – Gerencia mudanças (3.0)

- Para minimizar a probabilidade de rompimento, alterações sem
autorizações e erros.
- Um sistema de gerenciamento, que provê a análise, implementação
e acompanhamento de todas as mudanças requisitadas e feitas para a infra-estrutura de TI
existente.
- AI6 – Gerencia mudanças (4.0)

- Respondendo aos requisitos de negócio alinhados com a estratégia
de negócio, enquanto reduz defeitos e retrabalhos de entrega de entregas e serviços.
- É alcançado por
- Definindo e comunicando procedimentos de mudanças, incluindo
mudanças emergenciais.
- Avaliando, priorizando e autorizando mudanças.
- Status de rastreamento e geração de relatório de mudanças.
- Entrega e Suporte
- Descrição do domínio
- Esse domínio é preocupado com a atual entrega de serviços requisitados,
no qual inclui
- Entrega de serviços
- Gerenciamento de segurança e continuidade
- Suporte de serviços para usuários
- Gerenciamento de dados e instalações operacionais.
- Processos (3.0)
- DS1 – Define e gerencia níveis de serviços
- DS2 – Gerencia serviços terceirizados
- DS3 – Gerencia performance e capacidade
- DS4 – Garante serviço contínuo
- DS5 – Garante segurança de sistemas
- DS6 – Identifica e aloca custos
- DS7 – Educa e treina usuários
- DS8 – Assiste e avisa usuários.
- DS9 – Gerencia a configuração
- DS10 – Gerencia problema e incidentes
- DS11 – Gerencia dados
- DS12 – Gerencia instalações
- DS13 – Gerencia operações
- Processos (4.0)
- DS1 – Define e gerencia níveis de serviços
- DS2 – Gerencia serviços terceirizados
- DS3 – Gerencia performance e capacidade
- DS4 – Garante serviço contínuo
- DS5 – Garante segurança de sistemas
- DS6 – Identifica e aloca custos.
- DS7 – Educa e treina usuários
- DS8 – Gerencia Service Desk e incidentes
- DS9 – Gerencia a configuração
- DS10 – Gerencia problemas
- DS11 – Gerencia dados
- DS12 – Gerencia o ambiente físico
- DS13 – Gerencia operações.
- DS1 – Define e gerencia níveis de serviços (3.0)

- Para estabelecer um entendimento comum do nível de serviço
requerido.
- O estabelecimento de um acordo de nível de serviço, no qual
formaliza o critério de performance sobre o qual a quantidade e qualidade de serviço irão
ser mensuradas.
- DS1 - Define e gerencia níveis de serviços (4.0)

- Garantindo o alinhamento de recursos de TI chaves com estratégia
de negócio.
- É alcançado por
- Formalizando acordos internos e externos, alinhados com os
requisitos e capacidades de entregas.
- Gerando relatórios de alcance de níveis de serviços (relatórios e
reuniões)
- Identificando e comunicando novos e atualizados requisitos de
negócios para planejamento estratégico.
- DS2 – Gerencia serviços terceirizados (3.0)

- Para garantir que regras e responsabilidades de terceirizados estão
claramente definidas, aderidas à continuidade da satisfação dos requisitos.
- Métricas de controle, destinadas à revisão e monitoramento de
acordos e procedimentos existentes, para sua efetividade e conformidade com a política
organizacional.
- DS2 – Gerencia serviços terceirizados (4.0)

- Provendo serviços terceirizados satisfatórios enquanto sendo
transparente sobre benefícios, custos e riscos.
- É alcançado por
- Identificação e categorização de fornecedores de serviços
- Identificando e atenuando risco de fornecedores
- Monitorando e mensurando performance de fornecedores.
- DS3 – Gerencia performance e capacidade (3.0)

- Para garantir que a capacidade adequada está disponível e que o
melhor e ótimo uso é feito, para obter as necessidades de performance requeridas.
- Coleta de dados, análise e relatórios em performance de recursos,
enquadramento da aplicação, e demanda de procura de trabalho.
- DS3 – Gerencia performance e capacidade (4.0)

- Otimizando a performance da infra-estrutura de TI, recursos e
capacidades, em resposta às necessidades de negócio.
- É alcançado por
- Planejamento e provisão de capacidade e disponibilidade de
sistemas.
- Monitorando e gerando relatório de performance de sistemas
- Modelando e prevendo performance de sistemas.
- DS4 – Garante serviço contínuo (3.0)

- Para garantir que serviços de TI estão disponíveis conforme
requerido, e para garantir um mínimo impacto no negócio na ocorrência de um maior
rompimento.
- Tendo um Plano de Continuidade de TI, operacional e testado, no
qual esteja alinhado com o plano de continuidade do negócio, como um todo, e seus
requisitos de negócios relatados.
- DS4 – Garante serviço contínuo (4.0)

- Garantindo um mínimo impacto no negocio na ocorrência de uma
interrupção de serviço.
- É alcançado por
- Desenvolvimento e manutenção (melhoria) de contingência de TI.
- Treinando e testando os planos de contingência de TI.
- Armazenando cópias de planos de contingência e dados em locais
offsite.
- DS5 – Garante segurança de sistemas (3.0)

- Para proteger informações acerca de uso sem autorização,
divulgação ou modificação, dano ou perda.
- Controle de acesso lógico no qual garante que o acesso aos
sistemas, dados e programas é restrito a usuários autorizados.
- DS5 – Garante segurança de sistemas (4.0)

- Mantendo a integridade da informação e infra-estrutura de
processamento, e minimizando o impacto de vulnerabilidades e incidentes de segurança.
- É alcançado por
- Entendimento dos requisitos de segurança, vulnerabilidades e
ameaças.
- Gerenciando a identidade e autorização de usuários de uma forma
padronizada.
- Testando regularmente a segurança.
- DS6 – Identifica e aloca custos (3.0)
- Satisfaz os requisitos de negócios
- Para garantir uma correta ciência dos custos atribuídos aos serviços
de TI.
- Um sistema de contabilidade de custos no qual garante que custos
são gravados, calculados e alocados nos níveis de detalhes requeridos, e para o
oferecimento de serviço apropriado.
- DS6 – Identifica e aloca custos (4.0)

- Transparência e entendimento dos custos de TI e proporcionando
custo-benefício através do bem informado uso dos serviços de TI.
- É alcançado por
- Alinhando encargos com a qualidade e quantidade dos serviços
providos.
- Construindo e concordando um modelo de custo completo.
- Implementando tarifação de acordo com a política acordada.
- DS7 – Educação e treinamento de usuários

- Para garantir que os usuários estão fazendo uso efetivo da
tecnologia e estão cientes dos riscos e responsabilidades envolvidos.
- Um compreensivo plano de treinamento e desenvolvimento.
- DS7 – Educação e treinamento de usuários (4.0)

- Uso efetivo e eficiente das soluções de aplicações e tecnologias, e
conformidade dos usuários com políticas e procedimentos, focando em um claro
entendimento das necessidades de treinamento de TI de usuários, execução de uma efetiva
estratégia de treinamento, e medição dos resultados.
- E alcançado por
- Estabelecendo um currículo de treinamento.
- Organizando treinamento
- Entregando treinamento
- Monitorando e gerando relatório de efetividade de treinamentos.
- DS8 – Assiste e recomenda usuários (3.0)

- Para garantir que qualquer problema experimentado pelo usuário é
resolvido apropriadamente.
- Um recurso de help desk que provê suporte e recomendação de
primeira linha.
- DS8 – Gerencia Service Desk e incidentes (4.0)

- Proporcionando uso efetivo dos sistemas de TI através da garantia
da resolução e análise dos questionamentos do usuário final, questões e incidentes.
- É alcançado por
- Instalando e operando um Service Desk
- Monitorando e gerando relatório de tendências
- Definindo escalação clara de critério e procedimentos
- DS9 – Gerencia a Configuração (3.0)

- Para ter relatado todos os componentes de TI, prever alterações não
autorizadas, verificar existência física, e prover uma base para mudança de gestão.
- Controles que identificam e gravam todos os ativos de TI e suas
localizações físicas, e um programa de verifiação regular que confirme a sua existência.
- DS9 – Gerencia a Configuração (4.0)

- Otimizando a infra-estrutura de TI, recursos e capacidades, e
relatórios sobre ativos de TI.
- Estabelecendo um repositório central de todos os itens de
configuração
- Identificando os itens de configuração e mantendo-os.
- Revisando integridade de dados de configuração.
- DS10 – Gerencia problemas e incidentes (3.0)

- Para garantir que problemas e incidentes são resolvidos, e as causas
investigadas para prevenir qualquer reincidência.
- Um sistema de gerenciamento de problemas, no qual grava e
progride todos os incidentes.
- DS10 – Gerencia Problemas (4.0)

- Garantindo a satisfação dos usuários finais com oferecimento de
serviços e níveis de serviços, e reduzindo defeitos e retrabalhos de soluções e entrega de
serviços.
- É alcançado por
- Realizando a análise da causa raiz de problemas reportados.
- Análise de tendências
- Tomando posse de problemas e progredindo a sua resolução.
- DS11 – Gerencia dados (3.0)

- Para garantir que os dados permanecem completos, exatos, e
válidos durante a sua entrada, atualização e armazenamento.
- Uma efetiva combinação de aplicações e controles gerais sobre as
operações de TI.
- DS11 – Gerencia dados (4.0)

- Otimizando o uso da informação e garantindo que a informação está
disponível quando requisitada.
- É alcançada por
- Fazendo backup de dados e testando restauração
- Gerenciando online e offline o armazenamento dos dados.
- Dispondo os dados de forma segura e equipada.
- DS12 – Gerencia recursos (3.0)

- Provendo um adequado isolamento físico que protege o
equipamento de TI e pessoas acerca de riscos artificiais e naturais.
- A instalação de um ambiente correto e controle físico, nos quais são
regularmente revistos sobre o seu funcionamento próprio.
- DS12 – Gerencia o ambiente físico de TI (4.0)

- Protegendo os ativos computacionais e dados de negócio, e
minimizando os riscos de um rompimento no negócio.
- É alcançado por
- Implementando métricas de segurança física
- Selecionando e gerenciando recursos.
- DS13 – Gerencia operações (3.0)
- Para garantir que funções importantes de suporte de TI são
realizadas regularmente e regularmente
- Um agendamento de atividades de suporte no qual é gravada e
limpada para a execução de todas as atividades.
- DS13 – Gerencia operações (4.0)

- Mantendo a integridade dos dados e garantindo que a infra-estrutrua
de TI pode resistir e recuperar de erros e falhas.
- É alcançado por
- Operação de um ambiente de TI em linha com níveis de serviços
agregados e instruções definidas
- Mantendo a infra-estrutura de TI.
- Monitoramento
- Esse domínio direciona gerenciamento de supervisores do processo de controle
organizacional.
- Todos os processos de TI necessitam ser avaliados regularmente sobre
tempo para sua qualidade e conformidade com requisitos de controle.
- Garantia independente provida por auditoria interna ou externa ou obtida
de fontes alternativas (3.0)
- Processos (3.0)
- M1 – Monitora os processos
- M2 – Avalia a adequação do controle interno
- M3 – Obtém garantia independente
- M4 – Provê auditoria independente.
- Processos (4.0)
- ME1 – Monitora e testa a performance de TI
- ME2 – Monitora e testa o controle interno
- ME3 – Garante o cumprimento das regulamentações
- ME4 – Provê governança de TI.
- M1 – Monitora os processos (3.0)

- Garante o alcance dos objetivos de performance determinados para
os processos de TI.
- A definição de indicadores de performance relevantes, o relatório
sistemático e pontual da performance e pronta ação sobe divergências.
- M1 – Monitora e testa a performance de TI

- Transparência e entendimento do custo, benefícios, estratégias,
políticas e níveis de serviços de TI, de acordo com os requisitos de governança.
- É alcançado por
- Confrontar e traduzir relatórios de performance de processos em
relatórios de gerenciamento.
- Revisão de performance sobre alvos agregados e iniciação de ações
corretivas necessárias.
- M2 – Avalia adequação de controle interno (3.0)

- Garante o alcance dos objetivos de controle interno determinados
aos processos de TI.
- O compromisso de monitoramento dos controles internos, avaliando
sua efetividade, e gerando relatório em bases regulares.
- M2 – Monitora e avalia o controle interno (4.0)

- Protegendo o alcance dos obetivos de TI, e concordando com as leis
de TI e regulamentos.
- É alcançado por
- Define um sistema de controle interno encaixado em uma
framework de processos de TI.
- Monitorando e gerando relatório sobre a efetividade do controle
interno sobre TI.
- Gerando relatório de exceções de controle para gerenciamento de
ação.
- M3 – Obtém garantia independente (3.0)

- Para acrescentar confidência sobre a organização, usuários e
provedores terceirizados.
- Revisões de garantia independente, efetuados em intervalos
regulares.
- M3 – Garante cumprimento de regulamentos (4.0)

- Conformidade com leis e regulamentos
- É alcançado por
- Identificando requisitos legais e regulamentares relatados para TI.
- Avaliando o impacto de requisitos regulares.
- Monitorando e gerando relatório em conformidade com requisitos
regulamentares.
- M4 – Provê auditoria independente (3.0)

- Para acrescentar níveis de confiança e benefícios para
recomendações de melhores práticas.
- Auditorias independentes efetuadas em itervalos regulares.
- M4 – Provê governança de TI (4.0)

- Integrando objetivos de governança de TI com objetivos de
governança corporativa, e em conformidade com leis e regulamentos.
- Estabelecendo uma framework de governança de TI integrado em
uma governança corporativa.
- Obtendo garantia independente sobre o status de governança de TI.

Cob It

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cob It

Transféré par

Droits d'auteur :

Formats disponibles

COBIT

- Cinco áreas focais

- Benefícios do Cobit como Governança de TI

- Controle gerais de processos

- PC3 Goals and Objectives

- PC4 Roles and Responsibilities

- PC5 Process Performance

- PC6 Policy, Plans and Procedures

- Controles – Fatores Críticos de Sucesso

- Características – Dirigido por métricas

- Usando os modelos de maturidade desenvolvidos para cada um dos 34

- Indicadores de Processos (KPI)

- Público alvo do Cobit

- Informações são produzidas por recursos de TI

- Recursos de TI são gerenciados por processos

- Processos devem ser controlados

- Critérios / Requisitos da Informação

- Aquisição & Implementação

- Entrega & Suporte

- Planejamento & Organização

- PO1 – Define um plano estratégico (3.0)

- PO1 – Define um plano estratégico de TI (4.0)

- PO2 – Define a arquitetura de informação (3.0)

- PO2 – Define a arquitetura de informação (4.0)

- PO3 – Determina a direção tecnológica (3.0)

- P03 – Detrmina a direção tecnológica (4.0)

- PO4 – Define a organização e relacionamentos de TI (3.0)

- PO4 – Define processos de TI, organização e relacionamentos (4.0)

- PO5 – Gerencia o investimento em TI (3.0)

- PO5 – Gerencia o investimento em TI (4.0)

- PO6 – Comunica os alvos de gerenciamento e direção (3.0)

- PO6 – Comunica os alvos de gerenciamento e direção (4.0)

- PO7 – Gerenciar Recursos Humanos (3.0)

- PO7 – Gerenciar Recursos Humanos de TI (4.0)

- PO8 – Garante conformidade com requisitos externos (3.0)

- Transformado no processo ME4 no COBIT 4.0

- PO9 – Análise de Risco (3.0)

- PO9 – Análise e gerenciamento de riscos de TI (4.0)

- PO10 – Gerencia Projetos (3.0)

- PO10 – Gerencia Projetos (4.0)

- PO11 – Planejamento e Organização

- AI1 – Identifica soluções automatizadas (3.0)

- AI1 – Identifica soluções automatizadas (4.0)

- AI2 – Adquire e mantém software aplicativos (3.0)

- AI2 – Adquire e mantém software aplicativos (4.0)

- AI3 – Adquire e mantém infra-estrutura técnica (3.0)

- AI3 – Adquire e mantém infra-estrutura técnica (4.0)

- AI4 – Desenvolve e mantém procedimentos

- AI4 – Proporciona operação e uso (4.0)

- AI5 – Instala e aprova sistemas (3.0)

- Transformado no processo AI7 no Cobit 4.0

- AI7 – Instala e aprova soluções e mudanças

- AI5 – Obtém recursos de TI

- AI6 – Gerencia mudanças (3.0)

- AI6 – Gerencia mudanças (4.0)

- DS1 – Define e gerencia níveis de serviços (3.0)

- DS1 - Define e gerencia níveis de serviços (4.0)

- DS2 – Gerencia serviços terceirizados (3.0)

- DS2 – Gerencia serviços terceirizados (4.0)

- DS3 – Gerencia performance e capacidade (3.0)

- DS3 – Gerencia performance e capacidade (4.0)

- DS4 – Garante serviço contínuo (3.0)

- DS4 – Garante serviço contínuo (4.0)

- DS5 – Garante segurança de sistemas (3.0)