Guiadeestudoparaexamedecertificacaodocobit4 1v6 100316124919 Phpapp01

Guia de Estudo para Exame de Certificao do Cobit Foundation
Pg: 1/38 Reviso 7.0

Guia de Estudo
para o Exame Certificao
do Cobit Foundation 4.1
verso 7.0
Rildo Santos(@rildosan)
rildo.santos@etecnologia.com.br

www.etecnologia.com.br
www.rildosan.blogspot.com
www.etecnologia.ning.com

Todos os direitos produtos e marcas citados neste guia so de propriedade dos seus donos, este material poder ser copiado, ampliando e
distribudo deste que autorizado pelo autor.

Pg: 2/38 Reviso 7.0

Introduo:

Este Guia de Estudo foi elaborado para ajudar e facilitar na preparao para o exame de
certificao do Cobit Foundation verso 4.1.
Seu propsito servir como um documento de reviso complementar ao treinamento de
Cobit Foundation.

O guia cobre todos os assuntos abordados no exame de certificao, contudo ele no
prescritivo, ou seja, voc dever considerar outras fontes de estudo.

Rildo Santos

Como se preparar para o exame de Certificao do Cobit Foundation 4.1:

Check Lists:

Material do treinamento:
1 Faa uma releitura de todo o material
2 Refaa os exerccios
3 Refaa o simulado

Guia de Estudo:
1 - Leia o Guia
2 - No final de cada parte faa um resumo das partes mais importantes (elas esto
grafadas na cor amarela)
3 - Faa os exerccios para fixao, aps a elaborao dos resumos de cada parte
4 - Faa o simulado de certificao


Pg: 3/38 Reviso 7.0

Este Guia est organizado em trs partes:

Primeira parte:
Reviso Geral do Cobit Foundation

Segunda parte:
Os Processos
o DS2
o PO10
o Descrio dos demais processos

Terceira parte:
Produtos Cobit
o COBIT Online
o COBIT Quickstart
o IT Governance Implementation Guide Using COBIT e Val IT
o COBIT Security Baseline


Pg: 4/38 Reviso 7.0

Reviso Geral:

Desafios de TI:

- Manter TI funcionando
- Agregar valor
- Otimizar custos
- Manter o alinhamento de TI com o negcio
- Atender a requisitos regulatrios (SOX, BASEL II, SPED, etc)

Definio de Governana Empresarial (Corporativa):
Governana empresarial um conjunto de responsabilidades e prticas exercitadas pelo conselho e o
gerenciamento executivo com as metas de:
Fornecer um direcionamento estratgico
Garantir que os objetivos sejam alcanados
Estabelecer que os riscos sejam gerenciados apropriadamente
Verificar se os recursos da empresa sejam usados com responsabilidade

Governana empresarial trata de:
Performance
o Melhorar o lucro, a eficincia, a efetividade e o crescimento
Conformidade
o Aderir legislao, s polticas internas e aos requisitos de auditoria

Governana Empresarial e a Governana de TI requerem um balano entre a conformidade e as metas de
performance, como orientado pelo conselho (Conselho da Administrao).

Definio de Governana de TI:
A governana de TI definida como uma estrutura de relacionamento e processos para direcionar e controlar a
empresa para que ela possa alcanar suas metas agregando valor enquanto balanceia os riscos versus
retorno sobre o TI e seus processos.

Quem responsvel pela Governana de TI ?

O conselho de diretoria e o corpo executivo so responsveis pela governana de TI, o que envolve estruturas
e processos que direcionam a organizao no sentido de alcanar seus objetivos.

Conceitos chaves da Governana de TI:
Direcionar: O gerenciamento fornece direcionamento para implementar uma mudana. Para fornecer um
direcionamento efetivo, o gerenciamento precisa entender a mudana pretendida. Alm do mais, o
gerenciamento direciona outra pessoa a executar essas mudanas.
Controlar: O controle garante que os objetivos sejam alcanados e nenhum incidente indesejado ocorra.

Princpios da Governana: Responsabilidade, Prestao de Conta (cobrana), Atividades:

Responsabilidade:
O CEO (presidente) o responsvel pelo controle interno. Gerentes Seniores (ou diretores) assumem
responsabilidade para o estabelecimento de polticas e procedimentos de controle interno especficos para o
pessoal executando a funo de uma unidade. Controle interno de responsabilidade de todos dentro de uma
organizao e deve ser uma parte explcita ou implcita das descries do trabalho.

Quem Cobrado (Quem presta conta):
O que cobrado est relacionado responsabilidade, mas especificamente focado em ter autoridade de tomar
decises e fazer aprovaes.


Pg: 5/38 Reviso 7.0

Por exemplo: A responsabilidade para o processo de definir a estratgia de TI ser dividida por diversas
pessoas, cada um responsvel por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os
problemas chave e aprova a verso final. Ele ento cobrado pela estratgia de TI.

Atividades:
As atividades de TI so efetivas quando h uma boa governana de TI. Geralmente, os departamentos de TI
precisam se alinhar com as necessidades de negcios da empresa. O alinhamento um indicador de
performance que pode ser qualquer parmetro tcnico.

Acionistas internos (Stakeholders) da Governana de TI:
- Gerente de TI
- Auditor de TI
- Conselho, Executivos, e Gerente de Negcios
- Gerente de Riscos e Conformidade

Acionistas externos (Stakeholders) da Governana de TI:
- Clientes
- Fornecedores
- Auditor Externo
- Reguladores

Governana de TI: As 5 reas de Foco:

Alinhamento Estratgico:
Focar em garantir a ligao dos negcios e planos de TI; em definir, manter, e validar a proposta de valor de TI
e em alinhar as operaes de TI com as operaes da empresa.
Garantir que o investimento da empresa em TI esteja em harmonia com os seus objetivos estratgicos.

Agregao de Valor:
Trata-se de executar a proposta de valor atravs do ciclo de agregao, garantindo que o TI entregue os
benefcios prometidos sobre a estratgia, se concentrando em otimizar os custos e fornecendo o valor
essencial da TI.

Gerenciar Riscos:
Requer:
Conscincia dos riscos dos responsveis snior da corporao
Um entendimento claro do apetite da empresa por riscos
Um entendimento de requisitos de conformidade
Transparncia sobre riscos significantes para a empresa
Embutir as responsabilidades de gerenciamento de riscos dentro da organizao
Os riscos podem ser administrados pela:
Mitigao de riscos
Transferncia de riscos
Aceitao de riscos
Evitar riscos

Gerenciar Recursos:
Trata-se de investimentos otimizados e gerenciamento apropriado de recursos crticos de TI, como:
Aplicaes.
Informao.
Infraestrutura.
Pessoas.

Medio de Performance:
Busca e monitora a implementao de estratgias, concluso de projetos, performance de projetos, e
agregao de servios
Se no h uma maneira de medir e avaliar as atividades de TI, no possvel governar TI e garantir o
alinhamento, agregao de valor, gerenciamento de riscos e um uso eficiente dos recursos.


Pg: 6/38 Reviso 7.0

Benefcios da Governana de TI:
Aumentar a confiabilidade dos servios
Maior transparncia
Boa receptividade da TI para os negcios
Confiana da diretoria
Melhorar ROI (Retorno sobre Investimento)

Por que da necessidade de um Framework de Controle:
As empresas no conseguiro atender efetivamente aos negcios e aos requisitos de governana sem adotar
e implementar uma governana e um framework de controle para o TI que permitam:
Alinhar os requisitos de negcios
Exibir de forma transparente a performance destes requisitos
Organizar as atividades de TI em um modelo de processos genericamente aceitvel
Identificar os principais recursos a serem relevados
Definir os objetivos de controle de gerenciamento a serem considerados

Resumo:
Organizaes tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de
governana de TI:
Manter a TI funcionando
Entregar valor aos clientes
Gerenciar os custos de TI
Dominar as complexidades
Alinhar a TI com os negcios
Garantir conformidade regulatria
Gerenciar a segurana

Cobit e Governana de TI:

O COBIT ajuda a melhorar a governana de TI.
O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para
um framework de controle.

Estrutura de Controle:

- Fornece melhor foco de Trabalho
- Foco de Negcios
O COBIT atende melhor aos negcios focando no alinhamento de TI com os objetivos de negcios.
A medio da performance de TI dever focar-se na contribuio da TI em disponibilizar e estender a
estratgia de negcios.
O COBIT, suportado por mtricas prprias focadas no negcio, pode garantir que o objetivo primrio
a entrega de valor e no a excelncia tcnica.

- Define uma linguagem comum
- Linguagem Comum
uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos crticos e
fornecendo um glossrio.
Coordenao dentro e atravs de equipes de projeto; as organizaes podem desempenhar o papel
chave para o sucesso de qualquer projeto.
Linguagem comum constri confidncia e confiana.

- Garante a orientao a processos
Orientao a Processos
Quando as organizaes implementam o COBIT, o seu foco mais orientado a processos.
Os incidentes e problemas tiram a ateno dos processos.
Excees podem ser claramente definidas como parte de processos padres.
Com a posse do projeto definida, designada e aceitada, a organizao mais capaz de manter
controle atravs de perodos com mudanas rpidas ou crise organizacional.


Pg: 7/38 Reviso 7.0

- Ajuda a alcanar requisitos regulatrios
- Requisitos Regulatrios
Recentes escndalos empresariais tm aumentado as presses regulatrias em conselhos de diretoria
para relatar seus status e garantir que os controles internos sejam apropriados. Isto tambm cobre os
controles de TI.
As organizaes precisam constantemente melhorar a performance de TI e demonstrar controles
adequados sobre suas atividades.
Muitos gerentes de TI, conselheiros e auditores esto se voltando ao COBIT como a resposta de fato
para requisitos regulatrios de TI.

- Possui aceitao entre as empresas
- Aceitabilidade:
O COBIT um padro aprovado e aceito globalmente para aumentar a contribuio de TI para o
sucesso da organizao.
O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores prticas.
Os profissionais de TI de todo o mundo contribuem com suas idias e tempo em reunies de reviso
regulares.

A estrutura do Cobit:

As suas principais caractersticas so:
Focado nos Negcios
Orientado a Processos
Baseado em Controles
Dirigido pela Medio

O acrnimo COBIT quer dizer Control Objectives for Information and related Technology

Modelo de Governana do provido pelo Cobit:
Inicia a partir dos requisitos de negcios.
orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos.
Identifica os principais recursos de TI a serem considerados.
Define os objetivos de controle a serem considerados. Incorporando os principais padres internacionais.
um modelo de fato para o controle geral de TI

Audincia:
COBIT Concebido para a gerncia, auditores e TI
A estrutura do COBIT ajuda no apenas aos usurios tcnicos, mas tambm aqueles que so responsveis
pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usurios garantindo
que:
Seus requisitos esto definidos e propriamente entendidos.
Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.

Premissa:
A estrutura do COBIT baseada na premissa de que TI precisa entregar a informao que uma empresa
precisa para alcanar seus objetivos.

A estrutura do COBIT ajuda a alinhar TI com os negcios focando-se nas requisies de informaes de
negcios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a
governana de TI.


Pg: 8/38 Reviso 7.0

Componentes do Cobit:

Uma empresa depende da credibilidade e prontido da informao. Os componentes do COBIT iro fornecer
uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informaes.

Como estrutura para governana e controle de TI, o COBIT focar em duas reas:
Fornecer as informaes necessrias para suportar os requisitos e objetivos de negcios
Tratar a informao como resultado da aplicao conjunta dos recursos de TI que precisam ser
gerenciados pelos processos de TI.

O framework do COBIT descreve como os processos de TI entregam a informao que os negcios precisam
para alcanar seus objetivos. Para controlar esta entrega, o COBIT fornece trs componentes chave:
- Requisitos de Negcio;
- Recursos de TI
- Processos de TI
Formando as dimenses do Cubo do COBIT.

Cubo do COBIT

Inter-relao dos componentes do COBIT:
Em um ambiente complexo, o gerenciamento requer informaes compreensivas e em tempo para tomar
decises eficientes sobre risco e controle. O COBIT enderea estes problemas em de forma de diretrizes de
gerenciamento. Estas diretrizes esto destacadas abaixo:

Metas de TI e Processos de TI:
So Medidas por: So decompostas em:
Performance: Indicadores de Desempenho - Atividades-Chaves
Resultado: Mtrica de Resultado Que so executadas pela
Maturidade: Modelo de Maturidade - Matriz RACI

Metas de TI e Processos de TI:

Pg: 9/38 Reviso 7.0

O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domnios:
o Planejar e Organizar
o Adquirir e Implementar
o Entregar e Suportar
o Monitorar e Avaliar

O que so processos:
Processos so sries de atividades com quebras de controle naturais. Existem 34 processos nos quatro
domnios. Estes processos especificam o que os negcios precisam para alcanar seus objetivos. A
entrega de informaes controlada atravs de 34 objetivos de controle de alto nvel, um para cada
processo.
Que so atividades ?
Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm
ciclos de vida e incluem muitas tarefas discretas.

Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm
ciclos de vida e incluem muitas tarefas discretas.

O COBIT possui 34 processos de TI definidos dentro dos 4 domnios de TI:

PLANEJAR E
ORGANIZAR (PO)

Objetivos:
o Formular estratgia e tticas
o Identificar como TI pode contribuir melhor para alcanar os objetivos de
negcios
o Planejar, comunicar, e gerenciar a realizao da viso estratgica
o Implementar uma infraestrutura organizacional e tecnolgica
Escopo:
o A TI e os negcios esto estrategicamente alinhados?
o A empresa est alcanando um uso otimizado dos recursos de TI?
o Todos na organizao entendem os objetivos de TI?
o Os riscos de TI esto entendidos e sendo gerenciados?
o A qualidade dos sistemas de TI est apropriada para as necessidades de
negcios?

Processos PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura da Informao
PO3 Determinar o Direcionamento Tecnolgico
PO4 Definir os Processos, a Organizao e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar os Objetivos e Direcionamento da Diretoria
PO7 Gerenciar Recursos Humanos de TI

Pg: 10/38 Reviso 7.0

PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Risco de TI
PO10 Gerenciar Projetos

ADQUIRIR
IMPLEMENTAR
(AI)

Objetivos:
o Identificar, desenvolver ou adquirir, implementar, e integrar as solues de
TI
o Mudanas e manuteno de sistemas existentes
Escopo:
o Os novos projetos esto preparados para entregar solues que alcancem
as necessidades de negcios?
o Os novos projetos esto preparados para serem entregues a tempo e
dentro do oramento?
o Os novos sistemas iro funcionar bem quando implementados?
o As mudanas sero feitas sem atrapalhar as operaes de negcios
atuais?

Processos AI1 Identificar as Solues Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Permitir Operao e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanas
AI7 Instalar e Validar Solues e Mudanas

ENTREGAR E
SUPORTAR (DS)

Objetivos:
o A entrega real de servios necessrios, incluindo a entrega de servios
o O gerenciamento da segurana, continuidade, dados e facilidades
operacionais
o Suporte de servios para os usurios
Escopo:
o Os servios de TI esto sendo entregues alinhados com as prioridades de
negcios?
o Os custos de TI esto otimizados?
o A fora de trabalho capaz de usar os sistemas de TI de forma produtiva
e segura?
o A confidencialidade, integridade e disponibilidade esto adequadas?

Processos DS1 Definir e Gerenciar Nveis de Servios
DS2 Gerencia Servios Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Garantir Continuidade de Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usurios
DS8 Gerenciar Central de Servio e Incidentes
DS9 Gerenciar Configurao
DS10 Gerenciar Problema
DS11 Gerenciar Dado
DS12 Gerenciar Ambiente Fsico
DS13 Gerenciar Operaes



MONITORAR E
AVALIAR (ME)
Objetivos:
o Gerenciamento de Performance
o Monitoramento de controles internos
o Conformidade regulatria
o Governana
Escopo:
o A performance de TI est sendo medida para detectar problemas antes
que seja tarde demais?
o O gerenciamento garante que os controles internos sejam eficazes e
eficientes?
o A performance de TI pode ser ligada s metas de negcios?
o Os riscos, controles, conformidade e performance esto sendo medidos e
relatados?

Processos ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade Regulatria
ME4 Fornecer Governana de TI

Requisitos de Negcio (Critrios de Informao):

Para satisfazer os objetivos de negcios, a informao deve estar em conformidade com critrios de
informao especficos, os quais o COBIT se refere como requisitos de negcios para informao.
Os critrios de informao esto baseados em requisitos de qualidade, segurana e valor (fiducirio).

Requisito de
Negcio
Descrio
Efetividade
(Qualidade)

Lida com informaes relevantes e pertinentes aos processos de negcios bem como a
mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel.

Eficincia
(Qualidade)

Lida com a proviso de informaes atravs dos uso de recursos otimizados mais
produtivos e econmicos

Confidencialidade
(Segurana)

Lida com a proteo de informaes sensveis de revelaes no autorizadas.

Integridade
(Segurana)
Relaciona-se com a exatido e integridade de informaes to bem quanto sua validade
de acordo com os valores de negcios e expectativas.

Disponibilidade
(Segurana)
Relaciona-se com a informao estar disponvel quando necessria pelo processo de
negcios no presente e no futuro. Ele tambm responsvel pela guarda de recursos
necessrios e capacidades associadas.
Conformidade
(Fiduciria)
Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo
de negcios esta sujeito, ou seja, critrios de negcios impostos externamente como
polticas internas.

Confiabilidade
(Fiduciria)
Relaciona-se com a proviso de informaes corretas para gerenciar, operar a entidade
e exercitar suas responsabilidades fiducirias e de governana.



Recursos:

Os processos de TI gerenciam os recursos de TI para gerar, entregar e estocar a informao que a
organizao precisa para alcanar seus objetivos.

Recurso Descrio
Aplicaes Aplicaes so sistemas de usurios automatizados e procedimentos manuais que
processam a informao.

Informao Informao so os dados de entrada, que so processados, e de sada pelos sistemas
de informao, em qualquer forma usada pelos negcios
Infraestrutura Infraestrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e
as redes que disponibilizam o processamento das aplicaes.

Pessoas Pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar
suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser
internos, terceirizados, ou contratados, conforme necessrio.

Diretrizes de Gerenciamento do COBIT:
Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensurveis para cada processo e
medir e comparar a atual capacidade da organizao em cada processo. O conjunto de informaes de
gerenciamento a seguir lista algumas questes.

Questes tpicas de gerenciamento:
Como gerentes responsveis mantm o navio no curso?
Como a organizao alcana resultados que sejam satisfatrios para os segmentos maiores possveis para
seus acionistas?
Como a organizao se adapta s tendncias e desenvolvimentos no seu envolvimento de uma forma a
tempo?

As Diretrizes de Gerenciamento iro fornecer as metas e as mtricas (mtricas de resultados e indicadores de
performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em
direo ao resultado desejado.
As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover
mtricas para a realizao das metas de TI. Um scorecard possui 4 dimenses para mapear as metas e
indicadores.
Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e
Crescimento

Diretrizes de Gerenciamento provem recursos para os 34 processos para ajudar aos gestores a entender a
performance da organizao.

Cada processo possui o seguinte:
Entradas do Processo: So o que o dono do processo precisa dos outros processos.
Sada do Processo: So o que o dono do processo deve entregar.
Atividades-Chaves para o processo e matriz RACI: Aponta quem Responsible (Responsvel),
Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade.

Metas e mtricas mostram como os processos devem ser medidos. Eles so definidos em trs nveis:
Metas e mtricas de TI definem o que os negcios esperam da TI, ou seja, o que os negcios usariam
para medir a TI.
Metas e mtricas de processo definem o que o processo de TI deve entregar para suportar as metas de
TI e como medir isso
Mtricas de performance de processo medem quo bem o processo esto indo para indicar se as metas
devero ser alcanadas.



Modelos de Maturidade ajudam as organizaes a medir a capacidade dos processos, de No existente (0) a
Otimizado (5).

Modelo de Maturidade:

Todos os processos possuem um modelo de maturidade. A maturidade diz respeito capacidade do processo
em atender os requisitos regulatrio e compliance, capacidade para atender metas de TI e as metas dos
processos de TI.

Modelos de Maturidade fornecem uma escala para referenciar s prticas da companhia contra os padres e
diretrizes da indstria. Um modelo de maturidade uma medida que capacita que uma empresa nivele sua
maturidade para um processo especfico de no existente (0) para otimizado (5).

COBIT Valor e Limitaes

O COBIT:
aceito como referencia internacional de boas prticas.
orientado aos negcios.
considerado um padro aberto.
mantido por uma organizao de boa reputao sem fins lucrativos.
Mapeia 100 por cento do COSO.
Est mapeado de acordo com principais padres relacionados.
uma referncia.

As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos
seguintes requisitos da empresa:
o Entrega de valor.
o Gerenciar Risco.
o Infraestrutura de TI, organizao, e portflio de projetos.

Vantagens de adotar o COBIT so:
O COBIT est alinhado com outros padres e melhores prticas e deve ser usado junto deles.
O framework do COBIT e melhores prticas de suporte fornecem um ambiente de TI bem administrado e
flexvel em uma organizao.


O COBIT fornece um ambiente de controle que responde s necessidades de negcios e gerenciamento
de servidores e funes de auditoria em termos de suas responsabilidades de controle.
O COBIT fornece ferramentas para ajudar a gerenciar as atividades de TI.

Introduo ao Val IT

O Val IT baseado no COBIT, estendendo e complementando-o, orientado para a dimenso do valor da
entrega, o Val IT foca especificamente:
Nas decises de reinvestimento (estamos fazendo as coisas certas?)
Na realizao dos benefcios (estamos obtendo os benefcios?)

A Meta do Val IT:
A meta da iniciativa do Val IT ajudar a administrao a garantir que as organizaes entendam o valor
mximo dos investimentos que permitam a sustentao dos negcios a um custo acessvel a um nvel
aceitvel de riscos

Os princpios do Val IT esto detalhados abaixo:
Investimentos permitidos pela TI sero gerenciados como um portflio de investimentos.
Permitir os investimentos de TI que incluam o escopo completo de atividades necessrias para atender
aos negcios.
Investimentos permitidos pela TI sero gerenciados atravs de todo o seu ciclo de vida econmico.
As prticas de entrega de valor iro reconhecer que existem categorias de investimentos diversas que
sero avaliadas e gerenciados diferentemente.
As prticas de entrega de valor iro definir e monitorar indicadores
chave capazes de responder rapidamente a quaisquer mudana ou divergncias.
As prticas de entrega de valor devem engajar todos os patrocinadores e
definir uma prestao de contas apropriada para a entrega das competncias
para a obteno de benefcios de negcios.
As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas.

Val IT baseado nos Quatro Estamos , que exploram as questes fundamentais dos valores a serem
entregues pela TI.

Estrutura de Processo:

O diagrama abaixo mostra a estrutura dos trs processos do VAL IT e suas prticas de gerenciamento.
Valor da Governana (Value Governance)


VG1 Garante a informao e o compromisso com a liderana.
VG2 Define e implementa processos.
VG3 Define papis e responsabilidades.
VG4 Garante a aceitao apropriada das responsabilidades.
VG5 Define os requisitos de informao.
VG6 Estabelece os requisitos a ser reportado.
VG7 Estabelece a estrutura organizacional.
VG8 Estabelece a direo estratgica.
VG9 Define as categorias de investimento.
VG10 Determina e objetiva o Portflio associado.
VG11 Define os critrios de avaliao por categoria.

Gerenciamento do Investimento (Investment Management)
IM1 Desenvolve um plano de alto-nvel das oportunidades de investimento.
IM2 Desenvolve um programa inicial conceituado em business case.
IM3 Desenvolve um entendimento claro do programa candidato.
IM4 Executa analises alternativas.
IM5 Desenvolve um plano de programa.
IM6 Desenvolve um plano de realizao de benefcios.
IM7 Identifica o ciclo completo de custos e benefcios.
IM8 Desenvolve um business case detalhado.
IM9 Associa propriedade e responsabilidades.
IM10 Inicia, planeja e lana o programa.
IM11 Gerencia o programa.
IM12 Gerencia e rastreia os benefcios
IM13 Atualiza o business case.
IM14 Monitora e reporta a performance do programa.
IM15 Encerra o programa.



Gerenciamento do Portflio (Portfolio Management)
PM1 Mantm um inventrio sobre os recursos humanos.
PM2 identifica os recursos requeridos.
PM3 Executa um gap analysis.
PM4 Desenvolve um plano de recursos.
PM5 Exigncias de recurso de monitor e utilizao.
PM6 Estabelece limites de investimento.
PM7 Avalia o programa inicial concebido pelo business case.
PM8 Avalia e atribui pontuaes relativas ao business case.
PM9 Cria uma viso geral do portflio
PM10 Faz e comunica as decises de investimento.
PM11 Lanamento em fases do programa escolhido.
PM12 Otimizar a performance do portflio
PM13 Repriorizar o portflio
PM14 Monitorar e reportar a performance do portflio

Os processos expandem os processos dos domnios Planejar e Organizar (PO) e Monitor e Avalir (ME) do
COBIT, especialmente aqueles relacionados a:
Estratgias de TI e do Negcio
Gerenciamento de Investimentos
Portflio de programas e gerenciamento de projetos
Monitorar e avaliar o valor da entrega
A estrutura do Val IT framework prov uma referncia cruzada ao COBIT.

Resumo:

O COBIT satisfaz as seguintes caractersticas da estrutura de controle:
o Orientado a processos
o Focado em negcios
o Linguagem comum
o Aceitabilidade geral
o Atende a requisitos regulatrios

O COBIT conecta riscos de negcios, controla necessidades e requisitos tcnicos. Prov boas prticas
atravs de uma estrutura de domnios e processos. Tambm apresenta atividades em uma estrutura lgica
e gerencivel.
A audincia para o COBIT inclui gerenciamento de negcios, auditores e gestores de TI.

Os trs principais componentes da estrutura do COBIT so:
o Recursos de TI
o Processos de TI
o Requerimentos de negcios

Os trs componentes da estrutura do COBIT combinam para formar um mtodo holstico de analisar e
definir os requisitos de TI em uma organizao.

O modelo de maturidade mede a capacidade dos processos.

O COBIT define as atividades de TI em um modelo de processo genrico dentro de quatro domnios:
o Planejamento e Organizao
o Aquisio e Implementao
o Entrega e Suporte
o Monitorao e Avaliao

A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega.

Diretrizes de gerenciamento fornecem:
o Entradas e sadas de processos
o Atividades de processos e Matriz RACI.
o Metas de Negcios, TI, processo e de atividade.


o Mtricas Indicadores-chaves de meta e performance.
o Modelos de maturidade

Os Processos:

Estrutura do Cobit Processos:

Cada processo de TI do COBIT possui:
o Um requisito de negcio que a TI satisfaa.
o Metas-chaves em que se focar.
o Controles-chaves que ajudem a alcanar as metas.
o Mtricas-chaves que ajudem a medir a performance.
o Objetivos de controle detalhados.

Cada processo de TI do COBIT:
Est mapeado para critrios de informao, recursos de TI, e governana de TI usando:
o P - Relacionamento Primrio.
o S - Relacionamento Secundrio.
o Em branco para indicar que os requisitos so satisfeitos mais apropriadamente por outro critrio
e/ou por outro processo.
Possui entradas e sadas de processos e uma matriz RACI.
Possui um modelo de maturidade.

Objetivos de Controle:
Cada processo tem um objetivo de controle de alto nvel e objetivos de controles detalhados.

As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcios no mesmo
nvel. O framework do COBIT define trs nveis:
Primrio: O objetivo de controle definido impacta diretamente no critrio de informao.
Secundrio: Secundrio: O objetivo de controle definido satisfaz apenas indiretamente ou em extenso
menor o critrio de informao
Em branco: Isto poderia ser aplicvel. Entretanto, os requisitos so satisfeitos mais apropriadamente
por outro critrio neste processo.

O que Objetivo de Controle ?
Uma declarao do resultado desejado ou proposta a ser alcanada implementando procedimentos de controle
em uma atividade em particular.



As prticas de Controle:
As prticas de controle de TI estendem a estrutura do COBIT fornecendo um nvel adicional de ajuda quando
olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o
que precisa ser feito para implementar uma estrutura de controle eficaz. As prticas de controle fornecem um
nvel de detalhe adicional, se necessrio.

Processo: PO10 Gerenciar Projeto:

Descrio do Processo:

Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI.
Este framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve
incluir um plano mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma
abordagem em fases para as entregveis, garantia de qualidade, um plano formal de teste, testes e revises
ps-implementao aps da instalao para assegurar o gerenciamento de risco e a entrega do valor para o
negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos, aumenta a
comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis
do projeto e maximiza a contribuio de programas que habilitam investimentos em TI.

Controle sobre o processo de TI:
Gerenciar Projeto

Que satisfaz os requisitos de negcio:
A entrega dos projetos resulta em cronogramas, oramento e qualidade acordados

Focando nas
Um programa definido e um modelo de gerenciamento de projeto que so aplicadas ao projeto de TI ,
que habilita a participao dos patrocinadores, no monitoramento de riscos e progresso dos projetos.

alcanado pelas
Definir e impor programas e frameworks de projetos e abordagens
Liberar diretrizes de gerenciamento de projetos
Executar planejamento de projeto para cada projeto detalhado no portflio dos projetos

medido por
Porcentagem de projetos que alcanam as expectativas dos acionistas, ou seja, em tempo, dentro do
oramento, e requisitos de alcance, medidos pela importncia
Porcentagem de projetos recebendo reviso ps-implementao.
Porcentagem de projetos seguindo os padres e prticas de gerenciamento de projeto

rea de Governana, Recursos e Critrio de Informao (Requisitos de Negcio)

Mapeamento com as reas de Foco de Governana de TI:
Primrio:
- Alinhamento Estratgico
Secundrio:
- Agrega Valor, Gerenciamento de Riscos, Gerenciamento de Recursos e Medio de Performance

Mapeamento com os Recursos de TI
- Aplicaes, Infraestrutura e Pessoas

Mapeamento com os Critrios de Informao:
Primrio:
- Eficcia e Eficincia
Em Branco:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade



Objetivos de Controle:
Objetivos de controle so declaraes de gerenciamento de melhores prticas baseados em padres globais e
na vises de peritos.

Objetivos de e Controle:
PO10.1 Estrutura de Gerenciamento de Programa
PO10.2 Estrutura de Gerenciamento de Projeto
PO10.3 Abordagem de Gerenciamento de Projeto
PO10.4 Comprometimento dos Participantes
PO10.5 Escopo do Projeto
PO10.6 Fase de Incio do Projeto
PO10.7 Planejamento do Projeto Integrado
PO10.8 Recursos do Projeto
PO10.9 Gerenciamento de Riscos do Projeto
PO10.10 Planejamento da Qualidade do projeto
PO10.11 Controle de Mudanas no Projeto
PO10.12 Mtodos de Planejamento de Garantia do Projeto
PO10.13 Avaliao, Relatrios e Monitoramento do Desempenho do Projeto
PO10.14 Concluso do Projeto

Os requisitos de controle genricos para os processos do COBIT so:
PC1: Metas e Objetivos Estabelecer metas e objetivos claros para cada processo do COBIT para uma
execuo eficaz.
PC2: Dono do processo Definir um dono para cada processo do COBIT para que a responsabilidade
esteja clara.
PC3: Repetibilidade Definir cada processo do COBIT para que seja repetvel.
PC4: Papis e Responsabilidades Definir papis, atividades e responsabilidades sem ambigidade
para cada processo do COBIT para uma execuo eficiente.
PC5: Poltica, planos e procedimentos Documentar, revisar, manter atualizado, assinar, e comunicar a
todas as partes relacionadas qualquer poltica, plano ou procedimento que enderea um processo COBIT.
PC6: Performance do processo Medir a performance para cada processo do COBIT versus suas
metas.



Matriz RACI identifica quem Responsvel, Cobrado (Prestao de Constas), Consultado e/ou
Informado

Entrada e Sada de processo:
Cada processo est ligado a outros processos. As entradas so entregveis que um processo requer de
outros processos.
Sadas so entregveis que um processo fornece para outros.

Entradas e Sada do processo PO10:

Entradas:
PO1 Portflio do Projeto
PO5 Portflio de projeto de TI atualizado
PO7 Matriz de Habilidades de TI
PO8 Padres de Desenvolvimento
AI7 Reviso ps-implementao

Sadas:
Relatrio de performance de projeto ME1
Plano de Gerenciamento de risco de projeto PO9
Diretrizes de gerenciamento de projeto AI1, AI7
Planos de projeto de detalhados PO8, AI1, AI7 e DS6
Portflio de projeto de TI atualizado PO1 e PO5

Indicadores:
Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0):
Define medidas que informam aos gestores aps o fato que indicam se uma funo, processo ou atividade
alcanou suas metas. Indicadores de resultado das funes de TI so frequentemente expressas em termos
de critrios de informao relevantes, como:
Disponibilidade da informao necessria para suportar as necessidades de negcios.
Ausncia de riscos de integridade e confidencialidade.
Eficincia de custo de processos e operaes.
Confirmao de confiabilidade, eficcia, e conformidade.



Indicadores de Performance (Key Performance Indicators, KPI, no COBIT 4.0):
Indicadores de performance definem medidas que determinam quo bem negcios, funes de TI ou
processos esto atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poder ou no
ser alcanada. Com frequncia medem disponibilidades ou capacidades, prticas e/ou habilidades alm dos
resultados de atividades de sustentao.
Nota: Indicadores de resultado de baixo nvel tornam-se indicadores de performace de alto nvel.

Indicadores de Meta Chaves PO10
O COBIT define dois nveis de medidas de resultado: um para o departamento de TI (resultados de TI) e um
para o processo de TI (mtrica do resultado do processo).

PO10: Gerenciar Projetos
Indicadores de resultado de TI:
Porcentagem de projetos que atendem as expectativas dos acionistas em tempo, dentro do
oramento, e alcanando os requisitos determinados pela importncia
Indicador de Resultado de Processo:
Porcentagem de projetos a tempo e dentro do oramento
Porcentagem de projetos alcanando as expectativas dos acionistas

Indicadores de Performance PO10
Comentrio: Estas so medidas de resultados para as atividades e indicadores de desempenho do processo
PO10
% de projetos que seguem os padres e prticas de gerenciamento.
% de gerentes de projetos certificados ou treinados.
% de projetos recebendo revises ps-implementao.
% de acionistas (stakeholders) participando em projetos, o que representa um ndice de envolvimento.

Metas e Mtricas do PO10:




Nvel de Maturidade Descrio
O No Existente

Tcnicas de gerenciamento de projeto no so utilizadas e a organizao
no considera os impactos dos negcios associado com a falta de
gerenciamento de projeto e falhas de desenvolvimento de projeto.

1 Inicial

O uso das tcnicas e abordagens de gerenciamento de projeto dentro da TI
uma deciso tomada somente pelos gerentes de TI. H uma falta de
comprometimento gerencial com a responsabilidade e gerenciamento do
projeto. Decises crticas do gerenciamento do projeto so tomadas sem o
envolvimento de usurios ou necessidades de cliente. H pouco ou
nenhum envolvimento do cliente ou envolvimento do usurio na definio
dos projetos de TI. No h uma organizao clara dentro da TI para o
gerenciamento dos projetos. Papis e responsabilidades para o
gerenciamento dos projetos no so definidos. Projetos, cronogramas e
marcos so fracamente definidos, se definidos. As despesas e o tempo da
equipe do projeto no so revisados e comparados ao oramento.

2 Repetitvel

O Gerenciamento snior ganhou e comunicou uma conscincia da
necessidade do gerenciamento de projeto de TI. A organizao est no
processo de desenvolvimento e utilizao de algumas tcnicas e mtodos
de projeto para projeto. Os projetos de TI definiram informalmente os
objetivos tcnicos e de negcios. As diretrizes iniciais foram desenvolvidas
para muitos aspectos do gerenciamento de projeto. A aplicao das
diretrizes de gerenciamento de projeto foi deixada para discrio do
gerente de projeto individual.

3 Definido

O processo e metodologia do gerenciamento de projeto de TI foi
estabelecido e comunicado. Os projetos de TI so definidos com objetivos
tcnicos e de negcios apropriados. TI snior e gerenciamento de negcios
esto comeando a se comprometer e se envolver no gerenciamento de
projetos de TI. Um escritrio de gerenciamento de projeto estabelecido
dentro da TI, com papis e responsabilidades iniciais definidos. Os projetos
de TI so monitorados, com marcos, horrios e oramentos e medio de
performance. O treinamento de gerenciamento de projeto est disponvel e
primariamente um resultado das iniciativas individuais da equipe.
Procedimentos de segurana de qualidade e atividades ps-implementao
de sistema foram definidas mas no so totalmente aplicadas pelos
gerentes de TI. Os projetos esto comeando a ser gerenciados como
portflios.

4 Gerenciado

O gerenciamento requer mtricas de projeto formais e padronizadas e uma
reviso de lies aprendidas na concluso dos projetos. O gerenciamento
de projeto medido e avaliado atravs da organizao e no apenas
dentro da TI. Avanos no processo de gerenciamento de projeto so
formalizados e comunicados com membros da equipe do projeto treinados
em crescimentos. O gerenciamento de TI implementou uma estrutura de
organizao de projeto com papis documentados, responsabilidades, e
critrios de performance da equipe. Critrios para avaliar o sucesso em
cada misso que for estabelecida. Valor e risco so medidos e
gerenciados antes, durante e depois da concluso dos projetos. Os
projetos crescentemente endeream as metas da organizao, mais do que
apenas especficos para TI. O suporte de projeto forte e ativo para o
gerenciamento de patrocinadores sniores assim como acionistas. Um
treinamento relevante para gerenciamento de projetos planejado para
funcionrios no escritrio de gerenciamento de projeto e atravs da funo
de TI.

5 Otimizado Um projeto de ciclo de vida completo e aprovado e uma metodologia de


programa implementada, imposta, e integrada na cultura de toda a
organizao. Uma iniciativa contnua para identificar e institucionalizar as
melhores prticas de gerenciamento de projeto foi implementado. Uma
estratgia de TI para buscar desenvolvimento e projetos operacionais
definido e implementado. Um escritrio de gerenciamento de projeto
integrado responsvel por projetos e programas desde o princpio at a
ps-implementao. Um planejamento organizacional completo de
programas e projetos garante que o usurio e os recursos de TI so
melhores utilizados para dar suporte a iniciativas estratgicas.

Processo: DS2 - Gerenciar Servios de Terceiros

Descrio do Processo:

A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer
um processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente
definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e
monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de servios de
terceiros minimiza os riscos de negcio associados com fornecedores no conformes.

Controle sobre o processo de TI:
Gerenciar Servios de Terceiros

Que satisfaz os requisitos de negcio:
Fornecendo prestao satisfatria de servios de terceiros, com transparncia sobre os benefcios,
custos e riscos

focando nas
Estabelecendo relaes e responsabilidades bilaterais com os fornecedores de servios da terceiros
qualificados e acompanhamento da prestao de servios para verificar e assegurar a aderncia aos
acordos

alcanado pelas
Identificao e categorizao de fornecedores de servios
Identificao e mitigao de risco da prestao de servios por fornecedores
Monitorando e mensurando a performance dos fornecedores

medido por
Nmero de reclamaes de usurios de servios contratados
Porcentagem de maiores fornecedores que atendem requerimentos e nveis de servio claramente
definidos
Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano

rea de Governana, Recursos e Critrio de Informao (Requisitos de Negcio)

Mapeamento com as reas de Foco de Governana de TI:
Em Branco:
- Alinhamento Estratgico
Primrio:
- Agrega Valor e Gerenciamento de Riscos
Secundrio:
- Gerenciamento de Recursos e Medio de Performance

Mapeamento com os Recursos de TI
- Aplicaes, Informao, Infraestrutura e Pessoas

Mapeamento com os Critrios de Informao:
Primrio:
- Eficcia e Eficincia


Secundrio:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade

Objetivos de Controle Detalhados:

DS2.1 Identificao de todos os Relacionamentos com Fornecedores

Identificar todos os fornecedores de servio e categoriza estes de acordo com tipo de fornecimento,
significncia e criticidade. Manter uma documentao formal sobre relacionamentos tcnicos e
organizacionais, cobrindo os papis e responsabilidades, metas, entregveis esperados e credenciamento de
representantes destes fornecedores.

DS2.2 Gerenciamento de Relacionamento com Fornecedores

Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os
proprietrios dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a
qualidade dos relacionamentos baseados em confiana e transparncia (por .exemplo: atravs de SLAs).

DS2.3 Gerenciamento de Riscos dos Fornecedores

Identificar e mitigar riscos relacionados s habilidades dos fornecedores de continuar com a entrega de
servios efetivos, numa maneira seguro e eficiente, como tambm em base continuou. Assegura contratos
conforme padres universais de negcio e em concordncia com requerimentos legais e regulamentos. O
gerenciamento de risco deve considerar tambm Acordos de No Conformidade (ANCs), custdia contratual,
viabilidade de fornecimento continuou, conformidade com requerimentos de segurana, fornecedores
alternativos, penalidades e recompensas, etc.

DS2.4 Monitoramento de Desempenho de Fornecedores

Estabelea um processo para monitorar a entrega do servio para assegurar que o fornecedor atende os
requerimentos atuais de negcio e continuam aderente aos acordos contratuais e acordos de nveis de servio
e que o desempenho competitivo em relao de fornecedores alternativos e condies de mercado.

Entradas e Sadas:

Entradas:
PO1 - Estratgia de Sourcing de TI
PO8 - Padro de Aquisio
AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros
DS1 - SLAs, Reviso do relatrio de contrato
DS4 - Requisitos de Servios de Desastres, incluindo papis e responsabilidades

Sadas:
Relatrio de performance de processos - ME1
Catlogo de Fornecedores - AI5
Risco de Fornecedores - PO9



Matriz RACI: (Atividades e Funes)

Metas e Mtricas DS2




Nvel de Maturidade Descrio
O No Existente

Responsabilidades e obrigaes no esto definidas. No existem polticas
formais e procedimentos relativos ao contratar terceiros
Servios de terceiros no so aprovados nem revistos pela administrao. No
h atividades de medio e no informaes sobre terceiros. Ausncia de uma
obrigao contratual para a comunicao e a alta administrao no tem
conhecimento da qualidade dos servios prestado.

1 Inicial

Administrao est consciente da necessidade de ter polticas e procedimentos
documentados para a gesto de terceiros, incluindo os contratos assinados. No
existem clusulas de acordos com prestadores de servios. A medio dos servios
prestados informal e reativa. Prticas so dependentes da experincia dos
indivduos e do fornecedor.
2 Repetitvel

O processo para a superviso dos terceiros, prestadores de servio e riscos
associados prestao de servios informal. A assinatura, pr-forma do contrato
usado para vender termos e condies padro (por exemplo, a descrio dos
servios a serem prestados). Relatrios sobre os servios prestados esto
disponveis, mas no oferecem suporte a objetivos de negcio.

3 Definido

Procedimentos bem documentados esto disponveis para governar servios de
terceiros, com processos claros para habilitar a negociao com fornecedores.
Quando um acordo para a prestao de servios feito, a relao com o terceiro,
puramente contratual.
A natureza dos servios a serem prestados so detalhados no contrato e inclui
requisitos legais, operacionais e de controle. A responsabilidade pela fiscalizao
dos servios de terceiros atribudo. As clusulas contratuais so baseados em
modelos padronizados. O risco de negcio associadas ao servios de terceiros so
avaliados e comunicados.

4 Gerenciado

Critrios formais e normalizados so estabelecidos para definir as condies de
contratao, incluindo o mbito do trabalho, servios / produtos que devero ser
fornecidos, suposies, cronograma, custos, condies de pagamento e
responsabilidades. Responsabilidades em matria de contratos e gesto de
fornecedores so atribudos. Qualificaes dos vendedores, riscos e potencialidades
so verificados em uma base contnua. Requisitos do servio so definidos e
vinculados ao objetivos do negcio. Existe um processo para analisar o
desempenho do servio contra as clusulas contratuais, fornecendo atributos para
avaliar servios de atuais e futuros de terceiros. Modelos de preos de transferncia
so utilizados no processo de aquisio.
Todas as partes envolvidas esto conscientes do servio, custos e expectativas de
marco. Acordados metas e mtricas para a fiscalizao dos prestadores de servios
existentes.

5 Otimizado

Os contratos assinados com terceiros so revisados periodicamente em intervalos
pr-definidos. A responsabilidade pela gesto de fornecedores e da qualidade dos
servios prestados atribuda. Evidencia do cumprimento do contrato de
operacionais, legais e administrativas de controle monitorado, e ao corretiva
executada. O terceiro est sujeito a revises peridicas independentes, e feedback
sobre o desempenho fornecida e utilizada para melhorar a prestao de servios.
Medidas variam em resposta a mudanas nas condies de negcios. Medidas de
apoio a deteco preventiva de problemas potenciais com servios de terceiros.
Compreensivo, definidos relatrios de desempenho de nvel de servio est
relacionada com a compensao de terceiros. Gesto ajusta o processo de aquisio
de servios terceiros com base no monitoramento das mtricas.



Descrio dos Demais Processos:

PLANEJAR E ORGANIZAR

PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e
prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor
otimizado realizado atravs dos portflios dos projetos e servios. O plano estratgico deve aumentar a compreenso
dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel
de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portflios e executadas
atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo
negcio e da TI.

PO2 Definir a Arquitetura de Informao
A funo dos sistemas de informao deve criar e atualizar regularmente um modelo de informao de negcio e definir
os sistemas apropriados para otimizar o uso da informao. Isso inclua o desenvolvimento de um dicionrio coorporativo
de dados com as regras de sintaxe da organizao, esquema de classificao de dados e nveis de segurana. Este
processo melhora a qualidade de decises feitas pelas gerencias e assegura que informaes confiveis e seguras so
providas e isso habilita de racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias
de negcio. Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e segurana dos
dados e melhorar a efetividade e controle sobre o compartilhamento de informao atravs de aplicaes e entidades.

PO3 Determinar a Direo Tecnolgica
A funo dos servios de informao deve determinar a direo tecnolgica para suportar o negcio. Isso requer a
criao de um plano da infraestrutura tecnolgica e um comit de arquitetura que fixa e gerencia expectativas claras e
realsticas o que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deve ser
atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direo tecnolgica, planos de aquisio,
padres, estratgias de migrao e contingncia. Isso permite respostas rpidas a mudanas em um ambiente
competitivo, economia de escala em equipes e em investimentos de sistemas de informao, bem como melhor
interoperabilidade entre plataformas e aplicaes.

PO4 Definir Processos de TI, Organizao e Relacionamento
Uma organizao da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funes,
responsabilidade, autoridade, papeis e superviso. Esta organizao deve estar embutida dentro um framework de
processos da TI que asseguram transparncia e controle, como tambm envolvem os executivos snior e gerentes de
negcio. Um comit estratgico deve assegurar uma viso geral da TI e um ou mais comits de direo, em quais os
participantes do negcio e da TI devem determinar a priorizao dos recursos da TI em linha com as necessidades do
negcio. Processos, polticas e procedimentos administrativos necessitam de ser implementadas para todas as funes,
com ateno especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurana de informao,
propriedade para dados e sistemas e segregao de direitos. Para assegurar um suporte em tempo para os
requerimentos do negcio, a TI deve estar envolvida em processos relevantes de deciso.

PO5 Gerenciar o Investimento em TI
Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos,
benefcios, priorizao nos oramentos, um processo formal de oramentos e gerenciamento em relao dos oramentos.
Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefcios dentro do contexto dos planos
estratgicos e tticos da TI e iniciar aes corretivas quando necessrias. O processo deve favorecer os relacionamentos
entre a TI e stakeholders do negcio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparncia e
responsabilidade nos custos totais de propriedade, a relao do benefcio para o negcio e o retorno sobre investimentos
que habilitam a TI.

PO6 Comunicar Metas e Diretivas Gerenciais
A administrao deve desenvolver um framework de controle empresarial da TI e definir e comunicar polticas. Um
programa contnuo de comunicao deve ser implementado para articular a misso, objetivos de servio, polticas e


procedimentos, etc. aprovados e suportados pela administrao. A comunicao suporta o atingimento dos objetivos da TI
e assegura conscientizao e compreenso em relao do negcio e os riscos, objetivos e a direo da TI. O processo
deve assegurar a conformidade com leis e regulamentos.

PO7 Gerenciar Recursos Humanos
Adquire, mantm e motiva uma fora de trabalho competente para criar e entregar servios da TI para o negcio. Isso
atingido seguindo prticas definidas e acordadas que suportam o recrutamento, treinamento, avaliao do desempenho,
promoo e demisso. Este processo crtico, pois as pessoas so um ativo importante, e a governana e o ambiente
interno de controle dependem bastante da sua motivao e competncia.

PO8 Gerenciar Qualidade
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de
desenvolvimento e aquisio comprovado e padronizado. Isso habilitado atravs do planejamento, implementao e
manuteno do sistema de qualidade que provm requerimentos claros de qualidade, procedimentos e polticas.
Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificveis e atingveis.
Melhorias contnuas so atingidas atravs de um monitoramento operacional, analises e aes sobre desvios e a
comunicao dos resultados para os stakeholders. Gerenciamento da qualidade essencial para assegurar que a TI
entrega valor para o negcio, melhorias contnuas e transparncia para stakeholders.

PO9 Avaliar e Gerenciar Riscos
Criar e manter um framework de gerenciamento de riscos. O framework documenta um nvel de riscos da TI comum e
acordado, estratgias de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da
organizao, causada por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao
de riscos devem ser adotadas para minimizar riscos residuais ao um nvel aceitvel. O resultado da avaliao deve ser
compreensvel para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos
com um nvel aceitvel de tolerncia.

PO10 Gerenciar Projetos
Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este
framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano
mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as
entregveis, garantia de qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao
para assegurar o gerenciamento de risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos
no esperados e cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios finais,
assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam
investimentos em TI.

ADQUIRIR E IMPLEMENTAR

AI1 Identificar solues automatizadas
A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que
os requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definio das
necessidades, considerando fontes alternativas, reviso da viabilidade tecnolgica e econmica, execuo de anlise de
risco e anlise de custo / beneficio e a concluso de uma deciso final de fazer ou comprar. Todos estes passos
habilitam a organizao de minimizar os custos de adquirir e implementar solues, enquanto asseguram que estes
habilitam o negcio de atingir seus objetivos.

AI2 Adquirir e manter software aplicativo


Aplicaes devem estar disponveis em linha com os requerimentos de negcio. Este processo envolve o desenho de
aplicaes, a incluso apropriada de controles de aplicao e requerimentos de segurana e o atual desenvolvimento e
configurao conforme os padres. Isso permita as organizaes de suportar apropriadamente as operaes de negcio
com as corretas aplicaes automatizadas.

AI3 Adquirir e manter arquitetura tecnolgica
Organizaes devem haver um processo para a aquisio, implementao e atualizao da infraestrutura tecnolgica.
Isso requer uma abordagem planejada para a aquisio, manuteno e proteo da infraestrutura em linha com as
estratgias tecnolgicas acordadas e a proviso de ambientes de desenvolvimento e teste. Isso assegura que o suporte
tecnolgico operacional suporta as aplicaes de negcio.

AI4 Manter operao e uso
Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produo de documentao
e manuais para usurios e TI e prover treinamento que assegura o uso e a operao apropriado de aplicaes e
infraestrutura.

AI5 Obter Recursos de TI
Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos. Isso requer uma definio e
sano de procedimentos de aquisio, a seleo de fornecedores, a realizao de arranjos contratuais e a aquisio em
se. Fazer assim assegura que a organizao tem todos os recursos de TI requeridos em tempo e de maneira efetivo em
custo.

AI6 Gerenciar mudanas
Todas as mudanas, inclusive mudanas emergenciais e correes, relacionados infraestrutura e aplicaes dentro de
um ambiente de produo precisam ser gerenciados formalmente de uma maneira controlada. Mudanas (incluindo
procedimentos, processos, sistemas e parmetros de servios) precisam ser registradas, avaliados e autorizadas antes
de implementar e revisados em relao dos resultados planejados em seguida da implementao. Isso assegura a
mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

AI7 Instalar e certificar Solues e Mudanas
Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento completo. Isso requer testes
apropriados em um ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao,
planejamento de liberaes, promoo atual para a produo e revises ps-implementao. Isso assegura que sistemas
operacionais esto em linha com as expectativas e resultados acordados.



ENTREGAR E SUPORTAR

DS1 Definir nveis de Servios
Comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao dos servios requeridos, habilitado
atravs da documentao e o acordo de servios da TI e nveis de servios. Este processo tambm inclua o
monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos nveis de servios. Este processo
habilita o alinhamento entre os servios da TI o os requerimentos de negcio associados.

DS2 Gerenciar Servios de Terceiros
A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um
processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento destes acordos
para efetividade e conformidade. Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio
associados com fornecedores no conformes.

DS3 Gerenciar Performance e Capacidade
A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever
periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previso das futuras
necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingncia. Este processo provm
a garantia que os recursos da informtica, que suportam os requerimentos de negcio, so continuamente avaliados.

DS4 Garantir Continuidade dos Servios
A necessidade de prover servios contnuos de TI requer o desenvolvimento, manuteno e testes de planos de
continuidade da TI, armazenamento externo de backup e treinamento peridico para o plano de continuidade. Um
processo efetivo da continuidade de servio minimiza a probabilidade e o impacto de interrupes maiores de servio
sobre funes e processos de negcio.

DS5 Garantir Segurana dos Sistemas
A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento
de segurana. Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e
procedimentos da segurana de TI. Gerenciamento da segurana tambm inclui realizar monitoramento da segurana,
testes peridicos e implementar aes corretivas para identificar fraquezas ou incidentes de segurana. Um
gerenciamento efetivo de segurana proteja todos os ativos da TI para minimizar o impacto sobre o negcio das
vulnerabilidades e incidentes de segurana.

DS6 Identificar e Alocar Custos
A necessidade de um sistema justo e imparcial de alocar custos para o negcio requer a medio exata de custos da TI e
acordos com usurios de negcio para uma alocao correta. Este processo inclua a criao e operao de um sistema
de captura, alocao e reporte dos custos da TI para os usurios de servios. Um sistema de alocao justo permite
empresa tomar decises mais embasadas sobre o uso dos servios.

DS7 Educar e Treinar usurios
Educao efetiva de todos os usurios de sistemas de TI, incluindo estes dentro da TI, requer a identificao das
necessidades de treinamento de cada grupo de usurios. Em adio da identificao da necessidade, este processo
inclua a definio e execuo de uma estratgia para um treinamento efetivo e medio de resultados. Um programa
efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo de erros de usurios, aumenta a produtividade
e aumenta a conformidade com controles-chaves como as medidas de segurana de usurios.

DS8 Gerenciar Service Desk (Central de Servios) e Incidentes
Respostas em tempo e efetivos para as perguntas e problemas dos usurios da TI requerem uma central de servio bem
desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementao da
funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. O
benefcio para o negcio inclua um aumento de produtividade atravs da resoluo rpido das perguntas dos usurios.
Em adio, o negcio pode enderear causas razes (como um treinamento deficiente de usurios) atravs de um
relatrio efetivo.



DS9 Gerenciar a Configurao
Assegurar a integridade da configurao de hardware e software requer de estabelecer e manter um preciso e completo
repositrio da configurao. Este processo inclua a coleta inicial de informao da configurao, estabelecer referncias,
verificar e auditar a informao da configurao e atualizar o repositrio da configurao quando necessrio.
Gerenciamento efetivo da configurao facilita a disponibilidade maior do sistema, minimizar assuntos de produo e
resolver estes assuntos mais rpidos.

DS10 Gerenciar Problemas
Um gerenciamento efetivo de problemas requer a identificao e classificao de problemas, anlise da causa raiz e
resoluo de problemas. O processo do gerenciamento de problemas tambm inclua a identificao de recomendaes
para melhorar a manuteno de registros de problemas e revisar o status de aes corretivas. Um processo do
gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.

DS11 Gerenciar Dados
Gerenciamento efetivo de dados requer a identificao de requerimentos para dados. O processo de gerenciamento de
dados tambm inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao e
disponibilizar mdias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e
disponibilidade de dados do negcio.

DS12 Gerenciar os Ambientes Fsicos
A proteo para equipamentos de computao e pessoal requer instalaes bem desenhadas e bem gerenciadas. O
processo de gerenciar o ambiente fsico inclua de definir os requerimentos para um lugar fsico, seleo de instalaes
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico. O
gerenciamento eficaz do ambiente fsico reduz as interrupes nos negcios provocadas por danos causados a
equipamentos ou pessoas

DS13 Gerenciar Operaes
Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manuteno
de hardware. Este processo inclua a definio de polticas e procedimentos operacionais para um gerenciamento efetivo
da programao do processamento, proteo de output sensitivo, monitoramento da infraestrutura e manuteno
preventiva de hardware. Gerenciamento efetivo da operao ajuda de manter a integridade de dados e reduz atrasos no
negcio e custos da operao da TI.

MONITORAR E AVALIAR

ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do
gerenciamento do portflio empresarial e processos de programas gerenciais e estes processos que so especficos para
entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de
desempenho da companhia.

ME2 Monitorar e Avaliar Controle Interno
Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitorao bem
definido. Este processo inclui monitorao e reporte de excees de controle, resultados da auto-avaliao e
reviso de fornecedores (terceiros). Um benefcio principal do controle interno de monitorao fornecer
segurana relacionada eficincia e eficcia das operacionais e conformidade com leis e regulamentos.

ME3 Assegurar Conformidade Regulatria
Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para
garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, tica
profissional e padres, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento
das atividades de auditoria. O propsito deste processo fornecer uma garantia positiva relacionada
conformidade da TI com leis e regulamentos.



ME4 Fornecer Governana de TI
Estabelecer um framework efetivo de governana, incluindo a definio de estruturas organizacionais, processos,
liderana, papeis e responsabilidades para assegurar que os investimentos em TI empresarial so alinhados e entregas
de acordo com as estratgias e objetivos empresariais.

Cobit e Outros Padres

COBIT e Outros Padres:

O COBIT baseado em padres internacionais aceitos e regulamentos e cada vez mais reconhecido como o
framework de fato para a governana de TI.
O COBIT est focado no que necessrio para alcanar esta governana e controle em um alto nvel. Ele est
alinhado com outras melhores prticas e pode ser usado como o integrador de diferentes materiais guia,
como a ISO 17799 e a ITIL.

Como o COBIT se alinha com o COSO:
O COBIT est em conformidade com o COSO e conveniente como o framework de controle de TI para a
governana empresarial. O COSO ajuda a alcanar os seguintes objetivos:
Eficcia e eficincia de operaes
Confiabilidade de relatrios financeiros
Conformidade com leis e regras aplicveis
Alinhamento do COBIT com o COSO
Similar ao COBIT, o COSO define um controle interno como um processo que afetado pelo conselho da
diretoria, gerenciamento e outras pessoas de uma entidade.
Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e no especfico para
TI. O COBIT est alinhado com o COSO apenas em um alto nvel.
A definio do COBIT de requisitos fiducirios difere do COSO, pois o COBIT expande o escopo para incluir: Toda a
informao Financeira, no apenas a financeira.

Resumo:
Vamos destacar os padres e frameworks que se relacionam com o COBIT.
O COBIT est harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799 e CMM.
O COBIT est alinhado com o COSO.
O COBIT est posicionado centralmente, no nvel geral, ajudando a integrar prticas tcnicas e especficas
com maiores prticas de negcios.
Os processos de TI do COBIT tambm se relacionam com mltiplos componentes do COSO.
O COBIT pode ser usado para garantir conformidade com leis e regras.
Os processos e controles do COBIT podem ser remendados para alcanar regras especficas, como a Lei
Sarbanes-Oxley.



Guia de Validao (Assurance Guide)

O objetivo do Guia de Validao de TI :
Fornecer orientao em como usar o COBIT para suportar uma variedade de atividades validas de TI.
Permitir que os usurios possam se utilizar do COBIT quando planejarem e fizerem revises, de tal forma
que os negcios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns.
Prover e guiar no planejamento, definio de escopo e na execuo de revises, usando um roadmap
baseado em formas de validao aceitas,suportada por testes detalhados e baseados nos processos e
objetivos de controle do COBIT.



O roadmap do Guia de Validao consiste dos seguintes 3 estgios: Planejamento, Fazer Escopo e
Execuo:
Planejamento: Estabelecer o universo de validao de TI para designar o que ser validado o inicio de
toda iniciativa de validao.
Fazer escopo: o processo que inicia pela definio das metas de negcio e TI para o ambiente sob
reviso e pela identificao do conjunto de recursos e processos de TI (que o universo a ser validado)
requerido para suportar essas metas.
Execuo: O terceiro estgio do roadmap de validao o estgio de execuo. Nos prximos slides,
vamos examinar, em detalhes, o roadmap de execuo que descreve a forma como os profissionais
envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de
validao especfica.

Estgio Descrio
Refinar o Entendimento O 1. Estgio da fase de execuo refinar o entendimento do ambiente nos
quais os testes sero executados. Isto implica entender a organizao para
selecionar o escopo e objetivo corretos de validao. O escopo e objetivo da
validao precisa ser comunicado e aceito por todos os patrocinadores.
Refinar o Escopo

O 2. Estagio da fase de execuo refinar o escopo e determinar
selecionando uma amostra do universo a ser validado (ou seja, processo,
sistema ou aplicao) por um lado e o conjunto de controles a ser revisto por
outro lado para:
Analisar metas de negcios e TI
Selecionar processos e controles
Analisar os riscos inerentes se os objetivos de controle no forem
atingidos e a reviso dos testes necessrios para a validao
Finalizar o escopo

Concepo de Teste e
Controle

O 3. Estgio da fase de execuo a concepo de teste e controle:
Avalia a concepo dos controles.
Confirma que os controles esto instalados em operao
Estima a efetividade operacional dos controles.
O profissional de validao deve determinar quando:
o Existe controle de processo documentado
o Existe Evidncias de controle de processos
o Responsabilidade e cobrana clara e efetiva
o Controles de compensao existem, quando necessrio
Controle de Testes dos
Resultados

No 4. Estgio, para testar os resultados ou a efetividade dos controles, o
profissional em validao necessita identificar evidncias diretas e indiretas
dos controles na qualidade das sadas do processo. Isso implica na direta e
indireta evidenciao das contribuies mensurveis dos controles das
metas e dos processos de TI, registrando as Evidncias diretas e indiretas
dos resultados obtidos, como documentado no COBIT.



Documentar o Impacto

No 5. Estgio, quando fraquezas de controle so encontradas, elas deve ser
corretamente documentado baseada na severidade das fraquezas
observadas e no potencial impacto que possa haver nos negcios.
Testes so conduzidos organizadamente para prover validao (ou no) aos
gestores da realizao dos processos de negcios e objetivos de controle
relacionados.
Comunicar as Concluses

No 6. Estgio, o profissional de validao deve documentar e identificar
fraquezas de controle, ameaas e vulnerabilidades resultantes, alm de
identificar e documentar o impacto atual e potencial, por exemplo, atravs da
Anlise de causa raiz. Em adio, o profissional de validao pode prover
informaes comparativas, por exemplo, benchmarks, para estabelecer uma
estrutura de referncia em que os testes resultantes tenham sido avaliados

Recomendao Detalhada dos Testes

Deve ser fornecida orientao para a concepo dos controles de testes, controle dos testes dos resultados e
a documentao do impacto de todos os objetivos de controle e processos do COBIT. Os testes tambm
devem ser baseados nas prticas de controle de TI para estar alinhados com as recomendaes de
implementao do COBIT.

Resumo da Guia de Avaliao (Assurance Guide):
O roadmap de Diretrizes de Validao consiste dos 3 estgios seguintes:
o Planejamento
o Escopo
o Execuo
A fase de Execuo consiste dos seguintes seis estgios:
o Refinar o entendimento
o Refinar o escopo
o Concepo do controle de testes
o Controle de testes dos resultados
o Documentar o impacto
o Comunicar as concluses



Recursos do Cobit (Produtos):

O Cobit possui 4 produtos, que so disponibilizados pela ITGI, ajudam as organizaes a adotar, implementar
e gerenciar requisitos de governana de TI usando o COBIT.

- COBIT Online
- COBIT Quickstart
- IT Governance Implementation Guide: (Guia de Implementao de Governana de TI)

Primeiro Produto: COBIT Online
Apresenta o contedo do COBIT usando um sistema amigvel baseado na web.
Permite que os usurios olhem, busquem, dividam e acessem a base de conhecimento.
Suporta downloads no formato de textos ou formulrios, e permite comparaes

As vantagens do COBIT Online so:
Fornecer um repositrio com fcil acesso de todas as informaes relacionadas ao COBIT e permite o
feedback de usurios.
Ele permite que o ISACA/ITGI mantenha o contedo e implemente futuras verses gravando um feedback
filtrado, capturando o conhecimento de peritos, fornecendo atualizaes online frequentes, e capacitando
produo automtica de impresso. O COBIT Online uma fonte primria para informaes atualizadas
do COBIT.
Ele funciona como um local de encontro para anncios, fruns de discusso e downloads grtis.

Os componentes do COBIT Online so:
Navegao
Benchmarking
O recurso do benchmarking capacita que os usurios forneam entradas como o modelo de
maturidade de um processo, a importncia de um processo, a importncia de um objetivo de controle,
importncia de metas de processo e de TI, e prticas de controle, e depois comparar suas pontuaes
com as de outros usurios.
Os passos envolvidos em fazer o benchmarking de uma empresa so:
o Perfil: Fornecer informaes sobre o perfil da sua empresa.
o O que: Escolher o benchmark que voc pretende.
o Pontuao: destaque o tpico que escolheu no passo anterior para os processos que voc
selecionou com o filtro.
Feedback e pesquisas
Comunidade
Ajuda

Segundo Produto: O COBIT Quickstart
O COBIT Quickstart:
Permite a adoo dos elementos importantes do COBIT facilmente fornecendo uma verso resumida dos
recursos do COBIT.
Foca nos processos de TI, objetivos de controle e mtricas.
Fornece uma base de objetivos de controle para empresas de pequeno e mdio porte e pequenas
entidades de grandes empresas, onde a TI no estratgica ou crtica para o negcio.
Serve como ponto de partida para outras organizaes em seu movimento para um nvel apropriado de
controle e governana de TI.

COBIT Quickstart: Baseline:
Est disponvel como uma publicao.
Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Alm disso, pode
ser seguido por pessoas no tcnicas ou gerentes que querem princpios, no detalhes; e atua como um
ponto de entrada para o COBIT.
Pode ser utilizado para executar uma avaliao para priorizar os processos do COBIT, no incio de uma
implementao de COBIT ou projeto de governana de TI


Componentes do COBIT Quickstart:
Os componentes do COBIT Quickstart contm cerca de 20% dos objetivos de controle do COBIT e
componentes de gerenciamento. Cada um destes objetivos de controle est relacionado a um ou mais dos
objetivos de controle detalhados do COBIT.

Aplicao do COBIT Quickstart: pequenas e mdias empresas ou empresas onde no so necessrios
todos os processos do Framework COBIT.

Terceiro Produto: IT Governance Implementation Guide (Guia de Implementao de Governana de TI)

O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado e um conjunto de
ferramentas para implementar um ciclo de vida contnuo de governana de TI usando o COBIT.
O guia foca em uma metodologia genrica para as seguintes reas:
Porque a governana de TI importante e porque as organizaes deveriam implement-lo
Como o COBIT est ligado governana de TI e como o COBIT capacita a implementao de governana
de TI
Os acionistas que possuem um interesse em governana de TI
Um roadmap para implementar a governana de TI usando o COBIT

Abordagem do Guia de Implementao:
A abordagem do Guia de Implementao identifica a necessidade de criar e preservar valor de uma forma que
alinhe a formulao e execuo com os objetivos de negcios da organizao. A abordagem envolve a
execuo de anlise de gaps avaliando a posio atual e a desejada, levando identificao e iniciao do
projeto.

Conjunto de Ferramentas da Governana de TI:
O guia de implementao fornece:
Um roadmap detalhado para acionistas de governana de TI, que:
o Ajuda a organizao a implementar a governana de TI usando o COBIT.
o Garante que o foco esteja nas necessidades de negcios enquanto melhora o controle e a
governana de processos de TI.
o Prov um processo genrico que est dividido em diversas tarefas, variando entre a identificao
de necessidades iniciais para a implementao da soluo, incluindo a identificao dos
componentes do COBIT a serem nivelados.
Um conjunto de CDs contendo uma viso geral para dar suporte ao roadmap. Contm templates (modelos)
, apresentaes, documentos teis, e ferramentas de avaliao.

O Quarto Produto: O COBIT Security Baseline:

O COBIT Security Baseline:
Fornece kits de sobrevivncia de segurana de informao em uma linguagem simples para qualquer
organizao ou pessoa que precise entender como implementar o framework do COBIT. Kits de
sobrevivncia de segurana esto disponveis para todos os nveis de pessoas como usurios domsticos,
profissionais, executivos e gerentes.
Fornece um guia de segurana no tcnico e um Quickstart para objetivos de segurana.
Possui uma referencia cruzada ao ISO 17799.

Resumo Produtos:
Os recursos do COBIT a seguir esto disponveis para dar suporte s implementaes do COBIT:
COBIT Online
COBIT Quickstart
IT Governance Implementation Guide Using COBIT e Val IT
COBIT Security Baseline



Notas sobre a traduo:

Accountability - Foi traduzido para cobrana, mas Prestao de Conta seria a melhor traduo.

Agregao de Valor - Tambm pode ser traduzido (melhor) para Entrega de Valor

Assurance Guide - foi traduzido para Guia de Avaliao

Compliance - Conformidade com leis, regulamentos e contratos,

Governana Corporativa - Foi traduzido para Governana Empresarial:

IT Governance Implementation Guide No foi traduzido (Guia de Implementao de Governana de TI)

Requisitos fiducirios = Tambm so conhecidos como requisitos de conformidade com leis e regulamentos

Stakeholder - foi traduzido para acionistas

Referncias:

- Manual do Cobit Foundation 4.1 (em portugus)
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274
ITGI/ISACA

- Cobit Security Baseline - 2a. edio
An Information Security - Survival Kit
ITGI/ISACA

- IT Assurance Guide
Using Cobit
ITGI/ISACA

- IT Governance Implementation Guide - 2a. edio
Using Cobit and Val IT
ITGI/ISACA

www.isaca.org

Colaborao:
- Reviso ortogrfica e tcnica: Otavio Pereira

Realizao:

by @rildosan

Guiadeestudoparaexamedecertificacaodocobit4 1v6 100316124919 Phpapp01

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guiadeestudoparaexamedecertificacaodocobit4 1v6 100316124919 Phpapp01

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Estudo para Exame de Certificao do Cobit Foundation

Pg: 1/38 Reviso 7.0

Você também pode gostar