Você está na página 1de 136

Fundamentos de CobiT

Fundao Bradesco

Transcrio do curso de Fundamentos de COBIT da Fundao Bradesco, com


52 horas.
Produzi essa transcrio para poder estudar melhor offline, em meu tempo
livre longe do PC ou do notebook. Mas note que no uma transcrio
literal. Pode haver contedos que no estavam no texto original, explicaes
coletadas em outros sites, grifos e algumas observaes minhas.
Faa o curso, ele gratuito:
http://www.ev.org.br/
Use este texto como material de apoio.

Transcrito por:
Carlos Mendes "Martini"
E-mail: carlos@mendesmartini.com
Website/blog: http://mendesmartini.com/

SUMRIO
Sumrio ............................................................................................................. 3
Introduo ....................................................................................................... 11
Empresas e TI .............................................................................................. 11
A complexidade da TI ...................................................................................... 13
Conceito de Risco ........................................................................................ 13
Gesto do Risco........................................................................................... 14
A Falta de Gesto de Riscos ........................................................................ 15
A Atuao dos CIOs ..................................................................................... 15
Gerenciando os Riscos ................................................................................ 16
Gesto de Riscos ......................................................................................... 16
Introduo ao CobiT ........................................................................................ 18
Modelo ........................................................................................................ 19
Prticas do COBIT ........................................................................................ 20
Descrio do COBIT ..................................................................................... 20
O Framework COBIT .................................................................................... 22
Gesto do Risco em TI ................................................................................. 23
Caractersticas do COBIT ............................................................................. 24
Foco do COBIT ............................................................................................. 25
Objetivos do COBIT ..................................................................................... 25
Histrico do COBIT ...................................................................................... 26
Estrutura Atual do COBIT ............................................................................ 26
Desempenho e Progresso ........................................................................... 27
Vantagens do COBIT.................................................................................... 27
O Pblico do COBIT ..................................................................................... 28
3

Evoluo do COBIT ...................................................................................... 29


Estrutura do COBIT...................................................................................... 29
Caractersticas do Framework .................................................................... 30
Componentes do COBIT .............................................................................. 31
Critrios da Informao .............................................................................. 31
Recursos de TI ............................................................................................. 32
Processos de TI............................................................................................ 33
O Cubo do COBIT......................................................................................... 33
As Metas do COBIT...................................................................................... 34
Monitoramento e Performance .................................................................. 35
Diretrizes de Gerenciamento ...................................................................... 35
Modelos de Maturidade ............................................................................. 38
Diretrizes de Auditoria ................................................................................ 40
Diretrizes de Gerenciamento ...................................................................... 41
Pontos Fracos .............................................................................................. 42
Excelncia em TI .......................................................................................... 42
Requisitos para a Auditoria de Processos de TI .......................................... 43
Processos e Plataformas ............................................................................. 43
Estrutura do Processo de Auditoria ............................................................ 44
Processo de TI ............................................................................................. 44
Compreenso dos Riscos dos Processos ..................................................... 45
Avaliao dos controles sobre os processos ............................................... 45
Avaliao da conformidade dos processos ................................................. 46
Apontando Riscos ....................................................................................... 46
Prticas de Controle .................................................................................... 47
Tratamento dos riscos................................................................................. 47

Mitigao de Riscos..................................................................................... 48
Transferncia de riscos ............................................................................... 48
Evitar riscos ................................................................................................. 48
Aceitao de riscos...................................................................................... 48
Modelo RACI ............................................................................................... 49
Matriz de responsabilidades do RACI ......................................................... 49
Definir os Processos de TI, a Organizao e Relacionamentos ................... 50
COBIT e Outros Padres .............................................................................. 50
Framework de Controle .............................................................................. 51
Domnios e Objetivos de Controle do CobiT ................................................... 52
Domnios do CobiT ...................................................................................... 52
Objetivos de Controle do CobiT .................................................................. 52
Planejar e Organizar .................................................................................... 53
Adquirir e Implementar .............................................................................. 53
Entregar e Suportar..................................................................................... 54
Monitoramento e Avaliao ....................................................................... 54
Processos de Controle................................................................................. 55
Framework de Controle .............................................................................. 55
Processos do CobiT ..................................................................................... 56
Objetivos de Controle Genricos ................................................................ 56
PC1 Objetivos e Metas do Processo ..................................................... 57
PC2 Proprietrio do Processo .............................................................. 57
PC3 Repetio do Processo .................................................................. 57
PC4 Papis e Responsabilidades .......................................................... 57
PC5 Poltica, Planos e Procedimentos .................................................. 58
PC6 Melhoria da Performance do Processo......................................... 58

Objetivos SMARRT ...................................................................................... 58


[S]pecif: Especfico .................................................................................. 59
[M]easurable: Mensurvel ...................................................................... 59
[A]ttainable ou Achievable: Alcanvel .................................................. 60
[R]ealistic: Realista .................................................................................. 60
[T]imely ou Time-bounded: em tempo ................................................... 61
Controles de Aplicao ............................................................................... 61
Funes dos Controles de Aplicao........................................................... 62
AC1 Autorizao e Preparao da Fonte de Dados.............................. 62
AC2 Coleo de Fonte de Dados e Alimentao .................................. 62
AC3 Verificao de Preciso, Completude e Autencidade ................... 63
AC4 Processamento com Integridade e Validade ................................ 63
AC5 Reviso de Sadas, Reconciliao e Tratamento de Erros............. 63
AC6 Integridade e Autenticao de Transaes .................................. 63
Planejar e Organizar ........................................................................................ 64
Descrio do Processo ................................................................................ 64
Domnio planejar e organizar (PO).............................................................. 65
PO1 Definir um Plano Estratgico de TI ............................................... 65
PO2 Definir a Arquitetura da Informao ............................................ 66
PO3 Determinar a Direo Tecnolgica ............................................... 68
PO4 Determinar os Processos de TI, sua Organizao e
Relacionamentos..................................................................................... 69
PO5 Gerenciar os Investimentos em TI ................................................ 70
PO6 Comunicar Metas Gerenciais e Direcionamento .......................... 71
PO7 Gerenciar Recursos Humanos de TI.............................................. 73
PO8 Gerenciar Qualidade..................................................................... 74
PO9 Avaliar e Gerenciar Riscos de TI.................................................... 75
6

PO10 Gerenciar Projetos ...................................................................... 76


Adquirir e Implementar .................................................................................. 78
Descrio do Processo ................................................................................ 78
Adquirir e implementar (AI) ........................................................................ 79
AI1 Identificar Solues Automatizadas............................................... 79
AI2 Adquirir e Manter Software Aplicativo .......................................... 80
AI3 Adquirir e Manter Infraestrutura Tecnolgica............................... 81
AI4 Habilitar Operao e Uso ............................................................... 82
AI5 Obteno de Recursos de TI .......................................................... 83
AI6 Gerenciar Mudanas ...................................................................... 84
AI7 Instalar e Validar Solues e Mudanas ........................................ 85
Entregar e Suportar......................................................................................... 87
Descrio do Processo ................................................................................ 87
Entregar e suportar (DS) ............................................................................. 88
DS1 Definir e Gerenciar Nveis de Servio............................................ 88
DS2 Gerenciar Servios de Terceiros.................................................... 89
DS3 Gerenciar Performance e Capacidade .......................................... 90
DS4 Garantir a Continuidade dos Servios ........................................... 91
DS5 Garantir a Segurana dos Sistemas............................................... 92
DS6 Identificar e Alocar Custos ............................................................ 94
DS7 Educar e Treinar Usurios ............................................................. 95
DS8 Gerenciar Central de Servios e Incidentes .................................. 96
DS9 Gerenciar a Configurao ............................................................. 97
DS10 Gerenciar Problemas .................................................................. 97
DS11 Gerenciar Dados.......................................................................... 98
DS12 Gerenciar os Ambientes Fsicos .................................................. 99

DS13 Gerenciar Operaes ................................................................ 100


Monitorar e Avaliar ....................................................................................... 102
Descrio do Processo .............................................................................. 102
Monitorar e Avaliar (ME) .......................................................................... 103
ME1 Monitorar e Avaliar a Performance da TI .................................. 103
ME2 Monitorar e Avaliar Controles Internos ..................................... 104
ME3 Assegurar Aderncia com Requisitos Externos.......................... 105
ME4 Prover Governana de TI ........................................................... 106
Famlia de Produtos do CobiT ....................................................................... 108
COBIT Online ............................................................................................. 108
COBIT Quickstart ....................................................................................... 109
Guia de Implementao de Governana de TI.......................................... 109
COBIT Security Baseline ............................................................................ 110
Val IT.......................................................................................................... 110
Exame de Certificao ................................................................................... 111
Situao do mercado atual (2008 a 2012) ................................................ 111
COBIT Foundations.................................................................................... 112
Fatores Crticos de Sucesso ....................................................................... 112
Resumo ......................................................................................................... 114
Resumo dos principais tpicos do curso ................................................... 114
Governana de TI ...................................................................................... 114
Objetivo da Governana de TI................................................................... 114
Conceitos Bsicos do CobiT....................................................................... 115
Componentes do COBIT (cubo do COBIT) ................................................. 115
Processos de TI ...................................................................................... 115
Recursos de TI ....................................................................................... 116

Critrios de informao / Requisitos de negcio .................................. 116


Indicadores................................................................................................ 116
Outcome Measures (Indicadores de Resultado)................................... 116
Performance Indicators (Indicadores de Performance)........................ 116
RACI e Maturidade .................................................................................... 117
Matriz RACI ........................................................................................... 117
Modelos de Maturidade ....................................................................... 117
Informaes .............................................................................................. 117
Diretrizes de auditoria .......................................................................... 117
Prticas de Controle .............................................................................. 118
Produtos do COBIT ................................................................................ 118
Dica Importante .................................................................................... 118
A equao da TI ..................................................................................... 118
Encerramento ........................................................................................... 119
Glossrio........................................................................................................ 120
Balanced Scorecard ................................................................................... 120
COSO ......................................................................................................... 120
Eficincia ................................................................................................... 121
Eficcia ...................................................................................................... 121
ISO 20000 .................................................................................................. 121
ISO 27001 .................................................................................................. 122
Anexo 1 ......................................................................................................... 123
Matriz RACI ............................................................................................... 123
Anexo 2 ......................................................................................................... 124
Lei Sarbanes-Oxley .................................................................................... 124
Requisitos da Lei ....................................................................................... 125

Seo 404 .................................................................................................. 125


Anexo 3 ......................................................................................................... 126
Teste Simulado .......................................................................................... 126
Gabarito .................................................................................................... 136

10

INTRODUO
Este mdulo tem como objetivo trazer a voc uma viso geral sobre toda a
estrutura, conceitos, modelos de trabalho, reas de aplicao, vantagens e
desvantagens do COBIT. Dominar os conceitos aqui apresentados dar a voc
total condio de prestar o exame de certificao COBIT Foundations.

Empresas e TI
Atualmente as empresas, de um modo geral, esto com seus processos
internos cada vez mais dependentes de recursos de Tecnologia da
Informao (TI), o que implica em uma necessidade cada vez maior de fazer
uma gesto sobre os riscos em TI para no comprometer a continuidade do
negcio.
Alm disso, e possvel observar que em empresas de pequeno, mdio ou
grande porte, nacionais ou multinacionais, a dependncia da TI to
significativa a ponto de se tornar praticamente invivel pensar na operao
do negcio sem considerar os recursos tecnolgicos envolvidos.
H casos, nos mais diversos segmentos de mercado, onde a TI integra-se
totalmente ao negcio a ponto de que isso se torne um diferencial
competitivo no mercado e assegura o futuro da empresa.
O segmento bancrio um excelente exemplo onde a tecnologia se tornou
vital para o negcio da empresa.
Partindo desta anlise fica evidente que a gesto sobre os riscos de TI
fundamental para assegurar a continuidade dos negcios.
Assim, a proposta deste mdulo apresentar a voc como a estrutura do
CobiT permite aplicar as melhores prticas de mercado para a Gesto de
Riscos de TI e como possvel, por meio desta iniciativa, alcanar no s a
11

excelncia operacional, mas tambm estabelecer um modelo de governana


que mantenha a rea de TI integrada aos objetivos de negcio e oferea a
empresa condies adequadas para alcanar seus objetivos estratgicos.
importante ter em mente que possvel integrar os principais modelos de
mercado para gerenciar adequadamente os riscos de TI em um cenrio cada
vez mais complexo e competitivo, e onde o tempo de resposta da TI em
relao s necessidades do negcio faz a diferena entre permanecer no
mercado ou perder espao para a concorrncia.

12

A COMPLEXIDADE DA TI

Conceito de Risco

Segundo o dicionrio Houaiss, risco :


"A probabilidade de insucesso, de malogro de determinada coisa, em funo
de acontecimento eventual, incerto, cuja ocorrncia no depende
exclusivamente da vontade dos interessados."
Trazendo este conceito a realidade de mercado, do ponto de vista de Gesto
Empresarial, necessrio considerar, no mnimo, risco de mercado, de
crdito, legal e operacional, sendo que podemos definir o clculo do risco
como a tentativa de se medir o grau de incerteza na obteno do retorno
esperado em uma determinada aplicao financeira ou investimento
realizado.

13

Gesto do Risco
Todos estes conceitos so tratados no Mdulo I Fundamentos em
Governana de TI desta Unidade de Estudo. No entanto, antes de comear a
tratar o framework do COBIT e como ele oferece uma base para a Gesto de
Riscos em TI, vamos conhecer um caso real sobre os benefcios ou
necessidades de se fazer uma Gesto de Riscos para o negcio da empresa.
Um exemplo deste cenrio pode ser observado na prpria Organizao
Bradesco. Est definido em seu portal que:
Considerar o gerenciamento de riscos essencial em todas as suas
atividades, utilizando-o com o objetivo de adicionar valor ao seu
negcio, na medida em que proporciona suporte s reas comerciais no
planejamento de suas atividades, maximizando a utilizao de recursos
prprios e de terceiros, em benefcio dos acionistas e da sociedade.
Dentro da Organizao Bradesco considera-se, ainda, que:
A atividade de gerenciamento de riscos altamente relevante em
virtude da crescente complexidade dos servios e produtos ofertados
pela Organizao e tambm em funo da globalizao de seus
negcios.
Por esse motivo, a Organizao aprimora continuadamente suas
atividades relacionadas ao gerenciamento de riscos, atividades estas
devidamente alinhadas com as regulamentaes aplicveis, aderentes
s recomendaes e melhores prticas utilizadas internacionalmente e
adaptadas nossa realidade.
A Organizao Bradesco no o nico exemplo, na realidade, empresas
de todos os segmentos, no mundo inteiro, esto presenciando um
desenvolvimento significativo da tecnologia em relao aos negcios.

14

A Organizao realiza considerveis investimentos nas aes


relacionadas aos processos de gerenciamento de riscos especialmente
na capacitao do quadro de funcionrios, com o objetivo de elevar a
qualidade da execuo e de garantir o necessrio foco, intrnsecos a
estas atividades, que produzem forte valor agregado.
Fonte: BANCO BRADESCO, Gerenciamento de Risco e Compliance.
(Acesso em 22 ago. 2009). Disponvel em: Bradescori

A Falta de Gesto de Riscos


A TI deixou de lado o papel de dar suporte ao negcio e, principalmente na
rea financeira, se tornou a estratgia do prprio negcio. O nvel de
dependncia de tecnologia para o mercado financeiro algo muito difcil de
ser mensurado, no entanto, se entendermos que a TI um conjunto
estrutural na qual a empresa depende para realizar suas atividades, o nvel
de dependncia 100%.
Este quadro deixa evidente a necessidade das empresas em estabelecer e
implementar mecanismos de controle, no s no que diz respeito Gesto
de Riscos, como tambm pelo fato de que estas esto sujeitas a legislao e
regulamentao existente para o mercado nacional ou internacional, e
exatamente respondendo a este tipo de necessidade que o CobiT pode ser
aplicado.

A Atuao dos CIOs


Os CIOs de hoje precisam assegurar alinhamento dos servios de TI com as
necessidades atuais e futuras da empresa. Os investimentos em TI devem ser
direcionados de modo a possibilitar que a empresa alcance os resultados
desejados, onde a prontido tecnolgica torna-se fundamental para a
empresa vencer os desafios de curto, mdio e longo prazo.

15

Por outro lado, por no haver maturidade nas empresas em relao a


necessidade de se adotar prticas de Governana de TI, inmeras tecnologias
foram incorporadas aos negcios em resposta imediata necessidades da
empresa e aumentaram a complexidade dos ambientes de TI. Aliado a este
fator tambm existe a questo de crescimento ou expanso das empresas,
levando inclusive a ampliar suas instalaes no s dentro do pas, como
tambm no exterior.

Gerenciando os Riscos
A TI est incorporada pelo negcio de tal maneira que agora, caso os servios
de TI sejam interrompidos por qualquer que seja o motivo, as operaes da
empresa so impactadas de uma maneira a trazer impactos financeiros nos
resultados.
Outro desafio que os CIOs esto enfrentando atualmente a necessidade de
reduzir custos e gerenciar riscos de modo que eventuais falhas na
infraestrutura de TI no tenham impacto para o negcio.
A dependncia cada vez maior do negcio em relao aos servios de TI
gerou grandes investimentos em projetos e processos, de modo que o CIO
recebe forte presso do CEO e do conselho de administrao para minimizar
custos operacionais por meio de uma melhor gesto nos projetos, alm de
gerenciar adequadamente os riscos relacionados a mudanas na
infraestrutura de TI.

Gesto de Riscos
Neste mdulo voc aprendeu que as melhores prticas descritas na ITIL so
to relevantes que se tornaram um padro de fato no mercado de TI.
Seus conceitos so aplicados aos nveis operacional e ttico e permitem que a
rea de TI estruture o ciclo de vida de seus servios como um todo, de modo
a alcanar excelncia operacional.
16

J o framework do CobiT focado no nvel estratgico e, por se tratar de um


framework de controle, possibilita que a TI tenha seu desempenho
mensurado e seus riscos devidamente apontados e tratados.
Sendo assim, estudaremos toda a estrutura do CobiT nos mdulos seguintes.

17

INTRODUO AO COBIT
COBIT Control Objectives for Information and Related Technology
Objetivos de Controle para Informaes e Tecnologias Relacionadas
Explicando:
Objetivos de Controle para as Informaes (da organizao) e
Tecnologias Relacionadas ( informao, ou seja, os ativos
informacionais da organizao)
O COBIT, atualmente na verso 4.1, um framework de controle que se
tornou mundialmente aceito nas empresas em funo dos benefcios que
proporciona.
Diferente do framework do COSO, que um modelo de controle genrico, O
COBIT focado unicamente em TI e sua estrutura oferece uma base slida
para se estabelecer um modelo de Governana de TI.
A misso apresentada no COBIT 4.1 (2007, p.13) :
"Pesquisar, desenvolver, publicar e promover um conjunto de
objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de gerentes
de negcio e auditores."
Ao estudar o framework do COBIT com maior profundidade possvel
identificar que ele especifica os objetivos de controle, mas no detalha como
os processos podem ser definidos.
O COBIT no um padro, no uma norma como as ISO 20.000, ISO 17.799
ou ISO 9.001, e ele tambm no serve como guia para maximizar os
benefcios da TI.

18

Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforos e recursos


da TI para atender aos requisitos do negcio. A adoo do COBIT no tem
como meta controlar todos os processos, mas apenas identificar quais
processos da TI esto impactando, ou gerando riscos para o negcio, de
modo a priorizar o gerenciamento destes processos.
O framework de controle do COBIT segue a premissa que no possvel
gerenciar aquilo que no se mede. Desta forma ele prope uma srie de
objetivos de controle e seus respectivos indicadores de desempenho.

Modelo
O modelo tambm considera que a TI precisa entregar a informao que a
empresa precisa para alcanar os seus objetivos de negcio.
Alm disso, possvel identificar tambm que o COBIT compatvel com
outros padres de mercado, pois ele se posiciona em um nvel genrico,
abrangendo vrios processos de TI, definindo os objetivos de cada um e
como devem ser controlados. No entanto, o COBIT no foca em como cada
processo deve ser implementado, sendo exatamente este o motivo que o
leva a ser compatvel ou complementar a outros modelos existentes.
O framework do COBIT foi criado tendo como principais caractersticas o foco
no negcio, a orientao a processos, ser baseado em controles e
direcionado por mtricas.
Adotar COBIT ajuda uma empresa a implementar boas prticas em
governana de TI, pois ele oferece um guia de melhores prticas e
direcionamento.
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades
em uma estrutura gerencivel e lgica.

19

O modelo tambm considera que a TI precisa entregar a informao que a


empresa precisa para alcanar os seus objetivos de negcio.

Prticas do COBIT
As boas prticas do COBIT representam um consenso entre especialistas no
que diz respeito a Governana de TI, pois seu framework extremamente
focado no controle e pouco focado na execuo.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a
entrega do servio e fornecendo uma mensurao que possibilita identificar a
performance de cada objetivo de controle e, como consequncia, tomar
aes gerenciais para mitigar riscos e atingir os resultados desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm
totalmente independente do tipo de negcio e do valor e participao que
a tecnologia da informao tem na cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao
de controles e maturidade de processos de TI e, por esta razo, tem sido
adotado em diversos projetos de governana de TI

Descrio do COBIT
H alguns anos, o mercado de TI tinha uma tendncia de buscar alinhamento
ao negcio. Dentro deste contexto, a TI tinha foco ttico e operacional e
normalmente era tratada como um centro de custo. Seu papel era dar
suporte a estratgia de negcio e precisava ser gil.
Porm, o mercado atual mostra que agilidade e alinhamento so
importantes, mas no so suficientes. A TI precisa ser um meio de ativao
para a empresa, ela passa a ser parte da estratgia de negcios, funciona
totalmente orientada a servios de modo que a rea de TI acabe alavancando
vantagem competitiva.
20

O Mdulo I deste curso mostra que para negociar papis na Bolsa de Nova
Yorque (NYSE) as empresas precisam se adequar as exigncias da Lei
Sarbanes-Oxley / SOX (Anexo 2). Esta, por sua vez, determina a criao do
Public Company Accounting Oversight Board (PCAOB), ou seja, um Conselho
de Auditores de Companhias Abertas.
Esse conselho de auditores (o PCAOB) tem como misso estabelecer as
normas de auditoria, controle de qualidade, tica e independncia em
relao aos processos de inspeo e a emisso dos relatrios de auditoria.
O PCAOB recomenda que as empresas utilizem um framework adequado, e
reconhecido no mercado, para avaliar seus controles internos, e cita
especificamente o framework do COSO.
No que diz respeito governana de TI, o COBIT framework de controle
para processos de TI que melhor atende as exigncias do COSO.
O framework do COBIT, por sua vez, est situado em um nvel mais
estratgico e sugere o uso de outros frameworks que podem ser vistos como
complementares e necessrios para que se estabelea um modelo de
governana de TI.

Inmeros modelos, referncias e guias de melhores prticas


podem ser adotados para estabelecer um modelo de
governana de TI para as organizaes.

21

As caractersticas do COBIT o deixam posicionado em um nvel mais


estratgico quando comparado a outros frameworks, normas ou padres que
se complementam, a figura acima ilustra o posicionamento e os pontos de
integrao do COBIT em relao a outros modelos.
Cabe aos executivos avaliar qual o melhor modelo para atender as
necessidades de negcio de suas empresas, mas evidente que a
regulamentao externa (SOX/Basilia II) direciona fortemente a adoo do
COBIT em suas prticas de governana de TI.
Um fator extremamente significativo o que o COBIT, por ser um framework
de controle de alto nvel, aponta o que deve ser controlado, mas no diz
como fazer. Ele se encaixa perfeitamente com as melhores prticas para
gesto de servios de TI descritas na IT Infrastructure Library (ITIL), que tem
foco mais ttico e operacional em relao aos processos internos de TI.

O Framework COBIT
Os frameworks do COBIT e do ITIL se complementam e cobrem grande
parte dos aspectos da organizao da TI, de modo que quando as prticas
estabelecidas em cada modelo so adotadas pelas organizaes de TI, em
seus processos internos, o risco operacional de TI reduzido de maneira
significativa.
vlido aproveitar este momento e destacar que para tratar da Gesto de
Riscos em TI na sua totalidade, necessrio tambm tratar os riscos em
projetos de TI.
O foco deste estudo para o Gerenciamento de Projetos de TI so as prticas
descritas no Project Management Body of Knowledge (PMBOK) publicado e
mantido pelo Project Management Institute (PMI).

22

Gesto do Risco em TI
Voc poder aprender sobre a Gesto de Risco em projetos de TI em um
curso de Gesto de Projetos que siga o PMBOK. Por hora, basta considerar
que no basta fazer gesto de riscos somente na operao do negcio ou na
operao da TI.
Na sequncia sero apresentadas as verticais que devem ser gerenciadas
para a integrao entre TI e o negcio, bem como quais modelos de mercado
cujas prticas podem ser aplicadas em cada vertical.
Chegar a uma combinao relevante e importante de elementos permitir
estabelecer uma possvel estrutura para as prticas de governana de TI,
relacionando os frameworks, normas tcnicas e guias de melhores prticas,
dentre outros, nas diversas frentes existentes entre o negcio e a operao
da TI.
Tudo isso visa fazer com que a TI se torne um parceiro estratgico para que
as empresas possam alcanar seus objetivos de negcio.
A Tecnologia da Informao relativamente nova se comparada a
Engenharia, Arquitetura, Medicina ou Advocacia, no entanto, o conjunto de
melhores prticas que ser apresentado a seguir vem passando por um ciclo
de melhoria contnua cujos resultados positivos vem sendo comprovados
pelo marcado h pelo menos 10 anos.

23

Caractersticas do COBIT
Como dito anteriormente, o framework de controle do COBIT parte da
premissa que no possvel gerenciar aquilo que no se mede. Desta forma
ele prope uma srie de objetivos de controle e seus respectivos indicadores
de desempenho.
O modelo tambm considera que a TI precisa entregar a informao que a
empresa precisa para alcanar os seus objetivos de negcio.
Alm disso, o COBIT compatvel com outros padres de mercado, pois ele
se posiciona em um nvel genrico, abrangendo vrios processos de TI,
definindo os objetivos de cada um dos processos e como devem ser
controlados.
O COBIT no foca em como cada processo deve ser implementado, sendo
exatamente este o motivo que o leva a ser compatvel ou complementar a
outros modelos existentes.

24

O framework do COBIT foi criado tendo como principais caractersticas:

O foco no negcio
A orientao a processos
Ser baseado em controles
Ser direcionado por mtricas

Foco do COBIT
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades
em uma estrutura gerencivel e lgica.
As boas prticas do COBIT representam um consenso entre especialistas, pois
seu framework extremamente focado no controle. Estas prticas ajudam a
otimizar os investimentos em TI, assegurando a entrega do servio e
fornecendo uma mensurao que possibilita identificar a performance de
cada objetivo de controle e tomar aes gerenciais para mitigar riscos e
atingir os resultados desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm
totalmente independente do tipo de negcio e do valor e participao que
a tecnologia da informao tem na cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao
de controles e maturidade de processos de TI e, por esta razo, tem sido
adotado em diversos projetos de governana de TI.

Objetivos do COBIT
O COBIT tem como objetivos:

Ser um padro aceito nas melhores prticas de governana de TI.


Aplicar as melhores prticas a partir de uma matriz de domnios,
processos e atividades estruturados de forma lgica e gerencivel.
25

Auxiliar na associao entre:


Os riscos no negcio
As necessidades de controle
Aspectos tecnolgicos

Histrico do COBIT
O COBIT teve sua primeira publicao realizada em 1996 com foco no
controle e anlise dos sistemas de informao. Sua segunda edio, em 1998,
ampliou a base de recursos adicionando o guia prtico de implementao e
execuo. A edio atual (4.1) j sob a coordenao do IT Governance
Institute (ITGI), introduz as recomendaes de gerenciamento de ambientes
de TI dentro de um modelo de maturidade de governana.
O COBIT foi desenvolvido inicialmente pela fundao do Information Systems
Audit and Control Association (ISACA), que uma instituio fundada em
1967, e atualmente mantido pelo ITGI, cuja fundao ocorreu em 1998.
Para maiores informaes sobre o ISACA e o ITGI, visite os sites: Isaca, Itgi.

Estrutura Atual do COBIT


O COBIT chegou a sua estrutura atual contando com um conjunto de
contribuies de vrias empresas e organismos internacionais, entre eles
podemos citar:

Padres tcnicos da ISO e EDIFACT, dentre outros.


Cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA
e outros.
Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000,
SPICE, TickIT dentre outros.
Padres profissionais para controles internos e auditoria, como o
COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO e outros.

26

Prticas e exigncias dos fruns da indstria e das plataformas


recomendadas pelos governos (IBAG, NIST, DTI), etc..
Exigncias das indstrias emergentes como operao bancria,
comrcio eletrnico e engenharia de software.
Com a dependncia cada vez maior nos recursos de tecnologia as
organizaes passam a ter a necessidade de demonstrar controles
crescentes em segurana.

Desempenho e Progresso
Cada organizao deve buscar a compreenso de seu prprio desempenho e
deve medir o seu progresso. O benchmarking (comparativo) com outras
organizaes passa a fazer parte da estratgia das empresas para conseguir a
melhor competitividade em TI.
O COBIT, por meio de suas recomendaes de gerenciamento e com a
orientao no modelo de maturidade em governana, auxilia os gerentes de
TI no cumprimento de seus objetivos, alinhados com os objetivos da
organizao.
As diretrizes de gerenciamento do COBIT focam na gerncia por
desempenho, usando os princpios do Balanced ScoreCard (BSC). Seus
indicadores principais identificam e medem os resultados dos processos,
avaliando seu desempenho e alinhamento com os objetivos dos negcios da
organizao.

Vantagens do COBIT
Adotar o COBIT como modelo de governana torna-se vantajoso por:

Mapear os maiores padres e frameworks de mercado, como o ITIL,


a ISO 20.000 e a ISO 27.001.
Ajudar a entender os requisitos regulatrios.
Ser compatvel com o COSO quanto ao controle do ambiente de TI.
27

Definir uma linguagem comum entre TI e o negcio.


Ser focado nos requisitos de negcio.
Ser aceito internacionalmente como framework de modelo para
Governana de TI;.
Ser orientado a processos.
Ser suportado por ferramentas e treinamento.
Estar em desenvolvimento contnuo.

O Pblico do COBIT
O COBIT foi projetado para ser utilizado por trs pblicos distintos.
Administradores podem fazer uso do COBIT para auxili-los na avaliao
entre risco, investimento e controle de ambientes muitas vezes imprevisveis,
como o de TI.
Usurios podem utilizar para se certificarem da segurana e dos controles
dos servios de TI fornecidos internamente ou por terceiros.

28

Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizado
por Auditores de Sistemas, onde serve como subsdio das opinies emitidas
ou para prover aconselhamento aos administradores sobre os controles
internos.

Evoluo do COBIT
Observe na linha do tempo apresentada a seguir a evoluo do COBIT e o
foco principal de cada publicao realizada.

Estrutura do COBIT
O princpio da estrutura do COBIT o de prover
um link entre as expectativas e as
responsabilidades de gerenciamento de TI. O
objetivo facilitar a governana de TI para
agregar valor a TI, por meio do gerenciamento
dos riscos de TI.
O princpio do framework derivado de um
29

modelo que mostra a informao com qualidade sendo produzida por


eventos realizados ou executados nos recursos de TI, conforme apresentado
na figura ao lado.
O COBIT um framework e tambm uma base de conhecimento para os
processos de TI e o gerenciamento destes. Ele no um padro definitivo e
deve ser adaptado para a realidade de cada empresa. Trata-se de um
framework de controle que tem o propsito de assegurar que os recursos de
TI estaro alinhados com os objetivos da organizao.
O framework tambm baseado na premissa de que a TI precisa entregar
informao que a empresa necessita para atingir seus objetivos, fazendo com
que a TI seja mais responsiva ao negcio.

Caractersticas do Framework

Define uma linguagem comum entre


TI e o negcio
Ajuda a entender os
requisitos regulatrios
um padro aceito entre
empresas
orientado a
processos
focado nos
requisitos de
negcio

30

Componentes do COBIT
praticamente impossvel falar
dos componentes do COBIT sem
citar o termo conhecido no
mercado como cubo do COBIT. O
conceito de cubo utilizado para
representar
como
os
componentes se inter-relacionam,
pois ele ilustra de maneira
fidedigna as dimenses e seu
respectivo relacionamento.
A figura ao lado ilustra que o
framework do COBIT considera a necessidade de relacionar os processos de
TI, os recursos de TI e os critrios de informao, conforme ser tratado a
seguir.

Critrios da Informao
Efetividade - trata das informaes que so relevantes e pertinentes aos
processos de negcio. Essas informaes precisam estar disponveis em
tempo hbil, corretas, consistentes, e devem ser apresentadas de uma forma
til.
Eficincia - trata do provimento de informaes pelo melhor (mais produtivo
e econmico) uso dos recursos.
Confidencialidade - trata da proteo das informaes contra acessos noautorizados.
Integridade - trata da preciso e da totalidade (integridade) das informaes,
assim como sua validade e concordncia com os valores e as expectativas do
negcio.

31

Disponibilidade - trata da disponibilidade da informao quando requerida


pelos processos do negcio, em qualquer momento. Trata tambm da
salvaguarda dos recursos necessrios e capacidades associadas.
Conformidade - trata do cumprimento das leis, regulamentos e contratos aos
quais os processos de negcio esto sujeitos, ou seja, externamente
impostos, assim como do cumprimento das polticas internas.
Confiabilidade - trata do provisionamento de informaes apropriadas para o
gerenciamento, a operao e o exerccio das responsabilidades fiducirias e
de governana da instituio.

Recursos de TI
O COBIT considera que Recursos de TI so gerenciados pelos processos de TI
para fornecer as informaes que a empresa necessita para atingir seus
objetivos. O framework estabelece 4 tipos de recursos, conforme relao
apresentada a seguir:
Aplicaes - so os sistemas automatizados e procedimentos manuais para
processar informaes.
Informao - so os dados de todos os formulrios de entrada, processados e
exibidos pelos sistemas de informao, podendo ser qualquer formulrio
usado pelo negcio.
Infraestrutura - considera os itens de hardware, software, sistemas de
bancos de dados, rede, e quaisquer itens necessrios para o funcionamento
das aplicaes.
Pessoas - so os recursos humanos necessrios para planejar, organizar,
adquirir, implementar, entregar, suportar, monitorar e avaliar os sistemas de
informao e servios, podendo estes ser recursos internos ou terceirizados.

32

Processos de TI
Uma das faces do cubo do COBIT representa os processos
de TI. O framework do COBIT apresenta aos processos de
TI agrupados em 4 domnios, conforme segue:

Planejar e Organizar (Plan and


Organize - PO)
Adquirir e Implementar
(Acquire and Implement - AI)
Entregar e Suportar (Deliver
and Support - DS)
Monitorar e Avaliar (Monitor
and Evaluate - ME)

O Cubo do COBIT
Como todos os componentes do COBIT esto inter-relacionados, a figura do
cubo utilizada para sumarizar que os recursos de TI so gerenciados pelos
processos de TI para alcanar as metas que correspondem aos requisitos do
negcio.
Este o princpio bsico do framework do COBIT, e ilustrado por meio da
figura ao lado.
Por meio dele possvel observar que cada um dos 4 domnios e seus 34
objetivos de controle de alto-nvel consomem Recursos de TI e necessitam
atender a requisitos de negcio.

33

Nos prximos mdulos, veremos como o desdobramento do cubo do COBIT


para cada um dos 34 objetivos de controle de alto-nvel.

As Metas do COBIT
O COBIT estabelece metas e mtricas em 3 nveis:
O primeiro nvel trata de objetivos e mtricas de TI que definem o que o
negcio espera da TI e como isso ser medido.
O segundo nvel trata dos objetivos e mtricas que definem o que os
processos de TI devem entregar para suportar os objetivos de TI e como isso
ser medido.

34

O terceiro nvel trata dos objetivos de atividades e respectivas mtricas para


estabelecer o que precisa ocorrer dentro dos processos para alcanar a
performance desejada e como mensurar isso.
Os objetivos de TI so definidos em uma abordagem top-down, onde os
objetivos do negcio vo determinar o nmero de objetivos de TI que vo
suportar o negcio.

Monitoramento e Performance
O monitoramento realizado por meio do acompanhamento de Indicadores
de Resultado (Outcome Measures), processados aps a execuo dos
processos, e Indicadores de Performance (Performance Indicators),
processados durante a execuo dos processos e utilizados para avaliar e
tomar aes corretivas para assegurar que os resultados esperados sejam
alcanados.

Diretrizes de Gerenciamento
O framework do COBIT estabelece diretrizes de gerenciamento e estas, por
sua vez, sugerem o uso da metodologia Balanced Scorecards (BSC).
35

O BSC fornece meios para estabelecer mtricas para alcanar as metas de TI.
A metodologia do BSC v o negcio sob quatro perspectivas, estabelecendo
os objetivos estratgicos da empresa e mapeando suas metas e Indicadores
de Performance, sendo que voc poder ver isso com maiores detalhes na
unidade de estudo de Gesto de Servios de TI.
Por hora, importante saber que o BSC parte da definio da estratgia da
empresa para, em seguida, estabelecer os objetivos estratgicos que a
empresa deve alcanar sob as perspectivas Financeira, do cliente, de
inovao, de aprendizado e crescimento, e de processos internos do
negcio.
A perspectiva do cliente trata dos valores que a empresa quer oferecer, ou
seja, como ela quer ser vista sob a percepo do cliente.
A perspectiva de processos internos estabelece os objetivos estratgicos do
que a empresa deve assumir para conseguir entregar os valores
estabelecidos na perspectiva do cliente.
A perspectiva do aprendizado e inovao trata da gesto do conhecimento
da empresa, de clima e cultura e de outros valores essenciais para a sade da
empresa.
A perspectiva financeira trata das questes de gesto financeira da empresa,
quais os objetivos estratgicos para as despesas, investimentos e como
assegurar o futuro da empresa.
No h uma regra para estabelecer ou definir se h uma perspectiva mais ou
menos importante, todas contm objetivos estratgicos e, portanto, todas
so importantes para a empresa.
Ao avaliar os mapas estratgicos de diversas empresas, produzidos dentro
dos conceitos da metodologia do BSC, possvel observar que normalmente
a Perspectiva do Cliente apresentada em primeiro lugar quando a cultura
da empresa tem o foco principal no cliente.

36

J quando a cultura da empresa tem como foco principal a obteno de lucro,


normalmente a perspectiva financeira apresentada em primeiro lugar.
O fato que isso realmente no importa, relevante estabelecer quais so
os objetivos mais importantes da empresa, quem ser responsvel por cada
um deles (accountability) e como eles sero mensurados.

Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes


no framework do COBIT, fica evidente que o COBIT v no BSC uma maneira
de implementar o conceito do framework e estabelecer os pontos de
controle, trazendo total transparncia s partes interessadas, ou seja,
clientes, parceiros, funcionrios e acionistas da empresa.

37

Modelos de Maturidade
Trata-se de modelos de referncia que possibilitam empresa avaliar e
classificar sua maturidade para um determinado processo.
O Gerenciamento e Controle sobre os processos de TI so baseados em um
mtodo para avaliar sua organizao, de modo que ela pode ser classificada
em um nvel onde o processo inexistente (0 - zero) at o nvel otimizado (5).
Isto possibilita no s fazer comparaes com outras empresas
(benchmarking1), como tambm fazer a anlise de gap2 avaliando onde a
empresa se encontra, onde o mercado est posicionado e onde a empresa
deseja chegar.
A abordagem dos modelos de maturidade do COBIT deriva do modelo de
maturidade da capacidade para desenvolvimento de software definido pelo
Software Engineering Institute (SEI). Mas embora os conceitos do SEI tenham
sido seguidos, a implementao do COBIT difere do modelo original pois o
modelo de maturidade interpretado de acordo com a natureza dos
processos de gerenciamento de TI definidos no COBIT.
Dentro de uma escala genrica com range variando entre 0 e 5, h um
modelo especfico interpretado para cada um dos 34 processos do COBIT.

Benchmarking a busca das melhores prticas na indstria que conduzem ao


desempenho superior. visto como um processo positivo e pr-ativo por meio do
qual uma empresa examina como outra realiza uma funo especfica a fim de
melhorar como realizar a mesma ou uma funo semelhante. O processo de
comparao do desempenho entre dois ou mais sistemas chamado de
benchmarking, e as cargas usadas so chamadas de benchmark.
2
a diferena entre o objetivo que desejamos atingir e o ponto aonde efetivamente
chegamos.

38

Maturidade Nvel 1: Inicial / Ad-Hoc - A organizao reconheceu que


problemas existem e devem ser resolvidos ou, pelo menos, endereados a
quem os resolva. Entretanto, no h processos padronizados. Ao invs disso,
abordagens pontuais so adotadas e h uma tendncia de serem aplicadas
numa base individual caso-a-caso. A abordagem geral de gerenciamento
desorganizada.
Maturidade Nvel 2: Repetvel, mas Intuitivo Processos foram
desenvolvidos ao estgio onde procedimentos similares so seguidos por
diferentes pessoas executando a mesma tarefa. No h treinamento formal
ou comunicao sobre esses procedimentos padronizados e a
responsabilidade tratada de maneira individual. H um alto grau de
dependncia do conhecimento de alguns indivduos e os erros so muito
comuns.
Maturidade Nvel 3: Processos Definidos Procedimentos foram
padronizados, documentados e comunicados por meio de treinamento.
mandatrio que esses processos sejam seguidos e so incomuns os desvios.

39

Os procedimentos propriamente ditos no so sofisticados, mas existe uma


formalizao sobre as prticas existentes.
Maturidade Nvel 4: Gerenciado e Mensurvel O gerenciamento monitora
e mede a aderncia aos procedimentos e toma aes onde os processos
parecem no estar funcionando efetivamente. Processos esto sob melhoria
constante e fornecem melhores prticas. Ferramentas automatizadas so
usadas de modo limitado ou fragmentado.
Maturidade Nvel 5: Otimizado Processos foram definidos ao nvel das
melhores prticas, baseados nos resultados de melhoria contnua e nos
modelos de maturidade de outras organizaes. A TI usada de maneira
integrada para automatizar os fluxos de trabalho, fornecendo ferramentas
para melhoria da qualidade e da efetividade, fazendo com que a organizao
adapte-se rapidamente.

Diretrizes de Auditoria
Alm das diretrizes de gerenciamento, o COBIT tambm traz um guia passoa-passo para auxiliar auditores internos e externos a avaliar a performance
da empresa. Este guia conhecido no COBIT como Diretrizes de Auditoria.
A estrutura do processo de auditoria geralmente aceita pelo mercado
compreende o estgio ou etapa de identificao e documentao, ou seja, a
definio do escopo do trabalho. Na sequncia temos as etapas de avaliao,
testes de conformidade e testes substantivos.

A etapa de Identificao e Documentao visa obter um


entendimento dos riscos relacionados aos requisitos de negcio e
medidas de controle relevantes. J a etapa de avaliao tem como
principal objetivo avaliar os controles internos determinados.
A etapa de Avaliao tem como principal objetivo avaliar os
controles internos determinados.

40

A etapa de Testes de Conformidade visa avaliar a conformidade


testando se os controles determinados esto funcionando conforme
sua definio, consistentemente e continuamente.
E finalmente, a etapa de Testes Substantivos verifica os riscos dos
objetivos de controle que no esto sendo alcanados, por meio de
tcnicas analticas ou consultando fontes alternativas.

Levando estas quatro etapas em considerao, um processo de TI auditado


por meio da obteno do entendimento dos riscos relacionados com os
requisitos de negcio e medidas de controle relevantes. Na sequncia ocorre
a avaliao dos controles determinados, identificando se estes controles so
apropriados ao que se prope.

Diretrizes de Gerenciamento
Posteriormente se executa a avaliao de conformidade por meio de testes
que devem identificar se os controles estabelecidos esto funcionando como
previsto e, por ltimo, se executa a substanciao dos riscos dos objetivos de
controle que no esto sendo atingidos.
Estas etapas devem ser executadas em funo da necessidade que a alta
administrao tem de assegurar que as metas e os objetivos da TI sejam
atingidos e que os controles principais estejam sendo aplicados no dia-a-dia.
As diretrizes de gerenciamento descrevem e sugerem atividades de
auditoria/avaliao para serem executadas para cada um dos 34 objetivos de
controle de alto nvel do COBIT, de modo que dentre os principais objetivos
das diretrizes de auditoria possvel citar que estas devem fornecer um
gerenciamento de modo a assegurar que os objetivos de controle estejam
sendo alcanados.

41

Pontos Fracos
Outro ponto importante o fato de identificar pontos fracos em controles
que so significantes ao negcio da empresa, sendo que, para estes casos, as
diretrizes de auditoria direcionaro que estes pontos tenham os riscos
verificados de modo que seja possvel aconselhar a alta administrao em
relao a aes corretivas para mitigar ou eliminar os riscos.
Assim, o propsito das diretrizes de auditoria fornecer uma estrutura
simples para controles de auditoria e avaliao baseados em prticas de
auditoria geralmente aceitas pelo mercado.
De maneira geral, os negcios de uma organizao definem os requisitos para
os processos de TI, e estes, por sua vez, alimentam as reas de negcio com
informaes teis para a organizao.

Excelncia em TI
Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de
TI por meio dos indicadores de resultado (outcome measures) e por meio dos
indicadores de desempenho (performance indicators), alm de tambm
contar com um modelo de maturidade para anlise de GAP entre o nvel
atual de maturidade dos processos de TI e o nvel desejado pela empresa.
A excelncia operacional dos processos de TI alcanada por meio da busca
pelos objetivos de cada atividade dos processos.
Os processos, por sua vez, so controlados por meio dos objetivos de
controle do COBIT, que so implementados atravs de prticas de controle.
Assim, os objetivos de controle podem ser traduzidos em diretrizes de
auditoria que so ento utilizadas para auditar os processos de TI.

42

Requisitos para a Auditoria de Processos de TI


Definir o escopo da auditoria fundamental para o dimensionamento do
esforo necessrio para executar este processo de controle. Para que isso
seja feito de maneira adequada, importante levar em conta a preocupao
com os processos de negcio, plataformas, sistemas e seu relacionamento
com o suporte aos processos de negcio e, finalmente, as funes e
responsabilidades na estrutura organizacional.
O prximo passo identificar requisitos de informao relevantes para os
processos do negcio. Para isso fundamental entender qual a relevncia
de cada processo.
Na sequncia, necessrio identificar os riscos de TI inerentes aos processos
alm de um nvel de controle abrangente.
Aqui devem ser levadas em considerao quaisquer mudanas recentes ou
incidentes que impactaram o negcio ou o ambiente de TI, resultados de
auditorias anteriores, auto-avaliaes e certificaes que a empresa venha a
ter como, por exemplo, a ISO 20.000. Alm disso, tambm importante
avaliar os controles de monitorao que so aplicados pela administrao da
empresa.

Processos e Plataformas
Aqui devem ser levadas em considerao quaisquer mudanas recentes ou
incidentes que impactaram o negcio ou o ambiente de TI, resultados de
auditorias anteriores, auto-avaliaes e certificaes que a empresa venha a
ter como, por exemplo, a ISO 20.000. Alm disso, tambm importante
avaliar os controles de monitorao que so aplicados pela administrao da
empresa.
O prximo passo selecionar quais so os processos e plataformas a serem
auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que

43

importante no s considerar os processos, como os recursos envolvidos


nestes.
O ltimo passo das diretrizes de auditoria o de criar uma estratgia de
auditoria. neste ponto que se avaliam quais so os controles disponveis em
relao aos riscos identificados, quais sero os passos e tarefas necessrias
para executar a auditoria e quais sero os pontos de deciso.

Estrutura do Processo de Auditoria


O prximo passo selecionar quais so os processos e plataformas a serem
auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que
importante no s considerar os processos, como os recursos envolvidos
nestes.
O ltimo passo das diretrizes de auditoria o de criar uma estratgia de
auditoria. neste ponto que se avaliam quais so os controles disponveis em
relao aos riscos identificados, quais
sero os passos e tarefas necessrias
para executar a auditoria e quais sero
os pontos de deciso.
De modo geral, a estrutura do processo
de auditoria normalmente aceita pelo
mercado, compreende quatro etapas ou
estgios principais, conforme ilustrado
pela figura ao lado.

Processo de TI
Um processo de TI auditado por meio da compreenso dos riscos
relacionados com os requisitos de negcio e quais so as medidas de
controles relevantes para cada risco identificado.

44

A partir deste cenrio, se executa uma avaliao dos controles determinados


com o objetivo de se certificar que estes so apropriados.
O prximo passo a avaliao da conformidade utilizando testes que
possibilitem verificar se um determinado ponto de controle est funcionando
como planejado, de maneira consistente e contnua.
Por ltimo se executa a substanciao dos riscos relacionados aos objetivos
de controle que no esto sendo alcanados. Isso pode ser feito por meio de
anlises tcnicas ou utilizando referncias alternativas.

Compreenso dos Riscos dos Processos


Esta fase fundamental para documentar as atividades que estejam
relacionadas com os objetivos de controle, bem como para identificar as
medidas e procedimentos que sero aplicados.
A equipe de auditoria segue procedimentos especficos para obter este
conhecimento, sendo que para isso podem devem entrevistar os
gestores/gerentes e equipes necessrias para obter conhecimento sobre:

Os requisitos do negcio e respectivos riscos;


Polticas e procedimentos da organizao;
Leis e regulamentos aplicveis;
Estrutura da organizao;
Funes e responsabilidades;
Pontos de controle j aplicados;
Relatrios gerenciais.

Avaliao dos controles sobre os processos


A etapa seguinte a avaliao dos controles utilizados em cada processo,
buscando identificar se so eficazes ao que se propem, neste sentido
importante determinar o que ser testado e como os testes sero realizados.
45

A equipe de auditoria deve avaliar se as medidas de controle so


apropriadas, de acordo com o critrio identificado e estabelecido, podendo
utilizar prticas e padres de mercado e tambm fazendo uso do julgamento
profissional sobre o assunto.
Estes devem buscar determinar se os processos esto documentados, se as
sadas dos processos, tambm conhecidas como entregveis, so
apropriadas, se as responsabilidades esto claras e se h controles de
compensao nos casos em que estes devem ser aplicados.

Avaliao da conformidade dos processos


Nesta etapa a equipe de auditoria busca evidncias diretas ou indiretas para
os pontos selecionados, visando identificar se os procedimentos esto em
conformidade com a especificao do processo.
Neste momento tambm importante determinar o nvel de testes e o
trabalho necessrio para dar assegurar que o processo avaliado est
adequado.
Isto feito com o objetivo de assegurar que as medidas de controle
estabelecidas esto funcionando de acordo com o previsto e que so
apropriadas para o ambiente controlado.

Apontando Riscos
Finalmente, os riscos identificados para os objetivos de controle que no
esto alcanando os objetivos definidos devem ter suas deficincias
documentadas, apontando inclusive as ameaas possveis e vulnerabilidades
existentes.
Uma vez realizada esta anlise, a equipe de auditoria deve identificar e
documentar o impacto atual e o impacto potencial do risco ou, em outras
46

palavras, quais as chances do risco identificado se tornar uma realidade para


a empresa.

Prticas de Controle
Antes de falar das prticas de controle, importante ter em mente que cada
um dos 34 objetivos de controle do COBIT possui diretrizes de auditoria
especficas.
As prticas de controle do COBIT fornecem aos usurios um nvel adicional de
detalhes sobre os processos, estendendo assim a capacidade de uso de
COBIT.
Os processos de TI definidos no COBIT, os objetivos de controle e os
requisitos de negcio determinam o que deve ser feito para estabelecer uma
estrutura de controle efetiva.
No entanto, as prticas de controle explicam como e porque estas so
necessrias para a administrao para avaliar controles especficos com base
na anlise de riscos e na operao da TI.

Tratamento dos riscos


importante que voc tenha em mente que o framework do COBIT
estabelece que os riscos devem ser gerenciados de 4 formas:

Mitigao de riscos;
Transferncia de riscos;
Evitar riscos;
Aceitao de riscos.

47

Mitigao de Riscos
Trata-se da implementao de controles que tragam proteo contra o tipo
de risco identificado, por exemplo, implementar um mecanismo de
autenticao baseado em biometria traz maior proteo a acessos no
autorizados a informaes confidenciais.

Transferncia de riscos
Trata-se de compartilhar os riscos com parceiros ou contratar seguro
apropriado. Um exemplo tpico para estes casos ocorre quando voc contrata
um seguro para o seu veculo, casa ou notebook. Ao fazer isso, voc est
literalmente transferindo o risco para um terceiro por avaliar que no seria
vivel permanecer com o risco de ficar sem o seu bem em funo de furto,
roubo, incndio ou outras causas.

Evitar riscos
Trata-se de adotar uma opo diferente do cenrio original, de modo que o
risco identificado seja totalmente evitado. Podemos dar um exemplo deste
tipo de tratamento quando uma empresa decide digitalizar toda a sua base
de documentao e estes esto distribudos em diversas filiais. Em vez de
trazer os documentos at um ponto central para digitalizao e correr o risco
de perda do material em funo de manipulao inadequada ou problemas
com o transporte (furto de carga), opta-se por levar os recursos de
digitalizao para as filias, evitando assim o transporte dos documentos.

Aceitao de riscos
Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos
fundamental ter um plano de resposta ao risco pronto para ser colocado em
ao, evitando assim dados significativos ao negcio ou a imagem da
organizao. Podemos ilustrar este caso com o monitoramento de tsunamis
48

que vrios pases esto executando. Ao detectar uma ocorrncia de tsunami


que venha a afetar o Pas, o governo aciona o plano de resposta que
normalmente implica na evacuao da populao dos pontos prximos ao
mar.

Modelo RACI
Outro ponto relevante que o COBIT estabelece a definio clara das
responsabilidades e papis para cada um dos 34 processos.
Isto feito com o uso de uma matriz de responsabilidades que aponta o que
deve ser delegado a quem, sendo que o framework determina claramente os
limites e comprometimento necessrio para cada um dos papeis citados a
seguir seguindo o modelo RACI.
RACI o acrnimo, em ingls, para "Accountable, Responsible, Consulted and
Informed", ou seja:
[R] define quem executa o processo
[A] define quem responsvel pelo resultado
[C] define quem deve ser consultado
[I] define quem deve ser informado

Matriz de responsabilidades do RACI


Papis normalmente definidos pelo COBIT por meio da matriz RACI:

Chief Executive Officer (CEO)


Chief Financial Officer (CFO)
Executivos de Negcio
Chief Information Officer (CIO)
49

Proprietrio de Processos de Negcio


Chefe de Operaes
Chefe de arquitetura
Lder de desenvolvimento
Lder de administrao de TI (RH, oramento e controles internos)
Project Management Officer (PMO)
Grupos de conformidade, auditoria, risco e segurana
Papis adicionais de acordo com especificidades de alguns processos

Definir os Processos de TI, a Organizao e


Relacionamentos
Estude com cuidado a figura do Anexo 1, retirada do COBIT 4.1, com o
objetivo de compreender como este recurso ajuda a definir os papis para o
processo Definir os processos de TI, a organizao e relacionamentos.

COBIT e Outros Padres


Dentre as vantagens de se adotar o framework de controle do COBIT,
possvel destacar a sua compatibilidade com outros padres.
Este se posiciona em um nvel mais genrico e por isso pode ser utilizado
para avaliar processos implementados por outras normas tcnicas ou
frameworks, como ISO 17799 (segurana da informao) e ITIL.
O COBIT pode ser aplicado depois que outros padres que atuam em um
nvel mais operacional j estejam aplicados, tendo em vista que o COBIT
servir para auditar estes processos.
O COSO um framework para controle interno, no somente de TI, e pode
ser utilizado em qualquer rea de negcio, j o COBIT especfico para a TI,
mas est 100% alinhado com o COSO.

50

Em relao compatibilidade com ITIL, o COBIT cobre a maioria dos


processos ITIL, tanto na verso 2 quanto na verso 3, s que o ITIL tem os
processos apresentados com maior nvel de detalhe. De maneira geral,
enquanto o ITIL est mais direcionado ao como, o COBIT foca no o que.

Framework de Controle
Assim, pode se dizer que o COBIT um framework de controle que
estabelece o que tem que ser feito, mas no diz como deve ser feito.
Alm disso, o COBIT atende os requisitos regulatrios nos quais a empresa
est submetida e exatamente por este motivo que pode ser utilizado para
cumprir a conformidade com a lei Sarbanes-Oxley.
A figura a seguir apresenta os 34 Objetivos de Controle de alto nvel do COBIT
e mostra os seus pontos de interao com outros elementos. Isto mostra
porque o framework do COBIT est sendo adotado em larga escala na
aplicao de prticas de governana de TI.

51

DOMNIOS E OBJETIVOS DE CONTROLE


DO COBIT
Domnios do CobiT
Por ser orientado a processos, o COBIT define as atividades de TI em um
modelo genrico de processos, agrupando estes em 4 domnios.
Como visto anteriormente, os domnios do COBIT so:

Planejar e Organizar (Plan and Organize - PO)


Adquirir e Implementar (Acquire and Implement - AI)
Entregar e Suportar (Deliver and Support - DS)
Monitorar e Avaliar (Monitor and Evaluate - ME)

Objetivos de Controle do CobiT


Estes domnios englobam as tradicionais reas de responsabilidade da TI, que
so as de planejar, construir, executar e monitorar.
O COBIT oferece um modelo de referncia para os processos, alm de uma
linguagem comum a todos na empresa, de modo que estes possam visualizar
e gerenciar as atividades de TI.
Como tambm visto anteriormente, um modelo de processos demanda que
cada processo tenha um proprietrio, de forma a definir claramente as
responsabilidades e quem ser cobrado pelos resultados dos processos.
Assim, o nosso foco de estudo estar concentrado em cada um dos domnios
e seus respectivos processos.

52

Planejar e Organizar
O domnio do planejamento e organizao engloba as estratgias e tticas
adotadas pela organizao de TI, e se preocupa em identificar a forma onde a
TI possa contribuir da melhor maneira possvel para que os objetivos do
negcio sejam alcanados.
A viso estratgica da TI deve ser planejada, comunicada e gerenciada sob
diferentes perspectivas. Alm disso, este domnio cobre tambm a
organizao da TI e a infraestrutura tecnolgica que deve ser implementada
na organizao.
Assim, basicamente, o domnio de planejamento e organizao oferece
resposta s questes relacionadas a seguir:

A TI e estratgia do negcio esto devidamente alinhados?


A organizao est tirando o melhor proveito possvel de seus
recursos?
Todos na organizao compreendem os objetivos da TI?
Os riscos so compreendidos e gerenciados?
A qualidade dos sistemas de TI apropriada para as necessidades do
negcio?

Adquirir e Implementar
Assim como citado nos domnios anteriores, o domnio de aquisio e
implementao demanda que as gerncias respondem as seguintes questes:

Os servios de TI esto sendo entregues alinhados com as prioridades


de negcio?
Os custos de TI so otimizados?
A fora de trabalho capaz de utilizar os sistemas de TI de maneira
produtiva e segura?

53

H adequados nveis de confidencialidade,


disponibilidade para a segurana da informao?

integridade

Entregar e Suportar
O domnio da entrega e suporte est focado na entrega atual dos servios
demandados, e isto inclui a entrega de servios, o gerenciamento de
segurana e da continuidade dos servios de TI, o suporte aos servios, o
gerenciamento de dados e a operao das instalaes fsicas.
Para quem j estudou ITIL, fica bastante evidente a semelhana dos objetivos
de controle que o COBIT trata neste domnio com as disciplinas ITIL, porm,
como vimos, o COBIT est mais focado no controle e diz o que deve ser
controlado, em nenhum momento o framework do COBIT estabelece como
isso deve ser implementado.
As prticas descritas na ITIL oferecem mais detalhes para que se estruture
como os processos sero executados. Assim, ITIL e COBIT podem ser
perfeitamente integrados, no importando qual iniciativa a organizao
adotar antes.

Monitoramento e Avaliao
O domnio do monitoramento e avaliao considera que todos os processos
de TI devem ser regularmente avaliados com o passar do tempo,
considerando sua qualidade a aderncia aos requisitos de controle.
Este o domnio que engloba o gerenciamento de performance, o
monitoramento dos controles internos, a aderncia a legislao e normas
especficas e a governana propriamente dita.
Os processos deste domnio so tratados visando responder as seguintes
questes de gerenciamento:

54

A performance de TI medida de modo a identificar problemas antes


que seja muito tarde?
O gerenciamento assegura os controles internos so eficientes e
eficazes?
H alguma maneira que a performance da TI esteja ligada aos
objetivos de negcio?
H adequados nveis de confidencialidade, integridade e
disponibilidade para a segurana da informao?

Processos de Controle
Levando todos estes requisitos em considerao, a verso 4.1 do COBIT
identificou 34 processos que so utilizados de maneira genrica.
Embora a maioria das organizaes tenha definido, planejado, construdo,
executam e monitoram as responsabilidades da TI, sendo que a maioria
tenham os mesmos processos chave, poucas empresas tero a mesma
estrutura de processos ou aplicam todos os 34 processos do COBIT.
Um dos grandes benefcios do COBIT que ele oferece uma lista completa de
processos que podem ser utilizados para avaliar, controlar e monitorar as
atividades e responsabilidades, no entanto, nem todos eles devem ser
obrigatoriamente aplicados. De maneira alternativa, os processos tambm
podem ser combinados de acordo com as necessidades da empresa.

Framework de Controle
O ponto aqui que o COBIT flexvel o suficente para atender uma pequena
empresa enquanto, ao mesmo tempo, a mesma estrutura de processos pode
ser til para empresas de mdio e grande porte, nacionais ou multinacionais.
O COBIT apresenta um link entre os objetivos de negcio e os objetivos da TI
para cada um dos 34 processos suportados. Ele tambm oferece informaes
sobre como os objetivos podem ser medidos, quais so as principais
55

atividades de cada processo e suas principais entregas ou resultados, alm


disso, ele tambm prov direcionamento sobre quem o responsvel para
cada atividade.
Por ser um framework de controle, naturamente o COBIT define objetivos de
controle para cada um dos 34 processos, alm de tambm estabelecer
requisitos de controle genricos para cada processo, bem como controles de
aplicao.

Processos do CobiT
Cada um dos processos de TI definidos no COBIT tem sua respectiva
descrio e um nmero de objetivos de controle.
Como um todo, eles so as caractersticas de um processo bem gerenciado.
Os objetivos de controle so identificados por uma referncia aos domnios
realizada por meio de dois caracteres (PO, AI, DS e ME) acrescidos de um
nmero do processo e de um nmero do objetivo de controle.
Como dito anteriormente, alm dos objetivos de controle, cada processo do
COBIT tem seis requisitos de controle genricos que so identificados pela
sigla PCn, onde n representa o nmero do processo.

Objetivos de Controle Genricos


Os objetivos de controle genricos devem ser considerados junto com os
objetivos de controle do processo para que seja possvel ter uma viso
completa dos requerimentos de controle.
Objetivos de controle genricos (extrado do COBIT 4.1, traduzido e
adaptado)

56

PC1 Objetivos e Metas do Processo


Defina e comunique objetivos e metas do processo de maneira especfica,
mensurvel, alcanvel, realista e dentro de um perodo claramente definido.
Assegure que eles estejam vinculados aos objetivos de negcio e que sejam
suportados por mtricas adequadas.
PC2 Proprietrio do Processo
Atribua um proprietrio para cada processo de TI, e defina claramente os
papis e responsabilidades do proprietrio do processo. Inclua, por exemplo,
a responsabilidade pelo desenho do processo, a interao com outros
processos, a responsabilidade sobre os resultados finais, a medio da
performance do processo e a identificao de oportunidades de melhoria.
PC3 Repetio do Processo
Projete e implemente cada processo chave de TI de maneira que ele seja
repetvel e produza os resultados esperados de maneira consistente.
Fornea uma sequncia lgica de atividades, que seja flexvel e escalonvel
para atingir os resultados desejados e que seja gil o suficiente para tratar
excees e emergenciais. Use processos consistentes, onde possvel, e trate
excees somente quando for inevitvel.
PC4 Papis e Responsabilidades
Defina as atividades principais e entregas finais do processos. Atribua e
comunique papis e responsabilidades de maneira clara para uma execuo
efetiva e eficiente das principais atividades e sua documentao, assim como
a responsabilidade pelo processo e pelos entregveis.

57

PC5 Poltica, Planos e Procedimentos


Defina e comunique como todas as polticas, planos e procedimentos que
direcionam os processos de TI so documentados, revisados, mantidos,
aprovados, armazenados, comunicados e utilizados para treinamento.
Atribua responsabilidades para cada uma destas atividades e, dentro do
tempo apropriado, revise buscando identificar se estas esto sendo
corretamente executadas.
Assegure que as polticas, planos e procedimentos estejam acessveis,
corretos, compreensveis e atualizados.
PC6 Melhoria da Performance do Processo
Identifique um conjunto de mtricas que proporcione uma viso nos
resultados e na performance do processo.
Estabelea metas que reflitam os objetivos do processo e indicadores de
performance que possibilitem que o objetivo do processo seja alcanado.
Defina como os dados devem ser obtidos.
Compare os resultados atuais com as metas e tome aes em relao aos
desvios, quando necessrio. Alinhe mtricas, metas e mtodos com uma
abordagem do monitoramento da performance geral da TI.

Objetivos SMARRT
Specific, Measurable, Actionable, Realistc, Results-oriented and Timely
Trata-se de um acrnimo com algumas variaes (SMART ou SMARRT) j
bastante conhecido no mercado para a definio de objetivos. No entanto,
importante conhecer no s a traduo de cada letra, mas sim o raciocnio
mais amplo sobre o significado real deste conceito.

58

O conceito pode ser aplicado na definio de objetivos de negcio,


profissional ou pessoal, e as melhores prticas estabelecem que objetivos
devem ser SMART, conforme veremos a seguir.
[S]pecif: Especfico
No deixe espao a interpretaes duvidosas ao definir um objetivo. Quanto
mais detalho for o objetivo, melhor ser sua compreenso e maiores sero as
chances dele ser alcanado.
Depois de descrever o objetivo, confira se no h pontos que possam gerar
dvidas por falha de interpretao, por qualquer pessoa com conhecimento
bsico sobre o assunto.
[M]easurable: Mensurvel
Objetivos devem ser transformados em nmeros, caso contrrio eles
podero ser manipulados ou interpretados do modo mais conveniente para
os interessados, de modo que fica dvidas ou discusso em aberto sobre
como definir se o objetivo foi alcanado ou no.
Outro ponto a considerar neste quesito se h ferramentas disponveis para
medir o objetivo da maneira desejada e adequada, caso contrrio,
novamente possvel estabelecer valores a partir de qualquer parmetro
disponvel.
Sendo assim, fundamental ter definio clara sobre o sistema de medio
que ser utilizado para monitorar o objetivo.
Lembre-se que os interessados podem ser colaboradores da sua equipe,
pares, seu chefe, ou at mesmo acionistas!

59

[A]ttainable ou Achievable: Alcanvel


importante que objetivos tenham metas desafiadoras e que demandem
algum tipo de esforo para serem alcanados, mas fundamental que os
objetivos possam ser alcanados.
importante gerar um desafio para que as equipes superem, mesmo
parecendo ser difcil, mas isso muito diferente de buscar nmeros
impossveis de serem atingidos. Em vez de motivar, o objetivo s causar
frustrao e desnimo.
Algumas variaes do uso deste recurso atribuem a letra A a objetivos
estabelecidos em comum acordo (agreed upon), o que significa que os
envolvidos na execuo do objetivo esto de acordo com sua viabilidade e
benefcios.
[R]ealistic: Realista
Frequentemente objetivos traados so possveis de serem alcanados, no
entanto, nem sempre refletem a realidade do negcio.
H alguns fatores que devem ser considerados neste aspecto e, dentre eles,
se o objetivo est devidamente alinhado com a misso e viso da organizao
ou se algum princpio tico/legal est sendo ferido pelo objetivo.
No adianta estabelecer como um objetivo entregar projetos no prazo e no
custo estabelecidos se os projetos entregues no agregam valor aos
objetivos estratgicos da empresa.
Tenha em mente que um lder que define um objetivo pouco realista est
fora de sincronia com a empresa e com sua equipe.

60

[T]imely ou Time-bounded: em tempo


De certa forma esta caracterstica est vinculada a definio dos objetivos de
maneira especfica (S). O objetivo deve ter seu prazo para ser alcanado
claramente estabelecido, e este perodo no pode ser to curto a ponto de
tornar o objetivo impossvel de ser alcanado, nem to longo a ponto de que
ocorra a perda de foco com o passar do tempo.Alguns autores tambm
apresentam o T como Tangvel (Tanglible).
Exemplo:
Objetivo no- SMART: construir uma casa no campo.
Objetivo SMART: construir uma casa trrea no campo, na regio de
Sorocaba-SP, com rea til interna de 180 m, piso frio em todos os cmodos,
3 sutes, sala com lareira, churrasqueira, garagem para at 10 carros, quadra
de futsal, sistema de segurana com cmeras e alarme, dentro de um perodo
de 18 meses a contar desta data, com um oramento de at R$650.000.

Controles de Aplicao
Alm dos objetivos de controle genricos vistos anteriormente, o COBIT
tambm estabelece alguns objetivos denominados controles de aplicao.
Trata-se de controles existentes em aplicaes dos processos de negcio,
onde o COBIT assume que o projeto e implementao de controles de
aplicaes automatizados so de responsabilidade da organizao de TI,
cobertos no domnio de Aquisio e Implementao e baseados nos
requisitos de negcio por meio dos critrios de informao definidos no
COBIT.
Exemplos deste tipo de controle incluem a totalidade, preciso, validade,
autorizao de acesso e segregao de funes.

61

O gerenciamento operacional e a responsabilidade de controle sobre os


controles de aplicao no so da TI, mas sim no proprietrio do processo de
negcio.

Funes dos Controles de Aplicao


Embora a responsabilidade pelos controles de aplicaes seja compartilhada
pelo negcio e pela TI, a natureza das responsabilidades muda em funo de
cada papel:

Ao negcio cabe a responsabilidade de definir requisitos funcionais e


requisitos de controle, alm claro do uso dos servios
automatizados.
A TI fica responsvel por automatizar e implementar as
funcionalidades de negcios e os requisitos de controle e estabelecer
controles para manter a integridade dos controles de aplicao.

O conjunto de objetivos de controle recomendado para aplicaes


identificado no COBIT pela iniciais AC (Application Control), sendo que cada
objetivo ser listado a seguir:
AC1 Autorizao e Preparao da Fonte de Dados
Assegura que as fontes dos documentos estejam preparadas por pessoal
qualificado e autorizado seguido os procedimentos estabelecidos, levando
em considerao a adequada segregao de papis necessrios na origem e
aprovao destes documentos. Erros e omisses podem ser minimizados por
meio de formulrios de entrada bem projetados. Detecta erros e
irregularidades de modo que estas possam ser reportadas e corrigidas.
AC2 Coleo de Fonte de Dados e Alimentao
Estabelece que a entrada de dados seja realizada no tempo adequado por
equipe autorizada e qualificada. Correo e reprocessamento de dados que
62

foram alimentados erroneamente deve ser realizada sem comprometer o


nvel original de autorizao da transao. Onde for apropriado efetuar a
reconstruo, reter os documentos de origem por tempo adequado.
AC3 Verificao de Preciso, Completude e Autencidade
Assegura que transaes sejam precisas, completas e validas. Valida dados
que foram alimentados, e edita o devolve para correo o mais prximo
possvel do ponto de origem das informaes.
AC4 Processamento com Integridade e Validade
Mantm a integridade e validade dos dados durante o ciclo de
processamento. A identificao de transaes incorretas no deve impactar o
processamento das transaes vlidas.
AC5 Reviso de Sadas, Reconciliao e Tratamento de Erros
Estabelece procedimentos e responsabilidades associadas para assegurar que
as saidas sejam tratadas de maneira autorizada, entregues nos destinos
apropriados, e protegidas durante a a transmisso. Estabelece que a
verificao, deteco e correo da preciso das sadas ocorra; e que a
informao fornecida como sada seja utilizada.
AC6 Integridade e Autenticao de Transaes
Antes de passar dados de transaes entre aplicaes internas e funes de
negcio/operacional (dentro ou fora da empresa),
verificar pelo
endereamento apropriado, autenticidade da origem e integridade do
contedo. Mantenha a autenticidade e integridade durante a transmisso ou
transporte.

63

PLANEJAR E ORGANIZAR
Descrio do Processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo;


Critrios de informao aplicados ao processo;
Uma declarao genrica de aes para um gerenciamento mnimo de
boas prticas para assegurar que o - processo seja mantido sob controle;
Principais indicadores de performance;
Recursos de TI envolvidos;
Objetivos de controle detalhados;
Diretrizes de gerenciamento:
o Entradas e processos
de origem
o Sadas e processos de
destino
Matriz de
responsabilidades (RACI);
Objetivos e mtricas;
Modelo de maturidade.

64

Domnio planejar e organizar (PO)


Os processos do domnio Planejar e Organizar so:
AI1.
AI2.

Definir um plano estratgico de TI


Definir a arquitetura da
informao
AI3. Determinar a direo
tecnolgica
AI4. Definir os processos de
TI, sua organizao e
relacionamentos
AI5. Gerenciar os
investimentos em TI
AI6. Comunicar metas
gerenciais e direcionamento
AI7. Gerenciar recursos humanos
de TI
AI8. Gerenciar qualidade
AI9. Avaliar e gerenciar riscos de TI
AI10. Gerenciar projetos
PO1 Definir um Plano Estratgico de TI
Estabelece seis objetivos de controle.
O planejamento estratgico de TI necessrio para gerenciar e dirigir todos
os recursos de TI em alinhamento com as estratgias e prioridades do
negcio. A funo da TI e as partes interessadas do negcio so responsveis
por assegurar que o melhor valor seja obtido por meio dos portflios de
projetos e servios.
O planejamento estratgico melhora o entendimento das principais partes
interessadas sobre as oportunidades e limitaes da TI, avalia a performance

65

atual, identifica requisitos de capacidade e recursos humanos e norteia o


nvel de investimento requerido.
A estratgia e prioridades de negcio devem estar refletidas nos portflios e
executadas pelos planos tticos de TI, que especificam objetivos concisos,
planos de ao e tarefas que so compreendidas e aceitas tanto pelo negcio
quanto pela TI.
O objetivo deste processo sustentar ou expandir a estratgia do negcio e
requisitos de governana com transparncia sobre os benefcios, custos e
riscos.
Objetivos de controle do processo PO1:

PO1.1 Gerenciamento do valor da TI


PO1.2 Alinhamento entre TI e o negcio
PO1.3 Avaliao de capacidade e performance atual
PO1.4 Plano estratgico de TI
PO1.5 Planos tticos de Ti
PO1.6 Gerenciamento do portflio de TI

Este processo medido por:

Percentual de objetivos de TI do plano estratgico de TI que


suportam os planos de estratgia do negcio;
Percentual de projetos de TI no portflio de TI que podem ser
diretamente mapeados aos planos tticos de TI;
Demora entre as atualizao do plano estratgico de TI e os planos
tticos de TI.

PO2 Definir a Arquitetura da Informao


Estabelece quatro objetivos de controle.

66

A funo dos sistemas de informao cria e atualiza regularmente um modelo


de informao de negcio e defini os sistemas apropriados para otimizar o
uso desta informao.
Isto considera o desenvolvimento de um dicionrio de dados corporativo com
as regras de sintaxe dos dados da organizao, esquemas de classificao dos
dados e nveis de segurana.
Este processo melhora a qualidade das tomadas de deciso gerenciais por ter
certeza que informao confivel e segura, e habilita o racionalizao dos
recursos de sistemas de informao para atender de maneira apropriada as
estratgias de negcio.
Este processo de TI tambm necessrio para aumentar a responsabilidade
pela integridade e segurana dos dados para melhorar a efetividade e
controle de compartilhar informaes por meio de aplicaes e entidades.
O objetivo deste processo obter agilidade para responder aos requisitos,
prover informaes consistentes e confiveis e integrar continuamente as
aplicaes ao processos do negcio.
Objetivos de controle do processo PO2:

PO2.1 Modelo corporativo de arquitetura da informao


PO2.2 Dicionrio de dados corporativo e regras de sintaxe de dados
PO2.3 Esquema de classificao dos dados
PO2.4 Gerenciamento de integridade

Este processo medido por:

Percentual de elementos de dados redundantes/duplicados;


Percentual de aplicaes em no-conformidade com a metodologia
da arquitetura de informaes utilizadas na organizao;
Frequncia das atividades de validao dos dados.

67

PO3 Determinar a Direo Tecnolgica


Estabelece cinco objetivos de controle.
A funo dos servios de informao determina a direo tecnolgica para
suportar o negcio. Isto requer a criao de um plano de infraestrutura
tecnolgica e um comit de arquitetura que estabelece e gerencia
expectativas claras e realistas de qual tecnologia pode oferecer em termos de
produtos, servios e mecanismos de entrega.
O plano atualizado regularmente e engloba aspectos como a arquitetura
dos sistemas, direcionamento tecnolgico, plano de aquisies, padres,
estratgicas de migrao e contingncia.
Isto habilita respostas imediatas a mudanas em um ambiente competitivo,
economia de escala para equipes de sistemas de informao e investimentos,
assim como melhora de interoperabilidade de plataformas e aplicaes.
O objetivo deste processo obter um sistema de aplicaes estvel,
integrado, eficiente (custos), recursos e capacidades que atendam aos
requisitos atuais e futuros do negcio.
Objetivos de controle do processo PO3:

PO3.1 Planejamento do direcionamento tecnolgico


PO3.2 Plano da infraestrutura tecnolgica
PO3.3 Monitorar tendncias futuras e regulamentao
PO3.4 Padres tecnolgicos
PO3.5 Conselho de arquitetura de TI

Este processo medido por:

Nmero e tipo de desvios do plano da infraestrutura tecnolgica;


Frequncia da reviso/atualizao do plano de infraestrutura
tecnolgica;

68

Nmero de plataformas tecnolgicas por funo em toda a


organizao.

PO4 Determinar os Processos de TI, sua Organizao e


Relacionamentos
Estabelece quinze objetivos de controle.
Uma organizao de TI definida ao considerar os requisitos para as pessoas,
competncias, funes, responsabilidades, autoridade, papis e superviso.
Esta organizao incorporada a um framework de processos de TI que
assegura transparncia e controle, assim como o envolvimento de executivos
sniors e o gerenciamento do negcio.
Um comit de estratgia assegura o acompanhamento da TI pela direo da
empresa, e um ou mais comits de direcionamento com a participao de TI
e do negcio determina a priorizao dos recursos de TI devidamente
alinhado com as necessidade de negcio.
Processos, procedimentos e polticas administrativas so implementados
para todas as funes, com ateno especial a controles, gesto de
qualidade, gerenciamento de riscos, informaes, segurana, dados,
propriedade sobre os sistemas, e segregao de papis.
Para assegurar suporte imediato aos requisitos de negcio, TI deve ser
envolvida nas decises sobre os processos relevantes.
O objetivo do processo PO4 obter agilidade para responder a estratgia do
negcio atendendo, ao mesmo tempo, os requisitos de governana e
provendo pontos de contato definidos e competentes.
Objetivos de controle do processo PO4:
PO4.1 Framework de processos de TI
PO4.2 Comit de estratgia de TI
69

PO4.3 Comit de direcionamento de TI


PO4.4 Colocao organizacional da Fundao da TI
PO4.5 Estrutura organizacional da TI
PO4.6 Estabelecimento de papis e responsabilidades
PO4.7 Responsabilidade pelo controle de qualidade de TI
PO4.8 Responsabilidade por riscos, segurana e aderncia
PO4.9 Propriedade sobre sistemas e dados
PO4.10 Superviso
PO4.11 Segregao de funes
PO4.12 Equipe
PO4.13 Pessoas-chave na TI
PO4.14 Procedimento e polticas para contratados
PO4.15 Relacionamentos

Este processo medido por:

Percentual de papis com posio documentada e descrio do nvel


de autoridade;
Nmero de processos/unidades de negcio no suportados pela
organizao da TI que deveriam ser suportados, de acordo com a
estratgia;
Nmero de atividades principais da TI fora da organizao da TI que
no esto aprovadas ou no esto sujeitas aos padres
organizacionais de TI.

PO5 Gerenciar os Investimentos em TI


Estabelece cinco objetivos de controle.
Um framework estabelecido e mantido para gerenciar os programas de
investimento em TI e este engloba os custos, benefcios e priorizao de
acordo com o oramento, um processo formal de oramentao e
gerenciamento sobre o oramento.

70

As partes interessadas so consultadas para identificar e controlar o custo


total e benefcios no contexto dos planos estratgicos e tticos de TI, e iniciar
aes corretivas quando necessrio.
O processo promove parceria entre TI e as partes interessadas do negcio,
habilita o uso efetivo e eficiente dos recursos de TI, e prov transparncia e
responsabilidade sobre o Custo Total de Propriedade (Total Cost of
Ownership - TCO) na realizao dos benefcios para o negcio e Retorno
sobre os Investimentos em TI.
O objetivo deste processo demonstrar continuamente as melhorias de
eficincia dos custos de TI e sua contribuio para a lucratividade do negcio
com servios integrados e padronizados que satisfaam as expectativas dos
usurios finais.
Objetivos de controle do processo P05:

PO5.1 Framework de gerenciamento financeiro


PO5.2 Priorizao de acordo com o oramento
PO5.3 Oramentao de TI
PO5.4 Gerenciamento de custos
PO5.5 Gerenciamento de benefcios

Este processo medido por:

Percentual de reduo do custo unitrio dos servios de TI entregues;


Percentual do valor de desvio do oramento comparado com o
oramento total;
Percentual de gastos de TI expressos em linguagem de negcio (isto
, aumento de vendas ou de servios em funo de aumento de
conectividade).

PO6 Comunicar Metas Gerenciais e Direcionamento


Estabelece cinco objetivos de controle.
71

A alta direo desenvolve um framework corporativo de controle de TI e


defini e comunica as polticas. Um programa de comunicao
implementado para articular a misso, objetivos de servio, polticas e
procedimentos e outras iniciativas aprovadas e suportadas pelo
gerenciamento.
A comunicao suporta o alcance aos objetivos de TI e assegura a conscincia
e compreenso dos riscos do negcio e da TI, objetivos e direcionamento.
O processo tambm assegura aderncia com legislao e regulamentos
relevantes.
O objetivo deste processo fornecer informao precisa e no tempo
adequado aos servios de TI atuais e futuros e seus riscos associados e
responsabilidades.
Objetivos de controle do processo P06:

PO6.1 Poltica de TI e ambiente de controle


PO6.2 Riscos corporativos de TI e framework de controle
PO6.3 Gerenciamento de polticas de TI
PO6.4 Aplicao de polticas, padres e procedimentos
PO6.5 Comunicao dos objetivos de TI e direcionamento

Este processo medido por:

Nmero de interrupes no negcio causadas por interrupes dos


servios de TI;
Percentual de partes interessadas que entendem o framework
corporativo de controle de TI;
Percentual de partes interessadas que no esto em conformidade
com as polticas estabelecidas.

72

PO7 Gerenciar Recursos Humanos de TI


Estabelece oito objetivos de controle.
Uma fora de trabalho competente adquirida e mantida para a criao e
entrega dos servios de TI para o negcio. Isto alcanado por seguir prticas
definidas e acordadas que suportam o recrutamento, treinamento, avaliao
de performance, promoo e desligamento.
Este processo crtico, considerando que pessoas so tratadas como um
ativo importante para a empresa, e governana e o controle interno do
ambiente so extremamente dependentes da motivao e competncias das
pessoas.
O objetivo deste processo adquirir pessoas competentes e motivas para
criar e entregar servios de TI.
Objetivos de controle do processo P07:

PO7.1 Contratao e reteno de pessoal


PO7.2 Competncias pessoais
PO7.3 Papis
PO7.4 Treinamento
PO7.5 Dependncia sobre indivduos
PO7.6 Procedimentos de autorizao de pessoal
PO7.7 Avaliao de performance dos colaboradores
PO7.8 Mudanas de emprego e desligamentos

Este processo medido por:

Nvel da satisfao das partes interessadas com o expertise e


competncias do pessoal de TI;
Rotatividade do pessoal de TI;
Percentual do pessoal certificado de acordo com as necessidades do
trabalho.

73

PO8 Gerenciar Qualidade


Estabelece seis objetivos de controle.
Um sistema de gerenciamento de qualidade desenvolvido e mantido para
incluir desenvolvimento comprovado e aquisio de processos e padres.
Isto habilitado por meio de planejamento, implementao e manuteno
do sistema de gerenciamento da qualidade por fornecer requisitos claros de
qualidade, procedimentos e polticas.
Requisitos de qualidade so estabelecidos e comunicados em indicadores
quantificveis e alcanveis. Melhoria contnua alcanada pelo
monitoramento constante, analise e ao sobre desvios, e na comunicao
dos resultados para as partes interessadas.
Gerenciamento de qualidade essencial para assegurar que a TI est
agregando valor ao negcio, melhoria contnua e transparncia para as
partes interessadas.
O objetivo deste processo assegurar uma melhoria contnua e mensurvel
dos servios de TI entregues.
Objetivos de controle do processo P08:

PO8.1 Sistema de gerenciamento de qualidade


PO8.2 Padres de TI e prticas de qualidade
PO8.3 Padres de desenvolvimento e aquisio
PO8.4 Foco no cliente
PO8.5 Melhoria contnua
PO8.6 Medio de qualidade, monitoramento e reviso

Este processo medido por:

Percentual de partes interessadas satisfeitas com a qualidade da TI


(por importncia);
74

Percentual de processos de TI que so formalmente revisados por


controle de qualidade em uma base peridica que atenda as metas e
objetivos de qualidade;
Percentual de processos recebendo reviso de controle de qualidade.

PO9 Avaliar e Gerenciar Riscos de TI


Estabelece seis objetivos de controle.
Um framework para gerenciamento de riscos criado mantido. O
framework documenta um nvel comum e acordado de riscos de TI,
estratgia de mitigao e riscos residuais.
Qualquer impacto potencial nos objetivos da organizao que seja causado
por um evento no planejado identificado, analisado e avaliado.
Estratgias para mitigao dos riscos so adotadas para minimizar riscos para
um nvel aceitvel.
O resultado da avaliao deve ser compreensvel para as partes interessadas
e deve ser expressado em termos financeiros, para habilitar as partes
interessadas a alinhar os riscos a um nvel aceitvel de tolerncia.
O objetivo deste processo analisar e comunicar os riscos de TI e seu
potencial impacto nos processos e objetivos do negcio.
Objetivos de controle do processo P09:

PO8.1 Framework de gerenciamento de riscos de TI


PO8.2 Estabelecimento do contexto dos riscos
PO8.3 Identificao de eventos
PO8.4 Avaliao de riscos
PO8.5 Resposta a riscos
PO8.6 Manuteno e monitoramento de um plano de ao de riscos

75

Este processo medido por:

Percentual de objetivos crticos de TI cobertos por uma avaliao de


riscos;
Percentual de riscos crticos de TI identificados com planos de ao
desenvolvidos;
Percentual de planos de ao para gerenciamento de riscos
aprovados para implementao.

PO10 Gerenciar Projetos


Estabelece catorze objetivos de controle
Um framework para gerenciamento de programas e projetos para o
gerenciamento de todos os projetos de TI estabelecido. O framework
assegura a priorizao correta e a coordenao de todos projetos.
O framework inclui o plano principal, atribuio de recursos, definio dos
entregveis, controle de qualidade, um plano formal de testes, testes e
reviso ps-implementao aps a instalao para assegurar o
gerenciamento do risco do projeto e a entrega de valor para o negcio.
Esta abordagem reduz o risco de custos inesperados e o cancelamento de
projetos, melhora a comunicao para o envolvimento do negcio e dos
usurios finais, assegura o valor e a qualidade dos entregveis dos projetos, e
maximiza sua contribuio ao programa de investimentos de TI.
O objetivo deste processo assegurar que os resultados dos projetos sejam
entregues dentro do prazo acordado, no oramento definido e com a
qualidade necessria.
Objetivos de controle do processo P010:
PO10.1 Framework de gerenciamento de programas
PO10.2 Framework de gerenciamento de projetos
76

PO10.3 Abordagem de gerenciamento de projetos


PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declarao do escopo dos projetos
PO10.6 Fase de iniciao dos projetos
PO10.7 Plano integrado de projetos
PO10.8 Recursos dos projetos
PO10.9 Gerenciamento de riscos dos projetos
PO10.10 Plano de qualidade dos projetos
PO10.11 Controle de mudanas dos projetos
PO10.12 Planejamento de mtodos de segurana dos projetos
PO10.13 Medio de performance, relatrios e monitoramento de
projetos
PO10.14 Encerramento dos projetos
importante observar que o COBIT se integra perfeitamente com padres
mais detalhados para o gerenciamento de projetos, como o PMBOK ou
PRINCE2.
Este processo medido por:

Percentual de projetos atendendo as expectativas das partes


interessadas (no prazo, no oramento e atendendo aos requisitos
por importncia);
Percentual de projetos que recebem reviso ps-implementao;
Percentual de projetos que esto seguindo os prticas e padres para
gerenciamento de projetos.

77

ADQUIRIR E IMPLEMENTAR
Descrio do Processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo;


Critrios de informao aplicados ao processo;
Uma declarao genrica de aes para um gerenciamento mnimo de
boas prticas para assegurar que o - processo seja mantido sob controle;
Principais indicadores de performance;
Recursos de TI envolvidos;
Objetivos de controle detalhados;
Diretrizes de gerenciamento:
o Entradas e processos
de origem
o Sadas e processos de
destino
Matriz de
responsabilidades (RACI);
Objetivos e mtricas;
Modelo de maturidade.

78

Adquirir e implementar (AI)


Os processos do domnio Adquirir e
Implementar so:
AI1. Identificar solues
automatizadas
AI2. Adquirir e manter software
aplicativo
AI3. Adquirir e manter infraestrutura
tecnolgica
AI4. Habilitar operao e uso
AI5. Obteno de recursos de TI
AI6. Gerenciar mudanas
AI7. Instalar e validar solues e mudanas
AI1 Identificar Solues Automatizadas
Estabelece quatro objetivos de controle.
A necessidade para uma nova aplicao ou funes requer anlise antes da
aquisio ou criao para assegurar que os requisitos de negcio sejam
satisfeitos em uma abordagem efetiva e eficiente. Este processo cobre a
definio das necessidades, considerao das fontes alternativas, reviso da
viabilidade tecnolgica e econmica, e concluso da deciso final sobre fazer
ou comprar.
Todos estes passos habilitam as organizaes a minimizar os custos para
adquirir e implementar solues enquanto assegura que estas habilitam que
o negcio possa alcanar seus objetivos.
O objetivo deste processo traduzir as funcionalidades do negcio e
requisitos de controles em um design efetivo e eficiente de solues
automatizadas.

79

Objetivos de controle do processo AI1:


AI1.1 Definio e manuteno do funcionamento do negcio e
requisitos tcnicos
AI1.2 Relatrio de anlise de riscos
AI1.3 Estudo de viabilidade e formulao de cursos de ao
alternativos
AI1.4 Aprovao de estudos de viabilidade e requisitos
Este processo medido por:

Nmero de projetos cujos objetivos estabelecidos no foram


atingidos em funo de estudos de viabilidade incorretos;
Percentual de estudos de viabilidade assinados pelos proprietrios
dos processos de negcio;
Percentual de usurios satisfeitos com as funcionalidades entregues.

AI2 Adquirir e Manter Software Aplicativo


Estabelece dez objetivos de controle.
Aplicaes so colocadas disponveis em alinhamento com os requisitos de
negcio. Este processo cobre o projeto das aplicaes, a incluso apropriada
de controles de aplicao e requisitos de segurana, e o desenvolvimento e
configurao alinhados com padronizaes.
Isto permite que a organizao possa suportar a operao do negcio de
maneira apropriada e com as aplicaes corretas automatizadas.
O objetivo deste processo alinhar as aplicaes disponveis com os
requisitos de negcio, e fazer isso no tempo adequado e com um custo
razovel.
Objetivos de controle do processo AI2:

80

AI2.1 Design de alto nvel


AI2.2 Design detalhado
AI2.3 Controle e auditabilidade de aplicativos
AI2.4 Segurana e disponibilidade de aplicativos
AI2.5 Configurao e implementao de software aplicativo
adquirido
AI2.6 Major upgrades em sistemas existentes
AI2.7 Desenvolvimento de software aplicativo
AI2.8 Controle de qualidade de software
AI2.9 Gerenciamento de requisitos de aplicativos
AI2.10 Manuteno de software aplicativo

Este processo medido por:

Nmero de problemas em ambiente de produo, por aplicao,


causando downtime visvel;
Percentual de usurios satisfeitos com as funcionalidades entregues.

AI3 Adquirir e Manter Infraestrutura Tecnolgica


Estabelece quatro objetivos de controle.
As organizaes tem processos para aquisio, implementao e atualizaes
da infraestrutura tecnolgica.
Isto requer um abordagem planejada para aquisio, manuteno e proteo
da infraestrutura alinhados com estratgias tecnolgicas acordadas e com o
provisionamento de ambientes de desenvolvimento e testes.
Isto assegura que h suporte tecnolgico no dia-a-dia para as aplicaes do
negcio.
O objetivo deste processo adquirir e manter uma infraestrutura de TI
integrada e padronizada.

81

Objetivos de controle do processo AI3:

AI3.1 Plano de aquisio da infraestrutura tecnolgica


AI3.2 Disponibilidade e proteo de recursos da infraestrutura
AI3.3 Manuteno da infraestrutura
AI3.4 Viabilidade do ambiente de testes

Este processo medido por:

Percentual de plataformas que no esto alinhadas com a


arquitetura de TI e padres tecnolgicos;
Nmero de processos crticos de negcio suportados por
infraestrutura obsoleta (ou que vai ficar obsoleta em curto prazo);
Nmero de componentes da infraestrutura que no tem mas suporte
(ou que no tero mais em curto prazo).

AI4 Habilitar Operao e Uso


Estabelece quatro objetivos de controle.
O conhecimento sobre sistemas novos deve estar disponvel. Este processo
demanda a produo de documentao e manuais para usurios e a prpria
TI, e oferece treinamento para assegurar o uso apropriado e a operao das
aplicaes e de infraestrutura.
O processo visa assegurar a satisfao dos usurios finais em relao a oferta
de servios e respectivos nveis e integrando continuamente as aplicaes e
solues tecnolgicas aos processos de negcio.
Objetivos de controle do processo AI4:
AI4.1 Planejamento para solues operacionais
AI4.2 Transferncia de conhecimento para as gerncias de negcio
AI4.3 Transferncia de conhecimento para usurios finais

82

AI4.4 Transferncia de conhecimento para operao e equipes de


suporte
Este processo medido por:

Nmero de aplicaes onde os procedimentos de TI so


continuamente integrados aos processos de negcio;
Percentual de proprietrios de negcio satisfeitos com o treinamento
de aplicativos e materiais de suporte;
Nmero de aplicativos com usurios adequados e treinamento de
suporte operacional.

AI5 Obteno de Recursos de TI


Estabelece quatro objetivos de controle.
Os recursos de TI, incluindo pessoas, hardware, software e servios, preciso
ser obtidos. Isto requer a definio e cumprimento de procedimentos de
aquisio, a seleo de fornecedores, a definio de acordos contratuais, a
aquisio propriamente dita.
Fazer isso assegura que a organizao tenha todos os recursos de TI
requisitados no tempo apropriado e de uma maneira efetiva sob o ponto de
vista de custos.
Esta iniciativa vem ao encontro da necessidade de negcio em melhorar a
eficincia financeira da TI e sua consequente contribuio para a
lucratividade do negcio.
Objetivos de controle do processo AI5:

AI5.1 Controle de aquisies


AI5.2 Gerenciamento de contratos de fornecedores
AI5.3 Seleo de fornecedores
AI5.4 Aquisio de recursos de TI
83

Este processo medido por:

Nmero de disputas relacionadas a contratos de compra;


Percentual de reduo dos custos de aquisio;
Percentual de partes interessadas importantes que esto satisfeitos
com os fornecedores.

AI6 Gerenciar Mudanas


Estabelece cinco objetivos de controle.
Todas as mudanas, incluindo manuteno de emergncia e aplicao de
patches, relacionadas a infraestrutura e aplicaes do ambiente de produo
so formalmente gerenciadas de forma controlada.
Mudanas, incluindo aquelas relacionadas a procedimentos, processos,
sistemas e parmetros de servios, so registradas, avaliadas e autorizadas
antes de sua implementao, e so revisadas em relao as sadas planejadas
aps a implementao.
Isto assegura a mitigao de riscos de impacto negativo a estabilidade ou
integridade do ambiente de produo.
O objetivo deste processo responder aos requisitos de negcio em
alinhamento com a estratgia do negcio, reduzindo os defeitos na entrega
de servios e retrabalho.
Objetivos de controle do processo AI6:

AI6.1 Padres e procedimentos de mudana


AI6.2 Avaliao de impacto, priorizao e autorizao
AI6.3 Mudanas emergenciais
AI6.4 Acompanhamento de mudana de status e relatrios
AI6.5 Fechamento e documentao da mudana
84

Este processo medido por:

Nmero de interrupes ou erros de dados causados por


especificao imprecisa ou avaliao de impacto imcompleta;
Volume de retrabalho em aplicaes ou infraestrutura causado por
especificaes de mudanas inadequadas;
Percentual de mudanas que seguiram um processo formal de
controle.

AI7 Instalar e Validar Solues e Mudanas


Estabelece nove objetivos de controle.
Novos sistemas devem ser colocados em operao aps seu
desenvolvimento estar completo. Isto requer testes adequados em um
ambiente dedicado com dados relevantes para o propsito de testes,
definio do plano de implementao e instrues para migrao,
planejamento da liberao para colocar o sistema em produo, e inclui
tambm uma reviso ps-implementao.
Isto assegura que os sistemas estejam disponveis de maneira alinhada com
as sadas e expectativas previamente acordadas com as reas de negcio da
empresa.
O foco principal deste objetivo de controle assegurar que a implementao
de novos sistemas ou de mudanas ocorra sem causar grandes impactos ou
problemas aps a instalao.
Objetivos de controle do processo AI7:

AI7.1 Treinamento
AI7.2 Plano de testes
AI7.3 Plano de Implementao
AI7.4 Ambiente de testes
85

AI7.5 Converso de sistemas e dados


AI7.6 Testes das mudanas
AI7.7 Teste de aceitao final
AI7.8 Promoo para produo
AI7.9 Reviso ps-implementao

Este processo medido por:

Volume de downtime de aplicaes ou nmero de correes nos


dados causadas em funo de testes inadequados;
Percentual de sistemas que atendem aos benefcios esperados
quando medidos por meio do processo de reviso psimplementao;
Percentual de projetos com plano de testes documentado e
aprovado.

86

ENTREGAR E SUPORTAR
Descrio do Processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo;


Critrios de informao aplicados ao processo;
Uma declarao genrica de aes para um gerenciamento mnimo de
boas prticas para assegurar que o - processo seja mantido sob controle;
Principais indicadores de performance;
Recursos de TI envolvidos;
Objetivos de controle detalhados;
Diretrizes de gerenciamento:
o Entradas e processos
de origem
o Sadas e processos de
destino
Matriz de
responsabilidades (RACI);
Objetivos e mtricas;
Modelo de maturidade.

87

Entregar e suportar (DS)


Os processos do domnio entregar e suportar so:
DS1.
DS2.
DS3.
DS4.
DS5.
DS6.
DS7.
DS8.
DS9.
DS10.
DS11.
DS12.
DS13.

Definir e gerenciar nveis de


servio
Gerenciar servios de terceiros
Gerenciar performance e
capacidade
Garantir a continuidade dos
servios
Garantir a segurana dos
sistemas
Identificar e alocar custos
Educar e treinar usurios
Gerenciar a central de servios
e incidentes
Gerenciar a configurao
Gerenciar problemas
Gerenciar dados
Gerenciar os ambientes fsicos
Gerenciar operaes

DS1 Definir e Gerenciar Nveis de Servio


Estabelece seis objetivos de controle.
Trata-se da comunicao efetiva entre a gerncia da TI e os clientes do
negcio, em relao aos servios requeridos, habilitado atravs da
documentao e o acordo de servios da TI e nveis de servios.
Este processo tambm inclui o monitoramento e o reporte em tempo
adequado para as partes interessadas sobre o cumprimento dos nveis de
servios.
88

Este processo habilita o alinhamento entre os servios da TI o os


requerimentos de negcio associados.
O objetivo assegurar o alinhamento dos principais servios de TI com a
estratgia do negcio.
Objetivos de controle do processo DS1:

DS1.1 Framework de gerenciamento de nvel de servio


DS1.2 Definio dos servios
DS1.3 Acordos de nvel de servio
DS1.4 Acordos de nvel operacional
DS1.5 Monitoramento e reporte sobre os nveis de servio
alcanados
DS1.6 Reviso dos acordos de nvel de servio e contratos
Este processo medido por:

Percentual de partes interessadas do negcio que esto satisfeitos


com o alcance dos nveis de servio acordados;
Nmero de servios entregues que no constam no catlogo de
servios;
Nmero de reunies por ano para reviso formal dos nveis de
servio realizadas com os clientes do negcio.

DS2 Gerenciar Servios de Terceiros


Estabelece quatro objetivos de controle.
A necessidade de assegurar que servios providos por terceiros atendam aos
requisitos do negcio requer um processo efetivo de gerenciamento de
terceiros.

89

Este processo efetuado com papeis claramente definidos,


responsabilidades e expectativas em acordos com terceiros, assim como
reviso e monitoramento destes acordos para efetividade e conformidade.
O gerenciamento efetivo de servios de terceiros minimiza os riscos de
negcio associados com fornecedores sem a performance necessria ou
adequada.
O objetivo deste processo assegurar que terceiros possam prover servios
satisfatrios mantendo a transparncia sobre os benefcios, custos e riscos.
Objetivos de controle do processo DS2:

DS2.1 Identificao de todos os relacionamentos com fornecedores


DS2.2 Gerenciar o relacionamento com fornecedores
DS2.3 Gerenciar risco dos fornecedores
DS2.4 Monitorar a performance dos fornecedores

Este processo medido por:

Nmero de reclamaes de usurios sobre os servios contratados.


Percentual de fornecedores estratgicos alcanando requisitos e
nveis de servio claramente definidos;
Percentual de fornecedores estratgicos sujeitos a monitoramento.

DS3 Gerenciar Performance e Capacidade


Estabelece cinco objetivos de controle.
A necessidade de gerenciar performance e capacidade dos recursos de TI
requer um processo para rever periodicamente a performance e capacidade
atual dos recurso s de TI.
Este processo inclui a previso da capacidade futura baseado em requisitos
de carga, armazenamento e contingncia.
90

Este processo assegura que recursos de informao que suportam requisitos


de negcio estejam disponveis continuamente.
O objetivo deste processo otimizar a performance da infraestrutura de TI,
recursos e capacidades em resposta as necessidades de negcio.
Objetivos de controle do processo DS3:

DS3.1 Planejamento de performance e capacidade


DS3.2 Performance e capacidade atual
DS3.3 Performance e capacidade futura
DS3.4 Disponibilidade dos recursos de TI
DS3.5 Monitoramento e relatrios

Este processo medido por:

Nmero de horas perdidas por usurio/por ms em funo de um


planejamento de capacidade insufuciente;
Percentual de picos onde a utilizao prevista excedida;
Percentual de tempo de resposta no alcanado nos acordos de nvel
de servio.

DS4 Garantir a Continuidade dos Servios


Estabelece dez objetivos de controle.
A necessidade de prover servios de TI de maneira contnua requer o
desenvolvimento, manuteno e testes de planos de continuidade dos
servios de TI, utilizando armazenamento externo de backups e
proporcionando treinamento peridico sobre os planos de continuidade.
Um processo efetivo de servios contnuos minimiza a probabilidade de
impacto, para os processos e funes do negcio, causado por uma
interrupo significativa nos servios de TI (desastre).
91

O objetivo deste processo assegurar o mnimo impacto para o negcio em


funo de eventos que venham interromper os servios de TI por focar na
construo de resilincia das solues automatizadas e no desenvolvimento,
manuteno e testes de planos de continuidade dos servios de TI.
Objetivos de controle do processo DS4:

DS4.1 Framework de continuidade de TI


DS4.2 Plano de continuidade de TI
DS4.3 Recursos crticos de TI
DS4.4 Manuteno do plano de continuidade de TI
DS4.5 Teste do plano de continuidade de TI
DS4.6 Treinamento do plano de continuidade de TI
DS4.7 Distribuio do plano de continuidade de TI
DS4.8 Recuperao e retomada dos servios de TI
DS4.9 Armazenamento externo de backup
DS4.10 Reviso ps-retomada

Este processo medido por:

Nmero de horas perdidas por usurio/por ms em funo de falhas


no planejadas;
Nmero de processos crticos para o negcio dependentes de
recursos de TI que no esto cobertos por um plano de continuidade.

DS5 Garantir a Segurana dos Sistemas


Estabelece onze objetivos de controle.
A necessidade de manter a integridade da informao e proteger os ativos da
TI requer um processo de gerenciamento de segurana.
Este processo inclui de estabelecer e manter papeis e responsabilidades,
polticas, padres e procedimentos da segurana de TI. O gerenciamento da
92

segurana tambm inclui realizar monitoramento da segurana, testes


peridicos e implementar aes corretivas ao identificar fraquezas ou
incidentes de segurana.
Um gerenciamento efetivo de segurana protege todos os ativos da TI para
minimizar o impacto sobre o negcio sobre vulnerabilidades e incidentes de
segurana.
O objetivo deste processo manter a integridade da informao e sua
infraestrutura de processamento, e minimizar o impacto de vulnerabilidades
e incidentes de segurana.
Objetivos de controle do processo DS5:

DS5.1 Gerenciamento da segurana de TI


DS5.2 Plano de segurana de TI
DS5.3 Gerenciamento de identidade
DS5.4 Gerenciamento de contas de usurios
DS5.5 Testes de segurana, fiscalizao e monitoramento
DS5.6 Definio de incidentes de segurana
DS5.7 Proteo da tecnologia de segurana
DS5.8 Gerenciamento de chaves de criptografia
DS5.9 Preveno, deteco e correo de SW malicioso
DS5.10 Segurana de redes
DS5.11 Troca de dados importantes

Este processo medido por:

Nmero de incidentes que afetaram a reputao da organizao no


mercado;
Nmero de sistemas onde os requisitos de segurana no so
alcanados;
Nmero de violaes em segregao de papis.

93

DS6 Identificar e Alocar Custos


Estabelece quatro objetivos de controle.
A necessidade para um sistema justo e imparcial de alocao de custos para
o negcio requer a medio exata de custos da TI e acordos com usurios de
negcio para uma alocao correta.
Este processo inclui a criao e operao de um sistema de captura, alocao
e reporte dos custos da TI para os usurios de servios.
Um sistema justo de alocao habilita o negcio a tomar decises com
conscincia sobre o custo do uso de servios de TI.
O objetivo deste processo assegurar transparncia e entendimento dos
custos de TI e melhorar a eficincia por meio de uso consciente do servios
de TI.
Objetivos de controle do processo DS6:

DS6.1 Definio dos servios


DS6.2 Contabilidade de TI
DS6.3 Modelos de custos e cobranas
DS6.4 Manuteno do modelo de custos

Este processo medido por:

Percentual de contas referentes ao servios de TI aceitas/pagas pelos


gerentes de negcio;
Percentual de variao entre oramento, previso e custo atual;
Percentual dos custos gerais de TI que so alocados de acordo com
os modelos de custos acordados.

94

DS7 Educar e Treinar Usurios


Estabelece trs objetivos de controle.
A educao efetiva de todos os usurios de sistemas de TI, incluindo aqueles
dentro da TI, requer a identificao das necessidades de treinamento de cada
grupo.
Alm da identificao da necessidade, este processo inclui a definio e
execuo de uma estratgia para um treinamento efetivo e medio de
resultados.
Um programa efetivo de treinamento melhora o uso efetivo da tecnologia
com a reduo de erros de usurios, aumenta a produtividade e aumenta a
conformidade com controles chaves, tais como as medidas de segurana para
usurios.
O objetivo deste processo usar as aplicaes e solues tecnolgicas de
maneira eficiente e eficaz, garantindo a aderncia dos usurios com polticas
e procedimentos.
Objetivos de controle do processo DS7:
DS7.1 Identificao de necessidade de educao e treinamento
DS7.2 Entrega de treinamento e educao
DS7.3 Avaliao do treinamento recebido
Este processo medido por:

Nmero de chamados na central de servios em funo de falta de


treinamento dos usurios;
Percentual de satisfao das partes interessadas com o treinamento
oferecido;
Tempo decorrido entre a identificao de uma necessidade de
treinamento e a entrega do mesmo.

95

DS8 Gerenciar Central de Servios e Incidentes


Estabelece cinco objetivos de controle.
Respostas efetivas e no tempo adequado para as perguntas e problemas dos
usurios da TI requerem uma central de servios bem desenhada e
implementada e um processo de gerenciamento de incidentes.
Este processo inclui a implementao da funo da central de servios com
registro, escalao, tendncias, anlise de causas raiz e resoluo de
incidentes.
O benefcio para o negcio inclui um aumento de produtividade por meio da
rpida resoluo das perguntas dos usurios.
Alm disso, o negcio pode enderear causas raiz por meio de relatrios
efetivos.
O objetivo deste processo habilitar o uso efetivo dos sistemas de TI
assegurando a resoluo e anlise das solicitaes, questes e incidentes
reportados por usurios finais.
Objetivos de controle do processo DS8:

DS8.1 Central de servios


DS8.2 Registro das solicitaes dos usurios
DS8.3 Escalao de incidentes
DS8.4 Fechamento de incidentes
DS8.5 Relatrio e anlises de tendncia

Este processo medido por:

Volume de usurios satisfeitos com o suporte de primeiro nvel;


Percentual de incidentes resolvidos dentro do tempo acordado ou
em um perodo aceitvel;
Taxa de abandono de ligaes.
96

DS9 Gerenciar a Configurao


Estabelece trs objetivos de controle.
Assegurar a integridade da configurao de hardware e software requer
estabelecer e manter um preciso e completo repositrio da configurao.
Este processo inclui a coleta inicial de informao sobre a configurao,
estabelecer bases de referncia, verificar e auditar a informao da
configurao e atualizar o repositrio da configurao quando necessrio.
O gerenciamento efetivo da configurao facilita a maior disponibilidade do
sistema, minimiza problemas no ambiente de produo e ajuda a resolver
estes problemas com maior rapidez.
O objetivo deste processo otimizar a infraestrutura de TI, recursos e
capacidades, e a responsabilidade sobre os ativos de TI.
Objetivos de controle do processo DS9:
DS9.1 Repositrio de configurao e referncia
DS9.2 Identificao e manuteno de itens de configurao
DS9.3 Reviso da integridade da configurao
Este processo medido por:

Nmero de no conformidades de negcio causadas por


configurao inapropriada dos ativos;
Nmero de divergncias identificadas entre o repositrio de
configurao e a configurao atual dos ativos;
Percentual de licenas adquiridas e no contabilizadas no repositrio.

DS10 Gerenciar Problemas


Estabelece quatro objetivos de controle.
97

Um gerenciamento efetivo de problemas requer a identificao e


classificao de problemas, anlise da causa raiz e resoluo de problemas.
O processo do gerenciamento de problemas tambm inclui a identificao de
recomendaes para melhorar a manuteno de registros de problemas e
revisar o status de aes corretivas.
Um processo do gerenciamento de problemas efetivo melhora nveis de
servio, reduz custos e melhora a convenincia e satisfao do cliente.
O objetivo deste processo assegurar a satisfao do usurio final com a
oferta de servios e nveis de servio, e reduzindo a necessidade de busca
por solues, de entrega de servios com defeito e retrabalho.
Objetivos de controle do processo DS10:

DS10.1 Identificao e classificao de problemas


DS10.2 Acompanhamento de problemas e resolues
DS10.3 Fechamento de problemas
DS10.4 Integrao do gerenciamento de configurao, incidentes e
problemas

Este processo medido por:

Nmero de problemas recorrentes com impacto para o negcio;


Percentual de problemas resolvidos dentro do tempo requerido;
Frequncia de relatrios ou atualizaes sobre o tratamento do
problemas, baseado na severidade.

DS11 Gerenciar Dados


Estabelece seis objetivos de controle
O gerenciamento efetivo de dados requer a identificao de requisitos para
os dados.
98

O processo de gerenciamento de dados tambm inclui estabelecer


procedimentos efetivos para gerenciar a biblioteca de mdias, backup e
recuperao e disponibilizar mdias apropriadas.
Um gerenciamento efetivo de dados ajuda a assegurar a qualidade,
oportunidade e disponibilidade de dados para o negcio.
O objetivo deste processo otimizar o uso de informao e assegurar que a
informao esteja disponvel quando requerido.
Objetivos de controle do processo DS11:

DS11.1 Requisitos de negcio para o gerenciamento de dados


DS11.2 Providncias para reteno e armazenamento
DS11.3 Sistema de gerenciamento de biblioteca de mdias
DS11.4 Descarte
DS11.5 Backup e restaurao
DS11.6 Requisitos de segurana para gerenciamento de dados

Este processo medido por:

Percentual de usurios satisfeitos com a disponibilidade dos dados;


Percentual de restauraes de dados realizadas com sucesso;
Nmero de incidentes nos quais dados importantes foram
recuperados aps a mdia ter sido descartada.

DS12 Gerenciar os Ambientes Fsicos


Estabelece cinco objetivos de controle.
A proteo dos equipamentos de computao e pessoal requer instalaes
bem desenhadas e bem gerenciadas.

99

O processo de gerenciar o ambiente fsico inclui definir os requisitos do


ambiente fsico, seleo de instalaes apropriadas e desenho efetivo dos
processos para monitorar elementos ambientais e gerenciar o acesso fsico.
Um gerenciamento efetivo do ambiente fsico reduz interrupes no negcio
em funo de danos causados nos equipamentos de computao e no
pessoal.
O objetivo deste processo proteger ativos e dados do negcio e minimizar o
risco de interrupo do negcio.
Objetivos de controle do processo DS12:

DS12.1 Seleo de local e layout


DS12.2 Medidas de segurana fsica
DS12.3 Acesso fsico
DS12.4 Proteo contra fatores ambientais
DS12.5 Gerenciamento das instalaes fsicas

Este processo medido por:

Volume de downtime gerado por incidentes de falhas fsicas no


ambiente;
Nmero de incidentes causados por brechas ou falhas de segurana
fsica;
Frequncia de avaliao de riscos fsicos e revises.

DS13 Gerenciar Operaes


Estabelece cinco objetivos de controle.
O processamento completo e exato de dados requer um gerenciamento
efetivo do processamento e a manuteno do hardware.

100

Este processo inclui a definio de polticas e procedimentos operacionais


para um gerenciamento efetivo da programao do processamento,
proteo de sadas importantes, monitoramento da infraestrutura e
manuteno preventiva de hardware.
Um gerenciamento efetivo da operao ajuda a manter a integridade dos
dados e reduz atrasos no negcio e custos da operao da TI.
O objetivo deste processo a manuteno da Integridade dos dados e
assegurar que a infraestrutura de TI possa resistir e se recuperar de erros e
falhas.
Objetivos de controle do processo DS13:

DS13.1 Procedimentos e instrues operacionais


DS13.2 Agendamento de trabalhos
DS13.3 Monitoramento da infraestrutura de TI
DS13.4 Documentos importantes e dispositivos de sada
DS13.5 Manuteno preventiva de hardware

Este processo medido por:

Nmero de nveis de servio impactados por incidentes operacionais;


Horas de downtime no plenejado causados por incidentes
operacionais;
Percentual de ativos de hardware includos em agendas de
manuteno preventiva.

101

MONITORAR E AVALIAR
Descrio do Processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo;


Critrios de informao aplicados ao processo;
Uma declarao genrica de aes para um gerenciamento mnimo de
boas prticas para assegurar que o - processo seja mantido sob controle;
Principais indicadores de performance;
Recursos de TI envolvidos;
Objetivos de controle detalhados;
Diretrizes de gerenciamento:
o Entradas e processos
de origem
o Sadas e processos de
destino
Matriz de
responsabilidades (RACI);
Objetivos e mtricas;
Modelo de maturidade.

102

Monitorar e Avaliar (ME)


Os processos do domnio Monitorar
e Avaliar so:
ME1. Monitorar e avaliar a performance da TI
ME2. Monitorar e avaliar controles
internos
ME3. Assegurar aderncia com
requisitos externos
ME4. Prover governana de TI

ME1 Monitorar e Avaliar a Performance da TI


Estabelece seis objetivos de controle.
O gerenciamento efetivo da performance da TI requer um processo de
monitoramento.
Este processo inclui definir indicadores de performance relevantes, relatrios
sistemticos e no tempo adequado sobre questes de performance e aes
tomadas em relao a desvios.
O monitoramento necessrio para ter certeza que as coisas corretas esto
sendo feitas e esto alinhadas com o direcionamento e polticas
estabelecidas.
O objetivo deste processo obter transparncia e entendimento sobre os
custos de TI, benefcios, estratgias, polticas e nveis de servio de acordo
com os requisitos de governana.
Objetivos de controle do processo ME1:
103

ME1.1 Abordagem de monitoramento


ME1.2 Definio e colees de dados de monitoramento
ME1.3 Mtodos de monitoramento
ME1.4 Avaliao da performance
ME1.5 Relatrios para a alta administrao e executivos
ME1.6 Aes corretivas

Este processo medido por:

Satisfao da alta administrao e da entidade de governana em


relao aos relatrios de performance;
Nmero de aes de melhoria iniciadas em funo das atividades de
monitoramento;
Percentual de processos crticos monitorados.

ME2 Monitorar e Avaliar Controles Internos


Estabelece sete objetivos de controle.
Estabelecer um programa efetivo de controle interno para a TI requer um
processo de monitorao bem definido.
Este processo inclui monitor e reportar excees de controle, resultados da
auto-avaliao e reviso de terceiros.
Um benefcio importante do monitoramento de controles internos fornecer
segurana relacionada eficincia e eficcia das operaes e conformidade
com leis e regulamentos aplicveis.
O objetivo deste processo proteger o cumprimento dos objetivos de TI e
estar aderente a legislao, regulamentao ou contratos relacionados com a
TI.
Objetivos de controle do processo ME2:
104

ME2.1 Framework de monitoramento de controles internos


ME2.2 Reviso de superviso
ME2.3 Controle de excees
ME2.4 Controle de autoavaliao
ME2.5 Segurana de controles internos
ME2.6 Controles internos de terceiros
ME2.7 Aes corretivas

Este processo medido por:

Nmero de brechas graves nos controles internos;


Nmero de iniciativas para melhoria dos controles;
Nmero e cobertura da auto-avaliao de controles.

ME3 Assegurar Aderncia com Requisitos Externos


Estabelece cinco objetivos de controle.
Uma vigilncia regulatria efetiva requer o estabelecimento de um processo
de reviso para assegurar a conformidade com leis, regulamentos e
requisitos contratuais.
Este processo inclui a identificao de requisitos regulatrios, otimizao e
avaliao da respostas, obteno de certeza de que os requisitos foram
atendidos e, finalmente, a integrao dos relatrios de conformidade da TI
com o restante do negcio.
O objetivo deste processo assegurar a conformidade com leis,
regulamentao e requisitos contratuais.
Objetivos de controle do processo ME3:
ME3.1 Identificao de requisitos externos de conformidade com
legislao, regulamentao e contratuais
ME3.2 Otimizao das respostas aos requisitos externos
105

ME3.3 Avaliao de conformidade com os requisitos externos


ME3.4 Validao positiva de conformidade
ME3.5 Relatrios integrados
Este processo medido por:

Custo da no conformidade, incluindo acordos e multas;


Tempo mdio decorrido entre a identificao e resoluo de
problemas externos de conformidade;
Frequncia de revises de conformidade.

ME4 Prover Governana de TI


Estabelece sete objetivos de controle.
Estabelecer um framework efetivo de governana inclui definir a estrutura
organizacional, processos, liderana, papis e responsabilidades para
assegurar que os investimentos corporativos em TI estejam alinhados e
entregues em acordo com a estratgia e objetivos corporativos.
O objetivo deste processo integrar a governana de TI com os objetivos da
governana corporativa e cumprir com as leis, regulamentao e contratos
vigentes.
Objetivos de controle do processo ME4:

ME4.1 Estabelecimento de um framework de governana de TI


ME4.2 Alinhamento estratgico
ME4.3 Entrega de valor
ME4.4 Gerenciamento de recursos
ME4.5 Gerenciamento de riscos
ME4.6 Avaliao de performance
ME4.7 Auditoria independente

Este processo medido por:


106

Frequncia de relatrios sobre TI emitidos da alta-administrao para


partes interessadas (incluindo maturidade);
Frequncia de relatrios sobre TI emitidos da TI para a altaadministrao (incluindo maturidade);
Frequncia de revises independentes (auditorias) sobre a
conformidade de TI.

107

FAMLIA DE PRODUTOS DO COBIT


A ISACA disponibiliza uma srie de produtos complementares ao COBIT,
porm, dentre eles h 5 produtos que se destacam e importante que voc
tenha conhecimento sobre como utilizar, e quais os benefcios que cada um
deles traz.
Recomendamos que dedique alguns minutos navegando pelo site da ISACA
em Isaca com o objetivo de pesquisar um pouco mais sobre cada produto.
Esta dica vlida especialmente se voc estiver interessado em fazer o
exame de certificao em COBIT Foundations:
Algumas questes da prova podem ser sobre produtos especficos de modo
que torna-se importante que voc tenham uma viso geral sobre cada um
deles.
A seguir ser apresentado uma relao dos principais produtos.

COBIT Online
O COBIT on line apresenta informaes sobre o COBIT via internet. Restrito a
assinantes (servio pago), ele possibilita que os usurios naveguem, faam
pesquisas, compartilhem ou tirem proveito de uma base de conhecimento
sobre o assunto.
Por meio deste recurso o assinante pode ter acesso a inmeros arquivos para
download, pode comparar o desempenho de sua empresa com outras do
mesmo segmento no mercado, por meio de benchmarking, tem acesso a
questionrios para avaliao, alm claro, de ter acesso a toda a
comunidade para trocar experincias com outros usurios.
O COBIT on line prov acesso rpido e fcil a todos os recursos do COBIT, por
meio do recurso MyCOBIT possvel construir e efetuar o download de sua
108

prpria verso (customizada) do COBIT para uso com o Word ou Access j


com os modelos de avaliao.

COBIT Quickstart
O COBIT Quickstart foi especialmente projetado para dar assistncia a uma
adoo rpida e fcil dos elementos essenciais do COBIT.
Trata-se de uma verso compactada dos recursos do COBIT com foco no
processos mais crticos de TI, seus objetivos de controle e mtricas.
O COBIT Quickstart pode ser visto como uma linha de referncia para que
empresas pequenas e mdias, mas ao mesmo tempo tambm de utilidade
para grandes organizaes como um acelerador na adoo de melhores
prticas de governana de TI.

Guia de Implementao de Governana de TI


A ISACA afirma, por meio de seu folder de produtos, que um dos principais
objetivos de se adotar melhores prticas evitar a reinveno da roda!
Partindo deste princpio, entende-se que adotar melhores prticas em
governana de TI s ser possvel se sua implementao for efetiva e
eficiente.
Assim, o guia de implementao de governana de TI oferece um roadmap e
direcionamento sobre os processo de como implementar governana de TI
utilizado o COBIT, visando assegurar e mensurar o valor agregado em relao
aos investimentos realizados em TI.
Trata-se de um kit com modelos extremamente teis, ferramentas de
diagnstico e tcnicas para relatrios que auxiliam na adoo do framework
de governana baseado no COBIT, oferecendo um modelo genrico que

109

permite estabelecer um plano de ao para adapt-lo s necessidades da sua


empresa.

COBIT Security Baseline


Este produto visto como um kit bsico de sobrevivncia para diretores,
executivos, gerentes, usurios profissionais e domsticos, relacionado a
segurana da informao.
Trata-se de uma publicao focada em riscos de segurana de uma maneira
simples de seguir e implementar para qualquer pessoa, desde um usurio
domstico at executivos e conselheiros de grandes organizaes.
Ele oferece uma introduo a segurana da informao e esclarecimentos de
porque isso importante. Esta publicao foi criada com base na norma ISO
17799, e tambm oferece um sumrio tcnico dos principais riscos de
segurana.

Val IT
Esta publicao foca na governana dos investimento de TI, e naturalmente
baseado no framework do COBIT.
Ele oferece direcionamento para gerenciar os investimentos no portflio de
TI da organizao.
Trata-se de um recurso que complementa o COBIT com uma perspectiva de
negcio e financeira de modo que bastante til para quem tiver interesse
em obter o melhor retorno possvel da TI.

110

EXAME DE CERTIFICAO
Situao do mercado atual (2008 a 2012)
A necessidade de governana corporativa e a melhor gesto dos servios de
TI geram no mercado uma demanda para profissionais devidamente
qualificados na rea, especificamente aqueles com qualificao e certificao
em COBIT e ITIL para a gesto de TI.
O mercado est to carente de profissionais qualificados que estudos
indicam que a maioria das instituies especializadas em treinamento na
rea de TI registraram no em 2009 um aumento de cerca de 75% na procura
por cursos de especializao nestes assuntos.
Dentre as principais exigncias das empresas na hora da seleo e
contratao de profissionais para a rea de TI que o candidato seja
altamente qualificado. E mesmo para aqueles que j ocupam seu lugar ao sol,
a qualificao fundamental para manuteno da empregabilidade e at
mesmo para estar apto a assumir novas responsabilidades.
Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC),
um profissional certificado tem 53% a mais de chances de conseguir um
emprego em relao aos profissionais que no possuem este ttulo.
Este ndice pode ser ainda mais elevado de acordo com o tipo de certificao
que o profissional possui. Alm disso, o salrio de profissionais certificados
gira em torno de 10 a 100% a mais do que a mdia que o mercado paga aos
profissionais no certificados.
Portanto, cada vez mais os recrutadores esto familiarizados com o perfil,
competncias e habilidades que cada certificao proporciona ao candidato a
emprego, de modo que torna o processo de recrutamento e seleo mais
simples, com menos riscos e custos, ou seja, extremamente atrativo para as
empresas.
111

COBIT Foundations
O exame para certificao COBIT Foundations tem 1 hora de durao e
composto por 40 questes de multipla escolha, onde voc deve obter pelo
menos 70% de aproveitamento (28 questes) para obter a aprovao no
exame.
O exame no idioma ingls pode ser adquirido via internet no site da COBIT
Campus, por meio de um carto de crdito internacional, e poder ser
realizado em qualquer local com conexo via Internet. O investimento de
US$ 120,00 para a prova em Ingls adquirida pelo site da COBIT Campus. No
h limite de tentativas. O exame feito via internet e voc fica sabendo se foi
aprovado imediatamente aps clicar para enviar suas respostas.
Para isso, ser necessrio preencher alguns formulrios com seus dados e
indicando quem ser o seu proctor, ou seja, a pessoa que vai acompanhar
voc no momento do exame para assegurar que este seja realizado dentro
dos padres exigidos para aprovao e obteno do certificado.
possvel fazer o exame em portugus, no entanto, este distribudo
exclusivamente para parceiros da IT Preneurs. No Brasil, a empresa IT
Partners oferece o exame em portugus por meio de suas instalaes em So
Paulo e Braslia. Ao final do exame o seu proctor preencher o relatrio e
envi-lo para a ISACA.
Caso voc seja aprovado no exame, a ISACA enviar a voc um certificado
impresso, por correio. O certificado normalmente recebido dentro de 40
dias e emitido automaticamente caso voc seja aprovado.

Fatores Crticos de Sucesso


Este curso foi estruturado de maneira que voc construa uma slida base de
conhecimento sobre o COBIT, onde a compreenso de todos os conceitos
apresentados visa dar a voc condies de aplic-los em seu dia-a-dia.

112

Como consequncia voc estar com boas condies para prestar o exame
de certificao. Voc pode avaliar seu desempenho por meio dos resultados
nos simulados apresentados no ltimo captulo deste curso.
Estude o framework do COBIT 4.1 e o Val IT, navegue pelo site do ISACA,
pratique nos simulados e reveja o nosso material quantas vezes forem
necessrias!
Importante: As dicas apresentadas tem a finalidade de orientar os alunos
interessados em prestar o exame de certificao. A Fundao Bradesco no
custeia o exame e no tem qualquer relacionamento com as empresas
citadas.

113

RESUMO
Resumo dos principais tpicos do curso
Com o objetivo de fixar o contedo apresentado, a seguir temos um resumo
dos pontos mais relevantes deste curso.

Governana de TI
Trata-se de um conjunto de processos e estruturas com o objetivo de
assegurar que a TI possa suportar adequadamente os objetivos e estratgias
de negcio da organizao, de modo a agregar valor real ao negcio,
balancear riscos e, acima de tudo, obter retorno sobre os investimentos
realizados em TI.
comum observar que empresas sem um bom modelo de governana de TI
normalmente v ou trata a organizao de TI como um centro de custos, em
vez de como um parceiro para realizar a estratgia do negcio.
Membros do Conselho de Administrao e Executivos das empresas so os
responsveis pela governana de TI.

Objetivo da Governana de TI
O principal objetivo da governana de TI proporcionar o alinhamento da
organizao da TI com as necessidades do negcio, atuais e futuras,
oferecendo assim melhores condies para a tomada de deciso sobre os
investimentos em tecnologia.
O alinhamento com a estratgia da organizao possibilita que a TI possa se
posicionar de maneira a agregar valor aos produtos e servios oferecidos pela
empresa, auxilia no posicionamento competitivo, assegura que os recursos

114

sejam utilizados da melhor forma possvel, o que naturalmente implica na


reduo de custos e melhora da eficincia administrativa (excelncia
operacional).

Conceitos Bsicos do CobiT

Trata-se de um framework de controle;


uma base de conhecimento sobre os processos de TI e seu
gerenciamento;
Trata-se de um modelo genrico de melhores prticas, devendo ser
adaptado realidade e objetivos de cada empresa;
Visa assegurar que os recursos de TI estejam alinhados com os
objetivos da organizao;
Parte da premissa de que a TI precisa entregar a informao que a
empresa necessita para atingir seus objetivos;
Facilita a governana de TI de modo que esta possa realmente
agregar valor ao negcio;
Traz um modelo de referncia para a gesto de riscos em TI.

Componentes do COBIT (cubo do COBIT)


Processos de TI
Agrupados em 4 domnios

Planejar e organizar
Adquirir e implementar
Entregar e suportar
Monitorar e avaliar
o 34 processos e 210 objetivos de controle

115

Recursos de TI

Aplicaes
Informao
Infraestrutura
Pessoas (internos ou terceirizados)

Critrios de informao / Requisitos de negcio

Indicadores
Outcome Measures (Indicadores de Resultado)
So os indicadores avaliados aps a execuo do processo. Indicam se o
processo alcanou o resultado esperado, considerando inclusive os critrios
de informao.
Exemplo: na Frmula 1, aps o trmino de cada corrida normalmente se
divulga a velocidade mdia e o tempo total de prova, de modo a tornar
possvel a comparao com corridas anteriores, no mesmo circuito.
Performance Indicators (Indicadores de Performance)
So os indicadores avaliados durante a execuo do processo, de modo que
seja possvel tomar medidas corretivas para assegurar que este alcance seu
resultado.

116

Exemplo: ainda na Frmula 1, so os indicadores que representam o tempo


que o piloto demora para percorrer cada parcial da pista, quanto tem de
combustvel, qual a temperatura e presso de leo do motor, velocidade
mxima ao final da reta etc.

RACI e Maturidade
Matriz RACI
A matriz RACI, do acrnimo em ingls Responsible, Accountable, Consulted e
Informed, determina claramente qual o papel de cada envolvido com o
processo, deixando claro as responsabilidades de cada um.
Modelos de Maturidade
Os modelos de maturidade propostos pelo COBIT so derivados do mesmo
conceito adotado no CMM, e so uma maneira de classificar a maturidade da
empresa em relao a um determinado processo, fazer comparao com
outras empresas no mercado (anlise de gap), de modo que permite
estabelecer planos de ao para alcanar a maturidade desejada,
melhorando assim os resultados da TI e dos negcios que dependem da TI.

Informaes
Diretrizes de auditoria
Trata-se de um guia passo-a-passo compilado para ajudar auditores externos
ou internos a avaliar a performance da organizao.
A estrutura para o processo de auditoria aceita no mercado normalmente
compreende 4 estgios principais:

117

Obteno do entendimento dos riscos


Avaliao do controles determinados
Avaliao de conformidade (por meio de testes)
Substanciao dos riscos (dos objetivos de controle no atingidos)

Prticas de Controle
Trata-se do como o do porque importante adotar prticas de controle na
administrao, baseados na anlise das operaes e riscos da TI.
Produtos do COBIT

COBIT Online
COBIT Quickstart
Guia de implementao de governana de TI
COBIT Security Baseline
Val IT

Dica Importante
Um ponto fundamental para decidir quais prticas de controle e governana
de TI sero estabelecidas a compreenso do risco e do custo de no fazer
nada!
A equao da TI

118

Encerramento
Conclumos aqui o nosso curso de Fundamentos de COBIT.
Buscamos apresentar os conceitos de maneira gradual e provocando at
algumas repeties para melhor fixao do contedo.
Se voc vai buscar a certificao COBIT Foundations para ter isso como
diferencial em seu currculo em relao a outros profissionais da rea,
recomendamos que voc faa o download o COBIT e fique bastante
familiarizado com a estrutura do mesmo.
Alm deste, importante tambm avaliar o Val IT e conhecer toda a famlia
de produtos do COBIT. Isso pode ser feito dedicando alguns minutos
navegando nos sites da ISACA e do ITGI.
Parabns pela concluso de mais um treinamento. Esperamos que o nosso
curso possa ser til ao seu dia-a-dia e desejamos boa sorte a voc!

119

GLOSSRIO
Balanced Scorecard
Balanced Scorecard uma metodologia de medio e gesto de desempenho
desenvolvida pelos professores da Harvard Business School, Robert Kaplan e
David Norton, em 1992. Os mtodos usados na gesto do negcio, dos
servios e da infra-estrutura, baseiam-se normalmente em metodologias
consagradas que podem utilizar a TI (tecnologia da informao) e os
softwares de ERP como solues de apoio, relacionando-a gerncia de
servios e garantia de resultados do negcio. Os passos dessas metodologias
incluem: definio da estratgia empresarial, gerncia do negcio, gerncia
de servios e gesto da qualidade; passos estes implementados atravs de
indicadores de desempenho.

COSO
O COSO (Committee of Sponsoring Organizations of the Treadway
Commission) uma organizao privada criada nos EUA em 1985 para
prevenir e evitar fraudes nas demonstraes contbeis da empresa.
Inicialmente criada como National Commission on Fraudulent Financial
Reporting (em portugus: Comisso Nacional sobre Fraudes em Relatrios
Financeiros), essa comisso era formada por representantes das principais
associaes de classes de profissionais ligados rea financeira. O primeiro
objeto de estudo da comisso foram os controles internos da empresas. Essa
comisso posteriormente tornou-se um comit e passou a se chamar COSO Committee of Sponsoring Organizations of the Treadway Commission (em
portugus: Comit das Organizaes Patrocinadoras).
O COSO uma organizao sem fins lucrativos, dedicada a melhoria dos
relatrios financeiros, sobretudo pela aplicao da tica e efetividade na
aplicao e cumprimento dos controles internos e patrocinado pela cinco

120

das principais associaes de classe de profissionais ligados rea financeira


nos EUA.
Em decorrncia da globalizao e padronizao internacional das tcnicas de
auditoria, as recomendaes da COSO, relativas ao controles internos, bem
como seu cumprimento e observncia, so amplamente praticados e tidos
como modelo e referncia no Brasil e na maioria dos pases do mundo.

Eficincia
Ao de boa qualidade, praticada corretamente, sem erros e orientada para a
tarefa.
Em outras palavras, diz respeito aos meios de se fazer bem certos processos,
fazer certo um processo qualquer.

Eficcia
Conceito relacionado ideia de fazer as coisas de forma correta, atingindo
resultados. Diz respeito aos objetivos propostos, ou seja, relao entre os
resultados propostos e os atingidos.
Muito ligada ideia de eficincia, que diz respeito a fazer as coisas da melhor
maneira possvel, fazer bem feito.
Nesse sentido, eficincia cavar um poo artesiano com perfeio tcnica; j
eficcia encontrar a gua.

ISO 20000
A ISO/IEC 20000 a primeira norma editada pela ISO (International
Organization for Standardization) que versa sobre gerenciamento de servios
de TI (Tecnologia da Informao).

121

A ISO 20000 um conjunto que define as melhores prticas de


gerenciamento de servios de TI. O seu desenvolvimento foi baseado na BS
15000 (British Standard) e tem a inteno de ser completamente compatvel
com o ITIL (Information Technology Infrastructure Library). A sua primeira
edio ocorreu em Dezembro de 2005.

ISO 27001
ISO/IEC 27001 um padro para sistema de gesto da segurana da
informao (ISMS - Information Security Management System) publicado em
outubro de 2005 pelo International Organization for Standardization e pelo
International Electrotechnical Commision. Seu nome completo "ISO/IEC
27001:2005 - Tecnologia da Informao - Tcnicas de Segurana - Sistemas de
Gerncia da Segurana da Informao - Requisitos", mais conhecido como
ISO 27001.
Seu objetivo ser usado em conjunto com ISO/IEC 17799, o cdigo de
prticas para gerncia da segurana da informao, o qual lista objetivos do
controle de segurana e recomenda um conjunto de especificaes de
controles de segurana. Organizaes que implementam um ISMS de acordo
com as melhores prticas da ISO 17799 esto simultaneamente em acordo
com os requisitos da ISO 27001, mas uma certificao totalmente opcional.

122

123

89
79
977 78777  797  7  797 9 97  797 9 97 7779 !"#97
7 $9
9%7

0
12
345
6
5
7

ANEXO 2
Lei Sarbanes-Oxley
Fonte: Wikipdia, a enciclopdia livre.

A Lei Sarbanes-Oxley (em ingls, Sarbanes-Oxley Act) uma lei


estadunidense, assinada em 30 de julho de 2002 pelo senador Paul Sarbanes
(Democrata de Maryland) e pelo deputado Michael Oxley (Republicano de
Ohio). Motivada por escndalos financeiros coorporativos (dentre eles o da
Enron, que acabou por afetar drasticamente a empresa de auditoria Arthur
Andersen), essa lei foi redigida com o objetivo de evitar o esvaziamento dos
investimentos financeiros e a fuga dos investidores causada pela aparente
insegurana a respeito da governana adequada das empresas.
A lei Sarbanes-Oxley, apelidada de Sarbox ou ainda de SOX, visa garantir a
criao de mecanismos de auditoria e segurana confiveis nas empresas,
incluindo ainda regras para a criao de comits encarregados de
supervisionar suas atividades e operaes, de modo a mitigar riscos aos
negcios, evitar a ocorrncia de fraudes ou assegurar que haja meios de
identific-las quando ocorrem, garantindo a transparncia na gesto das
empresas.
Atualmente grandes empresas com operaes financeiras no exterior
seguem a lei Sarbanes-Oxley. A lei tambm afeta dezenas de empresas
brasileiras que mantm ADRs (American Depositary Receipts) negociadas na
NYSE, como a Petrobras, a GOL Linhas Areas, a Sabesp, a TAM Linhas
Areas, a Brasil Telecom, a Ultrapar (Ultragaz), a Companhia Brasileira de
Distribuio (Grupo Po de Acar), o Banco Ita e a Telemig Celular.

124

Requisitos da Lei
1. Controlar a criao, edio e versionamento dos documentos em um
ambiente de acordo com os padres ISO, para controle de todos os
documentos relativos seo 404;
2. Cadastrar os riscos associados aos processos de negcios e
armazenar os desenhos de processo;
3. Utilizar ferramentas como editor de texto e planilha eletrnica para
criao e alterao dos documentos da seo 404;
4. Publicar em mltiplos websites os contedos da seo 404;
5. Gerenciar todos os documentos controlando seus perodos de
reteno e distribuio;
6. Digitalizar e armazenar todos os documentos que estejam em papel,
ligados seo 404.

Seo 404
A seo 404 determina uma avaliao anual dos controles e procedimentos
internos para emisso de relatrios financeiros. Alm disso, o auditor
independente da companhia deve emitir um relatrio distinto, que ateste a
assero da administrao sobre a eficcia dos controles internos e dos
procedimentos executados para a emisso dos relatrios financeiros.

125

ANEXO 3
Teste Simulado
1.

A ITIL fornece detalhes de como fazer para:


1)
2)
3)
4)

2.

Segurana de TI.
Gerenciamento de Projetos.
Planejamento Estratgico.
Gerenciamento de Servios de TI.

Um dos princpios do VAL IT engajar os stakeholders (partes


interessadas) e definir uma prestao de contas apropriada
(responsabilidades de cada um):
1) Falso.
2) Verdadeiro.

3.

O VAL IT inclui princpios que declaram que os investimentos habilitados


pela TI:
1)
2)
3)
4)

4.

Sero administrados atravs de todo o seu ciclo de vida econmico.


Sero continuamente monitorados, avaliados e melhorados.
Sero monitorados atravs da definio de mtricas-chaves.
Sero focados nas atividades de TI.

Qual dos modelos abaixo baseado no COSO?


1)
2)
3)
4)

ITIL
COBIT
CMMI
PMBOK

126

5.

Qual dos processos do COBIT mais indicado para gerenciar servios de


provedores externos?
1)
2)
3)
4)

6.

Qual das opes abaixo no um dos princpios da Governana de TI?


1)
2)
3)
4)

7.

Aplicaes.
Dados.
Servidores.
Infraestrutura.

Qual processo de TI est preocupado com a definio e coleta de dados


de monitoramento?
1)
2)
3)
4)

9.

Direo.
Controle.
Disponibilidade.
Responsabilidade.

Qual recurso de TI do COBIT est relacionado com: Sistemas


automatizados e procedimentos manuais para processar informaes?
1)
2)
3)
4)

8.

DS2 Gerenciar servios de terceiros.


AI4 Manter operao e uso.
AI5 Adquirir recursos de TI.
PO10 Gerenciar projetos.

ME1 Monitorar e avaliar o desempenho da TI.


ME2 Monitorar e avaliar controle interno.
ME3 Assegurar conformidade com requisitos externos.
ME4 Fornecer Governana de TI

No Processo DS2 um contrato pr-forma assinado usado com termos e


condies padro do vendedor e descrio dos servios que sero
fornecidos. Isto indica qual nvel de maturidade no processo DS2?
1) Nvel 2 Repetvel.
127

2) Nvel 3 Definido.
3) Nvel 4 Gerenciado
4) Nvel 5 Otimizado.
10. Qual dos seguintes um componente das diretrizes de gerenciamento?
1)
2)
3)
4)

Critrios de Informao.
Metas e Mtricas.
Objetivos de controle.
Nveis de maturidade.

11. Poderamos dizer que o COBIT um:


1)
2)
3)
4)

Metodologia para desenvolver sistemas de TI.


Melhores prticas para o gerenciamento de servios de TI.
Padro para segurana da informao.
Estrutura de Processos de TI e seu gerenciamento.

12. As organizaes requerem uma abordagem estruturada para gerenciar


seus desafios. Qual o desafio mais significativo no gerenciamento de
TI?
1)
2)
3)
4)

Reduzir custos.
Desenvolver softwares complexos.
Contratar mo-de-obra barata.
Achar ferramentas de gesto compatveis.

13. Qual dos seguintes um benefcio da Governana de TI?


1)
2)
3)
4)

Melhor resposta da TI s necessidades do negcio.


Maior conscincia das solues tcnicas disponveis.
Oramentos de TI maiores.
Foco maior em TI do que no negcio.

128

14. As diretrizes de Gerenciamento fornecem metas para cada:


1)
2)
3)
4)

Domnio.
Recurso de TI.
Processo de TI
Critrios de Informao.

15. Qual dos seguintes no um recurso de TI do COBIT?


1)
2)
3)
4)

Aplicaes.
Dados.
Infraestrutura.
Pessoas.

16. O domnio entrega de valor se preocupa com:


1)
2)
3)
4)

Entregar os benefcios prometidos a um custo razovel.


Prometer o melhor preo de entrega.
Usar sistemas de prateleira para economizar.
Entregar projetos abaixo do oramento.

17. Qual estgio do roadmap do Assurance Guide (Guia de Validao) ajuda


a estabelecer o universo de validao de TI para designar o que ser
validado?
1)
2)
3)
4)

Escopo.
Planejamento.
Avaliao.
Execuo.

18. O COBIT Quickstart foi feito para ajudar a:


1)
2)
3)
4)

Implantar todos os processos rapidamente.


Testar e avaliar os controles
Usar o COBIT em organizaes de pequeno e mdio porte.
Realizar auditorias de conformidade.
129

19. Qual componente do COBIT pode ajudar a confirmar se a TI est


atendendo s metas?
1)
2)
3)
4)

Objetivos de Controle.
Diretrizes de Gerenciamento.
Nveis de Maturidade.
Guia de Implementao do COBIT.

20. Qual das opes abaixo no uma caracterstica essencial para um


framework de controle na Governana de TI?
1)
2)
3)
4)

Focado no negcio.
Orientado a processos.
Oferecer uma linguagem comum.
Ter trilhas de auditoria.

21. Qual nvel de maturidade nos processos do COBIT est associado com
um processo sendo comunicado?
1)
2)
3)
4)

Nvel 1 inicial.
Nvel 2 Repetvel.
Nvel 3 Definido.
Nvel 4 Gerenciado.

22. O que no pode ser feito comparao atravs do recurso de


Benchmarking do COBIT Online?
1)
2)
3)
4)

Importncia do Processo.
Importncia de um objetivo de controle.
Importncia das metas.
Qual indicador de desempenho mais usado.

130

23. Qual no seria uma possvel vantagem para a adoo do COBIT ?


1) compatvel com outros padres e deve ser usado como apoio para
projetos de processos.
2) aceito por terceiros e rgos reguladores.
3) Ajuda a desenvolver e documentar estruturas, processos e
ferramentas para um gerenciamento efetivo de TI.
4) focado especificamente em segurana.
24. Como o Assurance Guide (Guia de Validao) pode ajudar os auditores
internos e externos?
1) Desenhando os processos e controles.
2) Fornecendo conselhos sobre como testar o funcionamento de cada
objetivo de controle, assegurando que os controles so suficientes
ajudando a documentar os pontos fracos dos controles .
3) Criando mtricas.
4) Avaliando o nvel de maturidade em que se encontra o processo.
25. Os modelos de maturidade do COBIT ajudam a identificar:
1) Mtricas que podem ser usadas para medir os processos.
2) Critrios de informao para avaliar os controles.
3) Metas de melhoria e uma base para avaliar o status atual do
processo.
4) Controles e uma base para medir as prticas de controle.
26. Qual o critrio de informao que est relacionado proviso de
informao apropriada para a gerncia operar a entidade e para a
gerncia exercer suas responsabilidades de relatar aspectos de
conformidade e finanas?
1)
2)
3)
4)

Confiabilidade.
Eficincia.
Conformidade.
Confidencialidade.
131

27. Qual dos seguintes uma caracterstica chave da otimizao de


recursos?
1)
2)
3)
4)

Escolher um nmero de fornecedores de produto chave.


Utilizar os equipamentos o maior tempo possvel.
Garantir que seja utilizada mo-de-obra barata.
Assegurar que existam competncias suficientes para as atividades
crticas.

28. No PO10 Gerenciar Projetos, quando o uso de tcnicas e abordagens


de gerenciamento de projeto dentro da TI uma deciso deixada aos
gerentes de TI individualmente e h uma falta de comprometimento
gerencial para a propriedade e gerenciamento do projeto, podemos
dizer que o processo est em qual nvel de maturidade?
1)
2)
3)
4)

Nvel 1 Inicial.
Nvel 2 Repetvel.
Nvel 3 Definido.
Nvel 4 Gerenciado.

29. Metas e mtricas medem:


1)
2)
3)
4)

O quo bem o negcio usa a TI.


A efetividade dos usurios de servios de TI.
O cumprimento dos objetivos.
O desempenho dos processos.

30. Qual das seguintes a melhor forma de gerenciar o que poderia ser
chamado de um servio bom?
1)
2)
3)
4)

Medir a maturidade dos processos relacionados com o servio.


Criar nveis de servios definidos contratualmente.
Avaliar controles na entrega de servio.
Executar auditorias nos contratos de servio.

132

31. O Framework do COSO ajuda a organizao a estabelecer e determinar:


1)
2)
3)
4)

Padres de cobrana / prestao de contas.


Padres de Auditoria.
Decises de Investimentos.
A efetividade dos seus controles internos.

32. A definio do COBIT de requisitos fiducirios difere do COSO no que o


COBIT expande o escopo para incluir:
1)
2)
3)
4)

Segurana.
Toda a informao.
Operaes.
Desenvolvimento de sistemas.

33. Qual dos seguintes um componente do COBIT?


1)
2)
3)
4)

Procedimentos.
Objetivos de Auditoria.
Critrios de Informao.
Objetivos de Segurana.

34. O COBIT Security Baseline tem referncia cruzada com:


1)
2)
3)
4)

ITIL
ISSO 17799 / 27002
COSO
CMMI

35. Qual nvel de maturidade no COBIT est associado geralmente com um


processo sendo monitorado?
1)
2)
3)
4)

Nvel 2 Repetvel.
Nvel 3 Definido.
Nvel 4 Gerenciado.
Nvel 5 Otimizado.
133

36. Qual dos seguintes um requisito fiducirio dentro dos critrios de


informao do COBIT?
1)
2)
3)
4)

Confidencialidade.
Confiabilidade.
Custo.
Qualidade.

37. Qual dos produtos fornecem informaes atualizadas do COBIT?


1)
2)
3)
4)

IT Governance implementation Guide.


COBIT Framework.
Objetivos de Controle.
COBIT Online.

38. De que forma o COBIT deve ser usado?


1)
2)
3)
4)

Deve ser adotado seguindo risca todos os objetivos de controle.


Como um conjunto de prticas que devem ser mandatrias.
Como um ciclo de vida para o desenvolvimento de sistemas.
Como uma base para atender s necessidades do negcio em
relao a TI.

39. O COBIT contribui para o uso de mltiplos padres e melhores prticas


dentro das organizaes porque ele:
1)
2)
3)
4)

Ajuda a habilitar procedimentos de prestao de contas.


Cobre controles de TI e controles de negcio.
Est posicionado centralmente em um nvel genrico.
Pode ser usado como um ciclo de vida para o desenvolvimento de
sistemas.

134

40. Qual dos seguintes uma requisito de segurana dentro dos critrios de
informao do COBIT?
1)
2)
3)
4)

Entrega.
Eficincia.
Confidencialidade.
Qualidade.

135

Gabarito
1D
2B
3A
4B
5A
6C
7A
8A
9A
10 B

11
12
13
14
15
16
17
18
19
20

D
A
A
C
B
A
B
C
B
D

21
22
23
24
25
26
27
28
29
30

C
D
D
B
C
A
D
A
D
B

31
32
33
34
35
36
37
38
39
40

D
B
C
B
C
B
D
D
C
C

136