COBIT

v4.1 Entregando,
dando suporte, monitorando e
avaliando processos de TI
Ao nal desta aula, voc dever ser capaz de:
reconhecer e explicar os objetivos de controle do
domnio Entregar e dar suporte do COBIT

v4.1;
reconhecer e explicar os objetivos de controle do
domnio Monitorar e avaliar do COBIT

v4.1.
11
o
b
j
e
t
i
v
o
s
A
U
L
A
Meta da aula
Explicar as reas de processo do domnio
de entrega e suporte e do domnio de moni-
toramento e controle do COBIT

v4.1 e os
seus respectivos objetivos de controle.
1
2
Pr-requisitos
pr-requisito para esta aula ter atingido os objetivos
das primeiras aulas que tratam do Planejamento Estra-
tgico e da Governana em TI, alm disso, primordial
ter entendido plenamente os conceitos descritos nas
duas aula anteriores de introduo ao COBIT

.
276 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
INTRODUO
Se voc tivesse que escolher um modelo, padro ou con-
junto de boas prticas para a Governana em TI qual
seria ele? No nenhum absurdo dizer que, na atualida-
de, o COBIT

o principal documento que trata dessa
rea. Nessa aula vamos nalizar o estudo desse impor-
tante modelo de controles para Governana em TI.
Bom estudo!
Chegamos nossa ltima aula sobre o COBIT

! Na aula anterior, estudamos dois

domnios cujos processos esto mais voltados para o planejamento e para a cons-
truo dos servios de TI. Nesta aula iremos estudar 13 processos mais ligados aos
servios que sustentam a operao e a produo diria da TI e quatro processos
que visam avaliao do desempenho de todos os outros processos.
Voc deve perceber que o conjunto de reas de processo que estudaremos nessa
aula o mais diretamente coberto pelos processos da ITIL

. Porm, lembre-se
sempre de que, embora ambos tratem do mesmo assunto em diversas situaes,
a ITIL

e o COBIT

possuem focos bem diferentes, como j ressaltamos em

outras aulas. Por isso, o teor do texto revela informaes que so diferentes no
que diz respeito sua importncia (mais estratgica, no caso do COBIT

; mais
operacional, no caso da ITIL

) e servem empresa em momentos diferentes

da criao do processo (mais no momento de denio de objetivos e metas,
no caso do COBIT

; mais no momento de colocar o processo em produo,

no caso da ITIL

).
Alm disso, voc deve se lembrar tambm do o fato de que ser mais voltado
para a estratgia ou para a operao no quer dizer estar restrito a estes nveis.
O COBIT

no evita lidar com questes relacionadas execuo do processo

em si, at porque o domnio de entrega e suporte que estudaremos nesta
aula diretamente voltado para processos j em operao. Como j dissemos
vrias vezes, o correto utilizar o COBIT

primeiro para auxiliar na denio

do desenho do processo e de seus objetivos em outro modelo para auxiliar na
sua operacionalizao. No domnio DS, o contedo da ITIL

quase totalmente
mapeado pelo COBIT

.
CE C I E R J E X T E N S O E M G O V E R N A N A 277
A
U
L
A

1
1
Enm, voc j deve ter percebido que um dos domnios ainda no estudados
o domnio Entregar e dar suporte (DS). O outro domnio que estudaremos
aqui o Monitorar e avaliar (ME). Pois bem, vamos em frente.
ENTREGAR E DAR SUPORTE (DS DELIVER AND SUPPORT)
Este domnio trata de processos que visam sustentao do dia
a dia da empresa atravs da manuteno dos processos
existentes.
Os processos do domnio de entrega e suporte
(DS Deliver and support) cobrem o gerenciamento da
segurana e da continuidade das operaes; o suporte ao
usurio atravs da central de servio; o gerenciamento de
incidentes e de problemas; o gerenciamento de servios
terceirizados etc.
DS1 Denir e gerenciar nveis de servio (Dene and man-
age service levels)
Voc se lembra dos processos da ITIL

? Pois o objetivo dessa

rea orientar a empresa no sentido de construir um processo como o
Gerenciamento do nvel de servio da ITIL

. Qual o nvel de servio

esperado pelo cliente e pelo usurio para um determinado servio? Exis-
tem acordos formalizados com os usurios, com outros departamentos
e com terceiros? Os acordos esto sendo cumpridos? Usurios e clientes
esto satisfeitos? Os objetivos de controle desse processo so:
DS1.1 Modelo de gerenciamento do nvel de servio.
DS1.2 Denio de servios.
DS1.3 Acordo de nvel de servio.
DS1.4 Acordos de nvel operacional.
DS1.5 Monitoramento e relatrio do nvel de servio alcanado.
DS1.6 Reviso dos contratos e acordos de nvel de servio.
Este processo atinge o mximo nvel de maturidade quando: os
acordos de nvel de servio so continuamente revisados; a satisfao do
cliente, usurio etc. continuamente medida e analisada; os requisitos
de nvel de servio atendem aos objetivos e metas da empresa e no a
outros critrios subjetivos etc.
Figura 11.1: Suporte de TI.
278 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Uma das metas importantes desse processo : "Estabelecer um
entendimento comum sobre os requisitos de qualidade para os servios
prestados pela TI." Um indicador para medir o alcance dessa meta a
quantidade de servios entregues que atendem aos nveis previamente
acordados.
Alinhamento estratgico, entrega de valor, medio de desempe-
nho e gerenciamento de recursos so reas foco da Governana para as
quais esse processo primordial.
DS2 Gerenciar servios de terceiros (Manage third-party
services)
Voc deve saber que cada vez mais comum no mercado o pro-
cesso de terceirizao, principalmente na rea de TI. Portanto, devem
existir procedimentos formais para lidar com fornecedores terceirizados
de produtos ou de servios ou parceiros de negcio. Esses processos
iro lidar com questes como: o que se espera do fornecedor? At que
ponto a m qualidade na prestao de servios por terceiros pode afetar
o negcio? Como diminuir o risco relacionado aos nossos parceiros de
negcio? Os seus objetivos de controle so:
DS2.1 Identicao do relacionamento com fornecedores.
DS2.2 Gerenciamento do relacionamento com fornecedores.
DS2.3 Gerenciamento do risco de fornecedores.
DS2.4 Monitoramento do desempenho de fornecedores.
Pode-se dizer que este processo atingiu o nvel otimizado, segun-
do o modelo de maturidade, quando: os contratos estabelecidos com
terceiros so revisados periodicamente; o relacionamento com terceiros
e parceiros alvo de auditorias da qualidade e eles tm a oportunidade
de melhorar seus servios atravs do retorno obtido com as auditorias;
parceiros e empresas terceirizadas so recompensados ou premiados pelo
atendimento a requisitos de qualidade previamente estabelecidos etc.
Uma das metas desse processo : "Assegurar que os servios entre-
gues por terceiros esto de acordo com padres internos e externos." Uma
das formas de medir essa meta atravs da determinao da quantidade
de fornecedores e parceiros para os quais existem acordos claramente
denidos e atravs da quantidade de fornecedores e parceiros que aten-
dem a esses acordos.
CE C I E R J E X T E N S O E M G O V E R N A N A 279
A
U
L
A

1
1 Com relao Governana, esse processo essencial para que
haja entrega de valor e gerenciamento de riscos.
DS3 Gerenciar desempenho e capacidade (Manage perfor-
mance and capacity)
Mais uma vez, o COBIT

menciona um processo que totalmente

coberto pela ITIL

. Em ambos os casos, claro, o objetivo o mesmo, isto

, garantir que a TI tenha recursos sucientes para dar suporte a servios
essenciais para o negcio tanto hoje quanto no futuro. Os principais
objetivos de controle so:
DS3.1 Planejamento de desempenho e capacidade.
DS3.2 Capacidade e desempenho atual.
DS3.3 Capacidade e desempenho futuro.
DS3.4 Disponibilidade de recursos de TI.
DS3.5 Monitoramento e relatrio.
Este processo considerado maduro quando: as necessidades de
desempenho e capacidade so plenamente compatveis com as previses
de demanda de negcio; a capacidade operacional da TI revisada regu-
larmente para assegurar a sua otimizao a um custo aceitvel para a
empresa; so realizadas anlises de tendncia a m de prever problemas
causados por aumento do volume de negcios etc.
Um indicador importante desse processo : "Minimizar perodos de
paralisao dos servios (downtime) e otimizar a utilizao de recursos."
Essa meta pode ser medida atravs do nmero de horas de inatividade
por usurio devido ao planejamento inadequado dos recursos.
A rea foco de Governana mais diretamente afetada por esse
processo o gerenciamento de recursos.
DS4 Assegurar continuidade do servio (Ensure
continuous service)
Trata-se do processo gerenciamento da continuidade
que estudamos tanto na ITIL

v2 quanto na ITIL

v3. Note
que, quando falamos de continuidade do negcio, estamos
nos referindo a uma paralisao notvel de vrias unidades
de negcio (ou de toda a empresa) pela falta de um ou mais
servios essenciais prestados pela TI.
Figura 11.2: Continuidade.
280 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Assim, muitos costumam citar que esse processo lida com ques-
tes como terremotos, tsunamis, incndios etc. Claro que so apenas
exemplos. O que a empresa deve se perguntar : que evento pode afetar
a continuidade do negcio? Ser que um concorrente pode subornar
um estagirio para que ele apague informaes de todos os servidores
no nosso data center? Bem, dependendo do pas em que a empresa opera
(e do data center onde ela instalou os servidores), essa hiptese bem
mais provvel que a do tsunami etc. E pode, sim, levar paralisao da
empresa! Os objetivos de controle so:
DS4.1 Modelo de continuidade da TI.
DS4.2 Planos de continuidade da TI.
DS4.3 Recursos crticos de TI.
DS4.4 Manuteno do plano de continuidade da TI.
DS4.5 Teste do plano de continuidade da TI.
DS4.6 Treinamento do plano de continuidade da TI.
DS4.7 Distribuio do plano de continuidade da TI.
DS4.8 Recuperao dos servios de TI.
DS4.9 Local externo de armazenamento de backup.
DS4.10 Reviso ps-recuperao.
Este processo atinge o nvel cinco (otimizado) quando: o plano de
continuidade da TI est perfeitamente integrado ao plano de continuidade
do negcio; so realizados testes sistmicos do plano e os resultados desses
testes so utilizados para atualizar o plano; a TI pode garantir que no
haver paralisao completa dos servios devido a um ponto nico de
falha na ocorrncia de incidentes graves ou de fora maior etc.
Uma meta muito bvia deste processo : "Elaborar, aprovar,
comunicar e testar um plano de continuidade de negcios." O alcance
dessa meta pode ser medido atravs da quantidade de processos crticos
de negcio dependentes da TI que so cobertos pelo plano.
As reas da Governana em TI mais importantes para esse processo
so a entrega de valor e o gerenciamento de risco.
DS5 Garantir a segurana de sistemas (Ensure systems
security)
Bem, claro que a expresso segurana da informao no
nem um pouco nova para voc (pelo menos no deveria ser...). Voc se
CE C I E R J E X T E N S O E M G O V E R N A N A 281
A
U
L
A

1
1 lembra dos princpios da segurana da informao (condencialidade,
integridade, disponibilidade etc.)? Pois bem, a empresa deve possuir um
processo que garanta esses princpios atravs de aes concretas. So
objetivos de controle:
DS5.1 Gerenciamento da segurana de TI.
DS5.2 Plano de segurana de TI.
DS5.3 Gerenciamento de identidade.
DS5.4 Gerenciamento de contas de usurios.
DS5.5 Monitoramento, vigilncia e teste da segurana.
DS5.6 Denio de incidente de segurana.
DS5.7 Proteo da tecnologia de segurana.
DS5.8 Gerenciamento de chaves de criptograa.
DS5.9 Preveno, deteco e correo de software malicioso.
DS5.10 Segurana de rede.
DS5.11 Compartilhamento de dados sensveis.
Este processo atende a todos os objetivos de controle, ou seja,
est maduro quando: a empresa entende que a responsabilidade pela
segurana da informao no s da TI; incidentes de segurana so
prontamente detectados, registrados e respondidos de acordo com pro-
cedimentos padronizados; avaliaes peridicas so realizadas a m
de assegurar a efetividade dos planos tticos de segurana e da prpria
poltica de segurana; os processos e tecnologias relacionados segurana
da informao so implementados sistemicamente, isto , atravs de toda
a organizao e em todas as suas unidades de negcio etc.
Algumas metas desse processo so: "Permitir acesso aos dados
sigilosos apenas para pessoas autorizadas e diminuir as vulnerabilidades
dos sistemas." Essas metas podem ser medidas atravs de indicadores
como o nmero de acessos indevidos (ou tentativas) ou pela quantidade
de reas de negcio que seguem rigorosamente os procedimentos de
segurana da informao.
Este , obviamente, um processo primrio para a garantia do
gerenciamento do risco dentro da Governana em TI.
282 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
DS6 Identificar e alocar custos (Identify and allocate
costs)
Mais um processo para lidar com as questes nanceiras da
TI. Porm, observe que esse processo est ligado realizao do custo
propriamente dito. Como uma empresa pode saber onde os recursos de
TI esto sendo gastos de fato? Isso implica a existncia de um processo
para capturar, alocar e relatar os custos para os usurios dos servios.
Um mecanismo justo de alocao de custos permitir empresa tomar
mais decises baseadas em fatos com relao ao uso dos servios de TI.
Seus objetivos de controle so:
DS6.1 Denio de servios.
DS6.2 Prestao de contas de TI.
DS6.3 Modelagem e cobrana de custos.
DS6.4 Manuteno do modelo de custos.
Este processo estar maduro
quando os custos dos servios prestados
pela TI so identicados, capturados,
somados e comunicados a diretores,
gerentes, chefes de unidades de negcio,
clientes e usurios; os custos dos acordos
de nvel de servio, dos requisitos capa-
cidade e continuidade so identicados
e comunicados; a otimizao do ROI um processo contnuo; quando
a empresa sabe qual o TCO da TI etc.
Uma das metas desse processo : "Denir mecanismos claros de
quanticao dos custos dos servios de TI e identic-los adequada-
mente." Uma forma de medir se a empresa est caminhando para atingir
essa meta determinar o percentual de variaes entre os oramentos
previstos e os custos de fato realizados.
O gerenciamento de recursos a rea foco da Governana mais
importante para esse processo (e vice-versa).
DS7 Educar e treinar usurios (Educate and train users)
Embora esta seja uma preocupao em muitas empresas, somente
aquelas com bons processos conseguem efetiv-la. O COBIT

recomenda
Figura 11.3: Alocar custos.
CE C I E R J E X T E N S O E M G O V E R N A N A 283
A
U
L
A

1
1 que haja processos para a educao de usurios com relao ao uso dos
sistemas de TI. Um programa efetivo de treinamento potencializa os
resultados oriundos do uso da tecnologia e, por outro lado, minimiza os
riscos relacionados ao uso incorreto de ferramentas e tcnicas. Seguem
os objetivos de controle do processo:
DS7.1 Identicao das necessidades de educao e treinamento.
DS7.2 Realizao de educao e treinamento.
DS7.3 Avaliao do treinamento recebido.
Podemos dizer que este processo atingiu seu nvel mximo de
maturidade quando: os treinamentos resultam em melhoria comprovada
no desempenho individual; existem programas de desenvolvimento de
carreira na organizao que esto atrelados a programas de treinamento e
capacitao; as tcnicas de treinamento so continuamente aperfeioadas
atravs de modelos e padres de boas prticas etc.
Algumas metas desse processo so:
"Estabelecer mtodos de treinamento,
capacitao e transferncia de conhecimento
e aumentar a conscincia sobre os riscos e
sobre as responsabilidades que envolvem o
uso dos sistemas e aplicativos na empresa."
Uma forma de medir essa meta determinar
o nmero de chamadas de usurios e clientes
que poderiam ser evitadas com treinamento.
Outro indicador a quantidade de prossionais (em todos os nveis) que
receberam treinamento na organizao.
Esse processo um daqueles que so primrios para a entrega de
valor dentro das reas foco da Governana em TI.
DS8 Gerenciar a central de servios e incidentes (Manage
service desk and incidents)
Provavelmente voc deve estar pensando: Bem, esta rea a que
mais lembra a ITIL

. Se pensou, pensou com razo! A ideia da central

de servios e do processo de gerenciamento de incidentes est toda aqui.
Vale ressaltar que, quando estudamos esses assuntos, a central de servio
no era um processo da ITIL

. Porm, o COBIT

menciona a expresso
gerenciar a central de servios... como algo que faz parte do processo
de gerenciamento de incidentes.
Figura 11.4: Educar.
284 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Bem, apenas um detalhe acerca de pontos de vista. Nada que possa
atrapalhar o nosso entendimento nesta altura do curso, no mesmo?
Seus objetivos de controle so:
DS8.1 Central de servio.
DS8.2 Registro de solicitaes do usurio.
DS8.3 Escalonamento de incidentes.
DS8.4 Encerramento de incidentes.
DS8.5 Anlise e relatrio de tendncias.
Este processo considerado amadurecido quando: as mtricas
com relao ao nmero de incidentes por rea de negcio, tipo de
sistemas, perl de usurio etc. so continuamente colhidas, divulgadas
e analisadas; os incidentes de TI (aqueles para os quais h soluo de
contorno) so rapidamente resolvidos mesmo em momentos de crise;
existem ferramentas automatizadas para dar suporte ao trabalho exe-
cutado pela central de servio; os usurios entendem o papel da central
de servio e o aprovam etc.
Uma meta importante desse processo, conforme j vimos na
prpria ITIL

, : "Registrar, documentar, analisar, escalar e solucionar

incidentes de acordo com os acordos estabelecidos." Ela pode ser medida,
por exemplo, atravs do sucesso da central de servios em resolver inci-
dentes no primeiro contato, ou seja, no atendimento de primeiro nvel.
Esse processo tambm essencial para a entrega de valor dentro
da Governana em TI.
DS9 Gerenciar a congurao (Manage the conguration)
Ora, este processo tal e qual era o Gerenciamento da con-
gurao da ITIL

(mas que passou a ser chamado de Gerenciamento

da congurao e de ativos na verso 3). Ele inclui a coleta inicial de
informaes sobre a congurao de ativos, o estabelecimento de linhas
de base (baselines), a vericao e auditagem de informaes de congu-
rao e a atualizao da base de dados de gerenciamento da congurao
(BDGC) conforme as necessidades.
Pode no parecer, mas principalmente atravs do gerenciamento
da congurao que muitas empresas de ponta tm aumentado a dis-
ponibilidade de seus sistemas, minimizando incidentes na produo (ou
resolvendo-os rapidamente). Seus objetivos de controle so:
CE C I E R J E X T E N S O E M G O V E R N A N A 285
A
U
L
A

1
1 DS9.1 Linhas de base de congurao.
DS9.2 Identicao e manuteno dos itens de congurao.
DS9.3 Reviso da integridade da congurao.
A empresa atinge o nvel mximo de maturidade com relao a este
processo, quando: os ativos de TI podem ser gerenciados pelo processo,
ou seja, todas as informaes relevantes sobre ativos esto registradas,
assim como os relacionamentos existentes entre os ativos; ocorrem
auditorias de linhas de base (baselines) da congurao e os resultados
das auditorias orientam reparos, decises sobre servios, acionamento
de garantia e atualizaes de hardware ou de software etc.
Uma meta deste processo : "Estabelecer e gerenciar um reposi-
trio de equipamentos e peas sobressalentes necessrios manuteno
da operao." Uma forma de medir o sucesso dessa meta determinar
a quantidade de itens da infraestrutura que podem ser repostos em
um tempo aceitvel para o negcio atravs do processo. Outra meta :
"Revisar o estado da infraestrutura de TI e comparar com os registros de
itens da congurao na base de dados de gerenciamento." Uma forma
de medir o sucesso dessa meta determinar a quantidade de desvios
encontrados na infraestrutura em produo com relao aos registros
contidos na base de dados de gerenciamento.
A entrega de valor e o gerenciamento de recursos so as reas mais
importantes para esse processo dentro das reas foco da Governana
em TI.
DS10 Gerenciar problemas (Manage problems)
Voc se lembra de qual a diferena entre problema e incidente?
Isso foi visto nos primrdios do nosso curso, digo, em nossas primeiras
aulas. Logo depois foi dito que, como se trata de coisas diferentes,
essencial ter processos diferentes para lidar com ambos. O COBIT

,
sabiamente, tambm segue esse princpio. So objetivos de controle
desta rea:
DS10.1 Identicao e classicao de problemas.
DS10.2 Resoluo e rastreamento de problemas.
DS10.3 Encerramento de problemas.
DS10.4 Integrao do gerenciamento da congurao, de inci-
dentes e de problemas.
O nvel otimizado atingido quando: o gerenciamento de proble-
286 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
mas acontece de forma proativa; a identicao, investigao e resoluo
de problemas acontecem de forma automatizada e integrada ao gerencia-
mento da congurao; as metas com relao a esse processo so revistas
continuamente para atender s necessidades de negcio etc.
Na prtica, a principal meta desse processo : "Investigar a causa-
raiz de problemas oriundos da prestao de servios de TI." Algumas
formas de medir se a empresa est caminhando em direo a essa meta
medir o percentual de problemas recorrentes, medir o nmero de pro-
blemas por unidades de negcio, rea ou pers de usurio etc. e procurar
melhorar o seu desempenho.
A entrega de valor a rea foco da Governana mais dependente dele.
DS11 Gerenciar dados (Manage data)
Bem, aqui podemos dizer que o COBIT

traz algo novo com

relao ITIL

. O.K., sem problemas. Anal, no e nunca foi objetivo

do COBIT

ser completamente mapeado pela ITIL

ou por qualquer
outro modelo, norma, padro ou conjunto de boas prticas. Na verdade,
a ideia aqui muito simples. Com que tipo de dados a empresa lida?
Em que tipo de mdia eles so armazenados? Existem procedimentos
seguros de backup, recuperao e descarte?
Enm, na verdade, alguns processos da ITIL

acabam, sim, tendo reexo nos objetivos aqui
descritos. At mesmo a questo da segurana
da informao tem a ver com os objetivos de
controle desse processo.
E por que no eliminar esse processo, j
que ele coberto por outras reas? Ora, porque
informao tudo hoje em dia e informao
gerada a partir de dados. Sem dados, no h
informao. Logo, o COBIT

recomenda que
exista um processo formal com objetivos claros
para lidar com os dados da organizao, apenas
para no correr o risco de que a empresa no se esquea disso. Nesse
processo, os objetivos de controle so:
Figura 11.5: Dados.
CE C I E R J E X T E N S O E M G O V E R N A N A 287
A
U
L
A

1
1 DS11.1 Requisitos de negcio para o gerenciamento de dados.
DS11.2 Acordos para armazenamento e reteno de dados.
DS11.3 Sistema de gerenciamento de mdia.
DS11.4 Descarte.
DS11.5 Backup e restaurao.
DS11.6 Requisitos de segurana para o gerenciamento de dados.
Este processo considerado timo na organizao quando: a
necessidade de gerenciamento de dados entendida dentro da organiza-
o e todas as aes so efetivamente tomadas por todos; a responsabi-
lidade pela gerao, manuseio, utilizao, proteo, compartilhamento
e descarte dos dados prvia e claramente denida na empresa; ferra-
mentas automatizadas so utilizadas para dar suporte ao gerenciamento
dos dados etc.
A principal meta desse processo : "Manter a completeza, segu-
rana, exatido, validade e acessibilidade dos dados." Essa meta de
processo pode ser medida atravs de indicadores como o percentual de
sucesso obtido em eventos que necessitam de restaurao de dados, pela
quantidade de incidentes causados pela inexistncia de redundncia de
dados e pela quantidade de incidentes causados pela perda ou acesso
indevido a dados.
As reas foco da Governana primrias para o processo so a entre-
ga de valor, o gerenciamento de riscos e o gerenciamento de recursos.
DS12 Gerenciar o ambiente fsico (Manage the physical
environment)
Em muitos ambientes, quando ouvimos a expresso segurana da
informao, subentendemos que se est falando de segurana de dados,
segurana fsica etc. Assim, poderamos dizer que este processo tambm
possui algum grau de sobreposio. Na verdade, voc ver a seguir que
o seu foco outro e no foi tratado ainda nos processos do COBIT

que ns j vimos.
Os seus objetivos de controle so:
DS12.1 Seleo de local.
DS12.2 Medidas de segurana fsica.
DS12.3 Acesso fsico.
288 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
DS12.4 Proteo contra fatores ambientais.
DS12.5 Gerenciamento de facilidades fsicas.
Este processo est maduro quando, a quantidade de interrupo
do servio por questes de acesso fsico indevido reduzida a zero; a
avaliao e a reviso das questes de gerenciamento do ambiente fsico
acontecem regularmente; quando existem padres na empresa para a
seleo (ou construo) de local de armazenamento e instalao dos
ativos; quando existem procedimentos para monitorao, proteo e
permisso de acesso aos ambientes; quando h mecanismos de proteo
contra incndio, inundaes e alagamentos; quando h mecanismos de
controle da umidade, temperatura mxima (ou mnima) etc.
A principal meta desse processo, obviamente, : "Oferecer e
gerenciar ambiente fsico apropriado para a prestao de servios de TI."
Essa meta medida pelo nmero de incidentes causados por explorao
das vulnerabilidades no ambiente fsico de prestao dos servios ou por
acessos fsicos indevidos a equipamentos e outros ativos da TI.
Para a Governana, esse processo essencial para o gerenciamento
de riscos.
DS13 Gerenciar operaes (Manage operations)
Voc deve se lembrar de que, em aulas anteriores, explicamos que
tudo que acontece na empresa acontece ou na forma de operaes ou na
forma de projetos. Logo, assim como existe uma rea no COBIT

que
trata do gerenciamento de projetos, existe tambm uma rea que dene
os objetivos de controle para o processo de gerenciamento de operaes.
Os seus objetivos de controle so:
DS13.1 Instrues e procedimentos operacionais.
DS13.2 Agendamento de trabalho.
DS13.3 Monitoramento da infraestrutura de TI.
DS13.4 Documentos sensveis e dispositivos de sada.
DS13.5 Manuteno preventiva de hardware.
O nvel cinco desse processo atingido quando: a empresa possui
um suporte operacional efetivo, eciente e sucientemente exvel a
ponto de garantir o nvel de servio acordado mesmo em momentos de
crise; os procedimentos operacionais so documentados e divulgados e
CE C I E R J E X T E N S O E M G O V E R N A N A 289
A
U
L
A

1
1 a base de dados de conhecimento continuamente
revisada; processos operacionais automatizados
so sucientemente robustos a ponto de oferecer
um ambiente estvel etc.
Uma meta desse processo : "Denir proce-
dimentos operacionais alinhados aos requisitos de
negcio conforme o plano estratgico e atendendo
aos nveis de servio acordados sem, entretanto,
ultrapassar o limite da relao custo-benefcio que
pode ser suportado pela organizao." Essa meta
pode ser medida atravs da determinao da quantidade de horas de
interrupo causadas por incidentes devido a falhas nos procedimentos
operacionais ou do percentual de trabalho agendado que no cumpriu
o cronograma estabelecido.
O gerenciamento de recursos a principal rea foco de Gover-
nana afetada por esse processo.
Figura 11.6: Operaes.
Na ltima aula discutimos as diferenas entre os processos das reas PO5 e AI5.
Nesta aula vimos mais um processo que lida com as questes nanceiras da TI: o
DS6. Qual a diferena entre este processo e aqueles dois j estudados?
Resposta
O PO5 trata de questes de planejamento do investimento em TI. O AI5 res-
ponsvel por efetivar as compras de acordo com as decises de investimento.
O DS6, visto nesta aula, est relacionado aos custos diretos e indiretos da presta-
o de servios e sua cobrana (real ou nocional). So, portanto, trs enfoques
completamente diferentes.
Atividade 1
1
290 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
MONITORAR E AVALIAR (ME MONITOR AND EVALUATE)
Uma das caractersticas mais importantes de toda abordagem por
processo a sua relao com a melhoria contnua, ou seja, na medida em
que o processo se repete a empresa tem a oportunidade de melhor-lo.
O COBIT

essencial nesse contexto, pois dene os indicadores que iro

guiar a melhoria em cada processo. Porm, isso no ser possvel se os
prprios mtodos de controle e avaliao de resultados dos processos
forem falhos.
Assim, para garantir a efetividade da aplicao dos
controles do COBIT

, ele prprio dene, no domnio de

monitoramento e avaliao (ME Monitor and evaluate),
processos para: avaliao de desempenho dos processos;
monitoramento do controle interno dos processos; avalia-
o da efetividade dos processos em fornecer a Governana
em TI; garantia da conformidade regulatria dos processos
etc.
Note que a ideia mesmo recursiva. Trata-se de pro-
cessos para controle e monitoramento de processos, inclusive
dos prprios processos de controle e monitoramento. Vale
lembrar ainda que nesses processos que cam claros os
princpios da Governana (responsabilidade, prestao de
contas e transparncia) que, como dissemos uma vez, foram herdados
dos controles existentes no COSO.
Tudo certo? Bem, se no, siga adiante e voc logo entender tudo...
ME1 Monitorar e avaliar o desempenho de TI (Monitor and
evaluate IT performance)
Este processo visa medio da efetividade dos resultados obtidos
pelos outros processos. O seu foco responder a questes como: existem
mecanismos sistemticos para relatar desempenho dos processos de TI?
Os processos contribuem da melhor forma possvel para atingir as metas
de negcio? Seguindo essa linha, os objetivos de controle so:
ME1.1 Abordagem do monitoramento.
ME1.2 Denio e coleta de dados de monitoramento.
ME1.3 Metodologia de monitoramento.
Figura 11.7: Monitoramento.
CE C I E R J E X T E N S O E M G O V E R N A N A 291
A
U
L
A

1
1 ME1.4 Avaliao de desempenho.
ME1.5 Relatrios para diretores e executivos do negcio.
ME1.6 Aes corretivas.
O maior indcio de que este processo est maduro o grau de
satisfao dos executivos de negcio com os relatrios de desempenho
apresentado; outro fator importante a existncia de prticas de melho-
ria contnua baseados em boas prticas de mercado para otimizar os
mecanismos de medio de desempenho; so realizadas comparaes
formais dos resultados da empresa com os resultados dos principais
competidores; metas de negcio so utilizadas para medir o desempenho
dos processos da TI etc.
Uma meta importante desse processo : "Denir um conjunto de
objetivos mensurveis e de processos-chave para a TI"; outra meta :
"Identicar e implementar aes de melhoria nos processos de TI." Essas
metas podem ser medidas atravs de indicadores como a quantidade de
processos crticos que so formalmente monitorados e pelo nmero de
objetivos de desempenho que so atingidos.
Esse processo , obviamente, essencial para a rea medio de
desempenho da Governana em TI.
ME2 Monitorar e avaliar o controle interno (Monitor and
evaluate internal control)
Uma pergunta importante a ser feita no momento : at que
ponto os mecanismos de avaliao da empresa so adequados, ou seja,
o controle interno efetivo ou disfara os problemas? Assim, o processo
desta rea inclui monitoramento de todas as excees ao controle, a
anlise dos sistemas de autoavaliao e o monitoramento de terceiros
(no contemplado no processo AI1). Veja os objetivos de controle desse
processo:
ME2.1 Monitoramento do modelo interno de controle.
ME2.2 Reviso de supervisores.
ME2.3 Excees ao controle.
ME2.4 Controle de autoavaliao.
ME2.5 Garantia do controle interno.
ME2.6 Controle interno de terceiros.
ME2.7 Aes corretivas.
292 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Este processo visto como um processo que atingiu sua maturida-
de plena quando h um processo de melhoria contnua dos mecanismos
de controle interno e autoavaliao baseado em lies aprendidas e boas
prticas da indstria; a empresa utiliza tcnicas e ferramentas integradas
que permitem a avaliao dos controles mais crticos da TI etc.
Uma meta desse processo : "Identicar aes de melhoria no
processo de controle (interno) dos processos de TI." Um indicador
importante o nmero de iniciativas de melhoria no controle tomadas
pela empresa. Outro indicador a frequncia de incidentes relacionados
ao controle (relatrios no compatveis com a realidade, demonstrao
de resultados em desacordo com a realidade etc.).
O gerenciamento de riscos e a entrega de valor so as principais
reas foco de Governana.
ME3 Assegurar conformidade com requisitos externos
(Ensure compliance with external requirements)
Esta rea segue os princpios da responsabilidade, transparncia
e prestao de contas que foram herdados do COSO, ou seja, o pro-
cesso visa a assegurar que h conformidade com leis, normas, padres,
regulamentos e contratos vigentes que afetam as operaes da empresa.
Os objetivos de controle desse processo so:
ME3.1 Identicao de requisitos legais, regulamentares ou
contratuais.
ME3.2 Otimizao da resposta a requisitos externos.
ME3.3 Avaliao da conformidade com requisitos externos.
ME3.4 Garantia de conformidade.
ME3.5 Relatrio integrado.
O processo ME3 atinge o nvel de maturidade mximo quando: a
empresa atende a todas as questes mandatrias que afetam os servios
que ela presta a um custo razovel para o negcio; existe um uxo de
documentos na empresa que permite a identicao e o compartilha-
mento das informaes regulatrias aplicveis; a empresa toma partido
e participa de discusses externas sobre normas, padres e regulamentos
em suas reas de negcio; todos na empresa entendem os riscos da no
conformidade etc.
CE C I E R J E X T E N S O E M G O V E R N A N A 293
A
U
L
A

1
1 A meta mais importante deste processo : "Identicar todas as
leis, regulamentos, normas, padres e contratos aplicveis s operaes
e aos projetos da TI e garantir a sua conformidade." O melhor indicador
para essa meta o nmero de incidentes causados por no conformidade
regulatria.
O alinhamento estratgico e o gerenciamento de riscos so as reas
foco da Governana em TI principais para esse processo.
ME4 Fornecer Governana de TI (Provide IT Governance)
O processo de controle aqui se preocupa com o fato de que a
empresa possui um modelo de Governana em TI e que ele est sendo
usado de forma efetiva para atingir os resultados atravs das cinco reas
foco de Governana: alinhamento estratgico, entrega de valor, gerencia-
mento de riscos, medio de desempenho e gerenciamento de recursos.
Seguem os objetivos de controle descritos no COBIT

para essa rea:

ME4.1 Estabelecimento de um modelo de Governana.
ME4.2 Alinhamento estratgico.
ME4.3 Entrega de valor.
ME4.4 Gerenciamento de recursos.
ME4.5 Gerenciamento de risco.
ME4.6 Medio de desempenho.
ME4.7 Garantia independente.
Este processo atinge o nvel de mximo
de maturidade quando a empresa entende o
que Governana em TI e consegue assegurar a
existncia de processos que garantam a Gover-
nana em TI de forma integrada s necessidades
da empresa. Note que isso no signica que a
empresa tenha atingido o nvel cinco de matu-
ridade em todos os seus processos, mas, sim,
que o nvel de maturidade obtido o necessrio
para sustent-la de forma estvel.
Algumas metas desse processo so: integrar a Governana em TI
com os objetivos da empresa; responder s preocupaes e aos ques-
tionamentos da alta direo quanto a estratgias, riscos e desempenho
da TI; fornecer uma garantia de atendimento dos planos, polticas e
procedimentos da TI dentro da empresa.
Figura 11.8: Tudo se encaixa na Governana
294 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Alguns dos indicadores desse processo so: frequncia com que
relatrios de desempenho da TI so encaminhados pela alta direo para
usurios, clientes e acionistas; frequncia com que os relatrios sobre a
maturidade dos processos da TI so encaminhados por ela (a TI) para
a alta direo etc.
Obviamente esse processo representa o "guarda-chuva" da Gover-
nana em TI, ou seja, o mais abrangente no que diz respeito s reas
foco afetadas, que, nesse caso, so todas as cinco.
Quais so as diferenas entre os quatro processos de monitoramento e controle do
domnio ME do COBIT

?
Resposta
O COBIT

possui um processo que visa medio do desempenho dos outros

processos em si, ou seja, ele cumpriria o papel de controle conforme estamos
acostumados. Alm disso, existe um processo para avaliar o controle, ou seja,
garantir que as medies obtidas so realsticas, e tomar aes de melhoria ou
de correo necessrias. Um terceiro processo lida com controle e monitoramento
especicamente das questes de conformidade regulatria, atendimento a padres
e normas mandatrios, leis e contratos. O quarto processo visa a garantir que o
objetivo geral do COBIT

, que garantir que h Governana em TI na empresa.

Este ltimo processo possui objetivos de controle relacionados s cinco reas foco
da Governana em TI: alinhamento estratgico, entrega de valor, gerenciamento
de riscos, gerenciamento de recursos e medio de desempenho.
Atividade 2
2
CE C I E R J E X T E N S O E M G O V E R N A N A 295
A
U
L
A

1
1
INFORMAES SOBRE FRUM
Vamos discutir os assuntos desta aula no frum desta semana?
Ttulo: O COBIT

e outros modelos, normas e padres.

Objetivo: Acabamos de terminar nesta aula o estudo do COBIT

.
Na prxima aula iremos estudar, de forma breve, outros modelos
que tambm so utilizados dentro das empresas para melhorar a
prestao de servios de TI e com foco na Governana de TI. Porm,
como so muitos modelos, ns iniciaremos desde j uma discusso
sobre o que o mercado tem utilizado, alm do COBIT

e da ITIL

, para
a elevao do grau de maturidade nas diversas reas de processo da
TI. O objetivo permitir que cada um possa trazer exemplos vividos
sobre a adoo de normas, padres e boas prticas da indstria que
deram certo (ou no) na sua prpria empresa.
CONCLUSO
Os processos vistos nesta aula se encaixam nos dois ltimos
domnios do COBIT

. Os processos de entrega e suporte so os que

possuem maior mapeamento com os processos da ITIL

. Apesar disso,
importante que voc entenda que o uso da ITIL

para a implementao
do processo aps qualquer avaliao feita com o COBIT

no algo
mandatrio. apenas um dos caminhos. Embora usar a ITIL

seja, sim,
o caminho mais comum (e mais seguro...), outras formas de implementar
o processo a partir do COBIT

podem ser adotadas na organizao.

O mais importante, quando o foco a Governana em TI, usar
o COBIT

, pois ele o nico modelo de objetivos de controle que tem

esse foco, ou, pelo menos, o nico que conseguiu obter visibilidade
e aceitao mundiais. Por isso dizemos que os processos do COBIT

interagem entre si para formar o "guarda-chuva" da Governana.
Assim como zemos na aula passada, vamos agora fazer o mapeamento
dos processos dos domnios DS e ME para os processos da ITIL

v3 (ou vice-
versa). Aps o trmino da atividade, voc observar que haver uma correspondncia
muito maior com o domnio DS. Por que voc acha que isso acontece?
Atividade online
A
1 2
296 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
Na prxima aula vamos estudar outros exemplos de conjuntos
de boas prticas e normas que, alm da ITIL

e do COBIT

, tm
sido muito importantes no contexto da Governana em TI e
tm sido muito utilizados em vrias empresas. Como exemplo,
citamos a ISO 27000, o eSCM-SP e o eSCM-CL.
At a prxima aula!
Informao sobre a prxima aula
Os 13 processos da rea de processos Entregar e dar suporte (DS) cobrem
questes como o gerenciamento da segurana e da continuidade
das operaes; o suporte ao usurio atravs da central de servio; o
gerenciamento de incidentes e de problemas; o gerenciamento de
servios terceirizados etc.
Os quatro processos da rea de processos Monitorar e avaliar (ME) lidam
diretamente com questes como a avaliao regular do desempenho
dos processos; o monitoramento das atividades de controle interno;
a avaliao da efetividade dos processos em fornecer a Governana
em TI; a garantia da conformidade regulatria etc.
Os 13 processos do domnio de entrega e suporte (DS) possuem
correspondncia muito grande com os livros da ITIL

. Isso porque esse

domnio mais focado em questes operacionais, e vimos que a ITIL

mais voltada para a operao da TI, embora isso no signique que
ela se limite somente a essa rea.
Os quatro processos do domnio monitoramento e avaliao (ME)
possuem objetivos que visam a controlar e monitorar processos, ou
seja, trazem uma ideia recursiva de controle, inclusive pelo fato de
que so aplicados a si mesmos.
Os quatro processos do domnio monitoramento e avaliao (ME)
remetem aos princpios da Governana (responsabilidade, prestao
de contas e transparncia) herdados do COSO.
R E S UMO
CE C I E R J E X T E N S O E M G O V E R N A N A 297
A
U
L
A

1
1
1) Os processos de qual domnio do COBIT

so os que possuem maior abran-

gncia quando mapeados pela ITIL

?
a) Planejar e organizar.
b) Adquirir e implementar.
c) Entregar e dar suporte.
d) Monitorar e controlar.
2) Ao utilizar uma aplicao terceirizada, os dados de uma transao so cor-
rompidos e o usurio no consegue mais, a partir da interface da aplicao,
obter informaes sobre o estado do procedimento que ele tentou realizar.
Qual processo responsvel por receber a reclamao do usurio sobre tal
situao?
a) Gerenciamento de terceiros.
b) Gerenciamento da central de servio e de incidentes.
c) Gerenciamento de problemas.
d) Gerenciamento de dados.
3) A rea de processo que trata do armazenamento de mdias crticas de backup
em local externo e seguro a de:
a) Gerenciamento da continuidade do servio.
b) Gerenciamento da segurana de sistemas.
c) Gerenciamento do ambiente fsico.
d) Gerenciamento de dados.
4) Julgue a afirmao: Ao contrrio do que acontece na ITIL

, questes de dispo-
nibilidade dos servios de TI no so abordadas pelo COBIT

5) (Analista do MPE-SE FCC/2009) Uma das reas de processo do domnio DS

(Entrega e Suporte), no modelo COBIT,
a) Definir a Arquitetura da Informao.
b) Monitorar o Processo.
c) Comunicar a Direo e as Metas Gerenciais.
d) Desenvolver e Manter Procedimentos.
e) Identificar e Alocar Custos.
6) Julgue a seguinte afirmao: O processo Fornecer a governana de TI (ME4) tem
como objetivo a concretizao de fato das aes visando implementao do que
chamamos de Governana em TI.
7) (Analista de Controle Interno SAD-PE FGV/2009) Governana de TI um conjunto
de prticas, padres e relacionamentos estruturados, assumidos por executivos,
gestores, tcnicos e usurios de TI de uma organizao, com a finalidade de
garantir controles efetivos, ampliar os processos de segurana, minimizar os riscos,
ampliar o desempenho, otimizar a aplicao de recursos, reduzir os custos, suportar
as melhores decises e consequentemente alinhar TI aos negcios.
Atividades Finais
298 Governana: Gesto, Auditoria e Tecnologia da Informao
Governana em Tecnologia da Informao | COBIT

v4.1 Entregando, dando suporte, monitorando e

avaliando processos de TI
No que diz respeito aos objetivos de controle no framework Cobit 4.1, o processo
Gerenciar Service Desk e Incidentes inclui o seguinte procedimento:
a) a criao e operao de um sistema de captura, alocao e reporte dos custos
da TI para os usurios de servios.
b) a definio e execuo de uma estratgia para um treinamento efetivo, medio
de resultados e anlise de incidentes.
c) a implementao da funo da central de servios com registro, escalao,
tendncias, anlise de causas raiz e resoluo de incidentes.
d) a avaliao dos servios instalados que minimizam a probabilidade e o impacto
de interrupes de servio sobre funes e processos de negcio.
e) a monitorao e o reporte em tempo para os stakeholders sobre o cumprimento
dos nveis de servios, que habilitam o alinhamento entre os servios da TI o
os requisitos sobre o negcio.
RESPOSTAS
1) Alternativa c. Conforme discutido nesta aula.
2) Alternativa b. O processo de gerenciamento de incidentes, ou gerenciamento
central de servio e de incidentes, sempre o que recebe as solicitaes e as
requisies dos usurios.
3) Alternativa a. Ter procedimentos documentados para armazenamento de dados
em mdias de backup tarefa do Gerenciamento de dados. Porm, decidir que
dados so crticos a ponto de serem armazenados em locais externos tarefa do
Gerenciamento da continuidade. Muitas reas do COBIT

possuem objetivos que se

confundem e, por isso, necessrio entender claramente o foco de cada uma.
4) A afirmao falsa. Na verdade, os processos de gerenciamento da capacidade
e de gerenciamento da disponibilidade da ITIL

so tratados em uma nica rea

do COBIT, a saber, Gerenciar desempenho e capacidade (DS3). O DS3 possui um
objetivo de controle relacionado disponibilidade.
5) Alternativa E. Conforme visto na teoria.
6) A afirmao falsa. O ME4 um processo de monitoramento e controle, e no um
processo que visa execuo, ou seja, no capaz de produzir resultados concretos
por si s. Desse modo, embora ele no seja nem mais nem menos importante, no
haveria sentido algum implementar o ME4 (ou qualquer outro processo do domnio
ME) sem implementar outros processos do COBIT

. E, obviamente, as aes concretas

visando Governana em TI so tomadas atravs de todos os outros processos.
7)Alternativa c. Observe que o enunciado traz uma boa definio de Governana
em TI. A resposta bvia, pois somente a alternativa c traz algo relacionado ao
processo Gerenciar Service Desk e Incidentes.