Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia de Estudo para Exame de Certificacao Do Cobit4-1v6
Guia de Estudo para Exame de Certificacao Do Cobit4-1v6
Guia de Estudo
para o Exame Certificao
do Cobit Foundation 4.1
verso 7.0
Rildo Santos(@rildosan)
rildo.santos@etecnologia.com.br
www.etecnologia.com.br
www.rildosan.blogspot.com
www.etecnologia.ning.com
Todos os direitos produtos e marcas citados neste guia so de propriedade dos seus donos, este material poder ser copiado, ampliando e
distribudo deste que autorizado pelo autor.
Pg: 1/38
Reviso 7.0
Introduo:
Este Guia de Estudo foi elaborado para ajudar e facilitar na preparao para o exame de
certificao do Cobit Foundation verso 4.1.
Seu propsito servir como um documento de reviso complementar ao treinamento de
Cobit Foundation.
O guia cobre todos os assuntos abordados no exame de certificao, contudo ele no
prescritivo, ou seja, voc dever considerar outras fontes de estudo.
Rildo Santos
Pg: 2/38
Reviso 7.0
Primeira parte:
Reviso Geral do Cobit Foundation
Segunda parte:
Os Processos
o DS2
o PO10
o Descrio dos demais processos
Terceira parte:
Produtos Cobit
o COBIT Online
o COBIT Quickstart
o IT Governance Implementation Guide Using COBIT e Val IT
o COBIT Security Baseline
Pg: 3/38
Reviso 7.0
Pg: 4/38
Reviso 7.0
Pg: 5/38
Reviso 7.0
Pg: 6/38
Reviso 7.0
A estrutura do Cobit:
Audincia:
COBIT Concebido para a gerncia, auditores e TI
A estrutura do COBIT ajuda no apenas aos usurios tcnicos, mas tambm aqueles que so responsveis
pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usurios garantindo
que:
Seus requisitos esto definidos e propriamente entendidos.
Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.
Premissa:
A estrutura do COBIT baseada na premissa de que TI precisa entregar a informao que uma empresa
precisa para alcanar seus objetivos.
A estrutura do COBIT ajuda a alinhar TI com os negcios focando-se nas requisies de informaes de
negcios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a
governana de TI.
Pg: 7/38
Reviso 7.0
Como estrutura para governana e controle de TI, o COBIT focar em duas reas:
Fornecer as informaes necessrias para suportar os requisitos e objetivos de negcios
Tratar a informao como resultado da aplicao conjunta dos recursos de TI que precisam ser
gerenciados pelos processos de TI.
O framework do COBIT descreve como os processos de TI entregam a informao que os negcios precisam
para alcanar seus objetivos. Para controlar esta entrega, o COBIT fornece trs componentes chave:
- Requisitos de Negcio;
- Recursos de TI
- Processos de TI
Formando as dimenses do Cubo do COBIT.
Cubo do COBIT
Inter-relao dos componentes do COBIT:
Em um ambiente complexo, o gerenciamento requer informaes compreensivas e em tempo para tomar
decises eficientes sobre risco e controle. O COBIT enderea estes problemas em de forma de diretrizes de
gerenciamento. Estas diretrizes esto destacadas abaixo:
Metas de TI e Processos de TI:
So Medidas por:
So decompostas em:
Performance: Indicadores de Desempenho
- Atividades-Chaves
Resultado: Mtrica de Resultado
Que so executadas pela
Maturidade: Modelo de Maturidade
- Matriz RACI
Metas de TI e Processos de TI:
Pg: 8/38
Reviso 7.0
Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm
ciclos de vida e incluem muitas tarefas discretas.
Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm
ciclos de vida e incluem muitas tarefas discretas.
PLANEJAR E
ORGANIZAR (PO)
Processos
Pg: 9/38
Objetivos:
o Formular estratgia e tticas
o Identificar como TI pode contribuir melhor para alcanar os objetivos de
negcios
o Planejar, comunicar, e gerenciar a realizao da viso estratgica
o Implementar uma infraestrutura organizacional e tecnolgica
Escopo:
o A TI e os negcios esto estrategicamente alinhados?
o A empresa est alcanando um uso otimizado dos recursos de TI?
o Todos na organizao entendem os objetivos de TI?
o Os riscos de TI esto entendidos e sendo gerenciados?
o A qualidade dos sistemas de TI est apropriada para as necessidades de
negcios?
Reviso 7.0
ADQUIRIR
IMPLEMENTAR
(AI)
Objetivos:
o Identificar, desenvolver ou adquirir, implementar, e integrar as solues de
TI
o Mudanas e manuteno de sistemas existentes
Escopo:
o Os novos projetos esto preparados para entregar solues que alcancem
as necessidades de negcios?
o Os novos projetos esto preparados para serem entregues a tempo e
dentro do oramento?
o Os novos sistemas iro funcionar bem quando implementados?
o As mudanas sero feitas sem atrapalhar as operaes de negcios
atuais?
Processos
ENTREGAR E
SUPORTAR (DS)
Objetivos:
o A entrega real de servios necessrios, incluindo a entrega de servios
o O gerenciamento da segurana, continuidade, dados e facilidades
operacionais
o Suporte de servios para os usurios
Escopo:
o Os servios de TI esto sendo entregues alinhados com as prioridades de
negcios?
o Os custos de TI esto otimizados?
o A fora de trabalho capaz de usar os sistemas de TI de forma produtiva
e segura?
o A confidencialidade, integridade e disponibilidade esto adequadas?
Processos
Pg: 10/38
Reviso 7.0
MONITORAR E
AVALIAR (ME)
Processos
Objetivos:
o Gerenciamento de Performance
o Monitoramento de controles internos
o Conformidade regulatria
o Governana
Escopo:
o A performance de TI est sendo medida para detectar problemas antes
que seja tarde demais?
o O gerenciamento garante que os controles internos sejam eficazes e
eficientes?
o A performance de TI pode ser ligada s metas de negcios?
o Os riscos, controles, conformidade e performance esto sendo medidos e
relatados?
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade Regulatria
ME4 Fornecer Governana de TI
Descrio
Eficincia
(Qualidade)
Lida com a proviso de informaes atravs dos uso de recursos otimizados mais
produtivos e econmicos
Confidencialidade
(Segurana)
Integridade
(Segurana)
Disponibilidade
(Segurana)
Conformidade
(Fiduciria)
Confiabilidade
(Fiduciria)
Pg: 11/38
Lida com informaes relevantes e pertinentes aos processos de negcios bem como a
mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel.
Reviso 7.0
Recurso
Aplicaes
Descrio
Aplicaes so sistemas de usurios automatizados e procedimentos manuais que
processam a informao.
Informao
Infraestrutura
Pessoas
Metas e mtricas mostram como os processos devem ser medidos. Eles so definidos em trs nveis:
Metas e mtricas de TI definem o que os negcios esperam da TI, ou seja, o que os negcios usariam
para medir a TI.
Metas e mtricas de processo definem o que o processo de TI deve entregar para suportar as metas de
TI e como medir isso
Mtricas de performance de processo medem quo bem o processo esto indo para indicar se as metas
devero ser alcanadas.
Pg: 12/38
Reviso 7.0
Modelo de Maturidade:
Todos os processos possuem um modelo de maturidade. A maturidade diz respeito capacidade do processo
em atender os requisitos regulatrio e compliance, capacidade para atender metas de TI e as metas dos
processos de TI.
Modelos de Maturidade fornecem uma escala para referenciar s prticas da companhia contra os padres e
diretrizes da indstria. Um modelo de maturidade uma medida que capacita que uma empresa nivele sua
maturidade para um processo especfico de no existente (0) para otimizado (5).
Pg: 13/38
Reviso 7.0
Introduo ao Val IT
O Val IT baseado no COBIT, estendendo e complementando-o, orientado para a dimenso do valor da
entrega, o Val IT foca especificamente:
Nas decises de reinvestimento (estamos fazendo as coisas certas?)
Na realizao dos benefcios (estamos obtendo os benefcios?)
A Meta do Val IT:
A meta da iniciativa do Val IT ajudar a administrao a garantir que as organizaes entendam o valor
mximo dos investimentos que permitam a sustentao dos negcios a um custo acessvel a um nvel
aceitvel de riscos
Estrutura de Processo:
O diagrama abaixo mostra a estrutura dos trs processos do VAL IT e suas prticas de gerenciamento.
Valor da Governana (Value Governance)
Pg: 14/38
Reviso 7.0
Pg: 15/38
Reviso 7.0
Os processos expandem os processos dos domnios Planejar e Organizar (PO) e Monitor e Avalir (ME) do
COBIT, especialmente aqueles relacionados a:
Estratgias de TI e do Negcio
Gerenciamento de Investimentos
Portflio de programas e gerenciamento de projetos
Monitorar e avaliar o valor da entrega
A estrutura do Val IT framework prov uma referncia cruzada ao COBIT.
Resumo:
O COBIT conecta riscos de negcios, controla necessidades e requisitos tcnicos. Prov boas prticas
atravs de uma estrutura de domnios e processos. Tambm apresenta atividades em uma estrutura lgica
e gerencivel.
A audincia para o COBIT inclui gerenciamento de negcios, auditores e gestores de TI.
Os trs componentes da estrutura do COBIT combinam para formar um mtodo holstico de analisar e
definir os requisitos de TI em uma organizao.
Pg: 16/38
Reviso 7.0
Os Processos:
Estrutura do Cobit Processos:
Cada processo de TI do COBIT possui:
o Um requisito de negcio que a TI satisfaa.
o Metas-chaves em que se focar.
o Controles-chaves que ajudem a alcanar as metas.
o Mtricas-chaves que ajudem a medir a performance.
o Objetivos de controle detalhados.
Cada processo de TI do COBIT:
Est mapeado para critrios de informao, recursos de TI, e governana de TI usando:
o P - Relacionamento Primrio.
o S - Relacionamento Secundrio.
o Em branco para indicar que os requisitos so satisfeitos mais apropriadamente por outro critrio
e/ou por outro processo.
Possui entradas e sadas de processos e uma matriz RACI.
Possui um modelo de maturidade.
Objetivos de Controle:
Cada processo tem um objetivo de controle de alto nvel e objetivos de controles detalhados.
As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcios no mesmo
nvel. O framework do COBIT define trs nveis:
Primrio: O objetivo de controle definido impacta diretamente no critrio de informao.
Secundrio: Secundrio: O objetivo de controle definido satisfaz apenas indiretamente ou em extenso
menor o critrio de informao
Em branco: Isto poderia ser aplicvel. Entretanto, os requisitos so satisfeitos mais apropriadamente
por outro critrio neste processo.
O que Objetivo de Controle ?
Uma declarao do resultado desejado ou proposta a ser alcanada implementando procedimentos de controle
em uma atividade em particular.
Pg: 17/38
Reviso 7.0
As prticas de Controle:
As prticas de controle de TI estendem a estrutura do COBIT fornecendo um nvel adicional de ajuda quando
olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o
que precisa ser feito para implementar uma estrutura de controle eficaz. As prticas de controle fornecem um
nvel de detalhe adicional, se necessrio.
Pg: 18/38
Reviso 7.0
Pg: 19/38
Reviso 7.0
Indicadores:
Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0):
Define medidas que informam aos gestores aps o fato que indicam se uma funo, processo ou atividade
alcanou suas metas. Indicadores de resultado das funes de TI so frequentemente expressas em termos
de critrios de informao relevantes, como:
Disponibilidade da informao necessria para suportar as necessidades de negcios.
Ausncia de riscos de integridade e confidencialidade.
Eficincia de custo de processos e operaes.
Confirmao de confiabilidade, eficcia, e conformidade.
Pg: 20/38
Reviso 7.0
Pg: 21/38
Reviso 7.0
Modelo de Maturidade:
Nvel de Maturidade
O No Existente
Descrio
Tcnicas de gerenciamento de projeto no so utilizadas e a organizao
no considera os impactos dos negcios associado com a falta de
gerenciamento de projeto e falhas de desenvolvimento de projeto.
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Pg: 22/38
Reviso 7.0
Pg: 23/38
Reviso 7.0
Entradas e Sadas:
Entradas:
PO1 - Estratgia de Sourcing de TI
PO8 - Padro de Aquisio
AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros
DS1 - SLAs, Reviso do relatrio de contrato
DS4 - Requisitos de Servios de Desastres, incluindo papis e responsabilidades
Sadas:
Relatrio de performance de processos - ME1
Catlogo de Fornecedores - AI5
Risco de Fornecedores - PO9
Pg: 24/38
Reviso 7.0
Pg: 25/38
Reviso 7.0
Descrio
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Pg: 26/38
Reviso 7.0
PLANEJAR E ORGANIZAR
PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e
prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor
otimizado realizado atravs dos portflios dos projetos e servios. O plano estratgico deve aumentar a compreenso
dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel
de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portflios e executadas
atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo
negcio e da TI.
Pg: 27/38
Reviso 7.0
ADQUIRIR E IMPLEMENTAR
Pg: 28/38
Reviso 7.0
Pg: 29/38
Reviso 7.0
Pg: 30/38
Reviso 7.0
MONITORAR E AVALIAR
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do
gerenciamento do portflio empresarial e processos de programas gerenciais e estes processos que so especficos para
entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de
desempenho da companhia.
Pg: 31/38
Reviso 7.0
O COBIT baseado em padres internacionais aceitos e regulamentos e cada vez mais reconhecido como o
framework de fato para a governana de TI.
O COBIT est focado no que necessrio para alcanar esta governana e controle em um alto nvel. Ele est
alinhado com outras melhores prticas e pode ser usado como o integrador de diferentes materiais guia,
como a ISO 17799 e a ITIL.
Resumo:
Vamos destacar os padres e frameworks que se relacionam com o COBIT.
O COBIT est harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799 e CMM.
O COBIT est alinhado com o COSO.
O COBIT est posicionado centralmente, no nvel geral, ajudando a integrar prticas tcnicas e especficas
com maiores prticas de negcios.
Os processos de TI do COBIT tambm se relacionam com mltiplos componentes do COSO.
O COBIT pode ser usado para garantir conformidade com leis e regras.
Os processos e controles do COBIT podem ser remendados para alcanar regras especficas, como a Lei
Sarbanes-Oxley.
Pg: 32/38
Reviso 7.0
Pg: 33/38
Reviso 7.0
O roadmap do Guia de Validao consiste dos seguintes 3 estgios: Planejamento, Fazer Escopo e
Execuo:
Planejamento: Estabelecer o universo de validao de TI para designar o que ser validado o inicio de
toda iniciativa de validao.
Fazer escopo: o processo que inicia pela definio das metas de negcio e TI para o ambiente sob
reviso e pela identificao do conjunto de recursos e processos de TI (que o universo a ser validado)
requerido para suportar essas metas.
Execuo: O terceiro estgio do roadmap de validao o estgio de execuo. Nos prximos slides,
vamos examinar, em detalhes, o roadmap de execuo que descreve a forma como os profissionais
envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de
validao especfica.
Estgio
Refinar o Entendimento
Refinar o Escopo
Descrio
O 1. Estgio da fase de execuo refinar o entendimento do ambiente nos
quais os testes sero executados. Isto implica entender a organizao para
selecionar o escopo e objetivo corretos de validao. O escopo e objetivo da
validao precisa ser comunicado e aceito por todos os patrocinadores.
O 2. Estagio da fase de execuo refinar o escopo e determinar
selecionando uma amostra do universo a ser validado (ou seja, processo,
sistema ou aplicao) por um lado e o conjunto de controles a ser revisto por
outro lado para:
Analisar metas de negcios e TI
Selecionar processos e controles
Analisar os riscos inerentes se os objetivos de controle no forem
atingidos e a reviso dos testes necessrios para a validao
Finalizar o escopo
Concepo de Teste e
Controle
Pg: 34/38
Reviso 7.0
Comunicar as Concluses
Pg: 35/38
Reviso 7.0
Pg: 36/38
Reviso 7.0
Resumo Produtos:
Os recursos do COBIT a seguir esto disponveis para dar suporte s implementaes do COBIT:
COBIT Online
COBIT Quickstart
IT Governance Implementation Guide Using COBIT e Val IT
COBIT Security Baseline
Pg: 37/38
Reviso 7.0
Referncias:
- Manual do Cobit Foundation 4.1 (em portugus)
http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274
ITGI/ISACA
- Cobit Security Baseline - 2a. edio
An Information Security - Survival Kit
ITGI/ISACA
- IT Assurance Guide
Using Cobit
ITGI/ISACA
- IT Governance Implementation Guide - 2a. edio
Using Cobit and Val IT
ITGI/ISACA
www.isaca.org
Colaborao:
- Reviso ortogrfica e tcnica: Otavio Pereira
Realizao:
by @rildosan
Pg: 38/38
Reviso 7.0