Você está na página 1de 60

Seja bem-vindo ao curso de Fundamentos de COBIT!

Este mdulo tem como objetivo trazer a voc uma viso geral sobre toda a estrutura,
conceitos, modelos de trabalho, reas de aplicao, vantagens e desvantagens do
COBIT.

Embora este seja um mdulo independente e no necessite de pr-requisitos, a
compreenso de como o COBIT pode trazer benefcios para as reas de TI das
empresas ser mais simples se voc j tiver realizado o mdulo de Introduo a
Governana de TI.
O contedo foi estruturado com base na verso 4.1 do COBIT e visa possibilitar a
compreenso de todo o seu framework e como este pode ser utilizado na prtica.
Alm disso, dominar os conceitos aqui apresentados dar a voc total condio de
prestar o exame de certificao COBIT Foundations.
No entanto, importante esclarecer que a Fundao Bradesco no oferece, nem
custeia, o exame de certificao. Todas as informaes necessrias para obter a
certificao sero abordadas no curso para o caso voc opte por prestar o exame.
Atualmente as empresas, de um modo geral, esto com seus processos internos cada
vez mais dependentes de recursos de Tecnologia da Informao (TI), o que implica
em uma necessidade cada vez maior de fazer uma gesto sobre os riscos em TI para
no comprometer a continuidade do negcio.
Alm disso, e possvel observar que em empresas de pequeno, mdio ou grande porte,
nacionais ou multinacionais, a dependncia da TI to significativa a ponto de se
tornar praticamente invivel pensar na operao do negcio sem considerar os recursos
tecnolgicos envolvidos.
H casos, nos mais diversos segmentos de mercado, onde a TI integra-se totalmente
ao negcio a ponto de que isso se torne um diferencial competitivo no mercado e
assegura o futuro da empresa.
O segmento bancrio um excelente exemplo onde a tecnologia se tornou vital para o
negcio da empresa.
Partindo desta anlise fica evidente que a gesto sobre os riscos de TI fundamental
para assegurar a continuidade dos negcios.
Assim, a proposta deste mdulo apresentar a voc como a estrutura do COBIT
permite aplicar as melhores prticas de mercado para a gesto de riscos de TI e como
possvel, por meio desta iniciativa, alcanar no s a excelncia operacional, mas
tambm estabelecer um modelo de governana que mantenha a rea de TI integrada
aos objetivos de negcio e oferea a empresa condies adequadas para alcanar seus
objetivos estratgicos.
importante ter em mente que possvel integrar os principais modelos de mercado
para gerenciar adequadamente os riscos de TI em um cenrio cada vez mais complexo
e competitivo, e onde o tempo de resposta da TI em relao s necessidades do
negcio faz a diferena entre permanecer no mercado ou perder espao para a
concorrncia.
Trazendo este conceito a realidade de mercado, do ponto de vista de gesto
empresarial necessrio considerar, no mnimo, risco de mercado, de crdito, legal
e operacional, sendo que podemos definir o clculo do risco como a tentativa de se
medir o grau de incerteza na obteno do retorno esperado em uma determinada
aplicao financeira ou investimento realizado.
Todos estes conceitos so tratados no Mdulo I Fundamentos em Governana de
TI desta Unidade de Estudo, no entanto, antes de comear a tratar o framework do
COBIT e como ele oferece uma base para a gesto de riscos em TI, vamos conhecer um
caso real sobre os benefcios ou necessidades de se fazer uma gesto de riscos para o
negcio da empresa.
Um exemplo deste cenrio pode ser observado na prpria Organizao Bradesco. Esta
definido em seu portal que:
Considerar o gerenciamento de riscos essencial em todas as suas atividades,
utilizando-o com o objetivo de adicionar valor ao seu negcio, na medida em que
proporciona suporte s reas comerciais no planejamento de suas atividades,
maximizando a utilizao de recursos prprios e de terceiros, em benefcio dos
acionistas e da sociedade".
"A atividade de gerenciamento de riscos altamente relevante em virtude da crescente
complexidade dos servios e produtos ofertados pela Organizao e tambm em funo
da globalizao de seus negcios.
Por esse motivo, a Organizao aprimora continuadamente suas atividades relacionadas
ao gerenciamento de riscos, atividades estas devidamente alinhadas com as
regulamentaes aplicveis, aderentes s recomendaes e melhores prticas utilizadas
internacionalmente e adaptadas nossa realidade.

A Organizao Bradesco no o nico exemplo, na realidade, empresas de todos os
segmentos, no mundo inteiro, esto presenciando um desenvolvimento significativo da
tecnologia em relao aos negcios.
A Organizao realiza considerveis investimentos nas aes relacionadas aos
processos de gerenciamento de riscos especialmente na capacitao do quadro de
funcionrios, com o objetivo de elevar a qualidade da execuo e de garantir o
necessrio foco, intrnsecos a estas atividades, que produzem forte valor agregado.
A TI deixou de lado o papel de dar suporte ao negcio e, principalmente na rea
financeira, se tornou a estratgia do prprio negcio. O nvel de dependncia de
tecnologia para o mercado financeiro algo muito difcil de ser mensurado, no entanto,
se entendermos que a TI um conjunto estrutural na qual a empresa depende para
realizar suas atividades, o nvel de dependncia 100%.
Este quadro deixa evidente a necessidade das empresas em estabelecer e implementar
mecanismos de controle, no s no que diz respeito gesto de riscos, como tambm
pelo fato de que estas esto sujeitas a legislao e regulamentao existente para o
mercado nacional ou internacional, e exatamente respondendo a este tipo de
necessidade que o COBIT pode ser aplicado.
Os CIOs de hoje precisam assegurar alinhamento dos servios de TI com as
necessidades atuais e futuras da empresa. Os investimentos em TI devem ser
direcionados de modo a possibilitar que a empresa alcance os resultados desejados,
onde a prontido tecnolgica torna-se fundamental para a empresa vencer os
desafios de curto, mdio e longo prazo.
Por outro lado, por no haver maturidade nas empresas em relao a necessidade de
se adotar prticas de governana de TI, inmeras tecnologias foram incorporadas aos
negcios em resposta imediata necessidades da empresa e aumentaram a
complexidade dos ambientes de TI. Aliado a este fator tambm existe a questo de
crescimento ou expanso das empresas, levando inclusive a ampliar suas instalaes
no s dentro do pas, como tambm no exterior.
A TI est incorporada pelo negcio de tal maneira que agora, caso os servios de TI
sejam interrompidos por qualquer que seja o motivo, as operaes da empresa so
impactadas de uma maneira a trazer impactos financeiros nos resultados.
Outro desafio que os CIOs esto enfrentando atualmente a necessidade de reduzir
custos e gerenciar riscos de modo que eventuais falhas na infraesturutra de TI no
tenham impacto para o negcio.
A dependncia cada vez maior do negcio em relao aos servios de TI gerou grandes
investimentos em projetos e processos, de modo que o CIO recebe forte presso do
CEO e do conselho de administrao para minimizar custos operacionais por meio de
uma melhor gesto nos projetos, alm de gerenciar adequadamente os riscos
relacionados a mudanas na infraestrutura de TI.
Neste mdulo voc aprendeu que as melhores prticas descritas na ITIL so to
relevantes que se tornaram um padro de fato no mercado de TI.
Seus conceitos so aplicados nos nveis operacional e ttico e permitem que a rea de TI
estruture o ciclo de vida de seus servios como um todo, de modo a alcanar excelncia
operacional.
J o framework do COBIT focado no nvel estratgico e, por se tratar de um
framework de controle, possibilita que a TI tenha seu desempenho mensurado e seus
riscos devidamente apontados e tratados.
Sendo assim, estudaremos toda a estrutura do COBIT nos mdulos seguintes.
O COBIT, atualmente na verso 4.1, um framework de controle que se tornou
mundialmente aceito nas empresas em funo dos benefcios que proporciona.
Diferente do framework do COSO, que um modelo de controle genrico, O COBIT
focado unicamente em TI e sua estrutura oferece uma base slida para se estabelecer
um modelo de governana de TI.
A misso apresentada no COBIT 4.1 (2007, p.13) :


COBIT Control Objectives for Information and Related Technology
Objetivos de Controle para Informaes e Tecnologias Relacionadas

Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle
para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso
do dia-a-dia de gerentes de negcio e auditores.
Ao estudar o framework do COBIT com maior profundidade possvel identificar que
ele especifica os objetivos de controle, mas no detalha como os processos podem ser
definidos.
O COBIT no um padro, no uma norma como a ISO 20.000, ISO 17.799 ou ISO
9.001, e ele tambm no serve como guia para maximizar os benefcios da TI.
Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforos e recursos da TI para
atender aos requisitos do negcio. A adoo do COBIT no tem como meta controlar
todos os processos, mas apenas identificar quais processos da TI esto impactando, ou
gerando riscos para o negcio, de modo a priorizar o gerenciamento destes processos.
O framework de controle do COBIT segue a premissa que no possvel gerenciar aquilo que
no se mede. Desta forma ele prope uma srie de objetivos de controle e seus respectivos
indicadores de desempenho.
Pesquisar, desenvolver,
publicar e promover um conjunto
de
objetivos de controle para
tecnologia que seja embasado,
atual, internacional e aceito
em geral para o uso do dia-a-dia de
gerentes de negcio e . auditores
O modelo tambm considera que a TI precisa entregar a informao que a
empresa precisa para alcanar os seus objetivos de negcio.

O framework do COBIT foi criado tendo como principais caractersticas o foco no
negcio, a orientao a processos, ser baseado em controles e direcionado por
mtricas.
Adotar COBIT ajuda uma empresa a implementar boas prticas em governana de
TI, pois ele oferece um guia de melhores prticas e direcionamento.
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades em uma
estrutura gerencivel e lgica.

O modelo tambm considera que a TI precisa entregar a informao que a
empresa precisa para alcanar os seus objetivos de negcio.


Alm disso, possvel identificar tambm que o COBIT compatvel com outros
padres de mercado, pois ele se posiciona em um nvel genrico, abrangendo vrios
processos de TI, definindo os objetivos de cada um e como devem ser controlados. No
entanto, o COBIT no foca em como cada processo deve ser implementado, sendo
exatamente este o motivo que o leva a ser compatvel ou complementar a outros
modelos existentes.
As boas prticas do COBIT representam um consenso entre especialistas no que diz
respeito a Governana de TI, pois seu framework extremamente focado no controle e
pouco focado na execuo.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a entrega do servio e
fornecendo uma mensurao que possibilita identificar a performance de cada objetivo de
controle e, como consequncia, tomar aes gerenciais para mitigar riscos e atingir os resultados
desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente
independente do tipo de negcio e do valor e participao que a tecnologia da informao tem na
cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao de
controles e maturidade de processos de TI e, por esta razo, tem sido adotado em
diversos projetos de governana de TI.
H alguns anos, o mercado de TI tinha uma tendncia de buscar alinhamento ao
negcio. Dentro deste contexto, a TI tinha foco ttico e operacional e normalmente era
tratada como um centro de custo. Seu papel era dar suporte a estratgia de negcio e
precisava ser gil.

O Mdulo I deste curso mostra que para negociar papis na Bolsa de Nova Yorque
(NYSE) as empresas precisam se adequar as exigncias da lei Sarbanes-Oxley (SOX).
Esta, por sua vez, determina a criao do Public Company Accounting Oversight
Board (PCAOB), ou seja, um Conselho de Auditores de Companhias Abertas.
O PCAOB recomenda que as empresas utilizem um framework adequado, e
reconhecido no mercado, para avaliar seus controles internos, e cita especificamente o
framework do COSO.
No que diz respeito a governana de TI, o COBIT framework de controle para
processos de TI que melhor atende as exigncias do COSO.
O framework do COBIT, por sua vez, est situado em um nvel mais estratgico e
sugere o uso de outros frameworks que podem ser vistos como complementares e
necessrios para que se estabelea um modelo de governana de TI.
As caractersticas do COBIT o deixam posicionado em um nvel mais estratgico quando
comparado a outros frameworks, normas ou padres que se complementam, a figura
acima ilustra o posicionamento e os pontos de integrao do COBIT em relao a outros
modelos.
Cabe aos executivos avaliar qual o melhor modelo para atender as necessidades de
negcio de suas empresas, mas evidente que a regulamentao externa
(SOX/Basilia II) direciona fortemente a adoo do COBIT em suas prticas de
governana de TI.
Um fator extremamente significativo o que o COBIT, por ser um framework de
controle de alto nvel, aponta o que deve ser controlado, mas no diz como fazer. Ele
se encaixa perfeitamente com as melhores prticas para gesto de servios de TI
descritas na IT Infrastructure Library (ITIL), que tem foco mais ttico e operacional em
relao aos processos internos de TI.
Inmeros modelos, referncias e guias de melhores prticas podem ser adotados para
estabelecer um modelo de governana de TI para as organizaes.
Os frameworks do COBIT e do ITIL se complementam e cobrem grande parte dos
aspectos da organizao da TI, de modo que quando as prticas estabelecidas em cada
modelo so adotadas pelas organizaes de TI, em seus processos internos, o risco
operacional de TI reduzido de maneira significativa.


vlido aproveitar este momento e destacar que para tratar da gesto de riscos em TI
na sua totalidade, necessrio tambm tratar os riscos em projetos de TI.
O foco deste estudo para o gerenciamento de projetos de TI so as prticas descritas
no Project Management Body of Knowledge (PMBOK) publicado e mantido pelo
Project Management Institute (PMI).
Voc poder aprender sobre a gesto de risco em projetos de TI no curso Gesto de
Projetos PMBOK. Por hora, basta considerar que no basta fazer gesto de riscos
somente na operao do negcio ou na operao da TI.
Na sequncia sero apresentadas as verticais que devem ser gerenciadas para a
integrao entre TI e o negcio, bem como quais modelos de mercado cujas prticas
podem ser aplicadas em cada vertical.
Chegar a uma combinao relevante e importante de elementos que permitir
estabelecer uma possvel estrutura para as prticas de governana de TI, relacionando
os frameworks, normas tcnicas e guias de melhores prticas, dentre outros, nas
diversas frentes existentes entre o negcio e a operao da TI.
Tudo isso visa fazer com que a TI se torne um parceiro estratgico para que as
empresas possam alcanar seus objetivos de negcio.
A Tecnologia da Informao relativamente nova se comparada a Engenharia, Arquitetura,
Medicina ou Advocacia, no entanto, o conjunto de melhores prticas que ser apresentado a
seguir vem passando por um ciclo de melhoria contnua cujos resultados positivos vem sendo
comprovados pelo marcado h pelo menos 10 anos.
Como dito anteriormente, o framework de controle do COBIT parte da premissa que
no possvel gerenciar aquilo que no se mede. Desta forma ele prope uma srie de
objetivos de controle e seus respectivos indicadores de desempenho.
O modelo tambm considera que a TI precisa entregar a informao que a empresa
precisa para alcanar os seus objetivos de negcio.
Alm disso, o COBIT compatvel com outros padres de mercado pois ele se posiciona
em um nvel genrico, abrangendo vrios processos de TI, definindo os objetivos de
cada um dos processos e como devem ser controlados.

O COBIT no foca em como cada processo deve ser implementado, sendo exatamente
este o motivo que o leva a ser compatvel ou complementar a outros modelos
existentes.
Sua estrutura classifica os processos em 4 domnios, e apresenta atividades em uma
estrutura gerencivel e lgica.
As boas prticas do COBIT representam um consenso entre especialistas, pois seu
framework extremamente focado no controle. Estas prticas ajudam a otimizar os
investimentos em TI, assegurando a entrega do servio e fornecendo uma mensurao
que possibilita identificar a performance de cada objetivo de controle e, como
consequncia, tomar aes gerenciais para mitigar riscos e atingir os resultados
desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm
totalmente independente do tipo de negcio e do valor e participao que a tecnologia
da informao tem na cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao de
controles e maturidade de processos de TI e, por esta razo, tem sido adotado em
diversos projetos de governana de TI.
Objetivos do COBIT
O COBIT tem como objetivos:
- Ser um padro aceito nas melhores prticas de governana de TI.
- Aplicar as melhores prticas a partir de um matriz de domnios, processos e
atividades estruturados de forma lgica e gerencivel.
- Auxiliar na associao entre:
- O COBIT teve sua primeira publicao realizada em 1996 com foco no controle e
anlise dos sistemas de informao. Sua segunda edio, em 1998, ampliou a
base de recursos adicionando o guia prtico de implementao e execuo. A
edio atual (4.1) j sob a coordenao do IT Governance Institute (ITGI),
introduz as recomendaes de gerenciamento de ambientes de TI dentro de um
modelo de maturidade de governana.
- O COBIT foi desenvolvido inicialmente pela fundao do Information Systems
Audit and Control Association (ISACA), que uma instituio fundada em
1967, e atualmente mantido pelo ITGI, cuja fundao ocorreu em 1998.
- Para maiores informaes sobre o ISACA e o ITGI, visite os sites: Isaca, Itgi.
O COBIT chegou a sua estrutura atual contando com um conjunto de contribuies de
vrias empresas e organismos internacionais, entre eles podemos citar:

- Padres tcnicos da ISO e EDIFACT, dentre outros.
- Cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA e outros.
- Critrios de qualificao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE,
TickIT dentre outros.
- Cada organizao deve buscar a compreenso de seu prprio desempenho e
deve medir o seu progresso.

O benchmarking (comparativo) com outras organizaes passa a fazer parte da
estratgia das empresas para conseguir a melhor competitividade em TI.

O COBIT, por meio de suas recomendaes de gerenciamento e com a
orientao no modelo de maturidade em governana, auxilia os gerentes de TI
no cumprimento de seus objetivos, alinhados com os objetivos da organizao.
- As diretrizes de gerenciamento do COBIT focam na gerncia por desempenho
usando os princpios do Balanced ScoreCard (BSC).

- Padres profissionais para controles internos e auditoria, como o COSO, IFAC,
AICPA, CICA, ISACA, IIA, PCIE, GAO e outros.
- Prticas e exigncias dos fruns da indstria e das plataformas recomendadas
pelos governos (IBAG, NIST, DTI), etc..
- Exigncias das indstrias emergentes como operao bancria, comrcio
eletrnico e engenharia de software.
- Com a dependncia cada vez maior nos recursos de tecnologia as organizaes
passam a ter a necessidade de demonstrar controles crescentes em segurana.
Seus indicadores principais identificam e medem os resultados dos processos, avaliando
seu desempenho e alinhamento com os objetivos dos negcios da organizao.

Adotar o COBIT como modelo de governana torna-se vantajoso por:

- Ser aceito internacionalmente como framework de modelo para Governana de
TI;.
- Ser orientado a processos.
- Ser suportado por ferramentas e treinamento.
- Estar em desenvolvimento contnuo.
- Mapear os maiores padres e frameworks de mercado, como o ITIL a ISO
20.000 e a ISO 27.001.
- Ajudar a entender os requisitos regulatrios.
- Ser compatvel com o COSO quanto ao controle do ambiente de TI.
- Definir uma linguagem comum entre TI e o negcio.
- Ser focado nos requisitos de negcio.
- O COBIT foi projetado para ser utilizado por trs pblicos distintos.
- Administradores podem fazer uso do COBIT para auxili-los na avaliao entre
risco, investimento e controle de ambientes muitas vezes imprevisveis, como o
de TI.
- Usurios podem utilizar para se certificarem da segurana e dos controles dos
servios de TI fornecidos internamente ou por terceiros.
- Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizado por
auditores de sistemas onde serve como subsdio das opinies emitidas ou para
prover aconselhamento aos administradores sobre os controles internos.
- O princpio da estrutura do COBIT o de prover um link entre as expectativas
com as responsabilidades de gerenciamento de TI. O objetivo facilitar a
governana de TI para agregar valor a TI, por meio do gerenciamento dos riscos
de TI.
- O princpio do framework derivado de um modelo que mostra a informao
com qualidade sendo produzida por eventos realizados ou executados nos
recursos de TI, conforme apresentado na figura ao lado.
- O COBIT um framework e tambm uma base de conhecimento para os
processos de TI e o gerenciamento destes. Ele no um padro definitivo e deve
ser adaptado para a realidade de cada empresa. Trata-se de um framework de
controle que tem o propsito de assegurar que os recursos de TI estaro
alinhados com os objetivos da organizao.
- O framework tambm baseado na premissa de que a TI precisa entregar
informao que a empresa necessita para atingir seus objetivos, fazendo com
que a TI seja mais responsiva ao negcio.
Caractersticas
- Define uma linguagem comum entre TI e o negcio
- Ajuda a entender os requisitos regulatrios
- um padro aceito entre empresas
- orientado a processos
- focado nos requis
- praticamente impossvel falar dos componentes do COBIT sem citar o termo
conhecido no mercado como cubo do COBIT.
- O conceito de cubo utilizado para representar como os componentes se inter-
relacionam, pois ele ilustra de maneira fidedigna as dimenses e seu respectivo
relacionamento.
- A figura ao lado ilustra que o framework do COBIT considera a necessidade de
relacionar os processos de TI, os recursos de TI e os critrios de
informao, conforme ser tratado a seguir.
O COBIT considera que Recursos de TI so gerenciados pelos processos de TI para
fornecer as informaes que a empresa necessita para atingir seus objetivos. O
framework estabelece 4 tipos de recursos, conforme relao apresentada a seguir:
Uma das faces do cubo do COBIT representa os processos de TI. O framework do
COBIT apresenta aos processos de TI agrupados em 4 domnios, conforme segue:
- Planejar e organizar (plan and organize - PO)
- Adquiri e implementar (acquire and implement - AI)
- Entregar e suportar (deliver and support - DS)
- Monitorar e avaliar (monitor and evaluate - ME)
- Como todos os componentes do COBIT esto inter-relacionados, a figura do cubo
utilizada para sumarizar que os recursos de TI so gerenciados pelos processos
de TI para alcanar as metas que correspondem aos requisitos do negcio.
- Este o princpio bsico do framework do COBIT, e ilustrado por meio da figura ao
lado.
- Por meio dele possvel observar que cada um dos 4 domnios e seus 34 objetivos de
controle de alto-nvel consomem Recursos de TI e necessitam atender a requisitos de
negcio.
- Nos prximos mdulos, veremos como o desdobramento do cubo do COBIT para cada
um dos 34 objetivos de controle de alto-nvel.
- O COBIT estabelece metas e mtricas em 3 nveis:
- O primeiro nvel trata de objetivos e mtricas de TI que definem o que o
negcio espera da TI e como isso ser medido.
-
- O segundo nvel trata dos objetivos e mtricas que definem o que os
processos de TI devem entregar para suportar os objetivos de TI e como isso
ser medido.
- O terceiro nvel trata dos objetivos de atividades e respectivas mtricas para
estabelecer o que precisa ocorrer dentro dos processos para alcanar a performance
desejada e como mensurar isso.
- Os objetivos de TI so definidos em uma abordagem top-down, onde os objetivos do
negcio vo determinar o nmero de objetivos de TI que vo suportar o negcio.
O monitoramento realizado por meio do acompanhamento de indicadores de
resultado (outcome measures), processados aps a execuo dos processos, e
Indicadores de performance (performance indicators), processados durante a
execuo dos processos e utilizados para avaliar e tomar aes corretivas para
assegurar que os resultados esperados sejam alcanados.
O framework do COBIT estabelece diretrizes de gerenciamento e estas, por sua vez,
sugerem o uso da metodologia Balanced Score Cards (BSC).
O BSC fornece meios para estabelecer mtricas para alcanar as metas de TI.
A metodologia do BSC v o negcio sob 4 perspectivas, estabelecendo os objetivos estratgicos
da empresa e mapeando suas metas e indicadores de performance, sendo que voc poder ver
isso com maiores detalhes na unidade de estudo de gesto de servios de TI.

Por hora, importante saber que o BSC parte da definio da estratgia da empresa
para, em seguida, estabelecer os objetivos estratgicos que a empresa deve alcanar
sob a perspectiva Financeira, perspectiva do cliente, perspectiva de inovao,
aprendizado e crescimento e a perspectiva de processos internos do negcio.
A estratgia estabelece a direo que a empresa deve seguir, a perspectiva do
cliente trata dos valores que a empresa quer oferecer, ou seja, como ela quer ser vista
sob a percepo do cliente.
J a perspectiva de processos internos estabelece os objetivos estratgicos do que
a empresa deve fazer para conseguir entregar os valores estabelecidos na perspectiva
do cliente.
Naturalmente, a perspectiva do aprendizado e inovao trata da gesto do
conhecimento da empresa, de clima e cultura e de outros valores essenciais para a
sade da empresa.
A quarta perspectiva apresentada a financeira, que naturalmente trata das questes
de gesto financeira da empresa, quais os objetivos estratgicos para o despesas,
investimentos e como assegurar o futuro da empresa.
No h uma regra para estabelecer ou definir se h uma perspectiva mais ou menos importante, todas
contm objetivos estratgicos e, portanto, importantes para a empresa.
Ao avaliar os mapas estratgicos de diversas empresas, produzidos dentro dos conceitos da metodologia do
BSC, possvel observar que normalmente a perspectiva do Cliente apresentada em primeiro lugar quando
a cultura da empresa tem o foco principal no cliente.



J quando a cultura da empresa tem como foco principal a obteno de lucro,
normalmente a perspectiva financeira apresentada em primeiro lugar.

O fato que isso realmente no importa, relevante estabelecer quais so os
objetivos mais importantes da empresa, quem ser responsvel por cada um deles
(accountability) e como eles sero mensurados.
Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes no
framework do COBIT, fica evidente que o COBIT v no BSC uma maneira de
implementar o conceito do framework e estabelecer os pontos de controle,
trazendo total transparncia as partes interessadas, ou seja, clientes, parceiros,
funcionrios e acionistas da empresa.
Trata-se de um modelo de referncia que possibilita a empresa avaliar e classificar sua
maturidade para um determinado processo.
O gerenciamento e controle sobre os processos de TI so baseados em um mtodo para avaliar
sua organizao, de modo que ela pode ser classificada em um nvel onde o processo
inexistente (0) at o nvel otimizado (5).

Isto possibilita no s fazer comparaes com outras empresas (benchmarking), como tambm
fazer a anlise de gap avaliando onde a empresa se encontra, onde o mercado est posicionado e
onde a empresa deseja chegar.
A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da
capacidade para desenvolvimento de software definido pelo Software Engineering Institute
(SEI).
Embora os conceitos do SEI tenham sido seguidos, a implementao do COBIT difere
do modelo original pois o modelo de maturidade interpretado de acordo com a
natureza dos processos de gerenciamento de TI definidos no COBIT.
Dentro de uma escala genrica com range variando entre 0 e 5, h um modelo especfico
interpretado para cada um dos 34 processos do COBIT.
Em outras palavras, isso permite que a alta administrao identifique exatamente qual o grau de
maturidade que a empresa se encontra em um determinado processo e, na sequncia, faa a
anlise de gap de onde deveria estar para atender aos objetivos do negcio.
Este mecanismo oferece uma maneira consistente para identificar pontos de melhoria e o esforo
necessrio, alm claro, de permitir a comparao de desempenho com outras empresas no
mercado.
Alm das diretrizes de gerenciamento, o COBIT tambm traz um guia passo-a-passo
para auxiliar auditores internos e externos a avaliar a performance da empresa.
Este guia conhecido no COBIT como Diretrizes de Auditoria. A estrutura do processo de
auditoria geralmente aceita pelo mercado compreende o estgio ou etapa de identificao e
documentao, ou seja, a definio do escopo do trabalho. Na sequncia temos as etapas de
avaliao, testes de conformidade e testes substantivos.



A etapa de identificao e documentao visa obter um entendimento dos riscos relacionados
aos requisitos de negcio e medidas de controle relevantes.

E finalmente, a etapa de testes substantivos verifica os riscos dos objetivos de
controle que no esto sendo alcanados, por meio de tcnicas analticas ou
consultando fontes alternativas.

J a etapa de avaliao tem como principal objetivo avaliar os controles internos determinados.
A etapa de testes de conformidade visa avaliar a conformidade testando se os
controles determinados esto funcionando conforme sua definio, consistentemente e
continuamente.
Levando estas quatro etapas em considerao, um processo de TI auditado por meio da
obteno do entendimento dos riscos relacionados com os requisitos de negcio e medidas de
controle relevantes. Na sequncia ocorre a avaliao dos controles determinados, identificando
se estes controles so apropriados ao que se prope.
Posteriormente se executa a avaliao de conformidade por meio de testes que devem
identificar se os controles estabelecidos esto funcionando como previsto e, por ltimo,
se executa a substanciao dos riscos dos objetivos de controle que no esto sendo
atingidos.

Estas etapas devem ser executados em funo da necessidade que a alta
administrao tem em assegurar que as metas e objetivos da TI sejam atingidos e
que os controles principais estejam sendo aplicados no dia-a-dia.
As diretrizes de gerenciamento descrevem e sugerem atividades de
auditoria/avaliao para serem executadas para cada um dos 34 objetivos de controle
de alto nvel do COBIT, de modo que dentre os principais objetivos das diretrizes de
auditoria possvel citar que estas devem fornecer um gerenciamento de modo a
assegurar que os objetivos de controle estejam sendo alcanados.
Outro ponto importante o fato de identificar pontos fracos em controles que so
significantes ao negcio da empresa, sendo que para estes casos, as diretrizes de
auditoria direcionar que estes pontos tenham os riscos verificados de modo que seja
possvel aconselhar a alta administrao em relao a aes corretivas para mitigar ou
eliminar os riscos.
Assim, o propsito das diretrizes de auditoria fornecer uma estrutura simples para
controles de auditoria e avaliao baseados em prticas de auditoria geralmente aceitas
pelo mercado.
De maneira geral, os negcios de uma organizao definem os requisitos para os
processos de TI, e estes, por sua vez, alimentam as reas de negcio com informaes
teis para a organizao.
Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de TI por
meio dos indicadores de resultado (outcome measures) e por meio dos indicadores de
desempenho (performance indicators), alm de tambm contar com um modelo de
maturidade para anlise de GAP entre o nvel atual de maturidade dos processos de TI
e o nvel desejado pela empresa.
A excelncia operacional dos processos de TI alcanada por meio da busca pelos objetivos de
cada atividade dos processos.
Os processos, por sua vez, so controlados por meio dos objetivos de controle do COBIT, que
so implementados atravs de prticas de controle.
Assim, os objetivos de controle podem ser traduzidos em diretrizes de auditoria que so ento
utilizadas para auditar os processos de TI.
Definir o escopo da auditoria fundamental demensionamento do esforo necessrio
para executar este processo de controle. Para que isso seja feito de maneira adequada,
importante levar em conta a preocupao com os processos de negcio,
plataformas, sistemas e seu relacionamento com o suporte aos processos de
negcio e, finalmente, as funes e responsabilidades na estrutura organizacional.

O prximo passo identificar requisitos de informao relevantes para os processos do negcio.
Para isso fundamental entender qual a relevncia de cada processo.
Na sequncia, necessrio identificar os riscos de TI inerentes aos processos alm de
um nvel de controle abrangente.

Aqui deve ser levado em considerao quaisquer mudanas recentes ou incidentes
que impactaram o negcio ou o ambiente de TI, resultados de auditorias anteriores,
autoavaliaes e certificaes que a empresa venha a ter como, por exemplo, a ISO
20.000. Alm disso, tambm importante avaliar os controles de monitorao que so
aplicados pela administrao da empresa.
Aqui deve ser levado em considerao quaisquer mudanas recentes ou incidentes
que impactaram o negcio ou o ambiente de TI, resultados de auditorias anteriores,
autoavaliaes e certificaes que a empresa venha a ter como, por exemplo, a ISO
20.000. Alm disso, tambm importante avaliar os controles de monitorao que so
aplicados pela administrao da empresa.
O prximo passo selecionar quais so os processos e plataformas a serem auditadas. Isso
ajuda a focar nos itens mais relevantes, lembrando que importante no s considerar os
processos, como os recursos envolvidos nestes.

O ltimo passo das diretrizes de auditoria o de criar uma estratgia de auditoria.
neste ponto que se avalia quais so os controles disponveis em relao aos riscos
identificados, quais sero os passos e tarefas necessrias para executar a auditoria e
quais sero os pontos de deciso.
O prximo passo selecionar quais so os processos e plataformas a serem
auditadas. Isso ajuda a focar nos itens mais relevantes, lembrando que importante
no s considerar os processos, como os recursos envolvidos nestes.

O ltimo passo das diretrizes de auditoria o de criar uma estratgia de auditoria.
neste ponto que se avalia quais so os controles disponveis em relao aos riscos
identificados, quais sero os passos e tarefas necessrias para executar a auditoria e
quais sero os pontos de deciso.
De modo geral, a estrutura do processo de auditoria normalmente aceita pelo mercado,
compreende 4 etapas ou estgios principais, conforme ilustrado pela figura ao lado.
Um processo de TI auditado por meio da compreenso dos riscos relacionados com os
requisitos de negcio e quais so as medidas de controles relevantes para cada risco
identificado.
A partir deste cenrio, se executa uma avaliao dos controles determinados com o objetivo de se
certificar que estes so apropriados.
O prximo passo a avaliao da conformidade utilizando testes que possibilitem verificar se
um determinado ponto de controle est funcionando como planejado, de maneira consistente e
contnua.
Por ltimo se executa a substanciao dos riscos relacionados aos objetivos de controle que no
esto sendo alcanados. Isso pode ser feito por meio de anlises tcnicas ou utilizando
referncias alternativas
Esta fase fundamental para documentar as atividades que estejam relacionadas com
os objetivos de controle, bem como para identificar as medidas e procedimentos que
sero aplicados.
A equipe de auditoria segue procedimentos especficos para obter este conhecimento,
sendo que para isso podem devem entrevistar os gestores/gerentes e equipes
necessrias para obter conhecimento sobre:
A etapa seguinte a avaliao dos controles utilizados em cada processo, buscando
identificar se so eficazes ao que se propem, neste sentido importante determinar o
que ser testado e como os testes sero realizados.
A equipe de auditoria deve avaliar se as medidas de controle so apropriadas, de
acordo com o critrio identificado e estabelecido, podendo utilizar prticas e padres de
mercado e tambm fazendo uso do julgamento profissional sobre o assunto.
Estes devem buscar determinar se os processos esto documentados, se as sadas dos
processos, tambm conhecidas como entregveis, so apropriados, se as
responsabilidades esto claras e se h controles de compensao nos casos em que
estes devem ser aplicados.
Avaliao da conformidade dos processos
Nesta etapa a equipe de auditoria busca evidncias diretas ou indiretas para os pontos
selecionados, visando identificar se os procedimentos esto em conformidade com a
especificao do processo.

Neste momento tambm importante determinar o nvel de testes e o trabalho necessrio para
dar assegurar que o processo avaliado est adequado.
Isto feito com o objetivo de assegurar que as medidas de controle estabelecidas esto
funcionando de acordo com o previsto e que so apropriadas para o ambiente controlado.
Substanciar os riscos dos processos
Finalmente, os riscos identificados para os objetivos de controle que no esto alcanando os
objetivos definidos devem ter suas deficincias documentadas, apontando inclusive as ameaas
possveis e vulnerabilidades existentes.

Uma vez realizada esta anlise, a equipe de auditoria deve identificar e documentar o impacto
atual e o impacto potencial do risco ou, em outras palavras, quais as chances do risco
identificado se tornar uma realidade para a empresa.
Prticas de controle
Antes de falar das prticas de controle, importante ter em mente que cada um dos 34 objetivos
de controle do COBIT possui diretrizes de auditoria especficas.
As prticas de controle do COBIT fornecem aos usurios um nvel adicional de detalhes sobre
os processos, estendendo assim a capacidade de uso de COBIT.
Os processos de TI definidos no COBIT, os objetivos de controle e os requisitos de negcio
determinam o que deve ser feito para estabelecer uma estrutura de controle efetiva.
No entanto, as prticas de controle fornecem o como e o porque estas so necessrias
para a administrao para avaliar controles especficos com base na anlise de riscos e
na operao da TI.
Tratamento dos riscos

importante que voc tenha em mente que o framework do COBIT estabelece que os
riscos devem ser gerenciados de 4 formas:
Transferncia de riscos

Trata-se de compartilhar os riscos com parceiros ou contratar seguro apropriado. Um
exemplo tpico para estes casos ocorre quando voc contrata um seguro para o seu
veculo, casa ou notebook. Ao fazer isso, voc est literalmente transferindo o risco
para um terceiro por avaliar que no seria vivel permanecer com o risco de ficar sem o
seu bem em funo de furto, roubo, incndio ou outras causas.
Mitigao de riscos

Trata-se da implementao de controles que tragam proteo contra o tipo de risco
identificado, por exemplo, implementar um mecanismo de autenticao baseado em
biometria traz maior proteo a acessos no autorizados a informaes confidenciais.
Evitar riscos
Trata-se de adotar uma opo diferente do cenrio original, de modo que o risco
identificado seja totalmente evitado. Podemos dar um exemplo deste tipo de
tratamento quando uma empresa decide digitalizar toda a sua base de documentao e
estes esto distribudos em diversas filiais. Em vez de trazer os documentos at um
ponto central para digitalizao e correr o risco de perda do material em funo de
manipulao inadequada ou problemas com o transporte (furto de carga), opta-se por
levar os recursos de digitalizao para as filias, evitando assim o transporte dos
documentos.

Aceitao de riscos

Trata-se de confirmar, aceitar e monitorar os riscos. Para estes casos fundamental ter
um plano de resposta ao risco pronto para ser colocado em ao, evitando assim dados
significativos ao negcio ou a imagem da organizao. Podemos ilustrar este caso com
o monitoramento de tsunames que vrios pases esto executando. Ao detectar uma
ocorrncia de tsuname que venha a afetar o Pas, o governo aciona o plano de
resposta que normalmente implica na evacuao da populao dos pontos prximos
ao mar.
Outro ponto relevante que o COBIT estabelece a definio clara das responsabilidades
e papis para cada um dos 34 processos.


RACI o acrnimo, em ingls, para Accountable, Responsible, Consulted and
Informed, ou seja:

[R] define quem executa o processo

[A] define quem responsvel pelo resultado

[C] define quem deve ser consultado

[I] define quem deve ser informado
Isto feito com o uso de uma matriz de responsabilidades que aponta o que deve ser
delegado a quem, sendo que o framework determina claramente os limites e
comprometimento necessrio para cada um dos papeis citados a seguir seguindo o
modelo RACI.
Papis normalmente definidos pelo COBIT por meio da matriz RACI:
- Chefe de arquitetura
- Lder de desenvolvimento
- Lder de administrao de TI (RH, oramento e controles internos)
- Project Management Officer (PMO)
- Grupos de conformidade, auditoria, risco e segurana
- Papis adicionais de acordo com especificidades de alguns processos
- - Chief Executive Officer (CEO)
- - Chief Financial Officer (CFO)
- - Executivos de Negcio
- - Chief Information Officer (CIO)
- - Proprietrio de Processos de Negcio
- - Chefe de Operaes
Estude com cuidado a figura abaixo, retirada do COBIT 4.1, com o objetivo de
compreender como este recurso ajuda a definir os papis para o processo Definir os
processos de TI, a organizao e relacionamentos.
Dentre as vantagens de se adotar o framework de controle do COBIT, possvel
destacar a sua compatibilidade com outros padres.
Este se posiciona em um nvel mais genrico e por isso pode ser utilizado para avaliar processos
implementados por outras normas tcnicas ou frameworks, como ISO 17799 (segurana da
informao) e ITIL.
O COBIT pode ser aplicado depois que outros padres que atuam em um nvel mais
operacional j estejam aplicados, tendo em vista que o COBIT servir para auditar
estes processos.
O COSO um framework para controle interno, no somente de TI, e pode ser utilizado em
qualquer rea de negcio, j o COBIT especfico para a TI, mas est 100 alinhado com o
COSO.

Em relao a compatibilidade com ITIL, o COBIT cobre a maioria dos processos ITIL,
tanto na verso 2 quanto na verso 3, s que o ITIL tem os processos apresentados
com maior nvel de detalhe. De maneira geral, enquanto o ITIL est mais direcionado
ao como, o COBIT foca no o que.
Assim, pode se dizer que o COBIT um framework de controle que estabelece o que
tem que ser feito, mas no diz como deve ser feito.
Alm disso, o COBIT atende os requisitos regulatrios nos quais a empresa est
submetida e exatamente por este motivo que pode ser utilizado para cumprir a
conformidade com a lei Sarbanes-Oxley.
A figura a seguir apresenta os 34 Objetivos de Controle de alto nvel do COBIT e mostra
os seus pontos de interao com outros elementos. Isto mostra porque o
framework do COBIT est sendo adotado em larga escala na aplicao de prticas de
governana de TI.
Por ser orientado a processos, o COBIT define as atividades de TI em um modelo
genrico de processos, agrupando estes em 4 domnios.
Como visto anteriormente, os domnios do COBIT so:
Estes domnios englobam as tradicionais reas de responsabilidade da TI, que so as de
planejar, construir, executar e monitorar.
O COBIT oferece um modelo de referncia para os processos, alm de uma linguagem comum a
todos na empresa, de modo que estes possam visualizar e gerenciar as atividades de TI.
Como tambm visto anteriormente, um modelo de processos demanda que cada processo tenha
um proprietrio, de forma a definir claramente as responsabilidades e quem ser cobrado pelos
resultados dos processos.
Assim, o nosso foco de estudo estar concentrado em cada um dos domnios e seus respectivos
processos

O domnio do planejamento e organizao engloba as estratgias e tticas adotadas
pela organizao de TI, e se preocupa em identificar a forma onde a TI possa contribuir
da melhor maneira possvel para que os objetivos do negcio sejam alcanados.
A viso estratgica da TI deve ser planejada, comunicada e gerenciada sob diferentes
perspectivas. Alm disso, este domnio cobre tambm a organizao da TI e a infraestrutura
tecnolgica que deve ser implementada na organizao.
Assim, basicamente, o domnio de planejamento e organizao oferece resposta as
questes relacionadas a seguir:
- A TI e estratgia do negcio esto devidamente alinhados?
- A organizao est tirando o melhor proveito possvel de seus recursos?
- Todos na organizao compreendem os objetivos da TI?
- Os riscos so compreendidos e gerenciados?
- A qualidade dos sistemas de TI apropriada para as necessidades do negcio?
Para que a estratgia de TI se torne uma realidade, solues tecnolgicas devem ser
identificadas, desenvolvidas ou adquiridas, e na sequncia, estas devem ser
implementadas e integradas aos processos de negcio.
Sendo assim, mudanas e manutenes nos sistemas j implementados so tratadas por este
domnio visando assegurar que as solues continuem atendendo os objetivos de negcio.
- Os novos projetos esto no caminho de entregar solues que venham ao
encontro as necessidades de negcio?
- Novos projetos esto sendo conduzidos de maneira que as entregas sejam realizadas
dentro do tempo previsto e dentro do oramento estabelecido?
- Os novos sistemas vo funcionar adequadamente quando implementados?
- As mudanas na infraestrutura sero realizadas sem causar impactos negativos para a
operao do negcio?
Dessa forma, o domnio de aquisio implementao demanda que as seguintes
questes sejam consideradas e respondidas:
O domnio da entrega e suporte est focado na entrega atual dos servios
demandados, e isto inclui a entrega de servios, o gerenciamento de segurana e da
continuidade dos servios de TI, o suporte aos servios, o gerenciamento de dados e a
operao da instalaes fsicas.
Assim como citado nos domnios anteriores, o domnio de aquisio e
implementao demanda que as gerncias respondem as seguintes questes:
- Os servios de TI esto sendo entregues alinhados com as prioridades de negcio?
- Os custos de TI so otimizados?
- A fora de trabalho capaz de utilizar os sistemas de TI de maneira produtiva e segura?
- H adequados nveis de confidencialidade, integridade e disponibilidade para a segurana
da informao?
- Para quem j estudou ITIL, fica bastante evidente a semelhana dos objetivos de
controle que o COBIT trata neste domnio com as disciplinas ITIL, porm, como
vimos, o COBIT est mais focado no controle e diz o que deve ser controlado,
em nenhum momento o framework do COBIT estabelece como isso deve ser
implementado.
- As prticas descritas na ITIL oferecem mais detalhes para que se estruture como os
processos sero executados, assim, ITIL e COBIT podem ser perfeitamente integrados,
no importando qual iniciativa a organizao adotar primeiro.
O domnio do monitoramento e avaliao considera que todos os processos de TI
devem ser regularmente avaliados com o passar do tempo, considerando sua qualidade
a aderncia aos requisitos de controle.
Este o domnio que engloba o gerenciamento de performance, o monitoramento dos controles
internos, a aderncia a legislao e normas especficas e a governana propriamente dita.
Os processos deste domnio so tratados visando responder as seguintes questes de
gerenciamento:
- A performance de TI medida de modo a identificar problemas antes que seja
muito tarde?
- O gerenciamento assegura os controles internos so eficientes e eficazes?
- H alguma maneira que a performance da TI esteja ligada aos objetivos de negcio?
- H adequados nveis de confidencialidade, integridade e disponibilidade para a
segurana da informao?
- Levando todos estes requisitos em considerao, a verso 4.1 do COBIT
identificou 34 processos que so utilizados de maneira genrica.
- Embora a maioria das organizaes tenham definido, planejado, construdo, executam e
monitoram as responsabilidades da TI, sendo que a maioria tenham os mesmos processos
chave, poucas empresas tero a mesma estrutura de processos ou aplicam todos os 34
processos do COBIT.
-

- Um dos grandes benefcios do COBIT que ele oferece uma lista completa de processos
que podem ser utilizados para avaliar, controlar e monitorar as atividades e
responsabilidades, no entanto, nem todos eles devem ser obrigatoriamente aplicados. De
maneira alternativa, os processos tambm podem ser combinados de acordo com as
necessidades da empresa.
- O ponto aqui que o COBIT flexvel o suficente para atender uma pequena
empresa enquanto, ao mesmo tempo, a mesma estrutura de processos pode ser
til para empresas de mdio e grande porte, nacionais ou multinacionais.
-
- O COBIT apresenta um link entre os objetivos de negcio e os objetivos da TI
para cada um dos 34 processos suportados. Ele tambm oferece informaes
sobre como os objetivos podem ser medidos, quais so as principais atividades
de cada processo e suas principais entregas ou resultados, alm disso, ele
tambm prov direcionamento sobre quem o responsvel para cada atividade.
- Por ser um framework de controle, naturamente o COBIT define objetivos de
controle para cada um dos 34 processos, alm de tambm
estabelecer requisitos de controle genricos para cada processo, bem como
controles de aplicao.
- Cada um dos processos de TI definidos no COBIT tem sua respectiva descrio
e um nmero de objetivos de controle.

Como um todo, eles so as caractersticas de um processo bem gerenciado.
- Os objetivos de controle so identificados por uma referncia aos domnios realizada por
meio de dois caracteres (PO, AI, DS e ME) acrescidos de um nmero do processo e de
um nmero do objetivo de controle.
- Como dito anteriormente, alm dos objetivos de controle, cada processo do COBIT tem 6
requisitos de controle genricos que so identificados pela sigla PCn, onde n representa o
nmero do processo.
-
- Os objetivos de controle genricos devem ser considerados junto com os
objetivos de controle do processo para que seja possvel ter uma viso completa
dos requerimentos de controle.
- Objetivos de controle genricos (extrado do COBIT 4.1, traduzido e
adaptado)
PC1 Objetivos e metas do processo

Defina e comunique objetivos e metas do processo de maneira especfica, mensurvel,
alcanvel, realista e dentro de um perodo claramente definido. Assegure que eles
estejam vinculados aos objetivos de negcio e que sejam suportados por mtricas
adequadas.
PC2 Proprietrio do processo

Atribua um proprietrio para cada processo de TI, e defina claramente os papis e
responsabilidades do proprietrio do processo. Inclua, por exemplo, a
responsabilidade pelo desenho do processo, a interao com outros processos, a
responsabilidade sobre os resultados finais, a medio da performance do processo e a
identificao de oportunidades de melhoria.

PC3 Repetio do processo

Projete e implemente cada processo chave de TI de maneira que ele seja repetvel e
produza os resultados esperados de maneira consistente.
Fornea uma sequncia lgica de atividades, que seja flexvel e escalonvel para atingir
os resultados desejados e que seja gil o suficiente para tratar excees e
emergenciais. Use processos consistentes, onde possvel, e trate excees somente
quando for inevitvel.

PC4 Papis e responsabilidades

Defina as atividades principais e entregas finais do processos. Atribua e comunique
papis e responsabilidades de maneira clara para uma execuo efetiva e eficiente das
principais atividades e sua documentao, assim como a responsabilidade pelo processo
e pelos entregveis.
PC5 Poltica, planos e procedimentos

Defina e comunique como todas as polticas, planos e procedimentos que direcionam os
processos de TI so documentados, revisados, mantidos, aprovados, armazenados,
comunicados e utilizados para treinamento.
Atribua responsabilidades para cada uma destas atividades e, dentro do tempo
apropriado, revise buscando identificar se estas esto sendo corretamente executadas.
Assegure que as polticas, planos e procedimentos estejam acessveis, corretos,
compreensveis e atualizados.
PC6 Melhoria da performance do processo

Identifique um conjunto de mtricas que proporcione uma viso nos resultados e na
performance do processo.
Estabelea metas que reflitam os objetivos do processo e indicadores de performance
que possibilitem que o objetivo do processo seja alcanado. Defina como os dados
devem ser obtidos.
Compare os resultados atuais com as metas e tome aes em relao aos desvios,
quando necessrio. Alinhe mtricas, metas e mtodos com uma abordagem do
monitoramento da performance geral da TI.
Specific, Measurable, Actionable, Realistc, Results-oriented and Timely


Trata-se de um acrnimo com algumas variaes (SMART ou SMARRT) j bastante
conhecido no mercado para a definio de objetivos. No entanto, importante conhecer
no s a traduo de cada letra, mas sim o raciocnio mais amplo sobre o significado
real deste conceito.
O conceito pode ser aplicado na definio de objetivos de negcio, profissional ou
pessoal, e as melhores prticas estabelecem que objetivos devem ser SMART, conforme
veremos a seguir.
[S]pecif: Especfico
No deixe espao a interpretaes duvidosas ao definir um objetivo. Quanto mais detalho for o
objetivo, melhor ser sua compreenso e maiores sero as chances dele ser alcanado.

Depois de descrever o objetivo, confira se no h pontos que possam gerar dvidas por
falha de interpretao, por qualquer pessoa com conhecimento bsico sobre o assunto.
[M]easurable: Mensurvel
Objetivos devem ser transformados em nmeros, caso contrrio estes podero ser
manipulados ou interpretados do modo mais conveniente para os interessados, de modo que fica
dvidas ou discusso em aberto sobre como definir se o objetivo foi alcanado ou no.
Outro ponto a considerar neste quesito se h ferramentas disponveis para medir o objetivo da
maneira desejada e adequada, caso contrrio, novamente possvel estabelecer valores a partir
de qualquer parmetro disponvel.
Sendo assim, fundamental ter definio clara sobre o sistema de medio que ser utilizado
para monitorar o objetivo. Lembre-se que os interessados podem ser colaboradores da
sua equipe, pares, seu chefe, ou at mesmo acionistas!
[A]ttainable ou Achievable: Alcanvel
importante que objetivos tenham metas desafiadoras e que demandem algum tipo de esforo
para serem alcanados, mas fundamental que os objetivos possam ser alcanados.
importante gerar um desafio para que as equipes superem, mesmo parecendo ser difcil, mas
isso muito diferente de buscar nmeros impossveis de serem atingidos. Em vez de motivar, o
objetivo s causar frustrao e desnimo.
Algumas variaes do uso deste recurso atribuem a letra A a objetivos estabelecidos em comum
acordo (agreed upon), o que significa que os envolvidos na execuo do objetivo esto de acordo
com sua viabilidade e benefcios.
[R]ealistic: Realista
Frequentemente objetivos traados so possveis de serem alcanados, no entanto, nem sempre
refletem a realidade do negcio.
H alguns fatores que devem ser considerados neste aspecto e, dentre eles, se o objetivo est
devidamente alinhado com a misso e viso da organizao ou se algum princpio tico/legal est
sendo ferido pelo objetivo.
No adianta estabelecer como um objetivo entregar projetos no prazo e no custo estabelecidos
se os projetos entregues no agregam valor aos objetivos estratgicos da empresa.
Tenha em mente que um lder que define um objetivo pouco realista est fora de sincronia com a
empresa e com sua equipe.

De certa forma esta caracterstica est vinculada a definio dos objetivos de maneira
especfica (S). O objetivo deve ter seu prazo para ser alcanado claramente
estabelecido, e este perodo no pode ser to curto a ponto de tornar o objetivo
impossvel de ser alcanado, nem to longo a ponto de que ocorra a perda de foco com
o passar do tempo.Alguns autores tambm apresentam o T como Tangvel (Tanglible).

Exemplo:

Objetivo no-smart: construir uma casa no campo.

Objetivo SMART: construir uma casa trrea no campo, na regio de Sorocaba-SP, com
rea til interna de 180 m, piso frio em todos os cmodos, 3 sutes, sala com lareira,
churrasqueira, garagem para at 10 carros, quadra de futsal, sistema de segurana
com cmeras e alarme, dentro de um perodo de 18 meses a contar desta data, com
um oramento de at R$650.000.
Alm dos objetivos de controle genricos vistos anteriormente, o COBIT tambm
estabelece alguns objetivos denominados controles de aplicao.
Trata-se de controles existentes em aplicaes dos processos de negcio, onde o COBIT
assume que o projeto e implementao de controles de aplicaes automatizados so
de responsabilidade da organizao de TI, cobertos no domnio de Aquisio e
Implementao e baseados nos requisitos de negcio por meio dos critrios de
informao definidos no COBIT.
Exemplos deste tipo de controle incluem a totalidade, preciso, validade, autorizao de acesso e
segregao de funes.

O gerenciamento operacional e a responsabilidade de controle sobre os controles de
aplicao no so da TI, mas sim no proprietrio do processo de negcio.
Embora a responsabilidade pelos controles de aplicaes seja compartilhada pelo
negcio e pela TI, a natureza das responsabilidades muda em funo de cada papel:
- Ao negcio cabe a responsabilidade de definir requisitos funcionais e requisitos de
controle, alm claro do uso dos servios automatizados.
- A TI fica responsvel por automatizar e implementar as funcionalidades de negcios e
os requisitos de controle e estabelecer controles para manter a integridade dos controles
de aplicao.

O conjunto de objetivos de controle recomendado para aplicaes identificado no COBIT pela
iniciais AC (Application Control), sendo que cada objetivo ser listado a seguir:
AC1 Autorizao e preparao da fonte de dados

Assegura que as fontes dos documentos estejam preparadas por pessoal qualificado e autorizado
seguido os procedimentos estabelecidos, levando em considerao a adequada segregao de
papis necessrias na origem e aprovao destes documentos. Erros e omisses podem ser
minimizados por meio de formulrios de entrada bem projetados. Detecta erros e irregularidades
de modo que estas possam ser reportadas e corrigidas.
AC2 Coleo de fonte de dados e alimentao

Estabelece que a entrada de dados seja realizada no tempo adequado por equipe
autorizada e qualificada. Correo e reprocessamento de dados que foram alimentados
erroneamente deve ser realizada sem comprometer o nvel original de autorizao da
transao. Onde for apropriado efetuar a reconstruo, reter os documentos de origem
por tempo adequado.

AC3 Verificao de preciso, completude e autencidade

Assegura que transaes sejam precisas, completas e validas. Valida dados que foram
alimentados, e edita o devolve para correo o mais prximo possvel do ponto de
origem das informaes.


AC4 Processamento com integridade e validade

Mantm a integridade e validade dos dados durante o ciclo de processamento. A
identificao de transaes incorretas no deve impactar o processamento das
transaes vlidas.
AC5 Reviso de sadas, reconciliao e tratamento de erros

Estabelece procedimentos e responsabilidades associadas para assegurar que as saidas
sejam tratadas de maneira autorizada, entregues nos destinos apropriados, e
protegidas durante a a transmisso. Estabelece que a verificao, deteco e correo
da preciso das sadas ocorra; e que a informao fornecida como sada seja utilizada.

AC6 Integridade e autenticao de transaes

Antes de passar dados de transaes entre aplicaes internas e funes de
negcio/operacional (dentro ou fora da empresa), verificar pelo endereamento
apropriado, autenticidade da origem e integridade do contedo. Mantenha a
autenticidade e integridade durante a transmisso ou transporte.
Faa os exerccios abaixo para fixar os conhecimentos aprendidos neste mdulo.
1) Crie objetivos SMART para os casos abaixo:
A) Comprar um carro.
B) Fazer uma viagem de frias.
C) Obter a Certificao COBIT Foundations.
D) Conseguir o primeiro milho de Reais.
E) Ter um local para passar as frias com a famlia.



2) Suponha que voc tenha R$500.000,00 disponveis e que gostaria de
investir em aes. Quais seriam os critrios que voc adotaria para selecionar
a(s) empresa(s) onde o seu dinheiro ser aplicado?
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
- Uma descrio do processo
- Critrios de informao aplicados ao processo
- Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para
assegurar que o - processo seja mantido sob controle
- Principais indicadores de performance
- Recursos de TI envolvidos
- Objetivos de controle detalhados
- Diretrizes de gerenciamento
- Entradas e processos de origem
- Sadas e processos de destino
- Matriz de responsabilidades (RACI)
- Objetivos e mtricas
- Modelo de maturidade
- Domnio planejar e organizar (PO)
- Os processos do domnio planejar e organizar so:
- PO1 Definir um plano estratgico de TI
PO2 Definir a arquitetura da informao
PO3 Determinar a direo tecnolgica
PO4 Definir os processos de TI, sua organizao e relacionamentos
PO5 Gerenciar os investimentos em TI
PO6 Comunicar metas gerenciais e direcionamento
PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar qualidade
PO9 Avaliar e gerenciar riscos de TI
PO10 Gerenciar projetos
Objetivos de controle do processo PO1

PO1.1 Gerenciamento do valor da TI
PO1.2 Alinhamento entre TI e o negcio
PO1.3 Avaliao de capacidade e performance atual
PO1.4 Plano estratgico de TI
PO1.5 Planos tticos de Ti
PO1.6 Gerenciamento do portflio de TI

Este processo medido por:
- % de objetivos de TI do plano estratgico de TI que suportam os planos de
estratgia do negcio
- % de projetos de TI no portflio de TI que podem ser diretamente mapeados aos
planos tticos de TI
- Demora entre as atualizao do plano estratgico de TI e os planos tticos de TI
- PO2 Definir a arquitetura da informao
- Estabelece 4 objetivos de controle

A funo dos sistemas de informao cria e atualiza regularmente um modelo de
informao de negcio e defini os sistemas apropriados para otimizar o uso desta
informao.
- Isto considera o desenvolvimento de um dicionrio de dados corporativo com as regras
de sintaxe dos dados da organizao, esquemas de classificao dos dados e nveis de
segurana.
- Este processo melhora a qualidade das tomadas de deciso gerenciais por ter certeza que
informao confivel e segura, e habilita o racionalizao dos recursos de sistemas de
informao para atender de maneira apropriada as estratgias de negcio.
- Este processo de TI tambm necessrio para aumentar a responsabilidade pela
integridade e segurana dos dados para melhorar a efetividade e controle de compartilhar
informaes por meio de aplicaes e entidades.
O objetivo deste processo obter agilidade para responder aos requisitos, prover
informaes consistentes e confiveis e integrar continuamente as aplicaes ao
processos do negcio.

O|cti=oo oc _ovtoc oo to_cooo HO2
PO2.1 Modelo corporativo de arquitetura da informao
PO2.2 Dicionrio de dados corporativo e regras de sintaxe de dados
PO2.3 Esquema de classificao dos dados
PO2.4 Gerenciamento de integridade

Este processo medido por:
- % de elementos de dados redundantes/duplicados
- % de aplicaes em no-conformidade com a metodologia da arquitetura de
informaes utilizadas na organizao
- Frequncia das atividades de validao dos dados
- PO3 Determinar a direo tecnolgica
- Estabelece 5 objetivos de controle

A funo dos servios de informao determina a direo tecnolgica para
suportar o negcio. Isto requer a criao de um plano de infraestrutura
tecnolgica e um comit de arquitetura que estabelece e gerencia expectativas
claras e realistas de qual tecnologia pode oferecer em termos de produtos,
servios e mecanismos de entrega.
- O plano atualizado regularmente e engloba aspectos como a arquitetura dos sistemas,
direcionamento tecnolgico, plano de aquisies, padres, estratgicas de migrao e
contingncia.
- Isto habilita respostas imediatas a mudanas em um ambiente competitivo,
economia de escala para equipes de sistemas de informao e investimentos,
assim como melhora de interoperabilidade de plataformas e aplicaes.
- O objetivo deste processo obter um sistema de aplicaes estvel, integrado,
eficiente (custos), recursos e capacidades que atendam aos requisitos atuais e
futuros do negcio.
O|cti=oo oc _ovtoc oo to_cooo HO3
PO3.1 Planejamento do direcionamento tecnolgico
PO3.2 Plano da infraestrutura tecnolgica
PO3.3 Monitorar tendncias futuras e regulamentao
PO3.4 Padres tecnolgicos
PO3.5 Conselho de arquitetura de TI

Este processo medido por:
- Nmero e tipo de desvios do plano da infraestrutura tecnolgica
- Frequncia da reviso/atualizao do plano de infraestrutura tecnolgica
- Nmero de plataformas tecnolgicas por funo em toda a organizao
- PO4 Determinar os processos de TI, sua organizao e
relacionamentos
- Estabelece 15 objetivos de controle

Uma organizao de TI definida ao considerar os requisitos para as pessoas,
competncias, funes, responsabilidades, autoridade, papis e superviso. Esta
organizao incorporada a um framework de processos de TI que assegura
transparncia e controle, assim como o envolvimento de executivos sniors e o
gerenciamento do negcio.
- Um comit de estratgia assegura o acompanhamento da TI pela direo da
empresa, e um ou mais comits de direcionamento com a participao de TI e do
negcio determina a priorizao dos recursos de TI devidamente alinhado com
as necessidade de negcio.
- Processos, procedimentos e polticas administrativas so implementados para
todas as funes, com ateno especial a controles, gesto de qualidade,
gerenciamento de riscos, informaes, segurana, dados, propriedade sobre os
sistemas, e segregao de papis.
- Para assegurar suporte imediato aos requisitos de negcio, TI deve ser envolvida
nas decises sobre os processos relevantes.
O|cti=oo oc _ovtoc oo to_cooo HO4

PO4.1 Framework de processos de TI
PO4.2 Comit de estratgia de TI
PO4.3 Comit de direcionamento de TI
PO4.4 Colocao organizacional da Fundao da TI
PO4.5 Estrutura organizacional da TI
PO4.6 Estabelecimento de papis e responsabilidades
PO4.7 Responsabilidade pelo controle de qualidade de TI
PO4.8 Responsabilidade por riscos, segurana e aderncia
PO4.9 Propriedade sobre sistemas e dados
PO4.10 Superviso
PO4.11 Segregao de funes
PO4.12 Equipe
PO4.13 Pessoas-chave na TI
PO4.14 Procedimento e polticas para contratados
PO4.15 Relacionamentos
O objetivo do processo PO4 obter agilidade para responder a estratgia do negcio
atendendo, ao mesmo tempo, os requisitos de governana e provendo pontos de
contato definidos e competentes.
Este processo medido por:
- % de papis com posio documentada e descrio do nvel de autoridade
- Nmero de processos/unidades de negcio no suportados pela organizao da TI que
deveriam ser suportados, de acordo com a estratgia
- Nmero de atividades principais da TI fora da organizao da TI que no esto
aprovadas ou no esto sujeitas aos padres organizacionais de TI
- PO5 Gerenciar os investimentos em TI

Estabelece 5 objetivos de controle

Um framework estabelecido e mantido para gerenciar os programas de investimento em
TI e este engloba os custos, benefcios e priorizao de acordo com o oramento, um
processo formal de oramentao e gerenciamento sobre o oramento.
- As partes interessadas so consultadas para identificar e controlar o custo total e
benefcios no contexto dos planos estratgicos e tticos de TI, e iniciar aes corretivas
quando necessrio.
-

- O processo promove parceria entre TI e as partes interessadas do negcio,
habilita o uso efetivo e eficiente dos recursos de TI, e prov transparncia e
responsabilidade sobre o Custo Total de Propriedade (Total Cost of Ownership -
TCO) na realizao dos benefcios para o negcio e Retorno sobre os
Investimentos em TI.
- O objetivo deste processo demonstrar continuamente as melhorias de
eficincia dos custos de TI e sua contribuio para a lucratividade do negcio
com servios integrados e padronizados que satisfaam as expectativas dos
usurios finais.

O|cti=oo oc _ovtoc oo to_cooo H05

PO5.1 Framework de gerenciamento financeiro
PO5.2 Priorizao de acordo com o oramento
PO5.3 Oramentao de TI
PO5.4 Gerenciamento de custos
PO5.5 Gerenciamento de benefcios
Este processo medido por:
- % de reduo do custo unitrio dos servios de TI entregues
- % do valor de desvio do oramento comparado com o oramento total
- % de gastos de TI expressos em linguagem de negcio (isto , aumento de
vendas ou de servios em funo de aumento de conectividade).

PO6 Comunicar metas gerenciais e direcionamento
Estabelece 5 objetivos de controle

A alta direo desenvolve um framework corporativo de controle de TI e defini e
comunica as polticas. Um programa de comunicao implementado para articular a
misso, objetivos de servio, polticas e procedimentos e outras iniciativas aprovadas e
suportadas pelo gerenciamento.
A comunicao suporta o alcance aos objetivos de TI e assegura a conscincia e compreenso
dos riscos do negcio e da TI, objetivos e direcionamento.
O processo tambm assegura aderncia com legislao e regulamentos relevantes.
O objetivo deste processo fornecer informao precisa e no tempo adequado sobre os servios
de TI atuais e futuros e seus riscos associados e responsabilidades.
O|cti=oo oc _ovtoc oo to_cooo H06

PO6.1 Poltica de TI e ambiente de controle
PO6.2 Riscos corporativos de TI e framework de controle
PO6.3 Gerenciamento de polticas de TI
PO6.4 Aplicao de polticas, padres e procedimentos
PO6.5 Comunicao dos objetivos de TI e direcionamento
Este processo medido por:
- Nmero de interrupes no negcio causadas por interrupes dos servios de
TI.
- % de partes interessadas que entendem o framework corporativo de controle de
TI.
- % de partes interessadas que no esto em conformidade com as polticas
estabelecidas.
- PO7 Gerenciar recursos humanos de TI
- Estabelece 8 objetivos de controle

Uma fora de trabalho competente adquirida e mantida para a criao e
entrega dos servios de TI para o negcio. Isto alcanado por seguir prticas
definidas e acordadas que suportam o recrutamento, treinamento, avaliao de
performance, promoo e desligamento.
-
- Este processo crtico, considerando que pessoas so tratadas como um ativo
importante para a empresa, e governana e o controle interno do ambiente so
extremamente dependentes da motivao e competncias das pessoas.
- O objetivo deste processo adquirir pessoas competentes e motivas para criar e entregar
servios de TI.
O|cti=oo oc _ovtoc oo to_cooo H07

PO7.1 Contratao e reteno de pessoal
PO7.2 Competncias pessoais
PO7.3 Papis
PO7.4 Treinamento
PO7.5 Dependncia sobre indivduos
PO7.6 Procedimentos de autorizao de pessoal
PO7.7 Avaliao de performance dos colaboradores
PO7.8 Mudanas de emprego e desligamentos

Este processo medido por:
- Nvel da satisfao das partes interessadas com o expertise e competncias do
pessoal de TI
- Rotatividade do pessoal deTI
- % do pessoal certificado de acordo com as necessidades do trabalho
- Enter PO8 Gerenciar qualidade
- - Estabelece 6 objetivos de controle

Um sistema de gerenciamento de qualidade desenvolvido e mantido para
incluir desenvolvimento comprovado e aquisio de processos e padres.
- Isto habilitado por meio de planejamento, implementao e manuteno do sistema de
gerenciamento da qualidade por fornecer requisitos claros de qualidade, procedimentos e
polticas.
- Requisitos de qualidade so estabelecidos e comunicados em indicadores quantificveis e
alcanveis. Melhoria contnua alcanada pelo monitoramento constante, analise e ao
sobre desvios, e na comunicao dos resultados para as partes interessadas.
-

- Gerenciamento de qualidade essencial para assegurar que a TI est agregando
valor ao negcio, melhoria contnua e transparncia para as partes interessadas.

O objetivo deste processo assegurar uma melhoria contnua e mensurvel dos
servios de TI entregues.
O|cti=oo oc _ovtoc oo to_cooo H08

PO8.1 Sistema de gerenciamento de qualidade
PO8.2 Padres de TI e prticas de qualidade
PO8.3 Padres de desenvolvimento e aquisio
PO8.4 Foco no cliente
PO8.5 Melhoria contnua
PO8.6 Medio de qualidade, monitoramento e reviso

Este processo medido por:
- % de partes interessadas satisfeitas com a qualidade da TI (por importncia)
- % de processos de TI que so formalmente revisados por controle de qualidade
em uma base peridica que atenda as metas e objetivos de qualidade
- % de processos recebendo reviso de controle de qualidade
- PO9 Avaliar e gerenciar riscos de TI
- Estabelece 6 objetivos de controle
- Um framework para gerenciamento de riscos criado mantido. O framework
documenta um nvel comum e acordado de riscos de TI, estratgia de mitigao e riscos
residuais.
- Qualquer impacto potencial nos objetivos da organizao que seja causado por um evento
no planejado identificado, analisado e avaliado.
- Estratgias para mitigao dos riscos so adotadas para minimizar riscos para um nvel
aceitvel.
-

- O resultado da avaliao deve ser compreensvel para as partes interessadas e
deve ser expressado em termos financeiros, para habilitar as partes
interessadas a alinhar os riscos a um nvel aceitvel de tolerncia.

O objetivo deste processo analisar e comunicar os riscos de TI e seu potencial
impacto nos processos e objetivos do negcio.
O|cti=oo oc _ovtoc oo to_cooo H09

PO8.1 Framework de gerenciamento de riscos de TI
PO8.2 Estabelecimento do contexto dos riscos
PO8.3 Identificao de eventos
PO8.4 Avaliao de riscos
PO8.5 Resposta a riscos
PO8.6 Manuteno e monitoramento de um plano de ao de riscos

Este processo medido por:
- % de objetivos crticos de TI cobertos por uma avaliao de riscos.
- % de riscos crticos de TI identificados com planos de ao desenvolvidos.
- % de planos de ao para gerenciamento de riscos aprovados para
implementao.
- PO10 Gerenciar projetos
- Estabelece 14 objetivos de controle
Um framework para gerenciamento de programas e projetos para o
gerenciamento de todos os projetos de TI estabelecido. O framework assegura
a priorizao correta e a coordenao de todos projetos.
- Esta abordagem reduz o risco de custos inesperados e o cancelamento de
projetos, melhora a comunicao para o envolvimento do negcio e dos usurios
finais, assegura o valor e a qualidade dos entregveis dos projetos, e maximiza
sua contribuio ao programa de investimentos de TI.

O objetivo deste processo assegurar que os resultados dos projetos sejam
entregues dentro do prazo acordado, no oramento definido e com a qualidade
necessria.
-
-
- O framework inclui o plano principal, atribuio de recursos, definio dos entregveis,
controle de qualidade, um plano formal de testes, testes e reviso ps-implementao
aps a instalao para assegurar o gerenciamento do risco do projeto e a entrega de
O|cti=oo oc _ovtoc oo to_cooo H010

PO10.1 Framework de gerenciamento de programas
PO10.2 Framework de gerenciamento de projetos
PO10.3 Abordagem de gerenciamento de projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declarao do escopo dos projetos
PO10.6 Fase de iniciao dos projetos
PO10.7 Plano integrado de projetos
PO10.8 Recursos dos projetos
PO10.9 Gerenciamento de riscos dos projetos
PO10.10 Plano de qualidade dos projetos
PO10.11 Controle de mudanas dos projetos
PO10.12 Planejamento de mtodos de segurana dos projetos
PO10.13 Medio de performance, relatrios e monitoramento de projetos
PO10.14 Encerramento dos projetos
importante observar que o COBIT se integra perfeitamente com padres mais
detalhados para o gerenciamento de projetos, como o PMBOK ou PRINCE2.
Este processo medido por:
- % de projetos atendendo as expectativas das partes interessadas (no prazo, no
oramento e atendendo aos requisitos por importncia).
- % de projetos que recebem reviso ps-implementao.
- % de projetos que esto seguindo os prticas e padres para gerenciamento de
projetos.
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
- Uma descrio do processo
- Critrios de informao aplicados ao processo
- Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para
assegurar que o processo seja mantido sob controle
- Principais indicadores de performance recursos de TI envolvidos
- Objetivos de controle detalhados
- Diretrizes de gerenciamento
- Entradas e processos de origem
- Sadas e processos de destino
- Matriz de responsabilidades (RACI)
- Objetivos e mtricas
- Modelo de maturidade
- Adquirir e implementar (AI)
- Os processos do domnio adquirir e implementar so:
- AI1 Identificar solues automatizadas
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter infraestrutura tecnolgica
AI4 Habilitar operao e uso
AI5 Obteno de recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e validar solues e mudanas
- AI1 Identificar solues automatizadas
- Estabelece 4 objetivos de controle
- A necessidade para uma nova aplicao ou funes requer anlise antes da aquisio ou
criao para assegurar que os requisitos de negcio sejam satisfeitos em uma abordagem
efetiva e eficiente. Este processo cobre a definio das necessidades, considerao das
fontes alternativas, reviso da viabilidade tecnolgica e econmica, e concluso da
deciso final sobre fazer ou comprar.
- Todos estes passos habilitam as organizaes a minimizar os custos para adquirir e
implementar solues enquanto assegura que estas habilitam que o negcio possa
alcanar seus objetivos.
- O objetivo deste processo traduzir as funcionalidades do negcio e requisitos de
controles em um design efetivo e eficiente de solues automatizadas.
Objetivos de controle do processo AI1

AI1.1 Definio e manuteno do funcionamento do negcio e requisitos tcnicos
AI1.2 Relatrio de anlise de riscos
AI1.3 Estudo de viabilidade e formulao de cursos de ao alternativos
AI1.4 Aprovao de estudos de viabilidade e requisitos
Este processo medido por:
- Nmero de projetos cujos objetivos estabelecidos no foram atingidos em funo
de estudos de viabilidade incorretos.
- % de estudos de viabilidade assinados pelos proprietrios dos processos de
negcio.
- % de usurios satisfeitos com as funcionalidades entregues.
- AI2 Adquirir e manter software aplicativo
- Estabelece 10 objetivos de controle
- Aplicaes so colocadas disponveis em alinhamento com os requisitos de negcio. Este
processo cobre o projeto das aplicaes, a incluso apropriada de controles de aplicao e
requisitos de segurana, e o desenvolvimento e configurao alinhados com
padronizaes.
- Isto permite que a organizao possa suportar a operao do negcio de maneira
apropriada e com as aplicaes corretas automatizadas.
- O objetivo deste processo alinhar as aplicaes disponveis com os requisitos de
negcio, e fazer isso no tempo adequado e com um custo razovel.
Objetivos de controle do processo AI2
AI2.1 Design de alto nvel
AI2.2 Design detalhado
AI2.3 Controle e auditabilidade de aplicativos
AI2.4 Segurana e disponibilidade de aplicativos
AI2.5 Configurao e implementao de software aplicativo adquirido
AI2.6 Major upgrades em sistemas existentes
AI2.7 Desenvolvimento de software aplicativo
AI2.8 Controle de qualidade de software
AI2.9 Gerenciamento de requisitos de aplicativos
AI2.10 Manuteno de software aplicativo
Este processo medido por:
- Nmero de problemas em ambiente de produo, por aplicao, causando
downtime visvel.
- % de usurios satisfeitos com as funcionalidades entregues.
- AI3 Adquirir e manter infraestrutura tecnolgica
- Estabelece 4 objetivos de controle
- As organizaes tem processos para aquisio, implementao e atualizaes da
infraestrutura tecnolgica.
- Isto requer um abordagem planejada para aquisio, manuteno e proteo da
infraestrutura alinhados com estratgias tecnolgicas acordadas e com o provisionamento
de ambientes de desenvolvimento e testes.
- Isto assegura que h suporte tecnolgico no dia-a-dia para as aplicaes do negcio.
- O objetivo deste processo adquirir e manter uma infraestrutura de TI integrada e
padronizada.
Objetivos de controle do processo AI3

AI3.1 Plano de aquisio da infraestrutura tecnolgica
AI3.2 Disponibilidade e proteo de recursos da infraestrutura
AI3.3 Manuteno da infraestrutura
AI3.4 Viabilidade do ambiente de testes
Este processo medido por:
- % de plataformas que no esto alinhadas com a arquitetura de TI e padres
tecnolgicos.
- Nmero de processos crticos de negcio suportados por infraestrutura obsoleta
(ou que vai ficar obsoleta em curto prazo).
- Nmero de componentes da infraestrutura que no tem mas suporte (ou que
no tero mais em curto prazo).
- AI4 Habilitar operao e uso
- Estabelece 4 objetivos de controle
- O conhecimento sobre sistemas novos deve estar disponvel. Este processo demanda a
produo de documentao e manuais para usurios e a prpria TI, e oferece treinamento
para assegurar o uso apropriado e a operao das aplicaes e de infraestrutura.
- O processo visa assegurar a satisfao dos usurios finais em relao a oferta de servios
e respectivos nveis e integrando continuamente as aplicaes e solues tecnolgicas aos
processos de negcio.
Objetivos de controle do processo AI4

AI4.1 Planejamento para solues operacionais
AI4.2 Transferncia de conhecimento para as gerncias de negcio
AI4.3 Transferncia de conhecimento para usurios finais
AI4.4 Transferncia de conhecimento para operao e equipes de suporte


Este processo medido por:
- Nmero de aplicaes onde os procedimentos de TI so continuamente integrados aos
processos de negcio.
- % de proprietrios de negcio satisfeitos com o treinamento de aplicativos e materiais de
suporte.
- Nmero de aplicativos com usurios adequados e treinamento de suporte
operacional.
- AI5 Obteno de recursos de TI
- Estabelece 4 objetivos de controle
- Os recursos de TI, incluindo pessoas, hardware, software e servios, preciso ser obtidos.
Isto requer a definio e cumprimento de procedimentos de aquisio, a seleo de
fornecedores, a definio de acordos contratuais, a aquisio propriamente dita.
-

- Fazer isso assegura que a organizao tenha todos os recursos de TI requisitados no
tempo apropriado e de uma maneira efetiva sob o ponto de vista de custos.
- Esta iniciativa vem ao encontro da necessidade de negcio em melhorar a eficincia
financeira da TI e sua consequente contribuio para a lucratividade do negcio.
- Objetivos de controle do processo AI5
- AI5.1 Controle de aquisies
AI5.2 Gerenciamento de contratos de fornecedores
AI5.3 Seleo de fornecedores
AI5.4 Aquisio de recursos de TI
Este processo medido por:
- Nmero de disputas relacionadas a contratos de compra.
- % de reduo dos custos de aquisio.
- % de partes interessadas importantes que esto satisfeitos com os fornecedores.
- AI6 Gerenciar mudanas
- Estabelece 5 objetivos de controle

Todas as mudanas, incluindo manuteno de emergncia e aplicao de
patches, relacionadas a infraestrutura e aplicaes do ambiente de produo
so formalmente gerenciadas de forma controlada.
- Mudanas, incluindo aquelas relacionadas a procedimentos, processos, sistemas e
parmetros de servios, so registradas, avaliadas e autorizadas antes de sua
implementao, e so revisadas em relao as sadas planejadas aps a implementao.
-
- Isto assegura a mitigao de riscos de impacto negativo a estabilidade ou
integridade do ambiente de produo.
- O objetivo deste processo responder aos requisitos de negcio em alinhamento
com a estratgia do negcio, reduzindo os defeitos na entrega de servios e
retrabalho.
Objetivos de controle do processo AI6
AI6.1 Padres e procedimentos de mudana
AI6.2 Avaliao de impacto, priorizao e autorizao
AI6.3 Mudanas emergenciais
AI6.4 Acompanhamento de mudana de status e relatrios
AI6.5 Fechamento e documentao da mudana


Este processo medido por:
- Nmero de interrupes ou erros de dados causados por especificao imprecisa
ou avaliao de impacto imcompleta
- Volume de retrabalho em aplicaes ou infraestrutura causados por
especificaes de mudanas inadequada
- % de mudanas que seguiram um processo formal de controle
- AI7 Instalar e validar solues e mudanas
- Estabelece 9 objetivos de controle

Novos sistemas devem ser colocados em operao aps seu desenvolvimento
estar completo. Isto requer testes adequados em um ambiente dedicado com
dados relevantes para o propsito de testes, definio do plano de
implementao e instrues para migrao, planejamento da liberao para
colocar o sistema em produo, e inclui tambm uma reviso ps-
implementao.
- Isto assegura que os sistemas estejam disponveis de maneira alinhada com as sadas e
expectativas previamente acordadas com as reas de negcio da empresa.
- O foco principal deste objetivo de controle assegurar que a implementao de novos
sistemas ou de mudanas ocorra sem causar grandes impactos ou problemas aps a
instalao.
Objetivos de controle do processo AI7
AI7.1 Treinamento
AI7.2 Plano de testes
AI7.3 Plano de Implementao
AI7.4 Ambiente de testes
AI7.5 Converso de sistemas e dados
AI7.6 Testes das mudanas
AI7.7 Teste de aceitao final
AI7.8 Promoo para produo
AI7.9 Reviso ps-implementao

Este processo medido por:
- Volume de downtime de aplicaes ou nmero de correes nos dados causadas
em funo de testes inadequados.
- % de sistemas que atendem aos benefcios esperados quando medidos por meio
do processo de reviso ps-implementao.
- % de projetos com plano de testes documentado e aprovado.
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
- Uma descrio do processo
- Critrios de informao aplicados ao processo
- Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para
assegurar que o processo seja mantido sob controle
- Principais indicadores de performance
- Recursos de TI envolvidos
- Objetivos de controle detalhados
- Diretrizes de gerenciamento
- Entradas e processos de origem
- Sadas e processos de destino
Matriz de responsabilidades (RACI)
- Objetivos e mtricas
- Modelo de maturidade
- Entregar e suportar (DS)
- Os processos do domnio entregar e suportar so:
- DS1 Definir e gerenciar nveis de servio
DS2 Gerenciar servios de terceiros
DS3 Gerenciar performance e capacidade
DS4 Garantir a continuidade dos servios
DS5 Garantir a segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar a central de servios e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar problemas
DS11 Gerenciar dados
DS12 Gerenciar os ambientes fsicos
DS13 Gerenciar operaes
- DS1 Definir e gerenciar nveis de servio

- Estabelece 6 objetivos de controle
- Trata-se da comunicao efetiva entre a gerncia da TI e os clientes do negcio, em
relao aos servios requeridos, habilitado atravs da documentao e o acordo de
servios da TI e nveis de servios.
- Este processo tambm inclui o monitoramento e o reporte em tempo adequado para as
partes interessadas sobre o cumprimento dos nveis de servios.
-

- Este processo habilita o alinhamento entre os servios da TI o os
requerimentos de negcio associados.
- O objetivo assegurar o alinhamento dos principais servios de TI com a
estratgia do negcio.
Objetivos de controle do processo DS1
DS1.1 Framework de gerenciamento de nvel de servio
DS1.2 Definio dos servios
DS1.3 Acordos de nvel de servio
DS1.4 Acordos de nvel operacional
DS1.5 Monitoramento e reporte sobre os nveis de servio alcanados
DS1.6 Reviso dos acordos de nvel de servio e contratos

Este processo medido por:
- % de partes interessadas do negcio que esto satisfeitos com o alcance dos
nveis de servio acordados.
- Nmero de servios entregues que no constam no catlogo de servios.
- Nmero de reunies por ano para reviso formal dos nveis de servio realizadas
com os clientes do negcio.
- DS2 Gerenciar servios de terceiros
- Estabelece 4 objetivos de controle
- A necessidade de assegurar que servios providos por terceiros atendam aos requisitos do
negcio requer um processo efetivo de gerenciamento de terceiros.
- Este processo efetuado com papeis claramente definidos, responsabilidades e
expectativas em acordos com terceiros, assim como reviso e monitoramento destes
acordos para efetividade e conformidade.
- O gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio
associados com fornecedores sem a performance necessria ou adequada.
-

- O objetivo deste processo assegurar que terceiros possam prover servios
satisfatrios mantendo a transparncia sobre os benefcios, custos e riscos
Objetivos de controle do processo DS2
DS2.1 Identificao de todos os relacionamentos com fornecedores
DS2.2 Gerenciar o relacionamento com fornecedores
DS2.3 Gerenciar risco dos fornecedores
DS2.4 Monitorar a performance dos fornecedores

Este processo medido por:
- Nmero de reclamaes de usurios sobre os servios contratados.
- % de fornecedores estratgicos alcanando requisitos e nveis de servio
claramente definidos.
- % de fornecedores estratgicos sujeitos a monitoramento.
- DS3 Gerenciar performance e capacidade
- Estabelece 5 objetivos de controle

A necessidade de gerenciar performance e capacidade dos recursos de TI requer
um processo para rever periodicamente a performance e capacidade atual dos
recurso s de TI.
- Este processo inclui a previso da capacidade futura baseado em requisitos de carga,
armazenamento e contingncia.
-

- Este processo assegura que recursos de informao que suportam requisitos de
negcio estejam disponveis continuamente.
- O objetivo deste processo otimizar a performance da infraestrutura de TI, recursos e
capacidades em resposta as necessidades de negcio.
Objetivos de controle do processo DS3
DS3.1 Planejamento de performance e capacidade
DS3.2 Performance e capacidade atual
DS3.3 Performance e capacidade futura
DS3.4 Disponibilidade dos recursos de TI
DS3.5 Monitoramento e relatrios
Este processo medido por:
- Nmero de horas perdidas por usurio/por ms em funo de um planejamento
de capacidade insufuciente.
- % de picos onde a utilizao prevista excedida.
- % de tempo de resposta no alcanado nos acordos de nvel de servio.
- DS4 Garantir a continuidade dos servios
- - Estabelece 10 objetivos de controle

A necessidade de prover servios de TI de maneira contnua requer o
desenvolvimento, manuteno e testes de planos de continuidade dos servios
de TI, utilizando armazenamento externo de backups e proporcionando
treinamento peridico sobre os planos de continuidade.
- Um processo efetivo de servios contnuos minimiza a probabilidade de impacto para os
processos e funes do negcio causados por uma interrupo significativa nos servios
de TI (desastre).
- O objetivo deste processo assegurar o mnimo impacto para o negcio em funo de
eventos que venham interromper os servios de TI por focar na construo de resilincia
das solues automatizadas e no desenvolvimento, manuteno e testes de planos de
continuidade dos servios de TI.
Objetivos de controle do processo DS4
DS4.1 Framework de continuidade de TI
DS4.2 Plano de continuidade de TI
DS4.3 Recursos crticos de TI
DS4.4 Manuteno do plano de continuidade de TI
DS4.5 Teste do plano de continuidade de TI
DS4.6 Treinamento do plano de continuidade de TI
DS4.7 Distribuio do plano de continuidade de TI
DS4.8 Recuperao e retomada dos servios de TI
DS4.9 Armazenamento externo de backup
DS4.10 Reviso ps-retomada
Este processo medido por:
- Nmero de horas perdidas por usurio/por ms em funo de falhas no
planejadas
- Nmero de processos crticos para o negcio dependentes de recursos de TI
que no esto cobertos por um plano de continuidade
- DS5 Garantir a segurana dos sistemas
- Estabelece 11 objetivos de controle

A necessidade de manter a integridade da informao e proteger os ativos
da TI requer um processo de gerenciamento de segurana.
- Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres
e procedimentos da segurana de TI. O gerenciamento da segurana tambm inclui
realizar monitoramento da segurana, testes peridicos e implementar aes corretivas ao
identificar fraquezas ou incidentes de segurana.
-
- Um gerenciamento efetivo de segurana protege todos os ativos da TI para
minimizar o impacto sobre o negcio sobre vulnerabilidades e incidentes de
segurana.
- O objetivo deste processo manter a integridade da informao e sua
infraestrutura de processamento, e minimizar o impacto de vulnerabilidades e
incidentes de segurana.
Objetivos de controle do processo DS5
DS5.1 Gerenciamento da segurana de TI
DS5.2 Plano de segurana de TI
DS5.3 Gerenciamento de identidade
DS5.4 Gerenciamento de contas de usurios
DS5.5 Testes de segurana, fiscalizao e monitoramento
DS5.6 Definio de incidentes de segurana
DS5.7 Proteo da tecnologia de segurana
DS5.8 Gerenciamento de chaves de criptografia
DS5.9 Preveno, deteco e correo de SW malicioso
DS5.10 Segurana de redes
DS5.11 Troca de dados importantes
Este processo medido por:
- Nmero de incidentes que afetaram a reputao da organizao no mercado.
- Nmero de sistemas onde os requisitos de segurana no so alcanados.
- Nmero de violaes em segregao de papis.
- DS6 Identificar e alocar custos
- - Estabelece 4 objetivos de controle

A necessidade para um sistema justo e imparcial de alocao de custos para o
negcio requer a medio exata de custos da TI e acordos com usurios de
negcio para uma alocao correta.
- Este processo inclui a criao e operao de um sistema de captura, alocao e reporte
dos custos da TI para os usurios de servios.
-
-
- Um sistema justo de alocao habilita o negcio a tomar decises com conscincia sobre
o custo do uso de servios de TI.
- O objetivo deste processo assegurar transparncia e entendimento dos custos de TI e
melhorar a eficincia por meio de uso consciente do servios de TI.
Objetivos de controle do processo DS6
DS6.1 Definio dos servios
DS6.2 Contabilidade de TI
DS6.3 Modelos de custos e cobranas
DS6.4 Manuteno do modelo de custos

Este processo medido por:
- % de contas referentes ao servios de TI aceitas/pagas pelos gerentes de
negcio.
- % de variao entre oramento, previso e custo atual.
- % dos custos gerais de TI que so alocados de acordo com os modelos de custos
acordados.
- DS7 Educar e treinar usurios
- Estabelece 3 objetivos de controle

A educao efetiva de todos os usurios de sistemas de TI, incluindo aqueles
dentro da TI, requer a identificao das necessidades de treinamento de
cada grupo.
- Alm da identificao da necessidade, este processo inclui a definio e execuo de
uma estratgia para um treinamento efetivo e medio de resultados.
- Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a
reduo de erros de usurios, aumenta a produtividade e aumenta a conformidade com
controles chaves, tais como as medidas de segurana para usurios.
- O objetivo deste processo usar as aplicaes e solues tecnolgicas de maneira
eficiente e eficaz, garantindo a aderncia dos usurios com polticas e procedimentos.
Objetivos de controle do processo DS7
DS7.1 Identificao de necessidade de educao e treinamento
DS7.2 Entrega de treinamento e educao
DS7.3 Avaliao do treinamento recebido


Este processo medido por:
- Nmero de chamados na central de servios em funo de falta de treinamento
dos usurios
- % de satisfao das partes interessadas com o treinamento oferecido
- Tempo decorrido entre a identificao de uma necessidade de treinamento e a
entrega do mesmo
- DS8 Gerenciar central de servios e incidentes
- Estabelece 5 objetivos de controle

Respostas efetivas e no tempo adequado para as perguntas e problemas dos
usurios da TI requerem uma central de servios bem desenhada e
implementada e um processo de gerenciamento de incidentes.
- Este processo inclui a implementao da funo da central de servios com registro,
escalao, tendncias, anlise de causas raiz e resoluo de incidentes.
- O benefcio para o negcio inclui um aumento de produtividade por meio da rpida
resoluo das perguntas dos usurios.
-
- O objetivo deste processo habilitar o uso efetivo dos sistemas de TI
assegurando a resoluo e anlise das solicitaes, questes e incidentes
reportados por usurios finais.
-
- Alm disso, o negcio pode enderear causas raiz por meio de relatrios
efetivos.
-
-
Objetivos de controle do processo DS8
DS8.1 Central de servios
DS8.2 Registro das solicitaes dos usurios
DS8.3 Escalao de incidentes
DS8.4 Fechamento de incidentes
DS8.5 Relatrio e anlises de tendncia
Este processo medido por:
- Volume de usurios satisfeitos com o suporte de primeiro nvel.
- % de incidentes resolvidos dentro do tempo acordado ou em um perodo
aceitvel.
- Taxa de abandono de ligaes.
- DS9 Gerenciar a configurao
- Estabelece 3 objetivos de controle

Assegurar a integridade da configurao de hardware e software requer
estabelecer e manter um preciso e completo repositrio da configurao.
- Este processo inclui a coleta inicial de informao sobre a configurao, estabelecer
bases de referncia, verificar e auditar a informao da configurao e atualizar o
repositrio da configurao quando necessrio.
-
-
-
- O gerenciamento efetivo da configurao facilita a maior disponibilidade do sistema,
minimiza problemas no ambiente de produo e ajuda a resolver estes problemas com
maior rapidez.
- O objetivo deste processo otimizar a infraestrutura de TI, recursos e capacidades, e a
responsabilidade sobre os ativos de TI.
- Objetivos de controle do processo DS9
- DS9.1 Repositrio de configurao e referncia
DS9.2 Identificao e manuteno de itens de configurao
DS9.3 Reviso da integridade da configurao
Este processo medido por:
- Nmero de no conformidades de negcio causadas por configurao
inapropriada dos ativos.
- Nmero de divergncias identificadas entre o repositrio de configurao e a
configurao atual dos ativos.
- % de licenas adquiridas e no contabilizadas no repositrio.
- DS10 Gerenciar problemas
- Estabelece 4 objetivos de controle

Um gerenciamento efetivo de problemas requer a identificao e classificao
de problemas, anlise da causa raiz e resoluo de problemas.
- O processo do gerenciamento de problemas tambm inclui a identificao de
recomendaes para melhorar a manuteno de registros de problemas e revisar o status
de aes corretivas.
-
- Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz
custos e melhora a convenincia e satisfao do cliente.
- O objetivo deste processo assegurar a satisfao do usurio final com a oferta de
servios e nveis de servio, e reduzindo a necessidade de busca por solues, de entrega
de servios com defeito e retrabalho.
Objetivos de controle do processo DS10
DS10.1 Identificao e classificao de problemas
DS10.2 Acompanhamento de problemas e resolues
DS10.3 Fechamento de problemas
DS10.4 Integrao do gerenciamento de configurao, incidentes e problemas
Este processo medido por:
- Nmero de problemas recorrentes com impacto para o negcio.
- % de problemas resolvidos dentro do tempo requerido.
- Frequncia de relatrios ou atualizaes sobre o tratamento do problemas,
baseado na severidade.
- DS11 Gerenciar dados
- Estabelece 6 objetivos de controle

O gerenciamento efetivo de dados requer a identificao de requisitos para
os dados.
- O processo de gerenciamento de dados tambm inclui estabelecer procedimentos efetivos
para gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar mdias
apropriadas.
- Um gerenciamento efetivo de dados ajuda a assegurar a qualidade, oportunidade e
disponibilidade de dados para o negcio.
- O objetivo deste processo otimizar o uso de informao e assegurar que a informao
esteja disponvel quando requerido.
Objetivos de controle do processo DS11
DS11.1 Requisitos de negcio para o gerenciamento de dados
DS11.2 Providncias para reteno e armazenamento
DS11.3 Sistema de gerenciamento de biblioteca de mdias
DS11.4 Descarte
DS11.5 Backup e restaurao
DS11.6 Requisitos de segurana para gerenciamento de dados

Este processo medido por:
- % de usurios satisfeitos com a disponibilidade dos dados.
- % de restaurao de dados realizadas com sucesso.
- Nmero de incidentes onde dados importantes foram recuperados aps a mdia
ter sido descartada.
-
- DS12 Gerenciar os ambientes fsicos
- Estabelece 5 objetivos de controle

A proteo dos equipamentos de computao e pessoal requer instalaes
bem desenhadas e bem gerenciadas.
- O processo de gerenciar o ambiente fsico inclui definir os requisitos do ambiente fsico,
seleo de instalaes apropriadas e desenho efetivo dos processos para monitorar
elementos ambientais e gerenciar o acesso fsico.
-
- Um gerenciamento efetivo do ambiente fsico reduz interrupes no negcio em funo
de danos causados nos equipamentos de computao e no pessoal.
- O objetivo deste processo proteger ativos e dados do negcio e minimizar o risco de
interrupo do negcio.
Objetivos de controle do processo DS12
DS12.1 Seleo de local e layout
DS12.2 Medidas de segurana fsica
DS12.3 Acesso fsico
DS12.4 Proteo contra fatores ambientais
DS12.5 Gerenciamento das instalaes fsicas

Este processo medido por:
- Volume de downtime gerado por incidentes de falhas fsicas no ambiente.
- Nmero de incidentes causados por brechas ou falhas de segurana fsica.
- Frequncia de avaliao de riscos fsicos e revises.
- DS13 Gerenciar operaes
- Estabelece 5 objetivos de controle

O processamento completo e exato de dados requer um gerenciamento
efetivo do processamento e a manuteno do hardware.
- Este processo inclui a definio de polticas e procedimentos operacionais para um
gerenciamento efetivo da programao do processamento, proteo de sadas
importantes, monitoramento da infraestrutura e manuteno preventiva de hardware.
-
- Um gerenciamento efetivo da operao ajuda a manter a integridade dos dados e reduz
atrasos no negcio e custos da operao da TI.
- O objetivo deste processo a manuteno da Integridade dos dados e assegurar que a
infraestrutura de TI possa resistir e se recuperar de erros e falhas.
Objetivos de controle do processo DS13
DS13.1 Procedimentos e instrues operacionais
DS13.2 Agendamento de trabalhos
DS13.3 Monitoramento da infraestrutura de TI
DS13.4 Documentos importantes e dispositivos de sada
DS13.5 Manuteno preventiva de hardware
Este processo medido por:
- Nmero de nveis de servio impactados por incidentes operacionais.
- Horas de downtime no plenejado causados por incidentes operacionais.
- % de ativos de hardware includos em agendas de manuteno preventiva.
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
- Uma descrio do processo
- Critrios de informao aplicados ao processo
- Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para
assegurar que o processo seja mantido sob controle
- Principais indicadores de performance
- Recursos de TI envolvidos
- Objetivos de controle detalhados
- Diretrizes de Gerenciamento
- Entradas e processos de origem
- Sadas e processos de destino
- Matriz de responsabilidades (RACI)
- Objetivos e mtricas
- Modelo de maturidade
- Adquirir e implementar (AI)
- Os processos do domnio adquirir e implementar so:
- AI1 Identificar solues automatizadas
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter infraestrutura tecnolgica
AI4 Habilitar operao e uso
AI5 Obteno de recursos de TI
AI6 Gerenciar mudanas
AI7 Instalar e validar solues e mudanas
- ME1 Monitorar e avaliar a performance da TI
- Estabelece 6 objetivos de controle
O gerenciamento efetivo da performance da TI requer um processo de
monitoramento.
- Este processo inclui definir indicadores de performance relevantes, relatrios sistemticos
e no tempo adequado sobre questes de performance e aes tomadas em relao a
desvios.
- O monitoramento necessrio para ter certeza que as coisas corretas esto sendo feitas e
esto alinhadas com o direcionamento e polticas estabelecidas.
- O objetivo deste processo obter transparncia e entendimento sobre os custos de TI,
benefcios, estratgias, polticas e nveis de servio de acordo com os requisitos de
governana.
Objetivos de controle do processo ME1
ME1.1 Abordagem de monitoramento
ME1.2 Definio e colees de dados de monitoramento
ME1.3 Mtodos de monitoramento
ME1.4 Avaliao da performance
ME1.5 Relatrios para a alta administrao e executivos
ME1.6 Aes corretivas

Este processo medido por:
- Satisfao da alta administrao e da entidade de governana em relao aos relatrios de
performance.
- Nmero de aes de melhoria iniciadas em funo das atividades de monitoramento.
- % de processos crticos monitorados.
- ME2 Monitorar e avaliar controles internos

Estabelece 7 objetivos de controle
- Estabelecer um programa efetivo de controle interno para a TI requer um processo de
monitorao bem definido.
- Este processo inclui monitor e reportar excees de controle, resultados da auto-avaliao
e reviso de terceiros.
-

- Um benefcio importante do monitoramento de controles internos fornecer segurana
relacionada eficincia e eficcia das operaes e conformidade com leis e regulamentos
aplicveis.
- O objetivo deste processo proteger o cumprimento dos objetivos de TI e estar aderente
a legislao, regulamentao ou contratos relacionados com a TI.
Objetivos de controle do processo ME2
ME2.1 Framework de monitoramento de controles internos
ME2.2 Reviso de superviso
ME2.3 Controle de excees
ME2.4 Controle de autoavaliao
ME2.5 Segurana de controles internos
ME2.6 Controles internos de terceiros
ME2.7 Aes corretivas
Este processo medido por:
- Nmero de brechas graves nos controles internos.
- Nmero de iniciativas para melhoria dos controles.
- Nmero e cobertura da auto-avaliao de controles.
- ME3 Assegurar aderncia com requisitos externos
- Estabelece 5 objetivos de controle
- Uma vigilncia regulatria efetiva requer o estabelecimento de um processo de reviso
para assegurar a conformidade com leis, regulamentos e requisitos contratuais.
- Este processo inclui a identificao de requisitos regulatrios, otimizao e avaliao da
respostas, obteno de certeza de que os requisitos foram atendidos e, finalmente, a
integrao dos relatrios de conformidade da TI com o restante do negcio.
- O objetivo deste processo assegurar a conformidade com leis, regulamentao e
requisitos contratuais.
Objetivos de controle do processo ME3
ME3.1 Identificao de requisitos externos de conformidade com legislao,
regulamentao e contratuais
ME3.2 Otimizao das respostas aos requisitos externos
ME3.3 Avaliao de conformidade com os requisitos externos
ME3.4 Validao positiva de conformidade
ME3.5 Relatrios integrados
Este processo medido por:
- Custo da no conformidade, incluindo acordos e multas.
- Tempo mdio decorrido entre a identificao e resoluo de problemas externos de
conformidade.
- Frequncia de revises de conformidade.
- ME4 Prover governana de TI
- - Estabelece 7 objetivos de controle
- Estabelecer um framework efetivo de governana inclui definir a estrutura
organizacional, processos, liderana, papis e responsabilidades para assegurar que os
investimentos corporativos em TI estejam alinhados e entregues em acordo com a
estratgia e objetivos corporativos.
- O objetivo deste processo integrar a governana de TI com os objetivos da governana
corporativa e cumprir com as leis, regulamentao e contratos vigentes.
Objetivos de controle do processo ME4
ME4.1 Estabelecimento de um framework de governana de TI
ME4.2 Alinhamento estratgico
ME4.3 Entrega de valor
ME4.4 Gerenciamento de recursos
ME4.5 Gerenciamento de riscos
ME4.6 Avaliao de performance
ME4.7 Auditoria independente
Este processo medido por:
- Frequncia de relatrios sobre TI emitidos da alta-administrao para partes interessadas
(incluindo maturidade).
- Frequncia de relatrios sobre TI emitidos da TI para a alta-administrao (incluindo
maturidade)
- Frequncia de revises independentes (auditorias) sobre a conformidade de TI
- A ISACA disponibiliza uma srie de produtos complementares ao COBIT, porm,
dentre eles h 5 produtos que se destacam e importante que voc tenha
conhecimento sobre como utilizar, e quais os benefcios que cada um deles traz.
- Recomendamos que dedique alguns minutos navegando pelo site da ISACA em Isaca
com o objetivo de pesquisar um pouco mais sobre cada produto.
- Esta dica vlida especialmente se voc estiver interessado em fazer o exame de
certificao em COBIT Foundations:

- A seguir ser apresentado uma relao dos principais produtos:
- Algumas questes da prova podem ser sobre produtos especficos de modo que
torna-se importante que voc tenham uma viso geral sobre cada um deles.
- O COBIT on line apresenta informaes sobre o COBIT via internet. Restrito a
assinantes (servio pago), ele possibilita que os usurios naveguem, faam
pesquisas, compartilhem ou tirem proveito de uma base de conhecimento sobre
o assunto.
- Por meio deste recurso o assinante pode ter acesso a inmeros arquivos para download,
pode comparar o desempenho de sua empresa com outras do mesmo segmento no
mercado, por meio de benchmarking, tem acesso a questionrios para avaliao, alm
claro, de ter acesso a toda a comunidade para trocar experincias com outros usurios.
- O COBIT on line prov acesso rpido e fcil a todos os recursos do COBIT, por meio do
recurso MyCOBIT possvel construir e efetuar o download de sua prpria verso
(customizada) do COBIT para uso com o Word ou Access j com os modelos de
avaliao.
- O COBIT Quickstart foi especialmente projetado para dar assistncia a uma adoo
rpida e fcil dos elementos essenciais do COBIT.
- Trata-se de uma verso compactada dos recursos do COBIT com foco no processos mais
crticos de TI, seus objetivos de controle e mtricas.
- O COBIT Quickstart pode ser visto como uma linha de referncia para que empresas
pequenas e mdias, mas ao mesmo tempo tambm de utilidade para grandes
organizaes como um acelerador na adoo de melhores prticas de governana de TI.
- Guia de implementao de governana de TI
- A ISACA afirma, por meio de seu folder de produtos, que um dos principais objetivos de
se adotar melhores prticas evitar a reinveno da roda!
- Partindo deste princpio, entende-se que adotar melhores prticas em governana de TI s
ser possvel se sua implementao for efetiva e eficiente.
-
- Assim, o guia de implementao de governana de TI oferece um roadmap e
direcionamento sobre os processo de como implementar governana de TI utilizado o
COBIT, visando assegurar e mensurar o valor agregado em relao aos investimentos
realizados em TI.
- Trata-se de um kit com modelos extremamente teis, ferramentas de diagnstico e
tcnicas para relatrios que auxiliam na adoo do framework de governana baseado
no COBIT, oferecendo um modelo genrico que permite estabelecer um plano de
ao para adapt-lo s necessidades da sua empresa.
- COBIT Security Baseline
- Este produto visto como um kit bsico de sobrevivncia para diretores, executivos,
gerentes, usurios profissionais e domsticos, relacionado a segurana da informao.
- Trata-se de uma publicao focada em riscos de segurana de uma maneira simples de
seguir e implementar para qualquer pessoa, desde um usurio domstico at executivos e
conselheiros de grandes organizaes.
- Ele oferece uma introduo a segurana da informao e esclarecimentos de porque isso
importante. Esta publicao foi criada com base na norma ISO 17799, e tambm
oferece um sumrio tcnico dos principais riscos de segurana.
- Val IT
- Esta publicao foca na governana dos investimento de TI, e naturalmente baseado no
framework do COBIT.
- Ele oferece direcionamento para gerenciar os investimentos no portflio de TI da
organizao.
- Trata-se de um recurso que complementa o COBIT com uma perspectiva de negcio e
financeira de modo que bastante til para quem tiver interesse em obter o melhor
retorno possvel da TI.
- Situao do mercado atual (2008 a 2012)

A necessidade de governana corporativa e a melhor gesto dos servios de TI geram no
mercado uma demanda para profissionais devidamente qualificados na rea,
especificamente aqueles com qualificao e certificao em COBIT e ITIL para a gesto
de TI.
- O mercado est to carente de profissionais qualificados que estudos indicam que a
maioria das instituies especializadas em treinamento na rea de TI registraram no em
2009 um aumento de cerca de 75% na procura por cursos de especializao nestes
assuntos.
- Dentre as principais exigncias das empresas na hora da seleo e contratao de
profissionais para a rea de TI que o candidato seja altamente qualificado. E mesmo
para aqueles que j ocupam seu lugar ao sol, a qualificao fundamental para
manuteno da empregabilidade e at mesmo para estar apto a assumir novas
responsabilidades.
- Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC), um
profissional certificado tem 53% a mais de chances de conseguir um emprego
em relao aos profissionais que no possuem este ttulo.
- Este ndice pode ser ainda mais elevado de acordo com o tipo de certificao que o
profissional possui. Alm disso, o salrio de profissionais certificados gira em torno de
10 a 100% a mais do que a mdia que o mercado paga aos profissionais no certificados.
- Portanto, cada vez mais os recrutadores esto familiarizados com o perfil, competncias e
habilidades que cada certificao proporciona ao candidato a emprego, de modo que
torna o processo de recrutamento e seleo mais simples, com menos riscos e custos, ou
seja, extremamente atrativo para as empresas.
- COBIT Foundations

O exame para certificao COBIT Foundations tem 1 hora de durao e composto por
40 questes de multipla escolha, onde voc deve obter pelo menos 70% de
aproveitamento (28 questes) para obter a aprovao no exame.
- O exame no idioma ingls pode ser adquirido via internet no site da COBIT
Campus, por meio de um carto de crdito internacional, e poder ser realizado
em qualquer local com conexo via Internet.
- Para isso, ser necessrio preencher alguns formulrios com seus dados e indicando quem
ser o seu proctor, ou seja, a pessoa que vai acompanhar voc no momento do exame
para assegurar que este seja realizado dentro dos padres exigidos para aprovao e
obteno do certificado.
- possvel fazer o exame em portugus, no entanto, este distribudo
exclusivamente para parceiros da IT Preneurs. No Brasil, a empresa IT
Partners oferece o exame em portugus por meio de suas instalaes em So
Paulo e Braslia.
- Ao final do exame o seu proctor preencher o relatrio e envi-lo para a ISACA.
-
- Fatores crticos de sucesso

Este curso foi estruturado de maneira que voc construa uma slida base de
conhecimento sobre o COBIT, onde a compreenso de todos os conceitos apresentados
visa dar a voc condies de aplic-los em seu dia-a-dia.
- Como consequncia voc estar com boas condies para prestar o exame de
certificao. Voc pode avaliar seu desempenho por meio dos resultados nos simulados
apresentados no ltimo captulo deste curso.
- Estude o framework do COBIT 4.1 e o Val IT, navegue pelo site do ISACA,
pratique nos simulados e reveja o nosso material quantas vezes forem
necessrias!
-
- Importante: As dicas apresentadas tem a finalidade de orientar os alunos interessados em
prestar o exame de certificao. A Fundao Bradesco no custeia o exame e no tem
qualquer relacionamento com as empresas citadas.
-
- Informaes complementares

Caso voc seja aprovado no exame, a ISACA enviar a voc um certificado
impresso, por correio. O certificado normalmente recebido dentro de 40 dias e
emitido automaticamente caso voc seja aprovado.
- O exame feito via internet e voc fica sabendo se foi aprovado imediatamente aps
clicar para enviar suas respostas.
- Resumo dos principais tpicos do curso

Com o objetivo de fixar o contedo apresentado, a seguir temos um resumo dos pontos
mais relevantes deste curso.
- Governana de TI

Trata-se de um conjunto de processos e estruturas com o objetivo de assegurar que a TI
possa suportar adequadamente os objetivos e estratgias de negcio da organizao, de
modo a agregar valor real ao negcio, balancear riscos e, acima de tudo, obter retorno
sobre os investimentos realizados em TI.
- comum observar que empresas sem um bom modelo de governana de TI normalmente
v ou trata a organizao de TI como um centro de custos, em vez de como um parceiro
para realizar a estratgia do negcio.
- Membros do Conselho de Administrao e Executivos das empresas so os
responsveis pela governana de TI.
- Pra que serve?
- O principal objetivo da governana de TI proporcionar o alinhamento da organizao
da TI com as necessidades do negcio, atuais e futuras, oferecendo assim melhores
condies para a tomada de deciso sobre os investimentos em tecnologia.
- O alinhamento com a estratgia da organizao possibilita que a TI possa se posicionar
de maneira a agregar valor aos produtos e servios oferecidos pela empresa, auxilia no
posicionamento competitivo, assegura que os recursos sejam utilizados da melhor forma
possvel, o que naturalmente implica na reduo de custos e melhora da eficincia
administrativa (excelncia operacional).
Componentes do COBIT (cubo do COBIT)
Processos de TI
- Agrupados em 4 domnios
Planejar e organizar
Adquirir e implementar
Entregar e suportar
Monitorar e avaliar
34 processos e 210 objetivos de controle
- Recursos de TI
Aplicaes
nformao
nfraestrutura
Pessoas (internos ou terceirizados)
- Outcome measures (indicadores de resultado)
So os indicadores avaliados aps a execuo do processo. Indicam se o processo
alcanou o resultado esperado, considerando inclusive os critrios de informao.
- Exemplo: na Frmula 1, aps o trmino de cada corrida normalmente se divulga a
velocidade mdia e o tempo total de prova, de modo a tornar possvel a comparao com
corridas anteriores, no mesmo circuito.
- Performance indicators (indicadores de performance)
So os indicadores avaliados durante a execuo do processo, de modo que seja possvel
tomar medidas corretivas para assegurar que este alcance seu resultado.
-
- Exemplo: ainda na Frmula 1, so os indicadores que representam o tempo
que o piloto demora para percorrer cada parcial da pista, quanto tem de
combustvel, qual a temperatura e presso de leo do motor, velocidade mxima
ao final da reta etc.
- Matriz RACI
- A matriz RACI, do acrnimo em ingls Responsible, Accountable, Consulted e
Informed, determina claramente qual o papel de cada envolvido com o processo,
deixando claro as responsabilidades de cada um.
- Modelos de Maturidade
- Os modelos de maturidade propostos pelo COBIT so derivados do mesmo
conceito adotado no CMM, e so uma maneira de classificar a maturidade da
empresa em relao a um determinado processo, fazer comparao com outras
empresas no mercado (anlise de gap), de modo que permite estabelecer planos
de ao para alcanar a maturidade desejada, melhorando assim os resultados
da TI e dos negcios que dependem da TI.
Diretrizes de auditoria
Trata-se de um guia passo-a-passo compilado para ajudar auditores externos ou
internos a avaliar a performance da organizao.
A estrutura para o processo de auditoria aceita no mercado normalmente compreende 4 estgios
principais:
- Obteno do entendimento dos riscos
- Avaliao do controles determinados
- Avaliao de conformidade (por meio de testes)
- Substanciao dos riscos (dos objetivos de controle no atingidos)
Prticas de Controle
Trata-se do como o do porque importante adotar prticas de controle na administrao,
baseados na anlise das operaes e riscos da TI.
Produtos do COBIT
COBIT Online
COBIT Quickstart
Guia de implementao de governana de TI
COBIT Security Baseline
Val IT
Dica Importante
Um ponto fundamental para decidir quais prticas de controle e governana de TI sero
estabelecidas a compreenso do risco e do custo de no fazer nada!
Assim que concluir este curso, sero disponibilizados alguns simulados em seu plano de
aprendizagem.
Os simulados 1 a 3 so teis para aprimorar os seus conhecimentos sobre o assunto.
A avaliao final semelhantes ao exame de Certificao COBIT Foundations, baseado no
COBIT 4.1.
A avaliao final ser utilizada como o segundo instrumento de avaliao neste curso, sendo o
primeiro o trabalho de pesquisa e apresentao sobre o COBIT.
Para aqueles que tiverem um bom desempenho nos simulados e na avaliao final, nossa
recomendao que sigam os passos descritos no captulo IX para prestar o exame de
certificao, tendo em vista que esta certificao certamente um diferencial para os
profissionais que esto disputando espao em um mercado de trabalho cada vez mais
competitivo.
Conclumos aqui o nosso curso de Fundamentos de COBIT.
Buscamos apresentar os conceitos de maneira gradual e provocando at algumas repeties para
melhor fixao do contedo.

Se voc vai buscar a certificao COBIT Foundations para ter isso como diferencial em seu
currculo em relao a outros profissionais da rea, recomendamos que voc faa o download o
COBIT e fique bastante familiarizado com a estrutura do mesmo.
Alm deste, importante tambm avaliar o ValIT e conhecer toda a famlia de produtos do
COBIT. Isso pode ser feito dedicando alguns minutos navegando nos sites da ISACA e do ITGI.
Parabns pela concluso de mais um treinamento. Esperamos que o nosso curso possa ser til ao
seu dia-a-dia e desejamos boa sorte a voc!