Curso Preparatório para Cobit

Curso Preparatrio para
a Certificao
.
a Certificao
CobiT 4.0 Foundations.
Programa do Curso
Segundo Perodo
Primeiro Perodo
Mdulo 1 - Respondendo aos Desafios de TI.
Mdulo 2 - Introduo ao CobiT.
Mdulo 3 - O que o CobiT Oferece
Curso preparatrio para prova de certificao em CobiT Foundation v4.0. 2
Mdulo 4 - Aplicando o CobiT na Prtica.
Mdulo 5 - Produtos e Suporte do ITGI*.
Reviso Final e Simulado.
Programa do Curso
Primeiro Perodo
Tpico 1: Os Principais Desafios de TI.
Tpico 2: Introduo Governana de TI.
Tpico 3: Estrutura de Controle.
Tpico 4: Benefcios da Governana de TI.
Mdulo 3 - O que o CobiT oferece (parte 1).
Mdulo 1 Tpico 1: Os principais desafios de TI
Os principais desafios de TI so:
Manter o TI funcionando
Criao de Valor
Reduo de Custos
Gerenciamento das Complexidades
Alinhamento com o Negcio
Alinhamento com o Negcio
Cumprimento das regulamentaes externas
Segurana
Manter o TI funcionando (Keep IT running)
As empresas dependem fortemente da TI. Quando os sistemas se
tornam indisponveis os impactos nos negcios podem ser
significativos.
Exemplos de problemas:
Processos crticos de negcio, como emisso de notas fiscais,
podem ser interrompidos.
Os usurios de TI perdem acesso suas agendas, e-mail e
documentos.
Os clientes no conseguem contatar a central de atendimento
Perda de negcios, reduo de lucro e prejuzo imagem da
organizao.
Criao de Valor
Dado aos significativos investimentos feitos em TI e a importncia
estratgica dos projetos de TI, a empresa necessita garantir que o
TI fornea valor.
Em muitos dos projetos de TI que excedem os
oramentos ou prazos, os problemas tpicos so:
Requerimentos definidos de forma superficial
Sistemas so muito complexos para serem implementados
Falta de recursos com habilidades necessrias
Esforo requeridos de forma subestimada
Fraca gesto de projetos.
Reduo de Custos
Apesar da forte presso por reduo do oramento de TI, os gastos
de TI ainda so considerados em algumas empresas como fora de
controle.
As razes para esta percepo so:
Muitas empresas no apuram custos associados com ativos
Muitas empresas no apuram custos associados com ativos
e servios de TI.
Os oramentos de TI aumentam todos os anos como
resultado da complexidade dos contratos de licenciamento,
manuteno e terceirizao.
Projetos mal administrados que geram oramentos
adicionais.
Os gastos em TI pelas unidades de negcio e do prprio
departamento de TI no esto coordenados.
Gerenciamento das Complexidades
As inovaes tecnolgicas ocorrem rapidamente e a TI das
empresas sofre presso de muitos fornecedores e novas solues.
Os principais problemas que surgem devido a estas
Os principais problemas que surgem devido a estas
complexidades so:
Manuteno das competncias tcnicas
Gerenciamento de diversas infra-estruturas tecnolgicas
Adaptao para mudanas rpidas e novos desenvolvimentos
Gerenciamento de relacionamentos externos e fornecedores
de servios.
Alinhamento de TI aos Negcios
Em muitas empresas, o gap entre o que os usurios esperam e o
que o TI fornece continua a existir.
As principais razes para este gap so:
Requerimentos de negcio definidos de forma superficial.
Inabilidade de definir prioridades
Complexidade dos projetos
Falta de comprometimento das reas de negcio
Falta de direcionamento de negcio para as solues
Falha de comunicao entre o negcio e TI.
Cumprimento das Regulamentaes Externas
As regulamentaes que governam as operaes de negcio
impactam nos sistemas de TI.
A rea de TI precisa entender as leis e requerimentos
A rea de TI precisa entender as leis e requerimentos
regulatrios locais e internacionais que estejam relacionadas :
Governana corporativa e relatrios financeiros
Privacidade e segurana
Segurana
O desejo de fazer a informao ser prontamente disponvel pela
tecnologia gera riscos de segurana.
Estes riscos aumentaram como o resultado de diversos
fatores:
O uso da Internet e rede de comunicao de dados, que
expe os sistemas internos para o mundo.
Vrus e hackers
Aumento do mal uso da informao
Complexidades tcnicas do ambiente de TI e os problemas
de segurana associados
Baixa conscientizao de questes de segurana entre os
usurios de TI.
Exerccios
Simulado 1: 1 e 3
Simulado 2: 1
Simulado 3: 16 e 27
Simulado 4: 7 e 10
Simulado 5: 24
Programa do Curso
Primeiro Perodo
A Governana de TI compreende trs conceitos bsicos:
2.1. Os Princpios da Governana de TI
2.2. As Partes Interessadas da Governana de TI
2.3. Escopo da Governana de TI
Mdulo 1 Tpico 2: Introduo Governana de TI
2.1. Os Princpios da Governana de TI so:
Direcionamento e Controle
Responsabilidade
Prestao de Contas (Accountability)
Alinhamento
Alinhamento
Governana de TI uma estrutura de relacionamentos e
processos para dar:
Direcionamento: A Alta Direo de TI fornece a direo para
implementar uma mudana. Para fornecer direcionamento
O Princpio de Direcionamento e Controle
implementar uma mudana. Para fornecer direcionamento
efetivo, a Alta Direo precisa entender a inteno da mudana
e direciona a agenda das pessoas.
Controle: o controle garante que o objetivo atingido e
agendas no desejveis ocorram.
O Princpio da Responsabilidade
Um dos grandes desafios da Governana atribuir o
nvel adequado de controle para a TI:
O CEO o responsvel pelos Controles Internos da empresa.
Os Diretores atribuem responsabilidade para o estabelecimento
de polticas e procedimentos especficos de controles internos
de polticas e procedimentos especficos de controles internos
para as suas reas.
O controle interno de responsabilidade de todos e deve ser
parte implcita ou explicita de suas atribuies.
O Princpio da Prestao de Contas (Accountability)
A prestao de contas a obrigao dos funcionrios em
prestar contas, reportar ou explicar suas aes sobre o uso dos
recursos que lhes foram disponibilizados.
Os gestores devem prestar contas ao Comit Executivo, que
por sua vez fornece a definio de responsabilidades, direo e
por sua vez fornece a definio de responsabilidades, direo e
monitoramento.
essencial que as pessoas saibam que suas aes podem
impactar o resultado da empresa.
O Princpio do Alinhamento
Tipicamente, a rea de TI foca em parmetros tcnicos como
% de disponibilidade, tempo de repostas, etc. Apenas
atendendo estes parmetros no determina o sucesso da TI em
atender os objetivos de negcio da empresa.
A rea de TI tem sucesso quando a empresa bem sucedida.
Portanto, para a TI estar alinhado com os objetivos da empresa
A rea de TI tem sucesso quando a empresa bem sucedida.
Portanto, para a TI estar alinhado com os objetivos da empresa
ela dever definir um indicador de desempenho e no um
parmetro tcnico.
No ter excelncia tecnolgica e sim atender os
requerimentos de servios. Por exemplo, uma tpica
necessidade de negcio a folha de pagamento ser processada
no final do ms; a rea de TI precisa atender a esta
necessidade.
2.2. As Partes Interessadas (Stakeholders) da Governana de TI
Uma pessoa que tem tanto uma responsabilidade de TI ou espera
algo da rea de TI em uma empresa uma parte interessada no
programa de Governana de TI.
Os Stakeholders podem ser classificados como:
Externos:
Fornecedores
Clientes
Pblico Geral
Usurios
Governo
Internos:
Acionistas
Diretores
Gerentes de
Negcio
Gerente de TI
Funcionrios
As principais preocupaes (concerns) dos Stakeholders Internos:
O que deveria ser gerenciado em TI?
Como ns definimos direcionamentos de negcio para TI, entregar
valor e gerenciar riscos?
Como ns entregamos servios de TI conforme solicitados pelo
negcio e direcionados pelo Comit Executivo?
negcio e direcionados pelo Comit Executivo?
Como ns garantimos que as polticas, regulamentaes e leis so
cumpridas e de acordo com os novos riscos identificados?
Como ns fornecemos avaliaes independentes sobre os valores
entregues pelo TI e sobre as mitigaes de riscos?
As principais preocupaes (concerns) dos Stakeholders Externos:
O que deveria ser gerenciado em TI?
Garantir que a empresa tenha um plano de continuidade de negcio.
Se no, a empresa pode perder imagem, cliente e rentabilidade
Garantir que informaes confidencias no sejam divulgadas para os
concorrentes
concorrentes
Garantir que os dados estejam mantidos de forma segura dentro dos
sistemas
Garantir que os sistemas estejam em ordem para serem auditados.
What do you think can be a concern of the external
stakeholders about outsourcing services to a third party
supplier?
a) Business relationship between both companies
b) Technical capability of the third party supplier
c) Appropriate back-up and contingency arrangements of
c) Appropriate back-up and contingency arrangements of
the third party supplier
d) Efficient processing of transactions by the third party
supplier.
Resposta correta: C
Dentro das alternativas de respostas a alternativa C o que
mais poderia afetar os stakeholders externos (por exemplo
os clientes e pblico em geral) pois se os acordos de back up
e contingncia no foram adequadamente arranjados, os
sistemas poderiam parar, afetando diretamente os usurios.
sistemas poderiam parar, afetando diretamente os usurios.
A alternativa A tambm poderia afetar mas a alternativa C
a de maior probabilidade de ocorrer.
2.3. Escopo (Domain) da Governana de TI
O escopo da Governana de TI pode ser classificada em cinco
reas, como mostradas a seguir:
Alinhamento Estratgico
Entrega de Valor
Gesto de Risco
Gesto de Recursos
Gesto de Recursos
Gesto do Desempenho
Alinhamento Estratgico
O alinhamento estratgico refere-se ao alinhamento de TI estratgia de negcio.
Isto garante que os investimentos da empresa em TI estejam alinhados com os
objetivos estratgicos da empresa.
Objetivos Estratgicos:
Definio dos objetivos
Criao (devising) de estratgias para atingir os objetivos
Criao (devising) de estratgias para atingir os objetivos
propostos
Desenho de planos de ao para implementar as estratgias
Benefcios:
Adio de valor para os produtos e servios da empresa
Otimizao do uso dos recursos
Capacitao para uma gesto eficiente e eficaz
Entrega de Valor
O TI entrega valor para a organizao ao entregar os
benefcios prometidos a um custo razovel.
O valor esperado de TI deve ser medido como um retorno de
investimento.
A Governana de TI procura estabelecer um modelo para a
medio do valor entregue pelo TI para o negcio antes de iniciar
um grande projeto.
Exemplo:
A rea de TI da Credicard entrega valor ao reduzir o tempo de
processamento de uma transao de pagamento sem exceder seu
oramento e prazo. Para a Credicard, isto significa aumento da
rentabilidade devido ao melhor posicionamento competitivo, resultando em
maior satisfao de seus clientes.
Visto desta forma, fica mais fcil demonstrar o valor adicionado pelo TI; se
analisar somente do ponto de vista de aplicao ou banco de dados, se
torna difcil justificar os investimentos de TI.
Gesto de Risco
A Governana de TI auxilia em garantir que os riscos significativos de TI so
entendidos e gerenciados de forma correta.
Gesto de Risco envolve as seguintes
componentes:
Entendimento do grau (apetite) de risco ou o
comportamento da empresa em correr riscos.
Definio do impacto e probabilidade de um risco.
Aprovao de plano de ao para mitigar o risco.
Gesto de Risco
No dia a dia das operaes de TI, muitos riscos no so aparentes e portanto
importante identific-los e assim evitar surpresas inesperadas.
Os riscos so gerenciados de quatro maneiras (mtodos):
Mitigao (Mitigation) de Risco: instalando controles que
Mitigao (Mitigation) de Risco: instalando controles que
protejam a empresa contra riscos, como por exemplo, a
implementao de segurana de firewall.
Transferncia (Transfer) de Risco: dividindo os riscos com
parceiros ou adquirindo seguros apropriados.
Aceitao (Acceptance) de Risco: conhecendo e monitorando
os riscos e tendo um plano de respostas desenvolvido.
Preveno (Avoidance) de Risco: adotando uma abordagem
diferente para evitar completamente os riscos.
Gesto de Recursos
O objetivo da gesto de recursos garantir que os recursos
sejam capazes de entregar a estratgia de TI e ao mesmo
tempo otimizar os custos.
Ao otimizar os custos, o desafio principal a identificao das
habilidades, as tecnologias e a infra-estrutura.
A otimizao dos recursos (resource optimization) possui
diferentes caractersticas:
1. Garantir que capacitaes suficientes existam para as
atividades crticas de negcio
2. Otimizao de custos
3. Terceirizao
Gesto de Recursos
A gesto de ativos de TI complexo devido a dinmica das
demandas internas nas quais precisam ser alocadas dependendo
da natureza dos projetos.
Recursos humanos so o maior componente da base de custos
de recursos de TI.
Um entendimento das demandas decorrentes da estratgia
Um entendimento das demandas decorrentes da estratgia
ajuda muito no planejamento e gesto de recursos.
Um entendimento da estratgia de negcio necessrio para
definir os perfis requeridos e define um processo de
recrutamento, reteno e programas de treinamentos efetivos.
Gesto de Desempenho (Performance Management)
Se no houver forma de medir e monitorar as atividades de TI, no
possvel fazer gesto de TI e garantir alinhamento, entrega de
valor, gerenciamento de risco e utilizar os recursos de forma efetiva.
Para a gesto do desempenho dar certo, indicadores efetivos
devem ser definidos e aprovados pelas partes interessadas.
devem ser definidos e aprovados pelas partes interessadas.
Estes indicadores (ou mtricas) podem ser acompanhadas por um
painel (scorecards) de desempenho.
Gesto de Desempenho
Uma tcnica que tem sido aplicada com sucesso em medir o
desempenho de TI o Balance Scorecard (BSC), que considera
indicadores em Quatro Perspectivas da empresa:
Financeiro
Financeiro
Clientes
Processos
Aprendizado e Crescimento
Exerccios
2.1. Princpios 2.2. Stakeholder 2.3. Escopo
Simulado 1: 5 2, 6, 7, 8, 9 e 23
Simulado 2: 12 20
Simulado 2: 12 20
Simulado 3: 22 20, 23, 24 e 30
Simulado 4: 5
2,30 e 36
Simulado 5: 9 11, 13 e 36
Programa do Curso
Primeiro Perodo
Mdulo 1 Tpico 3: Estrutura de Controle
Para efetivamente resolver os problemas de TI necessrio ligar os
desafios de TI com uma estrutura de controle e determinar como
estes desafios podem ser melhor gerenciados.
Caractersticas de uma Estrutura de Controle (Control
Framework)
1. Foco no Negcio
1. Foco no Negcio
2. Orientao a Processo
3. Aceitabilidade Geral
4. Linguagem Comum
5. Requerimentos Regulatrios
Foco no Negcio:
A principal caracterstica de uma estrutura de controle o Foco no
Negcio.
O objetivo alinhar TI com os objetivos de negcio.
Orientao a Processo:
Isto garante que as atividades so organizadas em processos e que
possuem responsveis pelas execuo das mesmas.
possuem responsveis pelas execuo das mesmas.
Aceitabilidade Geral:
As melhores prticas para a Governana de TI esto testadas e
globalmente aceitas e que aumentam a contribuio do TI para o
sucesso da organizao.
Estas prticas foram desenvolvidas baseadas nas experincias de
diversos especialistas do mundo todo.
Linguagem Comum:
Ao longo do tempo, as melhores prticas tendem a adquirir uma
terminologia distinta que definida por uma estrutura.
A terminologia comum permite comunicao dentro da
organizao, entre profissionais de outras empresas e com parceiros
e terceiros externos e com os consultores.
Requerimentos regulatrios:
Requerimentos regulatrios:
O cumprimento regulamentaes geralmente uma tarefa cara e
onerosa.
mais fcil demonstrar cumprimento se uma estrutura de controle
for baseado em um padro aceito pelo mercado.
Auditores tambm so beneficiados quando realizam auditorias de
controles quando o modelo aceito adotado pelas empresas.
Exerccios
Simulado 1: 10
Simulado 2: 29
Simulado 3: 19
Simulado 4: 8
Simulado 5: 16
Programa do Curso
Primeiro Perodo
Mdulo 1 Tpico 4: Benefcios da Governana de TI
Os benefcios da Governana de TI:
Confiana da alta administrao
Pr-atividade (responsiveness) de TI para o negcio
Maior retorno de investimento
Mais confiana nos servios
Maior transparncia
Maior transparncia
Confiana da alta administrao:
O TI geralmente confuso e difcil de ser entendido pela alta
administrao. Um programa efetivo de Governana de TI pode
colocar todos na mesma pgina ao prover uma linguagem
comum, fornecer mecanismos claros de tomada de deciso e
facilitar a transparncia e preciso na informao gerencial.
Quando a alta gerncia obter uma viso clara de como o TI
est desempenhando, ela aumenta sua confiana nas decises
de investimento.
Pr-atividade (Responsiveness) de TI para o negcio:
O TI fica mais pr-ativo para as necessidades de negcio.
Agilidade, flexibilidade e pr-atividade so atributos vitais da
rea de TI em seu suporte para as necessidades de negcio.
Uma efetiva Governana de TI garante uma clara cadeia de
comando, tomada de deciso eficiente e maior confiana em
comando, tomada de deciso eficiente e maior confiana em
correr riscos e fazer investimentos.
Maior retorno de investimento
Na mdia, a grande poro dos investimentos de TI perdida
devido a falhas de projetos, ineficincia na infra-estrutura e
processos no padronizados e mal geridos.
Uma Governana de TI efetiva ajuda a reduzir falhas de
projeto, otimizar a infra-estrutura de TI e aumentar a eficincia
dos processos de TI.
dos processos de TI.
Mais confiana nos servios
A Governana de TI garante que os processos e servios
crticos de TI sejam monitorados e que incidentes ou falhas de
alta prioridade sejam endereadas e resolvidas. Servios que
requerem altos nveis de confiabilidade so implementados com
uma infra-estrutura robusta e flexvel para minimizar a
probabilidade de falha ou indisponibilidade de servios.
probabilidade de falha ou indisponibilidade de servios.
A Governana de TI garante riscos menores, melhor qualidade
dos servios e maior satisfao de clientes e usurios.
Maior transparncia
Boa governana ajudar a fornecer ao gerentes de negcio
informaes mais claras, confiveis e precisas sobre a situao
dos projetos e os custos dos servios de TI.
Maior transparncia significa que as partes interessadas
obtero informao de uma forma que eles entendam e com
maior confiana que as informaes esto corretas.
maior confiana que as informaes esto corretas.
Uma estrutura de Governana de TI efetivamente
implementada garante que a informao certa est disponvel
para o nvel correto de decisores. Do contrrio, a informao
tende a se perder na mirade de dados.
Exerccios
Simulado 1: 11
Simulado 2:
Simulado 3: 28
Simulado 4: 32
Simulado 5: 22
Programa do Curso
Primeiro Perodo
Tpico 1: Princpios da Estrutura do CobiT.
Tpico 2: CobiT para a Governana de TI.
Tpico 3: CobiT e os outros padres.
Programa do Curso
Primeiro Perodo
Mdulo 2 Tpico 1: Princpios da Estrutura
O acrnimo COBIT significa Control Objetives for Information and
related Technology.
CobiT uma estrutura de governana e controle que foca
em o que precisa ser feito (achieved) ao invs de como
fazer.
CobiT uma estrutura controles desenvolvidos por auditores de
sistemas. A estrutura foi construda a partir de padres e prticas
j existentes. uma ferramenta prtica de gerenciamento e no
j existentes. uma ferramenta prtica de gerenciamento e no
uma metodologia.
A misso do CobiT
Princpios do CobiT
O framework CobiT parte da premissa de que a TI deveria
gerar informaes que a empresa precisa para atingir os
seus objetivos, e assim gerar valor ao negcio.
TI fornece
informaes para
informaes para
Processos de
Negcios para
atingir
Objetivos
Estratgicos
Componentes do CobiT
As empresas dependem em dados e informaes confiveis e
rpidas. Os componentes do CobiT fornecem uma estrutura clara para
determinar a entrega de valor enquanto gerenciando o risco e
controle sobre os dados e informaes.
Para gerar estas informaes, o framework CobiT possui os
seguintes Componentes:
seguintes Componentes:
Requerimentos
de Negcio
Informao
(Critrios)
Recursos de TI
Processos de TI
Recursos de TI
Os recursos de TI podem ser classificados como:
Aplicaes: os sistemas de usurios automatizados e
procedimentos manuais que processam a informao
Informao: o dado em todas as suas formas, seja como dados
de entrada, processado e de sada, em qualquer forma que for
de entrada, processado e de sada, em qualquer forma que for
utilizada pelo negcio.
Infra-estrutura: a tecnologia e infra-estrutura fsica (hardware,
sistemas operacionais, sistemas de banco de dados, rede e o
ambiente que hospeda e suporta a operao) que permite o
processamento das aplicaes.
Pessoas: os funcionrios requeridos para planejar, organizar,
adquirir, implementar, entregar, suportar, monitorar e avaliar os
sistemas e servios de TI. Eles podem ser internos ou
terceirizados ou contratados quando necessrios.
Processos de TI
O controle dos Processos de TI um dos trs componentes
que precisam satisfazer os requerimentos de negcio.
Estes processos agrupam as atividades de TI mais comuns em um
modelo de processo, facilitando a gesto dos recursos de TI em
modelo de processo, facilitando a gesto dos recursos de TI em
atender s necessidades de negcio.
Os processos de TI esto definidos e classificados em 4 domnios e
34 processos de TI. Estes processos, por sua vez, so desdobrados e
definidos em atividades e tarefas.
Effectiveness deals with information being relevant and pertinent to the business process as well as being
delivered in a timely, correct, consistent and usable manner.
Critrios da Informao
Os Critrios da Informao a ferramenta do COBIT que
ajuda o negcio e a TI entenderem os requerimentos de
negcio para a informao. So eles:
delivered in a timely, correct, consistent and usable manner.
Efficiency concerns the provision of information through the optimal (most productive and economical) use of
resources.
Confidentiality concerns the protection of sensitive information from unauthorized disclosure.
Integrity relates to the accuracy and completeness of information as well as to its validity in accordance with
business values and expectations.
Availability relates to information being available when required by the business process now and in the future. It
also concerns the safeguarding of necessary resources and associated capabilities.
Compliance deals with complying with those laws, regulations and contractual arrangements to which the business
process is subject, i.e., externally imposed business criteria, as well as internal policies.
Reliability relates to the provision of appropriate information for management to operate the entity and exercise
its fiduciary and governance responsibilities.
Critrios da Informao
Os critrios da informao satisfazem os seguintes Requerimentos
de Negcio:
Requerimentos de Negcios Critrios da Informao
Qualidade Efetividade e eficincia das operaes
Qualidade Efetividade e eficincia das operaes
Fiducirios (COSO) Efetividade e eficincia das operaes,
Confiabilidade da informao e
Cumprimento com leis e regulamentaes
Segurana Confidencialidade, Integridade e
Disponibilidade
Para acertar as perguntas do Exame, importante distinguir bem o que
Requerimento de Negcio e o que Critrio da Informao.
Exerccios
Simulado 1:
12, 14, 16, 17, 18, 19,
21, 22, 33 e 34
Simulado 2:
2, 11, 14, 19, 22, 27,
31, 33 e 39
Simulado 3:
7, 9, 10, 13, 14, 15,
26, 33, 34 e 39
Simulado 4:
1, 18, 23, 24, 26, 35 e
38
Simulado 5: 6, 19, 26, 28, 30 e 35
Programa do Curso
Primeiro Perodo
Mdulo 2 Tpico 2: CobiT para a Governana de TI
O CobiT prove um Como o CobiT satisfaz os requerimentos de
uma Estrutura de Controle?
Os requerimentos so:
Fornecer Estreito Foco no Negcio
Garantir Orientao por Processos
Possuir Aceitao entre as Empresas
Auxiliar o Cumprimento de Regulamentaes Externas
Definir uma Linguagem Comum
Fornecer Estreito Foco no Negcio
O CobiT alcana o estreito foco no negcio ao alinhar TI com os
objetivos de negcio.
As medies de desempenho de TI devem focar na contribuio de
TI para criar valor ao negcio.
CobiT fornece indicadores voltados para a entrega de servios e no
de competncia puramente tcnica.
de competncia puramente tcnica.
Garantir Orientao por Processos
Quando as empresas implementam CobiT, seus focos se tornam
mais orientados a processos. Por exemplo, incidentes e problemas
no seriam mais tratados fora de um processo estruturado.
Excees so claramente identificadas e tratadas dentro dos
processos. Processos definem metas e responsabilidades e
permitem a empresa manter controle sobre nveis de servios.
permitem a empresa manter controle sobre nveis de servios.
O CobiT um padro mundialmente comprovado e aceito.
Por ser um guia criado a partir das melhores prticas e
administrado por auditores, o CobiT tem uma natural aceitao
dentro das corporaes, consultorias e empresas de auditoria em
todo mundo.
Auxiliar o Cumprimento de Regulamentaes Externas
O framework CobiT utilizado por gestores, consultores e
auditores em todo mundo como guia de controles de TI a serem
demonstrados para os rgos regulatrios.
Definir uma Linguagem Comum.
Atualmente, com o funcionamento de times globais e
multifuncionais, fora tarefas so sempre lideradas por pessoas
que no so cientes do tamanho da implementao porque suas
experincias vem de outra rea da empresa.
Coordenao dentro e entre os times de projeto e empresas pode
fazer um papel decisivo para o sucesso de qualquer projeto.
fazer um papel decisivo para o sucesso de qualquer projeto.
Uma estrutura completa e organizada acaba com as discusses
internas que gastam muito tempo dos projetos que envolvem
diversas reas. O CobiT ajuda a por todos na mesma pgina ao
definir termos e glossrios.
Exerccios
Simulado 1: 13
Simulado 2: 10
Simulado 3: 32
Simulado 4: 3 e 40
Simulado 5: 10 e 14
Programa do Curso
Primeiro Perodo
Mdulo 2 Tpico 3: CobiT e os Outros Padres
O framework CobiT foi construdo a partir das melhores prticas
de gesto de TI.
Dentre os padres destacamos:
Os diversos padres funcionam em diversos nveis de
processos de uma empresa:
O ITIL mapeia a entrega de servios ao nvel de execuo de processos.
O CMM um modelo que ajuda as empresas em melhorar a execuo e
controle dos processos de desenvolvimento e manuteno de sistemas.
A ISO 17799 um guia na atua no nvel de controle do processo de
segurana e tem um componente de estratgia.
O CobiT foca no controle dos processos de TI voltado para a gerao de
O CobiT foca no controle dos processos de TI voltado para a gerao de
valor ao negcio.
CobiT
ISO 17799
CMM
ITIL
Instruo de Trabalho Execuo do Processo Controle do Processo Estratgia
O CobiT est centralmente posicionado em um nvel generalista,
ajudando a integrar padres tcnicos com as prticas mais
abrangentes de negcio. Ela valida o uso apropriado de outros
padres.
Relacionamento com o COSO
A Estrutura do COSO um padro mundialmente aceito para
estabelecer e determinar a efetividade dos controles internos para
garantir integridade e confiabilidade nas informaes financeiras
de uma empresa.
Entretanto, diferentemente do CobiT, a estrutura do COSO foca
nos controles internos na camada de negcios e no nos controles
de TI. O CobiT atua na camada de aplicaes e infra-estrutura de
de TI. O CobiT atua na camada de aplicaes e infra-estrutura de
TI que suporta o negcio.
O Framework CobiT pode ser utilizado por um nmero
variado de audincia:
Responsvel Governana de TI pode servir para os seguintes
objetivos
Comit Executivo Definir direo de TI, monitorar resultados e
insistir nas aes corretivas
Gestor de Negcio Definir requerimentos de negcio para o TI e
garantir que valor entregue e riscos sejam
gerenciados
Gestor de TI Entregar e melhorar os servios de TI conforme
solicitados pelo negcio e direcionados pelo
Comit Executivo
Auditor Fornecer garantia independente que o TI entrega o
que preciso entregar.
Gestor de Risco e Controle
Interno
Medir se polticas so cumpridas e focar na
identificao de novos riscos.
Exerccios
Simulado 1: 25, 26, 32 e 35
Simulado 2: 4, 8, 17, 21 e 26
Simulado 3: 2, 25 e 36
Simulado 5: 17,23 e 37
Programa do Curso
Primeiro Perodo
Mdulo 1 - Respondendo aos Desafios de TI
Mdulo 2 - Introduo ao CobiT
Mdulo 3 - O que o CobiT oferece
Tpico 1: Domnios e Processos
Tpico 2: Objetivos de Controle e Prticas de Controle
Tpico 3: Management Guidelines
Tpico 4: Audit Guidelines
Programa do Curso
Primeiro Perodo
Mdulo 3 Tpico 1: A Estrutura do CobiT
O CobiT est estruturado conforme o desenho abaixo. Neste mdulo
iremos abordar cada elemento (caixas em azul)
Domnios
Control
Objectives
Controlled by
Measured
by
Processo
Audit
Guidelines
Control
Practices
Audited by Translated
into
Implemented
with
Key
Performance
Indicators
Key Goal
Indicators
Maturity
Models
For Performance For Outcome For Maturity
by
Management Guidelines
Domnios do CobiT
Planejamento e Organizao
Aquisio e Implementao
Entrega e Suporte
Monitorao e Avaliao
Domnio de Planejamento e Organizao
Objetivo: Identificar maneiras nas quais o TI pode contribuir para
o atingimento dos objetivos de negcio. O foco garantir a correta
organizao e governana.
Escopo do Domnio:
Estratgia e Tticas: Esto o TI e a estratgia de negcio
Estratgia e Tticas: Esto o TI e a estratgia de negcio
alinhados? A empresa est alcanando o uso otimizado dos seus
recursos?
Viso Planejada: Todas as pessoas da organizao entendem os
objetivos do TI?
Organizao e Infra-estrutura: Os riscos de TI esto identificados
e gerenciados? A qualidade dos sistemas de TI est apropriada
para as necessidades de negcio?
Domnio de Aquisio e Implementao
Objetivo: Executar a estratgia de TI. As solues de TI precisam
ser identificadas, desenvolvidas ou adquiridas e implementadas e
integradas com os processos de negcio. Este domnio tambm
cobre as mudanas dos sistemas (novos ou existentes) para
garantir que eles operem sem interrupes.
Escopo do Domnio:
Solues de TI: os novos projetos entregam solues que
atendem as necessidades de negcio? Os novos projetos so
entregues dentro dos prazos e oramentos?
Mudanas e Manutenes: os novos sistemas funcionam
corretamente quando implementados? As mudanas podem ser
realizadas sem causar problemas nas operaes de negcios
atuais?
Domnio de Entrega e Suporte
Objetivo: Este domnio foca em questes relacionadas a entrega
atual dos servios solicitados, que variam de operaes rotineiras,
segurana, continuidade e treinamento. De forma a entregar os
servios, os processos necessrios de suporte devem ser
desenhados.
Escopo do Domnio:
Entrega dos servios solicitados: os servios de TI esto em linha
com as prioridades do negcio?
Definindo os processos de suporte: os custos esto otimizados? A
confidencialidade, integridade e disponibilidade esto adequados?
Os usurios de TI so capazes de utilizar os sistemas de TI de
forma produtiva e com segurana?
Domnio de Monitorao e Avaliao
Objetivo: avaliar regularmente os processos de TI quanto s
questes de qualidade e cumprimento com requerimentos de
controle e enderear o processo de controle da empresa.
Escopo do Domnio:
Avaliaes regulares e garantia de entrega: o desempenho de TI
Avaliaes regulares e garantia de entrega: o desempenho de TI
pode ser avaliado e os problemas podem ser detectados antes que
seja tarde?
Viso gerencial do sistema de controle: a empresa garante que os
controles internos so efetivos e eficiente?
Avaliao do desempenho: o desempenho de TI est atrelado aos
objetivos de controle? Os riscos, controle, cumprimento e
desempenho so medidos e reportados?
Processos do CobiT
A estrutura do CobiT possui 34 processos de TI definidos dentro
dos quatro domnios.
O termo High Level Control Objective tambm utilizada no
CobiT para descrever a palavra Processos.
Processos do Domnio de Planejamento e Organizao
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura da Informao
PO3 Determinar o Direcionamento Tecnolgico
PO4 Definir Processos, Organizao e Relacionamentos de TI
PO5 Gerenciar os Investimentos de TI
PO6 Comunicar Metas e Direcionamento Gerencial
PO7 Gerenciar Recursos Humanos de TI
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos de TI
PO10 Gerenciar Projetos
Processos do Domnio de Aquisio e Implementao
AI1 Identificar Solues Automatizadas
AI2 Adquirir e Manter Software Aplicativos
AI3 Adquirir e Manter Infra-estrutura Tecnolgica
AI4 Garantir Operao e Uso (documentao e manual de
usurios)
usurios)
AI5 Contratar Recursos de TI
AI6 Gerenciar Mudanas
AI7 Instalar e Validar Solues e Mudanas
Processos do Domnio de Entrega e Suporte
DS1 Definir e Gerenciar Nveis de Servio
DS2 Gerenciar Servios de Terceiros
DS3 Gerenciar Desempenho e Capacidade
DS4 Garantir Continuidade de Servios
DS5 Garantir Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar Usurios
DS8 Gerenciar Help Desk e Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar o Ambiente Fsico
DS13 Gerenciar Operaes
Processos do Domnio de Monitorao e Avaliao
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Garantir Comprimento Regulatrios
ME4 Prover Governana de TI
Exerccios
Simulado 1: 27 e 36
Simulado 2: 15, 18, 34, 35 e 36
Simulado 3: 1 e 3
Simulado 4: 20, 22 e 29
Simulado 5: 7 e 8
Programa do Curso
Primeiro Perodo
Cada Processo (ou Objetivo de Controle de Alto Nvel) do CobiT
contm diversos Objetivos de Controles Detalhados.
Exemplo:
Planejamento
e Organizao
Monitorao
e Avaliao
Mdulo 3 Tpico 2: Objetivos de Controle e Prticas
de Controle
PO1 Definir um Plano Estratgico de TI
PO2 Definir a Arquitetura da Informao
PO3 Determinar o Direcionamento
Tecnolgico
PO4 Definir Processos, Organizao e
Relacionamentos de TI
PO5 Gerenciar os Investimentos de TI
PO6 Comunicar Metas e Direcionamento
Gerencial
PO7 Gerenciar Recursos Humanos de TI
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos de TI
Aquisio e
Implementao
Entrega
e Suporte
High-level Control Objectives
Objetivo de
Controle
Detalhado
O Objetivo de Controle Detalhado sustenta o objetivo de um
Processo ao focar no controle de tarefas e atividades chaves que
esto relacionados no processo.
uma afirmao do resultado desejado de uma proposta a
ser atingido em uma determinada atividade do processo.
Est relacionado aos mnimos controles requeridos no
processo.
de Controle
Prticas de Controle (Control Practices)
As Prticas de Controles de TI uma extenso do CobiT que
fornece um nvel adicional no Objetivo de Controle detalhado.
utilizado para implementar o Objetivo de Controle
Detalhado.
Lembrando que o Framework diz o que precisa ser feito
de Controle
Lembrando que o Framework diz o que precisa ser feito
para efetivamente controlar a TI, as prticas de controle j
fornecem o como e porque utilizar o objetivo de controle
detalhado.
Exerccios
Simulado 1: 15
Simulado 2: 16
de Controle
Simulado 3:
Simulado 4:
Simulado 5: 5 e 34
Programa do Curso
Primeiro Perodo
Mdulo 3 Tpico 3: Management Guidelines
CobiT Management Guidelines
Fornece ferramentas para criar painis de controle e
benchmarking para o programa de Governana de TI.
O Management Guideline auxilia o negcio e o TI a responderem
as seguintes questes:
Estamos atingindo as nossas metas?
Estamos atingindo as nossas metas?
Como medimos os resultados?
Como controlamos os processos?
Como determinamos se estamos fazendo as coisas certas?
O Management Guidelines composto de:
Indicadores Chaves de Meta (KGIs)
Indicadores Chaves de Desempenho (KPIs)
Entradas e sadas do processo
Processos e Metas de Atividades
Tabela RACI
Tabela RACI
Modelos de maturidade
Key Goal Indicators (KGIs)
So mtricas predefinidas que indicam se um processo de TI
alcana o seu propsito, ou seja, se produziram o resultado
(outcome) esperado.
KGIs definem as mtricas que diz ao gestor se um processo
alcanou seu objetivo de satisfazer um requerimento de negcio.
Eles so geralmente expressos em termos de um critrio de
informao (disponibilidade de uma informao, ausncia de
integridade ou confidencialidade, processos de custo efetivo,
confirmao de confiabilidade, efetividade ou cumprimento).
Key Performance Indicators (KPIs)
So medidas que determinam quo bem o processo est
desempenhando para viabilizar (enable) o atingimento do objetivo do
processo.
Eles influenciam positivamente o resultado/sada (outcome) de um
processo.
KPIs so indicadores utilizados para medir o progresso em direo
KPIs so indicadores utilizados para medir o progresso em direo
aos objetivos. Eles medem os objetivos das atividades, que so as
aes que o dono do processo deve tomar para alcanar o
desempenho efetivo do processo.
Geralmente so indicadores curtos, focados e mensurveis.
Entradas e Sadas de Processos
Entradas de processo identificam os entregveis necessrios para
um processo e os processos no qual estes entregveis viro. De
forma similar, as sadas de processo identificam os entregveis
esperados de um processo e os processos para os quais eles so
entregues.
Tabelas RACI
Aqui so mostradas as principais atividades do processo e o tipo
de participao de cada stakeholders (partes interessadas).
RACI significa Responsible, Accountable, Consulted e Informed.
Metas de Atividades
Metas e Indicadores da rea de TI que definem o que o negcio
espera da TI
Meta e Indicadores dos Processos de TI que definem o que o
processo de TI deve entregar para suportar os objetivos de TI
Indicadores de desempenho dos processos de TI.
Modelo de Maturidade
baseado no mtodo de avaliao da eficincia (capability) de
que um processo executado.
So utilizados para medir o desempenho ou a capacidade dos
processos de forma que a empresa possa fazer uma sistemtica
tentativa de melhoria.
No
Existente
Inicial Repetitivo Definido Gerenciado Otimizado
0 No h definio e gerenciamento de processos
1 - Processos so informais e reativos
2 - Processos seguem um padro regular mas no documentados
3 - Processos so padronizados, documentados e comunicados
4 - Processos so monitorados e medidos
5 Melhores prticas automatizadas
0 1 2 3 4 5
Existente
Modelos de Maturidade:
Ao utilizar o MMs, a empresa pode:
Mapear a situao atual do TI da empresa em vrios parmetros
Definir objetivos a serem atingidos
Definir a empresa planeja atingir estes objetivos
0 1 2 3 4 5
No
Existente
Legenda
Situao Atual
Situao Desejada
Mdia da Indstria
Exerccios
Simulado 1: 20, 24, 28, 29 e 30
Simulado 2: 3, 9, 13, 25, 30 e 32
Simulado 3: 6, 12, 21, 29 e 35
Simulado 4:
6, 11, 12, 15, 25, 27,
33 e 34
Simulado 5:
2, 12, 18, 31, 32, 33,
38 e 40
Programa do Curso
Primeiro Perodo
Mdulo 3 Tpico 4: Audit Guidelines
Audit Guidelines
O CobiT fornece um Guia de Auditoria para auxiliar os
auditores internos e externos a avaliar o desempenho de uma
empresa.
O Audit Guidelines foi construdo a partir do framework CobiT
e permite ao auditor definir os controles a serem auditados
na rea de TI.
Estgios do Processo de Auditoria
A estrutura geralmente aceita de um processo de auditoria possui
quatro estgios:
Obter (Identificar Testar
Obter (Identificar
e documentar)
Avaliar Substanciar
Testar
Estimar
Obtain (Identification
and documentation)
Evaluate Substantiate Assess
Obter/Obtain ou Identification and Documentation
Obter um entendimento dos riscos relacionados ao requerimentos
de negcio e medidas relevantes de controle.
Para isto, o time de auditoria precisa de um clara Identificao do
escopo a ser auditado.
Documentar o processo relacionado a recursos de TI que so
afetados pelo processo auditado.
afetados pelo processo auditado.
Avaliar/Evaluate
Determinar se os controles existentes so apropriados (determine
the appropriateness of the stated controls).
Para isto, necessrio avaliar a efetividade das medidas de
controle ou o nvel que o objetivo de controle alcanado.
Concluir o nvel que o objetivo de controle se encontra (se est
presente, ausente ou parcialmente presente).
presente, ausente ou parcialmente presente).
Testar/Assess
Testar se o controle existente esto funcionando como descritos,
de forma consistente e contnua.
Para isto, obter evidncia direta ou indireta para itens/perodos
selecionados para garantir que os procedimentos esto de acordo
com o perodo auditado, verificando evidncias diretas ou
indiretas.
Determinar o nvel de teste substantivo e tarefa adicional
Determinar o nvel de teste substantivo e tarefa adicional
requerido para fornecer garantia de que o processo de TI est
adequado.
Susbstanciar/Substantiate
Substanciar o risco do objetivo de controle no atingido, utilizando
tcnicas analticas e/ou fontes alternativas de consultas.
Documentar fraquezas de controle e ameaas e vulnerabilidades
resultantes.
Identificar e documentar impactos atuais e futuros.
Exerccios
Simulado 1: 31
Simulado 2: 23 e 24
Simulado 3: 11, 17 e 38
Simulado 5: 25, 27 e 39
Partes e Programa do Curso
Segundo Perodo
Primeiro Perodo
Mdulo 3 (cont.) - O que o CobiT oferece (parte 2).
Mdulo 4: Aplicando o CobiT na Prtica
Neste mdulo iremos ver como o CobiT aplicvel em dois
processos:
PO10 Gerenciar Projetos Objetivos de Controles
Detalhados
PO10.1 Estrutura de Gesto de Programas
Manter o programa de projetos (relacionados ao portflio de programas de investimentos
suportados por TI) identificando, definindo, avaliando, priorizando, selecionando, inciando,
gerenciando e controlando projetos. Garantir que os projetos suportem os objetivos dos
programas
Coordenar as atividades e as interdependncias de mltiplos projetos, gerenciar a
Coordenar as atividades e as interdependncias de mltiplos projetos, gerenciar a
contribuio de todos os projetos de um programa para os resultados esperados e resolver
requerimentos de recursos e conflitos.
PO10.2 Estrutura de Gesto de Projetos
Estabelecer e manter uma estrutura de gesto de projeto que define o escopo e a
abrangncia dos projetos gerenciados, bem como as metodologias a serem adotadas e
aplicadas em cada projeto.
As metodologias devem cobrir, no mnimo, a inciao, planejamento, execuo, controle e
fechamento dos estgios do projeto, bem como os pontos de checagem e aprovao.
A estrutura e as metodologias de suporte devem ser integradas com o gerenciamento do
portflio da empresa e processos de gesto de programa.
Detalhados
PO10.3 Abordagem da Gesto de Projetos
Estabelecer uma abordagem de gesto de projeto comensurado com o tamanho,
complexidade e requerimentos regulatrios para cada projeto.
A matriz de governana de projeto deve incluir os papis, responsabilidades e
resultados do patrocinador (sponsor) do programa, patrocinador do projeto,
comit diretor, do gerente de projeto e o mecanismo pelo qual eles possam
comit diretor, do gerente de projeto e o mecanismo pelo qual eles possam
alcanar estas responsabilidades (como reunies de revises ou aprovaes de
relatrios e estgios do projeto).
Garantir que todos os projetos de TI tenham patrocinadores com autoridade
suficiente para a execuo do projeto dentro do programa estratgico geral.
PO10.4 Comprometimento das Partes Interessadas
Obter comprometimento e participao das partes interessadas afetadas na
definio e execuo do projeto dentro do contexto do programa de investimento
geral da empresa suportada pelo TI.
Detalhados
PO10.5 Declarao do Escopo do Projeto
Definir e documentar a natureza e o escopo do projeto para confirmar e desenvolver, com as
partes interessadas, um entendimento comum do escopo do projeto e como o escopo se
relaciona com outros projetos dentro de um programa de investimento geral suportado pelo
TI.
A definio deve ser formalmente aprovada pelo patrocinador do programa e do projeto
A definio deve ser formalmente aprovada pelo patrocinador do programa e do projeto
antes de seu incio.
PO10.6 Fase de Iniciao do Projeto
Garantir que a fase de iniciao do projeto formalmente aprovada e comunicada para
todas as partes interessadas.
A aprovao da fase de iniciao de ser baseada nas decises da governana do programa.
A aprovao das fases subseqentes deve ser baseada na reviso e aceitao dos
entregveis da fase anterior.
No caso de uma sobreposio de fases do projeto, um ponto de aprovao deve ser
estabelecido pelos patrocinadores do programa e do projeto para autorizar a progresso do
projeto.
Detalhados
PO10.7 Plano Integrado de Projeto
Estabelecer um plano integrado de projeto formalizado e aprovado (que cobre o negcio e os
recursos de sistemas de informao) para guiar a execuo e controle do projeto por todas
as etapas do projeto.
As atividades e interdependncias dos mltiplos projetos dentro de um programa devem ser
entendidas e documentadas.
entendidas e documentadas.
O plano de projeto deve ser mantido por todas as etapas do projeto.
O plano de projeto e as mudanas que ocorrerem, devem ser aprovadas de acordo com a
estrutura de governana do programa e projeto.
PO10.8 Recursos do Projeto
Definir as responsabilidades, relacionamentos, autoridades e critrios de
desempenho para os membros do time de projeto e especificar a base de aquisio
e definio de funcionrios e contratados competentes para o projeto.
A contratao de produtos e servios necessrios para cada projeto deve ser planejada e
gerenciada para atingir os objetivos do projeto utilizando as prticas de contratao da
empresa.
Detalhados
PO10.9 Gesto de Risco do Projeto
Eliminar ou minimizar riscos especficos associados a cada projeto por meio de
um processo sistemtico de planejamento, identificao, anlise, resposta ,
monitoramento e controle de reas ou eventos que tenham um potencial de
causar mudanas indesejadas.
Os riscos identificados pelo processo de gesto de projeto e nos entregveis do
projeto devem ser estabelecidos e reportados.
PO10.10 Plano de Qualidade de Projeto
Preparar um plano de gesto de qualidade que descreva o sistema de qualidade
de projeto e como este ser implementado. O plano deve ser formalmente
revisado e aceito por todas as partes envolvidas e ento incorporado ao plano
integrado de projeto.
PO10.11 Controle de Mudana de Projeto
Estabelecer um sistema de controle de mudana para cada projeto, de forma que
todas as mudanas no escopo original do projeto (por exemplo, custo,
cronograma, escopo e qualidade) so apropriadamente revisados, aprovados e
incorporados no plano de projeto integrado em alinhamento com a estrutura de
governana de programa e de projeto.
Detalhados
PO10.12 Planejamento de projeto de validao
Identificar atividades necessrias para suportar a validao de novos sistemas (ou
modificaes) durante o planejamento do projeto e inclu-los no plano integrado do projeto.
As tarefas devem assegurar que os controles internos e aspectos de segurana atendam os
requisitos definidos.
PO10.13 Medio de Desempenho do Projeto, Monitoramento e Reporte
Medir o desempenho do projeto contra critrios chaves de projeto (por exemplo, escopo,
cronograma, qualidade, custo e risco)
cronograma, qualidade, custo e risco)
Identifica qualquer desvio do plano
Avaliar seus impactos sobre o projeto e sobre o programa
Reportar os resultados para as principais partes interessadas
Recomendar, implementar e monitorar aes corretivas quando necessrias, em
alinhamento com a estrutura de governana de projeto e programa.
PO10.14 Concluso do Projeto
Requer que, no final de cada projeto, as partes interessadas no projeto apurem se o projeto
entregou os resultados e benefcios planejados.
Identificar e comunicar quaisquer atividades pendentes necessrias ao alcance dos
resultados esperados do projeto e os benefcios do programa
Identificar e documentar as lies aprendidas para us-las nos projetos e programas futuros.
PO10 Gerenciar Projetos KGI e KPI
KGI:
% de projetos completados no prazo e no oramento.
% de projetos que atenderam s expectativas das partes
interessadas.
interessadas.
KPI:
% de projetos que seguiram padres e prticas definidas
% de gerentes de projetos certificados ou treinados
% de projetos que receberam uma avaliao de ps-
implementao
% das partes interessadas que participaram no projeto
(involvement index)
DS2 Gerenciar Servios de Terceiros Objetivos de
Controles Detalhados
DS2.1 Identificao de Todos os Relacionamentos com Fornecedores
Identificar todos os fornecedores de servios e categoriz-los de acordo com o
tipo de fornecedor, significncia e criticidade.
Manter documentao formal dos relacionamentos tcnicos e organizacional
cobrindo os papis e responsabilidades, objetivos, entregveis esperados e
credenciais dos representantes destes fornecedores.
credenciais dos representantes destes fornecedores.
DS2.2 Gesto de Relacionamento do Fornecedor
Formalizar o processo de gesto de fornecedores para cada fornecedor.
Um responsvel dever mediar as questes entre o cliente interno e o
fornecedor e garantir a qualidade deste relacionamento baseado na
confiana e transparncia (isto , por meio de SLA).
DS2 Gerenciar Servios de Terceiros Objetivos de
Controles Detalhados
DS2.3 Gesto de Risco do Fornecedor
Identificar e mitigar os riscos relacionados capacidade dos fornecedores continuarem a
efetivamente entregar o servio de forma segura e eficiente.
Garantir que os contratos cumpram padres universais de negcio em acordo com
requerimentos legais e regulatrios.
Gesto de risco devem considerar acordos de confidencialidade ou NDAs (non-disclosure
Gesto de risco devem considerar acordos de confidencialidade ou NDAs (non-disclosure
agreements), contratos de consignao, viabilidade continuada do fornecedor,
Cumprimento com requerimentos de segurana, fornecedores alternativos, penalidades e
recompensas, etc.
DS2.4 Monitoramento do Desempenho do Fornecedor
Estabelecer um processo para monitorar a entrega do servio para garantir que o fornecedor
est atingindo os requerimentos do negcio e est continuamente aderente ao acordo
contratual e acordo de nvel de servio e que o desempenho est competitivo com os
fornecedores alternativos e condies de marcado.
DS2 Gerenciar Servios de Terceiros KGI e KPI
KGI:
% de grandes fornecedores que claramente atingiram os
requerimentos e nveis de servios.
# de disputas formais com fornecedores
% de faturas de fornecedores sob mitigao
KPI:
% de grandes fornecedores sujeitos a requerimentos e nveis de
servios claramente definidos
% de grandes fornecedores sujeitos a avaliao
Nvel de satisfao do usurio com efetiva comunicao do
fornecedor.
Nvel de satisfao do fornecedor com efetiva comunicao do
usurio
# de incidentes graves de fornecedores
No cumprimento no perodo.
Exerccios
Simulado 1: 38
Simulado 2: 38
Simulado 3: 31 e 37
Simulado 4: 31 e 39
Segundo Perodo
Primeiro Perodo
Mdulo 5 Produtos do ITGI
Este Mdulo descreve os diversos produtos e suportes
fornecidos pelo ISACA e ITGI para o CobiT:
Descrio dos quatro produtos do ITGI:
CobiT Online
CobiT QuickStart
CobiT Security Baseline
Implementation Guide for IT Governance.
CobiT Online
Totalmente interativo, CobiT Online prov a verso Web mais
atualizada do CobiT.
Desenhado como um servio Web e disponvel para qualquer com
Mdulo 5 Os Produtos do ITGI
Desenhado como um servio Web e disponvel para qualquer com
uma conexo Internet, o CobiT Online faz o CobiT mais acessvel e
fcil de ser utilizado do que outras melhores prticas de TI.
Utilizando o myCobiT, os usurios podem construir e fazer download
por conta prpria e personalizar a verso do CobiT para o uso no PC
no formato MS Work ou Access.
CobiT Online
Componentes do CobiT Online:
Navegao: Visualizar informaes sobre os componentes do CobiT
Online
Benchmarking: Mapear a situao dos processos de sua
empresa com as de outras organizaes
Feedback: Comunicar sugestes e melhorias no CobiT para o
ITGI/ISACA.
Comunicao: Dividir as experincias do CobiT com outros usurios
Ajuda: Responder a questes relacionadas ao CobiT
CobiT Online
O recursos do Benchmarking permite inserir dados do
programa de Governana de sua empresa pela Web
Itens do CobiT que pode ser comparado (Benchmarked):
Itens do CobiT que pode ser comparado (Benchmarked):
Nvel de Maturidade
Importncia do Processo
Utilizao de KGI e KPI
Importncia do Objetivo de Controle
Utilizao de Prticas de Controle
Pontuao: levantamento da pontuao para os itens acima.
uma verso sumarizada dos recursos do CobiT que prove
uma base de controle de TI.
Focado nos principais (mais importantes) processos de TI (30
de 34), objetivos de controles (60 de 314) e indicadores.
apresentado em um formato amigvel que ajudam os
usurios a ganhar um entendimento rpido dos conceitos e
CobiT QuickStart
usurios a ganhar um entendimento rpido dos conceitos e
componentes do CobiT.
bastante til para as pequenas e mdias empresas
ganharem rpidos benefcios.
Guia de Implementao de Governana de TI
O Guia prov:
um mapa de implementao (Approach)
um processo para implementar governana de TI
utilizando os recursos do CobiT (Road Map)
um guia composto de templates, apresentaes e
um guia composto de templates, apresentaes e
artigos que detalham os benefcios de se implementar
governana de TI (Tool Sets).
O Guia tambm fornece exemplos de Balance
Scorecards de TI, uma planilha de diagnstico de
conscientizao dos gestores e uma abordagem de
anlise de riscos.
Guia de Implementao de Governana de TI
O Processo para implementar governana de TI
compostos das seguintes atividades:
Levantar (presena de controles e nvel de
maturidade) a situao atual dos processos
Definir a situao desejada
Identificar gaps
Elaborar e implementar aes para cobrir os gaps
Monitorar aes e levantar a situao novamente.
O Guia aborda riscos de segurana de TI de forma
simples de serem seguidos e implementados, voltado
para usurios residenciais, pequenas e mdias
empresas, bem como executivos ou membros de
comits de grandes empresas.
O Guia prov:
Uma coletnea de leitura de conceitos de segurana
Uma base de controles baseado no CobiT e ISO17799
Kits de segurana da informao para diferentes
pblicos (usurio domestico, gerentes, executivos,
diretores de comits, profissionais de segurana).
Exerccios
Simulado 1: 37, 39 e 40
Simulado 2: 5, 6, 7, 28 e 40
Simulado 3: 5, 8, 18 e 40
Simulado 4: 16, 28 e 37
Simulado 5: 15, 20 e 29
Segundo Perodo
Primeiro Perodo
Reviso Final e Simulado
Nesta sesso iremos:
Passar informaes gerais sobre os procedimentos
durante o exame.
Aplicar um teste simulado e esclarecer dvidas.
Segundo Perodo
Primeiro Perodo
Segundo Perodo

Curso Preparatório para Cobit

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso Preparatório para Cobit

Enviado por

Direitos autorais:

Formatos disponíveis

Curso Preparatrio para

Você também pode gostar