Você está na página 1de 38

Guia de Estudo para Exame de Certificação do Cobit Foundation

Guia de Estudo
para o Exame Certificação
do Cobit Foundation® 4.1
autor: Rildo Santos
rildo.santos@etecnologia.com.br
rildo.santos@companyweb.comb.r

www.CompanyWeb.com.br
www.rildosan.blogspot.com

Todos os direitos produtos e marcas citados neste guia são de propriedade dos seus donos, este material poderá ser copiado, ampliando e
distribuído deste autorizado pelo autor.

Pág: 1/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Introdução:

Este Guia de Estudo foi elaborado para ajudar e facilitar a preparação para o exame de
certificação do Cobit Foundation versão 4.1.
Seu propósito é servir como um documento de revisão complementar ao treinamento de
Cobit Foundation.

O guia cobre todos os assuntos abordados no exame de certificação, contudo ele não
prescritivo, ou seja, você deverá considerar outras fontes de estudo.

Rildo Santos

Como se preparar para o exame de Certificação do Cobit Foundation 4.1:

Check Lists:

Material do treinamento:
1 – Faça uma releitura de todo o material
2 – Refaça os exercícios
3 – Refaça o simulado

Guia de Estudo:
1 - Leia o Guia
2 - No final de cada parte faça um resumo das partes mais importantes (elas estão
grafadas na cor amarela)
3 - Faça os exercícios para fixação, após a elaboração dos resumos de cada parte.
4 - Faça o simulado de certificação

Pág: 2/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Este Guia foi organizado em três partes:

Primeira parte:
 Revisão Geral do Cobit Foundation

Segunda parte:
 Os Processos
o DS2
o PO10
o Descrição dos demais processos

Terceira parte:
 Produtos Cobit
o COBIT Online
o COBIT Quickstart
o IT Governance Implementation Guide Using COBIT e Val IT
o COBIT Security Baseline

Pág: 3/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Revisão Geral:

Desafios de TI:

- Manter TI funcionando
- Agregar valor
- Otimizar custos
- Manter o alinhamento de TI com o negócio
- Atender a requisitos regulatórios (SOX, BASEL II, SPED e etc)

Definição de Governança Empresarial (Corporativa):


Governança empresarial é um conjunto de responsabilidades e práticas exercitadas pelo conselho e o
gerenciamento executivo com as metas de:
 Fornecer um direcionamento estratégico.
 Garantir que os objetivos sejam alcançados.
 Estabelecer que os riscos sejam gerenciados apropriadamente.
 Verificar se os recursos da empresa sejam usados com responsabilidade.

Governança empresarial se trata de:


 Performance
o Melhorar o lucro, a eficiência, a efetividade e o crescimento
 Conformidade
o Aderir à legislação, políticas internas e requisitos de auditoria

Governança Empresarial e a Governança de TI requerem um balanço entre a conformidade e as metas de


performance, como orientado pelo conselho (Conselho da Administração).

Definição de Governança de TI:


A governança de TI é definida como uma estrutura de relacionamento e processos para direcionar e controlar a
empresa para que ela possa alcançar suas metas agregando valor enquanto balanceia os riscos versus
retorno sobre o TI e seus processos.

Quem responsável pela Governança de TI ?

O conselho de diretoria e o corpo executivo são responsáveis pela governança de TI, o que envolve estruturas
e processos que direcionam a organização no sentido de alcançar seus objetivos.

Conceitos chaves da Governança de TI:


Direcionar: O gerenciamento fornece direcionamento para implementar uma mudança. Para fornecer um
direcionamento efetivo, o gerenciamento precisa entender a mudança pretendida. Além do mais, o
gerenciamento direciona outra pessoa a executar essas mudanças.
Controlar: O Controle garante que os objetivos sejam alcançados e nenhum incidente indesejado ocorra.

Princípios da Governança: Responsabilidade, Prestação de Conta (cobrança), Atividades:

Responsabilidade:
O CEO (presidente) é o responsável pelo controle interno. Gerentes Seniores (ou diretores) assumem
responsabilidade para o estabelecimento de políticas e procedimentos de controle interno específicos para o
pessoal executando a função de uma unidade. Controle interno é de responsabilidade de todos dentro de uma
organização e deve ser uma parte explícita ou implícita das descrições do trabalho.

Quem é Cobrado (Quem presta conta):


O que é cobrado está relacionado à responsabilidade, mas especificamente focado em ter autoridade de tomar
decisões e fazer aprovações.

Pág: 4/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Por exemplo: A responsabilidade para o processo de definir a estratégia de TI será dividida por diversas
pessoas, cada um responsável por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os
problemas chave e aprova a versão final. Ele é então cobrado pela estratégia de TI.

Atividades:
As atividades de TI são efetivas quando há uma boa governança de TI. Geralmente, os departamentos de TI
precisam se alinhar com as necessidades de negócios da empresa. O alinhamento é um indicador de
performance que pode ser qualquer parâmetro técnico.

Acionistas internos (Stakeholders) da Governança de TI:


- Gerente de TI
- Auditor de TI
- Conselho, Executivos, e Gerente de Negócios
- Gerente de Riscos e Conformidade

Acionistas externos (Stakeholders) da Governança de TI:


- Clientes
- Fornecedores
- Auditor Externo
- Reguladores

Governança de TI: As 5 Áreas de Foco:

Alinhamento Estratégico:
Focar em garantir a ligação dos negócios e planos de TI; em definir, manter, e validar a proposta de valor de TI
e em alinhar as operações de TI com as operações da empresa
Garantir que o investimento da empresa em TI esteja em harmonia com os objetivos estratégicos da empresa

Agregação de Valor:
Trata-se de executar a proposta de valor através do ciclo de agregação, garantindo que o TI entregue os
benefícios prometidos sobre a estratégia, se concentrando em otimizar os custos, e fornecendo o valor
essencial da TI.

Gerenciar Riscos:
Requer:
 Consciência dos riscos dos responsáveis sênior da corporação.
 Um entendimento claro do apetite da empresa por riscos.
 Um entendimento de requisitos de conformidade.
 Transparência sobre riscos significantes para a empresa.
 Embutir as responsabilidades de gerenciamento de riscos dentro da organização.
Os riscos podem ser administrados pela:
 Mitigação de riscos.
 Transferência de riscos.
 Aceitação de riscos.
 Evitar riscos.

Gerenciar Recursos:
Trata-se de investimentos otimizados e gerenciamento apropriado de recursos críticos de TI, como:
 Aplicações.
 Informação.
 Infra-estrutura.
 Pessoas.

Medição de Performance:
Busca e monitora a implementação de estratégias, conclusão de projetos, performance de projetos, e
agregação de serviços
Se não há uma maneira de medir e avaliar as atividades de TI, não é possível governar TI e garantir o
alinhamento, agregação de valor, gerenciamento de riscos, e um uso eficiente dos recursos.

Pág: 5/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Benefícios da Governança de TI:


 Aumentar a confiabilidade dos serviços
 Maior transparência
 Boa receptividade do TI para os negócios
 Confiança da diretoria
 Melhorar ROI (Retorno sobre Investimento)

Por que da necessidade de um Framework de Controle:


As empresas não conseguirão atender efetivamente aos negócios e requisitos de governança sem adotar e
implementar uma governança e O framework de controle para o TI que permitam:
 Alinhar os requisitos de negócios.
 Exibir de forma transparente a performance destes requisitos.
 Organizar as atividades de TI em um modelo de processos genericamente aceitável.
 Identificar os principais recursos a serem relevados.
 Definir os objetivos de controle de gerenciamento a serem considerados.

Resumo:
Organizações tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de
governança de TI:
 Manter a TI funcionando
 Entregar valor aos clientes
 Gerenciar os custos de TI
 Dominar as complexidades
 Alinhar a TI com os negócios
 Garantir conformidade regulatória
 Gerenciar a segurança

Cobit e Governança de TI:

O COBIT ajuda a melhorar a governança de TI.


O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para
um framework de controle.

Estrutura de Controle:

- Fornece melhor foco de Trabalho


- Foco de Negócios
 O COBIT atende melhor aos negócios focando no alinhamento de TI com os objetivos de negócios.
 A medição da performance de TI deverá focar-se na contribuição da TI em disponibilizar e estender a
estratégia de negócios.
 O COBIT, suportado por métricas próprias focadas no negócio, pode garantir que o objetivo primário é
a entrega de valor e não a excelência técnica.

- Define uma linguagem comum


- Linguagem Comum
 É uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos críticos e
fornecendo um glossário.
 Coordenação dentro e através de equipes de projeto; as organizações podem desempenhar o papel
chave para o sucesso de qualquer projeto.
 Linguagem comum constrói confidência e confiança.

- Garante a orientação a processos


Orientação a Processos
 Quando as organizações implementam o COBIT, o seu foco é mais orientado a processos.
 Os incidentes e problemas tiram a atenção dos processos.
 Exceções podem ser claramente definidas como parte de processos padrões.

Pág: 6/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 Com a posse do projeto definida, designada e aceitada, a organização é mais capaz de manter
controle através de períodos com mudanças rápidas ou crise organizacional.

- Ajuda a alcançar requisitos regulatórios


- Requisitos Regulatórios
 Recentes escândalos empresariais têm aumentado as pressões regulatórias em conselhos de diretoria
para relatar seus status e garantir que os controles internos sejam apropriados. Isto também cobre os
controles de TI.
 As organizações precisam constantemente melhorar a performance de TI e demonstrar controles
adequados sobre suas atividades.
 Muitos gerentes de TI, conselheiros e auditores estão se voltando ao COBIT como a resposta de fato
para requisitos regulatórios de TI.

- Possui aceitação entre as empresas


- Aceitabilidade:
 O COBIT é um padrão Aprovado e globalmente aceito para aumentar a contribuição de TI para o
sucesso da organização.
 O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores práticas.
 Os profissionais de TI de todo o mundo contribuem com suas idéias e tempo em reuniões de revisão
regulares.

A estrutura do Cobit:

As suas principais características são:


 Focado nos Negócios
 Orientado a Processos
 Baseado em Controles
 Dirigido pela Medição

O acrônimo COBIT quer dizer Control Objectives for Information and related Technology

Modelo de Governança do provido pelo Cobit:


 Inicia a partir dos requisitos de negócios.
 É orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos.
 Identifica os principais recursos de TI a serem considerados.
 Define os objetivos de controle a serem considerados. Incorporando os principais padrões internacionais.
 É um modelo de fato para o controle geral de TI

Audiência:
COBIT – Concebido para a gerência, Auditores e TI
A estrutura do COBIT ajuda não apenas aos usuários técnicos, mas também aqueles que são responsáveis
pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usuários garantindo
que:
 Seus requisitos estão definidos e propriamente entendidos.
 Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.

Premissa:
A estrutura do COBIT é baseada na premissa de que TI precisa entregar a informação que uma empresa
precisa para alcançar seus objetivos.

A estrutura do COBIT ajuda a alinhar TI com os negócios focando-se nas requisições de informações de
negócios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a
governança de TI.

Pág: 7/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Componentes do Cobit:
Uma empresa depende da credibilidade e prontidão da informação. Os componentes do COBIT irão fornecer
uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informações.

Como estrutura para governança e controle de TI, o COBIT focará em duas áreas:
 Fornecer as informações necessárias para suportar os requisitos e objetivos de negócios
 Tratar a informação como resultado da aplicação conjunta dos recursos de TI que precisam ser
gerenciados pelos processos de TI.

O framework do COBIT descreve como os processos de TI entregam a informação que os negócios precisam
para alcançar seus objetivos. Para controlar esta entrega, o COBT fornece três componentes chave:
- Requisitos de Negócio;
- Recursos de TI
- Processos de TI
Formando as dimensões do Cubo do COBIT.

Cubo do Cobit

Inter-relação dos componentes do COBIT:


Em um ambiente complexo, o gerenciamento requer informações compreensivas e em tempo para tomar
decisões eficientes sobre risco e controle. O COBIT endereça estes problemas como uma forma de diretrizes
de gerenciamento. Estas diretrizes estão destacadas abaixo:

Metas de TI e Processos de TI:


São Medidas por: São decompostas em:
Performance: Indicadores de Desempenho - Atividades Chaves
Resultado: Métrica de Resultado Que são executadas pela
Maturidade: Modelo de Maturidade - Matriz RACI

Pág: 8/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Metas de TI e Processos de TI:

O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domínios:


o Planejar e Organizar
o Adquirir e Implementar
o Entregar e Suportar
o Monitorar e Avaliar

O que são processos:


 Processos são séries de atividades com quebras de controle naturais. Existem 34 processos nos quatro
domínios. Estes processos especificam o que os negócios precisam para alcançar seus objetivos. A
entrega de informações é controlada através de 34 objetivos de controle de alto nível, um para cada
processo.
Que são atividades ?
 As Atividades são ações que são necessárias para alcançar resultados mensuráveis. Além disso, as
atividades têm ciclos de vida e incluem muitas tarefas discretas.

 As Atividades são ações que são necessárias para alcançar resultados mensuráveis. Além disso, as
atividades têm ciclos de vida e incluem muitas tarefas discretas.

O COBIT possui 34 processos de TI definidos dentro dos 4 domínios de TI:

PLANEJAR E  Objetivos:
ORGANIZAR (PO) o Formular estratégia e táticas
o Identificar como TI pode contribuir melhor para alcançar os objetivos de
negócios
o Planejar, comunicar, e gerenciar a realização da visão estratégica
o Implementar uma infra-estrutura organizacional e tecnológica
 Escopo:
o A TI e os negócios estão estrategicamente alinhados?
o A empresa está alcançando um uso otimizado dos recursos de TI?
o Todos na organização entendem os objetivos de TI?
o Os riscos de TI estão entendidos e sendo gerenciados?
o A qualidade dos sistemas de TI está apropriada para as necessidades de
negócios?

Processos  PO1 – Definir um Plano Estratégico de TI


 PO2 – Definir a Arquitetura da Informação
 PO3 – Determinar o Direcionamento Tecnológico
 PO4 – Definir os Processos, a Organização e os Relacionamentos de TI
 PO5 – Gerenciar o Investimento de TI

Pág: 9/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 PO6 – Comunicar os Objetivos e Direcionamento da Diretoria
 PO7 – Gerenciar Recursos Humanos de TI
 PO8 – Gerenciar Qualidade
 PO9 – Avaliar e Gerenciar Risco de TI
 PO10 – Gerenciar Projetos

ADQUIRIR  Objetivos:
IMPLEMENTAR o Identificar, desenvolver ou adquirir, implementar, e integrar as soluções de
(AI) TI
o Mudanças e manutenção de sistemas existentes
 Escopo:
o Os novos projetos estão preparados para entregar soluções que alcancem
as necessidades de negócios?
o Os novos projetos estão preparados para serem entregues a tempo e
dentro do orçamento?
o Os novos sistemas irão funcionar bem quando implementados?
o As mudanças serão feitas sem atrapalhar as operações de negócios
atuais?

Processos  AI1 – Identificar as Soluções Automatizadas


 AI2 – Adquirir e Manter Software Aplicativo
 AI3 – Adquirir e Manter Infra-estrutura de Tecnologia
 AI4 – Permitir Operação e Uso
 AI5 – Adquirir Recursos de TI
 AI6 – Gerenciar Mudanças
 AI7 – Instalar e Validar Soluções e Mudanças

ENTREGAR E  Objetivos:
SUPORTAR (DS) o A entrega real de serviços necessários, incluindo a entrega de serviços
o O gerenciamento da segurança, continuidade, dados, e facilidades
operacionais
o Suporte de serviços para os usuários
 Escopo:
o Os serviços de TI estão sendo entregues alinhados com as prioridades de
negócios?
o Os custos de TI estão otimizados?
o A força de trabalho é capaz de usar os sistemas de TI de forma produtiva
e segura?
o A confidencialidade, integridade e disponibilidade estão adequadas?

Processos  DS1 – Definir e Gerenciar Níveis de Serviços


 DS2 – Gerencia Serviços Terceirizados
 DS3 – Gerenciar o Desempenho e a Capacidade
 DS4 – Garantir Continuidade de Serviços
 DS5 – Garantir Segurança dos Sistemas
 DS6 – Identificar e Alocar Custos
 DS7 – Educar e Treinar os Usuários
 DS8 – Gerenciar Central de Serviço e Incidentes
 DS9 – Gerenciar Configuração
 DS10 – Gerenciar Problema
 DS11 – Gerenciar Dado
 DS12 – Gerenciar Ambiente Físico
 DS13 – Gerenciar Operações

Pág: 10/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

MONITORAR E  Objetivos:
AVALIAR (ME) o Gerenciamento de Performance
o Monitoramento de controles internos
o Conformidade regulatória
o Governança
 Escopo:
o A performance de TI está sendo medida para detectar problemas antes
que seja tarde demais?
o O gerenciamento garante que os controles internos sejam eficazes e
eficientes?
o A performance de TI pode ser ligada às metas de negócios?
o Os riscos, controles, conformidade e performance estão sendo medidos e
relatados?

Processos  ME1 – Monitorar e Avaliar o Desempenho de TI


 ME2 – Monitorar e Avaliar os Controles Internos
 ME3 – Assegurar a Conformidade Regulatória
 ME4 – Fornecer Governança de TI

Requisitos de Negócio (Critérios de Informação):

Para satisfazer os objetivos de negócios, a informação deve estar em conformidade com critérios de
informação específicos, os quais o COBIT se refere como requisitos de negócios para informação.
Os critérios de informação estão baseados em requisitos de qualidade, segurança e valor (fiduciário).

Requisito de Descrição
Negócio
Efetividade Lida com informações serem relevantes e pertinentes aos processos de negócios como
(Qualidade) também ser entregue de uma forma em tempo, correta, consistente e usual.

Eficiência Lida com a provisão de informações através dos uso de recursos otimizados – mais
(Qualidade) produtivos e econômicos

Confidencialidade Lida com a proteção de informações sensíveis de revelações não autorizadas.


(Segurança)

Integridade Relaciona-se com a exatidão e integridade de informações tão bem quanto sua validade
(Segurança) de acordo com os valores de negócios e expectativas.

Disponibilidade Relaciona-se com a informação estar disponível quando necessário pelo processo de
(Segurança) negócios no presente e no futuro. Ele também é responsável pela guarda de recursos
necessários e capacidades associadas.
Conformidade Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo
(Fiduciária) de negócios esta sujeito, ou seja, critérios de negócios impostos externamente como
políticas internas.

Confiabilidade Relaciona-se com a provisão de informações corretas para Gerenciar, operar a entidade
(Fiduciária) e exercitar suas responsabilidades fiduciárias e de governança.

Pág: 11/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Recursos:

Os processos de TI gerenciam os recursos de TI para gerar, entregar e estocar a informação que a


organização precisa para alcançar seus objetivos.

Recurso Descrição
Aplicações Aplicações são sistemas de usuários automatizados e procedimentos manuais que
processam a informação.

Informação Informação são os dados de entrada, que são processados, e de saída pelos sistemas
de informação, em qualquer forma usada pelos negócios
Infra-estrutura Infra-estrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e
as redes que disponibilizam o processamento das aplicações.

Pessoas Pessoas pessoal necessário para planejar, organizar, adquirir, implementar, entregar,
dar suporte, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser
internos, terceirizados, ou contratados, conforme necessário.

Diretrizes de Gerenciamento do COBIT:


Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensuráveis para cada processo e
medir e comparar a atual capacidade da organização em cada processo. O conjunto de informações de
gerenciamento a seguir lista algumas questões.

Questões típicas de gerenciamento:


 Como gerentes responsáveis ―mantém o navio no curso‖?
 Como a organização alcança resultados que sejam satisfatórios para os segmentos maiores possíveis para
seus acionistas?
 Como a organização se adapta às tendências e desenvolvimentos no seu envolvimento de uma forma a
tempo?

As Diretrizes de Gerenciamento irão fornecer as metas e as métricas (métricas de resultados e indicadores de


performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em
direção ao resultado desejado.
As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover
métricas para a realização das metas de TI. Um scorecard possui 4 dimensões para mapear as metas e
indicadores.
Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e
Crescimento

Diretrizes de Gerenciamento provêem recursos para os 34 processos para ajudar aos gestores a entender a
performance da organização.

Cada processo possui o seguinte:


 Entradas do Processo: São o que o dono do processo precisa dos outros processos.
 Saída do Processo: São o que o dono do processo deve entregar.
 Atividades Chave para o processo e matriz de RACI: Aponta quem é Responsible (Responsável),
Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade.

Metas e métricas mostram como os processos devem ser medidos. Eles são definidos em três níveis:
 Metas e métricas de TI definem o que os negócios esperam da TI, ou seja, o que os negócios usariam
para medir a TI.
 Metas e Métricas do Processo definem o que o processo de TI deve agregar para suportar as metas de
TI, ou seja, como o dono do processo de TI seria medido.

Pág: 12/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 Métricas de performance de processo medem quão bem o processo está indo para indicar se as metas
deverão ser alcançadas.

Modelos de Maturidade ajudam as organizações a medir a capacidade do processo de não existente (0) para
Otimizado (5).

Modelo de Maturidade:

Todos os processos possuem um modelo de maturidade. A maturidade diz respeito à capacidade do processo
em atender os requisitos regulatório e compliance, capacidade para atender metas de TI e as metas dos
processos de TI.

Modelos de Maturidade fornecem uma escala para referenciar às práticas da companhia contra os padrões e
diretrizes da indústria. Um modelo de maturidade é uma medida que capacita que uma empresa nivele sua
maturidade para um processo específico de não existente (0) para otimizado (5).

COBIT — Valor e Limitações

O COBIT:
 É aceito como referencia internacional de boas práticas.
 É orientado aos negócios.
 É considerado um padrão aberto.
 É mantido por uma organização de boa reputação sem fins lucrativos.
 Mapeia 100 por cento do COSO.
 Está mapeado de acordo com principais padrões relacionados.
 É uma referência.

As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos
seguintes requisitos da empresa:
o Entrega de valor.
o Gerenciar Risco.
o Infra-estrutura de TI, organização, e portfólio de projetos.

Vantagens de adotar o COBIT são:

Pág: 13/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 O COBIT está alinhado com outros padrões e melhores práticas e deve ser usado junto deles.
 O framework do COBIT e melhores práticas de suporte fornecem um ambiente de TI bem administrado e
flexível em uma organização.
 O COBIT fornece um ambiente de controle que responde às necessidades de negócios e gerenciamento
de servidores e funções de auditoria em termos de suas responsabilidades de controle.
 O COBIT fornece ferramentas para ajudar a gerenciar as atividades de TI.

Introdução ao Val IT

O Val IT é baseado no COBIT, estendendo e complementando-o, orientado para a dimensão do valor da


entrega, o Val IT foca especificamente:
 Nas decisões de re-investimento (estamos fazendo as coisas certas)
 Na realização dos benefícios (estamos obtendo os benefícios?)

A Meta do Val IT:


A meta da iniciativa do Val IT é ajudar a administração a garantir que as organizações entendam o valor
máximo dos investimentos que permitam a sustentação dos negócios a um custo acessível a um nível
aceitável de riscos

Os princípios do Val IT estão detalhados abaixo:


 Investimentos permitidos pela TI serão gerenciados como um portfólio de investimentos.
 Permitir os investimentos de TI que incluam o escopo completo de atividades necessárias para atender
aos negócios.
 Investimentos permitidos pela TI serão gerenciados através de todo o seu ciclo de vida econômico.
 As práticas de entrega de valor irão reconhecer que existem categorias de investimentos diversas que
serão avaliadas e gerenciados
diferentemente.
 As práticas de entrega de valor irão definir e monitorar indicadores
chave capazes de responder rapidamente a quaisquer mudança ou divergências.
 As práticas de entrega de valor devem engajar todos os patrocinadores e
definir uma prestação de contas apropriada para a entrega das competências
para a obtenção de benefícios de negócios.
 As práticas de entrega de valor serão continuamente monitoradas, avaliadas e melhoradas.

Val IT é baseado nos ―Quatro Estamos‖ , exploram as questões fundamentais dos valores a serem entregues
por TI.

Pág: 14/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
Estrutura de Processo:

O diagrama abaixo mostra a estrutura dos três processos do VAL IT e suas práticas de gerenciamento.
Valor da Governança (Value Governance)
VG1 Garante a informação e o compromisso com a liderança.
VG2 Define e implementa processos.
VG3 Define Papéis e Responsabilidades.
VG4 Garante a aceitação apropriada das responsabilidades.
VG5 Define os requisitos de informação.
VG6 Estabelece os requisitos a ser reportado.
VG7 Estabelece a estrutura organizacional.
VG8 Estabelece a direção estratégica.
VG9 Define as categorias de investimento.
VG10 Determina e objetiva o Portfólio associado.
VG11 Define os critérios de avaliação por categoria.

Gerenciamento do Investimento (Investment Management)


IM1 Desenvolve um plano de alto-nível das oportunidades de investimento.
IM2 Desenvolve um programa inicial conceituado em business case.
IM3 Desenvolve um entendimento claro do programa candidato.
IM4 Executa analises alternativas.
IM5 Desenvolve um plano de programa.
IM6 Desenvolve um plano de realização de benefícios.
IM7 Identifica o ciclo completo de custos e benefícios.
IM8 Desenvolve um business case detalhado.
IM9 Associa propriedade e responsabilidades.
IM10 Inicia, planeja e lança o programa.
IM11 Gerencia o programa.
IM12 Gerencia e rastreia os benefícios
IM13 Atualiza o business case.

Pág: 15/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
IM14 Monitora e reporta a performance do programa.
IM15 Encerra o programa.

Gerenciamento do Portfólio (Portfólio Management)


PM1 Mantém um inventário sobre os recursos humanos.
PM2 identifica os recursos requeridos.
PM3 Executa um gap analysis.
PM4 Desenvolve um plano de recursos.
PM5 Exigências de recurso de monitor e utilização.
PM6 Estabelece limites de investimento.
PM7 Avalia o programa inicial concebido pelo business case.
PM8 Avalia e atribui pontuações relativas ao business case.
PM9 Cria uma visão geral do portfólio
PM10 Faz e comunica as decisões de investimento.
PM11 Lançamento em fases do programa escolhido.
PM12 Otimizar a performance do portfólio
PM13 Repriorizar o portfólio
PM14 Monitorar e reportar a performance do portfólio

Os processos expandem os processos dos domínios Planejar e Organizar e ME do COBIT, especialmente


aqueles relacionados a:
 Estratégias de TI e do Negócio
 Gerenciamento de Investimentos
 Portfólio de programas e gerenciamento de projetos
 Monitorar e avaliar o valor da entrega
A estrutura do Val IT framework provê uma referência cruzada ao COBIT.

Resumo:

 O COBIT satisfaz as seguintes características da estrutura de controle:


o Orientado a processos
o Focado em negócios
o Linguagem comum
o Aceitabilidade geral
o Atende a requisitos regulatórios

 O COBIT conecta riscos de negócios, controla necessidades e requisitos técnicos. Provê boas práticas
através de uma estrutura de domínios e processos. Também apresenta atividades em uma estrutura lógica
e gerenciável.
 A audiência para o COBIT inclui gerenciamento de negócios, auditores e gestores de TI.

 Os três principais componentes da estrutura do COBIT são:


o Recursos de TI
o Processos de TI
o Requerimentos de negócios

 Os três componentes da estrutura do COBIT combinam para formar um método holístico de analisar e
definir os requisitos de TI em uma organização.

 O modelo de maturidade mede a capacidade dos processos.

 O COBIT define as atividades de TI em um modelo de processo genérico dentro de quatro domínios:


o Planejamento e Organização
o Aquisição e Implementação
o Entrega e Suporte
o Monitoração e Avaliação

 A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega.

Pág: 16/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 Diretrizes de gerenciamento fornecem:
o Entradas e saídas de processos
o Atividades de processos e gráficos RACI.
o Negócios, TI, processo, e metas de atividade.
o Métricas – Indicadores chave de meta e performance.
o Modelos de Maturidade.

Os Processos:

Estrutura do Cobit – Processos:

Cada processo de TI do COBIT possui:


o Um requisito de negócio que a TI satisfaça.
o Metas chave em que se focar.
o Controles chave que ajudem a alcançar as metas.
o Métricas chave que ajudem a medir a performance.
o Objetivos de controle detalhados.

Cada processo de TI do COBIT:


 Está mapeado para critérios de informação, Recursos de TI, e governança de TI usando:
o P - Relacionamento Primário.
o S - Relacionamento Secundário.
o Em branco para indicar que os requisitos são satisfeitos mais apropriadamente por outro critério
e/ou por outro processo.
 Possui entradas e saídas de processos e um gráfico RACI.
 Possui um modelo de maturidade.

Objetivos de Controle:
Cada processo tem um objetivo de controle de alto nível e objetivos de controles detalhados.

As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócios no mesmo
nível. O framework do COBIT define três níveis:
 Primário: O objetivo de controle definido impacta diretamente no critério de informação.
 Secundário: O objetivo de controle definido satisfaz apenas o critério de informação que se interessa
apenas com a extensão menor ou indiretamente.
 Em branco: Isto poderia ser aplicável. Entretanto, os requisitos são satisfeitos mais apropriadamente
por outro critério neste processo.

O que é Objetivo de Controle ?

Pág: 17/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
Uma declaração do resultado desejado ou proposta a ser alcançada implementando procedimentos de controle
em uma atividade em particular.

As práticas de Controle:
As práticas de controle de TI estendem a estrutura do COBIT fornecendo um nível adicional de ajuda quando
olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o
que precisa ser feito para implementar uma estrutura de controle eficaz. As práticas de controle fornecem um
nível de detalhe adicional, se necessário.

Processo: PO10 – Gerenciar Projeto:


Descrição do Processo:

Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI.
Este framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve
incluir um plano mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma
abordagem em fases para as entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões
pós-implementação após da instalação para assegurar o gerenciamento de risco e a entrega do valor para o
negócio. Esta abordagem reduz o risco de custos não esperados e cancelamento de projetos, aumenta a
comunicação com os envolvidos do negócio e usuários finais, assegura o valor e a qualidade dos entregáveis
do projeto e maximiza a contribuição de programas que habilitam investimentos em TI.

Controle sobre o processo de TI:


Gerenciar Projeto

Que satisfaz os requisitos de negócio:


A entrega dos projetos resulta em cronogramas, orçamento e qualidade acordados

focando nas
Um programa definido e um modelo de gerenciamento de projeto que são aplicadas ao projeto de TI ,
que habilita a participação dos patrocinadores, no monitoramento de riscos e progresso dos projetos.

É alcançado pelas
 Definir e impor programas e frameworks de projetos e abordagens
 Liberar diretrizes de gerenciamento de projetos
 Executar planejamento de projeto para cada projeto detalhado no portfólio dos projetos

É medido por
 Porcentagem de projetos que alcançam as expectativas dos acionistas, ou seja, em tempo, dentro do
orçamento, e requisitos de alcance, medidos pela importância
 Porcentagem de projetos recebendo revisão pós implementação.
 Porcentagem de projetos seguindo os padrões e práticas de gerenciamento de projeto

Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio)

Mapeamento com as Áreas de Foco de Governança de TI:


Primário:
- Alinhamento Estratégico
Secundário:
- Agrega Valor, Gerenciamento de Riscos, Gerenciamento de Recursos e Medição de Performance

Mapeamento com os Recursos de TI


- Aplicações, Infra-estrutura e Pessoas

Mapeamento com os Critérios de Informação:


Primário:
- Eficácia e Eficiência

Pág: 18/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
Branco:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade

Objetivos de Controle:
Objetivos de controle são declarações de gerenciamento de melhores práticas baseados em padrões globais e
na visões de peritos.

Objetivos de e Controle:
PO10.1 Estrutura de Gerenciamento de Programa
PO10.2 Estrutura de Gerenciamento de Projeto
PO10.3 Abordagem de Gerenciamento de Projeto
PO10.4 Comprometimento dos Participantes
PO10.5 Escopo do Projeto
PO10.6 Fase de Início do Projeto
PO10.7 Planejamento do Projeto Integrado
PO10.8 Recursos do Projeto
PO10.9 Gerenciamento de Riscos do Projeto
PO10.10 Planejamento da Qualidade do projeto
PO10.11 Controle de Mudanças no Projeto
PO10.12 Métodos de Planejamento de Garantia do Projeto
PO10.13 Avaliação, Relatórios e Monitoramento do Desempenho do Projeto
PO10.14 Conclusão do Projeto

Os requisitos de controle genéricos para os processos do COBIT são:


 PC1: Dono do processo — Definir um dono para cada processo do COBIT para que a responsabilidade
esteja clara.
 PC2: Repetibilidade — Definir cada processo do COBIT para que seja repetível.
 PC3: Metas e Objetivos — Estabelecer metas e objetivos claros para cada processo do COBIT para uma
execução eficaz.
 PC4: Papéis e Responsabilidades — Definir papéis, atividades e responsabilidades sem ambigüidade
para cada processo do COBIT para uma execução eficiente.
 PC5: Performance do processo — Medir a performance para cada processo do COBIT versus suas
metas.
 PC6: Política, planos e procedimentos —Documentar, revisar, manter atualizado, assinar, e comunicar a
todas as partes relacionadas qualquer política, plano ou procedimento que endereça um processo COBIT.

Matriz RACI identifica quem é Responsável, Cobrado, Consultado e/ou Informado

Pág: 19/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Entrada e Saída de processo:


 Cada processo está ligado a outros processos. As entradas são entregáveis que um processo requer de
outros processos.
 Saídas são entregáveis que um processo fornece para outros.

Entradas e Saída do processo PO10:

Entradas:
PO1 – Portfólio do Projeto
PO5 – Portfólio de projeto de TI atualizado
PO7 – Matriz de Habilidades de TI
PO8 – Padrões de Desenvolvimento
AI7 – Revisão pós-implementação

Saídas:
Relatório de performance de projeto – ME1
Plano de Gerenciamento de risco de projeto – PO9
Diretrizes de gerenciamento de projeto – AI1, AI7
Planos de projeto de detalhados – PO8, AI1, AI7 e DS6
Portfólio de projeto de TI atualizado – PO1 e PO5

Indicadores:
Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0):
Define medidas que informam aos gestores – após o fato – que indicam se uma função, processo ou atividade
alcançou suas metas. Indicadores de resultado das funções de TI são freqüentemente expressas em termos
de critérios de informação relevantes, como:
 Disponibilidade da informação necessária para suportar as necessidades de negócios.
 Ausência de riscos de integridade e confidencialidade.
 Eficiência de custo de processos e operações.
 Confirmação de confiabilidade, eficácia, e conformidade.

Indicadores de Performance (Key Performance Indicators, KPI, no COBIT 4.0):


Indicadores de performance definem medidas que determinam quão bem negócios, funções de TI ou
processos estão atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poderá ou não

Pág: 20/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
ser alcançada. Com freqüência medem disponibilidades ou capacidades, práticas e/ou habilidades além dos
resultados de atividades de sustentação.
Nota: Indicadores de resultado de baixo nível tornam-se indicadores de performace de alto nível.

Indicadores de Meta Chaves – PO10


O COBIT define dois níveis de medidas de resultado: um para o departamento de TI (resultados de TI) e um
para o processo de TI (métrica do resultado do processo).

PO10: Gerenciar Projetos


Indicadores de resultado de TI:
 Porcentagem de projetos que atendem as expectativas dos acionistas – em tempo, dentro do
orçamento, e alcançando os requisitos – determinados pela importância
Indicador de Resultado de Processo:
 Porcentagem de projetos a tempo e dentro do orçamento
 Porcentagem de projetos alcançando as expectativas dos acionistas

Indicadores de Performance – PO10


Comentário: Estas são medidas de resultados para as atividades e indicadores de desempenho do processo
PO10
 % de projetos que seguem os padrões e práticas de gerenciamento.
 % de gerentes de projetos certificados ou treinados.
 % de projetos recebendo revisões pós-implementação.
 % de acionistas (stakeholders) participando em projetos, o que representa um índice de envolvimento.

Metas e Métricas do PO10:

Pág: 21/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
Modelo de Maturidade:

Nível de Maturidade Descrição


O – Não Existente Técnicas de gerenciamento de projeto não são utilizadas e a organização
não considera os impactos dos negócios associado com a falta de
gerenciamento de projeto e falhas de desenvolvimento de projeto.

1 – Inicial O uso das técnicas e abordagens de gerenciamento de projeto dentro da TI


é uma decisão tomada somente pelos gerentes de TI. Há uma falta de
comprometimento gerencial com a responsabilidade e gerenciamento do
projeto. Decisões críticas do gerenciamento do projeto são tomadas sem o
envolvimento de usuários ou necessidades de cliente. Há pouco ou
nenhum envolvimento do cliente ou envolvimento do usuário na definição
dos projetos de TI. Não há uma organização clara dentro da TI para o
gerenciamento dos projetos. Papéis e responsabilidades para o
gerenciamento dos projetos não são definidos. Projetos, cronogramas e
marcos são fracamente definidos, se definidos. As despesas e o tempo da
equipe do projeto não são revisados e comparados ao orçamento.

2 – Repetitível O Gerenciamento sênior ganhou e comunicou uma consciência da


necessidade do gerenciamento de projeto de TI. A organização está no
processo de desenvolvimento e utilização de algumas técnicas e métodos
de projeto para projeto. Os projetos de TI definiram informalmente os
objetivos técnicos e de negócios. As diretrizes iniciais foram desenvolvidas
para muitos aspectos do gerenciamento de projeto. A aplicação das
diretrizes de gerenciamento de projeto foi deixada para discrição do
gerente de projeto individual.

3 – Definido O processo e metodologia do gerenciamento de projeto de TI foi


estabelecido e comunicado. Os projetos de TI são definidos com objetivos
técnicos e de negócios apropriados. TI sênior e gerenciamento de negócios
estão começando a se comprometer e se envolver no gerenciamento de
projetos de TI. Um escritório de gerenciamento de projeto é estabelecido
dentro da TI, com papéis e responsabilidades iniciais definidos. Os projetos
de TI são monitorados, com marcos, horários e orçamentos e medição de
performance. O treinamento de gerenciamento de projeto está disponível e
é primariamente um resultado das iniciativas individuais da equipe.
Procedimentos de segurança de qualidade e atividades pós-implementação
de sistema foram definidas mas não são totalmente aplicadas pelos
gerentes de TI. Os projetos estão começando a ser gerenciados como
portfólios.

4 – Gerenciado O gerenciamento requer métricas de projeto formais e padronizadas e uma


revisão de lições aprendidas na conclusão dos projetos. O gerenciamento
de projeto é medido e avaliado através da organização e não apenas
dentro da TI. Avanços no processo de gerenciamento de projeto são
formalizados e comunicados com membros da equipe do projeto treinados
em crescimentos. O gerenciamento de TI implementou uma estrutura de
organização de projeto com papéis documentados, responsabilidades, e
critérios de performance da equipe. Critérios para avaliar o sucesso em
cada missão que for estabelecida. Valor e risco são medidos e
gerenciados antes, durante e depois da conclusão dos projetos. Os
projetos crescentemente endereçam as metas da organização, mais do que
apenas específicos para TI. O suporte de projeto forte e ativo para o
gerenciamento de patrocinadores sênior assim como acionistas. Um
treinamento relevante para gerenciamento de projetos é planejado para
funcionários no escritório de gerenciamento de projeto e através da função
de TI.

5 – Otimizado Um projeto de ciclo de vida completo e aprovado e uma metodologia de


programa é implementada, imposta, e integrada na cultura de toda a
organização. Uma iniciativa contínua para identificar e institucionalizar as
melhores práticas de gerenciamento de projeto foi implementado. Uma

Pág: 22/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
estratégia de TI para buscar desenvolvimento e projetos operacionais é
definido e implementado. Um escritório de gerenciamento de projeto
integrado é responsável por projetos e programas desde o princípio até a
pós-implementação. Um planejamento organizacional completo de
programas e projetos garante que o usuário e os recursos de TI são melhor
utilizados para dar suporte a iniciativas estratégicas.

Processo: DS2 - Gerenciar Serviços de Terceiros


Descrição do Processo:

A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer
um processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente
definidos, responsabilidades e expectativas em acordos com terceiros, como também com revisão e
monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de serviços de
terceiros minimiza os riscos de negócio associados com fornecedores não conformes.

Controle sobre o processo de TI:


Gerenciar Serviços de Terceiros

Que satisfaz os requisitos de negócio:


Fornecendo prestação satisfatória de serviços de terceiros, com transparência sobre os benefícios,
custos e riscos

focando nas
Estabelecendo relações e responsabilidades bilaterais com os fornecedores de serviços da terceiros
qualificados e acompanhamento da prestação de serviços para verificar e assegurar a aderência aos
acordos

É alcançado pelas
 Identificação e categorização de Fornecedores de Serviços
 Identificação e mitigação de risco da prestação de serviços por fornecedores
 Monitorando e mensurando a performance dos fornecedores

É medido por
• Número de reclamações de usuários de serviços contratados
• Porcentagem de maiores fornecedores que atendem requerimentos e níveis de serviço claramente
definidos
• Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano

Área de Governança, Recursos e Critério de Informação (Requisitos de Negócio)

Mapeamento com as Áreas de Foco de Governança de TI:


Branco:
- Alinhamento Estratégico
Primário:
- Agrega Valor e Gerenciamento de Riscos
Secundário:
- Gerenciamento de Recursos e Medição de Performance

Mapeamento com os Recursos de TI


- Aplicações, Informação, Infra-estrutura e Pessoas

Mapeamento com os Critérios de Informação:


Primário:
- Eficácia e Eficiência
Secundário:
- Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade

Pág: 23/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Objetivos de Controle Detalhados:

DS2.1 Identificação de todos os Relacionamentos com Fornecedores

Identificar todos os fornecedores de serviço e categoriza estes de acordo com tipo de fornecimento,
significância e criticidade. Manter uma documentação formal sobre relacionamentos técnicos e
organizacionais, cobrindo os papeis e responsabilidades, metas, entregáveis esperados e credenciamento de
representantes destes fornecedores.

DS2.2 Gerenciamento de Relacionamento com Fornecedores

Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os
proprietários dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a
qualidade dos relacionamentos baseados em confiança e transparência (p.ex. através de SLAs).

DS2.3 Gerenciamento de Riscos dos Fornecedores

Identificar e mitigar riscos relacionados às habilidades dos fornecedores de continuar com a entrega de
serviços efetivos, numa maneira seguro e eficiente, como também em base continuou. Assegura contratos
conforme padrões universais de negócio e em concordância com requerimentos legais e regulamentos. O
gerenciamento de risco deve considerar também acordos de não conformidade (ANCs), custódia contratual,
viabilidade de fornecimento continuou, conformidade com requerimentos de segurança, fornecedores
alternativos, penalidades e recompensas, etc.

DS2.4 Monitoramento de Desempenho de Fornecedores

Estabeleça um processo para monitorar a entrega do serviço para assegurar que o fornecedor atende os
requerimentos atuais de negócio e continuam aderente aos acordos contratuais e acordos de níveis de serviço
e que o desempenho é competitivo em relação de fornecedores alternativos e condições de mercado.

Entradas e Saídas:

Entradas:
 PO1 - Estratégia de Sourcing de TI
 PO8 - Padrão de Aquisição
 AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros
 DS1 - SLAs, Revisão do relatório de contrato
 DS4 - Requisitos de Serviços de Desastres, incluindo papéis e responsabilidades

Saídas:
 Relatório de performance de processos - ME1
 Catálogo de Fornecedores - AI5
 Risco de Fornecedores - PO9

Pág: 24/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
Matriz RACI: (Atividades e Funções)

Metas e Métricas DS2

Pág: 25/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Modelo de Maturidade:

Nível de Maturidade Descrição


O – Não Existente Responsabilidades e obrigações não estão definidas. Não existem políticas
formais e procedimentos relativos ao contratar terceiros
Serviços de terceiros não são aprovados nem revistos pela administração. Não
há atividades de medição e não informações sobre terceiros. Ausência de uma
obrigação contratual para a comunicação e a alta administração não tem
conhecimento da qualidade dos serviços prestado.

1 – Inicial Administração está consciente da necessidade de ter políticas e procedimentos


documentados para a gestão de terceiros, incluindo os contratos assinados. Não
existem cláusulas de acordos com prestadores de serviços. A medição dos serviços
prestados é informal e reativa. Práticas são dependentes da experiência dos
indivíduos e do fornecedor.
2 – Repetitível O processo para a supervisão dos terceiros, prestadores de serviço e riscos
associados à prestação de serviços é informal. A assinatura, pró-forma do contrato é
usado para vender termos e condições padrão (por exemplo, a descrição dos
serviços a serem prestados). Relatórios sobre os serviços prestados estão
disponíveis, mas não oferecem suporte a objetivos de negócio.

3 – Definido Procedimentos bem documentados estão disponíveis para governar serviços de


terceiros, com processos claros para habilitar a negociação com fornecedores.
Quando um acordo para a prestação de serviços é feito, a relação com o terceiro, é
puramente contratual.
A natureza dos serviços a serem prestados são detalhados no contrato e inclui
requisitos legais, operacionais e de controle. A responsabilidade pela fiscalização
dos serviços de terceiros é atribuído. As cláusulas contratuais são baseados em
modelos padronizados. O risco de negócio associadas ao serviços de terceiros são
avaliados e comunicados.

4 – Gerenciado Critérios formais e normalizados são estabelecidos para definir as condições de


contratação, incluindo o âmbito do trabalho, serviços / produtos que deverão ser
fornecidos, suposições, cronograma, custos, condições de pagamento e
responsabilidades. Responsabilidades em matéria de contratos e gestão de
fornecedores são atribuídos. Qualificações dos vendedores, riscos e potencialidades
são verificados em uma base contínua. Requisitos do serviço são definidos e
vinculados ao objetivos do negócio. Existe um processo para analisar o
desempenho do serviço contra as cláusulas contratuais, fornecendo atributos para
avaliar serviços de atuais e futuros de terceiros. Modelos de preços de transferência
são utilizados no processo de aquisição.
Todas as partes envolvidas estão conscientes do serviço, custos e expectativas de
marco. Acordados metas e métricas para a fiscalização dos prestadores de serviços
existentes.

5 – Otimizado Os contratos assinados com terceiros são revisados periodicamente em intervalos


pré-definidos. A responsabilidade pela gestão de fornecedores e da qualidade dos
serviços prestados é atribuída. Evidencia do cumprimento do contrato de
operacionais, legais e administrativas de controle é monitorado, e ação corretiva é
executada. O terceiro está sujeito a revisões periódicas independentes, e feedback
sobre o desempenho é fornecida e utilizada para melhorar a prestação de serviços.
Medidas variam em resposta a mudanças nas condições de negócios. Medidas de
apoio a detecção preventiva de problemas potenciais com serviços de terceiros.
Compreensivo, definidos relatórios de desempenho de nível de serviço está
relacionada com a compensação de terceiros. Gestão ajusta o processo de aquisição
de serviços terceiros com base no monitoramento das métricas.

Pág: 26/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Descrição dos Demais Processos:

PLANEJAR E ORGANIZAR

PO1 Definir um Plano Estratégico de TI


O planejamento estratégico é requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratégias e
prioridades do negócio. A função da TI e os stakeholders do negócio são responsáveis para assegurar que um valor
otimizado é realizado através dos portfólios dos projetos e serviços. O plano estratégico deve aumentar a compreensão
dos stakeholders chaves em relação das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nível
de investimentos requeridos. A estratégia e as prioridades do negócio devem ser refletidas nos portfólios e executadas
através dos planos táticos da TI, os quais estabeleçam objetivos concisos, planos e tarefas compreendidas e aceitos pelo
negócio e da TI.

PO2 Definir a Arquitetura de Informação


A função dos sistemas de informação deve criar e atualizar regularmente um modelo de informação de negócio e definir
os sistemas apropriados para otimizar o uso da informação. Isso inclua o desenvolvimento de um dicionário coorporativo
de dados com as regras de sintaxe da organização, esquema de classificação de dados e níveis de segurança. Este
processo melhora a qualidade de decisões feitas pelas gerencias e assegura que informações confiáveis e seguras são
providas e isso habilita de racionalizar recursos de sistemas de informação para atender apropriadamente as estratégias
de negócio. Este processo da TI também necessita de aumentar a responsabilidade sobre a integridade e segurança dos
dados e melhorar a efetividade e controle sobre o compartilhamento de informação através de aplicações e entidades.

PO3 Determinar a Direção Tecnológica


A função dos serviços de informação deve determinar a direção tecnológica para suportar o negócio. Isso requer a
criação de um plano da infra-estrutura tecnológica e um comitê de arquitetura que fixa e gerencia expectativas claras e
realísticas o que a tecnologia pode oferecer em termos de produtos, serviços e mecanismos de entrega. O plano deve ser
atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direção tecnológica, planos de aquisição,
padrões, estratégias de migração e contingência. Isso habilita uma resposta em tempo para mudar para um ambiente
competitiva, economias em escala com o pessoal e os investimentos em sistemas de informação e um investimento que
melhora a interoperabilidade de plataformas e aplicações.

PO4 Definir Processos de TI, Organização e Relacionamento


Uma organização da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funções,
responsabilidade, autoridade, papeis e supervisão. Esta organização deve estar embutida dentro um framework de
processos da TI que asseguram transparência e controle, como também envolvem os executivos sênior e gerentes de
negócio. Um comitê estratégico deve assegurar uma visão geral da TI e um ou mais comitês de direção, em quais os
participantes do negócio e da TI devem determinar a priorização dos recursos da TI em linha com as necessidades do
negócio. Processos, políticas e procedimentos administrativos necessitam de ser implementadas para todas as funções,
com atenção especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurança de informação,
propriedade para dados e sistemas e segregação de direitos. Para assegurar um suporte em tempo para os
requerimentos do negócio, a TI deve estar envolvida em processos relevantes de decisão.

PO5 Gerenciar o Investimento em TI


Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos,
benefícios, priorização nos orçamentos, um processo formal de orçamentos e gerenciamento em relação dos orçamentos.
Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefícios dentro do contexto dos planos
estratégicos e táticos da TI e iniciar ações corretivas quando necessárias. O processo deve favorecer os relacionamentos
entre a TI e stakeholders do negócio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparência e
responsabilidade nos custos totais de propriedade, a relação do beneficio para o negócio e o retorno sobre investimentos
que habilitam a TI.

Pág: 27/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

PO6 Comunicar Metas e Diretivas Gerenciais


A administração deve desenvolver um framework de controle empresarial da TI e definir e comunicar políticas. Um
programa continua de comunicação deve ser implementada para articular a missão, objetivos de serviço, políticas e
procedimentos, etc. aprovados e suportados pela administração. A comunicação suporta o atingimento dos objetivos da TI
e assegura conscientização e compreensão em relação do negócio e os riscos, objetivos e a direção da TI. O processo
deve assegurar a conformidade com leis e regulamentos.

PO7 Gerenciar Recursos Humanos


Adquire, mantêm e motiva uma força de trabalho competente para criar e entregar serviços da Ti para o negócio. Isso é
atingido seguindo praticas definidos e acordadas que suportam o recrutamento, treinamento, avaliação do desempenho,
promoção e demissão. Este processo é critico, como as pessoas são um ativo e de governança importante e o ambiente
interno de controle depende bastante da motivação e competência do pessoal.

PO8 Gerenciar Qualidade


Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de
desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado através do planejamento, implementação e
manutenção do sistema de qualidade que provêm requerimentos claros de qualidade, procedimentos e políticas.
Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificáveis e atingíveis.
Melhorias contínuas são atingidas através de um monitoramento operacional, analises e ações sobre desvios e a
comunicação dos resultados para os stakeholders. Gerenciamento da qualidade é essencial para assegurar que a TI
entrega valor para o negócio, melhorias contínuas e transparência para stakeholders.

PO9 Avaliar e Gerenciar Riscos


Criar e manter um framework de gerenciamento de riscos. O framework documenta um nível de riscos da TI comum e
acordado, estratégias de mitigação e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da
organização, causada por eventos não planejados, deve ser identificado, levantado e avaliado. Estratégias de mitigação
de riscos devem ser adotadas para minimizar riscos residuais ao um nível aceitável. O resultado da avaliação deve ser
compreensível para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos
com um nível aceitável de tolerância.

PO10 Gerenciar Projetos


Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este
framework deve assegurar a correta priorização e coordenação de todos os projetos. O framework deve incluir um plano
mestre, atribuição de recursos, definição de entregáveis, aprovações pelos usuários, uma abordagem em fases para as
entregáveis, garantia de qualidade, um plano formal de teste, testes e revisões pós-implementação após da instalação
para assegurar o gerenciamento de risco e a entrega do valor para o negócio. Esta abordagem reduz o risco de custos
não esperados e cancelamento de projetos, aumenta a comunicação com os envolvidos do negócio e usuários finais,
assegura o valor e a qualidade dos entregáveis do projeto e maximiza a contribuição de programas que habilitam
investimentos em TI.

ADQUIRIR E IMPLEMENTAR

AI1 Identificar soluções automatizadas


A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou criação para assegurar que
os requerimentos do negócio são satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definição das
necessidades, considerando fontes alternativas, revisão da viabilidade tecnológica e econômica, execução de an álise de
risco e análise de custo / beneficio e a conclusão de uma decisão final de ―fazer‖ ou ―comprar‖. Todos estes passos

Pág: 28/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
habilitam a organização de minimizar os custos de adquirir e implementar soluções, enquanto asseguram que estes
habilitam o negócio de atingir seus objetivos.

AI2 Adquirir e manter software aplicativo


Aplicações devem estar disponíveis em linha com os requerimentos de negócio. Este processo envolve o desenho de
aplicações, a inclusão apropriada de controles de aplicação e requerimentos de segurança e o atual desenvolvimento e
configuração conforme os padrões. Isso permita as organizações de suportar apropriadamente as operações de negócio
com as corretas aplicações automatizadas.

AI3 Adquirir e manter arquitetura tecnológica


Organizações devem haver um processo para a aquisição, implementação e atualização da infra-estrutura tecnológica.
Isso requer uma abordagem planejada para a aquisição, manutenção e proteção da infra-estrutura em linha com as
estratégias tecnológicas acordadas e a provisão de ambientes de desenvolvimento e teste. Isso assegura que o suporte
tecnológico operacional suporta as aplicações de negócio.

AI4 Manter operação e uso


Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produção de documentação
e manuais para usuários e TI e prover treinamento que assegura o uso e a operação apropriado de aplicações e infra-
estrutura.

AI5 Obter Recursos de TI


Recursos de TI, inclusive pessoas, hardware, software e serviços, necessitam ser obtidos. Isso requer uma definição e
sanção de procedimentos de aquisição, a seleção de fornecedores, a realização de arranjos contratuais e a aquisição em
se. Fazer assim assegura que a organização tem todos os recursos de TI requeridos em tempo e de maneira efetivo em
custo.

AI6 Gerenciar mudanças


Todas as mudanças, inclusive mudanças emergenciais e correções, relacionados à infra-estrutura e aplicações dentro de
um ambiente de produção precisam ser gerenciados formalmente de uma maneira controlada. Mudanças (incluindo
procedimentos, processos, sistemas e parâmetros de serviços) precisam ser registradas, avaliados e autorizadas antes
de implementar e revisados em relação dos resultados planejados em seguida da implementação. Isso assegura a
mitigação de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

AI7 Instalar e certificar Soluções e Mudanças


Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento é completo. Isso requer testes
apropriados em um ambiente dedicado com dados de teste relevantes, definição da introdução e instruções de migraç ão,
planejamento de liberações, promoção atual para a produção e revisões pós-implementação. Isso assegura que sistemas
operacionais estão em linha com as expectativas e resultados acordados.

Pág: 29/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
ENTREGAR E SUPORTAR

DS1 Definir níveis de Serviços


Comunicação efetiva entre a gerência da TI e os clientes do negócio, em relação dos serviços requeridos, é habilitado
através da documentação e o acordo de serviços da TI e níveis de serviços. Este processo também inclua o
monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos níveis de serviços. Este processo
habilita o alinhamento entre os serviços da TI o os requerimentos de negócio associados.

DS2 Gerenciar Serviços de Terceiros


A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um
processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos
para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio
associados com fornecedores não conformes.

DS3 Gerenciar Performance e Capacidade


A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever
periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previsão das futuras
necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingência. Este processo provém
a garantia que os recursos da informática, que suportam os requerimentos de negócio, são continuamente avaliados.

DS4 Garantir Continuidade dos Serviços


A necessidade de prover serviços contínuos de TI requer o desenvolvimento, manutenção e testes de planos de
continuidade da TI, armazenamento externo de backup e treinamento periódico para o plano de continuidade. Um
processo efetivo da continuidade de serviço minimiza a probabilidade e o impacto de interrupções maiores de serviço
sobre funções e processos de negócio.

DS5 Garantir Segurança dos Sistemas


A necessidade de manter a integridade da informação e proteger os ativos da TI requer um processo de gerenciamento
de segurança. Este processo inclui de estabelecer e manter papeis e responsabilidades, políticas, padrões e
procedimentos da segurança de TI. Gerenciamento da segurança também inclui realizar monitoramento da segurança,
testes periódicos e implementar ações corretivas para identificar fraquezas ou incidentes de segurança. Um
gerenciamento efetivo de segurança proteja todos os ativos da TI para minimizar o impacto sobre o negócio das
vulnerabilidades e incidentes de segurança.

DS6 Identificar e Alocar Custos


A necessidade para um justo e imparcial sistema de alocar custos para o negócio requer a medição exata de custos da TI
e acordos com usuários de negócio para uma alocação correta. Este processo inclua a criação e operação de um sistema
de captura, alocação e reporte dos custos da TI para os usuários de serviços. Um sistema justo de alocação habilita o
negócio de fazer mais decisões informadas em relação do uso de serviços da TI.

DS7 Educar e Treinar usuários


Educação efetiva de todos os usuários de sistemas de TI, incluindo estes dentro da TI, requer a identificação das
necessidades de treinamento de cada grupo de usuários. Em adição da identificação da necessidade, este processo
inclua a definição e execução de uma estratégia para um treinamento efetivo e medição de resultados. Um programa
efetivo de treinamento aumenta o uso efetivo da tecnologia com a redução de erros de usuários, aumenta a produtividade
e aumenta a conformidade com controles chaves como as medidas de segurança de usuários.

DS8 Gerenciar Service Desk (Central de Serviços) e Incidentes


Respostas em tempo e efetivos para as perguntas e problemas dos usuários da TI requerem uma central de serviço bem
desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementação da
função da central de serviços com registro, escalação, tendências, análise de causas raiz e resolução de incidentes. O
benefício para o negócio inclua um aumento de produtividade através da resolução rápido das perguntas dos usuários.
Em adição, o negócio pode endereçar causas raiz (como um pobre treinamento de usuários) através de um reporte
efetivo.

Pág: 30/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
DS9 Gerenciar a Configuração
Assegurar a integridade da configuração de hardware e software requer de estabelecer e manter um preciso e completo
repositório da configuração. Este processo inclua a coleta inicial de informação da configuração, estabelecer referências,
verificar e auditar a informação da configuração e atualizar o repositório da configuração quando necessário.
Gerenciamento efetivo da configuração facilita a disponibilidade maior do sistema, minimizar assuntos de produção e
resolver estes assuntos mais rápidos.

DS10 Gerenciar Problemas


Um gerenciamento efetivo de problemas requer a identificação e classificação de problemas, análise da causa raiz e
resolução de problemas. O processo do gerenciamento de problemas também inclua a identificação de recomendações
para melhorar a manutenção de registros de problemas e revisar o status de ações corretivas. Um processo do
gerenciamento de problemas efetivo melhora níveis de serviço, reduz custos e melhora a conveniência e satisfação.

DS11 Gerenciar Dados


Gerenciamento efetivo de dados requer a identificação de requerimentos para dados. O processo de gerenciamento de
dados também inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mídias, backup e recuperação e
disponibilizar mídias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e
disponibilidade de dados do negócio.

DS12 Gerenciar os Ambientes Físicos


A proteção para equipamentos de computação e pessoal requer instalações bem desenhadas e bem gerenciadas. O
processo de gerenciar o ambiente físico inclua de definir os requerimentos para um lugar físico, seleção de instalações
apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso físico.
Gerenciamento efetivo do ambiente físico reduz interrupções do negócio devida de danos nos equipamentos de
computação e no pessoal.

DS13 Gerenciar Operações


Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manutenção
de hardware. Este processo inclua a definição de políticas e procedimentos operacionais para um gerenciamento efetivo
da programação do processamento, proteção de output sensitivo, monitoramento da infra-estrutura e manutenção
preventiva de hardware. Gerenciamento efetivo da operação ajuda de manter a integridade de dados e reduz atrasos no
negócio e custos da operação da TI.

MONITORAR E AVALIAR

ME1 Monitorar e Avaliar a Performance de TI


Assegura que a administração estabeleça um framework geral de monitoramento e uma abordagem que defina o escopo,
metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do
gerenciamento do portfólio empresarial e processos de programas gerenciais e estes processos que são específicos para
entregar as competências e serviços da TI. O framework deve estar integrado com o sistema de gerenciamento de
desempenho da companhia.

ME2 Monitorar e Avaliar Controle Interno


Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoração bem
definido. Este processo inclui monitoração e reporte de exceções de controle, resultados da auto-avaliação e
revisão de fornecedores (terceiros). Um benefício principal do controle interno de monitoração é fornecer
segurança relacionada à eficiência e eficácia das operacionais e conformidade com leis e regulamentos.

ME3 Assegurar Conformidade Regulatória


Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão independente para
garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, ética
profissional e padrões, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento
das atividades de auditoria. O propósito deste processo é fornecer uma garantia positiva relacionada à
conformidade da TI com leis e regulamentos.

Pág: 31/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
ME4 Fornecer Governança de TI
Estabelecer um framework efetivo de governança, incluindo a definição de estruturas organizacionais, processos,
liderança, papeis e responsabilidades para assegurar que os investimentos em TI empresarial são alinhados e entregas
de acordo com as estratégias e objetivos empresariais.

Cobit e Outros Padrões

COBIT e Outros Padrões:

O COBIT é baseado em acomodar grandes padrões internacionais, e está cada vez mais reconhecido como o
framework de fato para a governança de TI.
O COBIT está focado em o que é necessário para alcançar esta governança e controle em um alto nível. Ele
está alinhado com outras melhores práticas e pode ser usado como o ―integrador‖ de diferentes materiais guia,
como a ISO 17799 e a ITIL.

Como o COBIT se alinha com o COSO:


O COBIT está em conformidade com o COSO e é conveniente como o framework de controle de TI para a
governança empresarial. O COSO ajuda a alcançar os seguintes objetivos:
 Eficácia e eficiência de operações
 Confiabilidade de relatórios financeiros
 Conformidade com leis e regras aplicáveis
Alinhamento do COBIT com o COSO
Similar ao COBIT, o COSO define um controle interno como um processo que é afetado pelo conselho da
diretoria, gerenciamento e outras pessoas de uma entidade.
Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e não é específico para
TI. O COBIT está alinhado com o COSO apenas em um alto nível.
A definição do COBIT de requisitos fiduciários difere do COSO no que o COBIT expande o escopo para incluir: Toda a
informação

Resumo:
Vamos destacar os padrões e frameworks que se relacionam com o COBIT.
 O COBIT está harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799, e CMM.
 O COBIT está alinhado com o COSO.
 O COBIT está posicionado centralmente, no nível geral, ajudando a integrar práticas técnicas e específicas
com maiores práticas de negócios.
 Os processos de TI do COBIT também se relacionam com múltiplos componentes do COSO.
 O COBIT pode ser usado para garantir conformidade com leis e regras.
 Os processos e controles do COBIT podem ser remendados para alcançar regras específicas, como a Lei
Sarbanes-Oxley.

Pág: 32/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Guia de Validação (Assurance Guide)

O objetivo do Guia de Validação de TI é:


 Fornecer orientação em como usar o COBIT para suportar uma variedade de atividades validas de TI.
 Permitir que os usuários possam se utilizar do COBIT quando planejarem e fizerem revisões, de tal forma
que os negócios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns.
 Prover e guiar no planejamento, definição de escopo e na execução de revisões, usando um roadmap
baseado em formas de validação aceitas,suportada por testes detalhados e baseados nos processos e
objetivos de controle do COBIT.

Pág: 33/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

O roadmap do Guia de Validação consiste dos seguintes 3 estágios: Planejamento, Fazer Escopo e
Execução:
 Planejamento: Estabelecer o universo de validação de TI para designar o que será validado é o inicio de
toda iniciativa de validação.
 Fazer escopo: É o processo que inicia pela definição das metas de negócio e TI para o ambiente sob
revisão e pela identificação do conjunto de recursos e processos de TI (que é o universo a ser validado)
requerido para suportar essas metas.
 Execução: O terceiro estágio do roadmap de validação é o estágio de execução. Nos próximos slides,
vamos examinar, em detalhes, o roadmap de execução que descreve a forma como os profissionais
envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de
validação específica.

Estágio Descrição
Refinar o entendimento O 1º. estágio da fase de execução é refinar o entendimento do ambiente nos
quais os testes serão executados. Isto implica entender a organização para
selecionar o escopo e objetivo corretos de validação. O escopo e objetivo da
validação precisa ser comunicado e aceito por todos os patrocinadores.
Refinar o Escopo O 2º. estagio da fase de execução é refinar o escopo e determinar
selecionando uma amostra do universo a ser validado (ou seja, processo,
sistema ou aplicação) por um lado e o conjunto de controles a ser revisto por
outro lado para:
 Analisar metas de negócios e TI
 Selecionar processos e controles
 Analisar os riscos inerentes se os objetivos de controle não forem
atingidos e a revisão dos testes necessários para a validação
 Finalizar o escopo

Concepção de Teste e O 3º. estágio da fase de execução é a concepção de teste e controle:


Controle  Avalia a concepção dos controles.
 Confirma que os controles estão ―instalados em operação‖
 Estima a efetividade operacional dos controles.
 O profissional de validação deve determinar quando:
o Existe controle de processo documentado
o Existe Evidências de controle de processos.
o Responsabilidade e cobrança é clara e efetiva.
o Controles de compensação existem, quando necessário.

Controle de Testes dos No 4º. estágio, para testar os resultados ou a efetividade dos controles, o
Resultados profissional em validação necessita identificar evidências diretas e indiretas
dos controles na qualidade das saídas do processo. Isso implica na direta e
indireta evidenciação das contribuições mensuráveis dos controles das
metas e dos processos de TI, registrando as Evidências diretas e indiretas
dos resultados obtidos, como documentado no COBIT.

Pág: 34/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Documentar o Impacto No 5º. estágio, quando fraquezas de controle são encontradas, elas devem
ser corretamente documentadas baseada na severidade das fraquezas
observadas e no potencial impacto que possa haver nos negócios.
Testes são conduzidos organizadamente para prover validação (ou não) aos
gestores da realização dos processo de negócios e objetivos de controle
relacionados.
Comunicar as Conclusões No 6º. Estágio, o profissional de validação deve documentar e identificar
fraquezas de controle, ameaças e vulnerabilidades resultantes, além de
identificar e documentar o impacto atual e potencial, por exemplo, através da
Análise de causa raiz. Em adição, o profissional de validação pode prover
informações comparativas, por exemplo, benchmarks, para estabelecer uma
estrutura de referência em que os testes resultantes tenham sido avaliados

Recomendação Detalhada dos Testes

Deve ser fornecida orientação para a concepção dos controles de testes, controle dos testes dos resultados e
a documentação do impacto de todos os objetivos de controle e processos do COBIT. Os testes também
devem ser baseados nas práticas de controle de TI para estar alinhados com as recomendações de
implementação do COBIT.

Resumo da Guia de Avaliação (Assurance Guide):


 O roadmap de Diretrizes de Validação consiste dos 3 estágios seguintes:
o Planejamento
o Escopo
o Execução
 A fase de Execução consiste dos seguintes seis estágios:
o Refinar o entendimento
o Refinar o escopo
o Concepção do controle de testes
o Controle de testes dos resultados
o Documentar o impacto
o Comunicar as conclusões

Pág: 35/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Recursos do Cobit (Produtos):


O Cobit possui 4 produtos, que são disponibilizados pela ITGI, ajudam as organizações a adotar, implementar
e gerenciar requisitos de governança de TI usando o COBIT.

- COBIT Online
- COBIT Quickstart
- IT Governance Implementation Guide: (Guia de Implementação de Governança de TI)

Primeiro Produto: COBIT Online


 Apresenta o conteúdo do COBIT usando um sistema amigável baseado na web.
 Permite que os usuários olhem, busquem, dividam e acessem a base de conhecimento.
 Suporta downloads no formato de textos ou formulários, e permite comparações

As vantagens do COBIT Online são:


 Fornecer um repositório com fácil acesso de todas as informações relacionadas ao COBIT e permite o
feedback de usuários.
 Ele permite que o ISACA/ITGI mantenha o conteúdo e implemente futuras versões gravando um feedback
filtrado, capturando o conhecimento de peritos, fornecendo atualizações online freqüentes, e capacitando
produção automática de impressão. O COBIT Online é uma fonte primária para informações atualizadas
do COBIT.
 Ele funciona como um local de encontro para anúncios, fóruns de discussão, e downloads grátis.

Os componentes do COBIT Online são:


 Navegação
 Benchmarking
Benchmarking é outro componente do COBIT Online.
O recurso do benchmarking capacita que os usuários forneçam entradas como o modelo de
maturidade de um processo, a importância de um processo, a importância de um objetivo de controle,
importância de metas de processo e de TI, e práticas de controle, e depois comparar suas pontuações
com as de outros usuários.
Os passos envolvidos em fazer o benchmarking de uma empresa são:
o Perfil: Fornecer informações sobre o perfil da sua empresa.
o O que: Escolher o benchmark que você pretende.
o Pontuação: destaque o tópico que escolheu no passo anterior para os processos que você
selecionou com o filtro.
 Feedback e pesquisas
 Comunidade
 Ajuda

Segundo Produto: O COBIT Quickstart


O COBIT Quickstart:
 Permite a adoção dos elementos importantes do COBIT facilmente fornecendo uma versão resumida dos
recursos do COBIT.
 Foca nos processos de TI, objetivos de controle, e métricas.
 Fornece uma base de objetivos de controle para empresas de pequeno e médio porte e pequenas
entidades de grandes empresas, onde a TI não é estratégica ou crítica para o negócio.
 Serve como ponto de partida para outras organizações em seu movimento para um nível apropriado de
controle e governança de TI.

COBIT Quickstart: Baseline:


 Está disponível como uma publicação.
 Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Além disso, pode
ser seguido por pessoas não técnicas ou gerentes que querem princípios, não detalhes; e atua como um
ponto de entrada para o COBIT.

Pág: 36/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation
 Pode ser utilizado para executar uma avaliação para priorizar os processos do COBIT, no início de uma
implementação de COBIT ou projeto de governança de TI

Componentes do COBIT Quickstart:


Os componentes do COBIT Quickstart contém cerca de 20% dos objetivos de controle do COBIT e
componentes de gerenciamento. Cada um destes objetivos de controle está relacionado a um ou mais dos
objetivos de controle detalhados do COBIT.

Aplicação do COBIT Quickstart: Pequenas e Médias Empresas ou empresas onde não necessário todos
os processos do Framework Cobit.

Terceiro Produto: IT Governance Implementation Guide (Guia de Implementação de Governança de TI)

O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado, e um conjunto de


ferramentas para implementar um ciclo de vida contínuo de governança de TI usando o COBIT.
O guia foca em uma metodologia genérica para as seguintes áreas:
 Porque a governança de TI é importante e porque as organizações deveriam implementá-lo.
 Como o COBIT está ligado à governança de TI e como o COBIT capacita a implementação de governança
de TI
 Os acionistas que possuem um interesse em governança de TI
 Um roadmap para implementar a governança de TI usando o COBIT

Abordagem do Guia de Implementação:


A abordagem do guia de implementação identifica a necessidade de criar e preservar valor de uma forma que
alinha a formulação e execução com os objetivos de negócios da organização. A abordagem envolve a
execução de análise de gaps avaliando a posição atual e a desejada, levando à identificação e iniciação do
projeto.

Conjunto de Ferramentas da Governança de TI:


O guia de implementação fornece:
 Um roadmap detalhado para acionistas de governança de TI, que:
o Ajuda a organização a implementar a governança de TI usando o COBIT.
o Garante que o foco esteja nas necessidades de negócios enquanto melhora o controle e a
governança de processos de TI.
o Provê um processo genérico que está dividido em diversas tarefas, variando entre a identificação
de necessidades iniciais para a implementação da solução, incluindo a identificação dos
componentes do COBIT a serem nivelados.
 Uma conjunto de CDs contendo uma visão geral para dar suporte ao roadmap. Contém templates
(modelos) , apresentações, documentos úteis, e ferramentas de avaliação.

O Quarto Produto: O COBIT Security Baseline:

O COBIT Security Baseline:


 Fornece kits de sobrevivência de segurança de informação em uma linguagem simples para qualquer
organização ou pessoa que precise entender como implementar o framework do COBIT. Kits de
sobrevivência de segurança estão disponíveis para todos os níveis de pessoas como usuários domésticos,
profissionais, executivos e gerentes.
 Fornece um guia de segurança não técnico e um Quickstart para objetivos de segurança.
 Possui uma referencia cruzada ao ISO 17799.

Resumo Produtos:
Os recursos do COBIT a seguir estão disponíveis para dar suporte às implementações do COBIT:
 COBIT Online
 COBIT Quickstart
 IT Governance Implementation Guide Using COBIT e Val IT
 COBIT Security Baseline

Pág: 37/38 Revisão 6.0


Guia de Estudo para Exame de Certificação do Cobit Foundation

Notas sobre a tradução:

Accountability - Foi traduzido para cobrança, mas Prestação de Conta seria a melhor tradução.

Agregação de Valor = Também pode ser traduzido (melhor) para Entrega de Valor

Assurance Guide - foi traduzido para Guia de Avaliação

Compliance = Conformidade com leis, regulamentos e contratos,

Governança Corporativa = Foi traduzido para Governança Empresarial:

IT Governance Implementation Guide – Não foi traduzido (Guia de Implementação de Governança de TI)

Requisitos fiduciários = Também são conhecidos como requisitos de conformidade com leis e regulamentos

Stakeholder - foi traduzido para acionistas

Referências:

- Manual do Cobit Foundation 4.1 (em português)


http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274
ITGI/ISACA

- Cobit Security Baseline - 2a. edição


An Information Security - Survival Kit
ITGI/ISACA

- IT Assurance Guide
Using Cobit
ITGI/ISACA

- IT Governance Implementation Guide - 2a. edição


Using Cobit and Val IT
ITGI/ISACA

www.isaca.org

Pág: 38/38 Revisão 6.0