Você está na página 1de 60

COBIT

de MarcosAzevedo10 | trabalhosfeitos.com

COBIT
Seja bem-vindo ao curso de Fundamentos de COBIT!
Este mdulo tem como objetivo trazer a voc uma viso geral sobre toda a estrutura, conceitos, modelos de trabalho, reas de
aplicao, vantagens e desvantagens do COBIT.
Embora este seja um mdulo independente e no necessite de pr-requisitos, a compreenso de como o COBIT pode trazer
benefcios para as reas de TI das empresas ser mais simples se voc j tiver realizado o mdulo de Introduo a Governana de TI.
O contedo foi estruturado com base na verso 4.1 do COBIT e visa possibilitar a compreenso de todo o seu framework e como este
pode ser utilizado na prtica.
Conceitos para certicao
Alm disso, dominar os conceitos aqui apresentados dar a voc total condio de prestar o exame de certicao COBIT
Foundations.
No entanto, importante esclarecer que a Fundao Bradesco no oferece, nem custeia, o exame de certicao. Todas as
informaes necessrias para obter a certicao sero abordadas no curso para o caso voc opte por prestar o exame.
Empresas e TI
Mdulo 01 - Cenrio atual
3/14

Atualmente as empresas, de um modo geral, esto com seus processos internos cada vez mais dependentes de recursos de
Tecnologia da Informao (TI), o que implica em uma necessidade cada vez maior de fazer uma gesto sobre os riscos em TI para no
comprometer a continuidade do negcio.
Alm disso, e possvel observar que em empresas de pequeno, mdio ou grande porte, nacionais ou multinacionais, a dependncia da
TI to signicativa a ponto de se tornar praticamente invivel pensar na operao do negcio sem considerar os
recursostecnolgicos envolvidos.
TI: diferencial competitivo
Mdulo 01 - Cenrio atual
4/14

H casos, nos mais diversos segmentos de mercado, onde a TI integra-se totalmente ao negcio a ponto de que isso se torne um
diferencial competitivo no mercado e assegura o futuro da empresa.
O segmento bancrio um excelente exemplo onde a tecnologia se tornou vital para o negcio da empresa.
Partindo desta anlise ca evidente que a gesto sobre os riscos de TI fundamental para assegurar a continuidade dos negcios.
Cobit e TI
Mdulo 01 - Cenrio atual
5/14

Assim, a proposta deste mdulo apresentar a voc como a estrutura do COBIT permite aplicar as melhores prticas de mercado
para a gesto de riscos de TI e como possvel, por meio desta iniciativa, alcanar no s a excelncia operacional, mas tambm
estabelecer um modelo de governana que mantenha a rea de TI integrada aos objetivos de negcio e oferea a empresa condies
adequadas para alcanar seus objetivos estratgicos.
importante ter em mente que possvel integrar os principais modelos de mercado para gerenciar adequadamente os riscos de TI
em um cenrio cada vez mais complexo e competitivo, e onde o tempo de resposta da TI em relao s necessidades do negcio faz a
diferena entre permanecer no mercado ou perder espao para a concorrncia.
Conceito
Mdulo 01 - Cenrio atual
7/14

RISCO
"A probabilidade de insucesso, de malogro de determinada coisa, em funo de acontecimento eventual, incerto, cuja ocorrncia no
depende exclusivamente da vontade dos interessados.
Trazendo este conceito a realidade de mercado,do ponto de vista de gesto empresarial necessrio considerar, no mnimo, risco de
mercado, de crdito, legal e operacional, sendo que podemos denir o clculo do risco como a tentativa de se medir o grau de
incerteza na obteno do retorno esperado em uma determinada aplicao nanceira ou investimento realizado.
Organizao Bradesco
Mdulo 01 - Cenrio atual
8/14

Todos estes conceitos so tratados no Mdulo I Fundamentos em Governana de TI desta Unidade de Estudo, no entanto, antes de
comear a tratar o framework do COBIT e como ele oferece uma base para a gesto de riscos em TI, vamos conhecer um caso real
sobre os benefcios ou necessidades de se fazer uma gesto de riscos para o negcio da empresa.
Um exemplo deste cenrio pode ser observado na prpria Organizao Bradesco. Esta denido em seu portal que:
Considerar ogerenciamento de riscos essencial em todas as suas atividades, utilizando-o com o objetivo de adicionar valor ao seu
negcio, na medida em que proporciona suporte s reas comerciais no planejamento de suas atividades, maximizando a utilizao
de recursos prprios e de terceiros, em benefcio dos acionistas e da sociedade".
Gesto de riscos
Mdulo 01 - Cenrio atual
9/14

"A atividade de gerenciamento de riscos altamente relevante em virtude da crescente complexidade dos servios e produtos
ofertados pela Organizao e tambm em funo da globalizao de seus negcios.
Por esse motivo, a Organizao aprimora continuadamente suas atividades relacionadas ao gerenciamento de riscos, atividades estas
devidamente alinhadas com as regulamentaes aplicveis,aderentes s recomendaes e melhores prticas utilizadas
internacionalmente e adaptadas nossa realidade.
A Organizao Bradesco no o nico exemplo, na realidade, empresas de todos os segmentos, no mundo inteiro, esto
presenciando um desenvolvimento signicativo da tecnologia em relao aos negcios.
A Organizao realiza considerveis investimentos nas aes relacionadas aos processos de gerenciamento de riscos especialmente
na capacitao do quadro de funcionrios, com o objetivo de elevar a qualidade da execuo e de garantir o necessrio foco,
intrnsecos a estas atividades, que produzem forte valor agregado.Falta de gesto de riscos
Mdulo 01 - Cenrio atual

10/14

A TI deixou de lado o papel de dar suporte ao negcio e, principalmente na rea nanceira, se tornou a estratgia do prprio negcio.
O nvel de dependncia de tecnologia para o mercado nanceiro algo muito difcil de ser mensurado, no entanto, se entendermos
que a TI um conjunto estrutural na qual a empresa depende para realizar suas atividades, o nvel de dependncia 100%.
Este quadro deixa evidente a necessidade das empresas em estabelecer e implementar mecanismos de controle, no s no que diz
respeito gesto de riscos, como tambm pelo fato de que estas esto sujeitas a legislao e regulamentao existente para o
mercado nacional ou internacional, e exatamente respondendo a este tipo de necessidade que o COBIT pode ser aplicado.
A atuao dos CIOsMdulo 01 - Cenrio atual
11/14

Os CIOs de hoje precisam assegurar alinhamento dos servios de TI com as necessidades atuais e futuras da empresa.
Osinvestimentos em TI devem ser direcionados de modo a possibilitar que a empresa alcance os resultados desejados, onde a
prontido tecnolgica torna-se fundamental para a empresa vencer os desaos de curto, mdio e longo prazo.
Por outro lado, por no haver maturidade nas empresas em relao a necessidade de se adotar prticas de governana de TI,
inmeras tecnologias foram incorporadas aos negcios em resposta imediata necessidades da empresa e aumentaram a
complexidade dos ambientes de TI. Aliado a este fator tambm existe a questo de crescimento ou expanso das empresas, levando
inclusive a ampliar suas instalaes no s dentro do pas, como tambm no exterior.

Gerenciando os Riscos
Mdulo 01 - Cenrio atual
12/14

Outro desao que os CIOs esto enfrentando atualmente a necessidade de reduzir custos e gerenciar riscos de modo que eventuais
falhas na infraesturutra de TI no tenham impacto para o negcio.
A dependncia cada vez maior do negcio em relao aos servios de TI gerou grandes investimentos em projetos e processos, de
modo que o CIO recebe forte presso do CEO e do conselho de administrao para minimizar custos operacionais por meio de uma
melhor gesto nos projetos, alm de gerenciar adequadamente os riscos relacionados a mudanas na infraestrutura de TI.
A TI est incorporada pelo negcio de tal maneira que agora, caso os servios de TI sejam interrompidos por qualquer que seja o
motivo, as operaes da empresa so impactadas de uma maneira a trazer impactos nanceiros nos resultados.
Gesto de riscos
Mdulo 01 - Cenrio atual
Neste mdulo voc aprendeu que as melhores prticasdescritas na ITIL so to relevantes que se tornaram um padro de fato no
mercado de TI.
Seus conceitos so aplicados nos nveis operacional e ttico e permitem que a rea de TI estruture o ciclo de vida de seus servios
como um todo, de modo a alcanar excelncia operacional.
J o framework do COBIT focado no nvel estratgico e, por se tratar de um framework de controle, possibilita que a TI tenha seu
desempenho mensurado e seus riscos devidamente apontados e tratados.
Sendo assim, estudaremos toda a estrutura do COBIT nosmdulosseguintes.
Introduo ao COBIT
Mdulo 02 - Introduo ao COBIT

1/62
O COBIT, atualmente na verso 4.1, um framework de controle que se tornou mundialmente aceito nas empresas em funo dos
benefcios que proporciona.
Diferente do framework do COSO, que um modelo de controle genrico, O COBIT focado unicamente em TI e sua estrutura
oferece uma base slida para se estabelecer um modelo de governana de TI.
A misso apresentada no COBIT 4.1 (2007, p.13) :
COBIT Control Objectives for Information and Related Technology Objetivos de Controle para Informaes e Tecnologias
Relacionadas
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de gerentes de negcio e auditores.
Ao estudar o framework do COBIT com maior profundidade possvel identicar que ele especica os objetivos de controle, mas no
detalha como os processos podem ser denidos.
O COBIT no um padro, no uma norma como a ISO 20.000, ISO 17.799 ou ISO 9.001, e ele tambmno serve como guia para
maximizar os benefcios da TI.
Em vez disso, o COBIT ajuda a direcionar ou priorizar os esforos e recursos da TI para atender aos requisitos do negcio. A adoo do
COBIT no tem como meta controlar todos os processos, mas apenas identicar quais processos da TI esto impactando, ou gerando
riscos para o negcio, de modo a priorizar o gerenciamento destes processos.
O framework de controle do COBIT segue a premissa que no possvel gerenciar aquilo que no se mede. Desta forma ele prope
uma srie de objetivos de controle e seus respectivos indicadores de desempenho.
Misso
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de gerentes de negcio e auditores.O modelo tambm considera que a TI
precisa entregar a informao que a empresa precisa para alcanar os seus objetivos de negcio.
Alm disso, possvel identicar tambm que o COBIT compatvel com outros padres de mercado, pois ele se posiciona em um
nvel genrico, abrangendo vrios processos de TI, denindo os objetivos de cada um e como devem ser controlados. No entanto, o
COBIT no foca em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser compatvel ou

complementar a outros modelos existentes.


O framework do COBIT foi criado tendo como principais caractersticas o foco no negcio, a orientao a processos, ser baseado em
controles e direcionado por mtricas.
Adotar COBIT ajuda uma empresa a implementar boas prticas em governana de TI, pois eleoferece um guia de melhores prticas e
direcionamento.
Sua estrutura classica os processos em 4 domnios, e apresenta atividades em uma estrutura gerencivel e lgica.
As boas prticas do COBIT representam um consenso entre especialistas no que diz respeito a Governana de TI, pois seu framework
extremamente focado no controle e pouco focado na execuo.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a entrega do servio e fornecendo uma mensurao que
possibilita identicar a performance de cada objetivo de controle e, como consequncia, tomar aes gerenciais para mitigar riscos e
atingir os resultados desejados.
O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente independente do tipo de negcio e do
valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao de controles e maturidade de processos de TI e, por esta
razo, tem sido adotado em diversos projetos de governana de TI.
Descrio
H alguns anos, o mercado de TI tinha uma tendncia de buscar alinhamento ao negcio. Dentro deste contexto, a TI tinha foco ttico
e operacional e normalmente era tratada como um centro de custo. Seu papel era dar suporte a estratgia de negcio e precisava ser
gil.
Porm, o mercado atual mostra que agilidade e alinhamento so importantes, mas no so sucientes, a TI precisa ser um meio de
ativao para a empresa, ela passa a ser parte da estratgia de negcios, funciona totalmente orientada a servios de modo que a
rea de TI acabe alavancando vantagem competitiva.O Mdulo I deste curso mostra que para negociar papis na Bolsa de Nova
Yorque (NYSE) as empresas precisam se adequar as exigncias da lei Sarbanes-Oxley (SOX). Esta, por sua vez, determina a criao do
Public Company Accounting Oversight Board (PCAOB), ou seja, um Conselho de Auditores de Companhias Abertas.
O PCAOB tem como misso estabelecer as normas de auditoria, controle de qualidade, tica e independncia em relao aos
processos de inspeo e a emisso dos relatrios de auditoria.
Recomendaes
O PCAOB recomenda que as empresas utilizem um framework adequado, e reconhecido no mercado, para avaliar seus controles

internos, e cita especicamente o framework do COSO.


No que diz respeito a governana de TI, o COBIT framework de controle para processos de TI que melhor atende as exigncias do
COSO.
O framework do COBIT, por sua vez, est situado em um nvel mais estratgico e sugere o uso de outros frameworks que podem ser
vistos como complementares e necessrios para que se estabelea um modelo de governana de TI.
Dica: se voc no tem conhecimento sobre a Lei Sarbanes-Oxley, PCAOB, U.S Security and Exchange Comission (SEC), recomendamos
que voc estude o Mdulo I deste curso.
Comparaes comparao
As caractersticas do COBIT o deixam posicionado em um nvel mais estratgico quando comparado a outros frameworks, normas ou
padres que se complementam, a gura acima ilustra o posicionamento e os pontos de integrao do COBIT em relao a outros
modelos.
Cabe aos executivos avaliar qual o melhor modelo para atender as necessidades de negcio de suas empresas, mas evidente que
a regulamentaoexterna (SOX/Basilia II) direciona fortemente a adoo do COBIT em suas prticas de governana de TI.
Um fator extremamente signicativo o que o COBIT, por ser um framework de controle de alto nvel, aponta o que deve ser
controlado, mas no diz como fazer. Ele se encaixa perfeitamente com as melhores prticas para gesto de servios de TI descritas na
IT Infrastructure Library (ITIL), que tem foco mais ttico e operacional em relao aos processos internos de TI.
Inmeros modelos, referncias e guias de melhores prticas podem ser adotados para estabelecer um modelo de governana de TI
para as organizaes.
Frameworks CobitOs frameworks do COBIT e do ITIL se complementam e cobrem grande parte dos aspectos da organizao da TI, de
modo que quando as prticas estabelecidas em cada modelo so adotadas pelas organizaes de TI, em seus processos internos, o
risco operacional de TI reduzido de maneira signicativa.
vlido aproveitar este momento e destacar que para tratar da gesto de riscos em TI na sua totalidade, necessrio tambm tratar
os riscos em projetos de TI.
O foco deste estudo para o gerenciamento de projetos de TI so as prticas descritas no Project Management Body of Knowledge
(PMBOK) publicado e mantido pelo Project Management Institute (PMI).
Gesto de risco
Voc poder aprender sobre a gesto de risco em projetos de TI no curso Gesto de Projetos PMBOK. Por hora, basta considerar
que no basta fazer gesto de riscos somente na operao do negcio ou na operao da TI.

Na sequncia sero apresentadas as verticais que devem ser gerenciadas para a integrao entre TI e o negcio, bem comoquais
modelos de mercado cujas prticas podem ser aplicadas em cada vertical.
Chegar a uma combinao relevante e importante de elementos que permitir estabelecer uma possvel estrutura para as prticas de
governana de TI, relacionando os frameworks, normas tcnicas e guias de melhores prticas, dentre outros, nas diversas frentes
existentes entre o negcio e a operao da TI.
Tecnologia da informao
Tudo isso visa fazer com que a TI se torne um parceiro estratgico para que as empresas possam alcanar seus objetivos de negcio.
A Tecnologia da Informao relativamente nova se comparada a Engenharia, Arquitetura, Medicina ou Advocacia, no entanto, o
conjunto de melhores prticas que ser apresentado a seguir vem passando por um ciclo de melhoria contnua cujos resultados
positivos vem sendo comprovados pelo marcado h pelo menos 10 anos.
Operao da TI
Caractersticas
Como dito anteriormente, o framework de controle do COBIT parte da premissa que no possvel gerenciar aquilo que no se mede.
Desta forma ele prope uma srie de objetivos de controle e seus respectivos indicadores de desempenho.
O modelo tambm considera que a TI precisa entregar a informao que a empresa precisa para alcanar os seus objetivos de
negcio.
Alm disso, o COBIT compatvel com outros padres de mercado pois ele se posiciona em um nvel genrico, abrangendo vrios
processos de TI, denindo os objetivos de cada um dos processos e como devem ser controlados.
O COBIT no foca em como cada processo deve ser implementado, sendo exatamente este o motivo que o leva a ser compatvel ou
complementar a outros modelos existentes.O framework do COBIT foi criado tendo como principais caractersticas:
Foco
Sua estrutura classica os processos em 4 domnios, e apresenta atividades em uma estrutura gerencivel e lgica.
As boas prticas do COBIT representam um consenso entre especialistas, pois seu framework extremamente focado no controle.
Estas prticas ajudam a otimizar os investimentos em TI, assegurando a entrega do servio e fornecendo uma mensurao que
possibilita identicar a performance de cada objetivo de controle e, como consequncia, tomar aes gerenciais para mitigar riscos e
atingir os resultados desejados.
Objetivos

O COBIT independente da plataforma de TI adotada nas empresas, tambm totalmente independente do tipo de negcio e do
valor e participao que a tecnologia da informao tem na cadeia produtiva da empresa.
O framework do COBIT hoje uma referncia mundial utilizado na avaliao de controles e maturidade de processos de TI e, por esta
razo, tem sido adotado em diversos projetos de governana de TI.
Objetivos do COBIT
O COBIT tem como objetivos:
Ser um padro aceito nas melhores prticas de governana de TI.
aplicar as melhores prticas a partir de um matriz de domnios, processos e atividades estruturados de forma lgica e gerencivel.
auxiliar na associao entre:
histricoO COBIT teve sua primeira publicao realizada em 1996 com foco no controle e anlise dos sistemas de informao. Sua
segunda edio, em 1998, ampliou a base de recursos adicionando o guia prtico de implementao e execuo. A edio atual (4.1) j
sob a coordenao do IT Governance Institute (ITGI), introduz asrecomendaes de gerenciamento de ambientes de TI dentro de um
modelo de maturidade de governana.
O COBIT foi desenvolvido inicialmente pela fundao do Information Systems Audit and Control Association (ISACA), que uma
instituio fundada em 1967, e atualmente mantido pelo ITGI, cuja fundao ocorreu em 1998.
Para maiores informaes sobre o ISACA e o ITGI, visite os sites: Isaca, Itgi.
Estrutura atual
O COBIT chegou a sua estrutura atual contando com um conjunto de contribuies de vrias empresas e organismos internacionais,
entre eles podemos citar:
Padres tcnicos da ISO e EDIFACT, dentre outros.
Cdigos de conduta emitidos pelo Conselho de Europa, OECD, ISACA e outros.
Critrios de qualicao para TI e processos: ITSEC, TCSEC, ISO 9000, SPICE, TickIT dentre outros.
Padres prossionais para controles internos e auditoria, como o COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO e outros.
Prticas e exigncias dos fruns da indstria e das plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc..
Exigncias das indstrias emergentes como operao bancria, comrcio eletrnico e engenharia de software.
Com a dependncia cada vez maior nos recursos de tecnologia as organizaes passam a ter a necessidade de demonstrar controles
crescentes em segurana.
Desempenho e progresso

Cada organizao deve buscar a compreenso de seu prprio desempenho e deve medir o seu progresso.
O benchmarking (comparativo) com outras organizaes passa a fazer parte da estratgia das empresas para conseguir a melhor
competitividade em TI.
O COBIT, por meio de suas recomendaes de gerenciamento e com a orientao no modelode maturidade em governana, auxilia os
gerentes de TI no cumprimento de seus objetivos, alinhados com os objetivos da organizao.
As diretrizes de gerenciamento do COBIT focam na gerncia por desempenho usando os princpios do Balanced ScoreCard (BSC)
Vantagens
Seus indicadores principais identicam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os
objetivos dos negcios da organizao. Adotar o COBIT como modelo de governana torna-se vantajoso por:
Mapear os maiores padres e frameworks de mercado, como o ITIL a ISO 20.000 e a ISO 27.001.
Ajudar a entender os requisitos regulatrios.
Ser compatvel com o COSO quanto ao controle do ambiente de TI.
Denir uma linguagem comum entre TI e o negcio.
Ser focado nos requisitos de negcio.
Ser aceito internacionalmente como framework de modelo para Governana de TI;.
Ser orientado a processos.
Ser suportado por ferramentas e treinamento.
Estar em desenvolvimento contnuo.
Projeo
O COBIT foi projetado para ser utilizado por trs pblicos distintos.
Administradores podem fazer uso do COBIT para auxili-los na avaliao entre risco, investimento e controle de ambientes muitas
vezes imprevisveis, como o de TI.
Usurios podem utilizar para se certicarem da segurana e dos controles dos servios de TI fornecidos internamente ou por
terceiros.
Por ltimo, mas no menos importante, o COBIT tambm pode ser utilizado por auditores de sistemas onde serve como subsdio das
opinies emitidas ou para prover aconselhamento aos administradores sobre os controles internos.
Evoluo
-647065-244475

Estrutura
Oprincpio da estrutura do COBIT o de prover um link entre as expectativas com as responsabilidades de gerenciamento de TI. O
objetivo facilitar a governana de TI para agregar valor a TI, por meio do gerenciamento dos riscos de TI.
O princpio do framework derivado de um modelo que mostra a informao com qualidade sendo produzida por eventos realizados
ou executados nos recursos de TI, conforme apresentado na gura ao lado.
O COBIT um framework e tambm uma base de conhecimento para os processos de TI e o gerenciamento destes. Ele no um
padro denitivo e deve ser adaptado para a realidade de cada empresa. Trata-se de um framework de controle que tem o propsito
de assegurar que os recursos de TI estaro alinhados com os objetivos da organizao.
O framework tambm baseado na premissa de que a TI precisa entregar informao que a empresa necessita para atingir seus
objetivos, fazendo com que a TI seja mais responsiva ao negcio.
Caractersticas
Dene uma linguagem comum entre TI e o negcio
Ajuda a entender os requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos
Componentes
praticamente impossvel falar dos componentes do COBIT sem citar o termo conhecido no mercado como cubo do COBIT.
O conceito de cubo utilizado para representar como os componentes se inter-relacionam, pois ele ilustra de maneira dedigna as
dimenses e seu respectivo relacionamento.
A gura ao lado ilustra que o framework do COBIT considera a necessidade de relacionar os processos de TI, os recursos de TI e os
critrios de informao, conforme sertratado a seguir.
Critrios
17145-554990
O COBIT considera que Recursos de TI so gerenciados pelos processos de TI para fornecer as informaes que a empresa necessita
para atingir seus objetivos. O framework estabelece 4 tipos de recursos, conforme relao apresentada a seguir:
-349253576955

Processos
Uma das faces do cubo do COBIT representa os processos de TI. O framework do COBIT apresenta aos processos de TI agrupados em
4 domnios, conforme segue:
Planejar e organizar (plan and organize - PO)
Adquiri e implementar (acquire and implement - AI)
Entregar e suportar (deliver and support - DS)
Monitorar e a valiar (monitor and evaluate - ME)
O cubo do cobitComo todos os componentes do COBIT esto inter-relacionados, a gura do cubo utilizada para sumarizar que os
recursos de TI so gerenciados pelos processos de TI para alcanar as metas que correspondem aos requisitos do negcio.
Este o princpio bsico do framework do COBIT, e ilustrado por meio da gura ao lado.
Por meio dele possvel observar que cada um dos 4 domnios e seus 34 objetivos de controle de alto-nvel consomem Recursos de TI
e necessitam atender a requisitos de negcio.
Nos prximos mdulos, veremos como o desdobramento do cubo do COBIT para cada um dos 34 objetivos de controle de altonvel.
Metas
O COBIT estabelece metas e mtricas em 3 nveis:
O primeiro nvel trata de objetivos e mtricas de TI que denem o que o negcio espera da TI e como isso ser medido.
O segundo nvel trata dos objetivos e mtricas que denem o que os processos de TI devem entregar para suportar os objetivos de TI
e como isso ser medido.
Oterceiro nvel trata dos objetivos de atividades e respectivas mtricas para estabelecer o que precisa ocorrer dentro dos processos
para alcanar a performance desejada e como mensurar isso.
Os objetivos de TI so denidos em uma abordagem top-down, onde os objetivos do negcio vo determinar o nmero de objetivos
de TI que vo suportar o negcio.
Monitoramento e performanceO monitoramento realizado por meio do acompanhamento de indicadores de resultado (outcome
measures), processados aps a execuo dos processos, e Indicadores de performance (performance indicators), processados
durante a execuo dos processos e utilizados para avaliar e tomar aes corretivas para assegurar que os resultados esperados
sejam alcanados.

Diretrizes de gerenciamento
O framework do COBIT estabelece diretrizes de gerenciamento e estas, por sua vez, sugerem o uso da metodologia Balanced Score
Cards (BSC).
O BSC fornece meios para estabelecer mtricas para alcanar as metas de TI.
A metodologia do BSC v o negcio sob 4 perspectivas, estabelecendo os objetivos estratgicos da empresa e mapeando suas metas e
indicadores de performance, sendo que voc poder ver isso com maiores detalhes na unidade de estudo de gesto de servios de TI.
Por hora, importante saber que o BSC parte da denio da estratgia da empresa para, em seguida, estabelecer os objetivos
estratgicos que a empresa deve alcanar sob a perspectiva Financeira, perspectiva do cliente, perspectiva de inovao, aprendizado e
crescimento e a perspectiva de processos internos do negcio.
A estratgia estabelece a direo que a empresa deve seguir, a perspectiva docliente trata dos valores que a empresa quer oferecer,
ou seja, como ela quer ser vista sob a percepo do cliente.
Perspectivas de processos internos
J a perspectiva de processos internos estabelece os objetivos estratgicos do que a empresa deve fazer para conseguir entregar os
valores estabelecidos na perspectiva do cliente.
Naturalmente, a perspectiva do aprendizado e inovao trata da gesto do conhecimento da empresa, de clima e cultura e de outros
valores essenciais para a sade da empresa.
A quarta perspectiva apresentada a nanceira, que naturalmente trata das questes de gesto nanceira da empresa, quais os
objetivos estratgicos para o despesas, investimentos e como assegurar o futuro da empresa.
Diretrizes de gerenciamento
No h uma regra para estabelecer ou denir se h uma perspectiva mais ou menos importante, todas contm objetivos estratgicos
e, portanto, importantes para a empresa.
Ao avaliar os mapas estratgicos de diversas empresas, produzidos dentro dos conceitos da metodologia do BSC, possvel observar
que normalmente a perspectiva do Cliente apresentada em primeiro lugar quando a cultura da empresa tem o foco principal no
cliente.
J quando a cultura da empresa tem como foco principal a obteno de lucro, normalmente a perspectiva nanceira apresentada
em primeiro lugar.
O fato que isso realmente no importa, relevante estabelecer quais so os objetivos mais importantes da empresa, quem ser
responsvel por cada um deles (accountability) e como eles sero mensurados.

Metodologia
Ao avaliar a metodologia do BSC e as diretrizes de gerenciamento existentes noframework do COBIT, ca evidente que o COBIT v no
BSC uma maneira de implementar o conceito do framework e estabelecer os pontos de controle, trazendo total transparncia as
partes interessadas, ou seja, clientes, parceiros, funcionrios e acionistas da empresa.
Modelos de maturidade
Trata-se de um modelo de referncia que possibilita a empresa avaliar e classicar sua maturidade para um determinado processo.
O gerenciamento e controle sobre os processos de TI so baseados em um mtodo para avaliar sua organizao, de modo que ela
pode ser classicada em um nvel onde o processo inexistente (0) at o nvel otimizado (5).
Isto possibilita no s fazer comparaes com outras empresas (benchmarking), como tambm fazer a anlise de gap avaliando onde
a empresa se encontra, onde o mercado est posicionado e onde a empresa deseja chegar.
A abordagem dos modelos de maturidade do COBIT deriva do modelo de maturidade da capacidade para desenvolvimento de
software denido pelo Software Engineering Institute (SEI).
Modelo especco
Embora os conceitos do SEI tenham sido seguidos, a implementao do COBIT difere do modelo original pois o modelo de maturidade
interpretado de acordo com a natureza dos processos de gerenciamento de TI denidos no COBIT.
Dentro de uma escala genrica com range variando entre 0 e 5, h um modelo especco interpretado para cada um dos 34 processos
do COBIT.
Em outras palavras, isso permite que a alta administrao identique exatamente qual o grau de maturidade que a empresa se
encontra em um determinado processo e, na sequncia, faa a anlise de gap de onde deveria estar para atenderaos objetivos do
negcio.
Este mecanismo oferece uma maneira consistente para identicar pontos de melhoria e o esforo necessrio, alm claro, de
permitir a comparao de desempenho com outras empresas no mercado.
Ranking
Nveis de maturidade

12065050165
8255-330835
Passo-a-passo
Alm das diretrizes de gerenciamento, o COBIT tambm traz um guia passo-a-passo para auxiliar auditores internos e externos a
avaliar a performance da empresa.
Este guia conhecido no COBIT como Diretrizes de Auditoria. A estrutura do processo de auditoria geralmente aceita pelo mercado
compreende o estgio ou etapa de identicao e documentao, ou seja, a denio do escopo do trabalho. Na sequncia temos as
etapas de avaliao, testes de conformidade e testes substantivos.
A etapa de identicao e documentao visa obter um entendimento dos riscos relacionados aos requisitos de negcio e medidas de
controle relevantes.
J a etapa de avaliao tem como principal objetivo avaliar os controles internos determinados.
A etapa de testes de conformidade visa avaliar a conformidade testando se os controles determinados esto funcionando conforme
sua denio, consistentemente e continuamente.
E nalmente, a etapa de testes substantivos verica os riscos dos objetivos de controle que no esto sendo alcanados, por meio de
tcnicas analticas ou consultando fontes alternativas.
Levando estas quatro etapas em considerao, um processo de TI auditado por meio da obteno do entendimento dos riscos
relacionados com os requisitos de negcio e medidas de controle relevantes. Na sequncia ocorre a avaliao doscontroles
determinados, identicando se estes controles so apropriados ao que se prope.
Diretrizes de gerenciamento
Posteriormente se executa a avaliao de conformidade por meio de testes que devem identicar se os controles estabelecidos esto
funcionando como previsto e, por ltimo, se executa a substanciao dos riscos dos objetivos de controle que no esto sendo
atingidos.
Estas etapas devem ser executados em funo da necessidade que a alta administrao tem em assegurar que as metas e objetivos
da TI sejam atingidos e que os controles principais estejam sendo aplicados no dia-a-dia.
As diretrizes de gerenciamento descrevem e sugerem atividades de auditoria/avaliao para serem executadas para cada um dos 34
objetivos de controle de alto nvel do COBIT, de modo que dentre os principais objetivos das diretrizes de auditoria possvel citar que
estas devem fornecer um gerenciamento de modo a assegurar que os objetivos de controle estejam sendo alcanados.
Pontos fracos

Outro ponto importante o fato de identicar pontos fracos em controles que so signicantes ao negcio da empresa, sendo que
para estescasos, as diretrizes de auditoria direcionar que estes pontos tenham os riscos vericados de modo que seja possvel
aconselhar a alta administrao em relao a aes corretivas para mitigar ou eliminar os riscos.
Assim, o propsito das diretrizes de auditoria fornecer uma estrutura simples para controles de auditoria e avaliao baseados em
prticas de auditoria geralmente aceitas pelo mercado.
De maneira geral, os negcios de uma organizao denem os requisitos para os processos de TI, e estes, porsua vez, alimentam as
reas de negcio com informaes teis para a organizao.
Excelncia em TI
Assim, a estrutura do COBIT permite avaliar o desempenho dos processos de TI por meio dos indicadores de resultado (outcome
measures) e por meio dos indicadores de desempenho (performance indicators), alm de tambm contar com um modelo de
maturidade para anlise de GAP entre o nvel atual de maturidade dos processos de TI e o nvel desejado pela empresa.
A excelncia operacional dos processos de TI alcanada por meio da busca pelos objetivos de cada atividade dos processos.
Os processos, por sua vez, so controlados por meio dos objetivos de controle do COBIT, que so implementados atravs de prticas
de controle.
Assim, os objetivos de controle podem ser traduzidos em diretrizes de auditoria que so ento utilizadas para auditar os processos de
TI.
Requisitos para a auditoria de processos de TI
Denir o escopo da auditoria fundamental demensionamento do esforo necessrio para executar este processo de controle. Para
que isso seja feito de maneira adequada, importante levar em conta a preocupao com os processos de negcio, plataformas,
sistemas e seu relacionamento com o suporte aos processos de negcio e, nalmente, as funes e responsabilidades na estrutura
organizacional.
O prximo passo identicar requisitos de informao relevantes para os processos do negcio. Para isso fundamental entender
qual a relevncia de cada processo.
Na sequncia, necessrio identicar os riscos de TI inerentes aos processos alm de um nvel de controle abrangente.
Aqui deve ser levado em consideraoquaisquer mudanas recentes ou incidentes que impactaram o negcio ou o ambiente de TI,
resultados de auditorias anteriores, autoavaliaes e certicaes que a empresa venha a ter como, por exemplo, a ISO 20.000. Alm
disso, tambm importante avaliar os controles de monitorao que so aplicados pela administrao da empresa.
Processos e plataformas

Aqui deve ser levado em considerao quaisquer mudanas recentes ou incidentes que impactaram o negcio ou o ambiente de TI,
resultados de auditorias anteriores, autoavaliaes e certicaes que a empresa venha a ter como, por exemplo, a ISO 20.000. Alm
disso, tambm importante avaliar os controles de monitorao que so aplicados pela administrao da empresa.
O prximo passo selecionar quais so os processos e plataformas a serem auditadas. Isso ajuda a focar nos itens mais relevantes,
lembrando que importante no s considerar os processos, como os recursos envolvidos nestes.
O ltimo passo das diretrizes de auditoria o de criar uma estratgia de auditoria. neste ponto que se avalia quais so os controles
disponveis em relao aos riscos identicados, quais sero os passos e tarefas necessrias para executar a auditoria e quais sero os
pontos de deciso.
Estrutura do processo de auditoria
O prximo passo selecionar quais so os processos e plataformas a serem auditadas. Isso ajuda a focar nos itens mais relevantes,
lembrando que importante no s considerar os processos, como os recursos envolvidos nestes.
O ltimo passo das diretrizes de auditoria o de criar uma estratgia de auditoria. neste ponto que se avalia quais so os
controlesdisponveis em relao aos riscos identicados, quais sero os passos e tarefas necessrias para executar a auditoria e quais
sero os pontos de deciso.
De modo geral, a estrutura do processo de auditoria normalmente aceita pelo mercado, compreende 4 etapas ou estgios principais,
conforme ilustrado pela gura ao lado.
Processo de TI
Um processo de TI auditado por meio da compreenso dos riscos relacionados com os requisitos de negcio e quais so as medidas
de controles relevantes para cada risco identicado.
A partir deste cenrio, se executa uma avaliao dos controles determinados com o objetivo de se certicar que estes so
apropriados.
O prximo passo a avaliao da conformidade utilizando testes que possibilitem vericar se um determinado ponto de controle est
funcionando como planejado, de maneira consistente e contnua.
Por ltimo se executa a substanciao dos riscos relacionados aos objetivos de controle que no esto sendo alcanados. Isso pode
ser feito por meio de anlises tcnicas ou utilizando referncias alternativas.
Compreenso dos riscos dos processos
Esta fase fundamental para documentar as atividades que estejam relacionadas com os objetivos de controle, bem como para

identicar as medidas e procedimentos que sero aplicados.


A equipe de auditoria segue procedimentos especcos para obter este conhecimento, sendo que para isso podem devem entrevistar
os gestores/gerentes e equipes necessrias para obter conhecimento sobre:
Controles
Avaliao dos controles sobre os processos
A etapa seguinte a avaliao dos controles utilizados em cada processo, buscando identicar se soecazes ao que se propem,
neste sentido importante determinar o que ser testado e como os testes sero realizados.
A equipe de auditoria deve avaliar se as medidas de controle so apropriadas, de acordo com o critrio identicado e estabelecido,
podendo utilizar prticas e padres de mercado e tambm fazendo uso do julgamento prossional sobre o assunto.
Estes devem buscar determinar se os processos esto documentados, se as sadas dos processos, tambm conhecidas como
entregveis, so apropriados, se as responsabilidades esto claras e se h controles de compensao nos casos em que estes devem
ser aplicados.
Conformidade
Avaliao da conformidade dos processos
Nesta etapa a equipe de auditoria busca evidncias diretas ou indiretas para os pontos selecionados, visando identicar se os
procedimentos esto em conformidade com a especicao do processo.
Neste momento tambm importante determinar o nvel de testes e o trabalho necessrio para dar assegurar que o processo
avaliado est adequado.
Isto feito com o objetivo de assegurar que as medidas de controle estabelecidas esto funcionando de acordo com o previsto e que
so apropriadas para o ambiente controlado.
Apontando riscos
Substanciar os riscos dos processos
Finalmente, os riscos identicados para os objetivos de controle que no esto alcanando os objetivos denidos devem ter suas
decincias documentadas, apontando inclusive as ameaas possveis e vulnerabilidades existentes.
Uma vez realizada esta anlise, a equipe de auditoria deve identicar e documentar o impacto atual e o impacto potencial do risco ou,
em outras palavras,quais as chances do risco identicado se tornar uma realidade para a empresa.
Prticas e riscos
Prticas de controle

Antes de falar das prticas de controle, importante ter em mente que cada um dos 34 objetivos de controle do COBIT possui
diretrizes de auditoria especcas.
As prticas de controle do COBIT fornecem aos usurios um nvel adicional de detalhes sobre os processos, estendendo assim a
capacidade de uso de COBIT.
Os processos de TI denidos no COBIT, os objetivos de controle e os requisitos de negcio determinam o que deve ser feito para
estabelecer uma estrutura de controle efetiva.
No entanto, as prticas de controle fornecem o como e o porque estas so necessrias para a administrao para avaliar controles
especcos com base na anlise de riscos e na operao da TI.
Tratamento dos riscos
importante que voc tenha em mente que o framework do COBIT estabelece que os riscos devem ser gerenciados de 4 formas:
Transferncia de riscos
Trata-se de compartilhar os riscos com parceiros ou contratar seguro apropriado. Um exemplo tpico para estes casos ocorre quando
voc contrata um seguro para o seu veculo, casa ou notebook. Ao fazer isso, voc est literalmente transferindo o risco para um
terceiro por avaliar que no seria vivel permanecer com o risco de car sem o seu bem em funo de furto, roubo, incndio ou
outras causas.
Mitigao de riscos
Trata-se da implementao de controles que tragam proteo contra o tipo de risco identicado, por exemplo, implementar um
mecanismo de autenticao baseado em biometria traz maior proteo a acessos no autorizados a informaes condenciais.Evitar
riscos
Trata-se de adotar uma opo diferente do cenrio original, de modo que o risco identicado seja totalmente evitado. Podemos dar
um exemplo deste tipo de tratamento quando uma empresa decide digitalizar toda a sua base de documentao e estes esto
distribudos em diversas liais. Em vez de trazer os documentos at um ponto central para digitalizao e correr o risco de perda do
material em funo de manipulao inadequada ou problemas com o transporte (furto de carga), opta-se por levar os recursos de
digitalizao para as lias, evitando assim o transporte dos documentos.
Aceitao de riscos
Trata-se de conrmar, aceitar e monitorar os riscos. Para estes casos fundamental ter um plano de resposta ao risco pronto para ser
colocado em ao, evitando assim dados signicativos ao negcio ou a imagem da organizao. Podemos ilustrar este caso com o
monitoramento de tsunames que vrios pases esto executando. Ao detectar uma ocorrncia de tsuname que venha a afetar o Pas,

o governo aciona o plano de resposta que normalmente implica na evacuao da populao dos pontos prximos ao mar.
Outro ponto relevante que o COBIT estabelece a denio clara das responsabilidades e papis para cada um dos 34 processos.
RACI o acrnimo, em ingls, para Accountable, Responsible, Consulted and Informed, ou seja:[R] dene quem executa o
processo[A] dene quem responsvel pelo resultado[C] dene quem deve ser consultado[I] dene quem deve ser informado.
Isto feito com o uso de uma matriz de responsabilidades que aponta o que deve ser delegado a quem, sendo que o framework
determina claramente oslimites e comprometimento necessrio para cada um dos papeis citados a seguir seguindo o modelo RACI.
Matriz de responssabilidades de RACI
Papis normalmente denidos pelo COBIT por meio da matriz RACI:
Chief Executive Ocer (CEO)
Chief Financial Ocer (CFO)
Executivos de Negcio
Chief Information Ocer (CIO)
Proprietrio de Processos de Negcio
Chefe de Operaes
Chefe de arquitetura
Lder de desenvolvimento
Lder de administrao de TI (RH, oramento e controles internos)
Project Management Ocer (PMO)
Grupos de conformidade, auditoria, risco e segurana
Papis adicionais de acordo com especicidades de alguns processos
Denir os processos de TI, a organizao e relacionamentos
Estude com cuidado a gura abaixo, retirada do COBIT 4.1, com o objetivo de compreender como este recurso ajuda a denir os
papis para o processo Denir os processos de TI, a organizao e relacionamentos.
Cobit e outros padres
Dentre as vantagens de se adotar o framework de controle do COBIT, possvel destacar a sua compatibilidade com outros padres.
Este se posiciona em um nvel mais genrico e por isso pode ser utilizado para avaliar processos implementados por outras normas
tcnicas ou frameworks, como ISO 17799 (segurana da informao) e ITIL.
O COBIT pode ser aplicado depois que outros padres que atuam em um nvel mais operacional j estejam aplicados, tendo em vista

que o COBIT servir para auditar estes processos.


O COSO um framework para controle interno, no somente de TI, e pode ser utilizado em qualquer rea de negcio, j o COBIT
especco para a TI, mas est 100 alinhado com o COSO.Em relao a compatibilidade com ITIL, o COBIT cobre a maioria dos
processos ITIL, tanto na verso 2 quanto na verso 3, s que o ITIL tem os processos apresentados com maior nvel de detalhe. De
maneira geral, enquanto o ITIL est mais direcionado ao como, o COBIT foca no o que.
Framework de controle
Assim, pode se dizer que o COBIT um framework de controle que estabelece o que tem que ser feito, mas no diz como deve ser
feito. Alm disso, o COBIT atende os requisitos regulatrios nos quais a empresa est submetida e exatamente por este motivo que
pode ser utilizado para cumprir a conformidade com a lei Sarbanes-Oxley.
A gura a seguir apresenta os 34 Objetivos de Controle de alto nvel do COBIT e mostra os seus pontos de interao com outros
elementos. Isto mostra porque o framework do COBIT est sendo adotado em larga escala na aplicao de prticas de governana de
TI.
Domnios do cobit
Por ser orientado a processos, o COBIT dene as atividades de TI em um modelo genrico de processos, agrupando estes em 4
domnios.
Como visto anteriormente, os domnios do COBIT so:
Objetivos de controle do cobit
Estes domnios englobam as tradicionais reas de responsabilidade da TI, que so as de planejar, construir, executar e monitorar.
O COBIT oferece um modelo de referncia para os processos, alm de uma linguagem comum a todos na empresa, de modo que
estes possam visualizar e gerenciar as atividades de TI.
Como tambm visto anteriormente, um modelo de processos demanda que cada processo tenha um proprietrio, de forma a denir
claramente as responsabilidades e quem ser cobrado pelos resultados dosprocessos.
Assim, o nosso foco de estudo estar concentrado em cada um dos domnios e seus respectivos processos.
Planejar e organizar
O domnio do planejamento e organizao engloba as estratgias e tticas adotadas pela organizao de TI, e se preocupa em
identicar a forma onde a TI possa contribuir da melhor maneira possvel para que os objetivos do negcio sejam alcanados.
A viso estratgica da TI deve ser planejada, comunicada e gerenciada sob diferentes perspectivas. Alm disso, este domnio cobre
tambm a organizao da TI e a infraestrutura tecnolgica que deve ser implementada na organizao.

A TI e estratgia do negcio esto devidamente alinhados?


A organizao est tirando o melhor proveito possvel de seus recursos?
Todos na organizao compreendem os objetivos da TI?
Os riscos so compreendidos e gerenciados?
A qualidade dos sistemas de TI apropriada para as necessidades do negcio?
Assim, basicamente, o domnio de planejamento e organizao oferece resposta as questes relacionadas a seguir:
Adquirir e implementar
ara que a estratgia de TI se torne uma realidade, solues tecnolgicas devem ser identicadas, desenvolvidas ou adquiridas, e na
sequncia, estas devem ser implementadas e integradas aos processos de negcio.
Sendo assim, mudanas e manutenes nos sistemas j implementados so tratadas por este domnio visando assegurar que as
solues continuem atendendo os objetivos de negcio.
Os novos projetos esto no caminho de entregar solues que venhamao encontro as necessidades de negcio?
Novos projetos esto sendo conduzidos de maneira que as entregas sejam realizadasdentro do tempo previsto e dentro do
oramento estabelecido?
Os novos sistemas vo funcionar adequadamente quando implementados?
As mudanas na infraestrutura sero realizadas sem causar impactos negativos para a operao do negcio?
Dessa forma, o domnio de aquisio implementao demanda que as seguintes questes sejam consideradas e respondidas:
Entregar e suportar
O domnio da entrega e suporte est focado na entrega atual dos servios demandados, e isto inclui a entrega de servios, o
gerenciamento de segurana e da continuidade dos servios de TI, o suporte aos servios, o gerenciamento de dados e a operao da
instalaes fsicas.
Para quem j estudou ITIL, ca bastante evidente a semelhana dos objetivos de controle que o COBIT trata neste domnio com as
disciplinas ITIL, porm, como vimos, o COBIT est mais focado no controle e diz o que deve ser controlado, em nenhum momento o
framework do COBIT estabelece como isso deve ser implementado.
As prticas descritas na ITIL oferecem mais detalhes para que se estruture como os processos sero executados, assim, ITIL e COBIT
podem ser perfeitamente integrados, no importando qual iniciativa a organizao adotar primeiro.
Assim como citado nos domnios anteriores, o domnio de aquisio e implementao demanda que as gerncias respondem as
seguintes questes:

Os servios de TI esto sendo entregues alinhados com as prioridades de negcio?


Os custos de TI so otimizados?
A fora de trabalho capaz de utilizar os sistemas de TI de maneira produtiva e segura?
H adequados nveis de condencialidade, integridade e disponibilidade para a segurana dainformao?
Monitoramento e avaliao
O domnio do monitoramento e avaliao considera que todos os processos de TI devem ser regularmente avaliados com o passar do
tempo, considerando sua qualidade a aderncia aos requisitos de controle.
Este o domnio que engloba o gerenciamento de performance, o monitoramento dos controles internos, a aderncia a legislao e
normas especcas e a governana propriamente dita.
Os processos deste domnio so tratados visando responder as seguintes questes de gerenciamento:
A performance de TI medida de modo a identicar problemas antes que seja muito tarde?
O gerenciamento assegura os controles internos so ecientes e ecazes?
H alguma maneira que a performance da TI esteja ligada aos objetivos de negcio?
H adequados nveis de condencialidade, integridade e disponibilidade para a segurana da informao?
Processos de controle
Levando todos estes requisitos em considerao, a verso 4.1 do COBIT identicou 34 processos que so utilizados de maneira
genrica.
Embora a maioria das organizaes tenham denido, planejado, construdo, executam e monitoram as responsabilidades da TI, sendo
que a maioria tenham os mesmos processos chave, poucas empresas tero a mesma estrutura de processos ou aplicam todos os 34
processos do COBIT.
Um dos grandes benefcios do COBIT que ele oferece uma lista completa de processos que podem ser utilizados para avaliar,
controlar e monitorar as atividades e responsabilidades, no entanto, nem todos eles devem ser obrigatoriamente aplicados. De
maneira alternativa, os processos tambm podem ser combinados de acordo com asnecessidades da empresa.
Framework de controle
O ponto aqui que o COBIT exvel o sucente para atender umapequena empresa enquanto, ao mesmo tempo, a mesma
estrutura de processos pode ser til para empresas de mdio e grande porte, nacionais ou multinacionais.
O COBIT apresenta um link entre os objetivos de negcio e os objetivos da TI para cada um dos 34 processos suportados. Ele tambm
oferece informaes sobre como os objetivos podem ser medidos, quais so as principais atividades de cada processo e suas

principais entregas ou resultados, alm disso, ele tambm prov direcionamento sobre quem o responsvel para cada atividade.
Por ser um framework de controle, naturamente o COBIT dene objetivos de controle para cada um dos 34 processos, alm de
tambm estabelecer requisitos de controle genricos para cada processo, bem como controles de aplicao.
Processos do cobit
Cada um dos processos de TI denidos no COBIT tem sua respectiva descrio e um nmero de objetivos de controle.
Como um todo, eles so as caractersticas de um processo bem gerenciado.
Os objetivos de controle so identicados por uma referncia aos domnios realizada por meio de dois caracteres (PO, AI, DS e ME)
acrescidos de um nmero do processo e de um nmero do objetivo de controle.
Como dito anteriormente, alm dos objetivos de controle, cada processo do COBIT tem 6 requisitos de controle genricos que so
identicados pela sigla PCn, onde n representa o nmero do processo.
Objetivos de cotrole genricos
Os objetivos de controle genricos devem ser considerados junto com os objetivos de controle do processo para que seja possvelter
uma viso completa dos requerimentos de controle.
Objetivos de controle genricos (extrado do COBIT 4.1, traduzido e adaptado)
PC1 Objetivos e metas do processo
Dena e comunique objetivos e metas do processo de maneira especca, mensurvel, alcanvel, realista e dentro de um perodo
claramente denido. Assegure que eles estejam vinculados aos objetivos de negcio e que sejam suportados por mtricas adequadas.
Processos de TI
PC2 Proprietrio do processoAtribua um proprietrio para cada processo de TI, e dena claramente os papis e responsabilidades
do proprietrio do processo. Inclua, por exemplo, a responsabilidade pelo desenho do processo, a interao com outros processos, a
responsabilidade sobre os resultados nais, a medio da performance do processo e a identicao de oportunidades de melhoria.
PC3 Repetio do processoProjete e implemente cada processo chave de TI de maneira que ele seja repetvel e produza os
resultados esperados de maneira consistente.
Fornea uma sequncia lgica de atividades, que seja exvel e escalonvel para atingir os resultados desejados e que seja gil o
suciente para tratar excees e emergenciais. Use processos consistentes, onde possvel, e trate excees somente quando for
inevitvel.
PC4 Papis e responsabilidadesDena as atividades principais e entregas nais do processos. Atribua e comunique papis e
responsabilidades de maneira clara para uma execuo efetiva e eciente das principais atividades e sua documentao, assim como

a responsabilidade pelo processo e pelos entregveis.


Planos e procedimentos
PC5 Poltica, planos eprocedimentosDena e comunique como todas as polticas, planos e procedimentos que direcionam os
processos de TI so documentados, revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento.
Atribua responsabilidades para cada uma destas atividades e, dentro do tempo apropriado, revise buscando identicar se estas esto
sendo corretamente executadas.
Assegure que as polticas, planos e procedimentos estejam acessveis, corretos, compreensveis e atualizados.
Performance
PC6 Melhoria da performance do processoIdentique um conjunto de mtricas que proporcione uma viso nos resultados e na
performance do processo.
Estabelea metas que reitam os objetivos do processo e indicadores de performance que possibilitem que o objetivo do processo
seja alcanado. Dena como os dados devem ser obtidos.
Compare os resultados atuais com as metas e tome aes em relao aos desvios, quando necessrio. Alinhe mtricas, metas e
mtodos com uma abordagem do monitoramento da performance geral da TI.
Specic, Measurable, Actionable, Realistc, Results-oriented and Timely
Trata-se de um acrnimo com algumas variaes (SMART ou SMARRT) j bastante conhecido no mercado para a denio de
objetivos. No entanto, importante conhecer no s a traduo de cada letra, mas sim o raciocnio mais amplo sobre o signicado
real deste conceito.
O conceito pode ser aplicado na denio de objetivos de negcio, prossional ou pessoal, e as melhores prticas estabelecem que
objetivos devem ser SMART, conforme veremos a seguir.
[S]pecif: Especco
No deixe espao a interpretaes duvidosas ao denir um objetivo.Quanto mais detalho for o objetivo, melhor ser sua
compreenso e maiores sero as chances dele ser alcanado.
Depois de descrever o objetivo, conra se no h pontos que possam gerar dvidas por falha de interpretao, por qualquer pessoa
com conhecimento bsico sobre o assunto.
M]easurable: Mensurvel
Objetivos devem ser transformados em nmeros, caso contrrio estes podero ser manipulados ou interpretados do modo mais
conveniente para os interessados, de modo que ca dvidas ou discusso em aberto sobre como denir se o objetivo foi alcanado

ou no.
Outro ponto a considerar neste quesito se h ferramentas disponveis para medir o objetivo da maneira desejada e adequada, caso
contrrio, novamente possvel estabelecer valores a partir de qualquer parmetro disponvel.
Sendo assim, fundamental ter denio clara sobre o sistema de medio que ser utilizado para monitorar o objetivo. Lembre-se
que os interessados podem ser colaboradores da sua equipe, pares, seu chefe, ou at mesmo acionistas!
[A]ttainable ou Achievable: Alcanvel
importante que objetivos tenham metas desaadoras e que demandem algum tipo de esforo para serem alcanados, mas
fundamental que os objetivos possam ser alcanados.
importante gerar um desao para que as equipes superem, mesmo parecendo ser difcil, mas isso muito diferente de buscar
nmeros impossveis de serem atingidos. Em vez de motivar, o objetivo s causar frustrao e desnimo.
Algumas variaes do uso deste recurso atribuem a letra A a objetivos estabelecidos em comum acordo (agreed upon), o que signica
que os envolvidos na execuo do objetivo estode acordo com sua viabilidade e benefcios.
[R]ealistic: Realista
Frequentemente objetivos traados so possveis de serem alcanados, no entanto, nem sempre reetem a realidade do negcio.
H alguns fatores que devem ser considerados neste aspecto e, dentre eles, se o objetivo est devidamente alinhado com a misso e
viso da organizao ou se algum princpio tico/legal est sendo ferido pelo objetivo.
No adianta estabelecer como um objetivo entregar projetos no prazo e no custo estabelecidos se os projetos entregues no
agregam valor aos objetivos estratgicos da empresa.
Tenha em mente que um lder que dene um objetivo pouco realista est fora de sincronia com a empresa e com sua equipe.
[T]imely ou Time-bounded: em tempo
De certa forma esta caracterstica est vinculada a denio dos objetivos de maneira especca (S). O objetivo deve ter seu prazo
para ser alcanado claramente estabelecido, e este perodo no pode ser to curto a ponto de tornar o objetivo impossvel de ser
alcanado, nem to longo a ponto de que ocorra a perda de foco com o passar do tempo. Alguns autores tambm apresentam o T
como Tangvel (Tanglible).
Exemplo:Objetivo no-smart: construir uma casa no campo.Objetivo SMART: construir uma casa trrea no campo, na regio de
Sorocaba-SP, com rea til interna de 180 m, piso frio em todos os cmodos, 3 sutes, sala com lareira, churrasqueira, garagem para
at 10 carros, quadra de futsal, sistema de segurana com cmeras e alarme, dentro de um perodo de 18 meses a contar desta data,
com um oramento de at R$650.000.

Alm dos objetivos de controle genricos vistos anteriormente, oCOBIT tambm estabelece alguns objetivos denominados controles
de aplicao.
Trata-se de controles existentes em aplicaes dos processos de negcio, onde o COBIT assume que o projeto e implementao de
controles de aplicaes automatizados so de responsabilidade da organizao de TI, cobertos no domnio de Aquisio e
Implementao e baseados nos requisitos de negcio por meio dos critrios de informao denidos no COBIT.
Exemplos deste tipo de controle incluem a totalidade, preciso, validade, autorizao de acesso e segregao de funes.
O gerenciamento operacional e a responsabilidade de controle sobre os controles de aplicao no so da TI, mas sim no proprietrio
do processo de negcio.
Embora a responsabilidade pelos controles de aplicaes seja compartilhada pelo negcio e pela TI, a natureza das responsabilidades
muda em funo de cada papel:
Ao negcio cabe a responsabilidade de denir requisitos funcionais e requisitos de controle, alm claro do uso dos servios
automatizados.
A TI ca responsvel por automatizar e implementar as funcionalidades de negcios e os requisitos de controle e estabelecer
controles para manter a integridade dos controles de aplicao.
O conjunto de objetivos de controle recomendado para aplicaes identicado no COBIT pela iniciais AC (Application Control), sendo
que cada objetivo ser listado a seguir:
AC1 Autorizao e preparao da fonte de dados
Assegura que as fontes dos documentos estejam preparadas por pessoal qualicado e autorizado seguido os procedimentos
estabelecidos, levando em considerao a adequada segregao de papis necessrias na origeme aprovao destes documentos.
Erros e omisses podem ser minimizados por meio de formulrios de entrada bem projetados. Detecta erros e irregularidades de
modo que estas possam ser reportadas e corrigidas.
Objetivos de controle
AC2 Coleo de fonte de dados e alimentao
Estabelece que a entrada de dados seja realizada no tempo adequado por equipe autorizada e qualicada. Correo e
reprocessamento de dados que foram alimentados erroneamente deve ser realizada sem comprometer o nvel original de
autorizao da transao. Onde for apropriado efetuar a reconstruo, reter os documentos de origem por tempo adequado.
AC3 Vericao de preciso, completude e autencidadeAssegura que transaes sejam precisas, completas e validas. Valida dados
que foram alimentados, e edita o devolve para correo o mais prximo possvel do ponto de origem das informaes.

AC4 Processamento com integridade e validade


Mantm a integridade e validade dos dados durante o ciclo de processamento. A identicao de transaes incorretas no deve
impactar o processamento das transaes vlidas.
AC5 Reviso de sadas, reconciliao e tratamento de erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as saidas sejam tratadas de maneira autorizada,
entregues nos destinos apropriados, e protegidas durante a transmisso. Estabelece que a vericao, deteco e correo da
preciso das sadas ocorra; e que a informao fornecida como sada seja utilizada.
AC6 Integridade e autenticao de transaes
Antes de passar dados de transaes entre aplicaes internas e funes de negcio/operacional (dentroou fora da empresa),
vericar pelo endereamento apropriado, autenticidade da origem e integridade do contedo. Mantenha a autenticidade e
integridade durante a transmisso ou transporte.
1) Crie objetivos SMART para os casos abaixo:
A) Comprar um carro.
B) Fazer uma viagem de frias.
C) Obter a Certicao COBIT Foundations.
D) Conseguir o primeiro milho de Reais.
E) Ter um local para passar as frias com a famlia.
2) Suponha que voc tenha R$500.000,00 disponveis e que gostaria de investir em aes. Quais seriam os critrios que voc adotaria
para selecionar a(s) empresa(s) onde o seu dinheiro ser aplicado?
Descrio do processo
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
Uma descrio do processo
Critrios de informao aplicados ao processo
Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para assegurar que o - processo seja mantido
sob controle
Principais indicadores de performance
Recursos de TI envolvidos
<Objetivos de controle detalhados

Diretrizes de gerenciamento- Entradas e processos de origem- Sadas e processos de destino


Matriz de responsabilidades (RACI)
Objetivos e mtricas
Modelo de maturidade
Domnio planejar e organizar (PO)
Os processos do domnio planejar e organizar so:
PO1 Denir um plano estratgico de TIPO2 Denir a arquitetura da informaoPO3 Determinar a direo tecnolgicaPO4
Denir os processos de TI, sua organizao e relacionamentosPO5 Gerenciar os investimentos em TIPO6 Comunicar metas
gerenciais e direcionamentoPO7 Gerenciar recursos humanos de TIPO8 GerenciarqualidadePO9 Avaliar e gerenciar riscos de
TIPO10 Gerenciar projetos
PO1 Denir um plano estratgico de TI
- Estabelece 6 objetivos de controleO planejamento estratgico de TI necessrio para gerenciar e dirigir todos os recursos de TI em
alinhamento com as estratgias e prioridades do negcio. A funo da TI e as partes interessadas do negcio so responsveis por
assegurar que o melhor valor seja obtido por meio dos portflios de projetos e servios.
O planejamento estratgico melhora o entendimento das principais partes interessadas sobre as oportunidades e limitaes da TI,
avalia a performance atual, identica requisitos de capacidade e recursos humanos e norteia o nvel de investimento requerido.
A estratgia e prioridades de negcio devem estar reetidas nos portflios e executadas pelos planos tticos de TI, que especicam
objetivos concisos, planos de ao e tarefas que so compreendidas e aceitas tanto pelo negcio quanto pela TI.
O objetivo deste processo sustentar ou expandir a estratgia do negcio e requisitos de governana com transparncia sobre os
benefcios, custos e riscos.
Objetivos de controle do processo PO1
PO1.1 Gerenciamento do valor da TIPO1.2 Alinhamento entre TI e o negcioPO1.3 Avaliao de capacidade e performance
atualPO1.4 Plano estratgico de TIPO1.5 Planos tticos de TiPO1.6 Gerenciamento do portflio de TI
Este processo medido por:
% de objetivos de TI do plano estratgico de TI que suportam os planos de estratgia do negcio
% de projetos de TI no portflio de TI que podem ser diretamente mapeados aos planos tticos de TI
Demora entre asatualizao do plano estratgico de TI e os planos tticos de TI
J

PO2 Denir a arquitetura da informao


- Estabelece 4 objetivos de controle
A funo dos sistemas de informao cria e atualiza regularmente um modelo de informao de negcio e deni os sistemas
apropriados para otimizar o uso desta informao.
Isto considera o desenvolvimento de um dicionrio de dados corporativo com as regras de sintaxe dos dados da organizao,
esquemas de classicao dos dados e nveis de segurana.
Este processo melhora a qualidade das tomadas de deciso gerenciais por ter certeza que informao convel e segura, e habilita o
racionalizao dos recursos de sistemas de informao para atender de maneira apropriada as estratgias de negcio.
Este processo de TI tambm necessrio para aumentar a responsabilidade pela integridade e segurana dos dados para melhorar a
efetividade e controle decompartilhar informaes por meio de aplicaes e entidades.
O objetivo deste processo obter agilidade para responder aos requisitos, prover informaes consistentes e conveis e integrar
continuamente as aplicaes ao processos do negcio.
Objetivos de controle do processo PO2
PO2.1 Modelo corporativo de arquitetura da informaoPO2.2 Dicionrio de dados corporativo e regras de sintaxe de dadosPO2.3
Esquema de classicao dos dadosPO2.4 Gerenciamento de integridade
Este processo medido por:
% de elementos de dados redundantes/duplicados
% de aplicaes em no-conformidade com a metodologia da arquitetura de informaes utilizadas na organizao
Frequncia das atividades de validao dos dados
J
PO3 Determinar adireo tecnolgica
- Estabelece 5 objetivos de controle
A funo dos servios de informao determina a direo tecnolgica para suportar o negcio. Isto requer a criao de um plano de
infraestrutura tecnolgica e um comit de arquitetura que estabelece e gerencia expectativas claras e realistas de qual tecnologia
pode oferecer em termos de produtos, servios e mecanismos de entrega.
O plano atualizado regularmente e engloba aspectos como a arquitetura dos sistemas, direcionamento tecnolgico, plano de
aquisies, padres, estratgicas de migrao e contingncia.
Isto habilita respostas imediatas a mudanas em um ambiente competitivo, economia de escala para equipes de sistemas de

informao e investimentos, assim como melhora de interoperabilidade de plataformas e aplicaes.


O objetivo deste processo obter um sistema de aplicaes estvel, integrado, eciente (custos), recursos e capacidades que atendam
aos requisitos atuais e futuros do negcio.
Objetivos de controle do processo PO3
PO3.1 Planejamento do direcionamento tecnolgicoPO3.2 Plano da infraestrutura tecnolgicaPO3.3 Monitorar tendncias
futuras e regulamentaoPO3.4 Padres tecnolgicosPO3.5 Conselho de arquitetura de TI
Este processo medido por:
Nmero e tipo de desvios do plano da infraestrutura tecnolgica
Frequncia da reviso/atualizao do plano de infraestrutura tecnolgica
Nmero de plataformas tecnolgicas por funo em toda a organizao
K
PO4 Determinar os processos de TI, sua organizao e relacionamentos
- Estabelece 15 objetivos de controle
Uma organizao de TI denida ao considerar os requisitospara as pessoas, competncias, funes, responsabilidades, autoridade,
papis e superviso. Esta organizao incorporada a um framework de processos de TI que assegura transparncia e controle,
assim como o envolvimento de executivos sniors e o gerenciamento do negcio.
Um comit de estratgia assegura o acompanhamento da TI pela direo da empresa, e um ou mais comits de direcionamento com
a participao de TI e do negcio determina a priorizao dos recursos de TI devidamente alinhado com as necessidade de negcio.
Processos, procedimentos e polticas administrativas so implementados para todas as funes, com ateno especial a controles,
gesto de qualidade, gerenciamento de riscos, informaes, segurana, dados, propriedade sobre os sistemas, e segregao de
papis.
Para assegurar suporte imediato aos requisitos de negcio, TI deve ser envolvida nas decises sobre os processos relevantes.
Objetivos de controle do processo PO4
PO4.1 Framework de processos de TIPO4.2 Comit de estratgia de TIPO4.3 Comit de direcionamento de TIPO4.4 Colocao
organizacional da Fundao da TIPO4.5 Estrutura organizacional da TIPO4.6 Estabelecimento de papis e responsabilidadesPO4.7
Responsabilidade pelo controle de qualidade de TIPO4.8 Responsabilidade por riscos, segurana e adernciaPO4.9 Propriedade
sobre sistemas e dadosPO4.10 SupervisoPO4.11 Segregao de funesPO4.12 EquipePO4.13 Pessoas-chave na TIPO4.14
Procedimento e polticas para contratadosPO4.15 Relacionamentos

O objetivo do processo PO4 obter agilidade para responder a estratgia do negcio atendendo, ao mesmo tempo, osrequisitos de
governana e provendo pontos de contato denidos e competentes.
Este processo medido por:
% de papis com posio documentada e descrio do nvel de autoridade
Nmero de processos/unidades de negcio no suportados pela organizao da TI que deveriam ser suportados, de acordo com a
estratgia
Nmero de atividades principais da TI fora da organizao da TI que no esto aprovadas ou no esto sujeitas aos padres
organizacionais de TI
G
PO5 Gerenciar os investimentos em TI
- Estabelece 5 objetivos de controle
Um framework estabelecido e mantido para gerenciar os programas de investimento em TI e este engloba os custos, benefcios e
priorizao de acordo com o oramento, um processo formal de oramentao e gerenciamento sobre o oramento.
As partes interessadas so consultadas para identicar e controlar o custo total e benefcios no contexto dos planos estratgicos e
tticos de TI, e iniciar aes corretivas quando necessrio.
O processo promove parceria entre TI e as partes interessadas do negcio, habilita o uso efetivo e eciente dos recursos de TI, e prov
transparncia e responsabilidade sobre o Custo Total de Propriedade (Total Cost of Ownership - TCO) na realizao dos benefcios
para o negcio e Retorno sobre os Investimentos em TI.
O objetivo deste processo demonstrar continuamente as melhorias de ecincia dos custos de TI e sua contribuio para a
lucratividade do negcio com servios integrados e padronizados que satisfaam as expectativas dos usurios nais.
Objetivos de controle do processo P05
PO5.1 Framework de gerenciamento nanceiroPO5.2 Priorizao deacordo com o oramentoPO5.3 Oramentao de TIPO5.4
Gerenciamento de custosPO5.5 Gerenciamento de benefcios
Este processo medido por:
% de reduo do custo unitrio dos servios de TI entregues
% do valor de desvio do oramento comparado com o oramento total
% de gastos de TI expressos em linguagem de negcio (isto , aumento de vendas ou de servios em funo de aumento de
conectividade).

F
PO6 Comunicar metas gerenciais e direcionamento
- Estabelece 5 objetivos de controle
A alta direo desenvolve um framework corporativo de controle de TI e deni e comunica as polticas. Um programa de comunicao
implementado para articular a misso, objetivos de servio, polticas e procedimentos e outras iniciativas aprovadas e suportadas
pelo gerenciamento.
A comunicao suporta o alcance aos objetivos de TI e assegura a conscincia e compreenso dos riscos do negcio e da TI, objetivos
e direcionamento.
O processo tambm assegura aderncia com legislao e regulamentos relevantes.
O objetivo deste processo fornecer informao precisa e no tempo adequado sobre os servios de TI atuais e futuros e seus riscos
associados e responsabilidades.
Objetivos de controle do processo P06
PO6.1 Poltica de TI e ambiente de controlePO6.2 Riscos corporativos de TI e framework de controlePO6.3 Gerenciamento de
polticas de TIPO6.4 Aplicao de polticas, padres e procedimentosPO6.5 Comunicao dos objetivos de TI e direcionamento
Este processo medido por:
Nmero de interrupes no negcio causadas por interrupes dos servios de TI.
% de partes interessadas que entendem o framework corporativo decontrole de TI.
% de partes interessadas que no esto em conformidade com as polticas estabelecidas.
G
PO7 Gerenciar recursos humanos de TI
- Estabelece 8 objetivos de controleUma fora de trabalho competente adquirida e mantida para a criao e entrega dos servios de
TI para o negcio. Isto alcanado por seguir prticas denidas e acordadas que suportam o recrutamento, treinamento, avaliao de
performance, promoo e desligamento.
Este processo crtico, considerando que pessoas so tratadas como um ativo importante para a empresa, e governana e o controle
interno do ambiente so extremamente dependentes da motivao e competncias das pessoas.
O objetivo deste processo adquirir pessoas competentes e motivas para criar e entregar servios de TI.
Objetivos de controle do processo P07
PO7.1 Contratao e reteno de pessoalPO7.2 Competncias pessoaisPO7.3 PapisPO7.4 TreinamentoPO7.5 Dependncia

sobre indivduosPO7.6 Procedimentos de autorizao de pessoalPO7.7 Avaliao de performance dos colaboradoresPO7.8


Mudanas de emprego e desligamentos
Este processo medido por:
Nvel da satisfao das partes interessadas com o expertise e competncias do pessoal de TI
Rotatividade do pessoal deTI
% do pessoal certicado de acordo com as necessidades do trabalho
L
Enter PO8 Gerenciar qualidade
- Estabelece 6 objetivos de controle
Um sistema de gerenciamento de qualidade desenvolvido e mantido para incluir desenvolvimento comprovado e aquisio de
processos e padres.
Isto habilitado por meio de planejamento, implementao e manuteno do sistema de gerenciamento daqualidade por fornecer
requisitos claros de qualidade, procedimentos e polticas.
Requisitos de qualidade so estabelecidos e comunicados em indicadores quanticveis e alcanveis. Melhoria contnua alcanada
pelo monitoramento constante, analise e ao sobre desvios, e na comunicao dos resultados para as partes interessadas.
Gerenciamento de qualidade essencial para assegurar que a TI est agregando valor ao negcio, melhoria contnua e transparncia
para as partes interessadas. O objetivo deste processo assegurar uma melhoria contnua e mensurvel dos servios de TI entregues.
Objetivos de controle do processo P08
PO8.1 Sistema de gerenciamento de qualidadePO8.2 Padres de TI e prticas de qualidadePO8.3 Padres de desenvolvimento e
aquisioPO8.4 Foco no clientePO8.5 Melhoria contnuaPO8.6 Medio de qualidade, monitoramento e reviso
Este processo medido por:
% de partes interessadas satisfeitas com a qualidade da TI (por importncia)
% de processos de TI que so formalmente revisados por controle de qualidade em uma base peridica que atenda as metas e
objetivos de qualidade
% de processos recebendo reviso de controle de qualidade
PO9 Avaliar e gerenciar riscos de TI
- Estabelece 6 objetivos de controle
Um framework para gerenciamento de riscos criado mantido. O framework documenta um nvel comum e acordado de riscos de

TI, estratgia de mitigao e riscos residuais.


Qualquer impacto potencial nos objetivos da organizao que seja causado por um evento no planejado identicado, analisado e
avaliado.
Estratgias para mitigao dos riscos so adotadas para minimizarriscos para um nvel aceitvel.
O resultado da avaliao deve ser compreensvel para as partes interessadas e deve ser expressado em termos nanceiros, para
habilitar as partes interessadas a alinhar os riscos a um nvel aceitvel de tolerncia.O objetivo deste processo analisar e comunicar
os riscos de TI e seu potencial impacto nos processos e objetivos do negcio.
D
Objetivos de controle do processo P09
PO8.1 Framework de gerenciamento de riscos de TIPO8.2 Estabelecimento do contexto dos riscosPO8.3 Identicao de
eventosPO8.4 Avaliao de riscosPO8.5 Resposta a riscosPO8.6 Manuteno e monitoramento de um plano de ao de riscos
Este processo medido por:
% de objetivos crticos de TI cobertos por uma avaliao de riscos.
% de riscos crticos de TI identicados com planos de ao desenvolvidos.
% de planos de ao para gerenciamento de riscos aprovados para implementao.
PO10 Gerenciar projetos
Estabelece 14 objetivos de controleUm framework para gerenciamento de programas e projetos para o gerenciamento de todos os
projetos de TI estabelecido. O framework assegura a priorizao correta e a coordenao de todos projetos.
O framework inclui o plano principal, atribuio de recursos, denio dos entregveis, controle de qualidade, um plano formal de
testes, testes e reviso ps-implementao aps a instalao para assegurar o gerenciamento do risco do projeto e a entrega de valor
para o negcio.
Esta abordagem reduz o risco de custos inesperados e o cancelamento de projetos, melhora a comunicao para o envolvimento do
negcio e dos usurios nais, assegura o valor e aqualidade dos entregveis dos projetos, e maximiza sua contribuio ao programa
de investimentos de TI.O objetivo deste processo assegurar que os resultados dos projetos sejam entregues dentro do prazo
acordado, no oramento denido e com a qualidade necessria.
Objetivos de controle do processo P010
PO10.1 Framework de gerenciamento de programasPO10.2 Framework de gerenciamento de projetosPO10.3 Abordagem de
gerenciamento de projetosPO10.4 Comprometimento das Partes InteressadasPO10.5 Declarao do escopo dos projetosPO10.6

Fase de iniciao dos projetosPO10.7 Plano integrado de projetosPO10.8 Recursos dos projetosPO10.9 Gerenciamento de riscos
dos projetosPO10.10 Plano de qualidade dos projetosPO10.11 Controle de mudanas dos projetosPO10.12 Planejamento de
mtodos de segurana dos projetosPO10.13 Medio de performance, relatrios e monitoramento de projetosPO10.14
Encerramento dos projetos
Objetivos do PO10
importante observar que o COBIT se integra perfeitamente com padres mais detalhados para o gerenciamento de projetos, como
o PMBOK ou PRINCE2.
Este processo medido por:
% de projetos atendendo as expectativas das partes interessadas (no prazo, no oramento e atendendo aos requisitos por
importncia).
% de projetos que recebem reviso ps-implementao.
% de projetos que esto seguindo os prticas e padres para gerenciamento de projetos.
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
Uma descrio do processo
Critrios de informao aplicados ao processo
Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas paraassegurar que o processo seja mantido sob
controle
Principais indicadores de performance recursos de TI envolvidos
Objetivos de controle detalhados
Diretrizes de gerenciamento
Entradas e processos de origem
Sadas e processos de destino
Matriz de responsabilidades (RACI)
Objetivos e mtricas
Modelo de maturidade
G
Adquirir e implementar (AI)
Os processos do domnio adquirir e implementar so:

AI1 Identicar solues automatizadasAI2 Adquirir e manter software aplicativoAI3 Adquirir e manter infraestrutura
tecnolgicaAI4 Habilitar operao e usoAI5 Obteno de recursos de TIAI6 Gerenciar mudanasAI7 Instalar e validar solues e
mudanas
AI1 Identicar solues automatizadas
- Estabelece 4 objetivos de controle
A necessidade para uma nova aplicao ou funes requer anlise antes da aquisio ou criao para assegurar que os requisitos de
negcio sejam satisfeitos em uma abordagem efetiva e eciente. Este processo cobre a denio das necessidades, considerao das
fontes alternativas, reviso da viabilidade tecnolgica e econmica, e concluso da deciso nal sobre fazer ou comprar.
Todos estes passos habilitam as organizaes a minimizar os custos para adquirir e implementar solues enquanto assegura que
estas habilitam que o negcio possa alcanar seus objetivos.
O objetivo deste processo traduzir as funcionalidades do negcio e requisitos de controles em um design efetivo e eciente de
solues automatizadas.
Objetivos de controle do processo AI1
AI1.1 Denio e manuteno do funcionamento do negcio e requisitos tcnicosAI1.2 Relatrio de anlise de riscosAI1.3 Estudo
de viabilidade e formulao de cursos de ao alternativosAI1.4 Aprovao de estudos de viabilidade e requisitos
Este processo medido por:
Nmero de projetos cujos objetivos estabelecidos no foram atingidos em funo de estudos de viabilidade incorretos.
% de estudos de viabilidade assinados pelos proprietrios dos processos de negcio.
% de usurios satisfeitos com as funcionalidades entregues.
J
AI2 Adquirir e manter software aplicativo
- Estabelece 10 objetivos de controle
Aplicaes so colocadas disponveis em alinhamento com os requisitos de negcio. Este processo cobre o projeto das aplicaes, a
incluso apropriada de controles de aplicao e requisitos de segurana, e o desenvolvimento e congurao alinhados com
padronizaes.
Isto permite que a organizao possa suportar a operao do negcio de maneira apropriada e com as aplicaes corretas
automatizadas.
O objetivo deste processo alinhar as aplicaes disponveis com os requisitos de negcio, e fazer isso no tempo adequado e com um

custo razovel.
Objetivos de controle do processo AI2
AI2.1 Design de alto nvelAI2.2 Design detalhadoAI2.3 Controle e auditabilidade de aplicativosAI2.4 Segurana e disponibilidade
de aplicativosAI2.5 Congurao e implementao de software aplicativo adquiridoAI2.6 Major upgrades em sistemas
existentesAI2.7 Desenvolvimento de software aplicativoAI2.8 Controle de qualidade de softwareAI2.9 Gerenciamento de
requisitos de aplicativosAI2.10 Manuteno de software aplicativo
Este processo medido por:
Nmero de problemas em ambiente de produo, por aplicao, causando downtimevisvel.
% de usurios satisfeitos com as funcionalidades entregues.
G
AI3 Adquirir e manter infraestrutura tecnolgica
- Estabelece 4 objetivos de controle
As organizaes tem processos para aquisio, implementao e atualizaes da infraestrutura tecnolgica.
Isto requer um abordagem planejada para aquisio, manuteno e proteo da infraestrutura alinhados com estratgias
tecnolgicas acordadas e com o provisionamento de ambientes de desenvolvimento e testes.
Isto assegura que h suporte tecnolgico no dia-a-dia para as aplicaes do negcio.
O objetivo deste processo adquirir e manter uma infraestrutura de TI integrada e padronizada.
Objetivos de controle do processo AI3
AI3.1 Plano de aquisio da infraestrutura tecnolgicaAI3.2 Disponibilidade e proteo de recursos da infraestruturaAI3.3
Manuteno da infraestruturaAI3.4 Viabilidade do ambiente de testes
Este processo medido por:
% de plataformas que no esto alinhadas com a arquitetura de TI e padres tecnolgicos.
Nmero de processos crticos de negcio suportados por infraestrutura obsoleta (ou que vai car obsoleta em curto prazo).
Nmero de componentes da infraestrutura que no tem mas suporte (ou que no tero mais em curto prazo).
F
AI4 Habilitar operao e uso
- Estabelece 4 objetivos de controle
O conhecimento sobre sistemas novos deve estar disponvel. Este processo demanda a produo de documentao e manuais para

usurios e a prpria TI, e oferece treinamento para assegurar o uso apropriado e a operao das aplicaes e de infraestrutura.
O processo visa assegurar a satisfao dos usurios nais em relao aoferta de servios e respectivos nveis e integrando
continuamente as aplicaes e solues tecnolgicas aos processos de negcio.
Objetivos de controle do processo AI4
AI4.1 Planejamento para solues operacionaisAI4.2 Transferncia de conhecimento para as gerncias de negcioAI4.3
Transferncia de conhecimento para usurios naisAI4.4 Transferncia de conhecimento para operao e equipes de suporte
Este processo medido por:
Nmero de aplicaes onde os procedimentos de TI so continuamente integrados aos processos de negcio.
% de proprietrios de negcio satisfeitos com o treinamento de aplicativos e materiais de suporte.
Nmero de aplicativos com usurios adequados e treinamento de suporte operacional.
G
AI5 Obteno de recursos de TI
- Estabelece 4 objetivos de controle
Os recursos de TI, incluindo pessoas, hardware, software e servios, preciso ser obtidos. Isto requer a denio e cumprimento de
procedimentos de aquisio, a seleo de fornecedores, a denio de acordos contratuais, a aquisio propriamente dita.
Fazer isso assegura que a organizao tenha todos os recursos de TI requisitados no tempo apropriado e de uma maneira efetiva sob
o ponto de vista de custos.
Esta iniciativa vem ao encontro da necessidade de negcio em melhorar a ecincia nanceira da TI e sua consequente contribuio
para a lucratividade do negcio.
Objetivos de controle do processo AI5
AI5.1 Controle de aquisiesAI5.2 Gerenciamento de contratos de fornecedoresAI5.3 Seleo de fornecedoresAI5.4 Aquisio
de recursos de TI
Este processo medido por:
Nmero de disputas relacionadas acontratos de compra.
% de reduo dos custos de aquisio.
% de partes interessadas importantes que esto satisfeitos com os fornecedores.
F
AI6 Gerenciar mudanas

- Estabelece 5 objetivos de controleTodas as mudanas, incluindo manuteno de emergncia e aplicao de patches, relacionadas a
infraestrutura e aplicaes do ambiente de produo so formalmente gerenciadas de forma controlada.
Mudanas, incluindo aquelas relacionadas a procedimentos, processos, sistemas e parmetros de servios, so registradas, avaliadas
e autorizadas antes de sua implementao, e so revisadas em relao as sadas planejadas aps a implementao.
Isto assegura a mitigao de riscos de impacto negativo a estabilidade ou integridade do ambiente de produo.
O objetivo deste processo responder aos requisitos de negcio em alinhamento com a estratgia do negcio, reduzindo os defeitos
na entrega de servios e retrabalho.
Objetivos de controle do processo AI6
AI6.1 Padres e procedimentos de mudanaAI6.2 Avaliao de impacto, priorizao e autorizaoAI6.3 Mudanas
emergenciaisAI6.4 Acompanhamento de mudana de status e relatriosAI6.5 Fechamento e documentao da mudana
Este processo medido por:
Nmero de interrupes ou erros de dados causados por especicao imprecisa ou avaliao de impacto imcompleta
Volume de retrabalho em aplicaes ou infraestrutura causados por especicaes de mudanas inadequada
% de mudanas que seguiram um processo formal de controle
F
AI7 Instalar e validar solues e mudanas
- Estabelece 9 objetivos de controleNovos sistemas devem ser colocados em operao aps seudesenvolvimento estar completo. Isto
requer testes adequados em um ambiente dedicado com dados relevantes para o propsito de testes, denio do plano de
implementao e instrues para migrao, planejamento da liberao para colocar o sistema em produo, e inclui tambm uma
reviso ps-implementao.
Isto assegura que os sistemas estejam disponveis de maneira alinhada com as sadas e expectativas previamente acordadas com as
reas de negcio da empresa.
O foco principal deste objetivo de controle assegurar que a implementao de novos sistemas ou de mudanas ocorra sem causar
grandes impactos ou problemas aps a instalao.
Objetivos de controle do processo AI7
AI7.1 TreinamentoAI7.2 Plano de testesAI7.3 Plano de ImplementaoAI7.4 Ambiente de testesAI7.5 Converso de sistemas e
dadosAI7.6 Testes das mudanasAI7.7 Teste de aceitao nalAI7.8 Promoo para produoAI7.9 Reviso ps-implementao
Este processo medido por:

Volume de downtime de aplicaes ou nmero de correes nos dados causadas em funo de testes inadequados.
% de sistemas que atendem aos benefcios esperados quando medidos por meio do processo de reviso ps-implementao.
% de projetos com plano de testes documentado e aprovado.
D
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:
Uma descrio do processo
Critrios de informao aplicados ao processo
Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para assegurar que o processo seja mantido sob
controle
Principais indicadores de performance
Recursos de TI envolvidos
Objetivos de controle detalhadosDiretrizes de gerenciamento
Entradas e processos de origem
Sadas e processos de destino
Matriz de responsabilidades (RACI)
Objetivos e mtricas
Modelo de maturidade
D
Entregar e suportar (DS)
Os processos do domnio entregar e suportar so:
DS1 Denir e gerenciar nveis de servioDS2 Gerenciar servios de terceirosDS3 Gerenciar performance e capacidadeDS4
Garantir a continuidade dos serviosDS5 Garantir a segurana dos sistemasDS6 Identicar e alocar custosDS7 Educar e treinar
usuriosDS8 Gerenciar a central de servios e incidentesDS9 Gerenciar a conguraoDS10 Gerenciar problemasDS11
Gerenciar dadosDS12 Gerenciar os ambientes fsicosDS13 Gerenciar operaes
DS1 Denir e gerenciar nveis de servio
- Estabelece 6 objetivos de controle
Trata-se da comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao aos servios requeridos, habilitado
atravs da documentao e o acordo de servios da TI e nveis de servios.

Este processo tambm inclui o monitoramento e o reporte em tempo adequado para as partes interessadas sobre o cumprimento
dos nveis de servios.
Este processo habilita o alinhamento entre os servios da TI o os requerimentos de negcio associados.
O objetivo assegurar o alinhamento dos principais servios de TI com a estratgia do negcio
Objetivos de controle do processo DS1
DS1.1 Framework de gerenciamento de nvel de servioDS1.3 Acordos de nvel de servioDS1.4 Acordos de nvel
operacionalDS1.5 Monitoramento e reporte sobre os nveis de servio alcanadosDS1.6 Reviso dos acordos de nvel de servio e
contratosEste processo medido por:
% de partes interessadas do negcio que esto satisfeitos com o alcance dos nveis de servio acordados.
Nmero de servios entregues que no constam no catlogo de servios.
Nmero de reunies por ano para reviso formal dos nveis de servio realizadas com os clientes do negcio.
D
DS2 Gerenciar servios de terceiros
- Estabelece 4 objetivos de controle
A necessidade de assegurar que servios providos por terceiros atendam aos requisitos do negcio requer um processo efetivo de
gerenciamento de terceiros.
Este processo efetuado com papeis claramente denidos, responsabilidades e expectativas em acordos com terceiros, assim como
reviso e monitoramento destes acordos para efetividade e conformidade.
O gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores sem a performance
necessria ou adequada.
O objetivo deste processo assegurar que terceiros possam prover servios satisfatrios mantendo a transparncia sobre os
benefcios, custos e riscos
Objetivos de controle do processo DS2
DS2.1 Identicao de todos os relacionamentos com fornecedoresDS2.2 Gerenciar o relacionamento com fornecedoresDS2.3
Gerenciar risco dos fornecedoresDS2.4 Monitorar a performance dos fornecedores
Este processo medido por:
Nmero de reclamaes de usurios sobre os servios contratados.
% de fornecedores estratgicos alcanando requisitos e nveis de servio claramente denidos.

% de fornecedores estratgicos sujeitos a monitoramento.


F
DS3 Gerenciar performance e capacidade
- Estabelece 5 objetivos de controle
A necessidadede gerenciar performance e capacidade dos recursos de TI requer um processo para rever periodicamente a
performance e capacidade atual dos recurso s de TI.
Este processo inclui a previso da capacidade futura baseado em requisitos de carga, armazenamento e contingncia.
Este processo assegura que recursos de informao que suportam requisitos de negcio estejam disponveis continuamente.
O objetivo deste processo otimizar a performance da infraestrutura de TI, recursos e capacidades em resposta as necessidades de
negcio.
Objetivos de controle do processo DS3
DS3.1 Planejamento de performance e capacidadeDS3.2 Performance e capacidade atualDS3.3 Performance e capacidade
futuraDS3.4 Disponibilidade dos recursos de TIDS3.5 Monitoramento e relatrios
Este processo medido por:
Nmero de horas perdidas por usurio/por ms em funo de um planejamento de capacidade insufuciente.
% de picos onde a utilizao prevista excedida.
% de tempo de resposta no alcanado nos acordos de nvel de servio.
S
DS4 Garantir a continuidade dos servios
- Estabelece 10 objetivos de controle
A necessidade de prover servios de TI de maneira contnua requer o desenvolvimento, manuteno e testes de planos de
continuidade dos servios de TI, utilizando armazenamento externo de backups e proporcionando treinamento peridico sobre os
planos de continuidade.
Um processo efetivo de servios contnuos minimiza a probabilidade de impacto para os processos e funes do negcio causados
por uma interrupo signicativa nos servios de TI (desastre).
O objetivo deste processo assegurar o mnimo impacto para onegcio em funo de eventos que venham interromper os servios
de TI por focar na construo de resilincia das solues automatizadas e no desenvolvimento, manuteno e testes de planos de

continuidade dos servios de TI.


Objetivos de controle do processo DS4
DS4.1 Framework de continuidade de TIDS4.2 Plano de continuidade de TIDS4.3 Recursos crticos de TIDS4.4 Manuteno do
plano de continuidade de TIDS4.5 Teste do plano de continuidade de TIDS4.6 Treinamento do plano de continuidade de TIDS4.7
Distribuio do plano de continuidade de TIDS4.8 Recuperao e retomada dos servios de TIDS4.9 Armazenamento externo de
backupDS4.10 Reviso ps-retomada
Este processo medido por:
Nmero de horas perdidas por usurio/por ms em funo de falhas no planejadas
Nmero de processos crticos para o negcio dependentes de recursos de TI que no esto cobertos por um plano de continuidade
D
DS5 Garantir a segurana dos sistemas
- Estabelece 11 objetivos de controle
A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento de segurana.
Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e procedimentos da segurana de TI. O
gerenciamento da segurana tambm inclui realizar monitoramento da segurana, testes peridicos e implementar aes corretivas
ao identicar fraquezas ou incidentes de segurana.
Um gerenciamento efetivo de segurana protege todos os ativos da TI para minimizar o impacto sobre o negcio sobre
vulnerabilidades e incidentes de segurana.
O objetivo deste processo manter aintegridade da informao e sua infraestrutura de processamento, e minimizar o impacto de
vulnerabilidades e incidentes de segurana.
Objetivos de controle do processo DS5
DS5.1 Gerenciamento da segurana de TIDS5.2 Plano de segurana de TIDS5.3 Gerenciamento de identidadeDS5.4
Gerenciamento de contas de usuriosDS5.5 Testes de segurana, scalizao e monitoramentoDS5.6 Denio de incidentes de
seguranaDS5.7 Proteo da tecnologia de seguranaDS5.8 Gerenciamento de chaves de criptograaDS5.9 Preveno, deteco
e correo de SW maliciosoDS5.10 Segurana de redesDS5.11 Troca de dados importantes
Este processo medido por:
Nmero de incidentes que afetaram a reputao da organizao no mercado.
Nmero de sistemas onde os requisitos de segurana no so alcanados.

Nmero de violaes em segregao de papis.


D
DS6 Identicar e alocar custos
- Estabelece 4 objetivos de controle
A necessidade para um sistema justo e imparcial de alocao de custos para o negcio requer a medio exata de custos da TI e
acordos com usurios de negcio para uma alocao correta.
Este processo inclui a criao e operao de um sistema de captura, alocao e reporte dos custos da TI para os usurios de servios.
Um sistema justo de alocao habilita o negcio a tomar decises com conscincia sobre o custo do uso de servios de TI.
O objetivo deste processo assegurar transparncia e entendimento dos custos de TI e melhorar a ecincia por meio de uso
consciente do servios de TI.
Objetivos de controle do processo DS6
DS6.1 Denio dos serviosDS6.2 Contabilidade de TIDS6.3 Modelos de custos ecobranasDS6.4 Manuteno do modelo de
custos
Este processo medido por:
% de contas referentes ao servios de TI aceitas/pagas pelos gerentes de negcio.
% de variao entre oramento, previso e custo atual.
% dos custos gerais de TI que so alocados de acordo com os modelos de custos acordados.
D
DS7 Educar e treinar usurios
- Estabelece 3 objetivos de controle
A educao efetiva de todos os usurios de sistemas de TI, incluindo aqueles dentro da TI, requer a identicao das necessidades de
treinamento de cada grupo.
Alm da identicao da necessidade, este processo inclui a denio e execuo de uma estratgia para um treinamento efetivo e
medio de resultados.
Um programa efetivo de treinamento melhora o uso efetivo da tecnologia com a reduo de erros de usurios, aumenta a
produtividade e aumenta a conformidade com controles chaves, tais como as medidas de segurana para usurios.
O objetivo deste processo usar as aplicaes e solues tecnolgicas de maneira eciente e ecaz, garantindo a aderncia dos
usurios com polticas e procedimentos.

Objetivos de controle do processo DS7


DS7.1 Identicao de necessidade de educao e treinamentoDS7.2 Entrega de treinamento e educaoDS7.3 Avaliao do
treinamento recebido
Este processo medido por:
Nmero de chamados na central de servios em funo de falta de treinamento dos usurios
% de satisfao das partes interessadas com o treinamento oferecido
Tempo decorrido entre a identicao de uma necessidade de treinamento e a entrega do mesmo
F
DS8 Gerenciar central de servios e incidentes
- Estabelece 5 objetivos decontrole
Respostas efetivas e no tempo adequado para as perguntas e problemas dos usurios da TI requerem uma central de servios bem
desenhada e implementada e um processo de gerenciamento de incidentes.
Este processo inclui a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e
resoluo de incidentes.
O benefcio para o negcio inclui um aumento de produtividade por meio da rpida resoluo das perguntas dos usurios.
O objetivo deste processo habilitar o uso efetivo dos sistemas de TI assegurando a resoluo e anlise das solicitaes, questes e
incidentes reportados por usurios nais.
Alm disso, o negcio pode enderear causas raizpor meio de relatrios efetivos.
Objetivos de controle do processo DS8
DS8.1 Central de serviosDS8.2 Registro das solicitaes dos usuriosDS8.3 Escalao de incidentesDS8.4 Fechamento de
incidentesDS8.5 Relatrio e anlises de tendncia
Este processo medido por:
Volume de usurios satisfeitos com o suporte de primeiro nvel.
% de incidentes resolvidos dentro do tempo acordado ou em um perodo aceitvel.
Taxa de abandono de ligaes.
S
DS9 Gerenciar a congurao
- Estabelece 3 objetivos de controle

Assegurar a integridade da congurao de hardware e software requer estabelecer e manter um preciso e completo repositrio da
congurao.
Este processo inclui a coleta inicial de informao sobre a congurao, estabelecer bases de referncia, vericar e auditar a
informao da congurao e atualizar o repositrio da congurao quando necessrio.
O gerenciamento efetivo da conguraofacilita a maior disponibilidade do sistema, minimiza problemas no ambiente de produo e
ajuda a resolver estes problemas com maior rapidez.
O objetivo deste processo otimizar a infraestrutura de TI, recursos e capacidades, e a responsabilidade sobre os ativos de TI.
Objetivos de controle do processo DS9
DS9.1 Repositrio de congurao e refernciaDS9.2 Identicao e manuteno de itens de conguraoDS9.3 Reviso da
integridade da congurao
Este processo medido por:
Nmero de no conformidades de negcio causadas por congurao inapropriada dos ativos.
Nmero de divergncias identicadas entre o repositrio de congurao e a congurao atual dos ativos.
% de licenas adquiridas e no contabilizadas no repositrio
F
DS10 Gerenciar problemas
- Estabelece 4 objetivos de controle
Um gerenciamento efetivo de problemas requer a identicao e classicao de problemas, anlise da causa raiz e resoluo de
problemas.
O processo do gerenciamento de problemas tambm inclui a identicao de recomendaes para melhorar a manuteno de
registros de problemas e revisar o status de aes corretivas.
Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao
do cliente.
O objetivo deste processo assegurar a satisfao do usurio nal com a oferta de servios e nveis de servio, e reduzindo a
necessidade de busca por solues, de entrega de servios com defeito e retrabalho.
Objetivos de controle do processo DS10
DS10.1 Identicao e classicao de problemasDS10.2 Acompanhamento de problemas eresoluesDS10.3 Fechamento de
problemasDS10.4 Integrao do gerenciamento de congurao, incidentes e problemas

Este processo medido por:


Nmero de problemas recorrentes com impacto para o negcio.
% de problemas resolvidos dentro do tempo requerido.
Frequncia de relatrios ou atualizaes sobre o tratamento do problemas, baseado na severidade.
S
DS11 Gerenciar dados
- Estabelece 6 objetivos de controle
O gerenciamento efetivo de dados requer a identicao de requisitos para os dados.
O processo de gerenciamento de dados tambm inclui estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias,
backup e recuperao e disponibilizar mdias apropriadas.
Um gerenciamento efetivo de dados ajuda a assegurar a qualidade, oportunidade e disponibilidade de dados para o negcio.
O objetivo deste processo otimizar o uso de informao e assegurar que a informao esteja disponvel quando requerido.
Objetivos de controle do processo DS11
DS11.1 Requisitos de negcio para o gerenciamento de dadosDS11.2 Providncias para reteno e armazenamentoDS11.3
Sistema de gerenciamento de biblioteca de mdiasDS11.4 DescarteDS11.5 Backup e restauraoDS11.6 Requisitos de segurana
para gerenciamento de dados
Este processo medido por:
% de usurios satisfeitos com a disponibilidade dos dados.
% de restaurao de dados realizadas com sucesso.
Nmero de incidentes onde dados importantes foram recuperados aps a mdia ter sido descartada.
E
DS12 Gerenciar os ambientes fsicos
- Estabelece 5 objetivos de controle
A proteo dos equipamentos de computao e pessoal requer instalaes bemdesenhadas e bem gerenciadas.
O processo de gerenciar o ambiente fsico inclui denir os requisitos do ambiente fsico, seleo de instalaes apropriadas e desenho
efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico.
Um gerenciamento efetivo do ambiente fsico reduz interrupes no negcio em funo de danos causados nos equipamentos de
computao e no pessoal.

O objetivo deste processo proteger ativos e dados do negcio e minimizar o risco de interrupo do negcio.
Objetivos de controle do processo DS12
DS12.1 Seleo de local e layoutDS12.2 Medidas de segurana fsicaDS12.3 Acesso fsicoDS12.4 Proteo contra fatores
ambientaisDS12.5 Gerenciamento das instalaes fsicas
Este processo medido por:
Volume de downtime gerado por incidentes de falhas fsicas no ambiente.
Nmero de incidentes causados por brechas ou falhas de segurana fsica.
Frequncia de avaliao de riscos fsicos e revises.
S
DS13 Gerenciar operaes
- Estabelece 5 objetivos de controle
O processamento completo e exato de dados requer um gerenciamento efetivo do processamento e a manuteno do hardware.
Este processo inclui a denio de polticas e procedimentos operacionais para um gerenciamento efetivo da programao do
processamento, proteo de sadas importantes, monitoramento da infraestrutura e manuteno preventiva de hardware.
Um gerenciamento efetivo da operao ajuda a manter a integridade dos dados e reduz atrasos no negcio e custos da operao da
TI.
O objetivo deste processo a manuteno da Integridade dos dados e assegurar que a infraestrutura de TI possa resistire se
recuperar de erros e falhas.
Objetivos de controle do processo DS13
DS13.1 Procedimentos e instrues operacionaisDS13.2 Agendamento de trabalhosDS13.3 Monitoramento da infraestrutura de
TIDS13.4 Documentos importantes e dispositivos de sadaDS13.5 Manuteno preventiva de hardware
Este processo medido por:
Nmero de nveis de servio impactados por incidentes operacionais.
Horas de downtime no plenejado causados por incidentes operacionais.
% de ativos de hardware includos em agendas de manuteno preventiva.
S
Monitorar e avaliar
Para cada um dos 34 objetivos de controle de alto nvel o COBIT apresenta:

Uma descrio do processo


Critrios de informao aplicados ao processo
Uma declarao genrica de aes para um gerenciamento mnimo de boas prticas para assegurar que o processo seja mantido sob
controle
Principais indicadores de performanceRecursos de TI envolvidos
Objetivos de controle detalhados
Diretrizes de Gerenciamento
Entradas e processos de origem
Sadas e processos de destino
Matriz de responsabilidades (RACI)
Objetivos e mtricas
Modelo de maturidade
K
Adquirir e implementar (AI)
Os processos do domnio adquirir e implementar so:
AI1 Identicar solues automatizadasAI2 Adquirir e manter software aplicativoAI3 Adquirir e manter infraestrutura
tecnolgicaAI4 Habilitar operao e usoAI5 Obteno de recursos de TIAI6 Gerenciar mudanasAI7 Instalar e validar solues e
mudanas
S
ME1 Monitorar e avaliar a performance da TI
- Estabelece 6 objetivos de controle
O gerenciamento efetivo da performance da TI requer um processo de monitoramento.Este processo inclui denir indicadores de
performance relevantes, relatrios sistemticos e no tempo adequado sobre questes de performance e aes tomadas em relao a
desvios.
O monitoramento necessrio para ter certeza que as coisas corretas esto sendo feitas e esto alinhadas com o direcionamento e
polticas estabelecidas.
O objetivo deste processo obter transparncia e entendimento sobre os custos de TI, benefcios, estratgias, polticas e nveis de
servio de acordo com os requisitos de governana.

Objetivos de controle do processo ME1


ME1.1 Abordagem de monitoramentoME1.2 Denio e colees de dados de monitoramentoME1.3 Mtodos de
monitoramentoME1.4 Avaliao da performanceME1.5 Relatrios para a alta administrao e executivosME1.6 Aes corretivas
Este processo medido por:
Satisfao da alta administrao e da entidade de governana em relao aos relatrios de performance.
Nmero de aes de melhoria iniciadas em funo das atividades de monitoramento.
% de processos crticos monitorados.
D
ME2 Monitorar e avaliar controles internos- Estabelece 7 objetivos de controle
Estabelecer um programa efetivo de controle interno para a TI requer um processo de monitorao bem denido.
Este processo inclui monitor e reportar excees de controle, resultados da auto-avaliao e reviso de terceiros.
Um benefcio importante do monitoramento de controles internos fornecer segurana relacionada ecincia e eccia das
operaes e conformidade com leis e regulamentos aplicveis.
O objetivo deste processo proteger o cumprimento dos objetivos de TI e estar aderente alegislao, regulamentao ou contratos
relacionados com a TI.
Objetivos de controle do processo ME2
ME2.1 Framework de monitoramento de controles internosME2.2 Reviso de supervisoME2.3 Controle de exceesME2.4
Controle de autoavaliaoME2.5 Segurana de controles internosME2.6 Controles internos de terceirosME2.7 Aes corretivas
Este processo medido por:
Nmero de brechas graves nos controles internos.
Nmero de iniciativas para melhoria dos controles.
Nmero e cobertura da auto-avaliao de controles.
D
ME3 Assegurar aderncia com requisitos externos
- Estabelece 5 objetivos de controle
Uma vigilncia regulatria efetiva requer o estabelecimento de um processo de reviso para assegurar a conformidade com leis,
regulamentos e requisitos contratuais.
Este processo inclui a identicao de requisitos regulatrios, otimizao e avaliao da respostas, obteno de certeza de que os

requisitos foram atendidos e, nalmente, a integrao dos relatrios de conformidade da TI com o restante do negcio.
O objetivo deste processo assegurar a conformidade com leis, regulamentao e requisitos contratuais.
Objetivos de controle do processo ME3
ME3.1 Identicao de requisitos externos de conformidade com legislao, regulamentao e contratuaisME3.2 Otimizao das
respostas aos requisitos externosME3.3 Avaliao de conformidade com os requisitos externosME3.4 Validao positiva de
conformidadeME3.5 Relatrios integrados
Este processo medido por:
Custo da no conformidade, incluindo acordos e multas.
Tempo mdio decorrido entre a identicao e resoluo de problemas externos deconformidade.
Frequncia de revises de conformidade.
D
ME4 Prover governana de TI
- Estabelece 7 objetivos de controle
Estabelecer um framework efetivo de governana inclui denir a estrutura organizacional, processos, liderana, papis e
responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e entregues em acordo com a
estratgia e objetivos corporativos.
O objetivo deste processo integrar a governana de TI com os objetivos da governana corporativa e cumprir com as leis,
regulamentao e contratos vigentes.
Objetivos de controle do processo ME4
ME4.1 Estabelecimento de um framework de governana de TIME4.2 Alinhamento estratgicoME4.3 Entrega de valorME4.4
Gerenciamento de recursosME4.5 Gerenciamento de riscosME4.6 Avaliao de performanceME4.7 Auditoria independente
Este processo medido por:
Frequncia de relatrios sobre TI emitidos da alta-administrao para partes interessadas (incluindo maturidade).
Frequncia de relatrios sobre TI emitidos da TI para a alta-administrao (incluindo maturidade)
Frequncia de revises independentes (auditorias) sobre a conformidade de TI
S
Famlia de produtos
A ISACA disponibiliza uma srie de produtos complementares ao COBIT, porm, dentre eles h 5 produtos que se destacam e

importante que voc tenha conhecimento sobre como utilizar, e quais os benefcios que cada um deles traz.
Recomendamos que dedique alguns minutos navegando pelo site da ISACA em Isaca com o objetivo de pesquisar um pouco mais
sobre cada produto.
Esta dica vlida especialmente se voc estiver interessado em fazer o exame decerticao em COBIT Foundations:
A seguir ser apresentado uma relao dos principais produtos:
Algumas questes da prova podem ser sobre produtos especcos de modo que torna-se importante que voc tenham uma viso
geral sobre cada um deles.
O COBIT on line apresenta informaes sobre o COBIT via internet. Restrito a assinantes (servio pago), ele possibilita que os usurios
naveguem, faam pesquisas, compartilhem ou tirem proveito de uma base de conhecimento sobre o assunto.
Por meio deste recurso o assinante pode ter acesso a inmeros arquivos para download, pode comparar o desempenho de sua
empresa com outras do mesmo segmento no mercado, por meio de benchmarking, tem acesso a questionrios para avaliao, alm
claro, de ter acesso a toda a comunidade para trocar experincias com outros usurios.
O COBIT on line prov acesso rpido e fcil a todos os recursos do COBIT, por meio do recurso MyCOBIT possvel construir e efetuar
o download de sua prpria verso (customizada) do COBIT para uso com o Word ou Access j com os modelos de avaliao.
O COBIT Quickstart foi especialmente projetado para dar assistncia a uma adoo rpida e fcil dos elementos essenciais do COBIT.
Trata-se de uma verso compactada dos recursos do COBIT com foco no processos mais crticos de TI, seus objetivos de controle e
mtricas.
O COBIT Quickstart pode ser visto como uma linha de referncia para que empresas pequenas e mdias, mas ao mesmo tempo
tambm de utilidade para grandes organizaes como um acelerador na adoo de melhores prticas de governana de TI.
Guia de implementao de governana de TI
A ISACA arma, pormeio de seu folder de produtos, que um dos principais objetivos de se adotar melhores prticas evitar a
reinveno da roda!
Partindo deste princpio, entende-se que adotar melhores prticas em governana de TI s ser possvel se sua implementao for
efetiva e eciente.
Assim, o guia de implementao de governana de TI oferece um roadmap e direcionamento sobre os processo de como
implementar governana de TI utilizado o COBIT, visando assegurar e mensurar o valor agregado em relao aos investimentos
realizados em TI.
Trata-se de um kit com modelos extremamente teis, ferramentas de diagnstico e tcnicas para relatrios que auxiliam na adoo

do framework de governana baseado no COBIT, oferecendo um modelo genrico que permite estabelecer um plano de ao para
adapt-lo s necessidades da sua empresa.
COBIT Security BaselineEste produto visto como um kit bsico de sobrevivncia para diretores, executivos, gerentes, usurios
prossionais e domsticos, relacionado a segurana da informao.
Trata-se de uma publicao focada em riscos de segurana de uma maneira simples de seguir e implementar para qualquer pessoa,
desde um usurio domstico at executivos e conselheiros de grandes organizaes.
Ele oferece uma introduo a segurana da informao e esclarecimentos de porque isso importante. Esta publicao foi criada com
base na norma ISO 17799, e tambm oferece um sumrio tcnico dos principais riscos de segurana.
Val IT
Esta publicao foca na governana dos investimento de TI, e naturalmente baseado no framework do COBIT.
Ele oferece direcionamento para gerenciar os investimentos no portflio deTI da organizao.
Trata-se de um recurso que complementa o COBIT com uma perspectiva de negcio e nanceira de modo que bastante til para
quem tiver interesse em obter o melhor retorno possvel da TI.
Exame de certicao
Situao do mercado atual (2008 a 2012)
A necessidade de governana corporativa e a melhor gesto dos servios de TI geram no mercado uma demanda para prossionais
devidamente qualicados na rea, especicamente aqueles com qualicao e certicao em COBIT e ITIL para a gesto de TI.
O mercado est to carente de prossionais qualicados que estudos indicam que a maioria das instituies especializadas em
treinamento na rea de TI registraram no em 2009 um aumento de cerca de 75% na procura por cursos de especializao nestes
assuntos.
Dentre as principais exigncias das empresas na hora da seleo e contratao de prossionais para a rea de TI que o candidato
seja altamente qualicado. E mesmo para aqueles que j ocupam seu lugar ao sol, a qualicao fundamental para manuteno da
empregabilidade e at mesmo para estar apto a assumir novas responsabilidades.
Em pesquisa recentemente realizada pelo Institute Data Corporation (IDC), um prossional certicado tem 53% a mais de chances de
conseguir um emprego em relao aos prossionais que no possuem este ttulo.
Este ndice pode ser ainda mais elevado de acordo com o tipo de certicao que o prossional possui. Alm disso, o salrio de
prossionais certicados gira em torno de 10 a 100% a mais do que a mdia que o mercado paga aos prossionais no certicados.
Portanto, cada vez mais os recrutadores estofamiliarizados com o perl, competncias e habilidades que cada certicao

proporciona ao candidato a emprego, de modo que torna o processo de recrutamento e seleo mais simples, com menos riscos e
custos, ou seja, extremamente atrativo para as empresas.
COBIT FoundationsO exame para certicao COBIT Foundations tem 1 hora de durao e composto por 40 questes de multipla
escolha, onde voc deve obter pelo menos 70% de aproveitamento (28 questes) para obter a aprovao no exame.
O exame no idioma ingls pode ser adquirido via internet no site da COBIT Campus, por meio de um carto de crdito internacional, e
poder ser realizado em qualquer local com conexo via Internet.
Para isso, ser necessrio preencher alguns formulrios com seus dados e indicando quem ser o seu proctor, ou seja, a pessoa que
vai acompanhar voc no momento do exame para assegurar que este seja realizado dentro dos padres exigidos para aprovao e
obteno do certicado.
possvel fazer o exame em portugus, no entanto, este distribudo exclusivamente para parceiros da IT Preneurs. No Brasil, a
empresa IT Partners oferece o exame em portugus por meio de suas instalaes em So Paulo e Braslia.
Ao nal do exame o seu proctor preencher o relatrio e envi-lo para a ISACA.
Fatores crticos de sucesso
Este curso foi estruturado de maneira que voc construa uma slida base de conhecimento sobre o COBIT, onde a compreenso de
todos os conceitos apresentados visa dar a voc condies de aplic-los em seu dia-a-dia.
Como consequncia voc estar com boas condies para prestar o exame de certicao. Voc pode avaliar seudesempenho por
meio dos resultados nos simulados apresentados no ltimo captulo deste curso.
Estude o framework do COBIT 4.1 e o Val IT, navegue pelo site do ISACA, pratique nos simulados e reveja o nosso material quantas
vezes forem necessrias!
Investimento
US$ 120,00 para a prova em Ingls adquirida pelo site da COBIT Campus.
No h limite de tentativas.
H]Informaes complementares
Caso voc seja aprovado no exame, a ISACA enviar a voc um certicado impresso, por correio. O certicado normalmente
recebido dentro de 40 dias e emitido automaticamente caso voc seja aprovado. O exame feito via internet e voc ca sabendo se
foi aprovado imediatamente aps clicar para enviar suas respostas.
Importante: As dicas apresentadas tem a nalidade de orientar os alunos interessados em prestar o exame de certicao. A
Fundao Bradesco no custeia o exame e no tem qualquer relacionamento com as empresas citadas.

Resumo dos principais tpicos do cursoCom o objetivo de xar o contedo apresentado, a seguir temos um resumo dos pontos mais
relevantes deste curso.
Governana de TITrata-se de um conjunto de processos e estruturas com o objetivo de assegurar que a TI possa suportar
adequadamente os objetivos e estratgias de negcio da organizao, de modo a agregar valor real ao negcio, balancear riscos e,
acima de tudo, obter retorno sobre os investimentos realizados em TI.
comum observar que empresas sem um bom modelo de governana de TI normalmente v ou trata a organizao de TI como um
centro de custos, em vez de como um parceiro para realizar a estratgia do negcio.
Membros do Conselho de Administraoe Executivos das empresas so os responsveis pela governana de TI.
Pra que serve?
O principal objetivo da governana de TI proporcionar o alinhamento da organizao da TI com as necessidades do negcio, atuais e
futuras, oferecendo assim melhores condies para a tomada de deciso sobre os investimentos em tecnologia.
O alinhamento com a estratgia da organizao possibilita que a TI possa se posicionar de maneira a agregar valor aos produtos e
servios oferecidos pela empresa, auxilia no posicionamento competitivo, assegura que os recursos sejam utilizados da melhor forma
possvel, o que naturalmente implica na reduo de custos e melhora da ecincia administrativa (excelncia operacional).
Componentes do COBIT (cubo do COBIT)Processos de TI
Agrupados em 4 domnios
- Planejar e organizar- Adquirir e implementar- Entregar e suportar- Monitorar e avaliar
- 34 processos e 21 objetivos de controle
Recursos de TI
- Ampliaes- Informao- Infraestrutura- Pessoas (iternas ou terceirizadas)
Critrios de informao / Requisitos de negcio
Outcome measures (indicadores de resultado)So os indicadores avaliados aps a execuo do processo. Indicam se o processo
alcanou o resultado esperado, considerando inclusive os critrios de informao.
Exemplo: na Frmula 1, aps o trmino de cada corrida normalmente se divulga a velocidade mdia e o tempo total de prova, de
modo a tornar possvel a comparao com corridas anteriores, no mesmo circuito.
Performance indicators (indicadores de performance)So os indicadores avaliados durante a execuo do processo, de modo que seja

possvel tomar medidas corretivaspara assegurar que este alcance seu resultado.
Exemplo: ainda na Frmula 1, so os indicadores que representam o tempo que o piloto demora para percorrer cada parcial da pista,
quanto tem de combustvel, qual a temperatura e presso de leo do motor, velocidade mxima ao nal da reta etc.
Matriz RACIA matriz RACI, do acrnimo em ingls Responsible, Accountable, Consulted e Informed, determina claramente qual o papel
de cada envolvido com o processo, deixando claro as responsabilidades de cada um.
Modelos de MaturidadeOs modelos de maturidade propostos pelo COBIT so derivados do mesmo conceito adotado no CMM, e so
uma maneira de classicar a maturidade da empresa em relao a um determinado processo, fazer comparao com outras
empresas no mercado (anlise de gap), de modo que permite estabelecer planos de ao para alcanar a maturidade desejada,
melhorando assim os resultados da TI e dos negcios que dependem da TI.
Diretrizes de auditoriaTrata-se de um guia passo-a-passo compilado para ajudar auditores externos ou internos a avaliar a
performance da organizao.
A estrutura para o processo de auditoria aceita no mercado normalmente compreende 4 estgios principais:
Obteno do entendimento dos riscos
Avaliao do controles determinados
Avaliao de conformidade (por meio de testes)
Substanciao dos riscos (dos objetivos de controle no atingidos)
Prticas de ControleTrata-se do como o do porque importante adotar prticas de controle na administrao, baseados na anlise
das operaes e riscos da TI.
Produtos do COBITCOBIT OnlineCOBIT QuickstartGuia de implementao de governana de TICOBIT SecurityBaselineVal IT
Dica ImportanteUm ponto fundamental para decidir quais prticas de controle e governana de TI sero estabelecidas a
compreenso do risco e do custo de no fazer nada!
A equao da TI
Preparamos um mapa mental com os conceitos do COBIT para auxiliar na compreenso da estrutura do contedo aqui apresenta.
Assim que concluir este curso, ser disponibilizada uma avaliao nal. A avaliao semelhante ao exame de Certicao COBIT
Foundations, baseado no COBIT 4.1.
Ao obter, no mnimo, 70% de aproveitamento na avaliao nal, voc ser aprovado e poder imprimir o certicado de concluso.
Nossa recomendao que siga os passos descritos no mdulo 9 para prestar o exame de certicao que, certamente, um

diferencial para os prossionais que disputam espao em um mercado de trabalho cada vez mais competitivo.
Conclumos aqui o nosso curso de Fundamentos de COBIT.
Buscamos apresentar os conceitos de maneira gradual e provocando at algumas repeties para melhor xao do contedo.
Se voc vai buscar a certicao COBIT Foundations para ter isso como diferencial em seu currculo em relao a outros prossionais
da rea, recomendamos que voc faa o download o COBIT e que bastante familiarizado com a estrutura do mesmo.
Alm deste, importante tambm avaliar o ValIT e conhecer toda a famlia de produtos do COBIT. Isso pode ser feito dedicando
alguns minutos navegando nos sites da ISACA e do ITGI.
Parabns pela concluso de mais um treinamento. Esperamos que o nosso curso possa ser til ao seu dia-a-dia e desejamos boa
sorte a voc!