Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.

www.tiexames.com.br

EXAME COBIT FOUNDATION 4.1

REVISO DOS PONTOS-CHAVE

IMPORTANTE!
O objetivo deste material revisar e memorizar os conceitos-chave da Governana de
TI, Framework do COBIT e produtos relacionados para lhe preparar para o exame
COBIT 4.1 Foundation da ISACA/ITGI. Este material serve apenas como reviso
recomendvel que voc faa o curso e-learning da TIEXAMES e leia o material
complementar disponibilizado na rea de links de referncia. garantido que muitos
dos conceitos aqui abordados iro aparecer nas questes do exame .

GOVERNANA DE TI
PRINCIPAIS DESAFIOS DA TI
Promover o alinhamento entre TI e negcio
Reduzir os custos da TI
Gerenciar a complexidade da TI
Proporcionar segurana da informao
Aumentar a qualidade dos servios de TI
Gerenciar fornecedores externos
Estar em conformidade com leis e regulamentos
O QUE GOVERNANA DE TI
um conjunto de estruturas e processos que visa garantir que a TI suporte e
maximize adequadamente os objetivos e estratgias de negcio da organizao,
adicionando valores aos servios entregues, balanceando os riscos e obtendo o
retorno sobre os investimentos em TI.
O conselho de administrao e os executivos so responsveis pela Governana de
TI.
ST AKEHOLDERS NA GOVERNANA DE TI
So pessoas ou elementos relacionados com as operaes de TI, como:
Fornecedores
Usurios
rgos pblicos
Governo
Acionistas
Diretores/executivos/gerentes

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

REAS DE FOCO DA GOVERNANA DE TI

reas de foco da Governana de
TI conforme o ITGI:

Alinhamento
Estratgico

Mensu
rao
de
Dese
mpenh
o

2. Entrega de Valor
Executando a proposio de valor atravs do
ciclo de entrega

Entrega
de Valor

Domnios da
Governana
de TI

Gerenciamento
de Recursos

1. Alinhamento Estratgico
Alinhando TI com o negcio e fornecendo
solues colaborativas

Geren
ciame
nto
de
Riscos

3. Gerenciamento de Riscos
Gerenciando riscos de TI, impactos das
mudanas, segurana, conformidade.
4. Gerenciamento de Recursos
Otimizando o desenvolvimento e o uso de
recursos disponveis.
5. Mensurao de Desempenho
Monitoramento dos recursos para ao
corretiva.

GERENCIAMENTO DE RISCOS
Os riscos so gerenciados de quatro formas:

Mitigando riscos: implementar controles que protejam contra riscos. Por

exemplo: implementao de um firewall de segurana.
Transferindo riscos: compartilhar riscos com parceiros ou contratar seguro
apropriado.
Aceitando riscos: c onfirmar e monitorar riscos, e ter pronto um plano de
resposta ao riscos.
Evitando riscos: adotar uma opo diferente que evite completamente os
riscos.

CARACTERSTICAS NECESSRIAS EM UM FRAMEWORK DE CONTROLE

Um framework (estrutura) de controle de TI deve conter as seguintes caractersticas:
Foco no negcio
Orientao a processo
Padro aceito
Linguagem comum
Requisitos regulatrios
BENEFCIOS DA GOVERNANA DE TI
Confiana da alta administrao
TI mais comprometida com o negcio
Maior ROI (Retorno sobre o Investimento)
Servios mais confiveis
Mais transparncia

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

INTRODUO AO COBIT
CONCEITOS BSICOS
COBIT = Control Objectives for Information and related Technology
um framework (estrutura) e uma base de conhecimento para os processos
de TI e seu gerenciamento
No um padro definitivo deve ser adaptado para cada empresa
um framework (estrutura) de controle que tem o propsito de assegurar que
os recursos de TI estaro alinhados com os objetivos da organizao
baseado na premissa de que a TI precisa entregar informao que a
empresa necessita para atingir seus objetivos
O princpio do framework COBIT o de prover um link entre as expectativas e
as responsabilidades de gerenciamento de TI, com o objetivo de facilitar que a
Governana de TI agregue valor ao negcio enquanto gerencia riscos
Faz com que a TI seja mais responsiva ao negcio
MISSO DO COBIT
Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para
tecnologia que seja embasado, atual, internacional e aceito em geral para uso no diaa-dia de gerentes de negcio e auditores.
O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE
Define uma linguagem comum para TI e negcio
Ajuda a atender aos requisitos regulatrios
um padro aceito entre empresas
orientado a processos
focado nos requisitos de negcio
COMPONENTES DO COBIT

PROCESSOS DE TI
So 4 Domnios e 34 Processos de TI:
1. Planejamento e Organizao
2. Aquisio e Implementao
3. Entrega e Suporte
4. Monitorao e Avaliao

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

CRITRIOS DE INFORMAO
Dica: decore isto, vai cair na prova!

Para satisfazer os objetivos de negcio as informaes precisam estar em

conform idade com os critrios chamados Requisitos de Negcio. So eles:

Requisitos de Qualidade
Qualidade
Custo
Entrega

Requisitos Fiducirios (Relatrio do COSO)

Eficcia e eficincia das operaes
Confiabilidade das informaes
Conformidade com leis e regulamentos

Requisitos de Segurana
Confidencialidade
Integridade
Disponibilidade

O COBIT mapeia os requisitos de negcio para informao em CRITRIOS DE

INFORMAO:

Eficcia (ou efetividade): relacionado com a utilidade da informao.

Eficincia: relacionado com a otimizao de recursos.
Confiabilidade: relacionado com fornecimento de informao correta.
Conformidade: relacionado com conformidades a leis e regulamentos.
Confidencialidade: relacionado com proteo e segurana da informao.
Integridade: relacionado com validez da informao.
Disponibilidade: informao disponibilizada quando requerida.

Decore os 3 critrios de informao relacionados segurana da informao: CID

(Confidencialidade Integridade Disponibilidade)

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

RECURSOS DE TI
Aplicativos: sistemas automatizados e procedimentos manuais para processar
informaes.
Informao: dados de todos os formulrios de entrada, processados e
exibidos pelos sistemas de informao, podendo ser qualquer formulrio usado
pelo negcio.
Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de
dados, rede, multimdia, etc. tudo que seja necessrio para o funcionamento
das aplicaes.
Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar,
entregar, dar suporte, monitorar e avaliar os sistemas de informao e
servios. Elas podem ser internas ou terceirizadas.
COBIT X OUTROS PADRES
O COBIT compatvel com outros padres este um benefcio da sua
adoo
O COBIT est em um nvel mais genrico, portanto pode ser utilizado para
avaliar outros processos implementados por outros frameworks como ITIL e
ISO 17799
O COBIT pode ser aplicado depois que outros padres de nvel mais
operacional j estejam aplicados, j que o COBIT vai s ervir para auditar estes
processos
O COSO um framework para controle de interno e no somente de TI: pode
ser utilizado em qualquer rea de negcio. J o COBIT especfico para TI
mas est alinhado com o COSO
O COBIT cobre todos os processos da ITIL, entretanto a ITIL mais detalhada
O COBIT um framework que diz o que tem ser feito e no se preocupa em
como fazer
O COBIT atende aos requisitos regulatrios aos quais a empresa est
submetida, por isto pode ser utilizado para cumprir a conformidade com a
Sarbanes-Oxley

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

OBJETIVOS DE CONTROLE
Dica importante: baixe o framework do COBIT no site da ISACA e leia tudo sobre os
processos PO10 e DS2.

Como frame work de controle, o COBIT tem 2 focos:

1. Fornecer informaes necessrias para suportar os objetivos e requisitos de
negcio
2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e
recursos que precisam ser gerenciados por processos de TI
MODELO DE PROCESSO DO COBIT

Modelo de processos do COBIT 4.1 (34 processos)

ME1 Monitorar e avaliar o desempenho da TI

PO1 Definir um plano estratgico de TI

ME2 Monitorar e avaliar os controles internos

PO2 Definir a arquitetura de informao

ME3 Assegurar conformidade regulatria

PO3 Determinar o direcionamento

tecnolgico

ME4 Fornecer Governana de TI

Planejar e
Organizar

Monitorar e
Avaliar

PO4 Definir processos de TI, a organizao

e relacionamentos
PO5 Gerenciar o investimento em TI
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar os recursos humanos

4 domnios
do COBIT

PO8 Gerenciar a qualidade

PO9 Avaliar e gerenciar riscos de TI

Entregar e
Suportar

Adquirir e
Implementar

DS1 Definir e gerenciar nveis de servios

DS2 Gerenciar servios de terceiros
DS3 Gerenciar o desempenho e capacidade
DS4 Garantir a continuidade dos servios
DS5 Garantir a segurana dos sistemas
DS6 Identificar e alocar custos
DS7 Educar e treinar usurios
DS8 Gerenciar central de servios e incidentes
DS9 Gerenciar a configurao
DS10 Gerenciar os problemas
DS11 Gerenciar os dados
DS12 Gerenciar o ambiente fsico
Fonte: Adaptado do ITGI, COBIT 4.1
DS13 Gerenciar as operaes

PO10 Gerenciar projetos

AI1 Identificar as solues automatizadas

AI2 Adquirir e manter software aplicativo

AI3 Adquirir e manter infraestrutura de
tecnologia
AI4 Permitir operao e uso
AI5 Adquirir recursos de TI

AI6 Gerenciar mudanas

AI7 Instalar e validar solues e mudanas

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

RESUMO DOS PROCESSOS MAIS IMPORT ANTES

Domnio

Processo

Descrio

PO9 Assess and Manage IT Risks

Cria e mantm um framework de gerenciamento de riscos

de TI. Todos os assuntos relacionados a riscos esto
envolvidos neste processo.

PO10 Manage Projects

Envolve-se com todos os assuntos relacionados ao

gerenciamento de projetos de TI.

PO

AI4 Enable Operation and Use

AI

Preocupa-se em disponibilizar conhecimento sobre os

novos sistemas. Este processo requer a produo de
documentao e manuais para usurios e TI, e fornece
treinamento aos usurios.

AI6 Manage Changes

Inclui todas as mudanas, inclusive as mudanas

emergenciais relacionadas com a infraestrutura.

DS1 Define and Manage Service

Levels

Define os nveis de servios requeridos junto com os

clientes, e monitora e emite relatrios para os stakeholders.

DS2 Manage Third-party Services

Assegura os servios fornecidos por terceiros para que

estes satisfaam as necessidades do negcio. Envolve-se
com regras, responsabilidades e acordos com terceiros.

DS

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

DIRETRIZES DE GERENCIAMENTO
As diretrizes de gerenciamento fornecem ferramentas para medir e comparar a
capacidade para cada processo de TI.

Metas e mtricas
o Medidas de resultado (outcome measures)
o Indicadores de desempenho (performance indicators)

Recursos
o Entradas e sadas para cada processo
o Grfico RACI (m atriz de responsabilidades)

MTRICAS
As diretrizes de gerenciamento especificam medidas de resultado em forma de OMs
(Outcome Measures) e medidas de performance em forma de PIs (Performance
Indicators).

Indicadores de
performance
(performance
indicators)

Medem como voc est fazendo. Tambm conhecidos como

indicadores de tendncia.

Medidas de
Medem o que voc tem feito. Tambm conhecidas como
resultado
indicadores de lag pelo fato de medirem somente aps o fato
(outcome measures) ocorrido.
As diretrizes de gerenciamento do COBIT sugerem utilizar balanced business
scorecards, os quais fornecem mtricas para alcanar as metas de TI. Um scorecard
tem 4 dimenses que mapeiam metas e indicadores de performance:

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

GRFICO/T ABELA RACI

Para cada processo sugerido um grfico/tabela RACI com os responsveis por cada
atividade:

MODELOS DE MATURIDADE
Um modelo de maturidade uma medida que possibilita uma organizao a classificar
sua maturidade para determinado processo. A classificao vai de inexistente (0) a
otimizado (5).
Os modelos de maturidades fazem parte das diretrizes de gerenciamento e podem ser
utilizados para fazer compara es de maturidade com outras empresas.
Inexistente

Inicial

Reptivel

Definido
3

Legenda para os smbolos

Enterpri se current
status
International standard
guidelines
Industry best
practice
Enterpri se
strategy

Gerenciado
4

Otimizado
5

Legendas para o ranking

0 Processos de gerenciamento no so aplicados a todos
1
2
3
4
5

Processos so desorganizados
Processos seguem um padro regular
Processos so documentados e comunicados
Processos so monitorados e medidos
Melhores prticas so seguidas e automatizadas

Modelo genrico de maturidade

0 Inexistente No existem controles.
1 Inicial

J existem processos, mas no h documentos nem padres.

2 Repetvel

Processos padronizados, mas falta documentao e comunicao.

3 Definido

Os processos so formalizados. Existe documentao, treinamento e comunicao

definida.

4 Gerenciado
5 Otimizado

Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de

automao.
Os processos j esto refinados a partir das melhores prticas identificadas. Existe
institucionalizao das melhores prticas.

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

RELACIONAMENTO ENTRE OS RECURSOS DO COBIT

Esta figura mostra como os
componentes do COBIT se interrelacionam, fornecendo recursos
para suportar governana,
gesto e controle.

Metas
de negcio
Informao

Requisitos

Metas
TI
Processos
de TI

Decomposto em

Controlado por

Testes dos
resultados
dos controles

Medido por
Ativ idadeschave

Auditada por

Derivado de

Auditado
com
Pelo desempenho

Testes de
desenho
do controle

Pelo resultado

Baseado em
Indicador de
desempenho

Implantados
com

Pela maturidade

Executada pelo

Grfico
RACI

Obj etivos de
controle

Indicador de
resultado

Modelo de
maturidade

Prticas de
controle

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

PRODUTOS DO ITGI
Dica importante: navegue pelo site da ISACA e pesquise um pouco mais sobre os
produtos. Podem cair questes muito especficas sobre o que h dentro de cada
produto. importante ter um overview.

PRTICAS DE CONTROLE
As prticas de controle de TI fornecem detalhamento sobre como implementar
objetivos de controle.
COBIT ONLINE
Apresenta informaes do COBIT na web. Ele possibilita que vrios usurios
naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. uma rea
restrita aos assinantes.
Principais recursos do COBIT Online:
Download de arquivos PDF
Benchmarking (para comparar sua empresa com outras)
Questionrios de avaliao
Comunidade para trocar ideias com outros usurios
IT ASSURANCE GUIDE (GUIA DE GARANTIA)
um guia de validao para profissionais que precisam de orientaes para
garantir o funcionamento dos controles internos e melhoria de processos.
Fornece conselhos sobre como testar o funcionamento de cada objetivo de
controle, assegurando que os controles so suficientes e ajudando a
documentar seus pontos fracos.
O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validao
composta por trs estgios: Planejamento, Definio de Escopo e Execuo.

PLA
NE
J
MEN
TO

ES
CO
PO

EXE
CU
O

Estabelece o universo de validao de TI para designar o que

ser validado.

Define metas de negcio e de TI para o ambiente que ser

revisado/auditado, e quais so os processos e recursos de TI
necessrios para suportar estas metas.

Guia os profissionais apresentando os principais testes a serem

executados durante uma auditoria/validao.

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

O estgio de execuo subdivide-se em 6 etapas:

1

2
Refinar o
entendimento

3
Redefinir
o escopo

Testar o
desenho do
controle

5
Testar os
resultados

6
Documentar o
impacto

Comunicar as
recomendaes

COBIT QUICKST ART

uma verso compacta do COBIT para que a empresa consiga beneficiar-se de seu
uso. direcionado para empresas de pequeno mdio porte.
IT IMPLEMENT ATION GUIDE
um roadmap para o conselho de administrao, a gerncia executiva, os
profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de
conformidade.

IT Governance Implementation Roadmap baseado no COBIT

Identifica
necessidades

Visualiza
a soluo

Conscientiza

Avalia o
programa
atual
Define metas
de melhoria

Define o escopo
Define os riscos
Define recursos
e entregveis
Planeja o
programa

Analisa os gaps
e identifica as
melhorias

Planeja
a soluo

Implementa
a soluo

Operacionaliza
a soluo

Define os
projetos

Implementa as
melhorias

Constri
sustentabilidade

Desenvolve plano
de melhoria

Monitora o
desempenho da
implementao

Identifica novos
requisitos de
governana

Revisa a eficcia
do programa

A participao do negcio durante a Governana de TI essencial

COBIT SECURITY BASELINE

O COBIT Security Baseline fornece informaes sobre a segurana de uma maneira
simples. um kit de sobrevivncia para diretores, executivos, gerentes e usurios
profissionais e domsticos. Portanto, no guia tcnico para especialistas em
segurana da informao.
VAL IT
O framework do VAL IT baseado no COBIT. Seus princpios incluem governana de
valor, gerenciamento de portflio e gerenciamento de investimentos.
Princpios do VAL IT:
Os investimentos habilitados pela TI sero administrados como um portflio
de investimentos
Os investimentos habilitados pela TI incluiro um escopo completo de
atividades que so necessrias para gerar valor ao negcio
Os investimentos habilitados pela TI sero administrados atravs d e todo o
seu ciclo de vida econmico
As prticas de entrega de valor reconhecero que existem diferentes
categorias de investime ntos, que sero avaliadas e administradas de
maneiras diferentes
As prticas de entrega de valor iro definir e monitorar mtricas-chave e
respondero rapidamente a quaisquer mudanas ou divergncias

Este material no pode ser distribudo.

Somente poder ser utilizado por alunos do site TIEXAMES.
www.tiexames.com.br

As prticas de entrega de valor devem engajar todos os stakeholders e definir

uma prestao de contas apropriada sobre a entrega de capacidades e
obteno de benefcios de negcio
As prticas de entrega de valor sero continuamente monitoradas, avaliadas
e melhoradas