Cobit Full V3

COBIT 4.
1 Foundation
Aspectos Gerais sobre Governança de TI
©2007 IT Governance Institute. All rights reserved. 1
1
Evolução da TI
Evolução da Tecnologia da Informação nas organizações:
Tecnologia da Provedor de Provedor Parceiro Tecnologia

Informação Tecnologia de Serviços Estratégico dos negócios
TI como um provedor de serviços TI como um parceiro estratégico

TI é para aumentar a eficiência TI é para o crescimento do negócio
Orçamentos são baseados em TI é inseparável do negócio
comparações com o mercado TI é vista como um investimento a
TI está separada do negócio gerenciar
TI é vista como um gasto a controlar Gerentes de TI ou CIOs* são
Gerentes de TI são especialistas solucionadores de problemas do negócio
técnicos Orçamentos são baseados na estratégia do
negócio
Fonte: Adaptado de Strategies and Models for IT Governance, IGI * CIO = Chief of Information Officer
2
Papel da TI
BAIXO VALOR ESTRATÉGICO DA TI ALTO
TI suporta o negócio TI suporta vantagem TI fornece vantagem TI é o negócio

competitiva competitiva
Precisa da tecnologia A estratégia está A TI é um Estratégias de negócio

para operar o negócio. mesclada com diferenciador e TI estão
Se os sistemas de TI tecnologia e outro competitivo. A estreitamente
falharem, as funções capital para vantagem informação rápida e integradas. A TI é
da empresa são competitiva. Partes precisa é explícita na proposição
prejudicadas. Não chave do negócio frequentemente crítica de valor. A informação
requer altos dependem de para a estratégia do rápida e precisa é
investimentos em TI. informações rápidas e negócio. missão crítica.
precisas.
Indústrias de Grandes varejistas Serviços de entrega Corretores online,

manufatura local com cadeia de global, companhias propaganda online,
suprimentos aéreas, agências de sites de emprego.
integrada viagem
TI como commodity TI como um diferenciador estratégico
Fonte: Deloitte & Touche LLP

3
Desafios da TI
§ Desenvolver a parceria entre a TI com o negócio (inclui problemas de

comunicação entre o pessoal de TI e de negócio: a
TI não entende o negócio e vice versa)
§ Entregar valor: entregar soluções que atendam às
necessidades (usuários estão frustrados devido a
soluções mal planejadas ou com problemas de
desempenho)
§ Conseguir gerar/demonstrar ROI para os
investimentos em TI (pouco retorno nos
investimentos em TI, dificuldade para “vender” os
projetos)
§ Reduzir os custos (custos normalmente estão for
a de controle)
§ Gerenciar a segurança da informação (aumento de
vulnerabilidades, ameaças, ataques)
4
Desafios da TI
§ Gerenciar a complexidade da infraestrutura de TI

§ Executar mudanças com maior agilidade
§ Entregar projetos dentro do prazo, custo e qualidade
§ Aumentar o nível de qualidade do serviço
§ Gerenciar fornecedores externos (problemas com a entrega)
§ Manter alta disponibilidade nos serviços de TI

§ Garantir a continuidade do negócio
§ Estar em conformidade com regulamentos
§ Reter conhecimento técnico (profissionais de TI)
5
Perguntas a serem respondidas
Para tentar resolver os problemas, precisamos identificar onde exatamente está o

problema. Eis então algumas perguntas que a gerência do negócio deveria saber
responder:
§ Por que a TI não está entregando o que se espera, ainda que os objetivos da TI já
foram definidos?
§ Como fazer a TI e seus usuários enxergarem as expectativas de cada um?

§ Quais são os recursos de TI que precisam ser gerenciados e priorizados?
§ Como dirigir os processos de TI e como definir controles para estes processos?
§ Como definir papéis e responsabilidades para as várias atividades de TI?
§ Como estabelecer metas que podem ser utilizadas tanto pelo negócio como pela TI?
As respostas podem ser obtidas com uma estrutura de
Governança de TI
6
O que é governança?
Governança: governar, sistema de administração, controle,

direção, exercício de autoridade.
Governança serve para alcançar os

resultados desejados.
7
A necessidade de Governança de TI
Segurança Manter TI
operacional
Alinhamento Gerenciar
de TI com ambiente
o negócio complexo
Atender a
Valor/Custo
Órgãos reguladores
As organizações requerem uma abordagem estruturada para estes e outros

desafios.
Isto garante que os objetivos traçados por TI, bons controles gerenciais e um
efetivo monitoramento de performance são mantidos na trilha e evitam
situações inesperadas .
8
A necessidade de Governança de TI
Governança Corporativa é um conjunto de

responsabilidades e práticas, exercido pelo Comitê
Diretivo ou Executivo, com o objetivo de:
• Prover direcionamento estratégico
• Garantir que os objetivos são alcançados
• Garantir que os riscos são apropriadamente
www.itgi.org
www.itgi.org gerenciados
• Verificar que os recursos corporativos são
utilizados de forma responsável
RESOURCE
MANAGEMENT
9
Governança de TI, como definido pelo ITGI
Governança de TI é:
• Responsabilidade do Comitê de Direcionamento
e/ou Comitê Executivo
• Uma parte da Governança Corporativa,
consistindo de liderança, estrutura organizacional
e processos de forma a garantir que a
organização de TI sustentará e extenderá os
objetivos e estratégias da Organização.
www.itgi.org
www.itgi.org
RESOURCE 2010 64% Doing something about it 36%

MANAGEMENT
2003 58% 42% Not doing something about it
Fonte: Surveys by PwC for the IT Governance Institute Sep-Oct 2003 a Sep-Oct 2010
10
Governança Corporativa direciona Governança de TI
Governança Corporativa é:
 Conformidade
• Aderente a legislação, políticas internas,
requisições de auditoria, etc.
 Performance Performance
• Melhoria nos resultados, eficiência, eficácia,
crescimento, etc.
Conformidade
Governança Corporativa e Governança de TI requerem que o balanço entre os

objetivos de conformidade e performance sejam ditados pelo Comitê.
11
Áreas de Foco de Governança de TI
Alinhamento Tem como foco garantir uma integração do negócio com os planos de TI; na
definição, manutenção e validação das proposições de valor para TI; e no
Estratégico alinhamento das operações de TI com as operações corporativas
É sobre a execução da proposição de valor através do ciclo de entrega, garantindo

Agregação de Valor que os entregáveis de TI cumpram os benefícios estabelecidos na estratégia,
concentrando-se nos custos ótimos fixados e provendo um valor intrínsico de TI.
É sobre a otimização de investimento e do próprio gerenciamento dos

Gerenciamento recursos críticos de TI, aplicações, informações, infraestrutura e pessoas. O
de Recursos ponto chave está relacionado a otimização do conhecimento e de
infraestrutura.
Atenção aos Riscos é requerida do Executivo Senior da corporação, um claro

Gestão de Riscos entendimento do apetite da corporação pelo risco, entendimento da
conformidade (compliance) requerida, transparência sobre o significado do
risco para a corporação, e a estrutura de responsabilidade pelo
gerenciamento dos riscos na corporação.
Medição de Trilha e monitora a implementação de estratégia, conclusão de projetos, uso

de recursos, performance de processos e entrega de serviços, usando, por
Performance exemplo, Balance ScoreCards para traduzir estratégias em ações, com
vistas a atingir os objetivos mensurados via apontamento convencional.
12
Partes Interessadas na Governança de TI
Comitê de Direção e Define a direção de TI, monitora os resultados e insiste em

medidas corretivas.
Comitê Executivo
Define as necessidades de negócio para TI e garante a
Gestor do Negócio agregação de valor e se os riscos são gerenciados.
Entrega e melhoria os serviços de TI, de acordo com as

Gestor de TI requisições do negócio.
Provêem garantia independente para demonstrar que TI está

Auditores de TI entregando o que é necessário para a organização.
Riscos e Mede a conformidade com políticas e alertas para novos

riscos.
Conformidade
13
Trabalhando Governança de TI
Para fazer a implementação de um projeto de Governança de TI necessitamos:

 Fazer a Governança de TI uma solução viável – capaz de negociar os desafios e percalços presentes
em TI.
 Foco em melhoria de performance e permitir vantagens competitivas para previnir problemas futuros.
 Fazer Governança de TI compartilhar responsabilidades entre o negócio (clientes) e o provedor de
serviços de TI, com total aprovação e direcionamento do Comitê Executivo da corporação.
 Alinhamento da Governança de TI no grande esquema da Governança Corporativa.
 Comitê Executivo e Comitê de Direcionamento necessitam extender a Governança Corporativa para
incluir TI, provendo a necessária liderança, estrutura organizacional e insistindo no correto
gerenciamento e controle de seus processos.
14
COBIT prove um Framework para Governança de TI
COBIT ajuda a estabelecer uma ponte entre os riscos do negócio, as necessidades de

controle e questões técnicas. Provê as melhores práticas, através de um framework
para domínio e processos, e apresenta atividades em uma forma lógica e gerenciável.
COBIT:
 Inicia com os requisitos de negócio
 É orientado a processo, as atividades de TI da organização
dentro de um modelo de processo geralmente aceito.
 Identifica os maiores recursos de TI a serem estabilizados
 Incorpora os maiores padrões internacionais
 Tem como foco o padrâo “de fato” para todos os controles de
TI.
Recursos de TI necessários a serem gerenciados por um

conjunto de processos naturalmente agrupados. COBIT provê
um framework que consegue este objetivo.
15
Como o COBIT pode ajudar na implementação de uma efetiva
Governança de TI?
COBIT possibilita as seguintes vantagens

quando da implementação de
Governança de TI:
 Mapeia os objetivos de TI com os objetivos do

negócio e vice-versa
 Melhor alinhamento, baseado no foco em negócio
 Uma visão de que o que TI faz é compreendida
pela Gerência
 Clara propriedade e responsabilidade baseado na
orientação a processo
 Geralmente aceito por terceiros e órgãos
reguladores
 Compartilha entendimento de todas as partes
interessadas, baseado em uma linguagem comum
 Compatível com os requisitos estabelecidos pelo
COSO, quando do controle do ambiente de TI
16
COBIT e outros Frameworks para TI
Organizações consideram e usam uma variedade de modelos de TI, padrões e melhores

práticas. Isto deve ser entendido na forma como eles podem ser utilizados em conjunto,
com o COBIT atuando como um consolidador.
COSO
COBIT
ISO 17799
ISO 9000
O que ITIL Como
Escopo de Cobertura
17
Onde o Cobit se posiciona?
CONFORMIDADE
Drivers PERFORMANCE
Basel II, Sarbanes-
Objetivos do Negócio Oxley Act, etc.
Balanced
Governança Corporativa COSO
Scorecard
Comissão Nacional sobre Fraudes em Relatórios Financeiros
Governança de TI COBIT
ISO ISO ISO

Padrões de Melhores Práticas 9001:2000 17799 20000
Processos e Procedimentos Procedimentos Princípios de ITIL

QA Segurança
18
COBIT Framework
► O framework COBIT foi criado com as seguintes características:

 Foco em Negócio
 Orientado a Processo
 Baseado em Controles
 Direcionado a Métricas
► COBIT é a inicial de Control Objectives for Information and related Technology.
COBIT Framework Characteristics

19
COBIT: Um framework de Controle de TI
Governança
Gerenciamento
Evolução
Controle
Auditoria
COBIT 1 COBIT 2 COBIT 3 COBIT 4
1996 1998 2000 2005
As últimas atualizações do COBIT, encontram-se em www.isaca.org/cobit.
20
Componentes do COBIT
Uma organização depende de dados confiáveis e oportunos. Os componentes do COBIT provêem um

framework compreensível para agregar valor, enquanto gerenciando riscos de dados e informações.
Recursos de TI
Estratégia de Negócio
Processos de TI
Critérios da
Informação
21
COBIT: Vantagens
Algumas das vantagens em se adotar COBIT:

► COBIT está alinhado com outros padrões e melhores práticas e deverá ser usado em conjunto
com eles.
► O framework COBIT suporta e é suportado pelas melhores práticas, provendo assim um
ambiente de TI bem gerenciado e flexível, dentro da organização.
► COBIT provê um ambiente de controle que é responsável em garantir as necessidades de
negócio e servir para funções de gerenciamento e auditoria, a partir de suas responsabilidades de
controle.
► COBIT provê ferramentas para auxiliar no gerenciamento das atividades de TI.
22
COBIT: Princípios
O princípio do framework COBIT é o de prover um link entre as expectativas com as responsabilidades

de gerenciamento de TI. O objetivo é facilitar a Governança de TI para agregar valor a TI, enquanto
gerenciando Riscos em TI.
Recursos de TI
Estratégia de Negócio
Processos de TI
Critério da
Informação
23
Revisão - COBIT e Governança de TI
► COBIT foca na melhoria da Governança de TI das organizações.

► COBIT provê um framework para gerenciar e controlas as atividades de TI e dar
suporte a cinco requisitos adequados a um framework de controle
Provê Define uma

mais foco linguagem
no negócio comum
Garante Auxilia na
Control
orientação Framework obtenção dos
Requisitos
a processo regulatórios
Tem aceitação
geral pelas
organizações
24
COBIT e Governança de TI (Cont.)
Foco em Negócio
► COBIT busca foco estrito no
Provê
Negócio através do alinhamento Define uma
dos objetivos de TI com os mais foco
linguagem
objetivos de Negócio. no negócio
comum
► A medição de performance de TI
deverá ter foco na contribuição
de TI para habilitar e extender Garante Auxilia na
as estratégias de Negócio. orientação
Control obtenção dos
Framework
► COBIT, é suportado por Requisitos
a processo
regulatórios
apropriadas métricas com foco
no Negócio, que garentem que o
Tem aceitação
foco primário é a agregação de
geral pelas
valor e não a excelência técnica
como um fim em si mesmo. organizações
25
Orientado a Processo
► Quando a organização
Provê
implementa COBIT, seu foco é Define uma
mais foco
orientado a processo. linguagem
no negócio
► Incidentes e Problemas não comum
desviam a atenção dos processos.
► Exceções podem ser claramente
definidas como parte de Garante Auxilia na
processos padrões. orientação
Framework
Requisitos
a processo
► Com o “dono” do processo regulatórios
definido, indicado e aceito, a
organização manterá um melhor Tem aceitação
controle quando de períodos de geral pelas
rápidas mudanças ou crises organizações
organizacionais.
26
Aceitação Geral
► COBIT provê um padrão
Provê
globalmente aceito como forma Define uma
mais foco
de aumentar a contribuição de linguagem
TI para o sucesso da no negócio
comum
organização.
►O framework continua sendo
continuamente melhorado e Garante Auxilia na
desenvolvido, com vistas a Control obtenção dos
orientação
Framework
manter-se alinhado com as Requisitos
a processo
“melhores práticas” de mercado. regulatórios
► Profissionais de TI de todo o Tem aceitação

mundo contribuem com suas
geral pelas
idéias e tempo para
regularmente revisar o conteúdo organizações
do COBIT.
27
Requisitos Regulatórios
► Os recentes escandalos
Provê
corporativos aumentaram a Define uma
pressão regulatória sobre o mais foco
linguagem
corpo diretivo (direção) no no negócio
comum
sentido de reafirmar o seu status
e garantir que os controles
internos são adequados. Estas
Garante Auxilia na
pressões também focam a área Control
orientação obtenção dos
de TI. Framework
Requisitos
a processo
► Organizações constantemente regulatórios
necessitam melhorar a
performance de TI e demonstrar Tem aceitação
controles adequados sobre suas geral pelas
atividades. organizações
► Muitos gerentes de TI,
consultores e auditores estão
tornando o COBIT como a
resposta “de fato” aos requisitos
regulatórios de TI.
28
Linguagem comum
► Um framework auxilia todos a
Provê
utilizarem o mesmo conjunto de Define uma
termos críticos e também provê mais foco
linguagem
um glossário de termos e no negócio
comum
expressões.
► A coordenação interna e externa
das equipes de projeto e da Garante Auxilia na
organização, pode ter um papel orientação
Framework
chave no sucesso de qualquer Requisitos
a processo
projeto. regulatórios
► Uma linguagem comum ajuda a

Tem aceitação
construir confiança e verdade.
geral pelas
organizações
29
Premissa do COBIT
O framework COBIT é baseado na premissa de que a TI precisa entregar a informação

que a empresa necessita para alcançar os seus objetivos.
Obter
Objetivos de
Negócio
i para
Processos de
Negócio
Informação
provê
Recursos de TI
e processos
30
Componentes do COBIT
O princípio do COBIT é derivado de um modelo que mostra a informação com qualidade

sendo produzida por processos de TI com apoio de recursos de TI. A empresa precisa
investir em TI, mas também tem que gerenciar e controlar os recursos de TI usando um
conjunto estruturado de processos para fornecer serviços que entreguem informações
requisitadas pela empresa.
33
31
Processos de TI
32
COBIT Framework
Como um framework para governança e controle de TI, COBIT foca duas áreas chaves:
► Prover as informações requeridas para suportar os objetivos de negócio e seus requisitos; e
► Tratar informação como resultado da combinação de aplicações e recursos de TI, que necessitam
ser adequadamente gerenciados por processos de TI
Criteríos da Informação
Efetividade
Processos de TI Eficiência
Confidencialidade
Integridade
Disponibilidade
Requisitos de Negócio Conformidade
Confiabilidade
Abordagem de Controle
Recursos de TI
Processos de TI Aplicações
Dominios
Considerações Informações
Processos
• ……………………………
Atividades Infraestrutura
• ……………………………
• ……………………..…….. Pessoas
33
Framework do COBIT
34
Modelo de processos do COBIT (34 processos)
35
Domínios de TI
Planejar e Organizar (PO)

► Objetivos:
 Formular estratégias e táticas
 Identificar como TI pode melhor contribuir para obter os objetivos de Negócio
 Planejar, comunicar e gerenciar a realizaçã da visão estratégica
 Implementação organizacional e tecnológica da Infraestrutura
► Escopo:
 Estão TI e Negócio estrategicamente alinhados?
 Está a organização obtendo uso ótimo de seus recursos?
 Qualquer pesso na organização entende os objetivos de TI?
 Os riscos de TI são entendidos e adequadamente gerenciados?
 A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio?
TI e Negócio
36
Domínios de TI
Vamos ver o modelo de processo do COBIT, que consiste de 34 processos definidos dentro dos quatro
Domínios.
Planejar e Organizar
PO1 Definir um plano estratégico de TI.

PO2 Definir a arquitetura da Informação.
Planejar e Adquirir e
Organizar Implementar PO3 Determinar a direção tecnológica.
Processos de TI
PO4 Definir os processos, organização e
relacionamento de TI.
PO5 Gerenciar os investimentos em TI.
PO6 Auxiliar no Gerenciamento da
Entregar e Monitorar e
Suportar Avaliar Comunicação e do Direcionamento.
PO7 Gerenciar os Recursos Humanos de TI.
PO8 Gerenciar a Qualidade.
PO9 Avaliar e controlar os Riscos de TI.
PO10 Gerenciar Projetos.
37
Domínios de TI
Adquirir e Implementar (AI)

► Objetivos:
 Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI.
 Mudanças e manutenção dos sistemas existentes.
► Escopo:
 Estão os novos projetos aptos a entregar soluções que reunem as necessidades de Negócio?
 Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?
 Os novos sistemas trabalharão adequadamente quando implementados?
 As mudanças serão feitas sem afetar as operações atuais do Negócio?
?
Novos projetos Organização
38
Domínios de TI
Adquirir e Implementar
AI1 Identificar soluções automáticas.

Organizar Implementar AI2 Adquirir e manter software aplicativo.
AI3 Adquirir e manter tecnologicamente a
Processos de TI
Infraestrutura.
AI4 Habilitar Operação e Uso.
AI5 Procurar recursos de TI.
Entregar e Monitorar e
Suportar Avaliar
AI6 Gerenciar mudanças.
AI7 Instalar e certficar soluções e mudanças
39
Domínios de TI
Entregar e Suportar (DS)

► Objetivos:
 A atual entrega dos serviços requeridos, incluindo o serviço de entrega.
 Gerenciamento da segurança, continuidade, dados e facilidades operacionais.
 Serviço de suporte a usuários estruturado.
► Escopo:
 Estão os serviços de TI alinhados com as prioridades de Negócio?
 Estão os custos otimizados?
 Está a força de trabalho apta a usar os sistemas de TI de forma produtiva e com segurança?
 São adequadas a confidencialidade, integridade e disponbilidade das informações?
Serviços de TI Prioridades de Negócio
40
Domínios de TI
Entregar e Suportar
DS1 Definir e gerenciar Níveis de Serviços.

DS2 Gerenciar os Prestadores de Serviços.
DS3 Gerenciar Disponibilidade e Capacidade.
DS4 Garantir a Continuidade dos Serviços. Implementar
Organizar
DS5 Garantir a Segurança dos Sistemas.
Processos de TI
DS6 Identificar e alocar os Custos.
DS7 Educar e treinar Usuários.
DS8 Gerenciar a Central de Serviços e Incidentes.
DS9 Gerenciar a Configuração. Entregar e Monitorar e
Suportar Avaliar
DS10 Gerenciar Problemas.
DS11 Gerenciar Dados.
DS12 Gerenciar o Ambiente Físico.
DS13 Gerenciar Operações.
41
Domínios de TI
Monitorar e Avaliar (ME)

► Objetivos:
 Gerenciamento de Performance
 Monitoramento de Controles Internos
 Conformidade com Agências Reguladoras
 Governança
► Escopo:
 A performance de TI é mensurada para detectar problemas antes que eles aconteçam?
 Gerenciamento garante que Controles Internos são efetivos e eficazes?
 Pode a disponibilidade de TI ser combinada aos objetivos de Negócio?
 São Riscos, Controle, Conformidade e Performance medidos e reportados?
TI Performance
42
Domínios de TI
Monitorar e Avaliar Planejar e Adquirir e

Organizar Implementar
ME1 Monitorar e avaliar a Performance de TI.
Processos de TI
ME2 Monitorar e avaliar Controles Internos.
ME3 Garantir conformidade com exigências
externas.
ME4 Prover Governança de TI. Entregar e Monitorar e
Suportar Avaliar
43
Requisitos do negócio
50
44
Requisitos de negócio x Requisitos de informação do COBIT
51
45
COBIT Cube
O framework COBIT descreve como os processos de TI entregam a informação que o Negócio

necessita para atingir os seus objetivos.
Para controlar esta entrega, COBIT provê três componentes chaves, cada qual formando uma dimensão
do COBIT cube.
Exigências de negócio para critérios da informação
Recursos de TI
Processos de TI
46
COBIT Cube: Processos de TI
► COBIT descreve o ciclo de vida de TI com o auxílio de cinco dominios:

 Planejar e Organizar (Plan and Organise)
 Adquirir e Implementar (Acquire and Implement)
 Entregar e Suportar (Deliver and Support)
 Monitorar e Avaliar (Monitor and Evaluate)
► Processos são uma série de atividades com controles de parada naturais. Exitem no COBIT 34
processos divididos em quatro Domínios. Estes processos especificam as necessidades de negócio
necessárias para atingir seus objetivos. As entregas de informação é controlada através dos 34
objetivos de controle de alto-nível, um para cada processo.
► Atividade são ações ou um conjunto de tarefas que são necessárias para se obter resultados
mensuráveis. Além disso, atividades tem seu próprio ciclo de vida e podem incluir uma série de
tarefas discretas.
Critério da Informação
Dominio Recursos de Ti
Processos
Atividades
Processos de TI
47
COBIT Cube: Recursos de TI
► Processos de gerenciamento de recursos de TI para gerar, entregar e armazenar informações que a

organização necessita para obter seus objetivos.
► Os recursos de TI, segundo o COBIT podem ser definidos da seguinte maneira:
 Aplicações são os sistemas automatizados do usuário e procedimentos manuais que
processam informações.
 Informação é o dado em todas suas formas de entrada, processamento e saída pelos sistemas
de informação, seja qual for a maneira que seja usado pelo negócio.
 Infraestrutura é a tecnologia e facilidades (hardware, sistemas operacionais, sistemas de
gerenciamento de bancos de dados, rede, multimidia, etc., e o ambiente que os contém e
suporta) que possibilitam o processamento das aplicações.
 Pessoas são o pessoal necessário para planejar, organizar, adquirir, implantar, entregar,
suportar, monitorar e avaliar a informação, sistemas e serviços. Podem ser internos,
terceirizados ou contratados sob demanda.
Critérios da Informação
Aplicações
Informações
Infraestrutura
Pessoas
Processos de TI
Recursos de TI
48
COBIT Cube: Critérios da Informação
► Para satisfazer os objetivos de Negócio, as informações necessitam estar em conformidade com

critérios específicos de controle, que o COBIT consulta como exigência do Negócio para a
informação.
► Amplamente, os critérios são baseados nas seguintes exigências:
 Qualidade
 Fiduciária
 Segurança
Exigências de Qualidade
Exigências Fiduciária
Exigências de Segurança
Recursos de TI
Processos de TI
49
COBIT Cube: Critérios da Informação
Lida com a relevância da informação e pertinência aos processos de negócio

Eficácia bem como a sua disponibilidade em prazo apropriado, de forma correta,
precisa, consistente e em formado adequado para utilização. Exigências de Qualidade
Exigências Fiduciária
Exigências de Segurança
Refere-se à provisão da informação através da melhor (mais
Eficiência produtiva e econômica) forma de utilização dos recursos.
Refere-se à proteção de informação considerada Recursos de TI

Confidencialidade
privilegiada contra divulgação não autorizada. Processos de TI
Relaciona-se com a precisão e exatidão da informação,

Integridade bem como sua validade de acordo com os padrões e
expectativas de negócio estabelecidas.
Relaciona-se a prover a informação no momento em que for requerida pelos
Disponibilidade processos de negócio, o que inclui também a salvaguarda dos recursos.
Lida com o cumprimento das leis, regulamentos e cláusulas contratuais aos quais um
Conformidade determinado processo de negócio está sujeito. (O foco está em atender regulamentações
externas).
Relaciona-se ao fornecimento, por parte dos sistemas, de informaçôes apropriadas aos gerentes
Confiabilidade
para a tomada de decisão, relatórios financeiros precisos e informações adequadas aos órgãos
normatizadores sobre o cumprimento das leis.
50
Estrutura do COBIT
51
COBIT: Valores e Limitações
COBIT:
► Tem aceitação internacional de “melhores práticas”
► É orientado a gerenciamento
► É suportado por ferramentas e treinamento
► É “free download”
► Permite que o conhecimento de especialistas-voluntários, seja compartilhado e difundido
► Continuamente em desenvolvimento
► É mantido por uma organização sem fins lucrativos (ISACA)
► Mapeia 100% do COSO
► Mapeia fortemente todos os maiores padrões de mercado
► É uma referência, não uma solução pronta
As organizações necessitam analisar os seus requisitos de controle e customizar o COBIT baseado em

seus:
► Direcionamento de Valor – Value Drivers
► Perfil de Risco - Risk profile
► Infraestrutura e organização de TI, e Portfolio de Projetos
52
Verdadeiro ou Falso?
1. (F) O COBIT deve ser utilizado apenas por grandes empresas, que
precisam atender a regulamentos financeiros
2. (V) O COBIT pode fornecer apoio a gestão de projetos de TI
3. (V) O COBIT pode fornecer apoio ao gerenciamento de serviços de TI
4. (V) O COBIT pode fornecer apoio a Governança de TI
5. (F) São três as principais características do COBIT
• Focado em negócio
• Orientado a Processos
• Baseado em controles
• Orientado por métricas
53
Verdadeiro ou Falso?
6. (V) Cada objetivo de controle dentro dos processos do COBIT contém práticas de
controle específicas
7. (F ) Um dos benefícios do COBIT é que ele pode ser implementado rapidamente
8. (F) O modelo do CMMI não é compatível com o COBIT
9. (V) As boas práticas de gerenciamento de projetos do PMBOK são compatíveis

com o framework do COBIT, pois podem agir de forma complementar
10. (V ) Chefes Executivos e Gerentes de TI são dois exemplos de

possíveis interessados no framework do COBIT
11. (V ) A premissa do COBIT é que Recursos de TI precisam ser

gerenciados por um conjunto de processos de TI que fornecem
informação para os processo de negócio com o fim de atingir-se os objetivos do
negócio
54
55
Estrutura do conteúdo do COBIT®
O conteúdo principal do COBIT é distribuído da seguinte forma:
Organiza os objetivos da Governança de TI e melhores

práticas emdomínios e processos de TI, e os relaciona aos
requisitos de negócio.
Fornecem um conjunto de requisitos de alto nível a ser

considerado para o controle efetivo dos processos de TI
Ajudam a atribuir responsabilidades, medir o desempenho,

fazer comparações e e análise de gaps.
Fornece um mapa genérico para implantar a Governança de

TI usando os recursos do COBIT e Val IT
Traduzem os objetivos de controle em práticas detalhadas e

implementáveis
Fornece orientações sobre como o COBIT pode ser usado para

suportar uma variedade de atividades de validação (auditoria) junto
com passos de testes sugeridos para todos os processos de TI e
objetivos de controle
62
56
Negócio x Objetivos Controles de TI
63
57
Os processos precisam de controle
Para conseguir uma governança efetiva, é necessário a implantação dos controles

pelos gerentes de operações dentro de uma estrutura de controle
definida para todos os processos de TI.
64
58
Processos e controles
§ 4 domínios
§ 34 processos de TI
§ Requisitos de controle genérico
• 6 controles para cada processo
§ Objetivos de controle
• 3 a 15 por processo de TI
§Práticas de controle
à 5 a 10 por objetivo de controle
Ex:Pag. 29 e 30
65
59
Requisitos de controle genérico
Cada processo do COBIT tem 6 requisitos de controle genérico que são comuns para
todos os processos. Eles devem ser considerados em conjunto com os objetivos de
controle do processo para que se possa ter uma visão completa dos requisitos de
controle.
Pag. 14
66
60
Estrutura de navegação do framework
A representação abaixo mostra os vínculos entre os

critérios de informação, processos e recursos
Criterios de avaliação
Dominios
Recursos
Areas de foco
Pag. 27
67
61
Medidas de controle
Ver apendice II da pag. 173

68
62
Critérios de informação
Exemplo – Processo PO10
Gerenciar Projetos
63
PO10 Gerenciar Projetos
Descrição do processo
Serve para criar uma estrutura de programa e gerenciamento de projetos para o gerenciamento de
todos os projetos de TI estabelecidos. A estrutura garante priorização correta e coordenação de todos
os projetos.Esta estrutura inclui plano mestre, alocação de recursos, definição de entregáveis,
aprovação pelos usuários, abordagem por fases para entrega, qualidade, plano de testes, revisão pós
implementação e testes após a instalação para assegurar o gerenciamento de riscos e a entrega de
valor para o negócio.
64
PO10 Gerenciar Projetos
65
PO10 Gerenciar Projetos – Objetivos de controle
PO10.1 Estrutura de gerenciamento de programas

Manter o programa de projetos relacionados ao portfólio de programas de investimento de TI.
Fazer isso identificando, definindo, avaliando, priorizando, selecionando, iniciando, gerenciando e
controlando projetos. Assegurar que os projetos suportam os objetivos do programa.
Coordenar as atividades e interdependências de múltiplos projetos, gerenciar a contribuição
dos projetos do programa para os entregáveis esperados e resolver conflitos relacionados a requisitos
de recursos.
PO10.2 Estrutura de gerenciamento de projetos
Estabelecer e manter um framework de governança de projeto que defina o escopo e os limites do
gerenciamento, assim como o método a ser adotado e aplicado a cada projeto. O framework e o
método de suporte devem estar integrados ao processo de gerenciamento de programa.
PO10.3 Abordagem de gerenciamento de projetos
Estabelecer uma abordagem de gerenciamento de projetos compatível com o tamanho, a complexidade

e os requisitos regulatórios de cada projeto. A estrutura de gerenciamento do projeto pode incluir os
papéis e responsabilidades do patrocinador do programa, dos patrocinadores do projeto, do comitê de
direção, do escritório de projetos e do gerente de projetos, e os mecanismos através dos quais eles
poderão cumprir essas tarefas (como, por exemplo, fazer relatórios e revisão de estágios). Certificarse
de que todos os projetos de TI têm patrocinadores com autoridade suficiente para serem proprietários
da execução do projeto dentro do programa estratégico geral.
PO10.4 Comprometimento das partes interessadas
Obter comprometimento e participação das partes interessadas afetados na definição

e execução do projeto dentro do contexto do programa geral de investimento de TI.
72
66
-
PO10 Gerenciar Projetos Objetivos de controle
PO10.5 Declaração de Escopo do Projeto
Definir e documentar a natureza e o escopo do projeto para confirmar e desenvolver, entre os

stakeholders, um entendimento comum do escopo do projeto e de como ele se relaciona com outros
projetos dentro do programa geral de investimento de TI. A definição deve ser aprovada formalmente
pelos patrocinadores do programa e do projeto antes do início do projeto.
PO10.6 Início de Fase do Projeto
Aprovar o início de cada fase principal do projeto e comunicálo a todos os stakeholders. Basear a
aprovação da fase inicial em decisões da governança de programa. A aprovação de fases seguintes
deve ser baseada na análise e na aceitação dos entregáveis da fase anterior e na aprovação de um
business case atualizado na próxima revisão do programa. Em caso de sobreposição de fases do
projeto, um ponto de aprovação deve ser estabelecido pelos patrocinadores do programa e do projeto,
para autorizar seu andamento.
PO10.7 Plano Integrado do Projeto
Estabelecer um plano integrado de projeto, formal e aprovado (que cubra recursos de negócio e de
sistemas de informação), para guiar e controlar a execução do projeto através de seu ciclo de vida. As
atividades e interdependências de múltipos projetos dentro de um programa devem ser entendidas e
documentadas. O plano do projeto deve ser mantido durante seu ciclo de vida. O plano de projeto e
suas alterações devem ser aprovados em conformidade com o programa e com o framework de
governança de projeto.
73
67
PO10 Gerenciar Projetos - Objetivos de controle
PO10.8 Recursos do Projeto

Definir responsabilidades, relacionamentos, autoridades e critérios de desempenho dos membros da
equipe do projeto, e especificar a base para obter e designar membros do staff e/ou contratados para o
projeto. A aquisição de produtos e serviços necessários para cada projeto deve ser planejada e
gerenciada para atingir os objetivos do projeto usando as práticas de aquisição da organização.
PO10.9 Gerenciamento de riscos do projeto
Eliminar ou minimizar os riscos específicos associados a projetos individuais através de um processo

sistemático de planejamento, identificação, análise, resposta, monitoramento e controle das áreas ou
eventos que tenham potencial para causar mudanças indesejadas. Os riscos enfrentados pelo processo
de gerenciamento de projetos e pelo entregável do projeto devem ser estabelecidos e registrados.
PO10.10 Plano de Qualidade do Projeto
Preparar um plano de gerenciamento de qualidade que descreva o sistema de qualidade do projeto e

como ele será implementado. O plano deve ser revisado formalmente, e todas as partes interessadas
devem formalmente concordar com ele e incorporálo no plano integrado do projeto.
PO10.11 Controle de Mudanças do Projeto
Estabelecer um sistema de controle de mudança para cada projeto, para que todas as alterações
feitas à linha de base(como custo, cronograma, escopo, qualidade) sejam
devidamente revisadas, aprovadas e incorporadas ao plano integrado do projeto de acordo com o
programa e com o framework de governança de projeto.
74
68
PO10 Gerenciar Projetos - Objetivos de controle
PO10.12 Planejamento de Métodos de Garantia do Projeto
Identificar tarefas de garantia necessárias para suportar a acreditação de sistemas novos ou

modificados durante o planejamento do projeto, e incluílas no plano integrado do projeto.
Estas tarefas devem fornecer garantias de que os controles internos e as funções de
segurança cumprem os requisitos definidos.
PO10.13 Métricas, Reporte e Monitoramento do Projeto
Medir a performance do projeto contra os critérios de cronograma, qualidade, custos e riscos do

projeto. Identificar desvios do plano. Avaliar o impacto dos desvios no projeto e no programa geral, e
reportar os resultados aos stakeholders principais. Recomendar, implantar e monitorar ações
corretivas(quando necessárias) alinhadas ao programa e ao framework de governança de projeto.
PO10.14 Encerramento do projeto
Requerer que, no final de cada projeto, os stakeholders confirmem se o projeto entregou os resultados
e benefícios planejados. Identificar e comunicar quaisquer atividades extraordinárias necessárias para
alcançar os resultados do projeto e os benefícios do programa planejados, e identificar e documentar
lições aprendidas para uso em futuros projetos e programas.
75
69
(PO) Planejar e Organizar
PO1 Definir um plano estratégico de TI

Planejar e
Organizar
PO2 Definir a arquitetura da informação
PO4 Definir processos de TI, a organização e
os relacionamentos de TI
PO5 Gerenciar o investimento de TI
Implementar
PO6 Comunicar metas e diretivas gerenciais
PO7 Gerenciar recursos humanos de TI
PO8 Gerenciar a qualidade

PO9 Avaliar e gerenciar riscos de TI
PO10 Gerenciar projetos
70
PO1 Definir um plano estratégico de TI

O planejamento estratégico é necessário para gerenciar e direcionar todos os recursos da TI de acordo
com as estratégias e prioridades do negócio. A departamento de TI e os stakeholders do negócio são
responsáveis por assegurar que um valor otimizado é realizado através dos portfólios de projetos e
serviços.
PO2 Definir a arquitetura de informação
A função dos sistemas de informação deve criar e atualizar regularmente um modelo de informação
de negócio e definir os sistemas apropriados para otimizar o uso da informação. Isso inclui o
desenvolvimento de um dicionário corporativo de dados com as regras de sintaxe da organização,
esquema de classificação de dados e níveis de segurança. Este processo melhora a qualidade de
decisões feitas pelas gerências e assegura que informações confiáveis e seguras são providas, e is
so habilita a racionalização de recursos de sistemas de informação para atender apropriadamente às
estratégias de negócio.
PO3 Determinar a direção tecnológica
A função dos serviços de informação deve determinar a direção tecnológica para suportar o negócio.
Isso requer a criação de um plano de infraestrutura tecnológica e de um comitê de arquitetura que fixa e
gerencia expectativas claras e realistas sobre o que a tecnologia pode oferecer em termos de produtos,
serviços e mecanismos de entrega.
PO4 Definir processos de TI, a organização e os relacionamentos de TI
Uma organização de TI precisa ser definida considerando os requisitos para pessoas, habilidades,
funções, responsabilidades, autoridade, papéis e supervisão. Esta organização deve estar embutida
dentro de um framework de processos de TI que assegure transparência e controle e que também
envolva os executivos sênior e gerentes de negócio. Um comitê estratégico deve assegurar uma visão
geral da TI eum ou mais comitês de direção, nos quais os participantes do negócio e da TI devem
determinar a priorização dos recursos da TI em linha com as necessidades do negócio.
71
PO5 Gerenciar o investimento de TI

Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e qu
e abrangem custos, benefícios, priorização nos orçamentos, e um processo formal de orçamentos e de
gerenciamento em relação a estes.
PO6 Comunicar metas e diretivas gerenciais
A gestão deve desenvolver um framework de controle empresarial de TI e definir e comunicar políticas.
Um programa contínuo de comunicação deve ser implementada para articular a missão, objetivos de
serviço, políticas e procedimentos aprovados e suportados pela administração.
PO7 Gerenciar recursos humanos de TI
Adquire, mantém e motiva uma força de trabalho competente para criar e entregar serviços de TI para
o negócio. Isso é atingido seguindo práticas definidas e acordadas que suportam recrutamento,
treinamento, avaliação de desempenho, promoção e demissão.
PO8 Gerenciar qualidade
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, e deve incluir um
processo de desenvolvimento e aquisição comprovado e padronizado. Isso é habilitado através de
planejamento, implementação e manutenção do sistema de qualidade que provê requisitos claros de
qualidade, procedimentos e políticas. Requisitos de qualidade devem ser determinados e comunicados,
com indicadores quantificáveis e atingíveis.
PO9 Avaliar e gerenciar riscos de TI
Criar e manter um framework de gerenciamento de riscos. O framework documenta um nível de risco
de TI comum e acordado, estratégias de mitigação e acordos sobre riscos residuais. Qualquer impacto
potencial sobre as metas da organização, causado por eventos não planejados, deve ser identificado,
levantado e avaliado. Estratégias de mitigação de riscos devem ser adotadas para minimizar riscos
residuais a um nível aceitável.
PO10 Gerenciar projetos
Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos
os projetos da TI.
78
72
(AI) Adquirir e Implementar
73
AI1 Identificar as soluções automatizadas
A necessidade para novas aplicações ou funções requer uma análise antes da aquisição ou
criação para assegurar que os requisitos do negócio são
satisfeitos numa abordagem efetiva e
eficiente. Este processo cobre a definição das necessidades considerando fontes alternativas,
revisão da viabilidade tecnológica e econômica, execução de análise de risco,
análise de custo/ benefício e a conclusão de uma decisão final de “fazer” ou “comprar”.
AI2 Adquirir e manter software aplicativo

Aplicações devem estar disponíveis de acordo com os requisitos do negócio. Este processo
envolve desenho de aplicações, inclusão apropriada de controles de aplicação e de
requisitos de segurança, além do desenvolvimento e da configuração conforme os padrões.
AI3 Adquirir e manter infraestrutura de tecnologia

Organizações devem ter um processo para a aquisição, implementação e atualização da
infraestrutura tecnológica. Isso requer uma abordagem planejada para a aquisição,
manutenção e proteção da infraestrutura alinhada com as estratégias tecnológicas
acordadas e com a provisão de ambientes de desenvolvimento e teste.
AI4 Permitir operação e uso
Conhecimento sobre novos sistemas necessita ser disponibilizado. Este processo requer a
produção de documentação e manuais para usuários de TI, além de treinamento
que assegure o uso e a operação apropriados de aplicações e infraestrutura.
80
74
AI5 Adquirir recursos de TI
Recursos de TI, inclusive pessoas, hardware,

software e serviços, necessitam ser obtidos. Isso
requer definição e sanção de procedimentos de aquisição, seleção
de fornecedores, realização de arranjos contratuais e a aquisição em si.
AI6 Gerenciar mudanças
Todas as mudanças (inclusive mudanças emergenciais e correções)
relacionadas à infraestrutura e a aplicações dentro de um ambiente de produção
precisam ser
gerenciadas formalmente de uma maneira controlada.
AI7 Instalar e validar soluções e mudanças
Novos sistemas precisam estar operacionais

uma vez que o desenvolvimento esteja completo.
Isso requer testes apropriados em um ambiente dedicado com
dados de teste relevantes,
definição da introdução e instruções de migração, planejamento de liberações e revisões
pós implementação.
81
75
(DS) Entregar e Suportar
82
76
DS1Definir e gerenciar níveis de serviços
Comunicação efetiva entre a gerência de TI e os clientes do negócio em relação aos serviços

requeridos, habilitada através de documentação e de acordos de níveis de serviços de TI.
DS2Gerenciar serviços de terceiros
A necessidade de assegurar que serviços providos por terceiros atendem aos requisitos do
negócio requer um processo efetivo de gerenciamento de terceiros.
DS3Gerenciar o desempenho e capacidade

A necessidade de gerenciar o desempenho e
a capacidades dos recursos de TI requer um
processo para rever periodicamente o desempenho e a capacidade atual dos recursos de TI.
DS4Garantir a continuidade dos serviços
A necessidade de prover serviços contínuos de TI requer desenvolvimento, manutenção e testes
de planos de continuidade da TI, armazenamento externo de backup e treinamento periódico para
o plano de continuidade.
DS5Garantir segurança dos sistemas
A necessidade de manter a integridade da informação e proteger os ativos da TI requer um

processo de gerenciamento de segurança. Este processo inclui estabelecer e manter papéis e
responsabilidades, políticas, padrões e procedimentos de segurança de TI. Gerenciamento da
segurança também inclui realizar monitoramento de segurança e testes periódicos, e a
implementação de ações corretivas para identificar fraquezas ou incidentes de segurança.
83
77
DS6 Identificar e alocar custos

A necessidade para um justo e imparcial sistema de alocação de custos para o negócio requer a
medição exata de custos da TI e acordos com usuários de negócio. Este processo inclui criação
e operação de um sistema de captura, alocação e reporte dos custos de TI para os usuários de
serviços.
DS7Educar e treinar usuários

Educação efetiva de todos os usuários de sistemas de TI requer a identificação das
necessidades de treinamento de cada grupo de usuários.
DS8 Gerenciar central de serviços e incidentes

Respostas efetivas e em tempo para as perguntas e problemas dos usuários de TI requerem uma
central de serviço bem desenhada e implementada, assim como um processo de gerenciamento
de incidentes que inclua a implementação da função da central de serviços com registro,
escalação, tendências, análise de causasraiz e resolução de incidentes.
DS9Gerenciar a configuração
Assegurar a integridade da configuração de hardware e software requer estabelecer e manter um

preciso e completo repositório da configuração. Este processo inclui coleta inicial de informações
da configuração, estabelecimento de referências, verificação e auditoria de informações da
configuração e atualização de repositório da configuração quando necessário.
84
78
DS10 Gerenciar os problemas

Um gerenciamento efetivo de problemas requer a identificação e classificação de
problemas, análise de causas raiz e resolução de problemas. O processo do
gerenciamento de problemas também inclui identificação de recomendações para melhorar
a manutenção de registros de problemas e revisar o status de ações corretivas.
DS11 Gerenciar os dados
O gerenciamento efetivo de dados requer a identificação de requisitos para dados. Este

processo inclui estabelecer procedimentos efetivos para gerenciar biblioteca de mídias,
backups e recuperação e disponibilização de mídias apropriadas.
DS12 Gerenciar os ambientes físicos
A proteção para pessoal e equipamentos de computação requer instalações bem
desenhadas e gerenciadas. Este processo inclui definir os requisitos para um lugar físico,
seleção de instalações apropriadas e desenho efetivo dos processos para monitorar
elementos ambientais e gerenciar o acesso físico.
DS13 Gerenciar as operações
O processamento completo e exato de dados requer o gerenciamento do processamento

de dados e a manutenção de hardware. Este processo inclui a definição de políticas e
procedimentos operacionais para um gerenciamento efetivo da programação do
processamento, proteção de output sensitivo, monitoramento da infraestrutura e
manutenção preventiva de hardware.
85
79
(ME) Monitorar e Avaliar
80
(ME) Monitorar e Avaliar
ME1 Monitorar e avaliar o desempenho de TI
Assegura que a gestão estabeleça um framework geral de monitoramento e uma abordagem que defin
a escopo, metodologia e processos a serem seguidos. O monitoramento da TI contribui para os
resultados do gerenciamento do portfólio empresarial e para os processos de programas gerenciais -
processos que são específicos para entregar competências e serviços de TI. O framework deve estar
integrado com o sistema de gerenciamento de desempenho da companhia.
ME2 Monitorar e avaliar os controles internos
Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitoramento
bem definido. Este processo inclui monitoramento e reporte de exceções de controle, resultados da au
to avaliação e revisão de fornecedores (terceiros). Um benefício principal do controle interno de
monitoração é fornecer segurança relacionada à eficiência e à eficácia operacionais e à conformidade
com leis e regulamentos.
ME3 Assegurar conformidade regulatória
Uma vigilância regulatória eficiente requer o estabelecimento de um processo de revisão independente
para garantir a conformidade com leis e regulamentos. Este processo inclui definir auditor independen
te, ética profissional, padrões, planejamento, desempenho do trabalho de auditoria e reporte do
acompanhamento das atividades de auditoria. O propósito deste processo é fornecer uma garantia
positiva relacionada à conformidade da TI com leis e regulamentos.
ME4 Fornecer Governança de TI
Estabelecer um framework efetivo de governança, incluindo definição de estruturas organizacionais
,
processos, liderança, papéis e responsabilidades, para assegurar que os investimentos em TI e as
entregas estejam alinhados com as estratégias e objetivos empresariais.
81
Exercício 1
1 - Leitura do documento que contém os processos PO10 e DS2 e

fazer uma leitura detalhada da
Descrição, Objetivos de Controle, Diretrizes de Gerenciamento e
Modelo de Maturidade.
82
Estudo de caso
O presidente da cooperativa de crédito “COOPERTI” contratou

você como consultor para orientálos. A área de TI está passando por alguns
problemas e precisa de uma opinião sua sobre como resolvêlos.
Informações que você precisa saber:
§ Cooperativa de Crédito tem 20 anos de existência, 4.500 sócios e oferece quase

todos os serviços que um banco normal oferece: conta corrente, cobrança, cartão de
crédito, aplicações e financiamentos.
§ A área de TI tem 25 funcionários, com vários sistemas legados e várias bases de dados
em diferentes plataformas. Quase todos os sistemas foram desenvolvidos internamente.
A equipe de TI é bem experiente, e conta com analistas, programadores, especialistas
em rede e segurança.
§Atualmente o maior problema é o homebanking que foi desenvolvido em parceria

com a TIWAY. O portal do homebanking já está disponível aos associados e alguns
serviços já estão sendo oferecidos, como consulta ao extrato bancário e consulta a
contas de investimentos. Entretanto, os serviços de TED, DOC e pagamento de contas
não estão disponíveis. O projeto foi dividido em várias etapas, sendo que a etapa de
entrega dos módulos de TED e DOC e de pagamento de contas está atrasado em
5 meses.
83
Estudo de caso
COOPERTI (continuação) Como se não bastasse o atraso no projeto, os clientes das contas bancárias fizeram
várias reclamações à central de serviços. Eles informaram que às vezes o sistema é muito lento, e também que
não conseguem acessálo em determinadas horas do dia. Há também casos em que o extrato bancário apresenta
informações desatualizadas. Para tentar resolver os problemas, a TIWAY tem
disponibilizado várias atualizações no portal, muitas delas em caráter de urgência.
O comitê de gestão da cooperativa está preocupado com todos os problemas,

e muitos sócios já expuseram estar descontentes com o portal.
Além disto, eles temem pela segurança de suas contas.
Recentemente o presidente da cooperativa, o gerente de TI e o gerente de suporte fizeram uma reunião com a
TIWAY para tentar alinhar as expectativas e saber quando os problemas pendentes serão resolvidos. A
lém disto, esperase ter uma resposta sobre quando os módulos de TED e
DOC estariam disponíveis. Na reunião, o gerente de suporte expôs alguns problemas no relacionamento com a TIWAY:
Muitos incidentes não estão sendo atendidos em tempo hábil, levase muito tempo para obter resposta.
à A equipe de atendentes não consegue dominar a situação porque não recebeu
nenhuma documentação ou treinamento de uso do sistema da TIWAY.
à Muitos problemas têm aparecido logo depois das atualizações, que ocorrem quase
todos os dias.
84
Estudo de caso
COOPERTI (continuação) Na reunião a TIWAY expôs o seu lado da história,

colocando as seguintes questões: à Atualmente a
TIWAY não consegue focar no desenvolvimento dos módulos
que ainda faltam, pois apareceram muitos erros no sistema
e toda a equipe está alocada na correção de bugs.
• Muitos problemas estão relacionados à infraestrutura da TI da cooperativa. Os

servidores disponibilizados não estão suportando a carga de trabalho e isto está
causando lentidão e erros nos processamento das transações.
• Além disto, a TIWAY não consegue obter as especificações da equipe

de analistas da COOPERTI para dar continuidade aos módulos que estão
faltando no portal.
85
Exercício 2
Agora que você sabe resumidamente dos problemas que estão acontecendo
na COOPERTI, identifique até 7 processos de ITIL/COBIT que poderiam ter evitado os
problemas que você identificou no estudo de caso.
Justifique as escolhas dos processos.
92
86
Exercício 2
Resposta
Os principais processos que poderiam ser melhorados no primeiro momento são:
(podem haver outros)
COBIT - PO10 Gerenciar Projetos : os problemas aqui vão desde o

escopo mal definido até a entrega do produto do projeto.
COBIT - DS2 Gerenciar serviços de terceiros (Gerenciamento de fornecedores – ITIL V3)
Melhoraria a gestão de fornecedores, estabelecendo e monitorando os SLAs
estabelecidos com os fornecedores.
AI4 Permitir operação e uso e DS7 Treinar Usuários: O pessoal do servicedesk

não recebeu a documentação do sistema para atender aos incidentes e também não
foram treinados adequadamente para prestar suporte ao novo sistema.
DS3 Gerenciar Desempenho e Capacidade (Gerenciamento de Capacidade – ITIL V3)

A capacidade não foi dimensionada corretamente para o novo sistema.
AI6 Gerenciar Mudanças e AI 7 Instalar Mudanças (Gerenciamento de Mudanças

e Liberaçao– ITIL V3)
Não tem um padrão de gerenciamento de mudanças e as novas liberações não estão
sendo homologadas e testadas antes de ir para o ambiente de produção,
por isto está acontecendo tantos incidentes.
93
87
Usando o Balanced Scorecard para priorizar os processos de TI
94
88
Alinhamento estratégico TI e negócio
Toda organização deveria ter

uma planejamento estratégico.
Se a administração da empresa
não definir um rumo para a
organização, conseqüentemente
os departamentos internos não
vão ter um direcionamento,
incluindo TI.
Ao longo do tempo, muitos CIOs
perceberão que não dá para
gerenciar a TI isoladamente, é
necessário a integração da
estratégia de TI com a estratégia
do negócio. E a ferramenta
escolhida por muitos para fazer
esta tarefa é o Balanced
Scorecard.
95
89
O que as empresas querem?
Aumentar o faturamento
§
§ Aumentar a participação no mercado (mais clientes)
§ Mais produtividade
§ Maior lucratividade
§ Menos custos
§ Menos desperdício e retrabalho
§ Menos riscos
§ Menos problemas
§ Lançar novos produtos/serviços em curto espaço tempo

§ Clientes satisfeitos
96
90
BSC: Traduzindo a missão em resultados
§ O Balanced Scorecard (BSC)

é um sistema gerencial que
permite à organização
implantar, divulgar e gerenciar
suas estratégias.
§ Foi criado em 1992,
inicialmente por Robert Kaplan e
David Norton.
§ Atualmente o BSC foi

adaptado para o uso na
tecnologia da informação,
ajudando a fazer a ponte
entre a estratégia do negócio
e a de TI.
§ O BSC é mais uma
ferramenta de apoio para
implantar a Governança de TI.
97
91
Perspectivas do BSC
Podemos utilizar o BSC como ferramenta para mapear a estratégia da organização.

A partir da estratégia podemos identificar as metas, e a partir destas identificar
indicadores de desempenho nas quatro perspectivas:
98
92
BSC: Mapa estratégico corporativo
99
93
Exemplo: Mapa da estratégia de uma companhia aérea
100
94
BSC Corporativo x BSC de TI
95
Balanced Scorecard de TI
As setas representam a causaefeito:
96
Exemplo: mapa da estratégia de TI
103
97
Orientação ao negócio do COBIT
104
98
BSC do negócio - Metas do negócio para TI
105
99
Metas de TI e processos do COBIT (1)
106
100
Metas de TI e processos do COBIT (2)
107
101
Selecionando métricas para o BSC de TI
108
102
Selecionando indicadores para o BSC de TI
109
103
Softwares de Apoio
Existem alguns softwares que podem ser utilizados para criação de painéis de
indicadores(dashboard):
www.projectmanager.com
§ www.edecision.com.br
§ www.softexpert.com.br
§ www.datasecsoft.com
§ www.methodware.co.nz
§ www.metricus.com
110
104
111
105
Diretrizes de gerenciamento
As diretrizes de gerenciamento do COBIT possibilitam aos administradores da

organização lidar de forma eficiente com as necessidades e requisitos da Governança
de TI.
Para cada processo de TI, as diretrizes de gerenciamento fornecem ferramentas para
medir e comparar a capacidade:
 Metas e métricas
• Medidas de resultado (outcome measures)
• Indicadores de desempenho (performance indicators)
 Recursos
• Entradas e saídas para cada processo
• Gráfico RACI (matriz de responsabilidades)
112
106
Governando a TI
113
Fonte: ITGI, COBIT 4.1
107
Relacionamentos com
outros processos
Gráfico RACI com

atividadeschave e
responsabilidades
Metas de TI, processo

s e atividades
Métricas
114
Fonte: ITGI, COBIT, pag 68
108
Entradas e saídas
115
109
Metas e métricas
116
110
Métricas do COBIT
117
111
Métricas
118
112
Indicadores de performance (PI Performance Indicators)
119
113
Medidas de resultado (OM Outcome Measures)
120
114
Gráfico RACI
122
115
Gráfico RACI - Hierarquia padrão
Os gráficos RACI apresentam funções típicas de uma organização de grande porte.

Nada impede de que estes nomes sejam adaptados ou algumas funções sejam combinadas.
CEO
CFO
123
116
Modelos de maturidade
124
117
Modelo genérico do COBIT
125
118
Características de cada nível de maturidade
126
119
Modelo de maturidade
para o PO10
127
Fonte: ITGI, COBIT, pag 72
120
Avaliação dos processos / Assessment
128
121
Análise de gap
129
122
Relacionamento entre os componentes do COBIT
130
123
Produtos do ITGI que
IT ASSURANCE COBIT
GUIDE QUICKSTART
suportam o COBIT®
Val IT
COBIT
ONLINE
131
124
Principais produtos relacionados com o COBIT
A ISACA e o ITGI desenvolveram vários produtos acessórios para ajudar a imple

mentar os objetivos de controle e governança de TI:
Obtenha em:
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/COBIT_Publications/COBIT_Products.htm
132
125
COBIT Quickstart
133
126
Práticas de controle
134
http://www.isaca.org/Template.cfm?Section=Search&template=/Ecommerce/ProductDisplay.cfm&ProductID=768
127
PO10 Gerenciar Projetos - Práticas de controle
135
128
Guia de Validação (IT Assurance Guide)
136
129
Execução do roadmap de validação
137
130
COBIT Online
138
131
Security Baseline
139
132
Guia de Implantação Gov TI (IT Governance Implementation Guide)
140
133
IT Governance Implementation Guide - Roadmap
141
134
Framework do VAL IT™
142
135
Princípios do VAL IT
143
136
Os 4 “Ares”
144
137
8 Visão geral de outros
modelos que suportam a
Governança de TI
145
138
Quais padrões e modelos podem ajudar?
146
139
Qual o modelo mais adotado para operações de TI?
Dados da pesquisa realizada no itSMF Brasil Conference em 2007 com 200

CIOs de grandes empresas:
147
140
ISO/IEC 38500 - Novo padrão para Governança de TI
Avaliar
Dirigir
Monitorar 148
141
COBIT Mappings
149
142
ITIL V3 (IT Infrastructure Library)
150
143
Comparando conteúdos ITIL V3 x COBIT
151
144
ISO/IEC 20000 - Sistema de Gestão de Serviços de TI
152
145
ISO/IEC 27001 - Sistema de Gestão da Segurança da Informação
153
146
BS 25777 -Continuidade do Serviços de TI
154
147
PMBOK - Project Management Body of Knowledge
Disponível gratuitamente para associados no site www.pmi.org

155
148
Processos do PMBOK Quarta Edição
156
149
PRINCE2 - Projects In Controlled Enviroments
- 2nd Edition
157
150
CMMI (Capacity Maturity Model Integration) for Development
158
151
M_o_R (Management of Risk)
159
152
153
Outros padrões
161
154
Exame Cobit 4.1 Foundation
162
155
Modelo do certificado
163
156
Escopo do Exame
As questões do exame são

distribuídas em 5 áreas:
§Respondendo aos desafios de
TI
§ Introdução ao COBIT
§ O que o COBIT fornece
§Aplicando o COBIT na prática
§ Produtos e suporte do ITGI
164
157
Escopo do exame
Identificar as questõeschave do gerenciamento de TI que afetam as

organizações e a necessidade de um framework de Governança de TI
§ Identificar questões do gerenciamento de TI ou desafios que afetam a organização
§ Identificar quem é responsável pela Governança de TI
§ Identificar os princípios da Governança de TI
§ Identificar como a Governança de TI resolve questões de gestão
§ Identificar a necessidade para um framework de controle que apóie a Governança de TI
Entender os componentes do COBIT e o papel do COBIT em relação aos outros
frameworks de gerenciamento de TI
§ Identificar os componentes do COBIT
§ Entender como o COBIT atende aos requisitos para um framework de controle
§ Descrever como o COBIT está alinhado com os outros padrões
§ Entender como o COBIT atende aos requisitos obrigatórios
§
Descrever como o COBIT ajuda os gerentes e auditores na organização
165
158
Escopo do exame
Descrever o framework COBIT e seus componentes

§ Identificar a funções do framework COBIT
§ Identificar as características dos 4 domínios de TI
§ Descrever o papel dos processos de TI do COBIT
§ Descrever os 7 critérios de informação
§ Descrever como o COBIT define os recursos em um ambiente de TI
§ Reescrever os objetivos de controle do COBIT, assim como indicadores de desempenho,
medidas de resultado e modelos de maturidade nas diretrizes de gerenciamento
§ Descrever de forma genérica o processo de auditoria
Entender como o framework COBIT pode ser aplicado para os processos
PO10 e DS2
§Objetivos de controle e práticas de controle para PO10 e DS2
§ Indicadores de metas relevantes para os problemas de TI no PO10 e no DS2

§ Indicadores de desempenho relevantes para o PO10 e o DS2
§Aplicação dos modelos de maturidade e matrizes RACI para o PO10 e o DS2
166
159
Onde comprar o exame
http://education2.certification-partners.com/ISACA/store/comersus_viewItem.asp?idProduct=42
167
160
161

Cobit Full V3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cobit Full V3

Enviado por

Direitos autorais:

Formatos disponíveis

COBIT 4.

©2007 IT Governance Institute. All rights reserved. 1

Evolução da Tecnologia da Informação nas organizações:

Tecnologia da Provedor de Provedor Parceiro Tecnologia

TI como um provedor de serviços TI como um parceiro estratégico

©2007 IT Governance Institute. All rights reserved. 2

BAIXO VALOR ESTRATÉGICO DA TI ALTO

TI suporta o negócio TI suporta vantagem TI fornece vantagem TI é o negócio

Precisa da tecnologia A estratégia está A TI é um Estratégias de negócio

Indústrias de Grandes varejistas Serviços de entrega Corretores online,

TI como commodity TI como um diferenciador estratégico

Fonte: Deloitte & Touche LLP

§ Desenvolver a parceria entre a TI com o negócio (inclui problemas de

©2007 IT Governance Institute. All rights reserved. 4

§ Gerenciar a complexidade da infraestrutura de TI

§ Gerenciar fornecedores externos (problemas com a entrega)

§ Manter alta disponibilidade nos serviços de TI

©2007 IT Governance Institute. All rights reserved. 5

Para tentar resolver os problemas, precisamos identificar onde exatamente está o

§ Como fazer a TI e seus usuários enxergarem as expectativas de cada um?

As respostas podem ser obtidas com uma estrutura de

©2007 IT Governance Institute. All rights reserved. 6

Governança: governar, sistema de administração, controle,

Governança serve para alcançar os

©2007 IT Governance Institute. All rights reserved. 7

As organizações requerem uma abordagem estruturada para estes e outros

©2007 IT Governance Institute. All rights reserved. 10

Governança Corporativa é um conjunto de

©2007 IT Governance Institute. All rights reserved. 11

RESOURCE 2010 64% Doing something about it 36%

©2007 IT Governance Institute. All rights reserved. 12

Governança Corporativa e Governança de TI requerem que o balanço entre os

©2007 IT Governance Institute. All rights reserved. 13

É sobre a execução da proposição de valor através do ciclo de entrega, garantindo

É sobre a otimização de investimento e do próprio gerenciamento dos

Atenção aos Riscos é requerida do Executivo Senior da corporação, um claro

Medição de Trilha e monitora a implementação de estratégia, conclusão de projetos, uso

©2007 IT Governance Institute. All rights reserved. 14

Comitê de Direção e Define a direção de TI, monitora os resultados e insiste em

Entrega e melhoria os serviços de TI, de acordo com as

Provêem garantia independente para demonstrar que TI está

Riscos e Mede a conformidade com políticas e alertas para novos

©2007 IT Governance Institute. All rights reserved. 15

Para fazer a implementação de um projeto de Governança de TI necessitamos:

©2007 IT Governance Institute. All rights reserved. 16

COBIT ajuda a estabelecer uma ponte entre os riscos do negócio, as necessidades de

Recursos de TI necessários a serem gerenciados por um

©2007 IT Governance Institute. All rights reserved. 17

COBIT possibilita as seguintes vantagens

 Mapeia os objetivos de TI com os objetivos do

©2007 IT Governance Institute. All rights reserved. 18

Organizações consideram e usam uma variedade de modelos de TI, padrões e melhores

O que ITIL Como

©2007 IT Governance Institute. All rights reserved. 19

ISO ISO ISO

Processos e Procedimentos Procedimentos Princípios de ITIL

©2007 IT Governance Institute. All rights reserved. 20

► O framework COBIT foi criado com as seguintes características:

COBIT Framework Characteristics

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005

As últimas atualizações do COBIT, encontram-se em www.isaca.org/cobit.

©2007 IT Governance Institute. All rights reserved. 22