Você está na página 1de 12

COBIT FOUNDATION - APOSTILA DE RESUMO

MÓDULO 1 – GOVERNANÇA DE TI

O QUE É GOVERNANÇA DE TI

É um conjunto de estruturas e processos que visa garantir que a TI suporte e


maximize adequadamente os objetivos e estratégias de negócio da organização,
adicionando valores aos serviços entregues, balanceando os riscos e obtendo o
retorno sobre os investimentos em TI.

O Conselho de Administração e os Executivos são responsáveis pela Governança de


TI.

STAKEHOLDER GOVERNANÇA DE TI

São pessoas ou elementos relacionados com as operações de TI:

 Fornecedores
 Usuários
 Órgãos públicos
 Governo
 Acionistas
 Diretores/ Executivos / Gerentes

ALINHAMENTO DA TI COM O NEGÓCIO

Verifica se os investimentos da empresa em TI estão em harmonia com objetivos


estratégicos da empresa.

Benefícios do Alinhamento Estratégico:


 Valor agregado aos produtos e serviços da empresa
 Ajuda no posicionamento competitivo da empresa
 Uso otimizado dos recursos
 Custos eficiência administrativa aperfeiçoada

GERENCIAMENTO DE RISCOS

Os riscos são gerenciados de quatro formas:

 Mitigação de Riscos:
Implementação de controles que protejam contra riscos, por exemplo,
implementação de um firewall de segurança.
 Transferência de Riscos:
Compartilhar riscos com parceiros ou contratar seguro apropriado.
 Aceitação de Riscos:
Confirmação e monitoração de riscos, e ter um plano de resposta ao risco
pronto.
 Evitando os Riscos:
Adotar uma opção diferente que evite completamente o risco.
CARACTERÍSTICAS DE UM FRAMEWORK DE CONTROLE

Um Framework de Controle de TI deve conter as seguintes características:


 Foco no negócio
 Orientada a processo
 Padrão aceito
 Linguagem comum
 Requisitos regulatórios

BENEFÍCIOS DA GOVERNANÇA DE TI

 Confiança da Alta administração


 TI mais comprometida com o Negócio
 Retorno sobre o Investimento (ROI) maior
 Serviços mais confiáveis
 Mais transparência
MÓDULO 2 – INTRODUÇÃO AO COBIT

CONCEITOS BÁSICOS

 COBIT = Control Objectives for Information and related Technology


 O COBIT é um framework e uma base de conhecimento para os processos de
TI e seu gerenciamento.
 O COBIT não é um padrão definitivo, tem que ser adaptado para cada empresa
 É um framework de controle que tem o propósito de assegurar que os recursos
de TI estarão alinhados com os objetivos da organização.
 É baseado na premissa que a TI precisa entregar informação que a empresa
necessita para atingir seus objetivos.
 O princípio do framework do COBIT é vincular as expectativas dos gestores de
TI com as responsabilidades dos gestores de TI.
 Faz com que a TI seja mais responsiva ao negócio

FAMÍLIA DE PRODUTOS DO COBIT

Existe um método

Como implementar

O método é...

Os controles mínimos Como


Como medir sua
são... auditar
performance
MISSÃO DO COBIT

“Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle


para tecnologia que seja embasado, atual, internacional e aceito em geral para o uso
do dia-a-dia de gerentes de negócio e auditores”

O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE

 Define uma linguagem comum para a área de TI e negócio


 Ajuda a atender os requisitos regulatórios
 É um padrão aceito entre empresas
 É orientado a processos
 É focado nos requisitos de negócio

COMPONENTES DO COBIT

PROCESSOS DE TI

4 Domínios e 34 Processos de TI:


1. Planejamento e Organização
2. Aquisição e Implementação
3. Entrega e suporte
4. Monitoração e avaliação
CRITÉRIOS DE INFORMAÇÃO

Para satisfazer os objetivos de negócio, as informações precisam estar em


conformidade com os critérios chamados requisitos de negócio

 Requisitos de Qualidade
 Qualidade
 Custo
 Entrega
 Requisitos Fiduciários (Relatório do COSO)
 Eficácia e eficiência das Operações
 Confiabilidade das Informações
 Conformidade com Leis e Regulamentos
 Requisitos de Segurança
 Confidencialidade
 Integridade
 Disponibilidade

Eficácia:está ligado com a relevância, utilidade da informação.

Eficiência: está ligado com a otimização dos recursos. ‘

Confiabilidade: está ligado com a informação correta.

Conformidade: relacionado com conformidades a leis, regulamentos.

Confidencialidade: proteção, segurança da informação.’

Integridade: exatidão, validez da Informação

Disponibilidade: informação disponibilizada qdo requerida


RECURSOS DE TI

 Aplicações: sistemas automatizados e procedimentos manuais para


processar informações
 Informação: os dados de todos os formulários de entrada, processados e
exibidos pelos sistemas de informação, podendo ser qualquer formulário que é
usado pelo negócio.
 Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de
dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento
das aplicações.
 Pessoas: pessoal necessário para planejar, organizar, adquirir, implementar,
entregar, dar suporte, monitorar e avaliar os sistemas de informação e
serviços. Eles podem ser internos ou terceirizados.

KEY GOL INDICATORS (KGI)

Indica se um processo de TI alcançou a sua meta a nível de critérios de informação.


Este tipo de indicador é usado após a execução do processo, não durante o processo.

KEY PERFOMANCE INDICATOR (KPI)

Determinam quanto o processo de TI conseguiu atingir em relação aos objetivos. São


indicadores que podem avaliar o processo enquanto ele está em execução, desta
forma permiti tomar ações corretivas durante o processo.

GRÁFICOS RACI

Apresenta quem é responsável por cada atividade

COBIT X OUTROS PADRÕES

 O COBIT é compatível com outros padrões, é um benefício da sua adoção


 O COBIT está em um nível mais genérico, por isto pode ser utilizado para
avaliar outros processos implementados por outros frameworks como ITIL e
ISSO 17799
 O COBIT pode ser aplicado depois que outros padrões a nível mais
operacional já estejam aplicados, já que o COBIT vai servir para auditar estes
processos.
 O COSO é um framework para controle de interno, não somente de TI, pode
ser utilizado em qualquer área de negócio. Já o COBIT é específico para a TI,
mas está alinhado com o COSO.
 O COBIT cobre todas os processos do ITIL, entretanto o ITIL é mais detalhado.
 O COBIT é um framework que diz o que tem ser feito, não se preocupa em
como fazer.
 O COBIT atende os requisitos regulatórios nos quais a empresa está
submetida. Por isto pode ser utilizado para cumprir a conformidade com a
SARBANES OXLEY.
MÓDULO 3 – OBJETIVOS DE CONTROLE
Como o Framework de Controle o COBIT tem 2 focos:

1. Fornecer informações necessárias para suportar os objetivos e requisitos de


negócio.
2. Tratar informações como sendo o resultado combinado de aplicações de TI e
recursos que precisam ser gerenciados por processos de TI.

MODELO DE PROCESSO DO COBIT

RESUMO DOS PROCESSOS MAIS IMPORTANTES


Domínio Processo Descrição
PO PO9 Assess and Manage IT Risks Cria e mantem um framework de gerenciamento de
riscos de TI. Todos os assuntos relacionados a
riscos estão envolvidos neste processo.
PO10 Manage Projects Se envolve com todos os assuntos relacionados ao
gerenciamento de projetos de TI.
AI AI4 Enable Operation and Use Se preocupa em disponibilizar o conhecimento sobre
os novos sistemas. Este processo requer a produção
da documentação e manuais para usuários e TI, e
fornece treinamento aos usuários.
AI6 Manage Changes Inclui todas as mudanças, inclusive as mudanças
emergenciais, relacionadas com a infra-estrutura
DS DS1 Define and Manage Service Levels Define os níveis de serviços requeridos junto com os
cliente e monitora e emite relatórios para os
stakeholders.
DS2 Manage Third-party Services Assegura os serviços fornecidos por terceiros para
que estes satisfaçam as necessidades do negócio.
Se envolve com regras, responsabilidades e acordos
com terceiros.
MÓDULO 4 – DIRETRIZES DE GERENCIAMENTO E AUDITORIA

DIRETRIZES DE GERENCIAMENTO

As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs


(Key Gol Indicadors) e medidas de performance em forma de KPIs (Key Performance
Indicators ).

As Diretrizes de Gerenciamento do COBIT sugerem utilizar Balanced Business


Scorecards, os quais fornecem métricas para alcançar as metas de TI. O scorecard
tem 4 dimensões que mapeiam as metas e indicadores de performance:
Para cada processo de alto-níve é sugerido um Gráfico RACI com os responsáveis por
cada atividade

MODELOS DE MATURIDADE

Um modelo de maturidade é uma medida que possibilita uma organização a classificar


sua maturidade para um certo processo de inexistente (0) à otimizado (5). Os modelos
de maturidades fazem parte das diretrizes de Gerenciamento, e podem ser utilizados
para fazer comparações de maturidade com outras empresas.

Inexistent Inicia Repítive Definid Gerenciad Otimizad


e l l o o o
0 1 2 3 4 5

Legenda para os Símbolos Legendas para o Ranking


Enterprise current
status 0 – Processos de Gerenciamento não são aplicados a
International standard todosl.
guidelines 1 – Os processos são desorganizados.
Industry best 2 – Os processos seguem um padrão regular.
3 - Os processos são documentados e comunicados.
practice 4 – Os processos são monitorados e medidos.
Enterprise 5 – As melhores práticas são seguidas e automatizadas
strategy .

Modelo de Maturidade Genérico

0 Inexistente Não existe controles


1 Inicial Já existe processos, só que não tem documentos, não existe padrões.
2 Repetível Processos padronizados, só que falta documentação, comunicação
Os processos são formalizados, existe documentação, treinamento, comunicação
3 Definido definida.
Processos em aperfeiçoamentos, já fornecem as boas práticas. Mas falta ferramentas de
4 Gerenciado
automação,
Os processos já estão refinados a partir das melhores práticas identificadas. Já existe
5 Otimizado
institucionalização das melhores práticas.
DIRETRIZES DE AUTORIA

Fornece um guia de passos para ajudar os auditores internos e externos a avaliarem a


performance da organização.

A estrutura do processo de auditoria geralmente aceita compreende 4 estágios:

Um processo de TI é auditado através da:

 Obtenção do entendimento dos riscos relacionados com os requisitos de


negócio e medidas de controle relevantes.

 Avaliação dos controles determinados, avaliando se estes são


apropriados.

 Avaliação de conformidade através de testes que verifiquem


se o controle determinado está funcionando como previsto, de
forma consistente e contínua.

 Substanciação dos riscos dos objetivos de controle


que não estão sendo atingidos através de análises
técnicas ou consultando outras fontes alternativas.

PRÁTICAS DE CONTROLE

As práticas de controle de TI fornece mais detalhes de como e porque são


necessárias para a administração, provedores de serviços, usuários finais e
profissionais de controle, para implementar controles específicos baseados na analise
de operações e riscos de TI.
MÓDULO 5 – PRODUTOS DO ITGI

COBIT ONLINE

Apresenta informações do COBIT na web. Ele possibilita que vários usuários


naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. É uma área
restrita aos assinantes.

Principais recursos do COBIT Online:

 Download de arquivos PDF


 Benchmarking para avaliar sua empresa com outras
 Questionários de avaliação
 Comunidade para trocar idéias com outros usuários

COBIT QUICKSTART

É uma versão compacta do COBIT para que a empresa consiga se beneficiar deste. É
direcionado para empresas de pequeno é médio porte.

GUIA DE IMPLEMENTAÇÃO DE GOV. DE TI

É um roadmap para o Conselho de Administração, gerência executiva, profissionais de


TI e controle, profissionais de auditoria em TI e gerentes de conformidade.

COBIT SECURITY BASELINE

O COBIT Security Baseline fornece informações sobre a segurança de uma maneira


simples. É um kit de sobrevivência para os Diretores, Executivos, Gerentes, Usuários
profissionais e domésticos.