COBITFoundation - v6 - SLIDES

www.CompanyWeb.com.
br
COBIT v4.1 FOUNDATION

Curso Preparatório para o Exame de Certificação
www.CompanyWeb.com.br
twitter.com/companyweb facebook.com/companyweb
contato@CompanyWeb.com.br
11 3532-1076
slideshare.net/companyweb Vídeos: Gestão & Governança

http://bit.ly/eMR2Vt
Contexto
• http://www.youtube.com/watch?v=S91uSAKFyvI&feature=share&list=PL15F1109F62DCFE5D
Início dos documentários:
1. The Corporation;
2. Enron.
3
Primeiros comentários sobre
“exuberância irracional do mercado”
11 de setembro
S&P 500
Aprovação
SOX
Expressiva valorização das

ações na década de 90
Regulation
FD Desvalorização das
empresas de
Revelação do do
Revelação tecnologia
casocaso
Worldcom
Enron
Jul/2002
Out/2001 Preocupações comapelo por
Forte
disclosure seletivo
regulamentação
Fonte:
5 www.CompanyWeb.com.br
Em 30 julho de 2002, presidente George W. Bush assinou
de “O Ato Sarbanes-Oxley”, que muda de forma radical as 2001 – Enron – 7a. Maior
leis aplicadas a empresas que tem ações negociadas na empresa dos EUA.
A Enron, gigante americana do
bolsa americana. Em 2001 e 2002 empresas gigantes como setor de energia, pediu
Enron e o Worldcom foram forçadas a declarar a falência. E concordata em dezembro de
2001, após ter sido alvo de
fraudes contábeis e outras irregularidades foram reveladas uma série denúncias de
em outras empresas, tais como Adelphia e Global Crossing. fraudes contábeis e fiscais.
Após estes escândalos, o governo americano,implementou Com uma dívida de US$ 13
bilhões, o grupo arrastou
uma legislação que ampliou os poderes da SEC consigo a Arthur Andersen,
(Securities and Exchange Commission, órgão regulador do que fazia a sua auditoria.
mercado financeiro americano), aumentou
2001 – WorldCom – 20.000
consideravelmente a responsabilidade da administração demitidos
das empresas. O ocorreu fraude porque a
empresa registrou como
investimentos (ativo em seu
A regulamentação das novas normas e a supervisão do seu balanço patrimonial) o que era
cumprimento, pelos vários elementos do mercado de despesa (demonstrativo de
resultados), distorcendo
capitais, passam a ser de responsabilidade do PCAOB totalmente os dados de suas
(Conselho de Supervisão de Assuntos Contábeis das contas.
Companhias Abertas -Public Company Accounting Oversight
Board)
Objetivo SOX: Garantir a integridade das informações financeiras
• A que se propõe a lei?
• Proteger os investidores por meio do aperfeiçoamento da precisão e

da confiabilidade nas divulgações societárias, envolvendo, dentre
outras, certificações pelo CEO e CFO:
– das demonstrações financeiras;

– dos controles e procedimentos de divulgação;
– dos controles internos sobre as demonstrações financeiras.
Lei Sarbanes-Oxley - Aplicação
• A lei se aplica às Companhias registradas na SEC, aumentando, dessa
forma, a sua abrangência a Empresas que não são de origem norte-
americana.
• Efeito no Brasil:
– Empresas brasileiras listadas na SEC: são aproximadamente 36 empresas, tais
como: Cia Vale do Rio Doce, Brasken, Pão de Açúcar, Bradesco, Banco Itaú
Unibanco.
– Subsidiárias de empresas americanas e não americanas cujas matrizes estão

listadas na SEC, tais como: Citigroup, AIG Seguros, Monsanto, Grupo Bunge,
Krafft Foods, Unilever, AGCO, Philip Morris, Dupont, 3M, Xerox, IBM, Goodyear,
Siemens, SAP.
8
Empresas Brasileiras
Visão Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Quem está sujeito ao SOX?

Esta lei abrange tanto as empresas norte-americanas com ações em bolsas de valores
nos Estados Unidos, quanto as empresas estrangeiras com recibos de ações (American
Depositary Receipt – ADR) negociados em bolsas norte-americanas.
Empresas listadas na NYSE Empresas listadas na NYSE
Ambev - Companhia de Bebidas das Américas Petróleo Brasileiro S.A. - Petrobras
Aracruz Celulose S.A. SABESP
Banco Bradesco, S.A. Sadia S.A.
Banco Itaú Holding Financeira S.A TAM S.A.
Brasil Telecom Participações S.A. Tele Norte Celular Participações S.A.
Brasil Telecom S.A. Tele Norte Leste Participações S.A.
Braskem S.A. Telebrás HOLDRs
Companhia Brasileira de Distribuição Telecomunicações de São Paulo S/A-Telesp
Companhia Energética de Minas Gerais-CEMIG Telemig Celular Participações S.A.
Companhia Paranaense de Energia (COPEL) Tim Participações S.A.
Companhia Siderúrgica Nacional Ultrapar Participações S.A.
Companhia Vale do Rio Doce (CVRD) União de Bancos Brasileiros S.A (Unibanco)
CPFL Energia S.A. Vivo Participações S.A.

Embraer -Empresa Brasileira de Aeronáutica Votorantim Celulose e Papel S.A.
Embratel Participações S.A. Gol Linhas Aéreas Inteligentes S.A.
Gerdau S.A. Perdigão S.A.
9
Estabelecendo um Roteiro para a Administração
• A Lei Sarbanes-Oxley de 2002 (SOX) mudou

significativamente a visão sobre Governança Corporativa.
Muitas organizações estão, neste momento, planejando e
implementando processos que as auxiliarão na avaliação
sobre a eficácia dos seus controles internos relacionados à
elaboração de suas demonstrações financeiras (Internal
Control Over Financial Reporting - ICOFR). O ponto crítico
desse processo tem sido tentar antecipar e discutir as
questões e preocupações que poderiam emergir à medida
que a administração se prepara para a auditoria
independente desse processo (auditoria do ICOFR).
10
Visão Geral do Ato Sarbanes-Oxley (An Overview of the Sarbanes-Oxley Act)
Penalidades:
Em caso de violação da SOX, os diretores, auditores e consultores dessas empresas
estarão sujeitos a pena dessa Lei, que vão de 10 a 20 anos de prisão e multa de até US$
5 milhões.
Enron CEO gets 24 years

U.S. courts reserve the big fire for those at the top
Oct. 24, 2006. 07:33 AM
JENNIFER WELLS
BUSINESS COLUMNIST
Last man standing?
Not any longer. Five months after being found guilty

on 19 counts of securities fraud, conspiracy, making
false statements to auditors and insider trading, Jeff
Skilling has been knocked flat at last. The former
Enron chief executive was sentenced yesterday in a DAVID J. PHILLIP/ASSOCIATED PRESS
Houston courtroom to 24 years and four months in Former Enron CEO Jeff Skilling, centre right, arrives
prison and was denied his request to remain free at the federal courthouse with his attorney, Daniel
pending appeal. Petrocelli, centre left, for his sentencing hearing Oct.
23 in Houston.
http://www.thestar.com/NASApp/cs/ContentServer?pagename=thestar/Layout/Article_Type1&col=969048863851&c=Article&cid=1161640212235&call_pageid=968350072197
Maria Christina Carvalho
14/06/2006
Itaú conclui a certificação dos controles internos
R$ 15 milhões em despesas diretas, 206 mil horas de trabalho interno e 40 mil dos auditores externos garantiram
ao Banco Itaú Holding Financeira o recorde de primeiro banco estrangeiro com ações negociadas na Bolsa de Nova
York (NYSE) a cumprir as exigências da seção 404 da Lei Sarbanes-Oxley (SOX).
Uma das seções - equivalentes a artigos na legislação brasileira - mais complexas da SOX é exatamente a 404, que
determina a avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. A
administração da empresa precisa documentar, avaliar e certificar a eficiência dos controles internos e dos
processos de obtenção dos números registrados nos relatórios financeiros. Além disso, um auditor externo tem que
certificar a avaliação.
Desde o final de 2004, o Itaú está envolvido na tarefa, afirmou o vice-presidente sênior, Henri Penchas. A exigência
inicial da Securities and Exchange Commission SEC) - equivalente à comissão de valores mobiliário brasileira - era
que as empresas estrangeiras com ações negociadas na Bolsa de Nova York atendessem as exigências da SOX no
balanço de 31 de dezembro de 2005. Posteriormente, a SEC deu mais um ano de prazo.
Mas, o Itaú conseguiu atender a exigência no prazo original e acaba de arquivar na SEC o relatório anual 20-F,
referente ao exercício concluído em 31 de dezembro de 2005, com o relatório do auditor externo
PricewaterhouseCoopers certificando a avaliação da direção do banco a respeito da qualidade dos processos e
veracidade das informações contidas no balanço.
O objetivo é assegurar aos investidores e ao mercado que os processos de obtenção dos números estão corretos.
"É um trabalho extremamente burocrático, técnico e minucioso, que implicou o mapeamento de cerca de 1050
processos do banco", disse Penchas, desde conta corrente, cartão de crédito a empréstimos e custódia. Alguns
tiveram que ser alterados até que os auditores externos estivessem satisfeitos. o Itaú designou um diretor gerente,
João Costa, para tocar o projeto.
Penchas acredita que o trabalho será mais fácil no próximo balanço pois só será necessário desenvolver novos
testes para os novos produtos. Nos demais, só será preciso repetir os testes já elaborados.
Para acionistas e investidores, o resultado é a certeza da qualidade dos números; para os depositantes e clientes, a
veracidade nos balanços.
Costa lembrou que o trabalho do auditor externo também está sujeito à averiguação do órgão de supervisão da
atividade, o Public Company Accounting Oversight Board (PCAOB).
• A Lei Sarbanes-Oxley de 2002 reescreveu,
literalmente, as regras para a governança
corporativa, relativas à divulgação e à emissão de
relatórios financeiros. Contudo, sob a infinidade de
páginas da Lei, repletas de “legalismos”, reside uma
premissa simples: a boa governança corporativa e
as práticas éticas do negócio não são mais
requintes – são leis.
Objetivo SOX: Garantir a integridade das informações financeiras
· Responsabilidade do Presidente (CEO) e do Diretor Financeiro (CFO) na “certificação” das demonstrações
Em 30 julho de 2002, presidente George W. Bush assinou de “O Ato Sarbanes-Oxley”, que muda de
financeiras;
forma radical as
· Transferência leis
para umaplicadas
comitê deaauditoria,
empresas que temde
composto ações negociadas
membros na bolsa
não executivos do americana.
Conselho da Administração,
de muitos poderes e responsabilidades que eram anteriormente dos diretores-executivos;
· Maior transparência na divulgação das informações financeiras.
Visão Geral da Lei Sarbanes-Oxley
Principais Seções (artigos):

Seção 302 e 906 – Tratam de certificações dos relatórios anuais contendo as demonstrações
financeiras (20-F e 40-F) por parte dos administradores (CEO e CFO), sob penalidades de
responsabilidade civil e criminal.
Seção 404, 407, 408 e 409 – Tratam sobre os aspectos de controle interno, fiscalização
da SEC sobre informação pública, código de ética para diretores financeiros e
publicação de alterações operacionais e/ou financeiras. Determina a emissão de
relatório especial, com parecer, entregue à SEC, que ateste a realização anual de
avaliação e de controles e processos internos que são a base de relatórios financeiros.
Seção 802 - Penalidades criminais pela alteração de documentos.
Lei Sarbanes-Oxley - Títulos
• O ato foi assinado em 30 de julho de 2002 e inclui onze seções tituladas
Título I Conselho de Supervisão da Contabilidade das Companhias de Capital Aberto

(PCAOB)
Título II Independência do Auditor
Título III Responsabilidade Corporativa
Título IV Divulgação das Demonstrações Financeiras
Título V Conflito de interesse
Título VI Autoridade e recursos da comissão
Título VII Estudos e relatórios
Título VIII Responsabilidade Corporativa e de fraudes criminais
Título IX Elevação das penalidades para crime de colarinho branco
Título X Imposto sobre lucro Corporativo
Título XI Responsabilidade e fraudes corporativas
16
Lei Sarbanes-Oxley
• O ato foi assinado em 30 de julho de 2002 e inclui onze seções
tituladas
Título I Conselho de Supervisão da Contabilidade das Companhias de Capital de

Aberto (PCAOB)
Título II Independência do Auditor
Título III Responsabilidade Corporativa – Art 302
Título IV Divulgação das Demonstrações Financeiras – Art 404
Título V Conflito de interesse
Título VI Autoridade e recursos da comissão
Título VII Estudos e relatórios
Título VIII Responsabilidade Corporativa e de fraudes criminais
Título IX Elevação das penalidades para crime de colarinho branco – Art 906
Título X Imposto sobre lucro Corporativo
Título XI Responsabilidade e fraudes corporativas
17
Conselho de Supervisão da Contabilidade das Companhias de
Capital Aberto (PCAOB)
COSO – Commitee of Sponsoring Organizations of the Tradeway Commission
Em 1985 foi criada, nos Estados Unidos, a National Commission on Fraudulent Financial Reporting
(Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar
as causas da ocorrência de fraudes em relatórios financeiros/contábeis. Esta comissão era composta por
representantes das principais associações de classe de profissionais ligados à área financeira. Seu primeiro
objeto de estudo foram os controles internos.
Em 1992, publicaram o trabalho "Internal Control - Integrated Framework”. Esta publicação tornou-se
referência mundial para o estudo e aplicação dos controles internos. Posteriormente a Comissão
transformou-se em Comitê, que passou a ser conhecido como COSO – The Comitee of Sponsoring
Organizations of the Tradeway Commission. O COSO é uma entidade sem fins lucrativos, dedicada à
melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança
corporativa. O Comitê trabalha com independência, em relação a suas entidades patrocinadoras. Seus
integrantes são representantes da industria, dos contadores, das empresas de investimento e da Bolsa de
Valores de Nova York. O primeiro presidente foi James C. Tradeway, de onde originou o nome “Tradeway
Commission”.
COSO I
Em 1992, o COSO desenvolveu o protocolo COSO I,
também denominado The COSO Report que relacionava
em sua estrutura tridimensional (chamado Cubo COSO)
uma maior observância para a identificação e análise dos
riscos internos e externos à organização, pelos que
conduzem à entidade num todo.
A metodologia Internal Control – a Integrated Framework

(The COSO Report) tem como princípio analisar e
melhorar a efetividade dos controles internos,
fornecendo subsídios para que a administração e demais
interessados pudessem utilizar e avaliar um sistema de
controle.
Foi necessário estabelecer uma definição única de

controle interno para que as partes envolvidas tivessem
um parâmetro comum, com a finalidade de avaliação e
melhoramento constante de seus sistemas.
Controle Interno Conformidade
com as leis e
regulamentos
vigentes
É um processo efetuado
pelo conselho de
administração, executivos Confiabilidade
ou qualquer outro das
demonstrações
funcionário de uma financeiras
organização com a
finalidade de possibilitar Eficiência e eficácia das
o máximo de garantia operações
nas seguintes categorias

de objetivos:
COSO I
• A estrutura do COSO divide os controles internos eficazes em cinco componentes inter-relacionados, com
o objetivo de simplificar a tarefa da administração para gerenciar e supervisionar todas as atividades que
fazem parte de uma estrutura de controles internos bem-sucedida.
LEGENDA
Requisitos de divulgação
Controles e
procedimentos de
divulgação
Operações Relatório Conformidade Controles

internos sobre
financeiro requisitos de
divulgação
Controles Controles
contábeis internos sobre
relatório
internos financeiro
As limitações originam-se do fato de que o
julgamento humano, no processo decisório,
pode ser falho, as decisões de respostas a risco
e o estabelecimento de controle interno
necessitam levar em conta a relação custos x
benefícios.
Podem ocorrer falhas causadas por erro ou

falha humana, os controles podem ser anulados
por conluio entre duas ou mais pessoas, e a
administração tem o poder de recusar-se a
aceitar as decisões de gestão de riscos.
Essas limitações impedem que o Conselho de

Administração e a diretoria executiva tenham
absoluta garantia da realização dos objetivos
da organização.
Auditoria SOX404
Controles Internos
•A definição
De formadeainda mais notável,
controles a Leimais
internos Sarbanes-Oxley
amplamente privilegia
aceitao foi
papel crítico do “controle
desenvolvida pelo
interno”.
Committee of Sponsoring Organizations of the Treadway Commission – COSO:
“... um processo, efetuado pelo Conselho de Administração, pela administração ou por
outras pessoas da companhia, visa fornecer segurança razoável quanto à possibilidade
de atingir objetivos nas seguintes categorias:
Eficácia e eficiência das operações;

Confiabilidade dos relatórios financeiros;
Cumprimento de leis e regulamentos aplicáveis.
A Lei Sarbanes-Oxley torna Diretores Executivos e

Diretores Financeiros explicitamente responsáveis por
estabelecer, avaliar e monitorar a eficácia dos controles
internos sobre relatórios financeiros e divulgações.
Definição (P.N. Migliavacca):
Controle Interno define-se como o planejamento organizacional e

todos os métodos e procedimentos adotados dentro de uma
empresa, a fim de salvaguardar seus ativos, verificar a adequação e o
suporte dos dados contábeis, promover a eficiência operacional e
encorajar a aderência às políticas definidas pela direção.
Prevenção, Detecção e Resposta
Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de

risco e má-conduta, é uma abordagem que é focada em três objetivos: Prevenção,
Detecção e Reposta
Controles:
PREVENTIVO - Previnem o acontecimento de erros, fraudes, má-conduta ou irregularidades e minimizam os
riscos na fonte. (Pró-ativo). (Maior eficácia)
DETECTIVO - Detectam erros, fraudes, má-conduta e irregularidades quando eles ocorrem, geralmente são
difíceis de definir ou prever. (Reativo).
RESPOSTA - Controles elaborados para tomar ação corretiva e remediar os danos causados por erros,
fraudes, má-conduta e irregularidades. (Reativo)
Tipos de Controles:
AUTOMATIZADO - Controles executados por sistemas automatizados, não dependendo de julgamentos
pessoais. Para garantir sua consistência, precisão e tempestividade, é preciso
ter um sistema seguro e confiável. (Maior eficácia)
MANUAL - Controles manuais executados por pessoas.
Periodicidade:
Deve ser atrelado a ocorrência do evento, a cada evento, diário, semanal, quinzenal, mensal, trimestral,
semestral, anual. A periodicidade do controle deve ser compatível com a freqüência da incidência dos
eventos de risco cobertos pelo controle.
Lista de Controle Interno:
Alçadas:
Delimitação de atuação ou influência de gestor
Conciliação:
Comparação de informações de origens distintas, o foco identificar inconsistências
Normatização interna:
Estabelecimento formal de normas internas
Segregação de funções:
Separação de funções conflitantes ou funções que possam ter conflito de interesses
Validação:
Exame de procedimentos relacionados a algumas atividades com objetivo de validar as
informações
Controle de Acesso:
Controle na entrada e saída de pessoas, equipamentos e produtos
Autorização:
Autorização formal para execução de uma operação ou uma atividade
Monitoramento:
Acompanhamento de processo, operação ou atividade de modo avaliar sua correta
adequação com os objetivos
O peso dos controles:
Ausência de Controles Controles em Excesso Controles Adequados
Riscos
Riscos
Controles
+ Tolerância Controles +
Riscos à Riscos Tolerância
Controles +
à Riscos
Tolerância
à Riscos
Exposição a Exposição a Controles Internos

Riscos Inaceitáveis Custos Excessivos Eficientes
30
SOX: Lições Aprendidas:
Questão: Fraquezas Materiais nos Controles Internos
Para quais dos itens abaixo há o a) Tecnologia da

Informação
maior risco de serem reportadas é
esperado o maior volume de 7; 7% b) Reconhecimento de
0; 0% receita
fraquezas materiais 4; 4%
c) Gerenciamento do
nos controles internos? 7; 7% Imobilizado
a) Tecnologia da Informação 2; 2% d) Compras e contas a
b) Reconhecimento de receita 4; 4%
pagar
c) Gerenciamento do Imobilizado e) Impostos
d) Compras e contas a pagar 7; 7% f) Recursos Humanos

e) Impostos
4; 4% 65; 65% g) Tesouraria
f) Recursos Humanos
h) Encerramento e
g) Tesouraria apresentação das
h) Encerramento e apresentação das demonstrações
financeiras
demonstrações financeiras
i) Outros
i) Outros
Nota:
Para 65%, há uma percepção de que a tecnologia da informação é a que poderá gerar um maior
volume de fraquezas materiais. Os demais itens estiveram restritos a uma faixa de 2% a 7%. A título de
comparação, pesquisa similar realizada em 2005 teve como resultado uma votação de 57% para TI, o
que indica que esta preocupação não é recente e se manteve no mesmo patamar.
31
Fonte: Síntese e Resultado da 9ª mesa de debates - Sox Update e Avaliação do Ambiente de Controle (COSO) KPMG – 2006/2007 www.CompanyWeb.com.br
Identificação Análise/Avaliação Resposta Risco
do Risco do Risco ao Risco Mitigado
Não Identificação Exposição Ocorrência Materialização

do Risco ao Risco do evento do Risco
Exemplo: Seção 302
CERTIFICAÇÃO EM CONFORMIDADE COM ÀS REGRAS 13a-15 E 15d-15 CONFORME ADOTADO NA SEÇÃO 302 DA LEI SARBANES-OXLEY
Eu, José Sergio Gabrielli de Azevedo, certifico que:
1.Examinei o presente relatório anual que integra o documento Form 20-F, da Petróleo Brasileiro S.A - PETROBRAS.
2. Com base em meu conhecimento, este relatório anual não contém nenhuma declaração inverídica a respeito de fato importante nem
tampouco omite qualquer menção a fato relevante necessário às afirmações feitas no documento, considerando-se as circunstâncias em que tais
declarações foram efetuadas, sendo fiel em relação ao período coberto por este relatório anual;
3. Com base em meu conhecimento, as demonstrações financeiras e outras informações financeiras contidas neste relatório anual refletem
devidamente, no tocante aos aspectos relevantes, a condição financeira, os resultados das operações e os fluxos de caixa do requerente, a partir da
data especificada e durante todo o período que o presente relatório abrange;
4. O preposto da empresa no processo de certificação e eu somos responsáveis pela criação e manutenção de controles e procedimentos de
divulgação de informação (nos termos estabelecidos nas Regras 13a-14 e 15d-14 do Exchange Act) do requerente e:
(a) Elaboramos tais controles e procedimentos de divulgação de informação de modo a assegurar que informações importantes relativas ao
requerente, incluindo suas subsidiárias consolidadas, nos sejam transmitidas por outros integrantes dessas entidades, especialmente durante o
período no qual este relatório anual é preparado;
(b) Avaliamos a eficácia dos controles e procedimentos de divulgação de informação do requerente em data compreendida no período de 90
dias que antecedeu a data de arquivamento deste relatório anual (a "Data de Avaliação"); e
(c) Apresentamos neste relatório anual nossas conclusões sobre a eficácia dos controles e procedimentos de divulgação de informação, com base
em nossa avaliação a partir da Data de Avaliação;
5. O preposto da empresa no processo de certificação e eu, com base em nossa avaliação mais recente, procedemos à divulgação, junto aos
auditores e ao Conselho Fiscal do Conselho de Administração do requerente (ou junto aos indivíduos que desempenham as funções equivalentes)
dos seguintes aspectos:
(a) Todas as deficiências importantes no projeto ou na operação dos controles internos que poderiam prejudicar a capacidade do requerente de
registrar, processar, sintetizar e notificar dados financeiros, além de identificarmos e assinalarmos para os auditores do requerente todas as
deficiências importantes nos controles internos; e
(b) Qualquer fraude, importante ou não, que envolva a gerência ou outros empregados que desempenhem papel significativo nos controles internos
do requerente; e
6. O preposto da empresa no processo de certificação e eu indicamos neste relatório anual se houve alteração significativa nos controles internos ou
em outros fatores que pudessem afetar substancialmente os controles internos em períodos posteriores à data da nossa avaliação mais recente,
incluindo quaisquer ações corretivas relacionadas às deficiências significativas e deficiências relevantes.
/s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO
José Sergio Gabrielli de Azevedo

Diretor Financeiro
33
Entender qual é o impacto do SOX na TI
Entender qual é o impacto do SOX na TI
Seção 404: Controle Internos
Declarações Financeiras A Gestão deve ter responsabilidade
Unidade de Negócio
em estabelecer, manter e analisar a
Demonstrativo Demonstrativo estrutura dos controle internos e
Balanço de resultado do Fluxo de Caixa fazer avaliação de eficiência dos
processos
Controles:
Processos
Para atender o SOX, a TI
Processo A Processo B Processo C deverá atuar da seguinte
forma:
Aplicações Estabelecer controle para o

ambiente geral de TI que
ERP BI Outras abrangem:
- Desenvolvimento;
- Mudanças;
- Operações e
TI
Serviços de TI
- Controle de Acesso.
Banco de Dados
Sistema Operacional
Rede
35
Mapeamento dos controles do PCAOB e o Cobit, atrelados aos processos de TI.
36 36 www.CompanyWeb.com.br
SOX Seção 404
Processo Processo TI / Objetivo de Comentários
Cobit Controle para SOX
Aquisição e manutenção de
AI2 sistemas aplicativos (software) Prover funções automatizadas que efetivamente suportem o negócio
Aquisição e manutenção de
AI3 tecnologia de infra-estrutura Fornecer plataformas apropriadas para sustentar os aplicativos de negócios
P04 Definição da organização de TI
e relacionamentos A adequada entrega dos serviços de TI é permitida por uma empresa que tem papéis definidos
e comunicados, responsáveis identificados (em número e habilidades), e por estar alinhada
com o negócio, facilita a implementação das estratégias, e fornece controles adequados
AI7 Instalação e homologação de Os novos sistemas precisam entrar em operação depois de concluído o processo de
soluções e mudanças desenvolvimento. Isso exige os devidos testes em um ambiente apropriado com informações
relevantes sobre os testes, definição do processo de implementação e instruções específicas
sobre migração, planejamento de novas versões, encaminhamento para a produção e revisão
pós-implementação para garantir sistemas operacionais alinhados com as expectativas
acordadas e resultados desejados
AI6 Gerenciar Mudanças Tem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das alterações
efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a análise das
implementações, revisão de todas as mudanças solicitadas, e acompanhamento da operação
da infra-estrutura de TI
DS1 Definir e Gerenciar Níveis de Estabelecer entendimento comum sobre os níveis de serviços requeridos pelo negócio e
Serviço acordos específicos (Service Level Agreements - SLA´s) que formalizam os critérios de
desempenho e os níveis de qualidade de serviços
DS2 Gerenciar serviços de terceiros Assegurar que os papéis e responsabilidades dos prestadores de serviço estão definidos e
aderentes aos requisitos de satisfação estabelecidos pela empresa. Isto é habilitado por
procedimentos de controle direcionados a revisar e monitorar os acordos e procedimentos de
adequação às políticas empresariais
SOX Seção 404
Processo Processo TI / Objetivo de Comentários
Cobit Controle para SOX
DS5 Garantir a Segurança dos Garantir a salvaguarda das informações, divulgações, destruição, modificação, perda e uso não
Sistemas autorizado. A segurança é habilitada por controles para garantir que somente usuários
autorizados obtenham acesso aos sistemas, programas e as informações classificadas como
restritas
DS9 Gerenciar a Configuração Garantir o controle sobre os componentes de TI, prevenir alterações não autorizadas,
inventariar e fornecer base para a gestão de mudanças. Isto é habilitado por controles que
identificam e registram os ativos de TI, sua localização física e programas de verificação
regulares para confirmar a existência destes ativos
DS8 Gerenciar Service Desk e Assegurar que os problemas que afetam os usuários serão resolvidos adequadamente. Isto é
Incidentes habilitado pela existência de equipe e processo de Service Desk que suporta os usuários e
fornece recomendações de soluções
DS10 Gerenciar Problemas Garantir que os problemas e incidentes sejam resolvidos e que as causas investigadas sirvam
para prevenir novas ocorrências. O sistema de gerenciamento de problemas deve classificar,
registrar e avaliar todos os incidentes ocorridos
DS11 Gerenciar Dados Assegurar que os dados permaneçam completos, internos e validos após sua entrada,
armazenamento e processamento. Isto é permitido pela combinação eficácia entre os controles
das aplicações e os controles gerais do ambiente de TI
DS12 Gerenciar ambiente físico A área responsável pelo gerenciamento das instalações deve prover segurança para proteção
dos equipamentos e profissionais de TI contra fatores humanos e ambientais
DS13 Gerenciar operações Assegurar que as funções de suporte de TI são realizadas regularmente e de forma ordenada,
com base na programação das atividades que devem ser registradas e atualizadas
Componentes
Coso
Seções SOX
Cobit
39
COSO (Internal Control Cobit (Dominios e Processos)
Components)
Controle do Ambiente PO (Planejamento e Organização)
PO 4.2 Inserção Organizacional da função de TI
PO 6.1 Ambiente de Controle de informações positiva
PO 6.2 Responsabilidade do gerenciamento das politicas
Avaliação de Risco PO (Planejar e Organização)
PO 9.0 Avaliar Risco
Controle de Atividade AI - Aquisição e Implementação
AI - 1.4 Requisitos de serviços de terceiros
AI - 6.0-6.8 Gerenciar mudanças
DS (Entrega e Suporte)
DS 5.0-5.21 Garantir Segurança dos Sistemas
DS 11.0-11.30 Gerenciar Dados
Informação e Comunicação PO (Planejamento e Organização)
PO 6.0-6.11 Divulgue os objetivos e a orientação do gerencimento
Monitoramento ME - Monitoramento e Avaliação
ME 2.0-2.4 Avaliar Controle Interno
40
O gerenciamento de riscos corporativos diz respeito aos
riscos e às oportunidades de criar e preservar valor,
sendo definido como o processo conduzido em uma
organização pelo Conselho Administrativo, Diretoria
Executiva e seus próprios funcionários, no
estabelecimento de estratégias formuladas para
identificar, em toda a organização, eventos em potencial
capazes de afetar a organização e administrar os riscos
para mantê-los compatíveis com o seu apetite a risco e
possibilitar garantia razoável do cumprimento dos
objetivos da organização.
• O apetite a risco é a quantidade de riscos, no
sentido mais amplo, que uma organização está
disposta a aceitar em sua busca e realização de
sua missão/visão para agregar valor.
• Uma organização dotada de um maior apetite a

risco poderá desejar alocar grande parcela de seu
capital para áreas de alto risco como mercados
recém-emergentes. Por outro lado, se ela possuir
um baixo apetite a risco poderá limitar seu risco
de curto prazo investindo apenas em mercado
mais maduros e estáveis.
gerenciamento de riscos
um processo contínuo e interativo que permeia toda a organização;
conduzido pelos profissionais em todos os níveis da organização;
aplicado em toda a organização, em todos os níveis e unidades, e inclui a formação de uma visão de
portfólio de todos os riscos a que ela está exposta;
formulado de modo que identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e
que administre os riscos de acordo com o seu apetite a risco.
O gerenciamento de riscos corporativos requer:
Alinhar o apetite a risco e a estratégia

Otimizar as decisões de resposta a risco
Reduzir surpresas e prejuízos operacionais
Identificar e administrar os riscos inerentes aos empreendimentos
Fornecer respostas integradas aos diversos riscos
Aproveitar as oportunidades
Alinhamento COBIT® e COSO
O COBIT® está em conformidade com o COSO e é conveniente como o framework de controle

de TI para a Governança Corporativa. O COSO ajuda a alcançar os seguintes objetivos:
► Eficácia e eficiência de operações

► Confiabilidade de relatórios financeiros
► Conformidade com leis e regras aplicáveis
Alinhamento do COBIT® com o COSO:

Semelhante ao COBIT®, o COSO responsabiliza pelo processo de Controle Interno* o Conselho
Diretor (Board), a Administração (Directors) e os funcionários da organização.
O foco do COSO é controle internos para empresa, enquanto o COBIT tem foco de
controles interno para TI. O alinhamento entre o COBIT® e COSO é de alto nível.
*Segundo o COSO a definição de controle interno: “Controle interno é um processo desenvolvido para garantir, com razoável certeza, que
sejam atingidos os objetivos da empresa”, nas seguintes categorias:
- Eficácia e eficiência de operações
- Confiabilidade nos registros contábeis e financeiros
- Conformidade com as leis e regulamentos. 45 www.CompanyWeb.com.br
CONFORMIDADE
Como o COBIT® é geralmente aceito como um framework de Governança de TI e

um framework de controle, alinhado com o COSO, ele pode ser usado para
assegurar conformidade com as leis, regulamentos e regras relacionadas à TI.
Esta conformidade se torna um processo natural sendo adotado como prática de
negócios para a TI.
O COBIT irá ajudar a identificar, naturalmente, os

requisitos de conformidade através da implementação de
alguns processos, especialmente o processo ME3:
Garantir Conformidade. O COBIT irá ajudar também a
garantir que os controles certos estejam no lugar certo
para atender as necessidades específicas de leis e regras.
Estabelecendo a Conformidade com a Lei SARBANES-
OXLEY (SOX)
Quando o IT Governance Institute (ITGI) lançou o IT Control Objectives for Sarbanes-

Oxley, 2ª Edição, cada objetivo de controle foi desafiado para garantir sua relevância e
importância para os requisitos do Ato.
Durante o processo de avaliação:
► Alguns objetivos de controle do COBIT® foram excluídos ou combinados para um
objetivo para propostas de relatórios financeiros.
► Cada objetivo de controle de TI foi reconciliado com o COSO para se alinhar com o
programa geral de conformidade a Lei Sarbanes-Oxley da empresa.
Avaliação dos Objetivos de Controle Cada Objetivo de

Detalhados do COBIT Controle Alinhado Com
Alguns objetivos de Controle Alguns Objetivos

Combinados Dentro de De Controle
um Só Objetivo Excluídos
COSO Requisitos da Lei
Sarbanes-Oxley
Estabelecendo a Conformidade com a Lei SARBANES-
OXLEY (SOX)
O COBIT® é um framework de Governança de TI e de Controle que fornece objetivos de nível
de empresa e atividade associados a controles. Usando o framework do COBIT® a empresa
poderá desenvolver um sistema de controles de TI para estar em conformidade com a Seção
404 da Sarbanes-Oxley.
Seção 404
O gerenciamento
deve fornecer um
Está em relatório anual
COBIT Conformidade sobre avaliação
com dos controles
internos sobre
relatórios
financeiros.
Objetivos e Objetivos e
Controles de Nível Controles de Nível Ato Sarbanes-Oxley
da Empresa de Atividade
Quer saber mais:

Veja Sarbanes-Oxley - IT Control Objectives for Sarbanes-Oxley: The Role of IT in the
Design and Implementation of Internal Control Over Financial Reporting, 2ª Edição.
http://www.isaca.org/Template.cfm?Section=Home&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=12383
48
48www.CompanyWeb.com.br
Riscos?
Análise de Risco CRAMM*
Análise do Risco
Valor dos Ativos Ameaças Vulnerabilidades

(Assets) (Threats) (Vulnerabilities)
Riscos
Gerenciamento do Risco
Contramedidas
(Countermeasures)
* CRAMM – Computer Risk Analysis & Management Methodology

Fonte: http://www.cramm.com
Objetivos deste Curso:
Capacitar profissionais na Governança de TI e suas práticas com base no
framework COBIT para realizar avaliações, estabelecer controles, auditar, gerenciar
e aperfeiçoar os processos da TI.
Preparar e orientar o aluno para o exame de certificação COBIT v4.1 Foundation,
através de exercícios de fixação e aplicação de simulados realizados juntamente
com o Instrutor.
Neste curso serão abordados temas como:
Identificar os problemas/desafios do gerenciamento de TI;
Entender a Governança de TI:
- os princípios e o escopo;
- papéis e responsabilidades;
- solução dos problemas de gerenciamento;
- necessidade de um framework de controle, sua estrutura e como aplicar;
- avaliar a capacidade de Gerenciamento de TI e o modelo de maturidade.
Conhecer os produtos do ITGI e ISACA que auxiliam na implementação da
Governança de TI.
Pré-requisito: não há pré-requisito, tanto para participação no treinamento ou na

realização do exame de certifiocação. Entretanto, o conhecimento e/ou vivência na
gestão de serviços de TI irão contribuir, e muito, para o entendimento do framework
COBIT. 52www.CompanyWeb.com.br
A Governança Corporativa é um conjunto de responsabilidades e práticas exercidas
pelo conselho diretor e pelo gerenciamento executivo com as metas de:
1) Fornecer um direcionamento estratégico;

2) Garantir que os objetivos sejam alcançados;
3) Estabelecer que os riscos sejam gerenciados apropriadamente;
4) Verificar se os recursos da empresa sejam utilizados com responsabilidade.
A Governança Corporativa diz respeito à:
► Performance:
Melhorar o lucro, a eficiência, a efetividade, e o crescimento.
► Conformidade:
Aderir à legislação, políticas internas e requisitos de auditoria
Governança Corporativa e Governança de TI requerem um
balanço entre a conformidade e as metas de desempenho
definidas pelo conselho diretivo da organização.
A Governança Corporativa
endereça a Governança de TI.
A Governança de TI é definida como uma
estrutura de relacionamento e processos para
direcionar e controlar a empresa para que ela
possa alcançar suas metas agregando valor
enquanto balanceia os Riscos x Retorno sobre a
TI e seus processos.
A necessidade de avaliação do valor de TI, o gerenciamento dos riscos
relacionados à TI e as crescentes necessidades de controle sobre as
informações são agora entendidos como elementos chave da
governança corporativa. Valor, risco e controle constituem a
essência da governança de TI.
Além disso, a Governança de TI integra e institucionaliza boas

práticas para garantir que a área de TI da organização suporte os objetivos
de negócios. A Governança de TI habilita a organização a obter
todas as vantagens de sua informação, maximizando os objetivos, os
benefícios, capitalizando as oportunidades e ganhando em poder
competitivo.
60
O Control Objectives for Information and related Technology (CobiT®) fornece boas
práticas através de um modelo de domínios e processos e apresenta atividades em
uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso
de especialistas. Elas
são fortemente focadas mais nos controles
e menos na execução. Essas práticas irão ajudar a otimizar os investimentos
em TI, assegurar a entrega dos serviços e prover métricas para julgar quando as coisas
saem erradas.
Para a área de TI ter sucesso em entregar os serviços requeridos pelo negócio, os

executivos devem implementar um sistema interno de controles ou uma metodologia. O
modelo de controle do CobiT contribui para essas necessidades ao:
· Fazer uma ligação com os requisitos de negócios.

· Organizar as atividades de TI em um modelo de processos.
· Identificar os mais importantes recursos de TI a serem utilizados.
· Definir os objetivos de controle gerenciais a serem considerados.
A Governança de TI é de responsabilidade dos executivos e
da alta direção, consistindo em aspectos de liderança, estrutura
organizacional e processos que garantam que a área de TI da
organização suporte e aprimore os objetivos e as estratégias da
organização.
• A orientação do ITGI se foca nos em conceitos chaves e princípios da
governança que precisam ser endereçados para a Governança de TI eficiente:
Direcionar e Controlar
Responsabilidade (Responsible)
Cobrado/Prestar contas
(Accountable)
Atividades
Direcionar Controlar
Definir
Compara
Compara
Direcionamento
Conselho
Definir objetivos
Relata
Relata
e Medidas Medidas
Realizar
Realizar
Relata
Relata
Atividades
Atividades
Medidas
Organização de TI
Governança de TI: ÁREAS FOCO
Princípios do COBIT®
O modelo CobiT é baseado nos seguintes princípios (figura 5):
• Prover a informação de que a organização precisa para atingir os seus objetivos,

as necessidades para investir, gerenciar e controlar os recursos de TI usando um
conjunto estruturado de processos para prover os serviços que disponibilizam as
informações necessárias para a organização.
• O gerenciamento e o controle da informação estão presentes em toda a

metodologia CobiT e ajudam a assegurar o alinhamento com os requisitos de
negócios.
Componentes do COBIT®
Como estrutura para governança e controle de TI, o COBIT® focará em 2 áreas:
Fornecer as informações necessárias para suportar os requisitos e

objetivos de negócios;
Tratar a informação como resultado da aplicação conjunta dos
recursos de TI que precisam ser gerenciados pelos processos de
TI.
O framework do COBIT® descreve como os processos de TI entregam a informação que
os negócios precisam para alcançar seus objetivos.
Para controlar está entrega, o COBIT® fornece três componentes chaves, formando
uma dimensão do Cubo do COBIT®.
Requisitos de Negócios
Processos de TI
Recursos de TI
Cubo COBIT®
O COBIT® define as atividades de TI em um modelo de processos genérico

com 4 domínios :
Planejar e Organizar
Adquirir e Implementar
Entregar e Suportar
Monitorar e Avaliar Processos
Esses domínios mapeiam as

tradicionais áreas de
responsabilidade da TI de
planejamento, construção,
processamento e monitoramento.
Processos são um conjunto de atividades com objetivo de alcançar um objetivo de

negócio.
As Atividades são as ações que são necessárias para alcançar resultados

mensuráveis. www.CompanyWeb.com.br
Processos precisam de controles.
Controle é definido como políticas, procedimentos,

práticas e estruturas organizacionais criadas para
prover uma razoável garantia de que os
objetivos de negócios serão atingidos e que eventos
indesejáveis serão evitados ou detectados e
corrigidos.
O foco em processos do CobiT é ilustrado por um modelo de processos de TI
subdivididos em quatro domínios e 34 processos em linha com as áreas
responsáveis por planejar, construir, executar e monitorar, provendo assim uma visão
total da área de TI.
Conceitos de arquitetura corporativa ajudam a identificar os recursos essenciais para o

sucesso dos processos, ou seja, aplicativos, informações, infraestrutura e pessoas.
Em resumo, para prover as informações de que a empresa necessita para atingir seus
objetivos, os recursos de TI precisam ser gerenciados por uma série de processos
naturalmente agrupados.
CRITÉRIOS DE INFORMAÇAO (Requisitos de Negócios ) DO CobiT
Para atender aos objetivos de negócios, as informações precisam se adequar a

certos critérios de controles, aos quais o CobiT denomina necessidades de
informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e
segurança, sete critérios de informação distintos e sobrepostos são definidos, como
segue:
Recursos de TI
Para atender aos requisitos de negócios para TI, a organização precisa investir nos
recursos necessários para criar uma adequada capacidade técnica (ex. um sistema de
planejamento de recursos [ERP]) que atenda a uma necessidade de negócios (ex.
implementar um canal de suprimentos) resultando no desejado retorno (ex. aumento de
vendas e benefícios financeiros).
Recursos de TI
A Figura 7
mostra como os
objetivos de
negócios para TI
influenciam o
modo
como os
recursos de TI
precisam ser
gerenciados
pelos
processos de
TI para
entregar os
objetivos de
TI.
Valor e Limitações
É aceito como referência internacional de boas práticas para Governança de TI, e não como um produto de
prateleira, pois está mapeado e alinhado com outros padrões e frameworks direcionados à TI, e está livremente
disponível como um padrão aberto.
Desenvolvido e mantido por um instituto de pesquisa independente e sem fins lucrativos, permite o
compartilhamento e nivelamento do conhecimento de membros associados, especialistas e profissionais de
controle e segurança.
Seu conteúdo baseia-se em uma contínua pesquisa das boas práticas de TI e é atualizado continuamente, provendo
um recurso objetivo e prático para todos os tipos de usuários.
O COBIT® atua como um integrador de diferentes framework e também está relacionada aos requisitos de
governança e de negócios.
É suportado por ferramentas para gerenciar as atividades de TI.
É focado no que é necessário para atingir um adequado controle e gerenciamento de TI e está posicionado em
elevado nível.
É orientado aos negócios e mapeia 100% do COSO.
Valor e Limitações
As empresas ainda necessitam analisar os requisitos de controle e Adaptar o

COBIT® baseado nos seguintes requisitos da empresa:
Entrega de
valor
Perfil de
risco
Infra-
estrutura de
TI,
organização
e portfólio
de projetos.
Visão Geral dos Principais Componentes do CobiT
Navegação pelo Modelo CobiT
O modelo CobiT é formado pelos seguintes componentes principais, apresentados no
restante desta publicação e organizado por 34 processos de TI, mostrando uma visão
geral de como controlar, gerenciar e mensurar cada processo. Cada processo é coberto
por quatro seções e cada uma delas é apresentada em cerca de uma página, como
segue:
A seção 1 (Figura 25), contém uma descrição do processo que resume os objetivos do processo, apresentada no formato de cascata. Esta
página também demonstra o mapeamento dos critérios de informação, recursos de TI e áreas de foco de governança de TI.
A seção 2 apresenta os objetivos de controle desse processo.
A seção 3 apresenta os processos de entrada e saída, tabela RACI, objetivos e métricas.
A seção 4 apresenta o modelo de maturidade do processo.
A orientação aos negócios do CobiT consiste em
objetivos de negócios ligados a objetivos de TI,
provendo métricas e modelos de maturidade para
medir a sua eficácia e identificando as
responsabilidades relacionadas dos donos dos
processos de negócios e de TI.
Navegação pelo Modelo CobiT
Para cada um dos processos de TI do CobiT é apresentado uma descrição em conjunto com os principais objetivos e métricas no formato de cascata
(Figura 25).
Estrutura de Controle COBIT ®: Medidas de Controle
As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócios
no mesmo nível. O framework do COBIT® define três níveis:
1. Primário: O objetivo de controle definido impacta diretamente no critério de

informação.
2. Secundário: O objetivo de controle definido satisfaz apenas o critério de informação

que se interessa apenas com a extensão menor ou indiretamente.
3. Em branco: Isto poderia ser aplicável. Entretanto, os requisitos são satisfeitos mais
apropriadamente por outro critério neste processo.
Secundário
Primário Em Branco
Objetivos de Negócios e Objetivos de TI
Enquanto os critérios de informação fornecem um método genérico para definir os requisitos de negócios, definir um
conjunto genérico de objetivos de negócios e de TI fornece uma base mais refinada para o estabelecimento dos requisitos de
negócios e o desenvolvimento de métricas que permitam avaliar se esses objetivos foram atendidos. Toda organização usa TI para
fazer funcionar as iniciativas de negócios e essas podem ser representadas como objetivos de negócios para a área de TI. Esses
exemplos genéricos podem ser utilizados como um guia para determinar os requisitos de negócios específicos, as metas e as
métricas para a organização.
Para a área de TI entregar de maneira bem-sucedida os serviços que suportam as estratégias de negócios, deve existir uma clara
definição das responsabilidades e direcionamento dos requisitos pela área de negócios (o cliente) e um claro entendimento acerca
do que e como precisa ser entregue pela TI (o fornecedor). A Figura 6 ilustra como a estratégia da empresa deveria ser traduzida
pela área de negócios em objetivos relacionados às iniciativas de TI (objetivos de negócios para TI). Esses objetivos devem levar a
uma clara definição dos objetivos próprios da área de TI (os objetivos de TI), o que por sua vez irá definir os recursos e capacidades
de TI (a arquitetura de TI para a organização) necessários para executar de maneira bem-sucedida a parte que cabe à TI na
estratégia da empresa.
Objetivos de Controles
1. Como a empresa consegue implementar controles na área de TI de forma que ela
entregue as informações que a empresa precisa?
2. Como ela gerencia os riscos e garante a segurança dos recursos de TI dos quais é tão
dependente?
3. Como a empresa assegura que a área de TI atinge os seus objetivos e atende aos
negócios?
Primeiramente os executivos precisam de Objetivos de Controles que definam a

meta básica de implementar políticas, planos e procedimentos, bem como a estrutura
organizacional designada para prover razoável garantia de que:
· Os objetivos de negócio serão atingidos?

· Eventos indesejáveis serão prevenidos ou detectados e corrigidos?
Cada um dos processos de TI do CobiT possui uma descrição do processo e um número do objetivo de
controle. No todo, eles formam as características de um processo bem gerenciado.
Os objetivos de controles são identificados por duas letras para identificar o domínio (PO, AI, DS e ME), um
número de processo e um número de objetivo de controle.
A organização precisa analisar quais os controles necessários para assegurar que os riscos sejam mitigados e
que valor é obtido em linha com o apetite de risco e objetivos de negócios. Esses controles são
guiados pelos Objetivos de Controle do CobiT.
Requisitos de Controle genéricos (PC(n)) para os processos do COBIT são:
Além dos objetivos de controle, cada processo do CobiT possui requisitos de controle
genéricos identificados por PC(n), que indica o número de controle do processo. Eles devem
ser considerados junto com os objetivos de controle dos processos para que se tenha uma
visão completa dos requisitos de controle.
PC1 Metas e Objetivos do Processo

•Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado para a efetiva
execução de cada processo de TI. Assegura que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas.
PC2 Propriedade dos Processos
•Designa um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário de processo. Inclui por
exemplo, a responsabilidade pela elaboração do processo, interação com outros processos, responsabilidade pelos resultados finais, medidas da
performance do processo e a identificação de oportunidades de melhorias.
PC3 Repetibilidade dos Processos

•Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os resultados esperados. Fornece
uma sequência lógica mas flexível das atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências. Usa
processos consistentes, quando possível, e processos personalizados apenas quando inevitável.
PC4 Papéis e Responsabilidades

•Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e eficiente execução das
atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.
PC5 Políticas Planos e Procedimentos
•Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados, revisados, mantidos,
aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para cada uma
•dessas atividades e em momentos apropriados verifica se elas são executadas corretamente. Assegura que as políticas, planos e procedimentos sejam
acessíveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance

•Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece metas que refletem nos
objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos processos. Definem como os dados são obtidos. Compara
as medições reais com as metas e toma medidas quanto aos desvios quando necessário. Alinha métricas, metas e métodos com o enfoque de
94 monitoramento de performance geral de TI. www.CompanyWeb.com.br
Modelo de Maturidade
O modelo de maturidade para o gerenciamento e controle dos processos de TI é
baseado num método de avaliar a organização, permitindo que ela seja pontuada de um
nível de maturidade não-existente (0) a otimizado (5). Este enfoque é derivado do
modelo de maturidade do Software Engineering Institute (SEI) definido para a
maturidade da capacidade de desenvolvimento de software.
Embora siga os conceitos do SEI, a implementação CobiT difere consideravelmente do

original do SEI, o qual era orientado para os princípios de engenharia de produtos de
software, organizações buscando excelência nessas áreas e uma avaliação
formal dos níveis de maturidade para que os desenvolvedores de software pudessem
ser “certificados”.
No CobiT, uma definição genérica é provida para as escalas de maturidade do CobiT as

quais são similares às do CMM mas interpretadas de acordo com a natureza dos
processos de gerenciamento de TI do CobiT. Um modelo específico é fornecido
derivando dessa escala genérica para cada um dos 34 processos CobiT. Independente do
modelo, as escalas não devem ser tão granulares visto que seria difícil de utilizar e
sugeriria um precisão não justificável, por que em geral o propósito é identificar onde
estão as questões e como definir prioridades para aprimoramentos.
Modelo de Maturidade
Modelo de Maturidade do COBIT®
Atributos Rankings
Consciência e Não há definição e

O – Não existente
Comunicação gerenciamento de processos
Políticas, padrões e Processos são informais e irregulares

1 – Inicial
procedimentos
Ferramentas e 2 – Repetitível Processos seguem um padrão regular.

animação
3 – Definido
Processos são documentados e
Habilidades e perícia
comunicados, aplicados.
Responsabilidade e 4 – Gerenciado
Processos são monitorados e
Cobrança medidos.
Definição e medição 5 – Otimizado Melhores práticas são seguidas e

das metas automatizadas.
Benchmarking (Comparação)
Modelos de Maturidade fornece uma escala para referenciar às práticas da empresa

contra os padrões e diretrizes da indústria (comparação). Um modelo de maturidade
é uma medida que capacita que uma empresa nivele sua maturidade para um
processo específico.
Não-existente Inicial Repetível Definido Gerenciado Otimizado
0 1 2 3 4 5
Legenda dos Símbolos Utilizados Legenda do Ranking Utilizado

Status atual da empresa 0-Não há definição e gerenciamento de processos
1-Processos são informais e irregulares
2-Processo seguem um padrão regular.
Média da indústria
3-Processos são documentados e comunicados.
4-Processos são monitorados e medidos.
Alvo da Empresa
5-Melhores práticas são seguidas e automatizadas.
A escala acima mostra o status da posição atual e proposta da organização em

relação às melhores práticas, padrões e diretrizes da indústria.
As três Dimensões da Maturidade
O modelo de maturidade é uma forma de medir quão bom os processos de gerenciamento
são, ou seja, quão capazes eles são. O quanto devem ser desenvolvidos ou capacitados
deveria primariamente depender dos objetivos de TI e sua conexão como as necessidades
de negócios que eles suportam. O quanto dessa capacidade é realmente entregue depende
largamente do retorno que a organização deseja do investimento. Por exemplo, existem
processos e sistemas críticos que precisam de um gerenciamento da segurança maior e mais
restrito do que outros que são menos críticos. Por outro lado, o grau de sofisticação dos
controles que precisam ser aplicados em um processo é mais direcionado pelo apetite de
risco da organização e pelos requisitos aplicáveis de conformidade.
A escala do modelo de
maturidade ajudará os
profissionais a explicar aos
gerentes onde existem
deficiências no gerenciamento
Do processo de TI e definir
metas de onde querem estar.
Medição de Performance
Os objetivos e métricas são definidos no CobiT em três níveis:
Objetivos e métricas de TI
• que definem o que os negócios esperam de TI e como medir isso
· Objetivos e métricas dos processos
• que definem o que os processos de TI precisam entregar para

suportar os objetivos de TI e como medir isso
· Objetivos e métricas de atividades
• que estabelecem o que precisa acontecer dentro do processo para

atingir a requerida performance e como medir isso
Os termos KGI e KPI usados em versões prévias do CobitT foram trocados por 2 tipos
de métricas:
Medidas de Resultados (saídas), anteriormente indicadores-chaves de objetivos

(KGIs), indicam se os objetivos foram atingidos. Esses podem ser medidos
somente após os fatos e portanto são chamados de indicadores históricos (lag
indicators).
Indicadores de Performance, anteriormente indicadores-chaves de performance

(KPIs), indicam se os objetivos serão possivelmente atingidos. Eles são medidos
antes que os resultados sejam claros e portanto são chamados de indicadores
futuros (lead indicators).
Componentes das Diretrizes de Gerenciamento: KPIs e KGIs
Indicadores de resultado (Key Goal Indicators): Define medidas que informam aos
gestores – após o fato – que indicam se uma função, processo ou atividade alcançou suas
metas. Indicadores de resultado das funções de TI são freqüentemente expressas em
termos de critérios de informação relevantes, como:
1. Disponibilidade da informação necessária para suportar as necessidades de negócios

2. Ausência de riscos de integridade e confidencialidade
3. Eficiência de custo de processos e operações
4. Confirmação de confiabilidade, eficácia, e conformidade.
Indicadores de Performance (Key Performance Indicators): Indicadores de performance

definem medidas que determinam quão bem negócios, funções de TI ou processos estão
atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poderá ou não
ser alcançada. Com freqüência medem disponibilidades ou capacidades, práticas e/ou
habilidades além dos resultados de atividades de sustentação.
Nota: Indicadores de resultado de baixo nível tornam-se indicadores de performace de alto

nível.
Processo é uma conexão em série de atividades com objetivo de atingir
resultados.
Propriedade Objetivos
(Q/KPIs)
Indicadores
Processos
Entradas (Atividades e Saídas
Sub-processos)
Recursos Papéis
Indicadores de Metas Chaves
O COBIT® define dois níveis de medidas de resultado: um para TI (resultados de TI)

e outro para o processo de TI (métrica do resultado do processo).
Exemplo PO10 - Gerenciar Projetos

Indicadores de resultado de TI:
► Porcentagem de projetos que atendem as expectativas dos stakeholders – em

termos de prazo, orçamento e alcançando os requisitos – determinados pela
importância
Indicador de Resultado de Processo:
► Porcentagem de projetos entregues dentro prazo e dentro do orçamento

► Porcentagem de projetos que alcançam as expectativas dos stakeholders
Indicadores de Performance
Exemplo: estas são medidas de resultados para as atividades e

indicadores de desempenho do processo PO10 – Gerenciar Projetos
1. Porcentagem de projetos que seguem os padrões e

práticas de gerenciamento.
2. Porcentagem de gerentes de projetos certificados ou
treinados.
3. Porcentagem de projetos recebendo revisões pós-
implementação.
4. Porcentagem de acionistas participando em projetos, o
que representa um índice de envolvimento.
105
Responsabilidades na tabela RACI
As responsabilidades na tabela RACI são categorizadas para todos os processos,

como segue:
1. Chief executive officer (CEO)

2. Chief financial officer (CFO)
3. Executivo de Negócio
4. Chief information officer (CIO)
5. Proprietário do Processo de Negócio
6. Chefe de Operações
7. Responsável por Arquitetura
8. Responsável por Desenvolvimento
9. Responsável pela Administração de TI (nas grandes empresas, é o responsável
por funções como recursos humanos, orçamentos e controles internos)
10. Project management officer (PMO) ou função equivalente
11. Conformidade, auditoria, riscos e segurança (grupos como responsabilidades por
controles mas não de operações de TI)
Certos processos têm papéis especializados específicos do processo, por

exemplo, gerenciar a central de serviços e os incidentes do DS8.
Inter-relacionamento dos Componentes do COBIT®
Metas de
Negócios
Requisitos Informação
Metas de TI
Processos de TI
Decomposto em
Atividades Medida por
chave
Executado por
Pela performance
Pela maturidade
Pelo resultado
Matriz Indicador de Métrica de Modelo de

RACI Desempenho Resultado Maturidade
Estrutura de Controle COBIT ®: Práticas de Controle
As Práticas de Controle estende a capacidade do COBIT, fornecendo aos usuários um
nível adicional de detalhes. Os processos de TI do COBIT, requisitos de negócios e
Objetivos de Controle definem o que precisa ser feito para implementar uma
estrutura de controle efetiva.
As Práticas de Controle de TI fornece mais detalhes de como e porque são

necessárias para a administração, provedores de serviços, usuários finais e
profissionais de controle, para implementar controles específicos baseados na analise
de operação (valor) e risco de TI.
Práticas de Controle são mecanismos chaves que suportam:

1. A realização dos Objetivos de Controle;
2. Prevenção, detecção e correção de eventos não desejados.
Práticas de Controle são alcançadas através de:

1. Uso responsável dos recursos;
2. Gerenciamento de riscos apropriado;
111
3. Alinhamentos da TI com o negócio. www.CompanyWeb.com.br
Inter-relacionamento dos Componentes do COBIT
Metas de
Negócios
Metas de TI
Processos de TI
Decomposto em
Controlado por
Objetivos de
Medida por
Controle
Atividades
chave Implementado
com
Práticas de
Executado por
Pela performance
Controle
Pela maturidade
Pelo resultado

Diretrizes de Gerenciamento do COBIT®
Entrada e
Saída do
Atividades Chave Processo
e gráficos RACI
TI, Processo
e Metas de
Atividade Estrutura das Diretrizes de
Gerenciamento
Indicadores de
Meta Chaves
(KGIs)
Indicadores de
Performance
Chaves (KPIs) Modelos de
Maturidade
As Diretrizes de Gerenciamento fornecem ferramentas para estabelecer objetivos

mensuráveis para cada processo para medir e comparar a atual capacidade da
organização em cada processo.
Questões de Gerenciamento:
1. Como a organização alcança resultados que sejam satisfatórios para os
segmentos de maior importância para seus acionistas?
2. Como a organização se adapta às tendências e desenvolvimentos no seu
envolvimento de uma forma a tempo?
115
• As Diretrizes de Gerenciamento irão prover as metas

e as métricas no formato de métricas de resultados
e indicadores de performance. Os indicadores de
performance podem ser usados para mensurar e
monitorar o progresso em direção ao resultado
desejado.
• As diretrizes de gerenciamento do COBIT sugerem o
uso de BSC - Balanced Scorecard é uma ferramenta
de gestão estratégica, para prover métricas para a
realização das metas de TI. O BSC possui 4
dimensões/perspectivas para mapear as metas e
indicadores.
As Diretrizes de Gerenciamento fornecem recursos para auxiliar os

gestores a entender a performance da empresa. Cada um dos 34
processos do COBIT possui:
1) Entradas do Processo: Aquilo que é recebido dos outros

processos e é necessário para processo começar.
2) Saída do Processo: Aquilo que deve ser entregue (que é

efetivamente produzido pelo processo).
3) Atividades Chave para o processo e matriz de RACI: identifica

quem é Responsible (Responsável), quem é Accountable
(Responsabilizado, Cobrado, quem presta conta), Consulted
(Consultado) e Informed (Informado) para cada atividade.
Para sermos bem-sucedidos
financeiramente, como
deveríamos ser vistos pelos
nossos acionistas?
Para satisfazermos nossos
acionistas e clientes,
Financeira em que processo de negócio
deveríamos alcançar
e excelência ?
Processos
Clientes
BSC Internos
Para alcançarmos
nossa
visão, como
deveríamos
ser vistos pelos
Para alcançarmos nossa
nossos Aprendizagem
clientes ? e crescimento visão, como sustentaríamos
nossa capacidade de
mudar e melhorar?
Metas e métricas apresentam como os processos devem ser medidos e são

definidos em 3 níveis:
1. Metas e métricas de TI definem o que os negócios esperam da TI, ou seja,

o que os negócios usariam para medir a TI.
2. Metas e Métricas do Processo definem o que o processo de TI deve
agregar para suportar as metas de TI, ou seja, como o dono do processo de
TI seria medido.
3. Métricas de Performance de Processo medem quão bem o processo está
indo para indicar se as metas deverão ser alcançadas.
Modelos de Maturidade ajudam as organizações a medir a capacidade do

processo. Para isso, níveis de maturidade foram definidos:
0 - Não existente 1 – Inicial/ad hoc

2 – Repetível, porém Intuitivo 3 – Processo Definido
4 – Gerenciado e Mensurável 5 – Otimizado
119
Mapeando as Metas de TI para as Metas de Negócios
Metas de Negócios
Requisitos de Requisitos de
Negócios Governança
Requer Serviços de influencia

Informação
Implica Critérios de
Informação
Metas de TI
Processos de TI
Entrega
Informação
IT
executa
Processos Aplicações
de TI
Infra-estrutura
e pessoas
Precisa de
Mapeando as Metas de TI para as Metas de Negócios
Mapeando as
Metas de
Negócios para as
Metas de TI
Processos de TI
Mapeando as Metas
Entrega
de TI para os Informação
Processos do COBIT
Processos executa
Aplicações
de TI
Infra-estrutura
Precisa de e pessoas
Guia de Validação (Assurance Guide)
O objetivo do Guia de Validação de TI é:
1. Orientar como usar o COBIT® para suportar uma variedade de atividades validades de
TI;
2. Permitir os usuários utilizar o COBIT® quando planejarem e fazerem revisões de tal
forma que os negócios, a TI, e os auditores estejam bem alinhados ao redor de uma
estrutura e objetivos comuns;
3. Guiar no planejamento, definição de escopo e na execução de revisões, usando um
roadmap (guia) baseado em formas de validação aceitas, suportadas por testes
detalhados e baseados nos processos e objetivos de controle do COBIT®.
Roadmap
de Validação
Roadmap
de Execução
Teste e
Recomendação
Detalhada
124
Consiste de três estágios:
1. Planejamento: Estabelecer o universo de validação de TI para designar o que

será validado é o início de toda iniciativa de validação;
2. Fazer escopo: Inicia pela definição das metas de negócio e TI para o ambiente sob
revisão e pela identificação do conjunto de recursos e processos de TI, que é o
universo a ser validado, exigido para suportar essas metas;
3. Execução: nos próximos slides vamos examinar em detalhes o roadmap de execução
que descreve a forma como os profissionais envolvidos devem adotar, incluindo os
principais testes a serem executados durante uma iniciativa de validação específica.
Execução do Roadmap
1) Refinar o 2) Redefinir o 3) Testar a 4) Testar os 5) Documentar 6) Desenvolver e
entendimento escopo dos efetividade dos principais o impacto das comunicar as
dos objetivos objetivos controles resultados dos fraquezas dos recomendações em

chave
de TI a serem de controle projetados como objetivos de controles geral.
validados dos assuntos objetivos de controle chave
de TI. controle
1. Refinar o Entendimento
O primeiro estágio da fase de execução é refinar o entendimento do ambiente
nos quais os testes serão executados. Isto implica entender a organização para
selecionar o escopo e objetivo corretos de validação.
O escopo e objetivo da validação precisa ser comunicado e aceito por todos os

patrocinadores.
2. Refinando o Escopo
O segundo estágio da fase de execução é refinar o escopo e determinar selecionando uma

amostra do universo a ser validado (ou seja, processo, sistema ou aplicação) por um lado
e o conjunto de controles a ser revisto por outro lado para:
1. Analisar metas de negócios e TI;
2. Selecionar processos e controles;
3. Analisar os riscos inerentes se os objetivos de controle não forem atingidos e a
revisão dos testes necessários para a validação;
4. Finalizar o escopo.
3. Concepção de Teste:
O terceiro estágio da fase de execução é a concepção de teste e controle:

1. Avalia a concepção dos controles;
2. Confirmar que os controles estão “instalados em operação”;
3. Estima a efetividade operacional dos controles;
4. O profissional de validação deve determinar quando:
1. Existe controle de processo documentado;
2. Existe evidências de controle de processos;
3. Responsabilidade e cobrança é clara e efetiva;
4. Controles de compensação existem, quando necessário.
4. Controle de Testes dos Resultados:
No quarto estágio, para testar os resultados ou a efetividade dos controles, o profissional em

validação necessita identificar evidências diretas e indiretas dos controles, ou seja, contribuições
mensuráveis dos controles das metas e dos processos de TI, na qualidade das saídas do processo.
5. Documentar o Impacto:
• No quinto estágio, quando fraquezas de controle são encontradas, elas devem ser
corretamente documentadas baseada na severidade e no potencial impacto que possa haver
nos negócios.
• Testes são conduzidos organizadamente para prover validação (ou não) aos gestores da
realização dos processo de negócios e objetivos de controle relacionados.
6. Comunicar as Conclusões:
• No estágio final, o profissional de validação deve documentar e identificar fraquezas de

controle, ameaças e vulnerabilidades resultantes, além de identificar e documentar o impacto
atual e potencial, por exemplo, através da análise de causa raiz.
• Além disso, o profissional de validação pode prover informações comparativas, por exemplo,
benchmarks, para estabelecer uma estrutura de referência em que os testes resultantes
tenham sido avaliados.
Recomendação Detalhada dos Testes

• Deve-se fornecer uma orientação para a concepção dos controles de
testes, controle dos testes dos resultados e a documentação do impacto
de todos os objetivos de controle e processos do COBIT®.
• Os testes também devem ser baseados nas práticas de controle de TI
para estar alinhados com as recomendações de implementação do
COBIT®.
Declaração de
Objetivos de Controle Declaração de Risco
Valor
Passos de validação para a concepção do controle de testes
Passos de validação para testar os resultados dos objetivos de

controle
Passos para validação da documentação do impacto das fraquezas

dos controles
Inter-relacionamento dos Componentes do COBIT® – Guia de Validação
Metas de
Negócios
Metas de TI
Processos de TI
Decomposto em
Controlado por
Auditada por Testes de
Controle de
Derivado de Objetivos de
Medida por
Resultados Controle
Atividades
chave Auditado Implementado
com com
Testes de
Praticas de
Executado por Concepção e
Pela performance Controle Controle
Pela maturidade Baseado em
Pelo resultado

Relacionamento com outros frameworks
As organizações acham conveniente usar o COBIT® porque ele faz ligações com
outros frameworks como o COSO - Committee of Sponsoring Organizations of the
Treadway Commission, ITIL - IT Infrastructure Library, ISO - International
Organization for Standardization e CMM - Capability Maturity Model.
O Código de Prática O Software

O ITIL é uma para o Engineering
coleção de melhores Gerenciamento de Institute (SEI) é a
práticas no Segurança da organização que
O COSO, é um
gerenciamento de Informação é um desenvolveu o
framework de
serviços de TI. Ele padrão baseado no produto CMMI. Este
melhores práticas de
está focado no BS 7799-1. É uma modelo ajuda as
controles internos
“como” na entrega melhor prática para organizações a
corporativos).
de serviços de TI e implementar o melhorar a
seus processos e gerenciamento de execução e controle
funções segurança da do processo de
informação. entrega do software
ITIL ISO/IEC 17799 CMMI COSO
O COBIT® está preparado para suportar padrões internacionais, sendo cada vez mais
reconhecido como o framework para a Governança de TI.
O COBIT® está focado em o que é necessário para alcançar esta governança e o controle em
um alto nível. Está alinhado com outras melhores práticas e pode ser usado como o
“integrador” de diferentes “guias” como a ISO 17799 e a ITIL.
Estratégia COBIT
ISO17799
Controle de
Processo
Execução de CMM
Processo ITIL
•Instrução de •Instrução de •Instrução de •Instrução de •Instrução de
Instrução de •Trabalho
•2
•Trabalho
•2
•Trabalho
•2
•Trabalho
•2
•Trabalho
•2
Trabalho •3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
•3
• 4,5,6….
A relevância de padrões e práticas depende da organização e suas prioridades e
expectativas. Uma empresa pode decidir por adotar todos, um, ou parte de um dos
padrões para melhorar a desempenho de um processo de negócio ou capacitar a
transformação de negócios.
Específico
TCO
Relevante para o TI
ISO 17799 ITIL/ISO20000 CMM
COBIT
Six Sigma
Geral
ISO 9000
Malcolm Baldrige Award

Holístico
Scorecards
Baixo (Melhoria do Processo) Moderado Alto (Transformação dos Negócios)
Meta de Melhoria
O COBIT está posicionado no centro do nível geral, ajudando a integrar

práticas técnicas e específicas com práticas de negócios mais amplas.
PERFORMANCE CONFORMIDADE
Dirigentes
Metas de Negócios Basel II, Sarbanes-Oxley Act, etc.
Governança Corporativa Balanced Scorecard COSO
Governança de TI COBIT
Padrões de Melhores PráticasISO 9001:2000 ISO 17799 ISO 20000
Processos e Procedimentos Procedimentos

QA
Princípios de Princípios de Gerenciamento
Segurança de Serviço de TI
Recursos do COBIT
O diagrama de conteúdo
do CobiT descrito na
Figura 3 apresenta o
principal público-alvo,
suas dúvidas sobre
governança de TI e os
produtos aplicáveis que
podem lhes dar as
respostas. Também
existem produtos
derivados para
finalidades específicas,
domínios (como
segurança) ou
organizações específicas.
Recursos do COBIT
Publicação que auxilia os executivos a entender por que a

Board Briefing on IT
Governance, 2nd Edition
governança de TI é importante, quais são suas principais
questões e o papel deles em gerenciá-la.
auxiliam na designação de responsabilidades, avaliação de
Diretrizes de gerenciamento
/ modelos de maturidade
desempenho e benchmark, e trata da solução de deficiências de
capacidade.
Métodos organiza os objetivos da governança de TI por domínios e

processos de TI e os relaciona com os requisitos de negócios.
proporcionam um completo conjunto de requisitos de alto nível
Objetivos de controle a serem considerados pelos executivos para o controle efetivo
de cada processo de TI
IT Governance
Implementation Guide:
Using CobiT® and Val IT,
provê um mapa geral para implementar a governança de TI
2nd Edition usando os recursos do CobiT e o Val IT
CobiT® Control Practices:
Guidance to Achieve Control
Objectives for Successful IT
explica porque os controles merecem ser implementados e como
Governance, 2nd Edition implementá-los
traz orientações sobre como o CobiT pode ser usado para suportar as
IT Assurance Guide: Using
CobiT® variadas atividades de avaliação junto com sugestões de passos de
testes para todos os processos e objetivos de controle de TI.
Recursos do COBIT
Os quatro produtos do conjunto do COBIT®, estão disponíveis pela

ITGI no site do ISACA - www.isaca.org - auxiliando as empresas a
adotar, implementar e gerenciar requisitos de Governança de TI
usando o COBIT®. Estes recursos estão disponíveis com acesso
restrito à membros do ISACA.
COBIT
COBIT Online
Quickstart
IT Governance
COBIT Security
Implementation
Baseline
Guide
137
Recursos do COBIT | Cobit OnLine
O COBIT® Online amplia as possibilidades de

pesquisa e comparação para evitar riscos
empresariais, satisfazer necessidades de controle e
obter informações sobre aspectos técnicos. O
COBIT® Online é uma base de recursos na internet
onde é possível fazer o download de vários arquivos
em .PDF, postar dúvidas na comunidade online,
obter indicadores para os objetivos de controles e
realizar benchmark para avaliação de
maturidade dos processos com outras empresas
do setor.
Recursos do COBIT | Cobit OnLine
As vantagens do COBIT Online:
1. Fornecer um repositório de fácil acesso a todas as informações relacionadas
ao COBIT®, permitindo download, além de promover fóruns de discussão e
permitir o feedback dos usuários.
2. Permitir que o ISACA/ITGI mantenha os recursos sempre atualizados,
implementando novas versões, filtrando e registrando o conhecimento de
peritos e usuários, fornecendo atualizações online freqüentes. O COBIT Online
é uma fonte primária para informações atualizadas do COBIT®.
Os componentes do COBIT Online são:
1. Browsing
2. Full Browsing
3. Benchmarking
4. Community
5. Além de mecanismos para fornecer feedback, FAQ, etc.
Recursos do COBIT | Cobit Quickstart
O COBIT Quickstart possibilita a empresa adotar facilmente os
elementos mais importantes do COBIT, por se tratar de um versão
resumida dos recursos do COBIT® – representa 20% do conteúdo.
Com foco nos Processos de TI, Objetivos de Controle e Métricas, ajuda

os usuários a ganhar rapidamente os benefícios do COBIT®.
1. Fornece uma base de objetivos de controle para empresas e

entidades de pequeno e médio porte onde a TI não é
estratégica ou não é crítica para o negócio;
2. Fornece uma seleção dos itens básicos do COBIT®;
3. Serve como fundamento das principais ações a executar;
4. Está disponível a partir do COBIT Online.
Recursos do COBIT | Cobit Quickstart
Vantagens do COBIT Quickstart:
1. Está disponível como uma publicação.

2. Ajuda a entender rapidamente problemas importantes e prioridades de
gerenciamento. Além disso, pode ser seguido por pessoas não técnicas ou gerentes
que querem princípios, não os detalhes, e atua como um ponto de entrada para o
COBIT®.
3. Pode ser utilizado para executar uma avaliação para priorizar os processos do COBIT®,
no início de uma implementação de COBIT ou um projeto de Governança de TI.
Componentes:
Os componentes do COBIT Quickstart contém cerca de 20% dos objetivos de

controle do COBIT® e componentes de gerenciamento e tem 30 processos. Cada um
destes objetivos de controle está relacionado a um ou mais dos objetivos de controle
detalhados do COBIT®.
Recursos do COBIT | IT Governance Implementation Guide
O IT Governance Implementation Guide (Guia de implementação de Governança de TI)
fornece uma metodologia, um “roadmap” detalhado e um conjunto de ferramentas para
implementar um ciclo de vida contínuo de Governança de TI usando o COBIT®.
O guia foca em uma metodologia genérica para as seguintes áreas:
1. Porque a Governança de TI é importante e porque as organizações deveriam

implementá-la;
2. Como o COBIT está ligado à Governança de TI e como o COBIT® capacita a implementação
de governança de TI;
3. As partes interessados (stakeholders) que possuem um interesse em Governança de TI;
4. Um roadmap para implementar a Governança de TI usando o COBIT;
5. A abordagem deste guia identifica a necessidade de criar e preservar valor de uma forma
que alinha a formulação e execução com os objetivos de negócios da organização. A
abordagem envolve a execução de uma Análise de Gaps, que auxilia na análise da posição
atual e a desejada (futura) da organização, levando à identificação e iniciação do projeto
de Implementação de Governança de TI.
Recursos do COBIT | IT Governance Implementation Guide
O guia de implementação fornece:
Um roadmap detalhado para as partes interessadas na governança de TI, que:
1. Ajuda a organização a implementar a governança de TI usando o COBIT®;

2. Garante que o foco esteja nas necessidades de negócios enquanto melhora o
controle e a governança de processos de TI;
3. Provê um processo genérico que está dividido em diversas tarefas, variando
entre a identificação de necessidades iniciais para a implementação da
solução, incluindo a identificação dos componentes do COBIT® a serem
nivelados.
Um conjunto de CDs contendo uma visão geral para dar suporte ao roadmap,
contendo templates, apresentações, documentos e ferramentas de avaliação.
Recursos do COBIT | Security Baseline
O COBIT Security Baseline ajuda a organização a focar nos passos
essenciais para extrair as informações mais importantes
relacionadas a segurança.
Este documento sugere os passos de controles mínimos para cada

processo e objetivos de controle detalhados no COBIT®. Inclui
também um mapa de controles relacionados a ISO
27002 (antiga ISO 17799).
1. Fornece kits de sobrevivência de segurança de informação em

uma linguagem simples para qualquer organização ou pessoa
que precise entender como implementar o framework do
COBIT®. Kits de Sobrevivência de segurança estão disponíveis
para todos os níveis de pessoas como usuários domésticos,
profissionais, executivos e gerentes, diretores.
2. Fornece um Guia de Segurança não técnico e um Quickstart
para objetivos de segurança.
Recursos do COBIT | VAL IT
O Val IT é um framework baseado no COBIT® estendendo e
complementando-o, orientado para a dimensão do valor da
entrega, o Val IT foca especificamente:
1. nas decisões de re-investimento (estamos fazendo as

coisas certas?)
2. na realização dos benefícios (estamos obtendo os
benefícios?)
A meta da iniciativa do Val IT é ajudar a administração a

garantir que as organizações entendam o valor máximo
dos investimentos que permitam a sustentação dos
negócios a um custo acessível e a um nível aceitável de
riscos.
145
VAL IT | Princípios
1) Investimentos permitidos pela TI serão gerenciados como um
portfólio de investimentos.
2) Permitir os investimentos de TI que incluam o escopo completo de

atividades necessárias para atender aos negócios.
3) Investimentos permitidos pela TI serão gerenciados através de todo o

seu ciclo de vida econômico.
4) As práticas de entrega de valor irão reconhecer que existem

categorias de investimentos diversas que serão avaliadas e
gerenciados diferentemente.
5) As práticas de entrega de valor irão definir e monitorar indicadores

chave capazes de responder rapidamente a quaisquer mudança ou
divergências.
6) As práticas de entrega de valor devem engajar todos os

patrocinadores e definir uma prestação de contas apropriada para
a entrega das competências para a obtenção de benefícios de negócios.
7) As práticas de entrega de valor serão continuamente

monitoradas, avaliadas e melhoradas.
VAL IT | Estamos?
Val IT é baseado nos “Quatro Estamos”, que exploram as questões fundamentais
dos valores a serem entregues por TI.
• A questão • A questão
Estratégica do Valor
Estamos
Estamos
fazendo as
obtendo os
coisas
benefícios?
certas?
Estamos Estamos
fazendo da fazendo de
forma um jeito
certa? bem feito?
• A questão • A questão
de da Entrega
Arquitetura
VAL IT | Processos e Práticas de Gerenciamento
GI –
Gerenciamento
de
Investimentos
GP –
Gerenciamento
de Portfolio
VG – Valor da
Governança
VAL IT – Processos e Práticas de Gerenciamento

O diagrama abaixo mostra a estrutura dos três processos do VAL IT e suas práticas de
gerenciamento.
Valor da VG1 Garante a informação e o compromisso com a liderança.

Governança VG2 Define e implementa processos.
(Value
Governance) VG3 Define Papéis e Responsabilidades.
VG4 Garante a aceitação apropriada das responsabilidades.
VG5 Define os requisitos de informação.
VG6 Estabelece os requisitos a ser reportado.
VG7 Estabelece a estrutura organizacional.
VG8 Estabelece a direção estratégica.
VG9 Define as categorias de investimento.
VG10 Determina e objetiva o Portfólio associado.
VG11 Define os critérios de avaliação por categoria.www.CompanyWeb.com.br
Gerenciamento IM1 Desenvolve um plano de alto-nível das oportunidades de investimento.

do IM2 Desenvolve um programa inicial conceituado em business case.
Investimento
(Investment IM3 Desenvolve um entendimento claro do programa candidato.
Management) IM4 Executa analises alternativas.
IM5 Desenvolve um plano de programa.
IM6 Desenvolve um plano de realização de benefícios.
IM7 Identifica o ciclo completo de custos e benefícios.
IM8 Desenvolve um business case detalhado.
IM9 Associa propriedade e responsabilidades.
IM10 Inicia, planeja e lança o programa.
IM11 Gerencia o programa.
IM12 Gerencia e rastreia os benefícios
IM13 Atualiza o business case.
IM14 Monitora e reporta a performance do programa.
IM15 Encerra o programa.
Gerenciamento PM1 Mantém um inventário sobre os recursos humanos

do Portfólio
PM2 identifica os recursos requeridos
(Portfolio
Management) PM3 Executa um gap analysis
PM4 Desenvolve um plano de recursos
PM5 Exigências de recurso de monitor e utilização
PM6 Estabelece limites de investimento
PM7 Avalia o programa inicial concebido pelo business case
PM8 Avalia e atribui pontuações relativas ao business case
PM9 Cria uma visão geral do portfólio
PM10 Faz e comunica as decisões de investimento
PM11 Lançamento em fases do programa escolhido
PM12 Otimizar a performance do portfólio
PM13 Re-priorizar o portfólio
PM14 Monitorar e reportar a performance do portfólio
Os processos listados anteriores expandem os processos
dos domínios Planejar e Organizar (PO) e Monitorar e
Avaliar (ME) do COBIT®, especialmente aqueles
relacionados a:
1. Estratégias de TI e do Negócio;
2. Gerenciamento de Investimentos;
3. Portfólio programas e gerenciamento de projetos;
4. Monitorar e avaliar o valor da entrega.
A estrutura do Val IT framework provê uma referência

cruzada ao COBIT®.
DICAS PRÁTICAS: Implemetação Framework COBIT
Quando for adotar o framework do COBIT®, lembre-se que:
1. O COBIT® é melhor utilizado como um framework de alto

nível e abrangente de TI e um conjunto de melhores práticas e
recursos;
2. Outros padrões e melhores práticas complementares podem
trabalhar com o COBIT®;
3. O COBIT® é um conjunto de ferramentas, um capacitador.
153
Cultura & Comunicação
Problemas culturais e de comunicação, são extremamente relevantes numa
implementação de governança de TI:
1. Similar à maioria das coisas na vida, o sucesso depende principalmente do

comportamento das pessoas;
2. Projetos bem sucedidos do COBIT® dependem em trabalhar como uma
equipe, com uma abordagem, buscando as mesmas metas e compartilhando
responsabilidades.
3. Muitos problemas culturais precisam ser endereçados na maioria das
organizações para superar a mentalidade “eu, eles e nós”;
4. Informação disponível e acessível contribuem com a construção de crença e
confiança;
5. O uso de linguagem simples de negócio é melhor do que o uso de “linguagem
técnica”. Os benefícios e impactos devem também estar expressos no negócio
e não termos técnicos.
twitter.com/companyweb facebook.com/companyweb
contato@CompanyWeb.com.br
11 3532-1076
slideshare.net/companyweb Vídeos: Gestão & Governança

http://bit.ly/eMR2Vt

COBITFoundation - v6 - SLIDES

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

COBITFoundation - v6 - SLIDES

Enviado por

Direitos autorais:

Formatos disponíveis

www.CompanyWeb.com.

COBIT v4.1 FOUNDATION

slideshare.net/companyweb Vídeos: Gestão & Governança

Início dos documentários:

Expressiva valorização das

Objetivo SOX: Garantir a integridade das informações financeiras

• Proteger os investidores por meio do aperfeiçoamento da precisão e

– das demonstrações financeiras;

– Subsidiárias de empresas americanas e não americanas cujas matrizes estão

Quem está sujeito ao SOX?

Empresas listadas na NYSE Empresas listadas na NYSE

Ambev - Companhia de Bebidas das Américas Petróleo Brasileiro S.A. - Petrobras

Aracruz Celulose S.A. SABESP

Banco Bradesco, S.A. Sadia S.A.

Banco Itaú Holding Financeira S.A TAM S.A.

Brasil Telecom Participações S.A. Tele Norte Celular Participações S.A.

Brasil Telecom S.A. Tele Norte Leste Participações S.A.

Braskem S.A. Telebrás HOLDRs

Companhia Brasileira de Distribuição Telecomunicações de São Paulo S/A-Telesp

Companhia Energética de Minas Gerais-CEMIG Telemig Celular Participações S.A.

Companhia Paranaense de Energia (COPEL) Tim Participações S.A.

Companhia Siderúrgica Nacional Ultrapar Participações S.A.

CPFL Energia S.A. Vivo Participações S.A.

• A Lei Sarbanes-Oxley de 2002 (SOX) mudou

Enron CEO gets 24 years

Last man standing?

Not any longer. Five months after being found guilty

Itaú conclui a certificação dos controles internos

Visão Geral da Lei Sarbanes-Oxley

Principais Seções (artigos):

Seção 802 - Penalidades criminais pela alteração de documentos.

Título I Conselho de Supervisão da Contabilidade das Companhias de Capital Aberto

Título I Conselho de Supervisão da Contabilidade das Companhias de Capital de

A metodologia Internal Control – a Integrated Framework

Foi necessário estabelecer uma definição única de

nas seguintes categorias

Operações Relatório Conformidade Controles

Podem ocorrer falhas causadas por erro ou

Essas limitações impedem que o Conselho de

Eficácia e eficiência das operações;

A Lei Sarbanes-Oxley torna Diretores Executivos e

Controle Interno define-se como o planejamento organizacional e

Uma abordagem efetiva, direcionada à fraude em negócios e gerenciamento de

MANUAL - Controles manuais executados por pessoas.

Ausência de Controles Controles em Excesso Controles Adequados

Exposição a Exposição a Controles Internos

Questão: Fraquezas Materiais nos Controles Internos

Para quais dos itens abaixo há o a) Tecnologia da

d) Compras e contas a pagar 7; 7% f) Recursos Humanos

Não Identificação Exposição Ocorrência Materialização

Eu, José Sergio Gabrielli de Azevedo, certifico que:

/s/ JOSÉ SERGIO GABRIELLI DE AZEVEDO

José Sergio Gabrielli de Azevedo

Aplicações Estabelecer controle para o

• Uma organização dotada de um maior apetite a

um processo contínuo e interativo que permeia toda a organização;

conduzido pelos profissionais em todos os níveis da organização;

Alinhar o apetite a risco e a estratégia

O COBIT® está em conformidade com o COSO e é conveniente como o framework de controle

► Eficácia e eficiência de operações

Alinhamento do COBIT® com o COSO:

Como o COBIT® é geralmente aceito como um framework de Governança de TI e

O COBIT irá ajudar a identificar, naturalmente, os