Módulo 5

Estrutura do Framework do COBIT® e exercícios

Estrutura do COBIT / Organização das atividades

Funções TI Funções TI

Atividades Independentes Atividade inter-relacionadas

O COBIT promove a organização das atividades de TI entorno dos processos e fornece um

modelo para as organizações adotarem e se adaptarem conforme necessário.
O cubo do COBIT®
O COBIT atua em 3 dimensões: processos de TI, Critérios de Informação ou critérios de
Negócio e Recursos de TI:

Critérios da Informação
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade

Recursos de TI
Processos de TI Aplicações
Domínios
Informações
Processos
Atividades Infra-estrutura
Pessoas
Recursos de TI

Criteríos da Informação
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade

Recursos de TI
Processos de TI Aplicações
Domínios
Informações
Processos
Atividades Infra-estrutura
Pessoas
Recursos de TI

Aplicações: sistemas automatizados e

procedimentos manuais para processar informações

Informações: dados de todos os formulários de
entrada e saída, processados e exibidos pelos
sistemas de informação, podendo ser qualquer
formulário que é usado pelo negócio.

Infra-estrutura: inclui hardware, sistemas
operacionais, sistemas de banco de dados, rede,
multimídia, etc. É tudo que é necessário para o
funcionamento das aplicações.

Pessoas: pessoal necessário para planejar,
organizar, adquirir, implementar, entregar, prestar
suporte, monitorar e avaliar os sistemas de
informação e serviços. O pessoal pode ser interno ou
terceirizado.
 Recursos de TI x Entrega de serviços

Eventos
Eventos Informação
Recursos
RecursosdedeTI
TI Informação


Objetivos
Objetivosde
denegócio
negócio

Eficácia
Aplicações Eficácia


Oportunidades Aplicações
Oportunidadesdede

Eficiência
Eficiência
negócio
negócio Informações
Informações

Confidencialidade
Confidencialidade


Requisitos
Requisitosexternos
externos Infra-estrutura
Infra-estrutura

Integridade


Regulamentos Integridade
Regulamentos Pessoas
Pessoas

Disponibilidade
Disponibilidade


Riscos
Riscos Mensagem

Conformidade
Serviço Conformidade
(entrada)
(saída)


Confiabilidade
Confiabilidade
Critérios de Informação

Critérios da Informação
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade

Recursos de TI
Processos de TI Aplicações
Domínios
Informações
Processos
Atividades Infra-estrutura
Pessoas
Critérios de Informação

Requisitos de Qualidade
• Qualidade
• Entrega Eficácia
• Custo
Requisitos de Segurança Eficiência

Confidencialidade
Confidencialidade

Integridade

Disponibilidade
Integridade
Requisitos Fiduciários
(Relatório do COSO) Disponibilidade

Eficácia e Eficiência
nas operações
Conformidade

Conformidade com as leis
e regulamentações
Confiabilidade

Confiabilidade das
demonstrações financeiras da Informação
Categorias
Os 3 requisitos – Qualidade, Segurança e Fiduciário – são divididos em 7 categorias
distintas que podem se sobrepor.
Eficácia: É a capacidade de alçar metas e resultados propostos. Trata da informação que
está sendo relevante e pertinente ao processo de negócio, bem como que esteja sendo
entregue de um modo oportuno, correto, consistente e útil.
Eficiência: Capacidade de produzir o máximo nos resultados com o mínimo de recursos. Diz
respeito à provisão da informação através do uso otimizado (mais produtivo e econômico)
dos recursos. Tem foco na otimização de custos.
Confiabilidade: Relaciona-se à provisão de informação apropriada para a gerência operar a
entidade e para a gerência exercer suas responsabilidades de relatar aspectos de
conformidade e finanças .
Conformidade: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos
quais o processo de negócio está sujeito.
Confidencialidade: Diz respeito à proteção da informação sigilosa contra a revelação não
autorizada.
Integridade: Relaciona-se à exatidão e à inteireza da informação bem como à sua validade,
de acordo com os valores e as expectativas do negócio.
Disponibilidade: Relaciona-se à informação que está sendo disponibilizada quando
requerida pelo processo de negócio agora e no futuro. Também diz respeito à salvaguarda
dos recursos necessários e às capacidades associadas. Tem foco na entrega de serviços.
Processos de TI

Critérios da Informação
Efetividade
Eficiência
Confidencialidade
Integridade
Disponibilidade
Conformidade
Confiabilidade

Recursos de TI
Processos de TI Aplicações
Domínios
Informações
Processos
Atividades Infra-estrutura
Pessoas
 Modelo de Processo do COBIT
ME1 Monitorar e Avaliar a Performance de TI
ME2 Monitorar e Avaliar Controle Interno
PLANEJAMENTO E
ME3 Assegurar Conformidade Regulatória
ORGANIZAÇÃO
ME4 Fornecer Governança de TI
MONITORAÇÃO
E AVALIAÇÃO
DS1 Definir níveis de Serviços
DS2 Gerenciar Serviços de Terceiros
DS3 Gerenciar Performance e Capacidade
DS4 Garantir Continuidade dos Serviços
DS5 Garantir Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar usuários
DS8 Gerenciar Service Desk e Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar Dados
DS12 Gerenciar os Ambientes Físicos
DS13 Gerenciar Operações
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura de Informação
PO3 Determinar a Direção Tecnológica
PO4 Definir Processos de TI, Organização e
Relacionamento
PO5 Gerenciar o Investimento em TI
PO6 Comunicar Metas e Diretivas Gerenciais
PO7 Gerenciar Recursos Humanos
PO8 Gerenciar Qualidade
PO9 Avaliar e Gerenciar Riscos
PO10 Gerenciar Projetos
AQUISIÇÃO E
IMPLEMENTAÇÃO
AI1 Identificar soluções automatizadas
AI2 Adquirir e manter software aplicativo
AI3 Adquirir e manter arquitetura tecnológica
AI4 Manter operação e uso
ENTREGA E
AI5 Obter Recursos de TI
SUPORTE
AI6 Gerenciar mudanças
AI7 Instalar e certificar Soluções e Mudanças
Domínio de Planejamento e Organização (PO)
Objetivos
Formular estratégias e táticas
Identificar como TI pode melhor contribuir para atingir os objetivos do negócio
Planejar, comunicar e gerenciar a realização da visão estratégica
Implementar organizacionalmente e tecnologicamente a Infra-estrutura

Escopo:

Estão TI e Negócio estrategicamente
alinhados?

Está a organização obtendo o melhor uso
de seus recursos?

Qualquer pessoa na organização
entende os objetivos de TI?
TI Negócio

Os riscos de TI são entendidos e
adequadamente gerenciados?

A qualidade dos sistemas de TI são
apropriadas para as necessidades do
Negócio?
Domínio de Entrega e Suporte (DS)
Objetivos

 Entregar os serviços requeridos, incluindo o serviço de entrega.

 Gerenciar segurança, continuidade, dados e facilidades operacionais.
 Fornecer serviço de suporte estruturado aos usuários.

Escopo:

Estão os serviços de TI alinhados com
as prioridades de Negócio? Estão os
custos otimizados?

Está a força de trabalho apta a usar os
sistemas de TI de forma produtiva e com
segurança?

São adequadas a confidencialidade,
integridade e disponbilidade das
informações?
Serviços de TI Prioridades do Negócio
Domínio de Aquisição e Implementação (AI)
Objetivos

 Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI.

 Atualizar e manter os sistemas existentes.

Escopo:

Estão os novos projetos aptos a

?
entregar soluções que reúnem as
necessidades do Negócio?

Estão os novos projetos aptos a serem
entregues dentro dos custos e prazos
definidos?

Os novos sistemas trabalharão
adequadamente quando implementados?

As mudanças serão feitas sem afetar as Novos Projetos Necessidades
operações atuais do Negócio? da empresa
Domínio de Monitoração e Avaliação (ME)
Objetivos

 Gerenciar Performance
 Monitorar Controles Internos
 Manter conformidade com Agências Reguladoras
 Governar TI

Escopo:

A performance de TI é mensurada para
detectar problemas antes que eles
aconteçam?

O gerenciamento garante que os
Controles Internos são efetivos e eficazes?

Pode a disponibilidade de TI ser
combinada com os objetivos do Negócio?

São Riscos, Controles, Conformidades e
Performance medidos e reportados? TI Performance
Medidas de Controle
As medidas de controle para cada processo de TI não satisfazem todos os requisitos de
negócio no mesmo grau. A estrutura do COBIT define 3 graus de controle.

Primário Impacta diretamente o critério de informação a que se refere.

Secundário Satisfaz parcialmente ou indiretamente o critério de informação a

que se refere.

Pode ser aplicável; entretanto, os requisitos são satisfeitos de

Em Branco forma mais apropriada por um outro critério neste processo e/ou
ainda por outro processo.
Medidas de Controle
P = Primário
S = Secundário
Medidas de Controle (continuação)
Exercícios
Indique se é Verdadeiro ou Falso:
1. ( ) As medidas de controle para cada processo de TI não satisfazem todos os requisitos de negócio
no mesmo grau. A estrutura do COBIT define 2 graus de controle: primário e secundário.
2. ( ) Os graus de controle são indicados em cada processo para cada aspecto de critérios de
informação e recursos de TI.
3. ( ) O domínio de Monitoração e Avaliação controla os processos de TI que devem ser avaliados
regularmente nos aspectos de qualidade e conformidade com os requisitos de controle.
4. ( ) É verificado se os aspectos relacionados à confidencialidade, integridade e disponibilidade estão
sendo atendidos no domínio de Aquisição e Implementação.
5. ( ) São processos do domínio de Planejamento e Aquisição: PO1 Definir um Plano Estratégico de
TI, PO2 Definir a Arquitetura de Informação, PO3 Determinar a Direção Tecnológica, PO4 Definir
Processos de TI, Organização e Relacionamento.
6. ( ) O cubo do COBIT atua em 3 dimensões: Processos de TI, Recursos de TI e Critérios de
Informação.
7. ( ) Os Critérios de Informação são: Requisitos de Qualidade, Requisitos Fiduciários e Requisitos de
Segurança.
8. ( ) São considerados pelo COBIT como Recursos de TI: Aplicações, Informações e Infra-estrutura.
9. ( ) A dimensão processos de TI considera os 4 domínios, os 34 processos e as atividades.
10. ( ) São processos do domínio Monitorar e Avaliar: ME1 Monitorar e Avaliar a Performance de TI e
ME2 Monitorar e Avaliar Controle Interno.
Exercícios
Indique se é Verdadeiro ou Falso:
1. ( F ) As medidas de controle para cada processo de TI não satisfazem todos os requisitos de
negócio no mesmo grau. A estrutura do COBIT define 2 graus de controle: primário e secundário. (3
graus: primário, secundário e em branco)
2. ( V ) Os graus de controle são indicados em cada processo para cada aspecto de critérios de
informação e de recursos de TI.
3. ( V ) O domínio de Monitoração e Avaliação controla os processos de TI que devem ser avaliados
regularmente nos aspectos de qualidade e conformidade com os requisitos de controle.
4. ( F ) É verificado se os aspectos relacionados à confidencialidade, integridade e disponibilidade
estão sendo atendidos no domínio de Aquisição e Implementação. (Entrega e Suporte)
5. ( F ) São processos do domínio de Planejamento e Aquisição: PO1 Definir um Plano Estratégico de
TI, PO2 Definir a Arquitetura de Informação, PO3 Determinar a Direção Tecnológica, PO4 Definir
Processos de TI, Organização e Relacionamento. (Domínio Planejamento e Organização)
6. ( V ) O cubo do COBIT atua em 3 dimensões: Processos de TI, Recursos de TI e Critérios de
Informação.
7. ( V ) Os Critérios de Informação são: Requisitos de Qualidade, Requisitos Fiduciários e Requisitos
de Segurança.
8. ( F ) São considerados pelo COBIT como sendo Recursos de TI: Aplicações, Informações e Infra-
estrutura. (devem ser incluídas as pessoas)
9. ( V ) A dimensão processos de TI considera 4 domínios, 34 processos e as atividades.
10. ( V ) São processos do domínio Monitorar e Avaliar: ME1 Monitorar e Avaliar a Performance de TI e
ME2 Monitorar e Avaliar Controle Interno.
Fim do Módulo 5