Governança de TI

Framework COBIT

Profa. Iraci Cristina da Silveira De Carli

1
 Pilares da governança
Governança Corporativa objetiva:

• Conformidade - Aderente a legislação, políticas

internas, requisições de auditoria, etc.

• Performance - Melhoria nos resultados, eficiência,

eficácia, crescimento, etc.

Governança Corporativa é um conjunto de

responsabilidades e práticas, exercido pelo Comitê
www.itgi.org
www.itgi.org
Diretivo ou Executivo, com o objetivo de:
• Prover direcionamento estratégico
RESOURCE
MANAGEMENT • Garantir que os objetivos são alcançados
• Garantir que os riscos são apropriadamente
gerenciados
• Verificar que os recursos corporativos são
utilizados de forma responsável

2
 Pilares da Governança de TI
Alinhamento Estratégico
Tem como foco garantir uma integração do negócio com os planos de TI; na
definição, manutenção e validação das proposições de valor para TI; e no
alinhamento das operações de TI com as operações corporativas
Agregação de Valor
É sobre a execução da proposição de valor através do ciclo de entrega, garantindo
que os entregáveis de TI cumpram os benefícios estabelecidos na estratégia,
concentrando-se nos custos ótimos fixados e provendo um valor intrínseco de TI.
Gerenciamento de Recursos
É sobre a otimização de investimento e do próprio gerenciamento dos recursos
críticos de TI, aplicações, informações, infraestrutura e pessoas. O ponto chave
está relacionado a otimização do conhecimento e de infraestrutura.

www.itgi.org
www.itgi.org Gestão de Riscos
Atenção aos Riscos é requerida do Executivo Senior da corporação, um claro
entendimento do apetite da corporação pelo risco, entendimento da conformidade
GERENCIAMENTO (compliance) requerida, transparência sobre o significado do risco para a
DE RECURSOS corporação, e a estrutura de responsabilidade pelo gerenciamento dos riscos na
corporação.

Medição de Performance
Trilha e monitora a implementação de estratégia, conclusão de projetos, uso de
recursos, performance de processos e entrega de serviços, usando, por exemplo,
Balance ScoreCards para traduzir estratégias em ações, com vistas a atingir os
objetivos mensurados via apontamento convencional.

3
Governança Corporativa e Governança
de TI

4
Relembrando...

5
 COBIT
Control Objectives for Information and Related Technology

• Modelo proposto pelo

– ISACA
• Information Systems Audit and Control Association
• Associação global de profissionais de auditoria de informação
e tecnologia, risco, governança e segurança
– Objetivo
• Contribuir par ao sucesso da entrega de produtos e serviços
de TI a partir da perspectiva das necessidades de negócio,
com um foco mais acentuado no controle que na execução

6
Onde o COBIT se posiciona na Governança?
CONFORMIDADE
Drivers PERFORMANCE Basel II, Sarbanes-
Objetivos do Negócio Oxley Act, etc.

COSO
Balanced Comissão Nacional
Governança Corporativa
Scorecard sobre Fraudes em
Relatórios Financeiros

Governança de TI COBIT

ISO ISO ISO

Padrões de Melhores Práticas 9001:2000 17799 20000

Processos e Procedimentos Procedimentos Princípios de ITIL

QA Segurança

7
 Características do COBIT
► O framework COBIT foi criado com as seguintes características:
▪ Foco em Negócio
▪ Orientado a Processo
▪ Baseado em Controles
▪ Direcionado a Métricas

8
 Evolução do COBIT
Atualização referente a tecnologia

Governança Corporativa de TI

Governança
Evolução

Gerenciamento

Controle

Auditoria
COBIT 5 COBIT 2019

COBIT 1 COBIT 2 COBIT 3 COBIT 4

1996 1998 2000 2005 2019

2012
9
Princípios do COBIT

10
 Componentes
► O framework COBIT é baseado na premissa de que TI necessita entregar informação a uma
corporação para que atinja os seus objetivos.

Obter Objetivos de
Negócio

i para
Processos de
Negócio
Informação
provê

Recursos de TI
e processos

► O framework COBIT ajuda a alinhar TI com o Negócio através do foco nos requisitos de
informação de negócio e a organização dos recursos de TI. COBIT provê um framework e um guia
para implementar a Governança de TI.
11
 Habilitadores do COBIT (Princípio 4)

Princípios, políticas e quadros são os veículos para traduzir o comportamento desejado em orientações práticas para o dia-a-dia de
gestão.
Os processos descrevem um conjunto organizado de práticas e atividades para atingir certos objetivos e produzir um conjunto de
saídas para atingir as metas de TI.
As estruturas organizacionais são as principais entidades de tomada de decisão em uma empresa.
A cultura, a ética e o comportamento dos indivíduos e da empresa são muitas vezes subestimada como fator de sucesso em atividades
de governança e gestão.
A informação é necessária para manter a organização funcionando e bem governada, mas no nível operacional, a informação é muitas
vezes a chave do produto da própria empresa.
Os Serviços, a infraestrutura e as aplicações fornecem as empresas os recursos necessários para o processamento de informação.
As pessoas, habilidades e competências são necessárias para a conclusão bem sucedida de todas as atividades, e para tomar decisões
corretas e ações corretivas. 12
 O framework COBIT

➢ O princípio do framework COBIT é o de prover um link entre as expectativas com as responsabilidades de

gerenciamento de TI.
➢ O objetivo é facilitar a Governança de TI para agregar valor a TI, enquanto gerenciando Riscos em TI.
➢ Prover as informações requeridas para suportar os objetivos de negócio e seus requisitos; e
➢ Tratar informação como resultado da combinação de aplicações e recursos de TI, que necessitam ser
adequadamente gerenciados por processos de TI

Recursos de TI

Estratégia de Negócio

Processos de TI

Critério da
Informação

13
 O Cubo COBIT
▪ O framework COBIT descreve como os processos de TI entregam a informação que o Negócio necessita
para atingir os seus objetivos.
▪ Para controlar esta entrega, COBIT provê três componentes chaves, cada qual formando uma dimensão do
COBIT cube.

14
COBIT Cube: Dimensão Processos de TI
Critério da Informação

Domínio Recursos de TI
Processos
Atividades
Processos de TI

COBIT descreve o ciclo de vida de TI com o auxílio de domínios:

Alinhar, Construir,
planejar e adquirir e
organizar Implementar
Processos de TI

Entregar, Monitorar,
Servir e Avaliar e
Suportar Medir
Avaliar,
Dirigir e
Monitorar
15
COBIT Cube: Dimensão Processos de TI

► Processos são uma série de atividades com controles de parada naturais.

► Existem no COBIT 37 processos divididos em cinco Domínios.
► No Cobit 5, novo domínio na governança e os domínios anteriores na gestão
► Estes processos especificam as necessidades de negócio necessárias para atingir seus objetivos.
► As entregas de informação são controladas a através dos 37 objetivos de controle de alto-nível, um
para cada processo.

Critério da Informação

Domínio Recursos de Ti
Processos
Atividades
Processos de TI

16
COBIT Cube: IT Avaliar Dirigir e Monitorar (EDM)

Avaliar Dirigir e Monitorar

Alinhar, Construir,
planejar e adquirir e
Implementar
EDM01-Garantir definição e manutenção da
organizar
Processos de TI estrutura de governança
EDM02-Garantir entrega de valor
EDM03-Garantir a otimização dos riscos
EDM04-Garantir a otimização dos recurso
Entregar, Monitorar,
Servir e Avaliar e
EDM05- Garantir a transparência das partes
Suportar Medir interessadas
Avaliar,
Dirigir e
Monitorar

17
► Objetivos:
▪ Formular estratégias e táticas
▪ Identificar como TI pode melhor contribuir para obter os objetivos de Negócio
▪ Planejar, comunicar e gerenciar a realização da visão estratégica
▪ Implementação organizacional e tecnológica da Infraestrutura
► Escopo:
▪ Estão TI e Negócio estrategicamente alinhados?
▪ Está a organização obtendo uso ótimo de seus recursos?
▪ Qualquer pessoa na organização entende os objetivos de TI?
▪ Os riscos de TI são entendidos e adequadamente gerenciados?
▪ A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio?

TI e Negócio
18
COBIT Cube: IT Processos do Domínio Alinhar, Planejar e Organizar

Alinhar, Planejar e Organizar

APO1 Gerencair estrutura de gerenciamento de

TI
Construir,
APO2 Gerenciar a estratégia.
Alinhar,
planejar e adquirir e APO3 Gerenciar a arquitetura.
organizar Implementar
Processos de TI
APO4 Gerenciar a inovação
APO5 Gerenciar o portfólio.
APO6 Gerenciar o orçamento e os custos
APO7 Gerenciar os Recursos Humanos de TI.
Entregar, Monitorar, AP08 Gerenciar as relações
Servir e Avaliar e
Suportar
Avaliar,
Medir AP09 Gerenciar os contratos de serviços
Dirigir e AP10 Gerenciar os fornecedores
Monitorar
AP11 Gerenciar a Qualidade.
AP12 Gerenciar os Riscos de TI.
APO13 Gerenciar a Segurança

19
COBIT Cube: Processos do Domínio Adquirir e Implantar

Construir, Adquirir e Implementar

BAI1 Gerenciar programas e projetos

BAI2 Gerenciar a definição dos requsiitos
Alinhar, Construir,
planejar e adquirir e BAI3 Gerenciar a construção e manutenção
organizar Implementar das soluções
Processos de TI
BAI4 Gerenciar a disponibilidade e capacidade
BAI5 Gerenciar a promoção da mudança
organizacional.
BAI6 Gerenciar mudanças.
Entregar, Monitorar,
Servir e Avaliar e BAI7 Gerenciar o aceite da mudança e
Suportar Medir transição
Avaliar,
Dirigir e
Monitorar
BAI8 Gerenciar o conhecimento
BAI9 Gerenciar os ativos
BAi10 Gerenciar a configuração

20
► Objetivos:
▪ Identificar, desenvolver ou adquirir, implementar e integrar soluções de TI.
▪ Mudanças e manutenção dos sistemas existentes.
► Escopo:
▪ Estão os novos projetos aptos a entregar soluções que reunem as necessidades de Negócio?
▪ Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?
▪ Os novos sistemas trabalharão adequadamente quando implementados?
▪ As mudanças serão feitas sem afetar as operações atuais do Negócio?

?
Novos projetos Organização

21
COBIT Cube: IT Processos do Domínio Entregar e Suportar

Entregar, Atender e dar Suportar

DSS01 Gerenciar as operações Alinhar, Construir,

planejar e adquirir e
DSS2 Gerenciar Requisições e Incidentes organizar Implementar
DSS3 Gerenciar problemas Processos de TI

DSS4 Garantir a Continuidade dos Serviços.

DSS5 Gerenciar os serviços d esegurança
DSS6 Gerenciar os controles de processos de Entregar, Monitorar,
negócio Servir e Avaliar e
Suportar Medir
Avaliar,
Dirigir e
Monitorar

22
Entregar e Suportar (DS)
► Objetivos:
▪ A atual entrega dos serviços requeridos, incluindo o serviço de entrega.
▪ Gerenciamento da segurança, continuidade, dados e facilidades operacionais.
▪ Serviço de suporte a usuários estruturado.
► Escopo:
▪ Estão os serviços de TI alinhados com as prioridades de Negócio?
▪ Estão os custos otimizados?
▪ Está a força de trabalho apta a usar os sistemas de TI de forma produtiva e com segurança?
▪ São adequadas a confidencialidade, integridade e disponbilidade das informações?

Serviços de TI Prioridades de Negócio

23
 COBIT Cube: IT Processos do Domínio Monitorar e Avaliar

Alinhar, Construir,
Monitora, Avaliar e Analisar planejar e adquirir e
organizar Implementar
Processos de TI
MEA1 Monitorar, avaliar e analisar o desempenho e
conformidade
MEA2 Monitorar, avaliar e analisar o sistyema de
controle intenro Entregar, Monitorar,
MEA3 Monitorar, avaliar e analisar a conformidade Servir e Avaliar e
Suportar Medir
com os requisites externos Avaliar,
Dirigir e
Monitorar

24
Monitorar e Avaliar (ME)
► Objetivos:
▪ Gerenciamento de Performance
▪ Monitoramento de Controles Internos
▪ Conformidade com Agências Reguladoras
▪ Governança
► Escopo:
▪ A performance de TI é mensurada para detectar problemas antes que eles aconteçam?
▪ Gerenciamento garante que Controles Internos são efetivos e eficazes?
▪ Pode a disponibilidade de TI ser combinada aos objetivos de Negócio?
▪ São Riscos, Controle, Conformidade e Performance medidos e reportados?

TI Performance
25
 Processos: Objetivos e Metas
Critério da Informação

Domínio Recursos de Ti
Processos
Atividades
Processos de TI

Cada processo é organizado em atividades

Os processos possuem:
• Meta de processo
• Estabelecer uma função service desk profissional, com resposta rápida, procedimentos
claros de escalação e resolução e análise de tendências
• Metas de atividade
• Instalar e operar um service desk
• Monitorar e relatar tendências
• Definir critérios e procedimentos claros de escalação

26
 Processos: Objetivos e Metas em
Cascata

Metas são derivadas em cascata

• Objetivos do negócio para metas de TI
• Metas de TI para metas de processos
• Metas de processos para metas de atividades

27
 Metas, Métricas e Indicadores
• Métricas de resultado são definidas para cada uma das metas
estabelecidas
– Métricas de resultado de um nível servem como indicadores de
desempenho para o nível seguinte

28
Organizou os processos em 2 áreas,
além dos domínios

29
Critérios da Informação

► Para satisfazer os objetivos de Negócio, as informações necessitam estar em conformidade com

critérios específicos de controle, que o COBIT consulta como exigência do Negócio para a
informação.
► Amplamente, os critérios são baseados nas seguintes exigências:
▪ Qualidade
▪ Fiduciária Exigências de Qualidade

▪ Segurança Exigências Fiduciária*

Exigências de Segurança

Critérios da Informação

Recursos de TI
Processos de TI

• Fidúcia:
• gesto confiante, comportamento ousado; atrevimento, confiança, fidúncia..
• jurídico (termo), ônus que grava a propriedade dada em fideicomisso, visto que ela pertence ao fiduciário enquanto este viver
ou por outra condição estabelecida pelo testador. 30
 Critérios da Informação

Lida com a relevância da informação e pertinência aos processos de negócio

Eficácia bem como a sua disponibilidade em prazo apropriado, de forma correta,
precisa, consistente e em formado adequado para utilização. Exigências de Qualidade
Exigências Fiduciária

Refere-se à provisão da informação através da melhor (mais Exigências de Segurança

Eficiência produtiva e econômica) forma de utilização dos recursos.

Critérios da Informação

Refere-se à proteção de informação considerada Recursos de TI

Confidencialidade
privilegiada contra divulgação não autorizada. Processos de TI

Relaciona-se com a precisão e exatidão da informação,

Integridade bem como sua validade de acordo com os padrões e
expectativas de negócio estabelecidas.
Relaciona-se a prover a informação no momento em que for requerida pelos
Disponibilidade processos de negócio, o que inclui também a salvaguarda dos recursos.

Lida com o cumprimento das leis, regulamentos e cláusulas contratuais aos quais um
Conformidade determinado processo de negócio está sujeito. (O foco está em atender regulamentações
externas).

Relaciona-se ao fornecimento, por parte dos sistemas, de informaçôes apropriadas aos gerentes
Confiabilidade
para a tomada de decisão, relatórios financeiros precisos e informações adequadas aos órgãos
normatizadores sobre o cumprimento das leis.
31
Recursos de TI

Critérios da Informação
Aplicações
Informações
Infraestrutura
Processos de TI Pessoas
Recursos de TI

► Processos de gerenciamento de recursos de TI para gerar, entregar e armazenar informações que a

organização necessita para obter seus objetivos.
► Os recursos de TI, segundo o COBIT podem ser definidos da seguinte maneira:
▪ Aplicações são os sistemas automatizados do usuário e procedimentos manuais que
processam informações.
▪ Informação é o dado em todas suas formas de entrada, processamento e saída pelos sistemas
de informação, seja qual for a maneira que seja usado pelo negócio.
▪ Infraestrutura é a tecnologia e facilidades (hardware, sistemas operacionais, sistemas de
gerenciamento de bancos de dados, rede, multimidia, etc., e o ambiente que os contém e
suporta) que possibilitam o processamento das aplicações.
▪ Pessoas são o pessoal necessário para planejar, organizar, adquirir, implantar, entregar,
suportar, monitorar e avaliar a informação, sistemas e serviços. Podem ser internos,
terceirizados ou contratados sob demanda.
32
Domínios e Processos do COBIT

33
Modelo de Maturidade

34
 Modelo de Maturidade
• Nível 0 (Inexistente): o processo não é reconhecido pela organização.

• Nível 1 (Processo inicial ou ad-hoc): há evidência de que a organização reconhece o processo como um problema a ser
resolvido, entretanto, a sua abordagem é feita em uma base caso a caso. A abordagem da gerência em relação ao processo
é desorganizada.

• Nível 2 (Processo repetitivo, porém intuitivo): os processos estão desenvolvidos em um estágio em que procedimentos
similares são seguidos por diferentes pessoas. Não existe um treinamento formal ou comunicação a respeito da
padronização do processo, sendo que a responsabilidade é deixada a cargo de iniciativas individuais. Existe uma grande
diferença de conhecimento sobre o processo entre os indivíduos, permitindo assim a ocorrência de erros.

• Nível 3 (Processo definido): os procedimentos estão padronizados, documentados e comunicados por meio de
treinamento e capacitação. Está estabelecido que o processo deve ser seguido, entretanto, é provável que desvios
aconteçam, pois não são medidos, nem monitorados. Os procedimentos não são sofisticados, mas existe uma formalização
das práticas existentes.

• Nível 4 (Gerenciado e mensurável): a gerência monitora e mede a conformidade dos procedimentos, identificando
quando os processos não estão sendo executados apropriadamente. Os processos sofrem constantes melhorias e seguem
as boas práticas. Automatização e ferramentas são utilizadas de uma forma fragmentada ou limitada.

• Nível 5 (Otimizado): os processos estão definidos no nível das boas práticas, baseado em resultado de melhoria contínua
e modelos de maturidade seguidos por outras organizações (benchmarking). A TI é utilizada de uma maneira integrada
para automatizar o fluxo de trabalho, provendo ferramentas para implementar a qualidade e efetividade, contribuindo
para tornar a empresa ágil para adaptar-se às mudanças do ambiente em q

35
Escala de Maturidade

36
 Benefícios
► COBIT foca na melhoria da Governança de TI das organizações.
► COBIT provê um framework para gerenciar e controlas as atividades de TI e dar suporte a cinco
requisitos adequados a um framework de controle

Provê Define uma

mais foco linguagem
no negócio comum

Garante Auxilia na
Control
orientação Framework obtenção dos
Requisitos
a processo
regulatórios

Tem aceitação
geral pelas
organizações

37
COBIT e Governança de TI (Cont.)
Benefícios
Foco em Negócio
► COBIT busca foco estrito no Negócio
através do alinhamento dos objetivos Provê
Define uma
de TI com os objetivos de Negócio. mais foco
linguagem
► A medição de performance de TI no negócio
comum
deverá ter foco na contribuição de TI
para habilitar e extender as estratégias
de Negócio.
► COBIT, é suportado por apropriadas Garante Auxilia na
métricas com foco no Negócio, que Control obtenção dos
orientação
Framework
garentem que o foco primário é a Requisitos
a processo
agregação de valor e não a excelência regulatórios
técnica como um fim em si mesmo.
Tem aceitação
geral pelas
organizações

38
COBIT e Governança de TI (Cont.)
Benefícios
Orientado a Processo
► Quando a organização implementa
COBIT, seu foco é orientado a Provê
Define uma
processo. mais foco
linguagem
► Incidentes e Problemas não desviam a no negócio
comum
atenção dos processos.
► Exceções podem ser claramente
definidas como parte de processos
padrões. Garante Auxilia na
Control obtenção dos
► Com o “dono” do processo definido, orientação
Framework
Requisitos
indicado e aceito, a organização a processo
regulatórios
manterá um melhor controle quando de
períodos de rápidas mudanças ou crises
organizacionais. Tem aceitação
geral pelas
organizações

39
COBIT e Governança de TI (Cont.)
Benefícios
Aceitação Geral
► COBIT provê um padrão globalmente
aceito como forma de aumentar a Provê
Define uma
contribuição de TI para o sucesso da mais foco
linguagem
organização.
no negócio
comum
► O framework continua sendo
continuamente melhorado e
desenvolvido, com vistas a manter-se
alinhado com as “melhores práticas” de Garante Auxilia na
mercado. Control obtenção dos
orientação
Framework
► Profissionais de TI de todo o mundo Requisitos
a processo
contribuem com suas idéias e tempo regulatórios
para regularmente revisar o conteúdo
do COBIT. Tem aceitação
geral pelas
organizações

40
COBIT e Governança de TI (Cont.)
Benefícios
Requisitos Regulatórios
► Os recentes escandalos corporativos
aumentaram a pressão regulatória sobre Provê
Define uma
o corpo diretivo (direção) no sentido de mais foco
linguagem
reafirmar o seu status e garantir que os
no negócio
controles internos são adequados. Estas comum
pressões também focam a área de TI.
► Organizações constantemente
necessitam melhorar a performance de Garante Auxilia na
TI e demonstrar controles adequados Control
orientação obtenção dos
sobre suas atividades. Framework
Requisitos
a processo
► Muitos gerentes de TI, consultores e regulatórios
auditores estão tornando o COBIT
como a resposta “de fato” aos Tem aceitação
requisitos regulatórios de TI.
geral pelas
organizações

41
COBIT e Governança de TI (Cont.)
Benefícios
Linguagem comum
► Um framework auxilia todos a
utilizarem o mesmo conjunto de termos Provê
Define uma
críticos e também provê um glossário mais foco
linguagem
de termos e expressões.
no negócio
comum
► A coordenação interna e externa das
equipes de projeto e da organização,
pode ter um papel chave no sucesso de
qualquer projeto. Garante Auxilia na
► Uma linguagem comum ajuda a Control obtenção dos
orientação
Framework
construir confiança e verdade. Requisitos
a processo
regulatórios

Tem aceitação
geral pelas
organizações

42
 Valores e Limitações
►Tem aceitação internacional de “melhores práticas”
►É orientado a gerenciamento
►É suportado por ferramentas e treinamento
►É “free download”
►Permite que o conhecimento de especialistas-voluntários, seja compartilhado e difundido
►Continuamente em desenvolvimento
►É mantido por uma organização sem fins lucrativos (ISACA)
►Mapeia 100% do COSO
►Mapeia fortemente todos os maiores padrões de mercado
►É uma referência, não uma solução pronta

As organizações necessitam analisar os seus requisitos de controle e customizar o COBIT baseado em seus:
►Direcionamento de Valor – Value Drivers
►Perfil de Risco - Risk profile
►Infraestrutura e organização de TI, e Portfolio de Projetos

43
Anexo

EXEMPLOS DE METAS DE
PROCESSOS E ATIVIDADES
44
 Planejamento e Organização
PO1 – Definir um plano estratégico de TI
• Meta do processo
– Integrar a gestão de TI e de negócios, traduzir
requisitos de negócio em ofertas de serviços de TI e
desenvolver estratégias para entregar esses serviços
de forma efetiva
• Metas de atividade
– Alinhar o planejamento estratégico de TI com
necessidades atuais e futuras do negócio
– Compreender a capacidade atual de TI
– Prover um esquema de priorização e quantificação
dos objetivos e requisitos de negócio

45 45
 Planejamento e Organização
PO2 – Definir a arquitetura da informação
• Meta de processo
– Estabelecer um modelo de dados corporativo
e um esquema de classificação para garantir
integridade e consistência dos dados
• Metas de atividade
– Assegurar a precisão da arquitetura da
informação e do modelo de dados
– Atribuir propriedade da informação
– Classificar as informações segundo um
esquema previamente definido
46 46
 Planejamento e Organização
PO3 – Determinar a direção tecnológica
• Meta de processo
– Definir e implementar arquitetura e padrões
tecnológicos que reconheçam e aproveitem
oportunidades tecnológicas
• Metas de atividade
– Estabelecer fórum para definir arquiteturas e verificar
conformidade
– Estabelecer planos de infra-estrutura tecnológica com
visão de custos, riscos e requisitos
– Definir padrões de infra-estrutura tecnológica com
base nos requisitos da arquitetura da informação

47 47
 Planejamento e Organização
PO4 – Definir procs, organiz. e relacionamentos

• Meta de processo
– Estabelecer estruturas organizacionais de TI
transparentes e flexíveis, e definir e implementar
processos de TI com papéis e responsabilidades
integradas aos processos de negócio
• Metas de atividade
– Definir um framework de processos de TI
– Estabelecer estruturas e comitês organizacionais
– Definir papéis e responsabilidades

48 48
 Planejamento e Organização
PO5 – Gerenciar o investimento em TI
• Meta de processo
– Tomar decisões efetivas e eficientes sobre
investimentos em TI, e definir e monitorar
orçamentos de TI de acordo com a estratégia
e as decisões tomadas
• Metas de atividade
– Preparar e alocar orçamentos
– Definir critérios formais de investimento (ROI,
VPL, taxa de retorno, etc.)
– Medir e avaliar o valor de TI para o negócio
49 49
 Planejamento e Organização
PO6 – Comunicar metas e diretrizes gerenciais

• Meta de processo
– Prover aos stakeholders políticas,
procedimentos, diretrizes e outros
documentos que sejam precisos,
compreensíveis e aprovados, como parte de
um framework de controle de TI
• Metas de atividade
– Definir um framework de controle de TI
– Desenvolver e implantar políticas de TI
– Garantir o cumprimento das políticas de TI
50 50
 Planejamento e Organização
PO7 – Gerenciar recursos humanos de TI
• Meta de processo
– Contratar e treinar pessoal, definir planos de carreira,
criar descrições de cargos, atribuir papéis
compatíveis às habilidades, estabelecer processos
de revisão e garantir consciência da dependência de
indivíduos
• Metas de atividade
– Rever o desempenho da equipe
– Contratar e treinar pessoal de TI para suportar os
planos táticos de TI
– Mitigar os riscos de dependência de recursos chave

51 51
 Planejamento e Organização
PO8 – Gerenciar qualidade
• Meta de processo
– Definir sistema de gestão de qualidade
(QMS), monitorar o desempenho de acordo
com objetivos predefinidos e implementar um
programa de melhoria contínua dos serviços
de TI
• Metas de atividade
– Definir padrões e práticas de qualidade
– Monitorar e revisar o desempenho de acordo
com os parões e práticas definidos
– Melhorar continuamente o QMS
52 52
 Planejamento e Organização
PO9 – Avaliar e gerenciar riscos de TI
• Meta de processo
– Desenvolver um framework de gerência de riscos –
com avaliação, mitigação e comunicação de riscos
residuais de TI - integrado ao gerenciamento de
riscos de negócio
• Metas de atividade
– Garantir que o gerenciamento de riscos esteja
totalmente embutido nos processos gerenciais
– Realizar avaliações de risco
– Recomendar e comunicar planos de prevenção e
tratamento de riscos

53 53
 Planejamento e Organização
PO10 – Gerenciar projetos
• Meta de processo
– Aplicar abordagem sistemática de gerência de
projetos e programas aos projetos de TI e habilitar a
participação dos stakeholders no monitoramento do
progresso e dos riscos dos projetos
• Metas de atividade
– Definir e garantir o cumprimento de abordagens de
gerência de projetos e programas
– Criar diretrizes para o gerenciamento de projetos
– Planejar cada projeto incluído no portfólio

54 54
 Aquisição e Implementação
AI1 – Identificar soluções
• Meta de processo
– Identificar soluções tecnicamente viáveis e
com relações custo-benefício adequadas
• Metas de atividade
– Definir requisitos técnicos e de negócio
– Realizar estudos de viabilidade com base em
padrões de desenvolvimento
– Aprovar (ou rejeitar) requisitos e resultados
de estudos de viabilidade
55 55
 Aquisição e Implementação
AI2 – Adquirir e manter aplicações
• Meta de processo
– Garantir a existência de um processo de
desenvolvimento tempestivo e com relação
custo-benefício adequada
• Metas de atividade
– Traduzir requisitos de negócio em
especificações
– Aderir a padrões de desenvolvimento em
todas as modificações das aplicações
– Separar atividades de desenvolvimento, teste
e operação
56 56
 Aquisição e Implementação
AI3 – Adquirir e manter infra-estrutura tecnológica
• Meta de processo
– Prover plataformas apropriadas para as
aplicações de negócio, alinhadas a padrões e
arquiteturas de TI
• Metas de atividade
– Produzir um plano de aquisição de tecnologia
alinhado ao plano de infra-estrutura
tecnológica
– Planejar a manutenção da infra-estrutura
– Implementar medidas de controle, segurança
e auditoria
57 57
 Aquisição e Implementação
AI4 – Habilitar operação e uso
• Meta de processo
– Prover manuais e materiais de treinamento
efetivos para transferir o conhecimento
necessário para operação e uso dos sistemas
• Metas de atividade
– Desenvolver e tornar disponível a
documentação de transferência de
conhecimento
– Comunicar e treinar usuários, gerentes de
negócio e equipes de operação e suporte
– Produzir materiais de treinamento
58 58
 Aquisição e Implementação
AI5 – Adquirir recursos de TI
• Meta de processo
– Adquirir e manter habilidades de TI que respondam à
estratégia de TI, bem como uma infra-estrutura de TI
integrada e padronizada, reduzindo os riscos de
contratações de TI
• Metas de atividade
– Obter aconselhamento profissional em questões
legais e contratuais
– Definir padrões e procedimentos de contratação
– Adquirir hardware, software e serviços de acordo com
os procedimentos definidos

59 59
 Aquisição e Implementação
AI6 - Manage changes
• Meta de processo
– Controlar a avaliação de impacto, autorização e
implementação de todas as mudanças na infra-
estrutura e nas aplicações, de modo a minimizar
erros causados por especificações incompletas e
evitar a implementação de mudanças não
autorizadas
• Metas de atividade
– Definir e comunicar procedimentos de mudança,
incluindo as mudanças de emergência
– Avaliar, priorizar e autorizar mudanças
– Acompanhar o status e relatar mudanças

60 60
 Aquisição e Implementação
AI7 – Instalar e certificar soluções e mudanças

• Meta de processo
– Testar aplicações e soluções de infra-estrutura para
que elas sejam adequadas ao propósito e livres de
erros, e planejar sua colocação em produção
• Metas de atividade
– Estabelecer metodologias de teste
– Realizar o planejamento da liberação
– Submeter os resultados dos testes à avaliação e
aprovação dos gerentes de negócios
– Realizar revisões pós-implementação

61 61
 Entrega e suporte
• DS1 Definir e gerenciar níveis de serviços
• DS2 Gerenciar serviços de terceiros
• DS3 Gerenciar performance e capacidade
• DS4 Garantir continuidade dos serviços
• DS5 Garantir segurança dos sistemas
• DS6 Identificar e alocar custos
• DS7 Educar e treinar usuários
• DS8 Gerenciar service desk e incidentes
• DS9 Gerenciar a configuração
• DS10 Gerenciar problemas
• DS11 Gerenciar dados
• DS12 Gerenciar o ambiente físico
• DS13 Gerenciar a operação

62 62
 Entrega e Suporte
DS1 – Definir e gerenciar níveis de serviços
• Meta de processo
– Identificar requisitos de serviço, desenvolver
acordos de nível de serviço e monitorar o seu
cumprimento
• Metas de atividade
– Formalizar acordos internos e externos
alinhados aos requisitos e capacidade de
entrega
– Relatar o alcance dos níveis de serviço
– Identificar e comunicar requisitos novos e
atualizados para o planejamento estratégico
63 63
 Entrega e Suporte
DS2 – Gerenciar serviços de terceiros
• Meta de processo
– Estabelecer relacionamentos e responsabilidades
bilaterais com provedores de serviços
qualificados e monitorar a entrega dos serviços
para garantir aderência aos acordos
• Metas de atividade
– Identificar e categorizar fornecedores de serviços
– Identificar e mitigar riscos de fornecedores
– Monitorar e medir desempenho de fornecedores

64 64
 Entrega e Suporte
DS3 – Gerenciar desempenho e capacidade
• Meta de processo
– Atender aos requisitos de tempo de resposta
dos SLAs, minimizar downtime e melhorar
continuamente o desempenho e capacidade
de TI
• Metas de atividade
– Planejar e prover capacidade e
disponibilidade dos sistemas
– Monitorar e relatar desempenho dos sistemas
– Modelar e prever desempenho dos sistemas
65 65
 Entrega e Suporte
DS4 – Garantir continuidade dos serviços
• Meta de processo
– Prover resiliência para soluções
automatizadas e desenvolver, manter e testar
planos de continuidade de TI
• Metas de atividade
– Desenvolver e manter contingência de TI
– Treinar e testar planos de contingência de TI
– Armazenar cópias de planos de contingência
e de dados em locais off-site
66 66
 Entrega e Suporte
DS5 – Garantir segurança dos sistemas
• Meta de processo
– Definir políticas, planos e procedimentos de
segurança de TI e monitorar, detectar, relatar e
resolver vulnerabilidades e incidentes de segurança
• Metas de atividade
– Compreender requisitos, vulnerabilidades e ameaças
de segurança
– Gerenciar identidades e autorizações de usuários de
forma padronizada
– Testar a segurança regularmente

67 67
 Entrega e Suporte
DS6 – Identificar e alocar custos
• Meta de processo
– Capturar e alocar de forma precisa e completa os
custos de TI, e reportar tempestivamente sobre o uso
de TI e os custos alocados
• Metas de atividade
– Alinhar cobranças à qualidade e quantidade de
serviços providos
– Construir e obter acordo sobre um modelo completo
de custos de TI
– Implementar cobranças de acordo com as políticas

68 68
 Entrega e Suporte
DS7 – Educar e treinar usuários
• Meta de processo
– Compreender claramente as necessidades de
treinamento de usuários de TI, executar uma
estratégia efetiva de treinamento e medir
seus resultados
• Metas de atividade
– Estabelecer currículos de treinamento
– Organizar e entregar treinamentos
– Monitorar e relatar sobre a efetividade dos
treinamentos
69 69
 Entrega e Suporte
DS8 – Gerenciar Service Desk e incidentes
• Meta de processo
– Estabelecer uma função service desk
profissional, com resposta rápida,
procedimentos claros de escalação e
resolução e análise de tendências
• Metas de atividade
– Instalar e operar um service desk
– Monitorar e relatar tendências
– Definir critérios e procedimentos claros de
escalação
70 70
 Entrega e Suporte
DS9 – Gerenciar configuração
• Meta de processo
– Estabelecer e manter um repositório completo
e preciso de atributos de configuração e
linhas de base de ativos de TI, e compará-los
com a configuração real dos ativos
• Metas de atividade
– Estabelecer um repositório central para todos
os itens de configuração
– Identificar e manter itens de configuração
– Revisar a integridade de dados de
configuração
71 71
 Entrega e Suporte
DS10 – Gerenciar problemas
• Meta de processo
– Registrar, rastrear e resolver problemas operacionais,
investigar a causa raiz de todos os problemas
significativos e definir soluções para os problemas
• Metas de atividade
– Realizar análise da causa raiz dos problemas
reportados
– Analisar tendências
– Assumir a propriedade de problemas e desenvolver
sua solução

72 72
 Entrega e Suporte
DS11 – Gerenciar dados
• Meta de processo
– Manter os dados completos, precisos,
disponíveis e protegidos
• Metas de atividade
– Fazer backup de dados e testar sua
restauração
– Gerenciar o armazenamento de dados on-site
e off-site
– Descartar dados e equipamentos de forma
segura
73 73
 Entrega e Suporte
DS12 – Gerenciar o ambiente físico
• Meta de processo
– Prover e manter um ambiente físico
adequado para proteger ativos de TI de
acesso não autorizado, dano ou roubo
• Metas de atividade
– Implementar medidas de segurança física
– Selecionar e gerenciar instalações

74 74
 Entrega e Suporte
DS13 – Gerenciar operações
• Meta de processo
– Atender aos níveis de serviço operacionais
para o processamento de informações,
proteger saídas sensíveis e monitorar e
manter a infra-estrutura
• Metas de atividade
– Operar o ambiente de TI de acordo com os
níveis de serviço e procedimentos definidos
– Manter a infra-estrutura de TI
75 75
 Monitoramento
M1 – Monitorar e avaliar o desempenho da TI

• Meta de processo
– Monitorar e relatar métricas de processo e
identificar e implementar ações de melhoria
• Metas de atividade
– Coletar e traduzir relatórios de desempenho
de processos em relatórios gerenciais
– Revisar o desempenho de acordo com metas
predefinidas e iniciar ações corretivas
adequadas
76 76
 Monitoramento
M2 – Monitorar e avaliar controles internos
• Meta de processo
– Monitorar os processos de controle das
atividades de TI e identificar ações de melhoria
• Metas de atividade
– Definir um sistema de controles internos
embutidos no framework de processos de TI
– Monitorar e relatar sobre a efetividade dos
controles internos de TI
– Relatar exceções de controle para ação gerencial

77 77
 Monitoramento
M3 – Garantir conformidade com requisitos
• Meta de processo
– Identificar leis, regulamentos e contratos aplicáveis e
o nível de conformidade requerido de TI, e otimizar
processos para reduzir riscos de não-conformidade
• Metas de atividade
– Identificar requisitos legais, regulatórios e contratuais
relacionados a TI
– Avaliar o impacto de requisitos de conformidade
– Monitorar e relatar sobre a conformidade com os
requisitos

78 78
 Monitoramento
M4 – Prover governança de TI
• Meta de processo
– Preparar relatórios executivos sobre a
estratégia, desempenho e riscos de TI, e
responder a requisitos de governança
alinhado às diretrizes estratégicas
• Metas de atividade
– Estabelecer um framework de governança de
TI integrado à governança corporativa
– Obter garantia independente sobre o status
da governança de TI
79 79