Você está na página 1de 2

Framework do COBIT 4.

1 Objetivos de Controle
PO1 PO2 PO3 PO4 Definir um Plano Estratgico de TI Definir a Arquitetura de Informao Determinar a Direo Tecnolgica Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos PO10 Gerenciar Projetos

aprovados e suportados pela administrao. A comunicao suporta o atingimento dos objetivos da TI e assegura conscientizao e compreenso em relao do negcio e os riscos, objetivos e a direo da TI. O processo deve assegurar a conformidade com leis e regulamentos.

ME1 ME2 ME3 ME4

Monitorar e Avaliar a Performance de TI Monitorar e Avaliar Controle Interno Assegurar Conformidade Regulatria Fornecer Governana de TI

PO7 Gerenciar Recursos Humanos


Adquire, mantm e motiva uma fora de trabalho competente para criar e entregar servios da Ti para o negcio. Isso atingido seguindo praticas definidos e acordadas que suportam o recrutamento, treinamento, avaliao do desempenho, promoo e demisso. Este processo critico, como as pessoas so um ativo e de governana importante e o ambiente interno de controle depende bastante da motivao e competncia do pessoal.

PO8 Gerenciar Qualidade


Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de desenvolvimento e aquisio comprovado e padronizado. Isso habilitado atravs do planejamento, implem entao e manuteno do sistema de qualidade que provm requerimentos claros de qualidade, procedimentos e polticas. Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificveis e atingveis. Melhorias contnuas so atingidas atravs de um monitoramento operacional, analises e aes sobre desvios e a comunicao dos resultados para os stakeholders. Gerenciamento da qualidade essencial para assegurar que a TI entrega valor para o negcio, melhorias contnuas e transparncia para stakeholders.

PL ANEJAMEN TO E ORG AN IZA O

PO9 Avaliar e Gerenciar Riscos


MONI TORA O E AV ALIA O AQUI SI O E IMPLEMENTA O
Criar e manter um framework de gerenciamento de riscos. O framework documenta um nvel de riscos da TI comum e acordado, estratgias de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de m itigao de riscos devem ser adotadas para minimizar riscos residuais ao um nvel aceitvel. O resultado da avaliao deve ser compreensvel para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos com um nvel aceitvel de tolerncia.

ENTRE GA E S UPOR TE

PO10 Gerenciar Projetos


Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as entregveis, garantia de qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao para assegurar o gerenciamento de risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam investimentos em TI.

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Definir nveis de Servios Gerenciar Servios de Terceiros Gerenciar Performance e Capacidade Garantir Continuidade dos Servios Garantir Segurana dos Sistemas Identificar e Alocar Custos Educar e Treinar usurios Gerenciar Service Desk e Incidentes Gerenciar a Configurao Gerenciar Problemas Gerenciar Dados Gerenciar os Ambientes Fsicos Gerenciar Operaes

AI1 Identificar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter arquitetura tecnolgica AI4 Manter operao e uso AI5 Obter Recursos de TI AI6 Gerenciar mudanas AI7 Instalar e certificar Solues e Mudanas

AQUISIO E IMPLEMENTAO PLANEJAMENTO E ORG ANIZ AO


AI1 Identificar solues automatizadas PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor otimizado realizado atravs dos portfolios dos projetos e servios. O plano estratgico deve aumentar a compreenso dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portfolios e executadas atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo negcio e da TI. A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que os requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definio das necessidades, considerando fontes alternativas, reviso da viabilidade tecnolgica e econm ica, execuo de anlise de risco e anlise de custo / beneficio e a concluso de um a deciso final de fazer ou comprar. Todos estes passos habilitam a organizao de minim izar os custos de adquirir e implementar solues, enquanto asseguram que estes habilitam o negcio de atingir seus objetivos.

AI2 Adquirir e manter software aplicativo


Aplicaes devem estar disponveis em linha com os requerimentos de negcio. Este processo envolve o desenho de aplicaes, a incluso apropriada de controles de aplicao e requerimentos de segurana e o atual desenvolvimento e configurao conforme os padres. Isso permita as organizaes de suportar apropriadamente as operaes de negcio com as corretas aplicaes automatizadas.

PO2 Definir a Arquitetura de Informao


A funo dos sistemas de informao deve criar e atualizar regularmente um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso da informao. Isso inclua o desenvolvimento de um dicionrio coorporativo de dados com as regras de sintaxe da organizao, esquema de classificao de dados e nveis de segurana. Este processo melhora a qualidade de decises feitas pelas gerencias e assegura que informaes confiveis e seguras so providas e isso habilita de racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias de negcio. Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e segurana dos dados e melhorar a efetividade e controle sobre o compartilhamento de informao atravs de aplicaes e entidades.

AI3 Adquirir e manter arquitetura tecnolgica


Organizaes devem haver um processo para a aquisio, implementao e atualizao da infra-estrutura tecnolgica. Isso requer uma abordagem planejada para a aquisio, manuteno e proteo da infra-estrutura em linha com as estratgias tecnolgicas acordadas e a proviso de ambientes de desenvolvimento e teste. Isso assegura que o suporte tecnolgico operacional suporta as aplicaes de negcio.

AI4 Manter operao e uso PO3 Determinar a Direo Tecnolgica


A funo dos servios de informao deve determinar a direo tecnolgica para suportar o negcio. Isso requer a criao de um plano da infra-estrutura tecnolgica e um comit de arquitetura que fixa e gerencia expectativas claras e realsticas o que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistem as, direo tecnolgica, planos de aquisio, padres, estratgias de migrao e contingncia. Isso habilita uma resposta em tempo para mudar para um ambiente competitiva, economias em escala com o pessoal e os investim entos em sistemas de informao e um investimento que melhora a interoperabilidade de plataformas e aplicaes. Conhecimento sobre novos sistemas necessita de ser disponib ilizado. Este processo requer a produo de documentao e manuais para usurios e TI e prover treinamento que assegura o uso e a operao apropriado de aplicaes e infra-estrutura.

AI5 Obter Recursos de TI


Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos. Isso requer uma definio e sano de procedimentos de aquisio, a seleo de fornecedores, a realizao de arranjos contratuais e a aquisio em se. Fazer assim assegura que a organizao tem todos os recursos de TI requeridos em tempo e de maneira efetivo em custo.

AI6 Gerenciar mudanas PO4 Definir Processos de TI, Organizao e Relacionamento


Uma organizao da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funes, responsabilidade, autoridade, papeis e superviso. Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram transparncia e controle, como tambm envolvem os executivos snior e gerentes de negcio. Um com it estratgico deve assegurar uma viso geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determinar a priorizao dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos administrativos necessitam de ser implementadas para todas as funes, com ateno especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurana de informao, propriedade para dados e sistemas e segregao de direitos. Para assegurar um suporte em tempo para os requerimentos do negcio, a TI deve estar envolvida em processos relevantes de deciso. Todas as mudanas, inclusive mudanas emergenciais e correes, relacionados infra-estrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciados formalmente de uma maneira controlada. Mudanas (incluindo procedimentos, processos, sistemas e parmetros de servios) precisam ser registradas, avaliados e autorizadas antes de implementar e revisados em relao dos resultados planejados em seguida da implementao. Isso assegura a mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.

AI7 Instalar e certificar Solues e Mudanas


Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento completo. Isso requer testes apropriados em um ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes, promoo atual para a produo e revises ps-implementao. Isso assegura que sistemas operacionais esto em linha com as expectativas e resultados acordados.

PO5 Gerenciar o Investimento em TI


Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, um processo formal de oramentos e gerenciamento em relao dos oramentos. Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefcios dentro do contexto dos planos estratgicos e tticos da TI e iniciar aes corretivas quando necessrias. O processo deve favorecer os relacionamentos entre a TI e stakeholders do negcio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparncia e responsabilidade nos custos totais de propriedade, a relao do beneficio para o negcio e o retorno sobre investimentos que habilitam a TI.

PO6 Comunicar Metas e Diretivas Gerenciais


A administrao deve desenvolver um framework de controle empresarial da TI e definir e comunicar polticas. Um programa continua de comunicao deve ser implementada para articular a misso, objetivos de servio, polticas e procedimentos, etc.

Printed with FinePrint trial version - purchase at www.fineprint.com

ENTREG A E SUPORTE
DS1 Definir nveis de Servios
Comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao dos servios requeridos, habilitado atravs da documentao e o acordo de servios da TI e nveis de servios. Este processo tambm inclua o monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos nveis de servios. Este processo habilita o alinhamento entre os servios da TI o os requerimentos de negcio associados.

DS2

Gerenciar Servios de Terceiros

A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores no conformes.

DS3

Gerenciar Performance e Capacidade

A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previso das futuras necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingncia. Este processo provm a garantia que os recursos da informtica, que suportam os requerimentos de negcio, so continuamente avaliados.

DS4

Garantir Continuidade dos Servios

A necessidade de prover servios contnuos de TI requer o desenvolvimento, manuteno e testes de planos de continuidade da TI, armazenamento externo de backup e treinamento peridico para o plano de continuidade. Um processo efetivo da continuidade de servio minimiza a probabilidade e o impacto de interrupes maiores de servio sobre funes e processos de negcio.

DS5

Garantir Segurana dos Sistemas

A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento de segurana. Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e procedimentos da segurana de TI. Gerenciamento da segurana tambm inclui realizar monitoramento da segurana, testes peridicos e implementar aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana proteja todos os ativos da TI para minim izar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.

DS6

Identificar e Alocar Custos

A necessidade para um justo e imparcial sistema de alocar custos para o negcio requer a medio exata de custos da TI e acordos com usurios de negcio para uma alocao correta. Este processo inclua a criao e operao de um sistema de captura, alocao e reporte dos custos da TI para os usurios de servios. Um sistema justo de alocao habilita o negcio de fazer mais decises informadas em relao do uso de servios da TI.

DS7 Educar e Treinar usurios


Educao efetiva de todos os usurios de sistemas de TI, incluindo estes dentro da TI, requer a identificao das necessidades de treinamento de cada grupo de usurios. Em adio da identificao da necessidade, este processo inclua a definio e execuo de uma estratgia para um treinamento efetivo e medio de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo de erros de usurios, aumenta a produtividade e aumenta a conformidade com controles chaves como as medidas de segurana de usurios.

DS8

Gerenciar Service Desk e Incidentes

Respostas em tempo e efetivos para as perguntas e problemas dos usurios da TI requerem uma central de servio bem desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. O benefcio para o negcio inclua um aumento de produtividade atravs da resoluo rpido das perguntas dos usurios. Em adio, o negcio pode enderear causas raiz (como um pobre treinamento de usurios) atravs de um reporte efetivo.

DS9

Gerenciar a Configurao

Assegurar a integridade da configurao de hardware e software requer de estabelecer e manter um preciso e completo repositrio da configurao. Este processo inclua a coleta inicial de informao da configurao, estabelecer referncias, verificar e auditar a informao da configurao e atualizar o repositrio da configurao quando necessrio. Gerenciamento efetivo da configurao facilita a disponibilidade maior do sistema, minim izar assuntos de produo e resolver estes assuntos mais rpidos.

DS10 Gerenciar Problemas


Um gerenciamento efetivo de problemas requer a identificao e classificao de problemas, anlise da causa raiz e resoluo de problemas. O processo do gerenciamento de problemas tambm inclua a identificao de recomendaes para melhorar a manuteno de registros de problemas e revisar o status de aes corretivas. Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.

DS11 Gerenciar Dados


Gerenciamento efetivo de dados requer a identificao de requerimentos para dados. O processo de gerenciamento de dados tambm inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar mdias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do negc io.

DS12 Gerenciar os Ambientes Fsicos


A proteo para equipamentos de computao e pessoal requer instalaes bem desenhadas e bem gerenciadas. O processo de gerenciar o ambiente fsico inclua de definir os requerimentos para um lugar fsico, seleo de instalaes apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico. Gerenciamento efetivo do ambiente fsico reduz interrupes do negcio devida de danos nos equipamentos de computao e no pessoal.

DS13 Gerenciar Operaes


Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manuteno de hardware. Este processo inclua a definio de polticas e procedimentos operacionais para um gerenciamento efetivo da programao do processamento, proteo de output sensitivo, monitoramento da infra-estrutura e manuteno preventiva de hardware. Gerenciamento efetivo da operao ajuda de manter a integridade de dados e reduz atrasos no negcio e custos da operao da TI.

MO NITORAO E AVALIAO
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework gera l de monitoramento e uma abordagem que defina o escopo, metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do gerenciamento do portfolio empresarial e processos de programas gerenciais e estes processos que so especficos para entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia.

ME2 Monitorar e Avaliar Controle Interno


Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitorao bem definido. Este processo inclui monitorao e reporte de excees de controle, resultados da auto-avaliao e reviso de fornecedores (terceiros). Um benefcio principal do controle interno de monitorao fornecer segurana relacionada eficincia e eficcia das operacionais e conformidade com leis e regulamentos.

ME3 Assegurar Conformidade Regulatria


Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para garantir a conformidade com leis e r egulamentos. Este processo inclui definir um auditor independente, ti ca profissional e padres, pl anejamento, desempenho do trabal ho de auditoria, e reporte do acompanhamento das atividades de auditoria. O propsito deste processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulament os.

ME4 Fornecer Governana de TI


Estabelecer um framework efetivo de governana, incluindo a definio de estruturas organizacionais, processos, liderana, papeis e responsabilidades para assegurar que os investimentos em TI empresarial so alinhados e entregas de acordo com as estratgias e objetivos empresariais.

Printed with FinePrint trial version - purchase at www.fineprint.com