Cobit Foundation Resumo

Este material no pode ser distribudo. Somente poder ser utilizado por alunos do site TIEXAMES. www.tiexames.com.
br
Este material no pode ser distribudo. Somente poder ser utilizado por alunos do site TIEXAMES. www.tiexames.com.br
EXAME COBIT FOUNDATION 4.1 REVISO DOS PONTOS-CHAVE IMPORTANTE! O objetivo deste material revisar e memorizar os conceitos-chave da Governana de TI, Framework do COBIT e produtos relacionados para lhe preparar para o exame COBIT 4.1 Foundation da ISACA/ITGI. Este material serve apenas como reviso recomendvel que voc faa o curso e-learning da TIEXAMES e leia o material complementar disponibilizado na rea de links de referncia. garantido que muitos dos conceitos aqui abordados iro aparecer nas questes do exame.
REAS DE FOCO DA GOVERNANA DE TI

reas de foco da Governana de TI conforme o ITGI:
1. Alinhamento Estratgico Alinhando TI com o negcio e fornecendo solues colaborativas
Alinhamento Estratgico
Entrega de Valor
2. Entrega de Valor Executando a proposio de valor atravs do ciclo de entrega

Mensu rao de Dese mpenh o
Domnios da Governana de TI
Geren ciame nto de Riscos
3. Gerenciamento de Riscos Gerenciando riscos de TI, impactos das mudanas, segurana, conformidade.
Gerenciamento de Recursos
4. Gerenciamento de Recursos Otimizando o desenvolvimento e o uso de recursos disponveis.
GOVERNANA DE TI
PRINCIPAIS DESAFIOS DA TI Promover alinhamento entre TI e negcio Reduzir os custos da TI Gerenciar a complexidade da TI Proporcionar segurana da informao Aumentar a qualidade dos servios Gerenciar fornecedores externos Estar em conformidade com leis e regulamentos O QUE GOVERNANA DE TI um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI. O conselho de administrao e os executivos so responsveis pela Governana de TI. STAKEHOLDERS NA GOVERNANA DE TI So pessoas ou elementos relacionados com as operaes de TI, como: Fornecedores Usurios rgos pblicos Governo Acionistas Diretores/executivos/gerentes
5. Mensurao de Desempenho Monitoramento dos recursos para ao corretiva.
GERENCIAMENTO DE RISCOS Os riscos so gerenciados de quatro formas:
Mitigando riscos: implementar controles que protejam contra riscos. Por exemplo: implementao de um firewall de segurana. Transferindo riscos: compartilhar riscos com parceiros ou contratar seguro apropriado. Aceitando riscos: confirmar e monitorar riscos, e ter pronto um plano de resposta ao risco. Evitando riscos: adotar uma opo diferente que evite completamente o risco.
CARACTERSTICAS NECESSRIAS EM UM FRAMEWORK DE CONTROLE Um framework (estrutura) de controle de TI deve conter as seguintes caractersticas: Foco no negcio Orientao a processo Padro aceito Linguagem comum Requisitos regulatrios
BENEFCIOS DA GOVERNANA DE TI Confiana da alta administrao TI mais comprometida com o negcio Maior ROI (Retorno sobre o Investimento) Servios mais confiveis Mais transparncia
CRITRIOS DE INFORMAO
INTRODUO AO COBIT
CONCEITOS BSICOS COBIT = Control Objectives for Information and related Technology um framework (estrutura) e uma base de conhecimento para os processos de TI e seu gerenciamento No um padro definitivo deve ser adaptado para cada empresa um framework (estrutura) de controle que tem o propsito de assegurar que os recursos de TI estaro alinhados com os objetivos da organizao baseado na premissa de que a TI precisa entregar informao que a empresa necessita para atingir seus objetivos O princpio do framework COBIT o de prover um link entre as expectativas e as responsabilidades de gerenciamento de TI, com o objetivo de facilitar que a Governana de TI agregue valor TI enquanto gerencia riscos Faz com que a TI seja mais responsiva ao negcio MISSO DO COBIT Pesquisar, desenvolver, publicar e promover um conjunto de objetivos de controle para tecnologia que seja embasado, atual, internacional e aceito em geral para uso no diaa-dia de gerentes de negcio e auditores. O COBIT ATENDE AOS 5 REQUISITOS DE UM FRAMEWORK DE CONTROLE Define uma linguagem comum para TI e negcio Ajuda a atender aos requisitos regulatrios um padro aceito entre empresas orientado a processos focado nos requisitos de negcio COMPONENTES DO COBIT
Dica: decore isto, vai cair na prova!
Para satisfazer os objetivos de negcio as informaes precisam estar em conformidade com os critrios chamados Requisitos de Negcio. So eles: Requisitos de Qualidade Qualidade Custo Entrega
Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das operaes Confiabilidade das informaes Conformidade com leis e regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade
O COBIT mapeia os requisitos de negcio para informao em CRITRIOS DE INFORMAO:
PROCESSOS DE TI So 4 Domnios e 34 Processos de TI: 1. Planejamento e Organizao 2. Aquisio e Implementao 3. Entrega e Suporte 4. Monitorao e Avaliao
Eficcia (ou efetividade): ligado com relevncia e utilidade da informao. Eficincia: ligado com otimizao de recursos. Confiabilidade: ligado com informao correta. Conformidade: relacionado com conformidades a leis e regulamentos. Confidencialidade: relacionado com proteo e segurana da informao. Integridade: relacionado com validez da informao. Disponibilidade: informao disponibilizada quando requerida.
Decore os 3 critrios de informao relacionados segurana da informao: CID (Confidencialidade Integridade Disponibilidade)
RECURSOS DE TI Aplicativos: sistemas automatizados e procedimentos manuais para processar informaes. Informao: dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio usado pelo negcio. Infraestrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que seja necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Elas podem ser internas ou terceirizadas. COBIT X OUTROS PADRES O COBIT compatvel com outros padres este um benefcio da sua adoo O COBIT est em um nvel mais genrico, portanto pode ser utilizado para avaliar outros processos implementados por outros frameworks como ITIL e ISO 17799 O COBIT pode ser aplicado depois que outros padres de nvel mais operacional j estejam aplicados, j que o COBIT vai servir para auditar estes processos O COSO um framework para controle de interno e no somente de TI: pode ser utilizado em qualquer rea de negcio. J o COBIT especfico para TI mas est alinhado com o COSO O COBIT cobre todos os processos da ITIL, entretanto a ITIL mais detalhada O COBIT um framework que diz o que tem ser feito e no se preocupa em como fazer O COBIT atende aos requisitos regulatrios aos quais a empresa est submetida, por isto pode ser utilizado para cumprir a conformidade com a Sarbanes-Oxley
OBJETIVOS DE CONTROLE
Dica importante: baixe o framework do COBIT no site da ISACA e leia tudo sobre os processos PO10 e DS2.
Como framework de controle, o COBIT tem 2 focos:
1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio 2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que precisam ser gerenciados por processos de TI
MODELO DE PROCESSO DO COBIT
RESUMO DOS PROCESSOS MAIS IMPORTANTES

Domnio PO9 Assess and Manage IT Risks PO PO10 Manage Projects Envolve-se com todos os assuntos relacionados ao gerenciamento de projetos de TI. Preocupa-se em disponibilizar conhecimento sobre os novos sistemas. Este processo requer a produo de documentao e manuais para usurios e TI, e fornece treinamento aos usurios. Inclui todas as mudanas, inclusive as mudanas emergenciais relacionadas com a infraestrutura. Define os nveis de servios requeridos junto com os clientes, e monitora e emite relatrios para os stakeholders. Assegura os servios fornecidos por terceiros para que estes satisfaam as necessidades do negcio. Envolve-se com regras, responsabilidades e acordos com terceiros. Cria e mantm um framework de gerenciamento de riscos de TI. Todos os assuntos relacionados a riscos esto envolvidos neste processo. Processo Descrio
DIRETRIZES DE GERENCIAMENTO
As diretrizes de gerenciamento fornecem ferramentas para medir e comparar a capacidade para cada processo de TI.
Metas e mtricas o Medidas de resultado (outcome measures) o Indicadores de desempenho (performance indicators)
Recursos o Entradas e sadas para cada processo o Grfico RACI (matriz de responsabilidades)
AI4 Enable Operation and Use AI AI6 Manage Changes
MTRICAS As diretrizes de gerenciamento especificam medidas de resultado em forma de OMs (Outcome Measures) e medidas de performance em forma de PIs (Performance Indicators). Indicadores de performance (performance indicators)
DS1 Define and Manage Service Levels DS DS2 Manage Third-party Services
Medem como voc est fazendo. Tambm conhecidos como indicadores de tendncia.
Medidas de Medem o que voc tem feito. Tambm conhecidas como resultado indicadores de lag pelo fato de medirem somente aps o fato (outcome measures) ocorrido.
As diretrizes de gerenciamento do COBIT sugerem utilizar balanced business scorecards, os quais fornecem mtricas para alcanar as metas de TI. Um scorecard tem 4 dimenses que mapeiam metas e indicadores de performance:
GRFICO/TABELA RACI Para cada processo sugerido um grfico/tabela RACI com os responsveis por cada atividade:
RELACIONAMENTO ENTRE OS RECURSOS DO COBIT

Esta figura mostra como os componentes do COBIT se interrelacionam, fornecendo recursos para suportar governana, gesto e controle.
Metas de negcio
Informao
Requisitos
Decomposto em
TI Processos de TI
Metas
Controlado por
Medido por
Atividadeschave
Auditada por
Testes dos resultados dos controles
Derivado de
Objetivos de controle
Auditado com Pelo desempenho Executada pelo
Implantados com
Pela maturidade
Pelo resultado
Testes de desenho do controle
Prticas de controle
MODELOS DE MATURIDADE Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para determinado processo. A classificao vai de inexistente (0) a otimizado (5). Os modelos de maturidades fazem parte das diretrizes de gerenciamento e podem ser utilizados para fazer comparaes de maturidade com outras empresas.
Inexistente Inicial Reptivel 2 3 4 Definido Gerenciado 1 0 Otimizado 5
Baseado em
Grfico RACI Indicador de desempenho
Indicador de resultado
Modelo de maturidade
Legenda para os smbolos

Enterprise current status International standard guidelines Industry best practice Enterprise strategy
Legendas para o ranking

0 Processos de gerenciamento no so aplicados a todos 1 Processos so desorganizados 2 Processos seguem um padro regular 3 Processos so documentados e comunicados 4 Processos so monitorados e medidos 5 Melhores prticas so seguidas e automatizadas
Modelo genrico de maturidade

0 Inexistente No existem controles. 1 Inicial 2 Repetvel 3 Definido J existem processos, mas no h documentos nem padres. Processos padronizados, mas falta documentao e comunicao. Os processos so formalizados. Existe documentao, treinamento e comunicao definida.
Processos em aperfeioamento j fornecem boas prticas, mas faltam ferramentas de 4 Gerenciado automao. Os processos j esto refinados a partir das melhores prticas identificadas. Existe institucionalizao das melhores prticas. 5 Otimizado
O estgio de execuo subdivide-se em 6 etapas:
PRODUTOS DO ITGI
1 Dica importante: navegue pelo site da ISACA e pesquise um pouco mais sobre os produtos. Podem cair questes muito especficas sobre o que h dentro de cada produto. importante ter um overview.
Refinar o entendimento
Redefinir o escopo
Testar o desenho do controle
Testar os resultados
Documentar o impacto
Comunicar as recomendaes
PRTICAS DE CONTROLE As prticas de controle de TI fornecem detalhamento sobre como implementar objetivos de controle. COBIT ONLINE Apresenta informaes do COBIT na web. Ele possibilita que vrios usurios naveguem, pesquisem, compartilhem e utilizem a base de conhecimento. uma rea restrita aos assinantes. Principais recursos do COBIT Online: Download de arquivos PDF Benchmarking (para comparar sua empresa com outras) Questionrios de avaliao Comunidade para trocar ideias com outros usurios IT ASSURANCE GUIDE (GUIA DE GARANTIA) um guia de validao para profissionais que precisam de orientaes para garantir o funcionamento dos controles internos e melhoria de processos. Fornece conselhos sobre como testar o funcionamento de cada objetivo de controle, assegurando que os controles so suficientes e ajudando a documentar seus pontos fracos. O IT Assurance Guide oferece uma estrutura para o plano de auditoria/validao composta por trs estgios: Planejamento, Definio de Escopo e Execuo.
COBIT QUICKSTART uma verso compacta do COBIT para que a empresa consiga beneficiar-se de seu uso. direcionado para empresas de pequeno mdio porte.
IT IMPLEMENTATION GUIDE um roadmap para o conselho de administrao, a gerncia executiva, os profissionais de TI e controle, os profissionais de auditoria em TI e os gerentes de conformidade.
IT Governance Implementation Roadmap baseado no COBIT

Identifica necessidades
Conscientiza Define o escopo Define os riscos Define recursos e entregveis Planeja o programa
Visualiza a soluo
Avalia o programa Define metas de melhoria Analisa os gaps e identifica as melhorias
Planeja a soluo
Implementa a soluo
Operacionaliza a soluo
Define os projetos
Implementa as melhorias
Constri sustentabilidade
Desenvolve plano de melhoria
Monitora o desempenho da implementao
Identifica novos requisitos de
Revisa a eficcia do programa
A participao do negcio durante a Governana de TI essencial
PLA NE J MEN TO
Estabelece o universo de validao de TI para designar o que ser validado.
COBIT SECURITY BASELINE O COBIT Security Baseline fornece informaes sobre a segurana de uma maneira simples. um kit de sobrevivncia para diretores, executivos, gerentes e usurios profissionais e domsticos. Portanto, no guia tcnico para especialistas em segurana da informao.
VAL IT O framework do VAL IT baseado no COBIT. Seus princpios incluem governana de valor, gerenciamento de portflio e gerenciamento de investimentos.
ES CO PO
Define metas de negcio e de TI para o ambiente que ser revisado/auditado, e quais so os processos e recursos de TI necessrios para suportar estas metas.
EXE CU O
Guia os profissionais apresentando os principais testes a serem executados durante uma auditoria/validao.
Princpios do VAL IT: Os investimentos habilitados pela TI sero administrados como um portflio de investimentos Os investimentos habilitados pela TI incluiro um escopo completo de atividades que so necessrias para gerar valor ao negcio Os investimentos habilitados pela TI sero administrados atravs de todo o seu ciclo de vida econmico As prticas de entrega de valor reconhecero que existem diferentes categorias de investimentos, que sero avaliadas e administradas de maneiras diferentes As prticas de entrega de valor iro definir e monitorar mtricas-chave e respondero rapidamente a quaisquer mudanas ou divergncias
As prticas de entrega de valor devem engajar todos os stakeholders e definir uma prestao de contas apropriada sobre a entrega de capacidades e obteno de benefcios de negcio As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas ME1 ME2 ME3 ME4
Monitorar e Avaliar a Performance de TI Monitorar e Avaliar Controle Interno Assegurar Conformidade Regulatria Fornecer Governana de TI
Framework do COBIT 4.1 Objetivos de Controle
PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura de Informao PO3 Determinar a Direo Tecnolgica PO4 Definir Processos de TI, Organizao e Relacionamento PO5 Gerenciar o Investimento em TI PO6 Comunicar Metas e Diretivas Gerenciais PO7 Gerenciar Recursos Humanos PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Riscos PO10 Gerenciar Projetos
PLANEJAMENTO E ORGANIZAO
MONITORAO E AVALIAO
AQUISIO E IMPLEMENTAO
ENTREGA E SUPORTE
DS1 Definir nveis de Servios DS2 Gerenciar Servios de Terceiros DS3 Gerenciar Performance e Capacidade DS4 Garantir Continuidade dos Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar usurios DS8 Gerenciar Service Desk e Incidentes DS9 Gerenciar a Configurao DS10 Gerenciar Problemas DS11 Gerenciar Dados DS12 Gerenciar os Ambientes Fsicos DS13 Gerenciar Operaes
AI1 Identificar solues automatizadas AI2 Adquirir e manter software aplicativo AI3 Adquirir e manter arquitetura tecnolgica AI4 Manter operao e uso AI5 Obter Recursos de TI AI6 Gerenciar mudanas AI7 Instalar e certificar Solues e Mudanas
PLANEJAMENTO E ORGANIZAO
PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor otimizado realizado atravs dos portfolios dos projetos e servios. O plano estratgico deve aumentar a compreenso dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portfolios e executadas atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo negcio e da TI.
responsabilidade nos custos totais de propriedade, a relao do beneficio para o negcio e o retorno sobre investimentos que habilitam a TI.
PO6 Comunicar Metas e Diretivas Gerenciais
A administrao deve desenvolver um framework de controle empresarial da TI e definir e comunicar polticas. Um programa continua de comunicao deve ser implementada para articular a misso, objetivos de servio, polticas e procedimentos, etc. aprovados e suportados pela administrao. A comunicao suporta o atingimento dos objetivos da TI e assegura conscientizao e compreenso em relao do negcio e os riscos, objetivos e a direo da TI. O processo deve assegurar a conformidade com leis e regulamentos.
PO7 Gerenciar Recursos Humanos
PO2 Definir a Arquitetura de Informao

A funo dos sistemas de informao deve criar e atualizar regularmente um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso da informao. Isso inclua o desenvolvimento de um dicionrio coorporativo de dados com as regras de sintaxe da organizao, esquema de classificao de dados e nveis de segurana. Este processo melhora a qualidade de decises feitas pelas gerencias e assegura que informaes confiveis e seguras so providas e isso habilita de racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias de negcio. Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e segurana dos dados e melhorar a efetividade e controle sobre o compartilhamento de informao atravs de aplicaes e entidades.
Adquire, mantm e motiva uma fora de trabalho competente para criar e entregar servios da Ti para o negcio. Isso atingido seguindo praticas definidos e acordadas que suportam o recrutamento, treinamento, avaliao do desempenho, promoo e demisso. Este processo critico, como as pessoas so um ativo e de governana importante e o ambiente interno de controle depende bastante da motivao e competncia do pessoal.
PO8 Gerenciar Qualidade
PO3 Determinar a Direo Tecnolgica

A funo dos servios de informao deve determinar a direo tecnolgica para suportar o negcio. Isso requer a criao de um plano da infra-estrutura tecnolgica e um comit de arquitetura que fixa e gerencia expectativas claras e realsticas o que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direo tecnolgica, planos de aquisio, padres, estratgias de migrao e contingncia. Isso habilita uma resposta em tempo para mudar para um ambiente competitiva, economias em escala com o pessoal e os investimentos em sistemas de informao e um investimento que melhora a interoperabilidade de plataformas e aplicaes.
Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de desenvolvimento e aquisio comprovado e padronizado. Isso habilitado atravs do planejamento, implementao e manuteno do sistema de qualidade que provm requerimentos claros de qualidade, procedimentos e polticas. Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificveis e atingveis. Melhorias contnuas so atingidas atravs de um monitoramento operacional, analises e aes sobre desvios e a comunicao dos resultados para os stakeholders. Gerenciamento da qualidade essencial para assegurar que a TI entrega valor para o negcio, melhorias contnuas e transparncia para stakeholders.
PO9 Avaliar e Gerenciar Riscos
PO4 Definir Processos de TI, Organizao e Relacionamento

Uma organizao da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funes, responsabilidade, autoridade, papeis e superviso. Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram transparncia e controle, como tambm envolvem os executivos snior e gerentes de negcio. Um comit estratgico deve assegurar uma viso geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determinar a priorizao dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos administrativos necessitam de ser implementadas para todas as funes, com ateno especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurana de informao, propriedade para dados e sistemas e segregao de direitos. Para assegurar um suporte em tempo para os requerimentos do negcio, a TI deve estar envolvida em processos relevantes de deciso.
Criar e manter um framework de gerenciamento de riscos. O framework documenta um nvel de riscos da TI comum e acordado, estratgias de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao de riscos devem ser adotadas para minimizar riscos residuais ao um nvel aceitvel. O resultado da avaliao deve ser compreensvel para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos com um nvel aceitvel de tolerncia.
PO10 Gerenciar Projetos
Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as entregveis, garantia de qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao para assegurar o gerenciamento de risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam investimentos em TI.
PO5 Gerenciar o Investimento em TI

Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, um processo formal de oramentos e gerenciamento em relao dos oramentos. Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefcios dentro do contexto dos planos estratgicos e tticos da TI e iniciar aes corretivas quando necessrias. O processo deve favorecer os relacionamentos entre a TI e stakeholders do negcio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparncia e
AQUISIO E IMPLEMENTAO
AI1 Identificar solues automatizadas
A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que os requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definio das necessidades, considerando fontes alternativas, reviso da viabilidade tecnolgica e econmica, execuo de anlise de risco e anlise de custo / beneficio e a concluso de uma deciso final de fazer ou comprar. Todos estes passos habilitam a organizao de minimizar os custos de adquirir e implementar solues, enquanto asseguram que estes habilitam o negcio de atingir seus objetivos.
ENTREGA E SUPORTE
DS1 Definir nveis de Servios
Comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao dos servios requeridos, habilitado atravs da documentao e o acordo de servios da TI e nveis de servios. Este processo tambm inclua o monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos nveis de servios. Este processo habilita o alinhamento entre os servios da TI o os requerimentos de negcio associados.
DS2 Gerenciar Servios de Terceiros
AI2 Adquirir e manter software aplicativo

Aplicaes devem estar disponveis em linha com os requerimentos de negcio. Este processo envolve o desenho de aplicaes, a incluso apropriada de controles de aplicao e requerimentos de segurana e o atual desenvolvimento e configurao conforme os padres. Isso permita as organizaes de suportar apropriadamente as operaes de negcio com as corretas aplicaes automatizadas.
A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores no conformes.
DS3 Gerenciar Performance e Capacidade
AI3 Adquirir e manter arquitetura tecnolgica

Organizaes devem haver um processo para a aquisio, implementao e atualizao da infraestrutura tecnolgica. Isso requer uma abordagem planejada para a aquisio, manuteno e proteo da infra-estrutura em linha com as estratgias tecnolgicas acordadas e a proviso de ambientes de desenvolvimento e teste. Isso assegura que o suporte tecnolgico operacional suporta as aplicaes de negcio.
A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previso das futuras necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingncia. Este processo provm a garantia que os recursos da informtica, que suportam os requerimentos de negcio, so continuamente avaliados.
DS4 Garantir Continuidade dos Servios
AI4 Manter operao e uso

Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produo de documentao e manuais para usurios e TI e prover treinamento que assegura o uso e a operao apropriado de aplicaes e infra-estrutura.
A necessidade de prover servios contnuos de TI requer o desenvolvimento, manuteno e testes de planos de continuidade da TI, armazenamento externo de backup e treinamento peridico para o plano de continuidade. Um processo efetivo da continuidade de servio minimiza a probabilidade e o impacto de interrupes maiores de servio sobre funes e processos de negcio.
DS5 Garantir Segurana dos Sistemas
AI5 Obter Recursos de TI

Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos. Isso requer uma definio e sano de procedimentos de aquisio, a seleo de fornecedores, a realizao de arranjos contratuais e a aquisio em se. Fazer assim assegura que a organizao tem todos os recursos de TI requeridos em tempo e de maneira efetivo em custo.
A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento de segurana. Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e procedimentos da segurana de TI. Gerenciamento da segurana tambm inclui realizar monitoramento da segurana, testes peridicos e implementar aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana proteja todos os ativos da TI para minimizar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.
AI6 Gerenciar mudanas

Todas as mudanas, inclusive mudanas emergenciais e correes, relacionados infra-estrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciados formalmente de uma maneira controlada. Mudanas (incluindo procedimentos, processos, sistemas e parmetros de servios) precisam ser registradas, avaliados e autorizadas antes de implementar e revisados em relao dos resultados planejados em seguida da implementao. Isso assegura a mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.
DS6 Identificar e Alocar Custos
A necessidade para um justo e imparcial sistema de alocar custos para o negcio requer a medio exata de custos da TI e acordos com usurios de negcio para uma alocao correta. Este processo inclua a criao e operao de um sistema de captura, alocao e reporte dos custos da TI para os usurios de servios. Um sistema justo de alocao habilita o negcio de fazer mais decises informadas em relao do uso de servios da TI.
AI7 Instalar e certificar Solues e Mudanas

Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento completo. Isso requer testes apropriados em um ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes, promoo atual para a produo e revises ps-implementao. Isso assegura que sistemas operacionais esto em linha com as expectativas e resultados acordados.
DS7 Educar e Treinar usurios
Educao efetiva de todos os usurios de sistemas de TI, incluindo estes dentro da TI, requer a identificao das necessidades de treinamento de cada grupo de usurios. Em adio da identificao da necessidade, este processo inclua a definio e execuo de uma estratgia para um treinamento efetivo e medio de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo de erros de usurios, aumenta a produtividade e aumenta a conformidade com controles chaves como as medidas de segurana de usurios.
DS8 Gerenciar Service Desk e Incidentes
Respostas em tempo e efetivos para as perguntas e problemas dos usurios da TI requerem uma central de servio bem desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. O benefcio para o negcio inclua um aumento de produtividade atravs da resoluo rpido das perguntas dos usurios. Em adio, o negcio pode enderear causas raiz (como um pobre treinamento de usurios) atravs de um reporte efetivo.
DS9 Gerenciar a Configurao
Assegurar a integridade da configurao de hardware e software requer de estabelecer e manter um preciso e completo repositrio da configurao. Este processo inclua a coleta inicial de informao da configurao, estabelecer referncias, verificar e auditar a informao da configurao e atualizar o repositrio da configurao quando necessrio. Gerenciamento efetivo da configurao facilita a disponibilidade maior do sistema, minimizar assuntos de produo e resolver estes assuntos mais rpidos.
DS10 Gerenciar Problemas
Um gerenciamento efetivo de problemas requer a identificao e classificao de problemas, anlise da causa raiz e resoluo de problemas. O processo do gerenciamento de problemas tambm inclua a identificao de recomendaes para melhorar a manuteno de registros de problemas e revisar o status de aes corretivas. Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.
DS11 Gerenciar Dados
Gerenciamento efetivo de dados requer a identificao de requerimentos para dados. O processo de gerenciamento de dados tambm inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar mdias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do negcio.
DS12 Gerenciar os Ambientes Fsicos
A proteo para equipamentos de computao e pessoal requer instalaes bem desenhadas e bem gerenciadas. O processo de gerenciar o ambiente fsico inclua de definir os requerimentos para um lugar fsico, seleo de instalaes apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico. Gerenciamento efetivo do ambiente fsico reduz interrupes do negcio devida de danos nos equipamentos de computao e no pessoal.
DS13 Gerenciar Operaes
Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manuteno de hardware. Este processo inclua a definio de polticas e procedimentos operacionais para um gerenciamento efetivo da programao do processamento, proteo de output sensitivo, monitoramento da infra-estrutura e manuteno preventiva de hardware. Gerenciamento efetivo da operao ajuda de manter a integridade de dados e reduz atrasos no negcio e custos da operao da TI.
MONITORAO E AVALIAO
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo, metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do gerenciamento do portfolio empresarial e processos de programas gerenciais e estes processos que so especficos para entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia.
ME2 Monitorar e Avaliar Controle Interno
Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitorao bem definido. Este processo inclui monitorao e reporte de excees de controle, resultados da auto-avaliao e reviso de fornecedores (terceiros). Um benefcio principal do controle interno de monitorao fornecer segurana relacionada eficincia e eficcia das operacionais e conformidade com leis e regulamentos.
ME3 Assegurar Conformidade Regulatria
Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, tica profissional e padres, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento das atividades de auditoria. O propsito deste processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos.
ME4 Fornecer Governana de TI

Estabelecer um framework efetivo de governana, incluindo a definio de estruturas organizacionais, processos, liderana, papeis e responsabilidades para assegurar que os investimentos em TI empresarial so alinhados e entregas de acordo com as estratgias e objetivos empresariais.
DESCRIO DO PROCESSO
Serve para criar uma estrutura de programa e gerenciamento de projetos para o gerenciamento de todos os projetos de TI estabelecidos. A estrutura garante priorizao correta e coordenao de todos os projetos. Esta estrutura inclui plano mestre, alocao de recursos, definio de entregveis, aprovao pelos usurios, abordagem por fases para entrega, qualidade, plano de testes, reviso ps-implementao e testes aps a instalao para assegurar o gerenciamento de riscos e a entrega de valor para o negcio.
Controle sobre o processo de TI de Gerenciar projetos Que satisfaz os requisitos de negcio para TI Entregando os projetos dentro do prazo, custo e qualidade Focando em Um programa definido e uma abordagem para gerenciamento de projetos que so aplicados aos projetos de TI, que habilitam o envolvimento das partes interessadas no monitoramento de riscos do projeto e progresso alcanado Definindo e reforando estruturas de programa e abordagem para gerenciamento de projetos Liberando diretrizes de gerenciamento de projetos Fazendo o planejamento de projeto para cada projeto do portflio medido por Percentual de projetos atendendo s expectativas das partes interessadas Percentual de projetos recebendo revises ps-implementao Percentual de projetos seguindo padres e prticas de gerenciamento de projetos
PO10 GERENCIAR PROJETOS
PO10.1 Framework de Gerenciamento de Programa Manter o programa de projetos relacionados ao portflio de programas de investimento de TI. Fazer isso identificando, definindo, avaliando, priorizando, selecionando, iniciando, gerenciando e controlando projetos. Assegurar que os projetos suportam os objetivos do programa. Coordenar as atividades e interdependncias de mltiplos projetos, gerenciar a contribuio dos projetos do programa para os entregveis esperados e resolver conflitos relacionados a requisitos de recursos. PO10.2 Framework de Gerenciamento de Projeto Estabelecer e manter um framework de gerenciamento de projeto que defina o escopo e os limites do gerenciamento, assim como o mtodo a ser adotado e aplicado a cada projeto. O framework e o mtodo de suporte devem estar integrados ao processo de gerenciamento de programa. PO10.3 Abordagem de Gerenciamento de Projeto Estabelecer uma abordagem de gerenciamento de projeto compatvel com o tamanho, a complexidade e os requisitos regulatrios de cada projeto. A estrutura de governana do projeto pode incluir os papis e responsabilidades do patrocinador do programa, dos patrocinadores do projeto, do comit de direo, do escritrio de projetos e do gerente de projetos, e os mecanismos atravs dos quais eles podero cumprir essas tarefas (como, por exemplo, fazer relatrios e reviso de estgios). Certificar-se de que todos os projetos de TI tm patrocinadores com autoridade suficiente para serem proprietrios da execuo do projeto dentro do programa estratgico geral. PO10.4 Comprometimento das Partes Interessadas Obter comprometimento e participao dos stakeholders afetados na definio e execuo do projeto dentro do contexto do programa geral de investimento de TI. PO10.5 Declarao de Escopo do Projeto Definir e documentar a natureza e o escopo do projeto para confirmar e desenvolver, entre os stakeholders, um entendimento comum do escopo do projeto e de como ele se relaciona com outros projetos dentro do programa geral de investimento de TI. A definio deve ser aprovada formalmente pelos patrocinadores do programa e do projeto antes do incio do projeto. PO10.6 Incio de Fase do Projeto Aprovar o incio de cada fase principal do projeto e comunic-lo a todos os stakeholders. Basear a aprovao da fase inicial em decises da governana de programa. A aprovao de fases seguintes deve ser baseada na anlise e na aceitao dos entregveis da fase anterior e na aprovao de um business case atualizado na prxima reviso do programa. Em caso de sobreposio de fases do projeto, um ponto de aprovao deve ser estabelecido pelos patrocinadores do programa e do projeto, para autorizar seu andamento. PO10.7 Plano Integrado do Projeto Estabelecer um plano integrado de projeto, formal e aprovado (que cubra recursos de negcio e de sistemas de informao), para guiar e controlar a execuo do projeto atravs de seu ciclo de vida. As atividades e interdependncias de mltipos projetos dentro de um programa devem ser entendidas e documentadas. O plano do projeto deve ser mantido durante seu ciclo de vida. O plano de projeto e suas alteraes
devem ser aprovados em conformidade com o programa e com o framework de governana de projeto.
PO10.8 Recursos do Projeto Definir responsabilidades, relacionamentos, autoridades e critrios de desempenho dos membros da equipe do projeto, e especificar a base para obter e designar membros do staff e/ou contratados para o projeto. A aquisio de produtos e servios necessrios para cada projeto deve ser planejada e gerenciada para atingir os objetivos do projeto usando as prticas de aquisio da organizao.
PO10.9 Gerenciamento de Risco do Projeto Eliminar ou minimizar os riscos especficos associados a projetos individuais atravs de um processo sistemtico de planejamento, identificao, anlise, resposta, monitoramento e controle das reas ou eventos que tenham potencial para causar mudanas indesejadas. Os riscos enfrentados pelo processo de gerenciamento de projetos e pelo entregvel do projeto devem ser estabelecidos e registrados.
PO10.10 Plano de Qualidade do Projeto Preparar um plano de gerenciamento de qualidade que descreva o sistema de qualidade do projeto e como ele ser implementado. O plano deve ser revisado formalmente, e todas as partes interessadas devem formalmente concordar com ele e incorpor-lo no plano integrado do projeto.
PO10.11 Controle de Mudanas do Projeto Estabelecer um sistema de controle de mudana para cada projeto, para que todas as alteraes feitas linha de base (como custo, cronograma, escopo, qualidade) sejam devidamente revisadas, aprovadas e incorporadas ao plano integrado do projeto de acordo com o programa e com o framework de governana de projeto.
PO10.12 Planejamento de Mtodos de Garantia do Projeto Identificar tarefas de garantia necessrias para suportar a acreditao de sistemas novos ou modificados durante o planejamento do projeto, e inclu-las no plano integrado do projeto. Estas tarefas devem fornecer garantias de que os controles internos e as funes de segurana cumprem os requisitos definidos.
PO10.13 Mtricas, Relatrios e Monitoramento do Projeto Medir a performance do projeto contra os critrios de cronograma, qualidade, custos e riscos do projeto-chave. Identificar desvios do plano. Avaliar o impacto dos desvios no projeto e no programa geral, e reportar os resultados aos stakeholders principais. Recomendar, implementar e monitorar aes corretivas (quando requeridas) alinhadas ao o programa e ao framework de governana de projeto.
PO10.14 Fechamento do Projeto Requerer que, no final de cada projeto, os stakeholders confirmem se o projeto entregou os resultados e benefcios planejados. Identificar e comunicar quaisquer atividades extraordinrias necessrias para alcanar os resultados do projeto e os benefcios do programa planejados, e identificar e documentar lies aprendidas para uso em futuros projetos e programas.
MODELO DE MATURIDADE
O gerenciamento do processo gerenciar projetos que satisfaa o requisito do negcio para a TI assegurando a entrega de resultados do projeto dentro de um perodo de tempo, oramento e qualidade combinados :
0 Inexistente quando Tcnicas de gerenciamento de projeto no so usadas e a organizao no considera os impactos no negcio associados com a m administrao de projetos e as falhas de desenvolvimento.
1 Inicia / Ad Hoc quando O uso de tcnicas e abordagens de gerenciamento de projeto dentro da TI uma deciso deixada aos gerentes de TI individualmente. H uma falta de comprometimento gerencial para com a propriedade e gerenciamento do projeto. Decises crticas em gerenciamento de projeto so tomadas sem participao do gerenciamento do usurio ou cliente. Existe pouco ou nenhum envolvimento do cliente/usurio em definir projetos de TI. No existe nenhuma organizao clara dentro da TI para o gerenciamento de projetos. Os papis e responsabilidades para o gerenciamento de projetos no so definidos. Projetos, programaes e pontos de verificao so pobremente definidos, se que existem. O tempo e as despesas de staff do projeto no so verificados e nem comparados aos oramentos.
2 Repetvel mais intuitivo quando A gerncia snior adquiriu e comunicou a conscientizao da necessidade de gerenciamento de projetos de TI. A organizao est na fase de desenvolver e aproveitar algumas tcnicas e mtodos de projeto a projeto. Os projetos de TI tm objetivos de negcio e tcnicos definidos informalmente. Existe um envolvimento limitado das partes interessadas no gerenciamento do projetos de TI. Diretrizes iniciais foram desenvolvidas para muitos aspectos do gerenciamento de projeto. A aplicao de diretrizes de gerenciamento de projeto deixada a critrio do gerente individual do projeto.
3 Definido quando O processo e a metodologia de gerenciamento de projetos de TI foram estabelecidos e comunicados. Os projetos de TI so definidos com objetivos tcnicos e de negcio apropriados. A gerncia snior de TI e do negcio esto comeando a se comprometer e se envolver no gerenciamento de projetos de TI. Um escritrio de gerenciamento de projeto estabelecido dentro da TI, com papis iniciais e responsabilidades definidas. Os projetos de TI so monitorados, com marcos, cronograma, oramento e medio de desempenho definidos e atualizados. O treinamento do gerenciamento de projeto est disponvel. O treinamento do gerenciamento de projeto primeiramente um resultado de iniciativas individuais da equipe. Os procedimentos da garantia de qualidade e atividades de implementao ps-sistema foram definidos, mas no so totalmente aplicados pelos gerentes de TI. Os projetos esto comeando a ser administrados como portflios.
4 Gerenciado e mensurvel quando O gerenciamento requer mtricas de projeto formais e padronizadas e lies aprendidas a serem revistas na concluso do projeto. O gerenciamento do projeto medido e avaliado por toda a organizao e no somente dentro da TI. Avanos no processo de gerenciamento de projeto so formalizados e comunicados aos membros da equipe do projeto treinados nos avanos. O gerenciamento de TI implementou uma estrutura de organizao de projeto com papis documentados, responsabilidades e critrios de desempenho da equipe. Os critrios para avaliar o sucesso em cada ponto de verificao foram estabelecidos. Valor e risco so medidos e gerenciados antes,
durante e aps a concluso dos projetos. Os projetos crescentemente direcionam-se s metas da organizao, mais do aqueles especficos para a TI. Existe um suporte de projeto forte e ativo para gerenciamento de patrocinadores, assim como de partes interessadas. O treinamento de gerenciamento relevante de projeto planejado para os funcionrios no escritrio de gerenciamento de projeto e atravs da funo de TI.
estabelecer relacionamentos e responsabilidades bilaterais com os fornecedores de servio qualificado de terceiros e monitorar a entrega de servio para verificar e assegurar aderncia aos acordos
alcanado Identificando e categorizando fornecedores de servios Identificando e mitigando risco de fornecedores Monitorando e mensurando desempenho do fornecedor
5 Otimizado quando Um ciclo de vida do projeto completo aprovado e uma metodologia de programa implementada, imposta e integrada na cultura de toda a organizao. Uma iniciativa contnua para identificar e institucionalizar melhores prticas de gerenciamento de projeto foi implementada. Uma estratgia de TI para fornecimento de projetos operacionais e de desenvolvimento definida e implementada. Um escritrio de gerenciamento de projeto integrado responsvel por projetos e programas do incio at a ps-implementao. O planejamento de programas e projetos globais da organizao assegura que os recursos do usurio e de TI sejam melhor utilizados para apoiar iniciativas estratgicas.
medido por Nmero de reclamaes de usurio devido a servios contratados Porcentagem dos principais fornecedores alcanando requisitos e nveis de servio claramente definidos Porcentagem dos principais fornecedores sujeitos a monitorao
DESCRIO DO PROCESSO
A necessidade de assegurar que servios fornecidos por terceiros (fornecedores, vendedores e parceiros) alcancem os requisitos do negcio requer um processo eficaz de gerenciamento de terceiros. Este processo claramente realizado definindo os papis, responsabilidades e expectativas em acordos de terceiros como a reviso e o monitoramento de tais acordos para a eficcia e a conformidade. O gerenciamento eficaz de servios de terceiros minimiza o risco do negcio associado com o mau desempenho dos fornecedores.
Controle sobre o processo de TI de Gerenciar servios de terceiros Que satisfaz o requisito do negcio para a TI Fornecendo servios satisfatrios de terceiros sendo transparente sobre benefcios, custos e riscos Focando em
DS2 GERENCIAR SERVIOS DE TERCEIROS
DS2.1 Identificao de Relacionamentos com Fornecedores Identificar todos os servios de fornecedores e classific-los de acordo com o tipo, importncia e criticidade de cada fornecedor. Manter documentao formal sobre relacionamentos tcnicos e organizacionais cobrindo papis e responsabilidades, metas, entregveis esperados e credenciais dos representantes destes fornecedores. DS2.2 Gerenciamento de Relacionamento com Fornecedores Formalizar o processo de gerenciamento de relacionamento para cada fornecedor. Os responsveis devem se comunicar sobre assuntos ligados relao cliente-fornecedor para que seja assegurada uma relao baseada em confiana e transparncia (por exemplo, atravs de Acordos de Nvel de Servio). DS2.3 Gerenciamento de Risco de Fornecedor Identificar e mitigar os riscos relacionados habilidade do fornecedor de prestar servios de maneira eficiente e segura continuamente. Assegurar que os contratos estejam em conformidade com padres universais de negcios em relao legalidade e a requisitos regulatrios. O gerenciamento de riscos deve ainda considerar acordos de confidencialidade, documentos sob custdia de terceiros, viabilidade continuada de fornecedor, conformidade com requisitos de segurana, fornecedores alternativos, multas e recompensas, etc. DS2.4 Monitoramento de Performance de Fornecedor Estabelecer um processo para monitorar a acompanhar a prestao de servios para garantir que o fornecedor esteja cumprindo os requisitos atuais do negcio e continuando a seguir os contratos e Acordos de Nvel de Servio, e que sua performance esteja em um nvel competitivo com fornecedores alternativos e condies de mercado.
MODELO DE MATURIDADE
O gerenciamento do processo Gerenciar Servios de Terceiros que satisfaz os requisitos de TI do negcio de prover servios terceirizados satisfatrios sendo transparente sobre benefcios, custos e riscos significa: 0 - Inexistente quando Quando responsabilidades no esto definidas. No existem polticas e procedimentos formais sobre contratao de terceiros. Servios de terceiros no so revisados nem aprovados pela gerncia. No h atividades de avaliao nem de reporte e a alta gerncia no fica ciente da qualidade do servio prestado. 1 - Inicial/Ad hoc quando Quando a gerncia est consciente da necessidade de ter polticas e procedimentos documentados para o gerenciamento de terceiros, incluindo contratos. No existem clusulas-padro para acordos com prestadores de servios. A avaliao dos servios prestados informal e reativa. As prticas dependem da experincia do indivduo e do fornecedor. 2 - Repetvel mas intuitivo quando Quando o processo de supervisionar prestadores de servios terceirizados, riscos associados e entrega de servios informal. Faz-se uso de um contrato pr-forma com termos e condies padro (por exemplo, a descrio dos servios a serem prestados). Relatrios sobre os servios prestados esto disponveis, mas no suportam os objetivos do negcio. 3 Definido quando Quando h procedimentos documentados com processos claros de negociao que regem servios de terceiros. Quando feito um acordo para prestao de servios, o relacionamento com o terceirizado puramente contratual. A natureza dos servios a serem prestados detalhada no contrato e inclui requisitos legais e operacionais. A responsabilidade de supervisionar servios de terceiros atribuda. Clusulas contratuais so baseadas em modelos padronizados. O risco do negcio associado aos servios de terceiros avaliado e reportado. 4 - Gerenciado e Mensurvel quando Quando critrios formais e normalizados so estabelecidos para definir as condies do contrato, incluindo escopo do trabalho, servios e entregveis a serem fornecidos, pressupostos, cronograma, custos, formas de cobrana e responsabilidades. A responsabilidade de gerenciar contrato e fornecedor atribuda. Qualificaes, riscos e capacidades do fornecedor so verificados continuamente. Requisitos de servio so definidos e relacionados aos objetivos do negcio. Existe um processo de reviso de performance de servio contra as clusulas contratuais que fornece entradas para avaliar servios atuais e futuros. Modelos de transferncia de preos so utilizados no processo de aquisio. Todas as partes envolvidas esto cientes das expectativas quanto a servio, custo e marcos. Existem metas e mtricas acordadas para a superviso de prestadores de servios. 5 Otimizado quando Quando contratos assinados com terceiros so revisados periodicamente em intervalos pr-definidos. A responsabilidade de gerenciar fornecedores e qualidade dos servios prestados atribuda. Monitoram-se a observncia e o cumprimento das clusulas contratuais operacionais, legais e de controle, e aes corretivas so realizadas. O terceirizado est sujeito a revises peridicas independentes, e um feedback sobre seu desempenho utilizado para melhorar a entrega do servio. Avaliaes variam de acordo com as condies mutveis do negcio, e suportam a deteco precoce de problemas potenciais com servios terceirizados. A remunerao
do terceirizado est ligada a uma reporte abrangente do nvel de servio realizado. Baseada em mtricas, a gerncia ajusta o processo de aquisio e monitoramento de servios terceirizados.

Cobit Foundation Resumo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Cobit Foundation Resumo

Enviado por

Direitos autorais:

Formatos disponíveis

Este material no pode ser distribudo. Somente poder ser utilizado por alunos do site TIEXAMES. www.tiexames.com.

REAS DE FOCO DA GOVERNANA DE TI

1. Alinhamento Estratgico Alinhando TI com o negcio e fornecendo solues colaborativas

2. Entrega de Valor Executando a proposio de valor atravs do ciclo de entrega

Geren ciame nto de Riscos

4. Gerenciamento de Recursos Otimizando o desenvolvimento e o uso de recursos disponveis.

5. Mensurao de Desempenho Monitoramento dos recursos para ao corretiva.

GERENCIAMENTO DE RISCOS Os riscos so gerenciados de quatro formas:

Dica: decore isto, vai cair na prova!

O COBIT mapeia os requisitos de negcio para informao em CRITRIOS DE INFORMAO:

Como framework de controle, o COBIT tem 2 focos:

MODELO DE PROCESSO DO COBIT

RESUMO DOS PROCESSOS MAIS IMPORTANTES

AI4 Enable Operation and Use AI AI6 Manage Changes

RELACIONAMENTO ENTRE OS RECURSOS DO COBIT

Testes dos resultados dos controles

Auditado com Pelo desempenho Executada pelo

Testes de desenho do controle

Legenda para os smbolos

Legendas para o ranking

Modelo genrico de maturidade

O estgio de execuo subdivide-se em 6 etapas:

Testar o desenho do controle

IT Governance Implementation Roadmap baseado no COBIT

Desenvolve plano de melhoria

Monitora o desempenho da implementao

Identifica novos requisitos de

Revisa a eficcia do programa

A participao do negcio durante a Governana de TI essencial

Estabelece o universo de validao de TI para designar o que ser validado.

Framework do COBIT 4.1 Objetivos de Controle

PO6 Comunicar Metas e Diretivas Gerenciais

PO7 Gerenciar Recursos Humanos

PO2 Definir a Arquitetura de Informao

PO8 Gerenciar Qualidade

PO3 Determinar a Direo Tecnolgica

PO9 Avaliar e Gerenciar Riscos

PO4 Definir Processos de TI, Organizao e Relacionamento

PO10 Gerenciar Projetos

PO5 Gerenciar o Investimento em TI

DS1 Definir nveis de Servios

DS2 Gerenciar Servios de Terceiros

AI2 Adquirir e manter software aplicativo

DS3 Gerenciar Performance e Capacidade

AI3 Adquirir e manter arquitetura tecnolgica

DS4 Garantir Continuidade dos Servios

AI4 Manter operao e uso

DS5 Garantir Segurana dos Sistemas

AI5 Obter Recursos de TI

AI6 Gerenciar mudanas

DS6 Identificar e Alocar Custos

AI7 Instalar e certificar Solues e Mudanas

DS7 Educar e Treinar usurios

DS8 Gerenciar Service Desk e Incidentes

DS9 Gerenciar a Configurao

DS10 Gerenciar Problemas

DS11 Gerenciar Dados

DS12 Gerenciar os Ambientes Fsicos

DS13 Gerenciar Operaes

ME1 Monitorar e Avaliar a Performance de TI

ME2 Monitorar e Avaliar Controle Interno

ME3 Assegurar Conformidade Regulatria

ME4 Fornecer Governana de TI

Você também pode gostar