Você está na página 1de 146

CobiT 4.

1 Foundation

Implementando Cobit como


Framework para Governança
de TI
OBJETIVOS DESTE CURSO
• Entender o conceito de Governança e
Governança de TI
• Entender os princípios e objetivos do
CobiT e do CobiT Framework
• Apresentar alguns modelos e
abordagens úteis na adoção do
framework de medição e performance
usando as métricas e indicadores do
CobiT
• Como o CobiT pode ser utilizado na
Gerência e auditoria de TI.
• Considerações sobre a prática da
implementação
AGENDA
•Primeiro dia
• Sessão 1-1:
- Check in
- Os desafios das organizações de TI
- Governança Corporativa x Governança de TI
- Introdução ao CobiT
• Sessão 1-2:
- Modelo de maturidade
- Domínios
- Conteúdo da Estrutura do CobiT
- Objetivos de controle
-
•Segundo dia

• Sessão 2-1:
- Exemplos
- Aplicabilidade do CobiT
- Diretrizes de auditoria
- Práticas de controle
- Relacionamento com outras metodologias
• Sessão 2-2:
- Exercício prático: diagnóstico de um Processo
- Simulado de exame e correção em classe
-
SESSÃO 1-1:

• OS DESAFIOS DAS ORGANIZAÇÕES


DE TI
OS DESAFIOS DE TI
Manter o TI em funcionamento

• Tipicamente, os problemas a seguir


podem surgir por causa de falha
técnicas:
- Processos de negócios críticos, como o
processamento de pedidos estar
corrompido
- Pessoal administrativo incapaz de lidar
com diários, correspondências ou
documentos.
- Clientes incapazes de contatar as
centrais de atendimento
•Os problemas a seguir podem resultar na

perda de negócios, redução de


OS DESAFIOS DE TI
Valor

Dados os investimentos significantes feitos na TI


e a importância estratégica dos projetos de TI,


as organizações precisam garantir que o TI
forneça valor. Na maioria dos projetos que
excedem expectativas orçamentárias ou prazos,
os problemas típicos são:
- Requisitos pobremente definidos
• ...Definição de requisitos
- Sistemas muito complexos para implementar
• ...Sistemas modulares
- Subestimação do esforço necessário
• ...Gerenciamento de recursos
-
• Pobre gerenciamento de projeto
• ...gerenciamento de projetos
OS DESAFIOS DE TI
Custos

Tipicamente, os motivos para gastos mais


altos são:
• Os custos associados aos ativos de TI não
são entendidos.
• Orçamentos operacionais estão
aumentando por causa dos contratos de
licenciamento, manutenção e outsourcing
complexos.
• Há uma diminuição de recursos habilidosos
• Grandes perdas financeiras ocorrem por
causa de projetos falhos
• Os gastos de TI pelas unidades de negócios
e departamentos centrais de TI não são
coordenados.
OS DESAFIOS DE TI
Alta complexidade

Os problemas típicos surgem porque


estas complexidades são:


- Manutenção de competência técnica
- Adaptação e mudanças rápidas e
novos desenvolvimentos
- Gerenciamento de relacionamentos
externos e fornecedores de
serviços
-
OS DESAFIOS DE TI
Alinhar TI com os negócios

Na maioria das empresas, a brecha entre o


que os usuários esperam e o que o TI pode


fornecer continua a existir por causa das
seguintes razões:
• Requisitos de negócios pobremente
definidos
• Incapacidade de definir prioridades
• Complexidade de projetos
• Falta de responsáveis de negócios
comprometidos
• Falta de dirigentes claros para soluções
• Brechas de comunicações entre os negócios
OS DESAFIOS DE TI
Conformidade regulatória

Regras que governam as operações de


negócios impactam os sistemas de


TI. A função de TI precisa estar ciente
de todos os requisitos legais e
regulatórios nacionais e
internacionais que eles estão
relacionados, por exemplo:
• Governança corporativa e relatórios
financeiros
• Privacidade e segurança
OS DESAFIOS DE TI

Infelizmente, o desejo de tornar a informação


prontamente disponível usando a tecnologia


emprega riscos de segurança. Estes riscos
têm aumentando por causa de diversos
fatores:
• O uso da internet e rede, o que expõe
sistemas internos para o mundo
• Vírus e hackers.
• Perdas de informações crescentes.
• As complexidades técnicas dos ambientes
de TI e os problemas associados de TI.
• Fraca consciência de problemas de
segurança dos usuários de computador.
GOVERNANÇA DE TI
•A governança de TI é definida como uma
estrutura de relacionamentos e processos
para direcionar e controlar a empresa na
direção de alcançar suas metas agregando
valor enquanto balanceia os riscos
vsretorno sobre TI e seus processos.
•Áreas a serem focadas

• Alinhamento estratégico
• Valor na entrega
• Gerenciamento de recursos
• Gerenciamento de riscos
• Avaliação de performance
GOVERNANÇA DE TI

• ALINHAMENTO ESTRATÉGICO:
•Foco em garantir a ligação dos negócios e planos

de TI; em definir, manter e validar a proposta


de valor de TI; e em alinhar operações de TI
com as operações da empresa
•Garante o investimento da empresa no TI esteja

em harmonia com os objetivos estratégicos da


empresa.

• AGREGAÇÃO DE VALOR
•Se trata de executar a proposta de valor através

do ciclo de agregação, garantindo que o TI


entregue os benefícios prometidos sobre a
estratégia, se concentrando em otimizar os
custos, e fornecendo o valor essencial de TI.
GOVERNANÇA DE TI
• Gerenciamento de riscos
•Requer:

- Consciência dos riscos pelos responsáveis sênior da


corporação
- Um entendimento claro do apetite da empresa por riscos
- Um entendimento de requisitos de conformidade
- Transparência sobre riscos significantes para a empresa
- Embutir as responsabilidades de gerenciamento de riscos
dentro da organização
• Os riscos podem ser administrados ou gerenciados de
quatro maneiras:
- Mitigação de riscos
- Transferência de riscos
- Aceitação de riscos
- Anulação de riscos (evitar)

GOVERNANÇA DE TI
• Gerenciamento de recursos
•Se trata de investimentos otimizados e gerenciamento

apropriado de recursos críticos de TI, como:


Ø Aplicações
Ø Informação
Ø Infra-estrutura
Ø Pessoas

• Medição de Performance
•Busca e monitora a implementação de estratégias,

conclusão de projetos, performance de projetos, e


agregação de serviços.
•Se não há uma maneira de medir e avaliar as atividades

de TI ,não é possível governar o TI e garantir o


alinhamento, agregação de valor, gerenciamento de
riscos, e um uso eficiente dos recursos.
BENEFÍCIOS DA GOVERNANÇA DE
TI
• A governança de TI oferece os
seguintes benefícios:
- Serviços mais confiáveis
- Maior transparência
- Boa receptividade de TI para os
negócios
- Confiança do gerenciamento superior
- Maior retorno de investimento (ROI)
CICLO PDCA DE GOVERNANÇA DE
TI
Planejar(P)
PROVER DIREÇÃO

Executar
EXECUTAR AS ATIVIDADES DE TI
•PROCESSOS (D )
Agir (A)
•CONTROLES
ANALISAR RESULTADOS •INDICADORES

Checar(C)

MONITORAR PERFORMANCE
INTRODUÇÃO AO CobiT
QUEM DESENVOLVEU O CobiT
• ISACA
• Com mais de 50.000 membros em mais de 140 países, a ISACA (
www.isaca.org) é um líder em governança de TI, controle, segurança
e garantia reconhecido mundialmente. Fundada em 1969, a ISACA
- Patrocina conferências internacionais
- Publica o Informartion Systems Control Journal.
- Desenvolve padrões internacionais de auditoria de sistemas de informação e
controle.
- Administra qualificações CISA e CISM, internacionalmente respeitadas.
• ITGI
• O IT Governace Institute (ITGI) (www.itgi.org) foi estabelecido pela
ISACA em 1998 para aumentar o conhecimento e padrões
internacionais na gestão e controle da tecnologia de informação de
uma empresa. O ITGI
- desenvolveu o Control Objectives for Information and related Technology
(CobiT), agora em sua quarta edição.
- oferece uma busca original e estudos de caso para assessorar líderes e
conselhos de diretoria nas suas responsabilidades de governança de TI.
ISACA – INFORMATIONSYSTEMS AUDIT
AND CONTROL ASSOCIATION
• Visa a preparação para certificação
do profissional:
- CISA – Certified Information Systems
Auditor
- CISM – Certified Information Security
Manager
- CobiT Foundation Exam
O QUE SIGNIFICA CobiT?

• Control
CobiT
• Objectives for
• Information and related
• Technology

• “Objetivos da Controles para


Informações e Tecnologias
relacionadas”
CobiT é uma estrutura de
“Framework’ e não uma
Metodologia
• Estrutura: organização das partes ou
dos elementos que formam um
todo.

• Metodologia: estudo cientifico dos


métodos.

• Método: conjunto dos meios


dispostos convenientemente para
alcançar um fim.
CobiT – é?
• Em resposta às necessidade descritas anteriormente , o
framework do COBIT foi criado. As suas principais
características são:
- Focado no negócios
- Orientado no processo
- Baseado em controles
- Dirigido pela medição
• O COBIT inclui recursos tais como um sumário executivo, um
framework, controle de objetivos, indicadores de desempenho,
indicadores de metas, um conjunto de ferramentas de
implementação e um guia com técnicas de gerenciamento.
• As práticas de gestão do Cobitsão recomendadas pelos peritos em
gestão de TI que ajudam a otimizar os investimentos de TI e
fornecem métricas para avaliação de resultados.
• O COBIT independe das plataformas de TI adotadas nas empresas.
O CobiT visa atender às exigências
das regulamentações...
• Legislações: Basiléia II, Sarbanes-
Oxley, IFRS...
• Órgãos reguladores: SEC, BACEN,
CVM...
• Padrões: BS7799, ISSO 17799, ISO
9001...
• Mais requerimentos: Tribunais, Leis,
requerimentos de mercado...
• Implementações: Você, sua equipe,
prazos de entrega...
Exemplo: Sarbanes-Oxley (Sarbox-
Sox)
• A lei faz com que os executivos sejam
responsáveis por estabelecer, avaliar e
monitorar a eficácia dos controles internos
relacionados a relatórios financeiro. Para muitas
organizações a TI será crucial para alcançar
estes objetivos, sendo responsável por
assegurar a qualidade a integridade das
informações geradas pelo sistema.
• Os requerimentos da Lei são rigorosos: as
empresas devem estabelecer políticas, regras e
procedimentos aditáveis para gerir e controlar
seus processos e registros documentais e
divulgar seus resultados, e os principais
executivos devem, pessoalmente, atestar que
Objetivos da Sarbanes-Oxley para
TI

Para atender aos requisitos desta lei, a TI deverá atuar em


duas frentes:
• Estabelecer controles para o ambiente geral de TI que
abranjam:
- Desenvolvimento
- Mudanças
- Operações
- Controle de acesso
• Processos de negócios críticos(contas significativas de
balanço):
- Mapear os sistemas que suportam os dados financeiro e
respectivos controles
- Identificar os riscos de TI relacionados aos sistemas
- Implementar e monitorar os controles que mitiguem riscos
- Documentar e testar os controles de TI
- Assegurar que os controles de TI sejam atualizados e adequados
para suportar as mudanças nos controles internos.
O COBIT possui processos que auxiliam
a manter a conformidade com
Sarbanes-Oxley:
1. Adquirir e manter software aplicativo
2. Adquirir e manter arquitetura tecnológica
3. Desenvolver e manter procedimentos de TI
4. Instalar e certificar Soluções e Mudanças
5. Gerenciar Mudanças
6. Definir e gerenciar níveis de serviço
7. Gerenciar serviços de terceiros
8. Assegurar a segurança dos sitemas
9. Gerenciar a configuração
10.Gerenciar problemas
11.Gerenciar dados
12.Gerenciar operações
Evolução do CobiT

• O COBIT foi criado para atender a


necessidade de um framework de
controle de TI, compreensivo para o
negócio, gerência de TI, auditores,
e eliminar as disparidades de
controles e guias de avaliação
CobiT – Valor e limitações
• O CobiT:
- Tem aceitado boas práticas internacionalmente
- É orientado nos negócios
- É suportado pelas ferramentas e treinamento .
- Está livremente disponível como um padrão aberto.
- Permite o compartilhamento e nivelamento do conhecimento de peritos
voluntários
- Evolui continuamente.
- É mantido por uma organização de boa reputação sem fins lucrativos.
- Mapeia 100 por cento do COSO (Committee of Sponsoring Organizations of
Treadway Comission).
- Está mapeado de acordo com os padrões principais e relacionados.
- É uma referencia, e não um produto de prateleira.
• As empresas ainda precisam analisar os requisitos de controle e customizar
o COBIT baseado nos seguintes itens da empresa:
- Entrega de valor
- Perfil de risco
- Infraestrutura de TI, organização, e portfólio de projetos.
CobiT – Orientado aos
negócios da Organização
• A estrutura do CobiT com os quatro
domínios, claramente está ligado aos
processos de negócio da organização
• Os mapas de controle fornecidos pelo
CobiTauxiliam os Gerentes de TI,
gestores e auditores a manter controles
suficientes para garantir o
acompanhamento das iniciativas de TI e
recomendar a implementação de novas
práticas, se necessário.
• O ponto central é o gerenciamento da
informação com os recursos de TI para
Questões relacionados com a
implementação
• A implementação do CobiT pode trazer alguns problemas
relacionados ao seu uso.
• O COBIT é um framework de controle com diretrizes de
auditoria, Então ele:
• NÃO é um plano de auditoria
• NÃO é um programa de trabalho
• NÃO fornece passos, técnicas, procedimentos para auditoria
• NÃO define padrões
• NÃO define níveis aceitáveis para os processos de TI
•O uso do COBIT requer uma experiência suficiente com os

controles de TI porque ele não detalha a verificação de


controles e passos de testes de fato.
CobiT 4.0 – Família de
produtos Board Briefing On It Governance, 2nd Edition

Management Guidelines*

COBIT FRAMEWORK* IT ASSURANCE GUIDE IT GOVERNANCE IMPLEMENTTATION

CONTROL OBJECTIVES*
COBIT QUICKSTART
IT CONTROL OBJECTIVES FOR SARBANES-OXLEY
CONTROL PRACTICES
Cobit
Security Baseline
* Now integrated into CobiT 4.0
CobiT 4.1 – inter-relação
mais clara entre
componentes Business
goals

Requirements Information

It goals
It processes

i nto Con

Audited with
o wn troll
ed b

by
nd y
ke
d
Bo
re
su
ea
M

Derived
from
Key activities Control outcome tests Control objectives

imp
ance

Fo lem
rm ent
Performed by

ith
atu ed
rform

rity wit
e

dw
h
om

dite
c
pe

t u
ro

Au
For

Control practices
F

Responsibility Outcome
And Performance indicators Maturity models
Control design testsBased on
measures
Accountability chart
Conteúdo da estrutura do
CobiT
Características do framework de
controles
• O COBIT se foca em melhorar a governança de TI nas
organizações.
• O COBIT fornece um framework para gerenciar e controlar
as atividades de TI e suporta cinco requisitos para um
framework de controle.
Fornece melhor foco de trabalho Define uma linguagem comum


Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos regulatórios

Possui aceitabilidade geral entre as empresas


Características do framework de
controles (cont.)
• Foco de Negócios
•O COBIT atende melhor aos
Fornece melhor foco de trabalho Define uma linguagem comum
negócios focando no
alinhamento de TI com
os objetivos de negócios.
- A medição da
Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
performance de TI
devera focar-se na
contribuição da TI em
disponibilizar e
estender a estratégia
de negócios. Possui aceitabilidade geral entre as empresas
- O COBIT, suportando por
métricas próprias
focadas no negócio,
pode garantir que o
objetivo primário é a
entrega de valor e
não excelência
Características do framework de
controles (cont.)
• Orientação do processo
• - quando as organizações Fornece melhor foco de trabalho Define uma linguagem comum

implementam o COBIT,
o seu foco é mais
orientado a processos.
• Os incidentes e problemasGarante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
tiram a atenção dos
processos.
• Exceções podem ser
claramente definidas
como parte de
Possui aceitabilidade geral entre as empresas
processos padrões.
• Com a posse do projeto
definida, designada e
aceitada, a organização
é mais capaz de
manter controle
através períodos com
mudanças rápidas ou
Características do framework de
controles (cont.)
Aceitabilidade geral

• O COBIT e um padrão Fornece melhor foco de trabalho Define uma linguagem comum

provado e globalmente
aceito para aumentar a
contribuição de TI para
o sucesso da Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
organização.
• O framework continua a
melhorar e desenvolve-
se para manter-se em
paz com as melhores
Possui aceitabilidade geral entre as empresas
práticas.
• Os profissionais de TI de
todo o mundo
contribuem com suas
idéias e tempo em
reuniões de revisão
regulares.
Características do framework de
controles (cont.)
Requisitos regulatórios

• Recentes escândalos Fornece melhor foco de trabalho Define uma linguagem comum
empresariais têm aumentado
as pressões regulatórias em
conselhos de diretoria para
relatar seus status e garantir
Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
que os controles internos a alcançar requisitos reg

sejam apropriados. Isto


também cobre os controles de
TI.
• AS organizações precisam
constantemente melhorar a Possui aceitabilidade geral entre as empresas
performance de TI e
demonstrar controles
adequados sobre suas
atividades.
• Muitos gerentes de TI,
conselheiros e auditores estão
se voltando ao COBIT como a
Características do framework de
controles (cont.)
Linguagem Comum

• É um framework que Fornece melhor foco de trabalho Define uma linguagem comum

ajuda a manter todos


na mesma página
definindo em termos
críticos e fornecendo Garante a orientação a FRAMEWORK
processos DE Ajuda
CONTROLE
a alcançar requisitos reg
um glossário.
• Coordenação dentro e
através equipes de
projeto; as
organizações podem
desempenhar o papel Possui aceitabilidade geral entre as empresas

chave para o sucesso


de qualquer projeto.
• Linguagem comum
constrói confidencia e
confiança.
Qual é o princípio do framework
do COBIT?
• O principio do framework do COBIT é vincular as expectativas dos
gestores de TI com as responsabilidades dos gestores de TI. O
objetivo é facilitar a Governança de TI - gerar valor em TI
enquanto se gerencia os riscos de TI.
• O princípio do framework é derivado de um modelo que mostra a
informação com qualidade sendo produzida por eventos através
de recursos de TI.

INFORMAÇÃO
EVENTOS •Eficácia
•Objetivos de negocio •Eficiência
•Oportunidade de negócio •Confidencialidade
•Requisitos externos Aplicações •Integridade
•Regulamentos Informação •Disponibilidade
•Riscos Mensagem Infra-estrutura Serviço •Conformidade
entrada pessoas saída
•Confiabilidade
Modelo de Governança e controle
de TI
• Parte da premissa que TI precisa fornecer as funcionalidades e informações
que a organização necessita para atingir seus objetivos.
• Promove o foco em processo e em responsabilidade por processo.
• Divide TI em 34 processos, dentro de 4 domínios (sendo eles:
1.planejamento e organização, 2.aquisição e implementação, 3.delivery
e suporte, 4.monitorar e avaliar) e provê um alto nível de objetivo de
controles para cada um.
• Avalia o grau de confiança, qualidade e segurança necessárias para as
necessidades das corporações, provendo 7 critérios de informação
que podem ser usados para genericamente definir o que os negócios
requerem de TI.
• Os 7 critérios são:
- efetividade-eficácia
- Eficiência
- Disponibilidade
- Integridade
- Confidencialidade
- Confiabilidade
- Conformidade
Lógica da estrutura

• Controle em TI é olhar para


informação que é necessária para
suportar os objetivos de negócios e
olhar a informação como sendo o
resultado de aplicações de recursos
de TI que são necessários para
gestãoR Edos
Q U E R IM E N T O S D E N E G Ó C IO
processos de TI.

PR O C E S S O D E T I R EC U R SO S D E TI
Requerimentos do Negócio
• Para satisfazer os objetivos de negócios, a
informação precisa estar em
conformidade com critérios de
informação específicos, os quais o COBIT
se refere como requisitos de negócios
para informação.
• Amplamente, os critérios de informação
estão baseados nos requisitos de
negócio a seguir:
- QUALIDADE
- FIDUCIÁRIO (VALOR)
- SEGURANÇA
Requerimentos do Negócio
• Para satisfazer os objetivos de negócios, as informações
precisam estar em conformidade com alguns critérios:

- Qualidade: * qualidade
• * custo
• * prazo entrega

- fiduciários: *eficácia e Eficiência da Operação


• *confiabilidade das informações
• * aderência à leis e regulamentações
-
- segurança: * confidencialidade
• *Integridade
• *disponibilidade
Requerimentos do Negócio
• Efetividade: Lida com a relevância da informação e
pertinência aos precesso de negócios bem como a sua
disponibilidade em prazo apropriado, de forma correta,
precisa, consistente e em formato adequado para
ultilização.
• Eficiência: refere-se à provisão da informação atravez da
melhor (mais produtiva e economica) forma de
ultilização dos recursos.
• Conformidade: Lida com o comprimento das leis,
regulamento e clausulas contratuais aos quais um
determinado processo de negócio esta sujeito. (o foco
está em atender regulamentações esternas).
• Confiabilidade da informação: relaciona-se ao
fornecimento, por parte dos sistemas, de informações
apropriadas aos gerentes para a tomada de decisões,
relatórios financeios precisos e informações adequadas
aos órgãos normatizadores sobre o comprimento das
Requerimentos do Negócio
Segurança
• Confidencialidade: refere-se à proteção de
informação considerada privilegiada contra
divulgação não autorizada.
• Integridade: relaciona-se com a precisão e
exatidão da informação, bem como sua
validade de acordo com os padrões e
expectativas de negócio estabelecidos.
• Disponibilidade: relaciona-se a prover a
informação no momento em que for requerida
pelos processos de negócio, o que inclui
também a salvaguarda de recursos.
Recursos de TI
• Pessoas: conhecimento, concientização, e
experiência para planejar, organizar, adquirir,
entregar, prestar suporte e monitorar sistemas
de informações, processos e serviço.
• Aplicações: são os sistemas de usuários
automatizados ou procedimentos manuais que
processem as informações.
• Infraestrutura: é a tecnologia e Facilities –
hardware, sistemas operacionais, sistema de
banco de dados, rede, multimídia, etc..,e os
ambientes que hospedam e suportam e esses
recursos, que permitem o processamento das
aplicações.
• Informações: objeto de dados na sua mais
Componentes chaves de
um processo
re g ra s O b je tivo d e co n tro le
K e y G o a lIn d ica to rs ( K G Is)

in p u ts Pro ce sso o u tp u ts C rité rio d e in fo rm a çã

M o d e lo d e m a tu rid a d e
K E Y Pe rfo rm a n ce
R e cu rso s d e T I iIn d ica to rs ( K P Is)
Domínios de TI &
Processos e Atividades
• Domínios agrupamento natural de processos, que
casa um domínio organizacional de
responsabilidades.

• Processos uma série de atividades ligadas com
quebras naturais de controle

• Atividades ações necessárias para alcançar um
resultado mensurável. Atividades possuem um
siclo de vida embora tarefas sejam discretas.
Obtém-se o Cubo do
Cobit
Domínios do Cobit
Cobit – Framework
Completo
Que atende aos Direciona os
B u sin e ss R e q u ire m e n ts investimentos
de TI em

IT
E n te rp rise In fo rm a tio n C o b it R e so u rce s

IT Pro ce sse s
Para entregar Que são usados para
Modelo Orientado a
Processos
• O Cobit é orientado por processos, estes processos podem
ser aplicados em vários níveis na organização. Por
exemplo, alguns destes processos podem ser aplicados a
nível corporativo, outros a nível de função de TI, e outros
a nível do responsável pelo processo de negócio.
• Cobit define as atividades de TI segundo um modelo
genérico de processos que abrange quatro dominios:
• Esses dominios mapeiam as áreas tradicionais sob
responsábilidade de TI de:
- Planejar e organizar (PO)
- Adquirir e implementar (AI)
- Entregar e suportar (DS) e
- Monitorar e avaliar (ME).
Planejar e Organizar (PO)
• Este dominio compreende estratégias e táticas e
procura identificar como TI pode contribuir
melhor para atender as metas corporativas.
Álem disso, a percepção da visão estratégica
precisa ser planejada, comunicada e
gerenciada sob diferentes pontos de vista.
• Finalmente, deve ser definida uma infraestrutura
tecnológica, assim como uma organização
consistente. Esse dominio normalmente atende
às seguintes questões gerenciais.
- As estratégias de TI e dos negócios estão alinhadas?
- A empresa utiliza seus recursos da melhor forma
possivel?
- Todos no departamento sabem quais são as metas
Planejamento &
Organização (PO)
•Planejamento e Organização de TI
•PO1 Definição plano estratégico TI

•PO2 Definição arquitetura de informação

•PO3 Determinação doirecionamento tecnológico

•PO4 Definição dos processos de TI, organização e

relacionamentos.
•PO5 Gerenciamento do investimento de TI
•PO6 Comunicação de objetivos e direcionamento

•PO7 Gerenciamento de recursos humanos de TI

•PO8 Gerenciar a qualidade

•PO9 Avaliar e Gerenciar riscos de TI

•P10 Gerenciamento de projetos


Planejamento &
Oraganização
•PO1 Definição plano estratégico TI
• Tem como objetivo encontrar o ponto
ótimo entre as oportunidades e
necessidade de negócio relacionadas a TI,
assim como assegurar a execução do
planoi estratégico. Este é disparado pelo
processo de planejamento estratégico,
realizado regularmente, que culmina no
plano de longo prazo de TI, o qual precisa
desmenbrado em planos operacionais
contendo a definição dos objetivos de
curto prazo.
Planejamento &
Oraganização
• PO2 Definição arquitetura de informação
• A informação dos sistemas de informação é suportada
pela manutenção de um modelo de informação de negócios
e pela garantia que os sistemas são apropriados e estão
definidos para otimizar o uso das informações.
•PO3 Determinação direcionamento tecnológico

• Obter vantagem da tecnológia disponivel e emergente


para conduzir e realizar a estratégia de negócios. A criação
e manutenção do plano de infra-estrutura tecnológica deve
direcionar e gerenciar as expectativas de quais tecnologias
podem ser oferecidas e entregues para suportar os
produtos e serviços da Organização.
•PO4 Definição dos processos de TI, organização e

relacionamentos
• A adequada entrega dos serviços de TI é permitida por
uma organização que tem papéis definidos e comunicados,
Planejamento &
Organização
• PO5 Gerenciamento do investimento de TI
• Tem por objetivo controlar o orçamento e desembolsos de
recursos financeiros, permitindo que os investimentos
definidos, e aprovados no orçamento, sejam realizados
corretamente.
• PO6 Comunicação de objetivos e direcionamento
• Assegurar a conscientização e o entendimento pelos
usuário dos objetivos e diretrizes gerenciais por meio de
políticas estabelecidas e comunicadas para a organização.
Além disto, padrões precisam ser estabelecidas e
comunicadas para traduzir as estratégias em regras
práticas utilizáveis por todos.
• PO7 Gerenciamento de recursos humanos de TI
• A contratação e manutenção de equipe motivada e
competente maximiza a contribuição dos funcionários aos
processos de TI, junto a práticas justas e transparentes de
gerenciamento dos recursos humanos para recrutamento,
contratação, exames de admissão, treinamento, avaliação,
Planejamento &
Oraganização
• PO8 Gerenciar a Qualidade
• Para o planejamento, implementação e manutenção do
sistema de gerenciamento de qualidade são necessários
políticas, procedimentos e requisitos claros relacionados à
qualidade. Esses requisitos devem ser definidos e
comunicados através de indicadores quantificáveis e
conquistável. O monitoramento, análise e correção dos
desvios, assim como a comunicação dos resultados aos
envolvidos garantem o aprimoramento continuo do
processo. O gerenciamento da qualidade é fundamental
para garantir que TI ofereça valor para os negócios, e
continuo aprimoramento e transparência para os
envolvidos.
•PO9 Avaliar e gerenciar riscos de TI

• Suportar as decisões gerenciais para atingir os


objetivos de TI e responder às ameaças, identificar os
fatores-chave de decisão para a organização e analisar os
Planejamento &
Oraganização
• PO10 Gerenciamento de projetos
• Estabelecer um programa e uma estrutura de
gerenciamento de projeto para o gerenciamento de todos
os projetos relacionados à TI. Essa estrutura deverá garantir
a correta priorização e coordenação de todos os projetos,
bem como incluir um plano mestre, atribuição de recursos,
definição de produtos tangíveis do projeto, aprovação por
parte dos usuários, um enfoque modular para a entrega,
garantia da qualidade, um plano de testes formal, testes e
revisão pós-implementação após a instalação, de forma a
garantir o gerenciamento de riscos relacionados ao projeto
e entrega de valor para o negócio.
• Essa abordagem reduz o risco de custos inesperados e
cancelamentos do projeto, melhora a comunicação e o
envolvimento do negócio e dos usuários finais, garante o
valor e a qualidade dos produtos tangíveis do projeto e
melhora a contribuição dos mesmos para com os
Aquisição & Implementação
(AI)
• Para se entender a estratégia de TI, é necessário
identificar, desenvolver ou adquirir, bem como
implementar e integrar as soluções de TI ao
processo corporativo.
• Esse domínio também contempla as mudanças e
manutenções nos “sistemas” existentes para
que as soluções continuem atendendo as
metas corporativas. Esse domínio normalmente
atende às seguintes questões gerenciais:
- Os novos projetos irão oferecer soluções que
atendem às necessidades corporativas?
- Os novos projetos serão entregues dentro do prazo e
do orçamento?
- Os novos sistemas irão funcionar corretamente
quando implementados?
Aquisição & Implementação
(AI)
•Aquisição e Implementação
•AI1 Identificar soluções automatizadas

•AI2 Aquisição e manutenção sistemas aplicativos

(Software)
•AI3 Aquisição e manutenção da arquitetura
tecnológica
•AI4 Permitir a operação e o uso

•AI5 Obter recursos de TI

•AI6 Gerenciamento de mudanças

•AI7 Instalação e homologação de soluções

ve mudanças
Aquisição & Implementação
(AI)
•AI1 Identificar soluções automatizadas
• Garantir enfoque e abordagem efetivos e eficazes para satisfazer os
requerimentos do usuário.Isto é obtido por meio de clara identificação dos
objetivos e análise da oportunidade dos requisitos do usuário.
•AI2 Aquisição e manutenção sistemas aplicativos (software)

• As aplicações devem estar disponíveis em conformidade com os


requisitos do negócio. Este processo contempla o esquema das aplicações,
a inclusão apropriada dos requisitos de segurança e controle de programa,
e o atual desenvolvimento e configuração de acordo com os padrões. Isto
permite à organização suportar apropriadamente as operações de negócio
com as aplicações automatizadas corretas.
•AI3 Aquisição e manutenção da arquitetura tecnológica

• As organizações devem ter processos para a aquisição,


implementação e atualização da infra-estrutura de tecnologia. Isto requer
um método planejado de aquisição, manutenção e proteção da infra-
estrutura em alinhamento com as estratégias tecnológicas aceitas e a
provisão de desenvolvimento e dos ambientes de teste. Isto garante que
há continuo apoio tecnológico às aplicações de negócio.
•AL4 Permitir a operação e o uso

• o conhecimento sobre novos sistemas necessita estar disponível.


Este processo requer a produção de documentação e dos manuais para
Aquisição & Implementação
(AI)
•AI5 Obter recursos de TI
• Os recursos de TI, que incluem pessoas, hardware, software e
serviços precisam ser adquiridos. Esse processo exige a definição e a
aplicação de procedimentos de aquisição, escolha de fabricantes,
estabelecimento de disposições contratuais e da aquisição em si. Isso
garante que o departamento tenha todos os recursos de TI necessário, no
tempo oportuno e com melhor custo-benefício.
•AI6 Gerenciamento de mudanças

• Tem por objetivo minimizar a probabilidade de ocorrência de erros


decorrentes das alterações efetuadas. Isto é habilitado pelo gerenciamento
de sistemas que garantam a análise das implementações, revisão de todas
as mudanças solicitadas, e acompanhamento da operação da infra-
estrutura de TI.
•AI7 Instalação e homologação e mudanças

• Os novos sistemas precisam entrar em operação depois de concluído


o processo de desenvolvimento. Isso exige os devidos testes em um
ambiente apropriado com dados relevantes sobre os testes, definição do
processo de implementação e instruções especificas sobre migração,
planejamento de novas versões, encaminhamento para a produção e
revisão pós-implementação para garantir sistemas operacionais alinhados
com as expectativas acordadas e resultados desejados.
Entrega e Suporte (DS)
• O foco deste domínio é a entrega dos serviços
desejados, o que inclui entrega de serviços,
gerenciamento da segurança e da
continuidade, suporte aos usuários e
gerenciamento dos dados e do ambiente
operacional. Ele normalmente atende às
seguintes questões gerenciais:
- Os serviços de TI estão sendo entregues de acordo
com as prioridades dos negócios?
- Os custos de TI estão otimizados?
- Os usuários conseguem utilizar os sistemas de TI de
forma produtiva e com segurança?
- Os aspectos relacionados à confidencialidade,
integridade e disponibilidade estão sendo
atendidos?
Entrega e Suporte (DS)
• Entrega e Suporte
•DS1 Definição e Gerencia de níveis de serviço.

•DS2 Gerenciamento de serviços de terceiros

•DS3 Gerenciamento de performance e capacidade

•DS4 Assegurar continuidade dos serviços

•DS5 Assegurar segurança dos sistemas

•DS6 Identificar e atribuir custos

•DS7 Treinamento de usuários

•DS8 Gerenciamento da central de serviços e incidentes

•DS9 Gerenciamento das configurações

•DS10 Gerenciamento de problemas

•DS11 Gerenciamento de dados

•DS12 Gerenciamento das localidades físicas

•DS13 Gerenciamento de operações


Entrega e Suporte (DS)
•DS1 Definição e gerencia de níveis de serviço
• Estabelecer entendimento comum sobre os níveis de serviço
requeridos pelo negócio e acordos específicos (Service Level Agreements –
SLA’s) que formalizam os critérios de desempenho contra os quais serão
medidas a qualidade e quantidade dos serviços.
•DS2 Gerenciamento de serviços de terceiros

• A necessidade de garantir que os serviços prestados por terceiros


atendam aos requisitos corporativos exige um processo efetivo de
gerenciamento de terceiros. Esse processo compreende funções,
responsabilidade e expectativas claramente definidos nos contratos com
terceiros, assim como a revisão e monitoramento desses contratos para
verificação da eficácia e conformidade na prestação dos serviços. O
gerenciamento efetivo dos serviços prestados por terceiros reduz os riscos
associados a fornecedores mal qualificados.
•DS3 Gerenciamento de performance e capacidade

• Garantir que a adequada capacidade dos recursos de TI esteja


disponível e seja utilizada de forma otimizada, de modo a atender a
necessidade de performance demandada pelo negócio. Isto se dá pelo
gerenciamento da performance e de capacidade, que é efetuado pela
coleta das informações, análise e reporte do desempenho dos recursos,
aplicações e transações.
Entrega e Suporte (DS)
• DS4 Assegurar continuidade dos serviços
• Assegurar que os serviços de TI estejam disponíveis
assegurando o mínimo impacto no negocio em caso de
desastre. Garantir que o plano de continuidade de TI esteja
operacional, testado e alinhado com o plano de
Continuidade do Negocio (Business Continuity Plan – BCP) e
às necessidades de negócio.
•DS5 Assegurar segurança dos sistemas

• Garantir a salvaguardar das informações contra


divulgação, destruição, modificação, perda e uso não
autorizados. A segurança é habilitada por controles para
garantir que somente usuários autorizados obtenham
sucesso aos sistemas, programas e as informações
classificadas como restritas.
•DS6 Identificar e atribuir custos

• Garantir a identificação dos custos atribuídos aos


serviços de TI por meio de sistemas contábil que assegure o
Entrega e Suporte (DS)
•DS7 Treinamento de usuários
• Assegurar que os usuários fazem uso efetivo da tecnologia, e
que são conscientes dos risco e suas responsabilidades.
•DS8 Gerencia da central de serviços e incidentes

• Assegurar que os problemas que afetam os usuários serão


resolvidos adequadamente. Isto é habilitado pela existência de
equipe e processo de Service Desk que suporta os usuários e
fornece recomendações de soluções.
•DS9 Gerenciamento da s configurações

• Assegurar o controle sobre os componentes de TI, prevenir


alterações não autorizadas, inventariar e prover bases para o
gerenciamento de mudanças. Isto é habilitado por controles que
identificam e registram os ativo de TI, sua localização física, e
programas de verificação regulares para confirmar a existência
deste ativos.
•DS10 Gerenciamento de problemas

• Garantir que os problemas sejam resolvidos e que as causas


investigadas sirvam para prevenir novas ocorrências. O sistema
Entrega e Suporte (DS)
• DS11 Gerenciamento de dados
• Assegurar que os dados permaneçam completos,
íntegros e validos após sua entrada, armazenamento e
processamento. Isto é permitido pela combinação eficaz
entre os controles das aplicações e os controles gerais do
ambiente de TI.
•DS12 Gerenciamento das localidades físicas

• A áreas responsável pelo gerenciamento das


instalações deve prover segurança para proteção dos
equipamentos de TI contra fatores humanos e ambientais.
•DS13 Gerenciamento de operações

• Assegurar que as funções de suporte de TI são


realizadas regularmente e de forma ordenada, com base na
programação das atividades que devem ser registradas e
atualizadas.
Monitorar e Avaliar (ME)
• Todos os processos de TI precisam ser periodicamente
avaliados quanto à qualidade e conformidade com os
requisitos de controle.
• Este domínio contempla o gerenciamento de desempenho,
monitoramento dos controles internos, conformidade
com as regulamentações e governança. Ele
normalmente atende às seguintes questões gerenciais:

q O desempenho de TI é avaliado, de forma que os problemas sejam
detectados antes que seja tarde demais?
q A gerencia garante a eficiência e eficácia dos controles internos?
q O desempenho de TI está atrelado às metas corporativas?
q Os riscos, controles, conformidade e desempenho são avaliados e
registrados?


Monitorar e Avaliar (ME)
Monitorar e Avaliar

•ME1 Monitorar e avaliar o

desempenho de TI
•ME2 Monitorar e avaliar os controles

internos
•ME3 Assegurar a conformidade com as

regulamentações
ME4 Possibilitar a governança de TI


Monitorar e Avaliar (ME)
• ME1 Monitorar e Avaliar o desempenho de TI
• O gerenciamento efetivo do desempenho de TI exige
um processo de monitoramento. Esse processo inclui a
definição dos devidos indicadores de desempenho, registro
sistemático e oportuno do desempenho e ação imediata na
eventualidade de qualquer desvio. O monitoramento
c]garante que as coisa estejam sendo feitas de forma
correta e alinhadas com as direções e políticas definidas.
•ME2 Monitorar e Avaliar os controles internos

• O estabelecimento de um programa de controle interno


realmente efetivo exige a definição de um processo de
monitoramento muito bem definido. Esse processo envolve
o monitoramento e registro das exceções, resultados de
auto avaliações e revisões executadas por terceiros. Um
grande beneficio do monitoramento dos controles interno é
a garantia de operações efetivas e eficientes e a
conformidade com as leis e regulamentações aplicáveis.
Monitorar e Avaliar (ME)
• ME3 Garantir a conformidade regulamentar
• A vigilância efetiva com a atenção às regulamentações
exige a definição de um processo de revisão independente
que assegure a conformidade com as leis e
regulamentações. Esse processo inclui a definição de um
documento de auditoria, independência do auditor, padrões
e ética profissional, planejamento, controle do trabalho da
auditoria, relatórios e acompanhamento da auditoria. O
objetivo desse processo é garantir a conformidade de TI
com as leis e regulamentações.
•ME4 Possibilitar a governança de TI

• A criação de uma estrutura efetiva de governança


inclui a definição de estruturas, processos, liderança,
funções e responsabilidades que assegurem o alinhamento
dos investimento de TI com as estratégias e metas
corporativas.
Controles do CobiT
Conceito: Práticas de
controle
• As práticas de controle estendem a
capacidade do CobiT, fornecendo aos usuários
um nível adicional de detalhes. Os processos de
TI do CobiT, requisitos de negócio e objetivos de
controle definem o que precisa ser feito para
implementar um estrutura de controle efetiva. As
práticas de controle de TI fornece mais detalhes
de como e porque são necessárias para
administração, provedores de serviços, usuários
finais e profissionais de controle, para
implementar controles específicos baseados na
análise de operações e riscos de TI.


.
Vamos ver a seguir um exemplo de práticas de controle
Práticas de Controle
• A figura abaixo fornece um exemplo de prática de controle para o
processo AI6 Gerenciar Mudanças:

AI6 ManageChenge
AI6.4 Emergency changes
anges when they circumvent the normal process of technical, operational and managemet assessment prior to implememtation.

has defined parameters , characteristics and procedures that allow to identify and declare emergencies.
2. All emergency changes are documented, if notControlling
before emergency
, than changes by implementing
after implementation . the control practices will:
•Ensure emergency procedures are used in declared emergencies only
3. All emergency changes
•ensureare tested
urgent , if not
changes can before , than after
be implemented implementation
without compromising. confidentiality, integrity, availability,
mergency changesare formally authorised by the system owner and management, before implementation
Before and after images as well as intervention logs are retained for subsequent review

IT Control practices Why do it?


Praticas de Controle
• Traduz os objetivos de controle do Cobit em práticas
detalhadas, implementáveis e fornece uma argumentação
de negócio para a implementação, a partir de uma
perspectiva de valor e risco.

•Praticas de Controle São mecanismos Chaves que


Suportam:
- a realização dos objetivos de controle
- Prevenção, detecção e correção de eventos não desejados
•Práticas de controle são alcançadas através de:

- Uso responsável dos recursos.


- Gerenciamento de riscos apropriado
- Alinhamento da TI com o negócio

Analise de GAP
A análise de GAP auxilia os gestores

de TI a identificar como estão


posicionados os macro controles de
TI da organização em relação aos
padrões esperado de mercado e as
suas próprias expectativas. Podemos
utilizar a mesma técnica para os
processo de TI aplicados pelo Cobit.
Medidas de Controle
• As medidas de controle para cada processo
de TI não satisfaz todos os requisitos de negócio
no mesmo grau. O framework do Cobit define 3
graus de controle.
- primário: impacta diretamente o critério de
informação a que se refere.
- Secundário: satisfaz parcialmente ou
indiretamente o critério de informação a que se
refere.
- Em branco: pode ser aplicável; entretanto, os
requisitos são satisfeitos de forma mais
apropriada por um outro critério deste processo
ou ainda por outro processos
Alguns objetivos de
controle existentes no

framework
Requisitos de controle genérico
• Cada processo do Cobit tem 6 requisitos de controle
genérico que são comuns a todos os processos, os quais
são definidos no framework. Eles podem ser analisados em
conjunto com os objetivo do controle de processo de forma
detalhada para que possa ter uma visão dos requisito de
controle.
•Controles de aplicações

• O Cobit assume que o projeto e implementação de


controles de aplicações automatizadas deve ser de
responsabilidade da TI, coberto no domínio de aquisição e
implementação, baseado nos requisitos de negócio
definidos usando os critérios de informação do Cobit.
• A TI entrega e suporta os serviços das aplicações,
banco de dados de informação e infraestruturas. Os
processo de TI do Cobit cobrem os controles gerais de TI
mais não suporta os controles de aplicações
Requisitos de controle
genérico de processos
•PC1 Responsável pelo processo
• Determina um proprietário para o processo do Cobit, fazendo
com que a responsabilidade seja clara.
•PC2 Repetitividade

• Define cada processo do Cobit como sendo repetível.


•PC3 Metas e objetivos

• Estabelece metas e objetivos claros para cada processo do


Cobit para a execução eficaz.
•PC4 Funções e responsabilidades

• Define funções, atividades responsabilidades para cada


processo do Cobit para a execução eficiente.
•PC5 Performance do processo

• Mede a performance de cada processo do Cobit em relação


as suas metas
•PC6 Políticas, planos e procedimentos

• Documenta, revisa, mantém atualizada, comunica todas as


partes envolvidas em qualquer política, plano, ou procedimentos
Controles de aplicações
•AC1 Transação de entrada de dados e autorização
• A transação de entrada de dados dentro das aplicações de negócio
devem ser preparadas corretamente por pessoas seguindo políticas
internas ou contratos externos incluindo a prevenção e detecção de erros.
•AC2 Coleção de documentos de origem e entrada de dados

• A entrada de dados é realizada na hora certa pelos membros


autorizados da equipe.
•AC3 Exatidão, integridade e verificação de autorização durante o

processamento
• Os dados que são entrados no processamento (sejam eles gerados
por pessoas ou por sistemas). Devem ser verificados quanto a sua
exatidão, integridade e validade.
•AC4 Integridade e validade de processamento de dados

• Verifica-se os controles de processamento estão sendo executados


corretamente. Executa a validação, autenticação e edição o mais próximo
possível do ponto de origem de dados.
•AC5 Revisão de saída, reconciliação e gerenciamento de erros

• A exatidão integridade do processamento de dados podem


verificados através de relatórios e podem fornecer informações relevantes
de identificação de possíveis erros.
Fluxo Do Cobit E Navegação
Na Estrutura
* Planejamento e
organização
e fe tivid a d e Aquisição e
implementação
e ficiê n cia * Entrega e
co n fid e n cia lid a d e suporte
* Monitorar e
in te g rid a d e avaliar

d isp o n ib ilid a d e
co m p lia n ce
cre d ib ilid a d e aplicações
os controles sobre os informações

PROCESSOS DE TI que atendem infraestrutur


a
focando nas
AS NECESSIDADES DE TI integridade
isso se consegue através de
METAS DE TI
e é medido por.
CONTROLE CHAVE

INDICADORES
Exemplo 1 – DS2
“Objetivo de Controle de Alto
Nível”
Objetivo de Controle de Alto
Nível
DS2 Gerenciar Serviços

Prestados por Terceiros
A necessidade de garantir que os serviços prestados por terceiros atendam
aos requisitos corporativos exige um processo efetivo de gerenciamento de
terceiros.
•Esse processo compreende funções, responsabilidades e expectativas

claramente definidos nos contratos com terceiros, assim como a revisão e


monitoramento desses contratos para verificação da eficácia e
conformidade na prestação dos serviços.
•O gerenciamento efetivo dos serviços prestados por terceiros reduz os riscos

efetividade
associados a fornecedores mal qualificados
eficiênci Critérios da informação
a Eficácia
confidencialidade eficiência
integridade Confidencialidade
Integridade
disponibilidade Disponibilidade
complacência Complacência
credibilidad credibilidade
e
DS2 – gerenciar serviços
prestados por 3°s
• Controle sobre o processo de TI de:
- Gerenciar serviços prestados por terceiros
• Que atende a necessidades de TI de:
- Oferecer os serviços satisfatórios, com a devida transparência em relação
aos benefícios, custos e riscos.
• com foco em:
- Estabelecer relacionamentos e responsabilidades bilaterais com
provedores de serviços tercerizados qualificados e monitorar a entrega
de tais serviços para aferir e garantir o cumprimento dos contratos.
• Isso se consegue:
- Identificando e categorizando os fornecedores de serviços
- identificando e mitigando riscos
- Monitorando e avaliando o desempenho do fornecedor
• E é medido
- Pela quantidade de reclamações de usuários com relação ao serviços
contratados
- pelo percentual fornecedores que atendem as necessidades e os níveis de
serviço estabelecidos
- Pelo percentual de fornecedores sujeito a monitoramento
“objetivos detalhados de
controle”
Objetivos detalhados de
controle
DS2 gerenciar serviços prestados por
• terceiros
DS2.1 identificação de todos os relacionamentos com
fornecedores
- Identificar todos os prestadores de serviços e categorizá-los
de acordo co o tipo, significado e importância. Manter
uma documentação formal dos relacionamentos técnicos
e corporativos, abrangendo as funções e
responsabilidades, metas, resultados esperados e dados
sobre os representantes desses fornecedores.
•DS2.2 gerenciamento do relacionamento com

fornecedores
- Formalizar o processo de gerenciamento do relacionamento
com os fornecedores com cada um deles. Os
responsáveis pelo relacionamento devem se basear em
questões relacionadas ao cliente e ao fornecedor e
garantir que a qualidade do relacionamento seja
fundamentada na confiança e na transparência, usando,
por exemplo, acordos de nível de serviço.
Objetivos detalhados de
controle
DS2 gerenciar serviços prestados por
• DS2.3 gerenciamento terceiros
de riscos
- Identificar e mitigar os riscos associados a capacidade do
fornecedor de prosseguir com a entrega efetiva e
ininterrupta do serviço de forma eficiente e segura.
Garantir que os contratos sigam os padrões universais e
aos requisitos legais e regulamentares. O gerenciamento
de risco deve ainda considerar a elaboração de contratos
de não divulgação, contratos de fideicomisso, viabilidade
continuada, conformidade com os requisitos de
segurança, fornecedores alternativos, multas,
bonificações e etc.
• DS2.4 monitoramento no desempenho do fornecedor
•- Definir um processo para monitorar a entrega do serviço e

garantir que o fornecedor esteja atendendo aos requisitos


corporativo, seguindo o que foi pactuado nos contratos e no
acordo de nível de serviço e que seu desempenho é
competitivo com o de outros fornecedores de mercado
Componentes das diretrizes
de gerenciamento
• As diretrizes de gerenciamento do Cobit
fornecem ferramentas para criar painéis,
scorecards, benchmarking para ajudar a
responder questões relacionadas a TI e o
negócio. Os principais componentes das
diretrizes são os seguintes:
- Entradas e saídas de processos
- Atividades dos processo e gráficos RACI
- Métricas – indicadores de meta
- Métricas – indicadores de desempenho
- Modelos de maturidade
Gráfico RACI
DS2 gerenciar serviços prestados
por terceiros
•Atividades
• Definir o enfoque de monitoramento.
• Identificar e coletar objetivos mensuráveis que suportem as metas
corporativas.
• Criar scorecards.
• Avaliar o desempenho.
• Gerar relatórios sobre o desempenho.
• Identificar e monitorar as iniciativas para a melhoria do
desempenho

•R= responsável – quem faz

•A= cobrado – quem responde

•C= consultado e

•I=informado
Key Goal indicators (KGIs)
•Indicadores de meta – são medidas predefinidas que indicam
se um processo de TI alcançou o requisito do negócio em
termos de critério de informação.
•Os KGIs para TI são os drivers de negócio, usualmente

suportam as perspectivas financeira e clientes, são


medidas que refletem se atingiu-se a meta, são medidas
após o fato ocorrido usualmente expressos nos seguintes
termos:
– Disponibilidade das informações necessárias para suportar as
necessidades de negócio;
– Riscos de fatal integridade e confidencialidade das informações;
– Eficiência nos custos dos processos e operações;
– Confirmação de confiabilidade, efetividade e conformidade das
informações;


K e y G o a lin d ica to rs ( K G Is)
Exemplos de KGIs:

• Aumento do nível de entrega de serviço


• Numero de clientes e custo por cliente atendido
• Disponibilidade dos sistemas e serviços
• Ausência de integridade e riscos de confidencialidade
• Confirmação da confiabilidade e eficácia
• Aderência ao custo de desenvolvimento de prazo
• Custo-eficiencia do processo
• Produtividade da equipe
• Numero de mudanças aplicadas na hora certa nos
processos e sistemas
• Aumento da produtividade
Key performance indicators
(KPIs)
•Indicadores de performance – são
medidas predefinidas que
determinam quanto o processo de TI
conseguiu atingir em relação aos
objetivo.
•Os KPIs referem-se as perspectivas

dos processos e da inovação, são


medidas que refletem as tendências
em termos de atingir ou não a meta
no futuro, são medidas antes do fato.
Key Performance Indicators
(KPIs)
Exemplos de KPIs: Financeiro
•Número de Clientes de TI
•Custo por Cliente TI
•Custo-eficiência do serviço de TI
•Entrega de valor de TI por
funcionário

Cliente Processo
•Nível de Entrega de •Disponibilidade do
Serviço processo e do sistema
•Satisfação do Cliente Informação •Desenvolvimento
•Número de novos clientes dentro do prazo e no
•Número de novos canais custo
de serviço •Tempos de respostas
•Quantidade de erros e
retrabalho

Aprendizado
•Produtividade da Equipe
•Número de pessoas treinadas em uma
nova tecnologia
•Valor Entregue por funcionário
•Aumento da disponibilidade do
conhecimento
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
IT Process Activities

Goal •Ensure mutual satisfacion of •Establish relationships and bilateral •Indentifyng and categorising supplier
s third-party relationships responsibilites with qualified third-party services
•Ensure satisfacion of end users
service providers •Identifyunf and mitigating supplier risk

with service offerings and •Monitor the service delivery and verify •Monitoring and measuring supplier

services levels. adherence to agreements perfomance


•Ensure transparency and •Ensure that the supplier conforms with
Se •
Se
understanding of IT costs, relevant internal and external standards t •
t
benefits, strategy, policies and •Maintain suppliers desire to continue •

service levels. the relationship.


dr

dr
iv

measure measur measure


e

ive
e

Metri •Nunber of user complaints •Perent of major suppliers meeting elearty •Percent of major suppliers
cs due to contracted services defined requirements and service levels subject to clearly defined
•Percent of purchase spend
•Number of forma disputes with suppliers requirements and service levels
subject to competitive •Percent of major suppliers
•Perent of supplier invoices disputed
procurement •
subject to monitoring
• •Level of business of

communication from the business




•Number of significant incidents


of supplier nom-compliance per
time period
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
• Metas das Atividades
• Identificar e categorizar os serviços prestados pelos
fornecedores
• Identificar e mitigar riscos
• Monitorar e avaliar o desempenho dos fornecedores

•São Medidas/Avaliadas por:


•Indicadores Principais de Desempenho (KPI)

• % dos principais fornecedores com requisitos e níveis se


serviço claramente definidos
• %dos principais fornecedores submetidos a monitoramento
• Nível de satisfação do fornecedor com eficiência da
comunicação por parte da empresa
• Número de incidentes significativos relacionados a não
conformidade por parte do fornecedor, por período de
tempo
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
•Metas de Processos
• Estabelecer relacionamentos e responsabilidade bilaterais com provedores
de serviços terceirizados qualificados
• Monitorar a entrega dos serviços e aferir a aderência aos acordos
• Garantir a conformidade do fornecedor com padrões internos e externos
• Manter o desejo do fornecedor em continuar com o relacionamento

•São Medidas/Avaliadas por:

•Principais Indicadores de Metas de Processos (KGI)

• % dos principais fornecedores que atenderam aos requisitos e níveis de


serviço claramente definidos
• % de discussões formais com os fornecedores
• % de faturas que precisaram ser discutidas
Metas e Métricas
DS2 Gerenciar Serviços Prestados por
Terceiros
Metas de TI

• Garantir a satisfação mútua nos relacionamentos com


terceiros
• Garantir a satisfação dos usuários finais com as
opções de serviços e os níveis de serviços
• Garantir a transparência e compreensão dos custos de
TI, benefícios, estratégia, políticas e níveis de
serviço.

•São Medias/avaliadas por:


•Principais Indicadores das Meta de TI

• Número de reclamações dos usuários relacionadas aos


serviços contratados
• % de compras que necessitaram de comparação com
concorrentes
Modelo de Maturidade
Modelo de Maturidade

• O modelo de maturidade é uma maneira


de medir quão bem estão desenvolvidas
os processos.
• O quão bem desenvolvidos eles deveriam
estar depende das necessidades de cada
negócio como já foi mencionado.
• As escalas são exemplos práticos para um
dado processo mostrando um esquema
típico para cada nível de maturidade

Modelo de Maturidade
Não
Existent Inicial Repetível Definido Gerenciad Otimizado
e o

Legenda
0 – Não há definição e gerenciamento de
processos
1 – Processos são informais e irregulares
2 – Processos seguem um padrão regular
3 – Processos são documento
4 – Processos são monitorados e medidos
5 – Melhores práticas automatizadas
Modelo de Maturidade

• As escalas de maturidade ajudam a explicar


onde estão os pontos de melhoria e definem
o conjunto de objetivos de onde eles
precisam estar se comprados com as
melhores práticas da organização ou do
mercado.
• O nível correto de maturidade será influenciado
pelos objetivos estratégicos da empresa, que
por sua vez dependem o quanto a empresa
depende de TI tanto para gerar negócios ou
quanto dependente é das informações.
• Mede a capacidade de um processo atingir os
objetivos do negocio.
Exercício prático:
diagnóstico de processo
Objetivos detalhados de
Controle
PO10 Gerenciar projetos
•PO10.7 Planejamento de projeto integrado
• Elaborar um planejamento de projeto integrado formal e
aprovado (abrangendo os recursos corporativos e de
sistemas da informação) que ira orientar a execução do
projeto e controlar todo seu ciclo de vida. As atividades
em interdependência entre os vários projetos que
compõe o programa deverão ficar bem claras
documentadas. Esse planejamento devera ser atualizado
durante o decorrer do projeto. O planejamento assim
como as respectivas alterações, deverão ser aprovadas,
sempre de acordo com a estrutura de governança do
projeto e do programa.
•PO10.8 Recursos do projeto

• Definidos as responsabilidades, relacionamentos,


autoridades e critérios de desempenho para os membros
da equipe do projeto e especificar uma base para
aquisição e associação dos devidos membro e/ou
Objetivos detalhados de
Controle
PO10 Gerenciar
PO10.9 Gerenciamento de riscos do projeto

projetos
• Eliminar ou minimizar os risco específicos e associados a cada projeto
valendo-se para tal de um processo sistemático de planejamento,
identificação, analise, resposta, monitoramento e controle das áreas e
eventos que potencialmente poderiam provocar mudanças não
desejadas os riscos enfrentados pelo processo de gerenciamento de
projeto e produtos tangíveis do projeto devem ser estabelecidos e
registrados em um local centralizado.
•PO10.10 Planejamento da qualidade do projeto

• Elaborar um planejamento de gerenciamento de qualidade que descreva o


sistema de aferição da qualidade do projeto e como ele será
implementado este planejamento deverá ser formalmente revisado e
pactuado por todas as partes envolvidas e então incorporado ao
planejamento integrado do projeto.
•PO10.11 Controle de mudanças no projeto

• Elaborar um sistema de controle de mudanças para cada projeto, de forma


que todas as mudanças nas referencias do projeto, por exemplo, custos,
cronograma, escopo e qualidade, sejam devidamente revisadas,
aprovadas e incorporadas ao planejamento integrado do projeto,
sempre de acordo com a estrutura de governança e o programa.

Objetivos detalhados de
Controle
PO10 Gerenciar projetos
PO10.12 Métodos de planejamento de garantia do projeto

• Identificar as tarifas de garantia necessárias para certificação dos sistemas


novos ou modificados durante o planejamento do projeto e incluí-las ao
planejamento integrado do projeto.
•Essas tarefas deverão garantis que os controles internos e as funcionalidades

de segurança atendem aos requisitos especificados.


•PO10.13 avaliação, relatório e monitoramento do desempenho do projeto

• Avaliar o desempenho do projeto segundo os principais critérios do projeto


com, por exemplo, escopo, cronograma, qualidade, custos e riscos.
Identificar quaisquer desvios com relaçao ao planejamento. Avaliar o
impacto sobre o projeto e o programa como um todo. Reportar os
resultados para os principais envolvidos. Recomendar, implementar e
munitorar medidas corretivas, quando nencessário, segundo a estrutura
de governança e o programa.
•PO10.14 conclusão do projeto

•* exigir que, no final de cada projeto, os envolvidos confirmem que o projeto

teve os resultados e benefícios previstos. Identificar e comunicar qualquer


atividade relevante necessária para se chegar aos resultados e benefícios
previstos. Identificar e comunicar qualquer atividade relevante necessária
para se chegar aos resultados previstos do projeto e os benefícios do
programa. Identificar e documentar as liçoes aprendidas para uso em
Gráfico RACI
PO10 Gerenciar projetos
• Atividades
- Definir o enfoque de monitoramento
- Identificar e coletar objetivos
mensureveis que suportam as
metas corporativas.
- Criar scorecards
- Avaliar o desempenho
- Gerar relatórios sobre o desempenho
- Identificar e monitorar as iniciativas
Meta e métricas
PO10 Gerenciar Projetos
• Metas das atividades
- Definir e implementar o programa e a abordagem e estruturas do
projeto
- Elaborar as diretrizes de gerenciamento do projeto
- Executar o planejamento de projeto para cada projeto do portfólio
de projetos.

São medidas/avaliadas por:


• Principais indicadores de Desempenho(KPI0


• % dos projetos que atendem aos padrões e práticas de
gerenciamento de projeto.
• % dos gerentes de projeto treinados e certificados
• % dos projetos com revisões pós-implementação
• % dos interessados que participam dos projetos (índice de
envolvimento).
Metas e métricas
PO10 Gerenciar projetos
• Metas dos processos
• Definir mecanismos de controle do projeto e de
custos/prazos
• Transparência sobre o status do projeto
• Gerenciamento do projeto sempre oportuno

• São medidas/avaliadas por:
• Principais indicadores de metas de processos
• % de projetos dentro do prazo, do orçamento
• % de projetos que atendem as expectativas dos
interessados.
Meta e métricas
PO10 Gerenciar Projetos
Metas de TI

– Responder aos requisitos corporativos de acordo


com a estratégia corporativa.
– Entregar os projetos dentro do prazo e do
orçamento, honrando sempre aos padrões de
qualidade
•São medidas avaliadas por:
•Principais indicadores das metas de TI

– % dos projetos que atendem as expectativas dos


interessados (dentro do prazo, do orçamento e que
atendem aos requisitos regulamentares, de acordo
com a importância).
Modelo de maturidade
PO10 Gerenciar Projetos
• O gerenciamento do processo Gerenciar projetos, que atende o
requisito de TI de entrega dos resultados do projeto dentro dos
prazos, orçamento e qualidade pactuados é:
•0 inexistente quando

• Não são utilizadas técnicas de gerenciamento e de projeto e


a empresa não considera os impactos para a empresa associados
as gerenciamento equivocado e erros no desenvolvimento do
projeto.
•1 inicial ad hoc quando

• São utilizadas técnicas e abordagens para o gerenciamento


de projetos de TI, mas essa decisão é delegada a cada gerente de
TI. Falta comprometimento no que se refere à propriedade do
gerenciamento DE PROJETO. As decisões criticas sobre
gerenciamento do projeto são tomadas sem informações por parte
da gerencia dos usuários e dos clientes. H á pouco ou nenhum
envolvimento do cliente e do usuário na definição de projetos de
TI. Não há funções e responsabilidades definidas para o
gerenciamento de projetos. Os projeto, cronogramas e marcos não
são claramente definidos e, por vezes, nem são definidos. O
Modelo de maturidade
PO10 Gerenciar Projetos
•2 repetitivo, mas intuitivo quando
• A gerencia sênior tem e transmitiu a necessidade de gerenciamento
dos projetos de TI. A empresa esta desenvolvendo e empregando algumas
técnicas e métodos em determinado projetos. Foram definidos objetivos
corporativos e técnicos informalmente para os projetos de TI. Há um certo
envolvimento por parte dos interessados no gerenciamento de projetos de
TI. Começam a ser desenvolvidas diretrizes ainda fica o critério de cada
gerente de projeto.
•3 processo definido quando

• Foi definida e comunicado uma metodologia e processo para o


gerenciamento de projetos de TI. Os projetos de TI são definidos segundo
os devidos objetos corporativos e técnicos. A gerencia sênior de TI e
executiva começa a se comprometer e envolver com gerenciamento dos
projetos de TI. Foi instituído um departamento de gerenciamento de
projetos dentro da área de TI, com funções e responsabilidades definidas.
Os projetos de TI são monitorados com marcos, cronogramas, orçamento e
avaliações de desempenho definidos e atualizados. Há treinamento em
gerencia de projeto. Mas esse treinamento ainda é resultado de iniciativas
de certas equipes. Foram definidos procedimentos de garantia da
qualidade e atividades de implementação pós-sistema, mas que ainda não
são aplicadas amplamente por todos os gerentes de TI. Os projetos
Modelo de maturidade
PO10 Gerenciar Projetos
•4 gerenciado e mensurável quando
• O gerenciamento exige métricas formais e padronizadas de projeto e as lições
aprendidas dão revizadas após a conclusão do projeto. O gerenciamento do projeto é
medido e avaliado] com toda a empresa e não apenas na áres de TI. Os
aperfeiçoamentos no processo de gerenciamento de projetos são formalizados e
comunicados e os membros das equipes de projeto recebem treinamento sobre tais
aperfeiçoamento. A gerencia de TI também implementou umas nova estrutura na
area de projeto, com funções, responsabilidades de critérios de avaliação do
desempenho da equipe documentados. Foram definidos critérios para avaliar o êxito
de cada marco. O valor e os riscos são medidos e gerenciado antes, durante e depois
da conclusão dos projetos. Os projetos cada Vez mais atendem as metas da empresa
com um todo e não apenas as específicas de ti. A gerencia de projeto para as equipe
envolvidas e para TI.
•5 otimizado quando

• Foi implementado, atestado e integrado um programa e ciclo completo do


projeto na cultura de toda a empresa. Foi implementada também uma iniciativa
constante de identificação e institucionalização de melhores práticas de
gerenciamento de projeto. Foi definida a implementada uma estratégia de TI para a
realização de projetos de desenvolvimento e operacionais. Uma área de
gerenciamento de projetos integrada é responsável pelos projetos e programas, da
introdução a pos-implementação. O planejamento de programas e projetos em toda a
empresa garanta que o usuário e os recursos de TI estão sendo empregados da
melhor forma possível para suportar as iniciativas estratégicas.
Assurance guide roadmap
O assurance guide roadmap consiste de três

estágios.
• planejamento: estabelecer o universo de TI a ser
validado, a cada iniciativa de validação
• Escopo: o escopo do processo começa com a
definição das metas de negócio e TI para o
ambiente sobre revisão e na identificação do
conjunto de processos e recursos requeridos
para suportar essas metas.
• Execução: o terceiro estágio no roadmap de
validação de TI. Será este estágio o assunto
dos próximos slides.
Recursos ou produtos do
Cobit
• Este módulo vários produtos e
serviços fornecidos pelo ISACA e
ITGI para suportar o Cobit.
• Os quatro produtos a seguir do
conjunto do Cobit, disponibilizados
pela ITGI, ajudam as organizações
a adotar, implementar e gerenciar
requisitos de governança de TI
usando o COBIT.
COBIT online
O Cobit online

• Apresenta o conteudo do Cobit usando um


sistema baseado na web e amigável.
• Disponibiliza e muitos usuários olhem, busquem,
dividam e acessem a base de conhecimento.
• Suporta download no formato de texto ou
formulários, alimenta sistemas locais, segue a
abordagem do portal, capacita comparações de
benchmark e analise de gap, e cria mapas.
Cobit online: vantagens
As vantagens do Cobit online são:

• Ele fornece um repositório com fácil acesso de todas as


informações relacionadas ao Cobit e disponibiliza
feedback de usuários.
• Ele disponibiliza que o ISACA – ITGI mantenha o conteúdo e
implementa futuras versões gravado um feedback
filtrado, capturado o conhecimento de peritos,
fornecendo atualizações i]online freqüentes, e
capacitados produções automática de impressões. O
Cobit online é uma fonte primaria para informações
atualizadas no Cobit.
• Ele funciona como um local de encontro para anúncios,
fóruns de discussões, e download grátis
Cobit online
•O Cobit online amplia as possibilidades de
pesquisas e comparações para evitar risco
empresários, satisfazem necessidade de controle
e obter informações sobre aspectos tecnicos. O
cobit online é uma base de recursos da internet
onde é possível baixar diversos arquivos em pdf,
postar duvidas na comunidade online obter
indicadores para os objetivos de controles e
realizar benchmark para avaliação de maturidade
dos processos com outras empresas do setor .
•O cobit online esta disponível a partir do site

www.isaca.org. Para obter acesso é necessário ser


membro do ISACA ou comprar uma inscrição de
acesso.
Cobit quickstart
O cobit quickstart:

• Disponibiliza que você adote os elementos importantes do


cobit facilmente fornecendo uma versão resumida dos
recursos do Cobit.
• Se foca nos processos de TI, objetivos de controle e
métricas.
• Fornece uma base de objetivos de controle para empresas
de pequeno e médio porte e pequena entidades de
grandes empresas, onde a TI não é estratégica ou critica
para sobrevivência.
• Os servidores estão começando a postar para outras
empresas em avançar um nível apropriado de controle e
governança de TI.
Cobit quickstart: baseline
Cobit quickstart:

• Está disponível como uma publicação.


• Ajuda a entender rapidamente problemas
importantes e prioridades de gerenciamento.
Alem disso, pode ser seguido por pessoas não
técnicas ou gerentes que querem princípios,
não detalhes; e atua como um springboard
para o Cobit.
• Pode ser utilizado para executar uma avaliação
para priorizar os processos do Cobit, quando
começa a implementação do Cobit ou projeto
de governança de TI.

Cobit quickstart:
componentes
Os componentes do Cobit Kuickstart

contém cerca de 20% dos objetivos


de controle do Cobit e componentes
de gerenciamento. Cada um desses
objetivos de controle esta
relacionando a um ou mais dos
objetivos de controle detalhados do
cobit.
Cobit quickstart
•O cobit quickstart possibilita você adotar facilmente os
elementos mais importantes DO Cobit.
•É uma versão resumida dos recursos do cobit, representa 20%

do conteúdo. O Cobit quickstart foca nos processos do TI,


objetivos de controle e métricas, e ajuda os usuários a
ganhar rapidamente os benefícios do cobit.
- É direcionado para empresas de pequenos e médio portes
onde a TI não é estratégica ou absolutamente critica
para sobrevivência da empresa.
- Fornece uma seleção dos itens básicos do cobit.
- Fornece um fundamento das principais ações a executar
- Esta disponível a partir do Cobit online.
Guia de implementação de
governança de TI
O guia de implementação tem como

objetivo:
• Ajudar a organização a implementar a
governança de TI usando o Cobit.
• Garantir que o foco esteja nas
necessidades de negócios enquanto
melhora o controle e a governança de
processos de TI.
• Possuem uma serie de arquivos
complementares no formado de
templates, apresentações, documentos
úteis, e ferramenta de avaliação.
G u ia d e im p le m e n ta çã o d e
g o ve rn a n ça d e T I
•O guia de implementação de governança do TI é uma
roadmap para conselho de administração, gerencia
executiva, profissionais de TI de controle, profissionais de
auditorias em TI e gerentes de conformidade.
•O guia de implementação fornece:

• Uma metodologia, um roadmap detalhando e um conjunto


de ferramentas para implementar um ciclo de vida de
governçade TI continua usando o Cobit.
• Foca uma metodologia genérica nas seguintes áreas:
•- por que a governança de TI é importante e por que as
organizações devem implementá-la.
•- Como o Cobit esta vinculado com a governança de TI e
como o Cobit possibilita a implementação da governança
de TI.
Em destaque do guia de
implementação: VAL/IT
VAL/IT estende e complementa o Cobit, o que fornece

framework de controle compreensivo para governança do


TI. Especificamente, o VAL/IT foca:
• Na decisão de investimento (estamos fazendo as coisas
certas?)
• Na realização de benefícios (estamos conseguindo os
benefícios?).
• Enquanto o Cobit se foca na execução (estamos fazendo do
jeito certo e estamos obtendo os resultados).
• A marca dessa iniciativa, a qual intui pesquisa, publicações
e serviços de suporte, é ajudar o gerenciamento a
endereçar este desafio, e garantir que a organização
realize o valor otimizado dos investimentos de negócios
permitidos pelo TI, a um preço acessível, com um nível
de risco conhecido e aceitável.

Val-it
• Val IT é baseado nos Four ares,
respondem as questões
funda,mentais do valor entregue por
TI.
Princípios do Val-IT
• Investimentos permitidos pelo TI serão gerenciados como um
portfólio de investimento.
• Investimento permitido pela TI irão incluir o escopo completo das
atividades que são necessárias para alcançar o valor de
negócios.
• Investimento permitido pelo o TI serão gerenciados através de
todo o seu ciclo de vida econômica.
• As praticas de entrega de valor irão reconhecer que existem
diferentes categorias de investimentos que serão avaliadas e
gerenciado diferentemente.
• As pratica de entrega de valor irão definir e monitorar métricas
chaves irão responder rapidamente para qualquer mudança ou
divergência.
• As praticas de entrega de valor irão engajar todas os acionista e
definir uma cobrança apropriada para entrega de capacidade e
realização de benefícios de negócio.
• As praticas de entrega de valor serão continuadamente
Cobit security baseline
•O Cobit security de bseline ajuda uma
organização a se focar nos passos
essenciais para extrair informações mais
importantes relacionadas a segurança do
framework do Cobit.
•Este documento é uma destilação do Cobit

para vários grupos de usuários, sugerindo


os passos de controles mínimos para cada
processo e o objetivo de controle
detalhado do Cobit.
•Inclui também um mapa de controles

relacionados com a ISO 17799.


Práticas de controle
•As praticas de controle descrevem quase 1600 “praticas de
controle”, que estendem a hierarquia de domínio –
processo – objetivo de controle. São mecanismos que dão
suporte para alcançar objetivos de controle, como
prevenção, detecção e correção d eventos não desejados
através do uso adequado dos recursos, gerenciamento de
risco apropriado e alinhamento do TI COM NEGÓCIO.
•As praticas de controle detalham:

- Como cada processo pode ajudar a controlar e gerenciar


riscos.
- Gerenciamento de risco através das redução da
probabilidade das conseqüências adversas da ameaças
vulnerabilidade.
- Aumento dos benefícios através do ganho de de eficiência
e/ou eficácia
- Indicadores de performance das diretrizes de
Aplicabilidade do Cobit
• A gerencia precisa do Cobit
•– para avaliar as decisões de investimentos de TI.

- Para balancear risco e controle de investimento de controle


de TIO que são geralmente imprevisíveis.
- Para fazer comparações de ambientes de TI atuais e
faturas.
• usuário precisa do Cobit:
- Para obter garantia na segurança e controle de produtos e
serviços fornecidos internamente e por terceiros
- Is auditores querem falar sobre Cobit
- Para substanciar as opiniões para gerencia dos controles
internos.
- Para responder as seguintes questões:
•Quais são os controles mínimos necessários?


Um produto para diversas
audiências etc...
• Comite executivo
• Gestores de negócios
• Gerente de TI
• Gerente de projeto
• Desenvolvedores
• Operações
• Usuários
• Information security officer
• auditores
Comite Executico
Cobit pode servir os seguintes objetivos para você

• Aceitações e adoção do Cobit como um modelo


corporativo de TI para todas as empresas
dentre uma Holding.
• Algumas abordagens especificas que podem se
provocar úteis para você:
• Usar cobit pra complementar os controle internos
já existentes.
• Usar o modelo de processo para estabelecer uma
linguagem comum entre as unidades de
negócios e a área de TI; deixar claro as
responsabilidades de cada um.
• Exemplo: grupo Votorantim
Gestores de negócios
• O cobit pode servir os seguintes objetivos para
você:
• Estabelecer um modelo comum para gerenciar e
monitorar a contribuição do TI para o negócio.
•Alguma abordagem especifica que pode se aprovar

úteis para você:


• Usar objetivos de controles do Cobit como um
código de boas praticas para lidar com o TI
dentro de uma função e negócios.
• Usar objetivo de controles do Cobit para
determinar necessidades a serem coberta pelo
ANS – acordo de nível de serviço (interno ou
terceirizados).
Gestores de TI
•Cobit pode servir os seguintes e objetivos para você:
• Utilizar o modelo de processo e os objetivos de controles
detalhado do Cobit para estruturar as funções de serviço
de TI em um processo controlado focando em agregar
valor ou negócio.
•Alguma abordagem especificas que podem se provar uteis

para você:
• Utilizar modelo de controle do Cobit para estabelecer SLA e
a base de comunicação com as áreas de negócios.
• Utilizar modelo de controle do Cobit como base de
avaliação desempenho de processo, políticas e normas
de TI.
• UTILIZAR O Cobit como um mocelo padrão para estabelecer
níveis apropriados de objetivo de controle e certificações
externas.
• Exemplo: TIVIT (exemplo-OPTIGLOBE) da transparência a
Gerentes de projetos
•Cobit pode servir os seguintes objetivo para você
• Como uma estrutura mínima de projeto e padrão
de garantia de qualidade.
•Alguma abordagem especifica que podem se

aprovar úteis para você.


• Utilizar cobit para ajudar a garantir que os
projetos incorporem fazes usualmente aceitas
em planejamento de TI, aquisição e
desenvolvimento, entrega de serviço,
gerenciamento de projetos e avaliações
• Processo de framework: PO10- GERENCIA DE
PROJETOS, DS06 – identificação e alocação de
custos, PO05 – gerencia de investimento de TI,
Desenvolvedores
•Cobit pode servir os seguintes objetivos para você
• Como um guia de controles para serem aplicados dentro do
processos desenvolvimento, bem como para controle
interno para ser integrado no sistema de informações
sendo construídas.
•Alguma abordagem específica que podem se provar úteis

para você
•* Utilizar o cobit para garantir que todo as os objetivos de

controle d TI aplicáveis em projetos de desenvolvimento


tenham sido utilizadas (principalmente os processo AI1 -
identificação de soluções automatizadas, AI1 – aquisição e
manutenção de sistemas aplicativos, AI4 –desenvolvimento
e manutenção dos procedimentos de TI e AI7 –instalar e
validar sistemas soluções e mudanças.
Operações
•Cobit pode servir os seguintes objetivos para você:
• Como um guia de controles para serem aplicados
dentro dos processo de entrega de serviços e
suportes, colocando de forma clara os objetivos
do cliente.
• Algumas abordagens especificas que podem
ser aprovadas úteis para você
• Utilizar o Cobit para garantir que todos os
objetivos de controle de TI aplicáveis e entrega
de serviços e suporte, tenham sido utilizadas
(principalmente os processos do domínio DS).
• Garantir que as políticas e procedimento
operacionais são suficientemente
compreendidas pela organização.
Usuários
•Cobit pode servir os seguintes objetivos
para você:
• Como um guia de controles para serem
integrados com o sistema de informação
em produção ou em desenvolvimento.
•Alguma abordagem especifica que possa se

aprovar úteis para você:


•* Utilizar o cobit para guia os ANS – acordo

de nível de serviço internos ou


terceirizados.
Security officer
•Cobit pode servir de seguintes objetivo para
voce:
• Como uma estrutura que prove uma forma
de integrar a segurança da informação
com outras área relacionadas com o
objetivo de TI.
•Alguma abordagem especifica que possa ser

úteis para você:


• Utilizar o Cobit para estruturar o programa
de segurança da informação, políticas e
procedimentos.
Auditores
•Cobit pode servir os seguintes objetivos para você:
• Como uma fase para determinar o universo de auditoria de
TI e como uma referencia de controle TI.
•Alguma abordagem especifica que possa ser úteis para você

• Utilizar o cobit como critério para revisar e examinar


auditorias de TI.
•OS OBJETIVOS DAS AUDITORIAS SÃO:

• Prover aos gestores, com razoável garantia de objetivos de


controle estão sendo cumpridos;
• Onde houverem pontos fracos de controle, substanciar os
risco resultantes;
• Aconselhar os gestores com ações corretiva .
Relacionamento com outras
metodologias
Iso 17799
• Objetivo de controle voltados para
segurança da informação de ativos
envolvendo processo de negócios,
tecnologia e pessoas.
• Excelente para implementa controles de
segurança envolvendo a vulnerabilidade
e o risk assessmend de ativos de TI.
• Últimos controles sobre os procedimentos
de gestão de segurança da informação e
continuidade de negócio.
Exercício prático
• Entre os participantes identificar aquele que se voluntariar para
utilizar o caso de sua empresa para ser diagnosticado; monta-
se os grupos de acordo com, o numero de participantes.
• Objetivo do exercício é analisar em grupo (e conseqüentemente se
familiarizar) os objetivos de controles detalhados.
• Serão feitos 2 atividades:
1. Selecionar o processo que consideram o mais importante e
explicar porque.
– Todo terão que ler e entender os objetivos do processo
2. Determinar o nível de maturidade deste processo e explicar

porque chegaram a esta conclusão


– todos terão que ler e entender os detalhes dos objetivos de controle, definir

os KGI e o KPI e o modelo de maturidade .