SOPA DE LETRINHAS DA TI

COSO
• Em 1975, foi criado, nos Estados Unidos, a Nacional Commission on Fraudulent Financial
Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa
independente, para estudar as causas da ocorrência de fraudes nos relatórios
financeiros/contábeis.

• Em 1992, publicou o trabalho Internal Control – Integrated Framework (Controles

Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para o
estudo e aplicação dos controles internos.

• O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios
financeiros através da ética, efetividade dos controles internos e governança corporativa.
 COSO
• O Trabalho do COSO e o Objetivo é o Controle Interno. Entenda-se por Controle Interno
um processo desenvolvido para garantir, com razoável certeza, que sejam atingidos os
objetivos da empresa, nas seguintes categorias:
•
Eficiência e efetividade operacional, Confiança nos registros contábeis/ financeiros,
Conformidade

• Pelo COSO, o Controle Interno é um processo constituído de cinco elementos, que estão
inter-relacionados e presentes em todo o controle interno:

•Ambiente de controle;
• Avaliação e gerenciamento dos riscos;
• Atividade de controle;
• Informação e comunicação;
• Monitoramento.

• O COSO declara que o controle interno é um processo estabelecido pelo conselho

administrativo, gerentes e outros – desenhado para fornecer uma segurança razoável
relacionada a realização dos objetivos declarados.
COSO
 COBIT

• O acrônimo COBIT significa Control Objectives for Information and related Technology -
Objetivos de Controle para Informações e Tecnologias relacionadas. O COBIT é um
framework de governança e controle, que foca no que precisa ser alçado ao invés de se
preocupar em como alcançar.

• O COBIT é um framework que fornece as melhores práticas para o gerenciamento de

processos de TI, estruturados de uma forma gerenciável e lógica, atendendo as várias
necessidades de gestão da organização, tratando os riscos de negócio, questões
técnicas, necessidades de controle e métricas de desempenho
 Val IT
• É uma estrutura de organização detalhada que permite a criação do valor de negócio
dos investimentos. Foi Projetado para estar alinhado com o COBIT, o Val IT fornece
apoio direto aos executivos em todos os nível da administração através do negócio e
de TI, CEO, gestores, gerentes e aos administradores envolvidos diretamente na
seleção, obtenção, desenvolvimento, execução, distribuição e realização de valores
para o negócio.

• Tem como característica apresentar uma estrutura integrada de administração que

fornece informações para um alinhamento e uma tomada de decisão consciente
criando assim valor para o negócio de forma concreta e mensurável.
  ITIL (Information Technology Infrastructure Library)

• A ITIL é uma série de livros, que definem objetivos e atividades e as entradas e saídas
de cada processo, mas a Biblioteca ITIL não é específica em mostrar como fazer
determinada atividade, mas sugerir um modelo de boas prática que podem ser
utilizadas de várias formas dependendo da maneira como a empresa espera o
resultado ou priorizando os processos mais críticos. 

• ITIL não é uma metodologia ou mesmo uma norma, são conjuntos de práticas
estruturadas em processos que podem ser utilizadas em qualquer empresa, as práticas
podem ser alteradas dependendo do cenário e do processo desenhado, 
ITIL é baseada em fornecer serviços de alta qualidade, com ênfase no serviço e no seu
ciclo de vida, a ITIL enxerga a organização como uma provedora de serviços,
independente se é interno ou externo.
MOF (Microsoft Operation Framework)
• Consiste em melhores práticas, em princípios, e nas atividades integradas que fornecem
diretrizes detalhadas conseguindo a confiabilidade para soluções e serviços de TI,
abrange todas as atividades e processos envolvido no controle de um serviço de TI: sua
concepção, desenvolvimento, operação, manutenção, até a sua aposentadoria.

• O objetivo de MOF é fornecer-lhe a orientação para ajudá-lo a criar, operar, e apoiar

serviços e assegurar de que o investimento entregue atinja as expectativas do negócio.
MOF trabalha como um ciclo de vida de serviço com pontos de controles bem definidos
que ajudam a organizar e permiti uma visão geral do andamento das fases.
  ISO/IEC 20.000
• É uma norma voltada para o Gerenciamento de Serviços de TI e tem 2 divisões:

• A ISO/IEC 20000-1 é uma especificação formal e define os requisitos para uma

organização entregar serviços gerenciados com uma qualidade aceitável para seus
clientes.

• A ISO/IEC 20000-2 é o Código de Prática e descreve as melhores práticas para os

processos de Gerenciamento de Serviço dentro do escopo da ISO/IEC 20000-1. O
Código de Prática será de uso particular para as organizações se prepararem para serem
auditadas na ISO 20000 ou planejar melhorias no serviço.
 ISO/IEC 27.000
• É uma norma padrão para sistema de gerência da segurança da informação, tendo
como objetivo códigos de práticas para gerência da segurança da informação, o qual
lista objetivos do controle de segurança e recomenda um conjunto de especificações
de controles de segurança.

• A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO,
como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência
ambiental), ISO 20000 (Gerenciamento de Serviços).

• Uma organização que implementa esta norma garante que implementou um sistema
para gerência da segurança da informação de acordo com os padrões, proporcionando
credibilidade e garantias à gerência, parceiros de negócios, clientes e auditores.
BSC (Balanced Score Card)
• É uma metodologia disponível e aceita no mercado desenvolvida pelos professores da
Harvard Business School, Robert Kaplan e David Norton, em 1992.

• Os passos dessas metodologias incluem: definição da estratégia empresarial, gerência

do negócio, gerência de serviços e gestão da qualidade; passos estes implementados
através de indicadores de desempenho e tem como base 4 perspectivas principais:
• Financeira
• Clientes
• Processos internos
• Aprendizado e conhecimento

• a partir de uma visão balanceada e integrada de uma organização, o BSC permite

descrever a estratégia de forma muito clara através das perspectivas
mencionadas. 
SOX (Sarbanes-Oxley Act):

• É uma lei americana que foi assinada em 30 de Julho de 2002 e sua criação teve como
objetivo os escândalos financeiros coorporativos (dentre eles o da Enron, que acabou
por afetar drasticamente a empresa de auditoria Arthur Andersen), essa lei foi
redigida com o objetivo de evitar o esvaziamento dos investimentos financeiros e a
fuga dos investidores causada pela aparente insegurança a respeito da governança
adequada das empresas.

• A SOX visa garantir a criação de mecanismos de auditoria e segurança confiáveis nas

empresas, incluindo ainda regras para a criação de comitês encarregados de
supervisionar suas atividades e operações, de modo a mitigar riscos aos negócios,
evitar a ocorrência de fraudes ou assegurar que haja meios de identificá-las quando
ocorrem, garantindo a transparência na gestão das empresas.
 PMI (Project Management Institute)

• É uma organização não lucrativa que tem o intuito de desenvolver e divulgar

métodos de desenvolvimento de projetos, para tanto o instituto desenvolve uma
série de trabalhos e congressos ao redor do mundo, fundada em 1969 e está
presente em mais de 170 paíes.

• Utilizar as técnicas do PMI através do Pmbok é uma boa prática para a governança
de TI, tendo em vista a grande quantidades de projetos existentes na área, apesar
do Pmbok ser utilizado em diversas áreas e atividades está entre os líderes no
mercado de tecnologia para o gerenciamento de projetos.
 PRINCE2
• Foi lançado como um método para gerenciamento de projetos pelo governo britânico
em 1996, tendo sido criado em 1989 a partir do PROMPTII, o qual, por sua vez, surgiu
em 1975 e foi adotado em 1979 como padrão para gerenciamento dos projetos de
sistemas de informação do governo.

• Hoje, o PRINCE2 vem sendo adotado como padrão para todos os projetos
governamentais no Reino Unido e amplamente utilizado pela iniciativa privada não só
naquele país, mas também em outros lugares da Europa, África, Oceania e Estados
Unidos.

• Considerado o método de gerenciamento de projetos mais utilizado no mundo

principalmente quando falamos em projetos de Governança de TI ainda tendo uma
grande compatibilidade com o Pmbok.
CMMI (Capability Maturity Model Integration) 

• É um modelo de referência que contém práticas (Genéricas ou Específicas)

necessárias à maturidade em disciplinas específicas (Systems Engineering (SE),
Software Engineering (SE), Integrated Product and Process Development (IPPD),
Supplier Sourcing (SS)).

• Desenvolvido pelo SEI (Software Engineering Institute), o CMMI é uma evolução

do CMM e procura estabelecer um modelo único para o processo de melhoria
corporativo, integrando diferentes modelos e disciplinas.
• O MPS.BR ou Melhoria de Processos do Software Brasileiro é simultaneamente um movimento para a
melhoria da qualidade (Programa MPS.BR) e um modelo de qualidade de processo (Modelo MPS)
voltada para a realidade do mercado de pequenas e médias empresas de desenvolvimento de software
no Brasil.

• Ele é baseado nas normas ISO/IEC 12207 e ISO/IEC 15504 e na realidade do mercado brasileiro, bem
como é compatível com o CMMI. No Brasil, uma das principais vantagens do modelo é seu custo
reduzido de certificação em relação as normas estrangeiras, sendo ideal para micro, pequenas e médias
empresas.

O MPS.BR apresenta 7 níveis de maturidade (o que é um diferencial em relação aos outros padrões de

processo) que são:
• A - Em Otimização;
• B - Gerenciado quantitativamente;
• C - Definido;
• D - Largamente Definido;
• E - Parcialmente Definido;
• F - Gerenciado;
• G - Parcialmente Gerenciado.
• O SCRUM  é um processo de desenvolvimento iterativo e
incremental para gerenciamento de projetos e desenvolvimento ágil de software.

• Scrum é um método ágil empírico, iterativo com entregas  incrementais.

• Empírico porque apoia-se no empirismo que afirma que o conhecimento vem da

experiência e de tomada de decisões baseadas no que é conhecido. O Scrum emprega
uma abordagem iterativa e incremental para aperfeiçoar a previsibilidade e o controle
de riscos.