cobit 4

CobiT 4.1 Foundation

Implementando Cobit como Framework para Governança de TI

OBJETIVOS DESTE CURSO

• Entender o conceito de Governança e Governança de TI

• Entender os princípios e objetivos do CobiT e do CobiT Framework

• Apresentar alguns modelos e abordagens úteis na adoção do framework de medição e performance usando as métricas e indicadores do CobiT

• Como o CobiT pode ser utilizado na Gerência e auditoria de TI.

• Considerações sobre a prática da implementação

AGENDAPrimeiro dia• Sessão 1-1:- Check in- Os desafios das organizações de TI- Governança Corporativa x Governança de TI- Introdução ao CobiT• Sessão 1-2:- Modelo de maturidade- Domínios- Conteúdo da Estrutura do CobiT- Objetivos de controle

Segundo dia• Sessão 2-1:- Exemplos- Aplicabilidade do CobiT- Diretrizes de auditoria- Práticas de controle- Relacionamento com outras metodologias• Sessão 2-2:- Exercício prático: diagnóstico de um Processo- Simulado de exame e correção em classe

SESSÃO 1-1:

OS DESAFIOS DAS ORGANIZAÇÕES DE TI

OS DESAFIOS DE TI

• Tipicamente, os problemas a seguir podem surgir por causa de falha técnicas:

- Processos de negócios críticos, como o processamento de pedidos estar corrompido

- Pessoal administrativo incapaz de lidar com diários, correspondências ou documentos.

- Clientes incapazes de contatar as centrais de atendimentoOs problemas a seguir podem resultar na perda de negócios,

redução de benefícios e estragos na reputação da organização

Manter o TI em funcionamento

OS DESAFIOS DE TI

Dados os investimentos significantes feitos na TI e a importância estratégica dos projetos de TI, as organizações precisam garantir que o TI forneça valor. Na maioria dos projetos que excedem expectativas orçamentárias ou prazos, os problemas típicos são:

- Requisitos pobremente definidos• ...Definição de requisitos

- Sistemas muito complexos para implementar• ...Sistemas modulares

- Subestimação do esforço necessário• ...Gerenciamento de recursos

- Pobre gerenciamento de projeto• ...gerenciamento de projetos

Valor

OS DESAFIOS DE TI

Tipicamente, os motivos para gastos mais altos são:• Os custos associados aos ativos de TI não são entendidos.• Orçamentos operacionais estão aumentando por causa

dos contratos de licenciamento, manutenção e outsourcing complexos.

• Há uma diminuição de recursos habilidosos• Grandes perdas financeiras ocorrem por causa de

projetos falhos• Os gastos de TI pelas unidades de negócios e

departamentos centrais de TI não são coordenados.

Custos

OS DESAFIOS DE TI

Os problemas típicos surgem porque estas complexidades são:

- Manutenção de competência técnica- Adaptação e mudanças rápidas e novos

desenvolvimentos- Gerenciamento de relacionamentos externos

e fornecedores de serviços

Alta complexidade

OS DESAFIOS DE TI

Na maioria das empresas, a brecha entre o que os usuários esperam e o que o TI pode fornecer continua a existir por causa das seguintes razões:

• Requisitos de negócios pobremente definidos• Incapacidade de definir prioridades• Complexidade de projetos• Falta de responsáveis de negócios comprometidos• Falta de dirigentes claros para soluções• Brechas de comunicações entre os negócios e o TI

Alinhar TI com os negócios

OS DESAFIOS DE TI

Regras que governam as operações de negócios impactam os sistemas de TI. A função de TI precisa estar ciente de todos os requisitos legais e regulatórios nacionais e internacionais que eles estão relacionados, por exemplo:

• Governança corporativa e relatórios financeiros

• Privacidade e segurança

Conformidade regulatória

OS DESAFIOS DE TI

Infelizmente, o desejo de tornar a informação prontamente disponível usando a tecnologia emprega riscos de segurança. Estes riscos têm aumentando por causa de diversos fatores:

• O uso da internet e rede, o que expõe sistemas internos para o mundo

• Vírus e hackers.• Perdas de informações crescentes.• As complexidades técnicas dos ambientes de TI e os

problemas associados de TI.• Fraca consciência de problemas de segurança dos usuários

de computador.

GOVERNANÇA DE TI

A governança de TI é definida como uma estrutura de relacionamentos e processos para direcionar e controlar a empresa na direção de alcançar suas metas agregando valor enquanto balanceia os riscos vs retorno sobre TI e seus processos.

Áreas a serem focadas• Alinhamento estratégico• Valor na entrega• Gerenciamento de recursos • Gerenciamento de riscos• Avaliação de performance

GOVERNANÇA DE TI

• ALINHAMENTO ESTRATÉGICO:Foco em garantir a ligação dos negócios e planos de TI; em definir,

manter e validar a proposta de valor de TI; e em alinhar operações de TI com as operações da empresa

Garante o investimento da empresa no TI esteja em harmonia com os objetivos estratégicos da empresa.

• AGREGAÇÃO DE VALORSe trata de executar a proposta de valor através do ciclo de

agregação, garantindo que o TI entregue os benefícios prometidos sobre a estratégia, se concentrando em otimizar os custos, e fornecendo o valor essencial de TI.

GOVERNANÇA DE TI

• Gerenciamento de riscosRequer:- Consciência dos riscos pelos responsáveis sênior da corporação- Um entendimento claro do apetite da empresa por riscos- Um entendimento de requisitos de conformidade- Transparência sobre riscos significantes para a empresa- Embutir as responsabilidades de gerenciamento de riscos dentro da

organização• Os riscos podem ser administrados ou gerenciados de quatro maneiras:- Mitigação de riscos- Transferência de riscos- Aceitação de riscos- Anulação de riscos (evitar)

GOVERNANÇA DE TI

• Gerenciamento de recursosSe trata de investimentos otimizados e gerenciamento apropriado de recursos

críticos de TI, como: Aplicações Informação Infra-estrutura Pessoas

• Medição de PerformanceBusca e monitora a implementação de estratégias, conclusão de projetos,

performance de projetos, e agregação de serviços.Se não há uma maneira de medir e avaliar as atividades de TI ,não é possível

governar o TI e garantir o alinhamento, agregação de valor, gerenciamento de riscos, e um uso eficiente dos recursos.

BENEFÍCIOS DA GOVERNANÇA DE TI

• A governança de TI oferece os seguintes benefícios:

- Serviços mais confiáveis- Maior transparência- Boa receptividade de TI para os negócios- Confiança do gerenciamento superior- Maior retorno de investimento (ROI)

CICLO PDCA DE GOVERNANÇA DE TI

PROVER DIREÇÃO

ANALISAR RESULTADOS

MONITORAR PERFORMANCE

EXECUTAR AS ATIVIDADES DE TI

• PROCESSOS• CONTROLES

• INDICADORES

Planejar(P)

Agir (A)

Checar(C)

Executar (D)

INTRODUÇÃO AO CobiT

QUEM DESENVOLVEU O CobiT

• ISACA• Com mais de 50.000 membros em mais de 140 países, a ISACA (www.isaca.org) é um

líder em governança de TI, controle, segurança e garantia reconhecido mundialmente. Fundada em 1969, a ISACA- Patrocina conferências internacionais- Publica o Informartion Systems Control Journal.- Desenvolve padrões internacionais de auditoria de sistemas de informação e controle.- Administra qualificações CISA e CISM, internacionalmente respeitadas.

• ITGI• O IT Governace Institute (ITGI) (www.itgi.org) foi estabelecido pela ISACA em 1998 para

aumentar o conhecimento e padrões internacionais na gestão e controle da tecnologia de informação de uma empresa. O ITGI- desenvolveu o Control Objectives for Information and related Technology (CobiT), agora em sua

quarta edição.- oferece uma busca original e estudos de caso para assessorar líderes e conselhos de diretoria

nas suas responsabilidades de governança de TI.

http://www.isaca.org/

http://www.itgi.org/

ISACA – INFORMATIONSYSTEMS AUDIT AND CONTROL ASSOCIATION

• Visa a preparação para certificação do profissional:

- CISA – Certified Information Systems Auditor- CISM – Certified Information Security Manager- CobiT Foundation Exam

O QUE SIGNIFICA CobiT?

ControlCobiT Objectives for Information and related Technology

“Objetivos da Controles para Informações e Tecnologias relacionadas”

CobiT é uma estrutura de “Framework’ e não uma Metodologia

• Estrutura: organização das partes ou dos elementos que formam um todo.

• Metodologia: estudo cientifico dos métodos.

• Método: conjunto dos meios dispostos convenientemente para alcançar um fim.

CobiT – é?

• Em resposta às necessidade descritas anteriormente , o framework do COBIT foi criado. As suas principais características são:

- Focado no negócios- Orientado no processo- Baseado em controles- Dirigido pela medição• O COBIT inclui recursos tais como um sumário executivo, um framework, controle

de objetivos, indicadores de desempenho, indicadores de metas, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento.

• As práticas de gestão do Cobit são recomendadas pelos peritos em gestão de TI que ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação de resultados.

• O COBIT independe das plataformas de TI adotadas nas empresas.

O CobiT visa atender às exigências das regulamentações...

• Legislações: Basiléia II, Sarbanes-Oxley, IFRS...• Órgãos reguladores: SEC, BACEN, CVM...• Padrões: BS7799, ISSO 17799, ISO 9001...• Mais requerimentos: Tribunais, Leis,

requerimentos de mercado...• Implementações: Você, sua equipe, prazos de

entrega...

Exemplo: Sarbanes-Oxley (Sarbox-Sox)

• A lei faz com que os executivos sejam responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos relacionados a relatórios financeiro. Para muitas organizações a TI será crucial para alcançar estes objetivos, sendo responsável por assegurar a qualidade a integridade das informações geradas pelo sistema.

• Os requerimentos da Lei são rigorosos: as empresas devem estabelecer políticas, regras e procedimentos aditáveis para gerir e controlar seus processos e registros documentais e divulgar seus resultados, e os principais executivos devem, pessoalmente, atestar que os relatórios financeiros sejam completos e precisos.

Objetivos da Sarbanes-Oxley para TI

Para atender aos requisitos desta lei, a TI deverá atuar em duas frentes:• Estabelecer controles para o ambiente geral de TI que abranjam:

- Desenvolvimento- Mudanças- Operações- Controle de acesso

• Processos de negócios críticos(contas significativas de balanço):- Mapear os sistemas que suportam os dados financeiro e respectivos controles- Identificar os riscos de TI relacionados aos sistemas- Implementar e monitorar os controles que mitiguem riscos- Documentar e testar os controles de TI- Assegurar que os controles de TI sejam atualizados e adequados para suportar as

mudanças nos controles internos.

O COBIT possui processos que auxiliam a manter a conformidade com Sarbanes-Oxley:

1. Adquirir e manter software aplicativo2. Adquirir e manter arquitetura tecnológica3. Desenvolver e manter procedimentos de TI4. Instalar e certificar Soluções e Mudanças5. Gerenciar Mudanças6. Definir e gerenciar níveis de serviço7. Gerenciar serviços de terceiros8. Assegurar a segurança dos sitemas9. Gerenciar a configuração 10. Gerenciar problemas11. Gerenciar dados12. Gerenciar operações

Evolução do CobiT

• O COBIT foi criado para atender a necessidade de um framework de controle de TI, compreensivo para o negócio, gerência de TI, auditores, e eliminar as disparidades de controles e guias de avaliação

CobiT – Valor e limitações• O CobiT:- Tem aceitado boas práticas internacionalmente- É orientado nos negócios- É suportado pelas ferramentas e treinamento .- Está livremente disponível como um padrão aberto.- Permite o compartilhamento e nivelamento do conhecimento de peritos voluntários- Evolui continuamente.- É mantido por uma organização de boa reputação sem fins lucrativos.- Mapeia 100 por cento do COSO (Committee of Sponsoring Organizations of Treadway

Comission).- Está mapeado de acordo com os padrões principais e relacionados.- É uma referencia, e não um produto de prateleira.• As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado

nos seguintes itens da empresa:- Entrega de valor- Perfil de risco- Infraestrutura de TI, organização, e portfólio de projetos.

CobiT – Orientado aos negócios da Organização

• A estrutura do CobiT com os quatro domínios, claramente está ligado aos processos de negócio da organização

• Os mapas de controle fornecidos pelo CobiT auxiliam os Gerentes de TI, gestores e auditores a manter controles suficientes para garantir o acompanhamento das iniciativas de TI e recomendar a implementação de novas práticas, se necessário.

• O ponto central é o gerenciamento da informação com os recursos de TI para garantir o negócio da organização.

Questões relacionados com a implementação

• A implementação do CobiT pode trazer alguns problemas relacionados ao seu uso.

• O COBIT é um framework de controle com diretrizes de auditoria, Então ele:

• NÃO é um plano de auditoria• NÃO é um programa de trabalho• NÃO fornece passos, técnicas, procedimentos para auditoria• NÃO define padrões• NÃO define níveis aceitáveis para os processos de TIO uso do COBIT requer uma experiência suficiente com os controles de TI

porque ele não detalha a verificação de controles e passos de testes de fato.

CobiT 4.0 – Família de produtos

PRACTICESRESPONSIBILITIES

EXECUTIVE NA BOARDS

* PERFORMANCEACTIVITY GOALSMATURITY MODELS

BUSINESS AND TECHNOLOGY MANAGEMENT

WHAT IS THE IT CONTROL FRAMEWORK? HOW TO ASSESS THE IT CONTROL FRAMEWORK? HOW TO IMPLEMENT IT IN THE INTERPRISE?

GOVERNANCE, ASSURANCE, CONTROL AND SECURITY PROFESSIONALS

COBIT FRAMEWORK*

CONTROL OBJECTIVES*

CONTROL PRACTICES

IT ASSURANCE GUIDE

Management Guidelines*

CobitSecurity Baseline

COBIT QUICKSTART

IT GOVERNANCE IMPLEMENTTATION

IT CONTROL OBJECTIVES FOR SARBANES-OXLEY

Board Briefing On It Governance, 2nd Edition

* Now integrated into CobiT 4.0

CobiT 4.1 – inter-relação mais clara entre componentes

Businessgoals

It goalsIt processes

Key activities Control outcome tests

Control objectives

Control practices

Control design tests

Maturity models

Outcomemeasures

Performance indicators

ResponsibilityAnd

Accountability chart

Information Requirements

Boken down into Controlled byM

easu

red

by

Pe

rfo

rme

d b

y

For

per

form

ance

For o

utco

me

For maturity

Au

dite

d w

ith

Derived from

Aud

ited

with

implemented with

Based on

Conteúdo da estrutura do CobiT

Características do framework de controles

• O COBIT se foca em melhorar a governança de TI nas organizações.• O COBIT fornece um framework para gerenciar e controlar as atividades

de TI e suporta cinco requisitos para um framework de controle.

Ajuda a alcançar

requisitos regulatórios

Garante a orientação a

processos

Possui aceitabilidade geral entre as

empresas

Fornece melhor foco de trabalho

Define uma linguagem

comum

FRAMEWORK DE CONTROLE

Características do framework de controles (cont.)

• Foco de NegóciosO COBIT atende melhor aos

negócios focando no alinhamento de TI com os objetivos de negócios.

- A medição da performance de TI devera focar-se na contribuição da TI em disponibilizar e estender a estratégia de negócios.

- O COBIT, suportando por métricas próprias focadas no negócio, pode garantir que o objetivo primário é a entrega de valor e não excelência técnica.

Ajuda a alcançar



processos

Possui aceitabilidade geral entre as empresas



comum


• Orientação do processo• - quando as organizações

implementam o COBIT, o seu foco é mais orientado a processos.

• Os incidentes e problemas tiram a atenção dos processos.

• Exceções podem ser claramente definidas como parte de processos padrões.

• Com a posse do projeto definida, designada e aceitada, a organização é mais capaz de manter controle através períodos com mudanças rápidas ou crise organizacional


Ajuda a alcançar



processos




comum



Aceitabilidade geral• O COBIT e um padrão provado e

globalmente aceito para aumentar a contribuição de TI para o sucesso da organização.

• O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores práticas.

• Os profissionais de TI de todo o mundo contribuem com suas idéias e tempo em reuniões de revisão regulares.

Ajuda a alcançar



processos


empresas



comum


Requisitos regulatórios• Recentes escândalos empresariais têm

aumentado as pressões regulatórias em conselhos de diretoria para relatar seus status e garantir que os controles internos sejam apropriados. Isto também cobre os controles de TI.

• AS organizações precisam constantemente melhorar a performance de TI e demonstrar controles adequados sobre suas atividades.

• Muitos gerentes de TI, conselheiros e auditores estão se voltando ao COBIT como a resposta de facto para requisitos regulatórios de TI.

Ajuda a alcançar



processos




comum



Linguagem Comum• É um framework que ajuda a

manter todos na mesma página definindo em termos críticos e fornecendo um glossário.

• Coordenação dentro e através equipes de projeto; as organizações podem desempenhar o papel chave para o sucesso de qualquer projeto.

• Linguagem comum constrói confidencia e confiança.


Ajuda a alcançar



processos


empresas



comum


Qual é o princípio do framework do COBIT?

• O principio do framework do COBIT é vincular as expectativas dos gestores de TI com as responsabilidades dos gestores de TI. O objetivo é facilitar a Governança de TI - gerar valor em TI enquanto se gerencia os riscos de TI.

• O princípio do framework é derivado de um modelo que mostra a informação com qualidade sendo produzida por eventos através de recursos de TI.

EVENTOS• Objetivos de

negocio• Oportunidade

de negócio• Requisitos

externos• Regulamentos

• Riscos

AplicaçõesInformação

Infra-estruturapessoas

INFORMAÇÃO• Eficácia

• Eficiência• Confidencialidad

e• Integridade

• Disponibilidade• Conformidade• Confiabilidade

Mensagem entrada

Serviçosaída

Modelo de Governança e controle de TI

• Parte da premissa que TI precisa fornecer as funcionalidades e informações que a organização necessita para atingir seus objetivos.

• Promove o foco em processo e em responsabilidade por processo.• Divide TI em 34 processos, dentro de 4 domínios (sendo eles: 1.planejamento e organização,

2.aquisição e implementação, 3.delivery e suporte, 4.monitorar e avaliar) e provê um alto nível de objetivo de controles para cada um.

• Avalia o grau de confiança, qualidade e segurança necessárias para as necessidades das corporações, provendo 7 critérios de informação que podem ser usados para genericamente definir o que os negócios requerem de TI.

• Os 7 critérios são:- efetividade-eficácia- Eficiência- Disponibilidade- Integridade- Confidencialidade- Confiabilidade- Conformidade

• É suportado por 210 objetivos de controles de negócio.

Lógica da estrutura

• Controle em TI é olhar para informação que é necessária para suportar os objetivos de negócios e olhar a informação como sendo o resultado de aplicações de recursos de TI que são necessários para gestão dos processos de TI. REQUERIMENTOS

DE NEGÓCIO

RECURSOS DE TIPROCESSO DE TI

Requerimentos do Negócio

• Para satisfazer os objetivos de negócios, a informação precisa estar em conformidade com critérios de informação específicos, os quais o COBIT se refere como requisitos de negócios para informação.

• Amplamente, os critérios de informação estão baseados nos requisitos de negócio a seguir:- QUALIDADE- FIDUCIÁRIO (VALOR)- SEGURANÇA

Requerimentos do Negócio• Para satisfazer os objetivos de negócios, as informações precisam estar em

conformidade com alguns critérios:

- Qualidade: * qualidade * custo * prazo entrega

- fiduciários: *eficácia e Eficiência da Operação *confiabilidade das informações * aderência à leis e regulamentações

- segurança: * confidencialidade*Integridade *disponibilidade

Requerimentos do Negócio• Efetividade: Lida com a relevância da informação e pertinência aos

precesso de negócios bem como a sua disponibilidade em prazo apropriado, de forma correta, precisa, consistente e em formato adequado para ultilização.

• Eficiência: refere-se à provisão da informação atravez da melhor (mais produtiva e economica) forma de ultilização dos recursos.

• Conformidade: Lida com o comprimento das leis, regulamento e clausulas contratuais aos quais um determinado processo de negócio esta sujeito. (o foco está em atender regulamentações esternas).

• Confiabilidade da informação: relaciona-se ao fornecimento, por parte dos sistemas, de informações apropriadas aos gerentes para a tomada de decisões, relatórios financeios precisos e informações adequadas aos órgãos normatizadores sobre o comprimento das leis.

Requerimentos do NegócioSegurança

• Confidencialidade: refere-se à proteção de informação considerada privilegiada contra divulgação não autorizada.

• Integridade: relaciona-se com a precisão e exatidão da informação, bem como sua validade de acordo com os padrões e expectativas de negócio estabelecidos.

• Disponibilidade: relaciona-se a prover a informação no momento em que for requerida pelos processos de negócio, o que inclui também a salvaguarda de recursos.

Recursos de TI

• Pessoas: conhecimento, concientização, e experiência para planejar, organizar, adquirir, entregar, prestar suporte e monitorar sistemas de informações, processos e serviço.

• Aplicações: são os sistemas de usuários automatizados ou procedimentos manuais que processem as informações.

• Infraestrutura: é a tecnologia e Facilities – hardware, sistemas operacionais, sistema de banco de dados, rede, multimídia, etc..,e os ambientes que hospedam e suportam e esses recursos, que permitem o processamento das aplicações.

• Informações: objeto de dados na sua mais abrangente concepção, entrada de dados, saída de dados ou relatórios que são usados ou usadas pelo negócio.

Componentes chaves de um processo

Processoinputs outputs

regras Objetivo de controle Key Goal

Indicators (KGIs)

Modelo de maturidadeKEY Performance

iIndicators (KPIs)Recursos

de TI

Critério de informação

Domínios de TI & Processos e Atividades

• Domínios agrupamento natural de processos, que casa um domínio organizacional de responsabilidades.

• Processos uma série de atividades ligadas com quebrasnaturais de controle

• Atividades ações necessárias para alcançar um resultado mensurável. Atividades possuem um siclo de

vida embora tarefas sejam discretas.

Obtém-se o Cubo do Cobit

Domínios do Cobit

Cobit – Framework Completo

Business Requirements

Enterprise Information

IT Processes

ITResourcesCobit

Que atende aos Direciona os investimentos de TI em

Que são usados paraPara entregar

Modelo Orientado a Processos• O Cobit é orientado por processos, estes processos podem ser aplicados

em vários níveis na organização. Por exemplo, alguns destes processos podem ser aplicados a nível corporativo, outros a nível de função de TI, e outros a nível do responsável pelo processo de negócio.

• Cobit define as atividades de TI segundo um modelo genérico de processos que abrange quatro dominios:

• Esses dominios mapeiam as áreas tradicionais sob responsábilidade de TI de:- Planejar e organizar (PO)- Adquirir e implementar (AI)- Entregar e suportar (DS) e - Monitorar e avaliar (ME).

Planejar e Organizar (PO)

• Este dominio compreende estratégias e táticas e procura identificar como TI pode contribuir melhor para atender as metas corporativas. Álem disso, a percepção da visão estratégica precisa ser planejada, comunicada e gerenciada sob diferentes pontos de vista.

• Finalmente, deve ser definida uma infraestrutura tecnológica, assim como uma organização consistente. Esse dominio normalmente atende às seguintes questões gerenciais.- As estratégias de TI e dos negócios estão alinhadas?- A empresa utiliza seus recursos da melhor forma possivel?- Todos no departamento sabem quais são as metas de TI?- Os riscos de TI são entendidos e estão sendo administrados?- A qualidade dos sitemas de TI atende às necessidades corporativas?

Planejamento & Organização (PO)

Planejamento e Organização de TIPO1 Definição plano estratégico TIPO2 Definição arquitetura de informaçãoPO3 Determinação doirecionamento tecnológicoPO4 Definição dos processos de TI, organização e relacionamentos.

PO5 Gerenciamento do investimento de TIPO6 Comunicação de objetivos e direcionamentoPO7 Gerenciamento de recursos humanos de TIPO8 Gerenciar a qualidadePO9 Avaliar e Gerenciar riscos de TIP10 Gerenciamento de projetos

Planejamento & Oraganização

PO1 Definição plano estratégico TITem como objetivo encontrar o ponto ótimo entre as oportunidades e necessidade de negócio relacionadas a TI, assim como assegurar a execução do planoi estratégico. Este é disparado pelo processo de planejamento estratégico, realizado regularmente, que culmina no plano de longo prazo de TI, o qual precisa desmenbrado em planos operacionais contendo a definição dos objetivos de curto prazo.

PO2 Definição arquitetura de informaçãoA informação dos sistemas de informação é suportada pela manutenção de um modelo de informação de negócios e pela garantia que os sistemas são apropriados e estão definidos para otimizar o uso das informações.

PO3 Determinação direcionamento tecnológicoObter vantagem da tecnológia disponivel e emergente para conduzir e realizar a estratégia de negócios. A criação e manutenção do plano de infra-estrutura tecnológica deve direcionar e gerenciar as expectativas de quais tecnologias podem ser oferecidas e entregues para suportar os produtos e serviços da Organização.

PO4 Definição dos processos de TI, organização e relacionamentosA adequada entrega dos serviços de TI é permitida por uma organização que tem papéis definidos e comunicados, responsáveis identificados (em número e habilidades), e por estar alinhada com o negócio, facilita a implementação das estratégias, e fornece controles adequados.


PO5 Gerenciamento do investimento de TITem por objetivo controlar o orçamento e desembolsos de recursos financeiros, permitindo que os investimentos definidos, e aprovados no orçamento, sejam realizados corretamente.

PO6 Comunicação de objetivos e direcionamentoAssegurar a conscientização e o entendimento pelos usuário dos objetivos e diretrizes gerenciais por meio de políticas estabelecidas e comunicadas para a organização. Além disto, padrões precisam ser estabelecidas e comunicadas para traduzir as estratégias em regras práticas utilizáveis por todos.

PO7 Gerenciamento de recursos humanos de TIA contratação e manutenção de equipe motivada e competente maximiza a contribuição dos funcionários aos processos de TI, junto a práticas justas e transparentes de gerenciamento dos recursos humanos para recrutamento, contratação, exames de admissão, treinamento, avaliação, promoção e desligamento.

Planejamento & Organização

PO8 Gerenciar a QualidadePara o planejamento, implementação e manutenção do sistema de gerenciamento de qualidade são necessários políticas, procedimentos e requisitos claros relacionados à qualidade. Esses requisitos devem ser definidos e comunicados através de indicadores quantificáveis e conquistável. O monitoramento, análise e correção dos desvios, assim como a comunicação dos resultados aos envolvidos garantem o aprimoramento continuo do processo. O gerenciamento da qualidade é fundamental para garantir que TI ofereça valor para os negócios, e continuo aprimoramento e transparência para os envolvidos.

PO9 Avaliar e gerenciar riscos de TISuportar as decisões gerenciais para atingir os objetivos de TI e responder às ameaças, identificar os fatores-chave de decisão para a organização e analisar os riscos versus os impactos versus a probabilidade de ocorrerem, e identificar as medidas que, com custos adequados, possam mitigar os riscos.


• PO10 Gerenciamento de projetosEstabelecer um programa e uma estrutura de gerenciamento de projeto para o gerenciamento de todos os projetos relacionados à TI. Essa estrutura deverá garantir a correta priorização e coordenação de todos os projetos, bem como incluir um plano mestre, atribuição de recursos, definição de produtos tangíveis do projeto, aprovação por parte dos usuários, um enfoque modular para a entrega, garantia da qualidade, um plano de testes formal, testes e revisão pós-implementação após a instalação, de forma a garantir o gerenciamento de riscos relacionados ao projeto e entrega de valor para o negócio.Essa abordagem reduz o risco de custos inesperados e cancelamentos do projeto, melhora a comunicação e o envolvimento do negócio e dos usuários finais, garante o valor e a qualidade dos produtos tangíveis do projeto e melhora a contribuição dos mesmos para com os programas de investimento em TI.


Aquisição & Implementação (AI)

• Para se entender a estratégia de TI, é necessário identificar, desenvolver ou adquirir, bem como implementar e integrar as soluções de TI ao processo corporativo.

• Esse domínio também contempla as mudanças e manutenções nos “sistemas” existentes para que as soluções continuem atendendo as metas corporativas. Esse domínio normalmente atende às seguintes questões gerenciais:- Os novos projetos irão oferecer soluções que atendem às

necessidades corporativas?- Os novos projetos serão entregues dentro do prazo e do orçamento?- Os novos sistemas irão funcionar corretamente quando

implementados?- As possíveis mudanças serão feitas sem interferir nas operações?

Aquisição e ImplementaçãoAI1 Identificar soluções automatizadasAI2 Aquisição e manutenção sistemas aplicativos (Software)

AI3 Aquisição e manutenção da arquitetura tecnológicaAI4 Permitir a operação e o usoAI5 Obter recursos de TIAI6 Gerenciamento de mudançasAI7 Instalação e homologação de soluções ve mudanças


AI1 Identificar soluções automatizadasGarantir enfoque e abordagem efetivos e eficazes para satisfazer os requerimentos do usuário.Isto é obtido por meio de clara identificação dos objetivos e análise da oportunidade dos requisitos do usuário.

AI2 Aquisição e manutenção sistemas aplicativos (software)As aplicações devem estar disponíveis em conformidade com os requisitos do negócio. Este processo contempla o esquema das aplicações, a inclusão apropriada dos requisitos de segurança e controle de programa, e o atual desenvolvimento e configuração de acordo com os padrões. Isto permite à organização suportar apropriadamente as operações de negócio com as aplicações automatizadas corretas.

AI3 Aquisição e manutenção da arquitetura tecnológicaAs organizações devem ter processos para a aquisição, implementação e atualização da infra-estrutura de tecnologia. Isto requer um método planejado de aquisição, manutenção e proteção da infra-estrutura em alinhamento com as estratégias tecnológicas aceitas e a provisão de desenvolvimento e dos ambientes de teste. Isto garante que há continuo apoio tecnológico às aplicações de negócio.

AL4 Permitir a operação e o usoo conhecimento sobre novos sistemas necessita estar disponível. Este processo requer a produção de documentação e dos manuais para usuários e TI, fornecer o treinamento para assegurar o uso e operações apropriados das aplicações e infra-estrutura


AI5 Obter recursos de TIOs recursos de TI, que incluem pessoas, hardware, software e serviços precisam ser adquiridos. Esse processo exige a definição e a aplicação de procedimentos de aquisição, escolha de fabricantes, estabelecimento de disposições contratuais e da aquisição em si. Isso garante que o departamento tenha todos os recursos de TI necessário, no tempo oportuno e com melhor custo-benefício.

AI6 Gerenciamento de mudançasTem por objetivo minimizar a probabilidade de ocorrência de erros decorrentes das alterações efetuadas. Isto é habilitado pelo gerenciamento de sistemas que garantam a análise das implementações, revisão de todas as mudanças solicitadas, e acompanhamento da operação da infra-estrutura de TI.

AI7 Instalação e homologação e mudançasOs novos sistemas precisam entrar em operação depois de concluído o processo de desenvolvimento. Isso exige os devidos testes em um ambiente apropriado com dados relevantes sobre os testes, definição do processo de implementação e instruções especificas sobre migração, planejamento de novas versões, encaminhamento para a produção e revisão pós-implementação para garantir sistemas operacionais alinhados com as expectativas acordadas e resultados desejados.


Entrega e Suporte (DS)

• O foco deste domínio é a entrega dos serviços desejados, o que inclui entrega de serviços, gerenciamento da segurança e da continuidade, suporte aos usuários e gerenciamento dos dados e do ambiente operacional. Ele normalmente atende às seguintes questões gerenciais:- Os serviços de TI estão sendo entregues de acordo com as prioridades

dos negócios?- Os custos de TI estão otimizados?- Os usuários conseguem utilizar os sistemas de TI de forma produtiva e

com segurança?- Os aspectos relacionados à confidencialidade, integridade e

disponibilidade estão sendo atendidos?

Entrega e SuporteDS1 Definição e Gerencia de níveis de serviço.DS2 Gerenciamento de serviços de terceirosDS3 Gerenciamento de performance e capacidadeDS4 Assegurar continuidade dos serviçosDS5 Assegurar segurança dos sistemasDS6 Identificar e atribuir custosDS7 Treinamento de usuáriosDS8 Gerenciamento da central de serviços e incidentesDS9 Gerenciamento das configuraçõesDS10 Gerenciamento de problemasDS11 Gerenciamento de dadosDS12 Gerenciamento das localidades físicasDS13 Gerenciamento de operações


DS1 Definição e gerencia de níveis de serviçoEstabelecer entendimento comum sobre os níveis de serviço requeridos pelo negócio e acordos específicos (Service Level Agreements – SLA’s) que formalizam os critérios de desempenho contra os quais serão medidas a qualidade e quantidade dos serviços.

DS2 Gerenciamento de serviços de terceirosA necessidade de garantir que os serviços prestados por terceiros atendam aos requisitos corporativos exige um processo efetivo de gerenciamento de terceiros. Esse processo compreende funções, responsabilidade e expectativas claramente definidos nos contratos com terceiros, assim como a revisão e monitoramento desses contratos para verificação da eficácia e conformidade na prestação dos serviços. O gerenciamento efetivo dos serviços prestados por terceiros reduz os riscos associados a fornecedores mal qualificados.

DS3 Gerenciamento de performance e capacidadeGarantir que a adequada capacidade dos recursos de TI esteja disponível e seja utilizada de forma otimizada, de modo a atender a necessidade de performance demandada pelo negócio. Isto se dá pelo gerenciamento da performance e de capacidade, que é efetuado pela coleta das informações, análise e reporte do desempenho dos recursos, aplicações e transações.


DS4 Assegurar continuidade dos serviçosAssegurar que os serviços de TI estejam disponíveis assegurando o mínimo impacto no negocio em caso de desastre. Garantir que o plano de continuidade de TI esteja operacional, testado e alinhado com o plano de Continuidade do Negocio (Business Continuity Plan – BCP) e às necessidades de negócio.

DS5 Assegurar segurança dos sistemasGarantir a salvaguardar das informações contra divulgação, destruição, modificação, perda e uso não autorizados. A segurança é habilitada por controles para garantir que somente usuários autorizados obtenham sucesso aos sistemas, programas e as informações classificadas como restritas.

DS6 Identificar e atribuir custosGarantir a identificação dos custos atribuídos aos serviços de TI por meio de sistemas contábil que assegure o registro, cálculo e a locação dos custos com níveis adequados de detalhe e funcionalidade.


DS7 Treinamento de usuáriosAssegurar que os usuários fazem uso efetivo da tecnologia, e que são conscientes dos risco e suas responsabilidades.

DS8 Gerencia da central de serviços e incidentesAssegurar que os problemas que afetam os usuários serão resolvidos adequadamente. Isto é habilitado pela existência de equipe e processo de Service Desk que suporta os usuários e fornece recomendações de soluções.

DS9 Gerenciamento da s configuraçõesAssegurar o controle sobre os componentes de TI, prevenir alterações não autorizadas, inventariar e prover bases para o gerenciamento de mudanças. Isto é habilitado por controles que identificam e registram os ativo de TI, sua localização física, e programas de verificação regulares para confirmar a existência deste ativos.

DS10 Gerenciamento de problemasGarantir que os problemas sejam resolvidos e que as causas investigadas sirvam para prevenir novas ocorrências. O sistema de gerenciamento de problemas deve classificar, registrar e avaliar todos os incidentes ocorridos.


DS11 Gerenciamento de dadosAssegurar que os dados permaneçam completos, íntegros e validos após sua entrada, armazenamento e processamento. Isto é permitido pela combinação eficaz entre os controles das aplicações e os controles gerais do ambiente de TI.

DS12 Gerenciamento das localidades físicas A áreas responsável pelo gerenciamento das instalações deve prover segurança para proteção dos equipamentos de TI contra fatores humanos e ambientais.

DS13 Gerenciamento de operações Assegurar que as funções de suporte de TI são realizadas regularmente e de forma ordenada, com base na programação das atividades que devem ser registradas e atualizadas.


Monitorar e Avaliar (ME)• Todos os processos de TI precisam ser periodicamente avaliados quanto à

qualidade e conformidade com os requisitos de controle.• Este domínio contempla o gerenciamento de desempenho,

monitoramento dos controles internos, conformidade com as regulamentações e governança. Ele normalmente atende às seguintes questões gerenciais:

O desempenho de TI é avaliado, de forma que os problemas sejam detectados antes que seja tarde demais?

A gerencia garante a eficiência e eficácia dos controles internos? O desempenho de TI está atrelado às metas corporativas? Os riscos, controles, conformidade e desempenho são avaliados e registrados?

Monitorar e Avaliar (ME)

Monitorar e AvaliarME1 Monitorar e avaliar o desempenho de TI ME2 Monitorar e avaliar os controles internosME3 Assegurar a conformidade com as regulamentações

ME4 Possibilitar a governança de TI

Monitorar e Avaliar (ME)ME1 Monitorar e Avaliar o desempenho de TI

O gerenciamento efetivo do desempenho de TI exige um processo de monitoramento. Esse processo inclui a definição dos devidos indicadores de desempenho, registro sistemático e oportuno do desempenho e ação imediata na eventualidade de qualquer desvio. O monitoramento c]garante que as coisa estejam sendo feitas de forma correta e alinhadas com as direções e políticas definidas.

ME2 Monitorar e Avaliar os controles internosO estabelecimento de um programa de controle interno realmente efetivo exige a definição de um processo de monitoramento muito bem definido. Esse processo envolve o monitoramento e registro das exceções, resultados de auto avaliações e revisões executadas por terceiros. Um grande beneficio do monitoramento dos controles interno é a garantia de operações efetivas e eficientes e a conformidade com as leis e regulamentações aplicáveis.

ME3 Garantir a conformidade regulamentarA vigilância efetiva com a atenção às regulamentações exige a definição de um processo de revisão independente que assegure a conformidade com as leis e regulamentações. Esse processo inclui a definição de um documento de auditoria, independência do auditor, padrões e ética profissional, planejamento, controle do trabalho da auditoria, relatórios e acompanhamento da auditoria. O objetivo desse processo é garantir a conformidade de TI com as leis e regulamentações.

ME4 Possibilitar a governança de TIA criação de uma estrutura efetiva de governança inclui a definição de estruturas, processos, liderança, funções e responsabilidades que assegurem o alinhamento dos investimento de TI com as estratégias e metas corporativas.

Monitorar e Avaliar (ME)

Controles do CobiT

Conceito: Práticas de controle

As práticas de controle estendem a capacidade do CobiT, fornecendo aos usuários um nível adicional de detalhes. Os processos de TI do CobiT, requisitos de negócio e objetivos de controle definem o que precisa ser feito para implementar um estrutura de controle efetiva. As práticas de controle de TI fornece mais detalhes de como e porque são necessárias para administração, provedores de serviços, usuários finais e profissionais de controle, para implementar controles específicos baseados na análise de operações e riscos de TI.

Vamos ver a seguir um exemplo de práticas de controle.

Práticas de Controle• A figura abaixo fornece um exemplo de prática de controle para o processo AI6

Gerenciar Mudanças:AI6 ManageChenge

AI6.4 Emergency changesIT managemente should establish parameters defining emergency changes and procedures

to control these changes when they circumvent the normal process of technical, operational and managemet assessment prior to implememtation. The emergency changes shoueld be

recorded and authorised by IT Manegements rpior to implementation.

1. Manegement has defined parameters , characteristics and procedures that allow to identify and declare

emergencies. 2. All emergency changes are documented, if not before,

than after implementation.3. All emergency changes are tested, if not before, than

after implementation.4. All emergency changes are formally authorised by the

system owner and management, before implementation5. Before and after images as well as intervention logs are

retained for subsequent review

Controlling emergency changes by implementing the control practices will:

• Ensure emergency procedures are used in declared emergencies

only• ensure urgent changes

can be implemented without compromising

confidentiality, integrity, availability, reliability

and accuracy.

IT Control practices Why do it?

Praticas de ControleTraduz os objetivos de controle do Cobit em práticas detalhadas,

implementáveis e fornece uma argumentação de negócio para a implementação, a partir de uma perspectiva de valor e risco.

Praticas de Controle São mecanismos Chaves que Suportam:- a realização dos objetivos de controle- Prevenção, detecção e correção de eventos não desejadosPráticas de controle são alcançadas através de:- Uso responsável dos recursos.- Gerenciamento de riscos apropriado- Alinhamento da TI com o negócio

Analise de GAP

A análise de GAP auxilia os gestores de TI a identificar como estão posicionados os macro controles de TI da organização em relação aos padrões esperado de mercado e as suas próprias expectativas. Podemos utilizar a mesma técnica para os processo de TI aplicados pelo Cobit.

Medidas de Controle

As medidas de controle para cada processo de TI não satisfaz todos os requisitos de negócio no mesmo grau. O framework do Cobit define 3 graus de controle.

- primário: impacta diretamente o critério de informação a que se refere.

- Secundário: satisfaz parcialmente ou indiretamente o critério de informação a que se refere.

- Em branco: pode ser aplicável; entretanto, os requisitos são satisfeitos de forma mais apropriada por um outro critério deste processo ou ainda por outro processos

Alguns objetivos de controle existentes no framework

Requisitos de controle genérico Cada processo do Cobit tem 6 requisitos de controle genérico que são comuns a todos os processos, os quais são definidos no framework. Eles podem ser analisados em conjunto com os objetivo do controle de processo de forma detalhada para que possa ter uma visão dos requisito de controle.

Controles de aplicaçõesO Cobit assume que o projeto e implementação de controles de aplicações automatizadas deve ser de responsabilidade da TI, coberto no domínio de aquisição e implementação, baseado nos requisitos de negócio definidos usando os critérios de informação do Cobit.A TI entrega e suporta os serviços das aplicações, banco de dados de informação e infraestruturas. Os processo de TI do Cobit cobrem os controles gerais de TI mais não suporta os controles de aplicações

Requisitos de controle genérico de processos

PC1 Responsável pelo processoDetermina um proprietário para o processo do Cobit, fazendo com que a responsabilidade seja clara.

PC2 RepetitividadeDefine cada processo do Cobit como sendo repetível.

PC3 Metas e objetivos Estabelece metas e objetivos claros para cada processo do Cobit para a execução eficaz.

PC4 Funções e responsabilidadesDefine funções, atividades responsabilidades para cada processo do Cobit para a execução eficiente.

PC5 Performance do processoMede a performance de cada processo do Cobit em relação as suas metas

PC6 Políticas, planos e procedimentosDocumenta, revisa, mantém atualizada, comunica todas as partes envolvidas em qualquer política, plano, ou procedimentos que guiam os processos do Cobit.

Controles de aplicaçõesAC1 Transação de entrada de dados e autorização

A transação de entrada de dados dentro das aplicações de negócio devem ser preparadas corretamente por pessoas seguindo políticas internas ou contratos externos incluindo a prevenção e detecção de erros.

AC2 Coleção de documentos de origem e entrada de dadosA entrada de dados é realizada na hora certa pelos membros autorizados da equipe.

AC3 Exatidão, integridade e verificação de autorização durante o processamentoOs dados que são entrados no processamento (sejam eles gerados por pessoas ou por sistemas). Devem ser verificados quanto a sua exatidão, integridade e validade.

AC4 Integridade e validade de processamento de dadosVerifica-se os controles de processamento estão sendo executados corretamente. Executa a validação, autenticação e edição o mais próximo possível do ponto de origem de dados.

AC5 Revisão de saída, reconciliação e gerenciamento de errosA exatidão integridade do processamento de dados podem verificados através de relatórios e podem fornecer informações relevantes de identificação de possíveis erros.

AC6 Autenticação e integridade da transação

Assegura que exista um processo para identificação de transações não identificadas.

Fluxo Do Cobit E Navegação Na Estrutura

efetividade

eficiência

confidencialidade

integridade

disponibilidade

credibilidade

compliance

INDICADORES

CONTROLE CHAVE

METAS DE TI

AS NECESSIDADES DE TI

PROCESSOS DE TI

integridade

infraestrutura

informações

aplicações

* Planejamento e organizaçãoAquisição e implementação* Entrega e suporte* Monitorar e avaliar

os controles sobre os

que atendem

focando nas

isso se consegue através de

e é medido por.

Exemplo 1 – DS2“Objetivo de Controle de Alto Nível”

Objetivo de Controle de Alto NívelDS2 Gerenciar Serviços Prestados

por TerceirosA necessidade de garantir que os serviços prestados por terceiros atendam aos requisitos

corporativos exige um processo efetivo de gerenciamento de terceiros.Esse processo compreende funções, responsabilidades e expectativas claramente definidos nos

contratos com terceiros, assim como a revisão e monitoramento desses contratos para verificação da eficácia e conformidade na prestação dos serviços.

O gerenciamento efetivo dos serviços prestados por terceiros reduz os riscos associados a fornecedores mal qualificados

efetividade

eficiência

confidencialidade

integridade

disponibilidade

credibilidade

complacência

Critérios da informaçãoEficácia eficiência ConfidencialidadeIntegridadeDisponibilidadeComplacênciacredibilidade

DS2 – gerenciar serviços prestados por 3°s

• Controle sobre o processo de TI de:- Gerenciar serviços prestados por terceiros• Que atende a necessidades de TI de:- Oferecer os serviços satisfatórios, com a devida transparência em relação aos benefícios,

custos e riscos.• com foco em:- Estabelecer relacionamentos e responsabilidades bilaterais com provedores de serviços

tercerizados qualificados e monitorar a entrega de tais serviços para aferir e garantir o cumprimento dos contratos.

• Isso se consegue:- Identificando e categorizando os fornecedores de serviços - identificando e mitigando riscos- Monitorando e avaliando o desempenho do fornecedor• E é medido - Pela quantidade de reclamações de usuários com relação ao serviços contratados - pelo percentual fornecedores que atendem as necessidades e os níveis de serviço

estabelecidos - Pelo percentual de fornecedores sujeito a monitoramento

“objetivos detalhados de controle”

Objetivos detalhados de controleDS2 gerenciar serviços prestados por terceiros

DS2.1 identificação de todos os relacionamentos com fornecedores - Identificar todos os prestadores de serviços e categorizá-los de acordo co

o tipo, significado e importância. Manter uma documentação formal dos relacionamentos técnicos e corporativos, abrangendo as funções e responsabilidades, metas, resultados esperados e dados sobre os representantes desses fornecedores.

DS2.2 gerenciamento do relacionamento com fornecedores- Formalizar o processo de gerenciamento do relacionamento com os

fornecedores com cada um deles. Os responsáveis pelo relacionamento devem se basear em questões relacionadas ao cliente e ao fornecedor e garantir que a qualidade do relacionamento seja fundamentada na confiança e na transparência, usando, por exemplo, acordos de nível de serviço.

Objetivos detalhados de controleDS2 gerenciar serviços prestados por terceiros

DS2.3 gerenciamento de riscos- Identificar e mitigar os riscos associados a capacidade do fornecedor de

prosseguir com a entrega efetiva e ininterrupta do serviço de forma eficiente e segura. Garantir que os contratos sigam os padrões universais e aos requisitos legais e regulamentares. O gerenciamento de risco deve ainda considerar a elaboração de contratos de não divulgação, contratos de fideicomisso, viabilidade continuada, conformidade com os requisitos de segurança, fornecedores alternativos, multas, bonificações e etc.

• DS2.4 monitoramento no desempenho do fornecedor - Definir um processo para monitorar a entrega do serviço e garantir que o

fornecedor esteja atendendo aos requisitos corporativo, seguindo o que foi pactuado nos contratos e no acordo de nível de serviço e que seu desempenho é competitivo com o de outros fornecedores de mercado

Componentes das diretrizes de gerenciamento

• As diretrizes de gerenciamento do Cobit fornecem ferramentas para criar painéis, scorecards, benchmarking para ajudar a responder questões relacionadas a TI e o negócio. Os principais componentes das diretrizes são os seguintes:- Entradas e saídas de processos- Atividades dos processo e gráficos RACI- Métricas – indicadores de meta- Métricas – indicadores de desempenho - Modelos de maturidade

Gráfico RACIDS2 gerenciar serviços prestados por terceiros

Atividades • Definir o enfoque de monitoramento.• Identificar e coletar objetivos mensuráveis que suportem as metas corporativas.• Criar scorecards.• Avaliar o desempenho.• Gerar relatórios sobre o desempenho.• Identificar e monitorar as iniciativas para a melhoria do desempenho

R= responsável – quem fazA= cobrado – quem respondeC= consultado e I=informado

Key Goal indicators (KGIs)Indicadores de meta – são medidas predefinidas que indicam se um processo

de TI alcançou o requisito do negócio em termos de critério de informação.

Os KGIs para TI são os drivers de negócio, usualmente suportam as perspectivas financeira e clientes, são medidas que refletem se atingiu-se a meta, são medidas após o fato ocorrido usualmente expressos nos seguintes termos:

– Disponibilidade das informações necessárias para suportar as necessidades de negócio; – Riscos de fatal integridade e confidencialidade das informações;– Eficiência nos custos dos processos e operações;– Confirmação de confiabilidade, efetividade e conformidade das informações;

Exemplos de KGIs:• Aumento do nível de entrega de serviço• Numero de clientes e custo por cliente atendido• Disponibilidade dos sistemas e serviços• Ausência de integridade e riscos de confidencialidade• Confirmação da confiabilidade e eficácia• Aderência ao custo de desenvolvimento de prazo• Custo-eficiencia do processo• Produtividade da equipe• Numero de mudanças aplicadas na hora certa nos processos e sistemas• Aumento da produtividade

Key Goal indicators (KGIs)

Key performance indicators (KPIs)

Indicadores de performance – são medidas predefinidas que determinam quanto o processo de TI conseguiu atingir em relação aos objetivo.

Os KPIs referem-se as perspectivas dos processos e da inovação, são medidas que refletem as tendências em termos de atingir ou não a meta no futuro, são medidas antes do fato.

Key Performance Indicators (KPIs)

Informação

Aprendizado• Produtividade da Equipe• Número de pessoas treinadas em

uma nova tecnologia• Valor Entregue por funcionário• Aumento da disponibilidade do

conhecimento

Financeiro• Número de Clientes de TI• Custo por Cliente TI• Custo-eficiência do serviço de TI• Entrega de valor de TI por

funcionário

Processo• Disponibilidade do

processo e do sistema

• Desenvolvimento dentro do prazo e no custo

• Tempos de respostas

• Quantidade de erros e retrabalho

Cliente• Nível de Entrega de

Serviço• Satisfação do Cliente• Número de novos

clientes• Número de novos

canais de serviço

Exemplos de KPIs:

Metas e MétricasDS2 Gerenciar Serviços Prestados por Terceiros

IT

Goals

•Ensure mutual satisfacion of third-party relationships•Ensure satisfacion of end users with service offerings and services levels.•Ensure transparency and understanding of IT costs, benefits, strategy, policies and service levels.

Process

•Establish relationships and bilateral responsibilites with qualified third-party service providers•Monitor the service delivery and verify adherence to agreements•Ensure that the supplier conforms with relevant internal and external standards•Maintain suppliers desire to continue the relationship.

Activities

•Indentifyng and categorising supplier services•Identifyunf and mitigating supplier risk•Monitoring and measuring supplier perfomance

Metrics

•Nunber of user complaints due to contracted services•Percent of purchase spend subject to competitive procurement

•Perent of major suppliers meeting elearty defined requirements and service levels•Number of forma disputes with suppliers•Perent of supplier invoices disputed

•Percent of major suppliers subject to clearly defined requirements and service levels•Percent of major suppliers subject to monitoring •Level of business of communication from the business•Number of significant incidents of supplier nom-compliance per time period

Set

Set

measuremeasure measure

drive

drive


Metas das Atividades• Identificar e categorizar os serviços prestados pelos fornecedores• Identificar e mitigar riscos• Monitorar e avaliar o desempenho dos fornecedores

São Medidas/Avaliadas por:Indicadores Principais de Desempenho (KPI)• % dos principais fornecedores com requisitos e níveis se serviço claramente

definidos• %dos principais fornecedores submetidos a monitoramento• Nível de satisfação do fornecedor com eficiência da comunicação por parte da

empresa• Número de incidentes significativos relacionados a não conformidade por parte

do fornecedor, por período de tempo

Metas e MétricasDS2 Gerenciar Serviços Prestados por TerceirosMetas de Processos• Estabelecer relacionamentos e responsabilidade bilaterais com provedores de serviços

terceirizados qualificados• Monitorar a entrega dos serviços e aferir a aderência aos acordos• Garantir a conformidade do fornecedor com padrões internos e externos• Manter o desejo do fornecedor em continuar com o relacionamento

São Medidas/Avaliadas por:Principais Indicadores de Metas de Processos (KGI)• % dos principais fornecedores que atenderam aos requisitos e níveis de serviço claramente

definidos • % de discussões formais com os fornecedores • % de faturas que precisaram ser discutidas

Metas de TI• Garantir a satisfação mútua nos relacionamentos com terceiros• Garantir a satisfação dos usuários finais com as opções de serviços e

os níveis de serviços• Garantir a transparência e compreensão dos custos de TI,

benefícios, estratégia, políticas e níveis de serviço.

São Medias/avaliadas por:Principais Indicadores das Meta de TI• Número de reclamações dos usuários relacionadas aos serviços

contratados• % de compras que necessitaram de comparação com concorrentes


Modelo de Maturidade


• O modelo de maturidade é uma maneira de medir quão bem estão desenvolvidas os processos.

• O quão bem desenvolvidos eles deveriam estar depende das necessidades de cada negócio como já foi mencionado.

• As escalas são exemplos práticos para um dado processo mostrando um esquema típico para cada nível de maturidade


0 1 2 3 4 5

Não Existent

e

Inicial Repetível Definido Gerenciado

Otimizado

Legenda0 – Não há definição e gerenciamento de processos1 – Processos são informais e irregulares2 – Processos seguem um padrão regular3 – Processos são documento4 – Processos são monitorados e medidos5 – Melhores práticas automatizadas


• As escalas de maturidade ajudam a explicar onde estão os pontos de melhoria e definem o conjunto de objetivos de onde eles precisam estar se comprados com as melhores práticas da organização ou do mercado.

• O nível correto de maturidade será influenciado pelos objetivos estratégicos da empresa, que por sua vez dependem o quanto a empresa depende de TI tanto para gerar negócios ou quanto dependente é das informações.

• Mede a capacidade de um processo atingir os objetivos do negocio.

Exercício prático:diagnóstico de processo

Objetivos detalhados de ControlePO10 Gerenciar projetos

PO10.7 Planejamento de projeto integrado• Elaborar um planejamento de projeto integrado formal e aprovado

(abrangendo os recursos corporativos e de sistemas da informação) que ira orientar a execução do projeto e controlar todo seu ciclo de vida. As atividades em interdependência entre os vários projetos que compõe o programa deverão ficar bem claras documentadas. Esse planejamento devera ser atualizado durante o decorrer do projeto. O planejamento assim como as respectivas alterações, deverão ser aprovadas, sempre de acordo com a estrutura de governança do projeto e do programa.

PO10.8 Recursos do projeto• Definidos as responsabilidades, relacionamentos, autoridades e critérios

de desempenho para os membros da equipe do projeto e especificar uma base para aquisição e associação dos devidos membro e/ou temporários ao projeto. A compra de produtos e serviços necessários para cada projeto.

PO10.9 Gerenciamento de riscos do projeto• Eliminar ou minimizar os risco específicos e associados a cada projeto valendo-se para tal de

um processo sistemático de planejamento, identificação, analise, resposta, monitoramento e controle das áreas e eventos que potencialmente poderiam provocar mudanças não desejadas os riscos enfrentados pelo processo de gerenciamento de projeto e produtos tangíveis do projeto devem ser estabelecidos e registrados em um local centralizado.

PO10.10 Planejamento da qualidade do projeto• Elaborar um planejamento de gerenciamento de qualidade que descreva o sistema de

aferição da qualidade do projeto e como ele será implementado este planejamento deverá ser formalmente revisado e pactuado por todas as partes envolvidas e então incorporado ao planejamento integrado do projeto.

PO10.11 Controle de mudanças no projeto• Elaborar um sistema de controle de mudanças para cada projeto, de forma que todas as

mudanças nas referencias do projeto, por exemplo, custos, cronograma, escopo e qualidade, sejam devidamente revisadas, aprovadas e incorporadas ao planejamento integrado do projeto, sempre de acordo com a estrutura de governança e o programa.


PO10.12 Métodos de planejamento de garantia do projeto• Identificar as tarifas de garantia necessárias para certificação dos sistemas novos ou

modificados durante o planejamento do projeto e incluí-las ao planejamento integrado do projeto.

Essas tarefas deverão garantis que os controles internos e as funcionalidades de segurança atendem aos requisitos especificados.

PO10.13 avaliação, relatório e monitoramento do desempenho do projeto • Avaliar o desempenho do projeto segundo os principais critérios do projeto com, por

exemplo, escopo, cronograma, qualidade, custos e riscos. Identificar quaisquer desvios com relaçao ao planejamento. Avaliar o impacto sobre o projeto e o programa como um todo. Reportar os resultados para os principais envolvidos. Recomendar, implementar e munitorar medidas corretivas, quando nencessário, segundo a estrutura de governança e o programa.

PO10.14 conclusão do projeto* exigir que, no final de cada projeto, os envolvidos confirmem que o projeto teve os resultados e

benefícios previstos. Identificar e comunicar qualquer atividade relevante necessária para se chegar aos resultados e benefícios previstos. Identificar e comunicar qualquer atividade relevante necessária para se chegar aos resultados previstos do projeto e os benefícios do programa. Identificar e documentar as liçoes aprendidas para uso em futuros projetos e programas.


Gráfico RACIPO10 Gerenciar projetos

• Atividades- Definir o enfoque de monitoramento- Identificar e coletar objetivos mensureveis que

suportam as metas corporativas.- Criar scorecards- Avaliar o desempenho- Gerar relatórios sobre o desempenho- Identificar e monitorar as iniciativas para

melhoria do desempenho.

Meta e métricasPO10 Gerenciar Projetos

• Metas das atividades- Definir e implementar o programa e a abordagem e estruturas do projeto- Elaborar as diretrizes de gerenciamento do projeto- Executar o planejamento de projeto para cada projeto do portfólio de projetos.

São medidas/avaliadas por:• Principais indicadores de Desempenho(KPI0• % dos projetos que atendem aos padrões e práticas de gerenciamento de

projeto.• % dos gerentes de projeto treinados e certificados• % dos projetos com revisões pós-implementação• % dos interessados que participam dos projetos (índice de envolvimento).

Metas e métricasPO10 Gerenciar projetos

• Metas dos processos• Definir mecanismos de controle do projeto e de custos/prazos• Transparência sobre o status do projeto• Gerenciamento do projeto sempre oportuno

• São medidas/avaliadas por:• Principais indicadores de metas de processos• % de projetos dentro do prazo, do orçamento• % de projetos que atendem as expectativas dos interessados.

Metas de TI– Responder aos requisitos corporativos de acordo com a estratégia

corporativa.– Entregar os projetos dentro do prazo e do orçamento, honrando

sempre aos padrões de qualidade

São medidas avaliadas por:Principais indicadores das metas de TI

– % dos projetos que atendem as expectativas dos interessados (dentro do prazo, do orçamento e que atendem aos requisitos regulamentares, de acordo com a importância).

Meta e métricasPO10 Gerenciar Projetos

• O gerenciamento do processo Gerenciar projetos, que atende o requisito de TI de entrega dos resultados do projeto dentro dos prazos, orçamento e qualidade pactuados é:

0 inexistente quandoNão são utilizadas técnicas de gerenciamento e de projeto e a empresa não considera os impactos para a empresa associados as gerenciamento equivocado e erros no desenvolvimento do projeto.

1 inicial ad hoc quandoSão utilizadas técnicas e abordagens para o gerenciamento de projetos de TI, mas essa decisão é delegada a cada gerente de TI. Falta comprometimento no que se refere à propriedade do gerenciamento DE PROJETO. As decisões criticas sobre gerenciamento do projeto são tomadas sem informações por parte da gerencia dos usuários e dos clientes. H á pouco ou nenhum envolvimento do cliente e do usuário na definição de projetos de TI. Não há funções e responsabilidades definidas para o gerenciamento de projetos. Os projeto, cronogramas e marcos não são claramente definidos e, por vezes, nem são definidos. O tempo da equipe dedicada ao projeto não são controladas e comparados com os orçamentos.

Modelo de maturidadePO10 Gerenciar Projetos

2 repetitivo, mas intuitivo quandoA gerencia sênior tem e transmitiu a necessidade de gerenciamento dos projetos de TI. A empresa esta desenvolvendo e empregando algumas técnicas e métodos em determinado projetos. Foram definidos objetivos corporativos e técnicos informalmente para os projetos de TI. Há um certo envolvimento por parte dos interessados no gerenciamento de projetos de TI. Começam a ser desenvolvidas diretrizes ainda fica o critério de cada gerente de projeto.

3 processo definido quandoFoi definida e comunicado uma metodologia e processo para o gerenciamento de projetos de TI. Os projetos de TI são definidos segundo os devidos objetos corporativos e técnicos. A gerencia sênior de TI e executiva começa a se comprometer e envolver com gerenciamento dos projetos de TI. Foi instituído um departamento de gerenciamento de projetos dentro da área de TI, com funções e responsabilidades definidas. Os projetos de TI são monitorados com marcos, cronogramas, orçamento e avaliações de desempenho definidos e atualizados. Há treinamento em gerencia de projeto. Mas esse treinamento ainda é resultado de iniciativas de certas equipes. Foram definidos procedimentos de garantia da qualidade e atividades de implementação pós-sistema, mas que ainda não são aplicadas amplamente por todos os gerentes de TI. Os projetos começam a ser gerenciados como portfólios.


4 gerenciado e mensurável quandoO gerenciamento exige métricas formais e padronizadas de projeto e as lições aprendidas dão revizadas após a conclusão do projeto. O gerenciamento do projeto é medido e avaliado] com toda a empresa e não apenas na áres de TI. Os aperfeiçoamentos no processo de gerenciamento de projetos são formalizados e comunicados e os membros das equipes de projeto recebem treinamento sobre tais aperfeiçoamento. A gerencia de TI também implementou umas nova estrutura na area de projeto, com funções, responsabilidades de critérios de avaliação do desempenho da equipe documentados. Foram definidos critérios para avaliar o êxito de cada marco. O valor e os riscos são medidos e gerenciado antes, durante e depois da conclusão dos projetos. Os projetos cada Vez mais atendem as metas da empresa com um todo e não apenas as específicas de ti. A gerencia de projeto para as equipe envolvidas e para TI.

5 otimizado quandoFoi implementado, atestado e integrado um programa e ciclo completo do projeto na cultura de toda a empresa. Foi implementada também uma iniciativa constante de identificação e institucionalização de melhores práticas de gerenciamento de projeto. Foi definida a implementada uma estratégia de TI para a realização de projetos de desenvolvimento e operacionais. Uma área de gerenciamento de projetos integrada é responsável pelos projetos e programas, da introdução a pos-implementação. O planejamento de programas e projetos em toda a empresa garanta que o usuário e os recursos de TI estão sendo empregados da melhor forma possível para suportar as iniciativas estratégicas.


Assurance guide roadmap

O assurance guide roadmap consiste de três estágios.• planejamento: estabelecer o universo de TI a ser validado, a

cada iniciativa de validação• Escopo: o escopo do processo começa com a definição das

metas de negócio e TI para o ambiente sobre revisão e na identificação do conjunto de processos e recursos requeridos para suportar essas metas.

• Execução: o terceiro estágio no roadmap de validação de TI. Será este estágio o assunto dos próximos slides.

Recursos ou produtos do Cobit

• Este módulo vários produtos e serviços fornecidos pelo ISACA e ITGI para suportar o Cobit.

• Os quatro produtos a seguir do conjunto do Cobit, disponibilizados pela ITGI, ajudam as organizações a adotar, implementar e gerenciar requisitos de governança de TI usando o COBIT.

COBIT online

O Cobit online• Apresenta o conteudo do Cobit usando um sistema baseado

na web e amigável.• Disponibiliza e muitos usuários olhem, busquem, dividam e

acessem a base de conhecimento.• Suporta download no formato de texto ou formulários,

alimenta sistemas locais, segue a abordagem do portal, capacita comparações de benchmark e analise de gap, e cria mapas.

Cobit online: vantagensAs vantagens do Cobit online são:• Ele fornece um repositório com fácil acesso de todas as informações

relacionadas ao Cobit e disponibiliza feedback de usuários.• Ele disponibiliza que o ISACA – ITGI mantenha o conteúdo e implementa

futuras versões gravado um feedback filtrado, capturado o conhecimento de peritos, fornecendo atualizações i]online freqüentes, e capacitados produções automática de impressões. O Cobit online é uma fonte primaria para informações atualizadas no Cobit.

• Ele funciona como um local de encontro para anúncios, fóruns de discussões, e download grátis

Cobit online

O Cobit online amplia as possibilidades de pesquisas e comparações para evitar risco empresários, satisfazem necessidade de controle e obter informações sobre aspectos tecnicos. O cobit online é uma base de recursos da internet onde é possível baixar diversos arquivos em pdf, postar duvidas na comunidade online obter indicadores para os objetivos de controles e realizar benchmark para avaliação de maturidade dos processos com outras empresas do setor .

O cobit online esta disponível a partir do site www.isaca.org. Para obter acesso é necessário ser membro do ISACA ou comprar uma inscrição de acesso.

http://www.isaca.org/

Cobit quickstart

O cobit quickstart:• Disponibiliza que você adote os elementos importantes do cobit

facilmente fornecendo uma versão resumida dos recursos do Cobit.• Se foca nos processos de TI, objetivos de controle e métricas.• Fornece uma base de objetivos de controle para empresas de pequeno e

médio porte e pequena entidades de grandes empresas, onde a TI não é estratégica ou critica para sobrevivência.

• Os servidores estão começando a postar para outras empresas em avançar um nível apropriado de controle e governança de TI.

Cobit quickstart:• Está disponível como uma publicação.• Ajuda a entender rapidamente problemas importantes e

prioridades de gerenciamento. Alem disso, pode ser seguido por pessoas não técnicas ou gerentes que querem princípios, não detalhes; e atua como um springboard para o Cobit.

• Pode ser utilizado para executar uma avaliação para priorizar os processos do Cobit, quando começa a implementação do Cobit ou projeto de governança de TI.

Cobit quickstart: baseline

Cobit quickstart: componentes

Os componentes do Cobit Kuickstart contém cerca de 20% dos objetivos de controle do Cobit e componentes de gerenciamento. Cada um desses objetivos de controle esta relacionando a um ou mais dos objetivos de controle detalhados do cobit.

Cobit quickstartO cobit quickstart possibilita você adotar facilmente os elementos mais

importantes DO Cobit.É uma versão resumida dos recursos do cobit, representa 20% do conteúdo.

O Cobit quickstart foca nos processos do TI, objetivos de controle e métricas, e ajuda os usuários a ganhar rapidamente os benefícios do cobit.

- É direcionado para empresas de pequenos e médio portes onde a TI não é estratégica ou absolutamente critica para sobrevivência da empresa.

- Fornece uma seleção dos itens básicos do cobit.- Fornece um fundamento das principais ações a executar - Esta disponível a partir do Cobit online.

Guia de implementação de governança de TI

O guia de implementação tem como objetivo:• Ajudar a organização a implementar a governança de

TI usando o Cobit.• Garantir que o foco esteja nas necessidades de

negócios enquanto melhora o controle e a governança de processos de TI.

• Possuem uma serie de arquivos complementares no formado de templates, apresentações, documentos úteis, e ferramenta de avaliação.

O guia de implementação de governança do TI é uma roadmap para conselho de administração, gerencia executiva, profissionais de TI de controle, profissionais de auditorias em TI e gerentes de conformidade.

O guia de implementação fornece:• Uma metodologia, um roadmap detalhando e um conjunto de

ferramentas para implementar um ciclo de vida de governça de TI continua usando o Cobit.

• Foca uma metodologia genérica nas seguintes áreas:- por que a governança de TI é importante e por que as organizações devem

implementá-la.- Como o Cobit esta vinculado com a governança de TI e como o Cobit

possibilita a implementação da governança de TI.

Guia de implementação de governança de TI

Em destaque do guia de implementação: VAL/IT

VAL/IT estende e complementa o Cobit, o que fornece framework de controle compreensivo para governança do TI. Especificamente, o VAL/IT foca:

• Na decisão de investimento (estamos fazendo as coisas certas?) • Na realização de benefícios (estamos conseguindo os benefícios?).• Enquanto o Cobit se foca na execução (estamos fazendo do jeito certo e

estamos obtendo os resultados).• A marca dessa iniciativa, a qual intui pesquisa, publicações e serviços de

suporte, é ajudar o gerenciamento a endereçar este desafio, e garantir que a organização realize o valor otimizado dos investimentos de negócios permitidos pelo TI, a um preço acessível, com um nível de risco conhecido e aceitável.

Val-it

Val IT é baseado nos Four ares, respondem as questões funda,mentais do valor entregue por TI.

Princípios do Val-IT• Investimentos permitidos pelo TI serão gerenciados como um portfólio de

investimento.• Investimento permitido pela TI irão incluir o escopo completo das atividades que

são necessárias para alcançar o valor de negócios.• Investimento permitido pelo o TI serão gerenciados através de todo o seu ciclo de

vida econômica.• As praticas de entrega de valor irão reconhecer que existem diferentes categorias

de investimentos que serão avaliadas e gerenciado diferentemente.• As pratica de entrega de valor irão definir e monitorar métricas chaves irão

responder rapidamente para qualquer mudança ou divergência.• As praticas de entrega de valor irão engajar todas os acionista e definir uma

cobrança apropriada para entrega de capacidade e realização de benefícios de negócio.

• As praticas de entrega de valor serão continuadamente monitoradas, avaliadas e

melhoradas.

Cobit security baseline

O Cobit security de bseline ajuda uma organização a se focar nos passos essenciais para extrair informações mais importantes relacionadas a segurança do framework do Cobit.

Este documento é uma destilação do Cobit para vários grupos de usuários, sugerindo os passos de controles mínimos para cada processo e o objetivo de controle detalhado do Cobit.

Inclui também um mapa de controles relacionados com a ISO 17799.

Práticas de controleAs praticas de controle descrevem quase 1600 “praticas de controle”, que

estendem a hierarquia de domínio – processo – objetivo de controle. São mecanismos que dão suporte para alcançar objetivos de controle, como prevenção, detecção e correção d eventos não desejados através do uso adequado dos recursos, gerenciamento de risco apropriado e alinhamento do TI COM NEGÓCIO.

As praticas de controle detalham:- Como cada processo pode ajudar a controlar e gerenciar riscos.- Gerenciamento de risco através das redução da probabilidade das

conseqüências adversas da ameaças vulnerabilidade.- Aumento dos benefícios através do ganho de de eficiência e/ou eficácia- Indicadores de performance das diretrizes de gerenciamento do Cobit- Existe pelo menos 2 praticas de controles detalhada para cada objetivo de

controle.

Aplicabilidade do Cobit• A gerencia precisa do Cobit – para avaliar as decisões de investimentos de TI.- Para balancear risco e controle de investimento de controle de TIO que

são geralmente imprevisíveis.- Para fazer comparações de ambientes de TI atuais e faturas.• usuário precisa do Cobit:- Para obter garantia na segurança e controle de produtos e serviços

fornecidos internamente e por terceiros- Is auditores querem falar sobre Cobit- Para substanciar as opiniões para gerencia dos controles internos.- Para responder as seguintes questões:Quais são os controles mínimos necessários?

Um produto para diversas audiências etc...

• Comite executivo• Gestores de negócios• Gerente de TI• Gerente de projeto• Desenvolvedores• Operações• Usuários• Information security officer• auditores

Comite Executico

Cobit pode servir os seguintes objetivos para você• Aceitações e adoção do Cobit como um modelo corporativo

de TI para todas as empresas dentre uma Holding.• Algumas abordagens especificas que podem se provocar úteis

para você:• Usar cobit pra complementar os controle internos já

existentes.• Usar o modelo de processo para estabelecer uma linguagem

comum entre as unidades de negócios e a área de TI; deixar claro as responsabilidades de cada um.

• Exemplo: grupo Votorantim

Gestores de negócios

• O cobit pode servir os seguintes objetivos para você:• Estabelecer um modelo comum para gerenciar e monitorar a

contribuição do TI para o negócio.Alguma abordagem especifica que pode se aprovar úteis para

você:• Usar objetivos de controles do Cobit como um código de boas

praticas para lidar com o TI dentro de uma função e negócios.• Usar objetivo de controles do Cobit para determinar

necessidades a serem coberta pelo ANS – acordo de nível de serviço (interno ou terceirizados).

• Exemplo: grupo Abril contrata EDS (computer word).

Gestores de TICobit pode servir os seguintes e objetivos para você:• Utilizar o modelo de processo e os objetivos de controles detalhado do

Cobit para estruturar as funções de serviço de TI em um processo controlado focando em agregar valor ou negócio.

Alguma abordagem especificas que podem se provar uteis para você:• Utilizar modelo de controle do Cobit para estabelecer SLA e a base de

comunicação com as áreas de negócios.• Utilizar modelo de controle do Cobit como base de avaliação desempenho

de processo, políticas e normas de TI.• UTILIZAR O Cobit como um mocelo padrão para estabelecer níveis

apropriados de objetivo de controle e certificações externas.

• Exemplo: TIVIT (exemplo-OPTIGLOBE) da transparência a seus clientes.

Gerentes de projetos

Cobit pode servir os seguintes objetivo para você• Como uma estrutura mínima de projeto e padrão de garantia

de qualidade.Alguma abordagem especifica que podem se aprovar úteis para

você.• Utilizar cobit para ajudar a garantir que os projetos

incorporem fazes usualmente aceitas em planejamento de TI, aquisição e desenvolvimento, entrega de serviço, gerenciamento de projetos e avaliações

• Processo de framework: PO10- GERENCIA DE PROJETOS, DS06 – identificação e alocação de custos, PO05 – gerencia de

investimento de TI, e outros.

Desenvolvedores

Cobit pode servir os seguintes objetivos para você• Como um guia de controles para serem aplicados dentro do processos

desenvolvimento, bem como para controle interno para ser integrado no sistema de informações sendo construídas.

Alguma abordagem específica que podem se provar úteis para você* Utilizar o cobit para garantir que todo as os objetivos de controle d TI

aplicáveis em projetos de desenvolvimento tenham sido utilizadas (principalmente os processo AI1 - identificação de soluções automatizadas, AI1 – aquisição e manutenção de sistemas aplicativos, AI4 –desenvolvimento e manutenção dos procedimentos de TI e AI7 –instalar e validar sistemas soluções e mudanças.

Operações

Cobit pode servir os seguintes objetivos para você:• Como um guia de controles para serem aplicados dentro dos

processo de entrega de serviços e suportes, colocando de forma clara os objetivos do cliente.Algumas abordagens especificas que podem ser aprovadas úteis para você

• Utilizar o Cobit para garantir que todos os objetivos de controle de TI aplicáveis e entrega de serviços e suporte, tenham sido utilizadas (principalmente os processos do domínio DS).

• Garantir que as políticas e procedimento operacionais são suficientemente compreendidas pela organização.

Usuários

Cobit pode servir os seguintes objetivos para você:• Como um guia de controles para serem integrados

com o sistema de informação em produção ou em desenvolvimento.

Alguma abordagem especifica que possa se aprovar úteis para você:

* Utilizar o cobit para guia os ANS – acordo de nível de serviço internos ou terceirizados.

Security officer

Cobit pode servir de seguintes objetivo para voce:• Como uma estrutura que prove uma forma de

integrar a segurança da informação com outras área relacionadas com o objetivo de TI.

Alguma abordagem especifica que possa ser úteis para você:

• Utilizar o Cobit para estruturar o programa de segurança da informação, políticas e procedimentos.

Auditores

Cobit pode servir os seguintes objetivos para você:• Como uma fase para determinar o universo de auditoria de TI e como uma

referencia de controle TI.Alguma abordagem especifica que possa ser úteis para você• Utilizar o cobit como critério para revisar e examinar auditorias de TI.OS OBJETIVOS DAS AUDITORIAS SÃO:• Prover aos gestores, com razoável garantia de objetivos de controle estão

sendo cumpridos;• Onde houverem pontos fracos de controle, substanciar os risco

resultantes;

• Aconselhar os gestores com ações corretiva.

Relacionamento com outras metodologias

Iso 17799

• Objetivo de controle voltados para segurança da informação de ativos envolvendo processo de negócios, tecnologia e pessoas.

• Excelente para implementa controles de segurança envolvendo a vulnerabilidade e o risk assessmend de ativos de TI.

• Últimos controles sobre os procedimentos de gestão de segurança da informação e continuidade de negócio.

Exercício prático• Entre os participantes identificar aquele que se voluntariar para utilizar o caso de

sua empresa para ser diagnosticado; monta-se os grupos de acordo com, o numero de participantes.

• Objetivo do exercício é analisar em grupo (e conseqüentemente se familiarizar) os objetivos de controles detalhados.

• Serão feitos 2 atividades:1. Selecionar o processo que consideram o mais importante e explicar porque.

– Todo terão que ler e entender os objetivos do processo

2. Determinar o nível de maturidade deste processo e explicar porque chegaram a esta conclusão

– todos terão que ler e entender os detalhes dos objetivos de controle, definir os KGI e o KPI e o

modelo de maturidade.

Documents

cobit 4