Guia de Estudo para Exame de Certificação Do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation
Guia de Estudo para o Exame Certificao do Cobit Foundation 4.1

verso 7.0
Rildo Santos(@rildosan) rildo.santos@etecnologia.com.br

www.etecnologia.com.br www.rildosan.blogspot.com www.etecnologia.ning.com
Todos os direitos produtos e marcas citados neste guia so de propriedade dos seus donos, este material poder ser copiado, ampliando e distribudo deste que autorizado pelo autor.
Pg: 1/38
Reviso 7.0
Introduo: Este Guia de Estudo foi elaborado para ajudar e facilitar na preparao para o exame de certificao do Cobit Foundation verso 4.1. Seu propsito servir como um documento de reviso complementar ao treinamento de Cobit Foundation. O guia cobre todos os assuntos abordados no exame de certificao, contudo ele no prescritivo, ou seja, voc dever considerar outras fontes de estudo. Rildo Santos
Como se preparar para o exame de Certificao do Cobit Foundation 4.1: Check Lists: Material do treinamento: 1 Faa uma releitura de todo o material 2 Refaa os exerccios 3 Refaa o simulado Guia de Estudo: 1 - Leia o Guia 2 - No final de cada parte faa um resumo das partes mais importantes (elas esto grafadas na cor amarela) 3 - Faa os exerccios para fixao, aps a elaborao dos resumos de cada parte 4 - Faa o simulado de certificao
Pg: 2/38
Reviso 7.0
Este Guia est organizado em trs partes:
Primeira parte: Reviso Geral do Cobit Foundation
Segunda parte: Os Processos o DS2 o PO10 o Descrio dos demais processos
Terceira parte: Produtos Cobit o COBIT Online o COBIT Quickstart o IT Governance Implementation Guide Using COBIT e Val IT o COBIT Security Baseline
Pg: 3/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Reviso Geral:

Desafios de TI: - Manter TI funcionando - Agregar valor - Otimizar custos - Manter o alinhamento de TI com o negcio - Atender a requisitos regulatrios (SOX, BASEL II, SPED, etc)
Definio de Governana Empresarial (Corporativa): Governana empresarial um conjunto de responsabilidades e prticas exercitadas pelo conselho e o gerenciamento executivo com as metas de: Fornecer um direcionamento estratgico Garantir que os objetivos sejam alcanados Estabelecer que os riscos sejam gerenciados apropriadamente Verificar se os recursos da empresa sejam usados com responsabilidade Governana empresarial trata de: Performance o Melhorar o lucro, a eficincia, a efetividade e o crescimento Conformidade o Aderir legislao, s polticas internas e aos requisitos de auditoria Governana Empresarial e a Governana de TI requerem um balano entre a conformidade e as metas de performance, como orientado pelo conselho (Conselho da Administrao).
Definio de Governana de TI: A governana de TI definida como uma estrutura de relacionamento e processos para direcionar e controlar a empresa para que ela possa alcanar suas metas agregando valor enquanto balanceia os riscos versus retorno sobre o TI e seus processos.
Quem responsvel pela Governana de TI ? O conselho de diretoria e o corpo executivo so responsveis pela governana de TI, o que envolve estruturas e processos que direcionam a organizao no sentido de alcanar seus objetivos. Conceitos chaves da Governana de TI: Direcionar: O gerenciamento fornece direcionamento para implementar uma mudana. Para fornecer um direcionamento efetivo, o gerenciamento precisa entender a mudana pretendida. Alm do mais, o gerenciamento direciona outra pessoa a executar essas mudanas. Controlar: O controle garante que os objetivos sejam alcanados e nenhum incidente indesejado ocorra.
Princpios da Governana: Responsabilidade, Prestao de Conta (cobrana), Atividades: Responsabilidade: O CEO (presidente) o responsvel pelo controle interno. Gerentes Seniores (ou diretores) assumem responsabilidade para o estabelecimento de polticas e procedimentos de controle interno especficos para o pessoal executando a funo de uma unidade. Controle interno de responsabilidade de todos dentro de uma organizao e deve ser uma parte explcita ou implcita das descries do trabalho. Quem Cobrado (Quem presta conta): O que cobrado est relacionado responsabilidade, mas especificamente focado em ter autoridade de tomar decises e fazer aprovaes.
Pg: 4/38
Reviso 7.0

Por exemplo: A responsabilidade para o processo de definir a estratgia de TI ser dividida por diversas pessoas, cada um responsvel por certas tarefas e atividades. Finalmente pode ser o CEO quem decide os problemas chave e aprova a verso final. Ele ento cobrado pela estratgia de TI. Atividades: As atividades de TI so efetivas quando h uma boa governana de TI. Geralmente, os departamentos de TI precisam se alinhar com as necessidades de negcios da empresa. O alinhamento um indicador de performance que pode ser qualquer parmetro tcnico.
Acionistas internos (Stakeholders) da Governana de TI: - Gerente de TI - Auditor de TI - Conselho, Executivos, e Gerente de Negcios - Gerente de Riscos e Conformidade
Acionistas externos (Stakeholders) da Governana de TI: - Clientes - Fornecedores - Auditor Externo - Reguladores
Governana de TI: As 5 reas de Foco: Alinhamento Estratgico: Focar em garantir a ligao dos negcios e planos de TI; em definir, manter, e validar a proposta de valor de TI e em alinhar as operaes de TI com as operaes da empresa. Garantir que o investimento da empresa em TI esteja em harmonia com os seus objetivos estratgicos. Agregao de Valor: Trata-se de executar a proposta de valor atravs do ciclo de agregao, garantindo que o TI entregue os benefcios prometidos sobre a estratgia, se concentrando em otimizar os custos e fornecendo o valor essencial da TI. Gerenciar Riscos: Requer: Conscincia dos riscos dos responsveis snior da corporao Um entendimento claro do apetite da empresa por riscos Um entendimento de requisitos de conformidade Transparncia sobre riscos significantes para a empresa Embutir as responsabilidades de gerenciamento de riscos dentro da organizao Os riscos podem ser administrados pela: Mitigao de riscos Transferncia de riscos Aceitao de riscos Evitar riscos Gerenciar Recursos: Trata-se de investimentos otimizados e gerenciamento apropriado de recursos crticos de TI, como: Aplicaes. Informao. Infraestrutura. Pessoas. Medio de Performance: Busca e monitora a implementao de estratgias, concluso de projetos, performance de projetos, e agregao de servios Se no h uma maneira de medir e avaliar as atividades de TI, no possvel governar TI e garantir o alinhamento, agregao de valor, gerenciamento de riscos e um uso eficiente dos recursos.
Pg: 5/38
Reviso 7.0

Benefcios da Governana de TI: Aumentar a confiabilidade dos servios Maior transparncia Boa receptividade da TI para os negcios Confiana da diretoria Melhorar ROI (Retorno sobre Investimento)
Por que da necessidade de um Framework de Controle: As empresas no conseguiro atender efetivamente aos negcios e aos requisitos de governana sem adotar e implementar uma governana e um framework de controle para o TI que permitam: Alinhar os requisitos de negcios Exibir de forma transparente a performance destes requisitos Organizar as atividades de TI em um modelo de processos genericamente aceitvel Identificar os principais recursos a serem relevados Definir os objetivos de controle de gerenciamento a serem considerados Resumo: Organizaes tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de governana de TI: Manter a TI funcionando Entregar valor aos clientes Gerenciar os custos de TI Dominar as complexidades Alinhar a TI com os negcios Garantir conformidade regulatria Gerenciar a segurana
Cobit e Governana de TI: O COBIT ajuda a melhorar a governana de TI. O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para um framework de controle. Estrutura de Controle: - Fornece melhor foco de Trabalho - Foco de Negcios O COBIT atende melhor aos negcios focando no alinhamento de TI com os objetivos de negcios. A medio da performance de TI dever focar-se na contribuio da TI em disponibilizar e estender a estratgia de negcios. O COBIT, suportado por mtricas prprias focadas no negcio, pode garantir que o objetivo primrio a entrega de valor e no a excelncia tcnica. - Define uma linguagem comum - Linguagem Comum uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos crticos e fornecendo um glossrio. Coordenao dentro e atravs de equipes de projeto; as organizaes podem desempenhar o papel chave para o sucesso de qualquer projeto. Linguagem comum constri confidncia e confiana. - Garante a orientao a processos Orientao a Processos Quando as organizaes implementam o COBIT, o seu foco mais orientado a processos. Os incidentes e problemas tiram a ateno dos processos. Excees podem ser claramente definidas como parte de processos padres. Com a posse do projeto definida, designada e aceitada, a organizao mais capaz de manter controle atravs de perodos com mudanas rpidas ou crise organizacional.
Pg: 6/38
Reviso 7.0

- Ajuda a alcanar requisitos regulatrios - Requisitos Regulatrios Recentes escndalos empresariais tm aumentado as presses regulatrias em conselhos de diretoria para relatar seus status e garantir que os controles internos sejam apropriados. Isto tambm cobre os controles de TI. As organizaes precisam constantemente melhorar a performance de TI e demonstrar controles adequados sobre suas atividades. Muitos gerentes de TI, conselheiros e auditores esto se voltando ao COBIT como a resposta de fato para requisitos regulatrios de TI.
- Possui aceitao entre as empresas - Aceitabilidade: O COBIT um padro aprovado e aceito globalmente para aumentar a contribuio de TI para o sucesso da organizao. O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores prticas. Os profissionais de TI de todo o mundo contribuem com suas idias e tempo em reunies de reviso regulares.
A estrutura do Cobit:
As suas principais caractersticas so: Focado nos Negcios Orientado a Processos Baseado em Controles Dirigido pela Medio O acrnimo COBIT quer dizer Control Objectives for Information and related Technology
Modelo de Governana do provido pelo Cobit: Inicia a partir dos requisitos de negcios. orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos. Identifica os principais recursos de TI a serem considerados. Define os objetivos de controle a serem considerados. Incorporando os principais padres internacionais. um modelo de fato para o controle geral de TI
Audincia: COBIT Concebido para a gerncia, auditores e TI A estrutura do COBIT ajuda no apenas aos usurios tcnicos, mas tambm aqueles que so responsveis pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usurios garantindo que: Seus requisitos esto definidos e propriamente entendidos. Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.
Premissa: A estrutura do COBIT baseada na premissa de que TI precisa entregar a informao que uma empresa precisa para alcanar seus objetivos. A estrutura do COBIT ajuda a alinhar TI com os negcios focando-se nas requisies de informaes de negcios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a governana de TI.
Pg: 7/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Componentes do Cobit:

Uma empresa depende da credibilidade e prontido da informao. Os componentes do COBIT iro fornecer uma estrutura capaz de entregar valor e ao mesmo tempo gerenciar riscos e controlar dados e informaes.
Como estrutura para governana e controle de TI, o COBIT focar em duas reas: Fornecer as informaes necessrias para suportar os requisitos e objetivos de negcios Tratar a informao como resultado da aplicao conjunta dos recursos de TI que precisam ser gerenciados pelos processos de TI. O framework do COBIT descreve como os processos de TI entregam a informao que os negcios precisam para alcanar seus objetivos. Para controlar esta entrega, o COBIT fornece trs componentes chave: - Requisitos de Negcio; - Recursos de TI - Processos de TI Formando as dimenses do Cubo do COBIT.
Cubo do COBIT Inter-relao dos componentes do COBIT: Em um ambiente complexo, o gerenciamento requer informaes compreensivas e em tempo para tomar decises eficientes sobre risco e controle. O COBIT enderea estes problemas em de forma de diretrizes de gerenciamento. Estas diretrizes esto destacadas abaixo: Metas de TI e Processos de TI: So Medidas por: So decompostas em: Performance: Indicadores de Desempenho - Atividades-Chaves Resultado: Mtrica de Resultado Que so executadas pela Maturidade: Modelo de Maturidade - Matriz RACI Metas de TI e Processos de TI:
Pg: 8/38
Reviso 7.0

O COBIT descreve o ciclo de vida da TI com a ajuda de 4 domnios: o Planejar e Organizar o Adquirir e Implementar o Entregar e Suportar o Monitorar e Avaliar O que so processos: Processos so sries de atividades com quebras de controle naturais. Existem 34 processos nos quatro domnios. Estes processos especificam o que os negcios precisam para alcanar seus objetivos. A entrega de informaes controlada atravs de 34 objetivos de controle de alto nvel, um para cada processo. Que so atividades ? Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm ciclos de vida e incluem muitas tarefas discretas.
Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm ciclos de vida e incluem muitas tarefas discretas.
O COBIT possui 34 processos de TI definidos dentro dos 4 domnios de TI:
PLANEJAR E ORGANIZAR (PO)
Objetivos: o Formular estratgia e tticas o Identificar como TI pode contribuir melhor para alcanar os objetivos de negcios o Planejar, comunicar, e gerenciar a realizao da viso estratgica o Implementar uma infraestrutura organizacional e tecnolgica Escopo: o A TI e os negcios esto estrategicamente alinhados? o A empresa est alcanando um uso otimizado dos recursos de TI? o Todos na organizao entendem os objetivos de TI? o Os riscos de TI esto entendidos e sendo gerenciados? o A qualidade dos sistemas de TI est apropriada para as necessidades de negcios? PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar o Direcionamento Tecnolgico PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar os Objetivos e Direcionamento da Diretoria PO7 Gerenciar Recursos Humanos de TI
Processos
Pg: 9/38
Reviso 7.0

PO8 Gerenciar Qualidade PO9 Avaliar e Gerenciar Risco de TI PO10 Gerenciar Projetos
ADQUIRIR IMPLEMENTAR (AI)
Objetivos: o Identificar, desenvolver ou adquirir, implementar, e integrar as solues de TI o Mudanas e manuteno de sistemas existentes Escopo: o Os novos projetos esto preparados para entregar solues que alcancem as necessidades de negcios? o Os novos projetos esto preparados para serem entregues a tempo e dentro do oramento? o Os novos sistemas iro funcionar bem quando implementados? o As mudanas sero feitas sem atrapalhar as operaes de negcios atuais? AI1 Identificar as Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Permitir Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Validar Solues e Mudanas Objetivos: o A entrega real de servios necessrios, incluindo a entrega de servios o O gerenciamento da segurana, continuidade, dados e facilidades operacionais o Suporte de servios para os usurios Escopo: o Os servios de TI esto sendo entregues alinhados com as prioridades de negcios? o Os custos de TI esto otimizados? o A fora de trabalho capaz de usar os sistemas de TI de forma produtiva e segura? o A confidencialidade, integridade e disponibilidade esto adequadas? DS1 Definir e Gerenciar Nveis de Servios DS2 Gerencia Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Garantir Continuidade de Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar Central de Servio e Incidentes DS9 Gerenciar Configurao DS10 Gerenciar Problema DS11 Gerenciar Dado DS12 Gerenciar Ambiente Fsico DS13 Gerenciar Operaes
Processos
ENTREGAR E SUPORTAR (DS)
Processos
Pg: 10/38
Reviso 7.0
MONITORAR E AVALIAR (ME)
Objetivos: o Gerenciamento de Performance o Monitoramento de controles internos o Conformidade regulatria o Governana Escopo: o A performance de TI est sendo medida para detectar problemas antes que seja tarde demais? o O gerenciamento garante que os controles internos sejam eficazes e eficientes? o A performance de TI pode ser ligada s metas de negcios? o Os riscos, controles, conformidade e performance esto sendo medidos e relatados? ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade Regulatria ME4 Fornecer Governana de TI
Processos
Requisitos de Negcio (Critrios de Informao): Para satisfazer os objetivos de negcios, a informao deve estar em conformidade com critrios de informao especficos, os quais o COBIT se refere como requisitos de negcios para informao. Os critrios de informao esto baseados em requisitos de qualidade, segurana e valor (fiducirio). Requisito de Negcio Efetividade (Qualidade) Descrio Lida com informaes relevantes e pertinentes aos processos de negcios bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel. Lida com a proviso de informaes atravs dos uso de recursos otimizados mais produtivos e econmicos Lida com a proteo de informaes sensveis de revelaes no autorizadas.
Eficincia (Qualidade) Confidencialidade (Segurana) Integridade (Segurana) Disponibilidade (Segurana) Conformidade (Fiduciria)
Relaciona-se com a exatido e integridade de informaes to bem quanto sua validade de acordo com os valores de negcios e expectativas. Relaciona-se com a informao estar disponvel quando necessria pelo processo de negcios no presente e no futuro. Ele tambm responsvel pela guarda de recursos necessrios e capacidades associadas. Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo de negcios esta sujeito, ou seja, critrios de negcios impostos externamente como polticas internas. Relaciona-se com a proviso de informaes corretas para gerenciar, operar a entidade e exercitar suas responsabilidades fiducirias e de governana.
Confiabilidade (Fiduciria)
Pg: 11/38
Reviso 7.0

Recursos: Os processos de TI gerenciam os recursos de TI para gerar, entregar e estocar a informao que a organizao precisa para alcanar seus objetivos.
Recurso Aplicaes
Descrio Aplicaes so sistemas de usurios automatizados e procedimentos manuais que processam a informao. Informao so os dados de entrada, que so processados, e de sada pelos sistemas de informao, em qualquer forma usada pelos negcios Infraestrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e as redes que disponibilizam o processamento das aplicaes. Pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos, terceirizados, ou contratados, conforme necessrio.
Informao Infraestrutura
Pessoas
Diretrizes de Gerenciamento do COBIT: Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensurveis para cada processo e medir e comparar a atual capacidade da organizao em cada processo. O conjunto de informaes de gerenciamento a seguir lista algumas questes. Questes tpicas de gerenciamento: Como gerentes responsveis mantm o navio no curso? Como a organizao alcana resultados que sejam satisfatrios para os segmentos maiores possveis para seus acionistas? Como a organizao se adapta s tendncias e desenvolvimentos no seu envolvimento de uma forma a tempo? As Diretrizes de Gerenciamento iro fornecer as metas e as mtricas (mtricas de resultados e indicadores de performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em direo ao resultado desejado. As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover mtricas para a realizao das metas de TI. Um scorecard possui 4 dimenses para mapear as metas e indicadores. Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e Crescimento Diretrizes de Gerenciamento provem recursos para os 34 processos para ajudar aos gestores a entender a performance da organizao.
Cada processo possui o seguinte: Entradas do Processo: So o que o dono do processo precisa dos outros processos. Sada do Processo: So o que o dono do processo deve entregar. Atividades-Chaves para o processo e matriz RACI: Aponta quem Responsible (Responsvel), Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade.
Metas e mtricas mostram como os processos devem ser medidos. Eles so definidos em trs nveis: Metas e mtricas de TI definem o que os negcios esperam da TI, ou seja, o que os negcios usariam para medir a TI. Metas e mtricas de processo definem o que o processo de TI deve entregar para suportar as metas de TI e como medir isso Mtricas de performance de processo medem quo bem o processo esto indo para indicar se as metas devero ser alcanadas.
Pg: 12/38
Reviso 7.0

Modelos de Maturidade ajudam as organizaes a medir a capacidade dos processos, de No existente (0) a Otimizado (5).
Modelo de Maturidade: Todos os processos possuem um modelo de maturidade. A maturidade diz respeito capacidade do processo em atender os requisitos regulatrio e compliance, capacidade para atender metas de TI e as metas dos processos de TI. Modelos de Maturidade fornecem uma escala para referenciar s prticas da companhia contra os padres e diretrizes da indstria. Um modelo de maturidade uma medida que capacita que uma empresa nivele sua maturidade para um processo especfico de no existente (0) para otimizado (5).
COBIT Valor e Limitaes O COBIT: aceito como referencia internacional de boas prticas. orientado aos negcios. considerado um padro aberto. mantido por uma organizao de boa reputao sem fins lucrativos. Mapeia 100 por cento do COSO. Est mapeado de acordo com principais padres relacionados. uma referncia. As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos seguintes requisitos da empresa: o Entrega de valor. o Gerenciar Risco. o Infraestrutura de TI, organizao, e portflio de projetos.
Vantagens de adotar o COBIT so: O COBIT est alinhado com outros padres e melhores prticas e deve ser usado junto deles. O framework do COBIT e melhores prticas de suporte fornecem um ambiente de TI bem administrado e flexvel em uma organizao.
Pg: 13/38
Reviso 7.0

O COBIT fornece um ambiente de controle que responde s necessidades de negcios e gerenciamento de servidores e funes de auditoria em termos de suas responsabilidades de controle. O COBIT fornece ferramentas para ajudar a gerenciar as atividades de TI.
Introduo ao Val IT O Val IT baseado no COBIT, estendendo e complementando-o, orientado para a dimenso do valor da entrega, o Val IT foca especificamente: Nas decises de reinvestimento (estamos fazendo as coisas certas?) Na realizao dos benefcios (estamos obtendo os benefcios?) A Meta do Val IT: A meta da iniciativa do Val IT ajudar a administrao a garantir que as organizaes entendam o valor mximo dos investimentos que permitam a sustentao dos negcios a um custo acessvel a um nvel aceitvel de riscos
Os princpios do Val IT esto detalhados abaixo: Investimentos permitidos pela TI sero gerenciados como um portflio de investimentos. Permitir os investimentos de TI que incluam o escopo completo de atividades necessrias para atender aos negcios. Investimentos permitidos pela TI sero gerenciados atravs de todo o seu ciclo de vida econmico. As prticas de entrega de valor iro reconhecer que existem categorias de investimentos diversas que sero avaliadas e gerenciados diferentemente. As prticas de entrega de valor iro definir e monitorar indicadores chave capazes de responder rapidamente a quaisquer mudana ou divergncias. As prticas de entrega de valor devem engajar todos os patrocinadores e definir uma prestao de contas apropriada para a entrega das competncias para a obteno de benefcios de negcios. As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas. Val IT baseado nos Quatro Estamos , que exploram as questes fundamentais dos valores a serem entregues pela TI.
Estrutura de Processo: O diagrama abaixo mostra a estrutura dos trs processos do VAL IT e suas prticas de gerenciamento. Valor da Governana (Value Governance)
Pg: 14/38
Reviso 7.0

VG1 Garante a informao e o compromisso com a liderana. VG2 Define e implementa processos. VG3 Define papis e responsabilidades. VG4 Garante a aceitao apropriada das responsabilidades. VG5 Define os requisitos de informao. VG6 Estabelece os requisitos a ser reportado. VG7 Estabelece a estrutura organizacional. VG8 Estabelece a direo estratgica. VG9 Define as categorias de investimento. VG10 Determina e objetiva o Portflio associado. VG11 Define os critrios de avaliao por categoria.
Gerenciamento do Investimento (Investment Management) IM1 Desenvolve um plano de alto-nvel das oportunidades de investimento. IM2 Desenvolve um programa inicial conceituado em business case. IM3 Desenvolve um entendimento claro do programa candidato. IM4 Executa analises alternativas. IM5 Desenvolve um plano de programa. IM6 Desenvolve um plano de realizao de benefcios. IM7 Identifica o ciclo completo de custos e benefcios. IM8 Desenvolve um business case detalhado. IM9 Associa propriedade e responsabilidades. IM10 Inicia, planeja e lana o programa. IM11 Gerencia o programa. IM12 Gerencia e rastreia os benefcios IM13 Atualiza o business case. IM14 Monitora e reporta a performance do programa. IM15 Encerra o programa.
Pg: 15/38
Reviso 7.0

Gerenciamento do Portflio (Portfolio Management) PM1 Mantm um inventrio sobre os recursos humanos. PM2 identifica os recursos requeridos. PM3 Executa um gap analysis. PM4 Desenvolve um plano de recursos. PM5 Exigncias de recurso de monitor e utilizao. PM6 Estabelece limites de investimento. PM7 Avalia o programa inicial concebido pelo business case. PM8 Avalia e atribui pontuaes relativas ao business case. PM9 Cria uma viso geral do portflio PM10 Faz e comunica as decises de investimento. PM11 Lanamento em fases do programa escolhido. PM12 Otimizar a performance do portflio PM13 Repriorizar o portflio PM14 Monitorar e reportar a performance do portflio
Os processos expandem os processos dos domnios Planejar e Organizar (PO) e Monitor e Avalir (ME) do COBIT, especialmente aqueles relacionados a: Estratgias de TI e do Negcio Gerenciamento de Investimentos Portflio de programas e gerenciamento de projetos Monitorar e avaliar o valor da entrega A estrutura do Val IT framework prov uma referncia cruzada ao COBIT.
Resumo: O COBIT satisfaz as seguintes caractersticas da estrutura de controle: o Orientado a processos o Focado em negcios o Linguagem comum o Aceitabilidade geral o Atende a requisitos regulatrios O COBIT conecta riscos de negcios, controla necessidades e requisitos tcnicos. Prov boas prticas atravs de uma estrutura de domnios e processos. Tambm apresenta atividades em uma estrutura lgica e gerencivel. A audincia para o COBIT inclui gerenciamento de negcios, auditores e gestores de TI. Os trs principais componentes da estrutura do COBIT so: o Recursos de TI o Processos de TI o Requerimentos de negcios Os trs componentes da estrutura do COBIT combinam para formar um mtodo holstico de analisar e definir os requisitos de TI em uma organizao. O modelo de maturidade mede a capacidade dos processos. O COBIT define as atividades de TI em um modelo de processo genrico dentro de quatro domnios: o Planejamento e Organizao o Aquisio e Implementao o Entrega e Suporte o Monitorao e Avaliao A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega. Diretrizes de gerenciamento fornecem: o Entradas e sadas de processos o Atividades de processos e Matriz RACI. o Metas de Negcios, TI, processo e de atividade.
Pg: 16/38
Reviso 7.0

o o Mtricas Indicadores-chaves de meta e performance. Modelos de maturidade
Os Processos:
Estrutura do Cobit Processos: Cada processo de TI do COBIT possui: o Um requisito de negcio que a TI satisfaa. o Metas-chaves em que se focar. o Controles-chaves que ajudem a alcanar as metas. o Mtricas-chaves que ajudem a medir a performance. o Objetivos de controle detalhados. Cada processo de TI do COBIT: Est mapeado para critrios de informao, recursos de TI, e governana de TI usando: o P - Relacionamento Primrio. o S - Relacionamento Secundrio. o Em branco para indicar que os requisitos so satisfeitos mais apropriadamente por outro critrio e/ou por outro processo. Possui entradas e sadas de processos e uma matriz RACI. Possui um modelo de maturidade.
Objetivos de Controle: Cada processo tem um objetivo de controle de alto nvel e objetivos de controles detalhados. As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcios no mesmo nvel. O framework do COBIT define trs nveis: Primrio: O objetivo de controle definido impacta diretamente no critrio de informao. Secundrio: Secundrio: O objetivo de controle definido satisfaz apenas indiretamente ou em extenso menor o critrio de informao Em branco: Isto poderia ser aplicvel. Entretanto, os requisitos so satisfeitos mais apropriadamente por outro critrio neste processo. O que Objetivo de Controle ? Uma declarao do resultado desejado ou proposta a ser alcanada implementando procedimentos de controle em uma atividade em particular.
Pg: 17/38
Reviso 7.0
As prticas de Controle: As prticas de controle de TI estendem a estrutura do COBIT fornecendo um nvel adicional de ajuda quando olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o que precisa ser feito para implementar uma estrutura de controle eficaz. As prticas de controle fornecem um nvel de detalhe adicional, se necessrio.
Processo: PO10 Gerenciar Projeto:

Descrio do Processo: Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as entregveis, garantia de qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao para assegurar o gerenciamento de risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam investimentos em TI. Controle sobre o processo de TI: Gerenciar Projeto Que satisfaz os requisitos de negcio: A entrega dos projetos resulta em cronogramas, oramento e qualidade acordados Focando nas Um programa definido e um modelo de gerenciamento de projeto que so aplicadas ao projeto de TI , que habilita a participao dos patrocinadores, no monitoramento de riscos e progresso dos projetos. alcanado pelas Definir e impor programas e frameworks de projetos e abordagens Liberar diretrizes de gerenciamento de projetos Executar planejamento de projeto para cada projeto detalhado no portflio dos projetos medido por Porcentagem de projetos que alcanam as expectativas dos acionistas, ou seja, em tempo, dentro do oramento, e requisitos de alcance, medidos pela importncia Porcentagem de projetos recebendo reviso ps-implementao. Porcentagem de projetos seguindo os padres e prticas de gerenciamento de projeto rea de Governana, Recursos e Critrio de Informao (Requisitos de Negcio) Mapeamento com as reas de Foco de Governana de TI: Primrio: - Alinhamento Estratgico Secundrio: - Agrega Valor, Gerenciamento de Riscos, Gerenciamento de Recursos e Medio de Performance Mapeamento com os Recursos de TI - Aplicaes, Infraestrutura e Pessoas Mapeamento com os Critrios de Informao: Primrio: - Eficcia e Eficincia Em Branco: - Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade
Pg: 18/38
Reviso 7.0

Objetivos de Controle: Objetivos de controle so declaraes de gerenciamento de melhores prticas baseados em padres globais e na vises de peritos. Objetivos de e Controle: PO10.1 Estrutura de Gerenciamento de Programa PO10.2 Estrutura de Gerenciamento de Projeto PO10.3 Abordagem de Gerenciamento de Projeto PO10.4 Comprometimento dos Participantes PO10.5 Escopo do Projeto PO10.6 Fase de Incio do Projeto PO10.7 Planejamento do Projeto Integrado PO10.8 Recursos do Projeto PO10.9 Gerenciamento de Riscos do Projeto PO10.10 Planejamento da Qualidade do projeto PO10.11 Controle de Mudanas no Projeto PO10.12 Mtodos de Planejamento de Garantia do Projeto PO10.13 Avaliao, Relatrios e Monitoramento do Desempenho do Projeto PO10.14 Concluso do Projeto Os requisitos de controle genricos para os processos do COBIT so: PC1: Metas e Objetivos Estabelecer metas e objetivos claros para cada processo do COBIT para uma execuo eficaz. PC2: Dono do processo Definir um dono para cada processo do COBIT para que a responsabilidade esteja clara. PC3: Repetibilidade Definir cada processo do COBIT para que seja repetvel. PC4: Papis e Responsabilidades Definir papis, atividades e responsabilidades sem ambigidade para cada processo do COBIT para uma execuo eficiente. PC5: Poltica, planos e procedimentos Documentar, revisar, manter atualizado, assinar, e comunicar a todas as partes relacionadas qualquer poltica, plano ou procedimento que enderea um processo COBIT. PC6: Performance do processo Medir a performance para cada processo do COBIT versus suas metas.
Pg: 19/38
Reviso 7.0

Matriz RACI identifica quem Responsvel, Cobrado (Prestao de Constas), Consultado e/ou Informado
Entrada e Sada de processo: Cada processo est ligado a outros processos. As entradas so entregveis que um processo requer de outros processos. Sadas so entregveis que um processo fornece para outros. Entradas e Sada do processo PO10: Entradas: PO1 Portflio do Projeto PO5 Portflio de projeto de TI atualizado PO7 Matriz de Habilidades de TI PO8 Padres de Desenvolvimento AI7 Reviso ps-implementao Sadas: Relatrio de performance de projeto ME1 Plano de Gerenciamento de risco de projeto PO9 Diretrizes de gerenciamento de projeto AI1, AI7 Planos de projeto de detalhados PO8, AI1, AI7 e DS6 Portflio de projeto de TI atualizado PO1 e PO5
Indicadores: Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0): Define medidas que informam aos gestores aps o fato que indicam se uma funo, processo ou atividade alcanou suas metas. Indicadores de resultado das funes de TI so frequentemente expressas em termos de critrios de informao relevantes, como: Disponibilidade da informao necessria para suportar as necessidades de negcios. Ausncia de riscos de integridade e confidencialidade. Eficincia de custo de processos e operaes. Confirmao de confiabilidade, eficcia, e conformidade.
Pg: 20/38
Reviso 7.0

Indicadores de Performance (Key Performance Indicators, KPI, no COBIT 4.0): Indicadores de performance definem medidas que determinam quo bem negcios, funes de TI ou processos esto atuando para permitir que metas sejam atingidas. Eles indicam se uma meta poder ou no ser alcanada. Com frequncia medem disponibilidades ou capacidades, prticas e/ou habilidades alm dos resultados de atividades de sustentao. Nota: Indicadores de resultado de baixo nvel tornam-se indicadores de performace de alto nvel. Indicadores de Meta Chaves PO10 O COBIT define dois nveis de medidas de resultado: um para o departamento de TI (resultados de TI) e um para o processo de TI (mtrica do resultado do processo). PO10: Gerenciar Projetos Indicadores de resultado de TI: Porcentagem de projetos que atendem as expectativas dos acionistas em tempo, dentro do oramento, e alcanando os requisitos determinados pela importncia Indicador de Resultado de Processo: Porcentagem de projetos a tempo e dentro do oramento Porcentagem de projetos alcanando as expectativas dos acionistas Indicadores de Performance PO10 Comentrio: Estas so medidas de resultados para as atividades e indicadores de desempenho do processo PO10 % de projetos que seguem os padres e prticas de gerenciamento. % de gerentes de projetos certificados ou treinados. % de projetos recebendo revises ps-implementao. % de acionistas (stakeholders) participando em projetos, o que representa um ndice de envolvimento.
Metas e Mtricas do PO10:
Pg: 21/38
Reviso 7.0
Modelo de Maturidade: Nvel de Maturidade O No Existente Descrio Tcnicas de gerenciamento de projeto no so utilizadas e a organizao no considera os impactos dos negcios associado com a falta de gerenciamento de projeto e falhas de desenvolvimento de projeto. O uso das tcnicas e abordagens de gerenciamento de projeto dentro da TI uma deciso tomada somente pelos gerentes de TI. H uma falta de comprometimento gerencial com a responsabilidade e gerenciamento do projeto. Decises crticas do gerenciamento do projeto so tomadas sem o envolvimento de usurios ou necessidades de cliente. H pouco ou nenhum envolvimento do cliente ou envolvimento do usurio na definio dos projetos de TI. No h uma organizao clara dentro da TI para o gerenciamento dos projetos. Papis e responsabilidades para o gerenciamento dos projetos no so definidos. Projetos, cronogramas e marcos so fracamente definidos, se definidos. As despesas e o tempo da equipe do projeto no so revisados e comparados ao oramento. O Gerenciamento snior ganhou e comunicou uma conscincia da necessidade do gerenciamento de projeto de TI. A organizao est no processo de desenvolvimento e utilizao de algumas tcnicas e mtodos de projeto para projeto. Os projetos de TI definiram informalmente os objetivos tcnicos e de negcios. As diretrizes iniciais foram desenvolvidas para muitos aspectos do gerenciamento de projeto. A aplicao das diretrizes de gerenciamento de projeto foi deixada para discrio do gerente de projeto individual. O processo e metodologia do gerenciamento de projeto de TI foi estabelecido e comunicado. Os projetos de TI so definidos com objetivos tcnicos e de negcios apropriados. TI snior e gerenciamento de negcios esto comeando a se comprometer e se envolver no gerenciamento de projetos de TI. Um escritrio de gerenciamento de projeto estabelecido dentro da TI, com papis e responsabilidades iniciais definidos. Os projetos de TI so monitorados, com marcos, horrios e oramentos e medio de performance. O treinamento de gerenciamento de projeto est disponvel e primariamente um resultado das iniciativas individuais da equipe. Procedimentos de segurana de qualidade e atividades ps-implementao de sistema foram definidas mas no so totalmente aplicadas pelos gerentes de TI. Os projetos esto comeando a ser gerenciados como portflios. O gerenciamento requer mtricas de projeto formais e padronizadas e uma reviso de lies aprendidas na concluso dos projetos. O gerenciamento de projeto medido e avaliado atravs da organizao e no apenas dentro da TI. Avanos no processo de gerenciamento de projeto so formalizados e comunicados com membros da equipe do projeto treinados em crescimentos. O gerenciamento de TI implementou uma estrutura de organizao de projeto com papis documentados, responsabilidades, e critrios de performance da equipe. Critrios para avaliar o sucesso em cada misso que for estabelecida. Valor e risco so medidos e gerenciados antes, durante e depois da concluso dos projetos. Os projetos crescentemente endeream as metas da organizao, mais do que apenas especficos para TI. O suporte de projeto forte e ativo para o gerenciamento de patrocinadores sniores assim como acionistas. Um treinamento relevante para gerenciamento de projetos planejado para funcionrios no escritrio de gerenciamento de projeto e atravs da funo de TI. Um projeto de ciclo de vida completo e aprovado e uma metodologia de
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Pg: 22/38
Reviso 7.0

programa implementada, imposta, e integrada na cultura de toda a organizao. Uma iniciativa contnua para identificar e institucionalizar as melhores prticas de gerenciamento de projeto foi implementado. Uma estratgia de TI para buscar desenvolvimento e projetos operacionais definido e implementado. Um escritrio de gerenciamento de projeto integrado responsvel por projetos e programas desde o princpio at a ps-implementao. Um planejamento organizacional completo de programas e projetos garante que o usurio e os recursos de TI so melhores utilizados para dar suporte a iniciativas estratgicas.
Processo: DS2 - Gerenciar Servios de Terceiros

Descrio do Processo: A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores no conformes. Controle sobre o processo de TI: Gerenciar Servios de Terceiros Que satisfaz os requisitos de negcio: Fornecendo prestao satisfatria de servios de terceiros, com transparncia sobre os benefcios, custos e riscos focando nas Estabelecendo relaes e responsabilidades bilaterais com os fornecedores de servios da terceiros qualificados e acompanhamento da prestao de servios para verificar e assegurar a aderncia aos acordos alcanado pelas Identificao e categorizao de fornecedores de servios Identificao e mitigao de risco da prestao de servios por fornecedores Monitorando e mensurando a performance dos fornecedores medido por Nmero de reclamaes de usurios de servios contratados Porcentagem de maiores fornecedores que atendem requerimentos e nveis de servio claramente definidos Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano
rea de Governana, Recursos e Critrio de Informao (Requisitos de Negcio) Mapeamento com as reas de Foco de Governana de TI: Em Branco: - Alinhamento Estratgico Primrio: - Agrega Valor e Gerenciamento de Riscos Secundrio: - Gerenciamento de Recursos e Medio de Performance Mapeamento com os Recursos de TI - Aplicaes, Informao, Infraestrutura e Pessoas Mapeamento com os Critrios de Informao: Primrio: - Eficcia e Eficincia
Pg: 23/38
Reviso 7.0

Secundrio: - Confidencialidade, Integridade, Disponibilidade, Conformidade e Confiabilidade
Objetivos de Controle Detalhados: DS2.1 Identificao de todos os Relacionamentos com Fornecedores Identificar todos os fornecedores de servio e categoriza estes de acordo com tipo de fornecimento, significncia e criticidade. Manter uma documentao formal sobre relacionamentos tcnicos e organizacionais, cobrindo os papis e responsabilidades, metas, entregveis esperados e credenciamento de representantes destes fornecedores. DS2.2 Gerenciamento de Relacionamento com Fornecedores Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os proprietrios dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a qualidade dos relacionamentos baseados em confiana e transparncia (por .exemplo: atravs de SLAs). DS2.3 Gerenciamento de Riscos dos Fornecedores Identificar e mitigar riscos relacionados s habilidades dos fornecedores de continuar com a entrega de servios efetivos, numa maneira seguro e eficiente, como tambm em base continuou. Assegura contratos conforme padres universais de negcio e em concordncia com requerimentos legais e regulamentos. O gerenciamento de risco deve considerar tambm Acordos de No Conformidade (ANCs), custdia contratual, viabilidade de fornecimento continuou, conformidade com requerimentos de segurana, fornecedores alternativos, penalidades e recompensas, etc.
DS2.4 Monitoramento de Desempenho de Fornecedores Estabelea um processo para monitorar a entrega do servio para assegurar que o fornecedor atende os requerimentos atuais de negcio e continuam aderente aos acordos contratuais e acordos de nveis de servio e que o desempenho competitivo em relao de fornecedores alternativos e condies de mercado.
Entradas e Sadas: Entradas: PO1 - Estratgia de Sourcing de TI PO8 - Padro de Aquisio AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros DS1 - SLAs, Reviso do relatrio de contrato DS4 - Requisitos de Servios de Desastres, incluindo papis e responsabilidades Sadas: Relatrio de performance de processos - ME1 Catlogo de Fornecedores - AI5 Risco de Fornecedores - PO9
Pg: 24/38
Reviso 7.0
Matriz RACI: (Atividades e Funes)
Metas e Mtricas DS2
Pg: 25/38
Reviso 7.0

Modelo de Maturidade: Nvel de Maturidade O No Existente Descrio
Responsabilidades e obrigaes no esto definidas. No existem polticas formais e procedimentos relativos ao contratar terceiros Servios de terceiros no so aprovados nem revistos pela administrao. No h atividades de medio e no informaes sobre terceiros. Ausncia de uma obrigao contratual para a comunicao e a alta administrao no tem conhecimento da qualidade dos servios prestado.
Administrao est consciente da necessidade de ter polticas e procedimentos documentados para a gesto de terceiros, incluindo os contratos assinados. No existem clusulas de acordos com prestadores de servios. A medio dos servios prestados informal e reativa. Prticas so dependentes da experincia dos indivduos e do fornecedor. O processo para a superviso dos terceiros, prestadores de servio e riscos associados prestao de servios informal. A assinatura, pr-forma do contrato usado para vender termos e condies padro (por exemplo, a descrio dos servios a serem prestados). Relatrios sobre os servios prestados esto disponveis, mas no oferecem suporte a objetivos de negcio. Procedimentos bem documentados esto disponveis para governar servios de terceiros, com processos claros para habilitar a negociao com fornecedores. Quando um acordo para a prestao de servios feito, a relao com o terceiro, puramente contratual. A natureza dos servios a serem prestados so detalhados no contrato e inclui requisitos legais, operacionais e de controle. A responsabilidade pela fiscalizao dos servios de terceiros atribudo. As clusulas contratuais so baseados em modelos padronizados. O risco de negcio associadas ao servios de terceiros so avaliados e comunicados. Critrios formais e normalizados so estabelecidos para definir as condies de contratao, incluindo o mbito do trabalho, servios / produtos que devero ser fornecidos, suposies, cronograma, custos, condies de pagamento e responsabilidades. Responsabilidades em matria de contratos e gesto de fornecedores so atribudos. Qualificaes dos vendedores, riscos e potencialidades so verificados em uma base contnua. Requisitos do servio so definidos e vinculados ao objetivos do negcio. Existe um processo para analisar o desempenho do servio contra as clusulas contratuais, fornecendo atributos para avaliar servios de atuais e futuros de terceiros. Modelos de preos de transferncia so utilizados no processo de aquisio. Todas as partes envolvidas esto conscientes do servio, custos e expectativas de marco. Acordados metas e mtricas para a fiscalizao dos prestadores de servios existentes.
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Os contratos assinados com terceiros so revisados periodicamente em intervalos pr-definidos. A responsabilidade pela gesto de fornecedores e da qualidade dos servios prestados atribuda. Evidencia do cumprimento do contrato de operacionais, legais e administrativas de controle monitorado, e ao corretiva executada. O terceiro est sujeito a revises peridicas independentes, e feedback sobre o desempenho fornecida e utilizada para melhorar a prestao de servios. Medidas variam em resposta a mudanas nas condies de negcios. Medidas de apoio a deteco preventiva de problemas potenciais com servios de terceiros. Compreensivo, definidos relatrios de desempenho de nvel de servio est relacionada com a compensao de terceiros. Gesto ajusta o processo de aquisio de servios terceiros com base no monitoramento das mtricas.
Pg: 26/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Descrio dos Demais Processos:
PLANEJAR E ORGANIZAR
PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor otimizado realizado atravs dos portflios dos projetos e servios. O plano estratgico deve aumentar a compreenso dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portflios e executadas atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo negcio e da TI.
PO2 Definir a Arquitetura de Informao

A funo dos sistemas de informao deve criar e atualizar regularmente um modelo de informao de negcio e definir os sistemas apropriados para otimizar o uso da informao. Isso inclua o desenvolvimento de um dicionrio coorporativo de dados com as regras de sintaxe da organizao, esquema de classificao de dados e nveis de segurana. Este processo melhora a qualidade de decises feitas pelas gerencias e assegura que informaes confiveis e seguras so providas e isso habilita de racionalizar recursos de sistemas de informao para atender apropriadamente as estratgias de negcio. Este processo da TI tambm necessita de aumentar a responsabilidade sobre a integridade e segurana dos dados e melhorar a efetividade e controle sobre o compartilhamento de informao atravs de aplicaes e entidades.
PO3 Determinar a Direo Tecnolgica

A funo dos servios de informao deve determinar a direo tecnolgica para suportar o negcio. Isso requer a criao de um plano da infraestrutura tecnolgica e um comit de arquitetura que fixa e gerencia expectativas claras e realsticas o que a tecnologia pode oferecer em termos de produtos, servios e mecanismos de entrega. O plano deve ser atualizado regularmente e incluir aspectos como a arquitetura de sistemas, direo tecnolgica, planos de aquisio, padres, estratgias de migrao e contingncia. Isso permite respostas rpidas a mudanas em um ambiente competitivo, economia de escala em equipes e em investimentos de sistemas de informao, bem como melhor interoperabilidade entre plataformas e aplicaes.
PO4 Definir Processos de TI, Organizao e Relacionamento

Uma organizao da TI precisa ser definida, considerando os requerimentos para pessoas, habilidades, funes, responsabilidade, autoridade, papeis e superviso. Esta organizao deve estar embutida dentro um framework de processos da TI que asseguram transparncia e controle, como tambm envolvem os executivos snior e gerentes de negcio. Um comit estratgico deve assegurar uma viso geral da TI e um ou mais comits de direo, em quais os participantes do negcio e da TI devem determinar a priorizao dos recursos da TI em linha com as necessidades do negcio. Processos, polticas e procedimentos administrativos necessitam de ser implementadas para todas as funes, com ateno especifica para o controle, garantia de qualidade, gerenciamento de riscos, segurana de informao, propriedade para dados e sistemas e segregao de direitos. Para assegurar um suporte em tempo para os requerimentos do negcio, a TI deve estar envolvida em processos relevantes de deciso.
PO5 Gerenciar o Investimento em TI

Estabelecer e manter um framework para gerenciar programas que habilitem investimentos em TI e que abrangem custos, benefcios, priorizao nos oramentos, um processo formal de oramentos e gerenciamento em relao dos oramentos. Trabalhar com os stakeholders para identificar e controlar o total dos custos e benefcios dentro do contexto dos planos estratgicos e tticos da TI e iniciar aes corretivas quando necessrias. O processo deve favorecer os relacionamentos entre a TI e stakeholders do negcio, habilitar o uso efetivo e eficiente dos recursos da TI e prover transparncia e responsabilidade nos custos totais de propriedade, a relao do benefcio para o negcio e o retorno sobre investimentos que habilitam a TI.
PO6 Comunicar Metas e Diretivas Gerenciais

A administrao deve desenvolver um framework de controle empresarial da TI e definir e comunicar polticas. Um programa contnuo de comunicao deve ser implementado para articular a misso, objetivos de servio, polticas e
Pg: 27/38
Reviso 7.0

procedimentos, etc. aprovados e suportados pela administrao. A comunicao suporta o atingimento dos objetivos da TI e assegura conscientizao e compreenso em relao do negcio e os riscos, objetivos e a direo da TI. O processo deve assegurar a conformidade com leis e regulamentos.
PO7 Gerenciar Recursos Humanos

Adquire, mantm e motiva uma fora de trabalho competente para criar e entregar servios da TI para o negcio. Isso atingido seguindo prticas definidas e acordadas que suportam o recrutamento, treinamento, avaliao do desempenho, promoo e demisso. Este processo crtico, pois as pessoas so um ativo importante, e a governana e o ambiente interno de controle dependem bastante da sua motivao e competncia.
PO8 Gerenciar Qualidade

Um sistema de gerenciamento da qualidade deve ser desenvolvido e mantido, o qual inclua um processo de desenvolvimento e aquisio comprovado e padronizado. Isso habilitado atravs do planejamento, implementao e manuteno do sistema de qualidade que provm requerimentos claros de qualidade, procedimentos e polticas. Requerimentos de qualidade devem ser determinados e comunicados, com indicadores quantificveis e atingveis. Melhorias contnuas so atingidas atravs de um monitoramento operacional, analises e aes sobre desvios e a comunicao dos resultados para os stakeholders. Gerenciamento da qualidade essencial para assegurar que a TI entrega valor para o negcio, melhorias contnuas e transparncia para stakeholders.
PO9 Avaliar e Gerenciar Riscos

Criar e manter um framework de gerenciamento de riscos. O framework documenta um nvel de riscos da TI comum e acordado, estratgias de mitigao e acordos sobre riscos residuais. Qualquer impacto potencial sobre as metas da organizao, causada por eventos no planejados, deve ser identificado, levantado e avaliado. Estratgias de mitigao de riscos devem ser adotadas para minimizar riscos residuais ao um nvel aceitvel. O resultado da avaliao deve ser compreensvel para os stakeholders e expresso em termos financeiros, para habilitar os stakeholders de alinhar os riscos com um nvel aceitvel de tolerncia.
PO10 Gerenciar Projetos

Estabelecer um framework de gerenciamento de programas e projetos para gerenciar todos os projetos da TI. Este framework deve assegurar a correta priorizao e coordenao de todos os projetos. O framework deve incluir um plano mestre, atribuio de recursos, definio de entregveis, aprovaes pelos usurios, uma abordagem em fases para as entregveis, garantia de qualidade, um plano formal de teste, testes e revises ps-implementao aps da instalao para assegurar o gerenciamento de risco e a entrega do valor para o negcio. Esta abordagem reduz o risco de custos no esperados e cancelamento de projetos, aumenta a comunicao com os envolvidos do negcio e usurios finais, assegura o valor e a qualidade dos entregveis do projeto e maximiza a contribuio de programas que habilitam investimentos em TI.
ADQUIRIR E IMPLEMENTAR
AI1 Identificar solues automatizadas

A necessidade para novas aplicaes ou funes requer uma anlise antes da aquisio ou criao para assegurar que os requerimentos do negcio so satisfeitos numa abordagem efetiva e eficiente. Este processo cubra a definio das necessidades, considerando fontes alternativas, reviso da viabilidade tecnolgica e econmica, execuo de anlise de risco e anlise de custo / beneficio e a concluso de uma deciso final de fazer ou comprar. Todos estes passos habilitam a organizao de minimizar os custos de adquirir e implementar solues, enquanto asseguram que estes habilitam o negcio de atingir seus objetivos.
AI2 Adquirir e manter software aplicativo
Pg: 28/38
Reviso 7.0

Aplicaes devem estar disponveis em linha com os requerimentos de negcio. Este processo envolve o desenho de aplicaes, a incluso apropriada de controles de aplicao e requerimentos de segurana e o atual desenvolvimento e configurao conforme os padres. Isso permita as organizaes de suportar apropriadamente as operaes de negcio com as corretas aplicaes automatizadas.
AI3 Adquirir e manter arquitetura tecnolgica

Organizaes devem haver um processo para a aquisio, implementao e atualizao da infraestrutura tecnolgica. Isso requer uma abordagem planejada para a aquisio, manuteno e proteo da infraestrutura em linha com as estratgias tecnolgicas acordadas e a proviso de ambientes de desenvolvimento e teste. Isso assegura que o suporte tecnolgico operacional suporta as aplicaes de negcio.
AI4 Manter operao e uso

Conhecimento sobre novos sistemas necessita de ser disponibilizado. Este processo requer a produo de documentao e manuais para usurios e TI e prover treinamento que assegura o uso e a operao apropriado de aplicaes e infraestrutura.
AI5 Obter Recursos de TI

Recursos de TI, inclusive pessoas, hardware, software e servios, necessitam ser obtidos. Isso requer uma definio e sano de procedimentos de aquisio, a seleo de fornecedores, a realizao de arranjos contratuais e a aquisio em se. Fazer assim assegura que a organizao tem todos os recursos de TI requeridos em tempo e de maneira efetivo em custo.
AI6 Gerenciar mudanas

Todas as mudanas, inclusive mudanas emergenciais e correes, relacionados infraestrutura e aplicaes dentro de um ambiente de produo precisam ser gerenciados formalmente de uma maneira controlada. Mudanas (incluindo procedimentos, processos, sistemas e parmetros de servios) precisam ser registradas, avaliados e autorizadas antes de implementar e revisados em relao dos resultados planejados em seguida da implementao. Isso assegura a mitigao de riscos de impactos negativos sobre a estabilidade ou integridade de ambientes produtivos.
AI7 Instalar e certificar Solues e Mudanas

Novos sistemas precisam ser feitos operacionais uma vez que o desenvolvimento completo. Isso requer testes apropriados em um ambiente dedicado com dados de teste relevantes, definio da introduo e instrues de migrao, planejamento de liberaes, promoo atual para a produo e revises ps-implementao. Isso assegura que sistemas operacionais esto em linha com as expectativas e resultados acordados.
Pg: 29/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation ENTREGAR E SUPORTAR

DS1 Definir nveis de Servios
Comunicao efetiva entre a gerncia da TI e os clientes do negcio, em relao dos servios requeridos, habilitado atravs da documentao e o acordo de servios da TI e nveis de servios. Este processo tambm inclua o monitoramento e o reporte em tempo para os stakeholders sobre o cumprimento dos nveis de servios. Este processo habilita o alinhamento entre os servios da TI o os requerimentos de negcio associados.
DS2 Gerenciar Servios de Terceiros

A necessidade de assegurar que servios providos por terceiros atendem os requerimentos do negcio requer um processo efetivo de gerenciamento de terceiros. Este processo efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como tambm com reviso e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de servios de terceiros minimiza os riscos de negcio associados com fornecedores no conformes.
DS3 Gerenciar Performance e Capacidade

A necessidade de gerenciar o desempenho e a capacidades dos recursos de TI requer um processo para rever periodicamente o desempenho e a capacidade atual dos recursos da TI. Este processo inclua a previso das futuras necessidades baseada na carga de trabalho, requerimentos de armazenamento e de contingncia. Este processo provm a garantia que os recursos da informtica, que suportam os requerimentos de negcio, so continuamente avaliados.
DS4 Garantir Continuidade dos Servios

A necessidade de prover servios contnuos de TI requer o desenvolvimento, manuteno e testes de planos de continuidade da TI, armazenamento externo de backup e treinamento peridico para o plano de continuidade. Um processo efetivo da continuidade de servio minimiza a probabilidade e o impacto de interrupes maiores de servio sobre funes e processos de negcio.
DS5 Garantir Segurana dos Sistemas

A necessidade de manter a integridade da informao e proteger os ativos da TI requer um processo de gerenciamento de segurana. Este processo inclui de estabelecer e manter papeis e responsabilidades, polticas, padres e procedimentos da segurana de TI. Gerenciamento da segurana tambm inclui realizar monitoramento da segurana, testes peridicos e implementar aes corretivas para identificar fraquezas ou incidentes de segurana. Um gerenciamento efetivo de segurana proteja todos os ativos da TI para minimizar o impacto sobre o negcio das vulnerabilidades e incidentes de segurana.
DS6 Identificar e Alocar Custos

A necessidade de um sistema justo e imparcial de alocar custos para o negcio requer a medio exata de custos da TI e acordos com usurios de negcio para uma alocao correta. Este processo inclua a criao e operao de um sistema de captura, alocao e reporte dos custos da TI para os usurios de servios. Um sistema de alocao justo permite empresa tomar decises mais embasadas sobre o uso dos servios.
DS7 Educar e Treinar usurios

Educao efetiva de todos os usurios de sistemas de TI, incluindo estes dentro da TI, requer a identificao das necessidades de treinamento de cada grupo de usurios. Em adio da identificao da necessidade, este processo inclua a definio e execuo de uma estratgia para um treinamento efetivo e medio de resultados. Um programa efetivo de treinamento aumenta o uso efetivo da tecnologia com a reduo de erros de usurios, aumenta a produtividade e aumenta a conformidade com controles-chaves como as medidas de segurana de usurios.
DS8 Gerenciar Service Desk (Central de Servios) e Incidentes

Respostas em tempo e efetivos para as perguntas e problemas dos usurios da TI requerem uma central de servio bem desenhada e implementada e um processo de gerenciamento de incidentes. Este processo inclua a implementao da funo da central de servios com registro, escalao, tendncias, anlise de causas raiz e resoluo de incidentes. O benefcio para o negcio inclua um aumento de produtividade atravs da resoluo rpido das perguntas dos usurios. Em adio, o negcio pode enderear causas razes (como um treinamento deficiente de usurios) atravs de um relatrio efetivo.
Pg: 30/38
Reviso 7.0

DS9 Gerenciar a Configurao
Assegurar a integridade da configurao de hardware e software requer de estabelecer e manter um preciso e completo repositrio da configurao. Este processo inclua a coleta inicial de informao da configurao, estabelecer referncias, verificar e auditar a informao da configurao e atualizar o repositrio da configurao quando necessrio. Gerenciamento efetivo da configurao facilita a disponibilidade maior do sistema, minimizar assuntos de produo e resolver estes assuntos mais rpidos.
DS10 Gerenciar Problemas

Um gerenciamento efetivo de problemas requer a identificao e classificao de problemas, anlise da causa raiz e resoluo de problemas. O processo do gerenciamento de problemas tambm inclua a identificao de recomendaes para melhorar a manuteno de registros de problemas e revisar o status de aes corretivas. Um processo do gerenciamento de problemas efetivo melhora nveis de servio, reduz custos e melhora a convenincia e satisfao.
DS11 Gerenciar Dados

Gerenciamento efetivo de dados requer a identificao de requerimentos para dados. O processo de gerenciamento de dados tambm inclua estabelecer procedimentos efetivos para gerenciar a biblioteca de mdias, backup e recuperao e disponibilizar mdias apropriadas. Gerenciamento efetivo de dados ajuda assegurar a qualidade, oportunidade e disponibilidade de dados do negcio.
DS12 Gerenciar os Ambientes Fsicos

A proteo para equipamentos de computao e pessoal requer instalaes bem desenhadas e bem gerenciadas. O processo de gerenciar o ambiente fsico inclua de definir os requerimentos para um lugar fsico, seleo de instalaes apropriadas e desenho efetivo dos processos para monitorar elementos ambientais e gerenciar o acesso fsico. O gerenciamento eficaz do ambiente fsico reduz as interrupes nos negcios provocadas por danos causados a equipamentos ou pessoas
DS13 Gerenciar Operaes

Processamento completo e exato de dados requer o gerenciamento efetivo do processamento de dados e a manuteno de hardware. Este processo inclua a definio de polticas e procedimentos operacionais para um gerenciamento efetivo da programao do processamento, proteo de output sensitivo, monitoramento da infraestrutura e manuteno preventiva de hardware. Gerenciamento efetivo da operao ajuda de manter a integridade de dados e reduz atrasos no negcio e custos da operao da TI.
MONITORAR E AVALIAR
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo, metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do gerenciamento do portflio empresarial e processos de programas gerenciais e estes processos que so especficos para entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia.
ME2 Monitorar e Avaliar Controle Interno

Estabelecer um programa de controle interno efetivo para a TI requer um processo de monitorao bem definido. Este processo inclui monitorao e reporte de excees de controle, resultados da auto-avaliao e reviso de fornecedores (terceiros). Um benefcio principal do controle interno de monitorao fornecer segurana relacionada eficincia e eficcia das operacionais e conformidade com leis e regulamentos.
ME3 Assegurar Conformidade Regulatria

Uma vigilncia regulatria eficiente requer o estabelecimento de um processo de reviso independente para garantir a conformidade com leis e regulamentos. Este processo inclui definir um auditor independente, tica profissional e padres, planejamento, desempenho do trabalho de auditoria, e reporte do acompanhamento das atividades de auditoria. O propsito deste processo fornecer uma garantia positiva relacionada conformidade da TI com leis e regulamentos.
Pg: 31/38
Reviso 7.0

ME4 Fornecer Governana de TI
Estabelecer um framework efetivo de governana, incluindo a definio de estruturas organizacionais, processos, liderana, papeis e responsabilidades para assegurar que os investimentos em TI empresarial so alinhados e entregas de acordo com as estratgias e objetivos empresariais.
Cobit e Outros Padres

COBIT e Outros Padres:
O COBIT baseado em padres internacionais aceitos e regulamentos e cada vez mais reconhecido como o framework de fato para a governana de TI. O COBIT est focado no que necessrio para alcanar esta governana e controle em um alto nvel. Ele est alinhado com outras melhores prticas e pode ser usado como o integrador de diferentes materiais guia, como a ISO 17799 e a ITIL.
Como o COBIT se alinha com o COSO: O COBIT est em conformidade com o COSO e conveniente como o framework de controle de TI para a governana empresarial. O COSO ajuda a alcanar os seguintes objetivos: Eficcia e eficincia de operaes Confiabilidade de relatrios financeiros Conformidade com leis e regras aplicveis Alinhamento do COBIT com o COSO Similar ao COBIT, o COSO define um controle interno como um processo que afetado pelo conselho da diretoria, gerenciamento e outras pessoas de uma entidade. Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e no especfico para TI. O COBIT est alinhado com o COSO apenas em um alto nvel.
A definio do COBIT de requisitos fiducirios difere do COSO, pois o COBIT expande o escopo para incluir: Toda a informao Financeira, no apenas a financeira.
Resumo: Vamos destacar os padres e frameworks que se relacionam com o COBIT. O COBIT est harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799 e CMM. O COBIT est alinhado com o COSO. O COBIT est posicionado centralmente, no nvel geral, ajudando a integrar prticas tcnicas e especficas com maiores prticas de negcios. Os processos de TI do COBIT tambm se relacionam com mltiplos componentes do COSO. O COBIT pode ser usado para garantir conformidade com leis e regras. Os processos e controles do COBIT podem ser remendados para alcanar regras especficas, como a Lei Sarbanes-Oxley.
Pg: 32/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Guia de Validao (Assurance Guide)
O objetivo do Guia de Validao de TI : Fornecer orientao em como usar o COBIT para suportar uma variedade de atividades validas de TI. Permitir que os usurios possam se utilizar do COBIT quando planejarem e fizerem revises, de tal forma que os negcios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns. Prover e guiar no planejamento, definio de escopo e na execuo de revises, usando um roadmap baseado em formas de validao aceitas,suportada por testes detalhados e baseados nos processos e objetivos de controle do COBIT.
Pg: 33/38
Reviso 7.0
O roadmap do Guia de Validao consiste dos seguintes 3 estgios: Planejamento, Fazer Escopo e Execuo: Planejamento: Estabelecer o universo de validao de TI para designar o que ser validado o inicio de toda iniciativa de validao. Fazer escopo: o processo que inicia pela definio das metas de negcio e TI para o ambiente sob reviso e pela identificao do conjunto de recursos e processos de TI (que o universo a ser validado) requerido para suportar essas metas. Execuo: O terceiro estgio do roadmap de validao o estgio de execuo. Nos prximos slides, vamos examinar, em detalhes, o roadmap de execuo que descreve a forma como os profissionais envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de validao especfica.
Estgio Refinar o Entendimento
Refinar o Escopo
Descrio O 1. Estgio da fase de execuo refinar o entendimento do ambiente nos quais os testes sero executados. Isto implica entender a organizao para selecionar o escopo e objetivo corretos de validao. O escopo e objetivo da validao precisa ser comunicado e aceito por todos os patrocinadores. O 2. Estagio da fase de execuo refinar o escopo e determinar selecionando uma amostra do universo a ser validado (ou seja, processo, sistema ou aplicao) por um lado e o conjunto de controles a ser revisto por outro lado para: Analisar metas de negcios e TI Selecionar processos e controles Analisar os riscos inerentes se os objetivos de controle no forem atingidos e a reviso dos testes necessrios para a validao Finalizar o escopo O 3. Estgio da fase de execuo a concepo de teste e controle: Avalia a concepo dos controles. Confirma que os controles esto instalados em operao Estima a efetividade operacional dos controles. O profissional de validao deve determinar quando: o Existe controle de processo documentado o Existe Evidncias de controle de processos o Responsabilidade e cobrana clara e efetiva o Controles de compensao existem, quando necessrio No 4. Estgio, para testar os resultados ou a efetividade dos controles, o profissional em validao necessita identificar evidncias diretas e indiretas dos controles na qualidade das sadas do processo. Isso implica na direta e indireta evidenciao das contribuies mensurveis dos controles das metas e dos processos de TI, registrando as Evidncias diretas e indiretas dos resultados obtidos, como documentado no COBIT.
Concepo de Teste e Controle
Controle de Testes dos Resultados
Pg: 34/38
Reviso 7.0

Documentar o Impacto No 5. Estgio, quando fraquezas de controle so encontradas, elas deve ser corretamente documentado baseada na severidade das fraquezas observadas e no potencial impacto que possa haver nos negcios. Testes so conduzidos organizadamente para prover validao (ou no) aos gestores da realizao dos processos de negcios e objetivos de controle relacionados. No 6. Estgio, o profissional de validao deve documentar e identificar fraquezas de controle, ameaas e vulnerabilidades resultantes, alm de identificar e documentar o impacto atual e potencial, por exemplo, atravs da Anlise de causa raiz. Em adio, o profissional de validao pode prover informaes comparativas, por exemplo, benchmarks, para estabelecer uma estrutura de referncia em que os testes resultantes tenham sido avaliados
Comunicar as Concluses
Recomendao Detalhada dos Testes Deve ser fornecida orientao para a concepo dos controles de testes, controle dos testes dos resultados e a documentao do impacto de todos os objetivos de controle e processos do COBIT. Os testes tambm devem ser baseados nas prticas de controle de TI para estar alinhados com as recomendaes de implementao do COBIT.
Resumo da Guia de Avaliao (Assurance Guide): O roadmap de Diretrizes de Validao consiste dos 3 estgios seguintes: o Planejamento o Escopo o Execuo A fase de Execuo consiste dos seguintes seis estgios: o Refinar o entendimento o Refinar o escopo o Concepo do controle de testes o Controle de testes dos resultados o Documentar o impacto o Comunicar as concluses
Pg: 35/38
Reviso 7.0
Recursos do Cobit (Produtos):

O Cobit possui 4 produtos, que so disponibilizados pela ITGI, ajudam as organizaes a adotar, implementar e gerenciar requisitos de governana de TI usando o COBIT. - COBIT Online - COBIT Quickstart - IT Governance Implementation Guide: (Guia de Implementao de Governana de TI)
Primeiro Produto: COBIT Online Apresenta o contedo do COBIT usando um sistema amigvel baseado na web. Permite que os usurios olhem, busquem, dividam e acessem a base de conhecimento. Suporta downloads no formato de textos ou formulrios, e permite comparaes As vantagens do COBIT Online so: Fornecer um repositrio com fcil acesso de todas as informaes relacionadas ao COBIT e permite o feedback de usurios. Ele permite que o ISACA/ITGI mantenha o contedo e implemente futuras verses gravando um feedback filtrado, capturando o conhecimento de peritos, fornecendo atualizaes online frequentes, e capacitando produo automtica de impresso. O COBIT Online uma fonte primria para informaes atualizadas do COBIT. Ele funciona como um local de encontro para anncios, fruns de discusso e downloads grtis. Os componentes do COBIT Online so: Navegao Benchmarking O recurso do benchmarking capacita que os usurios forneam entradas como o modelo de maturidade de um processo, a importncia de um processo, a importncia de um objetivo de controle, importncia de metas de processo e de TI, e prticas de controle, e depois comparar suas pontuaes com as de outros usurios. Os passos envolvidos em fazer o benchmarking de uma empresa so: o Perfil: Fornecer informaes sobre o perfil da sua empresa. o O que: Escolher o benchmark que voc pretende. o Pontuao: destaque o tpico que escolheu no passo anterior para os processos que voc selecionou com o filtro. Feedback e pesquisas Comunidade Ajuda
Segundo Produto: O COBIT Quickstart O COBIT Quickstart: Permite a adoo dos elementos importantes do COBIT facilmente fornecendo uma verso resumida dos recursos do COBIT. Foca nos processos de TI, objetivos de controle e mtricas. Fornece uma base de objetivos de controle para empresas de pequeno e mdio porte e pequenas entidades de grandes empresas, onde a TI no estratgica ou crtica para o negcio. Serve como ponto de partida para outras organizaes em seu movimento para um nvel apropriado de controle e governana de TI.
COBIT Quickstart: Baseline: Est disponvel como uma publicao. Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Alm disso, pode ser seguido por pessoas no tcnicas ou gerentes que querem princpios, no detalhes; e atua como um ponto de entrada para o COBIT. Pode ser utilizado para executar uma avaliao para priorizar os processos do COBIT, no incio de uma implementao de COBIT ou projeto de governana de TI
Pg: 36/38
Reviso 7.0
Componentes do COBIT Quickstart: Os componentes do COBIT Quickstart contm cerca de 20% dos objetivos de controle do COBIT e componentes de gerenciamento. Cada um destes objetivos de controle est relacionado a um ou mais dos objetivos de controle detalhados do COBIT. Aplicao do COBIT Quickstart: pequenas e mdias empresas ou empresas onde no so necessrios todos os processos do Framework COBIT.
Terceiro Produto: IT Governance Implementation Guide (Guia de Implementao de Governana de TI) O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida contnuo de governana de TI usando o COBIT. O guia foca em uma metodologia genrica para as seguintes reas: Porque a governana de TI importante e porque as organizaes deveriam implement-lo Como o COBIT est ligado governana de TI e como o COBIT capacita a implementao de governana de TI Os acionistas que possuem um interesse em governana de TI Um roadmap para implementar a governana de TI usando o COBIT Abordagem do Guia de Implementao: A abordagem do Guia de Implementao identifica a necessidade de criar e preservar valor de uma forma que alinhe a formulao e execuo com os objetivos de negcios da organizao. A abordagem envolve a execuo de anlise de gaps avaliando a posio atual e a desejada, levando identificao e iniciao do projeto. Conjunto de Ferramentas da Governana de TI: O guia de implementao fornece: Um roadmap detalhado para acionistas de governana de TI, que: o Ajuda a organizao a implementar a governana de TI usando o COBIT. o Garante que o foco esteja nas necessidades de negcios enquanto melhora o controle e a governana de processos de TI. o Prov um processo genrico que est dividido em diversas tarefas, variando entre a identificao de necessidades iniciais para a implementao da soluo, incluindo a identificao dos componentes do COBIT a serem nivelados. Um conjunto de CDs contendo uma viso geral para dar suporte ao roadmap. Contm templates (modelos) , apresentaes, documentos teis, e ferramentas de avaliao.
O Quarto Produto: O COBIT Security Baseline: O COBIT Security Baseline: Fornece kits de sobrevivncia de segurana de informao em uma linguagem simples para qualquer organizao ou pessoa que precise entender como implementar o framework do COBIT. Kits de sobrevivncia de segurana esto disponveis para todos os nveis de pessoas como usurios domsticos, profissionais, executivos e gerentes. Fornece um guia de segurana no tcnico e um Quickstart para objetivos de segurana. Possui uma referencia cruzada ao ISO 17799.
Resumo Produtos: Os recursos do COBIT a seguir esto disponveis para dar suporte s implementaes do COBIT: COBIT Online COBIT Quickstart IT Governance Implementation Guide Using COBIT e Val IT COBIT Security Baseline
Pg: 37/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Notas sobre a traduo:
Accountability - Foi traduzido para cobrana, mas Prestao de Conta seria a melhor traduo. Agregao de Valor - Tambm pode ser traduzido (melhor) para Entrega de Valor Assurance Guide - foi traduzido para Guia de Avaliao Compliance - Conformidade com leis, regulamentos e contratos, Governana Corporativa - Foi traduzido para Governana Empresarial: IT Governance Implementation Guide No foi traduzido (Guia de Implementao de Governana de TI) Requisitos fiducirios = Tambm so conhecidos como requisitos de conformidade com leis e regulamentos Stakeholder - foi traduzido para acionistas
Referncias: - Manual do Cobit Foundation 4.1 (em portugus) http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274 ITGI/ISACA - Cobit Security Baseline - 2a. edio An Information Security - Survival Kit ITGI/ISACA - IT Assurance Guide Using Cobit ITGI/ISACA - IT Governance Implementation Guide - 2a. edio Using Cobit and Val IT ITGI/ISACA www.isaca.org
Colaborao: - Reviso ortogrfica e tcnica: Otavio Pereira
Realizao:
by @rildosan
Pg: 38/38
Reviso 7.0

Guia de Estudo para Exame de Certificação Do Cobit Foundation

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Guia de Estudo para Exame de Certificação Do Cobit Foundation

Hochgeladen von

Copyright:

Verfügbare Formate

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para o Exame Certificao do Cobit Foundation 4.1

Rildo Santos(@rildosan) rildo.santos@etecnologia.com.br

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Este Guia est organizado em trs partes:

Primeira parte: Reviso Geral do Cobit Foundation

Segunda parte: Os Processos o DS2 o PO10 o Descrio dos demais processos

Guia de Estudo para Exame de Certificao do Cobit Foundation Reviso Geral:

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation Componentes do Cobit:

Guia de Estudo para Exame de Certificao do Cobit Foundation

O COBIT possui 34 processos de TI definidos dentro dos 4 domnios de TI:

PLANEJAR E ORGANIZAR (PO)

Guia de Estudo para Exame de Certificao do Cobit Foundation

ADQUIRIR IMPLEMENTAR (AI)

ENTREGAR E SUPORTAR (DS)

Guia de Estudo para Exame de Certificao do Cobit Foundation

MONITORAR E AVALIAR (ME)

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Processo: PO10 Gerenciar Projeto:

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Metas e Mtricas do PO10:

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Processo: DS2 - Gerenciar Servios de Terceiros

Guia de Estudo para Exame de Certificao do Cobit Foundation

Guia de Estudo para Exame de Certificao do Cobit Foundation

Matriz RACI: (Atividades e Funes)

Metas e Mtricas DS2

Guia de Estudo para Exame de Certificao do Cobit Foundation

PO2 Definir a Arquitetura de Informao

PO3 Determinar a Direo Tecnolgica

PO4 Definir Processos de TI, Organizao e Relacionamento

PO5 Gerenciar o Investimento em TI

PO6 Comunicar Metas e Diretivas Gerenciais

Guia de Estudo para Exame de Certificao do Cobit Foundation

PO7 Gerenciar Recursos Humanos

PO8 Gerenciar Qualidade

PO9 Avaliar e Gerenciar Riscos

PO10 Gerenciar Projetos

AI1 Identificar solues automatizadas

AI2 Adquirir e manter software aplicativo

Guia de Estudo para Exame de Certificao do Cobit Foundation

AI3 Adquirir e manter arquitetura tecnolgica

AI4 Manter operao e uso

AI5 Obter Recursos de TI

AI6 Gerenciar mudanas

AI7 Instalar e certificar Solues e Mudanas

Guia de Estudo para Exame de Certificao do Cobit Foundation ENTREGAR E SUPORTAR

DS2 Gerenciar Servios de Terceiros

DS3 Gerenciar Performance e Capacidade

DS4 Garantir Continuidade dos Servios