Beruflich Dokumente
Kultur Dokumente
Todos os direitos produtos e marcas citados neste guia so de propriedade dos seus donos, este material poder ser copiado, ampliando e distribudo deste que autorizado pelo autor.
Pg: 1/38
Reviso 7.0
Introduo: Este Guia de Estudo foi elaborado para ajudar e facilitar na preparao para o exame de certificao do Cobit Foundation verso 4.1. Seu propsito servir como um documento de reviso complementar ao treinamento de Cobit Foundation. O guia cobre todos os assuntos abordados no exame de certificao, contudo ele no prescritivo, ou seja, voc dever considerar outras fontes de estudo. Rildo Santos
Como se preparar para o exame de Certificao do Cobit Foundation 4.1: Check Lists: Material do treinamento: 1 Faa uma releitura de todo o material 2 Refaa os exerccios 3 Refaa o simulado Guia de Estudo: 1 - Leia o Guia 2 - No final de cada parte faa um resumo das partes mais importantes (elas esto grafadas na cor amarela) 3 - Faa os exerccios para fixao, aps a elaborao dos resumos de cada parte 4 - Faa o simulado de certificao
Pg: 2/38
Reviso 7.0
Terceira parte: Produtos Cobit o COBIT Online o COBIT Quickstart o IT Governance Implementation Guide Using COBIT e Val IT o COBIT Security Baseline
Pg: 3/38
Reviso 7.0
Definio de Governana Empresarial (Corporativa): Governana empresarial um conjunto de responsabilidades e prticas exercitadas pelo conselho e o gerenciamento executivo com as metas de: Fornecer um direcionamento estratgico Garantir que os objetivos sejam alcanados Estabelecer que os riscos sejam gerenciados apropriadamente Verificar se os recursos da empresa sejam usados com responsabilidade Governana empresarial trata de: Performance o Melhorar o lucro, a eficincia, a efetividade e o crescimento Conformidade o Aderir legislao, s polticas internas e aos requisitos de auditoria Governana Empresarial e a Governana de TI requerem um balano entre a conformidade e as metas de performance, como orientado pelo conselho (Conselho da Administrao).
Definio de Governana de TI: A governana de TI definida como uma estrutura de relacionamento e processos para direcionar e controlar a empresa para que ela possa alcanar suas metas agregando valor enquanto balanceia os riscos versus retorno sobre o TI e seus processos.
Quem responsvel pela Governana de TI ? O conselho de diretoria e o corpo executivo so responsveis pela governana de TI, o que envolve estruturas e processos que direcionam a organizao no sentido de alcanar seus objetivos. Conceitos chaves da Governana de TI: Direcionar: O gerenciamento fornece direcionamento para implementar uma mudana. Para fornecer um direcionamento efetivo, o gerenciamento precisa entender a mudana pretendida. Alm do mais, o gerenciamento direciona outra pessoa a executar essas mudanas. Controlar: O controle garante que os objetivos sejam alcanados e nenhum incidente indesejado ocorra.
Princpios da Governana: Responsabilidade, Prestao de Conta (cobrana), Atividades: Responsabilidade: O CEO (presidente) o responsvel pelo controle interno. Gerentes Seniores (ou diretores) assumem responsabilidade para o estabelecimento de polticas e procedimentos de controle interno especficos para o pessoal executando a funo de uma unidade. Controle interno de responsabilidade de todos dentro de uma organizao e deve ser uma parte explcita ou implcita das descries do trabalho. Quem Cobrado (Quem presta conta): O que cobrado est relacionado responsabilidade, mas especificamente focado em ter autoridade de tomar decises e fazer aprovaes.
Pg: 4/38
Reviso 7.0
Acionistas internos (Stakeholders) da Governana de TI: - Gerente de TI - Auditor de TI - Conselho, Executivos, e Gerente de Negcios - Gerente de Riscos e Conformidade
Acionistas externos (Stakeholders) da Governana de TI: - Clientes - Fornecedores - Auditor Externo - Reguladores
Governana de TI: As 5 reas de Foco: Alinhamento Estratgico: Focar em garantir a ligao dos negcios e planos de TI; em definir, manter, e validar a proposta de valor de TI e em alinhar as operaes de TI com as operaes da empresa. Garantir que o investimento da empresa em TI esteja em harmonia com os seus objetivos estratgicos. Agregao de Valor: Trata-se de executar a proposta de valor atravs do ciclo de agregao, garantindo que o TI entregue os benefcios prometidos sobre a estratgia, se concentrando em otimizar os custos e fornecendo o valor essencial da TI. Gerenciar Riscos: Requer: Conscincia dos riscos dos responsveis snior da corporao Um entendimento claro do apetite da empresa por riscos Um entendimento de requisitos de conformidade Transparncia sobre riscos significantes para a empresa Embutir as responsabilidades de gerenciamento de riscos dentro da organizao Os riscos podem ser administrados pela: Mitigao de riscos Transferncia de riscos Aceitao de riscos Evitar riscos Gerenciar Recursos: Trata-se de investimentos otimizados e gerenciamento apropriado de recursos crticos de TI, como: Aplicaes. Informao. Infraestrutura. Pessoas. Medio de Performance: Busca e monitora a implementao de estratgias, concluso de projetos, performance de projetos, e agregao de servios Se no h uma maneira de medir e avaliar as atividades de TI, no possvel governar TI e garantir o alinhamento, agregao de valor, gerenciamento de riscos e um uso eficiente dos recursos.
Pg: 5/38
Reviso 7.0
Por que da necessidade de um Framework de Controle: As empresas no conseguiro atender efetivamente aos negcios e aos requisitos de governana sem adotar e implementar uma governana e um framework de controle para o TI que permitam: Alinhar os requisitos de negcios Exibir de forma transparente a performance destes requisitos Organizar as atividades de TI em um modelo de processos genericamente aceitvel Identificar os principais recursos a serem relevados Definir os objetivos de controle de gerenciamento a serem considerados Resumo: Organizaes tipicamente enfrentam os seguintes desafios de TI que acabam demandando a necessidade de governana de TI: Manter a TI funcionando Entregar valor aos clientes Gerenciar os custos de TI Dominar as complexidades Alinhar a TI com os negcios Garantir conformidade regulatria Gerenciar a segurana
Cobit e Governana de TI: O COBIT ajuda a melhorar a governana de TI. O COBIT fornece um framework para gerenciar e controlar as atividades de TI e suporta cinco requisitos para um framework de controle. Estrutura de Controle: - Fornece melhor foco de Trabalho - Foco de Negcios O COBIT atende melhor aos negcios focando no alinhamento de TI com os objetivos de negcios. A medio da performance de TI dever focar-se na contribuio da TI em disponibilizar e estender a estratgia de negcios. O COBIT, suportado por mtricas prprias focadas no negcio, pode garantir que o objetivo primrio a entrega de valor e no a excelncia tcnica. - Define uma linguagem comum - Linguagem Comum uma estrutura que ajuda a manter com o mesmo entendimento, definindo termos crticos e fornecendo um glossrio. Coordenao dentro e atravs de equipes de projeto; as organizaes podem desempenhar o papel chave para o sucesso de qualquer projeto. Linguagem comum constri confidncia e confiana. - Garante a orientao a processos Orientao a Processos Quando as organizaes implementam o COBIT, o seu foco mais orientado a processos. Os incidentes e problemas tiram a ateno dos processos. Excees podem ser claramente definidas como parte de processos padres. Com a posse do projeto definida, designada e aceitada, a organizao mais capaz de manter controle atravs de perodos com mudanas rpidas ou crise organizacional.
Pg: 6/38
Reviso 7.0
- Possui aceitao entre as empresas - Aceitabilidade: O COBIT um padro aprovado e aceito globalmente para aumentar a contribuio de TI para o sucesso da organizao. O framework continua a melhorar e desenvolve-se para manter-se em paz com as melhores prticas. Os profissionais de TI de todo o mundo contribuem com suas idias e tempo em reunies de reviso regulares.
A estrutura do Cobit:
As suas principais caractersticas so: Focado nos Negcios Orientado a Processos Baseado em Controles Dirigido pela Medio O acrnimo COBIT quer dizer Control Objectives for Information and related Technology
Modelo de Governana do provido pelo Cobit: Inicia a partir dos requisitos de negcios. orientado a processos, organizando as atividades de TI em um modelo de processos geralmente aceitos. Identifica os principais recursos de TI a serem considerados. Define os objetivos de controle a serem considerados. Incorporando os principais padres internacionais. um modelo de fato para o controle geral de TI
Audincia: COBIT Concebido para a gerncia, auditores e TI A estrutura do COBIT ajuda no apenas aos usurios tcnicos, mas tambm aqueles que so responsveis pelo uso efetivo de TI, como os gestores e auditores. A estrutura do COBIT auxilia estes usurios garantindo que: Seus requisitos esto definidos e propriamente entendidos. Todos tem o mesmo entendimento usando um modelo de referencia entendido de forma comum.
Premissa: A estrutura do COBIT baseada na premissa de que TI precisa entregar a informao que uma empresa precisa para alcanar seus objetivos. A estrutura do COBIT ajuda a alinhar TI com os negcios focando-se nas requisies de informaes de negcios e em organizar os recursos de TI. O COBIT fornece a estrutura e o guia para implementar a governana de TI.
Pg: 7/38
Reviso 7.0
Como estrutura para governana e controle de TI, o COBIT focar em duas reas: Fornecer as informaes necessrias para suportar os requisitos e objetivos de negcios Tratar a informao como resultado da aplicao conjunta dos recursos de TI que precisam ser gerenciados pelos processos de TI. O framework do COBIT descreve como os processos de TI entregam a informao que os negcios precisam para alcanar seus objetivos. Para controlar esta entrega, o COBIT fornece trs componentes chave: - Requisitos de Negcio; - Recursos de TI - Processos de TI Formando as dimenses do Cubo do COBIT.
Cubo do COBIT Inter-relao dos componentes do COBIT: Em um ambiente complexo, o gerenciamento requer informaes compreensivas e em tempo para tomar decises eficientes sobre risco e controle. O COBIT enderea estes problemas em de forma de diretrizes de gerenciamento. Estas diretrizes esto destacadas abaixo: Metas de TI e Processos de TI: So Medidas por: So decompostas em: Performance: Indicadores de Desempenho - Atividades-Chaves Resultado: Mtrica de Resultado Que so executadas pela Maturidade: Modelo de Maturidade - Matriz RACI Metas de TI e Processos de TI:
Pg: 8/38
Reviso 7.0
Atividades so aes necessrias para alcanar resultados mensurveis. Alm disso, as atividades tm ciclos de vida e incluem muitas tarefas discretas.
Objetivos: o Formular estratgia e tticas o Identificar como TI pode contribuir melhor para alcanar os objetivos de negcios o Planejar, comunicar, e gerenciar a realizao da viso estratgica o Implementar uma infraestrutura organizacional e tecnolgica Escopo: o A TI e os negcios esto estrategicamente alinhados? o A empresa est alcanando um uso otimizado dos recursos de TI? o Todos na organizao entendem os objetivos de TI? o Os riscos de TI esto entendidos e sendo gerenciados? o A qualidade dos sistemas de TI est apropriada para as necessidades de negcios? PO1 Definir um Plano Estratgico de TI PO2 Definir a Arquitetura da Informao PO3 Determinar o Direcionamento Tecnolgico PO4 Definir os Processos, a Organizao e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar os Objetivos e Direcionamento da Diretoria PO7 Gerenciar Recursos Humanos de TI
Processos
Pg: 9/38
Reviso 7.0
Objetivos: o Identificar, desenvolver ou adquirir, implementar, e integrar as solues de TI o Mudanas e manuteno de sistemas existentes Escopo: o Os novos projetos esto preparados para entregar solues que alcancem as necessidades de negcios? o Os novos projetos esto preparados para serem entregues a tempo e dentro do oramento? o Os novos sistemas iro funcionar bem quando implementados? o As mudanas sero feitas sem atrapalhar as operaes de negcios atuais? AI1 Identificar as Solues Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 Permitir Operao e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanas AI7 Instalar e Validar Solues e Mudanas Objetivos: o A entrega real de servios necessrios, incluindo a entrega de servios o O gerenciamento da segurana, continuidade, dados e facilidades operacionais o Suporte de servios para os usurios Escopo: o Os servios de TI esto sendo entregues alinhados com as prioridades de negcios? o Os custos de TI esto otimizados? o A fora de trabalho capaz de usar os sistemas de TI de forma produtiva e segura? o A confidencialidade, integridade e disponibilidade esto adequadas? DS1 Definir e Gerenciar Nveis de Servios DS2 Gerencia Servios Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Garantir Continuidade de Servios DS5 Garantir Segurana dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usurios DS8 Gerenciar Central de Servio e Incidentes DS9 Gerenciar Configurao DS10 Gerenciar Problema DS11 Gerenciar Dado DS12 Gerenciar Ambiente Fsico DS13 Gerenciar Operaes
Processos
Processos
Pg: 10/38
Reviso 7.0
Objetivos: o Gerenciamento de Performance o Monitoramento de controles internos o Conformidade regulatria o Governana Escopo: o A performance de TI est sendo medida para detectar problemas antes que seja tarde demais? o O gerenciamento garante que os controles internos sejam eficazes e eficientes? o A performance de TI pode ser ligada s metas de negcios? o Os riscos, controles, conformidade e performance esto sendo medidos e relatados? ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade Regulatria ME4 Fornecer Governana de TI
Processos
Requisitos de Negcio (Critrios de Informao): Para satisfazer os objetivos de negcios, a informao deve estar em conformidade com critrios de informao especficos, os quais o COBIT se refere como requisitos de negcios para informao. Os critrios de informao esto baseados em requisitos de qualidade, segurana e valor (fiducirio). Requisito de Negcio Efetividade (Qualidade) Descrio Lida com informaes relevantes e pertinentes aos processos de negcios bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizvel. Lida com a proviso de informaes atravs dos uso de recursos otimizados mais produtivos e econmicos Lida com a proteo de informaes sensveis de revelaes no autorizadas.
Eficincia (Qualidade) Confidencialidade (Segurana) Integridade (Segurana) Disponibilidade (Segurana) Conformidade (Fiduciria)
Relaciona-se com a exatido e integridade de informaes to bem quanto sua validade de acordo com os valores de negcios e expectativas. Relaciona-se com a informao estar disponvel quando necessria pelo processo de negcios no presente e no futuro. Ele tambm responsvel pela guarda de recursos necessrios e capacidades associadas. Lida com estar de acordo com as leis, regras e acordos contratuais aos quais o processo de negcios esta sujeito, ou seja, critrios de negcios impostos externamente como polticas internas. Relaciona-se com a proviso de informaes corretas para gerenciar, operar a entidade e exercitar suas responsabilidades fiducirias e de governana.
Confiabilidade (Fiduciria)
Pg: 11/38
Reviso 7.0
Recurso Aplicaes
Descrio Aplicaes so sistemas de usurios automatizados e procedimentos manuais que processam a informao. Informao so os dados de entrada, que so processados, e de sada pelos sistemas de informao, em qualquer forma usada pelos negcios Infraestrutura inclui a tecnologia e facilidades como hardware, sistemas operacionais, e as redes que disponibilizam o processamento das aplicaes. Pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos, terceirizados, ou contratados, conforme necessrio.
Informao Infraestrutura
Pessoas
Diretrizes de Gerenciamento do COBIT: Diretrizes de gerenciamento fornecem ferramentas para definir objetivos mensurveis para cada processo e medir e comparar a atual capacidade da organizao em cada processo. O conjunto de informaes de gerenciamento a seguir lista algumas questes. Questes tpicas de gerenciamento: Como gerentes responsveis mantm o navio no curso? Como a organizao alcana resultados que sejam satisfatrios para os segmentos maiores possveis para seus acionistas? Como a organizao se adapta s tendncias e desenvolvimentos no seu envolvimento de uma forma a tempo? As Diretrizes de Gerenciamento iro fornecer as metas e as mtricas (mtricas de resultados e indicadores de performance). Os indicadores de performance podem ser usados para mensurar e monitorar o progresso em direo ao resultado desejado. As diretrizes de gerenciamento do COBIT sugerem o uso de balanced business scorecards, para prover mtricas para a realizao das metas de TI. Um scorecard possui 4 dimenses para mapear as metas e indicadores. Perspectivas do Balanced Scorecard: Financeira, Cliente, Processos Internos e Aprendizado e Crescimento Diretrizes de Gerenciamento provem recursos para os 34 processos para ajudar aos gestores a entender a performance da organizao.
Cada processo possui o seguinte: Entradas do Processo: So o que o dono do processo precisa dos outros processos. Sada do Processo: So o que o dono do processo deve entregar. Atividades-Chaves para o processo e matriz RACI: Aponta quem Responsible (Responsvel), Accountable (Cobrado), Consulted (Consultado), e Informed (Informado) para cada atividade.
Metas e mtricas mostram como os processos devem ser medidos. Eles so definidos em trs nveis: Metas e mtricas de TI definem o que os negcios esperam da TI, ou seja, o que os negcios usariam para medir a TI. Metas e mtricas de processo definem o que o processo de TI deve entregar para suportar as metas de TI e como medir isso Mtricas de performance de processo medem quo bem o processo esto indo para indicar se as metas devero ser alcanadas.
Pg: 12/38
Reviso 7.0
Modelo de Maturidade: Todos os processos possuem um modelo de maturidade. A maturidade diz respeito capacidade do processo em atender os requisitos regulatrio e compliance, capacidade para atender metas de TI e as metas dos processos de TI. Modelos de Maturidade fornecem uma escala para referenciar s prticas da companhia contra os padres e diretrizes da indstria. Um modelo de maturidade uma medida que capacita que uma empresa nivele sua maturidade para um processo especfico de no existente (0) para otimizado (5).
COBIT Valor e Limitaes O COBIT: aceito como referencia internacional de boas prticas. orientado aos negcios. considerado um padro aberto. mantido por uma organizao de boa reputao sem fins lucrativos. Mapeia 100 por cento do COSO. Est mapeado de acordo com principais padres relacionados. uma referncia. As empresas ainda precisam analisar os requisitos de controle e customizar o COBIT baseado nos seguintes requisitos da empresa: o Entrega de valor. o Gerenciar Risco. o Infraestrutura de TI, organizao, e portflio de projetos.
Vantagens de adotar o COBIT so: O COBIT est alinhado com outros padres e melhores prticas e deve ser usado junto deles. O framework do COBIT e melhores prticas de suporte fornecem um ambiente de TI bem administrado e flexvel em uma organizao.
Pg: 13/38
Reviso 7.0
Introduo ao Val IT O Val IT baseado no COBIT, estendendo e complementando-o, orientado para a dimenso do valor da entrega, o Val IT foca especificamente: Nas decises de reinvestimento (estamos fazendo as coisas certas?) Na realizao dos benefcios (estamos obtendo os benefcios?) A Meta do Val IT: A meta da iniciativa do Val IT ajudar a administrao a garantir que as organizaes entendam o valor mximo dos investimentos que permitam a sustentao dos negcios a um custo acessvel a um nvel aceitvel de riscos
Os princpios do Val IT esto detalhados abaixo: Investimentos permitidos pela TI sero gerenciados como um portflio de investimentos. Permitir os investimentos de TI que incluam o escopo completo de atividades necessrias para atender aos negcios. Investimentos permitidos pela TI sero gerenciados atravs de todo o seu ciclo de vida econmico. As prticas de entrega de valor iro reconhecer que existem categorias de investimentos diversas que sero avaliadas e gerenciados diferentemente. As prticas de entrega de valor iro definir e monitorar indicadores chave capazes de responder rapidamente a quaisquer mudana ou divergncias. As prticas de entrega de valor devem engajar todos os patrocinadores e definir uma prestao de contas apropriada para a entrega das competncias para a obteno de benefcios de negcios. As prticas de entrega de valor sero continuamente monitoradas, avaliadas e melhoradas. Val IT baseado nos Quatro Estamos , que exploram as questes fundamentais dos valores a serem entregues pela TI.
Estrutura de Processo: O diagrama abaixo mostra a estrutura dos trs processos do VAL IT e suas prticas de gerenciamento. Valor da Governana (Value Governance)
Pg: 14/38
Reviso 7.0
Gerenciamento do Investimento (Investment Management) IM1 Desenvolve um plano de alto-nvel das oportunidades de investimento. IM2 Desenvolve um programa inicial conceituado em business case. IM3 Desenvolve um entendimento claro do programa candidato. IM4 Executa analises alternativas. IM5 Desenvolve um plano de programa. IM6 Desenvolve um plano de realizao de benefcios. IM7 Identifica o ciclo completo de custos e benefcios. IM8 Desenvolve um business case detalhado. IM9 Associa propriedade e responsabilidades. IM10 Inicia, planeja e lana o programa. IM11 Gerencia o programa. IM12 Gerencia e rastreia os benefcios IM13 Atualiza o business case. IM14 Monitora e reporta a performance do programa. IM15 Encerra o programa.
Pg: 15/38
Reviso 7.0
Os processos expandem os processos dos domnios Planejar e Organizar (PO) e Monitor e Avalir (ME) do COBIT, especialmente aqueles relacionados a: Estratgias de TI e do Negcio Gerenciamento de Investimentos Portflio de programas e gerenciamento de projetos Monitorar e avaliar o valor da entrega A estrutura do Val IT framework prov uma referncia cruzada ao COBIT.
Resumo: O COBIT satisfaz as seguintes caractersticas da estrutura de controle: o Orientado a processos o Focado em negcios o Linguagem comum o Aceitabilidade geral o Atende a requisitos regulatrios O COBIT conecta riscos de negcios, controla necessidades e requisitos tcnicos. Prov boas prticas atravs de uma estrutura de domnios e processos. Tambm apresenta atividades em uma estrutura lgica e gerencivel. A audincia para o COBIT inclui gerenciamento de negcios, auditores e gestores de TI. Os trs principais componentes da estrutura do COBIT so: o Recursos de TI o Processos de TI o Requerimentos de negcios Os trs componentes da estrutura do COBIT combinam para formar um mtodo holstico de analisar e definir os requisitos de TI em uma organizao. O modelo de maturidade mede a capacidade dos processos. O COBIT define as atividades de TI em um modelo de processo genrico dentro de quatro domnios: o Planejamento e Organizao o Aquisio e Implementao o Entrega e Suporte o Monitorao e Avaliao A estrutura do Val IT complementa e estende o COBIT focando no valor da entrega. Diretrizes de gerenciamento fornecem: o Entradas e sadas de processos o Atividades de processos e Matriz RACI. o Metas de Negcios, TI, processo e de atividade.
Pg: 16/38
Reviso 7.0
Os Processos:
Estrutura do Cobit Processos: Cada processo de TI do COBIT possui: o Um requisito de negcio que a TI satisfaa. o Metas-chaves em que se focar. o Controles-chaves que ajudem a alcanar as metas. o Mtricas-chaves que ajudem a medir a performance. o Objetivos de controle detalhados. Cada processo de TI do COBIT: Est mapeado para critrios de informao, recursos de TI, e governana de TI usando: o P - Relacionamento Primrio. o S - Relacionamento Secundrio. o Em branco para indicar que os requisitos so satisfeitos mais apropriadamente por outro critrio e/ou por outro processo. Possui entradas e sadas de processos e uma matriz RACI. Possui um modelo de maturidade.
Objetivos de Controle: Cada processo tem um objetivo de controle de alto nvel e objetivos de controles detalhados. As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcios no mesmo nvel. O framework do COBIT define trs nveis: Primrio: O objetivo de controle definido impacta diretamente no critrio de informao. Secundrio: Secundrio: O objetivo de controle definido satisfaz apenas indiretamente ou em extenso menor o critrio de informao Em branco: Isto poderia ser aplicvel. Entretanto, os requisitos so satisfeitos mais apropriadamente por outro critrio neste processo. O que Objetivo de Controle ? Uma declarao do resultado desejado ou proposta a ser alcanada implementando procedimentos de controle em uma atividade em particular.
Pg: 17/38
Reviso 7.0
As prticas de Controle: As prticas de controle de TI estendem a estrutura do COBIT fornecendo um nvel adicional de ajuda quando olhamos a objetivos de controle. A estrutura, 34 processos de TI, e objetivos de controle detalhados definem o que precisa ser feito para implementar uma estrutura de controle eficaz. As prticas de controle fornecem um nvel de detalhe adicional, se necessrio.
Pg: 18/38
Reviso 7.0
Pg: 19/38
Reviso 7.0
Entrada e Sada de processo: Cada processo est ligado a outros processos. As entradas so entregveis que um processo requer de outros processos. Sadas so entregveis que um processo fornece para outros. Entradas e Sada do processo PO10: Entradas: PO1 Portflio do Projeto PO5 Portflio de projeto de TI atualizado PO7 Matriz de Habilidades de TI PO8 Padres de Desenvolvimento AI7 Reviso ps-implementao Sadas: Relatrio de performance de projeto ME1 Plano de Gerenciamento de risco de projeto PO9 Diretrizes de gerenciamento de projeto AI1, AI7 Planos de projeto de detalhados PO8, AI1, AI7 e DS6 Portflio de projeto de TI atualizado PO1 e PO5
Indicadores: Indicadores de Resultado (Key Goal Indicator, KGI, no COBIT 4.0): Define medidas que informam aos gestores aps o fato que indicam se uma funo, processo ou atividade alcanou suas metas. Indicadores de resultado das funes de TI so frequentemente expressas em termos de critrios de informao relevantes, como: Disponibilidade da informao necessria para suportar as necessidades de negcios. Ausncia de riscos de integridade e confidencialidade. Eficincia de custo de processos e operaes. Confirmao de confiabilidade, eficcia, e conformidade.
Pg: 20/38
Reviso 7.0
Pg: 21/38
Reviso 7.0
Modelo de Maturidade: Nvel de Maturidade O No Existente Descrio Tcnicas de gerenciamento de projeto no so utilizadas e a organizao no considera os impactos dos negcios associado com a falta de gerenciamento de projeto e falhas de desenvolvimento de projeto. O uso das tcnicas e abordagens de gerenciamento de projeto dentro da TI uma deciso tomada somente pelos gerentes de TI. H uma falta de comprometimento gerencial com a responsabilidade e gerenciamento do projeto. Decises crticas do gerenciamento do projeto so tomadas sem o envolvimento de usurios ou necessidades de cliente. H pouco ou nenhum envolvimento do cliente ou envolvimento do usurio na definio dos projetos de TI. No h uma organizao clara dentro da TI para o gerenciamento dos projetos. Papis e responsabilidades para o gerenciamento dos projetos no so definidos. Projetos, cronogramas e marcos so fracamente definidos, se definidos. As despesas e o tempo da equipe do projeto no so revisados e comparados ao oramento. O Gerenciamento snior ganhou e comunicou uma conscincia da necessidade do gerenciamento de projeto de TI. A organizao est no processo de desenvolvimento e utilizao de algumas tcnicas e mtodos de projeto para projeto. Os projetos de TI definiram informalmente os objetivos tcnicos e de negcios. As diretrizes iniciais foram desenvolvidas para muitos aspectos do gerenciamento de projeto. A aplicao das diretrizes de gerenciamento de projeto foi deixada para discrio do gerente de projeto individual. O processo e metodologia do gerenciamento de projeto de TI foi estabelecido e comunicado. Os projetos de TI so definidos com objetivos tcnicos e de negcios apropriados. TI snior e gerenciamento de negcios esto comeando a se comprometer e se envolver no gerenciamento de projetos de TI. Um escritrio de gerenciamento de projeto estabelecido dentro da TI, com papis e responsabilidades iniciais definidos. Os projetos de TI so monitorados, com marcos, horrios e oramentos e medio de performance. O treinamento de gerenciamento de projeto est disponvel e primariamente um resultado das iniciativas individuais da equipe. Procedimentos de segurana de qualidade e atividades ps-implementao de sistema foram definidas mas no so totalmente aplicadas pelos gerentes de TI. Os projetos esto comeando a ser gerenciados como portflios. O gerenciamento requer mtricas de projeto formais e padronizadas e uma reviso de lies aprendidas na concluso dos projetos. O gerenciamento de projeto medido e avaliado atravs da organizao e no apenas dentro da TI. Avanos no processo de gerenciamento de projeto so formalizados e comunicados com membros da equipe do projeto treinados em crescimentos. O gerenciamento de TI implementou uma estrutura de organizao de projeto com papis documentados, responsabilidades, e critrios de performance da equipe. Critrios para avaliar o sucesso em cada misso que for estabelecida. Valor e risco so medidos e gerenciados antes, durante e depois da concluso dos projetos. Os projetos crescentemente endeream as metas da organizao, mais do que apenas especficos para TI. O suporte de projeto forte e ativo para o gerenciamento de patrocinadores sniores assim como acionistas. Um treinamento relevante para gerenciamento de projetos planejado para funcionrios no escritrio de gerenciamento de projeto e atravs da funo de TI. Um projeto de ciclo de vida completo e aprovado e uma metodologia de
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Pg: 22/38
Reviso 7.0
rea de Governana, Recursos e Critrio de Informao (Requisitos de Negcio) Mapeamento com as reas de Foco de Governana de TI: Em Branco: - Alinhamento Estratgico Primrio: - Agrega Valor e Gerenciamento de Riscos Secundrio: - Gerenciamento de Recursos e Medio de Performance Mapeamento com os Recursos de TI - Aplicaes, Informao, Infraestrutura e Pessoas Mapeamento com os Critrios de Informao: Primrio: - Eficcia e Eficincia
Pg: 23/38
Reviso 7.0
Objetivos de Controle Detalhados: DS2.1 Identificao de todos os Relacionamentos com Fornecedores Identificar todos os fornecedores de servio e categoriza estes de acordo com tipo de fornecimento, significncia e criticidade. Manter uma documentao formal sobre relacionamentos tcnicos e organizacionais, cobrindo os papis e responsabilidades, metas, entregveis esperados e credenciamento de representantes destes fornecedores. DS2.2 Gerenciamento de Relacionamento com Fornecedores Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os proprietrios dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a qualidade dos relacionamentos baseados em confiana e transparncia (por .exemplo: atravs de SLAs). DS2.3 Gerenciamento de Riscos dos Fornecedores Identificar e mitigar riscos relacionados s habilidades dos fornecedores de continuar com a entrega de servios efetivos, numa maneira seguro e eficiente, como tambm em base continuou. Assegura contratos conforme padres universais de negcio e em concordncia com requerimentos legais e regulamentos. O gerenciamento de risco deve considerar tambm Acordos de No Conformidade (ANCs), custdia contratual, viabilidade de fornecimento continuou, conformidade com requerimentos de segurana, fornecedores alternativos, penalidades e recompensas, etc.
DS2.4 Monitoramento de Desempenho de Fornecedores Estabelea um processo para monitorar a entrega do servio para assegurar que o fornecedor atende os requerimentos atuais de negcio e continuam aderente aos acordos contratuais e acordos de nveis de servio e que o desempenho competitivo em relao de fornecedores alternativos e condies de mercado.
Entradas e Sadas: Entradas: PO1 - Estratgia de Sourcing de TI PO8 - Padro de Aquisio AI5 - Arranjos Contratuais, Gerenciamento de Relacionamento com terceiros DS1 - SLAs, Reviso do relatrio de contrato DS4 - Requisitos de Servios de Desastres, incluindo papis e responsabilidades Sadas: Relatrio de performance de processos - ME1 Catlogo de Fornecedores - AI5 Risco de Fornecedores - PO9
Pg: 24/38
Reviso 7.0
Pg: 25/38
Reviso 7.0
Responsabilidades e obrigaes no esto definidas. No existem polticas formais e procedimentos relativos ao contratar terceiros Servios de terceiros no so aprovados nem revistos pela administrao. No h atividades de medio e no informaes sobre terceiros. Ausncia de uma obrigao contratual para a comunicao e a alta administrao no tem conhecimento da qualidade dos servios prestado.
Administrao est consciente da necessidade de ter polticas e procedimentos documentados para a gesto de terceiros, incluindo os contratos assinados. No existem clusulas de acordos com prestadores de servios. A medio dos servios prestados informal e reativa. Prticas so dependentes da experincia dos indivduos e do fornecedor. O processo para a superviso dos terceiros, prestadores de servio e riscos associados prestao de servios informal. A assinatura, pr-forma do contrato usado para vender termos e condies padro (por exemplo, a descrio dos servios a serem prestados). Relatrios sobre os servios prestados esto disponveis, mas no oferecem suporte a objetivos de negcio. Procedimentos bem documentados esto disponveis para governar servios de terceiros, com processos claros para habilitar a negociao com fornecedores. Quando um acordo para a prestao de servios feito, a relao com o terceiro, puramente contratual. A natureza dos servios a serem prestados so detalhados no contrato e inclui requisitos legais, operacionais e de controle. A responsabilidade pela fiscalizao dos servios de terceiros atribudo. As clusulas contratuais so baseados em modelos padronizados. O risco de negcio associadas ao servios de terceiros so avaliados e comunicados. Critrios formais e normalizados so estabelecidos para definir as condies de contratao, incluindo o mbito do trabalho, servios / produtos que devero ser fornecidos, suposies, cronograma, custos, condies de pagamento e responsabilidades. Responsabilidades em matria de contratos e gesto de fornecedores so atribudos. Qualificaes dos vendedores, riscos e potencialidades so verificados em uma base contnua. Requisitos do servio so definidos e vinculados ao objetivos do negcio. Existe um processo para analisar o desempenho do servio contra as clusulas contratuais, fornecendo atributos para avaliar servios de atuais e futuros de terceiros. Modelos de preos de transferncia so utilizados no processo de aquisio. Todas as partes envolvidas esto conscientes do servio, custos e expectativas de marco. Acordados metas e mtricas para a fiscalizao dos prestadores de servios existentes.
1 Inicial
2 Repetitvel
3 Definido
4 Gerenciado
5 Otimizado
Os contratos assinados com terceiros so revisados periodicamente em intervalos pr-definidos. A responsabilidade pela gesto de fornecedores e da qualidade dos servios prestados atribuda. Evidencia do cumprimento do contrato de operacionais, legais e administrativas de controle monitorado, e ao corretiva executada. O terceiro est sujeito a revises peridicas independentes, e feedback sobre o desempenho fornecida e utilizada para melhorar a prestao de servios. Medidas variam em resposta a mudanas nas condies de negcios. Medidas de apoio a deteco preventiva de problemas potenciais com servios de terceiros. Compreensivo, definidos relatrios de desempenho de nvel de servio est relacionada com a compensao de terceiros. Gesto ajusta o processo de aquisio de servios terceiros com base no monitoramento das mtricas.
Pg: 26/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Descrio dos Demais Processos:
PLANEJAR E ORGANIZAR
PO1 Definir um Plano Estratgico de TI
O planejamento estratgico requerido para gerenciar e direcionar todos os recursos da TI em linha com as estratgias e prioridades do negcio. A funo da TI e os stakeholders do negcio so responsveis para assegurar que um valor otimizado realizado atravs dos portflios dos projetos e servios. O plano estratgico deve aumentar a compreenso dos stakeholders chaves em relao das oportunidades e limites da TI, avaliar o desempenho atual e esclarecer o nvel de investimentos requeridos. A estratgia e as prioridades do negcio devem ser refletidas nos portflios e executadas atravs dos planos tticos da TI, os quais estabeleam objetivos concisos, planos e tarefas compreendidas e aceitos pelo negcio e da TI.
Pg: 27/38
Reviso 7.0
ADQUIRIR E IMPLEMENTAR
Pg: 28/38
Reviso 7.0
Pg: 29/38
Reviso 7.0
Pg: 30/38
Reviso 7.0
MONITORAR E AVALIAR
ME1 Monitorar e Avaliar a Performance de TI
Assegura que a administrao estabelea um framework geral de monitoramento e uma abordagem que defina o escopo, metodologia e processos para serem seguidos para o monitoramento da TI contribua para os resultados do gerenciamento do portflio empresarial e processos de programas gerenciais e estes processos que so especficos para entregar as competncias e servios da TI. O framework deve estar integrado com o sistema de gerenciamento de desempenho da companhia.
Pg: 31/38
Reviso 7.0
O COBIT baseado em padres internacionais aceitos e regulamentos e cada vez mais reconhecido como o framework de fato para a governana de TI. O COBIT est focado no que necessrio para alcanar esta governana e controle em um alto nvel. Ele est alinhado com outras melhores prticas e pode ser usado como o integrador de diferentes materiais guia, como a ISO 17799 e a ITIL.
Como o COBIT se alinha com o COSO: O COBIT est em conformidade com o COSO e conveniente como o framework de controle de TI para a governana empresarial. O COSO ajuda a alcanar os seguintes objetivos: Eficcia e eficincia de operaes Confiabilidade de relatrios financeiros Conformidade com leis e regras aplicveis Alinhamento do COBIT com o COSO Similar ao COBIT, o COSO define um controle interno como um processo que afetado pelo conselho da diretoria, gerenciamento e outras pessoas de uma entidade. Entretanto, diferente do COBIT, o framework do COSO se foca em controles internos e no especfico para TI. O COBIT est alinhado com o COSO apenas em um alto nvel.
A definio do COBIT de requisitos fiducirios difere do COSO, pois o COBIT expande o escopo para incluir: Toda a informao Financeira, no apenas a financeira.
Resumo: Vamos destacar os padres e frameworks que se relacionam com o COBIT. O COBIT est harmonizado com outros frameworks, como o COSO, ITIL, ISO 17799 e CMM. O COBIT est alinhado com o COSO. O COBIT est posicionado centralmente, no nvel geral, ajudando a integrar prticas tcnicas e especficas com maiores prticas de negcios. Os processos de TI do COBIT tambm se relacionam com mltiplos componentes do COSO. O COBIT pode ser usado para garantir conformidade com leis e regras. Os processos e controles do COBIT podem ser remendados para alcanar regras especficas, como a Lei Sarbanes-Oxley.
Pg: 32/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Guia de Validao (Assurance Guide)
O objetivo do Guia de Validao de TI : Fornecer orientao em como usar o COBIT para suportar uma variedade de atividades validas de TI. Permitir que os usurios possam se utilizar do COBIT quando planejarem e fizerem revises, de tal forma que os negcios, TI, e auditores estejam bem alinhados ao redor de uma estrutura e objetivos comuns. Prover e guiar no planejamento, definio de escopo e na execuo de revises, usando um roadmap baseado em formas de validao aceitas,suportada por testes detalhados e baseados nos processos e objetivos de controle do COBIT.
Pg: 33/38
Reviso 7.0
O roadmap do Guia de Validao consiste dos seguintes 3 estgios: Planejamento, Fazer Escopo e Execuo: Planejamento: Estabelecer o universo de validao de TI para designar o que ser validado o inicio de toda iniciativa de validao. Fazer escopo: o processo que inicia pela definio das metas de negcio e TI para o ambiente sob reviso e pela identificao do conjunto de recursos e processos de TI (que o universo a ser validado) requerido para suportar essas metas. Execuo: O terceiro estgio do roadmap de validao o estgio de execuo. Nos prximos slides, vamos examinar, em detalhes, o roadmap de execuo que descreve a forma como os profissionais envolvidos devem adotar, incluindo os principais testes a serem executados durante uma iniciativa de validao especfica.
Refinar o Escopo
Descrio O 1. Estgio da fase de execuo refinar o entendimento do ambiente nos quais os testes sero executados. Isto implica entender a organizao para selecionar o escopo e objetivo corretos de validao. O escopo e objetivo da validao precisa ser comunicado e aceito por todos os patrocinadores. O 2. Estagio da fase de execuo refinar o escopo e determinar selecionando uma amostra do universo a ser validado (ou seja, processo, sistema ou aplicao) por um lado e o conjunto de controles a ser revisto por outro lado para: Analisar metas de negcios e TI Selecionar processos e controles Analisar os riscos inerentes se os objetivos de controle no forem atingidos e a reviso dos testes necessrios para a validao Finalizar o escopo O 3. Estgio da fase de execuo a concepo de teste e controle: Avalia a concepo dos controles. Confirma que os controles esto instalados em operao Estima a efetividade operacional dos controles. O profissional de validao deve determinar quando: o Existe controle de processo documentado o Existe Evidncias de controle de processos o Responsabilidade e cobrana clara e efetiva o Controles de compensao existem, quando necessrio No 4. Estgio, para testar os resultados ou a efetividade dos controles, o profissional em validao necessita identificar evidncias diretas e indiretas dos controles na qualidade das sadas do processo. Isso implica na direta e indireta evidenciao das contribuies mensurveis dos controles das metas e dos processos de TI, registrando as Evidncias diretas e indiretas dos resultados obtidos, como documentado no COBIT.
Pg: 34/38
Reviso 7.0
Comunicar as Concluses
Recomendao Detalhada dos Testes Deve ser fornecida orientao para a concepo dos controles de testes, controle dos testes dos resultados e a documentao do impacto de todos os objetivos de controle e processos do COBIT. Os testes tambm devem ser baseados nas prticas de controle de TI para estar alinhados com as recomendaes de implementao do COBIT.
Resumo da Guia de Avaliao (Assurance Guide): O roadmap de Diretrizes de Validao consiste dos 3 estgios seguintes: o Planejamento o Escopo o Execuo A fase de Execuo consiste dos seguintes seis estgios: o Refinar o entendimento o Refinar o escopo o Concepo do controle de testes o Controle de testes dos resultados o Documentar o impacto o Comunicar as concluses
Pg: 35/38
Reviso 7.0
Primeiro Produto: COBIT Online Apresenta o contedo do COBIT usando um sistema amigvel baseado na web. Permite que os usurios olhem, busquem, dividam e acessem a base de conhecimento. Suporta downloads no formato de textos ou formulrios, e permite comparaes As vantagens do COBIT Online so: Fornecer um repositrio com fcil acesso de todas as informaes relacionadas ao COBIT e permite o feedback de usurios. Ele permite que o ISACA/ITGI mantenha o contedo e implemente futuras verses gravando um feedback filtrado, capturando o conhecimento de peritos, fornecendo atualizaes online frequentes, e capacitando produo automtica de impresso. O COBIT Online uma fonte primria para informaes atualizadas do COBIT. Ele funciona como um local de encontro para anncios, fruns de discusso e downloads grtis. Os componentes do COBIT Online so: Navegao Benchmarking O recurso do benchmarking capacita que os usurios forneam entradas como o modelo de maturidade de um processo, a importncia de um processo, a importncia de um objetivo de controle, importncia de metas de processo e de TI, e prticas de controle, e depois comparar suas pontuaes com as de outros usurios. Os passos envolvidos em fazer o benchmarking de uma empresa so: o Perfil: Fornecer informaes sobre o perfil da sua empresa. o O que: Escolher o benchmark que voc pretende. o Pontuao: destaque o tpico que escolheu no passo anterior para os processos que voc selecionou com o filtro. Feedback e pesquisas Comunidade Ajuda
Segundo Produto: O COBIT Quickstart O COBIT Quickstart: Permite a adoo dos elementos importantes do COBIT facilmente fornecendo uma verso resumida dos recursos do COBIT. Foca nos processos de TI, objetivos de controle e mtricas. Fornece uma base de objetivos de controle para empresas de pequeno e mdio porte e pequenas entidades de grandes empresas, onde a TI no estratgica ou crtica para o negcio. Serve como ponto de partida para outras organizaes em seu movimento para um nvel apropriado de controle e governana de TI.
COBIT Quickstart: Baseline: Est disponvel como uma publicao. Ajuda a entender rapidamente problemas importantes e prioridades de gerenciamento. Alm disso, pode ser seguido por pessoas no tcnicas ou gerentes que querem princpios, no detalhes; e atua como um ponto de entrada para o COBIT. Pode ser utilizado para executar uma avaliao para priorizar os processos do COBIT, no incio de uma implementao de COBIT ou projeto de governana de TI
Pg: 36/38
Reviso 7.0
Componentes do COBIT Quickstart: Os componentes do COBIT Quickstart contm cerca de 20% dos objetivos de controle do COBIT e componentes de gerenciamento. Cada um destes objetivos de controle est relacionado a um ou mais dos objetivos de controle detalhados do COBIT. Aplicao do COBIT Quickstart: pequenas e mdias empresas ou empresas onde no so necessrios todos os processos do Framework COBIT.
Terceiro Produto: IT Governance Implementation Guide (Guia de Implementao de Governana de TI) O IT Governance Implementation Guide fornece uma metodologia, um roadmap detalhado e um conjunto de ferramentas para implementar um ciclo de vida contnuo de governana de TI usando o COBIT. O guia foca em uma metodologia genrica para as seguintes reas: Porque a governana de TI importante e porque as organizaes deveriam implement-lo Como o COBIT est ligado governana de TI e como o COBIT capacita a implementao de governana de TI Os acionistas que possuem um interesse em governana de TI Um roadmap para implementar a governana de TI usando o COBIT Abordagem do Guia de Implementao: A abordagem do Guia de Implementao identifica a necessidade de criar e preservar valor de uma forma que alinhe a formulao e execuo com os objetivos de negcios da organizao. A abordagem envolve a execuo de anlise de gaps avaliando a posio atual e a desejada, levando identificao e iniciao do projeto. Conjunto de Ferramentas da Governana de TI: O guia de implementao fornece: Um roadmap detalhado para acionistas de governana de TI, que: o Ajuda a organizao a implementar a governana de TI usando o COBIT. o Garante que o foco esteja nas necessidades de negcios enquanto melhora o controle e a governana de processos de TI. o Prov um processo genrico que est dividido em diversas tarefas, variando entre a identificao de necessidades iniciais para a implementao da soluo, incluindo a identificao dos componentes do COBIT a serem nivelados. Um conjunto de CDs contendo uma viso geral para dar suporte ao roadmap. Contm templates (modelos) , apresentaes, documentos teis, e ferramentas de avaliao.
O Quarto Produto: O COBIT Security Baseline: O COBIT Security Baseline: Fornece kits de sobrevivncia de segurana de informao em uma linguagem simples para qualquer organizao ou pessoa que precise entender como implementar o framework do COBIT. Kits de sobrevivncia de segurana esto disponveis para todos os nveis de pessoas como usurios domsticos, profissionais, executivos e gerentes. Fornece um guia de segurana no tcnico e um Quickstart para objetivos de segurana. Possui uma referencia cruzada ao ISO 17799.
Resumo Produtos: Os recursos do COBIT a seguir esto disponveis para dar suporte s implementaes do COBIT: COBIT Online COBIT Quickstart IT Governance Implementation Guide Using COBIT e Val IT COBIT Security Baseline
Pg: 37/38
Reviso 7.0
Guia de Estudo para Exame de Certificao do Cobit Foundation Notas sobre a traduo:
Accountability - Foi traduzido para cobrana, mas Prestao de Conta seria a melhor traduo. Agregao de Valor - Tambm pode ser traduzido (melhor) para Entrega de Valor Assurance Guide - foi traduzido para Guia de Avaliao Compliance - Conformidade com leis, regulamentos e contratos, Governana Corporativa - Foi traduzido para Governana Empresarial: IT Governance Implementation Guide No foi traduzido (Guia de Implementao de Governana de TI) Requisitos fiducirios = Tambm so conhecidos como requisitos de conformidade com leis e regulamentos Stakeholder - foi traduzido para acionistas
Referncias: - Manual do Cobit Foundation 4.1 (em portugus) http://www.isaca.org/ContentManagement/ContentDisplay.cfm?ContentID=55274 ITGI/ISACA - Cobit Security Baseline - 2a. edio An Information Security - Survival Kit ITGI/ISACA - IT Assurance Guide Using Cobit ITGI/ISACA - IT Governance Implementation Guide - 2a. edio Using Cobit and Val IT ITGI/ISACA www.isaca.org
Realizao:
by @rildosan
Pg: 38/38
Reviso 7.0