Trainning - Cobit Foundation v41 (Instrutor)

CEO
Conformidade,
Auditoria, Riscos
e Segurana
CFO
Executivo
de Negcio
Gerncia
Senior do
Negcio
CIO
Lder
Operacional
Arquiteto
Chefe
Lder de
Desenvolvimen
to
Lder Admin.
TI
PMO
Instrutor: Alcides Casarin Junior

email: acasarinjr@hotmail.com
Formao: COBIT 4.1 Foundations

www.trainning.com.br
Formao: COBIT 4.1 Foundations

Welcome
Respondendo aos Desafios de TI
Governana (Corporativa e TI)
Introduo ao Cobit
Estrutura do COBIT
Guidelines (Management and Assurance )
Recursos e Implementaes
Material Complementar
Trainning
Instrutor
Classe
O objetivo deste curso preparar o aluno para a

prova de Certificao COBIT Foundation.
COBIT marca registrada do ISACA e do ITGI
Motivao ITGI e ISACA

Crescente criticidade da tecnologia da informao para sucesso empresarial
ISACA - Information Systems Audit and Control Association
Fundada em 1967
Mais de 175 capitulos estabelecidos em mais de 70 paises
Mais de 75.000 associados espalhados por mais de 160 paises
Em 1992 a idealizao do COBIT foi concebida, mas a primeira verso foi liberada em
1996.
Site: www.isaca.org
ITGI - IT Governance Institute
Fundada em 1998
Visa beneficiar as empresas, ajudando lderes em suas responsabilidades de fazer a TI
bem sucedida no apoio a misso e aos objetivos da empresa
Oferece pesquisa, recursos eletrnicos e casos de estudos para ajudar lderes e o
conselhos de diretores em suas responsbilidades sobre Governana de TI.
Site : www.itgi.org
Control Objectives for Information and related Technology

Estrutura de controles desenvolvidos por auditores de sistemas.
A estrutura foi construda a partir de padres e prticas j
existentes.
uma ferramenta prtica de gerenciamento e no uma
metodologia
Uma estrutura de governana e controle que foca em o
que precisa ser feito (achieved) ao invs de como
fazer
Onde fazer a prova:

Pesquisar por parceiros
http://cobitcampus3.isaca.org
ITPreneurs
www.itpreneurs.com
Prova
40 questes multipla escolha

Durao de uma hora
Mnimo de 28 (70%) questes corretas
Pr-requistito
Nenhum
Investimento (Mdia)
U$ 120.00 - Direto
R$ 500,00 Parceiros
Certificado Cobit Foundation pr-requisto para os cursos

Workshop: Implementing IT Governance using COBIT
Curso: COBIT for Sarbanes Oxley IT compliance
Crditos
Continuous Professional Education (CPE)

Certificado mundialmente reconhecido
Documento de Identificao
Prova subjetiva
Lingua inglesa e Portuguesa
Qual a melhor resposta
Tempo
Intervalo
Estratgia para estudo

Cadastre-se no site: www.isaca.org
Baixe os livros abaixo
COBIT 4.1
Board Briefing on IT Governance, 2nd Edition
Ler COBIT at a pgina 28
Ler COBIT: Sumrio de c/ Objetivo de Controle de Alto Nvel
Ler COBIT: Anexo VIII, atente-se para o item denominado VAL IT
Ler - Board Briefing on IT Governance (Recomendado)
Faa TODOS os simulados
Meta de acerto de 35 questes, marque o exame!
Roteiro para aplicao da prova

O exame realizado pela internet atravs do site da IT Preneurs, voc no precisa fazer o
exame em um centro de testes, pode fazer em qualquer computador com acesso a internet.
No necessrio informar que fez um curso presencial.
Passos para registrar-se no exame:
1 - Comprar a prova do COBIT no site da IT Preneurs
2 - Baixar os formularios de registro do candidato e do Proctor. O Proctor a pessoa que vai
acompanhar voc durante o exame, quem vai receber o login para iniciar o exame. Voc
pode escolher qualquer amigo seu ou colega de trabalho para ser o seu Proctor.
3. Envie os formulrios de registro para o e-mail da IT Preneurs j com a data e horrio que
voc quer realizar a prova.
4. O seu Proctor ir receber no e-mail dele os dados para iniciar a prova um dia antes do
exame marcado.
5. Entre no horrio marcado com o login e senha e realize o exame no site da IT Preneurs.
6. Aps 30 dias voc receber seu certificado por correio, caso voc seja aprovado.
necessrio acertar 28 questes. A prova tem 40 questes em ingls
Fonte: www.itpreneurs.com
Respondendo os Desafios de TI
Responding to IT Challenges
Desafios de TI
Manter a TI funcionando
Criao de Valor
Reduo de Custos
Gerenciamento das Complexidades
Alinhamento com o Negcio
Cumprimento das regulamentaes externas
Segurana
Resposta aos Desafios de TI

Estrutura de Controle
Manter a TI funcionando - Keeping IT running

As empresas dependem fortemente da TI, quando os sistemas se
tornam indisponveis os impactos nos negcios podem ser
significativos
When a server stops responding, the end user is not able to track data.
This leads to loss of customers/business (Quando um servidor para de
responder, o usurio final no capaz de monitorar os dados. Isto leva perda
de clientes / negcios)
Exemplos
Processos crticos de negcio, como emisso de notas fiscais, podem ser

interrompidos.
Os usurios de TI perdem acesso suas agendas, e-mail e documentos.
Os clientes no conseguem contatar a central de atendimento
Perda de negcios, reduo de lucro e prejuzo imagem da organizao.
Valor - Value
A empresa precisa garantir que todas as aes da TI fornea valor, pois
seus investimentos so significativos dada a sua importncia estratgica.
Keeping track of IT expenditure is as important as keeping track of other
business expenditure (Manter-se a par das despesas TI to importante como
manter o rasto de outras despesas empresariais)
Em muitos dos projetos de TI que excedem os oramentos ou prazos,
os problemas tpicos so:
Requerimentos definidos de forma superficial

Sistemas so muito complexos para serem implementados
Falta de recursos com habilidades necessrias
Esforo requeridos de forma subestimada
Fraca gesto de projetos.
Custos - Cost
Apesar da forte presso por reduo do oramento de TI, os gastos de TI
ainda so considerados em algumas empresas como fora de controle.
Keeping track of IT expenditure is as important as keeping track of other
business expenditure
Razes
Muitas empresas no apuram custos associados com ativos e servios de TI.

Os oramentos de TI aumentam todos os anos como resultado da
complexidade dos contratos de licenciamento, manuteno e terceirizao.
Projetos mal administrados que geram oramentos adicionais.
Os gastos em TI pelas unidades de negcio e do prprio departamento de TI
no so coordenados.
Gerenciamento das Complexidades - Managing Complexity

As inovaes tecnolgicas ocorrem rapidamente e a TI sofre presso de
muitos fornecedores
Managing vendors is a critical task, and this should be done with great
care (Gerenciamento de fornecedores uma tarefa crtica, e deve ser feito com
muito cuidado)
Complexidades
Manuteno das competncias tcnicas

Gerenciamento de diversas infra-estruturas tecnolgicas
Adaptao para mudanas rpidas e novos desenvolvimentos
Gerenciamento de relacionamentos externos e fornecedores de servios.
Alinhamento de TI aos Negcios - Aligning IT with Business

Em muitas empresas, o gap entre o que os usurios esperam e o que o TI
fornece continua a existir.
You need to make sure that IT and the business are aligned with each
other instead of working in parallel (Voc precisa ter a certeza que TI e
negcios esto alinhados uns com os outros em vez de trabalhar em paralelo)
Principais razes
Requerimentos de negcio definidos de forma superficial.

Inabilidade de definir prioridades
Complexidade dos projetos
Falta de comprometimento das reas de negcio
Falta de direcionamento de negcio para as solues
Falha de comunicao entre o negcio e TI.
Cumprimento das Regulamentaes - Regulatory Compliance

As regulamentaes que governam as operaes de negcio impactam nos
sistemas de TI.
Specific compliance requirements need to be understood. A legal contract
should be in place before interacting with other organizations (Cumprimento
das obrigaes especficas precisam ser compreendidas. Um contrato legal deve ser
posto em prtica antes de interagir com outras organizaes)
A rea de TI precisa entender as leis e requerimentos

regulatrios locais e internacionais que estejam
relacionadas :
Governana corporativa e relatrios financeiros
Privacidade e segurana
Segurana - Security
O desejo de fazer a informao ser prontamente disponvel pela tecnologia
gera riscos de segurana.
The goals include agreed and aligned objectives for IT, effective controls,
and efficient performance tracking. (As metas incluem objetivos acordados e
alinhados para TI, controles eficazes e desempenho eficiente de monitoramento)
Fatores
O uso de rede de comunicao, expe os sistemas internos para o mundo.

Vrus e hackers
Mal uso da informao
Complexidades tcnicas do ambiente e os problemas de segurana
associados
Baixa conscientizao a questes de segurana entre os usurios de TI.
Para efetivamente resolver os problemas de TI necessrio ligar os

desafios de TI com uma estrutura de controle e determinar como estes
desafios podem ser melhor gerenciados
A control framework for IT governance defines the reasons IT governance
is needed, the stakeholders and what it needs to accomplish (Uma estrutura
de controle de governana de TI define as razes por que governana de TI
necessria, os interessados e o que preciso realizar)
Motivadores
Vantagem Competitiva
Tratar os Riscos
Explorar os benefcios de TI
Requerimentos de negcio
Requerimentos das normas regulatrias
Foco no Negcio Focused on the business

O objetivo alinhar a TI aos objetivos de negcio
Provide a business focus to enable alignment between business and IT objectives
(Prover foco no negcio para permitir o alinhamento entre os objetivos de negcios e TI )
link the managements IT expectations with the managements IT
responsibilities
(vincula as expectativas de gerenciamento de TI com as responsabilidades de gerenciamento de
TI )
The objective is to facilitate IT governance: to deliver IT value while managing

IT risks
(O objetivo facilitar a governana de TI: entregar valor de TI enquanto gerencia os riscos de
TI)
an organization should involve IT in business-level decision making so that IT

can align its objectives with business objectives
(A organizao dever envolver TI a nvel da tomada de deciso nos negcios, para que possa
alinhar os seus objetivos com os objetivos empresariais)
Orientao a Processo - Focused on Process

Garantir que as atividades so organizadas em processos e que possuem responsveis
pelas execuo das mesmas
Establish a process orientation to define the scope and extent of coverage, with a
defined structure enabling easy navigation of content
(Estabelecer orientao a processos para definir o escopo e a extenso da cobertura,
com uma estrutura definida que permita fcil navegao dos contedos)
Aceitabilidade Geral - Generally Acceptable

As melhores prticas para a Governana de TI:
Testadas e globalmente aceitas e que aumentam a contribuio da TI para o
sucesso da organizao.
Estas prticas foram desenvolvidas baseadas nas experincias de diversos
especialistas do mundo todo
Be generally acceptable by being consistent with accepted IT good practices and

standards and independent of specific technologies
(Ser geralmente aceitas por serem coerentes com as boas prticas e normas e
independente de tecnologias especficas)
Linguagem Comum - Common Language

Ao longo do tempo, as melhores prticas tendem a adquirir uma terminologia distinta
que definida por uma estrutura.
A terminologia comum permite comunicao dentro da organizao, entre profissionais
de outras empresas e com parceiros e terceiros
Supply a common language with a set of terms and definitions that are generally
understandable by all stakeholders
(Fornecer uma linguagem comum com um conjunto de termos e definies que so
geralmente compreensveis por todos os interessados)

Stakeholders within the enterprise who have an interest in generating value from IT investments:
(Os stakeholders dentro da empresa que tm interesse em gerar valor a partir dos investimentos em TI)
Those who make investment decisions (Aqueles que tomam decises de investimentos)
Those who decide about requirements (Aqueles que decidem sobre requisitos)
Those who use IT services (Aqueles que usam os servios de TI)
Internal and external stakeholders who provide IT services: (Os stakehorders internos e externos que prestam
servios TI)
Those who manage the IT organisation and processes (Aqueles que gerenciam a organizao e processos
de TI)
Those who develop capabilities (Aqueles que desenvolvem capacidades)

Those who operate the services ( Aqueles que operam os servios)
Internal and external stakeholders who have a control/risk responsibility: (Os stakeholders Internos e
externos que tenham responsabilidades sobre controle / risco )
Those with security, privacy and/or risk responsibilities
(Aqueles com responsabilidades na segurana,
privacidade e/ou riscos.)
Those performing compliance functions (Aqueles que executam funes de conformidade)

Those requiring or providing assurance services (Aqueles que exigem ou fornecem servios de garantia)
Requerimentos Regulatrios - Regulatory Requirements

O cumprimento regulamentaes geralmente uma tarefa cara e onerosa.
mais fcil demonstrar cumprimento se uma estrutura de controle for baseado em um
padro aceito pelo mercado.
Auditores tambm so beneficiados quando realizam auditorias de controles quando o
modelo aceito adotado pelas empresas
Help meet regulatory requirements by being consistent with generally accepted
corporate governance standards (e.g., COSO) and IT controls expected by regulators
and external auditors
(Ajuda a satisfazer os requisitos regulatrios por ser coerente com as normas geralmente aceitas de governana
corporativa (por exemplo, COSO) e controles de TI esperado pelas autoridades reguladoras e auditores
externos)
COSO
Committee of Sponsoring Organisations of

the Treadway Commissions (COSOs)
Internal Control
Estrutura de controle amplamente aceita
para a Governana Corporativa e
Gerncia de Risco (COSO ERM)
Fonte: www.coso.org
COSO
Processo de controles internos, executados pelo comit
administrativo, gestores e outras pessoas designadas a
garantir a realizao de objetivos nas seguintes categorias:
Eficcia e eficincia das operaes
Confiabilidade nas informaes financeiras
Conformidade com leis e regulamentaes
Tem sido adotado por muitos setores privados e governamentais
Estrutura de controle que influncia o desenvolvimento de outros
controles e estruturas de gerenciamento, como por exemplo o COBIT
Fonte: Board Briefing On It Governance, 2Nd Ed
COBIT
Control Objectives for Information and related Technology

Objetivos de Controle para Informaes e Tecnologias relacionadas
Estrutura de controle amplamente aceita para a Governana de TI
Fonte: www.isaca.org
COBIT
O COBIT um framework de governana e controle, que foca no que
precisa ser alcanado ao invs de se preocupar em como alcanar.
uma estrutura de controles, construda a partir de padres e prticas

j existentes, tornando-se uma ferramenta prtica de gerenciamento e
no uma metodologia.
Como um modelo de controle, o COBIT deve ser adaptado para

empresa, plataforma de TI e padres de sistemas
Governana Corporativa
Enterprise Governance
Governana de TI
IT Governance
Conceito
Envolvidos
Envolve e Objetivo
Benefcios
Governana TI
Conceito e Envolve
Motivador
Incorporada a Governana Corporativa
Importncia: Valor, Risco e Controle
Responsabilidade, Integra e institucionaliza e conjunto de controles
Benefcios
Os Princpios da Governana de TI
As Partes Interessadas da Governana de TI
Escopo da Governana de TI
Governana de TI X Gerenciamento de TI
Conceito
o conjunto de prticas que tem por finalidade otimizar o
desempenho de uma companhia ao proteger todas as partes
interessadas como investidores, empregados e credores
facilitando o acesso ao capital.
Fonte: www.cvm.gov.br
Sistema pelo qual as sociedades so dirigidas e monitoradas,

envolvendo os relacionamentos entre acionistas/cotistas, conselho e
administrao, diretoria, auditoria independente e conselho fiscal.
As boas prticas de governana corporativa tm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e
contribuir para a sua perenidade.
Fonte: www.ibgc.org.br
Envolve
Direitos dos acionistas

Eqidade no tratamento dos acionistas
Funo dos acionistas
Transparncia e Revelao (Prestao de Contas)
Responsabilidade do comit administrativo (Atividades, Social e
Ambiental)
Objetivo
Aumento do valor da companhia

Proteger contra desvios de ativos
Proteo aos investidores
Valorizao da Empresas
Fonte: www.cvm.gov.br e COBIT - Board Briefing on IT Governance, 2nd Ed
Benefcios
Aprimoramento do processo decisrio da alta gesto
Separao clara de papis entre acionistas, conselheiros e executivos
Melhoria dos mecanismos de avaliao de desempenho e recompensa
dos executivos
Diminuio da probabilidade de ocorrncia de fraudes e corrupo
Maior institucionalizao e a melhor imagem da companhia
Conceito
Conjunto de estruturas e processos que visa garantir que a TI
suporte e maximize adequadamente os objetivos e estratgias
de negcio da organizao, adicionando valores aos servios
entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI
Envolve
Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed
Motivador
Empresas esto adotando ou revendo prticas de Governana de TI
devido:
Crescentes investimentos em TI
Aumento da terceirizao dos servios de TI
Reduo de pessoal no setor de TI das empresas que utilizam
servios de TI
Benefcios gerados para a empresa
Organizaes tem utilizado metodologias ou prticas consolidadas no

mercado como suporte a Governana de TI, tais como:
Cobit - Control Objectives for Information and Related Technology
ITIL - InformationTechnology Infrastruture Library
International Standards Organization (ISO) 9000 e 20000
Balanced Scorecard (BSC) de TI
Seis Sigma
Project Management Institute (PMI)
Capability Maturity Model (CMM).
Incorporada a Governana Corporativa

Devido a necessidade da TI no operacional do negcio e ao aumento
da demanda por transparncia, conformidade e perenidade, exige
que a Governana Corporativa:
Fornea liderana, estruturas organizacionais e processos

Trate-a no planejamento estratgico
Expectativas sobre TI sejam alcanadas
Riscos relacionados sejam gerenciados
Governana de TI de responsabilidade da Diretoria e Gerncia Executiva

e que a Governana de TI faz parte da Governana da Empresa
Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed
A Tecnologia e a Informao so os fatores de sucesso para muitas empresas,

a Governana Corporativa, portanto, entende como elementos chaves:
Valor
Maximizao de benefcios
Capitalizao sobre oportunidades
Ganho de vantagem competitiva
Risco: Entender e gerenciar
Conformidade as normas e regulamentaes externas
Dependncia da TI que suporta o processo de negcio
Controle
Responsabilidades sobre as atividades que suportam o negcio
Alinhamento e alcance as expectativas de negcio
de responsabilidade dos executivos e do comit administrativo,

consiste na liderana, dos processos e da estrutura organizacional que
assegura que a TI sustente e estenda a estratgia e objetivos
organizacionais.
Integra e institucionaliza comprovadas atividades e processos que
tem sido utilizadas por mltiplas empresas de forma bem sucedida (Best
Practice) para assegurar que a rea de TI da empresa suporta os
objetivos e expectativas de negcio.
Necessrio um conjunto de controles fundamentais que auxilie os
responsveis pelos processos de negcio a prevenir perdas financeiras ou
informaes da organizao (Control Framework - estrutura de
controle) e que se ajuste ao Controle Integrado da Governana
Corporativa (COSO), tornando possvel o alcance dos objetivos
estratgicos.
Governana foca em balancear os objetivos de desempenho

estratgico, normas regulatrias e outros requerimentos obrigatrios
que so frequentemente suportadas pelas polticas corporativas.
Exemplos
Em um banco, um bom desempenho disponibilizar um conjunto de

servios online, portanto, este deve gerenciar temas como (conformance
requirements)
Privacidade da informao,
Integridade dos dados das contas
Responder a normas regulatrias, tais como planos de recuperao.
Benefcios
A Governana de TI gera: confiana na alta administrao e nas
tomadas de decises, proviso de alinhamento dos objetivos
entre TI e Negcio tornando-a mais flexvel e pr-ativa as
necessidades de negcio, tambm atua na preveno: utilizando
alertas e avisos quando eventos indesejveis ou planejados
ocorrerem e assegura transparncia, para que qualquer pessoa
autorizada obtenha a informao desejada
Pesquisa realizada pelo MIT em 2005 conclui que empresas com
polticas de governana em TI mais efetivas tm lucros mais altos
do que as outras ordem de 20%
Benefcios
Confiana: da alta administrao e nas tomadas de deciso
Confidence of top management
A TI geralmente confusa e difcil de ser entendida pela alta administrao. Um
programa efetivo de Governana de TI pode colocar todos na mesma pgina ao
prover uma linguagem comum, fornecer mecanismos claros de tomada de deciso
e facilitar a transparncia e preciso na informao gerencial.
Quando a alta gerncia obtm uma viso clara de como a TI est desempenhando,
ela aumenta sua confiana nas decises de investimento.
Information is available to the board to make decisions and be aware of IT
activities
(A informao est disponvel para o conselho de administrao para tomar decises e estar
consciente das atividades de TI)
Benefcios
Pr-atividade de TI para o negcio
More responsiveness to business needs
O TI fica mais pr-ativa para as necessidades de negcio. Agilidade,
flexibilidade e pr-atividade so atributos vitais da rea de TI em seu
suporte para as necessidades de negcio.
Uma efetiva Governana de TI garante uma clara cadeia de comando, tomada de
deciso eficiente e maior confiana em correr riscos e fazer investimentos.
IT resources are performing at optimum levels. IT focuses on business

drivers and critical processes
(Os recursos de TI esto em nveis timos de performance. TI focada nos direcionadores de
negcios e processos criticos)
Benefcios
Maior retorno de investimento
Higher Return on Investment (ROI)
Na mdia, a grande poro dos investimentos de TI perdida devido a falhas de
projetos, ineficincia na infra-estrutura e processos no padronizados e mal
geridos.
Uma Governana de TI efetiva ajuda a reduzir falhas de projeto, otimizar a infraestrutura de TI e aumentar a eficincia dos processos de TI.
A higher ROI implies greater value to the business and better quality of
services, enabling the overall business strategy
(Um ROI mais elevado implica maior valor ao negcio e melhor qualidade dos servios,
habilitando a estratgia empresarial global)
Benefcios
Mais confiana nos servios - More reliable services
A Governana de TI garante que os processos e servios crticos de TI sejam
monitorados e que incidentes ou falhas de alta prioridade sejam endereadas e
resolvidas. Servios que requerem altos nveis de confiabilidade so
implementados com uma infra-estrutura robusta e flexvel para minimizar a
probabilidade de falha ou indisponibilidade de servios.
A Governana de TI garante riscos menores, melhor qualidade dos servios e
maior satisfao de clientes e usurios.
Alerts exist to indicate when things go wrong. Such alerts reduce the
chances of failure because problems are detected early
(Alertas existem para indicar quando as coisas correm mal. Esses alertas reduzem as chances
de uma falha ocorrer, porque os problemas so detectados precocemente)
Benefcios
Maior transparncia - More transparency
Boa governana ajudar a fornecer ao gerentes de negcio informaes mais claras,
confiveis e precisas sobre a situao dos projetos e os custos dos servios de TI.
Maior transparncia significa que as partes interessadas obtero informao de uma
forma que eles entendam, com maior confiana e que as informaes esto
corretas.
Uma estrutura de Governana de TI efetivamente implementada garante que a
informao certa est disponvel para o nvel correto de decisores, do contrrio, a
informao tende a se perder na mirade de dados.
Information is available to the appropriate decision makers to monitor IT
activities by using accurate performance measures
(A informao est disponvel para os tomadores de deciso para monitorar as atividades deTI
utilizando medidas precisas de desempenho)
(Para uma efetiva governana de TI )
Direo - Direct
Alta direo fornece liderana, estruturas organizacionais e processos que assegurem
que as estratgicas de TI sustentem e atendam estratgias e objetivos da
empresa, para isso entende as mudanas e direciona as agendas dos envolvidos
Controle - Control
Permite: feedback, que auxilia o alcance dos objetivos e diminui/elimina
probabilidade de ocorrncias indesejveis
Giving clear direction on what is required by the management and applying
controls to ensure that the requirements are met
(Dar orientao clara sobre o que exigido pela gesto e aplicao de controles para garantir que
os requisitos sejam obtidos)
Responsabilidade - Responsibility
O Presidente normalmente o responsvel pelo controle interno.
Os diretores seniores determinam a responsabilidade para o estabelecimento de um
controle interno especfico ao pessoal responsvel pelas unidades funcionais
(departamentos).
O Controle interno de responsabilidade de todos em uma organizao e pode ser
uma funo explcita ou implcita.
Making it clear who is responsible for specific tasks
(Deixando claro quem responsvel por tarefas especficas)
Prestao de Contas (Accountability)
A prestao de contas a obrigao dos funcionrios em prestar
contas/reportar/explicar suas aes sobre o uso dos recursos que lhes foram
disponibilizados.
Os gestores devem prestar contas ao Comit Executivo, que por sua vez fornece a
definio de responsabilidades, direo e monitoramento.
Making it clear who has the authority to make decisions and approve the
outc ome of specific tasks
(Deixando claro quem tem a autoridade para tomar decises e aprovar o resultado das tarefas
especficas)
Atividades - Activities
As atividades de TI so eficientes quando existe uma boa Governana de TI.
No ter excelncia tecnolgica e sim atender os requerimentos de servios.
Por exemplo: folha de pagamento processada no final do ms; a rea de TI precisa
atender a esta necessidade.
Identifying the actual processes and procedures that need to be performed
to manage IT effectively
(Identificar os processos e procedimentos atuais que necessitam ser realizados para gerir TI de
forma eficaz)

importante estar ciente sobre os interesses legtimos das partes
interessadas, podendo antever-se para tratar de possveis
demandas e expectativas
Shareholders
Correspondem a grupos que podem afetar ou serem afetados, de
modo significativo, pela empresa, incluindo os prprios acionistas
Stakeholders
So todas as partes interessadas que devem estar de acordo com
as prticas de governana corporativa executadas pela empresa

Stakeholders
Externos
Internos
Fornecedores
Clientes
Pblico Geral
Usurios
Governo
Acionistas
Diretores
Gerentes de Negcio
Gerente de TI
Funcionrios

Preocupaes (concerns)
Como definiremos os direcionamentos de negcio para TI, entregar valor e
gerenciar riscos?
Como entregaremos os servios de TI conforme solicitados pelo negcio e
direcionados pelo Comit Executivo?
Como ns garantimos que as polticas, regulamentaes e leis so cumpridas
de acordo com os novos riscos identificados?
Como ns fornecemos avaliaes independentes sobre os valores entregues
pelo TI e sobre as mitigaes de riscos?
Como garantimos a continuidade de negcio, para que a empresa no perca
imagem, cliente e rentabilidade?
Como garantimos que as informaes confidencias no sejam divulgadas para
os concorrentes
Como garantimos que os dados estejam mantidos de forma segura
Como garantimos que os sistemas estejam prontos para serem auditados.
reas de Foco na Governana de TI
Alinhamento estratgico: foca em garantir a ligao entre os planos de

negcios e de TI, definindo, mantendo e validando a proposta de valor de TI,
alinhando as operaes de TI com as operaes da organizao.
Entrega de valor: a execuo da proposta de valor de TI atravs do ciclo de

entrega, garantindo que TI entrega os prometidos benefcios previstos na
estratgia da organizao, concentrado-se em otimizar custos e provendo o
valor intrnseco de TI.
Gesto de recursos: refere-se melhor utilizao possvel dos investimentos e

o apropriado gerenciamento dos recursos crticos de TI: aplicativos,
informaes, infraestrutura e pessoas. Questes relevantes referem-se
otimizao do conhecimento e infraestrutura.
Gesto de risco: requer a preocupao com riscos pelos funcionrios mais

experientes da corporao, um entendimento claro do apetite de risco da
empresa e dos requerimentos de conformidade, transparncia sobre os riscos
significantes para a organizao e insero do gerenciamento de riscos nas
atividades da companhia.
Mensurao de desempenho: acompanha e monitora a implementao da

estratgia, trmino do projeto, uso dos recursos, processo de performance e
entrega dos servios, usando, por exemplo, balanced scorecards que traduzem
as estratgia em aes para atingir os objetivos, medidos atravs de processos
contbeis convencionais.
Alinhamento Estratgico - Strategic Alignment
O alinhamento estratgico refere-se ao alinhamento de TI
estratgia de negcio.
Garante que os investimentos da empresa em TI estejam alinhados
com os objetivos estratgicos da empresa.
IT succeeds only if the organization succeeds
(TI somente tem sucesso se a organizao tiver sucesso)
Valor dos Servios de TI para o Negcio
Objetivos Estratgicos
Definio dos objetivos
Criao (devising) de estratgias para atingir os objetivos

propostos
Desenho de planos de ao para implementar as estratgias
Benefcios
Adio de valor para os produtos e servios da empresa
Otimizao do uso dos recursos
Capacitao para uma gesto eficiente e eficaz
Exemplo:
Em um banco, um bom desempenho disponibilizar um conjunto de servios online.
Para este banco os servios de net banking no apenas a criao de um site, mas
sim a gerao de um novo modelo de negcio.
focuses on ensuring the linkage of business and IT plans; defining,
maintaining and validating the IT value proposition; and aligning IT
operations with enterprise operations
(Focada em garantir a vinculao dos planos de negcios e planos de TI; definindo, mantendo
e validando a proposio de valor de TI; e alinhando as operaes de TI com as operaes
empresariais )
Entrega de Valor - Value Delivery
A TI estabelece um modelo para medir o valor entregue para o negcio antes de
empreend-lo, assegurando a transparncia nos benefcios reais para o negcio.
A TI entrega valor para a organizao ao entregar os benefcios prometidos a um
custo razovel
is about executing the value proposition throughout the delivery cycle,
ensuring that IT delivers the promised benefits against the strategy,
concentrating on optimising costs and proving the intrinsic value of IT
( sobre a execuo da proposio de valor em todo o ciclo de entrega, garantindo que a TI
entregue os benefcios prometidos durante a estratgia, concentrando-se na otimizao dos
custos e provando o valor intrnseco de TI)
Entrega de Valor - Value Delivery
Exemplo
A rea de TI de uma empresa Financeira entrega valor ao reduzir o tempo de
processamento de uma transao de pagamento sem exceder seu oramento
e prazo. Para esta empresa, isto significa aumento da rentabilidade devido
ao melhor posicionamento competitivo, resultando em maior satisfao de
seus clientes.
Visto desta forma, fica mais fcil demonstrar o valor adicionado pelo TI; se
analisar somente do ponto de vista (tcnico) de aplicao ou banco de
dados, se torna difcil justificar os investimentos de TI.
Gerenciamento de Risco - Risk Management
Garantir que os riscos significativos de TI so entendidos e
gerenciados de forma correta, de modo:
Assegurar a proteo dos ativos de TI
Recuperao de informaes em caso de desastres
Manter a continuidade da operao dos servios de TI
Componentes do risco
Entendimento do grau (apetite) de risco ou o comportamento
da empresa em correr riscos.
Definio do impacto e probabilidade de um risco.
Aprovao de plano de ao para tratar o risco
Gerenciamento de Risco - Risk Management
Formas de tratamento
Mitigao - Risk Mitigation
Instalar controles que protejam a empresa contra riscos
Transferir - Risk Transfer
Dividir riscos com parceiros ou adquirindo seguros apropriados
Aceitao - Risk Acceptance
Conhecendo e monitorando os riscos e tendo um plano de respostas
desenvolvido
Evitar - Risk Avoidance
Adotando uma abordagem diferente para evitar completamente os riscos
Gerenciamento de Risco
Requires risk awareness by senior corporate officers, a clear
understanding of the enterprises appetite for risk, understanding of
compliance requirements, transparency about the significant risks to
the enterprise and embedding of risk management responsibilities into
the organisation
(Requer sensibilizao para os riscos por parte da diretoria senior da corporao, uma
compreenso clara do apetite por risco da empresa, entendimento do cumprimento
aos requisitos, transparncia sobre os riscos significativos para a empresa e
incorporao das responsabilidades de gesto de riscos dentro da organizao)
Gerenciamento de Recursos - Resource Management
O objetivo garantir que os recursos sejam capazes de entregar a estratgia de TI dentro de um
custo otimizado
Ao otimizar os custos, o desafio principal a identificao das habilidades, as tecnologias e a
infra-estrutura.
is about the optimal investment in, and the proper management of, critical IT
resources: applications, information, infrastructure and people. Key issues relate to
the optimisation of knowledge and infrastructure
( sobre a otimizao dos investimentos e de um adequado gerenciamento dos recursos crticos de TI:
aplicaes, informaes, infra-estrutura e pessoas. As questes chave relacionadas a otimizao do
conhecimento e da infra-estrutura)
Human resources are the major component of the IT resource cost base
(Os recursos humanos o principal componente do custo base dos recursos de TI)
Gerenciamento de Recursos - Resource Management
Um item chave para o desempenho da TI ter sucesso o
investimento otimizado, uso e alocao de recursos de TI para
atender as necessidades da organizao.
O gerenciamento de ativos complexa, porque ativos envolve
continuidade e freqentemente no so gerenciados como um
todo, conduzindo o no aproveitamento de software, questes de
licenciamento e excessivos custos de manuteno.
Considerar onde e como terceirizar os servios de forma que os
terceiros gerem o valor prometido a um preo aceitvel.
Gesto de Desempenho - Performance Measurement
Se voc no pode medir, voc no pode gerenciar
Peter Drucker
Tracks and monitors strategy implementation, project completion, resource usage,

process performance and service delivery, using, for example, balanced scorecards
that translate strategy into action to achieve goals measurable beyond
conventional accounting
(Rastrear e acompanhar a implementao da estratgia, concluso do projeto, utilizao dos
recursos, desempenho do processo e a entrega dos servios, utilizando, por exemplo,
Indicadores Balanceados de desempenho, para traduzir as estratgia em aes para atingir
objetivos mensurveis , alm da contabilidade convencional)
Para a gesto do desempenho dar certo, indicadores efetivos devem
ser definidos e aprovados pelas partes interessadas.
Estes indicadores (ou mtricas) podem ser acompanhadas por um
painel (scorecards) de desempenho.
A idia desdobrar mtricas de objetivos e metas para a TI
provenientes das metas organizacionais.
Componentes
Mensurao: O ato ou processo de mensurar, obtendo um resultado,
como um nmero expressando a extenso ou valor obtido atravs da
medio.
Medida: mltiplos ou fraes do padro que esto sendo considerados
p.ex: cinco centimetros
Indicador: dispositivo ou varivel ao qual pode ser atribudo um
estado pr-definido, com base nos resultados de um processo, ou na
ocorrncia de uma condio especfica
p.ex: "flag" ou semforo
Componentes
Mtrica: medida quantitativa do grau segundo o qual um sistema,
componente ou processo possui um dado atributo
Exemplo
Houve apenas dois erros descobertos pelo usurio nos primeiros 18
meses de operao.
Isto d mais informao significativa do que dizer que o sistema
entregue de excelente qualidade.
Fonte:BFPUG (www.bfpug.com.br)
Balanced Scorecard - BSC
Sigla que pode ser traduzida para Indicadores Balanceados de
Desempenho.
O termo Indicadores Balanceados se d ao fato da escolha dos
indicadores de uma organizao no se restringirem unicamente
no foco financeiro, as organizaes tambm se utilizam de
indicadores focados em ativos intangveis como: desempenho de
mercado junto a clientes, desempenhos dos processos internos e
pessoas, inovao e tecnologia.
Balanced Scorecard - BSC
uma metodologia disponvel e aceita no mercado desenvolvida
1992 por: Harvard Business School: Robert Kaplan e David
Norton.
Busca a maximizao dos resultados baseados em quatro
perspectivas que refletem a viso e estratgia empresarial:
Financeira;
Clientes;
Processos internos
Aprendizado e crescimento;

Balanced Scorecard BSC

Balanced Scorecard

Balanced Scorecard
Governana de TI X Gerenciamento de TI
Gerenciamento de TI objetiva o fornecimento efetivo de
servios/produtos e da gesto das operaes de TI no presente
(foco interno)
A Governana de TI mais abrangente, concentra-se no
desempenho e transformao da TI, para atender demandas
atuais e futuras do negcio da corporao (foco interno) e
negcio do cliente (foco externo).
O Gerenciamento de TI pode ser realizado por um fornecedor
externo j Governana de TI especfica da organizao
(direo e controle).
Simulado
Respondendo aos Desafios de TI
Governana de TI
1. Which of the following is a key benefit of IT

governance?
a)Improved business processes
b)Responsiveness of IT
c)Greater use of technology
d)Increased budget for IT projects
2. A credit card processing company in the US plans to

set up a transaction center in the Philippines. Which
one of the following would be a measure of resource
optimization?
A. Reducing costs while delivering better service
B. Planning for disaster recovery in the event of a
disaster
C. Providing faster and more reliable service
D. Employing cheaper labor
3. Match the scenario with the benefit of IT governance.

Scenario
1. Information is available to the board to make decisions and be
aware of IT activities.
2. IT resources are performing at optimum levels. IT focuses on
business drivers and critical processes.
3. Alerts exist to indicate when things go wrong. Such alerts reduce
the chances of failure because problems are detected early.
4. Information is available to the appropriate decision makers to
monitor IT activities by using accurate performance measures.
Benefits
A. More responsiveness to business needs
B. Confidence of top management
C. More transparency
D. More reliable services
4. PQR Inc. is the preferred vendor of software solutions

for many Fortune 500 companies, who insist on strict
confidentiality of business information. How do you
think COBIT can help PQR?
A. COBIT helps a vendor record the problems of each
client and analyze these problems.
B. COBIT will help make sure that the security of
business sensitive information is addressed.
C. COBIT will help make sure that staff communicates
with a common language.
D. COBIT will help PQRs customers to effectively
monitor its software solutions.
5. DIZ, a web design company has writers, designers,

programmers, and managers. The cross-functional teams find it
difficult to complete projects on schedule. The designers are
unable to understand the terms used by managers and vice
versa. How can COBIT help in this situation?
A. The COBIT framework helps cross-functional teams communicate
by using a common language.
B. In the COBIT framework, only managers need to focus on
business processes and the design team
concentrates on getting the job done on time.
C. COBIT defines a model for efficient cross-functional coordination.
D. COBIT helps them substantiate their opinions and provides
assurance on internal controls.
6. The best way for organizations to ensure adequate security for

their IT environment is by:
A. Investing in the latest access control software solutions and
focusing on protecting the network.
B. Increasing the awareness of the management and users of their
responsibilities and possible risks to their organization.
C. Physically protecting vulnerable computer equipment and storing
it in locked rooms.
D. Focusing on an expert group and employing skilled security
experts and advisors.
7. Which domain of IT governance links IT activities to business

strategy?
A. Strategic alignment
B. Value delivery
C. Risk management
D. Performance measurement
8. Which of the following is a key feature of resource optimization?

A. Making sure that the lowest cost workforce has been obtained
B. Utilizing equipment as much as possible
C. Choosing a number of key product suppliers
D. Ensuring that sufficient capability exists for business-critical
activities
9. Which of the following is the best way to manage what

constitutes good service?
A. Measure the maturity of service-related processes.
B. Assess controls in service delivery.
C. Create contractually defined service levels.
D. Perform audits of service contracts.
10. Which of the following is the most significant concern in the

management of IT?
1.
2.
3.
4.
Keeping IT running
Making technology work correctly
Keeping up to date with the latest solutions
Supporting developers with toolkits
11. What is an essential attribute of successful performance

management?
1.
2.
3.
4.
Frequently achieved targets

Setting achievable goals
Threatening sanctions if targets are not met
Metrics defined and approved by stakeholders
12. Which of the following is a common reason why IT projects

exceed budget expectations or deadlines?
1.
2.
3.
4.
Cost of IT specialist
Unavailability of the latest technology
Underestimation of the effort required
Lack of automation of development tools
13. Which of the following is a common problem encountered when

trying to align IT and the business?
1.
2.
3.
4.
Use of an external IT consultant for project management

Communication gaps between the business and IT
Inadequacy of problem management practices
Rushing to develop too quickly
14. Which of the following represents an organizational perspective

of a balanced scorecard?
1.Control
2.Learning
3.Management
4.Governance
15. Which of the following is a principle of IT governance?

1.
2.
3.
4.
Accountability
Reliability
Availability
Probability
16. Which of the following is an objective of risk management?

1.
2.
3.
4.
Increasing the budget for IT security

Transparency about significant risks to the enterprise
Awareness of the latest IT security tools
Undertaking a detailed risk analysis
17. Which of the following is a potential benefit of strategic

alignment?
1.
2.
3.
4.
Optimal use of resources

Use of the latest technology
Being first to market
Delivery on time and within budget
18. Which of the following is an important component of risk

management?
1.
2.
3.
4.
Taking no risks
Canceling any initiative that is risky
Understanding the appetite for risks
Using old, tried, and tested systems
19. Which of the following is a perspective of a balanced scorecard?

1.
2.
3.
4.
A
A
A
A
dashboard
metric
bonus scheme
customer
20. Which of the following is a key feature of resource optimization?

1.
2.
3.
4.
Hiring a low-cost workforce

Retaining hardware to minimize replacement costs
Buying only proven products
Optimizing costs
Introduo ao COBIT
Misso
Origem
CobiT e os Outros Padres
Princpios do COBIT
Componentes do COBIT
Recursos TI
Processos TI
Critrios da Informao
Critrios da Informao X Requerimento de Negcio
Relacionamento: Governana Corporativa X Governana TI
Atendimento do COBIT aos requerimentos de uma Estrutura de
Controle
Utilizado por um nmero variado de audincia
COBIT Misso
Pesquisar, desenvolver, publicar e promover um conjunto de
objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de
gerentes de negcio e auditores
To research, develop, publicise and promote an authoritative, upto-date, internationally accepted IT governance control framework
for adoption by enterprises and day-to-day use by business
managers, IT professionals and assurance professionals
COBIT - Origem
O COBIT foi desenvolvido a partir do Committee of Sponsoring
Organizations of the Treadway Commission-Internal Control - Integrated
Framework (COSO) e mais de 50 padres e prticas de mercado em TI
COBIT - Outros Padres

COBIT can be used along with other international best practices and standards such as ITIL and ISO/IEC 17799,
to integrate the deployment of the required standards
COBIT helps define what control should be implemented and acts as an umbrella and integrator to ensure
business-focused deployment and coordination
COBIT - Outros Padres

O COBIT est centralmente posicionado em um nvel generalista, ajudando a integrar
padres tcnicos com as prticas mais abrangentes de negcio. Ela valida o uso
apropriado de outros padres.
Princpios do COBIT
Premissa de que a TI deve gerar informaes que a empresa precisa
para atingir os seus objetivos, e assim gerar valor ao negcio
Requerimentos de
Negcio
Empresas dependem de dados e de

informaes confiveis e rpidas.
Critrio da Informao
Os componentes do CobiT fornecem
uma estrutura clara para determinar
a entrega de valor, ao mesmo tempo
em que gerencia risco e controle
sobre os dados e informaes;
Processos TI
Recursos TI
Componentes do COBIT Recursos TI - IT Resources

Para responder aos objetivos de negcio, a empresa necessita investir em recursos, afim de criar uma adequada capacidade tcnica para suportar uma capacidade de negcio para alacanar os objetivos
estratgicos
Aplicativos: so os sistemas automatizados para usurios e os procedimentos manuais que

processam as informaes.
Informaes: so os dados em todas as suas formas, a entrada, o processamento e a
sada fornecida pelo sistema de informao em qualquer formato a ser utilizado pelos
negcios.
Infraestrutura: refere-se tecnologia e aos recursos (ou seja, hardware, sistemas
operacionais, sistemas de gerenciamento de bases de dados, redes, multimdia e os
ambientes que abrigam e do suporte a eles) que possibilitam o processamento dos
aplicativos.
Pessoas: so os funcionrios requeridos para planejar, organizar, adquirir, implementar,
entregar, suportar, monitorar e avaliar os sistemas de informao e servios. Eles podem ser
internos, terceirizados ou contratados, conforme necessrio.
Componentes do COBIT Processos TI - IT Process

Estes processos agrupam as atividades de TI mais comuns em um
modelo de processo, facilitando a gesto dos recursos de TI em
atender s necessidades de negcio.
Os processos de TI esto definidos e classificados em 4 domnios e 34
processos de TI. Estes processos, por sua vez, so desdobrados e
definidos em atividades.
Atividade
Processo
Domnio
Atividade
Processo
Atividade
Critrios da Informao Information Criteria
Identificar o quanto e que tipo de controles so necessrios para suportar o uso
da informao e entender como os processos necessitam ser gerenciados, para
garantir que estas necessidades sejam alcanadas.
Exemplo:
Requerimento de segurana,
como a confidencialidade,
varia conforme o tipo da
informao e de como ela
processada.
Critrios da Informao Information Criteria
Critrios da Informao X Requerimento de Negcio
Information criteria helps the business and IT understand the business
requirements for information define the quality and fiduciary and security
information requirements
Relacionamento: Governana Corporativa X Governana TI
COSO - Foco
Controles internos na camada de
negcios
COBIT - Foco
Camada de aplicaes e infraestrutura de TI que suporta o
negcio
Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?

Foco no Negcio Focused on the business
O CobiT alcana o estreito foco no negcio ao alinhar TI com os objetivos de
negcio.
As medies de desempenho de TI devem focar na contribuio de TI para criar
valor ao negcio.
CobiT fornece indicadores voltados para a entrega de servios atuais e futuros, no
de competncia puramente tcnica, balanceados (BSC) com a estratgica
corporativa objetivando as perspectivas:
Valor para o negcio (Financeira)

Orientao para Usurios (Clientes)
Excelncia operacional (Processos internos)
Orientao futura (aprendizagem e crescimento)

Orientao a Processo - Focused on Process
Quando as empresas implementam COBIT, seus focos se tornam mais orientados a

processos.
Excees so claramente identificadas e tratadas dentro dos processos.
Processos definem metas e responsabilidades e permitem a empresa conhecimento

e manter o controle sobre os nveis de servios

Aceitabilidade Geral - Generally Acceptable
O COBIT um padro mundialmente comprovado e aceito.

Guia criado a partir das melhores prticas e administrado por auditores.
Tem uma natural aceitao dentro das corporaes, consultorias e empresas de
auditoria em todo mundo.
Pode ser aplicado por empresas de pequeno, mdio e grande porte.

Requerimentos Regulatrios - Regulatory Requirements
O framework CobiT utilizado por gestores, consultores e auditores em todo mundo

como guia de controles de TI a serem demonstrados para os rgos regulatrios.

Atualmente, com o funcionamento de times globais e multifuncionais, fora tarefas
so sempre lideradas por pessoas que no so cientes do tamanho da
implementao porque suas experincias vem de outra rea da empresa.
Coordenao dentro e entre os times de projeto e empresas que podem fazer um

papel decisivo para o sucesso de qualquer projeto.
COBIT ajuda a por todos os envolvidos na mesma pgina ao definir termos e

glossrios, implementando uma estrutura completa e organizada que acaba com
as discusses internas que gastam muito tempo dos projetos que envolvem
diversas reas.
Utilizado por um nmero variado de audincia

Responsvel
Governana de TI pode servir para os

seguintes objetivos
Comit Executivo
Definir direo de TI, monitorar resultados e

insistir nas aes corretivas
Gestor de Negcio
Definir requerimentos de negcio para a TI,

garantir que valor entregue e riscos sejam
gerenciados
Gestor de TI
Entregar e melhorar os servios de TI, conforme

solicitados pelo negcio e direcionados pelo
Comit Executivo
Auditor
Garantir que a TI entrega o que preciso
Gestor de Risco e Controle

Interno
Medir se polticas so cumpridas e focar na

identificao de novos riscos.
Simulado
Introduo ao COBIT
1. COBIT is a framework that focuses on:

a. How to do it rather than what needs to be achieved
b. What needs to be achieved rather than how to do it
c. What needs to be organized rather than what needs to be
achieved
d. What needs to be implemented rather than how to measure it
02. COBITs definition of fiduciary requirements differs from that of

COSO in that COBIT expands the scope to include:
a)Security
b)All information
c)Operations
d)Systems development
03. The COBIT framework treats information as the result of the

combined application of IT resources that are managed
by:
a)Information criteria
b)Control objectives
c)IT processes
d)Metrics
04. Which of the following is the best way to use COBIT?

1.
2.
3.
4.
To design procedures
As a mandatory standard
As a guide to improve business processes
To help prioritize which IT processes to improve
05. How does the COBIT framework help an organization implement

IT governance?
a)It contains ready-made work programs.
b)It provides policies and standards that can be mandated.
c)It provides good practice and guidance.
d)It has controls that can be implemented on an as-is basis.
06. Which of the following is a component of the COBIT framework?

1.
2.
3.
4.
Policies
Audit programs
Implementation guidance
IT resources
07. Which of the following is included as a component of the COBIT

mission?
A. Produce an ISO standard.
B. Certify companies and products.
C. Provide consulting and implementation services.
D. Develop internationally accepted control objectives.
08. Which of the following is a characteristic of a control

framework?
1.
2.
3.
4.
Strict rules
Penalty for noncompliance
Process orientation
Measurement system
09. What tool within COBIT helps the business and IT understand
the business requirements for information?
1.
2.
3.
4.
Information criteria
Key activity
Control objective
Maturity model
10. Which of the following is a fiduciary requirement within COBIT

information criteria?
1.
2.
3.
4.
Security
Integrity
Availability
Operational effectiveness
11. Which of the following is a COBIT security requirement?

1.
2.
3.
4.
Compliance
Availability
Reliability
Efficiency
12. Which of the following is a COBIT information criterion?

1.
2.
3.
4.
Fiduciary
Quality
Effectiveness
Security
13. Which of the following is a COBIT IT resource?

1.
2.
3.
4.
Database
Infrastructure
Operating system
Contractor
14. Which COBIT IT resource can be defined as the automated user

systems and manual procedures that process information?
1.
2.
3.
4.
Applications
Processes
Systems
Technology
15. Which of the following is a fiduciary requirement within the

COBIT Information Criteria?
1.
2.
3.
4.
Quality
Cost
Confidentiality
Compliance with laws and regulations
16. COBIT is intended for daily use by business managers and

auditors as an international ser of generally accepted
a)Business Control Objectives
b)Information Technology Audit Objectives
c)Information Technology Control Objectives
d)Information Technology Control Procedures
17. A primary advantage of adopting the COBIT Framework is that

it?
a)Focuses on security
b)Is compatible with other frameworks
c)Is based on accounting controls
d)Focused on operations
18. Utilizing the CobiT Framework will help an organization to:

a)Be more aware of technological developments and approaches
b)Develop systems quicker and at lower costs.
c)Better align IT with the business
d)Hire more qualified and better skilled IT staff
Estrutura do COBIT
Domnios do CobiT
Planejamento e Organizao Plan and Organise (PO)
Aquisio e Implementao Acquire and Implement (AI)
Entrega e Suporte Deliver and Support (DS)
Monitorao e Avaliao Monitor and Evaluate (ME)
Objetivos de Controle - Control Objectives (Processo)
Prticas de Controle - Control Practices
Requisitos de Controle Genrico - Generic Control Requirements
Controles da Aplicao Application Controls
Domnios do CobiT
COBIT define atividades de TI em trinta e quatro processos genricos agrupados
em quatro domnios.
Estes domnios mapeiam as reas de responsabilidades de TI:
Planejar
Construir
Suportar
Monitorar
Os processos so os objetivos de controle que prov um conjunto de alto nvel de

requerimento a ser considerado pelo gerenciamento.
Controle so definidos como polticas, procedimento, prticas e estrutura
organizacional designada a providenciar a garantia de que os objetivos de negcio
sero alcanados e que eventos indesejveis sero evitados ou detectados e
corrigidos.
Domnios do CobiT
A estrutura de controle do COBIT prove uma referncia em modelo operacional e linguagem
comum para toda a TI envolvida com o negcio, medindo e monitorando o desempenho e
efetivamente estabelecendo uma comunicao eficiente com os provedores de servios e
integrando as melhores prticas de gerenciamento, levando a responsabilidade e a
prestao de contas sobre os riscos e objetivos envolvidos.

Prov direo para entrega de solues (AI) e entrega de servios (DS)

Prov as solues e as transfere para tornarem-se servios

Recebe as solues e as torna passveis de uso pelos usurios finais

Monitora todos os processos para garantir que a direo definida seja seguida
Domnios do CobiT
O modelo CobiT formado pelos seguintes componentes principais, apresentados na

publicao principal e organizado por 34 processos de TI, mostrando uma viso geral de
como controlar, gerenciar e mensurar cada processo. Cada processo coberto por
quatro sees e cada uma delas apresentada em cerca de uma pgina, como segue:
A seo 1 contm uma descrio do processo que resume os objetivos do processo,
apresentada no formato de cascata. Esta pgina tambm demonstra o mapeamento dos
critrios de informao, recursos de TI e reas de foco de governana de TI. A letra P
indica um relacionamento primrio e a letra S indica um secundrio.
A seo 2 apresenta os objetivos de controle desse processo.
A seo 3 apresenta os processos de entrada e sada, tabela RACI, objetivos e mtricas.
A seo 4 apresenta o modelo de maturidade do processo.
Seo 1
Domnios do CobiT
Objetivos de Controle - Control Objectives (Processo)
A statement of the desired result or purpose to be achieved by
implementing control procedures in a particular activity
Uma declarao do resultado desejado ou objetivo a ser alcanado pela implementao de
procedimentos de controle em uma atividade em particular
Alto Nvel - High-Level
PO10 Gerenciar Projetos
Detalhado - Detailed
PO10.1 Estrutura de Gesto de Programas
PO10.2 Estrutura de Gesto de Projetos
PO10.3 Abordagem da Gesto de Projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declarao do Escopo do Projeto
PO10.6 Fase de Incio do Projeto
PO10.7 Plano Integrado de Projeto
PO10.8 Recursos do Projeto
PO10.9 Gesto de Risco do Projeto
PO10.10 Plano de Qualidade de Projeto
PO10.11 Controle de Mudana de Projeto
PO10.12 Planejamento de mtodos de validao
PO10.13 Medio de Desempenho, Monitoramento e Reporte do
Projeto
PO10.14 Concluso do Projeto
Domnios do CobiT
Identificar maneiras nas quais o TI pode contribuir para o alcance dos
objetivos de negcio.
Estratgia e Tticas
TI e a estratgia de negcio esto alinhados?
Viso Planejada
Todas as pessoas da organizao entendem os objetivos do TI?
Organizao e Infra-estrutura
Os riscos de TI esto identificados e gerenciados?
Domnios do CobiT
Planejar e Organizar
PO1 Definir um Plano Estratgico de TI

PO2 Definir a Arquitetura da Informao
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organizao e os
Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Domnios do CobiT PO10
Domnios do CobiT
As solues de TI precisam ser identificadas, desenvolvidas ou adquiridas
e implementadas e integradas com os processos de negcio. Este
domnio tambm cobre as mudanas dos sistemas (novos ou existentes)
para garantir que eles operem sem interrupes.
Solues de TI
Os novos projetos so entregues dentro dos prazos e oramentos?
Mudanas e Manutenes
As mudanas podem ser realizadas sem causar problemas nas
operaes de negcios atuais?
Domnios do CobiT
Adquirir e Implementar
AI 1 Identificar Solues Automatizadas

AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operao e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanas
AI7 Instalar e Homologar Solues e Mudanas
Domnios do CobiT AI04
Domnios do CobiT
Foca nas entregas dos servios requeridos, gerenciamento da segurana e
continuidade, suporte aos usurios e gerenciamento de dados e
operacional.
Entrega dos servios solicitados
Os servios de TI esto sendo entregues conforme sua prioridade de
negcio
Definindo os processos de suporte
Os usurios de TI so capazes de utilizar os sistemas de TI de forma
produtiva e com segurana?
Domnios do CobiT
Entregar e Suportar
DS1 Definir e Gerenciar Nveis de Servios

DS2 Gerenciar Servios Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Servios
DS5 Garantir a Segurana dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usurios
DS8 Gerenciar a Central de Servio e os Incidentes
DS9 Gerenciar a Configurao
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Fsico
DS13 Gerenciar as Operaes
Domnios do CobiT DS02
Domnios do CobiT
Regularmente avaliar os processos de TI quanto s questes de qualidade
e cumprimento com requerimentos de controle e enderear o processo
de controle da empresa.
Avaliaes regulares e garantia de entrega
O desempenho de TI pode ser avaliado e os problemas podem ser
detectados antes que seja tarde?
Viso gerencial do sistema de controle
Gerencia assegura que os controle internos so efetivos e eficientes?
Avaliao do desempenho
Os riscos, controle, cumprimento e desempenho so medidos e
reportados?
Domnios do CobiT
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho de TI

ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governana de TI
Domnios do CobiT ME01
Domnios do CobiT
Prticas de Controle - Control Practices
COBIT diz o que precisa ser feito para efetivamente controlar a TI, as
Prticas de Controle j fornecem o como e porque utilizar o
objetivo de controle detalhado.
A Prtica de Controle fornecido em um volume separado pelo ISACA e

geralmente utilizado para implementar o Objetivo de Controle
Detalhado.
used mostly to help with designing and implementing solutions to meet
control objectives
Alguns objetivos de controle existentes na estrutura

Requisitos de Controle Genrico
Cada processo do COBIT tem 6 requisitos de controle genrico que so comuns para todos
os processos, os quais so definidos na estrutura. Eles podem ser analisados em conjunto
com os objetivos de controle do processo de forma detalhada para que se possa ter uma
viso dos requisitos de controle.
Controles de Aplicaes
O COBIT assume que o projeto e implementao de controles de aplicaes automatizadas
devem ser de responsabilidade da TI, coberto no domnio de Aquisio e Implementao,
baseado nos requisitos de negcio definidos usando os critrios de informao do COBIT.
A TI entrega e suporta os servios das aplicaes, banco de dados de informao e infra
estruturas. Os processos de TI do COBIT cobre os controles gerais da TI mais no suporta
os controles de aplicaes.
Domnios do CobiT
COBIT fornece um modelo de

processos genrico que
representa todos os processos
encontrados normalmente em
funes da TI, fornecendo um
modelo de referncia comum.
Para conseguir a governana
eficaz, os controles necessitam
ser implementados pelos
gerentes operacionais dentro
de uma estrutura de controle
definida para todos os
processos de TI
Domnios do CobiT
Os processos necessitam de controles, pois os objetivos do controle da TI
fornecem um conjunto completo de exigncias de alto nvel a serem
considerados pelo gerenciamento para o controle eficaz de cada um
dos processo de TI
PC1
PC2
PC3
PC4
PC5
PC6
Process Goals and Objectives

Process Ownership
Process Repeatability
Roles and Responsibilities
Policy, Plans and Procedures
Process Performance Improvement
Requisitos de Controle Genrico

PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos especficos, mensurveis, acionveis, realsticos, orientados a
resultados e no tempo apropriado (SMARRT) para a efetiva execuo de cada processo de TI. Assegura
que eles esto ligados aos objetivos de negcios e que so suportados por mtricas apropriadas.
PC2 Propriedade dos Processos
Designa um proprietrio para cada processo de TI e claramente define os papis e responsabilidades de cada proprietrio de
processo. Inclui por exemplo, a responsabilidade pela elaborao do processo, interao com outros processos,
responsabilidade pelos resultados finais, medidas da performance do processo e a identificao de oportunidades de
melhorias.
PC3 Repetibilidade dos Processos
Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os
resultados esperados. Fornece uma sequncia lgica mas flexvel das atividades que levaro ao resultado desejado, sendo
gil o suficiente para lidar com excees e emergncias. Usa processos consistentes, quando possvel, e processos
personalizados apenas quando inevitvel.
PC4 Papis e Responsabilidades
Define as atividades-chaves e as entregas do processo. Designa e comunica papis e responsabilidades para uma efetiva e
eficiente execuo das atividades-chaves e sua documentao bem como a responsabilizao pelo processo e suas entregas.
PC5 Polticas Planos e Procedimentos
Define e comunica como todas as polticas, planos e procedimentos que direcionam os processos de TI so documentados,
revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para
cada uma dessas atividades e em momentos apropriados verifica se elas so executadas corretamente. Assegura que as
polticas, planos e procedimentos sejam acessveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance
Identifica um conjunto de mtricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece
metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos
processos. Definem como os dados so obtidos. Compara as medies reais com as metas e toma medidas quanto aos
desvios quando necessrio. Alinha mtricas, metas e mtodos com o enfoque de monitoramento de performance geral de TI.
Domnios do CobiT
Controles da aplicao uma responsabilidade comum entre o negcio e a TI,
mas a responsabilidades muda:
O negcio responsvel para adequar
Definio funcional e os requisitos de controle.
Usar os servios automatizados.
TI responsvel por
Automatizar e implementar as funes do negcio e os requisitos de controle.
Estabelecer controles para manter a integridade do controles das aplicaes.
Domnios do CobiT
Os processos de TI do COBIT cobrem os controles totais de TI, mas
somente os aspectos de desenvolvimento dos controles da aplicao; a
responsabilidade pela definio e o uso operacional so do negcio
AC1
AC2
AC3
AC4
AC5
AC6
Source Data Preparation and Authorisation

Source Data Collection and Entry
Accuracy, Completeness and Authenticity Checks
Processing Integrity and Validity
Output Review, Reconciliation and Error Handling
Transaction Authentication and Integrity
Controles de Aplicativos
AC1 Preparao e Autorizao de Dados Originais
Assegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os
procedimentos estabelecidos, levando em considerao uma adequada segregao de funes
relacionadas com a criao e aprovao desses documentos. Erros e omisses podem ser minimizados
atravs de bom desenho de formulrio para entrada da informao, permitindo que erros e irregularidades detectados
sejam reportados e corrigidos.
AC2 Entrada e Coleta de Dados Fontes
Estabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A
correo e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nvel de
autorizao da transao original. Quando apropriado para a reconstruo, os documentos originais devem ser guardados
por um perodo adequado.
AC3 Testes de Veracidade, Totalidade e Autenticidade
Assegura que as transaes sejam exatas, completas e vlidas. Valida os dados que foram inseridos e editados ou
enviados de volta para correo o mais prximo possvel do ponto onde foram originados.
AC4 Processamento ntegro e Vlido
Mantm a integridade e validade dos dados no ciclo de processamento. A deteco de transaes errneas no
interrompe o processamento de transaes vlidas.
AC5 Reviso das Sadas, Reconciliao e Manuseio de Erros
Estabelece procedimentos e responsabilidades associadas para assegurar que as sadas sejam manuseadas de uma
forma autorizada, entregues para os destinatrios corretos e protegidas durante a transmisso. Garante que ocorre a
verificao, deteco e correo da exatido das sadas e que a informao provida pela sada usada.
AC6 Autenticao e Integridade das Transaes
Antes de transportar os dados das transaes entre os aplicativos e as funes de negcios/operacionais (internas ou
externas organizao), verifica endereamento adequado, autenticidade da origem e integridade do contedo. Mantm a
autenticidade e integridade durante a transmisso ou transporte.
Simulado
Estrutura do COBIT
01. Resource needs and roles and responsibilities, as well as

escalation and decision-making authorities, are identified?
a)Key Activity
b)Control Practice
c)Control Objective
d)KGI
02. What is a control objective?

a) A metric to be achieved by implementing control procedures in a
particular activity
b) A level of maturity to be achieved by implementing control
procedures in a particular activity
c) A statement of the desired result or purpose to be achieved by
implementing control procedures in a particular activity
d) A critical success factor to be achieved by implementing control
procedures in a particular activity
03. Which CobiT domain focuses on areas such as operations,

security and continuity?
a)
b)
c)
d)
Monitor and Evaluate

Plan and Organize
Acquire and Implement
Deliver and Support
04. The relationship owners must liaise on customer and supplier

issues and ensure the quality of the relationship based on trust
and transparency is an example of a:
a)
b)
c)
d)
Key Activity
Control Practice
KGI
Control Objective
05. Which domain of IT Governance delivers benefits at reasonable

cost?
a)
b)
c)
d)
Resource management
Risk management
Value delivery
Performance measurement
06. The CobiT defined IT process of Data Management is found in

which Domain?
a)
b)
c)
d)
Monitoring
Planning and Organization
Acquisition and Implementation
Delivery and Support
07. Controls Practice provide guidance:

a)
b)
c)
d)
the hierarchy of control responsibilities

how to use detail controls objectives
why controls are needed and how to implement them
the importance control activities and tasks
08. What is the high-level objective concerned to management of

all IT projects?
a)
b)
c)
d)
PO1 Define a Strategic IT Plan

PO4 Define the IT Processes, Organization and Relationships
PO5 Manage the IT Investment
PO10 Manage Projects
09. Which of the following IT Processes include a detailed control

objective for post implementation reviews?
a)
b)
c)
d)
AI6 Manage Changes

PO10 Manage Projects
ME1 Monitor and Evaluate IT Performance
DS2 Manage Third-party Services
10. Which of the following IT Process help to assure that service

providers are meeting business requirements?
a)
b)
c)
d)
DS1 Define and Manage Service Levels

DS3 Manage Performance and Capacity
DS2 Manage Third-party Services
AI4 Enable Operation and Use
Gerenciamento - Management Guidelines

Garantia - IT Assurance Guide
Diretrizes de Gerenciamento - Management Guidelines

Conceito Controle
Metas
Outcome Measure
Performance Indicators
Goals and Metrics
Input and Output
RACI Chart
Maturity Model
Guia Garantia TI - IT Assurance Guide
O que
Fases
Estgios
Diretrizes de Gerenciamento - Management Guidelines

Ajuda a atribuir responsabilidade, medir desempenho, realizar benchmark e
enderear falhas de capacidade.
Estamos atingindo as nossas metas?
Como medimos os resultados?
Como controlamos os processos?
Como determinamos se estamos fazendo as coisas certas?
Ferramentas
Indicadores Chaves de Meta (KGIs)

Indicadores Chaves de Desempenho (KPIs)
Entradas e sadas do processo
Grfico RACI
Metas e Mtricas: IT, Processo e Atividades
Modelos de Maturidade
COBIT toolset will help the business and IT understand how to measure results
Guidance and metrics for measuring the results of IT processes
"As ferramentas do COBIT iro ajudar o negcio e TI compreender como medir os
resultados"
Diretrizes e mtricas para medir os resultados dos processos de TI"
Diretrizes de Gerenciamento
Conceito Controle
Objetivos Estratgicos
O que deve ser alcanado e o que crtico para o sucesso da organizao

SMART: Especficos, Mensurveis, Atingveis, Relevantes, Temporais
Indicadores (Desempenho e Resultado)
Como ser medido e acompanhado o sucesso do alcance do objetivo

Mensurao
O ato ou processo de determinar ou avaliar a grandeza, extenso ou

quantidade de alguma coisa.
Metas
Nvel de desempenho ou a taxa de melhoria necessria
Conceito Controle
Medida
Avaliar, comparando com um padro ou unidade de mensurao: extenso,

dimenso, capacidade, etc. de alguma coisa; o resultado de uma
mensurao.
Mtrica
Uma medida quantitativa do grau segundo o qual um sistema, componente

ou processo possui um dado atributo.
Houve apenas trs erros descobertos pelo usurio nos primeiros 12 meses
de operao. Isto d mais informao do que dizer que o sistema
entregue de excelente qualidade.
Os objetivos so definidos de cima para baixo de maneira que os objetivos de negcios

determinaro vrios objetivos de TI que iro suport-los.
As mtricas utilizadas para medir o alcance de um objetivo da atividade so os indicadores

de performance do processo
Outcome Measure - Key Goal Indicators (KGIs)

So mtricas predefinidas que indicam se um processo de TI alcana o seu
propsito, ou seja, se produziram o resultado (outcome) esperado
(satisfez um requerimento de negcio).
Eles so geralmente expressos em termos de um critrio de informao

(disponibilidade de uma informao, ausncia de integridade ou
confidencialidade, processos de custo efetivo, confirmao de
confiabilidade, efetividade ou cumprimento).
Indicate whether the goals have been met. These can be measured only
after the fact and, therefore, are called lag indicators
Performance Indicators - Key Performance Indicators (KPIs)

Influenciam positivamente o resultado/sada (outcome) de um
processo.
Utilizados para medir o progresso em direo aos objetivos.
Medem os objetivos das atividades, que so as aes que o dono do
processo deve tomar para alcanar o desempenho efetivo do
processo.
Geralmente so indicadores curtos, focados e mensurveis.
They can be measured before the outcome is clear and, therefore,
are called lead indicators
Metas e Mtricas - Goals and Metrics

Metas de TI direcionam diferentes metas de processos e cada uma desta
estabelecer metas de atividades
Metrics allow appropriate levels of management to correct performance issues as they occur
and to stay aligned with potentially changing goal priorities
(As Mtricas permitem nveis adequados de gesto para corrigir problemas de performance
quando estes surgem e para manter-se alinhado com mudanas potenciais das prioridades
de objetivos)
Entradas e Sadas de Processos - Input and Output
Provide the flow between processes the input and output to

clarify interdependencies and responsibilities
(Fornecer o fluxo entre os processos - a entrada e sada estabelecendo

interdependncias e responsabilidades )
Tabelas RACI - RACI Chart

Apresenta as principais atividades do processo e o tipo de participao de cada stakeholder
(partes interessadas).
Very helpful for defining the roles and responsibilities of business and IT that are often unclear
for IT-related activities
(Muito til para definir os papis e as responsabilidades de negcios e de TI, que muitas vezes
so pouco claras para as atividades relacionadas com TI)
Modelo de Maturidade - Maturity Model

Utilizados para medir o desempenho ou a capacidade dos processos de forma que a empresa
possa fazer uma sistemtica tentativa de melhoria.
for management and control over IT processes is based on a method for evaluating the
organization so that it can evaluate itself from a level of nonexistent (0) to optimized (5)
(para a gesto e controle dos processos de TI baseada em um mtodo para avaliar a
organizao, para que possa avaliar-se de um nvel de inexistente (0) a otimizada (5))
Modelo de Maturidade Genrico
Modelo de Maturidade - Maturity Model

Auxilia na identificao:
Performance atual da empresa (Where the enterprise is today)

Status atual da industria (Comparison)
Objetivos de melhoria (Where the enterprise wants to be)
Caminho para crescimento (as-is and to-be)
Guia de como o COBIT pode conduzir a garantia sobre as atividades da TI
Planejamento
Escopo
Avaliao de Risco
Reviso sobre os processos de TI
Baseado em roadmap detalhado para garantir a execuo e de guiar testes

detalhados para todos os Objetivos de Controles do COBIT
ROADMAP ASSURANCE GUIDELINE

Planos de Validao
de TI
Planejamento
Estabelece o Universo de validao de TI para designar o que

ser validado, o inicio de toda iniciativa de validao
Escopo detalhado
e objetivos
Escopo
Concluses sobre a
validao
Execuo
Guia os profissionais apresentando os principais testes a

serem executados durante uma auditoria/validao

Possui trs fazes:
Planejamento - Planning
Avaliao de alto nvel sobre os objetivos (conformidade)
Artefato: Plano Garantia de TI IT Assurance Plan
Escopo - Scoping
Pode utilizar benchmarking (ITGI), objetivando diretivas para metas:
Negcio
TI
Processos
Artefato: Escopo e Objetivos para diferentes iniciativas de garantia da TI
Execuo - Execution
Cobre a execuo da Garantia
Artefato: Iniciativa da Garantia de TI
1
Refinar o
entendimento
1.
2.
3.
4.
5.
6.
Redefinir o
escopo
4
Testar o Desenho
do controle
5
Testar os
resultados
6
Documentar o
impacto
Comunicar as
recomendaes
Refinar o entendimento do que ser validado na TI
Identificar/confirmar os processos de TI crticos
Auto avaliao da maturidade dos processos

Redefinir o escopo dos objetivos de controle chave para questes que sero validadas na TI
Atualizar a seleo de objetivos de controle
Personalizar os objetivos de controle
Construir um programa de auditoria detalhado

Testar a efetividade do desenho do controle dos objetivos de controle chave
Testar e avaliar os controles
Atualizar/avaliar maturidade dos processos

Testar o resultado dos objetivos de controle chave
Controles de auto avaliao
Testar e avaliar os controles

Documentar o impacto das fraquezas do controle
Diagnstico operacional e/ou riscos de projetos residuais

Desenvolver e comunicar as recomendaes em geral
Reportar concluses da avaliao

A execuo do roadmap possui seis estgios:
Primeiro estgio
Elabora um prvio planejamento e escopo de trabalho, afim de garantir que o
ambiente a ser testado esta entendido e acordado conforme os respectivos
objetivos.
Segundo estgio
Formaliza o escopo e objetivos para definir o exato ambiente a ser testado e os
controles contra os quais ocorrero os testes.
Onde melhor focar
Quais objetivos sero confrontados
Terceiro estgio
Primeiro estgio de testes sobre o Desenho de Controles - Control Design
Avaliao da implementao, operao e efetividade

Quarto estgio
Testes sobre os controles aplicados as sadas dos processos, analisando se os
dados processados esto adequados.
Quinto estgio
Testa os impactos de qualquer fraqueza encontrada:
Ausncia de controles
Controles pobremente implementados
Erros detectados
Avalia as consequncias dos problemas de controle no negcio:
Esclarecendo: Riscos e Vulnerabilidades
Apresentando efeitos de qualquer falha de conformidades
Apresentando custos de falhas de controles
Apresentando benefcios de melhorias nos controles

Sexto estgio
Documentao e apresentao dos resultados da reviso da garantia,
focando os itens significativos baseados em:
Ferramentas do COBIT
Benchmarking
Modelos Maturidade
Assurance professionals
Consultores que utilizam o Roadmap
Simulado
Gerenciamento - Management Guidelines
Garantia - IT Assurance Guide
1. COBIT maturity models enable a process owner to benchmark

the:
a) Relative maturity of the current process and set targets for
improvement.
b) Controls of the current process and set targets for control
practices.
c) Metrics of the current process and set targets for goal
indicators.
d) Responsibilities of the current process and set targets for
accountability.
2. The percentage of projects completed on time and within budget

is a COBIT performance indicator.
a) False
b) True
3. Performance Indicators are:

a)
b)
c)
d)
Critical success factors

Lead indicators
Key activities
Control practices
4. Outcome Measures are often referred to as lag indicators

because they are measured only:
a)
b)
c)
d)
One goal at a time

As groups of goals
On a continuous basis
After the fact
5. Which part of the COBIT toolset will help the business and IT
understand how to measure results?
a)
b)
c)
d)
Management guidelines
Framework
Control objectives
IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
6. What do outcome measures indicate?

a)
b)
c)
d)
Maturity levels
Process performance
Degree of control
The achievement of an objective
7. Performance Indicators are factors that:

a)
b)
c)
d)
Identify key controls.

Identify key processes.
Positively influence the process outcome.
Focus on control practices.
8. Which of the following is a phase in the COBIT assurance guide

roadmap?
a)
b)
c)
d)
Evaluation
Maturity modeling
Testing
Planning
9. Which of the following is a Key Performance Indicators?

a)
b)
c)
d)
%
%
%
%
of
of
of
of
projects delivered on time and on budget

projects meet stakeholder expectations
stakeholders participating in projects (involvement index)
projects in annual IT plan subject to feasibility study
10. Which of the following is a phase in the COBIT assurance guide?

a)
b)
c)
d)
Evaluation
Maturity modeling
Testing
Scoping
Resources and Implementation
Recursos e Implementaes - Resources and Implementation

COBIT baseado nas melhores prticas e padres para enderear uma
efetiva governana de TI.
Funciona como um guarda-chuva identificando as necessidades de
negcio e, ento, justificando os objetivos que necessitam ser alcanados e
relacionado-os com outras prticas e padres afim de alinh-los de acordo
com as necessidades da organizao.
COBIT is the bridge between business and enterprise governance
requirements and specific IT governance practices
(COBIT a ponte entre os requisitos de negcio e da governana
corporativa e as prticas de governana de TI especficas)
COBIT Online
Servio web, disponvel para qualquer pessoa, acessvel e fcil de ser
utilizado, possui diversas funes/informaes tais como:
Objetivos de Controle
Prticas de Controle
Metas e Mtricas
Tabela RACI
Diretivas de Auditoria
Modelo de Maturidade para todos os processos do COBIT
New Filter/MyCOBIT
Usurios podem construir, atravs de pesquisas sobre os
componentes do COBIT, uma verso personalizada e fazer
download por conta prpria para o uso no PC no formato
Microsoft Word ou Microsoft Access.
COBIT Online
Servio web, disponvel para qualquer pessoa, acessvel e fcil de
ser utilizado, possui diversas funes/informaes tais como:
PDF
Downloads
Fornece publicaes do ITGI
COBIT Executive Summary
COBIT Framework
COBIT Control Objectives
COBIT Management Guidelines
COBIT Assurance Guide
COBIT Implementation Toolset
COBIT Summary
(34 Processos X Critrio da Informao X Recursos de TI)
COBIT Online - Tipos de assinaturas
COBIT Online
Benchmarking
Nveis de Maturidade dos Processos

Importncia dos Processos
Importncia dos Objetivos de Controle
Importncia das metas de TI e das
metas de Processo
COBIT QuickStart
Verso sumarizada dos recursos do COBIT, segue a regra de Pareto (80/20)

20% de todo o material cobre cerca de 80% do que deveria ser
controlado.
timo para rpido entendimento.
Adequado para pequenas e mdias empresas e til como ponto de partida
para grandes empresas
Guia de Implementao de Governana de TI

IT Governance Implementation
Mapa de implementao (Approach), possui um roadmap para implementar
Governana de TI utilizando os recursos do COBIT (Roadmap)
Guia composto de templates, apresentaes e artigos que detalham os
benefcios de se implementar governana de TI (Toolsets)
O Guia tambm fornece exemplos de Balance Scorecards de TI, uma
planilha de diagnstico de conscientizao dos gestores e uma abordagem
de anlise de riscos, alm de conceitos de Modelo de Maturidade do COBIT.
CobiT Security Baseline

Livro para o publico em geral
Objetivo tornar o tema segurana mais compreensvel
Baseado na estrutura de controle do COBIT.
Meio para entender requerimentos de segurana da estratgia a operao.
Prov:
Uma coletnea de leitura de conceitos de segurana
Uma base de controles baseado no COBIT e ISO17799
Kits de segurana da informao para diferentes pblicos (usurio
domestico, gerentes, executivos, diretores de comits, profissionais
de segurana).
Val IT
Focado nos aspectos do valor entregue da Governana de TI
baseado no COBIT, totalmente orientado a efetividade do uso da TI
(Investimento)
Ajuda o Negcio e ao Gerenciamento de TI a reconhecer o escopo
completo dos investimentos relacionados e prove uma estrutura de
controle para gerenciar esses em todo o ciclo de vida e na criao
dos reais benefcios ao negcio.
Questes Estratgicas; os investimentos esto:
Alinhados com a nossa viso?
Providencia valor otimizado: custo e risco em nveis aceitveis?
Val IT
Questes de Valor; ns temos:
Claro e compartilhado entendimento dos benefcios esperados?
Mtricas relevantes?
Questes sobre entrega; temos um efetivo e disciplinado processo de
entrega e de gerencia de mudana
Capacidades requeridas?
Para as mudanas requeridas pelo negcio alavancar suas
capacidades?
Questes de arquitetura; os investimentos
Esto alinhados com os princpios da nossa arquitetura?
Esto alinhados com outras iniciativas?
O VAL IT baseado nos 4 estamos(ares) conforme a ilustrao abaixo:
Questes de
estratgia
Questes de valor
Estamos
fazendo as
coisas certas ?
Estamos
obtendo os
benefcios ?
Questes de
arquitetura
Questes de entrega
Estamos
fazendo da
forma certa ?
Estamos
fazendo de um
jeito bem feito ?
Questes de estratgia. O investimento est:
Alinhado com a nossa viso?

Consistente com os princpios dos nossos negcios?
Contribuindo para os objetivos estratgicos?
Fornecendo valor a um custo razovel e a um nvel de risco aceitvel?
Questes de arquitetura. O investimento est?
Alinhado com a nossa arquitetura?

Consistente com os princpios da nossa arquitetura?
Contribuindo para populao da nossa arquitetura?
Alinhado com outras iniciativas?
Questes de entrega. Ns temos?
Processos efetivos e disciplinados para o gerenciamento de entrega e mudanas?

Recursos tcnicos e de negcio competentes e disponveis para entregar:
Capacidades necessrias?
Mudanas organizacionais necessrias para potencializar as capacidades?
Questes de valor. N temos:
Um claro entendimento dos benefcios esperados?

Clara prestao de contas para realizar os benefcios?
Mtricas relevantes?
Um processo efetivo para a realizao de benefcios?
Val IT
Val IT um guarda-chuva com vrias publicaes, produtos e atividades que
tratam da gesto dos investimentos da TI; publicaes:
Enterprise Value: Governance of IT Investments - The Val IT Framework
Estrutura que explica como uma organizao pode obter valor otimizado dos
investimentos em TI e baseia-se no mtodo COBIT. Est organizado em:
Trs domnios
Governana de Valor
Gerenciamento de Portflio
Gerenciamento de Investimento
Principais Prticas do Gerenciamento de TI (IT Key management practices;
prticas de gerenciamento essenciais que influenciam positivamente o
alcance dos resultados ou propsitos esperados de uma atividade especfica.
Suportam os processos de Val IT e tem quase o mesmo papel dos objetivos
de controle do CobiT.
Val IT
Val IT um guarda-chuva com vrias publicaes, produtos e atividades que
tratam da gesto dos investimentos da TI; publicaes:
Enterprise Value: Governance of IT Investments The Business Case:
Foca nos elementos chave do processo de gerenciamento de
Enterprise Value: Governance of IT Investments The ING Case Study:

Descreve como uma companhia global de servios financeiros gerencia o
portflio de investimentos em TI no contexto do mtodo Val IT.
Simulado
Resources and Implementation
1. How can COBIT be used along with other international best

practices and standards such as ITIL and ISO/IEC 17799?
a)
b)
c)
d)
To integrate the deployment of the required standards

As an implementation method
To validate the appropriateness of the other standard
As another view of the same area to support an approach
2. Which framework is increasingly accepted as the standard

response for generally assessing IT controls?
a)
b)
c)
d)
ITIL
COBIT
ISO/IEC 17799
CMM
3. The COSO framework is a framework to help organizations

establish and determine?
a)
b)
c)
d)
Accounting standards
Auditing standards
Investment decisions
The effectiveness of their internal controls
4. Which COBIT resource provides benchmarking capabilities?

a) COBIT Quickstart
b) COBIT Security Baseline
c) IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
d) COBIT Online
5. Which of the following aspects of COBIT can be benchmarked in

COBIT Online?
a)
b)
c)
d)
Importance
Importance
Importance
Importance
of
of
of
of
IT resources
information criteria
goals
domains
6. COBIT Quickstart is most useful for:

a)
b)
c)
d)
Senior management
Small and medium-sized enterprises (SMEs)
Auditors
Control specialists
7. Which of the following aspects of COBIT can be benchmarked in

COBIT Online?
a)
b)
c)
d)
Importance
Importance
Importance
Importance
of
of
of
of
IT resources
information criteria
goals
domains
8. Which part of COBIT has resources to help assess the capability

of IT Process?
a)
b)
c)
d)
Control Practices
IT Governance Implementation Guide
Control Objectives
IT Assurance Guide
9. ISO 17799 provides the detailed how to do it for:

a)
b)
c)
d)
Service Quality
Service Delivery
Project Management
Information Security Management
10. Which CobiT product provides an interactive knowledge base:

a)
b)
c)
d)

CobiT Quickstart assessment tool
CobiT Online
CobiT Security Baseline Survival Kits
11. A primary objective of CobiT Quickstart is to:

a)
b)
c)
d)
Gain benefits quickly

Perform a quick maturity assessment
Perform audits quickly
Focus on technical areas
12. CobiT Security Baseline is a(n):

a)
b)
c)
d)
Specialists guide to security

Implementation road map for security professionals
Security audit program for auditors
Non technical security guide and reference to security-related
objectives
13. Which CobiT product provides the most up-to-date CobiT

information?
a)
b)
c)
d)
CobiT Framework
CobiT Online
CobiT Control Objectives
14. Which of the following can be benchmarked in Cobit Online?

a)
b)
c)
d)
Significance of Information Criteria

Use of Control Practices
Relevance of IT Resource
Importance of a Control Objectives
15. The use of CobiT Quickstart is most valuable to?

a) Control specialists requiring an easy-to-apply checklist
b) Boards of directors wanting to get a quick overview of CobiT
c) Organizations wanting to focus initially on the important
elements of CobiT
d) Audit managers needing to quickly devise an IT audit approach
16. Through which of the following CobiT Online facilities does

ISACA raise its awareness of CobiT users experiences and
issues?
a)
b)
c)
d)
Surveys
Benchmarking
Help
Feedback
17. Which of the following phrases best describe Value Delivery?

a)
b)
c)
d)
Delivering on promised benefits at a reasonable cost

Using systems out of the box to save costs
Delivering under budget
Promising the lowest price
18. The CobiT Online Benchmarking facility can be used by:

a) Inputing user scores on a range of CobiT components
b) Downloading selected CobiT content and doing maturity
assessments
c) Produce an ISO standard
d) Certify companies and products
19. Which COBIT product provides a select and summarized version

of COBIT?
a)
b)
c)
d)
Control Objectives
Management Guidelines
Cobit Quickstart
Business Case
Voc foi contratado como especialista em Governana de TI para a empresa Traking Ltd. O presidente Sr.
Arimatia lhe da s Boas Vindas e logo apresenta os seus objetivos:
1.
Quero que voc deixe transparente a operao de TI, ou seja: que as pessoas tenham claramente
seus papeis, suas responsabilidades, quais objetivos eles devem gerar e a importncia destes
objetivos para as minhas vendas, alm de eliminar qualquer dependncia da empresa com estes
recursos, mas preservando a importncia de cada um para o meu negcio!
2.
Como posso a partir do meu plano estratgico de 2009, fazer com que todos da TI o entendam, se
esforcem para buscar os mesmos resultados e que eu consiga saber que eles esto cumprindo com
as suas obrigaes?
3.
Todo ano invisto consideravelmente nos projetos do depto de TI, mas eles no conseguem atingir o
ROI esperado. Como posso saber a capacidade desta administrao para ter uma referncia de
melhoria e assim traar um plano para que eles consigam cumprir o retorno que espero?
4.
Ouvi dizer que existe uma estrutura que me da poder de administrar o depto de TI, no sei qual o
nome dela e nem como ela pode me ajudar sem que eu domine os seus conceitos e jarges, voc
pode me ajudar?
5.
Hoje temos muitos fornecedores atuando em conjunto com a TI, isto me deixa inseguro, pois
acredito que eles tem grandes responsabilidades que devem estar sob o nosso radar, como
poderemos gerenci-los de modo a me tranqilizar?
Business Case
1.
2.
3.
4.
5.
Atravs de uma estrutura orientada a processos, deixando claro as

atividades, responsabilidades, regras, recursos, entradas e objetivos a
serem atingidos (sadas).
Atravs do uso de uma metodologia que permita fazer o desdobramento
da estratgia nos diversos nveis da organizao, estabelecendo-se as
diretrizes, metas, indicadores e prestao de contas para todos os
envolvidos. O BSC uma ferramenta amplamente utilizada para esse
objetivo.
Explorar o PO10 Gerenciar Projetos , entradas e sadas, atividades,
Metas e Mtricas.
O COBIT a estrutura que pode colaborar. Com foco no Negcio,
Orientada a Processos, Amplamente Aceito, Linguagem Comum,
Requerimentos Regulatrios.
Aplicando-se os objetivos de controle do Processo DS2 Gerenciar
Servios de Terceiros, entradas e sadas, atividades, Metas e Mtricas.
Muito Obrigado!

Trainning - Cobit Foundation v41 (Instrutor)

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Trainning - Cobit Foundation v41 (Instrutor)

Hochgeladen von

Copyright:

Verfügbare Formate

CEO

Instrutor: Alcides Casarin Junior

Formao: COBIT 4.1 Foundations

Formao: COBIT 4.1 Foundations

O objetivo deste curso preparar o aluno para a

Motivao ITGI e ISACA

ISACA - Information Systems Audit and Control Association

Control Objectives for Information and related Technology

Onde fazer a prova:

40 questes multipla escolha

Certificado Cobit Foundation pr-requisto para os cursos

Continuous Professional Education (CPE)

Estratgia para estudo

Roteiro para aplicao da prova

Resposta aos Desafios de TI

Manter a TI funcionando - Keeping IT running

Processos crticos de negcio, como emisso de notas fiscais, podem ser

Requerimentos definidos de forma superficial

Muitas empresas no apuram custos associados com ativos e servios de TI.

Gerenciamento das Complexidades - Managing Complexity

Manuteno das competncias tcnicas

Alinhamento de TI aos Negcios - Aligning IT with Business

Requerimentos de negcio definidos de forma superficial.

Cumprimento das Regulamentaes - Regulatory Compliance

A rea de TI precisa entender as leis e requerimentos

O uso de rede de comunicao, expe os sistemas internos para o mundo.

Para efetivamente resolver os problemas de TI necessrio ligar os

Foco no Negcio Focused on the business

The objective is to facilitate IT governance: to deliver IT value while managing

an organization should involve IT in business-level decision making so that IT

Orientao a Processo - Focused on Process

Aceitabilidade Geral - Generally Acceptable

Be generally acceptable by being consistent with accepted IT good practices and

Linguagem Comum - Common Language

Linguagem Comum - Common Language

Those who develop capabilities (Aqueles que desenvolvem capacidades)

Those with security, privacy and/or risk responsibilities

(Aqueles com responsabilidades na segurana,

privacidade e/ou riscos.)

Those performing compliance functions (Aqueles que executam funes de conformidade)

Requerimentos Regulatrios - Regulatory Requirements

Committee of Sponsoring Organisations of

Fonte: Board Briefing On It Governance, 2Nd Ed

Control Objectives for Information and related Technology

uma estrutura de controles, construda a partir de padres e prticas

Como um modelo de controle, o COBIT deve ser adaptado para

Sistema pelo qual as sociedades so dirigidas e monitoradas,

Direitos dos acionistas

Aumento do valor da companhia

Fonte: www.cvm.gov.br e COBIT - Board Briefing on IT Governance, 2nd Ed

Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

Organizaes tem utilizado metodologias ou prticas consolidadas no

Incorporada a Governana Corporativa

Fornea liderana, estruturas organizacionais e processos

Governana de TI de responsabilidade da Diretoria e Gerncia Executiva

A Tecnologia e a Informao so os fatores de sucesso para muitas empresas,

de responsabilidade dos executivos e do comit administrativo,

Governana foca em balancear os objetivos de desempenho

Em um banco, um bom desempenho disponibilizar um conjunto de

IT resources are performing at optimum levels. IT focuses on business

As Partes Interessadas da Governana de TI

As Partes Interessadas da Governana de TI

As Partes Interessadas da Governana de TI

reas de Foco na Governana de TI