Apostila COBIT - Fundamentos de Governança em TI (Mai06)

Mdulo 1
Introduo a Governana de TI
Curso Online
Todos os direitos de cpia reservados. No permitida a distribuio fsica ou eletrnica deste material sem a permisso expressa do autor.
www.tiexames.com.br
Bem vindo ao Curso de COBIT

Este curso foi desenvolvido a partir do COBIT 4.0, fornecido pelo ISACA. O propsito deste curso ajudar voc a entender os conceitos de Governana de TI e o uso do Framework COBIT (Control Objectives for Information and related Technology Objetivos de Controle para Informaes e Tecnologia correspondente ), seu propsito e como aplic-lo na prtica. Alm disto, no final deste curso voc estar apto para realizar a Certificao COBIT FOUNDATION. Este curso tem a durao de 6 horas, sendo dividido em 5 mdulos:
Introduo a Governana de TI Introduo ao COBIT Objetivos de Controle Diretrizes de Gerenciamento e Auditoria Produtos e Suporte do ITGI
Sobre o Curso
Ao final deste curso voc ir aprender: Como as questes de Gerenciamento de TI afetam as organizaes; Conceitos de Governana de TI; A necessidade de um framework de controle para a Governana de TI; Como o COBIT atende os requisitos de um framework de Governana de TI; Como o COBIT usado em conjunto com outros padres e melhores prticas de Mercado; Detalhes do Framework do COBIT e seus componentes( Objetivos de Controle, Prticas de Controle, Diretrizes de Gerenciamento, Diretrizes de Auditoria) ; Os benefcios do uso do COBIT Os produtos e suporte fornecido pelo ITGI (IT Governance Institute)
Desafios da TI
Desafios da TI
Muitas organizaes investem muito dinheiro e recursos em projetos de TI. Os negcios hoje dependem da TI para manter as operaes e executar os objetivos estratgicos da empresa. As empresas esto tendo que enfrentar o desafio de se adaptar ao mercado competitivo e dinmico, e ao mesmo tempo lidar com projetos tecnolgicos complexos e arriscados. Principais desafios da TI: Manter os servios de TI disponveis Entregar Valor Reduzir Custos Ambientes cada vez mais complexos Alinhar TI com o Negcio Conformidade com normas regulatrias Segurana
Manter os Servios de TI disponveis

As organizaes modernas e os negcios esto altamente dependentes de TI. Quando os sistemas de TI ficam indisponveis devido a uma falha tcnica, o impacto normalmente significante. Neste caso os principais resultados so: Processos crticos do negcio como processamento de pedidos so interrompidos O pessoal da rea administrativa fica impossibilitado de executar suas atividades dirias como envio de e-mails ou acesso a documentos. Os clientes ficam sem acesso aos call centers. Isto pode resultar ainda em perda de negcios, reduo de lucros e at mesmo interferir na reputao da empresa.
Para garantir a disponibilidade dos processos crticos ao negcio, as empresas precisam assegurar que o ambiente de TI esteja protegido contra riscos que possam interferir na disponibilidade dos servios.
Entregar Valor
Devido aos altos investimentos realizados em TI e a importncia estratgica dos Projetos de TI, as empresas precisam obter retorno sobre o valor investido. A maioria dos projetos mal gerenciados ultrapassam o oramento inicial ou o prazo de entrega, onde os seus principais problemas so: Requisitos mal definidos Os sistemas so muito complexos para serem desenvolvidos Falta de pessoas capacitadas Avaliao subestimada do esforo necessrio Falta de Gerenciamento do Projeto
Entretanto as empresas precisam se assegurar que os projetos de TI esteja sendo definidos de forma apropriada e executados para entregar o valor esperado ao negcio.
Reduzir Custos
Apesar dos custos de hardware de TI terem diminudo nos ltimos tempos, o custo total de TI ainda est aumentando, e considerado pela alta administrao como fora de controle. As principais razes para este aumento de custo so: A maioria das empresas no sabem como associar os custos aos seus ativos de TI. Os oramentos operacionais aumentam a cada ano devido aos licenciamentos, manutenes e contratos de outsourcing. Projetos mal sucedidos levam a perdas financeiras. Os gastos relacionado a TI que so realizados s unidades de negcio no esto sendo monitorados.
As empresas precisam gerenciar os custos de TI com mais ateno, da mesma maneira que elas gerenciam os custos das outras unidades de negcio. Para isto necessrio processos mais eficientes e eficazes e alocao de recursos como pessoas e tecnologias alm de manter relacionamentos com fornecedores de forma mas eficaz.
Ambientes cada vez mais complexos

Hoje o desenvolvimento tecnolgico rpido, existem inmeros fornecedores e solues disponveis no mercado. O controle de TI tem expandido para poder gerenciar os inmeros prestadores de servio. Os problemas tpicos devido a este ambiente so: Manter a competncia tcnica da equipe de TI Gerenciar diversas infra-estruturas de TI em vrias filiais Adaptar-se a rpidas mudanas e novos desenvolvimentos Gerenciar relaes com provedores de servios externo
Prestador Servio Prestador Servio
Prestador Servio
TI
A Funo de TI deve ser de organizar e gerenciar, podendo desta forma lidar com as complexidades do ambiente e evitar custos excessivos.
Alinhar a TI com o negcio

Cada vez mais a os negcios dependem da TI, mas nem sempre a TI atende as necessidades do negcio. Na maioria das organizaes a lacuna entre o que os usurios esperam e o que a TI pode fornecer continua a existir devido as seguintes razes: Falta de definio dos requisitos de negcio Falta de capacidade de esclarecer as prioridades Complexidade dos projetos Falta de comprometimento da alta direo Problemas de comunicao entre o negcio e a TI
empresa TI
Alinhamento estratgico
As empresas precisam se assegurar que a TI seja um parceiro para conseguir agregar valor nos negcios.
Conformidade com exigncias regulatrias

Regulamentos que governam as operaes do negcio impactam nos sistemas de TI. A TI deve dar ateno os requisitos regulatrios tanto nacionais como internacionais, os quais se referem a: Governana Corporativa e relatrios financeiros Privacidade e segurana
As empresas precisam se assegurar que os requisitos contratuais legais com provedores e parceiros de negcio estejam em conformidade.
Segurana
Infelizmente, o desejo de tornar a informao disponvel rapidamente implica em riscos de segurana. Estes riscos tem aumentado devido ao seguintes fatores: Uso da Internet expondo os sistemas internos da empresa para o mundo. Vrus e ataque de hackers. Aumento da necessidade por informaes Complexidades tcnicas dos ambientes de TI e problemas de segurana associados. Falta de responsabilidade dos usurios em relao ao uso dos servios de TI.
As empresas precisam se assegurar sobre a segurana nos seus ambientes de TI, a qual exige uma responsabilidade maior tanto por parte da administrao como dos usurios em relao a suas responsabilidades e os possveis riscos.
Introduo a Governana de TI
O que vamos ver agora?
Quais sos os princpios da Governana de TI? Como a Governana de TI pode ajudar a gerenciar as questes de gerenciamento de TI? Quem responsvel pela Governana de TI? Quais so os benefcios da Governana de TI?
O que Governana de TI?

um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos. A Governana de TI faz parte da Governana Corporativa. A Governana de TI engloba:
Diretores
Princpios de Governana de TI Stakeholders de Governana de TI Escopo de Governana de TI

Unidades de Negcio
Organizao de TI
COBIT apenas mais um modismo?

Atualmente, impossvel imaginar uma empresa sem uma forte rea de sistemas de informaes (TI), para manipular os dados operacionais e prover informaes gerenciais aos executivos para tomadas de decises. A criao e manuteno de uma infraestrutura de TI, incluindo profissionais especializados requerem altos investimentos. Algumas vezes a alta direo da empresa coloca restries aos investimentos de TI por duvidarem dos reais benefcios da tecnologia. Entretanto, a ausncia de investimentos em TI pode ser o fator chave para o fracasso de um empreendimento em mercados cada vez mais competitivos. Por outro lado, alguns gestores de TI no possuem habilidade para demonstrar os riscos associados ao negcio sem os corretos investimentos em TI. Para melhorar o processo de anlise de riscos e tomada de deciso necessrio um processo estruturado para gerenciar e controlar as iniciativas de TI nas empresas, para garantir o retorno de investimentos e adio de melhorias nos processos empresariais. neste cenrio ento que Governana de TI aparece como importncia vital para o negcio.
Princpios de Governana de TI
O Conselho de Administrao e os Executivos so responsveis pela Governana de TI. Ela envolve estrutura e processos que dirigem a organizao para alcanar seus objetivos. Vamos agora discutir sobre os princpios da Governana de TI.
Direo e Controle
Responsabilidades
Prestao de Contas
Atividades
Direo e Controle
Direo e Controle so dois conceitos chaves da Governana de TI. Direo: O Diretor fornece direo para implementar uma mudana. Para fornecer uma direo efetiva, o Diretor precisa entender a mudana pretendida. O Diretor dirige outra pessoa executar a mudana. Controle: O Controle assegura que o objetivo alcanado e que nenhum incidente indesejado ocorra.
Direo
Controle
Planeja a Direo Diretores Especifica os Objetivos Mtricas E Medidas
Compara
Unidades de Negcio
Relatrios
Organizao de TI
Executa as Atividades
Mtricas
Relatrios
Responsabilidade
O CEO normalmente o responsvel pelo controle interno. Os diretores snior determinam a responsabilidade para o estabelecimento de um controle interno especfico ao pessoal responsvel pelas unidades funcionais (departamentos). O Controle interno de responsabilidade de todos em uma organizao e pode ser uma funo explcita ou implcita.
Direo Responsabilidade Controle
Compara
Unidades de Negcio
Relatrios
Organizao Organizao de de TI TI
Mtricas
Relatrios
Prestao de Contas
Os colaboradores tem a obrigao de prestar contas, fornecer relatrios ou explicar suas aes sobre o uso de recursos que lhe so transmitidos. Os executivos prestam contas ao Conselho de Administrao, os quais fornecem governana, direo e monitorao. Para cada um essencial conhecer como suas aes contribuem para alcanar os objetivos da organizao.
Direo Controle Prestao de Contas
Compara
Unidades de Negcio
Relatrios
Organizao de TI
Mtricas
Relatrios
Atividades
As atividades de TI so eficientes quanto existe uma boa Governana de TI. Normalmente os Departamentos de TI nas empresas funcionam como se fossem o motor de um automvel, onde trabalham conforme aes realizadas pelo motorista, que neste caso se equivale ao Conselho de Administrao.
Controle Prestao de Contas
Direo Responsabilidade
Compara
Unidades de Negcio
Relatrios
Organizao de TI
Mtricas
Relatrios
Stakeholders de Governana de TI
Um individuo que pode ter responsabilidade relacionada a TI ou usufrui de alguma coisa gerada pela funo de TI na empresa considerado um stakeholder na Governana de TI da empresa.
Escopo de Governana de TI
Ns j discutimos sobre os princpios e stakeholders de Governana de TI. Vamos agora discutir sobre o escopo de Governana de TI. O Escopo de Governana de TI pode ser classificado em cinco reas, conforme apresentado abaixo:
Gerenciamento de Riscos
Entrega de Valor
Diretores
Gerenciamento de Recursos
Unidades de Negcio
Alinhamento Estratgico
Organizao de TI Governana de TI
Monitorao de Performance
O alinhamento estratgico se refere a alinhar a TI com as estratgias do negcio. Isto assegura que o investimento da empresa em TI est em harmonia com objetivos estratgicos da empresa.
Objetivos Estratgicos Especificar os objetivos Desenvolver estratgias para alcanar os objetivos especificados Desenhar planos de aes para implementar as estratgias
Alinhando TI com o Negcio
Quanto a TI est alinhada com os objetivos especificados pela empresa, resultar em vrios benefcios.
Benefcios do Alinhamento Estratgico Valor agregado aos produtos e servios da empresa Uso otimizado dos recursos Administrao e gerenciamento com custo efetivo
Alinhando TI com o Negcio
Entrega de Valor
Um outro domnio chave da Governana de TI a Entrega de Valor.
Entrega de Valor
Diretores
Unidades de Negcio
Valor Entregue
Conforme discutimos anteriormente, a TI entrega valor para uma organizao quanto ele consegue entregar os benefcios prometidos a um custo razovel. O valor esperado da TI deve ser medido como um retorno sobre o investimento.
Diretores
Unidades de Negcio
A Governana de TI procura estabelecer um modelo de medida de valor entregue pela TI ao negcio antes de embarcar em grandes projetos.
O Gerenciamento de Riscos de refere ao tratamento da incertezas.
Entrega de Valor
Diretores
Unidades de Negcio
Organizao de TI
Governana de TI
A Governana de TI ajuda a assegurar que os riscos de TI mais significantes possam ser estudados e gerenciados de forma apropriada. O Gerenciamento de Riscos envolve as seguintes atividades: Entendimento sobre os riscos ou atitudes da organizao que levam aos riscos. Definio do impacto e a probabilidade de um risco. Aprovao do plano de ao do Gerenciamento de Riscos.
Importncia do Gerenciamento de Riscos

O rapaz que est nadando no lago pode se desviar dos jacars que ele pode ver, mas ele est em perigo, pois ele no tem como se desviar daqueles que ele no pode ver. Os jacars que ele no pode ver podem ser considerados um sinnimo aos riscos que uma organizao tem que gerenciar.
Os riscos so gerenciados de quatro formas: Mitigao de Riscos: Implementao de controles que protejam contra riscos, por exemplo, implementao de um firewall de segurana. Transferncia de Riscos: Compartilhar riscos com parceiros ou contratar seguro apropriado. Aceitao de Riscos: Confirmao e monitorao de riscos, e ter um plano de resposta ao risco pronto. Evitando os Riscos: Adotar uma opo diferente que evite completamente o risco.
O conselho administrativo da empresa tem a responsabilidade final por todos os riscos. Uma Governana de TI pr-ativa ir converter os riscos em vantagem competitiva atravs do gerenciamento de riscos.
Gerenciar e otimizar recursos de TI uma outra rea de foco da Governana de TI.
Entrega de Valor
Diretores
Unidades de Negcio
O objetivo do gerenciamento de recursos garantir que os recursos esto sendo capazes de atender a estratgia de TI e ao mesmo tempo otimizar os custos. Para otimizar os custos, o grande desafio ser identificar as habilidades, tecnologias, e a infra-estrutura que poder ser feito o outsourcing. A otimizao de recursos tem vrios pontos a serem considerados. Pontos de Otimizao de Recursos Assegurar que existe capacidade suficiente para dar suporte s atividades crticas do negcio Otimizao de custos Outsourcing Organizao de TI A Governana de TI ajuda a otimizar Custos e Recursos
Diretores
Unidades de Negcio
Esta rea envolve a medio e monitorao das atividades da TI.
Entrega de Valor
Diretores
Unidades de Negcio
Monitorao da Performance
Se voc no poder medir o processo, voc no poder gerenci-lo. Se no existir nenhuma forma de medir e monitorar as atividades de TI, no possvel governar a TI e assegurar o seu alinhamento, valor entregue, gerenciamento de riscos, e o uso adequado dos recursos.
Se voc no poder medir o processo, voc no poder gerenci-lo.
Para a monitorao de performance ter sucesso, mtricas eficientes devem ser definidas e aprovadas pelos stakeholders. Estas mtricas podem ser acompanhadas usando scorecards de performance (pontos de performance).
Uma tcnica que tem sido aplicada com sucesso na TI o Balanced Scorecard (BSC). Este sistema de medida mede os relacionamentos e a base de conhecimento disponvel na empresa. Os Balanced Scorecards so coletados pela TI e baseados informaes de finanas, clientes, processos e o conhecimento gerencial de vrios stakeholders. Este mtodo fornece um retrato global de onde a organizao est e para onde ela est indo. Usando um BSC, a TI se alinhar com as necessidades do negcio. Os Balanced Scorecards ajudam a mostrar o valor entregue pela TI, suas capacidades, riscos e performance.
Governana e o Framework de Controle
Framework de Controle
Vamos entender as caractersticas de um framework de controle e discutir cada uma delas em detalhes. Caractersticas: Foco no negcio Orientada a processo Padro aceito Linguagem comum Requisitos regulatrios
Caractersticas de um framework de controle

A caracterstica chave de um framework de controle o Foco no negcio.
Orientado a processos
Foco no negcio
Padro aceito
Requisitos regulatrios
Linguagem Comum
Foco no negcio
A rea de TI sempre foi um meio para sustentar as operaes organizacionais e hoje, diferentemente de cerca de dois anos atrs, vista como centro diferencial e de lucratividade. O mercado est cada vez mais competitivo, os usurios e clientes mais exigentes. Ento, preciso saber gerir a rea de Tecnologia com foco nos negcios, ajudando a empresa a alcanar seus objetivos estratgicos.
Alinhamento Estratgico Departamento de TI
Foco no negcio
Orientado a Processos
Orientao a Processos uma outra caracterstica de um framework de controle. Isto garante com que as atividades sejam organizadas em processos, as quais tenham um responsvel e suas responsabilidades. Vamos considerar como um exemplo a atualizao do website da empresa. O contedo do website publicado possui relatrios financeiros da empresa. Para isto, um processo precisa ser desenhado e algum precisa aprovar as mudanas no website. Isto conhecido como gerenciamento de liberao.
No exemplo acima, o dono do processo estar envolvido com as seguintes tomadas de decises: a) b) c) Quem est autorizado para alterar informaes no website? Quem responsvel pela mudana de informao no website? Quem dever ser contatado para fazer as mudanas? Fazendo com que cada processo tenha um proprietrio ajudar a identificar as responsabilidades de cada
Orientado por processos
atividade de forma fcil e rpida.
Padro Aceito
Um framework de controle compreende as melhores prticas aceitas internacionalmente. As melhores prticas so desenvolvidas ao longo do tempo atravs de contribuies feitas por profissionais das indstrias. Aps vrios ciclos de implementao as prticas se tornam comprovadas. Estas melhores prticas ento so aps formalizadas em forma de um framework. O Framework ajuda: Salvar tempo e esforo em reinventar a roda para criar um novo padro. Incentiva na adoo das prticas, dando mais confiana.
As melhores prticas para a Governana de TI so padres comprovados e aceitos internacionalmente, que ajudam na contribuio da TI para o sucesso da organizao.
Padro aceito
Terminologia comum
Uma outra caracterstica de um framework de controle a definio de uma terminologia comum. Ao logo do tempo, as melhores prticas tendem a desenvolver uma terminologia distinta que definida por um framework. A terminologia desenvolvida acaba se tornando padro dentro da organizao, possibilitando que pessoas de departamentos diferentes, fornecedores e consultores externos falem a mesma linguagem.
comum ver o pessoal da rea de TI ter dificuldade em se comunicar com as outras reas da empresa. Com o uso de um framework as pessoas passam a utilizar a mesmos termos e ter um glossrio comum. Pense em um jargo utilizado por TI, ser que ele entendido por todos os departamentos na organizao?
Linguagem comum
Requisitos Regulatrios
Um framework de controle ajuda a atender os requisitos regulatrios. A conformidade regulatria tarefa normalmente cara e onerosa. Dependendo da natureza da empresa e do seu porte, ela poder ter que se submeter a regras estabelecidas por padres mercado como a Sarbanes Oxley, Basilia II, entre outras. fcil demonstrar a conformidade se um framework de controle estiver baseado em padres aceitos. Os auditores iro tambm achar mais fcil revisar os controles quando um modelo aceito for adotado.
Um framework de controle deve satisfazer os requisitos regulatrios e prticas. Por exemplo, os controles financeiros devem ser baseados em padres de contabilidade aceitos por todos. Da mesma forma, os controles de TI devem ser baseados em um framework aceito e modelos que atendam os requisitos regulatrios.
Benefcios da Governana de TI
At agora voc aprendeu sobre os vrios domnios da Governana de TI. Vamos agora discutir sobre os seus benefcios. Principais Benefcios que iremos ver: Confiana da Alta administrao TI mais comprometida com o Negcio Retorno sobre o Investimento (ROI) maior Servios mais confiveis Mais transparncia
Confiana da Alta administrao
A TI como sendo um assunto tcnico ela difcil de ser entendia pelos diretores de negcio. Uma Governana de TI eficiente pode ajudar a estabelecer uma comunicao clara para todos. A linguagem comum tornar os mecanismos de tomada de deciso mais claros, e facilitar a transparncia e preciso das informaes gerenciais.
Diretores
Unidades de Negcio
Organizao de TI
TI mais comprometida com o negcio
A TI ser mais focada nas necessidades do negcio. Agilidade, flexibilidade e comprometimento so atributos vitais para a funo de TI no suporte ao desenvolvimento das necessidades do negcio. Uma Governana de TI eficiente assegurar que as decises sejam tomadas com mais fundamento e clareza, reduzindo os riscos nos investimentos. Custo Recursos
Maior Retorno sobre o Investimento (ROI)
Na mdia, a maior parte dos gastos de TI so perdidos devido aos problemas no gerenciamento de projetos, infra-estrutura ineficaz e ineficiente, falta padronizao e gerenciamento dos processos. Com uma Governana de TI eficaz possvel reduzir as falhas nos projetos, otimizar a infra-estrutura de TI e aumentar a eficincia dos processos da TI. O aumento do ROI gerar maior valor ao negcio e melhor qualidade dos servios, desta forma possibilitar a execuo das estratgias do negcio.
Servios mais confiveis
A Governana de TI assegura que os processos crticos e os servios de TI sejam monitorados, e qualquer incidente ou falha de alta prioridade seja encaminhada e resolvida. O servios requerem que nveis mais alto de confiana sejam implementados para minimizar a probabilidade de uma falha ou interrupo de um servio. A Governana de TI assegura riscos menores, melhor qualidade dos servios e aumento da satisfao do cliente. Alinhamento estratgico
empresa TI
Mais transparncia
Uma boa governana ir ajudar a fornecer um gerenciamento com informaes mais claras e precisas sobre a TI, tais como status dos projetos e o custo dos servios de TI. Uma transparncia maior significa que os stakeholders iro receber a informao e podero entende-la e confiar. Uma Governana de TI implementada de forma eficiente assegura que as informaes certas estejam disponveis para os tomadores de deciso. De outra forma, a informao tende a se perder no monte de papel.
Diretores
Unidades de Negcio
Organizao de TI
Mdulo 2
Introduo ao COBIT
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo explica os princpios, definies, terminologia e os componentes mais importantes do framework do COBIT. Durante este mdulo iremos:
Identificar os componentes do COBIT Entender como o COBIT atende os requisitos para um framework de controle Entender como o COBIT atende os requisitos regulatrios Descrever como o COBIT ajuda os administradores do negcio e auditores em uma organizao
Princpios do Framework
Framework do COBIT
O acrnimo COBIT significa Control Objectives for Information and related Technology - Objetivos de Controle para Informaes e Tecnologias relacionadas. O COBIT um framework de governana e controle, que foca no que precisa ser alado ao invs de se preocupar em como alcanar. Critrios de Informao
Processos TI
u ec
s o rs
TI
Vamos apresentar a seguir os componentes do framework do COBIT.
O que o COBIT?
O COBIT um framework e uma base de conhecimento para os processos de TI e seu gerenciamento. O Framework foi desenvolvido a partir de padres e prticas existentes no mercado. Pode ser visto mais como uma ferramenta de gerenciamento prtico do que um padro definitivo, fazendo com que o pessoal de TI, pessoas de outros departamentos, especialistas em controle e auditoria se relacionem com o COBIT facilmente.
COBIT
esquema de classificao material de guia e padres
Guia Ferramentas Exemplos
Framework
Base de Conhecimento
Misso do COBIT
Pesquisar, desenvolver, publicar, e promover um conjunto internacional e atualizado de objetivos de controle para tecnologia da informao podendo ser utilizado no dia-a-dia dos administradores do negcio e auditores.
Aplicao do COBIT
O COBIT foi projetado para utilizao por trs distintos pblicos: Administradores: para auxili-los na ponderao entre risco e investimento e controle de ambientes muitas vezes imprevisveis como o de TI; Usurios: para se certificarem da segurana e dos controles dos servios de TI fornecidos internamente ou por terceiros; Auditores de Sistemas: para subsidiar suas opinies e/ou prover aconselhamento aos administradores sobre controles internos.
Evoluo do COBIT
O COBIT foi criado para atender a necessidade de um framework de controle de TI compreensivo para o negcio, gerncia de TI, auditores, e eliminar as disparidades de controles e guias de avaliao.
1996 1998 2000 2002 2005
Primeira edio do CobiT A segunda verso do CobiT A terceira verso do CobiT Sarbanes-Oxley Act A quarta verso do COBIT
ISACA (Information Systems Audit and Control Association www.isaca.org) lana um conjunto de objetivos de controle para as aplicaes de negcio Inclui uma ferramenta de suporte implementao e a especificao de objetivos de alto nvel e de detalhe Inclui normas e guias associadas gesto. O ITGI (IT Governance Institute www.itgi.org) torna-se o principal editor do framework O Sarbanes-Oxley Act foi aprovado. Este acontecimento teve um impacto significativo na adoo do COBIT nos Estados Unidos e empresas globais que atuam nos EUA Melhoria dos controles para assegurar a segurana e disponibilidade dos ativos de TI na organizao
Evoluo do COBIT
O COBIT foi inicialmente disponibilizado como um folheto, mas aps a 3. Edio ele se tornou livremente aberto para uso no comercial na Internet em formato PDF. O COBIT um conjunto de materiais de guia e ferramentas que est acessvel na Internet em forma de banco de dados e comunidade online, chamado COBIT online. O COBIT foi desenvolvido a partir do Committee of Sponsoring Organizations of the Treadway Commission-Internal Control Integrated Framework (COSO), o Controle de Objetivos original do ISACA, e mais de 50 padres e prticas de mercado em TI. O COBIT preenche a lacuna entre os modelos de controle de negcio e as melhores prticas em TI e oferece um modelo para a Governana de TI. Vamos discutir mais sobre a evoluo do COBIT.
Evoluo do COBIT
Com a 3. Edio, o COBIT forneceu recursos adicionais para a rea de Gesto e TI. As organizaes que esto utilizando o COBIT atualmente se beneficiam a partir da entrega de valor e controle. O COBIT 4.0, lanado em 2005, fornece um fundamento completo para a Governana de TI.
Empresas que usam COBIT
Maior valor entregue e controle
Qual a Premissa dos Princpios do Framework do COBIT?

O framework do COBIT baseado na premissa que a TI precisa entregar informao que a empresa necessita para atingir seus objetivos.
Objetivos do Negcio Processos do Negcio Informao Recursos TI
O framework do COBIT ajuda a alinhar a TI com o negcio, focando nas necessidades de informao que o negcio precisa e organizando os recursos de TI. O COBIT fornece um framework e uma guia para implementar a Governana de TI.
Qual o Princpio do Framework do COBIT?

O princpio do framework do COBIT vincular as expectativas dos gestores de TI com as responsabilidades dos gestores de TI. O objetivo facilitar a Governana de TI entregar valor em TI enquanto se gerencia os riscos de TI.
Recursos de TI
Estratgia do negcio Processos de TI

Critrios de Informao
Por exemplo, uma organizao deve envolver TI na tomada de deciso a nvel de negcio, desta forma a TI pode alinhar seus objetivos com os objetivos do negcio.
Princpios do Framework
Uma organizao depende da confiana e da rapidez dos dados e informaes. Os componentes do COBIT fornecem um framework compreensivo para entregar valor nos servios em TI enquanto se gerencia os riscos e controle sobre os dados e informaes.
O que os stakeholders esperam da TI So os meios necessrios para executar os processos
Recursos de TI
Estratgia do negcio Processos de TI

Critrios de Informao Como a TI est estruturada para alcanar os requisitos
Componentes do Framework do COBIT

Os trs componentes do framework do COBIT formam as trs dimenses do cubo do COBIT.
de a de a lid a i n lid ab ra i a f u u n g Q Se Co
Procesos de TI
Dominios
Dados
Aplicaes
Tecnologia
Instalaes
Recursos Humanos
Processos Actividades
Re
r u c
s o s
de
TI
Processos de TI
Processos TI
Dominios Processos
Estes processos agrupam as principais atividades de TI em um modelo de processo, facilitando o gerenciamento dos recursos de TI para atender as necessidades do negcio. Os processos de TI so definidos e classificado em 4 domnios, contendo 34 processos de TI. Estes processos sero desmembrados e definidos em atividades e tarefas na organizao.
Atividades
Domnios
Os processos do COBIT so agrupados em 4 domnios:
1. Planejamento e Organizao 2. Aquisio e Implementao 3. Entrega e suporte 4. Monitorao e avaliao
Processos
Definir um Plano Estratgico de TI. Definir a arquitetura de informao. Determinar a direo tecnolgica. Definir a organizao e os relacionamentos da TI. Gerenciar os investimentos da TI. Comunicar as metas e os direcionamentos gerenciais Gerenciar os recursos humanos. Garantir a conformidade com os requisitos externos. Avaliar os riscos. Gerenciar os projetos. Gerenciar a qualidade.
Planejamento e Organizao
Os 4 domnios possuem 34 Processos. Estes processos especificam o que o negcio precisa para alcanar seus objetivos. A entrega de informao controlada por 34 objetivos de controle de alto nvel, um para cada processo.
Aquisio e Implementao
Identificar solues automatizadas (solues de TI). Prover e manter aplicaes de software. Prover e manter a infra-estrutura tecnolgica. Prover e manter a documentao. Instalar e certificar os sistemas. Gerenciar as mudanas.
Entrega e Suporte
Definir e manter os nveis de servio. Gerenciar os servios de terceiros. Gerenciar o desempenho e a capacidade. Garantir o servio ininterrupto. Garantir a segurana dos sistemas. Identificar e alocar os custos. Treinar os usurios. Auxiliar e orientar os clientes. Gerenciar a configurao. Gerenciar os problemas e incidentes. Gerenciar os dados. Gerenciar as instalaes. Gerenciar as operaes.
Monitorao
Monitorar os processos. Avaliar a adequao do controle interno. Obter garantia independente. Prover auditoria independente
Atividades
Existem aes que so necessrias para alcanar resultados mensurveis. As atividades tem ciclos de vida, mas as tarefas no.
Dominios Processos
Atividades
Para satisfazer os objetivos de negcio, as informaes precisam estar em conformidade com os critrios chamados requisitos de negcio. Requisitos de Qualidade Qualidade Custo Entrega Requisitos Fiducirios (Relatrio do COSO) Eficcia e eficincia das Operaes Confiabilidade das Informaes Conformidade com Leis e Regulamentos Requisitos de Segurana Confidencialidade Integridade Disponibilidade Critrios de Informao
Recursos de TI
Os recursos de TI so gerenciados pelos processos de TI para fornecer informao que a organizao precisa para alcanar seus objetivos. Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
os s r cu TI
e R
O COBIT para a Governana de TI
O COBIT para Governana de TI

Agora vamos aprender como o COBIT atende os requisitos para um Framework de Controle ou Governana de TI. Todas as empresas usam o suporte de TI para realizar suas operaes e estratgias. Desta forma, a Governana de TI e os Frameworks de Controle como o COBIT so necessrios. Vamos ver mais agora sobre os componentes do COBIT e como o COBIT usado na Governana de TI.
Como o COBIT atende os requisitos de um Framework de Controle?

O COBIT aceito mundialmente como um framework para Governana de TI. Foi desenvolvido pelo ISACA e o ITGI. Para aprender mais sobre estas duas instituies entre no site www.isaca.org e www.itgi.org . O COBIT foca na Governana Corporativa e na necessidade de controles de melhorias nas empresas. Os controles de TI so necessrios para prestar contas dos gastos financeiros. O COBIT fornece um framework para controlar a TI e suporta 5 requisitos de um Framework de Controle.
Fornece um foco Maior no Negcio
Define uma Linguagem Comum
Orientado a Processos
Ajuda a atender Os Requisitos Regulatrios
um padro aceito Entre organizaes
Componentes das Diretrizes de Gerenciamento

As diretrizes de gerenciamento do COBIT fornecem ferramentas para criar painis, scorecards, benchmarking para ajudar a responder questes relacionadas a TI e o negcio. Os principais componentes das diretrizes so os seguintes:
Entradas e sadas de processos Atividades dos Processos e grficos RACI Objetivos de Negcio, TI, processo, e atividades Mtricas indicadores de meta Mtricas - indicadores de desempenho Modelos de Maturidade
Key Goal Indicators (KGIs)

Indicadores de meta so medidas prdefinidas que indicam se um processo de TI alcanou o requisito do negcio em termos de critrios de informao. Os KGIs para TI so os drivers de negcio, usualmente suportam as perspectivas financeiras e clientes, so medidas que refletem se atingiu-se a meta, so medidas aps o fato ocorrido, usualmente expressos nos seguintes termos: Disponibilidade das informaes necessrias para suportar as necessidades de negcios; Riscos de falta de integridade e confidencialidade das informaes; Eficincia nos custos dos processos e operaes; Confirmao de confiabilidade, efetividade e conformidade das informaes.
Critrio de Informao Processo de TI
Key Goal Indicators
Key Performance Indicators (KPIs)

Indicadores de Performance so medidas pr-definidas que determinam quanto o processo de TI conseguiu atingir em relao aos objetivos. Os KPIs referem-se s perspectivas dos processos e da inovao, so medidas que refletem as tendncias em termos de atingir ou no a meta no futuro, so medidas antes do fato.
Key Performance Indicators
Atividades dos Processos e Grficos RACI

Atividades dos Processos e grficos RACI mostram vrias funes que existem para as atividades chaves, podendo ser do tipo : Responsible (Responsvel), Accountable (Deve prestar Conta), Consulted (Deve ser Consultado), Informed (Deve ser informado).
Modelos de Maturidade
Os modelos de maturidade de governana so usados para o controle dos processos de TI e fornecem um mtodo eficiente para classificar o estgio da organizao de TI. Essa abordagem derivada do modelo de maturidade para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses nveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro: Onde a organizao est hoje O atual estgio de desenvolvimento da indstria (fazendo uma comparao da empresa com outras) O atual estgio dos padres internacionais Aonde a organizao quer chegar e como ela planeja isto Modelos de Maturidade
A governana de TI e seus processos com o objetivo de adicionar valor ao negcio atravs do balanceamento do risco e retorno do investimento podem ser classificados, seguindo o modelo do CMM (Capability Maturity Model), da seguinte forma:
Foco no negcio
O COBIT ajuda a implementar um sistema de controle de gerenciamento, isto porque o COBIT atua abaixo da tecnologia utilizada pela empresa, tendo um foco maior sobre o negcio. O COBIT foca em dizer o que precisa ser feito, no se preocupando em como fazer. O COBIT ir trabalhar com padres e melhores prticas na rea de TI como questes ligadas a segurana, gerenciamento de projetos, e assim por diante.
O COBIT diz o que fazer, mas no como fazer.
O COBIT e outros Padres de Mercado
Padro de facto
O COBIT um framework nico, no tendo outro similar, pois ele acomoda os padres internacionais mais importantes e reconhecido como um padro de facto para o controle de TI. O COBIT est sendo atualizado constantemente para contemplar os novos cenrios nos negcios.
Relacionamento com outros Padres

Muitas empresas acham conveniente usar o COBIT porque ele se relaciona com outros frameworks, tais como COSO, ITIL, ISO 17799 e CMM.
O ITIL uma biblioteca das melhores prticas para o gerenciamento de servios de TI. Ele focado em como deve ser os servios e os processos de TI.
Fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implantao ou manuteno da segurana em suas organizaes.
O SEI(Software Engineering Institute) a organizao que desenhou o Capability Maturity Model (CMM). Este modelo ajuda as empresas a melhorem seus processos de entrega de software e controle de processos.
O Framework COSO uma padro aceito para estabelecer controles internos na empresa e determinar sua eficcia.
ITIL
ISO 17799
CMM
COSO
Vantagens da adoo do COBIT
O COBIT totalmente compatvel com outros frameworks.
Estes frameworks fornecem um ambiente altamente controlado e flexvel na organizao.
Faz com que o ambiente de TI se torne mais responsivo s necessidades do negcio, fornecendo mais controle sobre suas responsabilidades.
Foco de atuao de cada padro

Agora vamos discutir sobre as funes dos vrios padres em vrios nveis de processos na empresa. Por exemplo, o ITIL foca na entrega de servios e suporte, considerando os aspectos tcnicos do controle do processo. O CMM foca na execuo do processo de entrega de software e controle do processo. A ISO 17799 oferece orientaes sobre a segurana dos processos e controles estratgicos. O COBIT foca tanto no controle do processo como no controle estratgico em uma empresa. O que Por que usar Frameworks? J existe Estruturado Melhor Prtica
Execuo Processo Instruo Trabalho
Estratgico
Controle Processo
Compartilhamento De Conhecimento
Melhores prticas internas
Auditvel Como
Domnios de TI
Relevncia dos padres

A relevncia dos padres e prticas variam em cada empresa conforme suas prioridades e expectativas. Uma empresa pode decidir adotar um padro por inteiro ou somente parte dele para melhorar a performance de um processo de negcio ou promover a transformao no negcio. O COBIT est posicionado no centro como um nvel Geral, ajudando a integrar a parte tcnica, prticas especficas com o negcio de forma geral.
Especfico
TCO ITIL CMMi COBIT 6 sigma ISO 9000 Malcolm Baldrige Award Scorecards
Relevncia para a TI
Holstico
Geral
Relao com o COSO

O COBIT se relaciona com o COSO e pode ser visto como um Framework de Controle de TI para a governana corporativa. Com o aumento dos controles regulatrios, esta conformidade essencial. Vamos discutir como o COBIT est alinhado com o COSO. FRAMEWORK DO COSO O Framework do COSO reconhecido como um padro aceito para estabelecer controles internos na empresa e determinar sua eficcia. COMO O COBIT ESTLINHADO COM O COSO? Similar ao COBIT, o COSO define um controle interno como um processo, o qual executado por um membro do Conselho Administrativo, Diretores, e outros funcionrios. Ele ajuda a alcanar os seguintes objetivos: Eficcia e eficincia das operaes Confiabilidade dos relatrios financeiros Conformidade com leis e regulamentos aplicveis Entretanto, ao contrrio do COBIT, o Framework do COSO foca em controles internos e no especfico para a rea de TI. O COBIT est alinhado como o COSO em nveis mais estratgicos.
Funes e Componentes
Como o COBIT responde aos requisitos regulatrios

Recentes escndalos financeiros, aumento da globalizao das atividades do negcio, maior dependncia de TI e da Internet nos negcios, aumentaram as presses regulatrias sobre os Diretores das empresas para implementar controles efetivos e relatrios com seus status. Isto tambm afeta os controles de TI. O COBIT aceito como um padro para fazer avaliaes dos controles de TI, atendendo os requisitos regulatrios nos quais a empresa est submetida.
Sarbanes Oxley
O ato de 2002 da Sarbanes-Oxley foi legalizado em 30 de julho de 2002, como resposta aos escndalos financeiros de grandes empresas respeitadas nos Estados Unidos (WorldCom e Emron).
Caractersticas da Sarbanes Oxley - Ato de 2002: Estabelece novos padres de responsabilidade contbil corporativa, confiabilidade e transparncia dos relatrios financeiros. nfase na transparncia dos dados para anlise e interpretao dos dados nfase no uso de um Framework de Controle para avaliao de controles internos. Penalidades rgidas no caso de danos seja eles intencionais ou no Implementao de diretrizes do SEC (Securities and Exchange Commission )
Com mais de 300 sees, a SOX provavelmente a legislao mais significante para os negcios nos EUA. A SOX tambm aplicvel aos controles de TI.
Sarbanes Oxley
Leis como a SOX (Sarbanes Oxley) geram um nus para os Gerentes de TI e organizaes para assegurar que eles esto atendendo os requisitos de conformidades para a TI e controles relacionados. Por isto muitas organizaes acabaram adotando o COBIT para auxiliar nestas conformidades. O COBIT est sintonizado com os requisitos legais destas leis. O COBIT o nico modelo de controle que compatvel com o COSO, cobre todas as atividades de TI e aceito geralmente pela comunidade de auditores. Assegurando que a TI est em conformidade com o COBIT far com que a maioria dos requisitos de conformidades j tenham sido implementados. Usando o COBIT far com que a organizao esteja atendendo a maioria dos requisitos das leis da SOX.
Como o COBIT ajuda os Auditores e Diretores

O Framework do COBIT ajuda no apenas os usurios tcnicos mas tambm aqueles que so responsveis pelo uso efetivo de TI, tais como diretores e auditores. O Framework do COBIT ajuda estes usurios a assegurar que: Seus requisitos esto sendo entendidos e definidos de forma apropriada. Eles obtenham informao necessria para realizar os seus trabalhos.
Mdulo 3
Objetivos de Controle
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo descreve os componentes do Framework do COBIT e os objetivos de controle. No final deste mdulo voc conseguir:
Identificar as funes do Framework do COBIT. Identificar as caractersticas dos 4 domnios de TI. Descrever as funes dos Processos de TI. Descrever os 7 critrios de informao. Descrever como o COBIT define os recursos em um ambiente de TI. Descrever os Objetivos de Controle do COBIT.
Framework do COBIT
Framework do COBIT
O Framework do COBIT fornece informaes necessrias para suportar os objetivos de negcio e seus requisitos. O Framework explica como os Processos de TI entregam informaes que o negcio necessita para alcanar seus objetivos. A entrega de informao acontece atravs de 34 objetivos de controle, um para cada processo de TI dos 4 domnios j vistos.
Negcios Requisitos Processos de TI Controlado por Auditado por Objetivos de Controle Implementado com Prticas de Controle Informao
Medido por
Eficincia & Eficcia
Traduzido por Diretrizes de Auditoria
Objetivos das Atividades
Para Performance Key Performance Indicators
Para resultados
Para Maturidade Modelos de Maturidade
Key Goals Indicators
reas de foco
Como um framework de controle e governana de TI, o COBIT foca 2 reas chaves: 1. Fornecer informaes necessrias para suportar os objetivos e requisitos de negcio.
2. Tratar informaes como sendo o resultado combinado de aplicaes de TI e recursos que precisam ser gerenciados por processos de TI. O Framework do COBIT descreve como os processos de TI entregam informaes que o negcio precisa para alcanar seus objetivos. Esta entrega controlada atravs de 34 objetivos de controle, um para cada processo dos 4 domnios. O Framework do COBIT tem 3 componentes chaves.
Recursos de TI Estratgia do negcio Processos de TI Critrios de Informao
Organizao das atividades

As organizaes organizam suas atividades de TI em grupos, times, clulas ao invs de organizar ao entorno de processos bem definidos que so interconectados, interdependentes, e mutuamente reforados. Isto causa lacunas (gaps) e inconsistncias.
Atividades Independentes
O COBIT vincula as atividades
O COBIT promove a organizao das atividades de TI ao entorno dos processos e fornece um modelo para as organizaes adotarem e adaptarem conforme necessrio. Aps os processos estarem definidos, eles podem ser alocados a indivduos e gerentes que so responsveis e devero prestar contas por cada processo. Com esta estrutura implementada, as atividades de TI podem ser melhor entendidas, organizadas, e mais fceis de controlar.
Processos de TI
Para comear, iremos aprender mais sobre os Processos de TI em detalhes.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Requisitos de Segurana Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas
Processos de TI
O Framework contem 34 processos de TI, os quais so organizados por domnios.
Planejamento e Organizao Aquisio e Implementao Entrega e Suporte Monitorao e Avaliao Processos 34 Processos de TI
Alguns objetivos de controle existentes no framework

Requisitos de Controle Genrico Cada processo do COBIT tem 6 requisitos de controle genrico que so comuns para todos os processos, os quais so definidos no framework. Eles podem ser analisados em conjunto com os objetivos de controle do processo de forma detalhada para que se possa ter uma viso dos requisitos de controle. Controles de Aplicaes O COBIT assume que o projeto e implementao de controles de aplicaes automatizadas devem ser de responsabilidade da TI, coberto no domnio de Aquisio e Implementao, baseado nos requisitos de negcio definidos usando os critrios de informao do COBIT. A TI entrega e suporta os servios das aplicaes, banco de dados de informao e infraestruturas. Os processos de TI do COBIT cobre os controles gerais da TI mais no suporta os controles de aplicaes.
Requisitos de Controle Genrico

PC1 Responsvel pelo Processo Determina um proprietrio para o processo do COBIT, fazendo com que a responsabilidade seja clara. PC2 Repetitividade Define cada processo do COBIT como sendo repetvel. PC3 Metas e Objetivos Estabelece metas e objetivos claros para cada processo do COBIT para a execuo eficaz. PC4 Funes e Responsabilidades Define funes, atividades e responsabilidades para cada processo do COBIT para a execuo eficiente. PC5 Performance do Processo Mede a performance de cada processo do COBIT em relao s suas metas. PC6 Poltica, Planos e Procedimentos Documenta, revisa, mantm atualizado, comunica todas as partes envolvidas em qualquer poltica, plano, ou procedimentos que guiam os processos do COBIT.
Controles de Aplicaes
AC1 Transao de Entrada de Dados e Autorizao A transao de entrada de dados dentro das aplicaes de negcio devem ser preparadas corretamente por pessoas seguindo polticas internas ou contratos externos incluindo a preveno e deteco de erros. AC2 Coleo de Documentos de Origem e Entrada de Dados A Entrada de dados realizada na hora certa pelos membros autorizados da equipe. AC3 Exatido, Integridade e Verificao de Autorizao durante o Processamento Os dados que so entrados no processamento (sejam eles gerados por pessoas ou por sistemas), devem ser verificados quanto a sua exatido, integridade e validade. AC4 Integridade e Validade do Processamento de Dados Verifica se os controles de processamento esto sendo executados corretamente. Executa a validao, autenticao e edio o mais prximo possvel do ponto de origem dos dados. AC5 Reviso de Sada, Reconciliao e Gerenciamento de Erros A exatido e integridade do processamento de dados podem ser verificados atravs de relatrios que podem fornecer informaes relevantes e identificao de possveis erros. AC6 Autenticao e Integridade da Transao Assegura que exista um processo para identificao de transaes no autenticadas.
Domnio de Planejamento e Organizao

Objetivo O objetivo deste domnio de identificar formas nas quais a TI pode contribuir para que o negcio consiga atingir seus objetivos. O foco est em assegurar a organizao e governana apropriada. Escopo do Domnio Estratgia e Tticas: alinha a TI e a estratgia de negcio. Otimiza o uso dos recursos da empresa. Viso Planejada: faz com que todos na organizao entendam os objetivos da TI. Organizao e Infra-estrutura: se preocupa em verificar se os riscos de TI esto sendo gerenciados, se qualidade dos sistemas de TI so apropriados para as necessidades do negcio.
empresa TI
Alinhamento estratgico
Domnio de Aquisio e Implementao

Objetivo Para conseguir cumprir a estratgia de TI, as solues de TI precisam ser identificadas, desenvolvidas ou adquiridas, e implementadas e integradas nos processos de negcio. O domnio da Aquisio e Implementao cobre mudanas e manutenes nos sistemas existentes para assegurar que eles operem sem interrupes. Escopo do Domnio Solues de TI: verifica se os novos projetos atendem as necessidades do negcio, se eles esto dentro do prazo e oramento. Mudanas e Manutenes: verifica se os novos sistemas esto funcionando corretamente quando implementados. Verifica se as mudanas podem ser realizadas sem interromper as operaes de negcio.
?
Novos Projetos Empresa
Domnio de Entrega e Suporte

Objetivo Esse domnio se preocupa com as entregas reais dos servios requeridos que abrangem as operaes tradicionais sobre aspectos de segurana e continuidade at treinamento.
Escopo do Domnio Entrega dos Servios requisitados: verifica se os servios de TI esto alinhados com as prioridades do negcio. Configurao dos Processos de Suporte: verifica se os custos esto otimizados. Verifica se h confidencialidade, integridade e disponibilidade adequada. Verifica se as cargas de uso dos sistemas de TI so aceitveis e seguras.
Servios de TI
Prioridades do Negcio
Domnio de Monitorao e Avaliao

Objetivo Este o domnio que controla os processos de TI que devem ser avaliados regularmente nos aspectos de qualidade e conformidade. Escopo do Domnio Avaliao regular, entrega de garantias: A performance de TI pode ser medida e os problemas podem ser detectados antes de ser tarde demais? Os controles internos so eficientes e eficazes? Medio da Performance: A performance da TI pode ser relacionada com as metas do negcio? O risco, controle, conformidade e performance so medidos e reportados?
TI
Performance
Modelo de Processo do COBIT

Vamos dar uma olhada no modelo de processo do COBIT, o qual contempla 34 processos de TI definidos em 4 domnios. Estes processos podem ser aplicados em vrios nveis na organizao. Por exemplo, alguns destes processos podem ser aplicados a nvel corporativo, outros ao nvel de funo de TI, e outros a nvel do responsvel pelo processo de negcio.
ME1 Monitorar e Avaliar os processos de TI ME2 avaliar a adequao do controle interno ME3 obter certificao independente ME4 providenciar auditoria independente PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade
PLANEJAMENTO E ORGANIZAO
MONITORAO E AVALIO
AQUISIO E IMPLEMENTAO
DS1 definir nveis de servios DS2 gerenciar servios de terceiros DS3 gerenciar performance e capacidade DS4 garantir continuidade dos servios DS5 garantir segurana dos sistemas DS6 identificar e alocar custos DS7 educar e treinar usurios DS8 auxiliar e aconselhar usurios de TI DS9 gerenciar a configurao DS10 gerenciar problemas e incidentes DS11 gerenciar dados DS12 gerenciar instalaes DS13 gerenciar a operao
ENTREGA E SUPORTE
AI1 AI2 AI3 AI4 AI5 AI6
identificar solues adquirir e manter software aplicativo adquirir e manter arquitetura tecnolgica desenvolver e manter procedimentos de TI instalar e certificar sistemas gerenciar mudanas
Medidas de Controle
As medidas de controle para cada processo de TI no satisfaz todos os requisitos de negcio no mesmo grau. O Framework do COBIT define 2 graus de controle.
Primrio
Impacta diretamente o critrio de informao a que se refere.
Secundrio
Satisfaz parcialmente ou indiretamente o critrio de informao a que se refere.
Recursos de TI
Vamos agora aprender sobre o segundo componente do framework do COBIT, Recursos de TI.
Recursos de TI
Aplicaes: sistemas automatizados e procedimentos manuais para processar informaes Informao: os dados de todos os formulrios de entrada, processados e exibidos pelos sistemas de informao, podendo ser qualquer formulrio que usado pelo negcio. Infra-estrutura: inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimdia, etc. tudo que necessrio para o funcionamento das aplicaes. Pessoas: pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, prestar suporte, monitorar e avaliar os sistemas de informao e servios. Eles podem ser internos ou terceirizados.
e R
rs u c
os
TI
Recursos de TI x Entrega de servios

Vamos analisar uma outra forma de interpretao o relacionamento dos recursos de TI com a entrega de servios.
Eventos Objetivos de negcio Oportunidades de negcio Requisitos externos Regulamentos Riscos
Informao
Eficcia e Eficincia
Aplicaes Informao Infra-estrutura Pessoas
Confidencialidade Conformidades Cumprimentos
Para assegurar que os requisitos de negcio em relao a informao sejam alcanados, medidas de controle adequadas precisam ser definidas, implementadas e monitoradas para estes recursos. Apenas um framework de Controle de Objetivos de TI poderia assegurar que as organizaes recebam informaes que satisfaam seus objetivos.
Vamos agora aprender sobre o prximo componente do framework do COBIT, Critrios de Informao.
Critrios de Informao Requisitos de Qualidade Requisitos Fiducirios Processos de TI Domnios Processos Atividades Recursos de TI Aplicaes Informao Infra-estrutura Pessoas Requisitos de Segurana
Para satisfazer os objetivos de negcio, a informaes precisam estar em conformidade com um critrio especfico. No COBIT estes critrios so chamados de requisitos de negcio para informao. Para estabelecer a lista de requisitos, o COBIT combina os princpios embutidos nos modelos de referncias existentes e conhecidos. Estes 3 requisitos so: Requisitos de Qualidade, Requisitos de Segurana e Requisitos de Fiducirios. Requisitos de Qualidade
Qualidade Entrega Custo
Eficcia Eficincia Confidencialidade Integridade Disponibilidade Conformidade Confiabilidade da Informao
Requisitos de Segurana
Confidencialidade Integridade Disponibilidade
Requisitos Fiducirios
(Relatrio do COSO) Eficcia e Eficincia nas operaes Conformidade com as leis e regulamentaes Confiabilidade das demonstraes financeiras
Requisitos de Qualidade
Os requisitos de Qualidade asseguram que o sistema est preparado para o seu propsito e que o processo ir ocorrer com o mnimo de erros possvel. Os requisitos de qualidade incluem: qualidade, entrega e custo. Requisitos de Qualidade
Os requisitos de Segurana incluem: confidencialidade, integridade e disponibilidade.
Os requisitos Fiducirios so focados em satisfazer os requisitos corporativos, do setor pblico, legal e regulatrios. Os requisitos Fiducirios incluem eficincia e eficcia das operaes, conformidades com leis e regulamentos, confiabilidade dos relatrios financeiros. Para satisfazer os requisitos regulatrios o COBIT se baseia nas definies do COSO. Entretanto, o COBIT expandiu o escopo para incluir todas informaes, no somente informaes financeiras.
Categorias
Os 3 requisitos Qualidade, Segurana e Fiducirio so divididos em 7 categorias distintas que podem se sobrepor. Eficcia: Trata da informao que est sendo relevante e pertinente ao processo de negcio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e til. Eficincia: Diz respeito proviso da informao atravs do uso otimizado (mais produtivo e econmico) dos recursos. Tem foco na otimizao de custos. Confiabilidade: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e para a gerncia exercer suas responsabilidades de relatar aspectos de conformidade e finanas . Conformidade: Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito. Confidencialidade: Diz respeito proteo da informao sigilosa contra a revelao no autorizada Integridade: Relaciona-se exatido e inteireza da informao bem como sua validez de acordo com os valores e expectativas do negcio Disponibilidade: Relaciona-se informao que est sendo disponibilizada quando requerida pelo processo de negcio agora e no futuro. Tambm diz respeito salvaguarda dos recursos necessrios e s capacidades associadas. Tem foco na Entrega de servios
Entendido o framework do COBIT, vamos estudar os conceitos dos objetivos de controle.
Medido por
Eficincia & Eficcia
Para resultados
Conceitos de Objetivos de Controle

Cada processo de TI tem um objetivo de controle de alto nvel definido, o qual contem vrios objetivos de controle. Os objetivos de controle so as melhores prticas de gerenciamento baseado em padres e especialistas do mundo todo.
ME Domnios
PO1 definir um plano estratgico de TI PO2 definir a arquitetura de informao PO3 determinar a direo tecnolgica PO4 definir a organizao e relacionamentos da TI PO5 gerenciar o investimento em TI PO6 comunicar metas e diretivas gerenciais PO7 gerenciar recursos humanos PO8 garantir cumprimento de exigncias externas PO9 avaliar riscos PO10 gerenciar projetos PO11 gerenciar qualidade
Objetivo de Controle de Alto Nvel
DS
AI
Consiste em 4 domnios
Objetivos de Controle Detalhados
Tipos de Objetivos de Controle

Ns vimos como o framework do COBIT define os 34 processos de TI em 4 domnios. Cada processo de TI tem um objetivo de controle de alto nvel, o qual pode conter vrios objetivos de controle. Existem 2 tipos de objetivos de controle: objetivo de controle de alto nvel e objetivos de controle detalhados.
Objetivo de Controle de Alto Nvel
Um objetivo de controle de alto nvel uma declarao de um resultado desejado a ser alcanado atravs da implementao de procedimentos de controle dentro de uma atividade de TI especfica.
Objetivos de Controle detalhados
Objetivos de controle detalhados se baseiam em objetivos de controle de alto nvel, focando no controle de tarefas chaves e atividades que esto relacionadas com os processos de TI.
Objetivos de Controle relacionados com cada Domnio

Vamos considerar alguns exemplos de processos chaves que precisam ser controlados em cada um dos 4 domnios. Entendendo estes objetivos nos ajudar a identificar o que h de errado em uma empresa, os impactos potenciais dos erros em projetos e como estes processos podem contribuir para o desenvolvimento e execuo.
Domnios de TI
PO10 Gerenciar Projetos AI4 Desenv. e Manter Procedimentos DS2 Gerenciar Servios de Terceiros ME1 Monitorar e Avaliar a Performance de TI
Processos TI
Aquisio e Implementao Entrega e Suporte Monitorao e Avaliao
Vamos ver adiante estes objetivos de controle em detalhes em cada domnio.
PO10 Gerenciar Projetos

Controle sobre o processo de Gerenciamento de Projetos que satisfaa os requisitos de negcio para TI, da entrega de projetos que resulte no cumprimento de prazo, oramento e qualidade.
Gerencia os Projetos
O controle dos Processos de TI
Entrega do projeto dentro do prazo, custo e qualidade
que satisfaz os
Implementao do Gerenciamento de Projetos possibilitando a participao dos stakeholders e monitoramento de riscos
Requisitos de Negcio
focando as Metas de TI mais importantes
Definies para os Frameworks de Projetos.Diretrizes para o Gerenciamento de Projetos.
alcanado por
Controles Chaves
Indicadores para avaliar a performance dos projetos em relao a prazo, custo e qualidade.
medido pelo Mtricas Chaves

Vamos ver agora em detalhes os objetivos de controle para o gerenciamento de projetos
Framework de Gerenciamento de Programas Framework de Gerenciamento de Projetos Implementao Gerenciamento de Projetos Comprometimento dos Stakeholders Declarao do Escopo do Projeto Fase de Iniciao do Projeto Plano do Projeto Integrado Recursos do Projeto Gerenciamento de Riscos do Projeto Plano de Qualidade do Projeto Controle de Mudanas do Projeto Mtodos de Planejamento de Segurana Avaliao de Desempenho do Projeto Encerramento do Projeto
Mantem o programa de projetos relacionado ao portiflio de programas de investimentos de TI atravs de identificao, definio, avaliao, priorizao e controle dos projetos. Assegura que os projetos esto atendendo os objetivos do programa. Coordena as atividades dos mltiplos projetos, gerencia a contribuio de todos os projetos dentro programa para o resultado esperado, resolve necessidades de recursos e conflitos.
Estabelece e mantem um framework de gerenciamento de projetos que defina o escopo e fronteiras do gerenciamento de projetos, bem como metodologias a serem adotadas e aplicadas em cada projeto.
Estabelece um gerenciamento de projetos apropriado ao tamanho, complexidade, requisitos regulatrios para cada projeto. A estrutura de governana de projetos pode incluir funes, responsabilidades, prestao de contas ao patrocinador, patrocinadores do projetos, comit de avaliao, escritrio de projetos e gerente projetos, e os mecanismos para que estes possam executar suas responsabilidades, tais como relatrios e estgios de reviso.
Obter comprometimento e participao dos stakeholders afetados na definio e execuo do projeto dentro do contexto do programa de investimentos de TI.
Define e documenta a natureza e escopo do projeto para confirmar e desenvolver entre os stakeholders um entendimento comum do escopo do projeto e como ele se relaciona com outros projetos dentro do programa de investimento de TI.
Assegura que a iniciao das fases mais importantes do projetos estejam aprovadas formalmente e comunicadas para todos os stakeholders.
Estabelecer um plano de projeto integrado aprovado e formal. Este plano de projeto integrado deve gerenciar os sistemas de informao e de negcio para dirigir a execuo do projeto e controle do projeto durante o ciclo de vida do projeto.
Define as responsabilidades, relacionamentos, autoridades, critrios de performance do teme do projeto e especifica bases para contratao e alocao dos membros da equipe e/ou contratados para o projeto.
Elimina ou minimiza os riscos especficos associados com determinado projetos atravs de um processo sistemtico de planejamento, identificao, anlise, Monitorao e controle das reas ou eventos que podem causar uma possvel mudana no desejada.
Prepara o plano de gerenciamento de qualidade que ir descrever o sistema de qualidade do projeto e como ele ir ser implementado.
Estabelece um sistema de controle de mudana para cada projeto, desta forma todas as mudanas na baseline do projeto, como por exemplo, custo, prazo, escopo e qualidade, so revisadas a aprovadas de forma apropriada dentro de um plano de projeto integrado.
Identifica as tarefas de segurana necessrias para segurar o credenciamento de um sistemas novos ou modificados durante o planejamento do projeto e inclui ele no plano de projeto integrado.
Medidas de performance do projeto em relao a critrios chaves do projeto, como por exemplo, escopo, prazo, qualidade, custo e riscos para identificar qualquer desvio do plano do projeto.
No final de cada projeto, requer que os stakeholder certifiquem os resultados entregues pelo projeto e os seus benefcios. Identifica e documenta as lies aprendidas para o uso em projetos e programas futuros.
AI4 Desenvolver e manter procedimentos de TI

Vamos ver agora detalhes dos objetivos de controle de alto nvel para desenvolver e manter procedimentos no domnio de Aquisio e Implementao.
Controla os processos de desenvolvimento e manuteno dos procedimentos de TI
Satisfaz os requisitos de negcio e usurios finais atravs de Nveis de Servios e integrao das aplicaes com o negcio
que satisfaz os
Prover manuais operacionais e de treinamento ao usurio para o uso correto dos sistemas
Transferir o conhecimento para a equipe tcnica e usurios atravs de treinamento e manuais.
alcanado por
Controles Chaves
Indicadores para avaliar quais sistemas possuem manuais e treinamento de suporte

Vamos ver os Objetivos de Controle Detalhados para Desenvolver e manter procedimentos de TI na fase de aquisio e implementao do projeto. Planejamento para Solues Operacionais Transferncia de Conhecimento para a Gerncia de Negcio Transferncia de Conhecimento para os Usurios Finais Transferncia de Conhecimento para as Operaes e Equipe de Suporte

Develop a plan to identify and document all technical aspects, operational capability, and required service levels, so that all stakeholders can take timely responsibility for the production of management, user, and operational procedures, as a result of the introduction or upgrade of automated systems or infrastructure.

Medidas de performance do projeto em relao a critrios chaves do projeto, como por exemplo, escopo, prazo, qualidade, custo e riscos para identificar qualquer desvio do plano do projeto.

Transfer knowledge and skills to allow end users to effectively and efficiently use the application system to support business processes. The knowledge transfer should include the development of a training plan to address initial and ongoing training and skills development, training materials, user manuals, procedure manuals, online help, help desk support, key user identification, and evaluation.

Transfer knowledge and skills to enable operations and technical support staff to effectively and efficiently deliver, support, and maintain the application system and associated infrastructure according to the required service levels. The knowledge transfer should include initial and ongoing training and skills development, training materials, operations manuals, procedure manuals, and service desk scenarios.
Entrega e Suporte
DS2 Gerenciar servios de terceiros

Vamos aprender agora os objetivos de controle de alto nvel para Gerenciar servios de terceiros na fase de Entrega e Suporte do projeto.
Controla os processos de gerenciamento dos servios de terceiros.
Os servios de terceiros devem satisfazer os requisitos de negcio para TI em relao a benefcios, custos e riscos.
que satisfaz os
Estabelecer relacionamentos com responsabilidades bilaterais com provedores de servios qualificados
Identificar e categorizar os tipos de fornecedores. Identificar e mitigar riscos. Avaliar performance.
alcanado por
Indicadores para avaliar a performance dos prestadores de servio.
Controles Chaves
Entrega e Suporte

Vamos ver detalhadamente os objetivos de Controle para o Gerenciamento de servios de terceiros na fase de Entrega e Suporte do processo de TI.
Identificao de todos os Relacionamentos com Fornecedores Gerenciamento de Relacionamento com Fornecedores Gerenciamento de Riscos com Fornecedores Gerenciamento de Performance com Fornecedores
Entrega e Suporte
Identifica todos os servios dos fornecedores e os categoriza de acordo com o tipo de fornecedor, importncia, criticidade. Mantem uma documentao formal dos relacionamentos tcnicos e organizacionais, cobrindo funes, responsabilidades, metas, resultados esperados e nomes dos contatos destes fornecedores.
Entrega e Suporte
Formalize o processo de gerenciamento de relacionamento com cada fornecedor. Os responsveis pelo relacionamento precisam ligar as questes do cliente com o fornecedor e assegurar a qualidade do relacionamento baseada na verdade e transparncia, por exemplo, atravs de Acordos de Nvel de Servio.
Entrega e Suporte
Identifica e mitiga os riscos relacionados com a habilidade do fornecedor para continuar a entrega de servio efetiva de uma maneira eficiente e segura. Assegurar que os contratos estejam em conformidade com padres de negcios universais de acordo com requisitos legais e regulatrios.
Entrega e Suporte
Estabelece um processo para monitorar a entrega de servio assegurando que o fornecedores est atendendo os requisitos do negcio e est atendendo o nvel de servio acordado em contrato, e que a performance competitiva com fornecedores alternativos com a mesma condio no mercado.
Monitorao e Avaliao
ME1 Monitorar e Avaliar a Performance de TI

Vamos ver agora os objetivos de controle de alto nvel nos processos da fase de Monitorao e Avaliao do Projeto.
Controla os processos de Monitorao e Avaliao da Performance de TI
Satisfaz os requisitos de negcio para TI como transparncia e entendimento dos custos de TI, benefcios, estratgia, nveis de servio.
que satisfaz os
Focar na implementao de mtricas de avaliao de performance.
Transformar os relatrios de performance em relatrios gerenciais.
alcanado por
Avaliar quais processos esto sendo monitorados, aes tomadas.
Controles Chaves
Monitorao e Avaliao

Vamos ver em detalhes os objetivos de controle para os processos da fase de monitorao do projeto.
Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Monitorao e Avaliao
Implementao da Monitorao Definio e Coleo de Dados para Monitorao Mtodo de Monitorao Avaliao de Performance Relatrio para o Conselho e Administrao Aes corretivas
Assegura que a administrao estabelea um framework de monitorao, e defina o escopo, metodologia e processo para ser seguido para monitorar a contribuio de TI para o resultado da empresa.
Monitorao e Avaliao
Define indicadores de performance, medidas, targets e bechmarks que sejam relevantes para os stakeholders.
Monitorao e Avaliao
Assegura que o processo de monitorao desenvolva um mtodo como um balanced scorecard que fornece uma viso suscinta da performance de TI e esteja adequado com o sistema de monitorao corporativo.
Monitorao e Avaliao
Reviso peridica da performance em relao as metas, realiza a anlise de causa raiz, inicia aes corretivas para eliminar as causas.
Monitorao e Avaliao
Fornece relatrios gerenciais para a reviso da administrao sobre as metas, performance do portflio de projetos relacionados a TI, contribuio da TI para o negcio.
Monitorao e Avaliao
Identifica e inicia aes corretivas baseadas na monitorao de performance, avaliao e relatrios.
Mdulo 4
Diretrizes de Gerenciamento e Auditoria
Curso Online
www.tiexames.com.br
Objetivos
Este mdulo descreve as diretrizes de gerenciamento e de auditoria. No final deste mdulo voc conseguir: Descrever as entradas e sadas dos processos, atividades e grficos RACI, e mtricas e metas. Descrever uma aproximao genrica de auditoria para as diretrizes de auditoria
Diretrizes de Gerenciamento
Objetivos
Ns j aprendemos sobre os objetivos de controle. Agora vamos aprender sobre os conceitos de diretrizes de gerenciamento.
Medido por
Eficincia & Eficcia
Para resultados
Diretrizes de Gerenciamento
Existem muitas questes sendo levantadas pela administrao, como as que temos abaixo. Estas questes sero respondidas durante este mdulo.
Como os gerentes responsveis iro manter O navio em curso?
DASHBOARD
Indicadores
Como conseguir resultados que sejam satisfatrios para o segmento dos nossos stakeholders ? Como adaptar a organizao rapidamente Para as tendncia do seu ambiente ?
SCORECARDS
Mtricas
BENCHMARKING
Comparaes
Scorecards e Mtricas
As Diretrizes de Gerenciamento especificam medidas de resultado em forma de KGIs (Key Gol Indicadors) e medidas de performance em forma de KPIs (Key Performance Indicators (KPIs). Estas medidas de performance pode ser usada para medir e monitorar o progresso em direo ao resultado esperado. As Diretrizes de Gerenciamento do COBIT sugerem usar Balanced Business Scorecards, os quais fornecem mtricas para alcanas as metas de TI. O scorecard tem 4 dimenses que mapeiam as metas e indicadores de performance:
Framework de Diretrizes de Gerenciamento

As Diretrizes de Gerenciamento fornecem 34 processos, Entradas e Sadas com vnculos para outros processos, atividades chaves para os processos, grficos RACI, Metas e Mtricas.
Descrio do Processo
The control of
TI process
Critrios de Informao Recursos
which satisfy
Business Requirements
is enabled by
Control Statements
and considers
Control Practices
Fatores Crticos de Sucesso
h h h h h h
Key Goal Indicators h h h Key Performance Indicators h h
0 - Processos de Gerenciamento no so
aplicados a todosl. 1 Os processos so desorganizados. 2 Os processos seguem um padro regular. 3 - Os processos so documentados e comunicados. 4 Os processos so monitorados e medidos. 5 As melhores prticas so seguidas e automatizadas

Vamos aprender sobre as Entradas e Sadas de processos
Entradas e Sadas de Processos
Atividades Chaves e Grfico RACI
TI, Processos e Metas

Cada processo vinculado com outros processos. Entradas so deliverables necessrios para um processo a partir de outros processos. As sadas so deliverables fornecidos para outros processos. Em alguns casos, as entradas e sadas no fazem parte do COBIT. Exemplo: P010 Gerenciar Projetos De PO1 PO5 PO7 PO8 AI7 Entradas
Portfolio de Projetos Portfolio de Projetos de IT Atualizados Matriz de habilidades de TI Padres de Desenvolvimentos Reviso ps-implementao
Sadas
Relatrios de Performance do Projeto Plano de Gerenciamento de Riscos do Projeto Diretrizes de Gerenciamento de Projetos Planos de Projetos detalhados Portfolio de Projetos atualizados
Para
ME1 PO9 AI1.... PO8 PO1 ...AI7 AI1.... PO5 ...AI7 DS

Vamos aprender sobre as Atividades Chaves e Grficos RACI
Atividades Chaves e Grficos RACI

Para cada processo, as atividades chaves so definidas junto com um grfico RACI (Responsible, Accountable, Consulted, and Informed) para cada processo. Accontable signifca aqui para o dinheiro. Esta a pessoa que fornece direo e autorizada uma atividade. Esta no pode ser delegada. Responsibility significa que a pessoa que executa a tarefa. Neste caso, a tarefa no pode ser delegada. As outras funes, consulted e informed, asseguram que qualquer que precisa ser envolvido e suporte o processo. O grfico RACI define as tarafas que precisam ser delegadas e para quem.

Vamos aprender sobre TI, processo e metas
TI, Processos, Metas

Metas e mtricas so definidas no COBIT em 3 nveis: Metas e mtricas de TI que definem o que o negcio espera de TI (o que o negcio usaria para medir TI) Metas e mtricas de processos que definem o que o processo de TI precisa entrar para suportar os objetivos de TI (como o proprietrio do processo de TI ser avaliado) Mtricas de performance de processos (para medir como est a performance do processo indicando se as metas iro ser atingidas)
Tipos de Mtricas
O COBIT usa 2 tipos de mtricas: indicadores de meta e indicadores de performance. Os indicadores de meta do nvel mais baixo tornam os indicadores de performance para o nvel mais alto.

Vamos agora aprender mais sobre os KGIs
Key Goal Indicator Indicadores de Meta

Os KGIs definem medidas que dizem administrao se os processos de TI atingiram os seus requisitos de negcios. So medidas aps o fato ocorrido, normalmente expressados em termos de critrios de informao: Disponibilidade de informao necessrio para suportar as necessidades do negcio Ausncia de integridade e riscos de confidencialidade Confirmao da confiabilidade, eficcia e conformidade O COBIT define 2 nveis de KGIs: uma para o departamento de TI (KGI de TI) e outro para o processo de TI (KGI de processo). Exemplo: P010 Gerenciar Projetos KGI de TI Percentual de projetos que esto atingido as expectativas dos stakeholder (a nvel de tempo, oramento e requisitos de negcios por peso de importncia) KGI de Processo Percentual de projetos no prazo e dentro do oramento Percentual de projetos que esto atingido as expectativas dos stakeholders

Vamos agora aprender mais sobre os KPIs
Key Performance Indicator Indicadores de Performance

Os KPIs definem medidas que determinam como est a performance do processo de TI em relao a meta a ser alcanada. Eles so indicadores de aviso que informam se uma meta ser alcanada ou no, e so bons indicadores de capacidades, prticas e habilidades. Eles metem as atividades chaves, as quais so aes que o proprietrios do processo deve tomar para alcana a performance efetiva do processo. Exemplo: P010 Gerenciar Projetos Percentual de projetos seguindo padres e prticas de gerenciamento Percentual de gerentes de projeto certificado ou treinados Percentual de projetos recebendo revises ps-implementao Percentual de participao dos stakeholders em projetos (ndice de envolvimento)

Vamos agora aprender mais sobre os Modelos de Maturidade
Benchmarking
Modelos de maturidade fornecem uma escala para comparar (fazer benchmarking) as prticas da empresa com relao a indstria e padres e diretrizes internacionais. Um modelo de maturidade uma medida que possibilita uma organizao a classificar sua maturidade para um certo processo de inexistente (0) otimizado (5).
Inexistente 0
Inicial 1
Reptivel 2
Definido 3
Gerenciado 4
Otimizado 5
Legenda para os Smbolos

Enterprise current status International standard guidelines Industry best practice Enterprise strategy
Legendas para o Ranking

0 Processos de Gerenciamento no so aplicados a todosl.
1 Os processos so desorganizados. 2 Os processos seguem um padro regular. 3 - Os processos so documentados e comunicados. 4 Os processos so monitorados e medidos. 5 As melhores prticas so seguidas e automatizadas .
Diretrizes de Auditoria
Tendo entendido os objetivos de controle e diretrizes de gerenciamentos, vamos agora ver os conceitos de diretrizes de auditoria.
Medido por
Eficincia & Eficcia
Para resultados
Objetivos da Auditoria
Fornece gerenciamento com segurana razovel que os objetivos de controle esto sendo alcanados Onde exister pontos fracoes de controle significantes, ser verificado os riscos resultantes Aconselhar a administrao em aes corretivas
Est tudo bem? E se no estiver, o que fazer para corrigir?
O COBIT fornece Diretrizes de Auditoria para ajudar os auditores internos e externos a avaliarem a performance da organizao.
Auditores externos
Auditores internos
Antes de vermos os componentes das Diretrizes de Auditoria, vamos ver como as Diretrizes de Auditoria esto vinculadas com os outros componentes do framework do COBIT.
Medido por
Eficincia & Eficcia
Para resultados
Estrutura do Processo de Auditoria

A estrutura do processo de auditoria geralmente aceita compreende 4 estgios:
Identificao e Documentao
Avaliao
Testes de Conformidade
Testes Substantivos
Obtm um entendimento dos riscos relacionados aos requisitos de negcio e medidas de controle relevantes
Avaliao dos controles determinados
Avaliao da conformidade testando se os controles determinados esto funcionando como prescritos, consistentemente e continuamente
Verificando os riscos dos objetivos de controle que no esto sendo alcanados atravs de tcnicas analticas e/ou consultando fontes alternativas
Requisitos para a Auditoria de Processos

Tendo definido o que ser auditado e fornecido segurana, hora de determinar a forma ou estratgia mais adequada para executar a auditoria. Para isto o COBIT sugere sugere seguir os seguintes requisitos para a auditoria de processo: Preocupao com processo de negcio. Definir o escopo da auditoria Plataformas, sistemas e seus relacionamentos com o suporte ao processo. Funes, responsabilidades e estrutura organizacional Identificar requisitos de informao relevantes para o processo do negcio Relevncia para o processo de negcio. Mudanas recentes e incidentes no negcio e ambiente de tecnologia. Identificar ricos de TI inerentes e um nvel de controle abrangente Resultados de auditorias, auto-avaliaes e certificaes. Controles de monitorao aplicados pela administrao. Selecionar processos e plataformas a serem auditadas Processos. Recursos Controles x risco. Criar uma estratgia de auditoria Passos e tarefas. Pontos de deciso.
Auditoria de Processos de TI
Um processo de TI auditado atravs de:
Obteno e entendimento dos riscos relacionados com os requisitos de negcio e

medidas de controle relevante.
Verificao dos controles determinado, avaliando se estes so apropriados. Avaliao de conformidade atravs de testes que verifique se o controle
determinado est funcionando como previsto, de forma consistente e contnua.
Verificao dos riscos dos objetivos de controle no estarem sendo

atingidos atravs de anlises tcnicas ou consultando outras fontes alternativas.
Diretriz de Auditoria Genrica

Uma diretriz de auditoria genrica identifica vrias tarefas a serem executadas para avaliar qualquer objetivo de controle dentro de um processo. Esta diretriz um modelo para todos os objetivos de controle. Diretrizes de Auditoria orientadas para 34 processos Outras tarefas so especficas, sugestes para tarefas orientadas a processos fornecem uma segurana de gerenciamento que um controle existe e tem um nvel de eficcia razovel.
Diretriz de Auditoria Genrica (1 de 4)

Obteno e Entendimento
So os passos de auditoria a serem executados para documentar as atividades relacionadas com os objetivos de controle assim como identificar as medidas/procedimentos de controle a serem aplicados. Para fazer isto a equipe de auditoria precisa entender de maneira clara as reas de auditoria seguindo os seguintes procedimentos: Entrevistar os gerentes e equipes apropriadas para obter e ter um entendimento de: Requisitos de negcio e riscos associados Estrutura da Organizao Funes e responsabilidades Polticas e procedimentos Leis e regulamentos Medidas de controles j aplicadas Relatrios gerenciais (status, performance, aes)
Documentar o processo relacionado com os recursos de TI que afetam particularmente o processo sob anlise. Confirmar o entendimento do processo sob anlise.

Avaliao de Controles
O prximo passo a ser executado avaliar a eficcia das medidas de controle ou o grau para qual o Objetivo de Controle alcanado, para isto necessrio determinar o que e como testar: Avaliando se a medidas de controle so apropriadas para o processo sob anlise, considerando o critrio identificado prtica padres na indstria e aplicando julgamento profissional. Determinando se: Processos documentados existem Deliverables apropriados existem A Responsabilidade e a prestao de contas est clara Controles de compensao existem quando necessrio
Concluindo o grau para o qual o objetivo de controle alcanado

Avaliao de Conformidade
O terceiro passo assegurar que as medidas de controle estabelecidas esto funcionando como previsto, de forma consistente e contnua, e so apropriadas para o ambiente de controle: Obter evidncia direta ou indireta para os itens/perodos selecionados para verificar se os procedimentos esto em conformidade. Realizar uma reviso limitada de adequao dos deliverables do processo Determinar o nvel de testes substantivo e trabalho adicional necessrio para fornecer uma garantia que o processo de TI est adequado.

Anlise de Riscos
O passo final verificar os riscos do Objetivo de Controle no estar sendo alcanado usando tcnicas analticas e/ou consultando fontes alternativas. Documentar as deficincias do controle e possveis ameaas e vulnerabilidades Identificar e documentar o impacto atual e potencial
Diretrizes de Auditoria x Objetivos de Controle

Veja como as Diretrizes de Auditoria e Objetivos de Controle esto vinculados:
Obteno e Entendimento
Coleta informaes de fundamento para identificar pontos chaves do negcio, riscos, infra-estrutura, etc
Avaliao de Controles
Analisa os Objetivos de Controle para verificar se estes so apropriados para a empresa e atendem as necessidades da administrao
Avaliao de Conformidade
Analisa os Objetivos de Controle para testar e/ou medir se existem controles presentes para suportar os objetivos de controle e se estes esto operando de forma satisfatria
Anlise de Riscos
Analisa as falhas nos objetivos do negcio, perdas, etc, devido a ausncia de controle adequado
Diretrizes de Auditoria X Elementos do COBIT

Veja na ilustrao ao lado como as Diretrizes de Auditoria se relaciona com todos os outros elementos do COBIT
Negcio requisitos Informao Processos de TI
Contr ola do po r
iente a efic Torn z com efica
M ed id o
Au di ta do
ado ent lem Imp Com
em
po r
po r
T
o id z du ra
ra Pa
rm fo r pe
Para resultad o
ce an
Fatores Critcos de Sucesso

e ad id
Prticas de Controle
ra pa a ur at m
Key Performance Indicators
Key Goal Indicators
= levados em considerao

Apostila COBIT - Fundamentos de Governança em TI (Mai06)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Apostila COBIT - Fundamentos de Governança em TI (Mai06)

Uploaded by

Copyright:

Available Formats

Mdulo 1

Bem vindo ao Curso de COBIT

Manter os Servios de TI disponveis

Ambientes cada vez mais complexos

Alinhar a TI com o negcio

Conformidade com exigncias regulatrias

O que vamos ver agora?

O que Governana de TI?

Princpios de Governana de TI Stakeholders de Governana de TI Escopo de Governana de TI

COBIT apenas mais um modismo?

Planeja a Direo Diretores Especifica os Objetivos Mtricas E Medidas

Planeja a Direo Diretores Especifica os Objetivos Mtricas E Medidas

Planeja a Direo Diretores Especifica os Objetivos Mtricas E Medidas

Planeja a Direo Diretores Especifica os Objetivos Mtricas E Medidas

Alinhando TI com o Negcio

Alinhando TI com o Negcio

Importncia do Gerenciamento de Riscos

Se voc no poder medir o processo, voc no poder gerenci-lo.

Governana e o Framework de Controle

Caractersticas de um framework de controle

Alinhamento Estratgico Departamento de TI

Orientado por processos

atividade de forma fcil e rpida.

Vamos apresentar a seguir os componentes do framework do COBIT.

esquema de classificao material de guia e padres

Guia Ferramentas Exemplos

1996 1998 2000 2002 2005

Empresas que usam COBIT

Maior valor entregue e controle

Qual a Premissa dos Princpios do Framework do COBIT?

Objetivos do Negcio Processos do Negcio Informao Recursos TI

Qual o Princpio do Framework do COBIT?

Estratgia do negcio Processos de TI

Estratgia do negcio Processos de TI

Componentes do Framework do COBIT

1. Planejamento e Organizao 2. Aquisio e Implementao 3. Entrega e suporte 4. Monitorao e avaliao

O COBIT para a Governana de TI

O COBIT para Governana de TI

Como o COBIT atende os requisitos de um Framework de Controle?

Fornece um foco Maior no Negcio

Define uma Linguagem Comum

Ajuda a atender Os Requisitos Regulatrios

um padro aceito Entre organizaes

Componentes das Diretrizes de Gerenciamento

Key Goal Indicators (KGIs)

Key Goal Indicators

Key Performance Indicators (KPIs)

Key Performance Indicators

Atividades dos Processos e Grficos RACI

O COBIT diz o que fazer, mas no como fazer.

O COBIT e outros Padres de Mercado

Relacionamento com outros Padres

Vantagens da adoo do COBIT

O COBIT totalmente compatvel com outros frameworks.

Estes frameworks fornecem um ambiente altamente controlado e flexvel na organizao.

Foco de atuao de cada padro

Relevncia dos padres

Relao com o COSO

Como o COBIT responde aos requisitos regulatrios

Como o COBIT ajuda os Auditores e Diretores

Eficincia & Eficcia

Traduzido por Diretrizes de Auditoria

Objetivos das Atividades