Trainning - Cobit Foundation v41 or

Instrutor: Alcides Casarin Junior
email: acasarinjr@hotmail.com
ormação: COBIT 4.1 Foundations

ww.trainning.com.br
Formação: COBIT 4.1 Foundations
www.trainning.com.br
• Welcome
• Respondendo aos Desafios de TI
• Governança (Corporativa e TI)
• Introdução ao Cobit
• Estrutura do COBIT
• Guidelines (Management and Assurance )
• Recursos e Implementações
• Material Complementar
• Trainning
• Instrutor
• Classe
• O objetivo deste curso é preparar o aluno para a
prova de Certificação COBIT® Foundation.
COBIT® é marca registrada do ISACA e do ITGI

Motivação – ITGI e ISACA
Crescente criticidade da tecnologia da informação para sucesso empresarial
ISACA - Information Systems Audit and Control Association
• Fundada em 1967
• Mais de 175 capitulos estabelecidos em mais de 70 paises
• Mais de 75.000 associados espalhados por mais de 160 paises
• Em 1992 a idealização do COBIT foi concebida, mas a primeira versão foi liberada em
1996.
• Site: www.isaca.org
ITGI - IT Governance Institute
• Fundada em 1998
• Visa beneficiar as empresas, ajudando líderes em suas responsabilidades de fazer a TI
bem sucedida no apoio a missão e aos objetivos da empresa
• Oferece pesquisa, recursos eletrônicos e casos de estudos para ajudar líderes e o
conselhos de diretores em suas responsábilidades sobre Governança de TI.
• Site : www.itgi.org
Control Objectives for Information and related Technology
Estrutura de controles desenvolvidos por auditores de sistemas.
A estrutura foi construída a partir de padrões e práticas já

existentes.
É uma ferramenta prática de gerenciamento e não uma

metodologia
Uma estrutura de governança e controle que foca em “o

que precisa ser feito (achieved) ” ao invés de “como
fazer”
• Onde fazer a prova:
▫ Pesquisar por parceiros

 http://cobitcampus3.isaca.org
▫ ITPreneurs
www.itpreneurs.com
▫ Prova
 40 questões multipla escolha
Duração de uma hora
Mínimo de 28 (70%) questões corretas
▫ Pré-requistito
Nenhum
▫ Investimento (Média)
U$ 120.00 - Direto
R$ 500,00 – Parceiros
▫ Certificado Cobit Foundation é pré-requisto para os cursos

Workshop: Implementing IT Governance using COBIT
Curso: COBIT for Sarbanes Oxley IT compliance
▫ Créditos
Continuous Professional Education (CPE)
Certificado mundialmente reconhecido
• Documento de Identificação
• Prova subjetiva
• Lingua inglesa e Portuguesa
• Qual a melhor resposta
• Tempo
• Intervalo
Estratégia para estudo
• Cadastre-se no site: www.isaca.org

• Baixe os livros abaixo
• COBIT 4.1
• Board Briefing on IT Governance, 2nd Edition
• Ler COBIT até a página 28
• Ler COBIT: Sumário de c/ Objetivo de Controle de Alto Nível
• Ler COBIT: Anexo VIII, atente-se para o item denominado VAL IT
• Ler - Board Briefing on IT Governance (Recomendado)
• Faça TODOS os simulados
• Meta de acerto de 35 questões, marque o exame!
Roteiro para aplicação da prova
O exame é realizado pela internet através do site da IT Preneurs, você não precisa fazer o
exame em um centro de testes, pode fazer em qualquer computador com acesso a internet.
Não é necessário informar que fez um curso presencial.
Passos para registrar-se no exame:
1 - Comprar a prova do COBIT no site da IT Preneurs

2 - Baixar os formularios de registro do candidato e do Proctor. O Proctor é a pessoa que vai
acompanhar você durante o exame, é quem vai receber o login para iniciar o exame. Você
pode escolher qualquer amigo seu ou colega de trabalho para ser o seu Proctor.
3. Envie os formulários de registro para o e-mail da IT Preneurs já com a data e horário que
você quer realizar a prova.
4. O seu Proctor irá receber no e-mail dele os dados para iniciar a prova um dia antes do
exame marcado.
5. Entre no horário marcado com o login e senha e realize o exame no site da IT Preneurs.
6. Após 30 dias você receberá seu certificado por correio, caso você seja aprovado. É
necessário acertar 28 questões. A prova tem 40 questões em inglês
Fonte: www.itpreneurs.com
Respondendo os Desafios de TI
Responding to IT Challenges
• Desafios de TI
▫ Manter a TI funcionando
▫ Criação de Valor
▫ Redução de Custos
▫ Gerenciamento das Complexidades
▫ Alinhamento com o Negócio
▫ Cumprimento das regulamentações externas
▫ Segurança
• Resposta aos Desafios de TI

▫ Estrutura de Controle
Manter a TI funcionando - Keeping IT running
As empresas dependem fortemente da TI, quando os sistemas se

tornam indisponíveis os impactos nos negócios podem ser
significativos
“When a server stops responding, the end user is not able to track data.
This leads to loss of customers/business” (Quando um servidor para de
responder, o usuário final não é capaz de monitorar os dados. Isto leva à perda
de clientes / negócios)
Exemplos
• Processos críticos de negócio, como emissão de notas fiscais, podem ser

interrompidos.
• Os usuários de TI perdem acesso à suas agendas, e-mail e documentos.
• Os clientes não conseguem contatar a central de atendimento
• Perda de negócios, redução de lucro e prejuízo à imagem da organização.
Valor - Value
A empresa precisa garantir que todas as ações da TI forneça valor, pois

seus investimentos são significativos dada a sua importância estratégica.
“Keeping track of IT expenditure is as important as keeping track of other

business expenditure” (Manter-se a par das despesas TI é tão importante como
manter o rasto de outras despesas empresariais)
Em muitos dos projetos de TI que excedem os orçamentos ou prazos,

os problemas típicos são:
• Requerimentos definidos de forma superficial

• Sistemas são muito complexos para serem implementados
• Falta de recursos com habilidades necessárias
• Esforço requeridos de forma subestimada
• Fraca gestão de projetos.
Custos - Cost
Apesar da forte pressão por redução do orçamento de TI, os gastos de TI
ainda são considerados em algumas empresas como “fora de controle”.
“Keeping track of IT expenditure is as important as keeping track of other

business expenditure”
Razões
• Muitas empresas não apuram custos associados com ativos e serviços de TI.
• Os orçamentos de TI aumentam todos os anos como resultado da
complexidade dos contratos de licenciamento, manutenção e terceirização.
• Projetos mal administrados que geram orçamentos adicionais.
• Os gastos em TI pelas unidades de negócio e do próprio departamento de TI
não são coordenados.
Gerenciamento das Complexidades - Managing Complexity
As inovações tecnológicas ocorrem rapidamente e a TI sofre pressão de

muitos fornecedores
“Managing vendors is a critical task, and this should be done with great
care” (Gerenciamento de fornecedores é uma tarefa crítica, e deve ser feito com
muito cuidado)
Complexidades
• Manutenção das competências técnicas

• Gerenciamento de diversas infra-estruturas tecnológicas
• Adaptação para mudanças rápidas e novos desenvolvimentos
• Gerenciamento de relacionamentos externos e fornecedores de serviços.
Alinhamento de TI aos Negócios - Aligning IT with Business
Em muitas empresas, o gap entre o que os usuários esperam e o que o TI

fornece continua a existir.
“You need to make sure that IT and the business are aligned with each
other instead of working in parallel” (Você precisa ter a certeza que TI e
negócios estão alinhados uns com os outros em vez de trabalhar em paralelo)
Principais razões
• Requerimentos de negócio definidos de forma superficial.

• Inabilidade de definir prioridades
• Complexidade dos projetos
• Falta de comprometimento das áreas de negócio
• Falta de direcionamento de negócio para as soluções
• Falha de comunicação entre o negócio e TI.
Cumprimento das Regulamentações - Regulatory Compliance
As regulamentações que governam as operações de negócio impactam nos

sistemas de TI.
“Specific compliance requirements need to be understood. A legal contract

should be in place before interacting with other organizations” (Cumprimento
das obrigações específicas precisam ser compreendidas. Um contrato legal deve ser
posto em prática antes de interagir com outras organizações)
área de TI precisa entender as leis e requerimentos

regulatórios locais e internacionais que estejam
relacionadas à:
• Governança corporativa e relatórios financeiros

• Privacidade e segurança
Segurança - Security
O desejo de fazer a informação ser prontamente disponível pela tecnologia

gera riscos de segurança.
“The goals include agreed and aligned objectives for IT, effective controls,
and efficient performance tracking.” (As metas incluem objetivos acordados e
alinhados para TI, controles eficazes e desempenho eficiente de monitoramento)
Fatores
• O uso de rede de comunicação, expõe os sistemas internos para o mundo.

• Vírus e hackers
• Mal uso da informação
• Complexidades técnicas do ambiente e os problemas de segurança
associados
• Baixa conscientização a questões de segurança entre os usuários de TI.
Para efetivamente resolver os problemas de TI é necessário ligar os
desafios de TI com uma estrutura de controle e determinar como estes
desafios podem ser melhor gerenciados
“A control framework for IT governance defines the reasons IT governance

is needed, the stakeholders and what it needs to accomplish” (Uma estrutura
de controle de governança de TI define as razões por que governança de TI é
necessária, os interessados e o que é preciso realizar)
Motivadores
• Vantagem Competitiva
• Tratar os Riscos
• Explorar os benefícios de TI
• Requerimentos de negócio
• Requerimentos das normas regulatórias
Foco no Negócio – Focused on the business
O objetivo é alinhar a TI aos objetivos de negócio
“Provide a business focus to enable alignment between business and IT objectives”

(Prover foco no negócio para permitir o alinhamento entre os objetivos de negócios e TI )
“link the management’s IT expectations with the management’s IT
responsibilities”
(vincula as expectativas de gerenciamento de TI com as responsabilidades de gerenciamento de
TI )
“The objective is to facilitate IT governance: to deliver IT value while managing
IT risks”
(O objetivo é facilitar a governança de TI: entregar valor de TI enquanto gerencia os riscos de
TI)
“an organization should involve IT in business-level decision making so that IT
can align its objectives with business objectives”
(A organização deverá envolver TI a nível da tomada de decisão nos negócios, para que possa
alinhar os seus objetivos com os objetivos empresariais)
Orientação a Processo - Focused on Process
Garantir que as atividades são organizadas em processos e que possuem responsáveis

pelas execução das mesmas
“Establish a process orientation to define the scope and extent of coverage, with a
defined structure enabling easy navigation of content”
(Estabelecer orientação a processos para definir o escopo e a extensão da cobertura,
com uma estrutura definida que permita fácil navegação dos conteúdos)
Aceitabilidade Geral - Generally Acceptable
As melhores práticas para a Governança de TI:
Testadas e globalmente aceitas e que aumentam a contribuição da TI para o

sucesso da organização.
Estas práticas foram desenvolvidas baseadas nas experiências de diversos

especialistas do mundo todo
“Be generally acceptable by being consistent with accepted IT good practices and
standards and independent of specific technologies”
(Ser geralmente aceitas por serem coerentes com as boas práticas e normas e
independente de tecnologias específicas)
Linguagem Comum - Common Language
Ao longo do tempo, as melhores práticas tendem a adquirir uma terminologia distinta

que é definida por uma estrutura.
A terminologia comum permite comunicação dentro da organização, entre profissionais

de outras empresas e com parceiros e terceiros
“Supply a common language with a set of terms and definitions that are generally
understandable by all stakeholders”
(Fornecer uma linguagem comum com um conjunto de termos e definições que são
geralmente compreensíveis por todos os interessados)
Stakeholders within the enterprise who have an interest in generating value from IT investments:
(Os “stakeholders” dentro da empresa que têm interesse em gerar valor a partir dos investimentos em TI)
• Those who make investment decisions (Aqueles que tomam decisões de investimentos)
• Those who decide about requirements (Aqueles que decidem sobre requisitos)
• Those who use IT services (Aqueles que usam os serviços de TI)
Internal and external stakeholders who provide IT services: (Os “stakehorders” internos e externos que prestam
serviços TI)
• Those who manage the IT organisation and processes (Aqueles que gerenciam a organização e processos
de TI)
• Those who develop capabilities (Aqueles que desenvolvem capacidades)
• Those who operate the services ( Aqueles que operam os serviços)
Internal and external stakeholders who have a control/risk responsibility: (Os “stakeholders” Internos e
externos que tenham responsabilidades sobre controle / risco )
• Those with security, privacy and/or risk responsibilities (Aqueles com responsabilidades na segurança,
privacidade e/ou riscos.)
• Those performing compliance functions (Aqueles que executam funções de conformidade)
• Those requiring or providing assurance services (Aqueles que exigem ou fornecem serviços de garantia)
Requerimentos Regulatórios - Regulatory Requirements
O cumprimento à regulamentações é geralmente uma tarefa cara e onerosa.
É mais fácil demonstrar cumprimento se uma estrutura de controle for baseado em um

padrão aceito pelo mercado.
Auditores também são beneficiados quando realizam auditorias de controles quando o

modelo aceito é adotado pelas empresas
“Help meet regulatory requirements by being consistent with generally accepted

corporate governance standards (e.g., COSO) and IT controls expected by regulators
and external auditors”
(Ajuda a satisfazer os requisitos regulatórios por ser coerente com as normas geralmente aceitas de governança
corporativa (por exemplo, COSO) e controles de TI esperado pelas autoridades reguladoras e auditores
externos)
• COSO
▫ Committee of Sponsoring Organisations of

the Treadway Commission’s (COSO’s)
Internal Control
Estrutura de controle amplamente aceita

para a Governança Corporativa e
Gerência de Risco (COSO ERM)
Fonte: www.coso.org
COSO
Processo de controles internos, executados pelo comitê

administrativo, gestores e outras pessoas designadas a
garantir a realização de objetivos nas seguintes categorias:
▫ Eficácia e eficiência das operações

▫ Confiabilidade nas informações financeiras
▫ Conformidade com leis e regulamentações
Tem sido adotado por muitos setores privados e governamentais

Estrutura de controle que influência o desenvolvimento de outros
controles e estruturas de gerenciamento, como por exemplo o COBIT
Fonte: Board Briefing On It Governance, 2Nd Ed

COBIT
“Control Objectives for Information and related Technology”

Objetivos de Controle para Informações e Tecnologias relacionadas
Estrutura de controle amplamente aceita para a Governança de TI
Fonte: www.isaca.org
COBIT
O COBIT é um framework de governança e controle, que foca no que

precisa ser alcançado ao invés de se preocupar em como alcançar.
• É uma estrutura de controles, construída a partir de padrões e práticas

já existentes, tornando-se uma ferramenta prática de gerenciamento e
não uma metodologia.
• Como um modelo de controle, o COBIT deve ser adaptado para

empresa, plataforma de TI e padrões de sistemas
Governança Corporativa
Enterprise Governance
Governança de TI
IT Governance
▫ Conceito
▫ Envolvidos
▫ Envolve e Objetivo
▫ Benefícios
Governança TI
▫ Conceito e Envolve
▫ Motivador
▫ Incorporada a Governança Corporativa
▫ Importância: Valor, Risco e Controle
▫ Responsabilidade, Integra e institucionaliza e conjunto de controles
▫ Benefícios
▫ Os Princípios da Governança de TI
▫ As Partes Interessadas da Governança de TI
▫ Escopo da Governança de TI
▫ Governança de TI X Gerenciamento de TI
Conceito
“É o conjunto de práticas que tem por finalidade otimizar o

desempenho de uma companhia ao proteger todas as partes
interessadas — como investidores, empregados e credores —
facilitando o acesso ao capital.”
Fonte: www.cvm.gov.br
“Sistema pelo qual as sociedades são dirigidas e monitoradas,

envolvendo os relacionamentos entre acionistas/cotistas, conselho e
administração, diretoria, auditoria independente e conselho fiscal.
As boas práticas de governança corporativa têm a finalidade de
aumentar o valor da sociedade, facilitar seu acesso ao capital e
contribuir para a sua perenidade.”
Fonte: www.ibgc.org.br
Envolve
▫ Direitos dos acionistas

▫ Eqüidade no tratamento dos acionistas
▫ Função dos acionistas
▫ Transparência e Revelação (Prestação de Contas)
▫ Responsabilidade do comitê administrativo (Atividades, Social e
Ambiental)
Objetivo
▫ Aumento do valor da companhia

▫ Proteger contra desvios de ativos
▫ Proteção aos investidores
▫ Valorização da Empresas
Fonte: www.cvm.gov.br e COBIT - Board Briefing on IT Governance, 2nd Ed

Benefícios
• Aprimoramento do processo decisório da alta gestão

• Separação clara de papéis entre acionistas, conselheiros e executivos
• Melhoria dos mecanismos de avaliação de desempenho e recompensa
dos executivos
• Diminuição da probabilidade de ocorrência de fraudes e corrupção
• Maior institucionalização e a melhor imagem da companhia
Conceito
“Conjunto de estruturas e processos que visa garantir que a TI

suporte e maximize adequadamente os objetivos e estratégias de
negócio da organização, adicionando valores aos serviços
entregues, balanceando os riscos e obtendo o retorno sobre os
investimentos em TI”
Envolve
▫ Os Princípios da Governança de TI
▫ As Partes Interessadas da Governança de TI
▫ Escopo da Governança de TI
Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

Motivador
Empresas estão adotando ou revendo práticas de Governança de TI

devido:
▫ Crescentes investimentos em TI
▫ Aumento da terceirização dos serviços de TI
▫ Redução de pessoal no setor de TI das empresas que utilizam

serviços de TI
▫ Benefícios gerados para a empresa

Organizações tem utilizado metodologias ou práticas consolidadas no
mercado como suporte a Governança de TI, tais como:
• Cobit - Control Objectives for Information and Related Technology
• ITIL - InformationTechnology Infrastruture Library
• International Standards Organization (ISO) 9000 e 20000
• Balanced Scorecard (BSC) de TI
• Seis Sigma
• Project Management Institute (PMI)
• Capability Maturity Model (CMM).

Incorporada a Governança Corporativa
▫ Devido a necessidade da TI no operacional do negócio e ao aumento

da demanda por transparência, conformidade e perenidade, exige que
a Governança Corporativa:
 Forneça liderança, estruturas organizacionais e processos

Trate-a no planejamento estratégico
Expectativas sobre TI sejam alcançadas
Riscos relacionados sejam gerenciados
“Governança de TI é de responsabilidade da Diretoria e Gerência Executiva

e que a Governança de TI faz parte da Governança da Empresa”
Fonte: COBIT - Board Briefing on IT Governance, 2nd Ed

A Tecnologia e a Informação são os fatores de sucesso para muitas empresas,
a Governança Corporativa, portanto, entende como elementos chaves:
▫ Valor
 Maximização de benefícios
Capitalização sobre oportunidades
Ganho de vantagem competitiva
▫ Risco: Entender e gerenciar

Conformidade as normas e regulamentações externas
Dependência da TI que suporta o processo de negócio
▫ Controle
Responsabilidades sobre as atividades que suportam o negócio
Alinhamento e alcance as expectativas de negócio
“É de responsabilidade dos executivos e do comitê administrativo,
consiste na liderança, dos processos e da estrutura organizacional que
assegura que a TI sustente e estenda a estratégia e objetivos
organizacionais.”
• Integra e institucionaliza comprovadas atividades e processos que

tem sido utilizadas por múltiplas empresas de forma bem sucedida (Best
Practice) para assegurar que a área de TI da empresa suporta os
objetivos e expectativas de negócio.
• Necessário um conjunto de controles fundamentais que auxilie os

responsáveis pelos processos de negócio a prevenir perdas financeiras ou
informações da organização (Control Framework - estrutura de
controle) e que se ajuste ao Controle Integrado da Governança
Corporativa (COSO), tornando possível o alcance dos objetivos
estratégicos.
Governança foca em balancear os objetivos de desempenho
estratégico, normas regulatórias e outros requerimentos obrigatórios
que são frequentemente suportadas pelas políticas corporativas.
Exemplos
• Em um banco, um bom desempenho é disponibilizar um conjunto de

serviços online, portanto, este deve gerenciar temas como (conformance
requirements)
• Privacidade da informação,
• Integridade dos dados das contas
• Responder a normas regulatórias, tais como planos de recuperação.
Benefícios
A Governança de TI gera: confiança na alta administração e nas

tomadas de decisões, provisão de alinhamento dos objetivos
entre TI e Negócio tornando-a mais flexível e pró-ativa as
necessidades de negócio, também atua na prevenção: utilizando
alertas e avisos quando eventos indesejáveis ou planejados
ocorrerem e assegura transparência, para que qualquer pessoa
autorizada obtenha a informação desejada
“Pesquisa realizada pelo MIT em 2005 conclui que empresas com

políticas de governança em TI mais efetivas têm lucros mais altos
do que as outras – ordem de 20%”
Benefícios
Confiança: da alta administração e nas tomadas de decisão

Confidence of top management
A TI é geralmente confusa e difícil de ser entendida pela alta administração. Um

programa efetivo de Governança de TI pode colocar todos na mesma página ao
prover uma linguagem comum, fornecer mecanismos claros de tomada de decisão
e facilitar a transparência e precisão na informação gerencial.
Quando a alta gerência obtêm uma visão clara de como a TI está desempenhando,
ela aumenta sua confiança nas decisões de investimento.
“Information is available to the board to make decisions and be aware of IT

activities”
(A informação está disponível para o conselho de administração para tomar decisões e estar
consciente das atividades de TI)
Benefícios
Pró-atividade de TI para o negócio

More responsiveness to business needs
O TI fica mais pró-ativa para as necessidades de negócio. Agilidade,

flexibilidade e pró-atividade são atributos vitais da área de TI em seu
suporte para as necessidades de negócio.
Uma efetiva Governança de TI garante uma clara cadeia de comando, tomada de

decisão eficiente e maior confiança em correr riscos e fazer investimentos.
“IT resources are performing at optimum levels. IT focuses on business

drivers and critical processes”
(Os recursos de TI estão em níveis ótimos de performance. TI focada nos direcionadores de
negócios e processos criticos)
Benefícios
Maior retorno de investimento

Higher Return on Investment (ROI)
Na média, a grande porção dos investimentos de TI é perdida devido a falhas de

projetos, ineficiência na infra-estrutura e processos não padronizados e mal
geridos.
Uma Governança de TI efetiva ajuda a reduzir falhas de projeto, otimizar a infra-

estrutura de TI e aumentar a eficiência dos processos de TI.
“A higher ROI implies greater value to the business and better quality of
services, enabling the overall business strategy”
(Um ROI mais elevado implica maior valor ao negócio e melhor qualidade dos serviços,
habilitando a estratégia empresarial global)
Benefícios
Mais confiança nos serviços - More reliable services
A Governança de TI garante que os processos e serviços críticos de TI sejam

monitorados e que incidentes ou falhas de alta prioridade sejam endereçadas e
resolvidas. Serviços que requerem altos níveis de confiabilidade são
implementados com uma infra-estrutura robusta e flexível para minimizar a
probabilidade de falha ou indisponibilidade de serviços.
A Governança de TI garante riscos menores, melhor qualidade dos serviços e

maior satisfação de clientes e usuários.
“Alerts exist to indicate when things go wrong. Such alerts reduce the
chances of failure because problems are detected early”
(Alertas existem para indicar quando as coisas correm mal. Esses alertas reduzem as chances
de uma falha ocorrer, porque os problemas são detectados precocemente)
Benefícios
Maior transparência - More transparency
Boa governança ajudará a fornecer ao gerentes de negócio informações mais claras,

confiáveis e precisas sobre a situação dos projetos e os custos dos serviços de TI.
Maior transparência significa que as partes interessadas obterão informação de uma

forma que eles entendam, com maior confiança e que as informações estão
corretas.
Uma estrutura de Governança de TI efetivamente implementada garante que a

informação certa está disponível para o nível correto de decisores, do contrário, a
informação tende a se perder na miríade de dados.
“Information is available to the appropriate decision makers to monitor IT

activities by using accurate performance measures”
(A informação está disponível para os tomadores de decisão para monitorar as atividades deTI
utilizando medidas precisas de desempenho)
Os Princípios da Governança de TI
(Para uma efetiva governança de TI )
Direção - Direct
Alta direção fornece liderança, estruturas organizacionais e processos que assegurem
que as estratégicas de TI sustentem e atendam estratégias e objetivos da empresa,
para isso entende as mudanças e direciona as agendas dos envolvidos
Controle - Control
Permite: “feedback”, que auxilia o alcance dos objetivos e diminui/elimina
probabilidade de ocorrências indesejáveis
“Giving clear direction on what is required by the management and applying

controls to ensure that the requirements are met”
(Dar orientação clara sobre o que é exigido pela gestão e aplicação de controles para garantir que os
requisitos sejam obtidos)
Responsabilidade - Responsibility
O Presidente normalmente é o responsável pelo controle interno.
Os diretores seniores determinam a responsabilidade para o estabelecimento de um

controle interno específico ao pessoal responsável pelas unidades funcionais
(departamentos).
O Controle interno é de responsabilidade de todos em uma organização e pode ser

uma função explícita ou implícita.
“Making it clear who is responsible for specific tasks”

(Deixando claro quem é responsável por tarefas específicas)
Prestação de Contas (Accountability)
A prestação de contas é a obrigação dos funcionários em prestar

contas/reportar/explicar suas ações sobre o uso dos recursos que lhes foram
disponibilizados.
Os gestores devem prestar contas ao Comitê Executivo, que por sua vez fornece a
definição de responsabilidades, direção e monitoramento.
“Making it clear who has the authority to make decisions and approve the
outc ome of specific tasks”
(Deixando claro quem tem a autoridade para tomar decisões e aprovar o resultado das tarefas
específicas)
Atividades - Activities
As atividades de TI são eficientes quando existe uma boa Governança de TI.
Não é ter excelência tecnológica e sim atender os requerimentos de serviços.
Por exemplo: folha de pagamento processada no final do mês; a área de TI precisa

atender a esta necessidade.
“Identifying the actual processes and procedures that need to be performed

to manage IT effectively”
(Identificar os processos e procedimentos atuais que necessitam ser realizados para gerir TI de
forma eficaz)
As Partes Interessadas da Governança de TI
É importante estar ciente sobre os interesses legítimos das partes

interessadas, podendo antever-se para tratar de possíveis
demandas e expectativas
• Shareholders
▫ “Correspondem a grupos que podem afetar ou serem afetados, de
modo significativo, pela empresa, incluindo os próprios acionistas”
• Stakeholders
▫ “São todas as partes interessadas que devem estar de acordo com
as práticas de governança corporativa executadas pela empresa”
• Stakeholders
Externos Internos
– Fornecedores – Acionistas
– Clientes – Diretores
– Público Geral – Gerentes de Negócio
– Usuários – Gerente de TI
– Governo – Funcionários
Preocupações (concerns)
• Como definiremos os direcionamentos de negócio para TI, entregar valor e

gerenciar riscos?
• Como entregaremos os serviços de TI conforme solicitados pelo negócio e
direcionados pelo Comitê Executivo?
• Como nós garantimos que as políticas, regulamentações e leis são cumpridas de
acordo com os novos riscos identificados?
• Como nós fornecemos avaliações independentes sobre os valores entregues pelo
TI e sobre as mitigações de riscos?
• Como garantimos a continuidade de negócio, para que a empresa não perca
imagem, cliente e rentabilidade?
• Como garantimos que as informações confidencias não sejam divulgadas para os
concorrentes
• Como garantimos que os dados estejam mantidos de forma segura
• Como garantimos que os sistemas estejam prontos para serem auditados.
Áreas de Foco na Governança de TI
• Alinhamento estratégico: foca em garantir a ligação entre os planos de
negócios e de TI, definindo, mantendo e validando a proposta de valor de TI,
alinhando as operações de TI com as operações da organização.
• Entrega de valor: é a execução da proposta de valor de TI através do ciclo de

entrega, garantindo que TI entrega os prometidos benefícios previstos na
estratégia da organização, concentrado-se em otimizar custos e provendo o
valor intrínseco de TI.
• Gestão de recursos: refere-se à melhor utilização possível dos investimentos e

o apropriado gerenciamento dos recursos críticos de TI: aplicativos,
informações, infraestrutura e pessoas. Questões relevantes referem-se à
otimização do conhecimento e infraestrutura.
• Gestão de risco: requer a preocupação com riscos pelos funcionários mais

experientes da corporação, um entendimento claro do apetite de risco da
empresa e dos requerimentos de conformidade, transparência sobre os riscos
significantes para a organização e inserção do gerenciamento de riscos nas
atividades da companhia.
• Mensuração de desempenho: acompanha e monitora a implementação da

estratégia, término do projeto, uso dos recursos, processo de performance e
entrega dos serviços, usando, por exemplo, “balanced scorecards” que
traduzem as estratégia em ações para atingir os objetivos, medidos através de
processos contábeis convencionais.
Escopo da Governança de TI
• Alinhamento Estratégico - Strategic Alignment
O alinhamento estratégico refere-se ao alinhamento de TI à

estratégia de negócio.
Garante que os investimentos da empresa em TI estejam alinhados

com os objetivos estratégicos da empresa.
“IT succeeds only if the organization succeeds”

(TI somente tem sucesso se a organização tiver sucesso)
“Valor dos Serviços de TI para o Negócio”

Alinhamento Estratégico - Strategic Alignment
Objetivos Estratégicos
• Definição dos objetivos
• Criação (devising) de estratégias para atingir os objetivos
propostos
• Desenho de planos de ação para implementar as estratégias
Benefícios
• Adição de valor para os produtos e serviços da empresa
• Otimização do uso dos recursos
• Capacitação para uma gestão eficiente e eficaz
• Alinhamento Estratégico - Strategic Alignment
Exemplo:
Em um banco, um bom desempenho é disponibilizar um conjunto de serviços online.
Para este banco os serviços de net banking não é apenas a criação de um site, mas sim
a geração de um novo modelo de negócio.
“focuses on ensuring the linkage of business and IT plans; defining,

maintaining and validating the IT value proposition; and aligning IT
operations with enterprise operations”
(Focada em garantir a vinculação dos planos de negócios e planos de TI; definindo, mantendo e
validando a proposição de valor de TI; e alinhando as operações de TI com as operações
empresariais )
• Entrega de Valor - Value Delivery
A TI estabelece um modelo para medir o valor entregue para o negócio antes de

empreendê-lo, assegurando a transparência nos benefícios reais para o negócio.
A TI entrega valor para a organização ao entregar os benefícios prometidos a um

custo razoável
“is about executing the value proposition throughout the delivery cycle,
ensuring that IT delivers the promised benefits against the strategy,
concentrating on optimising costs and proving the intrinsic value of IT”
(é sobre a execução da proposição de valor em todo o ciclo de entrega, garantindo que a TI
entregue os benefícios prometidos durante a estratégia, concentrando-se na otimização dos
custos e provando o valor intrínseco de TI)
• Entrega de Valor - Value Delivery
Exemplo
A área de TI de uma empresa Financeira entrega valor ao reduzir o tempo de

processamento de uma transação de pagamento sem exceder seu orçamento
e prazo. Para esta empresa, isto significa aumento da rentabilidade devido
ao melhor posicionamento competitivo, resultando em maior satisfação de
seus clientes.
Visto desta forma, fica mais fácil demonstrar o valor adicionado pelo TI; se
analisar somente do ponto de vista (técnico) de aplicação ou banco de
dados, se torna difícil justificar os investimentos de TI.
• Gerenciamento de Risco - Risk Management
Garantir que os riscos significativos de TI são entendidos e

gerenciados de forma correta, de modo:
▫ Assegurar a proteção dos ativos de TI
▫ Recuperação de informações em caso de desastres
▫ Manter a continuidade da operação dos serviços de TI
Componentes do risco
▫ Entendimento do grau (“apetite”) de risco ou o comportamento
da empresa em correr riscos.
▫ Definição do impacto e probabilidade de um risco.
▫ Aprovação de plano de ação para tratar o risco
Gerenciamento de Risco - Risk Management

Formas de tratamento
Mitigação - Risk Mitigation

• Instalar controles que protejam a empresa contra riscos
Transferir - Risk Transfer

• Dividir riscos com parceiros ou adquirindo seguros apropriados
Aceitação - Risk Acceptance

• Conhecendo e monitorando os riscos e tendo um plano de respostas
desenvolvido
Evitar - Risk Avoidance

• Adotando uma abordagem diferente para evitar completamente os riscos
• Gerenciamento de Risco
“Requires risk awareness by senior corporate officers, a clear

understanding of the enterprise’s appetite for risk, understanding of
compliance requirements, transparency about the significant risks to
the enterprise and embedding of risk management responsibilities into
the organisation”
(Requer sensibilização para os riscos por parte da diretoria senior da corporação, uma
compreensão clara do apetite por risco da empresa, entendimento do cumprimento
aos requisitos, transparência sobre os riscos significativos para a empresa e
incorporação das responsabilidades de gestão de riscos dentro da organização)
Gerenciamento de Recursos - Resource Management
O objetivo é garantir que os recursos sejam capazes de entregar a estratégia de TI dentro de um

custo otimizado
Ao otimizar os custos, o desafio principal é a identificação das habilidades, as tecnologias e a

infra-estrutura.
“is about the optimal investment in, and the proper management of, critical IT
resources: applications, information, infrastructure and people. Key issues relate to
the optimisation of knowledge and infrastructure”
(é sobre a otimização dos investimentos e de um adequado gerenciamento dos recursos críticos de TI:
aplicações, informações, infra-estrutura e pessoas. As questões chave relacionadas a otimização do
conhecimento e da infra-estrutura)
“Human resources are the major component of the IT resource cost base”
(Os recursos humanos é o principal componente do custo base dos recursos de TI)
Gerenciamento de Recursos - Resource Management
Um item chave para o desempenho da TI ter sucesso é o

investimento otimizado, uso e alocação de recursos de TI para
atender as necessidades da organização.
O gerenciamento de ativos é complexa, porque ativos envolve

continuidade e freqüentemente não são gerenciados como um
todo, conduzindo o não aproveitamento de software, questões de
licenciamento e excessivos custos de manutenção.
Considerar onde e como terceirizar os serviços de forma que os

terceiros gerem o valor prometido a um preço aceitável.
Gestão de Desempenho - Performance Measurement
“Se você não pode medir, você não pode gerenciar”

Peter Drucker
“Tracks and monitors strategy implementation, project completion, resource usage,

process performance and service delivery, using, for example, balanced scorecards
that translate strategy into action to achieve goals measurable beyond
conventional accounting”
(Rastrear e acompanhar a implementação da estratégia, conclusão do projeto, utilização dos
recursos, desempenho do processo e a entrega dos serviços, utilizando, por exemplo,
Indicadores Balanceados de desempenho, para traduzir as estratégia em ações para atingir
objetivos mensuráveis , além da contabilidade convencional)
Para a gestão do desempenho dar certo, indicadores efetivos devem

ser definidos e aprovados pelas partes interessadas.
Estes indicadores (ou métricas) podem ser acompanhadas por um

painel (scorecards) de desempenho.
A idéia é desdobrar métricas de objetivos e metas para a TI

provenientes das metas organizacionais.

Componentes
Mensuração: O ato ou processo de mensurar, obtendo um resultado,

como um número expressando a extensão ou valor obtido através da
medição.
Medida: múltiplos ou frações do padrão que estão sendo considerados

p.ex: cinco centimetros
Indicador: dispositivo ou variável ao qual pode ser atribuído um

estado pré-definido, com base nos resultados de um processo, ou na
ocorrência de uma condição específica
p.ex: "flag" ou semáforo

Componentes
Métrica: medida quantitativa do grau segundo o qual um sistema,

componente ou processo possui um dado atributo
Exemplo
Houve apenas dois erros descobertos pelo usuário nos primeiros 18

meses de operação.
Isto dá mais informação significativa do que dizer que o sistema

entregue é de excelente qualidade.
Fonte:BFPUG (www.bfpug.com.br)

Balanced Scorecard - BSC
Sigla que pode ser traduzida para “Indicadores Balanceados de

Desempenho”.
O termo “Indicadores Balanceados” se dá ao fato da escolha dos

indicadores de uma organização não se restringirem unicamente
no foco financeiro, as organizações também se utilizam de
indicadores focados em ativos intangíveis como: desempenho de
mercado junto a clientes, desempenhos dos processos internos e
pessoas, inovação e tecnologia.

Balanced Scorecard - BSC
É uma metodologia disponível e aceita no mercado desenvolvida

1992 por: Harvard Business School: Robert Kaplan e David
Norton.
Busca a maximização dos resultados baseados em quatro

perspectivas que refletem a visão e estratégia empresarial:
▫ Financeira;
▫ Clientes;
▫ Processos internos
▫ Aprendizado e crescimento;
Balanced Scorecard – BSC
Balanced Scorecard
Balanced Scorecard
Governança de TI X Gerenciamento de TI
Gerenciamento de TI objetiva o fornecimento efetivo de

serviços/produtos e da gestão das operações de TI no presente
(foco interno)
A Governança de TI é mais abrangente, concentra-se no

desempenho e transformação da TI, para atender demandas
atuais e futuras do negócio da corporação (foco interno) e
negócio do cliente (foco externo).
O Gerenciamento de TI pode ser realizado por um fornecedor

externo já á Governança de TI é específica da organização
(direção e controle).
Simulado
Respondendo aos Desafios de TI

Governança de TI
1. Which of the following is a key benefit of IT
governance?
a)Improved business processes

b)Responsiveness of IT
c)Greater use of technology
d)Increased budget for IT projects
2. A credit card processing company in the US plans to
set up a transaction center in the Philippines. Which
one of the following would be a measure of resource
optimization?
A. Reducing costs while delivering better service

B. Planning for disaster recovery in the event of a
disaster
C. Providing faster and more reliable service
D. Employing cheaper labor
3. Match the scenario with the benefit of IT governance.
Scenario
1. Information is available to the board to make decisions and be
aware of IT activities.
2. IT resources are performing at optimum levels. IT focuses on
business drivers and critical processes.
3. Alerts exist to indicate when things go wrong. Such alerts reduce
the chances of failure because problems are detected early.
4. Information is available to the appropriate decision makers to
monitor IT activities by using accurate performance measures.
Benefits
A. More responsiveness to business needs
B. Confidence of top management
C. More transparency
D. More reliable services
4. PQR Inc. is the preferred vendor of software solutions
for many Fortune 500 companies, who insist on strict
confidentiality of business information. How do you think
COBIT can help PQR?
A. COBIT helps a vendor record the problems of each

client and analyze these problems.
B. COBIT will help make sure that the security of business
sensitive information is addressed.
C. COBIT will help make sure that staff communicates with
a common language.
D. COBIT will help PQR’s customers to effectively monitor
its software solutions.
5. DIZ, a web design company has writers, designers,
programmers, and managers. The cross-functional teams find it
difficult to complete projects on schedule. The designers are
unable to understand the terms used by managers and vice
versa. How can COBIT help in this situation?
A. The COBIT framework helps cross-functional teams communicate

by using a common language.
B. In the COBIT framework, only managers need to focus on
business processes and the design team
concentrates on getting the job done on time.
C. COBIT defines a model for efficient cross-functional coordination.
D. COBIT helps them substantiate their opinions and provides
assurance on internal controls.
6. The best way for organizations to ensure adequate security for
their IT environment is by:
A. Investing in the latest access control software solutions and

focusing on protecting the network.
B. Increasing the awareness of the management and users of their
responsibilities and possible risks to their organization.
C. Physically protecting vulnerable computer equipment and storing
it in locked rooms.
D. Focusing on an expert group and employing skilled security
experts and advisors.
7. Which domain of IT governance links IT activities to business
strategy?
A. Strategic alignment
B. Value delivery
C. Risk management
D. Performance measurement
8. Which of the following is a key feature of resource optimization?
A. Making sure that the lowest cost workforce has been obtained
B. Utilizing equipment as much as possible
C. Choosing a number of key product suppliers
D. Ensuring that sufficient capability exists for business-critical
activities
9. Which of the following is the best way to manage what
constitutes “good service”?
A. Measure the maturity of service-related processes.

B. Assess controls in service delivery.
C. Create contractually defined service levels.
D. Perform audits of service contracts.
10. Which of the following is the most significant concern in the
management of IT?
1. Keeping IT running
2. Making technology work correctly
3. Keeping up to date with the latest solutions
4. Supporting developers with toolkits
11. What is an essential attribute of successful performance
management?
1. Frequently achieved targets

2. Setting achievable goals
3. Threatening sanctions if targets are not met
4. Metrics defined and approved by stakeholders
12. Which of the following is a common reason why IT projects
exceed budget expectations or deadlines?
1. Cost of IT specialist
2. Unavailability of the latest technology
3. Underestimation of the effort required
4. Lack of automation of development tools
13. Which of the following is a common problem encountered when
trying to align IT and the business?
1. Use of an external IT consultant for project management

2. Communication gaps between the business and IT
3. Inadequacy of problem management practices
4. Rushing to develop too quickly
14. Which of the following represents an organizational perspective
of a balanced scorecard?
1.Control
2.Learning
3.Management
4.Governance
15. Which of the following is a principle of IT governance?
1. Accountability
2. Reliability
3. Availability
4. Probability
16. Which of the following is an objective of risk management?
1. Increasing the budget for IT security

2. Transparency about significant risks to the enterprise
3. Awareness of the latest IT security tools
4. Undertaking a detailed risk analysis
17. Which of the following is a potential benefit of strategic
alignment?
1. Optimal use of resources

2. Use of the latest technology
3. Being first to market
4. Delivery on time and within budget
18. Which of the following is an important component of risk
management?
1. Taking no risks
2. Canceling any initiative that is risky
3. Understanding the appetite for risks
4. Using old, tried, and tested systems
19. Which of the following is a perspective of a balanced scorecard?
1. A dashboard
2. A metric
3. A bonus scheme
4. A customer
20. Which of the following is a key feature of resource optimization?
1. Hiring a low-cost workforce

2. Retaining hardware to minimize replacement costs
3. Buying only proven products
4. Optimizing costs
Introdução ao COBIT
• Missão
• Origem
• CobiT e os Outros Padrões
• Princípios do COBIT
• Componentes do COBIT
▫ Recursos TI
▫ Processos TI
▫ Critérios da Informação
• Critérios da Informação X Requerimento de Negócio
• Relacionamento: Governança Corporativa X Governança TI
• Atendimento do COBIT aos requerimentos de uma Estrutura de
Controle
• Utilizado por um número variado de audiência
COBIT – Missão
“Pesquisar, desenvolver, publicar e promover um conjunto de

objetivos de controle para tecnologia que seja embasado, atual,
internacional e aceito em geral para o uso do dia-a-dia de
gerentes de negócio e auditores”
“To research, develop, publicise and promote an authoritative, up-

to-date, internationally accepted IT governance control
framework for adoption by enterprises and day-to-day use by
business managers, IT professionals and assurance professionals”
COBIT - Origem
O COBIT® foi desenvolvido a partir do Committee of Sponsoring

Organizations of the Treadway Commission-Internal Control - Integrated
Framework (COSO) e mais de 50 padrões e práticas de mercado em TI
COBIT - Outros Padrões
“COBIT can be used along with other international best practices and standards such as ITIL and ISO/IEC 17799,
to integrate the deployment of the required standards”
“COBIT helps define what control should be implemented and acts as an umbrella and integrator to ensure
business-focused deployment and coordination”
COBIT - Outros Padrões
O COBIT está centralmente posicionado em um nível generalista, ajudando a integrar

padrões técnicos com as práticas mais abrangentes de negócio. Ela valida o uso
apropriado de outros padrões.
Princípios do COBIT
Premissa de que a TI deve gerar informações que a empresa precisa para atingir os
seus objetivos, e assim gerar valor ao negócio
Componentes do COBIT
Requerimentos de
Negócio
Empresas dependem de dados e de

informações confiáveis e rápidas.
Critério da Informação
Os componentes do CobiT fornecem

uma estrutura clara para determinar
a entrega de valor, ao mesmo tempo Processos TI
em que gerencia risco e controle
sobre os dados e informações;
Recursos TI
Componentes do COBIT – Recursos TI - IT Resources
Para responder aos objetivos de negócio, a empresa necessita investir em recursos, afim de criar uma adequada capacidade técnica para suportar uma capacidade de negócio para alacançar os objetivos
estratégicos
• Aplicativos: são os sistemas automatizados para usuários e os procedimentos manuais que

processam as informações.
• Informações: são os dados em todas as suas formas, a entrada, o processamento e a

saída fornecida pelo sistema de informação em qualquer formato a ser utilizado pelos
negócios.
• Infraestrutura: refere-se à tecnologia e aos recursos (ou seja, hardware, sistemas

operacionais, sistemas de gerenciamento de bases de dados, redes, multimídia e os
ambientes que abrigam e dão suporte a eles) que possibilitam o processamento dos
aplicativos.
• Pessoas: são os funcionários requeridos para planejar, organizar, adquirir, implementar,

entregar, suportar, monitorar e avaliar os sistemas de informação e serviços. Eles podem ser
internos, terceirizados ou contratados, conforme necessário.
Componentes do COBIT – Processos TI - IT Process
Estes processos agrupam as atividades de TI mais comuns em um

modelo de processo, facilitando a gestão dos recursos de TI em
atender às necessidades de negócio.
Os processos de TI estão definidos e classificados em 4 domínios e 34

processos de TI. Estes processos, por sua vez, são desdobrados e
definidos em atividades.
Atividade
Processo
Domínio Atividade
Atividade
Processo
Critérios da Informação – Information Criteria
Identificar o quanto e que tipo de controles são necessários para suportar o uso da informação
e entender como os processos necessitam ser gerenciados, para garantir que estas
necessidades sejam alcançadas.
xemplo:
equerimento de segurança,
como a confidencialidade,
varia conforme o tipo da
informação e de como ela é
processada.
Critérios da Informação – Information Criteria
Critérios da Informação X Requerimento de Negócio
“Information criteria helps the business and IT understand the business

requirements for information… define the quality and fiduciary and security
information requirements”
Relacionamento: Governança Corporativa X Governança TI
OBIT - Foco
OSO - Foco
amada de aplicações e infra-

ontroles internos na camada
estrutura de TI que suporta o
de negócios
negócio
Atendimento do COBIT aos requerimentos de uma Estrutura de Controle?
Foco no Negócio – Focused on the business
O CobiT alcança o estreito foco no negócio ao alinhar TI com os objetivos de

negócio.
As medições de desempenho de TI devem focar na contribuição de TI para criar

valor ao negócio.
CobiT fornece indicadores voltados para a entrega de serviços atuais e futuros, não
de competência puramente técnica, balanceados (BSC) com a estratégica
corporativa objetivando as perspectivas:
 Valor para o negócio (Financeira)

 Orientação para Usuários (Clientes)
 Excelência operacional (Processos internos)
 Orientação futura (aprendizagem e crescimento)
Orientação a Processo - Focused on Process
Quando as empresas implementam COBIT, seus focos se tornam mais orientados a

processos.
Exceções são claramente identificadas e tratadas dentro dos processos.
Processos definem metas e responsabilidades e permitem a empresa conhecimento

e manter o controle sobre os níveis de serviços
Aceitabilidade Geral - Generally Acceptable
O COBIT é um padrão mundialmente comprovado e aceito.
Guia criado a partir das melhores práticas e administrado por auditores.
Tem uma natural aceitação dentro das corporações, consultorias e empresas de

auditoria em todo mundo.
Pode ser aplicado por empresas de pequeno, médio e grande porte.

Requerimentos Regulatórios - Regulatory Requirements
O framework CobiT é utilizado por gestores, consultores e auditores em todo mundo

como guia de controles de TI a serem demonstrados para os órgãos regulatórios.
Atualmente, com o funcionamento de times globais e multifuncionais, força tarefas

são sempre lideradas por pessoas que não são cientes do tamanho da
implementação porque suas experiências vem de outra área da empresa.
Coordenação dentro e entre os times de projeto e empresas que podem fazer um

papel decisivo para o sucesso de qualquer projeto.
COBIT ajuda a por todos os envolvidos na mesma “página” ao definir termos e

glossários, implementando uma estrutura completa e organizada que acaba com
as discussões internas que gastam muito tempo dos projetos que envolvem
diversas áreas.
Utilizado por um número variado de audiência
Responsável Governança de TI pode servir para os

seguintes objetivos
Comitê Executivo Definir direção de TI, monitorar resultados e insistir
nas ações corretivas
Gestor de Negócio Definir requerimentos de negócio para a TI, garantir
que valor é entregue e riscos sejam gerenciados
Gestor de TI Entregar e melhorar os serviços de TI, conforme

solicitados pelo negócio e direcionados pelo Comitê
Executivo
Auditor Garantir que a TI entrega o que é preciso
Gestor de Risco e Controle Medir se políticas são cumpridas e focar na

Interno identificação de novos riscos.
Simulado
Introdução ao COBIT
1. COBIT is a framework that focuses on:
a. How to do it rather than what needs to be achieved

b. What needs to be achieved rather than how to do it
c. What needs to be organized rather than what needs to be
achieved
d. What needs to be implemented rather than how to measure it
02. COBIT’s definition of fiduciary requirements differs from that of
COSO in that COBIT expands the scope to include:
a)Security
b)All information
c)Operations
d)Systems development
03. The COBIT framework treats information as the result of the
combined application of IT resources that are managed
by:
a)Information criteria
b)Control objectives
c)IT processes
d)Metrics
04. Which of the following is the best way to use COBIT?
1. To design procedures
2. As a mandatory standard
3. As a guide to improve business processes
4. To help prioritize which IT processes to improve
05. How does the COBIT framework help an organization implement
IT governance?
a)It contains ready-made work programs.

b)It provides policies and standards that can be mandated.
c)It provides good practice and guidance.
d)It has controls that can be implemented on an as-is basis.
06. Which of the following is a component of the COBIT framework?
1. Policies
2. Audit programs
3. Implementation guidance
4. IT resources
07. Which of the following is included as a component of the COBIT
mission?
A. Produce an ISO standard.

B. Certify companies and products.
C. Provide consulting and implementation services.
D. Develop internationally accepted control objectives.
08. Which of the following is a characteristic of a control
framework?
1. Strict rules
2. Penalty for noncompliance
3. Process orientation
4. Measurement system
09. What tool within COBIT helps the business and IT understand
the business requirements for information?
1. Information criteria
2. Key activity
3. Control objective
4. Maturity model
10. Which of the following is a fiduciary requirement within COBIT
information criteria?
1. Security
2. Integrity
3. Availability
4. Operational effectiveness
11. Which of the following is a COBIT security requirement?
1. Compliance
2. Availability
3. Reliability
4. Efficiency
12. Which of the following is a COBIT information criterion?
1. Fiduciary
2. Quality
3. Effectiveness
4. Security
13. Which of the following is a COBIT IT resource?
1. Database
2. Infrastructure
3. Operating system
4. Contractor
14. Which COBIT IT resource can be defined as the automated user
systems and manual procedures that process information?
1. Applications
2. Processes
3. Systems
4. Technology
15. Which of the following is a fiduciary requirement within the
COBIT Information Criteria?
1. Quality
2. Cost
3. Confidentiality
4. Compliance with laws and regulations
16. COBIT is intended for daily use by business managers and
auditors as an international ser of generally accepted
a)Business Control Objectives

b)Information Technology Audit Objectives
c)Information Technology Control Objectives
d)Information Technology Control Procedures
17. A primary advantage of adopting the COBIT Framework is that
it?
a)Focuses on security
b)Is compatible with other frameworks
c)Is based on accounting controls
d)Focused on operations
18. Utilizing the CobiT Framework will help an organization to:
a)Be more aware of technological developments and approaches

b)Develop systems quicker and at lower costs.
c)Better align IT with the business
d)Hire more qualified and better skilled IT staff
Estrutura do COBIT
• Domínios do CobiT
• Planejamento e Organização – Plan and Organise (PO)
• Aquisição e Implementação – Acquire and Implement (AI)
• Entrega e Suporte – Deliver and Support (DS)
• Monitoração e Avaliação – Monitor and Evaluate (ME)
• Objetivos de Controle - Control Objectives (Processo)
• Práticas de Controle - Control Practices
• Requisitos de Controle Genérico - Generic Control Requirements
• Controles da Aplicação – Application Controls
Domínios do CobiT
COBIT define atividades de TI em trinta e quatro processos genéricos agrupados em quatro

domínios.
Estes domínios mapeiam as áreas de responsabilidades de TI:
▫ Planejar
▫ Construir
▫ Suportar
▫ Monitorar
Os processos são os objetivos de controle que provê um conjunto de alto nível de

requerimento a ser considerado pelo gerenciamento.
Controle são definidos como políticas, procedimento, práticas e estrutura organizacional

designada a providenciar a garantia de que os objetivos de negócio serão alcançados e que
eventos indesejáveis serão evitados ou detectados e corrigidos.
Domínios do CobiT
A estrutura de controle do COBIT prove uma referência em modelo operacional e linguagem

comum para toda a TI envolvida com o negócio, medindo e monitorando o desempenho e
efetivamente estabelecendo uma comunicação eficiente com os provedores de serviços e
integrando as melhores práticas de gerenciamento, levando a responsabilidade e a
prestação de contas sobre os riscos e objetivos envolvidos.
lanejamento e Organização – Plan and Organise (PO)
“Provê direção para entrega de soluções (AI) e entrega de serviços (DS)”
quisição e Implementação – Acquire and Implement (AI)

“Provê as soluções e as transfere para tornarem-se serviços”
ntrega e Suporte – Deliver and Support (DS)

“Recebe as soluções e as torna passíveis de uso pelos usuários finais”
onitoração e Avaliação – Monitor and Evaluate (ME)

Domínios do CobiT
O modelo CobiT é formado pelos seguintes componentes principais, apresentados na
publicação principal e organizado por 34 processos de TI, mostrando uma visão geral de
como controlar, gerenciar e mensurar cada processo. Cada processo é coberto por
quatro seções e cada uma delas é apresentada em cerca de uma página, como segue:
• A seção 1 contém uma descrição do processo que resume os objetivos do processo,

apresentada no formato de cascata. Esta página também demonstra o mapeamento dos
critérios de informação, recursos de TI e áreas de foco de governança de TI. A letra P
indica um relacionamento primário e a letra S indica um secundário.
• A seção 2 apresenta os objetivos de controle desse processo.
• A seção 3 apresenta os processos de entrada e saída, tabela RACI, objetivos e métricas.
• A seção 4 apresenta o modelo de maturidade do processo.

Seção 1
Domínios do CobiT
Objetivos de Controle - Control Objectives (Processo)
“A statement of the desired result or purpose to be achieved by

implementing control procedures in a particular activity”
Uma declaração do resultado desejado ou objetivo a ser alcançado pela implementação de
procedimentos de controle em uma atividade em particular
Alto Nível - High-Level Detalhado - Detailed
PO10.1 Estrutura de Gestão de Programas

PO10.2 Estrutura de Gestão de Projetos
PO10.3 Abordagem da Gestão de Projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declaração do Escopo do Projeto
PO10.6 Fase de Início do Projeto
PO10.7 Plano Integrado de Projeto
PO10 Gerenciar Projetos PO10.8 Recursos do Projeto
PO10.9 Gestão de Risco do Projeto
PO10.10 Plano de Qualidade de Projeto
PO10.11 Controle de Mudança de Projeto
PO10.12 Planejamento de métodos de validação
PO10.13 Medição de Desempenho, Monitoramento e Reporte do
Projeto
PO10.14 Conclusão do Projeto
Domínios do CobiT
Planejamento e Organização – Plan and Organise (PO)
Identificar maneiras nas quais o TI pode contribuir para o alcance dos

objetivos de negócio.
• Estratégia e Táticas
▫ TI e a estratégia de negócio estão alinhados?
• Visão Planejada
▫ Todas as pessoas da organização entendem os objetivos do TI?
• Organização e Infra-estrutura
▫ Os riscos de TI estão identificados e gerenciados?
Domínios do CobiT
Planejamento e Organização – Plan and Organise (PO)
 Planejar e Organizar
 PO1 Definir um Plano Estratégico de TI
 PO2 Definir a Arquitetura da Informação
 PO3 Determinar as Diretrizes de Tecnologia
 PO4 Definir os Processos, a Organização e os
 Relacionamentos de TI
 PO5 Gerenciar o Investimento de TI
 PO6 Comunicar Metas e Diretrizes Gerenciais
 PO7 Gerenciar os Recursos Humanos de TI
 PO8 Gerenciar a Qualidade
 PO9 Avaliar e Gerenciar os Riscos de TI
 PO10 Gerenciar Projetos
Domínios do CobiT – PO10
Domínios do CobiT
Aquisição e Implementação – Acquire and Implement (AI)
As soluções de TI precisam ser identificadas, desenvolvidas ou adquiridas e

implementadas e integradas com os processos de negócio. Este domínio
também cobre as mudanças dos sistemas (novos ou existentes) para
garantir que eles operem sem interrupções.
• Soluções de TI
▫ Os novos projetos são entregues dentro dos prazos e orçamentos?
• Mudanças e Manutenções
▫ As mudanças podem ser realizadas sem causar problemas nas
operações de negócios atuais?
Domínios do CobiT
Aquisição e Implementação – Acquire and Implement (AI)
Adquirir e Implementar
 AI 1 Identificar Soluções Automatizadas
 AI2 Adquirir e Manter Software Aplicativo
 AI3 Adquirir e Manter Infraestrutura de Tecnologia
 AI4 Habilitar Operação e Uso
 AI5 Adquirir Recursos de TI
 AI6 Gerenciar Mudanças
 AI7 Instalar e Homologar Soluções e Mudanças
Domínios do CobiT – AI04
Domínios do CobiT
Entrega e Suporte – Deliver and Support (DS)
Foca nas entregas dos serviços requeridos, gerenciamento da segurança e

continuidade, suporte aos usuários e gerenciamento de dados e
operacional.
• Entrega dos serviços solicitados

▫ Os serviços de TI estão sendo entregues conforme sua prioridade de
negócio
• Definindo os processos de suporte

▫ Os usuários de TI são capazes de utilizar os sistemas de TI de forma
produtiva e com segurança?
Domínios do CobiT
Entrega e Suporte – Deliver and Support (DS)
 Entregar e Suportar
 DS1 Definir e Gerenciar Níveis de Serviços
 DS2 Gerenciar Serviços Terceirizados
 DS3 Gerenciar o Desempenho e a Capacidade
 DS4 Assegurar a Continuidade dos Serviços
 DS5 Garantir a Segurança dos Sistemas
 DS6 Identificar e Alocar Custos
 DS7 Educar e Treinar os Usuários
 DS8 Gerenciar a Central de Serviço e os Incidentes
 DS9 Gerenciar a Configuração
 DS10 Gerenciar Problemas
 DS11 Gerenciar os Dados
 DS12 Gerenciar o Ambiente Físico
 DS13 Gerenciar as Operações
Domínios do CobiT – DS02
Domínios do CobiT
Monitoração e Avaliação – Monitor and Evaluate (ME)
Regularmente avaliar os processos de TI quanto às questões de qualidade

e cumprimento com requerimentos de controle e endereçar o processo
de controle da empresa.
• Avaliações regulares e garantia de entrega

▫ O desempenho de TI pode ser avaliado e os problemas podem ser
detectados antes que seja tarde?
• Visão gerencial do sistema de controle

• Gerencia assegura que os controle internos são efetivos e eficientes?
• Avaliação do desempenho
▫ Os riscos, controle, cumprimento e desempenho são medidos e
reportados?
Domínios do CobiT
Monitoração e Avaliação – Monitor and Evaluate (ME)
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
Domínios do CobiT – ME01
Domínios do CobiT
Práticas de Controle - Control Practices
COBIT diz “o que” precisa ser feito para efetivamente controlar a TI, as
Práticas de Controle já fornecem o “como” e “porque” utilizar o
objetivo de controle detalhado.
A Prática de Controle é fornecido em um volume separado pelo ISACA e é

geralmente utilizado para implementar o Objetivo de Controle
Detalhado.
“used mostly to help with designing and implementing solutions to meet

control objectives”
Alguns objetivos de controle existentes na estrutura
Requisitos de Controle Genérico

Cada processo do COBIT tem 6 requisitos de controle genérico que são comuns para todos
os processos, os quais são definidos na estrutura. Eles podem ser analisados em conjunto
com os objetivos de controle do processo de forma detalhada para que se possa ter uma
visão dos requisitos de controle.
Controles de Aplicações
O COBIT assume que o projeto e implementação de controles de aplicações automatizadas
devem ser de responsabilidade da TI, coberto no domínio de Aquisição e Implementação,
baseado nos requisitos de negócio definidos usando os critérios de informação do COBIT.
A TI entrega e suporta os serviços das aplicações, banco de dados de informação e infra

estruturas. Os processos de TI do COBIT cobre os controles gerais da TI mais não suporta
os controles de aplicações.
Domínios do CobiT
Requisitos de Controle Genérico - Generic Control Requirements
COBIT fornece um modelo de

processos genérico que
representa todos os processos
encontrados normalmente em
funções da TI, fornecendo um
modelo de referência comum.
Para conseguir a governança

eficaz, os controles necessitam
ser implementados pelos
gerentes operacionais dentro
de uma estrutura de controle
definida para todos os
processos de TI
Domínios do CobiT
Requisitos de Controle Genérico - Generic Control Requirements
Os processos necessitam de controles, pois os objetivos do controle da TI

fornecem um conjunto completo de exigências de alto nível a serem
considerados pelo gerenciamento para o controle eficaz de cada um
dos processo de TI
PC1 Process Goals and Objectives

PC2 Process Ownership
PC3 Process Repeatability
PC4 Roles and Responsibilities
PC5 Policy, Plans and Procedures
PC6 Process Performance Improvement
Requisitos de Controle Genérico
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a
resultados e no tempo apropriado (SMARRT) para a efetiva execução de cada processo de TI. Assegura
que eles estão ligados aos objetivos de negócios e que são suportados por métricas apropriadas.
PC2 Propriedade dos Processos

Designa um proprietário para cada processo de TI e claramente define os papéis e responsabilidades de cada proprietário de
processo. Inclui por exemplo, a responsabilidade pela elaboração do processo, interação com outros processos,
responsabilidade pelos resultados finais, medidas da performance do processo e a identificação de oportunidades de
melhorias.
PC3 Repetibilidade dos Processos

Elabora e estabelece cada processo-chave de TI de maneira que possa ser repetido e produzir de maneira consistente os
resultados esperados. Fornece uma sequência lógica mas flexível das atividades que levarão ao resultado desejado, sendo
ágil o suficiente para lidar com exceções e emergências. Usa processos consistentes, quando possível, e processos
personalizados apenas quando inevitável.
PC4 Papéis e Responsabilidades

Define as atividades-chaves e as entregas do processo. Designa e comunica papéis e responsabilidades para uma efetiva e
eficiente execução das atividades-chaves e sua documentação bem como a responsabilização pelo processo e suas entregas.
PC5 Políticas Planos e Procedimentos

Define e comunica como todas as políticas, planos e procedimentos que direcionam os processos de TI são documentados,
revisados, mantidos, aprovados, armazenados, comunicados e utilizados para treinamento. Designa responsabilidades para
cada uma dessas atividades e em momentos apropriados verifica se elas são executadas corretamente. Assegura que as
políticas, planos e procedimentos sejam acessíveis, corretos, entendidos e atualizados.
PC6 Melhoria do Processo de Performance

Identifica um conjunto de métricas que fornecem direcionamento para os resultados e performance dos processos. Estabelece
metas que refletem nos objetivos dos processos e indicadores de performance que permitem atingir os objetivos dos
processos. Definem como os dados são obtidos. Compara as medições reais com as metas e toma medidas quanto aos
desvios quando necessário. Alinha métricas, metas e métodos com o enfoque de monitoramento de performance geral de TI.
Domínios do CobiT
Controles da Aplicação – Application Controls
Controles da aplicação é uma responsabilidade comum entre o negócio e a TI,
mas a responsabilidades muda:
O negócio é responsável para adequar
Definição funcional e os requisitos de controle.
Usar os serviços automatizados.
• é responsável por
TI
• Automatizar e implementar as funções do negócio e os requisitos de controle.
Estabelecer controles para manter a integridade do controles das aplicações.
•
•
Domínios do CobiT
Controles da Aplicação – Application Controls
Os processos de TI do COBIT cobrem os controles totais de TI, mas

somente os aspectos de desenvolvimento dos controles da aplicação; a
responsabilidade pela definição e o uso operacional são do negócio
AC1 Source Data Preparation and Authorisation

AC2 Source Data Collection and Entry
AC3 Accuracy, Completeness and Authenticity Checks
AC4 Processing Integrity and Validity
AC5 Output Review, Reconciliation and Error Handling
AC6 Transaction Authentication and Integrity
Controles de Aplicativos
AC1 Preparação e Autorização de Dados Originais
Assegura que os documentos fonte sejam preparados por pessoal autorizado e qualificado seguindo os
procedimentos estabelecidos, levando em consideração uma adequada segregação de funções
relacionadas com a criação e aprovação desses documentos. Erros e omissões podem ser minimizados
através de bom desenho de formulário para entrada da informação, permitindo que erros e irregularidades detectados
sejam reportados e corrigidos.
AC2 Entrada e Coleta de Dados Fontes

Estabelece que a entrada de dados seja executada de maneira apropriada por pessoal autorizado e qualificado. A
correção e o reenvio de dados que foram erroneamente inseridos devem ser executados sem comprometer o nível de
autorização da transação original. Quando apropriado para a reconstrução, os documentos originais devem ser guardados
por um período adequado.
AC3 Testes de Veracidade, Totalidade e Autenticidade

Assegura que as transações sejam exatas, completas e válidas. Valida os dados que foram inseridos e editados ou
enviados de volta para correção o mais próximo possível do ponto onde foram originados.
AC4 Processamento Íntegro e Válido

Mantém a integridade e validade dos dados no ciclo de processamento. A detecção de transações errôneas não
interrompe o processamento de transações válidas.
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros

Estabelece procedimentos e responsabilidades associadas para assegurar que as saídas sejam manuseadas de uma
forma autorizada, entregues para os destinatários corretos e protegidas durante a transmissão. Garante que ocorre a
verificação, detecção e correção da exatidão das saídas e que a informação provida pela saída é usada.
AC6 Autenticação e Integridade das Transações

Antes de transportar os dados das transações entre os aplicativos e as funções de negócios/operacionais (internas ou
externas à organização), verifica endereçamento adequado, autenticidade da origem e integridade do conteúdo. Mantém a
autenticidade e integridade durante a transmissão ou transporte.
Simulado
Estrutura do COBIT
01. Resource needs and roles and responsibilities, as well as
escalation and decision-making authorities, are identified?
a)Key Activity
b)Control Practice
c)Control Objective
d)KGI
02. What is a control objective?
a) A metric to be achieved by implementing control procedures in a

particular activity
b) A level of maturity to be achieved by implementing control
procedures in a particular activity
c) A statement of the desired result or purpose to be achieved by
implementing control procedures in a particular activity
d) A critical success factor to be achieved by implementing control
procedures in a particular activity
03. Which CobiT domain focuses on areas such as operations,
security and continuity?
a) Monitor and Evaluate

b) Plan and Organize
c) Acquire and Implement
d) Deliver and Support
04. The relationship owners must liaise on customer and supplier
issues and ensure the quality of the relationship based on trust
and transparency is an example of a:
a) Key Activity
b) Control Practice
c) KGI
d) Control Objective
05. Which domain of IT Governance delivers benefits at reasonable
cost?
a) Resource management
b) Risk management
c) Value delivery
d) Performance measurement
06. The CobiT defined IT process of Data Management is found in
which Domain?
a) Monitoring
b) Planning and Organization
c) Acquisition and Implementation
d) Delivery and Support
07. Controls Practice provide guidance:
a) the hierarchy of control responsibilities

b) how to use detail controls objectives
c) why controls are needed and how to implement them
d) the importance control activities and tasks
08. What is the high-level objective concerned to management of
all IT projects?
a) PO1 Define a Strategic IT Plan

b) PO4 Define the IT Processes, Organization and Relationships
c) PO5 Manage the IT Investment
d) PO10 Manage Projects
09. Which of the following IT Processes include a detailed control
objective for post implementation reviews?
a) AI6 Manage Changes

b) PO10 Manage Projects
c) ME1 Monitor and Evaluate IT Performance
d) DS2 Manage Third-party Services
10. Which of the following IT Process help to assure that service
providers are meeting business requirements?
a) DS1 Define and Manage Service Levels

b) DS3 Manage Performance and Capacity
c) DS2 Manage Third-party Services
d) AI4 Enable Operation and Use
Gerenciamento - Management Guidelines
Garantia - IT Assurance Guide
• Diretrizes de Gerenciamento - Management Guidelines
▫ Conceito Controle
▫ Metas
▫ Outcome Measure
▫ Performance Indicators
▫ Goals and Metrics
▫ Input and Output
▫ RACI Chart
▫ Maturity Model
• Guia Garantia TI - IT Assurance Guide

▫ O que é
▫ Fases
▫ Estágios
Diretrizes de Gerenciamento - Management Guidelines
Ajuda a atribuir responsabilidade, medir desempenho, realizar benchmark e

endereçar falhas de capacidade.
Estamos atingindo as nossas metas?

Como medimos os resultados?
Como controlamos os processos?
Como determinamos se estamos fazendo as coisas certas?
erramentas
ndicadores Chaves de Meta (KGIs)
ndicadores Chaves de Desempenho (KPIs)
ntradas e saídas do processo
ráfico RACI
etas e Métricas: IT, Processo e Atividades

“COBIT toolset will help the business and IT understand how to measure results”
“Guidance and metrics for measuring the results of IT processes”
"As ferramentas do COBIT irão ajudar o negócio e TI compreender como medir os
resultados"
“Diretrizes e métricas para medir os resultados dos processos de TI"
Diretrizes de Gerenciamento
Conceito Controle
Objetivos Estratégicos
O que deve ser alcançado e o que é crítico para o sucesso da organização
SMART: Específicos, Mensuráveis, Atingíveis, Relevantes, Temporais
Indicadores (Desempenho e Resultado)

Como será medido e acompanhado o sucesso do alcance do objetivo
Mensuração
O ato ou processo de determinar ou avaliar a grandeza, extensão ou
quantidade de alguma coisa.
Metas
Nível de desempenho ou a taxa de melhoria necessária
Conceito Controle
Medida
Avaliar, comparando com um padrão ou unidade de mensuração: extensão,
dimensão, capacidade, etc. de alguma coisa; o resultado de uma
mensuração.
Métrica
Uma medida quantitativa do grau segundo o qual um sistema, componente
ou processo possui um dado atributo.
Houve apenas três erros descobertos pelo usuário nos primeiros 12 meses
de operação. Isto dá mais informação do que dizer que o sistema
entregue é de excelente qualidade.
Os objetivos são definidos de cima para baixo de maneira que os objetivos de negócios
determinarão vários objetivos de TI que irão suportá-los.
“As métricas utilizadas para medir o alcance de um objetivo da atividade são os indicadores
de performance do processo”
Outcome Measure - Key Goal Indicators (KGIs)
São métricas predefinidas que indicam se um processo de TI alcança o seu

propósito, ou seja, se produziram o resultado (outcome) esperado
(satisfez um requerimento de negócio).
Eles são geralmente expressos em termos de um critério de informação

(disponibilidade de uma informação, ausência de integridade ou
confidencialidade, processos de custo efetivo, confirmação de
confiabilidade, efetividade ou cumprimento).
“Indicate whether the goals have been met. These can be measured only
after the fact and, therefore, are called lag indicators”
Performance Indicators - Key Performance Indicators (KPIs)
Influenciam positivamente o resultado/saída (outcome) de um processo.
Utilizados para medir o progresso em direção aos objetivos.
Medem os objetivos das atividades, que são as ações que o dono do

processo deve tomar para alcançar o desempenho efetivo do
processo.
Geralmente são indicadores curtos, focados e mensuráveis.
“They can be measured before the outcome is clear and, therefore, are
called lead indicators”
Metas e Métricas - Goals and Metrics
Metas de TI direcionam diferentes metas de processos e cada uma desta
estabelecerá metas de atividades
“Metrics allow appropriate levels of management to correct performance issues as they occur
and to stay aligned with potentially changing goal priorities”
(As Métricas permitem níveis adequados de gestão para corrigir problemas de performance
quando estes surgem e para manter-se alinhado com mudanças potenciais das prioridades
de objetivos)
Entradas e Saídas de Processos - Input and Output
“Provide the flow between processes — the input and output — to

clarify interdependencies and responsibilities”
(Fornecer o fluxo entre os processos - a entrada e saída – estabelecendo
interdependências e responsabilidades )
Tabelas RACI - RACI Chart
Apresenta as principais atividades do processo e o tipo de participação de cada stakeholder

(partes interessadas).
“Very helpful for defining the roles and responsibilities of business and IT that are often unclear
for IT-related activities”
(Muito útil para definir os papéis e as responsabilidades de negócios e de TI, que muitas vezes
são pouco claras para as atividades relacionadas com TI)
Modelo de Maturidade - Maturity Model
Utilizados para medir o desempenho ou a capacidade dos processos de forma que a empresa
possa fazer uma sistemática tentativa de melhoria.
“for management and control over IT processes is based on a method for evaluating the
organization so that it can evaluate itself from a level of nonexistent (0) to optimized (5)”
(para a gestão e controle dos processos de TI é baseada em um método para avaliar a
organização, para que possa avaliar-se de um nível de inexistente (0) a otimizada (5))
Modelo de Maturidade Genérico
Modelo de Maturidade - Maturity Model
Auxilia na identificação:
• Performance atual da empresa (Where the enterprise is today)

• Status atual da industria (Comparison)
• Objetivos de melhoria (Where the enterprise wants to be)
• Caminho para crescimento (‘as-is’ and ‘to-be’)
Guia de como o COBIT pode conduzir a garantia sobre as atividades da TI
• Planejamento
• Escopo
• Avaliação de Risco
• Revisão sobre os processos de TI
Baseado em roadmap detalhado para garantir a execução e de guiar testes

detalhados para todos os Objetivos de Controles do COBIT
ROADMAP ASSURANCE GUIDELINE
Planos de Validação
Planejamento
•Estabelece o Universo de validação de TI para designar o que
de TI
será validado, é o inicio de toda iniciativa de validação
Escopo detalhado
e objetivos
Escopo
Conclusões sobre a
Execução
validação
•Guia os profissionais apresentando os principais testes a
serem executados durante uma auditoria/validação
Guia Garantia TI - IT Assurance Guide
Possui três fazes:
• Planejamento - Planning
▫ Avaliação de alto nível sobre os objetivos (conformidade)
▫ Artefato: Plano Garantia de TI – IT Assurance Plan
• Escopo - Scoping
▫ Pode utilizar benchmarking (ITGI), objetivando diretivas para metas:
 Negócio
 TI
 Processos
▫ Artefato: Escopo e Objetivos para diferentes iniciativas de garantia da TI
• Execução - Execution
▫ Cobre a execução da Garantia
▫ Artefato: Iniciativa da Garantia de TI
1 2 3 4 5 6
Refinar o Redefinir o Testar o Desenho Testar os Documentar o Comunicar as
entendimento escopo do controle resultados impacto recomendações
1. Refinar o entendimento do que será validado na TI

• Identificar/confirmar os processos de TI críticos
• Auto avaliação da maturidade dos processos
1. Redefinir o escopo dos objetivos de controle chave para questões que serão validadas na TI
• Atualizar a seleção de objetivos de controle
• Personalizar os objetivos de controle
• Construir um programa de auditoria detalhado
1. Testar a efetividade do desenho do controle dos objetivos de controle chave
• Testar e avaliar os controles
• Atualizar/avaliar maturidade dos processos
1. Testar o resultado dos objetivos de controle chave
• Controles de auto avaliação
• Testar e avaliar os controles
1. Documentar o impacto das fraquezas do controle
• Diagnóstico operacional e/ou riscos de projetos residuais
1. Desenvolver e comunicar as recomendações em geral
• Reportar conclusões da avaliação
A execução do roadmap possui seis estágios:
• Primeiro estágio
▫ Elabora um prévio planejamento e escopo de trabalho, afim de garantir que o
ambiente a ser testado esta entendido e acordado conforme os respectivos
objetivos.
• Segundo estágio
▫ Formaliza o escopo e objetivos para definir o exato ambiente a ser testado e os
controles contra os quais ocorrerão os testes.
 Onde é melhor focar
 Quais objetivos serão confrontados
• Terceiro estágio
▫ Primeiro estágio de testes sobre o Desenho de Controles - Control Design
▫ Avaliação da implementação, operação e efetividade
• Quarto estágio
▫ Testes sobre os controles aplicados as saídas dos processos, analisando se os
dados processados estão adequados.
• Quinto estágio
▫ Testa os impactos de qualquer fraqueza encontrada:
 Ausência de controles
 Controles pobremente implementados
 Erros detectados
▫ Avalia as consequências dos problemas de controle no negócio:

 Esclarecendo: Riscos e Vulnerabilidades
 Apresentando efeitos de qualquer falha de conformidades
 Apresentando custos de falhas de controles
 Apresentando benefícios de melhorias nos controles
• Sexto estágio
▫ Documentação e apresentação dos resultados da revisão da garantia,
focando os itens significativos baseados em:
 Ferramentas do COBIT
Benchmarking
Modelos Maturidade
• Assurance professionals
▫ Consultores que utilizam o Roadmap
Simulado
Gerenciamento - Management Guidelines

Garantia - IT Assurance Guide
1. COBIT maturity models enable a process owner to benchmark
the:
b) Relative maturity of the current process and set targets for

improvement.
c) Controls of the current process and set targets for control
practices.
d) Metrics of the current process and set targets for goal
indicators.
e) Responsibilities of the current process and set targets for
accountability.
2. The percentage of projects completed on time and within budget
is a COBIT performance indicator.
a) False
b) True
3. Performance Indicators are:
a) Critical success factors

b) Lead indicators
c) Key activities
d) Control practices
4. Outcome Measures are often referred to as lag indicators
because they are measured only:
a) One goal at a time

b) As groups of goals
c) On a continuous basis
d) After the fact
5. Which part of the COBIT toolset will help the business and IT
understand how to measure results?
a) Management guidelines
b) Framework
c) Control objectives
d) IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
6. What do outcome measures indicate?
a) Maturity levels
b) Process performance
c) Degree of control
d) The achievement of an objective
7. Performance Indicators are factors that:
a) Identify key controls.

b) Identify key processes.
c) Positively influence the process outcome.
d) Focus on control practices.
8. Which of the following is a phase in the COBIT assurance guide
roadmap?
a) Evaluation
b) Maturity modeling
c) Testing
d) Planning
9. Which of the following is a Key Performance Indicators?
a) % of projects delivered on time and on budget

b) % of projects meet stakeholder expectations
c) % of stakeholders participating in projects (involvement index)
d) % of projects in annual IT plan subject to feasibility study
10. Which of the following is a phase in the COBIT assurance guide?
a) Evaluation
b) Maturity modeling
c) Testing
d) Scoping
Recursos e Implementações
Resources and Implementation
Recursos e Implementações - Resources and Implementation
COBIT é baseado nas melhores práticas e padrões para endereçar uma

efetiva governança de TI.
Funciona como um “guarda-chuva” identificando as necessidades de

negócio e, então, justificando os objetivos que necessitam ser alcançados e
relacionado-os com outras práticas e padrões afim de alinhá-los de acordo
com as necessidades da organização.
“COBIT is the bridge between business and enterprise governance

requirements and specific IT governance practices”
(COBIT é a ponte entre os requisitos de negócio e da governança
corporativa e as práticas de governança de TI específicas)
COBIT Online
Serviço web, disponível para qualquer pessoa, acessível e fácil de ser

utilizado, possui diversas funções/informações tais como:
•Objetivos de Controle
•Práticas de Controle
•Metas e Métricas
•Tabela RACI
•Diretivas de Auditoria
•Modelo de Maturidade para todos os processos do COBIT
•New Filter/MyCOBIT
• Usuários podem construir, através de pesquisas sobre os
componentes do COBIT, uma versão personalizada e fazer
download por conta própria para o uso no PC no formato
Microsoft Word ou Microsoft Access.
COBIT Online
Serviço web, disponível para qualquer pessoa, acessível e fácil de

ser utilizado, possui diversas funções/informações tais como:
•PDF Downloads
• Fornece publicações do ITGI
• COBIT Executive Summary
• COBIT Framework
• COBIT Control Objectives
• COBIT Management Guidelines
• COBIT Assurance Guide
• COBIT Implementation Toolset
• COBIT Summary
• (34 Processos X Critério da Informação X Recursos de TI)
COBIT Online - Tipos de assinaturas
COBIT Online
Benchmarking
• Níveis de Maturidade dos Processos

• Importância dos Processos
• Importância dos Objetivos de Controle
• Importância das metas de TI e das
metas de Processo
COBIT QuickStart
Versão sumarizada dos recursos do COBIT, segue a regra de Pareto

(80/20)
• 20% de todo o material cobre cerca de 80% do que deveria ser

controlado.
Ótimo para rápido entendimento.
Adequado para pequenas e médias empresas e útil como ponto de partida

para grandes empresas
Guia de Implementação de Governança de TI
IT Governance Implementation
Mapa de implementação (Approach), possui um roadmap para implementar

Governança de TI utilizando os recursos do COBIT (Roadmap)
Guia composto de templates, apresentações e artigos que detalham os

benefícios de se implementar governança de TI (Toolsets)
O Guia também fornece exemplos de Balance Scorecards de TI, uma

planilha de diagnóstico de conscientização dos gestores e uma abordagem
de análise de riscos, além de conceitos de Modelo de Maturidade do COBIT.
CobiT Security Baseline
Livro para o publico em geral
Objetivo é tornar o tema segurança mais compreensível
Baseado na estrutura de controle do COBIT.
Meio para entender requerimentos de segurança da estratégia a operação.
Provê:
• Uma coletânea de leitura de conceitos de segurança
• Uma base de controles baseado no COBIT e ISO17799
• Kits de segurança da informação para diferentes públicos (usuário
domestico, gerentes, executivos, diretores de comitês, profissionais
de segurança).
Val IT
Focado nos aspectos do valor entregue da Governança de TI

baseado no COBIT, totalmente orientado a efetividade do uso da TI
(Investimento)
Ajuda o Negócio e ao Gerenciamento de TI a reconhecer o escopo

completo dos investimentos relacionados e prove uma estrutura de
controle para gerenciar esses em todo o ciclo de vida e na criação
dos reais benefícios ao negócio.
Questões Estratégicas; os investimentos estão:

Alinhados com a nossa visão?
Providencia valor otimizado: custo e risco em níveis aceitáveis?
Val IT
Questões de Valor; nós temos:

• Claro e compartilhado entendimento dos benefícios esperados?
• Métricas relevantes?
Questões sobre entrega; temos um efetivo e disciplinado processo de

entrega e de gerencia de mudança
• Capacidades requeridas?
• Para as mudanças requeridas pelo negócio alavancar suas
capacidades?
Questões de arquitetura; os investimentos

• Estão alinhados com os princípios da nossa arquitetura?
• Estão alinhados com outras iniciativas?
O VAL IT é baseado nos 4 “estamos”(are´s) conforme a ilustração abaixo:
Questões de
estratégia Questões de valor
Estamos Estamos
fazendo as obtendo os
coisas certas ? benefícios ?
Questões de
arquitetura Questões de entrega
Estamos Estamos
fazendo da fazendo de um
forma certa ? jeito bem feito ?
• Questões de estratégia. O investimento está:
▫ Alinhado com a nossa visão?
▫ Consistente com os princípios dos nossos negócios?
▫ Contribuindo para os objetivos estratégicos?
▫ Fornecendo valor a um custo razoável e a um nível de risco aceitável?
• Questões de arquitetura. O investimento está?
▫ Alinhado com a nossa arquitetura?
▫ Consistente com os princípios da nossa arquitetura?
▫ Contribuindo para população da nossa arquitetura?
▫ Alinhado com outras iniciativas?
• Questões de entrega. Nós temos?
▫ Processos efetivos e disciplinados para o gerenciamento de entrega e mudanças?
▫ Recursos técnicos e de negócio competentes e disponíveis para entregar:
 Capacidades necessárias?
 Mudanças organizacionais necessárias para potencializar as capacidades?
• Questões de valor. Nó temos:
▫ Um claro entendimento dos benefícios esperados?
▫ Clara prestação de contas para realizar os benefícios?
▫ Métricas relevantes?
▫ Um processo efetivo para a realização de benefícios?
Val IT
Val IT é um “guarda-chuva” com várias publicações, produtos e atividades que

tratam da gestão dos investimentos da TI; publicações:
Enterprise Value: Governance of IT Investments - The Val IT Framework

Estrutura que explica como uma organização pode obter valor otimizado dos
investimentos em TI e baseia-se no método COBIT. Está organizado em:
• Três processos
• Governança de Valor
• Gerenciamento de Portfólio
• Gerenciamento de Investimento
• Principais Práticas do Gerenciamento de TI (IT Key management practices;

práticas de gerenciamento essenciais que influenciam positivamente o
alcance dos resultados ou propósitos esperados de uma atividade específica.
Suportam os processos de Val IT e tem quase o mesmo papel dos objetivos
de controle do CobiT.
Val IT
Val IT é um “guarda-chuva” com várias publicações, produtos e atividades que

tratam da gestão dos investimentos da TI; publicações:
Enterprise Value: Governance of IT Investments – The Business Case:

Foca nos elementos chave do processo de gerenciamento de
Enterprise Value: Governance of IT Investments – The ING Case Study:

Descreve como uma companhia global de serviços financeiros gerencia o
portfólio de investimentos em TI no contexto do método Val IT.
Simulado
Recursos e Implementações
Resources and Implementation
1. How can COBIT be used along with other international best
practices and standards such as ITIL and ISO/IEC 17799?
a) To integrate the deployment of the required standards

b) As an implementation method
c) To validate the appropriateness of the other standard
d) As another view of the same area to support an approach
2. Which framework is increasingly accepted as the standard
response for generally assessing IT controls?
a) ITIL
b) COBIT
c) ISO/IEC 17799
d) CMM
3. The COSO framework is a framework to help organizations
establish and determine?
a) Accounting standards
b) Auditing standards
c) Investment decisions
d) The effectiveness of their internal controls
4. Which COBIT resource provides benchmarking capabilities?
a) COBIT Quickstart
b) COBIT Security Baseline
c) IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
d) COBIT Online
5. Which of the following aspects of COBIT can be benchmarked in
COBIT Online?
a) Importance of IT resources
b) Importance of information criteria
c) Importance of goals
d) Importance of domains
6. COBIT Quickstart is most useful for:
a) Senior management
b) Small and medium-sized enterprises (SMEs)
c) Auditors
d) Control specialists
7. Which of the following aspects of COBIT can be benchmarked in
COBIT Online?
a) Importance of IT resources
b) Importance of information criteria
c) Importance of goals
d) Importance of domains
8. Which part of COBIT has resources to help assess the capability
of IT Process?
a) Control Practices
b) IT Governance Implementation Guide
c) Control Objectives
d) IT Assurance Guide
9. ISO 17799 provides the detailed how to do it for:
a) Service Quality
b) Service Delivery
c) Project Management
d) Information Security Management
10. Which CobiT product provides an interactive knowledge base:
a) IT Governance Implementation Guide

b) CobiT Quickstart assessment tool
c) CobiT Online
d) CobiT Security Baseline Survival Kits
11. A primary objective of CobiT Quickstart is to:
a) Gain benefits quickly

b) Perform a quick maturity assessment
c) Perform audits quickly
d) Focus on technical areas
12. CobiT Security Baseline is a(n):
a) Specialists guide to security

b) Implementation road map for security professionals
c) Security audit program for auditors
d) Non technical security guide and reference to security-related
objectives
13. Which CobiT product provides the most up-to-date CobiT
information?
a) CobiT Framework
b) CobiT Online
c) CobiT Control Objectives
d) IT Governance Implementation Guide
14. Which of the following can be benchmarked in Cobit Online?
a) Significance of Information Criteria

b) Use of Control Practices
c) Relevance of IT Resource
d) Importance of a Control Objectives
15. The use of CobiT Quickstart is most valuable to?
a) Control specialists requiring an easy-to-apply checklist

b) Boards of directors wanting to get a quick overview of CobiT
c) Organizations wanting to focus initially on the important
elements of CobiT
d) Audit managers needing to quickly devise an IT audit approach
16. Through which of the following CobiT Online facilities does
ISACA raise its awareness of CobiT users experiences and
issues?
a) Surveys
b) Benchmarking
c) Help
d) Feedback
17. Which of the following phrases best describe Value Delivery?
a) Delivering on promised benefits at a reasonable cost

b) Using systems out of the box to save costs
c) Delivering under budget
d) Promising the lowest price
18. The CobiT Online Benchmarking facility can be used by:
a) Inputing user scores on a range of CobiT components

b) Downloading selected CobiT content and doing maturity
assessments
c) Produce an ISO standard
d) Certify companies and products
19. Which COBIT product provides a select and summarized version
of COBIT?
a) Control Objectives
b) Management Guidelines
c) Cobit Quickstart
d) IT Governance Implementation Guide
Business Case
Você foi contratado como especialista em Governança de TI para a empresa Traking Ltd. O presidente Sr.
Arimatéia lhe da às Boas Vindas e logo apresenta os seus objetivos:
1. Quero que você deixe transparente a operação de TI, ou seja: que as pessoas tenham claramente
seus papeis, suas responsabilidades, quais objetivos eles devem gerar e a importância destes
objetivos para as minhas vendas, além de eliminar qualquer dependência da empresa com estes
recursos, mas preservando a importância de cada um para o meu negócio!
2. Como posso a partir do meu plano estratégico de 2009, fazer com que todos da TI o entendam, se
esforcem para buscar os mesmos resultados e que eu consiga saber que eles estão cumprindo com
as suas obrigações?
3. Todo ano invisto consideravelmente nos projetos do depto de TI, mas eles não conseguem atingir o
ROI esperado. Como posso saber a capacidade desta administração para ter uma referência de
melhoria e assim traçar um plano para que eles consigam cumprir o retorno que espero?
4. Ouvi dizer que existe uma estrutura que me da poder de administrar o depto de TI, não sei qual o
nome dela e nem como ela pode me ajudar sem que eu domine os seus conceitos e jargões, você
pode me ajudar?
5. Hoje temos muitos fornecedores atuando em conjunto com a TI, isto me deixa inseguro, pois
acredito que eles tem grandes responsabilidades que devem estar sob o nosso radar, como
poderemos gerenciá-los de modo a me tranqüilizar?
Business Case
1. Através de uma estrutura orientada a processos, deixando claro as
atividades, responsabilidades, regras, recursos, entradas e objetivos a
serem atingidos (saídas).
2. Através do uso de uma metodologia que permita fazer o desdobramento
da estratégia nos diversos níveis da organização, estabelecendo-se as
diretrizes, metas, indicadores e prestação de contas para todos os
envolvidos. O BSC é uma ferramenta amplamente utilizada para esse
objetivo.
3. Explorar o PO10 – Gerenciar Projetos , entradas e saídas, atividades,
Metas e Métricas.
4. O COBIT é a estrutura que pode colaborar. Com foco no Negócio,
Orientada a Processos, Amplamente Aceito, Linguagem Comum,
Requerimentos Regulatórios.
5. Aplicando-se os objetivos de controle do Processo DS2 – Gerenciar
Serviços de Terceiros, entradas e saídas, atividades, Metas e Métricas.
Muito Obrigado!
www.trainning.com.br

Trainning - Cobit Foundation v41 or

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Trainning - Cobit Foundation v41 or

Uploaded by

Copyright:

Available Formats

Instrutor: Alcides Casarin Junior

ormação: COBIT 4.1 Foundations

COBIT® é marca registrada do ISACA e do ITGI

ISACA - Information Systems Audit and Control Association

ITGI - IT Governance Institute

Estrutura de controles desenvolvidos por auditores de sistemas.

A estrutura foi construída a partir de padrões e práticas já

É uma ferramenta prática de gerenciamento e não uma

Uma estrutura de governança e controle que foca em “o

▫ Pesquisar por parceiros

▫ Certificado Cobit Foundation é pré-requisto para os cursos

• Lingua inglesa e Portuguesa

• Qual a melhor resposta

• Cadastre-se no site: www.isaca.org

Não é necessário informar que fez um curso presencial.

Passos para registrar-se no exame:

1 - Comprar a prova do COBIT no site da IT Preneurs

• Resposta aos Desafios de TI

As empresas dependem fortemente da TI, quando os sistemas se

• Processos críticos de negócio, como emissão de notas fiscais, podem ser

A empresa precisa garantir que todas as ações da TI forneça valor, pois

“Keeping track of IT expenditure is as important as keeping track of other

Em muitos dos projetos de TI que excedem os orçamentos ou prazos,

• Requerimentos definidos de forma superficial

“Keeping track of IT expenditure is as important as keeping track of other

As inovações tecnológicas ocorrem rapidamente e a TI sofre pressão de

• Manutenção das competências técnicas

Em muitas empresas, o gap entre o que os usuários esperam e o que o TI

• Requerimentos de negócio definidos de forma superficial.

As regulamentações que governam as operações de negócio impactam nos

“Specific compliance requirements need to be understood. A legal contract

área de TI precisa entender as leis e requerimentos

• Governança corporativa e relatórios financeiros

O desejo de fazer a informação ser prontamente disponível pela tecnologia

• O uso de rede de comunicação, expõe os sistemas internos para o mundo.

“A control framework for IT governance defines the reasons IT governance

O objetivo é alinhar a TI aos objetivos de negócio

“Provide a business focus to enable alignment between business and IT objectives”

Garantir que as atividades são organizadas em processos e que possuem responsáveis

As melhores práticas para a Governança de TI:

Testadas e globalmente aceitas e que aumentam a contribuição da TI para o

Estas práticas foram desenvolvidas baseadas nas experiências de diversos

Ao longo do tempo, as melhores práticas tendem a adquirir uma terminologia distinta

A terminologia comum permite comunicação dentro da organização, entre profissionais

O cumprimento à regulamentações é geralmente uma tarefa cara e onerosa.

É mais fácil demonstrar cumprimento se uma estrutura de controle for baseado em um

Auditores também são beneficiados quando realizam auditorias de controles quando o

“Help meet regulatory requirements by being consistent with generally accepted

▫ Committee of Sponsoring Organisations of

Estrutura de controle amplamente aceita

Processo de controles internos, executados pelo comitê

▫ Eficácia e eficiência das operações

Tem sido adotado por muitos setores privados e governamentais

Fonte: Board Briefing On It Governance, 2Nd Ed

“Control Objectives for Information and related Technology”

Estrutura de controle amplamente aceita para a Governança de TI

O COBIT é um framework de governança e controle, que foca no que

• É uma estrutura de controles, construída a partir de padrões e práticas

• Como um modelo de controle, o COBIT deve ser adaptado para

“É o conjunto de práticas que tem por finalidade otimizar o

“Sistema pelo qual as sociedades são dirigidas e monitoradas,

▫ Direitos dos acionistas

▫ Aumento do valor da companhia

Fonte: www.cvm.gov.br e COBIT - Board Briefing on IT Governance, 2nd Ed