Professional Documents
Culture Documents
email: acasarinjr@hotmail.com
www.trainning.com.br
• Welcome
• Respondendo aos Desafios de TI
• Governança (Corporativa e TI)
• Introdução ao Cobit
• Estrutura do COBIT
• Guidelines (Management and Assurance )
• Recursos e Implementações
• Material Complementar
• Trainning
• Instrutor
• Classe
• O objetivo deste curso é preparar o aluno para a
prova de Certificação COBIT® Foundation.
• Fundada em 1967
• Mais de 175 capitulos estabelecidos em mais de 70 paises
• Mais de 75.000 associados espalhados por mais de 160 paises
• Em 1992 a idealização do COBIT foi concebida, mas a primeira versão foi liberada em
1996.
• Site: www.isaca.org
• Fundada em 1998
• Visa beneficiar as empresas, ajudando líderes em suas responsabilidades de fazer a TI
bem sucedida no apoio a missão e aos objetivos da empresa
• Oferece pesquisa, recursos eletrônicos e casos de estudos para ajudar líderes e o
conselhos de diretores em suas responsábilidades sobre Governança de TI.
• Site : www.itgi.org
Control Objectives for Information and related Technology
▫ ITPreneurs
www.itpreneurs.com
▫ Prova
40 questões multipla escolha
Duração de uma hora
Mínimo de 28 (70%) questões corretas
▫ Pré-requistito
Nenhum
▫ Investimento (Média)
U$ 120.00 - Direto
R$ 500,00 – Parceiros
▫ Créditos
Continuous Professional Education (CPE)
Certificado mundialmente reconhecido
• Documento de Identificação
• Prova subjetiva
• Tempo
• Intervalo
Estratégia para estudo
O exame é realizado pela internet através do site da IT Preneurs, você não precisa fazer o
exame em um centro de testes, pode fazer em qualquer computador com acesso a internet.
Fonte: www.itpreneurs.com
Respondendo os Desafios de TI
Responding to IT Challenges
• Desafios de TI
▫ Manter a TI funcionando
▫ Criação de Valor
▫ Redução de Custos
▫ Gerenciamento das Complexidades
▫ Alinhamento com o Negócio
▫ Cumprimento das regulamentações externas
▫ Segurança
“When a server stops responding, the end user is not able to track data.
This leads to loss of customers/business” (Quando um servidor para de
responder, o usuário final não é capaz de monitorar os dados. Isto leva à perda
de clientes / negócios)
Exemplos
Razões
• Muitas empresas não apuram custos associados com ativos e serviços de TI.
• Os orçamentos de TI aumentam todos os anos como resultado da
complexidade dos contratos de licenciamento, manutenção e terceirização.
• Projetos mal administrados que geram orçamentos adicionais.
• Os gastos em TI pelas unidades de negócio e do próprio departamento de TI
não são coordenados.
Gerenciamento das Complexidades - Managing Complexity
“Managing vendors is a critical task, and this should be done with great
care” (Gerenciamento de fornecedores é uma tarefa crítica, e deve ser feito com
muito cuidado)
Complexidades
“You need to make sure that IT and the business are aligned with each
other instead of working in parallel” (Você precisa ter a certeza que TI e
negócios estão alinhados uns com os outros em vez de trabalhar em paralelo)
Principais razões
“The goals include agreed and aligned objectives for IT, effective controls,
and efficient performance tracking.” (As metas incluem objetivos acordados e
alinhados para TI, controles eficazes e desempenho eficiente de monitoramento)
Fatores
Motivadores
• Vantagem Competitiva
• Tratar os Riscos
• Explorar os benefícios de TI
• Requerimentos de negócio
• Requerimentos das normas regulatórias
Foco no Negócio – Focused on the business
“Establish a process orientation to define the scope and extent of coverage, with a
defined structure enabling easy navigation of content”
(Estabelecer orientação a processos para definir o escopo e a extensão da cobertura,
com uma estrutura definida que permita fácil navegação dos conteúdos)
Aceitabilidade Geral - Generally Acceptable
“Be generally acceptable by being consistent with accepted IT good practices and
standards and independent of specific technologies”
(Ser geralmente aceitas por serem coerentes com as boas práticas e normas e
independente de tecnologias específicas)
Linguagem Comum - Common Language
“Supply a common language with a set of terms and definitions that are generally
understandable by all stakeholders”
(Fornecer uma linguagem comum com um conjunto de termos e definições que são
geralmente compreensíveis por todos os interessados)
Linguagem Comum - Common Language
Stakeholders within the enterprise who have an interest in generating value from IT investments:
(Os “stakeholders” dentro da empresa que têm interesse em gerar valor a partir dos investimentos em TI)
• Those who make investment decisions (Aqueles que tomam decisões de investimentos)
• Those who decide about requirements (Aqueles que decidem sobre requisitos)
• Those who use IT services (Aqueles que usam os serviços de TI)
Internal and external stakeholders who provide IT services: (Os “stakehorders” internos e externos que prestam
serviços TI)
• Those who manage the IT organisation and processes (Aqueles que gerenciam a organização e processos
de TI)
• Those who develop capabilities (Aqueles que desenvolvem capacidades)
• Those who operate the services ( Aqueles que operam os serviços)
Internal and external stakeholders who have a control/risk responsibility: (Os “stakeholders” Internos e
externos que tenham responsabilidades sobre controle / risco )
• Those with security, privacy and/or risk responsibilities (Aqueles com responsabilidades na segurança,
privacidade e/ou riscos.)
• Those performing compliance functions (Aqueles que executam funções de conformidade)
• Those requiring or providing assurance services (Aqueles que exigem ou fornecem serviços de garantia)
Requerimentos Regulatórios - Regulatory Requirements
Fonte: www.coso.org
COSO
Fonte: www.isaca.org
COBIT
Governança de TI
IT Governance
Governança Corporativa
▫ Conceito
▫ Envolvidos
▫ Envolve e Objetivo
▫ Benefícios
Governança TI
▫ Conceito e Envolve
▫ Motivador
▫ Incorporada a Governança Corporativa
▫ Importância: Valor, Risco e Controle
▫ Responsabilidade, Integra e institucionaliza e conjunto de controles
▫ Benefícios
▫ Os Princípios da Governança de TI
▫ As Partes Interessadas da Governança de TI
▫ Escopo da Governança de TI
▫ Governança de TI X Gerenciamento de TI
Conceito
Fonte: www.cvm.gov.br
Fonte: www.ibgc.org.br
Envolve
Objetivo
Fonte: www.ibgc.org.br
Conceito
Envolve
▫ Os Princípios da Governança de TI
▫ As Partes Interessadas da Governança de TI
▫ Escopo da Governança de TI
▫ Crescentes investimentos em TI
• Seis Sigma
▫ Valor
Maximização de benefícios
Capitalização sobre oportunidades
Ganho de vantagem competitiva
▫ Controle
Responsabilidades sobre as atividades que suportam o negócio
Alinhamento e alcance as expectativas de negócio
“É de responsabilidade dos executivos e do comitê administrativo,
consiste na liderança, dos processos e da estrutura organizacional que
assegura que a TI sustente e estenda a estratégia e objetivos
organizacionais.”
Exemplos
• Privacidade da informação,
• Integridade dos dados das contas
• Responder a normas regulatórias, tais como planos de recuperação.
Benefícios
Quando a alta gerência obtêm uma visão clara de como a TI está desempenhando,
ela aumenta sua confiança nas decisões de investimento.
“A higher ROI implies greater value to the business and better quality of
services, enabling the overall business strategy”
(Um ROI mais elevado implica maior valor ao negócio e melhor qualidade dos serviços,
habilitando a estratégia empresarial global)
Benefícios
“Alerts exist to indicate when things go wrong. Such alerts reduce the
chances of failure because problems are detected early”
(Alertas existem para indicar quando as coisas correm mal. Esses alertas reduzem as chances
de uma falha ocorrer, porque os problemas são detectados precocemente)
Benefícios
Maior transparência - More transparency
Direção - Direct
Alta direção fornece liderança, estruturas organizacionais e processos que assegurem
que as estratégicas de TI sustentem e atendam estratégias e objetivos da empresa,
para isso entende as mudanças e direciona as agendas dos envolvidos
Controle - Control
Permite: “feedback”, que auxilia o alcance dos objetivos e diminui/elimina
probabilidade de ocorrências indesejáveis
Responsabilidade - Responsibility
Os gestores devem prestar contas ao Comitê Executivo, que por sua vez fornece a
definição de responsabilidades, direção e monitoramento.
“Making it clear who has the authority to make decisions and approve the
outc ome of specific tasks”
(Deixando claro quem tem a autoridade para tomar decisões e aprovar o resultado das tarefas
específicas)
Os Princípios da Governança de TI
Atividades - Activities
• Shareholders
▫ “Correspondem a grupos que podem afetar ou serem afetados, de
modo significativo, pela empresa, incluindo os próprios acionistas”
• Stakeholders
▫ “São todas as partes interessadas que devem estar de acordo com
as práticas de governança corporativa executadas pela empresa”
Fonte: www.ibgc.org.br
As Partes Interessadas da Governança de TI
• Stakeholders
Externos Internos
– Fornecedores – Acionistas
– Clientes – Diretores
– Público Geral – Gerentes de Negócio
– Usuários – Gerente de TI
– Governo – Funcionários
As Partes Interessadas da Governança de TI
Preocupações (concerns)
Objetivos Estratégicos
• Definição dos objetivos
• Criação (devising) de estratégias para atingir os objetivos
propostos
• Desenho de planos de ação para implementar as estratégias
Benefícios
• Adição de valor para os produtos e serviços da empresa
• Otimização do uso dos recursos
• Capacitação para uma gestão eficiente e eficaz
Escopo da Governança de TI
Exemplo:
Para este banco os serviços de net banking não é apenas a criação de um site, mas sim
a geração de um novo modelo de negócio.
“is about executing the value proposition throughout the delivery cycle,
ensuring that IT delivers the promised benefits against the strategy,
concentrating on optimising costs and proving the intrinsic value of IT”
(é sobre a execução da proposição de valor em todo o ciclo de entrega, garantindo que a TI
entregue os benefícios prometidos durante a estratégia, concentrando-se na otimização dos
custos e provando o valor intrínseco de TI)
Escopo da Governança de TI
Exemplo
Visto desta forma, fica mais fácil demonstrar o valor adicionado pelo TI; se
analisar somente do ponto de vista (técnico) de aplicação ou banco de
dados, se torna difícil justificar os investimentos de TI.
Escopo da Governança de TI
Componentes do risco
▫ Entendimento do grau (“apetite”) de risco ou o comportamento
da empresa em correr riscos.
▫ Definição do impacto e probabilidade de um risco.
▫ Aprovação de plano de ação para tratar o risco
Escopo da Governança de TI
• Gerenciamento de Risco
“is about the optimal investment in, and the proper management of, critical IT
resources: applications, information, infrastructure and people. Key issues relate to
the optimisation of knowledge and infrastructure”
(é sobre a otimização dos investimentos e de um adequado gerenciamento dos recursos críticos de TI:
aplicações, informações, infra-estrutura e pessoas. As questões chave relacionadas a otimização do
conhecimento e da infra-estrutura)
“Human resources are the major component of the IT resource cost base”
(Os recursos humanos é o principal componente do custo base dos recursos de TI)
Escopo da Governança de TI
Fonte:BFPUG (www.bfpug.com.br)
Escopo da Governança de TI
▫ Financeira;
▫ Clientes;
▫ Processos internos
▫ Aprendizado e crescimento;
Gestão de Desempenho - Performance Measurement
Balanced Scorecard – BSC
Gestão de Desempenho - Performance Measurement
Balanced Scorecard
Gestão de Desempenho - Performance Measurement
Balanced Scorecard
Governança de TI X Gerenciamento de TI
Benefits
A. More responsiveness to business needs
B. Confidence of top management
C. More transparency
D. More reliable services
4. PQR Inc. is the preferred vendor of software solutions
for many Fortune 500 companies, who insist on strict
confidentiality of business information. How do you think
COBIT can help PQR?
A. Strategic alignment
B. Value delivery
C. Risk management
D. Performance measurement
8. Which of the following is a key feature of resource optimization?
A. Making sure that the lowest cost workforce has been obtained
B. Utilizing equipment as much as possible
C. Choosing a number of key product suppliers
D. Ensuring that sufficient capability exists for business-critical
activities
9. Which of the following is the best way to manage what
constitutes “good service”?
1. Keeping IT running
2. Making technology work correctly
3. Keeping up to date with the latest solutions
4. Supporting developers with toolkits
11. What is an essential attribute of successful performance
management?
1. Cost of IT specialist
2. Unavailability of the latest technology
3. Underestimation of the effort required
4. Lack of automation of development tools
13. Which of the following is a common problem encountered when
trying to align IT and the business?
1.Control
2.Learning
3.Management
4.Governance
15. Which of the following is a principle of IT governance?
1. Accountability
2. Reliability
3. Availability
4. Probability
16. Which of the following is an objective of risk management?
1. Taking no risks
2. Canceling any initiative that is risky
3. Understanding the appetite for risks
4. Using old, tried, and tested systems
19. Which of the following is a perspective of a balanced scorecard?
1. A dashboard
2. A metric
3. A bonus scheme
4. A customer
20. Which of the following is a key feature of resource optimization?
“COBIT can be used along with other international best practices and standards such as ITIL and ISO/IEC 17799,
to integrate the deployment of the required standards”
“COBIT helps define what control should be implemented and acts as an umbrella and integrator to ensure
business-focused deployment and coordination”
COBIT - Outros Padrões
Premissa de que a TI deve gerar informações que a empresa precisa para atingir os
seus objetivos, e assim gerar valor ao negócio
Componentes do COBIT
Requerimentos de
Negócio
Critério da Informação
Recursos TI
Componentes do COBIT – Recursos TI - IT Resources
Para responder aos objetivos de negócio, a empresa necessita investir em recursos, afim de criar uma adequada capacidade técnica para suportar uma capacidade de negócio para alacançar os objetivos
estratégicos
Atividade
Processo
Domínio Atividade
Atividade
Processo
Componentes do COBIT
Identificar o quanto e que tipo de controles são necessários para suportar o uso da informação
e entender como os processos necessitam ser gerenciados, para garantir que estas
necessidades sejam alcançadas.
xemplo:
equerimento de segurança,
como a confidencialidade,
varia conforme o tipo da
informação e de como ela é
processada.
Componentes do COBIT
Critérios da Informação – Information Criteria
Componentes do COBIT
OBIT - Foco
OSO - Foco
CobiT fornece indicadores voltados para a entrega de serviços atuais e futuros, não
de competência puramente técnica, balanceados (BSC) com a estratégica
corporativa objetivando as perspectivas:
Introdução ao COBIT
1. COBIT is a framework that focuses on:
a)Security
b)All information
c)Operations
d)Systems development
03. The COBIT framework treats information as the result of the
combined application of IT resources that are managed
by:
a)Information criteria
b)Control objectives
c)IT processes
d)Metrics
04. Which of the following is the best way to use COBIT?
1. To design procedures
2. As a mandatory standard
3. As a guide to improve business processes
4. To help prioritize which IT processes to improve
05. How does the COBIT framework help an organization implement
IT governance?
1. Policies
2. Audit programs
3. Implementation guidance
4. IT resources
07. Which of the following is included as a component of the COBIT
mission?
1. Strict rules
2. Penalty for noncompliance
3. Process orientation
4. Measurement system
09. What tool within COBIT helps the business and IT understand
the business requirements for information?
1. Information criteria
2. Key activity
3. Control objective
4. Maturity model
10. Which of the following is a fiduciary requirement within COBIT
information criteria?
1. Security
2. Integrity
3. Availability
4. Operational effectiveness
11. Which of the following is a COBIT security requirement?
1. Compliance
2. Availability
3. Reliability
4. Efficiency
12. Which of the following is a COBIT information criterion?
1. Fiduciary
2. Quality
3. Effectiveness
4. Security
13. Which of the following is a COBIT IT resource?
1. Database
2. Infrastructure
3. Operating system
4. Contractor
14. Which COBIT IT resource can be defined as the automated user
systems and manual procedures that process information?
1. Applications
2. Processes
3. Systems
4. Technology
15. Which of the following is a fiduciary requirement within the
COBIT Information Criteria?
1. Quality
2. Cost
3. Confidentiality
4. Compliance with laws and regulations
16. COBIT is intended for daily use by business managers and
auditors as an international ser of generally accepted
a)Focuses on security
b)Is compatible with other frameworks
c)Is based on accounting controls
d)Focused on operations
18. Utilizing the CobiT Framework will help an organization to:
▫ Planejar
▫ Construir
▫ Suportar
▫ Monitorar
• Estratégia e Táticas
▫ TI e a estratégia de negócio estão alinhados?
• Visão Planejada
▫ Todas as pessoas da organização entendem os objetivos do TI?
• Organização e Infra-estrutura
▫ Os riscos de TI estão identificados e gerenciados?
Domínios do CobiT
Planejar e Organizar
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os
Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT – PO10
Domínios do CobiT
• Soluções de TI
▫ Os novos projetos são entregues dentro dos prazos e orçamentos?
• Mudanças e Manutenções
▫ As mudanças podem ser realizadas sem causar problemas nas
operações de negócios atuais?
Domínios do CobiT
Adquirir e Implementar
AI 1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 Habilitar Operação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT – AI04
Domínios do CobiT
• Avaliação do desempenho
▫ Os riscos, controle, cumprimento e desempenho são medidos e
reportados?
Domínios do CobiT
Monitorar e Avaliar
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT – ME01
Domínios do CobiT
COBIT diz “o que” precisa ser feito para efetivamente controlar a TI, as
Práticas de Controle já fornecem o “como” e “porque” utilizar o
objetivo de controle detalhado.
Controles de Aplicações
O COBIT assume que o projeto e implementação de controles de aplicações automatizadas
devem ser de responsabilidade da TI, coberto no domínio de Aquisição e Implementação,
baseado nos requisitos de negócio definidos usando os critérios de informação do COBIT.
Estrutura do COBIT
01. Resource needs and roles and responsibilities, as well as
escalation and decision-making authorities, are identified?
a)Key Activity
b)Control Practice
c)Control Objective
d)KGI
02. What is a control objective?
a) Key Activity
b) Control Practice
c) KGI
d) Control Objective
05. Which domain of IT Governance delivers benefits at reasonable
cost?
a) Resource management
b) Risk management
c) Value delivery
d) Performance measurement
06. The CobiT defined IT process of Data Management is found in
which Domain?
a) Monitoring
b) Planning and Organization
c) Acquisition and Implementation
d) Delivery and Support
07. Controls Practice provide guidance:
ráfico RACI
Diretrizes de Gerenciamento
Conceito Controle
Objetivos Estratégicos
O que deve ser alcançado e o que é crítico para o sucesso da organização
SMART: Específicos, Mensuráveis, Atingíveis, Relevantes, Temporais
Mensuração
O ato ou processo de determinar ou avaliar a grandeza, extensão ou
quantidade de alguma coisa.
Metas
Nível de desempenho ou a taxa de melhoria necessária
Conceito Controle
Medida
Avaliar, comparando com um padrão ou unidade de mensuração: extensão,
dimensão, capacidade, etc. de alguma coisa; o resultado de uma
mensuração.
Métrica
Uma medida quantitativa do grau segundo o qual um sistema, componente
ou processo possui um dado atributo.
Houve apenas três erros descobertos pelo usuário nos primeiros 12 meses
de operação. Isto dá mais informação do que dizer que o sistema
entregue é de excelente qualidade.
Os objetivos são definidos de cima para baixo de maneira que os objetivos de negócios
determinarão vários objetivos de TI que irão suportá-los.
“As métricas utilizadas para medir o alcance de um objetivo da atividade são os indicadores
de performance do processo”
Outcome Measure - Key Goal Indicators (KGIs)
“Indicate whether the goals have been met. These can be measured only
after the fact and, therefore, are called lag indicators”
Performance Indicators - Key Performance Indicators (KPIs)
“They can be measured before the outcome is clear and, therefore, are
called lead indicators”
Metas e Métricas - Goals and Metrics
Metas de TI direcionam diferentes metas de processos e cada uma desta
estabelecerá metas de atividades
“Metrics allow appropriate levels of management to correct performance issues as they occur
and to stay aligned with potentially changing goal priorities”
(As Métricas permitem níveis adequados de gestão para corrigir problemas de performance
quando estes surgem e para manter-se alinhado com mudanças potenciais das prioridades
de objetivos)
Entradas e Saídas de Processos - Input and Output
“Very helpful for defining the roles and responsibilities of business and IT that are often unclear
for IT-related activities”
(Muito útil para definir os papéis e as responsabilidades de negócios e de TI, que muitas vezes
são pouco claras para as atividades relacionadas com TI)
Modelo de Maturidade - Maturity Model
Utilizados para medir o desempenho ou a capacidade dos processos de forma que a empresa
possa fazer uma sistemática tentativa de melhoria.
“for management and control over IT processes is based on a method for evaluating the
organization so that it can evaluate itself from a level of nonexistent (0) to optimized (5)”
(para a gestão e controle dos processos de TI é baseada em um método para avaliar a
organização, para que possa avaliar-se de um nível de inexistente (0) a otimizada (5))
Modelo de Maturidade Genérico
Modelo de Maturidade - Maturity Model
Auxilia na identificação:
• Planejamento
• Escopo
• Avaliação de Risco
• Revisão sobre os processos de TI
Planos de Validação
Planejamento
de TI
será validado, é o inicio de toda iniciativa de validação
Escopo detalhado
e objetivos
Escopo
Conclusões sobre a
Execução
validação
•Guia os profissionais apresentando os principais testes a
serem executados durante uma auditoria/validação
Guia Garantia TI - IT Assurance Guide
• Planejamento - Planning
▫ Avaliação de alto nível sobre os objetivos (conformidade)
▫ Artefato: Plano Garantia de TI – IT Assurance Plan
• Escopo - Scoping
▫ Pode utilizar benchmarking (ITGI), objetivando diretivas para metas:
Negócio
TI
Processos
▫ Artefato: Escopo e Objetivos para diferentes iniciativas de garantia da TI
• Execução - Execution
▫ Cobre a execução da Garantia
▫ Artefato: Iniciativa da Garantia de TI
1 2 3 4 5 6
Refinar o Redefinir o Testar o Desenho Testar os Documentar o Comunicar as
entendimento escopo do controle resultados impacto recomendações
• Primeiro estágio
▫ Elabora um prévio planejamento e escopo de trabalho, afim de garantir que o
ambiente a ser testado esta entendido e acordado conforme os respectivos
objetivos.
• Segundo estágio
▫ Formaliza o escopo e objetivos para definir o exato ambiente a ser testado e os
controles contra os quais ocorrerão os testes.
Onde é melhor focar
Quais objetivos serão confrontados
• Terceiro estágio
▫ Primeiro estágio de testes sobre o Desenho de Controles - Control Design
▫ Avaliação da implementação, operação e efetividade
Guia Garantia TI - IT Assurance Guide
• Quarto estágio
▫ Testes sobre os controles aplicados as saídas dos processos, analisando se os
dados processados estão adequados.
• Quinto estágio
▫ Testa os impactos de qualquer fraqueza encontrada:
Ausência de controles
Controles pobremente implementados
Erros detectados
• Sexto estágio
▫ Documentação e apresentação dos resultados da revisão da garantia,
focando os itens significativos baseados em:
Ferramentas do COBIT
Benchmarking
Modelos Maturidade
• Assurance professionals
▫ Consultores que utilizam o Roadmap
Simulado
a) False
b) True
3. Performance Indicators are:
a) Management guidelines
b) Framework
c) Control objectives
d) IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
6. What do outcome measures indicate?
a) Maturity levels
b) Process performance
c) Degree of control
d) The achievement of an objective
7. Performance Indicators are factors that:
a) Evaluation
b) Maturity modeling
c) Testing
d) Planning
9. Which of the following is a Key Performance Indicators?
a) Evaluation
b) Maturity modeling
c) Testing
d) Scoping
Recursos e Implementações
Resources and Implementation
Recursos e Implementações - Resources and Implementation
•Objetivos de Controle
•Práticas de Controle
•Metas e Métricas
•Tabela RACI
•Diretivas de Auditoria
•Modelo de Maturidade para todos os processos do COBIT
•New Filter/MyCOBIT
• Usuários podem construir, através de pesquisas sobre os
componentes do COBIT, uma versão personalizada e fazer
download por conta própria para o uso no PC no formato
Microsoft Word ou Microsoft Access.
COBIT Online
•PDF Downloads
• Fornece publicações do ITGI
• COBIT Executive Summary
• COBIT Framework
• COBIT Control Objectives
• COBIT Management Guidelines
• COBIT Assurance Guide
• COBIT Implementation Toolset
• COBIT Summary
• (34 Processos X Critério da Informação X Recursos de TI)
COBIT Online - Tipos de assinaturas
COBIT Online
Benchmarking
IT Governance Implementation
Provê:
• Uma coletânea de leitura de conceitos de segurança
• Uma base de controles baseado no COBIT e ISO17799
• Kits de segurança da informação para diferentes públicos (usuário
domestico, gerentes, executivos, diretores de comitês, profissionais
de segurança).
Val IT
Questões de
estratégia Questões de valor
Estamos Estamos
fazendo as obtendo os
coisas certas ? benefícios ?
Questões de
arquitetura Questões de entrega
Estamos Estamos
fazendo da fazendo de um
forma certa ? jeito bem feito ?
• Questões de estratégia. O investimento está:
▫ Alinhado com a nossa visão?
▫ Consistente com os princípios dos nossos negócios?
▫ Contribuindo para os objetivos estratégicos?
▫ Fornecendo valor a um custo razoável e a um nível de risco aceitável?
• Questões de arquitetura. O investimento está?
▫ Alinhado com a nossa arquitetura?
▫ Consistente com os princípios da nossa arquitetura?
▫ Contribuindo para população da nossa arquitetura?
▫ Alinhado com outras iniciativas?
• Questões de entrega. Nós temos?
▫ Processos efetivos e disciplinados para o gerenciamento de entrega e mudanças?
▫ Recursos técnicos e de negócio competentes e disponíveis para entregar:
Capacidades necessárias?
Mudanças organizacionais necessárias para potencializar as capacidades?
• Questões de valor. Nó temos:
▫ Um claro entendimento dos benefícios esperados?
▫ Clara prestação de contas para realizar os benefícios?
▫ Métricas relevantes?
▫ Um processo efetivo para a realização de benefícios?
Val IT
Recursos e Implementações
Resources and Implementation
1. How can COBIT be used along with other international best
practices and standards such as ITIL and ISO/IEC 17799?
a) ITIL
b) COBIT
c) ISO/IEC 17799
d) CMM
3. The COSO framework is a framework to help organizations
establish and determine?
a) Accounting standards
b) Auditing standards
c) Investment decisions
d) The effectiveness of their internal controls
4. Which COBIT resource provides benchmarking capabilities?
a) COBIT Quickstart
b) COBIT Security Baseline
c) IT Governance Implementation Guide Using COBIT and Val IT,
2nd Edition
d) COBIT Online
5. Which of the following aspects of COBIT can be benchmarked in
COBIT Online?
a) Importance of IT resources
b) Importance of information criteria
c) Importance of goals
d) Importance of domains
6. COBIT Quickstart is most useful for:
a) Senior management
b) Small and medium-sized enterprises (SMEs)
c) Auditors
d) Control specialists
7. Which of the following aspects of COBIT can be benchmarked in
COBIT Online?
a) Importance of IT resources
b) Importance of information criteria
c) Importance of goals
d) Importance of domains
8. Which part of COBIT has resources to help assess the capability
of IT Process?
a) Control Practices
b) IT Governance Implementation Guide
c) Control Objectives
d) IT Assurance Guide
9. ISO 17799 provides the detailed how to do it for:
a) Service Quality
b) Service Delivery
c) Project Management
d) Information Security Management
10. Which CobiT product provides an interactive knowledge base:
a) CobiT Framework
b) CobiT Online
c) CobiT Control Objectives
d) IT Governance Implementation Guide
14. Which of the following can be benchmarked in Cobit Online?
a) Surveys
b) Benchmarking
c) Help
d) Feedback
17. Which of the following phrases best describe Value Delivery?
a) Control Objectives
b) Management Guidelines
c) Cobit Quickstart
d) IT Governance Implementation Guide
Business Case
Você foi contratado como especialista em Governança de TI para a empresa Traking Ltd. O presidente Sr.
Arimatéia lhe da às Boas Vindas e logo apresenta os seus objetivos:
1. Quero que você deixe transparente a operação de TI, ou seja: que as pessoas tenham claramente
seus papeis, suas responsabilidades, quais objetivos eles devem gerar e a importância destes
objetivos para as minhas vendas, além de eliminar qualquer dependência da empresa com estes
recursos, mas preservando a importância de cada um para o meu negócio!
2. Como posso a partir do meu plano estratégico de 2009, fazer com que todos da TI o entendam, se
esforcem para buscar os mesmos resultados e que eu consiga saber que eles estão cumprindo com
as suas obrigações?
3. Todo ano invisto consideravelmente nos projetos do depto de TI, mas eles não conseguem atingir o
ROI esperado. Como posso saber a capacidade desta administração para ter uma referência de
melhoria e assim traçar um plano para que eles consigam cumprir o retorno que espero?
4. Ouvi dizer que existe uma estrutura que me da poder de administrar o depto de TI, não sei qual o
nome dela e nem como ela pode me ajudar sem que eu domine os seus conceitos e jargões, você
pode me ajudar?
5. Hoje temos muitos fornecedores atuando em conjunto com a TI, isto me deixa inseguro, pois
acredito que eles tem grandes responsabilidades que devem estar sob o nosso radar, como
poderemos gerenciá-los de modo a me tranqüilizar?
Business Case
1. Através de uma estrutura orientada a processos, deixando claro as
atividades, responsabilidades, regras, recursos, entradas e objetivos a
serem atingidos (saídas).
2. Através do uso de uma metodologia que permita fazer o desdobramento
da estratégia nos diversos níveis da organização, estabelecendo-se as
diretrizes, metas, indicadores e prestação de contas para todos os
envolvidos. O BSC é uma ferramenta amplamente utilizada para esse
objetivo.
3. Explorar o PO10 – Gerenciar Projetos , entradas e saídas, atividades,
Metas e Métricas.
4. O COBIT é a estrutura que pode colaborar. Com foco no Negócio,
Orientada a Processos, Amplamente Aceito, Linguagem Comum,
Requerimentos Regulatórios.
5. Aplicando-se os objetivos de controle do Processo DS2 – Gerenciar
Serviços de Terceiros, entradas e saídas, atividades, Metas e Métricas.
Muito Obrigado!
www.trainning.com.br