Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI

Graduação em:Redes de ComputadoresSistemas de Informação

Governança e Qualidade em Serviços de TI3. COBIT – Governança de TI

Márcio Aurélio Ribeiro [email protected]://si.lopesgazzani.com.br/docentes/marcio/

Márcio Moreira 3. COBIT – slide 2Governança e Qualidade em Serviços de TI - GOV

Introdução


Governança

É o ato de governar, direcionar, controlar, exercer poder

Relaciona-se com:Tomadas de decisãoDefinição de expectativasConceder poderVerificar desempenho

Governança Corporativa

Governança de TI


Governança Corporativa

Governança Corporativa e o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, Conselho de Administração, Diretoria e órgãos de controle.

As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso a recursos e contribuindo para sua longevidade.

Fonte:


Governança x Gestão de TI

Governança de TI (COBIT) Parte da Governança Corporativa

focada nos sistemas de TI, desempenho e gerenciamento de riscos.

Propósito: Garantir que políticas e estratégia

sejam realmente implementadas e que os processos requeridos estejam sendo corretamente seguidos, inclui definir papéis e responsabilidades, medir, relatar e tomar as ações para resolver quaisquer questões identificadas.

Gestão de TI (ITIL) A implementação e o

gerenciamento da qualidade dos serviços de TI de forma a atender às necessidades de negócio.

O gerenciamento de serviço de TI é feito pelos provedores de serviço de TI por meio da combinação adequada de pessoas, processo e tecnologia da informação.


Governança x Gestão de TI

Gestão de TI: Fornecer serviços e produtos de TI

de forma eficiente e eficaz, bem como na gestão das operações de TI

Fazer as coisas de forma certa Promovido e gerenciado pela TI

Governança de TI: Se preocupa com o desempenho

dos negócios, transformando e posicionando a TI para alcançar os objetivos de negócio

Fazer as coisas certas Precisa de patrocínio da alta

administração e dos executivos


Áreas de foco da Governança de TI

1. Alinhamento Estratégico•Alinhando TI com o negócio e fornecendo soluções colaborativas

2. Entrega de Valor•Executando a proposição de valor através do ciclo de entrega

3. Gestão de Riscos•Riscos de TI, impactos das mudanças, segurança, conformidade

4. Gestão de Recursos•Otimizando o desenvolvimento e uso de recursos disponíveis

5. Mensuração de Desempenho•Monitoramento dos recursos para ação corretiva


COBIT


O que é o CObIT?

CObIT = Control Objectives for Information and Related Technology

DOMÍNIOS

PROCESSOS

ATIVIDADES

Apl

icat

ivos

Info

rmaç

ões Pe

ssoa

s

Infr

aest

rutu

ra

Eficác

ia

Eficiên

cia

Confiden

cialid

ade

Integrid

ade

Disponibilid

ade

Conformidad

e

Confiabilid

ade

Proc

esso

s de

TI

Requisitos de Negócios

Recurso

s de T

I


O que é o COBIT?

Desenvolvido pela ISACA (Information Systems Audit and Control Association): Início informal em 1967 com um grupo de auditoresEm 1969 eles fundaram a EDP Auditors AssociationEm 1976 fundaram um instituto de pesquisas em governança de TI sem

fins lucrativos, o ITGI (IT Governance Institute)Hoje tem + de 86 mil membros, em 160 países, com + de 175 capítulos

Hoje o COBIT é um modelo do ITGI que é:Focado no negócioOrientado a processos de TI (34 processos)Baseado em controlesFornece indicadores

Adotado mundialmente

Negócio Processos

Controles Métricas


Onde encontrar e porque usar?

Distribuído gratuitamente no site www.isaca.org

Ajuda a mapear objetivos de negócio e relacioná-los com metas, processos e atividades de TI

Fornece suporte a Gestão e à Governança de TI

É um guia, não uma norma Como um modelo de controle

pode ser usado em qualquer empresa, plataforma de TI e padrão de sistemas

Principais razões do uso:Alinhar a TI ao negócio Entregar soluções que atendam

as necessidades reais Conseguir demonstrar retorno

sobre investimentosReduzir os custosGerenciar a Segurança da

InformaçãoNegócio & TI

http://www.isaca.org/


COBIT para Governar a TI

Princípios• Direção

• Controle

• Responsabilidade

• Prestação de contas

• Autoridade

• Alinhamento de atividades

Razões O board (alta administração)

precisa estabelecer as metas e a direção para a organização


Evolução do COBIT

V1• 1996: Foco em auditoria

V2• 1998: Foco em controle

V3• 2000: Foco em gestão

SOX• 2002: Obrigatoriedade para alguns setores

V4• 2005: Governança de TI

V4.1• 2007: Consolidação

V5:• 2012: V4.1 + Val IT 2.0 + Risk IT + BMIS + ITAF

A Lei Sarbanes & Oxley dos USA deu grande impulso ao COBIT,

tornando a Governança Corporativa e de TI obrigatórias para empresas

com ações na Bolsa de Valores.

No Brasil, a CVM foi pelo mesmo caminho.


Conformidade – Desafios

A Governança de TI deve buscar o equilíbrio entre as necessidades do estado, dos clientes e acionistas:Clientes & Acionistas:

Entrega de valorAtingimento de metas de

desempenhoGeração de resultados

Estado:ControlesConformidadeRespeito as leis

Estado Clientes & Acionistas

Resultados

Atingimento de Metas

Entrega de Valor

Respeito às leis

Conformidade

Controles


Missão do ITGI & Foco do COBIT

Missão do ITGI “Pesquisar, desenvolver,

publicar e promover um framework de controle para Governança de TI que seja embasado, atualizado, internacionalmente aceito para a adoção pelas organizações e usado no dia-a-dia pelos gerentes de negócio, profissionais de TI e profissionais de auditoria”

Foco do COBIT O COBIT foca mais em “o que

precisa ser alcançado” do que em “como alcançar”, isto é, mais no controle do que na execução

Funciona como um guarda-chuva, fornecendo controle que mapeiam os principais controles de TI


Componentes do COBIT


Framework do COBIT

O cubo ao lado representa os componentes chaves da estrutura do COBIT e como eles são usados para entregar a informação que o negócio precisa para alcançar seus objetivos

Cubo do COBIT:

DOMÍNIOS

PROCESSOS

ATIVIDADES

Apl

icat

ivos

Info

rmaç

ões Pe

ssoa

s

Infr

aest

rutu

ra

Eficác

ia

Eficiên

cia

Confiden

cialid

ade

Integrid

ade

Disponibilid

ade

Conformidad

e

Confiabilid

ade

Proc

esso

s de

TI

Requisitos de Negócios

Recurso

s de T

I


Requisitos de Negócio(Critérios de informação) Eficácia:

Capacidade de alçar metas e resultados propostosTrata da informação que está sendo relevante e pertinente ao processo de

negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil

Eficiência:Quantidade de recursos necessários para a geração do resultadoDiz respeito à provisão da informação através do uso otimizado (mais

produtivo e econômico) dos recursos. Tem foco na otimização de custos Confiabilidade:

A informação certa estará disponível para a gerência quando ela for necessária, isto gera confiança para a gerência operar e assumir suas responsabilidades de relatar aspectos de conformidade e finanças


Requisitos de Negócio

Conformidade:Trata do cumprimento das leis, de regulamentos e arranjos contratuais aos

quais o processo de negócio está sujeito Confidencialidade:

Diz respeito à proteção da informação sigilosa contra a revelação não autorizada

Integridade:Relaciona-se à exatidão e completude da informação bem como à sua

validade, de acordo com os valores e as expectativas do negócio Disponibilidade:

Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no futuro

Tem foco na entrega de serviços


Requisitos genéricos x Requisitos de Negócio


Recursos de TI

Aplicações:Sistemas automatizados e procedimentos manuais

para processar informações Informações:

Dados de todos os formulários de entrada e saída, processados e exibidos pelos sistemas de informação

Infraestrutura:Hardware, sistemas operacionais, banco de dados, rede, multimídia, etc.Tudo que é necessário para o funcionamento das aplicações

Pessoas:Pessoal necessário para planejar, organizar, adquirir, implementar,

entregar, prestar suporte, monitorar e avaliar os sistemas de informação e serviços. O pessoal pode ser interno ou terceirizado


Recursos de TI x Entrega de Serviços

Eventos

• Metas de Negócio• Oportunidades de negócio• Requisitos externos• Regulamentos• Riscos

Recursos de TI

• Aplicações• Informações• Infraestrutura• Pessoas

Objetivos de

Negócio

• Eficácia• Eficiência• Confidencialidade• Integridade• Disponibilidade• Conformidade• Confiabilidade


Domínios do COBIT

Os domínios:Mapeiam as

áreas de responsabilidades tradicionais da TI:

Planejar, construir, executar e medir

Representam o ciclo de vida da TI agrupamento natural de processos

Processos são uma sequência lógica de atividades, com papéis e responsabilidades

O COBIT 4.1 tem 34 processos

Planejar e Organizar

Adquirir e Implementar

Entregar e Suportar

Monitorar e Avaliar


Domínio: Planejar e Organizar (PO)

Objetivos:Formular estratégias e táticas Identificar como TI pode melhor

contribuir para atingir os objetivos do negócio

Planejar, comunicar e gerenciar a realização da visão estratégica

Implementar organizacionalmente e tecnologicamente a Infraestrutura

Escopo: Estão TI e Negócio

estrategicamente alinhados?Está a organização obtendo o

melhor uso de seus recursos?Qualquer pessoa na

organização entende os objetivos de TI?

Os riscos de TI são entendidos e adequadamente gerenciados?

A qualidade dos sistemas de TI são apropriadas para as necessidades do Negócio?

Negócio & TI


Processos do Domínio PO

Sigla Processo

PO1 Definir um plano estratégico de TI

PO2 Definir a arquitetura da informação

PO3 Determinar o direcionamento tecnológico

PO4 Definir processos de TI, a organização e relacionamentos

PO5 Gerenciar o investimento em TI

PO6 Comunicar metas e diretivas gerenciais

PO7 Gerenciar os recursos humanos

PO8 Gerenciar a qualidade

PO9 Avaliar e gerenciar riscos de TI

PO10 Gerenciar projetos

Planejar e Organizar


Domínio: Adquirir e Implementar (AI)

Objetivos Identificar, desenvolver ou

adquirir, implementar e integrar soluções de TI

Atualizar e manter os sistemas existentes

Escopo:Estão os novos projetos aptos a

entregar soluções que reúnem as necessidades do Negócio?

Estão os novos projetos aptos a serem entregues dentro dos custos e prazos definidos?

Os novos sistemas trabalharão adequadamente quando implementados?

As mudanças serão feitas sem afetar as operações atuais do Negócio?


Processos do Domínio AI

Sigla Processo

AI1 Identificar as soluções automatizadas

AI2 Adquirir e manter software aplicativo

AI3 Adquirir e manter infraestrutura de tecnologia

AI4 Permitir operação e uso

AI5 Adquirir os recursos de TI

AI6 Gerenciar mudanças

AI7 Instalar e validar soluções e mudanças

Adquirir e Implementar


Domínio: Entregar e Suportar (DS)

Objetivos:Entregar os serviços requeridos,

incluindo o serviço de entregaGerenciar segurança,

continuidade, dados e facilidades operacionais

Fornecer serviço de suporte estruturado aos usuários

Escopo:Estão os serviços de TI

alinhados com as prioridades de Negócio?

Estão os custos otimizados?Está a força de trabalho apta a

usar os sistemas de TI de forma produtiva e com segurança?

São adequadas a confidencialidade, integridade e disponibilidade das informações?


Processos do Domínio DS

Sigla ProcessoDS1 Definir e gerenciar níveis de serviçoDS2 Gerenciar serviços de terceiros

DS3 Gerenciar o desempenho e capacidade

DS4 Garantir a continuidade dos serviços

DS5 Garantir a segurança dos sistemas

DS6 Identificar e alocar custos

DS7 Educar e treinar usuáriosDS8 Gerenciar central de serviços e incidentesDS9 Gerenciar a configuraçãoDS10 Gerenciar os problemasDS11 Gerenciar os dadosDS12 Gerenciar o ambiente físicoDS13 Gerenciar as operações

Entregar e Suportar


Domínio: Monitorar e Avaliar (ME)

Objetivos:Gerenciar PerformanceMonitorar Controles InternosManter conformidade com

Agências ReguladorasGovernar a TI

Escopo:A performance de TI é

mensurada para detectar problemas antes que eles aconteçam?

O gerenciamento garante que os Controles Internos são efetivos e eficazes?

Pode a disponibilidade de TI ser combinada com os objetivos do Negócio?

São Riscos, Controles, Conformidades e Performance medidos e reportados?


Processos do Domínio ME

Sigla Processo

ME1 Monitorar e avaliar o desempenho da TI

ME2 Monitorar e avaliar os controles internos

ME3 Assegurar conformidade regulatória

ME4 Fornecer Governança de TI

Monitorar e Avaliar


Processos – PO


PO1 Definir um Plano Estratégico de TI

Descrição: Necessário para alinhar e gerenciar os recursos de TI à estratégia de negócio,

garantindo otimização do portfólio de serviços e projetos, explicitando as oportunidades e limitações da TI, avaliando e definindo o nível de investimento necessário em TI

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência

Requisitos do Negócio: Sustentar ou estender a estratégia de negócio e os requisitos de governança e, ao

mesmo tempo, ser transparente quanto aos benefícios, custos e riscos Foco:

Incorporar TI e gerenciamento de negócio na tradução dos requisitos de negócio em ofertas de serviços e no desenvolvimento de estratégias para entregar estes serviços de maneira eficaz e transparente



Como Alcançar:Compromisso da Alta Direção e da Direção do Negócio no alinhamento do

plano estratégico de TI com as necessidades atuais e futurasEntendimento da capacidade atual de TIEstabelecimento de um esquema de priorização de objetivos de negócio,

que quantifique os requisitos de negócio Medições:

% objetivos de TI que sustentam o plano estratégico de negócio% projetos no portfólio de projetos de TI que podem ser diretamente

relacionados ao plano tático de TIDemora entre a atualização do plano estratégico de TI e os planos táticos

Recursos de TI:Aplicações, informações, infraestrutura e pessoas



Objetivos de controle: Gerir o valor da TI Alinhar TI e negócio Avaliar a capacidade e o desempenho atuais Plano estratégico de TI Plano tático de TI Gerir o portfólio de TI

Entradas e Saídas:



Tabela RACI:

Funções:CEO (Chief Executive Officer) CFO (Chief Financial Officer)CIO (Chief Information Officer) PMO (Projetc Management Officer)



Objetivos e Métricas:



Níveis de Maturidade: 0 Inexistente:

A direção não vê necessidade num plano estratégico de TI para o negócio 1 Inicial / Ad Hoc / Linguagem Comum:

Os requisitos de TI são discutidos respondendo a necessidades de negócio 2 Repetível:

Existe um plano de TI compartilhado eventualmente com a área de negócio, que é atualizado sob demanda, as decisões são tomadas projeto a projeto

3 Definido: Existe uma política dizendo como quando o plano estratégico de TI é feito e atualizado, o

processo é conhecido e respeitado por todos os envolvidos 4 Gerenciado:

A TI é gerenciada pelas métricas estabelecidas no plano estratégico de TI 5 Otimizado:

A empresa só toma decisões estratégicas consultando os planos das diretorias, inclusive a de TI, estes planos são sistematicamente reavaliados contra benchmarking


PO2 Definir a Arquitetura de Informação

Descrição:Definir o modelo de informações necessários para suportar o negócio, isto

inclui fazer um dicionário de dados corporativos (com: regras sintáticas, classificação e níveis de segurança), permitindo tomada de decisões e responsabilização

Objetivos de Negócio:1º: Eficiência e Integridade2º: Eficácia e Confidencialidade

Requisitos do Negócio:Agilidade para atender os requisitos fornecendo informações confiáveis e

consistentes integrando aplicações nos processos de negócio Foco:

Modelo de dados (domínio de negócio)


PO2 Definir a Arquitetura de Informação

Como Alcançar:Garantir a precisão da arquitetura de informação e do modelo de dadosEstabelecer a propriedade dos dadosClassificar a informação usando o esquema que foi combinado

Medições:% de informações redundantes ou duplicados% de aplicações não conformes com a arquitetura de informaçãoFrequência de atividades de validação dos dados

Recursos de TI:Aplicações e informações


PO3 Determinar as Diretrizes de Tecnologia

Descrição:Os responsáveis pela TI determinam as diretrizes de TI que suportam o

negócio, através de um plano de infra e um conselho de arquitetura que estabelece e gerencia os produtos, serviços e mecanismos de entrega da TI. Além do já citado, o plano deve conter: plano de aquisições, padrões, estratégias de migração e contingência. Isto permite respostas rápidas

Objetivos de Negócio:1º: Eficácia e Eficiência

Requisitos do Negócio:Ter sistemas aplicativos, recursos e capacidades padronizados, integrados,

estáveis, com boa relação custo-benefício, que atendam os requisitos atuais e futuros do negócio

Foco:Plano de infra, arquitetura (serviços, aplicações e infra) e padrões


PO3 Determinar as Diretrizes de Tecnologia

Como Alcançar:Estabelecer um comitê para direcionar e verificar a arquitetura, requisitos,

custos e riscosDefinir padrões de infraestrutura tecnológica com base nos requisitos da

arquitetura da informação

Medições:Quantidade e tipo de desvios do plano de infraestrutura tecnológicaFrequência de revisão/atualização do plano de infraestrutura tecnológicaQuantidade de plataformas de tecnologia por área da organização

Recursos de TI:Aplicações e infraestrutura


PO4 Definir os Processos, Organização e Relacionamentos de TI Descrição:

Definir o pessoal, papéis, responsabilidades, habilidades, funções, autoridade, rastreabilidade e supervisão necessários. A organização de TI deve ter processos que transfiram o conhecimento, assegurem o controle e o envolvimento dos executivos sênior (comitê estratégico). Outros comitês podem ser criados garantindo a participação das áreas de negócio

Objetivos de Negócio:1º: Eficácia e Eficiência

Requisitos do Negócio:Agilidade em resposta à estratégia de negócio e, ao mesmo tempo,

atender aos requisitos de Governança e fornecer pontos de contatos definidos e competentes

Foco:Estruturas transparentes, flexíveis e responsivas, definindo processos


PO4 Definir os Processos, Organização e Relacionamentos de TI Como Alcançar:

Definição de uma estrutura de processos de TIEstabelecimento de conselhos e estruturas organizacionais apropriadasDefinição de papéis e responsabilidades

Medições:% de funções com posições e descrições de autoridade documentadasNúmero de unidades/processos de negócios não suportados pela TI, mas

que deveriam ser suportados de acordo com a estratégiaNúmero de atividades centrais de TI realizadas fora da organização de TI e

que não são aprovadas ou submetidas aos padrões organizacionais de TI

Recursos de TI:Pessoas


PO5 Gerenciar o Investimento de TI

Descrição:Estabelecer e manter uma estrutura para gerenciar os programas de

investimentos em TI que contemple custos, benefícios, prioridade dentro do orçamento, um processo formal de definição orçamentária e gerenciamento de acordo com o orçamento

Objetivos de Negócio:1º: Eficácia e Eficiência2º: Confiabilidade

Requisitos do Negócio:Melhorar continua e visivelmente a relação custo-benefício da TI e sua

contribuição para a lucratividade do negócio com serviços integrados e padronizados que atendam às expectativas do usuário final

Foco:Decidir o portfólio e investimentos em TI


PO5 Gerenciar o Investimento de TI

Como Alcançar:Previsão e alocação de orçamentos Definição do critério de investimento formal, usando:

ROI (Return On Investment): Retorno sobre InvestimentoPeríodo de recuperação de investimentoNPV (Net Present Value): Valor Presente Líquido (VPL)

Medição e avaliação do valor de negócio comparado à previsão Medições:

% de redução do custo unitário dos serviços de TI entregues% de desvio do valor orçamentário previsto x realizado% dos gastos de TI expressos através de motivadores de valor de negócio:

Exemplo: aumento de vendas/serviços devido ao aumento da conectividade Recursos de TI:

Aplicações, infraestrutura e pessoas


PO6 Comunicar Metas e Diretrizes Gerenciais

Descrição:A Direção deve desenvolver uma estrutura de controle de TI corporativo,

incluindo políticas, objetivos e diretrizesA área de TI deve definir e comunicar políticas, missão, metas, etc.A comunicação apoia o alcance dos objetivos de TI e assegura que as

pessoas tenham conhecimento e entendimento do negócio e riscos Objetivos de Negócio:

1º: Eficácia2º: Conformidade

Requisitos do Negócio:Manter as informações precisas e atualizadas nos serviços de TI atuais e

futuros, bem como as responsabilidades e os riscos associados Foco:

Fornecer políticas, diretrizes, procedimentos, etc. aprovados


PO6 Comunicar Metas e Diretrizes Gerenciais

Como Alcançar:Definição de uma estrutura de controle de TIDesenvolvimento e implementação de políticas de TI Imposição de políticas de TI

Medições: Interrupções no negócio devido a interrupções em serviços de TI% de partes interessadas que entendem a estrutura corporativa de

controle de TI% de partes interessadas que não estão em conformidade com a política

Recursos de TI: Informações e pessoas


PO7 Gerenciar os Recursos Humanos de TI

Descrição: Adquirir, manter e motivar pessoas competentes para criar e entregar serviços de

TI para o negócio. Isto requer práticas definidas e acordadas de recrutamento, treinamento, avaliação, promoção e desligamento

Esse processo é crítico porque as pessoas são ativos importantes e a governança e o ambiente de controle de dados são altamente dependentes da motivação e da competência dessas pessoas

Objetivos de Negócio: 1º: Eficácia e Eficiência

Requisitos do Negócio: Ter pessoas competentes e motivadas para criar e entregar serviços de TI

Foco: Admitir, treinar e motivar o pessoal com planos de carreira claros, atribuir funções

coerentes com as habilidades, estabelecer um processo de revisão, criar descrições de cargos e assegurar a consciência da dependência de indivíduos


PO7 Gerenciar os Recursos Humanos de TI

Como Alcançar:Revisão do desempenho do pessoalAdmissão e treinamento do pessoal de TI para sustentarem os planos

táticos de TIMitigar o risco de dependência excessiva de recursos-chave

Medições:Nível de satisfação das partes interessadas com competência de TIRotatividade da equipe de TI% da equipe de TI certificado de acordo com as necessidades da função



PO8 Gerenciar a Qualidade

Descrição: Deve ser desenvolvido e mantido um sistema de gestão da qualidade, que inclua

padrões, processos, requisitos e indicadores de qualidade comprovados de desenvolvimento e aquisição

A melhoria contínua pode ser alcançada por constante monitoramento, análise e atuação sobre desvios e na comunicação dos resultados

A gestão da qualidade é essencial para assegurar que a TI forneça valor para o negócio, melhore continuamente e seja transparente

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Integridade e Confidencialidade

Requisitos do Negócio: Melhorar continuamente a qualidade dos serviços entregues pela TI

Foco: Definir um Sistema de Gerenciamento da Qualidade (SGQ), monitorar e buscar a

melhoria contínua


PO8 Gerenciar a Qualidade

Como Alcançar:Definição de práticas e padrões de qualidadeMonitoração e revisão dos desempenhos interno e externo comparado às

práticas e padrões de qualidade definidasMelhoria contínua do SGQ

Medições:% de partes interessadas satisfeitas com a qualidade da TI (avaliado

segundo a importância)% de processos de TI formalmente revisados pelo processo de garantia de

qualidade periodicamente e que atingem metas e objetivos de qualidade% de processos que recebem revisões de garantia de qualidade (QA -

Quality Assurance) Recursos de TI:

Aplicações, informações, infraestrutura e pessoas


PO9 Avaliar e Gerenciar os Riscos de TI

Descrição: Criar e manter uma estrutura de gestão de riscos (documentar e gerir os riscos) Qualquer impacto em potencial nos objetivos da empresa causado por um evento

não planejado deve ser identificado, analisado, avaliado e comunicado O resultado da avaliação deve ser entendido pelas partes interessadas e expresso

em termos financeiros para permitir que as partes interessadas alinhem o risco a níveis de tolerância aceitáveis

Objetivos de Negócio: 1º: Confidencialidade, Integridade e Disponibilidade 2º: Eficácia, Eficiência, Conformidade e Confidencialidade

Requisitos do Negócio: Analisar e comunicar os riscos de TI e seus possíveis impactos nos processos e

objetivos de negócio Foco:

Desenvolver uma estrutura de gestão de riscos integrada às estruturas corporativa e operacional de gestão, avaliação, mitigação e comunicação de riscos


PO9 Avaliar e Gerenciar os Riscos de TI

Como Alcançar:Garantia de que a gestão de riscos esteja completamente integrada aos

processos gerenciais, interna e externamente, e seja aplicadaRealização de avaliações de riscoRecomendação e comunicação de planos de ação e mitigação dos riscos

Medições:% de objetivos críticos de TI cobertos pela avaliação de risco% de riscos críticos de TI identificados que tenham planos de ação% dos planos de ação de gestão de risco aprovados para implementação

Recursos de TI:Aplicação, informação, infraestrutura e pessoas


PO10 Gerenciar Projetos

Descrição: Estabelecer um programa e uma estrutura de gestão de projetos de TI (PMO) O PMO deve:

Garantir a correta priorização e coordenação de todos os projetos Ter um plano mestre, atribuição de recursos, definição dos resultados a serem

entregues, aprovação dos usuários, uma divisão por fases de entrega, garantia da qualidade, um plano de teste formal e uma revisão pós-implementação para assegurar a gestão de risco do projeto e a entrega de valor para o negócio


Requisitos do Negócio: Entregar resultados de projetos dentro do tempo, do orçamento e da qualidade

acordados Foco:

Aplicar aos projetos de TI um programa definido e uma abordagem de gestão de projetos que permitam a participação das partes interessadas e a monitoração do andamento e dos riscos do projeto


PO10 Gerenciar Projetos

Como Alcançar:Definição e implantação de programas, estruturas e abordagens de

projetoPublicação de diretrizes de gestão de projetoRealização de planejamento de projeto para todo o portfólio de projetos

Medições:% de projetos que atendem às expectativas das partes interessadas (prazo,

orçamento e escopo – ponderados de acordo com a importância)% de projetos que foram revisados após a implementação% de projetos que seguem os padrões e as práticas de gerenciamento de

projetos Recursos de TI:

Aplicação, infraestrutura e pessoas


Processos – AI


AI1 Identificar Soluções Automatizadas

Descrição:A necessidade de uma nova aplicação ou função requer uma análise

prévia à aquisição ou desenvolvimento, para assegurar que os requisitos de negócio sejam atendidos através de uma abordagem eficaz e eficiente

Este processo contempla a definição das necessidades, considera fontes alternativas, a revisão de viabilidade econômica e tecnológica, a execução das análises de risco e de custo-benefício e a obtenção de uma decisão final por “desenvolver” ou “comprar”

Objetivos de Negócio:1º: Eficácia2º: Eficiência

Requisitos do Negócio:Traduzir as necessidades funcionais e de controle em soluções

Foco: Identificar boas soluções técnicas economicamente viáveis


AI1 Identificar Soluções Automatizadas

Como Alcançar:Definição dos requisitos de negócio e técnicosRealização de estudos de viabilidade conforme definido nos padrões de

desenvolvimentoAprovação (ou rejeição) de requisitos e resultados de estudos de

viabilidade Medições:

Quantidade de projetos onde os benefícios não foram alcançados devido a premissas incorretas de viabilidade

% de estudos de viabilidade aceitos pelos respectivos proprietários de processos de negócios

% de usuários satisfeitos com as funcionalidades entregues Recursos de TI:

Aplicação e infraestrutura


AI2 Adquirir e Manter Software Aplicativo

Descrição: As aplicações devem ser disponibilizadas em alinhamento com os requisitos do

negócio Este processo contempla o projeto das aplicações, a inclusão de controles e

requisitos de segurança apropriados, o desenvolvimento e a configuração de acordo com padrões

Isso permite às organizações apoiarem de forma adequada as operações do negócio com as aplicações corretas

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Integridade e Confiabilidade

Requisitos do Negócio: Tornar disponíveis as aplicações em alinhamento com os requisitos do negócio, no

prazo desejado e com um custo razoável Foco:

Assegurar que exista um processo de desenvolvimento que garanta prazo e custo


AI2 Adquirir e Manter Software Aplicativo

Como Alcançar:Tradução dos requisitos de negócio nas especificações de projetoAdesão aos padrões de desenvolvimento em todas as modificaçõesSegregação entre as atividades de desenvolvimento, teste e operação

Medições:Quantidade de problemas (Incidentes) em produção por aplicação que

causem períodos perceptíveis de indisponibilidade% de usuários satisfeitos com a funcionalidade oferecida

Recursos de TI:Aplicação


AI3 Adquirir e Manter Infraestrutura de Tecnologia Descrição:

As organizações devem ter processos de aquisição, implementação e atualização da infraestrutura de tecnologia

Isso requer uma abordagem planejada de aquisição, manutenção e proteção da infraestrutura em alinhamento com as estratégias tecnológicas acordadas e o fornecimento de ambientes de desenvolvimento e teste

Isso assegura um apoio tecnológico contínuo às aplicações de negócio Objetivos de Negócio:

1º: Eficiência 2º: Eficácia, Integridade e Disponibilidade

Requisitos do Negócio: Adquirir e manter uma infraestrutura de TI integrada e padronizada

Foco: Disponibilizar plataformas apropriadas às aplicações de negócio em alinhamento

com a arquitetura de TI definida e os padrões tecnológicos


AI3 Adquirir e Manter Infraestrutura de Tecnologia Como Alcançar:

Preparação de um plano de aquisição tecnológica alinhado com o plano de infraestrutura tecnológica

Planejamento da manutenção da infraestrutura Implementação de controles internos, medidas de segurança e de auditoria

Medições: % das plataformas que não estejam alinhadas com os padrões definidos de

tecnologia e arquitetura de TI Quantidade de processos críticos de negócio sustentados por infraestrutura

obsoleta (ou próxima da obsolescência) Quantidade de componentes de infraestrutura que não contam mais com suporte

(ou que tendem a não ter suporte num futuro próximo)

Recursos de TI: Infraestrutura


AI4 Habilitar Operação e Uso

Descrição: O conhecimento sobre novos sistemas deve estar disponível na empresa Este processo requer:

Elaboração de documentação e manuais para usuários e para a própria TI Promoção de treinamentos para assegurar a operação e uso apropriado das aplicações e

infraestrutura Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Integridade, Disponibilidade, Conformidade e Confiabilidade

Requisitos do Negócio: Assegurar a satisfação de usuários finais com as ofertas e os níveis de serviços e a

integração das aplicações e soluções tecnológicas aos processos de negócio Foco:

Fornecer manuais de usuário, manuais operacionais e materiais de treinamento eficazes para transferir o conhecimento necessário a operação e uso da aplicação


AI4 Habilitar Operação e Uso

Como Alcançar:Desenvolvimento e disponibilização de documentaçãoComunicação e treinamento de usuários, gestores de negócio, equipes de

suporte e equipes de operaçãoProdução de materiais de treinamento

Medições:Quantidade de aplicações nas quais os procedimentos de TI estão

integrados aos processos de negócio% de proprietários de negócio satisfeitos com os treinamentos e material

de suporte das aplicaçõesQuantidade de aplicações que dispõem de treinamento adequado de

suporte operacional e de usuário Recursos de TI:

Aplicação, infraestrutura e pessoas


AI5 Adquirir Recursos de TI

Descrição: Adquirir recursos de TI (pessoas, hardware, software e serviços) Requer a definição e a aplicação de procedimentos de aquisição, seleção de

fornecedores e negociações contratuais Assim assegura-se que a organização tenha todos os recursos de TI necessários a

tempo e com boa relação custo-benefício Objetivos de Negócio:

1º: Eficiência 2º: Eficácia e Conformidade

Requisitos do Negócio: Melhorar o custo-eficiência de TI e sua contribuição para a lucratividade do

negócio Foco:

Adquirir e manter habilidades de TI que respondam à estratégia de entrega e a uma infraestrutura de TI padronizada e integrada, reduzindo o risco de aquisição


AI5 Adquirir Recursos de TI

Como Alcançar:Obtenção de parecer profissional para aspectos legais e contratuaisDefinição de procedimentos e padrões de aquisiçãoAquisição de hardware, software e serviços requeridos em alinhamento

com os procedimentos definidos

Medições:Quantidade de discordâncias relacionadas aos contratos de aquisição Custo reduzido de compra% das principais partes interessadas satisfeitas com os fornecedores



AI6 Gerenciar Mudanças

Descrição: Todas as mudanças, incluindo manutenções e correções de emergência,

relacionadas com a infraestrutura e as aplicações no ambiente de produção devem ser formalmente gerenciadas de maneira controlada (registro, avaliação, autorização e revisão após a implementação)

Isso assegura a mitigação de riscos de impactos negativos na estabilidade ou na integridade do ambiente de produção

Objetivos de Negócio: 1º: Eficácia, Eficiência, Integridade e Disponibilidade 2º: Confiabilidade

Requisitos do Negócio: Atender aos requisitos de negócio em alinhamento com a estratégia da

organização, reduzindo retrabalho e defeitos nas entregas Foco:

Controlar a execução e os impactos de mudanças na infraestrutura e aplicações


AI6 Gerenciar Mudanças

Como Alcançar:Definição e comunicação de procedimentos de mudanças, incluindo

mudanças emergenciaisAvaliação, priorização e autorização de mudançasAcompanhamento de status e apresentação de relatório de mudanças

Medições:Quantidade de paradas ou erros em dados devido a especificações

inadequadas ou avaliações de impacto críticas incompletasRetrabalho de infraestrutura ou aplicação causado por mudanças

inadequadas% de mudanças que seguem o processo formal de controle de mudanças



AI7 Instalar e Homologar Soluções e Mudanças

Descrição: Colocar as novas aplicações em operação após a conclusão do desenvolvimento Isto requer a realização de testes apropriados em um ambiente dedicado, com

dados de teste relevantes, definição de instruções de implantação e migração, planejamento de liberação e mudanças no ambiente de produção e uma revisão pós-implementação

Isso assegura que as aplicações estejam alinhados com as expectativas e os resultados acordados

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência, Integridade e Disponibilidade

Requisitos do Negócio: As aplicações novas ou alteradas devem funcionar bem após a instalação

Foco: Testes, planejamento, instalação e migração de aplicações


AI7 Instalar e Homologar Soluções e Mudanças

Como Alcançar:Estabelecimento de metodologia de testesAvaliação e aprovação dos resultados de testes pelos responsáveis pela

gestão do negócioRealização de planejamento de releases para produçãoRealização de revisões após a implementação

Medições:Tempo de indisponibilidade da aplicação ou quantidade de correções de

dados devido a testes inadequados % de aplicações que na avaliação pós-implementação alcança os

benefícios planejados originalmente% de projetos que tenham plano de testes documentado e aprovado



Processos – DS


DS1 Definir e Gerenciar Níveis de Serviço

Descrição: A comunicação eficaz entre a Direção de TI e os clientes de negócio sobre os

serviços necessários é possibilitada por um acordo definido e documentado, que aborda os serviços de TI e os níveis de serviço esperados

Este processo também inclui monitoramento e relatório oportuno às partes interessadas quanto ao atendimento dos níveis de serviço

Objetivos de Negócio: 1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e

Confiabilidade Requisitos do Negócio:

Assegurar o alinhamento dos principais serviços de TI com a estratégia de negócio Foco:

Identificar os requisitos de serviço, acordar os níveis de serviço e monitorar o atendimento desses níveis de serviço


DS1 Definir e Gerenciar Níveis de Serviço

Como Alcançar: Formalização de acordos de níveis de serviços internos e externos alinhados aos

requisitos e com a capacidade de entrega Reporte do atendimento aos níveis de serviços acordados (reuniões e relatórios) Identificação e comunicação de requisitos de serviços novos e atualizados para o

planejamento estratégico

Medições: % de partes interessadas que entendem que os níveis de entrega de serviço estão

de acordo com os níveis acordados Quantidade de serviços prestados inexistentes no catálogo Quantidade anual de reuniões formais de análise crítica de acordo de nível de

serviço (SLA) com os representantes do negócio

Recursos de TI: Aplicação, informação, infraestrutura e pessoas


DS2 Gerenciar Serviços Terceirizados

Descrição: A necessidade de assegurar que os serviços prestados por fornecedores satisfaçam

aos requisitos do negócio requer um processo efetivo de gestão da terceirização Esse processo é realizado definindo-se claramente os papéis, responsabilidades e

expectativas nos acordos de terceirização bem como revisando e monitorando tais acordos quanto à efetividade e à conformidade



Fornecer serviços terceirizados satisfatórios e transparentes em termos de benefícios, custos e riscos

Foco: Estabelecer relacionamentos e responsabilidades bilaterais com prestadores de

serviço terceirizados qualificados, monitorar a entrega dos serviços para verificar e assegurar o cumprimento dos acordos


DS2 Gerenciar Serviços Terceirizados

Como Alcançar: Identificação e categorização dos prestadores de serviços Identificação e redução dos riscos associados ao fornecedorMonitoração e medição do desempenho do fornecedor

Medições:Quantidade de reclamações de usuários devido aos serviços contratados% de grandes fornecedores que atendam claramente aos requisitos e

níveis de serviço definidos% de grandes fornecedores sujeitos a monitoramento



DS3 Gerenciar o Desempenho e a Capacidade

Descrição: Faz análises críticas periódicas do desempenho e da capacidade de TI Prevê as necessidades futuras com base em requisitos de carga de trabalho,

armazenamento e contingência Garante que os recursos de TI, que suportam os requisitos do negócio, estejam

sempre disponíveis Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Disponibilidade

Requisitos do Negócio: Otimizar o desempenho da infraestrutura, dos recursos e das capacidades de TI em

resposta às necessidades do negócio Foco:

Cumprir os SLAs, minimizar as indisponibilidades e melhorar a capacidade e o desempenho


DS3 Gerenciar o Desempenho e a Capacidade

Como Alcançar:Planejamento e fornecimento de capacidade e disponibilidade de TIMonitoração e informe do desempenho dos sistemasModelagem e previsão do desempenho dos sistemas

Medições:Horas perdidas pelo usuário por mês devido a capacidade insuficiente% de picos onde a utilização desejada é excedida% de tempo de resposta em que os SLAs não são alcançados

Recursos de TI:Aplicação e infraestrutura


DS4 Assegurar a Continuidade dos Serviços

Descrição:Desenvolvimento, manutenção e teste de um plano de continuidade de TIArmazenamento de cópias de segurança (backup) em instalações remotas

(offsite) e realização de treinamentos periódicos do plano de continuidade Objetivos de Negócio:

1º: Eficácia e Disponibilidade2º: Eficiência

Requisitos do Negócio:Reduzir a probabilidade e o impacto de uma interrupção de serviços

chaves de TI nas funções e processos críticos de negócio Foco:

Gerar capacidade de recuperação de soluções automatizadas, fazer, manter e testar planos de continuidade do negócio


DS4 Assegurar a Continuidade dos Serviços

Como Alcançar:Desenvolvimento, manutenção e melhoria da contingência de TITreinamento e teste de planos de contingência de TIArmazenamento em locais remotos (offsite) de cópias (backups) dos dados

e dos planos de contingência

Medições:Horas perdidas por usuários por mês devido inoperância não planejada de

sistemasQuantidade de processos críticos de negócio dependentes da TI e não

contemplados no plano de continuidade de TI



DS5 Garantir a Segurança dos Sistemas

Descrição: Para ter integridade das informações e proteger os ativos de TI, é necessário

implementar um processo de gestão de segurança Isto inclui:

O estabelecimento e a manutenção de políticas, padrões, papéis, responsabilidades e procedimentos de segurança de TI

Monitoramento, teste periódico e implementação de ações corretivas das deficiências ou dos incidentes de segurança

Objetivos de Negócio: 1º: Confidencialidade e Integridade 2º: Disponibilidade, Conformidade e Confiabilidade

Requisitos do Negócio: Proteger ativos e minimizar o impacto de vulnerabilidades e incidentes

Foco: Definir políticas, padrões e procedimentos de segurança Monitorar, detectar, reportar e solucionar vulnerabilidades e incidentes de

segurança


DS5 Garantir a Segurança dos Sistemas

Como Alcançar:Entendimento dos requisitos, vulnerabilidades e ameaças de segurançaGerenciamento padronizado das identidades e autorizações de usuáriosTestes periódicos de segurança

Medições:Quantidade de incidentes que prejudicam a reputação pública da empresaQuantidade de sistemas que não atendem aos requisitos de segurançaQuantidade de violações na segregação de funções



DS6 Identificar e Alocar Custos

Descrição: Avaliação precisa dos custos de TI e dos acordo com os usuários do negócio sobre

uma alocação razoável dos custos de TI Envolve a construção e a operação de um sistema para capturar, alocar e reportar

os custos de TI aos usuários dos serviços A alocação justa de custos permite à empresa tomar decisões mais embasadas

sobre o uso dos serviços Objetivos de Negócio:

1º: Eficiência e Confiabilidade Requisitos do Negócio:

Prover transparência e entendimento dos custos de TI e melhoria da relação custo-benefício através do uso bem informado dos serviços de TI

Foco: Coleta completa e precisa dos custos de TI, alocação justa dos custos aceitos pelos

usuários e um sistema de reporte oportuno do uso da TI e dos custos alocados


DS6 Identificar e Alocar Custos

Como Alcançar:Alinhar valores cobrados à qualidade e quantidade dos serviços fornecidosConstrução e concordância de um modelo de custo completo Implementação de um sistema de cobrança conforme a política acordada

Medições:% de faturas de serviços de TI aceitas/pagas pelo gestor de negócio% de variação entre orçamentos, previsões e custos reais% dos custos gerais de TI que são alocados de acordo com os modelos de

custo combinados



DS7 Educar e Treinar os Usuários

Descrição: Identificação das necessidades de treinamento de usuários (finais e TI) Definição e a execução de uma estratégia eficaz de treinamento e medição dos

resultados Isto aumenta o uso efetivo da TI através da redução dos erros de usuário, aumento

da produtividade e aumento da conformidade com os controles principais (como as medidas de segurança do usuário)

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência

Requisitos do Negócio: Uso efetivo e eficiente das aplicações e soluções tecnológicas, bem como

conformidade do usuário com as políticas e os procedimentos Foco:

Entender as necessidades de treinamento em TI, treina-los e medir os resultados


DS7 Educar e Treinar os Usuários

Como Alcançar:Estabelecimento de uma grade de treinamentoOrganização de treinamentoDisponibilização de treinamentoMonitoramento e relatório da eficácia do treinamento

Medições:Quantidade de chamadas ao centro de atendimento devido à falta de

treinamento dos usuários% de partes interessadas satisfeitas com o treinamento recebidoTempo entre a identificação da necessidade de treinamento e a realização



DS8 Gerenciar a Central de Serviço e os Incidentes

Descrição: Implementação de uma central de serviços (Service Desk) bem projetada e

implementada com capacitada para o tratamento de incidentes (registro, encaminhamento, análise de tendências, análise de causa-raiz e resolução)

Os benefícios ao negócio incluem aumento de produtividade por meio de resolução rápida dos chamados dos usuários

Complementarmente, as áreas de negócio podem tratar as causas-raiz (como treinamento deficiente de usuário), através de relatórios efetivos


Requisitos do Negócio: Permitir o uso eficaz dos sistemas de TI através de análise e resolução de consultas,

solicitações e incidentes Foco:

Prover uma central de serviços profissional com respostas rápidas, procedimentos claros de escalonamento, análise de tendências e resolução


DS8 Gerenciar a Central de Serviço e os Incidentes

Como Alcançar: Instalação e operação de uma central de serviços (Service Desk)Monitoração e registro das tendênciasDefinição clara de critérios e procedimentos de escalonamento

Medições:Satisfação do usuário com o primeiro nível de atendimento% de incidentes resolvidos no tempo estipulado/aceitável Índice de desistência dos chamados

Recursos de TI:Aplicações e pessoas


DS9 Gerenciar a Configuração

Descrição: Criação e manutenção de um repositório de configuração de TI Coleta inicial das informações de configuração, o estabelecimento de um perfil

básico (baseline), a verificação e a auditoria das informações de configuração e a atualização constante do repositório de configuração

A gestão de configuração melhora a disponibilidade do sistema, minimiza incidentes em produção e acelera a soluciona problemas

Objetivos de Negócio: 1º: Eficácia 2º: Eficiência, Disponibilidade e Confiabilidade

Requisitos do Negócio: Otimizar a infra, os recursos e a capacidades de TI e responder pelos ativos de TI

Foco: Estabelecer e manter um repositório preciso e completo de atributos e perfis

mínimos de configuração de ativos e comparar com a configuração atual deles


DS9 Gerenciar a Configuração

Como Alcançar:Estabelecimento de um repositório central de todos os itens de

configuração Identificação e manutenção dos itens de configuraçãoRevisão da integridade dos dados de configuração

Medições:Quantidade de problemas de conformidade de negócio causados pela

configuração imprópria dos recursosQuantidade de desvios identificados entre o repositório de configuração e

as configurações reais dos ativos% de licenças adquiridas e não contabilizadas no repositório

Recursos de TI:Aplicações, informações e infraestrutura


DS10 Gerenciar Problemas

Descrição: Identificação e classificação dos problemas, análise de causas-raiz e resolução Inclui a identificação de recomendações para melhoria, manutenção dos registros

de problemas e revisão da situação das ações corretivas Este processo melhora os níveis de serviço, reduz os custos, aumenta a

conveniência e a satisfação do cliente Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Disponibilidade

Requisitos do Negócio: Garantir a satisfação dos usuários finais com a oferta e níveis de serviços Reduzir a entrega de serviços e soluções com problemas e retrabalhos

Foco: registrar, rastrear, investigar a causa-raiz e resolver problemas importantes e

definir as soluções para problemas operacionais


DS10 Gerenciar Problemas

Como Alcançar:Realização de análises da causa-raiz do problema reportadoAnálise das tendênciasAssumir a propriedade dos problemas e do progresso em sua resolução

Medições:Quantidade de problemas recorrentes com impacto sobre os negócios % de problemas resolvidos dentro do período de tempo requeridoFrequência dos reportes ou atualizações de problemas existentes, com

base na severidade do problema



DS11 Gerenciar os Dados

Descrição: Identificação dos requisitos de dados, estabelecimento de procedimentos

efetivos para controlar a biblioteca de mídia, cópia de segurança (backup), recuperação de dados e o descarte de mídias de forma adequada

Melhora a qualidade, a rapidez e disponibilidade dos dados de negócio Objetivos de Negócio:

1º: Integridade e Confiabilidade Requisitos do Negócio:

Otimizar o uso da informação e garantir que a informação esteja disponível quando requisitada

Foco:Manter a completude, a precisão, a disponibilidade e a proteção dos

dados


DS11 Gerenciar os Dados

Como Alcançar:Realização de cópia de segurança (backup) dos dados e testes de

restauraçãoGerenciamento de armazenamento local e remoto dos dados (onsite e

offsite)Descarte seguro de dados e equipamentos

Medições:Satisfação do usuário com a disponibilidade dos dados% de restaurações de dados bem-sucedidasVolume de incidentes nos quais dados confidenciais foram recuperados

com sucesso após descarte da mídia Recursos de TI:

Informações


DS12 Gerenciar o Ambiente Físico

Descrição: Instalações físicas bem planejadas e gerenciadas, definição dos requisitos

do local físico, a escolha de instalações apropriadas, o projeto de processos eficazes de monitoramento dos fatores ambientais e o gerenciamento de acessos físicos

Este processo reduz as interrupções nos negócios provocadas por danos causados a equipamentos ou pessoas

Objetivos de Negócio:1º: Integridade e Disponibilidade

Requisitos do Negócio:Proteger os ativos de TI e os dados do negócioMinimizar o risco de interrupção nos negócios

Foco:Prover e manter um ambiente físico adequado que proteja os recursos de

TI contra acesso indevido, danos ou roubo


DS12 Gerenciar o Ambiente Físico

Como Alcançar: Implementação de medidas de segurança físicaSeleção e gerenciamento de instalações físicas

Medições:Tempo de indisponibilidade devido a incidentes no ambiente físicoQuantidade de incidentes causados por falhas ou violação da segurança

físicaFrequência das avaliações e revisões de riscos físicos

Recursos de TI: Infraestrutura


DS13 Gerenciar as Operações

Descrição: Gestão eficaz do processamento de dados, manutenção de hardware, definição de

políticas e procedimentos de operações para: Gestão eficaz do processamento agendado, proteção de resultados sigilosos,

monitoramento de infraestrutura e manutenção preventiva de hardware O processo ajuda a manter a integridade dos dados e reduzir atrasos e custos de

operação de TI Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Integridade e Disponibilidade

Requisitos do Negócio: Manter a integridade dos dados e assegurar que a infraestrutura de TI possa

resistir e se recuperar de erros e falhas Foco:

Atingir os níveis de serviço operacionais para o processamento programado de dados, proteção das saídas de dados críticos, monitoramento e manutenção da infraestrutura


DS13 Gerenciar as Operações

Como Alcançar:Operação do ambiente de TI alinhado com os acordos de níveis de serviço

e instruções definidas Manutenção da infraestrutura de TI

Medições:Quantidade de níveis de serviço impactados por incidentes operacionaisQuantidade de horas de paradas não programadas causadas por

incidentes operacionais% de ativos de hardware incluídos na programação de manutenção

preventiva



Processos – ME


ME1 Monitorar e Avaliar o Desempenho de TI

Descrição: Definição de indicadores de desempenho relevantes, informes de desempenho

sistemáticos e oportunos e uma pronta ação em relação aos desvios encontrados O monitoramento garante que as atividades corretas estejam sendo feitas e que

estejam em alinhamento com as políticas e diretrizes estabelecidas Objetivos de Negócio:

1º: Eficácia e Eficiência 2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e


Transparência, entendimento de custos, benefícios, estratégia, políticas e níveis de serviços de TI, conformes com os requisitos de governança

Foco: Monitorar e entregar relatórios sobre as métricas dos processos de TI Identificar e implementar ações de melhoria de desempenho


ME1 Monitorar e Avaliar o Desempenho de TI

Como Alcançar:Agrupamento e tradução dos relatórios de desempenho de processos para

relatórios de gestãoAnálise crítica de desempenho frente a metas acordadas e a tomada de

ações corretivas necessárias Medições:

Satisfação da Alta Direção e das entidades de governança com os relatórios de desempenho

Quantidade de ações de melhoria resultantes das atividades de monitoramento

% de processos críticos monitorados Recursos de TI:

Aplicações, informações, infraestrutura e pessoas


ME2 Monitorar e Avaliar os Controles Internos

Descrição:Monitoramento e reporte das exceções de controle, dos resultados de

auto avaliação e avaliação de terceirosGarante uma operação eficaz e eficiente e em conformidade com as leis e

os regulamentos aplicáveis Objetivos de Negócio:

1º: Eficácia e Eficiência2º: Confidencialidade, Integridade, Disponibilidade, Conformidade e


Garantir que os objetivos de TI sejam atingidos e assegurar conformidade com as leis e os regulamentos relacionados à TI

Foco:Monitorar os processos de controle interno de atividades de TI e

identificar ações de melhoria


ME2 Monitorar e Avaliar os Controles Internos

Como Alcançar:Definição de um sistema de controles internos integrado na estrutura de

processos de TIMonitoramento e reporte sobre a eficácia dos controles internos de TIReporte das exceções dos controles internos para que os gestores tomem

as medidas necessárias

Medições:Quantidade de falhas críticas nos controles internosQuantidade de ações de melhoria dos controles internosQuantidade e abrangência das auto avaliações dos controles internos



ME3 Assegurar a Conformidade com Requisitos Externos Descrição:

Estabelecimento de um processo de revisão para assegurar a conformidade com as leis e regulamentações e os requisitos contratuais

Identificar os requisitos de conformidade, otimizar e avaliar as respostas, assegurar que os requisitos sejam atendidos e integrar os relatórios de conformidade de TI com os das áreas de negócios

Objetivos de Negócio:1º: Conformidade2º: Confiabilidade

Requisitos do Negócio:Conformidade com leis, regulamentações e requisitos contratuais

Foco: Identificar leis, regulamentações e contratos aplicáveis e o respectivo nível

necessário de conformidade de TI e otimizar processos de TI para reduzir o risco de não-conformidade


ME3 Assegurar a Conformidade com Requisitos Externos Como Alcançar:

Identificação dos requisitos legais, regulatórios e contratuais relacionadosAvaliação do impacto dos requisitos de conformidadeMonitoramento e geração de relatórios sobre conformidade

Medições:Custo da não-conformidade da TI, incluindo multas e penalidades Intervalo entre a identificação dos problemas de conformidade externa e

sua resoluçãoFrequência das revisões de conformidade



ME4 Prover Governança de TI

Descrição: Definição das estruturas organizacionais, dos processos, da liderança, dos papéis e

respectivas responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e sejam entregues em conformidade com as estratégias e os objetivos da organização



Integrar a governança de TI aos objetivos de governança corporativa e ter conformidade com leis, regulamentações e contratos

Foco: Preparar relatórios gerenciais sobre a estratégia, o desempenho e os riscos de TI e

atender aos requisitos de governança em alinhamento com as diretrizes da Alta Direção


ME4 Prover Governança de TI

Como Alcançar:Estabelecimento de uma estrutura de governança de TI integrada à

governança corporativaAuditoria independente do status da governança de TI

Medições:Frequência dos relatórios gerenciais sobre TI para as partes interessadas

(inclusive maturidade)Frequência dos relatórios de TI para a Alta Direção (inclusive maturidade)Frequência das revisões independentes da conformidade de TI



Aplicação do COBIT


O que as empresas querem?

Aumentar o faturamento Aumentar a participação no

mercado (mais clientes) Aumentar a satisfação dos

clientes Mais produtividades Maior lucratividade

Menos custos Menos desperdício e

retrabalho Menos riscos Menos problemas Reduzir o tempo de

lançamento de produtos/serviços novos


Orientação do COBIT ao negócio


Metas de TI x Processos COBIT

Metas de TI Processos COBIT

1. Responder aos requisitos de negócio alinhados com a estratégia PO1 PO2 PO4 PO10 AI1 AI6 AI7 DS1 DS3 ME1

2. Responder aos requisitos de governança definidos pelo conselho PO1 PO4 PO10 ME1 ME4

3. Garantir a satisfação dos usuários com a oferta e nível de serviço PO8 AI4 DS1 DS2 DS7 DS8 DS10 DS13

4. Otimizar o uso da informação PO2 DS11

5. Criar agilidade de TI PO2 PO4 PO7 AI3

6. Traduzir os requisitos de TI em boas soluções automatizadas AI1 AI2 AI6

7. Adquirir e manter aplicações integradas e padronizadas PO3 AI2 AI5

8. Adquirir e manter infraestrutura de TI integrada e padronizada AI3 AI5

9. Adquirir e manter habilidades de TI alinhadas à estratégia de TI PO7 AI5

10. Garantir satisfação mútua nas relações com terceiros DS2

11. Garantir integração das aplicações aos processos de negócio PO2 AI4 AI7

12. Garantir transparência e entendimento dos custos e benefícios PO5 PO6 DS1 DS2 DS6 ME1 ME4




13. Garantir desempenho e uso adequado das aplicações e da TI PO6 AI4 AI7 DS7 DS8

14. Prestar contas e proteger todos os ativos de TI PO9 DS5 DS9 DS12 ME2

15. Otimizar a infraestrutura, recursos e capacidades de TI PO8 AI4 AI6 AI7 DS10

16. Reduzir defeitos e retrabalhos nas entregas de TI PO8 AI4 AI6 AI7 DS10

17. Proteger o alcance (capacidade de atingi-los) dos objetivos de TI PO9 DS10 ME2

18. Criar transparência dos riscos e impactos de negócio para TI PO9

19. Garantir proteção contra acesso indevido a informações críticas PO6 DS5 DS11 DS12

20. Garantir confiança em transações automatizadas de negócio PO6 AI7 DS5

21. Garantir que a TI possa operar e se recuperar em caso de falhas PO6 AI7 DS3 DS5 DS12 DS13 ME2

22. Minimizar impactos de negócio em interrupções/mudanças de TI PO6 AI6 DS4 DS12

23. Garantir disponibilidade dos serviços de TI DS3 DS4 DS8 DS13

24. Melhorar o custo/benefício de TI e sua contribuição ao negócio PO5 DS6




25. Entregar projetos de TI no prazo, custo e qualidade combinados PO8 PO10

26. Manter a integridade das informações e infraestrutura de TI AI6 DS6

27. Garantir conformidade da TI a leis, regulamentos e contratos DS11 ME2 ME3 ME4

28. Garantir qualidade, eficiência e prontidão para mudança da TI PO6 DS2 ME1 ME4

Fonte: Apêndice I do COBIT 4.1 (página 170)


Softwares de apoio ao COBIT

Existem alguns softwares que podem ser utilizados para criação de painéis de indicadores (dashboard):

www.e-decision.com.br www.softexpert.com.br www.datasec-soft.com www.methodware.co.nz www.metricus.com

http://www.e-decision.com.br/

http://www.softexpert.com.br/

http://www.datasec-soft.com/

http://www.methodware.co.nz/

http://www.metricus.com/


Produtos do ITGI que suportam o COBIT

COBIT Quickstart

IT Assurance Guide

CObIT Online

CObIT Security Baseline

IT Governance Implementation Guide

Val IT


COBIT Quickstart

É uma versão resumida dos recursos do COBIT

Ela serve como ponto de partida para empresas que querem ter uma estrutura básica de governança de TI, priorizando os controles mais importantes

Representa apenas 20% do conteúdo


Certificação COBIT


Público alvo

O exame de certificação COBIT Foundation é aplicável para:Auditores de TIGerentes de TIProfissionais na área de qualidade de TILíderes de TIGerentes de processos de TI

A certificação COBIT Foundation garante que você tem conhecimento sobre o framework do COBIT no nível fundamentos

Não há outros níveis de certificação para o COBIT A ISACA oferece outras certificações profissionais como: CISA,

CISM, CGEIT, CRISC


Exame de certificação

A certificação é oferecida pela ISACA e ITGI Existe apenas o nível Fundamentos (Foundation) Não há pré-requisitos, qualquer profissional pode se inscrever no

exame sem precisar comprovar experiência ou participação em treinamento oficial

O exame é online (pode ser realizado em casa ou no trabalho) Disponível em vários idiomas, incluindo o Português


Escopo do exame

As questões do exame são distribuídas em 5 áreas do conhecimento:15% Respondendo aos desafios da TI30% Estrutura do COBIT30% O que o COBIT fornece10% Aplicando o COBIT15% Produtos do COBIT e suporte da ISACA

Observação:Necessários 28 pontos em 40 para aprovação (70%)Não existe pontuação mínima por área de conhecimento


Tela do exame


Resultado final

Após finalizar o exame o candidato saberá na hora se foi aprovado ou não. Na tela de resultado é informado apenas o percentual de questões que o candidato acertou

Qualquer problema com o recebimento do certificado, entre em contato com [email protected]

mailto:[email protected]


Modelo de certificado impresso


Obrigado!

Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI

Documents

Transcript of Governança e Qualidade em Serviços de TI 3. COBIT – Governança de TI